ประกาศเทศบาลเมืองคลองแห

เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

 

        อาศัยอํานาจตามความในมาตรา ๕ แห่งพระราชกฤษฎีกากําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ กําหนดให้หน่วยงานของรัฐต้องจัดทําแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อให้การดําเนินการใดๆด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐ หรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้

        อาศัยอํานาจตามความในมาตรา ๔๘ เตรส แห่งพระราชบัญญัติเทศบาล พ.ศ. ๒๔๙๖ และที่แก้ไขเพิ่มเติม (ฉบับที่ ๑๔) พ.ศ. ๒๕๖๒ นายกเทศมนตรีเมืองคลองแห จึงออกประกาศไว้ดังต่อไปนี้

        ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศเทศบาลเมืองคลองแห เรื่อง นโยบายและแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ”

        ข้อ ๒ ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นต้นไป

        ข้อ ๓ ในประกาศนี้

                ๓.๑ ผู้ใช้งาน หมายถึง ผู้บริหาร พนักงานเทศบาล พนักงานจ้างเทศบาล ผู้ดูแลระบบ ของเทศบาลเมืองคลองแห รวมถึง ผู้รับบริการ ผู้ใช้งานทั่วไป ที่ได้รับสิทธิของผู้ใช้งานให้สามารถเข้าใช้งาน หรือ ดูแลรักษาระบบเทคโนโลยีสารสนเทศของเทศบาลเมืองคลองแห ทั้งนี้ให้รวมถึงผู้ให้บริการและผู้ได้รับการว่าจ้าง

                ๓.๒ ผู้ดูแลระบบ (System Administrator) หมายถึง เจ้าหน้าที่ที่ได้รับมอบหมาย จากผู้บังคับบัญชาให้มีหน้าที่รับผิดชอบในการเข้าถึง จัดการ ดูแลรักษาระบบสารสนเทศและเครือข่าย คอมพิวเตอร์ ซึ่งสามารถเข้าถึงระบบเครือข่าย จัดการฐานข้อมูลของเครือข่ายคอมพิวเตอร์

                ๓.๓ ผู้บริหารระดับสูง หมายถึง นายกเทศมนตรีเมืองคลองแห ในฐานะผู้บริหารระดับสูงด้านเทคโนโลยีสารสนเทศ (CIO)

                ๓.๔ สิทธิของผู้ใช้งาน หมายถึง สิทธิทั่วไป สิทธิจําเพาะ สิทธิพิเศษ และสิทธิอื่นใดที่เกี่ยวข้องกับการเข้าถึงและใช้งานระบบสารสนเทศของเทศบาลเมืองคลองแห

                ๓.๕ สินทรัพย์ หมายถึง สิ่งใดก็ตามที่เกี่ยวกับระบบเทคโนโลยีสารสนเทศที่มีคุณค่าสําหรับเทศบาลเมืองคลองแห

                ๓.๖ การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ หมายถึง การอนุญาต การกําหนด สิทธิ หรือการมอบอํานาจให้ผู้ใช้งาน การเข้าถึงหรือใช้งานเครือข่ายหรือระบบสารสนเทศทั้งทางอิเล็กทรอนิกส์และทางกายภาพ

                ๓.๗ ความมั่นคงปลอดภัยด้านสารสนเทศ (Information security) หมายถึง การธํารงไว้ ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ได้แก่ความถูกต้องแท้จริง (Authenticity) ความรับผิด (Accountability) การห้ามปฏิเสธความรับผิด (Non-Repudiation) และความน่าเชื่อถือ (Reliability)

                ๓.๘ เหตุการณ์ด้านความมั่นคงปลอดภัย (Information security event) หมายถึงกรณีที่ระบุการเกิดเหตุการณ์ สภาพของบริการหรือเครือข่ายที่แสดงให้เห็นความเป็นไปได้ที่จะเกิดการฝ่าฝืน นโยบายด้านความมั่นคงปลอดภัย หรือมาตรการป้องกันที่ล้มเหลว หรือเหตุการณ์อันไม่อาจรู้ได้ว่า อาจเกี่ยวข้องกับความมั่นคงปลอดภัย

                ๓.๙ สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด (Information Security Incident) หมายถึง สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจ คาดคิด(Unwanted or Unexpected) ซึ่งอาจทําให้ระบบของเทศบาลเมืองคลองแหถูกบุกรุกหรือโจมตี และ ความมั่นคงปลอดภัยถูกคุกคาม

                ๓.๑๐ การรักษาความมั่นคงปลอดภัย หมายถึง การรักษาความมั่นคงปลอดภัยสําหรับ ระบบเทคโนโลยี สารสนเทศและการสื่อสารของเทศบาลเมืองคลองแห

                ๓.๑๑ ผู้ถือครองเครื่องคอมพิวเตอร์ หมายถึง ผู้ได้รับเครื่องคอมพิวเตอร์ไว้ใช้ประจํา   ในการปฏิบัติงานและถือครอง รับผิดชอบ ดูแลเครื่อง/อุปกรณ์คอมพิวเตอร์

                ๓.๑๒ ข้อมูลคอมพิวเตอร์ หมายถึง ข้อมูล ข้อความ คําสั่ง ชุดคําสั่ง หรือสิ่งอื่นใด บรรดาที่อยู่ในระบบ คอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์ อาจประมวลผลได้ และให้หมายความรวมถึง ข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่า ด้วยธุรกรรมทางอิเล็กทรอนิกส์

                ๓.๑๓ ระบบเทคโนโลยีสารสนเทศ (Information Technology System) หมายถึง ระบบคอมพิวเตอร์ ระบบเครือข่าย ระบบปฏิบัติการ ระบบฐานข้อมูล โปรแกรมประยุกต์หรือแอพพลิเคชั่น และสารสนเทศ ระบบจดหมายอิเล็กทรอนิกส์ และระบบคลาวด์ ของเทศบาลเมืองคลองแห

                ๓.๑๔ เจ้าของข้อมูล หมายถึง เจ้าหน้าที่ของเทศบาลเมืองคลองแห ผู้ได้รับมอบหมาย จากผู้บังคับบัญชาให้รับผิดชอบดูแลปรับปรุงข้อมูลของระบบงานนั้นๆ ซึ่งเป็นผู้ได้รับผลกระทบโดยตรงหากข้อมูลเหล่านั้นเกิดสูญหาย

                ๓.๑๕ จดหมายอิเล็กทรอนิกส์ (E-mail) หมายถึง ระบบที่บุคคลใช้ในการรับส่ง ข้อความระหว่างกันโดยผ่านเครื่องคอมพิวเตอร์ และเครือข่ายที่เชื่อมโยงถึงกัน ข้อมูลที่ส่งจะเป็นได้ทั้งตัวอักษร ภาพถ่าย ภาพกราฟิก ภาพเคลื่อนไหว และเสียง ผู้ส่งสามารถส่งข่าวสารไปยังผู้รับคนเดียวหรือหลายคนก็ได้ มาตรฐานที่ใช้ในการรับส่งข้อมูลชนิดนี้ ได้แก่ SMTP, POP๓ และ IMAP

                ๓.๑๖ รหัสผ่าน (Password) หมายถึง ตัวอักษรหรืออักขระ หรือตัวเลขที่ใช้เป็น เครื่องมือในการตรวจสอบยืนยันตัวบุคคล เพื่อควบคุมการเข้าถึงข้อมูล และระบบข้อมูลในการรักษา ความมั่นคงปลอดภัยของข้อมูล และระบบเทคโนโลยีสารสนเทศ

                ๓.๑๗ ชุดคําสั่งไม่พึงประสงค์ หมายถึง ชุดคําสั่งที่มีผลทําให้คอมพิวเตอร์ หรือ ระบบ คอมพิวเตอร์ หรือชุดคําสั่งอื่นเกิดความเสียหาย ถูกทําลาย ถูกแก้ไขเปลี่ยนแปลงหรือเพิ่มเติม ขัดข้องหรือปฏิบัติงานไม่ตรงตามคําสั่งที่กําหนดไว้

        ข้อ ๔ นโยบายด้านการควบคุมการเข้าถึงและการใช้งานระบบเทคโนโลยีสารสนเทศ

                ๔.๑. การควบคุมข้อมูลภายในระบบสารสนเทศ (Data Access Control)

                        ๔.๑.๑ กําหนดให้ต้องระบุประเภทของข้อมูลในระบบเทคโนโลยีสารสนเทศ ได้แก่       ๑. ข้อมูลที่เป็นตัวเลข (Numeric Data)  ๒. ข้อมูลประเภทตัวอักษร (Text Data)  ๓. ข้อมูลที่อยู่ใน ลักษณะไฟล์เสียง (Audio Data) ๔. ข้อมูลรูปภาพ (Images Data) ๕. ข้อมูลที่เป็นภาพเคลื่อนไหว (Video Data) และข้อมูลอื่นๆ เพื่อให้สามารถควบคุมการจัดเก็บได้อย่างปลอดภัยและมีประสิทธิภาพ

                        ๔.๑.๒ กําหนดให้ข้อมูลในระบบเทคโนโลยีสารสนเทศให้มีการแบ่งระดับความสําคัญของข้อมูลดังนี้ ระดับสําคัญที่สุด ระดับสําคัญ และระดับสําคัญทั่วไป

                        ๔.๑.๓ กําหนดให้ข้อมูลในระบบเทคโนโลยีสารสนเทศให้มีการแบ่งชั้นความลับ ของข้อมูลดังนี้ ข้อมูลลับที่สุด ข้อมูลลับ ข้อมูลทั่วไป โดยอาจกําหนดเพิ่มเติมเป็นข้อมูลสาธารณะ (Open Data) ได้

                        ๔.๑.๔ กําหนดให้มีระดับชั้นของผู้มีสิทธิใช้งานเข้าถึงข้อมูลประกอบด้วย สิทธิระดับผู้ดูแลระบบ (System Administrator) และสิทธิระดับผู้ใช้งาน (User) เป็นอย่างน้อย ทั้งนี้สามารถ กําหนดให้มีสิทธิระดับผู้ใช้งานระดับอื่นๆ ตามความจําเป็น รวมถึงการเข้าถึงข้อมูลระดับกลุ่มผู้ใช้งาน (User Group) ได้

                        ๔.๑.๕ กําหนดให้ผู้ใช้งานสามารถเข้าถึงข้อมูลภายในระบบเทคโนโลยีสารสนเทศ      ได้เฉพาะเวลาที่กําหนด โดยให้คํานึงถึงความจําเป็นของการใช้งานระบบเทคโนโลยีสารสนเทศนั้น

                        ๔.๑.๖ กําหนดให้มีช่องทางในการเข้าถึงระบบเทคโนโลยีสารสนเทศได้เฉพาะช่องทางได้รับสิทธิของผู้ใช้งานหรือตกลงไว้ และมีการยืนยันตัวตนผ่านระบบยืนยันตัวตนด้วยวิธีการของระบบ เทคโนโลยีสารสนเทศนั้น

                ๔.๒. ข้อกําหนดการใช้งานตามภารกิจเพื่อควบคุมการเข้าถึงสารสนเทศ (Business Requirements for Access Control)

                        ๔.๒.๑ ผู้ดูแลระบบและผู้ใช้งานระบบเทคโนโลยีสารสนเทศ ต้องเป็นผู้ได้รับ อนุญาต เป็นผู้ได้รับการมอบอํานาจ เป็นผู้มีภาระงานตามตําแหน่ง เป็นผู้รับบริการ หรืออย่างใดอย่างหนึ่ง เพื่อเข้าใช้งานระบบเทคโนโลยีสารสนเทศของเทศบาลเมืองคลองแห ในการนี้ให้รวมถึงผู้ให้บริการและผู้รับจ้าง

                        ๔.๒.๒ ผู้ดูแลระบบและผู้ใช้งานระบบเทคโนโลยีสารสนเทศทุกคนต้องมีบัญชีผู้ใช้งาน (User Account) ประกอบด้วยรหัสผู้ใช้ (Username) และรหัสผ่าน (Password) ที่ผ่าน การลงทะเบียนและได้รับสิทธิของผู้ใช้งานที่พึ่งมีตามข้อ ๔.๒.๑ และ ๔.๒.๓

                        ๔.๒.๓ การกําหนดสิทธิของผู้ใช้งานหรือการอนุญาตเข้าถึงข้อมูลและระบบ เทคโนโลยีสารสนเทศของบัญชีผู้ใช้งาน กําหนดให้มีบัญชีผู้ใช้งานในระบบเทคโนโลยีสารสนเทศ ที่มีระดับสิทธิ ในการเข้าถึงข้อมูลและระบบเทคโนโลยีสารสนเทศ อย่างน้อย ๒ ระดับ ได้แก่

                                - สิทธิสําหรับบัญชีผู้ดูแลระบบ (System Administrator) โดย กําหนดให้มีสิทธิในการอ่าน สร้าง ป้อน แก้ไข อนุมัติ ระงับ และยกเลิกข้อมูล รวมถึงอนุญาต กําหนดสิทธิ แก้ไข ปรับเปลี่ยน และยกเลิกสิทธิของบัญชีผู้ใช้งานระดับผู้ใช้งาน (User) ในระบบเทคโนโลยีสารสนเทศได้ เป็นอย่างน้อย ทั้งนี้ไม่รวมการถอดรหัสข้อมูลใดๆของบัญชีสิทธิระดับผู้ใช้งาน (User)

                                - สิทธิสําหรับบัญชีผู้ใช้งาน (User) โดยกําหนดให้มีสิทธิในการอ่าน สร้าง ป้อน และแก้ไขข้อมูล ตามสิทธิของผู้ใช้งานที่ได้รับมอบหมายของตนเองตามข้อ ๔.๒.๑ ที่มีต่อระบบ เทคโนโลยีสารสนเทศนั้น

                        ๔.๒.๔ กําหนดให้ผู้ดูแลระบบทําหน้าที่ในการอนุมัติบัญชีผู้ใช้งานระดับต่างๆ พร้อมกําหนดสิทธิของผู้ใช้งานให้เป็นไปตามที่ได้รับอนุญาต การได้รับการมอบอํานาจ การเป็นผู้มีภาระงาน ตามตําแหน่ง หรืออย่างใดอย่างหนึ่ง รวมถึงทําหน้าที่ในการปรับปรุง ระงับ ยกเลิกบัญชีดังกล่าวตามภารกิจ

                ๔.๓.  การบริหารจัดการควบคุมการเข้าถึงสารสนเทศ (User Access Management)

                        ๔.๓.๑ จัดให้มีการสร้างความรู้ความเข้าใจให้กับผู้ใช้งานเพื่อให้เกิดความตระหนัก ความเข้าใจถึงภัยและผลกระทบที่เกิดจากการใช้งานระบบสารสนเทศโดยไม่ระวังหรือรู้เท่าไม่ถึงการ ผ่านช่องทางประชาสัมพันธ์ของเทศบาลเมืองคลองแห ประกาศ หรือการอบรม

                        ๔.๓.๒ จัดให้มีระบบความปลอดภัยพื้นฐาน ได้แก่

                                - ระบบป้องกันการบุกรุกเครือข่าย (Firewall) ในรูปแบบอุปกรณ์หรือ ระบบที่ติดตั้งบนคลาวด์

                                - ระบบป้องกันและตรวจจับการบุกรุก (Intrusion PreventionSystem) ในรูปแบบอุปกรณ์หรือระบบที่ติดตั้งบนคลาวด์

                                - ระบบยืนยันตัวตน (Authentication System) ในลักษณะต่างๆตามความเหมาะสมของระบบเทคโนโลยีสารสนเทศนั้น

                        ๔.๓.๓ การเข้าถึงระบบเทคโนโลยีสารสนเทศ กําหนดให้ผู้มีสิทธิใช้งานทําการยืนยัน ตัวตน (User Authentication) ก่อนเข้าใช้งานระบบเทคโนโลยีสารสนเทศ ด้วยบัญชีผู้ใช้งาน (User Account) ซึ่งประกอบด้วยรหัสผู้ใช้ (Username) และรหัสผ่าน (Password) หรือ วิธีการใดๆ ของระบบเทคโนโลยีสารสนเทศนั้น

                        ๔.๓.๔ ระบบเทคโนโลยีสารสนเทศมีความสําคัญ เช่น ระบบที่มีการจัดเก็บหรือ ส่งข้อมูลสําคัญ ระบบที่มีกระบวนการยืนยันหรือลงนาม หรือระบบที่มีธุรกรรมทางการเงินและบัญชี ให้นํา การยืนยันตัวตนโดยใช้หลายปัจจัย (Multi-Factor Authentication) เข้ามาใช้งานเพิ่มเติมจากรหัสผู้ใช้ (Username) และรหัสผ่าน (Password) โดยอาจให้ทําการยืนยันตัวตนผ่านเบอร์โทรศัพท์ Email หรืออื่นๆ

                        ๔.๓.๕ การละเบียนผู้ใช้งาน (User Registration) เพื่อสร้างบัญชีผู้ใช้งาน (User Account) ของระบบเทคโนโลยีสารสนเทศ ต้องมีขั้นตอนเป็นอย่างน้อย ดังนี้

                                - ระบุข้อมูลของบุคคล เพื่อระบุหรือยืนยันตัวตน และช่องทางติดต่อกลับ

                                - ระบุบริการที่ต้องการรับ เพื่อเข้าถึงข้อมูลและระดับสิทธิการใช้งานระบบเทคโนโลยีสารสนเทศนั้น

                                - ระบุอุปกรณ์ที่งานร่วมกับระบบบัญชี (ถ้ามี) เช่น เครื่องคอมพิวเตอร์USB-Token เครื่องอ่านบัตรต่างๆ

                                - ผู้ใช้งานต้องกําหนดรหัสผ่านที่มีจํานวนอักขระไม่น้อยกว่า ๘ ตัวโดยประกอบด้วยตัวอักษรภาษาอังกฤษพิมพ์เล็ก ตัวอักษรพิมพ์ใหญ่ ตัวเลข และสัญลักษณ์ (!@#$%^&*=+) และปิดการใช้งานคําใบ้ของรหัสผ่าน และทําการเปลี่ยนรหัสผ่านอย่างสม่ําเสมอ ให้แก่บัญชีผู้ใช้งานของตนเองเพื่อเพิ่มความซับซ้อนและเพิ่มเวลาในการถอดรหัสของผู้ไม่หวังดี

                                        - มีการยืนยันการยอมรับ กฎ ข้อบังคับ หรือข้อตกลงตามที่กําหนดเพื่อเข้าถึงระบบเทคโนโลยีสารสนเทศนั้น ก่อนการยืนยันเพื่อลงทะเบียน

                                ๔.๓.๖ การบริหารจัดการสิทธิของผู้ใช้งานให้เป็นไปตามข้อ ๔.๑ และ ๔.๒

                                ๔.๓.๗ การบริหารจัดการรหัสผ่านสําหรับผู้ใช้งาน (User Password Management) ต้องประกอบด้วยกระบวนการ ดังต่อไปนี้

                                        - กําหนดให้การลงทะเบียนผู้ใช้งาน เป็นไปตามข้อ ๔.๓.๕ และได้รับสิทธิผู้ใช้งานตามข้อ ๔.๒.๓

                                        - กําหนดให้เปลี่ยนรหัสผ่านอย่างสม่ำเสมอ หรือเมื่อพบเหตุการณ์ด้านความมั่นคงปลอดภัย (Information Security Event) หรือสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์ โดยกําหนด รหัสผ่านต้องมีจํานวนอักขระไม่น้อยกว่า 4 ตัว ประกอบด้วยตัวอักษรภาษาอังกฤษพิมพ์เล็ก ตัวอักษรพิมพ์ ใหญ่ ตัวเลข และสัญลักษณ์ !@#$%^&*=+ และปิดการใช้งานคําใบ้ของรหัสผ่าน และทําการเปลี่ยนรหัสผ่าน อย่างสม่ำเสมอ ให้แก่บัญชีผู้ใช้งานของตนเอง เพื่อเพิ่มความซับซ้อนและเพิ่มเวลาในการถอดรหัสของผู้ไม่หวังดี

                                        - กําหนดให้จัดเก็บรหัสผ่านด้วยวิธีการเข้ารหัสและจัดเก็บไว้ในที่ปลอดภัยยากต่อการเข้าถึงจากภัยคุกคาม

                                        - กรณีลืมรหัสผู้ใช้ (Username) หรือรหัสผ่าน (Password) ให้ทําการติดต่อผู้ดูแลระบบ (System Administrator) หรือขอแก้ไขข้อมูล พร้อมระบุข้อมูลที่ทําการระบุไว้ในข้อ ๔.๓.๕ เพื่อยืนยันตัวตน

                                ๔.๓.๘ กําหนดให้มีการทบทวนสิทธิการเข้าถึงข้อมูลและระบบเทคโนโลยีสารสนเทศตามระยะเวลาที่กําหนด

                ๔.๔. การกําหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities)

                        ๔.๔.๑ การป้องกันอุปกรณ์ในขณะที่ไม่มีผู้ใช้งานอุปกรณ์ ให้จัดเก็บอุปกรณ์และ สินทรัพย์ รวมถึงเอกสาร ในที่ปลอดภัยเข้าถึงได้เฉพาะบุคคลหรือระบบที่เกี่ยวข้อง หรือเสี่ยงต่อความเสียหาย และให้ทําการออกจากการใช้งาน (Logout) ในระบบเทคโนโลยีสารสนเทศ

                        ๔.๔.๒ กําหนดให้แยกสื่อบันทึกส่วนบุคคล ได้แก่ เอกสาร USB Flash-drive External-Hard disk ออกจากสื่อบันทึกที่ใช้งานกับระบบเทคโนโลยีสารสนเทศของเทศบาลเมืองคลองแห เพื่อป้องกันการเข้าถึงหรือลักลอบทําสําเนา รวมถึงเพื่อป้องกันการติดไวรัสคอมพิวเตอร์

                       

                               ๔.๔.๓ กําหนดให้ผู้มีสิทธิใช้งานระบบสารสนเทศผ่านระบบเครือข่าย ที่มีการป้องกันด้วยอุปกรณ์ป้องกันระบบเครือข่ายที่เกี่ยวข้อง ภายในเทศบาลเมืองคลองแห

                             ๔.๔.๔ กําหนดให้งดใช้งาน (User Account) และรหัสผ่าน (Password)ร่วมกัน ในการเข้าถึงระบบเทคโนโลยีสารสนเทศของเทศบาลเมืองคลองแห

                             ๔.๔.๕ เมื่อพบการเข้าถึงข้อมูลหรือระบบสารสนเทศด้วยชุดคําสั่งไม่พึงประสงค์ หรือด้วยวิธีการใดโดยไม่ได้รับอนุญาต เพื่อการเปิดเผย การล่วงรู้ การลักลอบทําสําเนา การลักขโมย ลักลอบดัดแปลง หรือแก้ไข ข้อมูลหรือระบบเทคโนโลยีสารสนเทศ กรณีพบผู้ใช้งานใดเป็นผู้กระทําหรือมีส่วนร่วม ให้บุคคลดังกล่าว เป็นผู้รับผิดชอบ และให้ดําเนินการตามพระราชบัญญัติ ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ และที่แก้ไขเพิ่ม (ฉบับที่ ๒) พ.ศ. ๒๕๖๐ ทั้งนี้ให้รวมถึงการทําให้ระบบหยุดชะงัก ไม่สามารถใช้งานได้ตามปกติ 

                    ๔.๕.  การควบคุมการเข้าถึงระบบเครือข่าย (Network Access Control) 

                            ๔.๕.๑ กําหนดให้มีการตั้งค่าอุปกรณ์ป้องกันเครือข่าย (Firewall) หรืออุปกรณ์ที่เกี่ยวข้องเพื่ออนุญาตให้ผู้ใช้งานระบบเทคโนโลยีสารสนเทศจากเครือข่ายภายใน ใช้งานระบบสารสนเทศ บริการ เว็บไซต์ เครื่องแม่ข่าย ที่อยู่ภายนอกระบบเครือข่าย และอนุญาตให้ระบบภายนอกเข้าถึงเครือข่ายหรือ ระบบเทคโนโลยีสารสนเทศได้เท่าที่จําเป็นและมีความปลอดภัย เป็นไปตามภารกิจที่จําเป็น

                            ๔.๕.๒ กําหนดให้มีการยืนยันตัวบุคคลสําหรับผู้ใช้งานที่อยู่ภายนอกองค์กร (User Authentication for External Connection) ด้วยวิธีการที่เหมาะสม เช่น การออกบัญชีผู้ใช้งาน ชั่วคราว หรือการออกรหัสผ่านชั่วคราว เพื่อทําการยืนยันตัวตน หรือการเข้าถึงระบบเครือข่ายด้วยระบบ VPN 

                             ๔.๕.๓ กําหนดให้ระบุอุปกรณ์บนเครือข่าย (Equipment Identification in Network) ดังนี้

                                     - ตั้งชื่อเครื่องคอมพิวเตอร์โดยระบุชื่อเป็น สํานัก/กอง หมายเลขลําดับเครื่อง ที่ใช้งาน เป็นอย่างน้อย

                                    - ตั้งชื่อเครื่องพิมพ์ที่เชื่อมต่อระบบเครือข่ายข่ายโดยระบุชื่อเป็นสํานัก/กอง ชนิดอุปกรณ์ ยี่ห้อหรือรุ่น และหมายเลขลําดับเครื่องที่ใช้งาน และตั้งค่าหมายเลขไอพีแอดเดรส แบบคงที่ (Static IP Address) เป็นอย่างน้อย

                                    - ตั้งชื่ออุปกรณ์เครือข่าย โดยระบุชื่อที่มีเนื้อหาประกอบด้วย ชนิด อุปกรณ์ ที่ตั้ง    ตั้งค่าหมายเลขไอพีแอดเดรสแบบคงที่ (Static IP Address) เป็นอย่างน้อย พร้อมตั้งค่ารหัสผ่าน เพื่อป้องกันการเข้าถึงสําหรับการบริหารจัดการ และกําหนดหมายเลขพอร์ต(Service Port Number) สําหรับการเข้าถึงทางไกล

                                   - ตั้งชื่ออุปกรณ์แม่ข่ายหรืออุปกรณ์จัดเก็บข้อมูล โดยระบุชื่อที่มีเนื้อหา ประกอบด้วย ชนิดอุปกรณ์ ที่ตั้ง เป็นอย่างน้อย และตั้งค่าหมายเลขไอพีแอดเดรสแบบคงที่ (Static IP Address) ให้อุปกรณ์ พร้อมตั้งค่ารหัสผ่านเพื่อป้องกันการเข้าถึงสําหรับการบริหารจัดการ และกําหนด หมายเลขพอร์ต (Service Port Number) สําหรับการเข้าถึงทางไกล (Remote Access)

                              ๔.๕.๔ กําหนดให้มีการป้องกันพอร์ตที่ใช้สําหรับตรวจสอบและปรับแต่งระบบ (Remote Diagnostic and Configuration) โดยใช้หมายเลขที่ใช้ระบุบริการ (Service Port Number) เฉพาะ      ที่มีบริการอยู่ในระบบเครือข่ายเท่านั้น รวมถึงการตั้งค่ารหัสผ่านสําหรับพอร์ตทางกายภาพ (Physical Port)

                             ๔.๕.๕ กําหนดการแบ่งแยกเครือข่าย (Segregation in Network) โดยทําการแบ่งเป็นกลุ่มต่างๆ ด้วยหมายเลข VLAN ID และ Network ID ที่แตกต่างกัน ดังนี้

                                    -กลุ่มของฐานข้อมูลและเครื่องแม่ข่ายบริการสารสนเทศ 

                                   - กลุ่มของระบบคอมพิวเตอร์ และเครื่องพิมพ์ โดยจําแนกเป็น บริเวณที่ตั้งอาคารสํานักงาน ชั้น หรือสํานัก/กอง

                                   - กลุ่มของอุปกรณ์ป้องกันความปลอดภัย และอุปกรณ์เครือข่าย

                                   - กลุ่มของอุปกรณ์และระบบที่ใช้งานใน Demilitarized Zone หรือกลุ่มที่สามารถเข้าถึงได้จากระบบเครือข่ายภายในและเครือข่ายภายนอก

                                  - กลุ่มของอุปกรณ์ภายนอกเครือข่าย

                              ๔.๕.๖ กําหนดให้มีระบบจัดเก็บ Log File ระบบเครือข่าย ในลักษณะอุปกรณ์หรือระบบที่ติดตั้งบนคลาวด์ เพื่อบันทึกกิจกรรมของอุปกรณ์เครือข่ายหรือข้อมูลจราจร อย่างน้อย ๙๐ วัน เป็นไปตามมาตรา ๒๖ พระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๖๐

                   ๔.๖ กําหนดให้มีการตั้งค่าการควบคุมการเชื่อมต่อทางเครือข่าย (Network Connection Control) ด้วยการทํา Network Access list เพื่อควบคุมการเชื่อมต่อระหว่าง VLAN ID หรือ Network ID ที่มีในระบบเครือข่าย เพื่อควบคุมและจํากัดการเชื่อมต่อทางเครือข่ายระหว่างเครือข่ายภายใน ด้วยกัน และการเชื่อมต่อระหว่างเครือข่ายภายนอกและเครือข่ายภายใน

                    ๔.๗ กําหนดให้ควบคุมการจัดเส้นทางบนเครือข่าย (Network Routing Control) โดย ควบคุมเส้นทาง (Routing) ระหว่างเครือข่ายอย่างเป็นระบบ หลีกเลี่ยงการทํา Backdoor Routes โดยไม่จําเป็น 

                    ๔.๘ กําหนดให้มีการควบคุมการเข้าถึงระบบปฏิบัติการ (Operating System Access Control) โดยจัดให้มีการ Login เข้าสู่ระบบปฏิบัติการด้วยรหัสผ่านของผู้ใช้นั้นๆ ปิดการใช้งาน "hint" หรือคําใบ้ของรหัสผ่าน เปลี่ยนรหัสผ่านอย่างสม่ำเสมอ ติดตั้งซอฟต์แวร์ทุกครั้งต้องใช้สิทธิ์ผู้ดูแลเสมอ และกําหนดให้ยุติการใช้งานเมื่อมีการว่างเว้นจากการใช้งาน (Session Out)

                   ๔.๙  กําหนดให้มีการควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอพพลิเคชั่นและสารสนเทศ (Application and Information Access Control)

                           ๔.๙.๑ การจํากัดการเข้าถึงระบบสารสนเทศ (Information Access Restriction) ให้เป็นไปตามข้อ ๔.๒.๑ ถึง ๔.๒.๓ และข้อ ๔.๓.๓ และเข้าถึงโปรแกรมประยุกต์หรือ แอพพลิเคชั่นผ่าน IP Address พอร์ต และ URL ที่กําหนดเท่านั้น

               ข้อ ๕  นโยบายด้านการบริหารจัดการระบบสารสนเทศให้อยู่ในสภาพพร้อมใช้งาน

                    ๕.๑. กําหนดให้ระบบเทคโนโลยีสารสนเทศมีการจัดทําระบบสํารอง ไม่ว่าระบบดังกล่าว จะอยู่ภายในระบบเครือข่ายของเทศบาลเมืองคลองแห หรือดูแลและติดตั้งภายนอกเครือข่ายโดยผู้ให้บริการ

                    ๕.๒. กําหนดให้มีการสํารองข้อมูลที่สําคัญตามกฎ ๓-๒-๑ โดยเก็บข้อมูลสําคัญเอาไว้ ชุด ได้แก่ ข้อมูลหลัก ๑ ชุด และข้อมูลสํารอง ๒ ชุด เก็บไฟล์เหล่านั้นเอาไว้บนอุปกรณ์ที่แยกขาดจากกัน ๒ ประเภท และข้อมูลสํารอง ๑ ชุดเก็บไว้แบบ Offline และมีการดําเนินการสํารองข้อมูลอยู่เสมอ

                    ๕.๓. มีการปรับปรุงแพตช์ (Update Patch) ของระบบปฏิบัติการและซอฟต์แวร์ รวมถึงติดตั้งโปรแกรมป้องกันมัลแวร์ให้กับคอมพิวเตอร์ อุปกรณ์ป้องกันความปลอดภัย และปรับปรุงโปรแกรม

ให้ทันสมัยอยู่เสมอ

                    ๕.๔. เปิดใช้งานระบบความปลอดภัยของระบบปฏิบัติการ หรือจัดหาซอฟต์แวร์ เพื่อตรวจจับความเสี่ยงที่อาจเกิดขึ้นต่ออุปกรณ์คอมพิวเตอร์

                    ๕.๕. กําหนดให้อุปกรณ์และระบบเทคโนโลยีสารสนเทศติดตั้งอยู่ในสถานที่ที่เหมาะสมปลอดภัย มีระบบไฟฟ้าสํารอง และอุณหภูมิที่เหมาะสมเข้าถึงได้เฉพาะผู้ที่เกี่ยวข้อง

                ข้อ ๖ นโยบายด้านการตรวจสอบและประเมินความเสี่ยง

  กําหนดให้มีการตรวจสอบและควบคุมคุณภาพระบบงานเทคโนโลยีสารสนเทศ และ ดําเนินการตรวจประเมินระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศอย่างน้อยปีละ ๑ ครั้ง โดยผู้ตรวจสอบภายในหน่วยงานหรือผู้ตรวจสอบอิสระด้านความมั่นคงปลอดภัยจากภายนอก (External Auditor)

                ข้อ ๗ กําหนดให้มีการให้ความรู้ผ่านช่องทางอิเล็กทรอนิกส์ของเทศบาลสงขลา เกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศในองค์กรอย่างสม่ำเสมอ

                ข้อ ๘ ให้นายกเทศมนตรีเมืองคลองแหเป็นผู้รักษาการตามประกาศ

                ข้อ ๙ การติดต่อสอบถามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศ สามารถติดต่อได้ ดังนี้

                        สำนักงานเทศบาลเมืองคลองแห

                        กองยุทธศาสตร์และงบประมาณ

                       ฝ่ายบริการและเผยแพร่วิชาการ

เลขที่ 60 หมู่ 7 ถ.คลองแห - คูเต่า 

ต.คลองแห อ.หาดใหญ่ จ.สงขลา 90110          

เว็บไซต์ www.khlonghaecity.go.th/

อีเมล์ pr.klonghae@gmail.com

โทรศัพท์ 074-305331-3 ต่อ 303

 

จึงประกาศให้ทราบและถือปฏิบัติโดยทั่วกัน

ประกาศ ณ วันที่  ๒๖  มีนาคม  พ.ศ. ๒๕๖๘

(นายสันติ  เหมมันต์) 

    นายกเทศมนตรีเมืองคลองแห