| A | B | C | D | E | F | |
|---|---|---|---|---|---|---|
1 | แบบประเมินตนเอง ISO/IEC 27001:2013 กรมวิทยาศาสตร์การแพทย์ | |||||
2 | เอกสารแสดงการประยุกต์ใช้งาน (Statement of Applicability:SOA) ตาม Annex A | |||||
3 | หน่วยงาน สำนักวิชาการวิทยาศาสตร์การแพทย์ วันที่ประเมิน 10 พฤษภาคม 2565 | |||||
4 | ||||||
5 | Control Objectives | Controls | Selected | Currently implemented / Justification for exclusion | Remark | |
6 | A | N/A | ||||
7 | ||||||
8 | A.5 Information security policy (นโยบายความมั่นคงปลอดภัยสำหรับสารสนเทศ) | |||||
9 | A.5.1 Management Directions for Information Security (ทิศทางการบริหารจัดการนโยบายความมั่นคงปลอดภัยสารสนเทศ) | A.5.1.1 Policies for Information security (เอกสารนโยบายความมั่นคงปลอดภัยที่เป็นลายลักษณ์อักษร) | / | จัดทำนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อป้องกันภัยคุกคามในรูปแบบต่างๆที่อาจก่อความเสียหายต่อข้อมูลและทรัพย์สินของกรม | ||
10 | A.5.1.2 Review of the policies for information security (การทบทวนนโยบายความมั่นคงปลอดภัย) | / | ทบทวนนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ อย่างน้อยปีละ 1 ครั้ง (นโยบายและแนวปฏิบัติฯ หมวดที่ 6 หน้า 52 ข้อ 1) | |||
11 | A.6 Organization of Information Security – องค์กรแห่งความมั่นคงปลอดภัยของสารสนเทศ (ผู้บริหาร) | |||||
12 | A.6.1 Internal organization (โครงสร้างความมั่นคงปลอดภัยภายในองค์กร) | A.6.1.1 Information security roles and responsibilities (การกำหนดหน้าที่ความรับผิดชอบทางด้านความมั่นคงปลอดภัย) | / | กำหนดหน้าที่ความรับผิดชอบโดยมีการแต่งตั้งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง ระดับกรม (DCIO) ตามคำสั่งกรมวิทยาศาสตร์การแพทย์ ที่ 398/2564 ลงวันที่ 8 กุมภาพันธ์ 2564 และแต่งตั้งผู้บริหารเทคโนโลยีสารสนเทศระดับกอง (DIO) ตามคำสั่งกรมวิทยาศาสตร์การแพทย์ ที่ 3524/2563 ลงวันที่ 24 ธันวาคม 2563 รวมไปถึงมีการทบทวนโครงสร้างองค์กร ที่ส่งให้ กพร. เมื่อวันที่ 25 ตุลาคม 2564 และมีการเผยแพร่บทบาทหน้าที่ของแต่ละฝ่ายไว้ที่ เว็บไซต์ ศทส. | ||
13 | A.6.1.2 Segregation of duties (การแบ่งหน้าที่ความรับผิดชอบ) | / | กำหนดหน้าที่ความรับผิดชอบในแต่ละระดับ ตั้งแต่ระดับนโยบาย ระดับบริหาร และระดับปฏิบัติโดยแต่ละหน้าที่มีการควบคุมทบทวนและตรวจสอบ จากผู้บังคับบัญชาระดับเหนือขึ้นไป และมีแบบมอบหมายงานของบุคคลที่ระบุความรับผิดชอบของระบบต่างๆ | |||
14 | A.6.1.3 Contact with authorities (การมีรายชื่อและข้อมูลสำหรับการติดต่อกับหน่วยงานอื่น) รายชื่อคนในศูนย์ที่รับผิดชอบด้านต่างๆ | / | เผยแพร่รายชื่อผู้ติดต่อด้านการรักษาความมั่นคงปลอดภัย บนเว็บไซต์ของสำนักวิชาการวิทยาศาสตร์การแพทย์ | |||
15 | A.6.1.4 Contact with special interest groups (การมีรายชื่อและข้อมูลสำหรับติดต่อกลุ่มที่มีความสนใจเป็นพิเศษในเรื่องเดียวกัน) | / | เผยแพร่รายชื่อผู้ติดต่อด้านการรักษาความมั่นคงปลอดภัยและกลุ่มคนที่สนใจในเรื่องเดียวกัน (DIO) และหน่วยงานภายนอกที่เกี่ยวข้อง บนเว็บไซต์ของสำนักวิชาการวิทยาศาสตร์การแพทย์ | |||
16 | A.6.1.5 Information security in project management (โครงการต่างๆให้ความสำคัญกับความปลอดภัยข้อมูล) | / | กำหนดหัวข้อเกี่ยวกับความปลอดภัยข้อมูลไว้ในแบบฟอร์มขออนุมัติโครงการ 0604 FM 0010 แก้ไขครั้งที่ 01 ประกาศใช้ ตุลาคม 2564 | |||
17 | A.6.2 Mobile devices and teleworking (โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก) | A.6.2.1 Mobile device policy (การกำหนดนโยบายสำหรับอุปกรณ์สื่อสารชนิดพกพา) | / | การนำอุปกรณ์พกพามาใช้ร่วมกับระบบเครือข่ายของกรม ต้องลงชื่อเข้าใช้งานเพื่อยืนยันตัวตน (นโยบายและแนวปฏิบัติ หมวดที่ 1 ส่วนที่ 15 หน้า 28-29 ข้อ 154(14) ) | ||
18 | A.6.2.2 Teleworking (การปฏิบัติงานสำนักงาน) | / | การเข้าใช้งานจากภายนอกสำนักงาน ผู้ใช้งานต้องผ่านการพิสูจน์ตัวตน ขอสิทธิ์การใช้งาน teleworking ต้องมีการจัดเตรียมอุปกรณ์/ ข้อมูล อุปกรณ์สื่อสาร และและต้องมีการตรวจสอบว่าอุปกรณ์ที่เป็นของส่วนตัว ซึ่งใช้ในการเข้าถึงระบบเทคโนโลยีสารสนเทศของหน่วยงานจากระยะไกลมีการป้องกันไวรัสและการใช้งาน (นโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 9 หน้า 20) | |||
19 | A.7 Human resource security (ความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับบุคลากร) | |||||
20 | A.7.1 Prior to employment (ก่อนการจ้างงาน) | A.7.1.1 Screening (การตรวจสอบคุณสมบัติของผู้สมัคร) | / | กำหนดคุณสมบัติของเจ้าหน้าที่แต่ละตำแหน่งไว้ในแบบบรรยายลักษณะงาน (Job Description) | ||
21 | A.7.1.2 Terms and conditions of employment (การกำหนดเงื่อนไขการจ้างงาน) | / | ส่วนของข้าราชการกำหนดเงื่อนไขการจ้างตามระเบียบข้าราชการพลเรือน และในส่วนของบุคลากรตำแหน่งอื่นๆ ระบุไว้ในนโยบายและแนวปฏิบัติ หมวดที่ 8 หน้า 56 ข้อ 5 | |||
22 | A.7.2 During employment (ระหว่างการจ้างงาน) | A.7.2.1 Management responsibilities (หน้าที่ในการบริหารจัดการทางด้านความมั่นคงปลอดภัย) | / | กำหนดไว้ในแบบมอบหมายงานของเจ้าหน้าที่ผู้ปฏิบัติงาน ณ สำนักวิชาการวิทยาศาสตร์การแพทย์ | ||
23 | A.7.2.2 Information security awareness, education and training (การสร้างความตระหนัก การให้ความรู้ และการอบรมด้านความมั่นคงปลอดภัยให้แก่พนักงาน) | / | มีแผนพัฒนาบุคลากร และบันทึกการฝึกอบรมของบุคลากร โดยข้าราชการบันทึกไว้ในระบบ DPIS สำหรับ พกส.และลูกจ้างเหมา มีการเก็บรวบรวม เป็นเอกสารไว้ | |||
24 | A.7.2.3 Disciplinary process (กระบวนการทางวินัยเพื่อลงโทษ) | / | บทลงโทษทางวินัยที่ระบุไว้ในระเบียบข้าราชการพลเรือน พ.ศ.2551 และ ระบุในนโยบายและแนวปฏิบัติฯ หมวดที่ 8 หน้า 57 ข้อที่ 7 | |||
25 | A.7.3 Termination and change of employment (การสิ้นสุดหรือการเปลี่ยนการจ้างงาน) | A.7.3.1 Termination of change of employment responsibilities (การสิ้นสุดหรือการเปลี่ยนการจ้างงาน) | / | เมื่อสิ้นสุดการจ้างให้ฝ่ายไอทียกเลิกสิทธิ์ในการเข้าถึงระบบต่างๆ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 8 หน้า 56 ข้อ 6 และกำหนดให้บุคคลนั้นต้องรักษาความลับของข้อมูลเป็นระยะเวลาอย่างน้อย 1 ปี อยู่ในแบบฟอร์มรักษาความเป็นกลาง | ||
26 | A.8 Asset management (การบริหารจัดการทรัพย์สิน) | |||||
27 | A.8.1 Responsibility for assets (หน้าที่ความรับผิดชอบต่อทรัพย์สิน) | A.8.1.1 Inventory of assets (การจัดทำบัญชีทรัพย์สิน) | / | มีระบบบริหารจัดการครุภัณฑ์ (AMS) สำหรับเก็บข้อมูลรายการทรัพย์สินที่มีอยู่ | ||
28 | A.8.1.2 Ownership of assets (การระบุผู้เป็นเจ้าของทรัพย์สิน) | / | ระบุรายชื่อเจ้าของทรัพย์สินไว้ในระบบบริหารจัดการครุภัณฑ์ (AMS) | |||
29 | A.8.1.3 Acceptable use of asset (การจัดหมวดหมู่ทรัพย์สิน) | / | มีการจัดหมวดหมู่ของทรัพย์สิน และระบุไว้ระบบบริหารจัดการครุภัณฑ์ (AMS) | |||
30 | A.8.1.4 Return of assets (การคืนทรัพย์สินขององค์กร) | / | การคืนทรัพย์สินขององค์กรต้องเขียนแบบฟอร์มการคืน รวมถึงต้องลบข้อมูลที่เป็นความลับออกจากตัวเครื่องก่อนเสมอ ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 4 ข้อ 52 หน้า 10 | |||
31 | A.8.2 Information classification (การจัดชั้นความลับของสารสนเทศ) | A.8.2.1 Classification of Information (การจำแนกประเภทของข้อมูล) | / | แบ่งประเภทของข้อมูลไว้ 2 ประเภท คือ ข้อมูลด้านการบริหาร และข้อมูลด้านวิทยาศาสตร์การแพทย์ และมีการสื่อสารให้ผู้เกี่ยวข้องรับทราบผ่าน e-mail และกลุ่มไลน์ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 ข้อ 3(2)(2.1) หน้า 3 | ||
32 | A.8.2.2 Labelling of information (การจัดทำป้ายชื่อ และการจัดการทรัพย์สินสารสนเทศ) | / | มีสติ๊กเกอร์ป้ายชื่อของอุปกรณ์ต่างๆ ที่พิมพ์ออกจากระบบบริหารจัดการครุภัณฑ์ (AMS) ติดอยู่ที่อุปกรณ์ เพื่อบอกรายละเอียดของอุปกรณ์แต่ละประเภท | |||
33 | A.8.2.3 Handling of assets (ขั้นตอนปฏิบัติสำหรับการจัดการสารสนเทศ) | / | กำหนดการบริหารจัดการข้อมูลสารสนเทศ มีกระบวนการสร้างข้อมูล การจัดเก็บข้อมูล การใช้ข้อมูล การเผยแพร่ข้อมูล การทำลาย ซึ่งข้อมูล แต่ละระดับ ของข้อมูลในระบบสารสนเทศ ควรมีการวิเคราะห์ ประเภทการให้บริการ (ผู้บริหาร สำนักงาน ให้บริการประชาชน) การเชื่อมโยง(ใช้ภายในหน่วยงาน ภายนอกหน่วยงาน) ฯลฯ เพื่อพิจารณาการรับ การจัดเก็บ การส่งต่อ การทำลาย และจำกัดการเข้าถึงตามความเหมาะสมโดยผู้มีอำนาจ ซึ่งระบไว้ในนโยบายและแนวปฏิบัติฯ ส่วนที่ 4 หน้า 9-10 และส่วนที่ 14 หน้า 26 | |||
34 | A.8.3 Media handling (การจัดการสื่อที่ใช้ในการบันทึกข้อมูล) | A.8.3.1 Management of removable media (การบริหารจัดการสื่อบันทึกข้อมูลที่สามารถเคลื่อนย้ายได้) | / | การนำสื่อบันทึกข้อมูลมาใช้กับระบบเครือข่ายของกรม ต้องตรวจสอบไวรัสทุกครั้ง และต้องไม่ทำการสำเนาข้อมูลที่เป็นความลับของกรมลงบนสื่อบันทึกข้อมูล ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 15 หน้า 28 ข้อ (12) | ||
35 | A.8.3.2 Disposal of media (การกำจัดสื่อบันทึกข้อมูล) | / | กำหนดวิธีการทำลายสื่อบันทึกข้อมูลแต่ละประเภทไว้แตกต่างกัน ทั้งการทุบทำลาย การบด การหั่น การเผา ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 4 หน้า 10 ข้อ 46 | |||
36 | A.8.3.3 Physical media transfer (การส่งสื่อบันทึกข้อมูลออกไปนอกองค์กร) | / | ไม่อนุญาตให้นำสื่อบันทึกข้อมูลมาใช้ในการปฏิบัติงานร่วมกับเครื่องคอมพิวเตอร์แม่ข่าย และการส่งสื่อบันทึกข้อมูลนั้น ต้องส่งผ่านผู้ให้บริการขนส่งที่น่าเชื่อถือ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 15 หน้า 29 ข้อ (13) | |||
37 | A.9 Access control (การควบคุมการเข้าถึง) | |||||
38 | A.9.1 Business requirements of access control (ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึง) | A.9.1.1 Access control policy (นโยบายการควบคุมการเข้าถึงระบบ) | / | การเข้าถึงระบบต้องได้รับอนุญาตจากผู้รับผิดชอบ/เจ้าของข้อมูล/เจ้าของระบบก่อน ซึ่งระบไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 หน้า 3 และส่วนที่ 2 หน้าที่ 5 | ||
39 | A.9.1.2 Access to networks and network services (นโยบายการใช้งานบริการเครือข่าย) | / | จำกัดสิทธิ์การเข้าถึงระบบเครือข่ายที่ได้รับอนุญาตเท่านั้น และจำกัดเส้นทางการเข้าถึง ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 11-12 ข้อ 57 | |||
40 | A.9.2 User access provisioning (การบริหารจัดการการเข้าถึงของผู้ใช้งาน) | A.9.2.1 User registration and de-registration (การลงทะเบียนพนักงาน) | / | ผู้ใช้งานต้องกรอกข้อมูลแบบฟอร์มการลงทะเบียน และจะได้รับสิทธิ์การใช้งานเป็นลายลักษณ์อักษรผ่านเอกสาร ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 8 | ||
41 | A.9.2.2 User access provisioning (การระบุและพิสูจน์ตัวตนของผู้ใช้งาน) | / | การเข้าสู่ระบบเครือข่ายต้องแสดงตัวตนก่อนเข้าใช้งานทุกครั้ง ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 12 ข้อ 62 (5) | |||
42 | A.9.2.3 Management of privileged access rights (การบริหารจัดการสิทธิการใช้งานระบบ) | / | ผู้ดูแลระบบกำหนดสิทธิ์การใช้งานเฉพาะผู้ที่ได้รับความเห็นชอบจากหัวหน้าหน่วยงานเป็นลายลักษณ์อักษรเท่านั้น ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 9 | |||
43 | A.9.2.4 Management of secret authentication information of users (การบริหารจัดการรหัสผ่านสำหรับผู้ใช้งาน) | / | กำหนดการบริหารจัดการรหัสผ่านต้องทำโดยผู้ดูแลระบบเท่านั้น ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 12 | |||
44 | A.9.2.5 Review of user access rights (การทบทวนสิทธิการเข้าถึงของผู้ใช้งาน) | / | ทบทวนสิทธิ์ผู้ใช้งานอย่างน้อยปีละ 1 ครั้ง กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 10 | |||
45 | A.9.2.6 Removal or adjustment of access rights (การยกเลิกสิทธิ์) | / | ดำเนินการยกเลิกสิทธิ์หลังจากได้รับแจ้งจากหน่วยงานเป็นลายลักษณ์อักษร กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 11 | |||
46 | A.9.3 User responsibilities (หน้าที่ความรับผิดชอบของผู้ใช้งาน) | A.9.3.1 Use of secret authentication information (การใช้งานรหัสผ่าน) | / | ผู้ใช้งานต้องปกป้องดูแลรหัสผ่านและต้องกำหนดรหัสผ่านของตนเองให้เป็นไปตามที่ประกาศไว้ใน นโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 3 หน้า 7 ข้อ 15 | ||
47 | A.9.4 System and application access control (การควบคุมเข้าถึงระบบและแอพพลิเคชั่น) | A.9.4.1 Information access restriction (การจำกัดการเข้าถึงสารสนเทศ) | / | กำหนดสิทธิ์การใช้งานโปรแกรม จดหมายเวียน ระบบเครือข่ายไร้สาย ฯลฯ ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 หน้า 3-4 และส่วนที่ 7 หน้า 16 | ||
48 | A.9.4.2 Secure log-on procedures (ขั้นตอนปฏิบัติในการเข้าถึงระบบอย่างมั่นคงปลอดภัย) | / | กำหนดขั้นตอนปฏิบัติในการเข้าถึงระบบตั้งแต่ การลงทะเบียน การกำหนดสิทธิ์ การกำหนดระยะเวลา รวมถึงทบทวนสิทธิ์การเข้าถึง ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 6 หน้า 14 และ ส่วนที่ 7 หน้าที่ 16 | |||
49 | A.9.4.3 Password management system (ระบบบริหารจัดการรหัสผ่าน) | / | กำหนดการใช้งานรหัสผ่านต้องไม่น้อยกว่า 8 ตัวและมีตัวอักษรปนกับตัวเลข เพื่อให้ยากต่อการคาดเดา ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 3 หน้า 7 ข้อ 15 (2) | |||
50 | A.9.4.4 Use of privileged utilities programs (การใช้งานโปรแกรมประเภทยูทิลิตี้) | / | จำกัดและควบคุมการใช้งานโปรแกรมยูทิลิตี้ เนื่องจากบางโปรแกรมมีความเสี่ยงต่อความมั่นคงปลอดภัย ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 6 ข้อ 72 หน้า 14 | |||
51 | A.9.4.5 Access control to program source code (การควบคุมการเข้าถึงซอร์สโค้ดสำหรับระบบ) | / | มีข้อกำหนดสำหรับการควบคุมการเข้าถึง Source Code ซึ่งระบุไว้ใน 0626 WI 0001 พัฒนาระบบเทคโนโลยีสารสนเทศ แก้ไขครั้งที่ 03 ข้อ 9 หน้า 10 | |||
52 | A.10 Cryptography (การเข้ารหัสข้อมูล) | |||||
53 | A.10.1 Cryptographic controls (การควบคุมการเข้ารหัสข้อมูล) | A.10.1.1 Policy on the use of cryptographic controls (นโยบายการใช้งานการเข้ารหัสข้อมูล) | / | มีนโยบายการใช้มาตรการเข้ารหัสข้อมูลเพื่อป้องกันระบบสารสนเทศ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 21 หน้า 36 ข้อ 1.1 | ||
54 | A.10.1.2 Key management (การบริหารจัดการกุญแจเข้ารหัสข้อมูล) | / | มีนโยบายการใช้งาน การป้องกัน และอายุการใช้งานของกุญแจ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 21 หน้า 37-38 ข้อ 1.2 | |||
55 | A.11 Physical and environmental security (ความมั่นคงปลอดภัยสารสนเทศทางกายภาพและสิ่งแวดล้อม ) | |||||
56 | A.11.1 Secure areas (บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัยสารสนเทศ) | A.11.1.1 Physical security perimeter (การจัดทำบริเวณล้อมรอบ) | / | กำหนดพื้นที่ว่าส่วนใดเป็น พื้นที่ควบคุม พื้นที่ส่งมอบ พื้นที่ปฏิบัติงาน | ||
57 | A.11.1.2 Physical entry controls (การควบคุมการเข้า-ออก) | / | ควบคุมการด้วยระบบ Finger Scan โดยผู้ที่ไม่มีส่วนเกี่ยวข้องจะไม่สามารถเข้าถึงห้องควบคุมระบบเครือข่ายได้ รวมถึงกำหนดมาตรการต่างๆ ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47 ข้อ 4 | |||
58 | A.11.1.3 Securing offices, rooms and facilities (การรักษาความมั่นคงปลอดภัยสำหรับสำนักงาน ห้องทำงาน และทรัพย์สินอื่นๆ ) | / | สำหรับพื้นที่ควบคุม จะมีการรักษาความมั่นคงปลอดภัย โดยผู้ไม่เกี่ยวข้องจะไม่ได้รับสิทธิ์ในการเข้าถึงพื้นที่นั้นๆ | |||
59 | A.11.1.4 Protecting against external and environmental threats (การป้องกันภัยคุกคามจากภายนอกและสิ่งแวดล้อม) | / | ไม่อนุญาตให้ผู้ไม่เกี่ยวข้องเข้า โดยในการเข้าพื้นที่ทุกครั้งต้องพิสูจน์ตัวตนในการเข้า ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47 ข้อ 4 (10)(11) | |||
60 | A.11.1.5 Working in secure areas (การปฏิบัติงานในพื้นที่ที่ต้องรักษาความมั่นคงปลอดภัย) | / | ควบคุมการปฏิบัติงานในพื้นที่ ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47 ข้อ 4 (4)(5)(6) | |||
61 | A.11.1.6 Delivery and loading areas (การจัดบริเวณสำหรับการเข้าถึง หรือการส่งมอบผลิตภัณฑ์โดยบุคคลภายนอก) | / | จัดบริเวณส่งมอบผลิตภัณฑ์ไว้โดยเฉพาะ ตามแผนผังที่กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 46 ข้อ 2 (7) | |||
62 | A.11.2 Equipment (ความมั่นคงปลอดภัยของอุปกรณ์) | A.11.2.1 Equipment siting and protection (การจัดวางและการป้องกันอุปกรณ์) | / | กำหนดอุปกรณ์ที่อยู่ในพื้นที่ควบคุม ว่าควรมีลักษณะอย่างไร อยู่ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47-48 ข้อ 5-7 | ||
63 | A.11.2.2 Supporting utilities (ระบบและอุปกรณ์สนับสนุนการทำงาน) | / | ระบบและอุปกรณ์สนับสนุนต้องมีเพียงพอต่อความต้องการใช้งาน และให้มีการตรวจสอบระบบเหล่านั้นอย่างน้อยเดือนละ 1 ครั้ง รวมถึงมีระบบแจ้งเตือนเมื่อมีการทำงานผิดปกติ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47 ข้อ 5 | |||
64 | A.11.2.3 Cabling security (การเดินสายไฟ สายสื่อสาร และสายเคเบิ้ลอื่นๆ ) | / | หลีกเลี่ยงการเดินสายสัญญาณ บริเวณที่มีบุคคลภายนอกเข้าถึงได้ ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 48 ข้อ 7 | |||
65 | A.11.2.4 Equipment maintenance (การบำรุงรักษาอุปกรณ์) | / | บำรุงรักษาอุปกรณ์ตามรอบระยะเวลาที่แนะนำโดยผู้ผลิต ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 48 ข้อ 8 | |||
66 | A.11.2.5 Removal of assets (การนำทรัพย์สินขององค์กรออกนอกสำนักงาน) | / | ให้มีการขออนุญาตก่อนนำทรัพย์สินออกจาก หน่วยงาน ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 48 ข้อ 9 รวมถึงมีการจำหน่ายครุภัณฑ์ประจำปี ตามพระราชบัญญัติการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 และระเบียบกระทรวงการคลังว่าด้วยการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 | |||
67 | A.11.2.6 Security of equipment and assets off-premises (การป้องกันอุปกรณ์ที่ใช้งานอยู่นอกสำนักงาน) | / | ไม่ทิ้งทรัพย์สินของหน่วยงานไว้โดยลำพังในที่สาธารณะ ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 49 ข้อ 10 | |||
68 | A.11.2.7 Secure disposal or reuse of equipment (การกำจัดอุปกรณ์ หรือการนำอุปกรณ์กลับมาใช้งานอีกครั้ง) | / | ก่อนการทำลายหรือกำจัดอุปกรณ์ ต้องทำลายข้อมูลสำคัญที่อยู่ในอุปกรณ์นั้นๆ ก่อน เพื่อไม่ให้ข้อมูลรั่วไหลไป ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 49 ข้อ 11 | |||
69 | A.11.2.8 Unattended user equipment (การป้องกันอุปกรณ์ที่ไม่มีพนักงานดูแล) | / | เจ้าหน้าที่ต้องรับผิดชอบดูแลอุปกรณ์เสมือนเป็นทรัพย์สินของตนเอง ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 49 ข้อ 10(3) | |||
70 | A.11.2.9 Clear desk and clear screen policy (นโยบายควบคุมการไม่ทิ้งทรัพย์สินสารสนเทศสำคัญไว้ในที่ที่ไม่ปลอดภัย) | / | กำหนดไว้ว่าจะต้องไม่ทิ้งอุปกรณ์หรือทรัพย์สินขององค์กรไว้โดยลำพังในที่สาธารณะ เพื่อป้องกันการสูญหาย ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 49 ข้อ 10(2) ส่วนที่ 14,15 หน้า 26-30 | |||
71 | A.12 Operations security (การรักษาความมั่นคงปลอดภัยสารสนเทศด้านการดำเนินการ) | |||||
72 | A.12.1 Operational procedures and responsibilities (ขั้นตอนการปฏิบัติงานและการควบคุม) | A.12.1.1 Documented Operating procedures (ขั้นตอนการปฏิบัติงานที่เป็นลายลักษณ์อักษร) | / | กำหนดขั้นตอนการปฏิบัติงานที่เป็นลายลักษณ์อักษร ไว้ในเอกสารคุณภาพ 0600 WM 0033 | ||
73 | A.12.1.2 Change management (การควบคุมการเปลี่ยนแปลง ปรับปรุง หรือแก้ไขระบบหรืออุปกรณ์ประมวลผลสารสนเทศ) | / | หากมีการเปลี่ยนแปลงต้องแจ้งผู้บังคับบัญชาเป็นลายลักษณ์อักษร และต้องวิเคราะห์ผลกระทบที่อาจจะเกิดขึ้น และรายงานผลเมื่อสื้นสุดแล้ว กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 20 หน้า 35 ข้อ 189 | |||
74 | A.12.1.3 Capacity management (การวางแผนความต้องการทรัพยากรสารสนเทศ) | / | มีการประชุมคณะกรรมการบริหารและพัฒนาระบบสารสนเทศ เป็นประจำทุกเดือน เพื่อดูแล ควบคุมกำกับการดำเนินงานด้านเทคโนโลยีสารสนเทศ รวมถึงพิจารณาความเพียงพอของทรัพยากรที่มีอยู่ ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 20 หน้า 35 ข้อ 190 รวมถึงพิจารณาความเพียงพอในขั้นตอนของการจัดทำ TOR ด้วย | |||
75 | A.12.1.4 Separation of development, testing and operational environments (การแยกระบบสำหรับการพัฒนา การทดสอบ และการให้บริการออกจากกัน) | / | กำหนดให้มีการแยกระบบสำหรับการพัฒนาและทดสอบ เพื่อป้องกันการเข้าถึงข้อมูล ซึ่งอยู่ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 19 ข้อ 91.1(3) | |||
76 | A.12.2 Protection from malware (การป้องกันจากโปรแกรมไม่ประสงค์ดี) | A.12.2.1 Controls against malware (การป้องกันโปรแกรมที่ไม่ประสงค์ดี) | / | คอมพิวเตอร์ทุกเครื่องต้องติดตั้งโปรแกรมป้องกันไวรัส เพื่อป้องกันการโจมตี ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 18 ข้อ 84 | ||
77 | A.12.3 Backup (การสำรองข้อมูล) | A.12.3.1 Information backup (การสำรองข้อมูล) | / | คัดเลือกระบบที่สำคัญเพื่อทำการสำรองข้อมูล โดยในการสำรองข้อมูลนั้นจะมีทั้งแบบรายวัน รายสัปดาห์ รายเดือน แตกต่างกันไปตามความเหมาะสม กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 2 ส่วนที่ 2 หน้า 41 | ||
78 | A.12.4 Logging and monitoring (การบันทึกเหตุการณ์และการเฝ้าระวัง) | A.12.4.1 Event logging (การบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้งานสารสนเทศ) | / | จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ในสื่อเก็บข้อมูล ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 18 หน้า 34 ข้อ 179 | ||
79 | A.12.4.2 Protection of log information (การตรวจสอบการใช้งานระบบ) | / | ห้ามแก้ไขข้อมูลจราจรทางคอมพิวเตอร์ ตามที่กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 18 หน้า 34 ข้อ 180 | |||
80 | A.12.4.3 Administrator and operator logs (บันทึกกิจกรรมการดำเนินงานของเจ้าหน้าที่ที่เกี่ยวข้องกับระบบ) | / | บันทึกการปฏิบัติงานของผู้ใช้งาน และเก็บไว้อย่างน้อย 90 วัน ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 18 หน้า 34 ข้อ 181 | |||
81 | A.12.4.4 Clock synchronization (การตั้งเวลาของเครื่องคอมพิวเตอร์ให้ตรงกัน) | / | ตั้งค่าอุปกรณ์เครือข่ายให้ตรงกับสถาบันมาตรวิทยาแห่งชาติ ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 18 หน้า 34 ข้อ 183 | |||
82 | A.12.5 Control of operational software (การควบคุมการติดตั้งซอฟต์แวร์ลงไปยังระบบที่ให้บริการ) | A.12.5.1 Installation of software on operational systems (การควบคุมการติดตั้งซอฟต์แวร์ลงไปยังระบบที่ให้บริการ) | / | กำหนดให้ติดตั้งซอฟต์แวร์ที่มีลิขสิทธิ์เท่านั้น ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 18 ข้อ 82, 83 และ 84 | ||
83 | A.12.6 Technical vulnerability management (การบริการจัดการช่องโหว่ทางเทคนิค) | A.12.6.1 Management of technical vulnerabilities (มาตรการควบคุมช่องโหว่ทางเทคนิค) | / | กำหนดมาตรการควบคุมช่องโหว่ทางเทคนิค ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 17 หน้า 32-33 | ||
84 | A.12.6.2 Restrictions on software installation (ควบคุมการติดตั้งซอฟต์แวร์) | / | ระบุซอฟต์แวร์ที่ไม่ควรติดตั้ง เช่น การใช้โปรแกรมสปาย (Spyware), Ad-aware, bitcoin mining software ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 18 ข้อ 83 | |||
85 | A.12.7 Information systems audit considerations (สิ่งที่ต้องพิจารณาในการตรวจประเมินระบบ) | A.12.7.1 Information systems audit controls (มาตรการการตรวจประเมินระบบสารสนเทศ) | / | ระบุการตรวจประเมินระบบสารสนเทศ อย่างน้อยปีละ 1 ครั้ง ซึ่งกำหนดไว้ใน 0600 WM 0002 การตรวจติดตามคุณภาพภายใน แก้ไขครั้งที่ 05 ประกาศใช้เมื่อเดือนกรกฏาคม 2564 | ||
86 | A.13 Communications security (ความมั่นคงปลอดภัยทางด้านการสื่อสาร) | |||||
87 | A.13.1 Network security management (การบริหารจัดการความมั่นคงปลอดภัยทางเครือข่าย) | A.13.1.1 Network controls (มาตรการทางเครือข่าย) | / | กำหนดมาตรการการใช้งานเครือข่ายตามมาตรการควบคุมการเข้า - ออก และหากจะนำเครื่องคอมพิวเตอร์มาเชื่อมต่อ ต้องมีหนังสือขออนุญาตต่อหัวหน้าหน่วยงาน ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 11 | ||
88 | A.13.1.2 Security of network services (ความมั่นคงปลอดภัยสำหรับบริการเครือข่าย) | / | กำหนดมาตรการควบคุมการเข้าถึงเครือข่าย เพื่อรักษาความมั่นคงปลอดภัย ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 11 | |||
89 | A.13.1.3 Segregation in networking (การแบ่งแยกเครือข่าย) | / | แบ่งแยกเครือข่ายเป็น 3 ประเภท คือ Internet, Intranet, DMz zone ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 13 ข้อ 63 | |||
90 | A.13.2 Information transfer (การแลกเปลี่ยนข้อมูล (Information transfer)) | A.13.2.1 Information transfer policies and procedures (นโยบายและขั้นตอนปฏิบัติสำหรับการแลกเปลี่ยนสารสนเทศ) | / | หน่วยงานต้องทำหนังสือถึงหัวหน้าส่วนราชการเพื่อขออนุมัติเชื่อมโยงแลกเปลี่ยน และศึกษาความเป็นไปได้ในการแลกเปลี่ยน รวมถึงลงนามข้อตกลงความร่วมมือร่วมกัน ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 9 หน้า 59-60 | ||
91 | A.13.2.2 Agreements on information transfer (ข้อตกลงในการแลกเปลี่ยนสารสนเทศ) | / | กำหนดมาตรฐานเพื่อใช้ในการแลกเปลี่ยน โดยอ้างอิงตามมาตรฐาน TH e-GIF (ส่วนเทคนิด) ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 9 หน้า59-60 | |||
92 | A.13.2.3 Electronic messaging (การส่งข้อความทางอิเล็กทรอนิกส์) | / | ต้องลงทะเบียนผู้ใช้ และปฏิบัติตามข้อกำหนดที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 12 หน้า 23-24 | |||
93 | A.13.2.4 Confidentiality or nondisclosure agreements (การลงนามมิให้เปิดเผยความลับขององค์กร) | / | ข้อตกลงร่วมกันของการ MOU ต้องมีการรักษาความลับไว้ทั้ง 2 ฝ่าย | |||
94 | A.14 System acquisition , development and maintenance (การจัดหา การพัฒนา และการบำรุงรักษาระบบ) | |||||
95 | A.14.1 Security requirements of information systems (ความต้องการด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ) | A.14.1.1 Information security requirements analysis and specification (การวิเคราะห์และการระบุข้อกำหนดทางด้านความมั่นคงปลอดภัย) | / | การพัฒนาระบบงาน ฐานข้อมูลสารสนเทศและโปรแกรมปฏิบัติงานต่าง ๆ เพื่อให้ได้ผลลัพธ์ที่มีประสิทธิภาพ ต้องสอดคล้องกับแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของกรมวิทยาศาสตร์การแพทย์ กฎ ระเบียบ ข้อบังคับและกฎหมายด้านไอทีที่เกี่ยวข้อง ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 19 ข้อ 91 การพัฒนาซอฟต์แวร์ (Software development) | ||
96 | A.14.1.2 Securing application services on public networks (สารสนเทศที่มีการเผยแพร่ออกสู่สาธารณะ) | / | ผู้ดูแลระบบ ต้องบริหารจัดการการเข้าถึงข้อมูลตามประเภทชั้นความลับ ในการควบคุมการเข้าถึงข้อมูลแต่ละประเภทชั้นความลับทั้งการเข้าถึงโดยตรงและการเข้าถึงผ่านระบบงาน ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 6 ข้อ 13 | |||
97 | A.14.1.3 Protecting application services transactions (การป้องกันธุรกรรมของบริการสารสนเทศ ) | / | ข้อ ๑๔. ระบบงานสารสนเทศทางธุรกิจที่เชื่อมโยงกัน (Business Information Systems) ให้หัวหน้าหน่วยงานพิจารณาประเด็นต่างๆ ทางด้านความมั่นคงปลอดภัย และจุดอ่อนต่างๆ ก่อนตัดสินใจ ใช้ข้อมูลร่วมกันในระบบงาน หรือระบบเทคโนโลยีสารสนเทศที่จะเชื่อมโยงเข้าด้วยกัน ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 6 ข้อ 14 | |||
98 | A.14.2 Security in development and support processers (ความมั่นคงปลอดภัยในกระบวนการพัฒนาและสนับสนุน) | A 14.2.1 Secure development policy (นโยบายการพัฒนาระบบให้มีความปลอดภัย ) | / | มาตรการรักษาความมั่นคงปลอดภัยของระบบต้องได้รับการออกแบบให้สอดคล้องกับข้อกำหนดของแนวปฏิบัติการรักษาความมั่นคงปลอดภัยสารสนเทศ ตลอดจนขั้นตอนปฏิบัติงาน มาตรฐาน หรือแนวปฏิบัติด้านความมั่นคงปลอดภัยที่เกี่ยวข้องขององค์กร ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 22 หน้า 39 | ||
99 | A.14.2.2 System change control procedures (ขั้นตอนปฏิบัติสำหรับควบคุมการเปลี่ยนแปลงหรือแก้ไขระบบ) | / | กำหนดขึ้นเพื่อให้ระบบสารสนเทศมีระดับของการรักษาความมั่นคงปลอดภัยที่เหมาะสม และสามารถตอบสนองต่อความต้องการขององค์กรได้ โดยทฤษฎีดังกล่าวต้องนำไปใช้งานร่วมกับวงจรการพัฒนาระบบสารสนเทศ ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 22 หน้า 38 และ 0626 WI 0001 พัฒนาระบบเทคโนโลยีสารสนเทศ แก้ไขครั้งที่ 03 หน้าที่ 6 | |||
100 | A.14.2.3 Technical review of applications after operating platform changes (การตรวจสอบการทำงานของแอพพลิเคชั่นภายหลังจากที่เปลี่ยนแปลงระบบปฏิบัติการ) | / | มีการตรวจสอบการทำงานของระบบภายหลังจากที่เปลี่ยนแปลงระบบปฏิบัติการ หรือ หลังจากเปลี่ยนแปลงโครงสร้างพื้นฐานของระบบ ซึ่งระบุไว้ใน 0626 WI 0001 พัฒนาระบบเทคโนโลยีสารสนเทศ แก้ไขครั้งที่ 03 4. ข้อ 4 การควบคุมการเปลี่ยนแปลงหรือแก้ไขระบบ หน้า 6 | |||