ABCDEF
1
แบบประเมินตนเอง ISO/IEC 27001:2013 กรมวิทยาศาสตร์การแพทย์
2
เอกสารแสดงการประยุกต์ใช้งาน (Statement of Applicability:SOA) ตาม Annex A
3
หน่วยงาน สำนักวิชาการวิทยาศาสตร์การแพทย์ วันที่ประเมิน 10 พฤษภาคม 2565
4
5
Control ObjectivesControlsSelectedCurrently implemented / Justification for exclusionRemark
6
AN/A
7
8
A.5 Information security policy (นโยบายความมั่นคงปลอดภัยสำหรับสารสนเทศ)
9
A.5.1 Management Directions for Information Security (ทิศทางการบริหารจัดการนโยบายความมั่นคงปลอดภัยสารสนเทศ)A.5.1.1 Policies for Information security (เอกสารนโยบายความมั่นคงปลอดภัยที่เป็นลายลักษณ์อักษร) /จัดทำนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อป้องกันภัยคุกคามในรูปแบบต่างๆที่อาจก่อความเสียหายต่อข้อมูลและทรัพย์สินของกรม
10
A.5.1.2 Review of the policies for information security (การทบทวนนโยบายความมั่นคงปลอดภัย)/ทบทวนนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ อย่างน้อยปีละ 1 ครั้ง (นโยบายและแนวปฏิบัติฯ หมวดที่ 6 หน้า 52 ข้อ 1)
11
A.6 Organization of Information Security – องค์กรแห่งความมั่นคงปลอดภัยของสารสนเทศ (ผู้บริหาร)
12
A.6.1 Internal organization
(โครงสร้างความมั่นคงปลอดภัยภายในองค์กร)
A.6.1.1 Information security roles and responsibilities (การกำหนดหน้าที่ความรับผิดชอบทางด้านความมั่นคงปลอดภัย)/กำหนดหน้าที่ความรับผิดชอบโดยมีการแต่งตั้งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง ระดับกรม (DCIO) ตามคำสั่งกรมวิทยาศาสตร์การแพทย์ ที่ 398/2564 ลงวันที่ 8 กุมภาพันธ์ 2564 และแต่งตั้งผู้บริหารเทคโนโลยีสารสนเทศระดับกอง (DIO) ตามคำสั่งกรมวิทยาศาสตร์การแพทย์ ที่ 3524/2563 ลงวันที่ 24 ธันวาคม 2563 รวมไปถึงมีการทบทวนโครงสร้างองค์กร ที่ส่งให้ กพร. เมื่อวันที่ 25 ตุลาคม 2564 และมีการเผยแพร่บทบาทหน้าที่ของแต่ละฝ่ายไว้ที่ เว็บไซต์ ศทส.
13
A.6.1.2 Segregation of duties (การแบ่งหน้าที่ความรับผิดชอบ)/กำหนดหน้าที่ความรับผิดชอบในแต่ละระดับ ตั้งแต่ระดับนโยบาย ระดับบริหาร และระดับปฏิบัติโดยแต่ละหน้าที่มีการควบคุมทบทวนและตรวจสอบ จากผู้บังคับบัญชาระดับเหนือขึ้นไป และมีแบบมอบหมายงานของบุคคลที่ระบุความรับผิดชอบของระบบต่างๆ
14
A.6.1.3 Contact with authorities (การมีรายชื่อและข้อมูลสำหรับการติดต่อกับหน่วยงานอื่น) รายชื่อคนในศูนย์ที่รับผิดชอบด้านต่างๆ/เผยแพร่รายชื่อผู้ติดต่อด้านการรักษาความมั่นคงปลอดภัย บนเว็บไซต์ของสำนักวิชาการวิทยาศาสตร์การแพทย์
15
A.6.1.4 Contact with special interest groups (การมีรายชื่อและข้อมูลสำหรับติดต่อกลุ่มที่มีความสนใจเป็นพิเศษในเรื่องเดียวกัน)/เผยแพร่รายชื่อผู้ติดต่อด้านการรักษาความมั่นคงปลอดภัยและกลุ่มคนที่สนใจในเรื่องเดียวกัน (DIO)
และหน่วยงานภายนอกที่เกี่ยวข้อง บนเว็บไซต์ของสำนักวิชาการวิทยาศาสตร์การแพทย์
16
A.6.1.5 Information security in project management (โครงการต่างๆให้ความสำคัญกับความปลอดภัยข้อมูล)/กำหนดหัวข้อเกี่ยวกับความปลอดภัยข้อมูลไว้ในแบบฟอร์มขออนุมัติโครงการ 0604 FM 0010 แก้ไขครั้งที่ 01 ประกาศใช้ ตุลาคม 2564
17
A.6.2 Mobile devices and teleworking (โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก)A.6.2.1 Mobile device policy (การกำหนดนโยบายสำหรับอุปกรณ์สื่อสารชนิดพกพา)/การนำอุปกรณ์พกพามาใช้ร่วมกับระบบเครือข่ายของกรม ต้องลงชื่อเข้าใช้งานเพื่อยืนยันตัวตน (นโยบายและแนวปฏิบัติ หมวดที่ 1 ส่วนที่ 15 หน้า 28-29 ข้อ 154(14) )
18
A.6.2.2 Teleworking (การปฏิบัติงานสำนักงาน)/การเข้าใช้งานจากภายนอกสำนักงาน ผู้ใช้งานต้องผ่านการพิสูจน์ตัวตน ขอสิทธิ์การใช้งาน teleworking ต้องมีการจัดเตรียมอุปกรณ์/ ข้อมูล อุปกรณ์สื่อสาร และและต้องมีการตรวจสอบว่าอุปกรณ์ที่เป็นของส่วนตัว ซึ่งใช้ในการเข้าถึงระบบเทคโนโลยีสารสนเทศของหน่วยงานจากระยะไกลมีการป้องกันไวรัสและการใช้งาน (นโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 9 หน้า 20)
19
A.7 Human resource security (ความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับบุคลากร)
20
A.7.1 Prior to employment (ก่อนการจ้างงาน)A.7.1.1 Screening (การตรวจสอบคุณสมบัติของผู้สมัคร)/กำหนดคุณสมบัติของเจ้าหน้าที่แต่ละตำแหน่งไว้ในแบบบรรยายลักษณะงาน (Job Description)
21
A.7.1.2 Terms and conditions of employment (การกำหนดเงื่อนไขการจ้างงาน)/ส่วนของข้าราชการกำหนดเงื่อนไขการจ้างตามระเบียบข้าราชการพลเรือน และในส่วนของบุคลากรตำแหน่งอื่นๆ ระบุไว้ในนโยบายและแนวปฏิบัติ หมวดที่ 8 หน้า 56 ข้อ 5
22
A.7.2 During employment (ระหว่างการจ้างงาน)A.7.2.1 Management responsibilities (หน้าที่ในการบริหารจัดการทางด้านความมั่นคงปลอดภัย)/กำหนดไว้ในแบบมอบหมายงานของเจ้าหน้าที่ผู้ปฏิบัติงาน ณ สำนักวิชาการวิทยาศาสตร์การแพทย์
23
A.7.2.2 Information security awareness, education and training (การสร้างความตระหนัก การให้ความรู้ และการอบรมด้านความมั่นคงปลอดภัยให้แก่พนักงาน)/มีแผนพัฒนาบุคลากร และบันทึกการฝึกอบรมของบุคลากร โดยข้าราชการบันทึกไว้ในระบบ DPIS สำหรับ พกส.และลูกจ้างเหมา มีการเก็บรวบรวม เป็นเอกสารไว้
24
A.7.2.3 Disciplinary process (กระบวนการทางวินัยเพื่อลงโทษ)/บทลงโทษทางวินัยที่ระบุไว้ในระเบียบข้าราชการพลเรือน พ.ศ.2551 และ ระบุในนโยบายและแนวปฏิบัติฯ หมวดที่ 8 หน้า 57 ข้อที่ 7
25
A.7.3 Termination and change of employment (การสิ้นสุดหรือการเปลี่ยนการจ้างงาน)A.7.3.1 Termination of change of employment responsibilities (การสิ้นสุดหรือการเปลี่ยนการจ้างงาน)/เมื่อสิ้นสุดการจ้างให้ฝ่ายไอทียกเลิกสิทธิ์ในการเข้าถึงระบบต่างๆ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 8 หน้า 56 ข้อ 6 และกำหนดให้บุคคลนั้นต้องรักษาความลับของข้อมูลเป็นระยะเวลาอย่างน้อย 1 ปี อยู่ในแบบฟอร์มรักษาความเป็นกลาง
26
A.8 Asset management (การบริหารจัดการทรัพย์สิน)
27
A.8.1 Responsibility for assets (หน้าที่ความรับผิดชอบต่อทรัพย์สิน)A.8.1.1 Inventory of assets (การจัดทำบัญชีทรัพย์สิน)/มีระบบบริหารจัดการครุภัณฑ์ (AMS) สำหรับเก็บข้อมูลรายการทรัพย์สินที่มีอยู่
28
A.8.1.2 Ownership of assets (การระบุผู้เป็นเจ้าของทรัพย์สิน)/ระบุรายชื่อเจ้าของทรัพย์สินไว้ในระบบบริหารจัดการครุภัณฑ์ (AMS)
29
A.8.1.3 Acceptable use of asset (การจัดหมวดหมู่ทรัพย์สิน)/มีการจัดหมวดหมู่ของทรัพย์สิน และระบุไว้ระบบบริหารจัดการครุภัณฑ์ (AMS)
30
A.8.1.4 Return of assets (การคืนทรัพย์สินขององค์กร)/การคืนทรัพย์สินขององค์กรต้องเขียนแบบฟอร์มการคืน รวมถึงต้องลบข้อมูลที่เป็นความลับออกจากตัวเครื่องก่อนเสมอ ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 4 ข้อ 52 หน้า 10
31
A.8.2 Information classification (การจัดชั้นความลับของสารสนเทศ)A.8.2.1 Classification of Information (การจำแนกประเภทของข้อมูล)/แบ่งประเภทของข้อมูลไว้ 2 ประเภท คือ ข้อมูลด้านการบริหาร และข้อมูลด้านวิทยาศาสตร์การแพทย์ และมีการสื่อสารให้ผู้เกี่ยวข้องรับทราบผ่าน e-mail และกลุ่มไลน์ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 ข้อ 3(2)(2.1) หน้า 3
32
A.8.2.2 Labelling of information (การจัดทำป้ายชื่อ และการจัดการทรัพย์สินสารสนเทศ)/มีสติ๊กเกอร์ป้ายชื่อของอุปกรณ์ต่างๆ ที่พิมพ์ออกจากระบบบริหารจัดการครุภัณฑ์ (AMS) ติดอยู่ที่อุปกรณ์ เพื่อบอกรายละเอียดของอุปกรณ์แต่ละประเภท
33
A.8.2.3 Handling of assets (ขั้นตอนปฏิบัติสำหรับการจัดการสารสนเทศ)/กำหนดการบริหารจัดการข้อมูลสารสนเทศ มีกระบวนการสร้างข้อมูล การจัดเก็บข้อมูล การใช้ข้อมูล การเผยแพร่ข้อมูล การทำลาย ซึ่งข้อมูล แต่ละระดับ ของข้อมูลในระบบสารสนเทศ ควรมีการวิเคราะห์ ประเภทการให้บริการ (ผู้บริหาร สำนักงาน ให้บริการประชาชน) การเชื่อมโยง(ใช้ภายในหน่วยงาน ภายนอกหน่วยงาน) ฯลฯ เพื่อพิจารณาการรับ การจัดเก็บ การส่งต่อ การทำลาย และจำกัดการเข้าถึงตามความเหมาะสมโดยผู้มีอำนาจ ซึ่งระบไว้ในนโยบายและแนวปฏิบัติฯ ส่วนที่ 4 หน้า 9-10 และส่วนที่ 14 หน้า 26
34
A.8.3 Media handling (การจัดการสื่อที่ใช้ในการบันทึกข้อมูล)A.8.3.1 Management of removable media (การบริหารจัดการสื่อบันทึกข้อมูลที่สามารถเคลื่อนย้ายได้)/การนำสื่อบันทึกข้อมูลมาใช้กับระบบเครือข่ายของกรม ต้องตรวจสอบไวรัสทุกครั้ง และต้องไม่ทำการสำเนาข้อมูลที่เป็นความลับของกรมลงบนสื่อบันทึกข้อมูล ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 15 หน้า 28 ข้อ (12)
35
A.8.3.2 Disposal of media (การกำจัดสื่อบันทึกข้อมูล)/กำหนดวิธีการทำลายสื่อบันทึกข้อมูลแต่ละประเภทไว้แตกต่างกัน ทั้งการทุบทำลาย การบด การหั่น การเผา ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 4 หน้า 10 ข้อ 46
36
A.8.3.3 Physical media transfer (การส่งสื่อบันทึกข้อมูลออกไปนอกองค์กร)/ไม่อนุญาตให้นำสื่อบันทึกข้อมูลมาใช้ในการปฏิบัติงานร่วมกับเครื่องคอมพิวเตอร์แม่ข่าย และการส่งสื่อบันทึกข้อมูลนั้น ต้องส่งผ่านผู้ให้บริการขนส่งที่น่าเชื่อถือ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 15 หน้า 29 ข้อ (13)
37
A.9 Access control (การควบคุมการเข้าถึง)
38
A.9.1 Business requirements of access control (ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึง)A.9.1.1 Access control policy (นโยบายการควบคุมการเข้าถึงระบบ)/การเข้าถึงระบบต้องได้รับอนุญาตจากผู้รับผิดชอบ/เจ้าของข้อมูล/เจ้าของระบบก่อน ซึ่งระบไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 หน้า 3 และส่วนที่ 2 หน้าที่ 5
39
A.9.1.2 Access to networks and network services (นโยบายการใช้งานบริการเครือข่าย)/จำกัดสิทธิ์การเข้าถึงระบบเครือข่ายที่ได้รับอนุญาตเท่านั้น และจำกัดเส้นทางการเข้าถึง ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 11-12 ข้อ 57
40
A.9.2 User access provisioning (การบริหารจัดการการเข้าถึงของผู้ใช้งาน)A.9.2.1 User registration and de-registration (การลงทะเบียนพนักงาน)/ผู้ใช้งานต้องกรอกข้อมูลแบบฟอร์มการลงทะเบียน และจะได้รับสิทธิ์การใช้งานเป็นลายลักษณ์อักษรผ่านเอกสาร ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 8
41
A.9.2.2 User access provisioning (การระบุและพิสูจน์ตัวตนของผู้ใช้งาน)/การเข้าสู่ระบบเครือข่ายต้องแสดงตัวตนก่อนเข้าใช้งานทุกครั้ง ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 12 ข้อ 62 (5)
42
A.9.2.3 Management of privileged access rights (การบริหารจัดการสิทธิการใช้งานระบบ)/ผู้ดูแลระบบกำหนดสิทธิ์การใช้งานเฉพาะผู้ที่ได้รับความเห็นชอบจากหัวหน้าหน่วยงานเป็นลายลักษณ์อักษรเท่านั้น ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 9
43
A.9.2.4 Management of secret authentication information of users (การบริหารจัดการรหัสผ่านสำหรับผู้ใช้งาน)/กำหนดการบริหารจัดการรหัสผ่านต้องทำโดยผู้ดูแลระบบเท่านั้น ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 12
44
A.9.2.5 Review of user access rights (การทบทวนสิทธิการเข้าถึงของผู้ใช้งาน)/ทบทวนสิทธิ์ผู้ใช้งานอย่างน้อยปีละ 1 ครั้ง กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 10
45
A.9.2.6 Removal or adjustment of access rights (การยกเลิกสิทธิ์)/ดำเนินการยกเลิกสิทธิ์หลังจากได้รับแจ้งจากหน่วยงานเป็นลายลักษณ์อักษร กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 11
46
A.9.3 User responsibilities (หน้าที่ความรับผิดชอบของผู้ใช้งาน)A.9.3.1 Use of secret authentication information (การใช้งานรหัสผ่าน)/ผู้ใช้งานต้องปกป้องดูแลรหัสผ่านและต้องกำหนดรหัสผ่านของตนเองให้เป็นไปตามที่ประกาศไว้ใน นโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 3 หน้า 7 ข้อ 15
47
A.9.4 System and application access control (การควบคุมเข้าถึงระบบและแอพพลิเคชั่น)A.9.4.1 Information access restriction (การจำกัดการเข้าถึงสารสนเทศ)/กำหนดสิทธิ์การใช้งานโปรแกรม จดหมายเวียน ระบบเครือข่ายไร้สาย ฯลฯ ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 หน้า 3-4 และส่วนที่ 7 หน้า 16
48
A.9.4.2 Secure log-on procedures (ขั้นตอนปฏิบัติในการเข้าถึงระบบอย่างมั่นคงปลอดภัย)/กำหนดขั้นตอนปฏิบัติในการเข้าถึงระบบตั้งแต่ การลงทะเบียน การกำหนดสิทธิ์ การกำหนดระยะเวลา รวมถึงทบทวนสิทธิ์การเข้าถึง ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 6 หน้า 14 และ ส่วนที่ 7 หน้าที่ 16
49
A.9.4.3 Password management system (ระบบบริหารจัดการรหัสผ่าน) /กำหนดการใช้งานรหัสผ่านต้องไม่น้อยกว่า 8 ตัวและมีตัวอักษรปนกับตัวเลข เพื่อให้ยากต่อการคาดเดา ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 3 หน้า 7 ข้อ 15 (2)
50
A.9.4.4 Use of privileged utilities programs (การใช้งานโปรแกรมประเภทยูทิลิตี้)/จำกัดและควบคุมการใช้งานโปรแกรมยูทิลิตี้ เนื่องจากบางโปรแกรมมีความเสี่ยงต่อความมั่นคงปลอดภัย ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 6 ข้อ 72 หน้า 14
51
A.9.4.5 Access control to program source code (การควบคุมการเข้าถึงซอร์สโค้ดสำหรับระบบ) /มีข้อกำหนดสำหรับการควบคุมการเข้าถึง
Source Code ซึ่งระบุไว้ใน 0626 WI 0001 พัฒนาระบบเทคโนโลยีสารสนเทศ แก้ไขครั้งที่ 03 ข้อ 9 หน้า 10
52
A.10 Cryptography (การเข้ารหัสข้อมูล)
53
A.10.1 Cryptographic controls (การควบคุมการเข้ารหัสข้อมูล)A.10.1.1 Policy on the use of cryptographic controls (นโยบายการใช้งานการเข้ารหัสข้อมูล)/มีนโยบายการใช้มาตรการเข้ารหัสข้อมูลเพื่อป้องกันระบบสารสนเทศ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 21 หน้า 36 ข้อ 1.1
54
A.10.1.2 Key management (การบริหารจัดการกุญแจเข้ารหัสข้อมูล)/มีนโยบายการใช้งาน การป้องกัน และอายุการใช้งานของกุญแจ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 21 หน้า 37-38 ข้อ 1.2
55
A.11 Physical and environmental security (ความมั่นคงปลอดภัยสารสนเทศทางกายภาพและสิ่งแวดล้อม )
56
A.11.1 Secure areas (บริเวณที่ต้องมีการรักษาความมั่นคงปลอดภัยสารสนเทศ)A.11.1.1 Physical security perimeter (การจัดทำบริเวณล้อมรอบ)/กำหนดพื้นที่ว่าส่วนใดเป็น พื้นที่ควบคุม พื้นที่ส่งมอบ พื้นที่ปฏิบัติงาน
57
A.11.1.2 Physical entry controls (การควบคุมการเข้า-ออก)/ควบคุมการด้วยระบบ Finger Scan โดยผู้ที่ไม่มีส่วนเกี่ยวข้องจะไม่สามารถเข้าถึงห้องควบคุมระบบเครือข่ายได้ รวมถึงกำหนดมาตรการต่างๆ ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47 ข้อ 4
58
A.11.1.3 Securing offices, rooms and facilities (การรักษาความมั่นคงปลอดภัยสำหรับสำนักงาน ห้องทำงาน และทรัพย์สินอื่นๆ )/สำหรับพื้นที่ควบคุม จะมีการรักษาความมั่นคงปลอดภัย โดยผู้ไม่เกี่ยวข้องจะไม่ได้รับสิทธิ์ในการเข้าถึงพื้นที่นั้นๆ
59
A.11.1.4 Protecting against external and environmental threats (การป้องกันภัยคุกคามจากภายนอกและสิ่งแวดล้อม)/ไม่อนุญาตให้ผู้ไม่เกี่ยวข้องเข้า โดยในการเข้าพื้นที่ทุกครั้งต้องพิสูจน์ตัวตนในการเข้า ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47 ข้อ 4 (10)(11)
60
A.11.1.5 Working in secure areas
(การปฏิบัติงานในพื้นที่ที่ต้องรักษาความมั่นคงปลอดภัย)
/ควบคุมการปฏิบัติงานในพื้นที่ ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47 ข้อ 4 (4)(5)(6)
61
A.11.1.6 Delivery and loading areas (การจัดบริเวณสำหรับการเข้าถึง หรือการส่งมอบผลิตภัณฑ์โดยบุคคลภายนอก)
/จัดบริเวณส่งมอบผลิตภัณฑ์ไว้โดยเฉพาะ ตามแผนผังที่กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 46 ข้อ 2 (7)
62
A.11.2 Equipment
(ความมั่นคงปลอดภัยของอุปกรณ์)
A.11.2.1 Equipment siting and protection (การจัดวางและการป้องกันอุปกรณ์)/กำหนดอุปกรณ์ที่อยู่ในพื้นที่ควบคุม ว่าควรมีลักษณะอย่างไร อยู่ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47-48 ข้อ 5-7
63
A.11.2.2 Supporting utilities (ระบบและอุปกรณ์สนับสนุนการทำงาน)/ระบบและอุปกรณ์สนับสนุนต้องมีเพียงพอต่อความต้องการใช้งาน และให้มีการตรวจสอบระบบเหล่านั้นอย่างน้อยเดือนละ 1 ครั้ง รวมถึงมีระบบแจ้งเตือนเมื่อมีการทำงานผิดปกติ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 47 ข้อ 5
64
A.11.2.3 Cabling security (การเดินสายไฟ สายสื่อสาร และสายเคเบิ้ลอื่นๆ )/หลีกเลี่ยงการเดินสายสัญญาณ บริเวณที่มีบุคคลภายนอกเข้าถึงได้ ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 48 ข้อ 7
65
A.11.2.4 Equipment maintenance (การบำรุงรักษาอุปกรณ์)/บำรุงรักษาอุปกรณ์ตามรอบระยะเวลาที่แนะนำโดยผู้ผลิต ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 48 ข้อ 8
66
A.11.2.5 Removal of assets (การนำทรัพย์สินขององค์กรออกนอกสำนักงาน)/ให้มีการขออนุญาตก่อนนำทรัพย์สินออกจาก หน่วยงาน ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 48 ข้อ 9 รวมถึงมีการจำหน่ายครุภัณฑ์ประจำปี ตามพระราชบัญญัติการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560 และระเบียบกระทรวงการคลังว่าด้วยการจัดซื้อจัดจ้างและการบริหารพัสดุภาครัฐ พ.ศ. 2560
67
A.11.2.6 Security of equipment and assets off-premises (การป้องกันอุปกรณ์ที่ใช้งานอยู่นอกสำนักงาน)/ไม่ทิ้งทรัพย์สินของหน่วยงานไว้โดยลำพังในที่สาธารณะ ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 49 ข้อ 10
68
A.11.2.7 Secure disposal or reuse of equipment (การกำจัดอุปกรณ์ หรือการนำอุปกรณ์กลับมาใช้งานอีกครั้ง)/ก่อนการทำลายหรือกำจัดอุปกรณ์ ต้องทำลายข้อมูลสำคัญที่อยู่ในอุปกรณ์นั้นๆ ก่อน เพื่อไม่ให้ข้อมูลรั่วไหลไป ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 49 ข้อ 11
69
A.11.2.8 Unattended user equipment (การป้องกันอุปกรณ์ที่ไม่มีพนักงานดูแล)/เจ้าหน้าที่ต้องรับผิดชอบดูแลอุปกรณ์เสมือนเป็นทรัพย์สินของตนเอง ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 49 ข้อ 10(3)
70
A.11.2.9 Clear desk and clear screen policy (นโยบายควบคุมการไม่ทิ้งทรัพย์สินสารสนเทศสำคัญไว้ในที่ที่ไม่ปลอดภัย)/กำหนดไว้ว่าจะต้องไม่ทิ้งอุปกรณ์หรือทรัพย์สินขององค์กรไว้โดยลำพังในที่สาธารณะ เพื่อป้องกันการสูญหาย ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 4 หน้า 49 ข้อ 10(2) ส่วนที่ 14,15 หน้า 26-30
71
A.12 Operations security (การรักษาความมั่นคงปลอดภัยสารสนเทศด้านการดำเนินการ)
72
A.12.1 Operational procedures and responsibilities (ขั้นตอนการปฏิบัติงานและการควบคุม)A.12.1.1 Documented Operating procedures (ขั้นตอนการปฏิบัติงานที่เป็นลายลักษณ์อักษร)/กำหนดขั้นตอนการปฏิบัติงานที่เป็นลายลักษณ์อักษร ไว้ในเอกสารคุณภาพ 0600 WM 0033
73
A.12.1.2 Change management (การควบคุมการเปลี่ยนแปลง ปรับปรุง หรือแก้ไขระบบหรืออุปกรณ์ประมวลผลสารสนเทศ)/หากมีการเปลี่ยนแปลงต้องแจ้งผู้บังคับบัญชาเป็นลายลักษณ์อักษร และต้องวิเคราะห์ผลกระทบที่อาจจะเกิดขึ้น และรายงานผลเมื่อสื้นสุดแล้ว กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 20 หน้า 35 ข้อ 189
74
A.12.1.3 Capacity management (การวางแผนความต้องการทรัพยากรสารสนเทศ)/มีการประชุมคณะกรรมการบริหารและพัฒนาระบบสารสนเทศ เป็นประจำทุกเดือน เพื่อดูแล ควบคุมกำกับการดำเนินงานด้านเทคโนโลยีสารสนเทศ รวมถึงพิจารณาความเพียงพอของทรัพยากรที่มีอยู่ ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 20 หน้า 35 ข้อ 190 รวมถึงพิจารณาความเพียงพอในขั้นตอนของการจัดทำ TOR ด้วย
75
A.12.1.4 Separation of development, testing and operational environments (การแยกระบบสำหรับการพัฒนา การทดสอบ และการให้บริการออกจากกัน)/กำหนดให้มีการแยกระบบสำหรับการพัฒนาและทดสอบ เพื่อป้องกันการเข้าถึงข้อมูล ซึ่งอยู่ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 19 ข้อ 91.1(3)
76
A.12.2 Protection from malware (การป้องกันจากโปรแกรมไม่ประสงค์ดี)A.12.2.1 Controls against malware (การป้องกันโปรแกรมที่ไม่ประสงค์ดี)/คอมพิวเตอร์ทุกเครื่องต้องติดตั้งโปรแกรมป้องกันไวรัส เพื่อป้องกันการโจมตี ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 18 ข้อ 84
77
A.12.3 Backup (การสำรองข้อมูล)A.12.3.1 Information backup (การสำรองข้อมูล)/คัดเลือกระบบที่สำคัญเพื่อทำการสำรองข้อมูล โดยในการสำรองข้อมูลนั้นจะมีทั้งแบบรายวัน รายสัปดาห์ รายเดือน แตกต่างกันไปตามความเหมาะสม กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 2 ส่วนที่ 2 หน้า 41
78
A.12.4 Logging and monitoring (การบันทึกเหตุการณ์และการเฝ้าระวัง)A.12.4.1 Event logging (การบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้งานสารสนเทศ)/จัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ไว้ในสื่อเก็บข้อมูล ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 18 หน้า 34 ข้อ 179
79
A.12.4.2 Protection of log information (การตรวจสอบการใช้งานระบบ)/ห้ามแก้ไขข้อมูลจราจรทางคอมพิวเตอร์ ตามที่กำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 18 หน้า 34 ข้อ 180
80
A.12.4.3 Administrator and operator logs (บันทึกกิจกรรมการดำเนินงานของเจ้าหน้าที่ที่เกี่ยวข้องกับระบบ)/บันทึกการปฏิบัติงานของผู้ใช้งาน และเก็บไว้อย่างน้อย 90 วัน ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 18 หน้า 34 ข้อ 181
81
A.12.4.4 Clock synchronization (การตั้งเวลาของเครื่องคอมพิวเตอร์ให้ตรงกัน)/ตั้งค่าอุปกรณ์เครือข่ายให้ตรงกับสถาบันมาตรวิทยาแห่งชาติ ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 18 หน้า 34 ข้อ 183
82
A.12.5 Control of operational software (การควบคุมการติดตั้งซอฟต์แวร์ลงไปยังระบบที่ให้บริการ)A.12.5.1 Installation of software on operational systems (การควบคุมการติดตั้งซอฟต์แวร์ลงไปยังระบบที่ให้บริการ)/กำหนดให้ติดตั้งซอฟต์แวร์ที่มีลิขสิทธิ์เท่านั้น ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 18 ข้อ 82, 83 และ 84
83
A.12.6 Technical vulnerability management (การบริการจัดการช่องโหว่ทางเทคนิค)A.12.6.1 Management of technical vulnerabilities (มาตรการควบคุมช่องโหว่ทางเทคนิค)/กำหนดมาตรการควบคุมช่องโหว่ทางเทคนิค ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 17 หน้า 32-33
84
A.12.6.2 Restrictions on software installation (ควบคุมการติดตั้งซอฟต์แวร์)/ระบุซอฟต์แวร์ที่ไม่ควรติดตั้ง เช่น การใช้โปรแกรมสปาย (Spyware), Ad-aware, bitcoin mining software ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 18 ข้อ 83
85
A.12.7 Information systems audit considerations (สิ่งที่ต้องพิจารณาในการตรวจประเมินระบบ)A.12.7.1 Information systems audit controls (มาตรการการตรวจประเมินระบบสารสนเทศ)/ระบุการตรวจประเมินระบบสารสนเทศ อย่างน้อยปีละ 1 ครั้ง ซึ่งกำหนดไว้ใน 0600 WM 0002 การตรวจติดตามคุณภาพภายใน แก้ไขครั้งที่ 05 ประกาศใช้เมื่อเดือนกรกฏาคม 2564
86
A.13 Communications security (ความมั่นคงปลอดภัยทางด้านการสื่อสาร)
87
A.13.1 Network security management (การบริหารจัดการความมั่นคงปลอดภัยทางเครือข่าย)A.13.1.1 Network controls (มาตรการทางเครือข่าย)/กำหนดมาตรการการใช้งานเครือข่ายตามมาตรการควบคุมการเข้า - ออก และหากจะนำเครื่องคอมพิวเตอร์มาเชื่อมต่อ ต้องมีหนังสือขออนุญาตต่อหัวหน้าหน่วยงาน ซึ่งกำหนดไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 11
88
A.13.1.2 Security of network services (ความมั่นคงปลอดภัยสำหรับบริการเครือข่าย)/กำหนดมาตรการควบคุมการเข้าถึงเครือข่าย เพื่อรักษาความมั่นคงปลอดภัย ไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 11
89
A.13.1.3 Segregation in networking (การแบ่งแยกเครือข่าย)/แบ่งแยกเครือข่ายเป็น 3 ประเภท คือ Internet, Intranet, DMz zone ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 13 ข้อ 63
90
A.13.2 Information transfer (การแลกเปลี่ยนข้อมูล (Information transfer))A.13.2.1 Information transfer policies and procedures (นโยบายและขั้นตอนปฏิบัติสำหรับการแลกเปลี่ยนสารสนเทศ)/หน่วยงานต้องทำหนังสือถึงหัวหน้าส่วนราชการเพื่อขออนุมัติเชื่อมโยงแลกเปลี่ยน และศึกษาความเป็นไปได้ในการแลกเปลี่ยน รวมถึงลงนามข้อตกลงความร่วมมือร่วมกัน ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 9 หน้า 59-60
91
A.13.2.2 Agreements on information transfer (ข้อตกลงในการแลกเปลี่ยนสารสนเทศ)/กำหนดมาตรฐานเพื่อใช้ในการแลกเปลี่ยน โดยอ้างอิงตามมาตรฐาน TH e-GIF (ส่วนเทคนิด) ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 9 หน้า59-60
92
A.13.2.3 Electronic messaging (การส่งข้อความทางอิเล็กทรอนิกส์)/ต้องลงทะเบียนผู้ใช้ และปฏิบัติตามข้อกำหนดที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 12 หน้า 23-24
93
A.13.2.4 Confidentiality or nondisclosure agreements (การลงนามมิให้เปิดเผยความลับขององค์กร)/ข้อตกลงร่วมกันของการ MOU ต้องมีการรักษาความลับไว้ทั้ง 2 ฝ่าย
94
A.14 System acquisition , development and maintenance (การจัดหา การพัฒนา และการบำรุงรักษาระบบ)
95
A.14.1 Security requirements of information systems (ความต้องการด้านความมั่นคงปลอดภัยของระบบสารสนเทศ )A.14.1.1 Information security requirements analysis and specification (การวิเคราะห์และการระบุข้อกำหนดทางด้านความมั่นคงปลอดภัย)/การพัฒนาระบบงาน ฐานข้อมูลสารสนเทศและโปรแกรมปฏิบัติงานต่าง ๆ เพื่อให้ได้ผลลัพธ์ที่มีประสิทธิภาพ ต้องสอดคล้องกับแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของกรมวิทยาศาสตร์การแพทย์ กฎ ระเบียบ ข้อบังคับและกฎหมายด้านไอทีที่เกี่ยวข้อง ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 8 หน้า 19 ข้อ 91 การพัฒนาซอฟต์แวร์ (Software development)
96
A.14.1.2 Securing application services on public networks (สารสนเทศที่มีการเผยแพร่ออกสู่สาธารณะ)/ผู้ดูแลระบบ ต้องบริหารจัดการการเข้าถึงข้อมูลตามประเภทชั้นความลับ ในการควบคุมการเข้าถึงข้อมูลแต่ละประเภทชั้นความลับทั้งการเข้าถึงโดยตรงและการเข้าถึงผ่านระบบงาน
ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 6 ข้อ 13
97
A.14.1.3 Protecting application services transactions (การป้องกันธุรกรรมของบริการสารสนเทศ )/ข้อ ๑๔. ระบบงานสารสนเทศทางธุรกิจที่เชื่อมโยงกัน (Business Information Systems)
ให้หัวหน้าหน่วยงานพิจารณาประเด็นต่างๆ ทางด้านความมั่นคงปลอดภัย และจุดอ่อนต่างๆ ก่อนตัดสินใจ ใช้ข้อมูลร่วมกันในระบบงาน หรือระบบเทคโนโลยีสารสนเทศที่จะเชื่อมโยงเข้าด้วยกัน ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 6 ข้อ 14
98
A.14.2 Security in development and support processers (ความมั่นคงปลอดภัยในกระบวนการพัฒนาและสนับสนุน)A 14.2.1 Secure development policy (นโยบายการพัฒนาระบบให้มีความปลอดภัย )/มาตรการรักษาความมั่นคงปลอดภัยของระบบต้องได้รับการออกแบบให้สอดคล้องกับข้อกำหนดของแนวปฏิบัติการรักษาความมั่นคงปลอดภัยสารสนเทศ ตลอดจนขั้นตอนปฏิบัติงาน มาตรฐาน หรือแนวปฏิบัติด้านความมั่นคงปลอดภัยที่เกี่ยวข้องขององค์กร ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 22 หน้า 39
99
A.14.2.2 System change control procedures (ขั้นตอนปฏิบัติสำหรับควบคุมการเปลี่ยนแปลงหรือแก้ไขระบบ)/กำหนดขึ้นเพื่อให้ระบบสารสนเทศมีระดับของการรักษาความมั่นคงปลอดภัยที่เหมาะสม และสามารถตอบสนองต่อความต้องการขององค์กรได้ โดยทฤษฎีดังกล่าวต้องนำไปใช้งานร่วมกับวงจรการพัฒนาระบบสารสนเทศ ที่ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 22 หน้า 38 และ 0626 WI 0001 พัฒนาระบบเทคโนโลยีสารสนเทศ แก้ไขครั้งที่ 03 หน้าที่ 6
100
A.14.2.3 Technical review of applications after operating platform changes (การตรวจสอบการทำงานของแอพพลิเคชั่นภายหลังจากที่เปลี่ยนแปลงระบบปฏิบัติการ)/มีการตรวจสอบการทำงานของระบบภายหลังจากที่เปลี่ยนแปลงระบบปฏิบัติการ หรือ หลังจากเปลี่ยนแปลงโครงสร้างพื้นฐานของระบบ ซึ่งระบุไว้ใน 0626 WI 0001 พัฒนาระบบเทคโนโลยีสารสนเทศ แก้ไขครั้งที่ 03 4. ข้อ 4 การควบคุมการเปลี่ยนแปลงหรือแก้ไขระบบ หน้า 6