| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | แบบประเมินตนเอง ISO/IEC 27001:2013 กรมวิทยาศาสตร์การแพทย์ | |||||||||||||||||||||||||
2 | เอกสารแสดงการประยุกต์ใช้งาน (Statement of Applicability:SOA) ตาม Annex A | |||||||||||||||||||||||||
3 | หน่วยงาน......กรมวิทยาศาสตร์การแพทย์........วันที่ประเมิน …9 ธันวาคม 2564........ | |||||||||||||||||||||||||
4 | ||||||||||||||||||||||||||
5 | Control Objectives | Controls | Selected | Currently implemented / Justification for exclusion | Remark | |||||||||||||||||||||
6 | A | N/A | ||||||||||||||||||||||||
7 | A.5 Information security policy (นโยบายความมั่นคงปลอดภัยสำหรับสารสนเทศ) | |||||||||||||||||||||||||
8 | A.5.1 Management Directions for Information Security (ทิศทางการบริหารจัดการนโยบายความมั่นคงปลอดภัยสารสนเทศ) | A.5.1.1 Policies for Information security (เอกสารนโยบายความมั่นคงปลอดภัยที่เป็นลายลักษณ์อักษร) | / | จัดทำนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อป้องกันภัยคุกคามในรูปแบบต่างๆที่อาจก่อความเสียหายต่อข้อมูลและทรัพย์สินของกรม | ||||||||||||||||||||||
9 | ||||||||||||||||||||||||||
10 | ||||||||||||||||||||||||||
11 | ||||||||||||||||||||||||||
12 | A.5.1.2 Review of the policies for information security (การทบทวนนโยบายความมั่นคงปลอดภัย) | / | ทบทวนนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ อย่างน้อยปีละ 1 ครั้ง (นโยบายและแนวปฏิบัติฯ หมวดที่ 6 หน้า 52 ข้อ 1) | |||||||||||||||||||||||
13 | ||||||||||||||||||||||||||
14 | ||||||||||||||||||||||||||
15 | ||||||||||||||||||||||||||
16 | A.6 Organization of Information Security – องค์กรแห่งความมั่นคงปลอดภัยของสารสนเทศ (ผู้บริหาร) | |||||||||||||||||||||||||
17 | A.6.1 Internal organization (โครงสร้างความมั่นคงปลอดภัยภายในองค์กร) | A.6.1.1 Information security roles and responsibilities (การกำหนดหน้าที่ความรับผิดชอบทางด้านความมั่นคงปลอดภัย) | / | กำหนดหน้าที่ความรับผิดชอบโดยมีการแต่งตั้งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง ระดับกรม (DCIO) ตามคำสั่งกรมวิทยาศาสตร์การแพทย์ ที่ 398/2564 ลงวันที่ 8 กุมภาพันธ์ 2564 และแต่งตั้งผู้บริหารเทคโนโลยีสารสนเทศระดับกอง (DIO) ตามคำสั่งกรมวิทยาศาสตร์การแพทย์ ที่ 3524/2563 ลงวันที่ 24 ธันวาคม 2563 รวมไปถึงมีการทบทวนโครงสร้างองค์กร ที่ส่งให้ กพร. เมื่อวันที่ 25 ตุลาคม 2564 และมีการเผยแพร่บทบาทหน้าที่ของแต่ละฝ่ายไว้ที่ เว็บไซต์ ศทส. | ||||||||||||||||||||||
18 | ||||||||||||||||||||||||||
19 | ||||||||||||||||||||||||||
20 | ||||||||||||||||||||||||||
21 | ||||||||||||||||||||||||||
22 | A.6.1.2 Segregation of duties (การแบ่งหน้าที่ความรับผิดชอบ) | / | กำหนดหน้าที่ความรับผิดชอบในแต่ละระดับ ตั้งแต่ระดับนโยบาย ระดับบริหาร และระดับปฏิบัติโดยแต่ละหน้าที่มีการควบคุมทบทวนและตรวจสอบ จากผู้บังคับบัญชาระดับเหนือขึ้นไป และมีแบบมอบหมายงานของบุคคลที่ระบุความรับผิดชอบของระบบต่างๆ | |||||||||||||||||||||||
23 | ||||||||||||||||||||||||||
24 | A.6.1.3 Contact with authorities (การมีรายชื่อและข้อมูลสำหรับการติดต่อกับหน่วยงานอื่น) รายชื่อคนในศูนย์ที่รับผิดชอบด้านต่างๆ | / | เผยแพร่รายชื่อผู้ติดต่อด้านการรักษาความมั่นคงปลอดภัย บนเว็บไซต์ของศูนย์เทคโนโลยีสารสนเทศ | |||||||||||||||||||||||
25 | ||||||||||||||||||||||||||
26 | ||||||||||||||||||||||||||
27 | ||||||||||||||||||||||||||
28 | ||||||||||||||||||||||||||
29 | A.6.1.4 Contact with special interest groups (การมีรายชื่อและข้อมูลสำหรับติดต่อกลุ่มที่มีความสนใจเป็นพิเศษในเรื่องเดียวกัน) | / | เผยแพร่รายชื่อผู้ติดต่อด้านการรักษาความมั่นคงปลอดภัยและกลุ่มคนที่สนใจในเรื่องเดียวกัน (DIO) และหน่วยงานภายนอกที่เกี่ยวข้อง บนเว็บไซต์ของศูนย์เทคโนโลยีสารสนเทศ | |||||||||||||||||||||||
30 | ||||||||||||||||||||||||||
31 | ||||||||||||||||||||||||||
32 | ||||||||||||||||||||||||||
33 | ||||||||||||||||||||||||||
34 | A.6.1.5 Information security in project management (โครงการต่างๆให้ความสำคัญกับความปลอดภัยข้อมูล) | / | กำหนดหัวข้อเกี่ยวกับความปลอดภัยข้อมูลไว้ในแบบฟอร์มขออนุมัติโครงการ 0604 FM 0010 แก้ไขครั้งที่ 01 ประกาศใช้ ตุลาคม 2564 | |||||||||||||||||||||||
35 | ||||||||||||||||||||||||||
36 | A.6.2 Mobile devices and teleworking (โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก) | A.6.2.1 Mobile device policy (การกำหนดนโยบายสำหรับอุปกรณ์สื่อสารชนิดพกพา) | / | การนำอุปกรณ์พกพามาใช้ร่วมกับระบบเครือข่ายของกรม ต้องลงชื่อเข้าใช้งานเพื่อยืนยันตัวตน (นโยบายและแนวปฏิบัติ หมวดที่ 1 ส่วนที่ 15 หน้า 28-29 ข้อ 154(14) ) | ||||||||||||||||||||||
37 | ||||||||||||||||||||||||||
38 | ||||||||||||||||||||||||||
39 | A.6.2.2 Teleworking (การปฏิบัติงานสำนักงาน) | / | การเข้าใช้งานจากภายนอกสำนักงาน ผู้ใช้งานต้องผ่านการพิสูจน์ตัวตน ขอสิทธิ์การใช้งาน teleworking ต้องมีการจัดเตรียมอุปกรณ์/ ข้อมูล อุปกรณ์สื่อสาร และและต้องมีการตรวจสอบว่าอุปกรณ์ที่เป็นของส่วนตัว ซึ่งใช้ในการเข้าถึงระบบเทคโนโลยีสารสนเทศของหน่วยงานจากระยะไกลมีการป้องกันไวรัสและการใช้งาน (นโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 9 หน้า 20) | |||||||||||||||||||||||
40 | ||||||||||||||||||||||||||
41 | A.7 Human resource security (ความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับบุคลากร) | |||||||||||||||||||||||||
42 | A.7.1 Prior to employment (ก่อนการจ้างงาน) | A.7.1.1 Screening (การตรวจสอบคุณสมบัติของผู้สมัคร) | / | กำหนดคุณสมบัติของเจ้าหน้าที่แต่ละตำแหน่งไว้ในแบบบรรยายลักษณะงาน (Job Description) | ||||||||||||||||||||||
43 | ||||||||||||||||||||||||||
44 | A.7.1.2 Terms and conditions of employment (การกำหนดเงื่อนไขการจ้างงาน) | / | ส่วนของข้าราชการกำหนดเงื่อนไขการจ้างตามระเบียบข้าราชการพลเรือน และในส่วนของบุคลากรตำแหน่งอื่นๆ ระบุไว้ในนโยบายและแนวปฏิบัติ หมวดที่ 8 หน้า 56 ข้อ 5 | |||||||||||||||||||||||
45 | ||||||||||||||||||||||||||
46 | ||||||||||||||||||||||||||
47 | A.7.2 During employment (ระหว่างการจ้างงาน) | A.7.2.1 Management responsibilities (หน้าที่ในการบริหารจัดการทางด้านความมั่นคงปลอดภัย) | / | กำหนดไว้ในแบบมอบหมายงานของเจ้าหน้าที่ผู้ปฏิบัติงาน ณ ศูนย์เทคโนโลยีสารสนเทศ | ||||||||||||||||||||||
48 | ||||||||||||||||||||||||||
49 | ||||||||||||||||||||||||||
50 | ||||||||||||||||||||||||||
51 | A.7.2.2 Information security awareness, education and training (การสร้างความตระหนัก การให้ความรู้ และการอบรมด้านความมั่นคงปลอดภัยให้แก่พนักงาน) | / | มีแผนพัฒนาบุคลากร และบันทึกการฝึกอบรมของบุคลากร โดยข้าราชการบันทึกไว้ในระบบ DPIS สำหรับ พกส.และลูกจ้างเหมา มีการเก็บรวบรวม เป็นเอกสารไว้ | |||||||||||||||||||||||
52 | ||||||||||||||||||||||||||
53 | ||||||||||||||||||||||||||
54 | ||||||||||||||||||||||||||
55 | ||||||||||||||||||||||||||
56 | ||||||||||||||||||||||||||
57 | A.7.2.3 Disciplinary process (กระบวนการทางวินัยเพื่อลงโทษ) | / | บทลงโทษทางวินัยที่ระบุไว้ในระเบียบข้าราชการพลเรือน พ.ศ.2551 และ ระบุในนโยบายและแนวปฏิบัติฯ หมวดที่ 8 หน้า 57 ข้อที่ 7 | |||||||||||||||||||||||
58 | ||||||||||||||||||||||||||
59 | ||||||||||||||||||||||||||
60 | 7.3 Termination and change of employment (การสิ้นสุดหรือการเปลี่ยนการจ้างงาน) | A.7.3.1 Termination of change of employment responsibilities (การสิ้นสุดหรือการเปลี่ยนการจ้างงาน) | / | เมื่อสิ้นสุดการจ้างให้ฝ่ายไอทียกเลิกสิทธิ์ในการเข้าถึงระบบต่างๆ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 8 หน้า 56 ข้อ 6 และกำหนดให้บุคคลนั้นต้องรักษาความลับของข้อมูลเป็นระยะเวลาอย่างน้อย 1 ปี อยู่ในแบบฟอร์มรักษาความเป็นกลาง | ||||||||||||||||||||||
61 | ||||||||||||||||||||||||||
62 | ||||||||||||||||||||||||||
63 | ||||||||||||||||||||||||||
64 | A.8 Asset management (การบริหารจัดการทรัพย์สิน) | |||||||||||||||||||||||||
65 | A.8.1 Responsibility for assets (หน้าที่ความรับผิดชอบต่อทรัพย์สิน) | A.8.1.1 Inventory of assets (การจัดทำบัญชีทรัพย์สิน) | / | มีระบบบริหารจัดการครุภัณฑ์ (AMS) สำหรับเก็บข้อมูลรายการทรัพย์สินที่มีอยู่ | ||||||||||||||||||||||
66 | ||||||||||||||||||||||||||
67 | A.8.1.2 Ownership of assets (การระบุผู้เป็นเจ้าของทรัพย์สิน) | / | ระบุรายชื่อเจ้าของทรัพย์สินไว้ในระบบบริหารจัดการครุภัณฑ์ (AMS) | |||||||||||||||||||||||
68 | ||||||||||||||||||||||||||
69 | A.8.1.3 Acceptable use of asset (การจัดหมวดหมู่ทรัพย์สิน) | / | มีการจัดหมวดหมู่ของทรัพย์สิน และระบุไว้ระบบบริหารจัดการครุภัณฑ์ (AMS) | |||||||||||||||||||||||
70 | ||||||||||||||||||||||||||
71 | ||||||||||||||||||||||||||
72 | A.8.1.4 Return of assets (การคืนทรัพย์สินขององค์กร) | / | การคืนทรัพย์สินขององค์กรต้องเขียนแบบฟอร์มการคืน รวมถึงต้องลบข้อมูลที่เป็นความลับออกจากตัวเครื่องก่อนเสมอ ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 4 ข้อ 52 หน้า 10 | |||||||||||||||||||||||
73 | ||||||||||||||||||||||||||
74 | A.8.2 Information classification (การจัดชั้นความลับของสารสนเทศ) | A.8.2.1 Classification of Information (การจำแนกประเภทของข้อมูล) | / | แบ่งประเภทของข้อมูลไว้ 2 ประเภท คือ ข้อมูลด้านการบริหาร และข้อมูลด้านวิทยาศาสตร์การแพทย์ และมีการสื่อสารให้ผู้เกี่ยวข้องรับทราบผ่าน e-mail และกลุ่มไลน์ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 ข้อ 3(2)(2.1) หน้า 3 | ||||||||||||||||||||||
75 | ||||||||||||||||||||||||||
76 | ||||||||||||||||||||||||||
77 | A.8.2.2 Labelling of information (การจัดทำป้ายชื่อ และการจัดการทรัพย์สินสารสนเทศ) | / | มีสติ๊กเกอร์ป้ายชื่อของอุปกรณ์ต่างๆ ที่พิมพ์ออกจากระบบบริหารจัดการครุภัณฑ์ (AMS) ติดอยู่ที่อุปกรณ์ เพื่อบอกรายละเอียดของอุปกรณ์แต่ละประเภท | |||||||||||||||||||||||
78 | ||||||||||||||||||||||||||
79 | ||||||||||||||||||||||||||
80 | A.8.2.3 Handling of assets (ขั้นตอนปฏิบัติสำหรับการจัดการสารสนเทศ) | / | กำหนดการบริหารจัดการข้อมูลสารสนเทศ มีกระบวนการสร้างข้อมูล การจัดเก็บข้อมูล การใช้ข้อมูล การเผยแพร่ข้อมูล การทำลาย ซึ่งข้อมูล แต่ละระดับ ของข้อมูลในระบบสารสนเทศ ควรมีการวิเคราะห์ ประเภทการให้บริการ (ผู้บริหาร สำนักงาน ให้บริการประชาชน) การเชื่อมโยง(ใช้ภายในหน่วยงาน ภายนอกหน่วยงาน) ฯลฯ เพื่อพิจารณาการรับ การจัดเก็บ การส่งต่อ การทำลาย และจำกัดการเข้าถึงตามความเหมาะสมโดยผู้มีอำนาจ ซึ่งระบไว้ในนโยบายและแนวปฏิบัติฯ ส่วนที่ 4 หน้า 9-10 และส่วนที่ 14 หน้า 26 | |||||||||||||||||||||||
81 | ||||||||||||||||||||||||||
82 | ||||||||||||||||||||||||||
83 | A.8.3 Media handling (การจัดการสื่อที่ใช้ในการบันทึกข้อมูล) | A.8.3.1 Management of removable media (การบริหารจัดการสื่อบันทึกข้อมูลที่สามารถเคลื่อนย้ายได้) | / | การนำสื่อบันทึกข้อมูลมาใช้กับระบบเครือข่ายของกรม ต้องตรวจสอบไวรัสทุกครั้ง และต้องไม่ทำการสำเนาข้อมูลที่เป็นความลับของกรมลงบนสื่อบันทึกข้อมูล ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 15 หน้า 28 ข้อ (12) | ||||||||||||||||||||||
84 | ||||||||||||||||||||||||||
85 | ||||||||||||||||||||||||||
86 | ||||||||||||||||||||||||||
87 | A.8.3.2 Disposal of media (การกำจัดสื่อบันทึกข้อมูล) | / | กำหนดวิธีการทำลายสื่อบันทึกข้อมูลแต่ละประเภทไว้แตกต่างกัน ทั้งการทุบทำลาย การบด การหั่น การเผา ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 4 หน้า 10 ข้อ 46 | |||||||||||||||||||||||
88 | ||||||||||||||||||||||||||
89 | A.8.3.3 Physical media transfer (การส่งสื่อบันทึกข้อมูลออกไปนอกองค์กร) | / | ไม่อนุญาตให้นำสื่อบันทึกข้อมูลมาใช้ในการปฏิบัติงานร่วมกับเครื่องคอมพิวเตอร์แม่ข่าย และการส่งสื่อบันทึกข้อมูลนั้น ต้องส่งผ่านผู้ให้บริการขนส่งที่น่าเชื่อถือ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 15 หน้า 29 ข้อ (13) | |||||||||||||||||||||||
90 | ||||||||||||||||||||||||||
91 | ||||||||||||||||||||||||||
92 | A.9 Access control (การควบคุมการเข้าถึง) | |||||||||||||||||||||||||
93 | A.9.1 Business requirements of access control (ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึง) | A.9.1.1 Access control policy (นโยบายการควบคุมการเข้าถึงระบบ) | / | การเข้าถึงระบบต้องได้รับอนุญาตจากผู้รับผิดชอบ/เจ้าของข้อมูล/เจ้าของระบบก่อน ซึ่งระบไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 หน้า 3 และส่วนที่ 2 หน้าที่ 5 | ||||||||||||||||||||||
94 | ||||||||||||||||||||||||||
95 | ||||||||||||||||||||||||||
96 | A.9.1.2 Access to networks and network services (นโยบายการใช้งานบริการเครือข่าย) | / | จำกัดสิทธิ์การเข้าถึงระบบเครือข่ายที่ได้รับอนุญาตเท่านั้น และจำกัดเส้นทางการเข้าถึง ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 11-12 ข้อ 57 | |||||||||||||||||||||||
97 | ||||||||||||||||||||||||||
98 | ||||||||||||||||||||||||||
99 | ||||||||||||||||||||||||||
100 | A.9.2 User access provisioning (การบริหารจัดการการเข้าถึงของผู้ใช้งาน) | A.9.2.1 User registration and de-registration (การลงทะเบียนพนักงาน) | / | ผู้ใช้งานต้องกรอกข้อมูลแบบฟอร์มการลงทะเบียน และจะได้รับสิทธิ์การใช้งานเป็นลายลักษณ์อักษรผ่านเอกสาร ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 8 | ||||||||||||||||||||||