ABCDEFGHIJKLMNOPQRSTUVWXYZ
1
แบบประเมินตนเอง ISO/IEC 27001:2013 กรมวิทยาศาสตร์การแพทย์
2
เอกสารแสดงการประยุกต์ใช้งาน (Statement of Applicability:SOA) ตาม Annex A
3
หน่วยงาน......กรมวิทยาศาสตร์การแพทย์........วันที่ประเมิน …9 ธันวาคม 2564........
4
5
Control ObjectivesControlsSelectedCurrently implemented / Justification for exclusionRemark
6
A
N/A
7
A.5 Information security policy (นโยบายความมั่นคงปลอดภัยสำหรับสารสนเทศ)
8
A.5.1 Management Directions for Information Security (ทิศทางการบริหารจัดการนโยบายความมั่นคงปลอดภัยสารสนเทศ)A.5.1.1 Policies for Information security (เอกสารนโยบายความมั่นคงปลอดภัยที่เป็นลายลักษณ์อักษร) /จัดทำนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อป้องกันภัยคุกคามในรูปแบบต่างๆที่อาจก่อความเสียหายต่อข้อมูลและทรัพย์สินของกรม
9
10
11
12
A.5.1.2 Review of the policies for information security (การทบทวนนโยบายความมั่นคงปลอดภัย) /ทบทวนนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ อย่างน้อยปีละ 1 ครั้ง (นโยบายและแนวปฏิบัติฯ หมวดที่ 6 หน้า 52 ข้อ 1)
13
14
15
16
A.6 Organization of Information Security – องค์กรแห่งความมั่นคงปลอดภัยของสารสนเทศ (ผู้บริหาร)
17
A.6.1 Internal organization
(โครงสร้างความมั่นคงปลอดภัยภายในองค์กร)
A.6.1.1 Information security roles and responsibilities (การกำหนดหน้าที่ความรับผิดชอบทางด้านความมั่นคงปลอดภัย) /กำหนดหน้าที่ความรับผิดชอบโดยมีการแต่งตั้งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง ระดับกรม (DCIO) ตามคำสั่งกรมวิทยาศาสตร์การแพทย์ ที่ 398/2564 ลงวันที่ 8 กุมภาพันธ์ 2564 และแต่งตั้งผู้บริหารเทคโนโลยีสารสนเทศระดับกอง (DIO) ตามคำสั่งกรมวิทยาศาสตร์การแพทย์ ที่ 3524/2563 ลงวันที่ 24 ธันวาคม 2563 รวมไปถึงมีการทบทวนโครงสร้างองค์กร ที่ส่งให้ กพร. เมื่อวันที่ 25 ตุลาคม 2564 และมีการเผยแพร่บทบาทหน้าที่ของแต่ละฝ่ายไว้ที่ เว็บไซต์ ศทส.
18
19
20
21
22
A.6.1.2 Segregation of duties (การแบ่งหน้าที่ความรับผิดชอบ) /กำหนดหน้าที่ความรับผิดชอบในแต่ละระดับ ตั้งแต่ระดับนโยบาย ระดับบริหาร และระดับปฏิบัติโดยแต่ละหน้าที่มีการควบคุมทบทวนและตรวจสอบ จากผู้บังคับบัญชาระดับเหนือขึ้นไป และมีแบบมอบหมายงานของบุคคลที่ระบุความรับผิดชอบของระบบต่างๆ
23
24
A.6.1.3 Contact with authorities (การมีรายชื่อและข้อมูลสำหรับการติดต่อกับหน่วยงานอื่น) รายชื่อคนในศูนย์ที่รับผิดชอบด้านต่างๆ /เผยแพร่รายชื่อผู้ติดต่อด้านการรักษาความมั่นคงปลอดภัย บนเว็บไซต์ของศูนย์เทคโนโลยีสารสนเทศ
25
26
27
28
29
A.6.1.4 Contact with special interest groups (การมีรายชื่อและข้อมูลสำหรับติดต่อกลุ่มที่มีความสนใจเป็นพิเศษในเรื่องเดียวกัน) /เผยแพร่รายชื่อผู้ติดต่อด้านการรักษาความมั่นคงปลอดภัยและกลุ่มคนที่สนใจในเรื่องเดียวกัน (DIO) และหน่วยงานภายนอกที่เกี่ยวข้อง บนเว็บไซต์ของศูนย์เทคโนโลยีสารสนเทศ
30
31
32
33
34
A.6.1.5 Information security in project management (โครงการต่างๆให้ความสำคัญกับความปลอดภัยข้อมูล) /กำหนดหัวข้อเกี่ยวกับความปลอดภัยข้อมูลไว้ในแบบฟอร์มขออนุมัติโครงการ 0604 FM 0010 แก้ไขครั้งที่ 01 ประกาศใช้ ตุลาคม 2564
35
36
A.6.2 Mobile devices and teleworking (โครงสร้างทางด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก)A.6.2.1 Mobile device policy (การกำหนดนโยบายสำหรับอุปกรณ์สื่อสารชนิดพกพา) /การนำอุปกรณ์พกพามาใช้ร่วมกับระบบเครือข่ายของกรม ต้องลงชื่อเข้าใช้งานเพื่อยืนยันตัวตน (นโยบายและแนวปฏิบัติ หมวดที่ 1 ส่วนที่ 15 หน้า 28-29 ข้อ 154(14) )
37
38
39
A.6.2.2 Teleworking (การปฏิบัติงานสำนักงาน) /การเข้าใช้งานจากภายนอกสำนักงาน ผู้ใช้งานต้องผ่านการพิสูจน์ตัวตน ขอสิทธิ์การใช้งาน teleworking ต้องมีการจัดเตรียมอุปกรณ์/ ข้อมูล อุปกรณ์สื่อสาร และและต้องมีการตรวจสอบว่าอุปกรณ์ที่เป็นของส่วนตัว ซึ่งใช้ในการเข้าถึงระบบเทคโนโลยีสารสนเทศของหน่วยงานจากระยะไกลมีการป้องกันไวรัสและการใช้งาน (นโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 9 หน้า 20)
40
41
A.7 Human resource security (ความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับบุคลากร)
42
A.7.1 Prior to employment (ก่อนการจ้างงาน)A.7.1.1 Screening (การตรวจสอบคุณสมบัติของผู้สมัคร) /กำหนดคุณสมบัติของเจ้าหน้าที่แต่ละตำแหน่งไว้ในแบบบรรยายลักษณะงาน (Job Description)
43
44
A.7.1.2 Terms and conditions of employment (การกำหนดเงื่อนไขการจ้างงาน) /ส่วนของข้าราชการกำหนดเงื่อนไขการจ้างตามระเบียบข้าราชการพลเรือน และในส่วนของบุคลากรตำแหน่งอื่นๆ ระบุไว้ในนโยบายและแนวปฏิบัติ หมวดที่ 8 หน้า 56 ข้อ 5
45
46
47
A.7.2 During employment (ระหว่างการจ้างงาน)A.7.2.1 Management responsibilities (หน้าที่ในการบริหารจัดการทางด้านความมั่นคงปลอดภัย) /กำหนดไว้ในแบบมอบหมายงานของเจ้าหน้าที่ผู้ปฏิบัติงาน ณ ศูนย์เทคโนโลยีสารสนเทศ
48
49
50
51
A.7.2.2 Information security awareness, education and training (การสร้างความตระหนัก การให้ความรู้ และการอบรมด้านความมั่นคงปลอดภัยให้แก่พนักงาน) /มีแผนพัฒนาบุคลากร และบันทึกการฝึกอบรมของบุคลากร โดยข้าราชการบันทึกไว้ในระบบ DPIS สำหรับ พกส.และลูกจ้างเหมา มีการเก็บรวบรวม เป็นเอกสารไว้
52
53
54
55
56
57
A.7.2.3 Disciplinary process (กระบวนการทางวินัยเพื่อลงโทษ) /บทลงโทษทางวินัยที่ระบุไว้ในระเบียบข้าราชการพลเรือน พ.ศ.2551 และ ระบุในนโยบายและแนวปฏิบัติฯ หมวดที่ 8 หน้า 57 ข้อที่ 7
58
59
60
7.3 Termination and change of employment (การสิ้นสุดหรือการเปลี่ยนการจ้างงาน)A.7.3.1 Termination of change of employment responsibilities (การสิ้นสุดหรือการเปลี่ยนการจ้างงาน) /เมื่อสิ้นสุดการจ้างให้ฝ่ายไอทียกเลิกสิทธิ์ในการเข้าถึงระบบต่างๆ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 8 หน้า 56 ข้อ 6 และกำหนดให้บุคคลนั้นต้องรักษาความลับของข้อมูลเป็นระยะเวลาอย่างน้อย 1 ปี อยู่ในแบบฟอร์มรักษาความเป็นกลาง
61
62
63
64
A.8 Asset management (การบริหารจัดการทรัพย์สิน)
65
A.8.1 Responsibility for assets (หน้าที่ความรับผิดชอบต่อทรัพย์สิน)A.8.1.1 Inventory of assets (การจัดทำบัญชีทรัพย์สิน) /มีระบบบริหารจัดการครุภัณฑ์ (AMS) สำหรับเก็บข้อมูลรายการทรัพย์สินที่มีอยู่
66
67
A.8.1.2 Ownership of assets (การระบุผู้เป็นเจ้าของทรัพย์สิน) /ระบุรายชื่อเจ้าของทรัพย์สินไว้ในระบบบริหารจัดการครุภัณฑ์ (AMS)
68
69
A.8.1.3 Acceptable use of asset (การจัดหมวดหมู่ทรัพย์สิน) /มีการจัดหมวดหมู่ของทรัพย์สิน และระบุไว้ระบบบริหารจัดการครุภัณฑ์ (AMS)
70
71
72
A.8.1.4 Return of assets (การคืนทรัพย์สินขององค์กร) /การคืนทรัพย์สินขององค์กรต้องเขียนแบบฟอร์มการคืน รวมถึงต้องลบข้อมูลที่เป็นความลับออกจากตัวเครื่องก่อนเสมอ ระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 4 ข้อ 52 หน้า 10
73
74
A.8.2 Information classification (การจัดชั้นความลับของสารสนเทศ)A.8.2.1 Classification of Information (การจำแนกประเภทของข้อมูล) /แบ่งประเภทของข้อมูลไว้ 2 ประเภท คือ ข้อมูลด้านการบริหาร และข้อมูลด้านวิทยาศาสตร์การแพทย์ และมีการสื่อสารให้ผู้เกี่ยวข้องรับทราบผ่าน e-mail และกลุ่มไลน์ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 ข้อ 3(2)(2.1) หน้า 3
75
76
77
A.8.2.2 Labelling of information (การจัดทำป้ายชื่อ และการจัดการทรัพย์สินสารสนเทศ) /มีสติ๊กเกอร์ป้ายชื่อของอุปกรณ์ต่างๆ ที่พิมพ์ออกจากระบบบริหารจัดการครุภัณฑ์ (AMS) ติดอยู่ที่อุปกรณ์ เพื่อบอกรายละเอียดของอุปกรณ์แต่ละประเภท
78
79
80
A.8.2.3 Handling of assets (ขั้นตอนปฏิบัติสำหรับการจัดการสารสนเทศ) /กำหนดการบริหารจัดการข้อมูลสารสนเทศ มีกระบวนการสร้างข้อมูล การจัดเก็บข้อมูล การใช้ข้อมูล การเผยแพร่ข้อมูล การทำลาย ซึ่งข้อมูล แต่ละระดับ ของข้อมูลในระบบสารสนเทศ ควรมีการวิเคราะห์ ประเภทการให้บริการ (ผู้บริหาร สำนักงาน ให้บริการประชาชน) การเชื่อมโยง(ใช้ภายในหน่วยงาน ภายนอกหน่วยงาน) ฯลฯ เพื่อพิจารณาการรับ การจัดเก็บ การส่งต่อ การทำลาย และจำกัดการเข้าถึงตามความเหมาะสมโดยผู้มีอำนาจ ซึ่งระบไว้ในนโยบายและแนวปฏิบัติฯ ส่วนที่ 4 หน้า 9-10 และส่วนที่ 14 หน้า 26
81
82
83
A.8.3 Media handling (การจัดการสื่อที่ใช้ในการบันทึกข้อมูล)A.8.3.1 Management of removable media (การบริหารจัดการสื่อบันทึกข้อมูลที่สามารถเคลื่อนย้ายได้) /การนำสื่อบันทึกข้อมูลมาใช้กับระบบเครือข่ายของกรม ต้องตรวจสอบไวรัสทุกครั้ง และต้องไม่ทำการสำเนาข้อมูลที่เป็นความลับของกรมลงบนสื่อบันทึกข้อมูล ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 15 หน้า 28 ข้อ (12)
84
85
86
87
A.8.3.2 Disposal of media (การกำจัดสื่อบันทึกข้อมูล) /กำหนดวิธีการทำลายสื่อบันทึกข้อมูลแต่ละประเภทไว้แตกต่างกัน ทั้งการทุบทำลาย การบด การหั่น การเผา ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 4 หน้า 10 ข้อ 46
88
89
A.8.3.3 Physical media transfer (การส่งสื่อบันทึกข้อมูลออกไปนอกองค์กร) /ไม่อนุญาตให้นำสื่อบันทึกข้อมูลมาใช้ในการปฏิบัติงานร่วมกับเครื่องคอมพิวเตอร์แม่ข่าย และการส่งสื่อบันทึกข้อมูลนั้น ต้องส่งผ่านผู้ให้บริการขนส่งที่น่าเชื่อถือ ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 15 หน้า 29 ข้อ (13)
90
91
92
A.9 Access control (การควบคุมการเข้าถึง)
93
A.9.1 Business requirements of access control (ข้อกำหนดทางธุรกิจสำหรับการควบคุมการเข้าถึง)A.9.1.1 Access control policy (นโยบายการควบคุมการเข้าถึงระบบ) /การเข้าถึงระบบต้องได้รับอนุญาตจากผู้รับผิดชอบ/เจ้าของข้อมูล/เจ้าของระบบก่อน ซึ่งระบไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 1 หน้า 3 และส่วนที่ 2 หน้าที่ 5
94
95
96
A.9.1.2 Access to networks and network services (นโยบายการใช้งานบริการเครือข่าย) /จำกัดสิทธิ์การเข้าถึงระบบเครือข่ายที่ได้รับอนุญาตเท่านั้น และจำกัดเส้นทางการเข้าถึง ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 5 หน้า 11-12 ข้อ 57
97
98
99
100
A.9.2 User access provisioning (การบริหารจัดการการเข้าถึงของผู้ใช้งาน)A.9.2.1 User registration and de-registration (การลงทะเบียนพนักงาน) /ผู้ใช้งานต้องกรอกข้อมูลแบบฟอร์มการลงทะเบียน และจะได้รับสิทธิ์การใช้งานเป็นลายลักษณ์อักษรผ่านเอกสาร ซึ่งระบุไว้ในนโยบายและแนวปฏิบัติฯ หมวดที่ 1 ส่วนที่ 2 หน้า 5 ข้อ 8