|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 | |
|
|
|
|
|
|
|
แนวปฏิบัติว่าด้วยการรักษาความมั่นคงปลอดภัยสารสนเทศและเครือข่าย
หมวดโครงสร้างและความมั่นคงปลอดภัยในองค์กร (Organizational information security) แนวปฏิบัติ สิทธิ หน้าที่และความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัย
(Authorization Process for information processing facilities)
วัตถุประสงค แนวปฏิบัตินี้ระบุถึง สิทธิ หน้าที่ และความรับผิดชอบของบุคคลในหน่วยงานที่มีส่วนเกี่ยวข้องในการใช้งาน การดูแลรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ เพื่อเป็นการปกป้องทรัพยสินของ หน่วยงานใหมีความมั่นคงปลอดภัย แนวปฏิบัตินี้มีผลใชกับพนักงานและลูกจ้างและบุคคลภายนอกที่มีส่วนเกี่ยวข้อง ทั้งหมด สิทธิ หน้าที่และความรับผิดชอบ 1. ผู้บริหารระดับสูง 1.1 มีสิทธิและหน้าที่ในการกำหนดชั้นความลับ(ทุกชั้นความลับ) สำหรับ ข้อมูลและสารสนเทศที่ กำหนดชั้นความลับ ของ หน่วยงาน ที่อยู่ภายใต้สายงานการบังคับบัญชาทั้งหมด 1.2 มีสิทธิที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับ ทุกชั้นความลับที่อยู่ภายใต้สายงานการบังคับบัญชาทั้งหมด 1.3 มีสิทธิที่จะสั่งการ อนุญาตสิทธิ เพิกถอนสิทธิและระงับสิทธิ หรือการมอบอำนาจอย่างเป็นลายลักษณ์ให้ผู้ใต้บังคับบัญชา อนุญาตสิทธิ เพิกถอนสิทธิและระงับสิทธิ ของ ผู้ใช้ ในการเข้าถึงและใช้งาน ข้อมูลและสารสนเทศที่กำหนดชั้นความลับทุกชั้นความลับที่อยู่ภายใต้ 1.4 มีสิทธิในการแต่งตั้งให้พนักงานของ หน่วยงาน ทำหน้าที่เป็น ผู้ดูแลระบบ สำหรับระบบงานเทคโนโลยีสารสนเทศที่อยู่ภายใต้สายงานการบังคับบัญชา 2. ผู้บริหารระดับกลาง 2.1 มีสิทธิและหน้าที่ในการกำหนดชั้นความลับ ทุกชั้นความลับ สำหรับ ข้อมูลและสารสนเทศที่ กำหนดชั้นความลับ ของ หน่วยงาน(Confidential Data and Information) ที่อยู่ภายใต้สายงานการบังคับ 2.2 มีสิทธิเสนอต่อ ผู้บริหารระดับสูง เพื่อพิจารณาสั่งการให้ข้อมูลหรือสารสนเทศอันเป็นผลลัพธ์ซึ่งเกิดจากการประมวลผล ข้อมูลหรือสารสนเทศที่มีที่มาจากสายงานการบังคับบัญชา 2.3 มีสิทธิที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับทุกชั้นความลับที่อยู่ภายใต้สายงานการบังคัญบัญชาทั้งหมด 2.4 มีสิทธิ์ที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับ (Confidential Data and Information) อื่นๆ ของ หน่วยงาน เท่าที่ได้รับอนุญาตจาก ผู้บริหารระดับสูง 2.5 มีสิทธิ์ที่จะสั่งการอนุญาตสิทธิ์เพิกถอนสิทธิ์และระงับสิทธิ์ของ ผู้ใช้ ในการเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับ(Confidential Data and Information) เฉพาะที่อยู่ภายใต้สายงานการบังคับบัญชาทั้งหมด 3. ผู้บริหารระดับต้น 3.1 มีสิทธิที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับเฉพาะ (Confidential Data and Information) ชั้นความลับชั้นต้น ที่อยู่ภายใต้สายงานการบังคับบัญชาทั้งหมด 3.2 มีสิทธิที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับเฉพาะ ชั้นความลับขั้นสูง เท่าที่ได้รับอนุญาตจาก ผู้บริหารระดับสูง โดยต้องผ่านความเห็นชอบของ ผู้บริหารระดับกลาง ที่เป็นเจ้าของระบบงานเทคโนโลยีสารสนเทศ 4. ผู้ดูแลระบบ(System Administrator) 4.1 ผู้ดูแลระบบ มีสิทธิที่จะดำเนินการมาตรการตามสมควรเพื่อประสิทธิภาพและความเรียบร้อยของ ระบบ รวมทั้งรักษาความมั่นคงปลอดภัย และความเป็นส่วนตัวของ แฟ้มข้อมูลเอกสารที่พิมพ์ออกมา 4.2 ผู้ดูแลระบบ ไม่มีสิทธิในการเปิดอ่าน E-mail ส่วนตัวของ ผู้ใช้ หรือการสื่อสารระหว่างกันที่เป็นส่วนตัว (เช่น ICQ , MSN ,Talk ) ยกเว้นในกรณีที่ใช้ในการสืบสวนเกี่ยวกับการใช้งานระบบอย่างไม่ถูกต้องหรือละเมิดสิทธิผู้อื่น หรือมีการร้องขอจากหน่วยงานตำรวจ 4.3 ผู้ดูแลระบบ ไม่มีสิทธิในการเปิดอ่าน หรือใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับ ยกเว้นในกรณีที่ได้รับอนุญาตสิทธิ เป็นลายลักษณ์อักษรจาก ผู้บริหาร ที่สามารถอนุญาตสิทธิ 4.4 ผู้ดูแลระบบ มีสิทธิในการยุติการทำงานของระบบงานเทคโนโลยีสารสนเทศ หรือ ระบบโปรแกรม หรือ ระบบเครือข่ายซึ่งพบ ว่าเป็นภัยต่อความมั่นคงปลอดภัยหรือสร้างภาระให้ระบบเทคโนโลยีสารสนเทศ โดยไม่จำเป็น โดยไม่ต้องมีการแจ้งล่วงหน้า 4.5 ผู้แลระบบ มีหน้าที่ต้องติดตามข่าวสาร ภาวะภัยคุกคาม ช่องโหว่ของ ระบบเทคโนโลยีสารสนเทศ และต้องปรับปรุงดูแลระบบเพื่อลดความเสี่ยงของการถูกบุกรุกอย่างสม่ำเสมอ 4.6 ผู้ดูแลระบบ มีหน้าที่ต้องให้ความร่วมมือกับ แผนกควบคุมความปลอดภัยด้านเทคโนโลยีด้านสารสนเทศ ในการประเมิน ตรวจสอบ ทดสอบหาจุดอ่อน ช่องโหว่ อันเกี่ยวข้องกับความมั่นคงปลอดภัยของระบบ เทคโนลยีสารสนเทศ และทำการแก้ไข อย่างรวดเร็ว 4.7 ผู้ดูแลระบบ มีหน้าที่ต้องแจ้งต่อ หน่วยงานควบคุมความปลอดภัยด้านเทคโนโลยีสารสนเทศ ในกรณีที่ตรวจพบ หรือได้รับรายงานจาก ผู้ใช้ หรือสงสัย ว่าระบบเทคโนโลยีสารสนเทศที่รับผิดชอบโดยตรง หรือระบบที่เกี่ยวข้องถูกละเมิด ทางด้านความมั่นคงปลอดภัย
Create Date : 10 มีนาคม 2552 |
|
1 comments |
Last Update : 14 มีนาคม 2552 11:22:25 น. |
Counter : 465 Pageviews. |
|
|
|
|
| |
|
|