BlogGang.com : : คนขายไฟ :

แนวปฏิบัติว่าด้วยการรักษาความมั่นคงปลอดภัยสารสนเทศและเครือข่าย

หมวดโครงสร้างและความมั่นคงปลอดภัยในองค์กร
(Organizational information security)
แนวปฏิบัติ สิทธิ หน้าที่และความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัย

(Authorization Process for information processing facilities)

วัตถุประสงค แนวปฏิบัตินี้ระบุถึง สิทธิ หน้าที่ และความรับผิดชอบของบุคคลในหน่วยงานที่มีส่วนเกี่ยวข้องในการใช้งาน การดูแลรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ เพื่อเป็นการปกป้องทรัพยสินของ หน่วยงานใหมีความมั่นคงปลอดภัย แนวปฏิบัตินี้มีผลใชกับพนักงานและลูกจ้างและบุคคลภายนอกที่มีส่วนเกี่ยวข้อง ทั้งหมด
สิทธิ หน้าที่และความรับผิดชอบ
1. ผู้บริหารระดับสูง
1.1 มีสิทธิและหน้าที่ในการกำหนดชั้นความลับ(ทุกชั้นความลับ) สำหรับ “ข้อมูลและสารสนเทศที่
กำหนดชั้นความลับ” ของ หน่วยงาน ที่อยู่ภายใต้สายงานการบังคับบัญชาทั้งหมด
1.2 มีสิทธิที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับ ทุกชั้นความลับที่อยู่ภายใต้สายงานการบังคับบัญชาทั้งหมด
1.3 มีสิทธิที่จะสั่งการ อนุญาตสิทธิ เพิกถอนสิทธิและระงับสิทธิ หรือการมอบอำนาจอย่างเป็นลายลักษณ์ให้ผู้ใต้บังคับบัญชา อนุญาตสิทธิ เพิกถอนสิทธิและระงับสิทธิ ของ “ผู้ใช้” ในการเข้าถึงและใช้งาน ”ข้อมูลและสารสนเทศที่กำหนดชั้นความลับ”ทุกชั้นความลับที่อยู่ภายใต้
1.4 มีสิทธิในการแต่งตั้งให้พนักงานของ หน่วยงาน ทำหน้าที่เป็น “ผู้ดูแลระบบ” สำหรับระบบงานเทคโนโลยีสารสนเทศที่อยู่ภายใต้สายงานการบังคับบัญชา
2. ผู้บริหารระดับกลาง
2.1 มีสิทธิและหน้าที่ในการกำหนดชั้นความลับ ทุกชั้นความลับ สำหรับ “ข้อมูลและสารสนเทศที่
กำหนดชั้นความลับ” ของ หน่วยงาน(Confidential Data and Information) ที่อยู่ภายใต้สายงานการบังคับ
2.2 มีสิทธิเสนอต่อ “ผู้บริหารระดับสูง” เพื่อพิจารณาสั่งการให้ข้อมูลหรือสารสนเทศอันเป็นผลลัพธ์ซึ่งเกิดจากการประมวลผล ข้อมูลหรือสารสนเทศที่มีที่มาจากสายงานการบังคับบัญชา
2.3 มีสิทธิที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับทุกชั้นความลับที่อยู่ภายใต้สายงานการบังคัญบัญชาทั้งหมด
2.4 มีสิทธิ์ที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับ (Confidential Data and Information) อื่นๆ ของ หน่วยงาน เท่าที่ได้รับอนุญาตจาก “ผู้บริหารระดับสูง”
2.5 มีสิทธิ์ที่จะสั่งการอนุญาตสิทธิ์เพิกถอนสิทธิ์และระงับสิทธิ์ของ “ผู้ใช้” ในการเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับ(Confidential Data and Information) เฉพาะที่อยู่ภายใต้สายงานการบังคับบัญชาทั้งหมด
3. ผู้บริหารระดับต้น
3.1 มีสิทธิที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับเฉพาะ (Confidential Data
and Information) “ชั้นความลับชั้นต้น” ที่อยู่ภายใต้สายงานการบังคับบัญชาทั้งหมด
3.2 มีสิทธิที่จะเข้าถึงและใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับเฉพาะ “ชั้นความลับขั้นสูง” เท่าที่ได้รับอนุญาตจาก        “ผู้บริหารระดับสูง” โดยต้องผ่านความเห็นชอบของ “ผู้บริหารระดับกลาง” ที่เป็นเจ้าของระบบงานเทคโนโลยีสารสนเทศ
4. ผู้ดูแลระบบ(System Administrator)
4.1 “ผู้ดูแลระบบ” มีสิทธิที่จะดำเนินการมาตรการตามสมควรเพื่อประสิทธิภาพและความเรียบร้อยของ
ระบบ รวมทั้งรักษาความมั่นคงปลอดภัย และความเป็นส่วนตัวของ     แฟ้มข้อมูลเอกสารที่พิมพ์ออกมา
4.2 “ผู้ดูแลระบบ” ไม่มีสิทธิในการเปิดอ่าน    E-mail ส่วนตัวของ “ผู้ใช้” หรือการสื่อสารระหว่างกันที่เป็นส่วนตัว (เช่น ICQ , MSN ,Talk ) ยกเว้นในกรณีที่ใช้ในการสืบสวนเกี่ยวกับการใช้งานระบบอย่างไม่ถูกต้องหรือละเมิดสิทธิผู้อื่น หรือมีการร้องขอจากหน่วยงานตำรวจ
4.3 “ผู้ดูแลระบบ” ไม่มีสิทธิในการเปิดอ่าน หรือใช้งานข้อมูลและสารสนเทศที่กำหนดชั้นความลับ ยกเว้นในกรณีที่ได้รับอนุญาตสิทธิ เป็นลายลักษณ์อักษรจาก ผู้บริหาร ที่สามารถอนุญาตสิทธิ
4.4 “ผู้ดูแลระบบ”    มีสิทธิในการยุติการทำงานของระบบงานเทคโนโลยีสารสนเทศ หรือ ระบบโปรแกรม หรือ ระบบเครือข่ายซึ่งพบ     ว่าเป็นภัยต่อความมั่นคงปลอดภัยหรือสร้างภาระให้ระบบเทคโนโลยีสารสนเทศ โดยไม่จำเป็น โดยไม่ต้องมีการแจ้งล่วงหน้า
4.5 “ผู้แลระบบ” มีหน้าที่ต้องติดตามข่าวสาร ภาวะภัยคุกคาม ช่องโหว่ของ ระบบเทคโนโลยีสารสนเทศ และต้องปรับปรุงดูแลระบบเพื่อลดความเสี่ยงของการถูกบุกรุกอย่างสม่ำเสมอ
4.6 “ผู้ดูแลระบบ”   มีหน้าที่ต้องให้ความร่วมมือกับ แผนกควบคุมความปลอดภัยด้านเทคโนโลยีด้านสารสนเทศ ในการประเมิน ตรวจสอบ ทดสอบหาจุดอ่อน ช่องโหว่ อันเกี่ยวข้องกับความมั่นคงปลอดภัยของระบบ   เทคโนลยีสารสนเทศ และทำการแก้ไข          อย่างรวดเร็ว
4.7 “ผู้ดูแลระบบ” มีหน้าที่ต้องแจ้งต่อ หน่วยงานควบคุมความปลอดภัยด้านเทคโนโลยีสารสนเทศ ในกรณีที่ตรวจพบ หรือได้รับรายงานจาก “ผู้ใช้”   หรือสงสัย ว่าระบบเทคโนโลยีสารสนเทศที่รับผิดชอบโดยตรง หรือระบบที่เกี่ยวข้องถูกละเมิด     ทางด้านความมั่นคงปลอดภัย

Create Date : 10 มีนาคม 2552

1 comments

Last Update : 14 มีนาคม 2552 11:22:25 น.

Counter : 465 Pageviews.

นอนหลับฝันดีนะก้าบ

โดย: พลังชีวิต 10 มีนาคม 2552 22:12:08 น.