แนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยี สำนักงาน กสทช

1. แนวปฏิบัติการรักษาความ
มั่นคงปลอดภัยด้านเทคโนโลยี
สารสนเทศของสานักงาน
กสทช.

2. แนวปฏิบัติการรักษาความมั่นคงปลอดภัย
• บททั่วไป
• แนวปฏิบัติของผู้ดูแลระบบ
• แนวปฏิบัติของผู้ใช้งาน
• การจัดหาพัฒนา และการตรวจสอบด้านเทคโนโลยีสารสนเทศ
8/25/2017 2

3. แนวปฏิบัติของผู้ใช้งาน
• การบริหารจัดการบัญชีผู้ใช้งาน (User Account)
• การบริหารจัดการสินทรัพย์ (Assets Management)
• การบริหารจัดการซอฟต์แวร์และทรัพย์สินทางปัญญา (Software Licensing and
Intellectual Property)
• การป้องกันโปรแกรมไม่พึงประสงค์ (Malicious Code Prevention)
• การใช้งานอินเทอร์เน็ต (Use of the Internet)
• การใช้งานจดหมายอิเล็กทรอนิกส์ (Use of Electronic Mail)
• การควบคุมการเข้าถึงเครือข่าย (Network Access Control)
• การบริหารจัดการข้อมูลองค์กร
8/25/2017 3

4. การบริหารจัดการบัญชีผู้ใช้งาน (User Account)
• เมื่อได้รับบัญชีผู้ใช้งานจากผู้ดูแลระบบ ให้เปลี่ยนรหัสผ่านทันที
• ไม่น้อยกว่า ๘ ตัว ยกตัวอย่างเช่น Yr!S2012
• ไม่ตั้งรหัสผ่านด้วยข้อมูลที่เกี่ยวข้องกับตนเอง หรือมีอยู่ในพจนานุกรม
• ไม่เผยแพร่ ไม่แจกจ่าย ไม่ใช้ร่วมกับผู้อื่นหรือทาให้ผู้อื่นล่วงรู้
• รับผิดชอบต่อการกระทาใดๆ ที่เกิดจากบัญชีผู้ใช้งาน
• ไม่จดหรือบันทึกบัญชีผู้ใช้งานไว้ในสถานที่ที่ง่ายต่อการคาดเดา
• ควรปิดการใช้งาน (Lock) เครื่องคอมพิวเตอร์ทุกครั้ง (WIN+L)
• เมื่อคาดว่ามีการล่วงรู้รหัสผ่านจากบุคคลอื่น ให้เปลี่ยนรหัสผ่านทันที
8/25/2017 4

5. การบริหารจัดการสินทรัพย์(Assets Management)
• ดูแลรักษา สินทรัพย์ที่สานักงาน กสทช. มอบไว้ให้ใช้งาน
• ใช้งานสินทรัพย์และระบบสารสนเทศต่างๆ ในการปฏิบัติงานของสานักงาน
กสทช.
• แจ้งกลุ่มงานเทคโนโลยีสารสนเทศก่อนดาเนินการเปลี่ยนจุดติดตั้งหรือส่งซ่อม
สินทรัพย์ หรือผู้ใช้งานย้ายหน่วยงานที่สังกัดเสมอ
• ส่งคืนสินทรัพย์ให้เจ้าหน้าที่ผู้รับผิดชอบของกลุ่มงานเทคโนโลยีสารสนเทศ เมื่อ
ผู้ใช้งานต้องการยกเลิกสิทธิการครอบครองสินทรัพย์นั้นๆ หรือพ้นสภาพการเป็น
ผู้ปฏิบัติงานของสานักงาน กสทช.
• กาหนดระบบการป้องกันการเข้าถึงเครื่องคอมพิวเตอร์ส่วนตัวเมื่อนามาใช้งาน
ภายในเครือข่ายสานักงาน กสทช.
8/25/2017 5

6. การบริหารจัดการซอฟต์แวร์และทรัพย์สินทางปัญญา (Software
Licensing and Intellectual Property)
• ไม่คัดลอก แก้ไข ถอดถอนโปรแกรมมาตรฐานต่าง ๆ ที่ถูกติดตั้งบนเครื่อง
คอมพิวเตอร์ของสานักงาน กสทช. ที่กาหนดไว้ท้ายประกาศนี้ หรือนาไป
ติดตั้งบนเครื่องคอมพิวเตอร์ส่วนตัว หรือนาไปให้ผู้อื่นใช้งาน
• ไม่ติดตั้งหรือใช้งานซอฟต์แวร์อื่นใดที่ละเมิดทรัพย์สินทางปัญญา หากมีการ
ตรวจสอบพบความผิดฐานละเมิดทรัพย์สินทางปัญญา สานักงาน กสทช. ถือ
ว่าเป็นความผิดส่วนบุคคล
• ไม่ติดตั้งโปรแกรมคอมพิวเตอร์บนเครื่องคอมพิวเตอร์ของสานักงาน กสทช.
เพิ่มเติมก่อนได้รับอนุญาตจากผู้ดูแลระบบ
8/25/2017 6

7. การป้องกันโปรแกรมไม่พึงประสงค์
(Malicious Code Prevention)
• ไม่เปิดไฟล์ที่ไม่ทราบแหล่งที่มา หรือมาจากแหล่งที่มาที่ไม่น่าเชื่อถือ
• การนาอุปกรณ์จัดเก็บข้อมูลต่าง ๆ เช่น Thumb Drive และ Data
Storage มาใช้งานร่วมกับเครื่องคอมพิวเตอร์ของสานักงาน กสทช. ให้
ตรวจสอบหาโปรแกรมไม่พึงประสงค์ ก่อนทุกครั้ง
• ตรวจสอบไฟล์ที่แนบมากับจดหมายอิเล็กทรอนิกส์ (E-mail) หรือไฟล์ที่
ดาวน์โหลดมาจากอินเทอร์เน็ตด้วยโปรแกรมป้องกันไวรัสก่อนเปิดใช้งาน
• ตรวจสอบฐานข้อมูลไวรัสของโปรแกรมป้องกันไวรัส กรณีไม่ปรับปรุงให้
เป็นปัจจุบัน ผู้ใช้งานต้องแจ้งให้ผู้ดูแลระบบทราบโดยทันที
8/25/2017 7

8. การใช้งานอินเทอร์เน็ต (Use of the Internet)
• ปฏิบัติตามกฎหมายว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ อย่าง
เคร่งครัด
• ไม่ใช้งานอินเทอร์เน็ตของสานักงาน กสทช. เพื่อหาประโยชน์ในเชิงธุรกิจ ส่วนตัว
และการเข้าสู่เว็บไซต์ที่ขัดต่อศีลธรรม เว็บไซต์ที่มีเนื้อหาที่ขัดต่อชาติ ศาสนา
พระมหากษัตริย์ หรือเว็บไซต์ที่เป็นภัยต่อสังคม
• ไม่เปิดเผยข้อมูลสาคัญที่เป็นความลับของสานักงาน กสทช.โดยไม่ได้รับอนุญาต
• ไม่เสนอความคิดเห็นหรือใช้ข้อความยั่วยุ ให้ร้ายบุคคลอื่น หรือข้อมูลที่ผิด
กฎหมายในการใช้งานกระดานสนทนา (Web board) ของสานักงาน
กสทช.
• ไม่ใช้งานโปรแกรมแบบเพียร์ทูเพียร์ (Peer to Peer: P2P) ผ่านเครือข่าย
สานักงาน กสทช.
8/25/2017 8

9. การใช้งานอินเทอร์เน็ต (Use of the Internet)
• ไม่ใช้โปรแกรมประเภทบริการส่งข้อความทันที (Instant
Messaging: IM) เช่น Windows Live Essentials
Google Talk Line และ Skype เป็นต้น นอกเหนือจากการ
ปฏิบัติงาน ผ่านเครือข่ายสานักงาน กสทช.
• ไม่เข้าเว็บไซต์เครือข่ายสังคม (Social Network) เช่น
facebook MySpace และ Game online เป็นต้น
นอกเหนือจากการปฏิบัติงาน ผ่านเครือข่ายสานักงาน กสทช.
• ไม่ใช้งานสตรีมมิ่งมีเดีย (Streaming Media) นอกเหนือจาก
การปฏิบัติงาน ผ่านเครือข่ายสานักงาน กสทช.
• ไม่ใช้โปรแกรมควบคุมระยะไกล (Remote
Administrator) ผ่านเครือข่ายสานักงาน กสทช.
8/25/2017 9

10. การใช้งานจดหมายอิเล็กทรอนิกส์ (Use of Electronic Mail)
• การปฏิบัติงานที่เกี่ยวข้องกับสานักงาน กสทช. ไม่ให้ใช้ที่อยู่จดหมายอิเล็กทรอนิกส์อื่น (E-
mail address) และให้ใช้ที่อยู่จดหมายอิเล็กทรอนิกส์ (E-mail address) ของ
สานักงาน กสทช. (ชื่อบัญชีผู้ใช้งาน@nbtc.go.th) ที่ผู้ดูแลระบบกาหนดให้เท่านั้น
• ระมัดระวังในการใช้จดหมายอิเล็กทรอนิกส์เพื่อไม่ให้เกิดความเสียหายต่อสานักงาน กสทช.
หรือละเมิดทรัพย์สินทางปัญญา หรือละเมิดศีลธรรม สร้างความน่าราคาญต่อผู้อื่น หรือผิด
กฎหมาย รวมทั้ง ไม่แสวงหาผลประโยชน์ หรืออนุญาตให้ผู้อื่นแสวงหาผลประโยชน์ในเชิง
ธุรกิจ
• ออกจากระบบ (Log out) ทุกครั้งเมื่อไม่ใช้งานระบบจดหมายอิเล็กทรอนิกส์ เพื่อป้องกัน
บุคคลอื่นเข้าใช้งานจดหมายอิเล็กทรอนิกส์
• ตรวจสอบเอกสารที่แนบมาจากจดหมายอิเล็กทรอนิกส์ก่อนทาการเปิดโดยใช้โปรแกรม
ป้องกันไวรัส
• ไม่เปิดหรือส่งต่อจดหมายอิเล็กทรอนิกส์หรือข้อความที่ได้รับจากผู้ส่งที่ไม่รู้จัก หรือมี
ลักษณะ
สแปมเมล์ (Spam Mail) เช่น การหลอกลวง การขายสินค้า การสมัครสมาชิก เป็นต้น
• ตรวจสอบตู้เก็บจดหมายอิเล็กทรอนิกส์ (Inbox) ของตนเองทุกวันและควรลบจดหมาย
อิเล็กทรอนิกส์ที่ไม่ต้องการออกจากระบบเพื่อลดปริมาณการใช้เนื้อที่ระบบจดหมาย
อิเล็กทรอนิกส์
8/25/2017 10

11. การควบคุมการเข้าถึงเครือข่าย (Network Access Control)
• ลงทะเบียนคาขอใช้งานและต้องได้รับอนุญาตจากผู้ดูแล
ระบบก่อนการเข้าถึงเครือข่ายภายในสานักงาน กสทช. ด้วย
เครื่องคอมพิวเตอร์ส่วนตัว
• การใช้งานเครือข่ายอินทราเน็ต ผ่านเครือข่ายอินเทอร์เน็ตจาก
ภายนอกสานักงาน กสทช. ผู้ใช้งานต้องเชื่อมต่อด้วย
เทคโนโลยีเครือข่ายเสมือนส่วนตัว (Virtual Private
Network: VPN) ตามที่สานักงาน กสทช. กาหนด
• ห้ามกระทาการใดๆที่ส่งผลกระทบ ชะลอ ขัดขวาง หรือ
รบกวน เครือข่ายสานักงาน กสทช. จนไม่สามารถทางาน
ตามปกติได้
8/25/2017 11

12. การบริหารจัดการข้อมูลองค์กร
• ระมัดระวังในการนาสื่อบันทึกข้อมูลให้ผู้อื่นใช้งาน
• ดูแลรักษาความลับของข้อมูลลับ โดยหากข้อมูลอยู่ในรูปแบบ
อิเล็กทรอนิกส์จะต้องมีการป้องกันการเข้าถึงจากผู้ไม่มีสิทธิ
โดยจะต้องใช้เทคโนโลยีที่ทางสานักงาน กสทช. กาหนดให้ หรือ
อย่างน้อยจะต้องเป็นเทคโนโลยีที่ได้รับการยอมรับและเป็นที่
รู้จักดี
• ไม่นาข้อมูลไปเปิดเผยกับบุคคลซึ่งไม่มีความเกี่ยวข้องกับการ
ปฏิบัติหน้าที่ เว้นแต่ ได้รับอนุญาตจากหัวหน้าหน่วยงาน
8/25/2017 12
Flash