1. โครงการจางที่ปรึกษาจัดทําระบบรักษาความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศและการสื่อสาร กรมสรรพสามิต
Written by: Avirot M. Liangsiri
[Mita29@gmail.com]
http://www.excise.go.th/ 1
โครงการจางที่ปรึกษาจัดทําระบบรักษาความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศและการสื่อสารกรมสรรพสามิต
Department of Excise
เอกสารนี้จัดทําขึ้นเพื่อนําเสนอแนวทาง คุณสมบัติ และขอบเขตความรับผิดชอบ ของทีมที่ปรึกษา
ในโครงการจัดจางที่ปรึกษาเพื่อจัดทําระบบรักษาความปลอดภัย ของระบบเทคโนโลยีสารสนเทศ
และการสื่อสาร กรมสรรพสามิต
องคประกอบโดยสังเขปของทีมที่ปรึกษา สามารถแบงออกไดดังนี้ :-
1. ทีมที่ปรึกษา (Consultant Team)
2. ทีมประมวลและจัดทําเอกสาร (เอกสารเชิงนโยบาย Policy และเอกสารปฏิบัติการ Practice
Statement)
3. ทีมฝกอบรมและตอบปญญา (Training and Help-Desk Team)
4. ทีมปฏิบัติการณ (Workshop Team)
ทีมที่ปรึกษา (Consultant Team)
ทีมที่ปรึกษาเปนทีมที่ประกอบดวยผูเชี่ยวชาญ จากหลายสายงานและเปนทีมหลักในการกําหนด
ทิศทาง การเลือกใชเทคโนโลยีที่เหมาะแกองคกร รวมถึงกําหนดขอบเขตของระบบรักษาความ
ปลอดภัย เพื่อใหเกิดความคุมคาสูงสุดในการนําระบบและเทคโนโลยี่มาใชในการปองการบุกรุก
และเพื่อรักษาขอมูลสําคัญขององคกร
ทีมที่ปรึกษาอาจประกอบดวยผูเชี่ยวชาญ ตั้งแต 3 ทานขึ้นไป
โดยมีคุณสมบัติขั้นตนของทีมที่ปรึกษาดังนี้
1. ผูเชี่ยวชาญดานการสื่อสารและเครือขาย (Communication and Network Expert).
ผูเชี่ยวชาญดานการสื่อสาร จะดูแลรับผิดชอบในการออกแบบเครือขายคอมพิวเตอรและ
การสื่อสาร ใหมีความคลองตัวและสามารถรองรับการใชงานและการขยายตัวในอนาคต
ได ซึ่งจะคํานึงถึงความปลอดภัยเปนที่ตั้ง และเลือกเทคโนโลยีและอุปกรณเครือขายที่
เหมาะสมเพื่อประสิทธิภาพสูงสุดในการสื่อสาร

2. โครงการจางที่ปรึกษาจัดทําระบบรักษาความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศและการสื่อสาร กรมสรรพสามิต
Written by: Avirot M. Liangsiri
[Mita29@gmail.com]
http://www.excise.go.th/ 2
2. ผูเชี่ยวชาญดานโปรแกรมและการออกแบบระบบ (Application and System Design
Expert).
ผูเชี่ยวชาญดานโปรแกรมและการออกแบบระบบ จะดูแลรับผิดชอบในการออกแบบการ
ทํางานรวมกันของระบบที่มีอยู ใหมีความปลอดภัยสูงสุด และสามารถทํางานบนระบบ
เครือขายใหไดประสิทธิภาพสูงสุด รวมถึงการเลือกระบบมีสามารถตอบสนองตอความ
ตองการของผูใชงานไดสูงสุดเชนกัน
3. ผูเชี่ยวชาญดานความปลอดภัยในระบบเครือขาย และโปรแกรม (Network and
Application Security Expert).
ผูเชี่ยวชาญดานความปลอดภัยในระบบเครือขาย และโปรแกรม จะรับผิดชอบในการ
กําหนดนโยบายดานความปลอดภัย(Security Policy) และออกแบบระบบรักษาความ
ปลอดภัยของระบบเครือขาย โปรแกรม และขอมูลขององคกร โดยมุงเนนใหสามารถปอง
กันระบบตางๆและทรัพยากรในองคกร โดยผูใชงานยังคงสามารถเขาถึงขอมูลและใชงาน
ระบบไดดวยดี และเลือกเทคโนโลยีที่เหมาะสมเพื่อการปองกันที่มีประสิทธิภาพสูงสุด
โดยในทีมที่ปรึกษาจะออกแบบระบบเครือขาย ระบบรักษาความปลอดภัย และการใชงานที่สอด
คลองกัน ทั้งนี้ทีมที่ปรึกษาจะหารือและจัดทําขอสรุปและแบบในภาพรวมของระบบรักษาความ
ปลอดภัยในองคกร และกําหนดขอบเขต ทิศทางในการจัดทํานโยบายดานความปลอดภัยขององค
กร
โครงรางแผนดานความปลอดภัยในองคกร
1. การรักษาความปลอดภัยดานกายภาพ (Physical Security)
1.1. การความคุมการเขาออกอาคาร สํานักงาน (Access Control)
1.2. การบันทึกภาพและขอมูลการเขา-ออก และการเขาถึงและนําออกไปใช (CCTV
and Tracking System)
1.3. การกําหนดวิธีเก็บรักษาขอมูลสื่อนอกสถานที่ และสื่อในการสํารองขอมูล (Off-
Site Backup Media Storage)
1.4. การเตรียมสํารองพลังงาน และกระแสไฟฟา (Power Assurance /
Redundancy)
1.5. การกําหนดแผนสํารองขอมูลและระบบสํารองในกรณี เกิดภัยพิบัติ (Disaster
Recovery Plan and Procedure)
1.6. การกําหนดคุณสมบัติของหองนิรภัย ในการเก็บอุปกรณ สื่อสารและเครื่องแม
ขายที่สําคัญ (Site Preparation for Secure Room)

3. โครงการจางที่ปรึกษาจัดทําระบบรักษาความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศและการสื่อสาร กรมสรรพสามิต
Written by: Avirot M. Liangsiri
[Mita29@gmail.com]
http://www.excise.go.th/ 3
1.7. การแบงสวนพื้นที่ตามระดับความปลอดภัย และสิทธิของผูปฏิบัติงาน
(Workspace Segmentation / Zoning)
2. การรักษาความปลอดภัยดานเครือขาย (Network Security)
2.1. การกําหนดนโยบายและประเมินความเสี่ยง ในระบบเครือขายและบริการบน
เครือขายภายในองคกร (Network Security Based-
2.2. การควบคุมและกําหนดสิทธิในการใชเครือขายและเขาถึงบริการบนเครือขาย
(Access Control / Firewall)
2.3. การควบคุมทิศทางในการสงผานขอมูล(เขา-ออก) โดยแบงตามบริการที่เรียก
รองทั้งจากภาพในเครือขายและจากภายนอกเครือขาย (Packet Filtering –
Stateful Inspection / Firewall)
2.4. การควบคุมและกําหนดกรรมวิธีการเขารหัสในการสื่อสาร (Firewall-VPN)
2.5. การยืนยันสิทธิและผูใชงานสําหรับการเขารหัสในการสื่อสาร (User
Authentication for VPN Connection)
2.6. การตรวจสอบและเฝาระวังการบุกรุกผานการติดตอสื่อสารทั้งภายใน และภาย
นอกเครือขาย tเพื่อแจงเตือนผูดูแลระบบ (Intrusion Detection System)
2.7. การตรวจสอบและปองกันการบุกรุกผานเครือขาย ทั้งจากภายในและภายนอก
(Intrusion Prevention System)
2.8. การตรวจสอบและปองกันไวรัส ที่ลักลอบมากับไฟลและขอมูลผานเครือขาย ทั้ง
จากภายในและภายนอก (Virus Protection Gateway)
2.9. การตรวจสอบและปองกันไวรัส ที่ลักลอบมากับอีเมลและไฟลแนบ (Email Virus
Scan)
2.10. การตรวจสอบขอความและกรองขอความที่นําสง ผานเครือขาย (Email and
URL Filtering / Anti-Phishing / Anti-Popup)
2.11. การกําหนดขอบเขตและแบงสวนในเครือขายตามสิทธิและการใชบริการเครือ
ขาย และหรือรวมถึงบริการที่มีบนเครือขาย โดยแยกสวน IP ใหชัดเจน
(Network Segmentation)
2.12. การกําหนดลําดับความสําคัญของการสื่อสารตามสิทธิของผูใช และทิศทาง
การสื่อสาร (Quality of Service / Traffic Shaping)
2.13. การเพิ่มความเสถียร และการใหบริการเครือขายโดยระบบเครือขายสํารอง
(Backup [Active-Standby) และหรือ ระบบแบงภาระรวมกันทํางาน (Load
Balancing)

4. โครงการจางที่ปรึกษาจัดทําระบบรักษาความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศและการสื่อสาร กรมสรรพสามิต
Written by: Avirot M. Liangsiri
[Mita29@gmail.com]
http://www.excise.go.th/ 4
3. การรักษาความปลอกภัยดานขอมูล (Information Security)
3.1. การกําหนดนโยบายและประเมินความเสี่ยง ขอมูลขององคกร (Information
Security Based-line)
3.2. การสํารองขอมูล สื่อสําหรับการสํารองขอมูล และแผนการสํารองขอมูล (Data
backup)
3.3. กําหนดขั้นตอนการเขาถึงขอมูล และสิทธิของผูใช รวมถึงสิทธิในการเปลี่ยน
แปลงขอมูล (Access Control / Authorization)
3.4. การกําหนดระดับชั้นของความลับของขอมูล และการเขารหัสเพื่อเปนความลับ
(Confidentiality and Data Encryption)
3.5. การยืนยันสิทธิและลําดับขั้นตอนการยืนยันตัวตนของผูใชงานขอมูล (User
Authentication)
3.6. การยืนยันความถูกตองของขอมูล ทั้งกอนและหลังการเก็บรักษาขอมูล (Data
Integrity / Data Verification)
3.7. การปองกันการปฏิเสธความรับผิดชอบในขอมูลของผูใช และจากเจาของขอมูล
นั้นๆ (Non-Repudiation)
3.8. การยืนยันและรับรองความถูกตองของขอมูลของผูใช รวมถึงขั้นตอนในการยืน
ยันรับรองขอมูล (Digital Signature)
3.9. การกําหนดมาตรฐาน และรูปแบบในการจัดเก็บขอมูลโดยใหเปนไปโดยสอด
คลองกันทั้งองคกร(Data Formation / Migration)
3.10. กําหนดลําดับขั้นตอนในการกูขอมูล และรวมถึงบุคคลผูรับผิดชอบดูแล ในการ
กูและนํากลับคืนของขอมูล ที่เสียหายหรือสูญหาย (Data Recovery
Procedure)
4. การรักษาความปลอดภัยดานการออกแบบระบบและโปรแกรม (System and
Application Design
4.1. การกําหนดขั้นตอนในการออกแบบและติดตั้งระบบปฏิบัติการณ เพื่อความ
ปลอดภัยของระบบตั้งแตการติดตั้ง (Security Designed Application and
Hardening Operation System)
4.2. การกําหนดลําดับความสําคัญของการสื่อสาร ตามความสําคัญของบริการแม
ขาย บนเครือขาย (Quality of Service / Service Availability Guarantee)
4.3. การกําหนดความสามารถในการปรับเปลี่ยน และเปลี่ยนแปลง ระบบเพื่อรองรับ
คุณสมบัติและความสามารถใหมๆ ในอนาคต (Upgrade and Update Ability)

5. โครงการจางที่ปรึกษาจัดทําระบบรักษาความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศและการสื่อสาร กรมสรรพสามิต
Written by: Avirot M. Liangsiri
[Mita29@gmail.com]
http://www.excise.go.th/ 5
4.4. การกําหนดระบบและขั้นตอนในการควบคุม และติดตั้ง การปรับเปลี่ยนและ
เปลี่ยนแปลง จากศูนยกลาง(Patch Management)
ทีมประมวลและจัดทําเอกสาร (เอกสารเชิงนโยบาย Policy และเอกสารปฏิบัติ
การ Practice Statement)
ทีมประมวลและจัดทําเอกสารเปนทีมที่ประกอบดวยผูเชี่ยวชาญเฉพาะดานที่มีประสบการณ ใน
การออกแบบและจัดทําเอกสารเชิงนโยบาย และหรือจัดทําเอกสารคูมือ การปฏิบัติงานเพื่อใหเปนคู
มือในการปฏิบัติงานของผูใชในองคกรขนาดใหญ
ทีมประมวลและจัดทําเอกสาร มีหนาที่รางและจัดทําเอกสาร ทั้งเชิงนโยบาย และเอกสารคูมือ
ปฏิบัติงานโดยจะรางตามนโยบายขององคกร ที่ทีมที่ปรึกษาและผูบริหารอนุมัติเรียบรอยแลว และ
รวมถึงกําหนดรูปแบบมาตรฐาน ของเอกสาร และแบบฟอรมในองคกร ใหสอดคลองกันโดยภาพ
รวม
ทีมประมวลและจัดทําเอกสาร ประกอบดวยบุคลากร ซึ่งมีคุณสมบัติขั้นตนดังนี้
1. ผูเชี่ยวชาญดานการออกแบบเอกสาร และจัดทํารางนโยบายดานความปลอดภัย
2. ผูเชี่ยวชาญหรือผูมีประสบการณดานกฎขอบังคับ และกฎหมาย
3. ผูเชี่ยวชาญที่มีความรู ความสามารถดานการรักษาความปลอดภัย
4. ผูเชี่ยวชาญดานการควบคุมดูแล การปฏิบัติงาน และการฝกอบรม
องคประกอบของเอกสารมีดังนี้
1. เอกสารนโยบาย (Policy Document)
1.1. เอกสารนโยบาย ที่กําหนดเปาหมายและจุดประสงค ขององคกรในการรักษา
ความปลอดภัย
1.2. เอกสารนโยบาย ขอบขายความรับผิดชอบ ในตําแหนงหนาที่ตางๆ
1.3. เอกสารนโยบาย ขอบขายการปฏิบัติงาน
2. เอกสารปฏิบัติงาน (Practice Statement / Manual Document)
2.1. เอกสารปฏิบัติงานการรักษาความปลอดภัยดานกายภาพ
2.2. เอกสารปฏิบัติงานการรักษาความปลอดภัยดานเครือขาย
2.3. เอกสารปฏิบัติงานการรักษาความปลอดภัยดานขอมูล
2.4. เอกสารปฏิบัติงานการรักษาความปลอดภัยดานการออกแบบโปรแกรม

6. โครงการจางที่ปรึกษาจัดทําระบบรักษาความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศและการสื่อสาร กรมสรรพสามิต
Written by: Avirot M. Liangsiri
[Mita29@gmail.com]
http://www.excise.go.th/ 6
ทีมฝกอบรมและตอบปญญา (Training and Help-Desk Team)
เปนทีมที่ประกอบดวยผูเชี่ยวชาญในการฝกอบรมและคณาจารยจากสถาบันการศึกษา เพื่อจัดทํา
สื่อการสอนและอบรม เพื่อใชในการฝกอบรมผูใช โดยใหสอดคลองกับนโยบายและเอกสารปฏิบัติ
งานที่ไดจัดทําไวงานในองคกร
ทีมฝกอบรมและตอบปญหา มีหนาที่จัดทําคูมือการฝกอบรม กําหนดสื่อและอุปกรณในการฝกอบ
รม จัดเตรียมสถานที่และบุคลากรในการฝกอบรม รวมถึงการจัดตารางฝกอบรมใหสอดคลองตอ
ความตองการของผูใชงานในองคกร
ทีมฝกอบรมและตอบปญหา ประกอบดวยบุคลากรซึ่งมีคุณสมบัติขั้นตนดังนี้
1. ผูเชี่ยวชาญหรือคณาจารยผูมีประสบการณในการจัดฝกอบรม
2. ผูชํานาญการณดานการทําเอกสารฝกอบรมและคูมือ
3. ผูชํานาญการณดานการจัดการสัมมนาและฝกอบรม
4. ทีมงานผูฝกอบรมพรอมทีมงานจัดทําเอกสาร
หนาที่รับผิดชอบของทีมงาน
1. การจัดทําสื่อและเอกสารประกอบการฝกอบรม
1.1. สื่อสําหรับนําเสนอในการฝกอบรม
1.2. เอกสารประกอบการฝกอบรม สําหรับผูเขารับการอบรม
1.3. เอกสารทดสอบ และวัดผลการฝกอบรม
1.4. เอกสารฝกหัดเพื่อทบทวนและอางอิง
2. การวางแผนการฝกอบรม และตารางเวลาการฝกอบรม
2.1. แผนการฝกอบรม ระยะเวลาและขั้นตอนการฝกอบรม
2.2. การจัดหาทีมงาน และการจัดตารางเวลาใหเหมาะสม
2.3. รวบรวมความตองการ และประเมินระดับผูเขาอบรม ใหเหมาะกับเนื้อหาในกา
รอบรม โดยแบงเปน 3 ระดับ
2.3.1. ระดับผูปฏิบัติงาน หรือผูใชงานเบื้องตน
2.3.2. ระดับผูดูแลระบบ และผูมีหนาที่รับผิดชอบดานความปลอดภัยโดยตรง
2.3.3. ระดับผูบริหาร ซึ่งจะกําหนดนโยบายดานความปลอดภัย
3. การจัดเตรียมอุปกรณ และสถานที่ฝกอบรม
2.1. จัดทํารายการอุปกรณที่จําเปนในการจัดการฝกอบรม
2.2. มอบหมายและสงความตองการใหทีมปฏิบัติการณทําการจัดหา
2.3. จัดหาและเตรียมสถานที่สําหรับจัดฝกอบรม

7. โครงการจางที่ปรึกษาจัดทําระบบรักษาความปลอดภัย
ของระบบเทคโนโลยีสารสนเทศและการสื่อสาร กรมสรรพสามิต
Written by: Avirot M. Liangsiri
[Mita29@gmail.com]
http://www.excise.go.th/ 7
ทีมปฏิบัติการณ (Workshop Team)
เปนทีมที่ประกอบดวยผูเชี่ยวชาญดานตางๆ ในการติดตั้ง และกําหนดตั้งคาการใชงานระบบ รวม
ถึงการปรับเปลี่ยนระบบใหสามารถทํางาน สอดคลองกับนโยบาย และเอกสารปฏิบัติการณได
ทีมปฏิบัติการณ มีหนาที่จัดชุดระบบจําลองขนาดยอ เพื่อชวยทีมฝกอบรมในการฝกอบรม ภาค
ปฏิบัติและยังสามารถจําลองสถานะการณและปญหาของผูใชเพื่อใหไดมาซึ่งทางแกปญหา เพื่อ
ชวยเพิ่มพูนทักษะของผูใชงาน
ทีมปฏิบัติการณ ประกอบดวยบุคลากร ซึ่งมีคุณสมบัติขั้นตนดังนี้
1. ผูเชี่ยวชาญหรือผูมีประสบการณในดานการติดตั้ง กําหนดคาเริ่มตนระบบ และการตั้ง
คาใหระบบโดยรวมทํางานรวมกันอยางสมบูรณ
2. ผูเชี่ยวชาญหรือคณาจารยผูมีประสบการณในการฝกอบรม
3. ผูเชี่ยวชาญดานการจัดการและติดตั้งอุปกรณเครือขายคอมพิวเตอร
4. ทีมงานผูชวยฝกอบรม
หนาที่รับผิดชอบของทีมงาน
1. จัดเตรียมและติดตั้งอุปกรณชุดจําลอง สําหรับการฝกอบรม
2. จัดเตรียมและติดตั้งระบบ และจําลองการติดตั้งในการฝกอบรม
3. จําลองขอมูลและจําลองสถานะการณ การปฏิบัติงานจริง
4. จําลองสถานะการณวิกฤต ดานความปลอดภัย
5. จัดทําแบบทดสอบเพื่อวัดผลการจําลองสถานะการณในการฝกอบรม