by งานเทคโนโลยีสารสนเทศ
นโยบายการรักษาความมั่นคงปลอดภัยภายในองค์กร

 1. นโยบายการเข้าถึงและการควบคุมข้อมูล (Access Control Policy)

  • กำหนดว่าใครสามารถเข้าถึงข้อมูลใดได้บ้าง โดยใช้หลักการ “least privilege” คือให้สิทธิ์การเข้าถึงในระดับต่ำที่สุดที่จำเป็นสำหรับการทำงาน
  • ใช้ระบบการยืนยันตัวตน (Authentication) และการตรวจสอบสิทธิ์ (Authorization) เช่น การใช้รหัสผ่านที่ซับซ้อน การยืนยันตัวตนแบบสองขั้นตอน (2FA)

 2. นโยบายการรักษาความปลอดภัยของรหัสผ่าน (Password Policy)

  • กำหนดมาตรฐานรหัสผ่านที่ปลอดภัย เช่น ความยาวขั้นต่ำของรหัสผ่าน การใช้ตัวอักษรผสมทั้งตัวใหญ่ ตัวเล็ก ตัวเลข และอักขระพิเศษ
  • กำหนดการเปลี่ยนรหัสผ่านในระยะเวลาที่เหมาะสม และไม่ใช้รหัสผ่านเดียวกันกับหลายบัญชี

3. นโยบายการสำรองข้อมูล (Data Backup Policy)

  • กำหนดวิธีการและระยะเวลาการสำรองข้อมูลสำคัญขององค์กร เช่น การทำ Backup ข้อมูลทุกวันหรือทุกสัปดาห์
  • ตรวจสอบความถูกต้องของข้อมูลที่สำรองเพื่อให้สามารถกู้คืนข้อมูลได้ในกรณีที่เกิดเหตุการณ์ไม่คาดฝัน เช่น การโจมตีแบบ Ransomware หรือการสูญหายของข้อมูล

4. นโยบายการใช้เทคโนโลยีที่ปลอดภัย (Secure Technology Policy)

  • กำหนดมาตรการในการใช้งานซอฟต์แวร์และฮาร์ดแวร์ที่ปลอดภัย เช่น การใช้โปรแกรมป้องกันไวรัส, การอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ
  • ตรวจสอบให้แน่ใจว่าอุปกรณ์ที่เชื่อมต่อกับระบบเครือข่ายขององค์กรปลอดภัยและได้รับการควบคุม

5. นโยบายการป้องกันและตอบสนองต่อการโจมตี (Incident Response Policy)

  • กำหนดกระบวนการในการตอบสนองเมื่อเกิดการโจมตีหรือเหตุการณ์ที่ไม่พึงประสงค์ เช่น การจัดตั้งทีมตอบสนองต่อเหตุการณ์ (Incident Response Team)
  • กำหนดขั้นตอนในการตรวจจับและรายงานเหตุการณ์อย่างทันท่วงที รวมถึงการวิเคราะห์เหตุการณ์และการดำเนินการแก้ไข

6. นโยบายการควบคุมอุปกรณ์เคลื่อนที่ (Mobile Device Management Policy)

  • กำหนดมาตรการรักษาความปลอดภัยสำหรับอุปกรณ์เคลื่อนที่ เช่น สมาร์ทโฟนและแท็บเล็ตที่พนักงานใช้งานในการทำงาน
  • ใช้เทคโนโลยีการจัดการอุปกรณ์ (MDM) เพื่อควบคุมการเข้าถึงข้อมูลสำคัญจากอุปกรณ์เหล่านี้

7. นโยบายการฝึกอบรมด้านความปลอดภัย (Security Awareness Training Policy)

  • จัดการฝึกอบรมให้พนักงานทุกคนเข้าใจถึงภัยคุกคามทางไซเบอร์และวิธีการป้องกัน เช่น การระวัง Phishing, การไม่เปิดลิงก์ที่ไม่น่าเชื่อถือ
  • ฝึกให้พนักงานรู้จักวิธีการรายงานเหตุการณ์ที่สงสัยว่าอาจเป็นการโจมตีหรือความผิดปกติ

8. นโยบายการจัดการความเสี่ยง (Risk Management Policy)

  • ทำการประเมินความเสี่ยงทางไซเบอร์ขององค์กรอย่างต่อเนื่อง โดยมองหาจุดอ่อนและหาวิธีการลดความเสี่ยง
  • จัดทำแผนการรับมือหากเกิดเหตุการณ์ที่มีผลกระทบต่อธุรกิจ (Business Continuity Plan)

9. นโยบายการรักษาความปลอดภัยในเครือข่าย (Network Security Policy)

  • การใช้ไฟร์วอลล์ (Firewall), ระบบตรวจจับการบุกรุก (IDS/IPS), และระบบเข้ารหัสข้อมูลเพื่อป้องกันการเข้าถึงเครือข่ายโดยไม่ได้รับอนุญาต
  • กำหนดมาตรการในการควบคุมการเชื่อมต่อภายในและภายนอกเครือข่ายองค์กร

10. นโยบายการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Privacy Policy)

  • กำหนดวิธีการในการเก็บ รักษา และใช้งานข้อมูลส่วนบุคคลของพนักงานหรือลูกค้า โดยต้องเป็นไปตามกฎหมายที่เกี่ยวข้อง เช่น GDPR (General Data Protection Regulation) หรือ PDPA (Personal Data Protection Act)

11. นโยบายการตรวจสอบและติดตาม (Audit and Monitoring Policy)

  • กำหนดการตรวจสอบกิจกรรมต่างๆ ที่เกิดขึ้นในระบบ เช่น การตรวจสอบการเข้าถึงข้อมูล, การใช้ระบบเครือข่าย, การตรวจจับพฤติกรรมที่ผิดปกติ
  • การจัดทำบันทึกเหตุการณ์ (Log) และการตรวจสอบให้แน่ใจว่าไม่มีข้อมูลสำคัญสูญหาย
นโยบายการรักษาความมั่นคงปลอดภัยเว็บไซต์

 1. การปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์ (Cybersecurity Standards)

  • มาตรฐานการรักษาความปลอดภัยของข้อมูลภาครัฐ เช่น ISO/IEC 27001 (มาตรฐานระบบการจัดการความปลอดภัยของข้อมูล) หรือ NIST Cybersecurity Framework (กรอบการทำงานด้านความปลอดภัยไซเบอร์ของสหรัฐฯ) จะเป็นแนวทางหลักในการปฏิบัติ

 2. การเข้ารหัสข้อมูล (Encryption)

  • เว็บไซต์ของภาครัฐจะต้องมีการใช้การเข้ารหัสข้อมูลที่มั่นคง เช่น การใช้ SSL/TLS (Secure Socket Layer / Transport Layer Security) เพื่อป้องกันข้อมูลระหว่างผู้ใช้งานกับเว็บไซต์จากการถูกดักจับหรือแก้ไข
  • ข้อมูลส่วนบุคคลของประชาชนที่ถูกจัดเก็บในเว็บไซต์จะต้องได้รับการเข้ารหัสทั้งในระหว่างการส่งผ่านและเมื่อเก็บในฐานข้อมูล (Data at Rest)

3. การยืนยันตัวตนและการเข้าถึง (Authentication and Access Control)

  • ใช้ระบบการยืนยันตัวตนหลายขั้นตอน (Multi-Factor Authentication – MFA) เพื่อให้มั่นใจว่าผู้ใช้งานที่เข้าถึงข้อมูลหรือบริการออนไลน์ของภาครัฐเป็นผู้ที่ได้รับอนุญาตจริง ๆ
  • กำหนดสิทธิ์การเข้าถึงข้อมูลตามระดับความสำคัญ เช่น การใช้ Role-Based Access Control (RBAC) เพื่อให้แต่ละบุคคลสามารถเข้าถึงข้อมูลที่จำเป็นเท่านั้น

4. การป้องกันการโจมตี (Attack Prevention)

  • ใช้ระบบไฟร์วอลล์ (Firewall), ระบบป้องกันการโจมตีจากภายนอก (Intrusion Detection/Prevention System – IDS/IPS) และระบบการตรวจจับภัยคุกคาม (Threat Intelligence System) เพื่อเฝ้าระวังและป้องกันการโจมตีจากผู้ไม่หวังดี
  • นโยบายการป้องกันการโจมตี DDoS (Distributed Denial-of-Service) โดยใช้เทคโนโลยีเช่น Load Balancing หรือ Content Delivery Network (CDN) เพื่อลดผลกระทบจากการโจมตีที่ทำให้เว็บไซต์ล่ม

5. การอัปเดตและบำรุงรักษาระบบ (System Updates and Maintenance)

  • การตรวจสอบ ช่องโหว่ และ การอัปเดตซอฟต์แวร์ อย่างสม่ำเสมอเพื่อปิดช่องโหว่ที่อาจถูกโจมตีจากผู้ไม่หวังดี
  • การติดตั้งแพตช์ความปลอดภัย (Security Patches) และ การอัปเดตระบบปฏิบัติการ รวมถึง ซอฟต์แวร์ที่ใช้งาน เพื่อรักษาความปลอดภัยของระบบอย่างต่อเนื่อง

6. การตรวจสอบและการติดตาม (Monitoring and Logging)

  • การบันทึกและตรวจสอบกิจกรรมต่างๆ ที่เกิดขึ้นในเว็บไซต์ เช่น การเข้าถึงข้อมูลที่สำคัญ หรือการเปลี่ยนแปลงที่ผิดปกติ โดยใช้ระบบการจัดการบันทึกเหตุการณ์ (Log Management) และระบบตรวจสอบภัยคุกคาม (SIEM – Security Information and Event Management)
  • กำหนดมาตรการในการตรวจสอบและติดตามการทำงานของเว็บไซต์อย่างสม่ำเสมอเพื่อป้องกันและตรวจจับการโจมตีหรือภัยคุกคามที่อาจเกิดขึ้นได้

7. การจัดการเหตุการณ์ (Incident Response)

  • การมีแผนการตอบสนองเหตุการณ์ (Incident Response Plan) เมื่อเกิดการโจมตีหรือเหตุการณ์ที่ไม่คาดฝัน เช่น การโจมตีแบบ Ransomware หรือการแฮ็กข้อมูลสำคัญ
  • การมีทีมตอบสนองเหตุการณ์ (Incident Response Team) ที่พร้อมแก้ไขปัญหาได้อย่างรวดเร็วและมีการฝึกซ้อมแผนการตอบสนองอย่างสม่ำเสมอ

8. การประเมินความเสี่ยง (Risk Assessment)

  • การประเมินความเสี่ยงทางไซเบอร์ที่อาจเกิดขึ้นจากภัยคุกคามต่างๆ และจัดทำแผนการรับมือเพื่อรองรับสถานการณ์
  • การทำการทดสอบการเจาะระบบ (Penetration Testing) เพื่อตรวจสอบช่องโหว่ของระบบก่อนที่ผู้ไม่หวังดีจะใช้ประโยชน์จากช่องโหว่นั้น

9. การฝึกอบรมและสร้างความตระหนักด้านความปลอดภัย (Security Awareness Training)

  • การฝึกอบรมบุคลากรในภาครัฐให้มีความรู้ความเข้าใจเกี่ยวกับความปลอดภัยทางไซเบอร์ เช่น การหลีกเลี่ยงการตกเป็นเหยื่อของ Phishing หรือการไม่ใช้รหัสผ่านที่ไม่ปลอดภัย
  • การสร้างวัฒนธรรมการรักษาความปลอดภัยในองค์กรโดยการฝึกอบรมและทบทวนความรู้ด้านความปลอดภัยเป็นประจำ

10. การปฏิบัติตามกฎหมายและข้อบังคับ (Compliance with Regulations)

  • การปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้องกับความมั่นคงปลอดภัย เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA), กฎหมายเกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์ หรือ กฎระเบียบด้านความปลอดภัยของข้อมูลของรัฐบาล
  • การรายงานการละเมิดความปลอดภัยที่เกิดขึ้นให้กับหน่วยงานที่เกี่ยวข้องตามที่กฎหมายกำหนด
นโยบายการรักษามั่นคงปลอดภัยเว็บไซต์
ศูนย์อำนวยการบริหารจังหวัดชายแดนภาคใต้ (ศอ.บต.)
จัดทำเมื่อปี พ.ศ. 2559

มาตรการ และวิธีการรักษาความมั่นคงปลอดภัยเว็บไซต์

ศอ.บต. ได้ตระหนักถึงความสำคัญในการรักษาความมั่นคงปลอดภัยเว็บไซต์ เพื่อปกป้องข้อมูลของผู้ใช้บริการจากการถูกทำลาย หรือบุกรุกจากผู้ไม่หวังดี หรือผู้ที่ไม่มีสิทธิ์ในการเข้าถึงข้อมูล จึงได้กำหนดมาตรการรักษาความมั่นคงปลอดภัยเว็บไซต์ โดยใช้มาตรฐานการรักษาความปลอดภัยของข้อมูลขั้นสูงด้วยเทคโนโลยี Secured Socket Layer (SSL) ซึ่งเป็นเทคโนโลยีในการเข้าสู่ข้อมูลผ่านรหัสที่ระดับ 128 bits (128-bits Encryption) เพื่อเข้ารหัสข้อมูลที่ถูกส่งผ่านเครือข่ายอินเทอร์เน็ตในทุกครั้งที่มีการทำธุรกรรมทางการเงินผ่านเครือข่ายอินเทอร์เน็ตของ ศอ.บต.ทำให้ผู้ที่ดักจับข้อมูลระหว่างทางไม่สามารถนำข้อมูลไปใช้ต่อได้ โดยจะใช้การเข้ารหัสเป็นหลักในการรักษาความปลอดภัยของข้อมูล โดยผู้ใช้บริการสามารถสังเกตได้จากชื่อโปรโตคอลที่เป็น http://www.sbpac.go.th

เทคโนโลยีเสริมที่นำมาใช้ในการรักษาความมั่นคงปลอดภั

นอกจากมาตรการ และวิธีการรักษาความมั่นคงปลอดภัยโดยทั่วไปที่กล่าวข้างต้นแล้ว ศอ.บต. ยังใช้เทคโนโลยีระดับสูงดังต่อไปนี้เพื่อปกป้องข้อมูลส่วนตัวของท่าน

  • Firewall เป็นระบบซอฟท์แวร์ที่จะอนุญาตให้เฉพาะผู้ที่มีสิทธิ หรือผู้ที่ ศอ.บต. อนุมัติเท่านั้นจึงจะผ่าน Fire Wall เพื่อเข้าถึงข้อมูลได้
  • Scan Virus นอกจากเครื่องคอมพิวเตอร์ทุกเครื่องที่ให้บริการจะมีการติดตั้ง Software ป้องกัน Virus ที่มี ประสิทธิภาพสูง และ Update อย่างสม่ำเสมอแล้ว ศอ.บต. ยังได้ติดตั้ง Scan Virus Software บนเครื่อง Server โดยเฉพาะอีกด้วย
  • Cookies เป็นไฟล์คอมพิวเตอร์เล็กๆ ที่จะทำการเก็บข้อมูลชั่วคราวที่จำเป็นลงในเครื่องคอมพิวเตอร์ของผู้ขอใช้บริการ เพื่อความสะดวกและรวดเร็วในการติดต่อสื่อสาร อย่างไรก็ตาม ศอ.บต. ตระหนักถึงความเป็นส่วนตัวของผู้ใช้บริการเป็นอย่างดีจึงหลีกเลี่ยงการใช้ Cookies แต่ถ้าหากมีความจำเป็นต้องใช้ Cookies ศอ.บต. จะพิจารณาอย่างรอบคอบ และตระหนักถึงความปลอดภัยและความเป็นส่วนตัวของผู้ขอรับบริการเป็นหลัก
  • Auto Log off ในการใช้บริการของ ศอ.บต. หลังจากเลิกการใช้งานควร Log off ทุกครั้ง กรณีที่ผู้ใช้บริการลืม Log off ระบบจะทำการ Log off ให้โดยอัตโนมัติภายในเวลาที่เหมาะสมของแต่ละบริการ ทั้งนี้เพื่อความปลอดภัยของผู้ใช้บริการเอง

ข้อแนะนำเกี่ยวกับการรักษาความมั่นคงปลอดภัย

แม้ว่า ศอ.บต. จะมีมาตรฐานเทคโนโลยีและวิธีการทางด้านการรักษาความปลอดภัยอย่างสูง เพื่อช่วยมิให้มีการเข้าสู่ข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับของท่านโดยปราศจากอำนาจตามที่กล่าวข้างต้นแล้วก็ตาม แต่ก็เป็นที่ทราบกันอยู่โดยทั่วไปว่าปัจจุบันนี้ยังมิได้มีระบบรักษาความปลอดภัยใดๆ ที่จะสามารถปกป้องข้อมูลของท่านได้อย่างเด็ดขาดจากการถูกทำลายหรือถูกเข้าถึงโดยบุคคลที่ปราศจากอำนาจได้ ดังนั้นท่านจึงควรปฏิบัติตามข้อแนะนำเกี่ยวกับการรักษาความมั่นคงปลอดภัยดังต่อไปนี้ด้วยคือ

  • ระมัดระวังในการ Download Program จาก Internet มาใช้งาน และควรตรวจสอบ Address ของเว็บไซต์ให้ถูกต้องก่อน Login เข้าใช้บริการ เพื่อป้องกันกรณีที่มีการปลอมแปลงเว็บไซต์
  • ควรติดตั้งระบบตรวจสอบไวรัสไว้ที่เครื่อง และพยายามปรับปรุงให้โปรแกรมตรวจสอบไวรัสในเครื่องของท่านมีความทันสมัยอยู่เสมอ
  • ติดตั้งโปรแกรมประเภท Personal Fire wall เพื่อป้องกันเครื่องคอมพิวเตอร์จากการจู่โจมของผู้ไม่ประสงค์ดี เช่น Cracker หรือ Hacker

Loading

เว็บไซต์ sbpac.go.th มีการใช้งานเทคโนโลยีคุกกี้ หรือ เทคโนโลยีอื่นที่มีลักษณะใกล้เคียงกันกับคุกกี้ โปรดศึกษานโยบายการใช้คุกกี้ และ นโยบายความเป็นส่วนตัวของข้อมูลก่อนใช้บริการเว็บไซต์ ยอมรับ อ่านข้อมูล

Privacy & Cookies Policy