- ปิดล็อกประตูห้องตลอดเวลา
- ต้องมีระบบเตือนภัย เช่น ระบบ Door Access Alarm ระบบ Fire Alarm เป็นต้น
- กรณีบุคคลภายนอกมีความจำเป็นต้องเข้าออกพื้นที่ฯ จะต้องมีเจ้าหน้าที่คอยควบคุมติดตามอยู่ด้วยตลอดเวลาและหากต้องการ Access อุปกรณ์ใด จะต้องได้รับอนุญาตจากเจ้าของระบบหรือผู้มีสิทธิ์อนุญาตก่อน
- ต้องจัดวางตำแหน่งของอุปกรณ์อย่างเหมาะสม ป้องกันความเสี่ยงจากความร้อนจากแสงแดดฝุ่นละออง และความชื้น
- ต้องมีการบันทึกตรวจสอบสภาพความพร้อมของระบบ UPS,แสงสว่างฉุกเฉิน,ระบบป้องกันฟ้าผ่า, ระบบแอร์ และเก็บบันทึกการตรวจสอบไว้เป็นหลักฐาน
- ไม่นำอาหารและเครื่องดื่มเข้ามารับประทานในห้อง Server
2. มาตรฐานการรักษาความปลอดภัยของ Server
- ต้องกำหนดสิทธิ์การเข้าถึงแบบชั่วคราวแก่บุคคลภายนอกที่ต้องการเข้าถึง Server นั้น และต้องมอบหมายให้มีผู้ควบคุมตรวจสอบบันทึกรายการ และลบสิทธิ์ทันที่ที่ปฏิบัติงานเสร็จ
- ต้องมีบันทึกรายการของ OS ,Service Patch , Application ที่ติดตั้งบน Server นั้นๆ
- ต้องมีคู่มือการ Startup/Shut down Server
- ต้องมีบันทึกการ Backup data และ OS เป็นประจำ (Dairy Backup และ Monthly Full Backup)
- ต้องทำการ Synchronize Clock ของ Server และ Network Device ให้มีเวลาตรงกันทั้งหมด
- ต้องตั้งค่าAdministrator Account/Passwordให้ยากต่อการคาดเดา(ไม่ต่ำกว่า8 ตัวอักษร) และต้องไม่ใช้คำ Default
- ต้องกำหนดค่า Limit time to access
- ต้อง Log off System ทุกครั้งเมื่อเลิกใช้ Management console หรือเมื่อลุกออกไปจากหน้าจอ
- กรณีที่มี System Administrator โยกย้ายหรือเปลี่ยนแปลงหน้าที่ให้ หัวหน้าหน่วยยกเลิกสิทธิ์การเข้าถึงอุปกรณ์ดังกล่าวทันที
- ต้อง Update Security Patch อย่างสม่ำเสมอ
- ต้องมีบันทึกสรุปการเกิดปัญหาของอุปกรณ์ และการแก้ไขระบบ
- ต้องมีขั้นตอนการทำลาย Computer media เช่น Disk, Tape, Print out Report
3.มาตรฐานการรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์และสื่อสาร
- กำหนด Network Service ที่ไม่อนุญาตให้รับ-ส่งได้บนเครือข่าย
- มีการทดสอบความปลอดภัยทุกครั้งที่จะเชื่อมต่อกับเครือข่ายของบุคคลภายนอก เพื่อให้มั่นใจว่าไม่มีการเข้าถึง Resources ที่ไม่ได้รับอนุญาต
- ต้องทำ Secure Authenticate ทุกครั้งที่ต้องการ access อุปกรณ์เพื่อการ Administration และต้องกำหนดสิทธิ์การเข้าถึงแบบชั่วคราวแก่บุคคลภายนอกที่ต้องการเข้าถึงอุปกรณ์นั่น พร้อมมอบหมายให้มีผู้ควบคุม ตรวจสอบและลบสิทธิ์ทันที่ปฏิบัติงานเสร็จ
- ต้องตรวจสอบ Security Log เพื่อค้นหา Invalid attempt access ของผู้บุกรุก และตรวจสอบFault alarm log เพื่อการ Trace back ปัญหาที่เกิดขึ้นเป็นประจำวัน
- ต้องตั้งค่า Network Administrator Account/Password ให้ยากต่อการคาดเดา (ไม่ต่ำกว่า 8 Characters) และต้องไม่ใช้คำ Default
- ต้องป้องกัน Unauthorized access สู่ Remote Access diagnostic port และต้องใช้ Secure Port ในการทำ Remote Administration เท่านั้น
- ต้องทำการ Synchronize time ของอุปกรณ์ Network /Gateway ทุกเครื่องให้ตรงกันรวมทั้งSynchronize ให้ตรงกับอุปกรณ์ Server ด้วย
- ต้อง Update Security Patch อย่างสม่ำเสมอ
- ต้องมีบันทึกสรุปการเกิดปัญหากับอุปกรณ์ และแนวทางแก้ไข
4.มาตรฐานการรักษาความปลอดภัยเคลื่อนย้ายและทำลายข้อมูลของอุปกรณ์
ICT
ต้องทำการ Clear ข้อมูลที่บันทึกอยู่ในอุปกรณ์
HD, Backup Tape หรือสื่อที่ใช้เก็บข้อมูลก่อนทำการ
เปลี่ยนทดแทนอุปกรณ์
รวมทั้งลบข้อมูลที่บันทึกในอุปกรณ์ที่ต้องการทำลายหรือแทงจำหน่ายต้องได้รับ
ความเห็นชอบจากผู้มีอำนาจอนุมัติในการเคลื่อนย้ายอุปกรณ์ออกไปบำรุงรักษาภาย
นอกสถานที่
5.มาตรฐาน Electronic Data Classification
- กรรมการสารสนเทศได้กำหนดให้ผู้เกี่ยวข้องกับการทำ Electronic Date Classification มีดังนี้- Data Owner หมายถึง เจ้าของข้อมูล- Data Custodian หมายถึง ผู้ปกป้องรักษาข้อมูล- Data User หมายถึง ผู้ใช้ข้อมูล
- กรรมการสารสนเทศจะทำหน้าที่เป็น Data Custodian ที่ได้รับมอบหมายจากเจ้าของข้อมูลอย่างเป็นทางการเท่านั้น
- กรรมการสารสนเทศได้กำหนดชั้นระดับความลับข้อมูลออกเป็น 4 ระดับ เรียงตามลำดับต่ำสุดถึงสูงสุด ตามนโยบายเกี่ยวกับความลับองค์กร ดังนี้
- ข้อมูลปกปิด (Non-Disclosure or Sensitive)
- ข้อมูลลับ (Confidential)
- ข้อมูลลับมาก (Secret)
- กรรมการสารสนเทศออกแบบระบบสารสนเทศและจัดหา Software Tool ในการป้องกันการเข้าถึง การเปิดเผยข้อมูล ความครบถ้วนของข้อมูล และความพร้อมใช้ของข้อมูลให้ตามความต้องการของเจ้าของข้อมูลที่สอดคล้องกับทิศทางขององค์กร
- เจ้าของข้อมูลต้องกำหนดระยะเวลาการเก็บรักษา และการทำลายข้อมูลให้กรรมการสารสนเทศทราบ
- หน่วยงานเจ้าของข้อมูลมีหน้าที่ทบทวนชั้นความลับข้อมูล
- หน่วยงานเจ้าของข้อมูลต้องกำหนด Output Report และ Screen display ที่สอดคล้องกับระดับชั้นความลับ
- ผู้ใช้ข้อมูลมีหน้าที่ปฏิบัติตามสิทธิ์ที่เจ้าของข้อมูลกำหนดเท่านั้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น