เรื่อง การบริหารจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ

Details

Category: ICT rules

Published on Monday, 08 August 2016 07:51

Written by Super User

Hits: 8874

วิธีปฏิบัติ

1. จัดให้มีการทำ และปรับปรุงนโยบายด้านความมั่นคงปลอดภัยอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้ง
2. แสดงเจตนารมณ์ หรือสื่อสารให้เจ้าหน้าที่ทั้งหมดได้เห็นถึงความสำคัญของการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยขององค์กรโดยเคร่งครัด อย่างสม่ำเสมอ
3. จัดให้มีการประชุมเกี่ยวกับการบริหารจัดการด้านความมั่นคงปลอดภัยอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้งโดยกำหนด ให้มีวาระการประชุมที่ต้องหารือกันอย่างน้อยดังนี้
   • การตรวจสอบการปฏิบัติตามนโยบายความมั่นคงฯ และผลการตรวจสอบ
   • แผนการดำเนินการเชิงป้องกัน/แก้ไข จากผลการตรวจสอบดังกล่าว
   • การปรับปรุงนโยบายความมั่นคงปลอดภัยสำหรับปีถัดไป
   • การประเมินความเสี่ยงและแผนลดความเสี่ยง จัดให้มีทรัพยากรด้านบุคลากรงบประมาณ การบริหารจัดการ และวัตถุดิบที่เพียงพอต่อการจัดการดังกล่าว
4. จัดให้มีการสร้างความตระหนักทางด้านความมั่นคงปลอดภัยเพื่อให้เจ้าหน้าที่ขององค์กร มีความรู้ความเข้าใจ และสามารถป้องกันตนเองได้ในเบื้องต้น อย่างน้อยปีละ 1 ครั้ง
5. จัดให้มีการประเมินความเสี่ยงสำหรับเทคโนโลยีสารสนเทศ ปีละ 1 ครั้ง และจัดให้มีการทำแผนเพื่อลดความเสี่ยง หรือปัญหาที่พบ
6. จัดให้มีการตรวจสอบการปฏิบัติตามนโยบายความมั่นคงปลอดภัย โดยผู้ตรวจสอบภายในด้านสารสนเทศ ปีละ 1 ครั้ง และจัดให้มีการทำแผนเพื่อปรับปรุง หรือแก้ไขปัญหาที่พบ
7. จัดให้มีการแจ้งเวียนให้เจ้าหน้าที่ทั้งหมดได้ระมัดระวัง และดูแลทรัพย์สินขององค์กรที่ตนเองใช้งาน เพื่อป้องกันการสูญหาย อย่างน้อยปีละ 1 ครั้ง
8. กำหนดนโยบายการใช้งานระบบเครือข่ายอย่างชัดเจนว่า บริการใดที่อนุญาตให้ใช้งาน และบริการใดไม่อนุญาตให้ใช้งาน เช่น การใช้งาน MSN ดูหนังฟังเพลงผ่านทางอินเตอร์เน็ต เป็นต้น รวมทั้งปรับปรุงนโยบายตามความจำเป็น นโยบายการใช้งานระบบเครือข่าย ขณะนี้ประกอบด้วย
9. ห้ามเข้าเว็บไซต์ที่อยู่ในประเภทดังต่อไปนี้
   • วิพากษ์วิจารณ์ที่เกี่ยวข้องกับ ชาติ ศาสนา และ พระมหากษัตริย์
   • การพนัน
   • ลามก อนาจาร
   • อื่นๆ ที่เกี่ยวข้องกับสิ่งผิดกฎหมาย ผิดศีลธรรม หรือผิดจริยธรรม
   • งดเว้นการเล่นเกมส์ ดูภาพยนต์ หรือฟังเพลง ผ่านทางอินเทอร์เน็ตในเวลาทำงาน

• < Prev