เลขที่ WI-IMT-001
วันที่ปรับปรุง 08/08/2554
วันที่ปรับปรุง 08/08/2554
เรื่อง การบริหารจัดการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศ
ผู้รับผิดชอบ : คณะกรรมการสารสนเทศ,คณะกรรมการทีมประสาน,หัวหน้าฝ่าย/งาน
วิธีปฏิบัติ
- จัดให้มีการทำ และปรับปรุงนโยบายด้านความมั่นคงปลอดภัยอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้ง
- แสดงเจตนารมณ์ หรือสื่อสารให้เจ้าหน้าที่ทั้งหมดได้เห็นถึงความสำคัญของการปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยขององค์กรโดยเคร่งครัด อย่างสม่ำเสมอ
- จัดให้มีการประชุมเกี่ยวกับการบริหารจัดการด้านความมั่นคงปลอดภัยอย่างสม่ำเสมออย่างน้อยปีละ 1 ครั้งโดยกำหนด ให้มีวาระการประชุมที่ต้องหารือกันอย่างน้อยดังนี้
- การตรวจสอบการปฏิบัติตามนโยบายความมั่นคงฯ และผลการตรวจสอบ
- แผนการดำเนินการเชิงป้องกัน/แก้ไข จากผลการตรวจสอบดังกล่าว
- การปรับปรุงนโยบายความมั่นคงปลอดภัยสำหรับปีถัดไป
- การประเมินความเสี่ยงและแผนลดความเสี่ยง จัดให้มีทรัพยากรด้านบุคลากรงบประมาณ การบริหารจัดการ และวัตถุดิบที่เพียงพอต่อการจัดการดังกล่าว
- จัดให้มีการสร้างความตระหนักทางด้านความมั่นคงปลอดภัยเพื่อให้เจ้าหน้าที่ขององค์กร มีความรู้ความเข้าใจ และสามารถป้องกันตนเองได้ในเบื้องต้น อย่างน้อยปีละ 1 ครั้ง
- จัดให้มีการประเมินความเสี่ยงสำหรับเทคโนโลยีสารสนเทศ ปีละ 1 ครั้ง และจัดให้มีการทำแผนเพื่อลดความเสี่ยง หรือปัญหาที่พบ
- จัดให้มีการตรวจสอบการปฏิบัติตามนโยบายความมั่นคงปลอดภัย โดยผู้ตรวจสอบภายในด้านสารสนเทศ ปีละ 1 ครั้ง และจัดให้มีการทำแผนเพื่อปรับปรุง หรือแก้ไขปัญหาที่พบ
- จัดให้มีการแจ้งเวียนให้เจ้าหน้าที่ทั้งหมดได้ระมัดระวัง และดูแลทรัพย์สินขององค์กรที่ตนเองใช้งาน เพื่อป้องกันการสูญหาย อย่างน้อยปีละ 1 ครั้ง
- กำหนดนโยบายการใช้งานระบบเครือข่ายอย่างชัดเจนว่า บริการใดที่อนุญาตให้ใช้งาน และบริการใดไม่อนุญาตให้ใช้งาน เช่น การใช้งาน MSN ดูหนังฟังเพลงผ่านทางอินเตอร์เน็ต เป็นต้น รวมทั้งปรับปรุงนโยบายตามความจำเป็น นโยบายการใช้งานระบบเครือข่าย ขณะนี้ประกอบด้วย
- ห้ามเข้าเว็บไซต์ที่อยู่ในประเภทดังต่อไปนี้
- วิพากษ์วิจารณ์ที่เกี่ยวข้องกับ ชาติ ศาสนา และ พระมหากษัตริย์
- การพนัน
- ลามก อนาจาร
- อื่นๆ ที่เกี่ยวข้องกับสิ่งผิดกฎหมาย ผิดศีลธรรม หรือผิดจริยธรรม
- งดเว้นการเล่นเกมส์ ดูภาพยนต์ หรือฟังเพลง ผ่านทางอินเทอร์เน็ตในเวลาทำงาน