นโยบายความมั่นคงปลอดภัยสารสนเทศ

นโยบายความมั่นคงปลอดภัยสารสนเทศ

        โรงเรียนน้ำพองศึกษาขอแนะนำให้ท่านทำความเข้าใจนโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) นี้ เนื่องจากนโยบายนี้มีวัตถุประสงค์ดังต่อไปนี้
         1.     เพื่อปกป้องข้อมูลและระบบสารสนเทศให้มีความมั่นคงปลอดภัย
         2.     เพื่อให้เกิดความพร้อมใช้งานอย่างต่อเนื่องสำหรับระบบสารสนเทศของสถานศึกษา
         3.     เพื่อสร้างความเชื่อมั่นให้แก่ผู้มีส่วนเกี่ยวข้อง ในการใช้บริการระบบสารสนเทศของสถานศึกษา
         4.     เพื่อรักษาระดับการให้บริการระบบสารสนเทศที่มีการรักษาความมั่นคงปลอดภัยตามมาตรฐานสากล และสอดคล้องกับกฎหมาย
เพื่อให้ท่านได้รับทราบถึงนโยบายในการรักษาความมั่นคงปลอดภัยสารสนเทศของสถานศึกษา สถานศึกษาจึงประกาศนโยบายนโยบายความมั่นคงปลอดภัยสารสนเทศ ดังต่อไปนี้

ทั่วไป

         การรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสถานศึกษาใช้กรอบการดำเนินการในรูปแบบวงจรควบคุมคุณภาพ (PDCA Cycle) ซึ่งเป็นการจัดการเชิงกระบวนการ (Process Approach) โดยคำนึงถึงกลไกการควบคุมที่สอดคล้องกับความเสี่ยงของสินทรัพย์ เพื่อตรวจสอบ ประเมินผล ทบทวน และปรับปรุงนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสถานศึกษา และเอกสารที่เกี่ยวข้องให้ดีขึ้นอย่างต่อเนื่อง และสอดคล้องกับยุทธศาสตร์ของสถานศึกษา อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีเหตุการณ์ที่สำคัญ

โครงสร้าง บทบาท หน้าที่ และความรับผิดชอบ ในการรักษาความมั่นคงปลอดภัย สารสนเทศ

         สถานศึกษาต้องแบ่งแยกหน้าที่และความรับผิดชอบให้ชัดเจนในการปฏิบัติงานเพื่อลดโอกาสที่จะทำให้มีการเปลี่ยนแปลงแก้ไขระบบการรักษาความมั่นคงปลอดภัยสารสนเทศ การเปลี่ยนแปลงทรัพย์สินของสถานศึกษา หรือมีการนำทรัพย์สินไปใช้ผิดวัตถุประสงค์ โดยไม่ได้รับอนุญาตหรือโดยไม่ได้เจตนา
         (1)    ผู้อำนวยการ มีหน้าที่ดังนี้
             – ให้การสนับสนุนด้านทรัพยากรที่จำเป็นต่อระบบความมั่นคงปลอดภัยสารสนเทศ ประกาศ และสื่อสารให้มีการปฏิบัติตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศที่สถานศึกษากำหนด
             – กรณีระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ  ต่อสถานศึกษาหรือผู้หนึ่งผู้ใดอันเนื่องมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศอย่างมีนัยยะ ผู้อำนวยการมีหน้าที่รับผิดชอบต่อความเสียหายที่เกิดขึ้นทั้งหมดโดยตรง
         (2)    ผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (Chief Information Officer: CIO) มีหน้าที่ดังนี้
             – กำกับ ดูแล ติดตาม ให้คำแนะนำในการปฏิบัติงานให้สอดคล้องกับแผนดิจิทัลของ สพธอ.
             – กำกับ ดูแล ติดตาม ให้คำแนะนำในการจัดทำและทบทวนนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ 
             – กรณีพบความเสี่ยงด้านเทคโนโลยีสารสนเทศที่อยู่ในระดับที่สถานศึกษายอมรับไม่ได้ และมีข้อจำกัดหรือเหตุผลทำให้ไม่สามารถแก้ไขและควบคุมความเสี่ยงนั้นได้ ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงเป็นผู้พิจารณายอมรับความเสี่ยงนั้น หรือเสนอแนะแนวทางอื่นในการแก้ไข โดยคำนึงถึงผลกระทบที่อาจจะเกิดขึ้น 
             – กรณีพบผู้ปฏิบัติงานกระทำการด้านสารสนเทศในลักษณะอันอาจก่อให้เกิดความเข้าใจผิดต่อภาพลักษณ์หรือความเสียหายต่อสถานศึกษา รวมถึงการละเมิดทรัพย์สินทางปัญญาหรือกฎหมายลิขสิทธิ์ ให้ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงพิจารณาสั่งการระงับ ยกเลิก หรือพิจารณาดำเนินการทางวินัย เรียกค่าเสียหาย หรือดำเนินคดีตามกฎหมาย
             – อนุมัติการให้สิทธิ์เข้าถึงระบบสารสนเทศให้กับบุคคลภายนอก
         (3)    ผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer : CISO) มีหน้าที่ดังนี้
             – จัดตั้งและพัฒนาระบบ ISMS ของ สพธอ. ให้สอดคล้องตามมาตรฐาน ISO/IEC 27001
             – อนุมัติการใช้งานนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ และกำกับ ดูแล ติดตาม ให้คำแนะนำในการจัดทำและทบทวนนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ให้สอดคล้องกับมาตรฐาน ISO/IEC 27001
             – กำกับดูแลการดำเนินกิจกรรมของระบบ ISMS และพิจารณาประสิทธิผลของกระบวนการและการควบคุม (Controls) เพื่อปรับปรุงกระบวนการอย่างต่อเนื่อง
             – สนับสนุนการตรวจประเมินภายในของระบบ ISMS และการกำกับดูแล ติดตาม ตลอดจนทบทวนประสิทธิภาพของการแก้ไขและป้องกันข้อบกพร่องในระบบ ISMS รวมถึงการแต่งตั้งผู้ตรวจประเมินระบบมาตรฐานภายใน (Internal ISMS Auditor)
             – พิจารณากลั่นกรอง ทบทวน รายงานผลการดำเนินงานของระบบ ISMS ตลอดจนติดตามตรวจสอบและประเมินผล เสนอความเห็นหรือข้อเสนอแนะสำหรับการปรับปรุงระบบ ISMS ต่อคณะผู้บริหาร สพธอ. เพื่อพิจารณาทบทวนและให้ความเห็นหรือข้อเสนอแนะในการปรับปรุงระบบ ISMS อย่างต่อเนื่อง
         (4)    คณะทำงานบริหารความต่อเนื่องในการทำงาน (Business Continuity Management : BCM) มีหน้าที่จัดทำ ทบทวน และดำเนินงานที่เกี่ยวข้องกับระบบบริหารความต่อเนื่องทางธุรกิจของสถานศึกษาเป็นไปด้วยความเหมาะสม
         (5)    ผู้ครอบครอง มีหน้าที่ดังนี้
             – บริหารจัดการสินทรัพย์ที่ได้รับมอบหมาย ประกอบด้วย การบำรุงรักษา การปรับปรุงทะเบียนสินทรัพย์ การประเมินความเสี่ยงต่อสินทรัพย์จากการดำเนินกิจกรรมที่เกี่ยวข้องทั้งภายในและภายนอกหน่วยงาน โดยคำนึงถึงเงื่อนไขในการรักษาความมั่นคงปลอดภัย และกำหนดมาตรการรองรับก่อนดำเนินกิจกรรมนั้น และนำมาตรการดังกล่าวในส่วนที่หน่วยงานภายนอกต้องรับทราบมาทำเป็นข้อตกลงระหว่างสถานศึกษาและหน่วยงานภายนอก รวมถึงดูแลความมั่นคงปลอดภัยที่เกี่ยวข้องกับการทำลาย จำหน่ายออก โอนย้าย หรือยกเลิกการใช้งานสินทรัพย์
             – กำหนดรายชื่อและข้อมูลสำหรับติดต่อกับหน่วยงานที่เกี่ยวข้อง เพื่อใช้งานในการติดต่อประสานงานด้านความมั่นคงปลอดภัยสารสนเทศ  และต้องทบทวนรายชื่อและข้อมูลสำหรับติดต่ออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลง
             – กำหนดรายชื่อและข้อมูลสำหรับติดต่อกับกลุ่มต่าง ๆ ที่มีความสนใจพิเศษในเรื่องเดียวกัน กลุ่มที่มีความสนในด้านความมั่นคงปลอดภัยสารสนเทศ หรือ หน่วยงาน สมาคม บริษัท ในอุตสาหกรรมที่สถานศึกษามีส่วนร่วม และต้องทบทวนรายชื่อและข้อมูลสำหรับติดต่ออย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลง
         (6)    ผู้ปฏิบัติงาน มีหน้าที่ปฏิบัติตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ รวมถึงดูแลรักษาและระมัดระวังการใช้สินทรัพย์ของสถานศึกษา โดยต้องมีความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ
         (7)    Risk Owner มีหน้าที่ความรับผิดชอบในการประเมินความเสี่ยง วางแผนแก้ไขความเสี่ยง และทำให้มั่นใจว่าความเสี่ยงจะได้รับการแก้ไขตามขั้นตอนการปฏิบัติงาน เรื่อง การบริหารจัดการความเสี่ยงความมั่นคงปลอดภัย

การบริหารจัดการความเสี่ยง

         สถานศึกษามีการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ โดยมีแผนการจัดการความเสี่ยง ซึ่งกำหนดเกณฑ์ในการประเมิน การแก้ไข และยอมรับความเสี่ยง เพื่อลดโอกาสในการสูญเสียความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของสินทรัพย์ของสถานศึกษา ซึ่งมีการจัดแบ่งระดับความเสี่ยงเป็น 4 ระดับ คือ Extreme, High, Medium และ Low โดยระดับความเสี่ยงที่สถานศึกษา สามารถยอมรับได้โดยไม่จำเป็นต้องดำเนินการแก้ไขและควบคุมความเสี่ยงคือ ระดับ Low เท่านั้น การยอมรับความเสี่ยงระดับที่สูงกว่า Low ต้องดำเนินการอย่างเป็นลายลักษณ์อักษรและต้องได้รับความเห็นชอบจากผู้บริหารเทคโนโลยีสารสนเทศระดับสูง
 

การสร้างความมั่นคงปลอดภัยสารสนเทศด้านบุคลากร

         สถานศึกษามีการสร้างความรู้และความตระหนักในการใช้งานระบบสารสนเทศอย่างมั่นคงปลอดภัยแก่ผู้ใช้งาน ผู้ปฏิบัติงาน โดยการจัดทำคู่มือ จัดฝึกอบรม และเผยแพร่เอกสารที่เกี่ยวข้องผ่านระบบเว็บไซต์ภายในของสถานศึกษา รวมถึงสื่อสารนโยบายด้านความมั่นคงปลอดภัยสารสนเทศให้ผู้ให้บริการภายนอกทราบในเรื่องที่เกี่ยวข้อง รวมถึงการสรรหาบุคลากร ต้องเป็นไปตามเกณฑ์ที่กำหนด และมีการตรวจสอบคุณสมบัติ (Screening) ของผู้สมัครงานทุกคนเป็นไปตามเกณฑ์ที่กำหนด และตรวจสอบประวัติอาชญากรรมจากสถานศึกษาตำรวจแห่งชาติ ตลอดจนจัดทำข้อตกลงและเงื่อนไขการจ้างงาน (Terms and conditions of employment) เป็นไปตามเกณฑ์ที่กำหนด

การสื่อสารในสถานศึกษา

         สถานศึกษามีการเผยแพร่นโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศผ่านระบบเว็บไซต์ภายใน และระบบจัดเก็บเอกสารของสถานศึกษา เพื่อสื่อสารให้ผู้ปฏิบัติงานภายในสถานศึกษา และเผยแพร่นโยบายผ่านหน้าเว็บไซต์ของ สพธอ. เพื่อสื่อสารให้บุคคลภายนอกที่เกี่ยวข้องรับทราบ รวมถึงสามารถเข้าถึงได้อย่างสะดวก

การจัดการเอกสารสารสนเทศ

         สถานศึกษามีการบริหารจัดการเอกสารที่เกี่ยวข้องกับการปฏิบัติงานภายในของสถานศึกษา ได้แก่ นโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ขั้นตอนการปฏิบัติงาน วิธีปฏิบัติงาน เอกสารสนับสนุนการทำงาน คู่มือการตั้งค่าระบบสารสนเทศ และบันทึกต่าง ๆ โดยเอกสารจะถูกกำหนดรหัสและควบคุม ตั้งแต่การขึ้นทะเบียนเอกสารใหม่ การทบทวนและอนุมัติก่อนการใช้งาน การแก้ไขเอกสาร การเผยแพร่เอกสาร การยกเลิกเอกสาร และการทำลายเอกสารที่เลิกใช้งาน

การทบทวนการบริหารระบบมาตรฐาน

         สถานศึกษามีการทบทวนการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของสถานศึกษา เพื่อให้มั่นใจว่าการดำเนินงานมีความเหมาะสม และมีประสิทธิผล ทั้งนี้ การทบทวนดังกล่าวต้องพิจารณาถึงโอกาสในการปรับปรุงและพัฒนาอย่างต่อเนื่องเพื่อบรรลุวัตถุประสงค์ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสถานศึกษา โดยมีการรายงานต่อคณะทำงานบริหารระบบมาตรฐานในการประชุมทบทวนการบริหารระบบมาตรฐาน (Management Review) อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญ

การปรับปรุงพัฒนา

         สถานศึกษามีการแก้ไขและปรับปรุงการปฏิบัติงานที่ไม่สอดคล้องด้านความมั่นคงปลอดภัยสารสนเทศ โดยมีการกำหนดกระบวนการในการทบทวน การระบุสาเหตุ การแก้ไขหรือเปลี่ยนแปลงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ การทบทวนประสิทธิผลของปฏิบัติการแก้ไข รวมถึงการจัดเก็บเอกสารที่เกี่ยวข้อง เพื่อให้เกิดการพัฒนาอย่างต่อเนื่องและมีประสิทธิภาพ

การบริหารจัดการสินทรัพย์

         สถานศึกษามีการบริหารจัดการสินทรัพย์ เกี่ยวกับเทคโนโลยีสารสนเทศของสถานศึกษาประเภทข้อมูล (Information) อุปกรณ์ (Physical) ซอฟต์แวร์ (Software) บุคลากร (Personal) บริการ (Service) โดเมน (Domain) เครื่องเสมือน (Logical) และสื่อสังคมออนไลน์ (Social Media) โดยการจัดทำมาตรการควบคุมการใช้งานสินทรัพย์ที่เหมาะสมตลอดวงจรชีวิตของสินทรัพย์ ตั้งแต่การจัดหา การลงทะเบียน การบำรุงรักษา การจำหน่าย และการทำลายสินทรัพย์ ตามลำดับชั้นความลับของข้อมูลที่อยู่ในสินทรัพย์นั้น ๆ โดยมีตรวจสอบและทบทวนทะเบียนสินทรัพย์อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญเกิดขึ้น เพื่อให้มั่นใจว่าทะเบียนสินทรัพย์เป็นปัจจุบันอยู่เสมอ

การแบ่งประเภทของข้อมูล และการจัดการสื่อที่ใช้ในการบันทึกข้อมูล

         สถานศึกษามีการแบ่งประเภทของข้อมูล (Data Classification) ทั้งที่อยู่ในรูปแบบกระดาษและอิเล็กทรอนิกส์ แบ่งออกเป็น 3 ประเภท คือ

         (1)      เผยแพร่ หมายถึง ข้อมูลที่เปิดเผยให้ทุกคนสามารถเข้าถึงได้ โดยเข้าถึงได้จากที่ใดก็ได้ ได้แก่ นโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ และข้อมูลอื่นที่เผยแพร่ในเว็บไซต์ ภายใต้สังกัดของสถานศึกษา

         (2)      ใช้ภายใน หมายถึง ข้อมูลที่เปิดเผยให้เฉพาะผู้ปฏิบัติงานสามารถเข้าถึงได้ โดยเข้าถึงด้วยระบบเครือข่ายภายในสถานศึกษา ได้แก่ เอกสารขั้นตอนปฏิบัติงาน ข้อมูลประกอบการเบิกค่าใช้จ่ายสถานศึกษา

         (3)      ลับ หมายถึง ข้อมูลข่าวสารตามมาตรา ๑๔ หรือมาตรา ๑๕ (ตามพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ. ๒๕๔๐) ที่มีคําสั่งไม่ให้เปิดเผยและอยู่ในความครอบครองหรือควบคุมดูแลของหน่วยงานของรัฐ ไม่ว่าจะเป็นเรื่องที่เกี่ยวกับการดําเนินงานของรัฐหรือที่เกี่ยวกับเอกชน รวมถึงข้อมูลส่วนบุคคลที่อ่อนไหว (Sensitive Personal Data) มาตรา ๒๖ (ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.๒๕๖๒

การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม

         สํานักงานมีการกําหนดมาตรการเกี่ยวกับการเข้าถึงทางกายภาพและสภาพแวดล้อมของของสํานักงานสําหรับพื้นที่ทั่วไปของสํานักงานพื้นที่มั่นคงปลอดภัยรวมถึงพื้นที่ศูนย์ข้อมูลที่สํานักงานใช้บริการ (Data Center)

การบริหารจัดการการให้บริการโดยหน่วยงานภายนอก

         สถานศึกษามีการบริหารจัดการการให้บริการโดยหน่วยงานภายนอก โดยกำหนดระเบียบ ข้อบังคับ  หลักเกณฑ์ และแนวปฏิบัติในการดำเนินงาน เพื่อใช้ในการติดตาม ทบทวน บริหารจัดการการเปลี่ยนแปลงการให้บริการ และตรวจประเมินการส่งมอบบริการของหน่วยงานภายนอกอย่างสม่ำเสมอ เพื่อควบคุมการเข้าถึงหรือใช้งานข้อมูลและระบบสารสนเทศของสถานศึกษา ให้เป็นไปอย่างถูกต้องและมีความมั่นคงปลอดภัย

การปฏิบัติตามข้อกำหนด

         สถานศึกษามีการปฏิบัติตามข้อกฎหมาย ระเบียบข้อบังคับ ข้อผูกพันตามสัญญาที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ มาตรฐาน และข้อกำหนดด้านความมั่นคงปลอดภัยที่สถานศึกษากำหนด โดยมีการสื่อสารกับผู้ปฏิบัติงานให้รับทราบและเข้าใจ รวมทั้งมีการทบทวนและตรวจสอบการปฏิบัติตามนโยบายที่สถานศึกษากำหนด

การบริหารความต่อเนื่องในการดําเนินงานของสถานศึกษา

         สถานศึกษามีการบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยระบบสารสนเทศและการดำเนินธุรกิจของสถานศึกษา โดยคณะทำงานย่อยบริหารความต่อเนื่องในการทำงาน (Business Continuity Management : BCM) มีหน้าที่ในการวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA) จัดลำดับความสำคัญของข้อมูลและระบบสารสนเทศที่จำเป็นต้องมีความต่อเนื่องในการใช้งาน กำหนดกระบวนการ กิจกรรมและทรัพยากรที่จำเป็น จัดทำเอกสารที่เกี่ยวข้อง สื่อสารให้ผู้ที่เกี่ยวข้องทราบและตระหนักถึงหน้าที่ของตน ตลอดจนจัดให้มีการซ้อมแผนบริหารความต่อเนื่องด้านความมั่นคงปลอดภัยสารสนเทศ อย่างน้อยปีละ 1 ครั้ง

การควบคุมการเข้าถึงและการใช้งานระบบสารสนเทศ

         สถานศึกษามีการควบคุมการเข้าถึงระบบสารสนเทศแก่ผู้ใช้งาน ตั้งแต่การลงทะเบียน การกำหนดสิทธิ
การเพิกถอนสิทธิ การทบทวนสิทธิการใช้งาน และการใช้งานอุปกรณ์พกพาอื่น ๆ  (Mobile Device) รวมถึงการให้ความคุ้มครองข้อมูลส่วนบุคคลในส่วนที่ไม่พึงเปิดเผยภายใต้บทบัญญัติของกฎหมาย

การจัดการการเข้ารหัสลับ

         สถานศึกษามีการเข้ารหัสลับข้อมูลที่มีระดับชั้นความลับเป็น ลับ ลับมาก และลับที่สุด ของสถานศึกษา โดยแบ่งตามการจัดการสื่อที่ใช้ในการบันทึกข้อมูล ประกอบด้วย ข้อมูลที่ถูกจัดเก็บอยู่ในเครื่องคอมพิวเตอร์ส่วนบุคคลของสถานศึกษา ข้อมูลที่ถูกจัดเก็บอยู่ในเซิร์ฟเวอร์ หรืออยู่ในคลาวด์ของสถานศึกษา ข้อมูลที่ถูกส่งผ่านเครือข่าย

การบริหารจัดการการเปลี่ยนแปลง

         สถานศึกษามีการบริหารจัดการการเปลี่ยนแปลงขององค์กร กระบวนการทางธุรกิจ สินทรัพย์ และระบบประมวลผลข้อมูลสารสนเทศ ที่มีผลกระทบต่อความมั่นคงปลอดภัยสารสนเทศ เพื่อให้มั่นใจว่าการเปลี่ยนแปลงได้รับการ วางแผน การจัดลำดับความสำคัญ ประเมินผลกระทบ การอนุมัติจากผู้มีอำนาจ การมอบหมาย ทดสอบ บันทึก และดำเนินการอย่างเหมาะสม เพื่อลดโอกาสหรือผลกระทบของความเสียหายอันเกิดจากการเปลี่ยนแปลงนั้น และรักษาไว้ซึ่งความมั่นคงปลอดภัยของข้อมูล

การบริหารจัดการขีดความสามารถสารสนเทศ

         สถานศึกษามีการบริหารจัดการขีดความสามารถสารสนเทศ เพื่อตรวจสอบการใช้งานให้มีทรัพยากรเพียงพอต่อความต้องการใช้งานของสถานศึกษา และระบบสารสนเทศของสถานศึกษาสามารถให้บริการได้อย่างต่อเนื่อง

การควบคุมการติดตั้งซอฟต์แวร์ และการบริหารจัดการช่องโหว่ทางเทคนิค

         สถานศึกษามีรักษาความมั่นคงปลอดภัยในการปฏิบัติงาน ครอบคลุมในการจัดทำขั้นตอนปฏิบัติงาน
การป้องกันมัลแวร์  การควบคุมการใช้งานซอฟต์แวร์ การบริหารจัดการช่องโหว่ และการตรวจสอบระบบสารสนเทศ

การสำรองข้อมูลและการกู้คืนระบบสารสนเทศ

         สถานศึกษามีการบริหารจัดการการสำรองข้อมูลสำหรับระบบสารสนเทศ เพื่อป้องกันข้อมูลจากการสูญหาย ถูกทำลาย จากเหตุการณ์ไม่พึงประสงค์หรือเหตุการณ์ที่ไม่คาดคิด เพื่อให้ระบบสารสนเทศของสถานศึกษาสามารถให้บริการได้อย่างต่อเนื่อง

การบันทึกข้อมูลล็อก และเฝ้าระวัง

         สถานศึกษามีการบันทึกเหตุการณ์ที่เกิดขึ้นในระบบสารสนเทศ เช่น กิจกรรมของผู้ดูแลระบบและผู้ใช้งาน ความผิดปกติหรือข้อผิดพลาดของระบบสารสนเทศ การใช้งานต่าง ๆ เป็นต้น ทั้งนี้ เหตุการณ์ที่บันทึกต้องได้รับการปกป้องจากการเปลี่ยนแปลงเพื่อทำลายและการเข้าถึงโดยไม่ได้รับอนุญาต โดยต้องมีการตรวจสอบและวิเคราะห์เหตุการณ์ที่บันทึกอย่างสม่ำเสมอ เพื่อป้องกันเหตุการณ์ไม่พึงประสงค์หรือภัยคุกคามที่อาจส่งผลกระทบต่อสถานศึกษา

การบริหารจัดการการสื่อสารและการใช้งานระบบเครือข่าย

         สถานศึกษามีการควบคุมการสื่อสาร และการส่งข้อมูลผ่านระบบเครือข่ายของสถานศึกษา เพื่อป้องกันการเข้าถึงระบบสารสนเทศของสถานศึกษาจากผู้ที่ไม่ได้รับอนุญาต ป้องกันภัยคุกคามที่อาจก่อให้เกิดผลกระทบต่อสถานศึกษา รวมถึงควบคุมการเข้าถึงการใช้งานระบบเครือข่ายเพื่อปฏิบัติงานจากภายนอกสถานศึกษาให้มีความมั่นคงปลอดภัย

การจัดหา พัฒนา และการบำรุงรักษาระบบสารสนเทศ

         สถานศึกษามีกระบวนการจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ โดยมีการศึกษาความเป็นไปได้
การวิเคราะห์ผลกระทบ และการตรวจสอบระบบสารสนเทศให้มั่นใจว่าเป็นไปตามข้อกำหนดก่อนการโอนย้ายขึ้นสู่สภาพแวดล้อมการใช้งานจริง เพื่อป้องกันผลกระทบต่อการปฏิบัติงานหรือต่อภารกิจของสถานศึกษา

การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ

         สถานศึกษามีการบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ โดยมีการกำหนดหน้าที่ของ
ผู้ที่เกี่ยวข้องและขั้นตอนปฏิบัติในการเฝ้าระวัง การรายงานเหตุการณ์ การวิเคราะห์ การเก็บรวบรวมหลักฐาน การแก้ปัญหา และการบันทึกเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศที่เกิดขึ้น เพื่อให้เกิดการตอบสนองอย่างรวดเร็ว มีประสิทธิภาพและประสิทธิผล เป็นระเบียบแบบแผน และนำความรู้ที่ได้รับจากการวิเคราะห์และแก้ปัญหาไปใช้เพื่อลดโอกาสหรือผลกระทบของเหตุการณ์ในอนาคต

การประเมินผลการปฏิบัติงาน

         สถานศึกษามีการประเมินผลการปฏิบัติงาน เพื่อทบทวนการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของสถานศึกษา อย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าการดำเนินงานมีความเหมาะสม และมีประสิทธิผล ทั้งนี้ การทบทวนดังกล่าวต้องพิจารณาถึงโอกาสในการปรับปรุงและพัฒนาอย่างต่อเนื่องเพื่อบรรลุวัตถุประสงค์ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสถานศึกษา

การเปลี่ยนแปลงนโยบายความมั่นคงปลอดภัยสารสนเทศ

          สถานศึกษาอาจปรับปรุงนโยบายความมั่นคงปลอดภัยสารสนเทศนี้เป็นครั้งคราวเพื่อให้สอดคล้องกับการเปลี่ยนแปลงของการให้บริการ การดำเนินงานของสถานศึกษา และข้อเสนอแนะ ความคิดเห็นจากท่าน สถานศึกษาจะประกาศแจ้งการเปลี่ยนแปลงให้ทราบอย่างชัดเจนก่อนจะเริ่มดำเนินการเปลี่ยนแปลง หรืออาจส่งประกาศแจ้งเตือนให้ท่านทราบโดยตรง

Loading

Related Post