1

บทท 1 นโยบายดานความปลอดภยในระบบสารสนเทศ (IT Security)

--------------- ดวยในปจจบนเทคโนโลยสารสนเทศไดเขามามบทบาทสาคญในการดาเนนงานของสวนราชการทงในสวน

ของการบรหารจดการ การจดเกบขอมล และ การประมวลผล ระบบงานสาคญตาง ๆ โดยเฉพาะระบบงานทเกยวของกบการใหบรการประชาชน (front office system) และระบบปฏบตการ (back office system) เปนตน เทคโนโลยสารสนเทศ ทาใหการดาเนนงานของสวนราชการ มความสะดวกรวดเรว มประสทธภาพมากขน อยางไรกด การใชเทคโนโลยสารสนเทศกมความเสยงหลายประการทควรคานงถง โดยหากสวนราชการไมมการบรหารจดการและการรกษาความปลอดภยดานเทคโนโลยสารสนเทศทรดกมเพยงพอ กอาจสงผลกระทบตอการดาเนนงานหรอสรางความเสยหายตอสวนราชการและประชาชนทตดตองานได

ดงนน การควบคมความเสยงดานเทคโนโลยสารสนเทศ จงเปนเรองททกสวนราชการควรใหความสาคญ จงหวดปราจนบร จงมนโยบายทจะกากบดแลและตรวจสอบเกยวกบการบรหารจดการและการควบคมความเสยงดานเทคโนโลยสารสนเทศของสวนราชการอยางจรงจง เพอใหการนาเทคโนโลยสารสนเทศมาสนบสนนการปฏบตราชการใหเกดประโยชนสงสด และ เพอลดโอกาสความเสยหายทอาจเกดขนโดยใหความสาคญกบการบรหารจดการและการควบคมความเสยงทเกยวของ ในเรองดงตอไปน

1. การควบคมการใชขอมล และ ระบบงานคอมพวเตอร และ การปองกนการบกรกผานระบบเครอขาย (Logical Security)

แนวทางการกากบดแล สวนราชการตองใหความสาคญกบการจดใหมระบบการตรวจสอบผใชงานกอนเขาสระบบคอมพวเตอร (Authentication) และการกาหนดใหมการใสรหสผาน (Password) กอนเขาสระบบคอมพวเตอร โดยรหสผานดงกลาว ควรมการกาหนดความยาวขนตา อาย จานวนครงทยอมใหใสรหสผานผด และควรกาหนดรหสผานใหมความยากแกการคาดเดา นอกจากน สวนราชการกควรมการกาหนดสทธผใชงานใหเหมาะสมกบหนาทความรบผดชอบ และ สาหรบกรณทสวนราชการมการเชอมตอระบบเครอขายภายในกบภายนอก สวนราชการกควรมระบบปองกนการบกรกจากบคคลภายนอกเชนFirewallเปนตน และระบบปองกนไวรส (Anti virus) หรอ Malicious code อนๆ ทงน ระบบตาง ๆ ตามทกลาว รวมทงการใชรหสผาน และสทธของผใชงาน กควรมการตรวจสอบอยางสมาเสมอ

2. การสารองขอมล (Back up) และ ระบบงานคอมพวเตอร และ การเตรยมพรอมกรณฉกเฉน (Contingency Plan) ในการปฏบตงานมหลายกรณทอาจทาใหขอมลหรอระบบงานคอมพวเตอรเสยหาย เชน การตดไวรส สภาวะแวดลอม หรอ ภยพบตตางๆ หรอ อาจเกดจากการปฏบตงานทผดพลาดของผใชงาน เปนตน

ดงนน สวนราชการตองใหความสาคญกบการสารองขอมล และ ระบบงานคอมพวเตอร รวมทงการเตรยมพรอมกรณฉกเฉนตาง ๆ ดงน 2.1 การสารองขอมล (Back up) และ ระบบงานคอมพวเตอร หากมไดมการสารองขอมลและระบบงานคอมพวเตอรทเพยงพอในกรณทเกดเหตการณททาใหขอมลหรอระบบงานคอมพวเตอรเสยหายสวนราชการกอาจไมมขอมล หรอ ระบบงานคอมพวเตอรสาหรบการใชงานไดอยางตอเนอง มประสทธภาพ และในเวลาทตองการ (availability risk) ซงอาจสงผลกระทบตอการดาเนนงานของสวนราชการ และ อาจกอใหเกด ความเสยหาย ตอประชาชนทมารบบรการได

2

แนวทางการกากบดแล สวนราชการตองใหความสาคญกบความครบถวนของการสารอง

ขอมลและระบบงานคอมพวเตอร วธการเกบรกษาสอทใชบนทกขอมลและระบบงานคอมพวเตอร และการทดสอบความถก ตองครบถว น ข อ ง ขอมลและ การทา ง า น ข อ ง ร ะ บ บ ง า น ค อ ม พว เ ต อ รทไ ดสา ร อ ง ไ ว

2.2 การเตรยมพรอมกรณฉกเฉน การสารองขอมล และ ระบบงานคอมพวเตอรเพยงอยางเดยว อาจไมเพยงพอแกการปองกนการหยดชะงกของการปฏบตงาน ดงนน การจดใหมแผนฉกเฉนเพอรองรบ ในกรณทอาจเกดเหตการณฉกเฉน (Contingency Plan) จะทาใหการควบคมความเสยงดาน availability risk มประสทธภาพมากขน

แนวทางการกากบดแล สวนราชการตองใหความสาคญกบการจดใหมแผนรองรบเหตการณ ฉกเฉนตางๆ ซงแผนดงกลาวควรมรายละเอยดทชดเจนเกยวกบขนตอนปฏบตและผรบผดชอบ ควรมการสอสารใหผเกยวของเขาใจและรบทราบหนาทความรบผดชอบรวมทงควรมการทดสอบแผนดงกลาวเพอใหมนใจไดวาสามารถนาไปใชไดจรงในทางปฏบต

3. การควบคมการปฏบตงานประจาดานคอมพวเตอร การปฏบตงานประจาดานคอมพวเตอรทสาคญ คอ การควบคมการประมวลผลขอมลซงการประมวลผลขอมลทถกตอง และ ครบถวนมความสาคญตอการปฏบตงานของสวนราชการ ซงหากมไดมวธการปฏบต และ การควบคมทรอบคอบและรดกมเพยงพอ ทาใหขอมลไมถกตองหรอไมครบถวน (integrity risk) ซงอาจกอใหเกดความเสยหายตอสวนราชการและประชาชนทตดตอได

แนวทางการกากบดแล สวนราชการตองใหความสาคญกบการกากบดแลและควบคมการปฏบตงาน ประจาดานคอมพวเตอรอยางใกลชดของผบงคบบญชา การปฏบตงานทมขนตอนทชดเจน และสามารถตรวจสอบไดรวมทงควรจดใหมระบบการรายงาน และ การตรวจสอบการปฏบตงานประจาดงกลาวอยางสมาเสมอ

นโยบายดานความปลอดภยในระบบสารสนเทศ (IT Security) จดทาขนโดยมวตถประสงค เพอใหสวนราชการตาง ๆ ถอเปนแนวทางปฏบตในการกากบ ดแล ตรวจสอบเกยวกบการบรหารจดการ และ การควบคมความเสยง ดานเทคโนโลยสารสนเทศของสวนราชการอยางจรงจง เพอใหการนาเทคโนโลยสารสนเทศมาสนบสนนการปฏบตราชการใหเกดประโยชนสงสด และ เพอลดโอกาสความเสยหายทอาจเกดขนโดยใหความสาคญกบการบรหารจดการและการควบคมความเสยงทเกยวของ

3

บทท 2 การทบทวนความเพยงพอของการรกษาความมนคงและปลอดภย (Security)

ของระบบฐานขอมลและสารสนเทศ -------------------

การจดทาแผนบรหารความเสยงดานเทคโนโลยสารสนเทศ เปนการดาเนนงานภายใตตวชวด “ระดบความสาเรจของการพฒนาคณภาพการบรหารจดการภาครฐ” (PMQA) หมวด 4 การวด การวเคราะห และ การจดการความร ซงเปนการตรวจประเมนวา สวนราชการเลอก รวบรวม วเคราะห จดการและปรบปรงขอมลและสารสนเทศ และจดการความรอยางไรโดยจะตองมขอมลทครอบคลม ถกตอง และ ทนสมยโดยเฉพาะ IT6 จงหวดตองแสดงระบบรกษาความมนคงและปลอดภยของระบบฐานขอมลและสารสนเทศ แสดงรายละเอยด แผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจจะเกดกบระบบฐานขอมลและสารสนเทศ แสดงผลการปฏบตตามแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจจะเกดขนกบระบบ ฐานขอมลและสารสนเทศ

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศ ปงบประมาณ พ.ศ. 2556 ของจงหวดปราจนบร จดทาขนเพอใหผบรหารและผปฏบตงานทกสวนราชการในสงกดราชการบรหารสวนภมภาคไดมแนวทางการบรหารความเสยงดานเทคโนโลยสารสนเทศ ทชดเจน โดยสวนราชการตองมการวางระบบบรหารความเสยงของระบบฐานขอมลและสารสนเทศ โดยตองดาเนนการ ดงน

1. มการบรหารความเสยงเพอกาจด ปองกน หรอ ลดการเกดความเสยหายในรปแบบตาง ๆ โดยสามารถฟนฟระบบสารสนเทศ และ การสารอง และ กคนขอมลจากความเสยหาย Back up and Recovery

2. มการจดทาแผนแกไขปญหาจากสถานการณความไมแนนอน และ ภยพบต ทอาจจะเกดกบ ระบบสารสนเทศ IT Contingency Plan

3. มระบบรกษาความมนคงและปลอดภย Security ของระบบฐานขอมล เชน ระบบ Anti – Virus ระบบไฟฟาสารอง

4. มการกาหนดสทธใหผใชในแตละระดบ Access rights

4

การทบทวนความเพยงพอของการรกษาความมนคงและปลอดภย (Security) ของระบบฐานขอมลและสารสนเทศ

ปจจยเสยง กจกรรมตอบสนองตอความเสยง (กจกรรม/โครงการ)

ผลของการใชมาตรการ ตอบสนองความเสยง

ปญหาอปสรรค โอกาสทจะเกด (L = Likelihood)

ผลกระทบ (I = Impact)

ระดบ ความเสยง

(L x I)

1. Hard Ware 1) ประเมนสมรรถนะ Hard Ware 2) ปรบปรง Hard Ware ใหครบถวนสมบรณ

1.1 มการประเมนสมรรถนะ อยางตอเนองสงผลให Hard Ware ขององคกร/หนวยงาน สามารถตอบสนองความ ต อ ง ก า ร ไ ด อ ย า ง มประสทธภาพ 1.2 มระบบสารองฐานขอมล กลาง ทาใหขอมลไมสญหาย

1.เครองคอมพวเตอรทใชในการตรวจสอบระบบเสย 2. Hard Ware ไมสามารถซอมบารงไดจะตองจดซอ จดจาง / จางซอมแตขาดงบประมาณสนบสนน

5 5 25

2. Soft Ware

1) ประเมนสมรรถนะ Soft Ware 2) ปรบปรง Soft Ware ใหครบ ถวนสมบรณ

2.1 ไดรบการพฒนาทาให Soft Ware ขององคกร/ หนวยงาน ทนสมยอยเสมอ

1.ไ ม ม อ ป ก รณ แ ล ะ ร ะบบสารอง 2. Soft Ware ไมสามารถซอมบารงไดจะตองจดซอ จดจาง / จางซอมแตขาดงบประมาณสนบสนน

5

3 15

5

ปจจยเสยง กจกรรมตอบสนองตอความเสยง (กจกรรม/โครงการ)

ผลของการใชมาตรการ ตอบสนองความเสยง

ปญหาอปสรรค โอกาสทจะเกด (L = Likelihood)

ผลกระทบ (I = Impact)

ระดบ ความเสยง

(L x I)

3. People Ware

1) ประชม/สมมนา/ศกษาดงาน และ Work Shop

3.1 มความรความสามารถดาน Technology เพมขน 3.2 มทศนคตทดตอระบบ Technology

1. เจาหนาทรบผดชอบมการ เปลยนแปลงบอย

4 3 12

4.การบารงรกษา

1) มอบหมายเจาหนาทผรบผดชอบโดยตรงในการดแลรกษา 2) รายงานผลการตรวจสอบ ซอมบารงรกษาใหผบรหารทราบ

4.1 ไดรบการบารงรกษาอยางสมาเสมอ

1. งบประมาณไมเพยงพอ 2. เจาหนาทรบผดชอบมการ เปลยนแปลงบอย

4 3 12

6

บทท 3 ระบบรกษาความมนคงและปลอดภย (Security) ของระบบฐานขอมลและสารสนเทศ

------------------- 1. วธการจดเกบ และรกษาความปลอดภยของขอมล มขอกาหนดดงตอไปน

1.1 ประเภทของขอมล : คาวา “ขอมล” แบงออกเปน 3 ประเภทตามลกษณะการใชงาน ไดแก 1.1.1 ไฟลเอกสาร แบงออกไดอก 3 ระดบ ไดแก ไฟลเอกสารระดบงาน ไฟลเอกสาร

ระดบโครงการและไฟลเอกสารระดบบคคล 1.1.2 ไฟลเวบเพจ หมายถง ไฟล Web-based Application 1.1.3 ไฟลฐานขอมล หมายถง ไฟลทระบบจดการฐานขอมล (DBMS) ใชเกบขอมล

1.2 การจดเกบขอมล : 1.2.1 สถานทเกบ :

1.2.1.1 ไฟลเอกสารระดบงานจะถกเกบไวท storage1 1.2.1.2 ไฟลเอกสารระดบโครงการจะถกเกบไวท storage2 1.2.1.3 ไฟลเอกสารระดบบคคลจะถกเกบไวท storage3 โดยบคลากรทกคน

จะไดรบการจดสรรพนทคนละ 5 GB แตขอมลในสวนนจะไมมการสารองเกบไว 1.2.1.4 ไฟลเวบเพจและไฟลฐานขอมลจะถกเกบไวทเซรฟเวอรของตวเอง

1.2.2 อายของขอมล : หมายถงระยะเวลาในการเกบขอมลไวทเซรฟเวอร มขอกาหนด ดงตอไปน

1.2.2.1 ไฟลเอกสารทงในระดบงานและโครงการจะถกเกบยอนหลงเปนเวลา 1 ปงบประมาณ เชน ถาปปจจบนเปนปงบประมาณ 2555 ไฟลเอกสารทอยในเซรฟเวอรจะถกเกบไวเฉพาะ ปงบประมาณ 2553 และ 2552 เทานน สวนไฟลเอกสารของปกอนหนานนจะถกสารองเกบไวใน CD

1.2.2.2 ไฟลเวบเพจและไฟลฐานขอมลจะถกเกบไวในเซรฟเวอรตลอดอาย การใชงานแตเมอไรกตามทระบบสารสนเทศหรอฐานขอมลใดๆถกยกเลกกจะมการสารองเกบไวใน CD ดวยเชนกน

1.3 การรกษาความปลอดภยของขอมล : 1.3.1 ผรบผดชอบในการบรหารจดการ (Administrator) : หมายถงผททาหนาท

ควบคมใหกจกรรมทงหมดทกลาวถงในเอกสารฉบบนเปนไปตามขอกาหนด ผทมหนาทดงกลาวคอหนวยตดตงและบารงรกษาระบบเทานน เพอใหงายตอการ

ตรวจสอบและดาเนนการ 1.3.2 สทธในการเขาถงขอมล :

1.3.2.1 สทธในการเขาถงไฟลเอกสารระดบงาน : บคลากรทกคนมสทธเขาถง ในระดบ “อานอยางเดยว” และจะมบคลากรเพยงบางคนเทานนทมสทธระดบ “เขยน” ขนอยกบหนาทของแตละคนเปนสาคญ

1.3.2.2 สทธในการเขาถงไฟลเอกสารระดบโครงการ : ขนอยกบแตละ โครงการ

1.3.2.3 สทธในการเขาถงไฟลฐานขอมล : ผดแลระบบเทานนทมสทธเขาถง 1.3.2.4 สทธในการเขาถงขอมลในฐานขอมล : แบงออกเปน 3 ระดบ ไดแก

7

1) Database Administrator : มสทธในการบรหารจดการทกอยางท เกยวของกบระบบจดการฐานขอมล (DBMS) เชน การสราง/ลบฐานขอมล การสราง/ลบเทเบล การสราง/ลบ Job การ backup/restore ฐานขอมล เปนตน

ผทมสทธดงกลาวนคอผดแลระบบเทานน เพอใหงายตอการตรวจสอบและ ดาเนนการ หากบคลากรในหนวยอนมความประสงคจะดาเนนการใดๆเกยวกบฐานขอมล จะตองมอบหมายให ผดแลระบบเปนผกระทาผานเอกสาร “ใบมอบหมายงาน” เทานน

2) Database User : บคลากรในทมพฒนามสทธเขาถงขอมลในฐานขอมลได โดยตรง แตเปนในระดบอานและเขยนขอมลเทานน ไมมสทธในการเปลยนแปลงโครงสรางใดๆของฐานขอมล ถอไดวา Account ทบคลากรในทมพฒนาใชในกระบวนการพฒนาแอพลเคชนสามารถเขาถงขอมลไดในระดบ Database

3) Application User : ผใชงาน (User) ทกคนไมวาจะเปนผใชงานของแอพ พลเคชนใดกตามจะไมมสทธเขาถงขอมลในฐานขอมลโดยตรง ดงนน Account ทผใชงานทกคนมเพอใช Login เขาสแอพพลเคชนจะใชเขาถงขอมลไดในระดบ Application เทานน

1.4 การสารองขอมล : การสารองขอมลเปนสวนสาคญของระบบบรหารความเสยง ม จดมงหมายเพอใชฟนฟระบบหรอขอมลจากความเสยหายไมวากรณใด ๆ

คาวา “การสารองขอมล” ทกลาวถงในเอกสารฉบบน ไมใชหมายถงการสารองเฉพาะไฟล ฐานขอมลเทานน แตจะหมายถงการสารองขอมลทง 3 ประเภททกลาวมาในตอนตน (ยกเวนไฟลเอกสารระดบ บคคล) มหลกการในการสารองขอมลดงตอไปน

1) สารองขอมลทงหมดลงซดเดอนละหนงครงจานวน 2 กอปป 2) เกบซดกอปปแรกไวทหองควบคมระบบเครอขาย และเกบกอปปท 2 ไวหางจาก

หองควบคมระบบเครอขาย เปนระยะทางอยางนอย 10 กโลเมตร (สถานสอสารจงหวดปราจนบร) 2. การตรวจสอบหองควบคมระบบเครอขายคอมพวเตอร

2.1 Hardware 2.1.1 เครอง Server

1) ทาการตรวจเชคสถานะการทางานของเครอง Server โดยรวม เชน CPU, Memory, Storage, Network โดยตรวจดสถานะภาพทางานของเครองทกวนไดตามขอปฏบตเรองการตรวจสอบภายในหองควบคมระบบเครอขายคอมพวเตอรทกาหนดไว

2) หากม Hardware เสยหรอไมสามารถใชงานได ใหดาเนนการตามระเบยบ ปฏบตเรองการจดซอจดจาง จางซอม

2.2.2 เครองสารองไฟฟา

เครองทตรวจสอบ รายว

น

ราย

สปดา

ห

รายเด

อน

ประเภทการตรวจสอบ แบบฟอรมทใช

ทกเครอง / ตรวจสอบสภาพทวไป Daily Server Farm Check

เครองในแถวท 1 เดอนเวนเดอน บารงรกษา การบารงรกษา UPS

เครองในแถวท 2 เดอนเวนเดอน บารงรกษา การบารงรกษา UPS

เครองในแถวท 3 เดอนเวนเดอน บารงรกษา การบารงรกษา UPS

8

ทาการตรวจเชคสถานะการทางานของเครองสารองไฟฟา ดงน 1) หากเครองสารองไฟฟามปญหาใหดวธการแกไขปญหาของเครองสารองไฟฟาแตละ

รนไดจากคมอผลตภณฑ 2) หากไมสามารถแกไขปญหาเองไดใหดาเนนการตามระเบยบปฏบตเรองการจดซอจด

จาง จางซอม 2.2.3 เครองปรบอากาศ (แอร)

1) ตรวจสอบการทางานของแอรจากมเตอรควบคมขางหอง Server ปกตจะปรบอณหภมความเยนไวท 18-20 องศา

2) หากแอรมความผดปกตใหทาการแจงบรษทผรบผดชอบดาเนนการแกไข 2.2.4 ถงดบเพลง

ดาเนนการตรวจเชคตามกาหนดของบรษทผผลต 2.2 ขอควรระวง / ความเสยง

1) อยาใหแอรมความเยนตาเกนไปเพราะจะทาใหเกดความชนมาก และอยาใหแอรรอนเกนไป เพราะจะทาใหอปกรณมความรอนสงอาจทาใหเกดปญหาในการทางานได

2) ควรมการตรวจสอบการทางานของอปกรณอยางสมาเสมอ 3) ควรมการทดสอบการทางานของอปกรณสารองไฟอยางนอยสองเดอนครง

การตรวจสอบ ใหเครอง Server หรอ อปกรณภายใน หองแมขายมสถานะพรอมใชงาน ควรตรวจสอบ ใหมลกษณะดงน

1) ตรวจสอบสถานะของ Sever ทกตวใหมสถานะ ใชงาน คอ ตองแสดงไฟ สเขยว 2) ตรวจสอบสภาพทวไปของ UPS ในทกวน ทาไดโดย

- ไฟสถานะในการใชงาน เปดอย - UPS มประจ 100% เตม - สงเกตการณโหลดไฟของ UPS โดยสงเกตไฟทปรากฏสญลกษณ ตองตดอยเสมอ

3) ตรวจสอบสถานะ Storageโดยไฟสถานะตองเปน ปกต สเขยว ไมปกต สสมหรอไมมไฟ 4) ตรวจสอบ KVM Switch โดยไฟสถานะไฟตองเปน ปกต สสม ไมปกต สแดง หรอไมมไฟ 5) ตรวจสอบสถานะ Switch ปกต วาไฟทตวอปกรณ ตดอยหรอไม 6) ตรวจสอบ Router โดย ดวาไฟท Lan Interface กระพรบหรอไม เปดอยหรอเปลา พดลม

ทางานหรอไม 7) ตรวจสอบ Firewall โดย ไฟ Traffic ไฟโหลด ถาเตม 100% แสดงวา ผดปกต 8) ตของการสอสาร โดย ดทไฟหนาต ตองไมตดเลย ปกต

9

บทท 4 รายละเอยดแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบต ทอาจจะเกดกบระบบฐานขอมลและสารสนเทศ (IT Contingency Plan)

------------------- ความเสยงทอาจจะเกดขนไดกบระบบคอมพวเตอรแยกออกเปนสามประเภทหลก ๆไดแก 1. ความเสยงทเกดจากตวโปรแกรม Program Error 2. ความเสยงทเกดจากสงแวดลอม Environments Error 3. ความเสยงทเกดจากตวบคคล Human Error ความเสยงทอาจจะเกดขนไดกบระบบคอมพวเตอร 1. ความเสยงทเกดจากตวโปรแกรม Program Error

• โปรแกรมทใชไมสามารถทางานไดเตมทเนองจากใชไมถกวตถประสงค • โปรแกรม Error เนองจากไมสามารถประมวลผลขอมลทกรอกเขามาพรอมกนหรอ

ทละมากๆได • โปรแกรม Error เนองจากเครองคอมพวเตอรไมสามารถทางานได อาจจะดวยเครองเกา

เครองเสย หรอระบบการประมวลผลไมเพยงพอกบขอมลทไดรบ • โปรแกรมทางานตดขด ทางานบางไมทางานบาง • ระบบฐานขอมลทใชเกบขอมลเตม ไมสามารถกรอกขอมลเขาไปไดอก ทาใหขอมลทผใช

กรอกไมสามารถนามาเกบในฐานขอมลได • โปรแกรมหมดอาย ไมยอมใหผใชงาน เขามาใชงาน โปรแกรมถก Log การใชงานไว • โปรแกรมตดไวรส หรอถกเจาะขอมลของระบบ ทาใหขอมลสญหาย

2. ความเสยงทเกดจากสงแวดลอม Environments Error • ความเสยงทเกดจากไฟฟาดบ • ความเสยงทเกดจาดไฟฟาลดวงจร ทาใหระบบไฟกระชาก ทาใหระบบเสยหาย • ความเสยงทเกดจาดไฟไหมทาใหขอมลเสยหาย • ความเสยงทเกดจากนาทวม ทาใหระบบโดนนาไมสามารถทางานได • ความเสยงทเกดจากฝนตก ทาใหระบบโดนนาไมสามารถทางานได

3. ความเสยงทเกดจากตวบคคล Human Error • ผตดตงระบบขาดความรเรองของการตดตงระบบ • ผตดตงระบบขาดความรเรองของการบรหารจดการระบบ • ผตดตงระบบขาดการตรวจสอบการใชงานโปรแกรมกอนการตดตง • ผตดตงระบบขาดการตรวจสอบขอมล ไมมการปองกนการเขาถงขอมล • ผตดตงระบบขาดการเปลยนรหสผานของระบบ หรอตดตงงายเกนไป ตอการคาดเดาทาให

ผอนสามารถเขาถงรหสผานได • ผตดตงระบบขาดการตรวจสอบจดออน จดแขงของระบบ หรอทดสอบระบบ ขาดการสราง

ความแขงแกรงใหกบระบบรวมทงการ Monitor หรอการเฝาระวงระบบไมใหเกดปญหา หรอ รบทราบปญหาได ทนทวงท กอนทระบบจะเสยหาย

• ไมมการบนทกการทางาน หรอบนทกการเปลยนแปลงระบบ หรอการตดตงคาตางๆ กรณท ตองแกไข กลบไมทราบวาตวเองตองทาอะไร ขาดคมอการปฎบตงาน รวมทงแนวทางการ แกไขปญหากรณ ฉกเฉน รวมทงเมอผดแลระบบไมอย ผอนสามารถทางานแทนได

10

• ขาดนโยบายทชดเจนในการบรหารระบบเครอขายทาใหระบบทางานไมเตมท • ขาดจรยธรรมของผดแลระบบ มการเปลยนแปลง แกไขหรอแอบดขอมลของผอนเนองจาก

ผดแลระบบจะมสทธการเขาถงขอมลสงสด แผนการรบมอฉกเฉนกรณเกดปญหา หรอความเสยงทเกดขน 1. การรบมอความเสยงทเกดจาก Program Error

• ระบบทตดตงตองมการทดสอบกอนการตดตงโปรแกรม • ตรวจสอบสทธการใชงาน เชนทดสอบ การ Login เขาสระบบ • ระบบทตดตงตองมการตดตง Antivirus เพอปองกนการตดไวรส ทาใหขอมลเสยหายตาม

พรอมตรวจสอบ Antivirus วาม Virus เขาสระบบหรอไดคกคามเครองใหบรการแมขาย หรอเครองใหบรการ หรอไม โดยดจาก Log ของ Antivirus Server ขนตอนดงน

11

• ระบบทตดตงตองมการตดตง Firewall เพอปองกนการโจมตจากภายนอก หรอการเจาะระบบ

เพอทาใหขอมลสญเสย หรอเสยหายพรอม ตรวจสอบการทางานของ Firewall เนอทการจดเกบ Log ตรวจสอบ Package เขาออกของระบบ และดาเนนการตรวจสอบ ดงน

หมายเหต : ตองดาเนนการตรวจเชคสถานะของ Server ทกวน

12

• ระบบทตดตงมการ Backup ขอมลเกบไว ทกๆเดอน พรอมตรวจสอบการ Backup ขอมล วา

มการ Backup ขอมลไดถกตอง และไดทาการ Backup ตามทกาหนดไว

หมายเหต : ทาการสารองขอมลเดอนละ 1 ครง ผรบผดชอบ เจาหนาทดแลระบบเครอขายคอมพวเตอร

13

• ระบบทตดตงมระบบสารอง กรณทเครองหลกเกดปญหา เครองสารองสามารถใชงานไดทนท

เชนการทา Load Balance หรอทา Cluster 2. การรบมอความเสยงทเกดจาก Environments Error

Sero

erver oom

Main

Metho

Enviroment

1. มร2. เจหอง

od

1สก2ปท34ต5แเ6เ

1. อยใทวมได2. สภา

วธก

14

ระบบการ จาหนาทดแserver ต

1. มการจดสารองระบกระชาก2. มการจดปองกนอากทางานของ3. มการจด4. มระบบหตรวจสอบห5. มการทาและมการจเปนระเบยบ6. มการตดเกดไฟไหม

ในทาเลทดาพหอง se

การปฏบตในก

เขา -ออกแลหองตอามกาหนด

ดการระบบบไฟฟาใน

ดการระบบการรอนจนงอปกรณดการกบควหรออปกรณหองาความสะอจดสายไฟแบดตงถงดบม

ตงทสงจา

erver ปอง

ารดแลหอง S

หอง servองตรวจสอด

บไฟฟาทดนกรณไฟฟ

บปรบอากานสงผลกระ

วามชนณทใชในก

อาดหองตาและอปกรณ

เพลง เพอ

กพนดน ไ

งกนจากแด

SERVER

verอบสภาพ

มการฟาดบ หรอ

าศทด เพอะทบกบกา

การ

ามกาหนดณตาง ๆ ใ

อใชในกรณ

ไมมโอกาส

ดด ลม แล

อาร

ดให

ณ

สเกดนา

ละฝน

15

แผนสารองฉกเฉน ( Contingency plan ) ดานเทคโนโลยสารสนเทศ

เหตการณ ผลกระทบทเกดขน การดาเนนการ การปองกน 1. อคคภย 1. ไฟไหมหอง server ทาให

ไมสามารถใชงานระบบได 1. ออกจากทเกดเหต 2. แจงหนวยงานทเกยวของทงหมด 3. ทาการปดระบบไฟฟา ทงหมด 4. ทาการฉดสารเคมดบเพลง 5. ในกรณทใชสารเคมแ ล ว เ พล ง ย ง ไ ม ด บ ร อเจาหนาทดบเพลง 6. ยายอปกรณทยงไมไดรบความเสยหายออกจากทเกดเหต 7. ยายททาการใหม 8. ทาการตดตงอปกรณในทใหม 9. ทาการ restore ขอมล 10. ทดสอบระบบวาใชงานไดตามปกตหรอไม 11. แจง user ใหทราบถงเหตการณ ทเกดขน

1. ตรวจสอบสภาพความ เรยบรอยของหองไมใหเสยงตอการเกดอคคภย 2. ทาการสารองขอมลเปนประจา 3. ทาการซอมเพอเตรยม พรอมรบเหตการณ 4. ตรวจเชคสภาพเครองมอดบเพลง

2. ตกถลม 1. ระบบ Internet ของ หนวยงานไมสามารถ ใชการได

1. ออกจากทเกดเหต 2. ยายททาการใหม 3. ทาการตดตงอปกรณในทใหม 4. ทาการ restore ขอมล 5. ทาการทดสอบระบบวาใชงานไดตามปกตหรอไม 6. แจง user ใหทราบถง เหตการณท เกดขน

1. ทาการสารองขอมลเปนประจา

16

การเตรยมความพรอมกรณเกดภยพบต (ไฟไหม)

ขนตอนการดาเนนงาน แนวทางปฏบต

กรณควบคมเพลงไมได - เจาหนาทแจงใหทาการเคลอนยาย บคลากร ออกจากทเกดเหต โดยใชระยะเวลา 10 นาท และเจาหนาททไดรบมอบหมาย นา เอกสาร รวมทงขอมลสารองออกมาดวย - ดาเนนการตดตอกบพนกงานดบเพลง ผานทางโทรศพทมอถอ ไปยงหมายเลข 199 กรณควบคมเพลงได - เจาหนาททาการปดระบบไฟฟาทงหมด - ใชอปกรณดบเพลงดบเพลงในทเกดเหต -ในการซอมครงนไมไดมการเคลอนยาย อปกรณทเสยหายออกจากทเกดเหต - มการทดสอบการแจงระงบบรการระบบ เครอขายดวยการ ประสานงานกบเจาหนาท ผานทางโทรศพท - ตดตงอปกรณแมขาย - ทดสอบการกคนขอมล เพอตรวจสอบ ความถกตอง - แจงผลการทดสอบใหผใชงานทราบผาน ทางระบบ Website

17

การเตรยมความพรอมกรณเกดภยพบต (ตกถลม)

ขนตอนการดาเนนงาน แนวทางปฏบต

- เจาหนาทแจงใหทาการเคลอนยายบคลากร ออกจากทเกดได โดยใชระยะเวลา 10 นาท โดยเจาหนาททไดรบมอบหมายใหนาเอกสาร และแผนสารองขอมลออกมาดวย - ดาเนนการตดตอกบหนวยกภยผานทาง โทรศพทมอถอ ไปยงหมายเลข 199 -ในการซอมครงนไมไดมการเคลอนยาย อปกรณทเสยหายออกจากทเกดเหต - มการทดสอบการแจงระงบบรการระบบดวย การประสานงานกบเจาหนาท ผานทาง โทรศพท - เดนทางไปยงตกศาลากลางหลงเกาเพอตดตง ระบบใหม - ตดตงอปกรณแมขาย - ทดสอบการกคนขอมล เพอตรวจสอบความ ถกตอง - แจงผลการทดสอบใหผใชงานทราบผานทาง ระบบ Website

ตกถลม

18

3. การรบมอความเสยงทเกดจากตวบคคล Human Error • สงเสรม ใหความร ความเขาใจแกผดแลระบบ การ Training เพอพฒนาความร • มการตรวจสอบระบบ การเชคความถกตองของขอมล การ Monitor ระบบ อยตลอดเวลา ม

การแจงเตอนทนท เมอเกดปญหา เชน การใชโปรแกรม Monitor ระบบตางเปนตน • บนทกการใชงานระบบ การเขาออกของขอมล การเขาถงของขอมล ของแตละคน เพอปองกน

บคคลภายนอกเขามาเปลยนแปลงขอมลหรอขโมยขอมล • บนทกการตดตงคาตางๆของระบบ การเปลยนแปลงคาการตดตง เพอการยอนกลบมาด ใน

กรณทเกดปญหาขนวาไดทาอะไรลงไปบาง • ทาคมอของระบบ กรณทผดแลระบบไมอย สามารถใหผอนแกไขระบบไดกรณเกดปญหา

ไดทนทวงท • ทาคมอ การเชคระบบ เพอทาการตรวจเชคระบบทกวนปองกนการผดพลาด หรอปญหาทจะ

เกดขน • กาหนดนโยบายทชดเจนของการจดตงระบบขนมา เพอใหเกดการตนตว การใหบรการอยางถก

วตถประสงคของการตดตง การลงทนของระบบ • มบทลงโทษอยางชดเจน กรณทผดแลระบบทาใหระบบเกดปญหาจากความบกพรองของ

ตวเองหรอการขโมยขอมลของผอน เนองจากตวเองเปนผมสทธสงสดในระบบ แผนการปรบปรงระบบเพอใหจงหวดปราจนบรเปนศนยกลางระบบเทคโนโลย

• การปรบปรงระบบใหทนสมยอยเสมอ เพมความสามารถใหกบระบบ ทาใหผใชงานสามารถใช งานระบบไดหลากหลาย นาสนใจ

• การปรบปรงระบบมใหเกดการ Down Time หรอการแกไขจดออนทจะทาใหระบบไมสามารถ ใหบรการแกผใชงานได เชน Main Switch , Firewall , Proxy , Link ISP , Database ซงการทางานยงเปน Stand Alone หรอทางานแคเครองเดยว หากเกดปญหาจะไมสามารถใหบรการผใชบรการได แนวทางการแกไขมการทางานแบบ Redundancies หรอทางานสองเครองพรอมกน

• มการประชาสมพนธการใชงาน การใหบรการของระบบ วามอะไรบาง ผใชสามารถใชงานอะไร ไดบาง

• ใหความร ความเขาใจ การทางานของระบบ จดการ Training ใหกบผใชงาน ใหมความรใน การใชงาน เพอเปนการกระตนการใชงาน

• ใหความรความเขาใจ กบกลมความรวมมอ 4 จงหวด (นครนายก ฉะเชงเทรา สระแกว และ ปราจนบร) ถงผลประโยชนทเขาจะไดรบ เชน การใหบรการ Internet, www Server, Antivirus การใหบรการแลกเปลยนขอมลขาวสาร รวมทงการจดเกบฐานขอมล รวมทงการใหความร การ Training ใหกบผใชงานระบบของ 4 จงหวด

• มผดแลระบบตลอดเวลาการทางาน และใหคาแนะนาปญหาตลอด 24 ชวโมง เพอใหเกด ความมนใจในการเขารวมการใชงาน

19

บทท 5

ผลการปฏบตตามแผนแกไขปญหาจากสถานการณความไมแนนอน และภยพบตทอาจจะเกดกบระบบฐานขอมลและสารสนเทศ (IT Contingency Plan)

------------------- อคคภย เปนภยทเกดขนบอยครงสวนใหญมสาเหตมาจากความประมาท ขาดความระมดระวง จงมผล

กอใหเกดความเสยหายตอรางกาย ชวต และ ทรพยสนของประชาชนและของรฐเปนจานวนมาก โดยเฉพาะอยาง ยงหากเกดขนในอาคารขนาดใหญ อาคารสง โรงงานอตสาหกรรม เขตชมชนหนาแนน สถานบนเทง และ ยาน การคาตาง ๆ จะกอใหเกดความเสยหายเปนจานวนมหาศาล

ศาลากลางจงหวดปราจนบร มหนวยงานราชการหลายหนวยงานใชเปนสถานทปฏบตงาน มความเสยงตอการเกดอคคภยไดงาย จงไดกาหนดขนตอนในการปฏบตไว ดงน

1. ขนตอนการปฏบตเมอเกดอคคภยในศาลากลางจงหวดปราจนบร 1.1 หากมสถานการณเพลงไหม หรอ ภยอน ๆ เกดขน ใหดาเนนการ ดงน

1. ผพบเหตการณ หรอ ผประสบเหต -รบรายงานหวหนาสวนราชการของตนเองทราบ ทนท 2. หวหนาสวนราชการ -รายงานผวาราชการจงหวด/รองผวาราชการจงหวดทราบ -สงการใหเจาหนาทใชเคมดบเพลง และ อปกรณระงบเหต (สายนา สายดบเพลง) ใน

ชนของตนเอง และ ขอกาลงสนบสนนจากหนวยงานขางเคยงภายในชนเพอระงบเหต -สงการเจาหนาทแจง อส. ทนท (เพอใหสญญาณกดกรงสญญาณไฟไหมยาว ๆ 1 ครง

และแจงเจาหนาททกชนรและเตรยมตว) 3. สมาชกอาสารกษาดนแดน ประจาศาลากลางจงหวดปราจนบร -กดกรงสญญาณไฟไหมยาว ๆ 1 ครง เพอใหเจาหนาททกชนรและเตรยมตว -แจงสานกงานปองกนและบรรเทาสาธารณภยจงหวดปราจนบร (ชน 3) เพอประเมน

สถานการณ ระดมกาลงและอปกรณระงบเหต -แจงหองสอสารปกครองขอกาลง อส.เพม

1.2 หากไมสามารถระงบเหตการณได ใหดาเนนการ ดงน - อส.กดกรงสญญาณไฟไหม ยาว ๆ 3 ครง แลวปดสวทแผงควบคมระบบไฟฟา - เจาหนาททกหนวยงาน หากไดยนสญญาณกรงยาว ๆ 3 ครง ใหอพยพทางบนได

(หามใชลฟท) - สนจ. หรอ ททาการปกครองจงหวด หรอ ปภ.จงหวด แจง 199 (ดบเพลง) , 191

(ตารวจ)

20

การเตรยมความพรอมกรณเกดภยพบต (ไฟไหม) ดานเทคโนโลยสารสนเทศ

ขนตอนการดาเนนงาน แนวทางปฏบต

กรณควบคมเพลงไมได - เจาหนาทแจงใหทาการเคลอนยาย บคลากร ออกจากทเกดเหต โดยใชระยะเวลา 10 นาท และเจาหนาททไดรบมอบหมาย นา เอกสาร รวมทงขอมลสารองออกมาดวย - ดาเนนการตดตอกบพนกงานดบเพลง ผานทางโทรศพทมอถอ ไปยงหมายเลข 199 กรณควบคมเพลงได - เจาหนาททาการปดระบบไฟฟาทงหมด - ใชอปกรณดบเพลงดบเพลงในทเกดเหต - มการทดสอบการแจงระงบบรการระบบ เครอขายดวยการ ประสานงานกบเจาหนาท ผานทางโทรศพท - ตดตงอปกรณแมขาย - ทดสอบการกคนขอมล เพอตรวจสอบ ความถกตอง - แจงผลการทดสอบใหผใชงานทราบผาน ทางระบบ Website

21

แบบทดสอบแผนฉกเฉนเมอเกดเหตไฟไหม

ตามแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบต (IT Contingency) กลมงานขอมลสารสนเทศและการสอสาร สานกงานจงหวดปราจนบร

ประจาปงบประมาณ พ.ศ. 2556

เมอเกดเหตเพลงไหม เพลงไหมทสามารถควบคมได ผาน ไมผาน เพลงไหมทไมสามารถควบคมได ผาน ไมผาน

1. ปดระบบไฟฟาทเกยวของกบ ระบบทงหมด 2. ดบเพลงในทเกดเหต 3. แจงระงบการใหบรการแก หนวยงานทเกยวของ 4. เคลอนยายอปกรณทเสยหายออก จากทเกดเหต 5. ปรบสภาพหองเซรฟเวอรใหกลบ สสภาวะปกต 6. แจงเจาหนาทใหมาตดตงอปกรณ ทชารดเสยหาย 7.ทาการรสโตรฐานขอมล 8.ทดสอบระบบวาสามารถใชงาน ไดตามปกตหรอไม 9.เมอทราบผลการทดสอบรบแจง ใหกบหนวยงานทเกยวของทราบ 10. ทางานตามปกต (ใชเวลาในการ เปดระบบ 7 นาท)

/ / / / / / / / / /

1. โทรแจงดบเพลงโดยดวน 2. รอจนเพลงสงบ 3. แจงระงบการใหบรการแก หนวยงานทเกยวของ 4. เคลอนยายอปกรณทเสยหายออก จากทเกดเหต 5. ปรบสภาพหองเซรฟเวอรใหกลบ สสภาวะปกต 6. แจงเจาหนาทใหมาตดตงอปกรณ ทชารดเสยหาย 7.ทาการรสโตรฐานขอมล 8.ทดสอบระบบวาสามารถใชงาน ไดตามปกตหรอไม 9.เมอทราบผลการทดสอบรบแจง ใหกบหนวยงานทเกยวของทราบ 10. ทางานตามปกต (ใชเวลาในการ เปดระบบ 7 นาท)

/ / / / / / / / / /

ลงชอ ..................................................... หวหนากลมงานขอมลสารสนเทศและการสอสาร

สานกงานจงหวดปราจนบร

22

บทท 6 ผลการดาเนนการตามระบบรกษาความมนคงและปลอดภย (Security)

ของระบบฐานขอมลและสารสนเทศ -------------

สานกงานปลดกระทรวงมหาดไทย โดยศนยเทคโนโลยสารสนเทศและการสอสาร ไดทาสญญากบ บรษท ยไนเตด อนฟอรเมชน ไฮเวย จากด ในโครงการจางพฒนาระบบความปลอดภยดานสารสนเทศและการ สอสาร โดยมเปาหมายปองกนไมใหมไวรสในเครอขายของสานกงานปลดกระทรวงมหาดไทย ทงสวนกลาง และภมภาค โดยกาหนดใหคอมพวเตอรลกขาย (Client) ทกเครองในสานกงานปลดกระทรวงมหาดไทย และ จงหวด ตดตงโปรแกรมปองกนไวรส NOD32

ในปจจบน บรษท ยไนเตด อนฟอรเมชน ไฮเวย จากด ไดดาเนนการตดตง Server ระบบปองกนไวรส ทศนยเทคโนโลยสารสนเทศและการสอสารเขต 2 (ชลบร) เสรจแลว ซง Server ดงกลาวทาหนาทควบคม ดแล ปองกนไวรส ใหกบเครองคอมพวเตอรลกขายของสานกงานจงหวด ในเขตรบผดชอบ ศสข.2 (ชลบร) ประกอบกบ จงหวดปราจนบร โดยกลมงานขอมลสารสนเทศและการสอสาร สานกงานจงหวดปราจนบร ไดประสานไปยงหนวยงานภายในจงหวดทกหนวยงานทใชงานบนเครอขาย สป.มท. ดาเนนการตดตงโปรแกรมปองกนไวรส NOD32 บนเครองคอมพวเตอรลกขายทกเครอง และรายงานศนยเทคโนโลยสารสนเทศและการสอสารสป.มท.ทราบแลว

ขนตอนการตดตงโปรแกรมปองกนไวรส NOD32 บนเครองคอมพวเตอร 1. เขาไปท Start เลอก run ใสคาท open \\ 10.7.0.47 เลอก OK 2. พมพ User = administrator และ Password = password 3. เปดโฟเดอร EAV_Client _ setup , Copy ClientNT ไวท Drive D: 4. ดบเบลคลกท eavbe_nt32_enu เลอก I Accept กด Next 5. เลอก Typical กด Next 6. เลอก Set Update parameter later Next 7. เลอก Enable Threat sense Next 8. เลอก Enable Detection Next 9. เลอก Install 10. เลอก Finish 11. หลงจากตดตงโปรแกรมเสรจให Restart และ Update Antirus กอนใชงาน วธตรวจสอบไวรส 1. ใหตรวจสอบ File ทอยในคอมพวเตอร File ท Download จาก Internet 2. เปดโปรแกรมปองกนไวรส NOD32 3. Update Antivirus เลอก Update Virus Signature database 4. Computer Scan เลอกท Custom Scan เลอก Drive ทตองการ Scan

23

บทท 7 การกาหนดสทธใหผใชในแตละระดบ Access rights

--------------- สทธในการเขาถงขอมล : เปนมาตรในการรกษาความปลอดภยของขอมลในระดบหนง โดยจงหวดไดกาหนด สทธใหผใชในแตละระดบ ออกเปน 4 กลม คอ

1. สทธในการเขาถงไฟลเอกสารระดบงาน : บคลากรทกคนมสทธเขาถงในระดบ “อานอยาง เดยว” และจะมบคลากรเพยงบางคนเทานนทมสทธระดบ “เขยน” ขนอยกบหนาทของแตละคนเปนสาคญ

2. สทธในการเขาถงไฟลเอกสารระดบโครงการ : ขนอยกบแตละโครงการ 3. สทธในการเขาถงไฟลฐานขอมล : ผดแลระบบเทานนทมสทธเขาถง 4. สทธในการเขาถงขอมลในฐานขอมล : แบงออกเปน 3 ระดบ ไดแก

1) Database Administrator : มสทธในการบรหารจดการทกอยางทเกยวของกบระบบ จดการฐานขอมล (DBMS) เชน การสราง/ลบฐานขอมล การสราง/ลบเทเบล การสราง/ลบ Job การ backup/restore ฐานขอมล เปนตน ผทมสทธดงกลาวนคอผดแลระบบเทานน เพอใหงายตอการตรวจสอบและดาเนนการ หากบคลากรในหนวยอนมความประสงคจะดาเนนการใด ๆ เกยวกบฐานขอมล จะตองมอบหมายใหผดแล ระบบเปนผกระทาผานเอกสาร “ใบมอบหมายงาน” เทานน

2) Database User : บคลากรในทมพฒนามสทธเขาถงขอมลในฐานขอมลไดโดยตรง แตเปนในระดบอานและเขยนขอมลเทานน ไมมสทธในการเปลยนแปลงโครงสรางใด ๆ ของฐานขอมล ถอไดวา Account ทบคลากรในทมพฒนาใชในกระบวนการพฒนาแอพลเคชนสามารถเขาถงขอมลไดในระดบ Database

3) Application User : ผใชงาน (User) ทกคนไมวาจะเปนผใชงานของแอพพลเคชนใด กตามจะไมมสทธเขาถงขอมลในฐานขอมลโดยตรง ดงนน Account ทผใชงานทกคนมเพอใช Login เขาส แอพพลเคชนจะใชเขาถงขอมลไดในระดบ Application เทานน การใชงานระบบศนยขอมลกลางกระทรวงมหาดไทย และ จงหวด

1. การกาหนดรหสผใชงาน รหสผใชกาหนด 9 ตว ประกอบดวย 1.1 ตาแหนงแรกจะเปนตวอกษรภาษาองกฤษตวพมพใหญ คอ U ซงหมายถง USER 1.2 ตาแหนงท 2 ถง 3 จะเปนรหสจงหวด ซงจงหวดปราจนบร มรหสเปน 56 1.3 ตาแหนงท 4 จะเปนระดบความนาเชอถอของผใช ซงประกอบดวย

1.3.1 หมายเลข 1 หมายถง ขอมลรอการตรวจสอบ (ดาว 1 ดวง) 1.3.2 หมายเลข 2 หมายถง ขอมลผานการตรวจสอบ (ดาว 2 ดวง) 1.3.3 หมายเลข 3 หมายถง ขอมลทผานการรบรองความถกตอง (ดาว 3 ดวง)

1.4 ตาแหนงท 5 ถง 7 เปนรหสหนวยงาน 3 หลก เชน รหส 001 คอ สานกงาน จงหวด

1.5 ตาแหนงท 8 ถง 9 จะเปนเลข Running โดยเรมจาก 01 ถง 99

24

2. ตวอยางเชน U56100101 หมายถง ผใชจงหวดปราจนบร มระดบความนาเชอถอเปน “ขอมลรอการ

ตรวจสอบ” สงกด สานกงานจงหวดปราจนบร U56200101 หมายถง ผใชจงหวดปราจนบร มระดบความนาเชอถอเปน “ขอมลผานการ

ตรวจสอบ” สงกด สานกงานจงหวดปราจนบร 3. รหสหนวยงาน ประกอบดวย

25

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศ จงหวดปราจนบร ประจาป 2556

สานกงานจงหวดปราจนบร กลมงานขอมลสารสนเทศและการสอสาร โทร/โทรสาร 0 3745 4006 (มท) 31729

e – mail Address : Prachinburi@moi.go.th

26

คานา

การจดทาแผนบรหารความเสยงดานเทคโนโลยสารสนเทศ เปนการดาเนนงานภายใตตวชวด “ระดบความสาเรจของการพฒนาคณภาพการบรหารจดการภาครฐ” (PMQA) หมวด 4 การวด การวเคราะห และ การจดการความร ซงเปนการตรวจประเมนวา สวนราชการเลอก รวบรวม วเคราะห จดการและปรบปรง ขอมลและสารสนเทศ และ จดการความรอยางไรโดยจะตองมขอมลทครอบคลม ถกตอง และ ทนสมย โดยเฉพาะในรหส IT 6 จงหวดตองแสดงระบบรกษาความมนคงและปลอดภยของระบบฐานขอมลและสารสนเทศ แสดงรายละเอยดแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจจะเกดกบระบบฐานขอมลและสารสนเทศ แสดงผลการปฏบตตามแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจจะเกดขนกบระบบฐานขอมลและสารสนเทศ

แผนบรหารความเสยงดานเทคโนโลยสารสนเทศ ปงบประมาณ พ.ศ. 2556 ของจงหวดปราจนบร จดทาขน ตามแนวทางการพจารณาการดาเนนการทครบถวน ตามคมอคาอธบายตวชวด การพฒนาคณภาพการบรหารจดการภาครฐ ปงบประมาณ พ.ศ. 2555 โดยจงหวดตองมระบบบรหารความเสยงของระบบฐานขอมลและสารสนเทศ ดงน

1. มการบรหารความเสยงเพอกาจด ปองกนหรอลดการเกดความเสยหายในรปแบบตาง ๆ โดยม แนวทาง/มาตรการทจะปองกนความเสยหาย และ มการสารองขอมลสารสนเทศ (Back up) ซงเมอเกดความเสยหายจงหวดสามารถฟนฟระบบสารสนเทศ และ กคนขอมลจากความเสยหายได (Recovery)

2. มการจดทาแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจจะเกดกบระบบ สารสนเทศ (IT Contingency Plan)

3. มระบบรกษาความมนคงและปลอดภย (Security) ของระบบฐานขอมลและสารสนเทศ เชน ระบบ Anti-Virus ระบบไฟฟาสารอง ระบบกาหนดสทธผใชงาน (Access rights)

จงหวดปราจนบร หวงเปนอยางยงวา ผบรหารและผปฏบตงานในสงกดทกภาคสวน จะใหความสาคญ และ นาแผนบรหารความเสยงดานเทคโนโลยสารสนเทศของจงหวดฉบบนไปประยกตใช และเปนเครองมอสาหรบเปนแนวทางในการดาเนนงานใหบรรลผลสาเรจอยางเปนระบบ และ รปธรรมทชดเจนตอไป

กลมงานขอมลสารสนเทศและการสอสาร สานกงานจงหวดปราจนบร

กมภาพนธ 2556

27

สารบญ

บทท 1 : นโยบายดานความปลอดภยในระบบสารสนเทศ (IT Security) 1-2 บทท 2 : การทบทวนความเพยงพอของการรกษาความมนคง และ ปลอดภย 3-5

(Security) ของระบบฐานขอมลและสารสนเทศ บทท 3 : ระบบรกษาความมนคง และ ปลอดภย (Security) 6-9

ของระบบฐานขอมลและสารสนเทศ บทท 4 : รายละเอยดแผนแกไขปญหาจากสถานการณความไมแนนอน 10-19 และภยพบตทอาจจะเกดกบระบบฐานขอมลและสารสนเทศ (IT Contingency Plan) บทท 5 : ผลการปฏบตตามแผนแกไขปญหาจากสถานการณความไมแนนอน 20-22

และภยพบตทอาจจะเกดกบระบบฐานขอมลและสารสนเทศ (IT Contingency Plan)

บทท 6 : ผลการดาเนนการตามระบบรกษาความมนคงและปลอดภย 23-25 (Security) ของระบบฐานขอมลและสารสนเทศ บทท 7 : Access Rights ทถกตองและทนสมย 26-28

28

ท ปจ 0017.1/ ศาลากลางจงหวดปราจนบร ถนนสวนทวงศ ปจ 25230

กมภาพนธ 2556

เรอง การรกษาความมนคงและปลอดภยของระบบฐานขอมลและสารสนเทศ (IT Security)

เรยน หวหนาสวนราชการประจาจงหวดปราจนบร หวหนาสวนราชการสงกดสวนกลาง หวหนาหนวยงาน บรหารสถานศกษา นายอาเภอทกอาเภอ นายกองคการบรหารสวนจงหวดปราจนบร นายกเทศมนตร เมองปราจนบร

สงทสงมาดวย 1. ประกาศจงหวดปราจนบร เรอง นโยบายดานความปลอดภยในระบบสารสนเทศ (IT Security) 2. แผนบรหารความเสยงดานเทคโนโลยสารสนเทศ ปงบประมาณ 2556

ดวยจงหวดปราจนบร ไดจดทาคารบรองการปฏบตราชการ ประจาปงบประมาณ 2556 มตท 4 ดานการพฒนาองคการ ตวชวดท 12 “ระดบความสาเรจของการพฒนาคณภาพการบรหารจดการภาครฐ PMQA” หมวด 4 การวด การวเคราะห และการจดการความร โดยกาหนดใหจงหวดตองแสดงระบบรกษาความมนคงและปลอดภยของระบบฐานขอมลและสารสนเทศ แสดงรายละเอยดแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจจะเกดขนกบระบบฐานขอมลและสารสนเทศ แสดงผลการปฏบตตามแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจจะเกดขนกบระบบฐานขอมลและสารสนเทศ

เพอใหการรกษาความมนคงและปลอดภยของระบบฐานขอมลและสารสนเทศ (IT Security) เปนไปตามแนวทางทสานกงาน ก.พ.ร. กาหนด จงหวดปราจนบรจงไดจดทาประกาศจงหวดปราจนบร เรอง นโยบายดานความปลอดภยในระบบสารสนเทศ (IT Security) และไดจดทาแผนบรหารความเสยงดานเทคโนโลยสารสนเทศ ปงบประมาณ 2556 ของจงหวดปราจนบรขน เพอใหทกสวนราชการไดถอเปนแนวทางปฏบต

จงเรยนมาเพอทราบ และถอปฏบตตอไป ขอแสดงความนบถอ สานกงานจงหวดปราจนบร กลมงานขอมลสารสนเทศและการสอสาร โทร 0 3745 4006 โทรสาร 0 3745 4003

29

ประกาศจงหวดปราจนบร เรอง นโยบานดานความปลอดภยในระบบสารสนเทศ (IT Security)

--------- ดวยในปจจบนเทคโนโลยสารสนเทศไดเขามามบทบาทสาคญในการดาเนนงานของสวนราชการ ทงในสวนของการบรหารจดการ การจดเกบขอมล และการประมวลผล ระบบงานสาคญตาง ๆ โดยเฉพาะระบบงานทเกยวของกบการใหบรการประชาชน (front office system) และระบบปฏบตการ (back office system) เปนตน เทคโนโลยสารสนเทศ ทาใหการดาเนนงานของสวนราชการ มความสะดวกรวดเรว มประสทธภาพมากขน อยางไรกด การใชเทคโนโลยสารสนเทศกมความเสยงหลายประการทควรคานงถง โดยหากสวนราชการไมมการบรหารจดการและการรกษาความปลอดภยดานเทคโนโลยสารสนเทศทรดกมเพยงพอ กอาจสงผลกระทบตอการดาเนนงานหรอสรางความเสยหายตอสวนราชการและประชาชนทตดตองานได ดงนน การควบคมความเสยงดานเทคโนโลยสารสนเทศ จงเปนเรองททกสวนราชการควรใหความสาคญ จงหวดปราจนบรจงมนโยบายทจะกากบดแลและตรวจสอบเกยวกบการบรหารจดการและการควบคมความเสยงดานเทคโนโลยสารสนเทศของสวนราชการอยางจรงจง เพอใหการนาเทคโนโลยสารสนเทศมาสนบสนนการปฏบตราชการใหเกดประโยชนสงสด และเพอลดโอกาสความเสยหายทอาจเกดขนโดยใหความสาคญกบการบรหารจดการและการควบคมความเสยงทเกยวของ ในเรองดงตอไปน

1. การควบคมการใชขอมล และระบบงานคอมพวเตอร และ การปองกนการบกรกผานระบบ เครอขาย (Logical Security) แนวทางการกากบดแล สวนราชการตองใหความสาคญกบการจดใหมระบบการตรวจสอบผใชงานกอนเขาสระบบคอมพวเตอร (Authentication) และการกาหนดใหมการใสรหสผาน (Password) กอนเขาสระบบคอมพวเตอร โดยรหสผานดงกลาว ควรมการกาหนดความยาวขนตา อาย จานวนครงทยอมใหใสรหสผานผด และควรกาหนดรหสผานใหมความยากแกการคาดเดา นอกจากน สวนราชการกควรมการกาหนดสทธผใชงานใหเหมาะสมกบหนาทความรบผดชอบ และ สาหรบกรณทสวนราชการมการเชอมตอระบบเครอขายภายในกบภายนอก สวนราชการกควรมระบบปองกนการบกรกจากบคคลภายนอกเชน Firewall เปนตน และระบบปองกนไวรส (Anit virus) หรอ Malicious code อน ๆ ทงน ระบบตาง ๆ ตามทกลาว รวมทงการใชรหสผาน และสทธของผใชงาน กควรมการตรวจสอบอยางสมาเสมอ

2. การสารองขอมล (Back up) และระบบงานคอมพวเตอร และการเตรยมพรอมกรณฉกเฉน (Contingency Plan) ในการปฏบตงานมหลายกรณทอาจทาใหขอมลหรอระบบงานคอมพวเตอรเสยหาย เชน การตดไวรส สภาวะแวดลอม หรอ ภยพบตตาง ๆ หรอ อาจเกดจากการปฏบตงานทผดพลาดของผใชงาน เปนตน ในการน สวนราชการตองใหความสาคญกบการสารองขอมล และระบบงานคอมพวเตอร รวมทงการเตรยมพรอมกรณฉกเฉนตาง ๆ ดงน

2.1 การสารองขอมล (Back up) และระบบงานคอมพวเตอร หากมไดมการสารองขอมลและ ระบบงานคอมพวเตอรทเพยงพอในกรณทเกดเหตการณททาใหขอมลหรอระบบงานคอมพวเตอรเสยหาย สวนราชการกอาจไมมขอมล หรอ ระบบงานคอมพวเตอรสาหรบการใชงานไดอยางตอเนอง มประสทธภาพ และในเวลาทตองการ (availability risk) ซงอาจสงผลกระทบตอการดาเนนงานของสวนราชการ และ อาจกอใหเกดความเสยหายตอประชาชนทมารบบรการได แนวทางการกากบดแล สวนราชการตองใหความสาคญกบความครบถวนของการสารองขอมลและระบบงานคอมพวเตอร วธการเกบรกษาสอทใชบนทกขอมลและระบบงานคอมพวเตอร และการทดสอบความถกตองครบถวนของขอมลและการทางานของระบบงานคอมพวเตอรทไดสารองไว

30

2.2 การเตรยมพรอมกรณฉกเฉน การสารองขอมล และ ระบบงานคอมพวเตอรเพยงอยางเดยว

อาจไมเพยงพอแกการปองกนการหยดชะงกของการปฎบตงาน ดงนน การจดใหมแผนฉกเฉนเพอรองรบในกรณทอาจเกดเหตการณฉกเฉน (Contingency Plan) จะทาใหการควบคมความเสยงดาน availability risk มประสทธภาพมากขน แนวทางการกากบดแล สวนราชการตองใหความสาคญกบการจดใหมแผนรองรบเหตการณฉกเฉนตาง ๆ ซงแผนดงกลาวควรมรายละเอยดทชดเจนเกยวกบขนตอนปฏบตและผรบผดชอบ ควรมการสอสารใหผเกยวของเขาใจและรบทราบหนาทความรบผดชอบ รวมทง ควรมการทดสอบแผนดงกลาวเพอใหมนใจไดวาสามารถนาไปใชไดจรงในทางปฏบต

3. การควบคมการปฏบตงานประจาดานคอมพวเตอร การปฏบตงานประจาดานคอมพวเตอร ทสาคญ คอ การควบคมการประมวลผลขอมลซงการประมวลผลขอมลทถกตอง และ ครบถวนมความสาคญตอการปฏบตงานของสวนราชการ ซงหากมไดมวธการปฏบต และการควบคมทรอบคอบและรดกมเพยงพอ ทาใหขอมลไมถกตองหรอไมครบถวน (integrity risk) ซงอาจกอใหเกดความเสยหายตอสวนราชการและประชาชนทตดตอไป แนวทางการกากบดแล สวนราชการตองใหความสาคญกบการกากบดแลและควบคมการปฏบตงานประจาดานคอมพวเตอรอยางใกลชดของผบงคบบญชา การปฏบตงานทมขนตอนทชดเจน และสามารถตรวจสอบได รวมทง ควรจดใหมระบบการรายงาน และการตรวจสอบการปฏบตงานประจาดงกลาวอยางสมาเสมอ ประกาศจงหวดปราจนบรฉบบน จดทาขนโดยมวตถประสงคเพอใหสวนราชการตาง ๆ ถอเปนแนวทางปฏบตในการกากบ ดแล ตรวจสอบเกยวกบการบรหารจดการ และการควบคมความเสยงดานเทคโนโลยสารสนเทศของสวนราชการอยางจรงจง เพอใหการนาเทคโนโลยสารสนเทศมาสนบสนนการปฏบตราชการใหเกดประโยชนสงสด และเพอลดโอกาสความเสยหายทอาจเกดขนโดยใหความสาคญกบการบรหารจดทาการและการควบคมความเสยงทเกยวของ ประกาศ ณ วนท กมภาพนธ พ.ศ.2556