Professional Documents
Culture Documents
มาตรฐานความมั่นคงปลอดภัยด้านสารสนเทศ ฉบับที่ 2 (ปรับปรุง พ.ศ. 2554)
มาตรฐานความมั่นคงปลอดภัยด้านสารสนเทศ ฉบับที่ 2 (ปรับปรุง พ.ศ. 2554)
ÞïĆïìĊę 2
( ðøĆïðøčÜ ó.ý. 2554 )
ÖćøĕôôŜćòść÷ñúĉêĒĀŠÜðøąđìýĕì÷
ÙĞćîĞć
ÖćøĕôôŜćòść÷ñúĉêĒĀŠÜðøąđìýĕì÷ (Öôñ.) ĕéšêøąĀîĆÖëċÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýüŠćđðŨî
ðŦÝÝĆ÷ÿĞćÙĆâĔîÖćøéĞćđîĉîíčøÖĉÝĔĀšðøąÿïÙüćöÿĞćđøĘÝõć÷ĔêšÖćøïøĉĀćøÝĆéÖćøìĊęéĊ éĆÜîĆĚîđóČęĂđðŨî Öćø
ÖĞćĀîéìĉýìćÜ ĀúĆÖÖćøĒúąÖøĂï×ĂÜךĂÖĞćĀîéĔîÖćøðŜĂÜÖĆîìøĆó÷ŤÿĉîìĊęđÖĊę÷üךĂÜÖĆïøąïïÿćøÿîđìýĔĀš
ðúĂéõĆ÷ÝćÖõĆ÷ÙčÖÙćöìĊęÖŠĂĔĀšđÖĉé ÙüćöđÿĊ÷Āć÷êŠĂÖćøøĆÖþćÙüćöúĆï (Confidentiality) ÙüćöëĎÖêšĂÜ
Ùøïëšüî (Integrity) ĒúąÙüćöóøšĂöĔßš (Availability) ×ĂÜךĂöĎúĔîøąïïÿćøÿîđìý ĂĊÖìĆĚÜđóČęĂĔĀš
ñĎšðäĉïĆêĉÜćîĒúąïčÙÙúìĊęđÖĊę÷üךĂÜÖĆï Öôñ. êøąĀîĆÖëċÜÙüćöÿĞćÙĆâ×ĂÜ ÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý Öôñ. ÝċÜĕéšöĊÖćøÖĞćĀîéöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÞïĆïîĊĚ đóČęĂøĂÜøĆïîē÷ïć÷
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĒúąĔĀšĀîŠü÷ÜćîêŠćÜė ĔßšĔîÖćøéĞćđîĉîÜćîéšćîÿćøÿîđìýĂ÷ŠćÜ
đÙøŠÜÙøĆé
(îć÷ÿĀĆÿ ðøąìĆÖþŤîčÖĎú)
øĂÜñĎšüŠćÖćøîē÷ïć÷ĒúąĒñî
ðøąíćîÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ.
ÙĞćîĉ÷ćö ........................................................................................................................................................................... 6
ST-01: ÖćøîĞćöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕððäĉïĆêĉ (Implement of Information security
standards) ................................................................................................................................................................... 12
ST-02: öćêøåćîēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï Öôñ. (Standard of Organization of
Information Security) ............................................................................................................................................... 23
2.1 ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷õć÷ĔîĂÜÙŤÖø (Internal Organization) ............................................... 26
2.2 ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üךĂÜÖĆïĀîŠü÷Üćîõć÷îĂÖ (External Parties) .......................... 31
ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of Asset Management) ......................... 34
3.1 ĀîšćìĊęÙüćöøĆïñĉéßĂïêŠĂìøĆó÷Ťÿĉî×ĂÜĂÜÙŤÖø (Responsibility for Assets) .................................................... 36
3.2 ÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìý (Information Classification) ............................................................................... 37
ST-04: öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üÖĆïïčÙúćÖø (Standard of Human Resources Security) ................ 46
4.1 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÖŠĂîÖćøÝšćÜÜćî (Prior to Employment) ......................................................... 50
4.2 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ĔîøąĀüŠćÜÖćøÝšćÜÜćî (During Employment).................................................. 52
4.3 ÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî (Termination or Change of Employment) ............................ 54
ST-05: öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö (Standard of Physical and Environmental
Security) ...................................................................................................................................................................... 55
5.1 ïøĉđüèìĊęêšĂÜöĊÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ (Secure Areas) .......................................................................... 58
5.2 ÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜĂčðÖøèŤ (Equipment Security) ................................................................................. 64
ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of
Communication and Operation Management) ................................................................................................. 68
6.1 ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïĒúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćî (Operational Procedures and
Responsibilities) ........................................................................................................................................... 71
6.2 ÖćøïøĉĀćøÝĆéÖćøÖćøĔĀšïøĉÖćø×ĂÜĀîŠü÷Üćîõć÷îĂÖ (External Party Service Delivery Management) . 75
6.3 ÖćøüćÜĒñîĒúąÖćøêøüÝøĆïìøĆó÷ćÖøÿćøÿîđìý (System Planning and Acceptance) ............................ 77
6.4 ÖćøðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ (Protection against Malicious and Mobile Code)............................. 78
6.5 ÖćøÿĞćøĂÜךĂöĎú (Back-up) ................................................................................................................................ 80
6.6 ÖćøïøĉĀćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđÙøČĂ׊ć÷×ĂÜĂÜÙŤÖø (Network Security Management)
........................................................................................................................................................................ 81
6.7 ÖćøÝĆéÖćøÿČęĂìĊęĔßšĔîÖćøïĆîìċÖךĂöĎú (Media Handling) .................................................................................. 83
6.8 ÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Exchange of Information) .................................................................................. 85
6.9 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïïøĉÖćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Commerce Services) ........ 91
6.10 ÖćøđòŜćøąüĆÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Monitoring) ................................................................................. 95
ST-07: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ (Standard of Access Control) ................................................................. 98
7.1 ךĂÖĞćĀîéìćÜíčøÖĉÝÿĞćĀøĆïÖćøÙüïÙčöÖćøđךćëċÜ (Business Requirements for Access Control) ............ 102
ýĆóìŤ ÙüćöĀöć÷
ÙüćööĆęîÙÜ Āöć÷ÙüćöüŠćÖćøðŜĂÜÖĆîìøĆó÷ŤÿĉîÿćøÿîđìýÝćÖÖćøđךćëċÜ Ĕßš đðŗéđñ÷ ×Ćé×üćÜ đðúĊę÷îĒðúÜĒÖšĕ× ìĞćĔĀšÿĎâĀć÷
ðúĂéõĆ÷éšćî ìĞćĔĀšđÿĊ÷Āć÷ ëĎÖìĞćúć÷ ĀøČĂúŠüÜøĎšēé÷öĉßĂï (ĂšćÜĂĉÜÝćÖ óøąøćßÖùþãĊÖć üŠćéšü÷üĉíĊÖćøĒïïðúĂéõĆ÷ĔîÖćøìĞć
ÿćøÿîđìý íčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ ó.ý. 2553)
Öôñ. ÖćøĕôôŜćòść÷ñúĉêĒĀŠÜðøąđìýĕì÷
ñĎšüŠćÖćø ñĎšüŠćÖćø Öôñ.
ñĎšĂĞćîü÷Öćøòść÷ ñĎšĂĞćîü÷Öćøòść÷ ĀøČĂñĎšìĊęìĞćĀîšćìĊęĒìîñĎšĂĞćîü÷Öćøòść÷ ĀøČĂđìĊ÷ïđìŠć đߊî ñĎšĂĞćîü÷Öćøđ×ČęĂî ñĎšĂĞćîü÷Öćø
ēøÜĕôôŜćóúĆÜîĚĞć ñĎšĂĞćîü÷ÖćøēøÜĕôôŜćñĎšĂĞćîü÷ÖćøÿĞćîĆÖ ñĎšĂĞćîü÷ÖćøēÙøÜÖćø ñĎšĂĞćîü÷ÖćøÿŠüî ĀĆüĀîšćēÙøÜÖćø
(øąéĆïÿŠüî) đðŨîêšî
ĀĆüĀîšćÜćî ĀĆüĀîšćÖĂÜ ñĎšÝĆéÖćøÖĂÜ ĀĆüĀîšćēÙøÜÖćø (øąéĆïÖĂÜ) ñĎšÝĆéÖćøēÙøÜÖćø (øąéĆïÖĂÜ) ĀĆüĀîšćĀîŠü÷ ñĎšÝĆéÖćøĀîŠü÷
ÿćøÿîđìý ×ċĚîĕðìĊęøĆïñĉéßĂïÜćîÿćøÿîđìý ĀøČĂñĎšðäĉïĆêĉÜćîìĊęñĎšĂĞćîü÷Öćøòść÷×ċĚîĕðöĂïĀöć÷ĔĀšøĆïñĉéßĂïÜćîÿćøÿîđìý
ĀĆüĀîšćýĎî÷Ť ĀĆüĀîšćÜćî×ĂÜýĎî÷ŤÙĂöóĉüđêĂøŤ ĀøČĂñĎšøĆÖþćïøĉđüè ĔîÖøèĊìĊęĕöŠöĊĀĆüĀîšćÜćîýĎî÷ŤÙĂöóĉüđêĂøŤ
ÙĂöóĉüđêĂøŤ
ñĎšéĎĒúĀšĂÜ ñĎšìĊęĕéšøĆïöĂïĀöć÷ĔĀšöĊĀîšćìĊęéĎĒúøĆïñĉéßĂïĀšĂÜÙĂöóĉüđêĂøŤ
ÙĂöóĉüđêĂøŤ
ñĎšðäĉïĆêĉÜćî ñĎšìéúĂÜÜćî óîĆÖÜćî ĒúąúĎÖÝšćÜ×ĂÜ Öôñ.
ñĎšĔßšÜćî ñĎšìéúĂÜÜćî óîĆÖÜćî ĒúąúĎÖÝšćÜ×ĂÜ Öôñ. øüöëċÜĀîŠü÷Üćîõć÷îĂÖ ïčÙúćÖø×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊę
ðäĉïĆêĉÜćîĔĀš Öôñ. ìĊęĕéšøĆïÿĉìíĉđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜÖôñ.
ĀîŠü÷Üćîõć÷îĂÖ ĀîŠü÷ÜćîĀøČĂïčÙÙúõć÷îĂÖìĊęéĞćđîĉîíčøÖĉÝĀøČĂĔĀšïøĉÖćøìĊęĂćÝĕéšøĆïÿĉìíĉđךćëċÜìøĆó÷ŤÿĉîéšćîđìÙēîēú÷Ċÿćøÿîđìý
×ĂÜ Öôñ. àċęÜÙúĂïÙúčöëċÜ
- ïøĉþĆìĔîđÙøČĂ×ĂÜ Öôñ. đߊî ïøĉþĆìñúĉêĕôôŜćøą÷ĂÜ ÝĞćÖĆé (ïôø.) ïøĉþĆìñúĉêĕôôŜć×îĂö ÝĞćÖĆé (ïô×.)
ïøĉþĆì ĂĊĒÖĘê ĂĉîđêĂøŤđîßĆîĒîú ÝĞćÖĆé đðŨîêšî
- ñĎšøĆïÝšćÜðäĉïĆêĉÜćîĔĀšÖĆï Öôñ. (Outsource) đߊî ñĎšøĆïÝšćÜêĉéêĆĚÜøąïïÜćî ERP đðŨîêšî
- ñĎšøĆïÝšćÜóĆçîćøąïïÜćîĀøČĂÝĆéĀćüĆÿéčĂčðÖøèŤêŠćÜė (Supplier) đߊî ñĎšóĆçîćøąïïÜćîÙüïÙčöÖćøñúĉê
ñĎšÝĞćĀîŠć÷ĂčðÖøèŤÙĂöóĉüđêĂøŤ đðŨîêšî
- ñĎšĔĀšïøĉÖćøêŠćÜė (Service Provider) đߊî ñĎšêĉéêĆĚÜĒúąïĞćøčÜøĆÖþćìøĆó÷ŤÿĉîêŠćÜė ñĎšĔĀšïøĉÖćøēÙøÜ׊ć÷
ÿČęĂÿćø ñĎšĔĀšïøĉÖćøĂĉîđêĂøŤđîĘê đðŨîêšî
- ìĊę ð øċ Ö þć (Consultant) đߊ î ìĊę ð øċ Ö þćøąïïÜćîÖćøüćÜĒñîÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îđìÙēîēú÷Ċ
ÿćøÿîđìý đðŨîêšî
- đÝšćĀîšćìĊę×ĂÜĀîŠü÷ÜćîêŠćÜė đߊî ÖøąìøüÜóúĆÜÜćî ÖøąìøüÜđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøÿČęĂÿćø
üĆêëčðøąÿÜÙŤ
đóČęĂđðŨîĒîüìćÜĔîÖćøîĞćöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕððäĉïĆêĉ
ēÙøÜÿøšćÜöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ĂÜÙŤðøąÖĂï×ĂÜöćêøåćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĒïŠÜđðŨî 11 ĀĆüךà éĆÜêŠĂĕðîĊĚ
øĀĆÿ ßČęĂöćêøåćî
ST-01 ÖćøîĞćöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕððäĉïĆêĉ (Implement of
Information security policy and standards)
ST-02 öćêøåćîēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï Öôñ. (Standard of
Organization of Information Security)
ST-03 öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of Asset
Management)
ST-04 öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üÖĆïïčÙúćÖø (Standard of Human
Resources Security)
ST-05 öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö (Standard of
Physical and Environmental Security)
ST-06 öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ
Öôñ. (Standard of Communication and Operation Management)
ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ (Standard of Access Control)
ךĂêÖúÜÖćøðäĉïĆêĉêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ĀîŠü÷Üćîõć÷Ĕî Öôñ. ÿćöćøëĒïŠÜĕéš 2 ðøąđõìÙČĂ
1. òść÷ìĊęöĊúĆÖþèąÜćîđðŨîñĎšĔßšÜćî ĒúąöĊÖćøóĆçîćøąïïÿćøÿîđìý (òść÷ÖúčŠöìĊę 1) ÙČĂ òść÷Ĕéė ìĊę
öĊúĆÖþèąđðŨîñĎšĔßšÜćîøąïïÿćøÿîđìý ĒúąöĊÖćøóĆçîćøąïïÿćøÿîđìýõć÷Ĕîòść÷ êšĂÜöĊÖćø
ĒêŠÜêĆĚÜĀĆüĀîšćÜćîÿćøÿîđìý ĒúąÝĆéĔĀšöĊÖćøöĂïĀöć÷ĀîšćìĊę ñĎšéĎĒúÿćøÿîđìý ĒúąñĎšéĎĒú
øąïïÿćøÿîđìý ēÙøÜÿøšćÜĔîÖćøÖĞćÖĆïéĎĒúÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý éĆÜêŠĂĕðîĊĚ
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-01 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćî
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Information Security Policy, Standard and Procedure
Management)
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-01 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćø
ðäĉïĆêĉÜćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Information Security Policy, Standard and
Procedure Management)
ïìïćì ĀîšćìĊęÙüćöøĆïñĉéßĂïêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ST02 ST03 ST04 ST05 ST06 ST07 ST08 ST09 ST10 ST11
ñĎšïøĉĀćø Öôñ. ìčÖ 4.2.1
øąéĆïßĆĚî
ÙèąÖøøöÖćø 2.1.1, 2.1.8 11.1.1,
đìÙēîēú÷Ċÿćøÿîđìý 11.2.1, 11.2.2
Öôñ. (Ùìÿ.)
ÙèąÖøøöÖćøïøĉĀćø 10.1.1,
ÝĆéÖćøéšćî 10.1.3,
÷čìíýćÿêøŤ Öćø 10.1.4
ïøĉĀćøÙüćöđÿĊę÷ÜĒúą
ÖćøÙüïÙčöõć÷Ĕî
Öôñ. (Ù÷ÿ.)/
ÙèąĂîčÖøøöÖćø
ïøĉĀćøÙüćöêŠĂđîČęĂÜ
ĔîÖćøéĞćđîĉîÜćî
ÙèąìĞćÜćîÖćø 10.1.2,
ïøĉĀćøÙüćöêŠĂđîČęĂÜ 10.1.3,
ĔîÖćøóĆçîćÖćø
ĀĆüĀîšćÜćî 2.1.6, 2.1.7, 3.1.1 4.2.2, 4.3.3 5.1.3, 5.2.3, 6.1.1, 6.1.2, 7.1.1, 7.2.1, 8.1.1, 8.2.1, 9.1.1, 9.1.2, 11.1.2,
ÿćøÿîđìý 2.2.1, 2.2.2 5.2.4, 5.2.6, 6.1.4, 6.2.1, 7.2.2, 7.2.3, 8.2.2, 8.2.3, 9.2.1 11.1.3,
5.2.7 6.2.2, 6.2.3, 7.2.4, 7.3.3, 8.2.4, 8.3.1, 11.1.4,
6.3.1, 6.3.2, 7.4.6, 7.5.1, 8.3.2, 8.4.1, 11.1.5,
6.4.1, 6.4.2, 7.5.2, 7.5.3, 8.4.2, 8.4.3, 11.1.6,
6.5.1, 6.7.1, 7.5.4, 7.5.5, 8.5.1, 8.5.2, 11.2.1,
6.7.2, 6.7.3, 7.5.6, 7.6.2, 8.5.3, 8.5.4, 11.3.1, 11.3.2
6.7.4, 6.8.1, 7.7.1, 7.7.2 8.5.5, 8.6.1
6.8.2, 6.8.3,
6.8.4, 6.8.5,
6.9.1, 6.9.2,
6.9.3, 6.10.1,
6.10.2,
ĀîŠü÷ÜćîïøĉĀćø 11.1.1
ÿĆââć
ñĎšêøüÝÿĂïĂĉÿøą 2.1.8 11.2.1,11.2.2,
11.3.1, 11.3.2
ñĎšðäĉïĆêĉÜćî 2.1.3, 2.1.4, 4.1.1, 4.1.3, 5.1.2, 5.1.5, 6.4.1 7.2.1, 7.3.1, 9.1.1, 9.1.2 11.1.2,
2.1.5 4.3.1 5.2.4, 5.2.5, 7.3.2, 7.3.3, 11.1.4, 11.1.5
5.2.7 7.4.1, 7.4.6,
7.5.5, 7.7.1,
7.7.2
ñĎšöćêĉéêŠĂýĎî÷Ť 5.1.1, 5.1.2,
ÙĂöóĉüđêĂøŤĀøČĂ ĀšĂÜ 5.1.5
ÙĂöóĉüđêĂøŤ
ĀîŠü÷Üćîõć÷ĔîìĊę 4.1.2, 4.1.3, 6.2.1, 6.2.2,
êšĂÜÖćøüŠćÝšćÜ 4.2.2, 4.3.1, 6.2.3, 6.3.2
ĀîŠü÷Üćîõć÷îĂÖ 4.3.2
ñĎšÙüïÙčöךĂöĎúÿŠüî 11.1.4
ïčÙÙú
üĆêëčðøąÿÜÙŤ
đóČęĂïøĉĀćøÝĆéÖćøÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìýĒúąøąïïÿćøÿîđìýõć÷Ĕî Öôñ. øüöìĆĚÜÿćøÿîđìý
ĒúąøąïïÿćøÿîđìýìĊęëĎÖđךćëċÜ ëĎÖðøąöüúñú ĀøČĂëĎÖĔßšĔîÖćøêĉéêŠĂÿČęĂÿćøÖĆïĀîŠü÷Üćîõć÷îĂÖ Öôñ.
ēé÷ÖĞćĀîéĔĀšöĊöćêøåćîēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïĂÜÙŤÖø àċęÜðøąÖĂïéšü÷ 2 đøČęĂÜ
éĆÜêŠĂĕðîĊĚ
1) ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷õć÷ĔîĂÜÙŤÖø (Internal Organization)
2) ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üךĂÜÖĆïĀîŠü÷Üćîõć÷îĂÖ (External Parties)
ïìïćìĀîšćìĊę
ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.)
ÖĞćĀîéìĉýìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĔîĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćø
ÿČęĂÿćø
ðøĆïðøčÜĒúąĂîčöĆêĉĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøÿČęĂÿćø
øĂÜñĎšüŠćÖćøĀøČĂñĎšìĊęĕéšøĆïöĂïĀöć÷
ðøąÿćîÜćîÖĆïÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) đóČęĂÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý õć÷Ĕîÿć÷Üćî
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ÖĞćĀîéÙüćöøĆïñĉéßĂïĔîÖćøðÖðŜĂÜìøĆó÷ŤÿĉîĒúąÙüćöøĆïñĉéßĂïĔîÖćøéĞćđîĉîÖćøéšćîÙüćööĆęîÙÜ
ðúĂéõĆ÷×ĂÜñĎšðäĉïĆêĉÜćî
óĉÝćøèćÖćøĔßšĂčðÖøèŤðøąöüúñúÿćøÿîđìýĒúąĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćìĊęđðŨî×ĂÜÿŠüîêĆü
×ĂÜñĎšĔêšïĆÜÙĆïïĆâßć
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜĔîÖćøÖĞćĀîéĔĀšöĊÖøąïüîÖćøÖćøðøąđöĉîÙüćö
đÿĊę÷Ü ×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊęêšĂÜÖćøđךćëċÜ
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜĔîÖćøÝĆéìĞćךĂêÖúÜĀøČĂÿĆââćøąĀüŠćÜ Öôñ. ÖĆï
ĀîŠü÷Üćîõć÷îĂÖ
ìïìüîïĆâßĊøć÷ßČęĂñĎšĔßšÜćî×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊęĕéšøĆïÿĉìíĉĔîÖćøđךćëċÜ ÿćøÿîđìý ĒúąĂčðÖøèŤ
ðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ.
ĀĆüĀîšćÜćîÿćøÿîđìý
ïøĉĀćøÝĆéÖćøøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïĀîŠü÷ÜćîĂČęîìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý×ĂÜ Öôñ.
ïøĉĀćøÝĆéÖćøøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïÖúčŠöìĊęöĊÙüćöÿîĔÝđðŨîóĉđýþĔîđøČęĂÜđéĊ÷üÖĆî
ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĔîÖćøÖĞćĀîéĔĀšöĊÖøąïüîÖćøÖćøðøąđöĉîÙüćöđÿĊę÷Ü ×ĂÜ
ĀîŠü÷Üćîõć÷îĂÖìĊęêšĂÜÖćøđךćëċÜ
ÝĆéĔĀšöĊÖćøìĞćךĂêÖúÜĀøČĂÿĆââćøąĀüŠćÜ Öôñ. ÖĆï ĀîŠü÷Üćîõć÷îĂÖìĊęêšĂÜÖćøđךćëċÜ
ïøĉĀćøÝĆéÖćøÿĉìíĉĔîÖćøđךćëċÜøąïïÿćøÿîđìý×ĂÜĀîŠü÷Üćîõć÷îĂÖ
ñĎšïĆÜÙĆïïĆâßć
óĉÝćøèćÙüćöðøąÿÜÙŤĔîÖćøđךćëċÜøąïïðøąöüúñúÿćøÿîđìý×ĂÜñĎšĔêšïĆÜÙĆïïĆâßć
ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý
øąïčñĎšĔßšÜćîÿćøÿîđìý ÖćøóĉÿĎÝîŤêĆüêîĒúąöĂïÿĉìíĉĔîøąïïðøąöüúñúÿćøÿîđìý
òść÷ìøĆó÷ćÖøïčÙÙú
ÝĆéĔĀšñĎšðäĉïĆêĉÜćîöĊÖćøúÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
ÿĂïìćîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
ñĎšêøüÝÿĂïĂĉÿøą
êøüÝÿĂïÖćøÙüïÙčöìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
øć÷ÜćîñúÖćøêøüÝÿĂïéšćîÙüćööĆę îÙÜðúĂéõĆ ÷éšćîÿćøÿîđìýêŠĂÙèąÖøøöÖćøđìÙēîēú÷Ċ
ÿćøÿîđìý Öôñ. (Ùìÿ.) ĒúąÙèąÖøøöÖćøêøüÝÿĂï (Audit Committee)
ñĎšðäĉïĆêĉÜćî
ðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ
Öôñ.
ĒÝšÜÙüćöðøąÿÜÙŤĔîÖćøđךćëċÜøąïïðøąöüúñúÿćøÿîđìýêŠĂñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ĒúąñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ĀîŠü÷Üćîõć÷îĂÖ
ðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ
Öôñ.
ĒÝšÜÙüćöðøąÿÜÙŤĔîÖćøđךćëċÜêŠĂñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂï
úÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøïøĉĀćøÝĆéÖćøéšćîÙüćööĆęîÙÜðúĂéõĆ÷ ÖćøðøąÿćîÜćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýõć÷Ĕî
Öôñ. ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïéšćîÙüćööĆęîÙÜðúĂéõĆ÷ ÖøąïüîÖćøĂîčöĆêĉÖćøĔßšÜćîĂčðÖøèŤ
ðøąöüúñúÿćøÿîđìý ÖćøúÜîćööĉĔĀšđðŗéđñ÷ÿćøÿîđìýìĊęđðŨîÙüćöúĆï×ĂÜ Öôñ. ÖćøöĊøć÷ßČęĂĒúą×šĂöĎú
ÿĞćĀøĆïÖćøêĉéêŠĂÖĆïĀîŠü÷ÜćîĂČęîĒúąÖúčŠöìĊęöĊÙüćöøĎšÙüćöÿîĔÝđøČęĂÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ĒúąÖćøìïìüîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
öćêøåćî
2.1.1 ÖćøĔĀšÙüćöÿĞćÙĆâ×ĂÜñĎšïøĉĀćøĒúąÖćøÖĞćĀîéĔĀšöĊÖćøïøĉĀćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý (Management Commitment to Information Security)
1) ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) êšĂÜïøĉĀćøÝĆéÖćøÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý ĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøÖĞćĀîéđðŜćĀöć÷ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĒúąìĉýìćÜĔîÖćøÿîĆïÿîčîÖćø
øĉđøĉęöÖćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ĔîĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćø
ÿČęĂÿćøĕüšĂ÷ŠćÜßĆéđÝî ēé÷êšĂÜêøÜÖĆïÙüćöêšĂÜÖćøìćÜéšćîíčøÖĉÝ ĒúąêšĂÜÙøĂïÙúčöÖĆï
ÖøąïüîÖćøìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
2. ÖćøðøĆïðøčÜĒúąĂîčöĆêĉĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøÿČęĂÿćø
3. ÖćøóĉÝćøèćĒúąìïìüîîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
4. ÖćøÿĂïìćîĒúąóĉÝćøèćĔĀšÙüćöđĀĘîßĂïĔîÖćøÝĆéĀćĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊę
đÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
2) ĀĆüĀîšćÜćîÿćøÿîđìýöĊĀîšćìĊęĔîÖćøìïìüîøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïĀîŠü÷ÜćîĂČęî
Ă÷ŠćÜîšĂ÷ðŘúąĀîċęÜÙøĆĚÜ ĀøČĂđöČęĂöĊÖćøđðúĊę÷îĒðúÜøć÷ßČęĂĒúą×šĂöĎúéĆÜÖúŠćü
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøðøąđöĉîÙüćöđÿĊę÷Ü×ĂÜÖćøđךćëċÜÿćøÿîđìýēé÷ĀîŠü÷Üćîõć÷îĂÖ ÖćøøąïčךĂÖĞćĀîéìĊęđÖĊę÷üךĂÜÖĆï
ÙüćööĆęîÙÜðúĂéõĆ÷ ĒúąÖćøøąïčĒúąÝĆéìĞćךĂÖĞćĀîéÿĞćĀøĆïĀîŠü÷Üćîõć÷îĂÖìĊęđÖĊę÷üךĂÜÖĆï Ùüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
öćêøåćî
2.2.1 ÖćøðøąđöĉîÙüćöđÿĊę÷Ü×ĂÜÖćøđךćëċÜÿćøÿîđìýēé÷ĀîŠü÷Üćîõć÷îĂÖ (Identification of Risks
Related to External Parties)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 31 / 174
1) đöČęĂöĊÙüćöÝĞćđðŨîêšĂÜĔĀšĀîŠü÷Üćîõć÷îĂÖđךćëċÜÿćøÿîđìý ĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂïêšĂÜÝĆéĔĀšöĊÖćøìĞćךĂêÖúÜĀøČĂ
ÿĆââćøąĀüŠćÜ Öôñ. ÖĆï ĀîŠü÷Üćîõć÷îĂÖ ēé÷ךĂêÖúÜĀøČĂÿĆââćêšĂÜöĊÙčèÿöïĆêĉ éĆÜêŠĂĕðîĊĚ
1. öĊÖćøÖĞćĀîéøąéĆïĔîÖćøĔĀšïøĉÖćøøąĀüŠćÜÖĆîĂ÷ŠćÜßĆéđÝî
2. öĊÖćøøąïčĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜìĆĚÜ Öôñ. ĒúąĀîŠü÷Üćîõć÷îĂÖ
3. ÿćöćøëúéÙüćöđÿĊę÷Ü×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊęöĊêŠĂ Öôñ.
4. öĊÖćøøąïčĔĀšĀîŠü÷Üćîõć÷îĂÖêšĂÜðäĉïĆêĉêćöîē÷ïć÷éšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý êúĂéÝîךĂÖĞćĀîéìĊęđÖĊę÷üךĂÜ
2) ÖŠĂîÖćøìĞćךĂêÖúÜĀøČĂÿĆââćÖĆïĀîŠü÷Üćîõć÷îĂÖ ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšć×ĂÜ
ĀîŠ ü ÷ÜćîÿćøÿîđìýìĊę øĆ ï ñĉ é ßĂïêš Ă ÜÖĞ ć ĀîéĔĀš öĊ Ö øąïüîÖćøÖćøðøąđöĉ î ÙüćöđÿĊę ÷ Üēé÷
ðøąÿćîÜćîÖĆïĀîŠü÷ÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜ
3) ÖćøøąïčÙüćöđÿĊę÷Ü×ĂÜÖćøđךćëċÜøąïïÿćøÿîđìýÝćÖĀîŠü÷Üćîõć÷îĂÖêšĂÜóĉÝćøèćðøąđéĘî
éĆÜêŠĂĕðîĊĚ
1. ÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊęĀîŠü÷Üćîõć÷îĂÖêšĂÜÖćøđךćëċÜ
2. ðøąđõì×ĂÜÖćøđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý đߊî
x Öćøđך ć ëċ Ü ìćÜÖć÷õćó (Physical Access) đߊî Öćøđךć ÿĞ ć îĆÖ Üćî ĀšĂ Ü
ÙĂöóĉüđêĂøŤ ĒúąêĎšđÖĘïđĂÖÿćø đðŨîêšî
x ÖćøđךćëċÜìćÜêøøÖą (Logical Access) đߊî ÖćøđךćëċÜåćîךĂöĎúĒúąøąïïךĂöĎú
đðŨîêšî
x ÖćøđßČęĂöêŠĂđÙøČĂ׊ć÷øąĀüŠćÜ Öôñ. ÖĆïĀîŠü÷Üćîõć÷îĂÖ Ă÷ŠćÜđߊî
i ÖćøđßČęĂöêŠĂñŠćîđÙøČĂ׊ć÷ÿćíćøèą (Public network) đߊî Internet đðŨî
êšî
i ÖćøđßČęĂöêŠĂñŠćîđÙøČĂ׊ć÷ÿŠüîêĆü (Private Network) đߊî Local Network
đðŨîêšî
i ÖćøđßČęĂöêŠĂĒïïëćüø (Permanent Connection ) đߊî Leased line đðŨî
êšî
i ÖćøđßČęĂöêŠĂđöČęĂêšĂÜÖćøđìŠćîĆĚî (Per-request Connection ) đߊî Dialup
Modem đðŨîêšî
x ÖćøđךćëċÜîĆĚîđÖĉé×ċĚîìĊęõć÷ĔîĀøČĂõć÷îĂÖÿĞćîĆÖÜćî×ĂÜ Öôñ.
3. öĎúÙŠćĒúąÙüćöÿĞćÙĆâ×ĂÜÿćøÿîđìýÿĞćĀøĆïÖćøéĞćđîĉîíčøÖĉÝ
4. ÖćøÙüïÙčöìĊęÝĞćđðŨîđóČęĂĔßšĔîÖćøðÖðŜĂÜÿćøÿîđìýÝćÖÖćøđךćëċÜēé÷ĀîŠü÷Üćîõć÷îĂÖ
2.2.2 ÖćøøąïčךĂÖĞćĀîéÿĞćĀøĆïĀîŠü÷Üćîõć÷îĂÖìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
×ĂÜ Öôñ. (Addressing Security When Dealing with External Party)
1) ĀîŠü÷Üćîõć÷îĂÖàċęÜÿćöćøëđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ. êšĂÜ
ðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ
Öôñ.
2) ÖćøđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ. ēé÷ĀîŠü÷Üćîõć÷îĂÖêšĂÜ
ĕéšøĆïÖćøÝĞćÖĆéđÞóćąìĊęÝĞćđðŨîĔîÖćøìĞćÜćîđìŠćîĆĚî
3) ĀîŠü÷Üćîõć÷îĂÖìĊęêšĂÜÖćøđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìýêšĂÜĒÝšÜÙüćö
ðøąÿÜÙŤĔîÖćøđךćëċÜêŠĂñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂï ēé÷
ĀîŠü÷Üćîõć÷îĂÖìĊę ĒÝšÜÙüćöðøąÿÜÙŤÝąÿćöćøëĔßšÜćîĕéšĀúĆÜÝćÖĕéšøĆïÖćøĂîčöĆêĉ
4) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂïêšĂÜÖĞćĀîéĔĀšĀîŠü÷Üćîõć÷îĂÖ
úÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ. ēé÷ëČĂđðŨîÿŠüîĀîċęÜ×ĂÜÖćøüŠćÝšćÜìĆĚÜîĊĚךĂêÖúÜ
éĆÜÖúŠćüêšĂÜöĊÖćøøąïčëċÜךĂÖĞćĀîéđóČęĂðÖðŜĂÜךĂöĎúìĊęđðŨîÙüćöúĆïĒúąöĊךĂÙüćöìĊęÿćöćøëîĞćĕð
ïĆÜÙĆïĔßšĕéšêćöÖãĀöć÷ îĂÖÝćÖîĊĚךĂêÖúÜéĆÜÖúŠćüêšĂÜĕéšøĆïÖćøÿĂïìćîēé÷òść÷ÖãĀöć÷
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-33 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøđöČęĂđÖĉéÿëćîÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý (Information Security Incident Management Procedure)
üĆêëčðøąÿÜÙŤ
đóČęĂðŜĂÜÖĆîìøĆó÷ŤÿĉîÝćÖÙüćöđÿĊ÷Āć÷ìĊęĂćÝđÖĉé×ċĚî ĒúąÖĞćĀîéøąéĆï×ĂÜÖćøðŜĂÜÖĆîÿćøÿîđìý×ĂÜ Öôñ.
Ă÷ŠćÜđĀöćąÿö Öôñ. ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý àċęÜðøąÖĂïéšü÷ 2 đøČęĂÜ
éĆÜêŠĂĕðîĊĚ
1) ĀîšćìĊęÙüćöøĆïñĉéßĂïêŠĂìøĆó÷Ťÿĉî×ĂÜĂÜÙŤÖø (Responsibility of Assets)
2) ÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìý ( Information Classification)
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ÝĆéìĞćìąđïĊ÷îìøĆó÷ŤÿĉîĒúąĒïŠÜøąéĆïĀöüéĀöĎŠÿćøÿîđìý×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔîÙüćöøĆïñĉéßĂï Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþøĒúąðøĆïðøčÜĔĀšđðŨîðŦÝÝčïĆî
ÝĆé ìĞ ć Öã øąđïĊ ÷ï ĀøČ Ă ĀúĆ Ö đÖèæŤ Ă ÷Š ć ÜđðŨ î úć÷úĆ Ö þèŤ ĂĆÖ þøÿĞć ĀøĆï ÖćøĔßš Ü ćîÿćøÿîđìýĒúą
ìøĆó÷ŤÿĉîìĊęđÖĊę÷üךĂÜÖĆïÖćøðøąöüúñúÿćøÿîđìý đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷êŠĂìøĆó÷Ťÿĉî
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ÝĆéìĞćìąđïĊ÷îìøĆó÷ŤÿĉîĒúąĒïŠÜøąéĆïĀöüéĀöĎŠÿćøÿîđìý×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔîÙüćöøĆïñĉéßĂï Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþøĒúąðøĆïðøčÜĔĀšđðŨîðŦÝÝčïĆî óøšĂöìĆĚÜêøüÝÿĂïìąđïĊ÷îìøĆó÷Ťÿĉîêćöøą÷ąđüúć
ìĊęÖĞćĀîéĂ÷ŠćÜÿöęĞćđÿöĂ
ÖĞć Āîéøą÷ąđüúćĔîÖćøìïìüîÖćøÝĆéĀöüéĀöĎŠ ÿĉ ì íĉĔ îÖćøđך ćëċ Ü ìøĆ ó÷Ťÿĉ î óøš ĂöìĆĚ ÜðøĆïðøč Ü
ĀöüéĀöĎŠĔĀšìĆîÿöĆ÷Ă÷ĎŠđÿöĂ
ÝĆé ìĞ ć Öã øąđïĊ ÷ï ĀøČ Ă ĀúĆ Ö đÖèæŤ Ă ÷Š ć ÜđðŨ î úć÷úĆ Ö þèŤ ĂĆÖ þøÿĞć ĀøĆï ÖćøĔßš Ü ćîÿćøÿîđìýĒúą
ìøĆó÷ŤÿĉîìĊęđÖĊę÷üךĂÜÖĆïÖćøðøąöüúñúÿćøÿîđìý đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷êŠĂìøĆó÷Ťÿĉî
ÝĆéìĞćðŜć÷ßČęĂêćöĀöüéĀöĎŠìøĆó÷ŤÿĉîìĊęĕéšÝĆéĒïŠÜĕüš
öĂïÿĉìíĉìĊęëĎÖêšĂÜđĀöćąÿöÿĞćĀøĆïñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý
ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý
ÝĆéìĞćìąđïĊ÷îìøĆó÷Ťÿĉî øąïčđÝšć×ĂÜìøĆó÷Ťÿĉî ĒúąĒïŠÜøąéĆïĀöüéĀöĎŠÿćøÿîđìý×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔî
ÙüćöøĆïñĉéßĂï Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþøĒúąðøĆïðøčÜĔĀšđðŨîðŦÝÝčïĆî
êšĂÜðøĆïðøčÜĒÖšĕ×ĒúąïĞćøčÜøĆÖþćìąđïĊ÷îìøĆó÷Ť ÿĉî×ĂÜ Öôñ. õć÷ĔêšÖćøéĎĒú×ĂÜñĎšđðŨîđÝšć×ĂÜ
ÿćøÿîđìýĔĀšđðŨîðŦÝÝčïĆî
ÝĆé ìĞ ć Öã øąđïĊ ÷ï ĀøČ Ă ĀúĆ Ö đÖèæŤ Ă ÷Š ć ÜđðŨ î úć÷úĆ Ö þèŤ ĂĆÖ þøÿĞć ĀøĆï ÖćøĔßš Ü ćîÿćøÿîđìýĒúą
ìøĆó÷ŤÿĉîìĊęđÖĊę÷üךĂÜÖĆïÖćøðøąöüúñúÿćøÿîđìý đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷êŠĂìøĆó÷Ťÿĉî
ñĎšðäĉïĆêĉÜćî
ïøĉĀćøÝĆéÖćøÿćøÿîđìýĔîøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđĀöćąÿöÖĆïøąéĆïÖćøĒïŠÜĒ÷Öÿćøÿîđìý
ĀøČĂêćöÝčéðøąÿÜÙŤêćöĒêŠñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ÖĞćĀîé×Ăïđ×ê×ĂÜÿćøÿîđìýìĊęêšĂÜÖćøđךćëċÜĂ÷ŠćÜßĆéđÝî
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÝĆéìĞćìąđïĊ÷îìøĆó÷Ťÿĉî ÖćøøąïčñĎšđðŨîđÝšć×ĂÜìøĆó÷Ťÿĉî ĒúąÖćøĔßšÜćîìøĆó÷ŤÿĉîĂ÷ŠćÜđĀöćąÿö
öćêøåćî
3.1.1 ÖćøÝĆéìĞćìąđïĊ÷îìøĆó÷Ťÿĉî (Inventory of Assets)
1) ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïï
ÿćøÿîđìýêšĂÜÝĆéìĞćìąđïĊ÷îìøĆó÷ŤÿĉîìĊęöĊÙüćöÿĞćÙĆâ×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔîÙüćöøĆïñĉéßĂï Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþøĔĀšëĎÖêšĂÜÙøïëšüî ēé÷ĀĆüĀîšćÜćîÿćøÿîđìýöĊĀîšćìĊęĔîÖćøðøąÿćîÜćîĔî
ÖćøÝĆéìĞćìąđïĊ÷îéĆÜÖúŠćü
2) ìąđïĊ÷îìøĆó÷ŤÿĉîìĊęĕéšöĊÖćøÝĆéìĞćîĆĚî êšĂÜöĊÖćøîĞćđÿîĂñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕðđóČęĂ
óĉÝćøèćđðŨîðøąÝĞćìčÖðŘ
3) ìąđïĊ÷îìøĆó÷ŤÿĉîêšĂÜðøąÖĂïĕðéšü÷ ÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý àċęÜĕéšÝĆéĒïŠÜ
êćöðøąđõìéĆÜîĊĚ
1. ÿćøÿîđìý (Information) đߊî åćîךĂöĎú ĕôúŤ×šĂöĎú ÿĆââć đĂÖÿćø/ÙĎŠöČĂøąïï ךĂöĎú
ÖćøüĉÝĆ÷ ÙĎŠöČĂñĎšĔßšÜćî ìøĆó÷ćÖøĔîÖćøòřÖĂïøö ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîĀøČĂÿîĆïÿîčî
ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ĒñîÖćøÖĎšÙČîÿõćó ðøąüĆêĉÖćøêøüÝÿĂï Ēúą
ÿćøÿîđìýìĊęÿĞćÙĆâĂČęîė đðŨîêšî
2. ìøĆó÷ŤÿĉîìćÜàĂôêŤĒüøŤ (Software Assets) đߊî ēðøĒÖøöðøą÷čÖêŤ ēðøĒÖøöøąïï
đÙøČęĂÜöČĂÿĞćĀøĆïóĆçîć Ēúą ēðøĒÖøöðøąđõì÷ĎìĉúĉêĊĚ (System Utilities) đðŨîêšî
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìý×ĂÜ Öôñ. ÖćøÝĆéìĞćðŜć÷ßČęĂĒúąÖćøÝĆéÖćøÿćøÿîđìýêćöìĊęĕéšÝĆéĀöüéĀöĎŠĕüš
öćêøåćî
3.2.1 ÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìý (Classification Guidelines)
ÖćøÙüïÙčöÖćøÝĆéüćÜĂčðÖøèŤðøąöüúñúÿćøÿîđìýêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ĂčðÖøèŤðøąöüúñú øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÿćøÿîđìý ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć
đÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷ ÝĆéüćÜĔîýĎî÷Ť ÝĆéüćÜĔîýĎî÷Ť ÝĆéüćÜĔîĀšĂÜ ÝĆéüćÜĔîĀšĂÜ
1 1 1
(Computer Server) ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ1
øąïïđÖĘ ï ך Ă öĎ ú (Storage ÝĆéüćÜĔîýĎî÷Ť ÝĆéüćÜĔîýĎî÷Ť ÝĆéüćÜĔîĀšĂÜ ÝĆéüćÜĔîĀšĂÜ
1 1 1
system) ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ 1
ĂčðÖøèŤđÙøČĂ׊ć÷ĀúĆÖ đߊî ÝĆéüćÜĔîýĎî÷Ť ÝĆéüćÜĔîýĎî÷Ť ÝĆéüćÜĔîĀšĂÜ ÝĆéüćÜĔîĀšĂÜ
1 1 1
Core router, Core ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ 1
switch, Core firewall
Ēúą Core IPS/IDS đðŨîêšî
ĂčðÖøèŤđÙøČĂ׊ć÷ĕøšÿć÷ đߊî öĊÖćøÝĆéüćÜĒúą öĊÖćøÝĆéüćÜĒúą öĊÖćøÝĆéüćÜĒúą öĊÖćøÝĆéüćÜĒúą
3 3
wireless access point ðŜĂÜÖĆîìĊę ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊę
3
đĀöćąÿö đĀöćąÿö3
ĂčðÖøèŤđÙøČĂ׊ć÷ĂČęîė đߊî öĊÖćøÝĆéüćÜĒúą öĊÖćøÝĆéüćÜĒúą öĊÖćøÝĆéüćÜĒúą öĊÖćøÝĆéüćÜĒúą
3 3
Edge router, Edge ðŜĂÜÖĆîìĊę ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊę
3
switch Ēúą edge firewall đĀöćąÿö đĀöćąÿö3
đðŨîêšî
ÿČęĂïĆîìċÖךĂöĎú öĊÖćøðŜĂÜÖĆîéšćî öĊÖćøðŜĂÜÖĆîéšćî öĊÖćøðŜĂÜÖĆîéšćî öĊÖćøðŜĂÜÖĆîéšćî
Öć÷õćó Öć÷õćó (Physical) Öć÷õćó (Physical) Öć÷õćó
(Physical) Ēúą ĒúąÿõćóĒüéúšĂöìĊę ĒúąÿõćóĒüéúšĂöìĊę (Physical) Ēúą
2 2
ÿõćóĒüéúšĂöìĊę đĀöćąÿö đĀöćąÿö ÿõćóĒüéúšĂöìĊę
2
đĀöćąÿö ÝĆéđÖĘïĂ÷ŠćÜðúĂéõĆ÷ đĀöćąÿö2
ÝĆéđÖĘïĂ÷ŠćÜ đóČęĂðŜĂÜÖĆîÖćøđךćëċÜ
ðúĂéõĆ÷đóČęĂ ēé÷öĉĕéšøĆïĂîčâćê4
ðŜĂÜÖĆîÖćøđךćëċÜ
ēé÷öĉĕéšøĆï
Ăîčâćê4
ĂčðÖøèŤÙĂöóĉüđêĂøŤĒúą öĊÖćøÝĆéüćÜĒúą öĊÖćøÝĆéüćÜĒúą öĊÖćøÝĆéüćÜĒúą öĊÖćøÝĆéüćÜĒúą
3 3
ĂčðÖøèŤÿĞćîĆÖÜćîĂČęîė ðŜĂÜÖĆîìĊę ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊę
3
đĀöćąÿö đĀöćąÿö3
2. ÖćøđךćøĀĆÿךĂöĎú
ÖćøÙüïÙčöÖćøđךćøĀĆÿךĂöĎúêćöøąéĆïÙüćöúĆï×ĂÜÿćøÿîđìý
ÿëćîą×ĂÜךĂöĎú øąéĆïÙüćöúĆï×ĂÜÿćøÿîđìý
úĆïìĊęÿčé úĆïöćÖ úĆï ĂČęîė
1 1
ÝĆéđÖĘï öĊÖćøđךćøĀĆÿךĂöĎú öĊÖćøđךćøĀĆÿךĂöĎú - -
1 1 1
ÿŠÜñŠćî öĊÖćøđךćøĀĆÿךĂöĎú öĊÖćøđךćøĀĆÿךĂöĎú öĊÖćøđךćøĀĆÿךĂöĎú -
1
Āöć÷đĀêč ĂšćÜëċÜ 8.3.1 îē÷ïć÷ÖćøĔßšÜćîÖćøđךćøĀĆÿךĂöĎú (Policy on The Use of Cryptographic Controls) Ĕî ST-08:
öćêøåćîÖćøÝĆéĀć ÖćøóĆçîć ĒúąÖćøïĞćøčÜøĆÖþćøąïïÿćøÿîđìý (Standard of Information System Acquisition,
Development and Maintenance)
3. ÖćøóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćî
ÖćøÙüïÙčöÖćøóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćîêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
øąïïÿćøÿîđìý øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć
1 1 1 1
đÙøČĂ׊ć÷ (ĔîÖøèĊìĊę öĊÖćøóĉÿĎÝîŤêĆüêî öĊÖćøóĉÿĎÝîŤêĆüêî öĊÖćøóĉÿĎÝîŤêĆüêî öĊÖćøóĉÿĎÝîŤêĆüêî
ñĎš Ĕ ßš Ü ćîĂ÷ĎŠ õ ć÷îĂÖ öĊÖćøđךćøĀĆÿךĂöĎú öĊÖćøđךćøĀĆÿךĂöĎú öĊÖćøđךćøĀĆÿךĂöĎú öĊÖćøđךćøĀĆÿךĂöĎú
Öôñ.) ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî1 ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî1 ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî1 ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî1
đÙøČĂ׊ć÷ (ĔîÖøèĊìĊęĔßš öĊÖćøóĉÿĎÝîŤêĆüêî 7 öĊÖćøóĉÿĎÝîŤêĆüêî 7 öĊÖćøóĉÿĎÝîŤêĆüêî 7 öĊÖćøóĉÿĎÝîŤêĆüêî 7
ÜćîđÙøČĂ׊ć÷ĕøšÿć÷) öĊÖćøđךćøĀĆÿךĂöĎú öĊÖćøđךćøĀĆÿךĂöĎú öĊÖćøđךćøĀĆÿךĂöĎú öĊÖćøđךćøĀĆÿךĂöĎú
7 7 7
ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî7
2 2 2 2
øąïïðäĉïĆêĉÖćø öĊÖćøóĉÿĎÝîŤêĆüêî öĊÖćøóĉÿĎÝîŤêĆüêî öĊÖćøóĉÿĎÝîŤêĆüêî öĊÖćøóĉÿĎÝîŤêĆüêî
öĊÖćøÙüïÙčöøąïï öĊÖćøÙüïÙčöøąïï öĊÖćøÙüïÙčöøąïï öĊÖćøÙüïÙčöøąïï
ïøĉĀćøÝĆéÖćø ïøĉĀćøÝĆéÖćø ïøĉĀćøÝĆéÖćø ïøĉĀćøÝĆéÖćø
3 3 3
øĀĆÿñŠćî øĀĆÿñŠćî øĀĆÿñŠćî øĀĆÿñŠćî3
öĊÖćøÖĞćĀîé öĊÖćøÖĞćĀîé
4
Session Time-Out Session Time-Out4
ÖćøÖĞćĀîéߊüÜđüúć ÖćøÖĞćĀîéߊüÜđüúć
Ēúąøą÷ąđüúćÖćø Ēúąøą÷ąđüúćÖćø
5
đßČęĂöêŠĂ đßČęĂöêŠĂ5
6 6 6 6
ĒĂóóúĉđÙßĆî öĊÖćøóĉÿĎÝîŤêĆüêî öĊ öĊÖćøóĉÿĎÝîŤêĆüêî öĊ öĊÖćøóĉÿĎÝîŤêĆüêî öĊÖćøóĉÿĎÝîŤêĆüêî
4. Öćøðøąöüúñú
ÖćøÙüïÙčöÖćøðøąöüúñúêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
øąïïÿćøÿîđìý øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć
ĒĂóóúĉđÙßĆî öĊÖćøêøüÝÿĂïÖćø öĊÖćøêøüÝÿĂïÖćø öĊÖćøêøüÝÿĂïÖćø -
1 1
îĞćđךćךĂöĎú îĞćđךćךĂöĎú îĞćđךćךĂöĎú1
öĊÖćøêøüÝÿĂï öĊÖćøêøüÝÿĂï öĊÖćøêøüÝÿĂï
ךĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜ ×šĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜ ×šĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜ
2 2
Öćøðøąöüúñú Öćøðøąöüúñú Öćøðøąöüúñú2
öĊÖćøêøüÝÿĂï öĊÖćøêøüÝÿĂï öĊÖćøêøüÝÿĂï
3 3
ךĂöĎúîĞćĂĂÖ ×šĂöĎúîĞćĂĂÖ ×šĂöĎúîĞćĂĂÖ3
Āöć÷đĀêč 1ĂšćÜëċÜ 8.2.1 ÖćøêøüÝÿĂïךĂöĎúîĞćđךć (Input Data Validation) Ĕî ST-08: öćêøåćîÖćøÝĆéĀć ÖćøóĆçîć ĒúąÖćø
ïĞćøčÜøĆÖþćøąïïÿćøÿîđìý (Standard of Information System Acquisition, Development and Maintenance)
5. ÿŠÜñŠćî ĀøČĂĒúÖđðúĊę÷î
1
Āöć÷đĀêč ĂšćÜëċÜ 6.8.3 ÖćøÿŠÜÿČęĂïĆîìċÖךĂöĎúĂĂÖĕðîĂÖĂÜÙŤÖø (Physical Media in Transit) Ĕî ST-06: öćêøåćîÖćøïøĉĀćø
ÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and Operation
Management)
2
ĂšćÜëċÜ 6.8.4 ÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Mail) Ĕî ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćø
ĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and Operation Management)
3
ĂšćÜëċÜ 6.8.5 øąïïÿćøÿîđìýìćÜíčøÖĉÝìĊęđßČęĂöē÷ÜÖĆî (Business Information Systems) Ĕî ST-06: öćêøåćîÖćø
ïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and
Operation Management)
4
ĂšćÜëċÜ 6.9.1 Öćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Commerce) Ĕî ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćø
ÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and Operation Management)
5
ĂšćÜëċÜ 6.9.2 ÖćøìĞćíčøÖøøöĂĂîĕúîŤ (On-line Transactions) Ĕî ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćø
ĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and Operation Management)
6
ĂšćÜëċÜ 6.9.3 ÿćøÿîđìýìĊęöĊÖćøđñ÷ĒóøŠĂĂÖÿĎŠÿćíćøèą (Publicly Available Information) Ĕî ST-06: öćêøåćîÖćø
ïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and
Operation Management)
ÖćøÙüïÙčöÖćøìĞćúć÷ךĂöĎúĔîÿČęĂïĆîìċÖךĂöĎúêćöøąéĆïÙüćöúĆï×ĂÜÿćøÿîđìý
ÖøèĊ øąéĆïÙüćöúĆï×ĂÜÿćøÿîđìý
úĆïìĊęÿčé úĆïöćÖ úĆï ĂČęîė
ÖćøÿŠ Ü ÿČę Ă ïĆ î ìċ Ö ×š Ă öĎ ú ĕðîĂÖ ìĞćúć÷ךĂöĎúđóČęĂĔĀš ìĞćúć÷ךĂöĎú ìĞćúć÷ךĂöĎú -
ĀîŠü÷ÜćîđóČęĂàŠĂöïĞćøčÜ öĆęîĔÝĕéšüŠćÝąĕöŠ đóČęĂĔĀšöĆęîĔÝĕéšüŠć đóČęĂĔĀšöĆęîĔÝĕéšüŠć
ÿćöćøëîĞćÖúĆïöć ÝąĕöŠÿćöćøëîĞć ÝąĕöŠÿćöćøëîĞć
ĕéš (Non- ÖúĆïöćĕéš (Non- ÖúĆïöćĕéš (Non-
1 1
Retrievable) Retrievable) Retrievable) 1
ÖćøēĂî÷šć÷ÿČęĂïĆîìċÖךĂöĎúĀøČĂ ìĞćúć÷ךĂöĎúđóČęĂĔĀš ìĞćúć÷ךĂöĎú ìĞćúć÷ךĂöĎú -
ìøĆ ó ÷Ť ÿĉî ÿćøÿîđìýĔéėìĊę öĊ ÿČę Ă öĆęîĔÝĕéšüŠćÝąĕöŠ đóČęĂĔĀšöĆęîĔÝĕéšüŠć đóČęĂĔĀšöĆęîĔÝĕéšüŠć
ïĆîìċÖךĂöĎúõć÷Ĕî Öôñ. ÿćöćøëîĞćÖúĆïöć ÝąĕöŠÿćöćøëîĞć ÝąĕöŠÿćöćøëîĞć
ĕéš (Non- ÖúĆïöćĕéš (Non- ÖúĆïöćĕéš (Non-
1 1
Retrievable) Retrievable) Retrievable) 1
ÖćøÝĞćĀîŠć÷ÿČęĂïĆîìċÖךĂöĎúĀøČĂ ìĞćúć÷ךĂöĎú Ēúą ìĞćúć÷ךĂöĎú Ēúą ìĞćúć÷ךĂöĎú Ēúą -
ìøĆ ó ÷Ť ÿĉî ÿćøÿîđìýĔéėìĊę öĊ ÿČę Ă àĂôêŤĒüøŤđóČęĂĔĀš àĂôêŤĒüøŤđóČęĂĔĀš àĂôêŤĒüøŤđóČęĂĔĀš
ïĆîìċÖךĂöĎúĂĂÖîĂÖ Öôñ. öĆęîĔÝĕéšüŠćÝąĕöŠ öĆęîĔÝĕéšüŠćÝąĕöŠ öĆęîĔÝĕéšüŠćÝąĕöŠ
ÿćöćøëîĞćÖúĆïöć ÿćöćøëîĞćÖúĆïöć ÿćöćøëîĞćÖúĆïöć
ĕéš (Non- ĕéš (Non- ĕéš (Non-
1 1
Retrievable) Retrievable) Retrievable)1
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-02 ×ĆĚ î êĂîÖćøðäĉ ïĆ êĉ Ü ćîđøČę Ă Ü ÖćøÝĆ é ĀöüéĀöĎŠ ì øĆ ó ÷Ť ÿĉ î ÿćøÿîđìý (Information
Classification Procedure)
2) PD-03 ×ĆĚîêĂîÖćøðäĉ ïĆêĉÜćîđøČęĂÜ ÖćøÝĆ éìĞćðŜ ć÷ßČęĂĒúąÖćøÝĆéÖćøìøĆ ó÷Ťÿĉ îÿćøÿîđìý
(Information Labeling and Handling Procedure)
ïìïćìĀîšćìĊę
ñĎšïøĉĀćø Öôñ. ìčÖøąéĆïßĆĚî
ÿîĆïÿîčîĒúąÿŠÜđÿøĉöéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĒÖŠñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćî
õć÷îĂÖ
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ĒÝš Ü ñĎš ð äĉ ïĆ êĉ Ü ćîĔîĀîŠ ü ÷ÜćîĔĀš ì øćï đöČę Ă öĊ Ö ćøđðúĊę ÷ îĒðúÜîē÷ïć÷ öćêøåćîĒúą×ĆĚ î êĂî
ðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜ
ĀĆüĀîšćÜćî
êøüÝÿĂïđóČęĂđøĊ÷ÖÙČîìøĆó÷Ťÿĉî×ĂÜ Öôñ. ÝćÖñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖ đöČęĂÖćøÿĉĚîÿčé
ĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî
ÖĞćĀîéĔĀšñĎšðäĉïĆêĉÜćîöĊÖćøëŠć÷ìĂéÙüćöøĎšìĊęöĊÙüćöÿĞćÙĆâêŠĂÖćøéĞćđîĉîíčøÖĉÝ×ĂÜ Öôñ. ÖŠĂîÿĉĚîÿčé
ÖćøÝšćÜÜćî
ĀĆüĀîšćÜćîÿćøÿîđìý
đòŜćøąüĆÜõĆ÷ÙčÖÙćöĒúąßŠĂÜēĀüŠìĊęĂćÝöĊñúÖøąìïêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý óøšĂöìĆĚÜ
ĒÝšÜðøąđéĘîéĆÜÖúŠćüĔĀšĒÖŠñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜ
êøüÝÿĂïĒúąìĞćúć÷ÿćøÿîđìýìĊęÝĆéđÖĘïĔîĂčðÖøèŤðøąöüúñúÿćøÿîđìýÿŠüîêĆü×ĂÜñĎšðäĉïĆêĉÜćî
ĒúąĀîŠü÷Üćîõć÷îĂÖ ÖŠĂîÿŠÜöĂïÙČîĂčðÖøèŤĀøČĂÿĉĚîÿčéÖćøÝšćÜÜćî
òść÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý
òřÖĂïøöĀøČĂðøąßćÿĆöóĆîíŤđóČęĂÿøšćÜÙüćöêøąĀîĆÖéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĒÖŠ
ñĎšðäĉïĆêĉÜćî
ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤĒúąñĎšøĆïñĉéßĂïÿëćîìĊę
ëĂéëĂîÿĉìíĉĔîÖćøđךćëċÜĂćÙćøĒúąïøĉđüè×ĂÜ Öôñ. ÝćÖñĎšðäĉïĆêĉÜćî ĒúąĀîŠü÷Üćîõć÷îĂÖ đöČęĂ
ÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî
òść÷ìøĆó÷ćÖøïčÙÙú
øąïčĀîšćìĊęÙüćöøĆïñĉéßĂïìćÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęöĊÙüćöÿĞćÙĆâĔîđĂÖÿćøïøø÷ć÷
úĆÖþèąÜćî (Job Description)
êøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšðäĉïĆêĉÜćî ÖŠĂîìĊęĕéšøĆïÖćøðøĆïêĞćĒĀîŠÜĀøČĂ÷šć÷ĀîŠü÷Üćî
êøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšÿöĆÙø
ÖĞćĀîéđÜČęĂîĕ×ÖćøÝšćÜÜćî
ðøąÿćîÜćîÖĆïòść÷ÖãĀöć÷ đóČęĂÖĞćĀîéĔĀšöĊÖøąïüîÖćøúÜēìþìćÜüĉîĆ÷ìĊęđðŨîíøøöĒÖŠñĎšðäĉïĆêĉÜćî
ĒúąĀîŠü÷Üćîõć÷îĂÖìĊęĕöŠðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
ĒÝš Ü øć÷ßČę Ă ×ĂÜñĎš ð äĉ ïĆ êĉ Ü ćî ĒúąĀîŠ ü ÷Üćîõć÷îĂÖìĊę ÿĉĚ î ÿč é ĀøČ Ă ÖćøđðúĊę ÷ îÖćøÝš ć ÜÜćîĒÖŠ ñĎš ìĊę
đÖĊę÷üךĂÜ Ă÷ŠćÜđߊî ĀĆüĀîšćÜćîÿćøÿîđìý ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤĒúąñĎšøĆïñĉéßĂïÿëćîìĊę
òść÷óĆçîćïčÙÙúćÖø
ÝĆéðåöîĉđìýñĎšðäĉïĆêĉÜćîĔĀöŠ
òść÷øĆÖþćÙüćöðúĂéõĆ÷
êšĂÜêøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšðäĉïĆêĉÜćîĂĊÖÙøĆĚÜ ÖŠĂîìĊęĕéšøĆïÖćøðøĆïêĞćĒĀîŠÜĀøČĂ÷šć÷ĀîŠü÷Üćî
òść÷ïĆâßĊĒúąÖćøđÜĉî
êøüÝÿĂïđóČęĂđøĊ÷ÖÙČîìøĆó÷Ťÿĉî×ĂÜ Öôñ. ÝćÖñĎšðäĉïĆêĉÜćî ĒúąĀîŠü÷Üćîõć÷îĂÖ đöČęĂÖćøÿĉĚîÿčé
ĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî
ĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ
ĒÝšÜđÜČęĂîĕ×ÖćøðäĉïĆêĉÜćî×ĂÜĀîŠü÷Üćîõć÷îĂÖ
ÖĞćĀîéđÜČęĂîĕ×ÖćøÝšćÜÜćîĀîŠü÷Üćîõć÷îĂÖ
ÖĞćĀîéĔĀšĀîŠü÷Üćîõć÷îĂÖ öĊÖćøëŠć÷ìĂéÙüćöøĎšìĊęöĊÙüćöÿĞćÙĆâêŠĂÖćøéĞćđîĉîíčøÖĉÝ×ĂÜ Öôñ.
ÖŠĂîÿĉĚîÿčéÖćøÝšćÜÜćî
ĒÝšÜøć÷ßČęĂ×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊęÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îÖćøÝšćÜÜćîĒÖŠñĎšìĊęđÖĊę÷üךĂÜ
ñĎšðäĉïĆêĉÜćî
ðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ
Öôñ.
Ĕßš ïĆ â ßĊñĎš Ĕ ßš Ē úąøĀĆ ÿ ñŠ ć îĂ÷Š ć ÜøąöĆ é øąüĆ Ü ĒúąđÖĘ ï øĆ Ö þćøĀĆ ÿ ñŠ ć îđðŨ î ÙüćöúĆ ï ēé÷ðäĉ ïĆ êĉ ê ćö
öćêøåćîÖćøĔßšÜćîøĀĆÿñŠćîĂ÷ŠćÜđÙøŠÜÙøĆé
ĔßšÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤĂ÷ŠćÜðúĂéõĆ÷ēé÷ðäĉïĆêĉêćööćêøåćîÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ (ST-
05: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. 5.8.4 Öćø
ÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ)
øć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęóïĔîÖćøðäĉïĆêĉÜćîðøąÝĞćüĆî
ĔßšìøĆó÷Ťÿĉîÿćøÿîđìý×ĂÜ Öôñ. Ă÷ŠćÜöĆęîÙÜðúĂéõĆ÷
úÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
øĆïñĉéßĂïêŠĂÿćøÿîđìýìĊęïĆîìċÖĂ÷ĎŠõć÷ĔîÿČęĂÿćøðøąđõìóÖóćêćööćêøåćîÖćøðŜĂÜÖĆîĂčðÖøèŤ
ÿČęĂÿćøðøąđõìóÖóć Ă÷ŠćÜđÙøŠÜÙøĆé (ST-06: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ 6.7.1 ÖćøðŜĂÜÖĆî
ĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóć)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøêøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšÿöĆÙø ĒúąÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïéšćîÙüćööĆęîÙÜðúĂéõĆ÷Ēúą
øąïčĀîšćìĊęøĆïñĉéßĂïéĆÜÖúŠćüĔîđÜČęĂîĕ×ÖćøÝšćÜÜćî
öćêøåćî
4.1.1 ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Roles and Responsibilities)
1) ñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖìĊęđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ
Öôñ. êšĂÜðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý×ĂÜ Öôñ.
2) ñĎšðäĉïĆêĉÜćîìčÖÙîöĊĀîšćìĊęéĆÜêŠĂĕðîĊĚ
1. ĔßšïĆâßĊñĎšĔßšĒúąøĀĆÿñŠćîĂ÷ŠćÜøąöĆéøąüĆÜ ĒúąđÖĘïøĆÖþćøĀĆÿñŠćîđðŨîÙüćöúĆïēé÷ðäĉïĆêĉêćö
öćêøåćîÖćøĔßšÜćîøĀĆÿñŠćî Ă÷ŠćÜđÙøŠÜÙøĆé (ST-06: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ 6.3.1
ÖćøĔßšÜćîøĀĆÿñŠćî)
2. Ĕßš Ý éĀöć÷Ăĉ đ úĘ Ö ìøĂîĉ Ö ÿŤ Ă ÷Š ć ÜðúĂéõĆ ÷ ēé÷ðäĉ ïĆ êĉ ê ćööćêøåćîÖćøÿŠ Ü ÝéĀöć÷
ĂĉđúĘÖìøĂîĉ ÖÿŤ (ST-05: öćêøåćîÖćøïøĉĀ ćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćø
ÿćøÿîđìý×ĂÜ Öôñ. 5.8.4 ÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ)
3. øć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęóïĔîÖćøðäĉïĆêĉÜćî
ðøąÝĞćüĆî ēé÷ðäĉïĆêĉêćööćêøåćîÖćøïøĉĀćøÝĆéÖćøÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
4. êšĂÜĔßšìøĆó÷Ťÿĉîÿćøÿîđìý×ĂÜ Öôñ. Ă÷ŠćÜðúĂéõĆ÷ êĆüĂ÷ŠćÜđߊî
x ĀšćöêĉéêĆĚÜēðøĒÖøöĀøČĂđóĉęöăćøŤéĒüøŤ (Hardware) ïîđÙøČęĂÜÙĂöóĉüđêĂøŤ Ēúą
ĀšćöđðúĊę÷îĒðúÜ ÖćøêĆĚÜÙŠć×ĂÜàĂôêŤĒüøŤ (Software) ĒúąăćøŤéĒüøŤ (Hardware)
ÖŠĂîĕéšøĆïĂîčâćê
x ĀšćöéćüîŤēĀúéēðøĒÖøöĔéėÝćÖĒĀúŠÜìĊęĕöŠîŠćđßČęĂëČĂìćÜĂĉîđêĂøŤđîĘê
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÖĞćĀîéĀîšćìĊęĔîÖćøïøĉĀćøÝĆéÖćøéšćîÙüćööĆęîÙÜðúĂéõĆ÷ ÖćøÿøšćÜÙüćöêøąĀîĆÖ ĔĀšÙüćöøĎš Ēúą
ÖćøòřÖĂïøöéšćîÙüćööĆęîÙÜðúĂéõĆ÷ĔĀšĒÖŠñĎšðäĉïĆêĉÜćî êúĂéÝîÖøąïüîÖćøúÜēìþìćÜüĉîĆ÷
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïđöČęĂÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îÖćøÝšćÜÜćî àċęÜøüöĕðëċÜÖćøÙČîìøĆó÷Ťÿĉî Ēúą
ÖćøëĂéëĂîÿĉìíĉĔîÖćøđךćëċÜ
öćêøåćî
4.3.1 ÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî (Termination Responsibilities)
1) đöČęĂÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî ñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖêšĂÜðäĉïĆêĉêćö
ĀîšćìĊęÙüćöøĆïñĉéßĂïêćöךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ. Ă÷ŠćÜđÙøŠÜÙøĆé
2) òść÷ìøĆó÷ćÖøïčÙÙúĒúąòść÷øĆÖþćÙüćöðúĂéõĆ÷êšĂÜêøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšðäĉïĆêĉÜćîĂĊÖÙøĆĚÜ
ÖŠĂîìĊęĕéšøĆïÖćøðøĆïêĞćĒĀîŠÜĀøČĂ÷šć÷ĀîŠü÷Üćî
3) òść÷ìøĆó÷ćÖøïčÙÙú ĀøČĂĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜêšĂÜöĊÖćøĒÝšÜøć÷ßČęĂ×ĂÜñĎšðäĉïĆêĉÜćî
ĒúąĀîŠ ü ÷Üćîõć÷îĂÖìĊęÿĉĚ î ÿčé ĀøČĂ ÖćøđðúĊę ÷ îÖćøÝš ć ÜÜćîĒÖŠ ñĎš ìĊęđ ÖĊę ÷ üך ĂÜ đߊ î ĀĆ üĀîš ć Üćî
ÿćøÿîđìý ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤĒúąñĎšøĆïñĉéßĂïÿëćîìĊę đðŨîðøąÝĞćìčÖđéČĂî
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-04 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿŠÜÙČîìøĆó÷ŤÿĉîđöČęĂđúĉÖÝšćÜÜćîĀøČĂđðúĊę÷îĒðúÜúĆÖþèąÖćø
ÝšćÜÜćî (Return of Assets Procedure)
2) PD-05 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøëĂéëĂîÿĉìíĉ đöČęĂđúĉÖÝšćÜĀøČĂđðúĊę÷îĒðúÜúĆÖþèąÖćøÝšćÜ
Üćî (Removal of Access Right Procedure)
üĆêëčðøąÿÜÙŤ
đóČęĂðŜĂÜÖĆîÖćøđךćëċÜìćÜÖć÷õćóēé÷ĕöŠĕéšøĆïĂîčâćê ÖćøÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷ ĒúąÖćøÖŠĂÖüîĀøČĂ
ĒìøÖĒàÜêŠĂìøĆó÷Ťÿĉî×ĂÜ Öôñ. ĂĊÖìĆĚÜđóČęĂðŜĂÜÖĆîìøĆó÷Ťÿĉî×ĂÜ Öôñ. ÿĎâĀć÷ đÿĊ÷Āć÷ ëĎÖ×ēö÷ ĀøČĂ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 55 / 174
ÿćøÿîđìýëĎÖđðŗéđñ÷ēé÷ĕöŠĕéšøĆïĂîčâćê ĒúąÖćøìĞćĔĀšÖĉÝÖøøöÖćøéĞćđîĉîÜćîêŠćÜė ×ĂÜ Öôñ. đÖĉé Öćø
êĉé×ĆéĀøČĂĀ÷čéßąÜĆÖ ēé÷ÖĞćĀîéĔĀšöĊöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö àċęÜ
ðøąÖĂïéšü÷ 2 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) ïøĉđüèìĊęêšĂÜöĊÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ (Secure Areas)
2) ÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜĂčðÖøèŤ (Equipment Security)
ïìïćìĀîšćìĊę
òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý (Ăðì.)
ĔĀšÙĞ ćðøċ Ö þćĒúąĒîąîĞ ćĒîüìćÜìĊę đÖĊę ÷üך Ă ÜÖĆ ï îē÷ïć÷ÙüćööĆę îÙÜðúĂéõĆ ÷ ìćÜÖć÷õćóĒúą
ÿĉęÜĒüéúšĂöĀøČĂðŦâĀćìĊęđÖĊę÷üךĂÜ
ÿČęĂÿćøÖĆïñĎšïøĉĀćø×ĂÜ Öôñ. êćöøąéĆï×ĂÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïĂčðÖøèŤ ÿĂéÙúšĂÜÖĆï
ÙüćöÿĞćÙĆâ×ĂÜÿćøÿîđìýìĊęĕéšøĆïÖćøðøąöüúñú
êøüÝÿĂïÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćó×ĂÜăćøŤéĒüøŤ (Hardware) àĂôêŤĒüøŤ (Software) Ēúą
ÿćøÿîđìý ìĊęĔßšÜćîĂ÷ĎŠĔî Öôñ.
ÙüïÙčöñĎšðäĉïĆêĉÜćîìĊęìĞćÜćîĔîóČĚîìĊęìĊęĂ÷ŠćÜđךöÜüé óøšĂöìĆĚÜĕéšøĆïÖćøòřÖòî Ăïøö éšćîÙüćööĆęîÙÜ
ðúĂéõĆ÷×ĂÜøąïïĂ÷ŠćÜđĀöćąÿöĂ÷ĎŠđÿöĂ
ĀĆüĀîšćÜćîÿćøÿîđìý
ÝĆéĔĀšöĊÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýđðŨîðøąÝĞćìčÖĕêøöćÿ ĀøČĂêćöìĊęĕéšøąïčĔîÙĎŠöČĂ
ÖćøĔßšÜćî×ĂÜĂčðÖøèŤðøąöüúñúÿćøÿîđìý
ÝĆéìĞćđĂÖÿćøøć÷ÖćøÖćøđךćÿć÷ (Patch List) đóČęĂðŜĂÜÖĆîÙüćöÿĆïÿî
ÙüïÙčöÖćøðäĉïĆêĉĀîšćìĊęĔîøąĀüŠćÜÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïïÿîĆïÿîčî
êŠćÜė óøšĂöìĆĚÜïĆîìċÖðøąüĆêĉĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
ìïìüîÿĆââćïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïïÿîĆïÿîčîêŠćÜėđðŨîðøąÝĞćĂ÷ŠćÜ
îšĂ÷ðŘúąĀîċęÜÙøĆĚÜ
ÿøšćÜÙüćöêøąĀîĆÖĔĀšÖĆïñĎšïøĉĀćøĒúąñĎšðäĉïĆêĉÜćîĔîøąéĆïÖćøïøĉÖćøÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï
ĂčðÖøèŤêŠćÜė
êøüÝÿĂïĂć÷č×ĂÜÿČęĂïĆîìċÖךĂöĎúÿćøÿîđìýĂ÷ŠćÜÿöęĞćđÿöĂ
ÖĞćĀîéøą÷ąđüúćÖćøÿŠÜÙČîìøĆó÷Ťÿĉî×ĂÜ Öôñ. óøšĂöìĆĚÜêøüÝÿĂïÿõćó×ĂÜìøĆó÷Ťÿĉî×ĂÜ Öôñ.
ĀúĆÜÝćÖĕéšøĆïÙČîÝćÖñĎšðäĉïĆêĉÜćî
ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ
ÝĆéĔĀšöĊÖćøÙüïÙčöõć÷ĔîĀšĂÜÙĂöóĉüđêĂøŤ
ÝĆéĔĀšöĊÖćøÙüïÙčöÖćøđךć-ĂĂÖĀšĂÜÙĂöóĉüđêĂøŤ
ÝĆéĔĀšöĊÖćøÙüïÙčöìĊęđĀöćąÿö đóČęĂðŜĂÜÖćøðäĉïĆêĉÜćîĂĆîÖŠĂĔĀšđÖĉéñúÖøąìïêŠĂÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý ĔîøąĀüŠćÜÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïïÿîĆïÿîčîêŠćÜė
ÝĆéĔĀšöĊÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙüćöÝćÖõć÷îĂÖĒúąÿĉęÜĒüéúšĂöêŠĂĀšĂÜÙĂöóĉüđêĂøŤ
ÝĆéĔĀšöĊÖćøïøĉĀćøÝĆéÖćøĂčðÖøèŤĒúąøąïïÿîĆïÿîčîÖćøìĞćÜćîøąïïÿćøÿîđìýÿćøÿîđìýÿĞćĀøĆï
ĀšĂÜÙĂöóĉüđêĂøŤ
ÝĆéĔĀšöĊÖćøïĞćøčÜøĆÖþćøąïïÿîĆïÿîčîÖćøìĞćÜćîêŠćÜė đðŨîðøąÝĞć
đÝšćĀîšćìĊęøĆÖþćÙüćöðúĂéõĆ÷
êøüÝÿĂïúĆÖþèą×ĂÜìøĆó÷Ťÿĉî×ĂÜ Öôñ. ēé÷đðøĊ÷ïđìĊ÷ïÖĆïđĂÖÿćøÖćøĒÝšÜÙüćöðøąÿÜÙŤĔîÖćø
îĞćĂĂÖ×ĂÜìøĆó÷ŤÿĉîĂ÷ŠćÜúąđĂĊ÷éøĂïÙĂï
ïĆîìċÖÖćøîĞćìøĆó÷ŤÿĉîĂĂÖîĂÖĂćÙćø Öôñ. ìčÖÙøĆĚÜ óøšĂöìĆĚÜøć÷ÜćîÖćøîĞćìøĆó÷ŤÿĉîĂĂÖĕð÷ĆÜ
ñĎšïĆÜÙĆïïĆâßć×ĂÜñĎšĒÝšÜÙüćöðøąÿÜÙŤ
ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤ ĀøČĂñĎšøĆïñĉéßĂïÿëćîìĊę
ÙüïÙčöÖćøđךćëċÜìćÜÖć÷õćó×ĂÜýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤĒúąĂčðÖøèŤìĆĚÜĀöéõć÷Ĕî
ýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ ĂĊÖìĆĚÜñĎšðäĉïĆêĉÜćîĀøČĂñĎšöćêĉéêŠĂðäĉïĆêĉêćööćêøåćîÙüćööĆęîÙÜ
ðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö×ĂÜ Öôñ.
ñĎšðäĉïĆêĉÜćî
êĉ é ïĆ ê øĂîč â ćêĀøČ Ă ïĆ ê øñĎš êĉ é êŠ Ă êøÜÝč é ìĊę ÿ ćöćøëđĀĘ î ĕéš Ă ÷Š ć ÜßĆ é đÝîêúĂéđüúćìĊę Ă ÷ĎŠ Ĕ îýĎ î ÷Ť
ÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ
óïđĀĘîñĎšìĊęöĊóùêĉÖøøöîŠćÿÜÿĆ÷Ă÷ĎŠõć÷ĔîĂćÙćøìĊęöĊýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤêĆĚÜĂ÷ĎŠ êšĂÜĒÝšÜ
ĕð÷ĆÜđÝšćĀîšćìĊęøĆÖþćÙüćöðúĂéõĆ÷ēé÷ìĆîìĊ
ĒÝšÜÙüćöðøąÿÜÙŤĔîÖćø×ĂîĞćìøĆó÷Ťÿĉî×ĂÜ Öôñ. ĂĂÖîĂÖÿĞćîĆÖÜćîêŠĂñĎšïĆÜÙĆïïĆâßć óøšĂöìĆĚÜ
ðäĉïĆêĉêćööćêøåćîìĊę Öôñ. ÖĞćĀîéĔîÖćøĔßšĂčðÖøèŤĒïïóÖóćđöČęĂĔßšÜćîîĂÖÿĞćîĆÖÜćî
ñĎšöćêĉéêŠĂ
ĒúÖïĆêøĂîčâćêĀøČĂïĆêøñĎšöćêĉéêŠĂĒúąêšĂÜêĉéïĆêøêøÜÝčéìĊęÿćöćøëđĀĘîĕéšĂ÷ŠćÜßĆéđÝîêúĂéđüúćìĊę
Ă÷ĎŠĔîĂćÙćøìĊęöĊýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ
êĉ é ïĆ ê øĂîč â ćêĀøČ Ă ïĆ ê øñĎš êĉ é êŠ Ă êøÜÝč é ìĊę ÿ ćöćøëđĀĘ î ĕéš Ă ÷Š ć ÜßĆ é đÝîêúĂéđüúćìĊę Ă ÷ĎŠ Ĕ îýĎ î ÷Ť
ÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÝĆéìĞćïøĉđüèúšĂöøĂïóČĚîìĊęÙüïÙčö ÖćøÙüïÙčöÖćøđךć-ĂĂÖ ÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï
ÿĞćîĆÖÜćî ĀšĂÜìĞćÜćî Ēúą ìøĆó÷ŤÿĉîĂČęîė ÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙćöÝćÖõć÷îĂÖĒúąÿĉęÜĒüéúšĂö ÖćøÙüïÙčö
ÖćøðäĉïĆêĉÜćîĔîóČĚîìĊęìĊęêšĂÜøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ ĒúąÖćøÝĆéïøĉđüèÿĞćĀøĆïÖćøđךćëċÜĀøČĂÿĞćĀøĆï Öćø
ÿŠÜöĂïñúĉêõĆèæŤēé÷ïčÙÙúõć÷îĂÖ
öćêøåćî
5.1.1 ÖćøÝĆéìĞćïøĉđüèúšĂöøĂï (Physical Security Perimeter)
1) ÖøèĊýĎî÷ŤÙĂöóĉüđêĂøŤ ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöýĎî÷ŤÙĂöóĉüđêĂøŤ Ă÷ŠćÜ
îšĂ÷éĆÜêŠĂĕðîĊĚ
x Ă÷ĎŠĔîĂćÙćøìĊęöĊÖćøÖĆĚîïøĉđüèĒúąÝĆéìĞćñîĆÜĀøČĂÖĞćĒóÜúšĂöøĂï
5.1.3 ÖćøøĆ Ö þćÙüćööĆę î ÙÜðúĂéõĆ ÷ ÿĞ ć ĀøĆ ï ÿĞ ć îĆ Ö Üćî Āš Ă ÜìĞ ć Üćî ĒúąìøĆ ó ÷Ť ÿĉ î ĂČę î ė (Securing
Offices, Rooms, and Facilities)
1) ĂčðÖøèŤðøąöüúñúÿćøÿîđìý ĒúąÿČęĂïĆîìċÖךĂöĎúĒïïĂĉđúĘÖìøĂîĉÖÿŤ Ă÷ŠćÜđߊî àĊéĊ đìð
ĒñŠîéĉÿÖŤ êšĂÜĕöŠĒÿéÜðŜć÷àċęÜïŠÜïĂÖëċÜüĆêëčðøąÿÜÙŤ×ĂÜĂčðÖøèŤéĆÜÖúŠćüĂ÷ŠćÜßĆéĒÝšÜ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 61 / 174
2) ĀšĂÜìĞćÜćîÿŠüîêĆü ÿĞćĀøĆïøąéĆïĀĆüĀîšćÖĂÜ×ċĚîĕð êšĂÜöĊÖćøðŗéĔÿŠÖčâĒÝ (Lock) đöČęĂĕöŠĂ÷ĎŠõć÷Ĕî
ĀšĂÜìĞćÜćî
3) ĂčðÖøèŤðøąöüúñúÿćøÿîđìýÿĞćîĆÖÜćîêšĂÜÝĆéüćÜĂ÷ĎŠĔîóČĚîìĊęêćöĀîŠü÷ÜćîìĊęĕéšøĆïÖćøÝĆéÿøøēé÷
ĂîčâćêĔĀšđךćëċÜĕéšđÞóćąñĎšìĊęĕéšøĆïĂîčâćêđìŠćîĆĚî
4) ĔîøąĀüŠćÜÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïïÿîĆïÿîčîêŠćÜė ĀĆüĀîšćÜćî
ÿćøÿîđìý ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤĀøČĂñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöìĊę
đĀöćąÿö đóČęĂðŜĂÜÖćøðäĉïĆêĉÜćîĂĆîÖŠĂĔĀšđÖĉéñúÖøąìïêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-06 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĂîčâćêđ×šć – ĂĂÖýĎî÷ŤÙĂöóĉüđêĂøŤ (Data Center
Access Request Procedure)
2) PD-07 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿĂïìćîÖćøđ×šć – ĂĂÖýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ
(Data Center Access Review Procedure)
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-08 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿĂïìćîÖćøóøšĂöĔßš×ĂÜĂčðÖøèŤÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿĉęÜĒüéúšĂö (Environmental Security Equipment Maintenance Review Procedure)
2) PD-09 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂîĞćìøĆó÷Ťÿĉî×ĂÜĂÜÙŤÖøĂĂÖîĂÖÿĞćîĆÖÜćî (Removal of
Property Request Procedure)
üĆêëčðøąÿÜÙŤ
đóČęĂĔĀšÖćøéĞćđîĉîÜćîìĊęđÖĊę÷üךĂÜÖĆïĂčðÖøèŤðøąöüúñúÿćøÿîđìýđðŨîĕðĂ÷ŠćÜëĎÖêšĂÜĒúąøĆÖþćĕüšàċęÜ Ùüćö
öĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìýĒúąĂčðÖøèŤÿćøÿîđìý×ĂÜ Öôñ. ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÖćøïøĉĀćøÝĆéÖćø
éšćîÖćøÿČęĂÿćøĒúąÖćøéĞćđîĉîÜćî×ĂÜđÙøČĂ׊ć÷ÿćøÿîđìý×ĂÜĂÜÙŤÖø àċęÜðøąÖĂïéšü÷ 10 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïĒúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćî (Operational Procedures and
Responsibilities)
2) ÖćøïøĉĀćøÝĆéÖćøÖćøĔĀšïøĉÖćø×ĂÜĀîŠü÷Üćîõć÷îĂÖ (Third-party Service Delivery
Management)
3) ÖćøüćÜĒñîĒúąÖćøêøüÝøĆïìøĆó÷ćÖøÿćøÿîđìý (System Planning and Acceptance)
4) ðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ (Protection Against Malicious and Mobile Code)
5) ÖćøÿĞćøĂÜךĂöĎú (Back-up)
6) ÖćøïøĉĀćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđÙøČĂ׊ć÷×ĂÜĂÜÙŤÖø (Network Security
Management)
7) ÖćøÝĆéÖćøÿČęĂìĊęĔßšĔîÖćøïĆîìċÖךĂöĎú (Media Handling)
8) ÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Exchange of Information)
9) ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïïøĉÖćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Commerce
Services)
10) ÖćøđòŜćøąüĆÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Monitoring)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 68 / 174
ïìïćìĀîšćìĊę
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
Ăîč öĆ êĉ Ö ćøĔßš Ü ćî ÙĎŠ öČ Ă ðäĉ ïĆ êĉ Ü ćî đöČę Ă öĊ Ö ćøÝĆ é ìĞ ć ĀøČ Ă đðúĊę ÷ îĒðúÜÙĎŠ öČ Ă ðäĉ ïĆ êĉ Ü ćî êćö
ÙüćöđĀöćąÿö
óĉÝćøèćÖćøđÙúČęĂî÷šć÷ÿČęĂïĆîìċÖךĂöĎúĂĂÖîĂÖ Öôñ.
ĀĆüĀîšćÜćîÿćøÿîđìý
ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĔîÖćøïøĉĀćøÝĆéÖćøÙĎŠöČĂÖćøðäĉïĆêĉÜćî
ðøąÿćîÜćîÖĆ ï ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìý ĔîÖćøïøĉ Ā ćøÝĆ é ÖćøÖćøđðúĊę ÷ îĒðúÜàĂôêŤ Ē üøŤ
(Software) ĒĂóóúĉ đ ÙßĆ î (Application) ך Ă öĎ ú Ĕîøąïïðøąöüúñúÿćøÿîđìý ĒúąĂč ð ÖøèŤ
ðøąöüúñúÿćøÿîđìý
ÙüïÙčöĔĀšöĊÖćøĒ÷ÖøąïïÿĞćĀøĆïÖćøóĆçîćĒúąøąïïÿĞćĀøĆïÖćøìéÿĂï ĂĂÖÝćÖøąïïìĊęĔßšÜćîÝøĉÜ
ïøĉĀćøÝĆéÖćøÖćøðäĉïĆêĉÜćî×ĂÜĀîŠü÷Üćîõć÷îĂÖ
ÝĆ é ĔĀš öĊ Ö ćøêøüÝêøćĒúąðøąöćèÖćøĒîüēîš ö ĒúąøąéĆ ï ÖćøĔßš Ü ćî×ĂÜĂč ð ÖøèŤ ð øąöüúñú
ÿćøÿîđìý
óĉÝ ćøèćìïìüîñúÖøąìïìĊęđÖĉ é ×ċĚî đöČę ĂöĊ ÖćøđðúĊę ÷îĒðúÜìĊęđÖĊę ÷üך ĂÜÖĆï ÖćøĔĀšïøĉÖ ćøÝćÖ
ĀîŠü÷Üćîõć÷îĂÖ
ÖĞćĀîéđÖèæŤĔîÖćøêøüÝøĆïøąïïÿćøÿîđìýĔĀöŠ
óĉÝćøèćÖćøîĞćøąïïÿćøÿîđìýĔĀöŠĀøČĂøąïïÿćøÿîđìýìĊęöĊÖćøðøĆïðøčÜĕðĔßšÜćîÝøĉÜ
ïøĉĀćøÝĆéÖćøĔîÖćøðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊĒúąēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊßîĉéđÙúČęĂîìĊę
ÖĞćĀîéĔĀšöĊÖćøÿĞćøĂÜךĂöĎú
óĉÝćøèćÖćøđךćëċÜøą÷ąĕÖú (Remote) ÝćÖõć÷îĂÖđÙøČĂ׊ć÷×ĂÜ Öôñ. ĒúąÖćø×ĂĔßšïøĉÖćøéšćî
đÙøČĂ׊ć÷ (Network Services) ×ĂÜ Öôñ.
ïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎúÿćøÿîđìý ĔĀšđðŨîĕðêćööćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćî
ÿćøÿîđìý
ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđĂÖÿćø
øąïï
ÝĆéìĞć×ĆĚîêĂîÖćøðäĉïĆêĉÜćî ĀøČĂĒîüìćÜÖćøðäĉïĆêĉÿĞćĀøĆïÖćøĒúÖđðúĊę÷îÿćøÿîđìý
ïøĉĀćøÝĆéÖćøÖćøĒúÖđðúĊę÷îÿćøÿîđìý×ĂÜ Öôñ. ÖĆïĀîŠü÷Üćîõć÷îĂÖ
ÝĆéĔĀšöĊÖćøÙüïÙčöÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤĔĀšöĊÙüćööĆęîÙÜðúĂéõĆ÷
òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý
ÝĆéĔĀšöĊÖćøÙüïÙčöÖćøĔßšÜćîđÙøČĂ׊ć÷ĒúąðŜĂÜÖĆîÖćøđßČęĂöêŠĂÝćÖñĎšìĊęĕöŠĕéšøĆïĂîčâćêĔî Öćø
đךćëċÜđÙøČĂ׊ć÷
óĉÝćøèćÖćøđךćëċÜøą÷ąĕÖú (Remote) ÝćÖõć÷îĂÖđÙøČĂ׊ć÷×ĂÜ Öôñ.
óĉÝćøèćÖćø×ĂĔßšïøĉÖćøéšćîđÙøČĂ׊ć÷ (Network Services)
ÖĞćÖĆïéĎĒúĒúąêøüÝÿĂïÖćøĔĀšïøĉÖćø×ĂÜñĎšĔĀšïøĉÖćøéšćîđÙøČĂ׊ć÷
ïøĉĀćøÝĆéÖćøÖćøđñ÷ĒóøŠ×šĂöĎúïî Web Site ×ĂÜ Öôñ.
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂïøĉĀćøÝĆéÖćøÙĎŠöČĂÖćøðäĉïĆêĉÜćî
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý ĔîÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜàĂôêŤĒüøŤ (Software)
ĒĂóóúĉ đ ÙßĆ î (Application) ך Ă öĎ ú Ĕîøąïïðøąöüúñúÿćøÿîđìý ĒúąĂč ð ÖøèŤ ð øąöüúñú
ÿćøÿîđìý
ÝĆéĔĀšöĊÖćøĒïŠÜĀîšćìĊęÙüćöøĆïñĉéßĂïĔîÖćøĔßšìøĆó÷Ťÿĉîÿćøÿîđìý×ĂÜ Öôñ. Ă÷ŠćÜđĀöćąÿö
óĉÝćøèćÖćøîĞćøąïïÿćøÿîđìýĔĀöŠĀøČĂøąïïÿćøÿîđìýìĊęöĊÖćøðøĆïðøčÜĕðĔßšÜćîÝøĉÜ
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂĔĀšöĆęîĔÝüŠćöĊÖøąïüîÖćøÿĞćøĂÜךĂöĎúĒúąÖćøÖĎšÙČîךĂöĎú
ìĊęđóĊ÷ÜóĂêŠĂÙüćöêšĂÜÖćøìćÜíčøÖĉÝ
óĉÝćøèćÖćøìĞćúć÷ÿČęĂĔîøĎðĂĉđúĘÖìøĂîĉÖÿŤìĊęđÖĘïךĂöĎúìĊęđðŨîÙüćöúĆïĀøČĂöĊÙüćöÿĞćÙĆâ
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđĂÖÿćø
øąïï
óĉÝćøèćÖćøĒúÖđðúĊę÷îÿćøÿîđìý×ĂÜ Öôñ. ÖĆïĀîŠü÷Üćîõć÷îĂÖ
ĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ
ÖĞćĀîéđÖèæŤĔîÖćøêøüÝøĆïøąïïÿćøÿîđìýĔĀöŠ
óĉÝćøèćìïìüîñúÖøąìïìĊęđÖĉé×ċĚî đöČęĂöĊÖćøđðúĊę÷îĒðúÜìĊęđÖĊę÷üךĂÜÖĆïÖćøĔĀšïøĉÖćøÝćÖĀîŠü÷Üćî
õć÷îĂÖ
ñĎšðäĉïĆêĉÜćî
êøüÝÿĂïĒúąêĉéêĆĚÜēðøĒÖøöìĊęêøüÝÝĆïĒúąĒÖšĕ× ēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ ïîĂčðÖøèŤðøąöüúñú
ÿćøÿîđìýìĊęøĆïñĉéßĂï ĒúąöĊÖćøðøĆïðøčÜēðøĒÖøöéĆÜÖúŠćüĔĀšìĆîÿöĆ÷Ă÷ĎŠđÿöĂ
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÝĆéìĞćÙĎŠöČĂÖćøðäĉïĆêĉÜćîìĊęđðŨîúć÷úĆÖþèŤĂĆÖþø ÖćøÙüïÙčöÖćøđðúĊę÷îĒðúÜ ðøĆïðøčÜ ĀøČĂĒÖšĕ×
øąïïĀøČĂĂčðÖøèŤðøąöüúñúÿćøÿîđìý ÖćøĒïŠÜĀîšćìĊęÙüćöøĆïñĉéßĂïĂ÷ŠćÜđĀöćąÿö ĒúąÖćøĒ÷Öøąïï
ÿĞćĀøĆïóĆçîć ìéÿĂï ĒúąĔĀšïøĉÖćøĂĂÖÝćÖÖĆî
öćêøåćî
6.1.1 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîìĊęđðŨîúć÷úĆÖþèŤĂĆÖþø (Documented Operating Procedures)
1) ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĒúąĀĆ ü Āîš ć Üćîÿćøÿîđìý êš Ă ÜÝĆ é ìĞ ć ÙĎŠ öČ Ă ÿĞ ć ĀøĆ ï Öćøðäĉ ïĆ êĉ Ü ćîìĊę
đÖĊę÷üךĂÜÖĆïĂčðÖøèŤðøąöüúñúÿćøÿîđìý (Computer Operation Manual) ìĊęĔßšđðŨîĒîüìćÜ
ĔîÖćøðäĉïĆêĉÜćî ēé÷ÙĎŠöČĂéĆÜÖúŠćüêšĂÜðøąÖĂïĕðéšü÷đøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ×ĆĚîêĂîĀøČĂúĞćéĆïĔîÖćøðäĉïĆêĉÜćîðøąÝĞćüĆî
2. ÖćøÿĞćøĂÜךĂöĎúÿĞćĀøĆïøąïïêŠćÜė
3. êćøćÜÖćøÝĆéÖćøÖćøìĞćÜćî (Job Scheduling)
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-10 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÿćøÿîđìý (Change
Management Procedure)
2) PD-11 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćî ÖćøóĆçîćøąïïÿćøÿîđìý (System Development Procedure)
3) PD-12 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÖøèĊÞčÖđÞĉîÿćøÿîđìý
(Emergency Change Management Procedure)
6.2 ÖćøïøĉĀćøÝĆéÖćøÖćøĔĀšïøĉÖćø×ĂÜĀîŠü÷Üćîõć÷îĂÖ (External Party Service
Delivery Management)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀš öĊÖćøÙüïÙčöÖćøĔĀšïøĉÖćø ÖćøêøüÝÿĂï ĒúąÖćøïøĉ ĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÖćøĔĀšïøĉÖćøēé÷
ĀîŠü÷Üćîõć÷îĂÖ
öćêøåćî
6.2.1 ÖćøĔĀšïøĉÖćøēé÷ĀîŠü÷Üćîõć÷îĂÖ (Service Delivery)
1) ĀĆüĀîšćÜćîÿćøÿîđìý ĒúąĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ öĊĀîšćìĊęÖĞćÖĆï
éĎĒúĔĀšĀîŠü÷Üćîõć÷îĂÖðäĉïĆêĉêćöîē÷ïć÷ĒúąöćêøåćîÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý×ĂÜ Öôñ. øüöëċÜÖćøÙüïÙčöøąéĆïÖćøĔĀšïøĉÖćøĒúąúĆÖþèą×ĂÜÖćøĔĀšïøĉÖćøĔĀš
đðŨîĕðêćöךĂêÖúÜ ĒúąĀøČĂ ÿĆââćÖćøĔĀšïøĉÖćø
2. ÖćøđðúĊę÷îĒðúÜēé÷ĀîŠü÷Üćîõć÷îĂÖ
x öĊÖćøđðúĊę÷îĒðúÜĒúąðøĆïðøčÜđÙøČĂ׊ć÷
x öĊÖćøĔßšđìÙēîēú÷ĊĔĀöŠ
x öĊÖćøĔßšÜćîñúĉêõĆèæŤĔĀöŠ ĀøČĂðøĆïðøčÜđüĂøŤßĆîĔĀöŠ
x öĊÖćøĔßšđÙøČęĂÜöČĂĔîÖćøóĆçîćĔĀöŠ ĒúąĀøČĂöĊÖćøêĉéêĆĚÜÿõćóĒüéúšĂöĔĀöŠ
x öĊÖćøđðúĊę÷îĒðúÜÿëćîìĊę×ĂÜĂčðÖøèŤðøąöüúñúÿćøÿîđìý
x öĊÖćøđðúĊę÷îñĎšÙšć (Vendors)
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-13 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøðøąđöĉîÖćøĔĀšïøĉÖćø×ĂÜĀîŠü÷Üćîõć÷îĂÖ (Third-party
Service Delivery Evaluation Procedure)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøüćÜĒñîÙüćöêšĂÜÖćøøąïïÿćøÿîđìý ĒúąđÖèæŤĔîÖćøêøüÝøĆïøąïïÿćøÿîđìý
öćêøåćî
6.3.1 ÖćøüćÜĒñîÙüćöêšĂÜÖćøìøĆó÷ćÖøÿćøÿîđìý (Capacity Management)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøêøüÝêøćĒúąðøąđöĉîĒîüēîšöøąéĆïÖćøĔßšÜćî×ĂÜĂčðÖøèŤ
ðøąöüúñúÿćøÿîđìý (Capacity) đóČęĂìĊęÝąÿćöćøëðøĆïðøčÜðøąÿĉìíĉõćóĒúą Ùüćö
đóĊ ÷ ÜóĂ×ĂÜĂč ð ÖøèŤ ð øąöüúñúÿćøÿîđìý ĔĀš ê ĂïÿîĂÜÙüćöêš Ă ÜÖćø×ĂÜñĎš đ ðŨ î đÝš ć ×ĂÜ
ÿćøÿîđìýìĆĚÜĔîðŦÝÝčïĆîĒúąĔîĂîćÙê ìĆĚÜîĊĚÖćøêøüÝêøćĒúąÖćøðøąđöĉîêšĂÜóĉÝćøèćĔîđøČęĂÜ
éĆÜêŠĂĕðîĊĚ
1. ÙüćöÿćöćøëĔîÖćøðøąöüúñú (Processing Power)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 77 / 174
2. ÙüćöêšĂÜÖćøĀîŠü÷ÙüćöÝĞć (Memory Requirement)
3. ×îćéĒúąÖćøĔßšÜćî×ĂÜĀîŠü÷đÖĘïךĂöĎú (Disk Usage and Size)
4. ðøĉöćèךĂöĎúĔîøąïïđÙøČĂ׊ć÷ìĊęÿćöćøëøĂÜøĆïĕéš (Network Traffic Load)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ ĒúąÖćøðŜĂÜÖĆîēðøĒÖøößîĉéđÙúČęĂîìĊę
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-14 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÙüïÙčöðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ (Controls Against
Malicious Code Procedure)
2) PD-16 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÖĎšÙČîÿõćó (Restoration Procedure)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÿĞćøĂÜךĂöĎú ĒúąìéÿĂïךĂöĎúìĊęÿĞćøĂÜĕüšĂ÷ŠćÜÿöęĞćđÿöĂ
öćêøåćî
6.5.1 ÖćøÿĞćøĂÜךĂöĎú (Information Back-up)
1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýđóČęĂĔĀšöĆęîĔÝüŠćöĊÖøąïüîÖćø
ÿĞćøĂÜךĂöĎúĒúąÖćøÖĎšÙČîךĂöĎúìĊęđóĊ÷ÜóĂêŠĂÙüćöêšĂÜÖćøìćÜíčøÖĉÝ×ĂÜ Öôñ.
2) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýđóČęĂÖĞćĀîéÙüćöëĊęĒúąßŠüÜđüúć
Ĕî ÖćøÿĞćøĂÜךĂöĎúÿćøÿîđìýĔĀšÿĂéÙúšĂÜÖĆïÙüćöêšĂÜÖćø×ĂÜ Öôñ. ĒúąêćöךĂïĆÜÙĆïìćÜ
ÖãĀöć÷
3) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéĔĀšöĊÖćøÿĞćøĂÜךĂöĎú ēé÷ÙüøóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. øąéĆïÙüćöÝĞćđðŨî×ĂÜÖćøÿĞćøĂÜךĂöĎú
2. ðøąđõì×ĂÜךĂöĎúìĊęÙüøÿĞćøĂÜĂ÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
x øąïïðäĉïĆêĉÖćø
x ïĆîìċÖđĀêčÖćøèŤ×ĂÜøąïïðäĉïĆêĉÖćø (Event Logs)
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-15 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿĞćøĂÜךĂöĎú (Backup Procedure)
2) PD-16 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÖĎšÙČîÿõćó (Restoration Procedure)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙćöìćÜđÙøČĂ׊ć÷ ĒúąÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïïøĉÖćøđÙøČĂ׊ć÷
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 81 / 174
öćêøåćî
6.6.1öćêøÖćøìćÜđÙøČĂ׊ć÷ (Network Controls)
1) òść÷ðäĉ ïĆêĉÖćøđìÙēîēú÷Ċÿ ćøÿîđìý êš ĂÜÝĆéĔĀšöĊÖćøÙüïÙčö ÖćøĔßš ÜćîđÙøČ Ă׊ ć÷ĒúąðŜĂÜÖĆ î
ÖćøđßČęĂöêŠĂÝćÖñĎšìĊęĕöŠĕéšøĆïĂîčâćêĔîÖćøđךćëċÜđÙøČĂ׊ć÷ éĆÜêŠĂĕðîĊĚ
1. Āîš ć ìĊę Ù üćöøĆ ï ñĉ é ßĂïĔîÖćøðäĉ ïĆ êĉ Ü ćîéš ć îđÙøČ Ă ×Š ć ÷êš Ă ÜĒ÷ÖÝćÖĀîš ć ìĊę
ÙüćöøĆïñĉéßĂïĔîÖćøðäĉïĆêĉÜćîéšćîÙĂöóĉüđêĂøŤ
2. ÝĆéìĞćĒñîñĆÜđÙøČĂ׊ć÷ÿćøÿîđìý×ĂÜ Öôñ. ìĆĚÜìćÜÖć÷õćó (Physical) ĒúąìćÜ
êøøÖą (Logical) øüöëċÜÖĞćĀîéĔĀšöĊÖćøðøĆïðøčÜĒñîñĆÜđöČęĂöĊÖćøđðúĊę÷îĒðúÜđÙøČĂ׊ć÷
3. ĔîÖćøđךćëċÜøą÷ąĕÖú (Remote) ÝćÖõć÷îĂÖđÙøČĂ׊ć÷×ĂÜ Öôñ. êšĂÜĕéšøĆïÖćøĂîčöĆêĉ
ÝćÖòść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý ĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜĂ÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþø ìĆĚÜîĊĚÖćøđךćëċÜøą÷ąĕÖú (Remote) ÙüøöĊÖćøÙüïÙčÙüćööĆęîÙÜ
ðúĂéõĆ÷ìćÜđìÙîĉÙĂČęîė đߊî VPN, Token-Based Authentication Devices Ēúą
Digital Certificate đðŨîêšî
4. ÝĆé ĔĀšöĊ ÖćøđךćøĀĆÿך ĂöĎú ìĊęöĊÙüćöÿĞ ćÙĆâ ÿĞćĀøĆïÿćøÿîđìýìĊęìĊęöĊ ø ąéĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷ “ÿĎÜÿčé” Ēúą “ÿĎÜ” ìĊęÿŠÜñŠćîđÙøČĂ׊ć÷ÿćíćøèąĀøČĂđÙøČĂ׊ć÷ĕøšÿć÷
5. êšĂÜöĊÖćøøąÜĆïÖćøĔĀšïøĉÖćøéšćîđÙøČĂ׊ć÷ (Network Services) ìĊęĕöŠĕéšĔßšÜćîĒúąĀøČĂ
ĕöŠĕéšöĊÖćøđךćøĀĆÿ đߊî FTP Ēúą Telnet đðŨîêšî ìĆĚÜîĊĚĔîÖøèĊìĊęñĎšðäĉïĆêĉÜćîöĊÙüćö
ÝĞćđðŨîêšĂÜĔßš ÖćøïøĉÖćøéšćîđÙøČĂ׊ć÷ (Network Services) éĆÜÖúŠćüêšĂÜĒÝšÜÙüćö
ðøąÿÜÙŤ Ē úą×ĂĂîč öĆ êĉ Ý ćÖòś ć ÷ðäĉ ïĆ êĉ Ö ćøđìÙēîēú÷Ċ ÿ ćøÿîđìý ĒúąĀĆ ü Āîš ć Üćî
ÿćøÿîđìýìĊęđÖĊę÷üךĂÜ Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
6. ĀšćöđßČęĂöêŠĂĂč ðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ. ÖĆ ïđÙøČĂ׊ć÷ÿćíćøèąñŠćî
ĂčðÖøèŤđßČęĂöêŠĂ đߊî Modem, AirCard Ēúą Access Point đðŨîêšî ìĆĚÜîĊĚĔîÖøèĊìĊęöĊ
ÙüćöÝĞćđðŨîêšĂÜĔßšĂčðÖøèŤđóČęĂđßČęĂöêŠĂÖĆïđÙøČĂ׊ć÷ÿćíćøèą êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖ
òść÷ðäĉïĆêĉÖćøđìÙēîēú÷ĊÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜ Ă÷ŠćÜđðŨî
úć÷úĆÖþèŤĂĆÖþø
7. êšĂÜöĊÖćøïĆîìċÖđĀêčÖćøèŤ ĒúąÖćøđòŜćøąüĆÜ Ă÷ŠćÜÿöęĞćđÿöĂ đóČęĂĔĀšÿćöćøëêøüÝóï
đĀêčúąđöĉéìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš ÖćøÖĞćÝĆéÿČęĂïĆîìċÖךĂöĎú óøšĂöìĆĚÜÖćøÿøšćÜ
ÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđĂÖÿćøøąïï Ēúą×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøÝĆéÖćøÿćøÿîđìý
öćêøåćî
6.7.1 ÖćøïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš (Management of Removable
Media)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜöĊÖćøïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš ēé÷ÝĆéĔĀšöĊ
ÖćøÙüïÙčö éĆÜêŠĂĕðîĊĚ
1. ÿČęĂìĊęïĆîìċÖךĂöĎú ìĊęĕöŠöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćî êšĂÜìĞćúć÷ךĂöĎúéĆÜÖúŠćüĔĀšĕöŠÿćöćøëÖĎš
ÖúĆïÙČîĕéš ÖŠĂîîĞćÿČęĂéĆÜÖúŠćüĕðĔßšÜćîĂĊÖÙøĆĚÜ ēé÷óĉÝćøèćêćöøąéĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷×ĂÜÿćøÿîđìý (ĂšćÜĂĉÜ ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćî
ÿćøÿîđìý (Standard of Asset Management))
2. ÿČęĂïĆîìċÖךĂöĎúêšĂÜÝĆéđÖĘïĔîÿõćóĒüéúšĂöìćÜÖć÷õćó (Physical) ìĊęöĊÙüćööĆęîÙÜ
ðúĂéõĆ÷ ĒúąĀøČĂêćöìĊęìćÜñĎšñúĉêĕéšøąïč
3. ĔîÖøèĊìĊęĂć÷čÖćøÝĆéđÖĘïÿćøÿîđìýîćîÖüŠćĂć÷č×ĂÜÿČęĂïĆîìċÖךĂöĎú (êćöÙĞćĒîąîĞć×ĂÜ
ñĎšñúĉê) êšĂÜëŠć÷ēĂîÿćøÿîđìýĕð÷ĆÜÿČęĂĂČęî đóČęĂðŜĂÜÖĆîÖćøÿĎâĀć÷×ĂÜÿćøÿîđìýÝćÖ
ÖćøđÿČęĂöÿõćó×ĂÜÿČęĂïĆîìċÖךĂöĎúîĆĚî
2) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîĔîÖćøđÙúČęĂî÷šć÷ÿČęĂïĆîìċÖךĂöĎúĂĂÖîĂÖ Öôñ. êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖ
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø ĒúąêšĂÜöĊÖćøïĆîìċÖøć÷úąđĂĊ÷é
ÖćøđÙúČęĂî÷šć÷éĆÜÖúŠćüđóČęĂđðŨîĀúĆÖåćîÖćøêøüÝÿĂïĔîõć÷ĀúĆÜ
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-17 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš (Request of
Removable Media Procedure)
2) PD-18 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøìĞćúć÷ÿČęĂïĆîìċÖךĂöĎú (Disposal of Media Procedure)
ëšĂ÷ĒëúÜîē÷ïć÷
öćêøåćî
6.8.1îē÷ïć÷Ēúą×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Information Exchange Policies
and Procedures)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéìĞć×ĆĚîêĂîÖćøðäĉïĆêĉÜćî ĀøČĂĒîüìćÜÖćøðäĉïĆêĉÿĞćĀøĆï Öćø
ĒúÖđðúĊę÷îÿćøÿîđìýđóČęĂÙüïÙčöÖćøĒúÖđðúĊę÷îÿćøÿîđìý ēé÷ÙüøóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøðŜĂÜÖĆîÖćøéĆÖÝĆïךĂöĎúìĊęĒúÖđðúĊę÷î ÖćøìĞćÿĞćđîć ÖćøđðúĊę÷îĒðúÜĒÖšĕ× ÖćøÿŠÜ
ñĉéđÿšîìćÜ (Mis-Routing) ĒúąÖćøëĎÖìĞćúć÷
2. ÖćøêøüÝÝĆïĒúąðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊàċęÜĂćÝëĎÖÿŠÜñŠćîìćÜÖćøĔßšĂčðÖøèŤ
ÿČęĂÿćøĂĉđúĘÖìøĂîĉÖÿŤ
3. ÖćøðŜĂÜÖĆîךĂöĎúìĊęÿĞćÙĆâĔîøĎðÿČęĂĂĉđúĘÖìøĂîĉÖÿŤìĊęÿŠÜñŠćîĔîøĎðĒïï×ĂÜđĂÖÿćøĒîï
4. ÖćøÿČęĂÿćøĒïïĕøšÿć÷ ēé÷êšĂÜÙĞćîċÜëċÜÙüćöđÿĊę÷ÜđÞóćąéšćîìĊęđÖĊę÷üךĂÜ
5. ïìïćìĀîš ć ìĊę Ĕ îÖćøĒÝš Ü đêČ Ă î×ĂÜñĎš ð äĉ ïĆ êĉ Ü ćîĒúąĀîŠ ü ÷Üćîõć÷îĂÖìĊę đ ÖĊę ÷ üÖĆ ï
ÖćøĔßšÜćîøąïïđìÙēîēú÷ĊÿćøÿîđìýìĊęĕöŠđÖĊę÷üךĂÜÖĆï Öôñ. àċęÜĂćÝÿŠÜñúêŠĂßČęĂđÿĊ÷Ü
ĒúąõćóóÝîŤ×ĂÜ Öôñ. ĔîđßĉÜúï đߊî Öćøÿïðøąöćì Öćø׊ö×ĎŠ ÖćøĒĂïĂšćÜ ÖćøÿŠÜ
ÝéĀöć÷úĎÖēàŠ ĒúąÖćøÿĆęÜàČĚĂēé÷ĕöŠĕéšøĆïĂîčâćê đðŨîêšî
6. ÖćøĔßšđìÙîĉÙÖćøđךćøĀĆÿ đߊî đóČęĂðÖðŜĂÜÿćøÿîđìýìĊęđðŨîÙüćöúĆï đóČęĂĔĀšÿćøÿîđìý
öĊ ÙüćöëĎÖêšĂÜĒúąøąïčêĆüêîĕéš
7. ÖćøđÖĘïøĆÖþćĒúąÖćøìĞćúć÷ đĂÖÿćø ÝéĀöć÷ ĒúąïĆîìċÖēêšêĂïìćÜíčøÖĉÝ øüöëċÜ
ךĂÙüćöàċęÜđÖĊę÷üךĂÜÖĆïÖãĀöć÷ĀøČĂךĂïĆÜÙĆï×ĂÜðøąđìýĕì÷
8. ÖćøĕöŠìĉĚÜךĂöĎúìĊęöĊÙüćöÿĞćÙĆâĕüšìĊęĂčðÖøèŤÖćøóĉöóŤ đߊî đÙøČęĂÜìĞćÿĞćđîć đÙøČęĂÜóĉöóŤ
ĒúąđÙøČęĂÜÿŠÜĒôÖàŤ đðŨîêšî àċęÜĂćÝëĎÖđךćëċÜēé÷ñĎšìĊęĕöŠĕéšøĆïĂîčâćê
9. ÖćøÙüïÙč ö ĒúąÝĞ ć ÖĆ é ÖćøÿŠ Ü êŠ Ă ÿćøÿîđìýēé÷Ăč ð ÖøèŤ Ö ćøÿČę Ă ÿćø đߊ î ÖćøÿŠ Ü êŠ Ă
ÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤõć÷Ĕî Öôñ. ĕð ÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤõć÷îĂÖēé÷ĂĆêēîöĆêĉ
10. ÖćøĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîĔĀšöĊÙüćöøąöĆéøąüĆÜìĊęđĀöćąÿö đߊî Āšćöđðŗéđñ÷ךĂöĎúìĊęđðŨî
ÙüćöúĆï đóČęĂĀúĊÖđúĊę÷ÜÖćøĂćÝĕéš÷ĉîĀøČĂëĎÖéĆÖôŦÜĔî×èąÙč÷ēìøýĆóìŤ đߊî
x ÖćøøĆïìøćïךĂöĎúēé÷ÖúčŠöÙîìĊęĂ÷ĎŠøĂïėךćÜĔî×èąìĊęÙč÷ēìøýĆóìŤ
x ÖćøéĆ Ö ôŦ Ü ñŠ ć îÖćøđך ć ëċ Ü ĒïïÖć÷õćó (Physical) đߊ î đÙøČę Ă ÜēìøýĆ ó ìŤ
ÿć÷ēìøýĆóìŤ ĀøČĂĔßšĂčðÖøèŤÿĒÖî
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 86 / 174
x ÖćøøĆïìøćïךĂöĎúēé÷ÖúčŠöÙîìĊęĂ÷ĎŠÖĆïñĎšøĆïēìøýĆóìŤðúć÷ìćÜ
11. ÖćøĕöŠìĉĚÜךĂÙüćöìĊęöĊđîČĚĂĀćÿĞćÙĆâĕüšĔîđÙøČęĂÜêĂïøĆï đîČęĂÜÝćÖĂćÝëĎÖôŦÜēé÷ñĎšìĊęĕöŠ
đÖĊę÷üךĂÜĕéš ĀøČ ĂךĂÙüćöîĆĚîĂćÝëĎÖđÖĘïĔîøąïïÿćíćøèą ĀøČĂĂćÝëĎÖđÖĘ ïĕüšñĉéìĊę
đîČęĂÜÝćÖēìøñĉéĀöć÷đú×
12. ĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîđÖĊę÷üÖĆïðŦâĀćĔîÖćøĔßšđÙøČęĂÜÿŠÜĒôÖàŤ Ă÷ŠćÜđߊî
x ÖćøđךćëċÜēé÷ĕöŠĕéšøĆïĂîčâćêđóČęĂÖćøđÖĘïךĂöĎúĕüš ĒúšüöćéċÜךĂöĎúĕð
x ÖćøêĆĚÜÙŠćđÙøČęĂÜ ēé÷êĆĚÜĔÝĀøČĂĕöŠêĆĚÜĔÝ đóČęĂĔĀšÿŠÜךĂÙüćöĕð÷ĆÜĀöć÷đú×đÞóćą
x ÖćøÿŠÜđĂÖÿćøĒúą×šĂÙüćöĕðñĉéđú×Āöć÷ĕöŠ üŠćÝąēé÷Öćøēìøñĉéđú×Āöć÷
ĀøČĂĔßšđú×Āöć÷ìĊęïĆîìċÖĕüšĒêŠïĆîìċÖñĉéóúćé
13. ĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîĕöŠĔĀšúÜìąđïĊ÷îđךćךĂöĎúéšćîðøąßćÖøýćÿêøŤ (Demographic
Data) Ă÷Š ć Üđߊ î ìĊę Ă ÷ĎŠ × ĂÜÝéĀöć÷Ăĉ đ úĘ Ö ìøĂîĉ Ö ÿŤ ĀøČ Ă ÿćøÿîđìýÿŠ ü îêĆ ü ĂČę î ė Ĕî
àĂôêŤĒüøŤ (Software) đóČęĂĀúĊÖđúĊę÷ÜÖćøîĞćךĂöĎúéĆÜÖúŠćüĕðĔßšēé÷ĕöŠĕéšøĆïĂîčâćê
14. ĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîüŠćđÙøČęĂÜÿŠÜĒôÖàŤĒúąđÙøČęĂÜëŠć÷đĂÖÿćøìĊęìĆîÿöĆ÷ÿćöćøëđÖĘï
ךĂöĎúđĂÖÿćøìĊęìĞćÿĞćđîćĀøČĂÿŠÜĒôÖàŤđóČęĂĔßšĔîÖøèĊöĊĂčðÖøèŤöĊðŦâĀćĔîÖćøÿŠÜ ēé÷
ÿĞćđîćÝąóĉöóŤđöČęĂðŦâĀćĕéšøĆïÖćøĒÖšĕ×
15. ĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîĕöŠÙüøóĎéÙč÷đøČęĂÜìĊęđðŨîÙüćöúĆï×ĂÜ Öôñ. ĔîìĊęÿćíćøèąĀøČĂ
ÿëćîìĊęĒïïđðŗéēé÷ĕöŠöĊÖĞćĒóÜìĊęÖĆîđÿĊ÷Üĕéš
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-19 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Information Exchange
Procedure)
2) PD-20 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿŠÜñŠćîÿČęĂïĆîìċÖךĂöĎú (Physical Media in Transit
Procedure)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀš öĊÖćøðŜ ĂÜÖĆîÿćøÿîđìý×ĂÜøąïïóćèĉß÷ŤĂĉđúĘÖìøĂîĉ ÖÿŤ ÖćøðŜ ĂÜÖĆîÿćøÿîđìý×ĂÜÖćøìĞćíčø Öøøö
ĂĂîĕúîŤ ĒúąÖćøðŜĂÜÖĆîÿćøÿîđìýìĊęöĊÖćøđñ÷ĒóøŠĂĂÖÿĎŠÿćíćøèą
öćêøåćî
6.9.1 Öćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Commerce)
1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷
ÿĞćĀøĆï Öćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ ēé÷ÝĆéĔĀšöĊÖćøÙüïÙčöéĆÜêŠĂĕðîĊĚ
1. ÖĞćĀîéÿĉìíĉÖćøđךćëċÜøąïïóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤĔĀšđĀöćąÿöÖĆïÖćøđךćĔßšïøĉÖćø×ĂÜ
úĎÖÙšćĒúąĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜñĎšðäĉïĆêĉÜćî øüöìĆĚÜöĊÖćøìïìüîÿĉìíĉ Öćø
đךćëċÜĂ÷ŠćÜÿöęĞćđÿöĂ
2. ÖĞćĀîéĔĀšñĎšìĊęĕéšøĆïöĂïĀöć÷đìŠćîĆĚîìĊęÝąđךćĒÖšĕ×đðúĊę÷îĒðúÜÿĉìíĉÖćøđךćëċÜêŠćÜė ĕéš
3. ïĆîìċÖøć÷úąđĂĊ÷éÖćøđךćëċÜøąïïóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ ÖćøĒÖšĕ×đðúĊę÷îĒðúÜÿĉìíĉ
êŠćÜė ĕüšđóČęĂđðŨîĀúĆÖåćîÖćøêøüÝÿĂïĔîÖøèĊđÖĉéðŦâĀć
4. ÝĆéĔĀšöĊüĉíĊÖćøêøüÝÿĂïêĆüêîĒúąÿĉìíĉĔîÖćøĔßšïøĉÖćø×ĂÜúĎÖÙšćÖŠĂîĂîčâćêĔĀšĔ ßš
ïøĉÖćø
ëšĂ÷ĒëúÜîē÷ïć÷
öćêøåćî
6.10.1 ÖćøïĆîìċÖđĀêčÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßšÜćîÿćøÿîđìý (Audit Logging)
1) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéĔĀšöĊÖćøïĆîìċÖđĀêčÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßšÜćîÿćøÿîđìý àċęÜ
ðøąÖĂïéšü÷øć÷úąđĂĊ÷ééĆÜêŠĂĕðîĊĚ
1. ïĆâßĊñĎšĔßšÜćî
2. üĆîìĊę đüúć øć÷úąđĂĊ÷é×ĂÜđĀêčÖćøèŤÿĞćÙĆâ đߊî Öćø Log-on Ēúą Öćø Log-off đðŨî
êšî
3. øąïčëċÜđÙøČęĂÜ (Terminal) ĀøČĂÿëćîìĊę (ëšćđðŨîĕðĕéš)
4. ÖćøïĆîìċÖÙüćöÿĞćđøĘÝĒúąúšöđĀúüĔîÖćøó÷ć÷ćöđךćëċÜøąïï
5. ÖćøïĆîìċÖÙüćöÿĞćđøĘÝĒúąúšöđĀúüĔîÖćøó÷ć÷ćöđךćëċÜךĂöĎúĒúąìøĆó÷ćÖøĂČęîė
6. ÖćøđðúĊę÷îĒðúÜÖćøÖĞćĀîéÙŠćĔîøąïï (Configuration)
7. ÖćøĔßšÿĉìíĉóĉđýþ (Privilege)
8. ÖćøđךćëċÜĕôúŤ (File) Ēúąßîĉé×ĂÜÖćøđךćëċÜ
9. ìĊęĂ÷ĎŠ×ĂÜđÙøČĂ׊ć÷ đߊî IP address Ēúą MAC address đðŨîêšî
10. Protocols ìĊęĔßšÜćî
11. ÿĆââćèïĂÖđĀêčìĊęđÖĉéÝćÖøąïïÖćøÙüïÙčöÖćøđךćëċÜ
12. ÖćøđðŗéÖćøĔßšÜćî (Activation) ĒúąÖćøøąÜĆïÖćøĔßšÜćî (De-Activation) ×ĂÜøąïï
ðŜĂÜÖĆî đߊîøąïïðŜĂÜÖĆîĕüøĆÿ ĒúąøąïïêøüÝÝĆïÖćøïčÖøčÖ (Intrusion Detection
System)
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-21 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøđòŜćøąüĆÜÖćøĔßšÜćîøąïï (System Usage Monitoring
Procedure)
üĆêëčðøąÿÜÙŤ
đóČęĂÙüïÙčöĒúąðŜĂÜÖĆîÖćøđךćëċÜ ÖćøúŠüÜøĎš ĒúąÖćøĒÖšĕ×ÿćøÿîđìýĒúąøąïïÿćøÿîđìý×ĂÜ Öôñ. ēé÷
ĕöŠĕéšøĆïĂîčâćê Öôñ. ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÖćøÙüïÙčöÖćøđךćëċÜàċęÜðøąÖĂïéšü÷ 7 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) ךĂÖĞćĀîéìćÜíčøÖĉÝÿĞćĀøĆïÖćøÙüïÙčöÖćøđךćëċÜ (Business Requirements for Access
Control)
2) ÖćøïøĉĀćøÝĆéÖćøÖćøđךćëċÜ×ĂÜñĎšĔßš (User Access Management)
3) ĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜñĎšĔßšÜćî (User Responsibilities)
4) ÖćøÙüïÙčöÖćøđךćëċÜđÙøČĂ׊ć÷ (Network Access Control)
5) ÖćøÙüïÙčöÖćøđךćëċÜøąïïðäĉïĆêĉÖćø (Operating System Access Control)
ïìïćìĀîšćìĊę
òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý (Ăðì.)
óĉÝćøèćÖćø×ĂĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷×ĂÜñĎšðäĉïĆêĉÜćîĀøČĂĀîŠü÷Üć÷õć÷îĂÖ ĂĊÖìĆĚÜêšĂÜÙüïÙčöÖćø
ĔßšÜćîøąïïđÙøČĂ׊ć÷ đóČęĂðŜĂÜÖĆîÖćøđךćëċÜøąïïđÙøČĂ׊ć÷ĒúąïøĉÖćø×ĂÜøąïïđÙøČĂ׊ć÷ēé÷ĕöŠĕéš
øĆïĂîčâćê
ÝĆéĔĀšöĊÖćøĒïŠÜĒ÷ÖđÙøČĂ׊ć÷êćöÖúčŠö×ĂÜñĎšĔßš ĀøČĂÖúčŠö×ĂÜøąïïÿćøÿîđìý đóČęĂÙüïÙčöÖćøĔßšÜćî
ĔîĒêŠúąđÙøČĂ׊ć÷÷ŠĂ÷ĕéšĂ÷ŠćÜđĀöćąÿö ĒúąöĊÖćøóĉÿĎÝîŤêĆüêî×ĂÜĂčðÖøèŤĔîøąïïđÙøČĂ׊ć÷
øąÜĆïïøĉÖćøĒúąóĂøŤê (Port) ìĊęĕöŠöĊÙüćöÝĞćđðŨîêšĂÜĔßšïîđÙøČęĂÜÙĂöóĉüđêĂøŤĀøČĂĂčðÖøèŤđÙøČĂ׊ć÷
ĒúąêĉéêĆĚÜøąïïÙüïÙčöđóČęĂÖúĆęîÖøĂÜךĂöĎúìĊęøĆï - ÿŠÜ óøšĂöìĆĚÜðŜĂÜÖĆîĕöŠĔĀšöĊÖćøøĆïÿŠÜךĂöĎúìĊęĕöŠ
đĀöćąÿöÝćÖõć÷îĂÖ Öôñ.
êĉéêĆĚÜ Firewall øąĀüŠćÜđÙøČĂ׊ć÷×ĂÜ Öôñ. ÖĆï đÙøČĂ׊ć÷õć÷îĂÖ óøšĂÜìĆĚÜĒïŠÜĒ÷Ö Zone êćö
ÙüćöđĀöćąÿö ĒúąÙüïÙčöÖćøÖĞćĀîéđÿšîìćÜïîđÙøČĂ׊ć÷×ĂÜ Öôñ.
ÖĞćĀîéÙŠć×ĂÜøąïï (Configuration) ĂčðÖøèŤđÙøČĂ׊ć÷ öĉĔĀšÿćöćøëïøĉĀćøÝĆéÖćøÝćÖõć÷îĂÖ
đÙøČĂ׊ć÷ĕéš đüšîĒêŠĔîÖøèĊÞčÖđÞĉî àċęÜêšĂÜĕéšøĆïÖćøĂîčâćêÝćÖĀĆüĀîšćÜćîÿćøÿîđìý
ÙüïÙčöÖćøđßČęĂöêŠĂđÙøČĂ׊ć÷õć÷îĂÖ àċęÜĂćÝđðŨîߊĂÜìćÜĔĀšïčÙÙúõć÷îĂÖđךćëċÜÿćøÿîđìýĀøČĂ
øąïïÿćøÿîđìý×ĂÜ Öôñ. ēé÷öĉĕéšøĆïĂîčâćê
ÝĆéĔĀšöĊÖćøóĉÿĎÝîŤêĆüêîÖŠĂîìĊęÝąĂîčâćêĔĀšñĎšĔßšÜćîìĊęĂ÷ĎŠõć÷îĂÖ Öôñ. ÿćöćøëđךćĔßšÜćîđÙøČĂ׊ć÷
Ēúąøąïïÿćøÿîđìý×ĂÜ Öôñ. ĕéš
òść÷øąïïÿČęĂÿćø
ÿĂïìćîÖćøđßČę Ă öêŠ Ă øąïïñŠ ć îìćÜÿć÷ēìøýĆ ó ìŤ Ă ÷Š ć ÜÿöęĞ ć đÿöĂ đóČę Ă êøüÝÿĂïÖćøđßČę Ă öêŠ Ă
ĂĉîđìĂøŤđîĘêēé÷Āöć÷đú×ēìøýĆóìŤìĊęĕöŠĕéšøĆïĂîčâćê
òść÷ìøĆó÷ćÖøïčÙÙú
ĒÝšÜøć÷ßČęĂ×ĂÜñĎšðäĉïĆêĉÜćî ĀøČĂĀîŠü÷Üćîõć÷îĂÖìĊęÿĉĚîÿčéĀøČĂđðúĊę÷îĒðúÜÖćøÝšćÜÜćîĒÖŠñĎšđðŨî
đÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ÝĆ é ĔĀš öĊ üĉ íĊ ðŜ Ă ÜÖĆ î ĕöŠ Ĕ Āš ñĎš ð äĉ ïĆ êĉ Ü ćîĀøČ Ă ĀîŠ ü ÷Üćîõć÷îĂÖ ìĊę ĕ öŠ öĊ ÿĉ ì íĉ ÿ ćöćøëđך ć ëċ Ü Ăč ð ÖøèŤ
ðøąöüúñúÿćøÿîđìýìĊęĕöŠöĊñĎšéĎĒú
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
óĉÝćøèć×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøúÜìąđïĊ÷î đóĉÖëĂîÿĉìíĉ ĒúąđðúĊę÷îĒðúÜÿĉìíĉ×ĂÜñĎšĔßšÜćî
óĉÝćøèćĔĀšñĎšĔßšÜćîöĊÿĉìíĉđóČęĂÖćøđךćëċÜÿćøÿîđìýĀøČĂøąïïÿćøÿîđìýĔéė Ă÷ŠćÜđðŨîúć÷úĆÖþèŤ
ĂĆÖþøđìŠćîĆĚî ĂĊÖìĆĚÜĂîčöĆêĉÖćøÿøšćÜïĆâßĊñĎšĔßšßĆęüÙøćü (Temporary User)
êøüÝÿĂïÖćøĔßšÜćîïĆâßĊñĎšĔßšàĚĞćÖĆîĔîøąïï Ă÷ŠćÜÿöęĞćđÿöĂđðŨîðøąÝĞćìčÖ 3 đéČĂî
ÝĆéĔĀšöĊÖćøëĂéëĂîĀøČĂđðúĊę÷îĒðúÜÿĉìíĉÖćøđךćëċÜìĆîìĊ đöČęĂñĎšĔßšÜćî đÖþĊ÷è đðúĊę÷îĒðúÜĀîšćìĊę
ÙüćöøĆ ï ñĉ é ßĂï đðúĊę ÷ îĒðúÜÿĆ Ü ÖĆ é ĀøČ Ă ĕöŠ öĊ Ù üćöÝĞ ć đðŨ î ĔîÖćøĔßš Ü ćîÿćøÿîđìýĀøČ Ă øąïï
ÿćøÿîđìý
ÝĆé ĔĀš öĊÖćøÿĂïìćîÿĉ ì íĉÖćøđךćëċÜ×ĂÜñĎšĔ ßšÜćîøąïïđðŨîðøąÝĞćìčÖ 3 đéČĂî ĀøČ ĂđöČęĂ Öôñ. öĊ
ÖćøđðúĊę÷îĒðúÜøąïïÿćøÿîđìýĀøČĂēÙøÜÿøšćÜĂÜÙŤÖøìĊęÿĞćÙĆâ
ÝĆéĔĀšöĊÖćøĒïŠÜĒ÷Öøąïïÿćøÿîđìý ēé÷óĉÝćøèćÝćÖúĞćéĆïßĆĚî×ĂÜÿćøÿîđìýìĊę Öôñ. ÖĞćĀîéĕüš
ÖĞćĀîéøą÷ąđüúćÖćøĔßšÜćîĔîøąïïÿćøÿîđìý×ĂÜ Öôñ. ÿĞćĀøĆïĀîŠü÷Üćîõć÷îĂÖìĊęöĊÙüćö
ÝĞćđðŨîêšĂÜđךćëċÜĕéšÿĎÜÿčé 12 đéČĂî
óĉÝćøèćÖćøĔßšÜćîïĆâßĊñĎšĔßšÜćîøŠüöÖĆî (Shared User ID) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîđìŠćîĆĚî
ĀĆüĀîšćÜćîÿćøÿîđìý
ÝĆéĔĀšöĊïĆâßĊñĎšĔßšÜćîĒêŠúąïčÙÙú ĒúąÖćøÙüïÙčöÖćøđךćëċÜ ÿćøÿîđìý øąïïðäĉïĆêĉÖćøĒúąøąïï
ÿćøÿîđìý êćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊę Öôñ. ÖĞćĀîé óøšĂöìĆĚÜÝĆéđÖĘï
ïĆîìċÖđĀêčÖćøèŤ (Log) ĔĀšöĊÙüćööĆęîÙÜðúĂéõĆ÷
óĉÝćøèćĔĀšñĎšĔßšÜćîöĊÿĉìíĉđóČęĂÖćøđךćëċÜÿćøÿîđìýĀøČĂøąïïÿćøÿîđìýĔéė Ă÷ŠćÜđðŨîúć÷úĆÖþèŤ
ĂĆÖþøđìŠćîĆĚî óøšĂöìĆĚÜÿĂïìćîÿĉìíĉÖćøđךćëċÜ×ĂÜñĎšĔßšÜćîøąïïđðŨîðøąÝĞćìčÖ 3 đéČĂî ĀøČĂđöČęĂ
Öôñ. öĊÖćøđðúĊę÷îĒðúÜøąïïÿćøÿîđìýĀøČĂēÙøÜÿøšćÜĂÜÙŤÖøìĊęÿĞćÙĆâ
ñĎšéĎĒúøąïïÿćøÿîđìý
ÙüïÙčööĉĔĀšöĊÖćøĔßšÜćîïĆâßĊßČęĂñĎšĔßšàĚĞćÖĆî
ÖĞ ć ĀîéøĀĆ ÿ ñŠ ć î×ĂÜñĎš Ĕ ßš Ē ïïßĆę ü Ùøćüēé÷Ĕßš üĉ íĊ Ö ćøÿčŠ ö ĒúąÖĞ ć ĀîéĔĀš ø ąïïìĞ ć ÖćøïĆ Ü ÙĆ ï ĔĀš öĊ
ÖćøđðúĊę÷îøĀĆÿñŠćîñĎšĔßšĔĀöŠđöČęĂöĊÖćøĔßšÜćîøąïïĔîÙøĆĚÜĒøÖ
úïĀøČĂøąÜĆïÖćøĔßšÜćîÿĉìíĉ×ĂÜñĎšĔßšÜćîìĊęöćÖĆïøąïï (Default User)
ÝĆéĔĀšöĊÖćøÿĂïìćîĒúąøąÜĆïÖćøĔßšÜćîïĆâßĊñĎšĔßšÜćîìĊęĕöŠĕéšĔßšÜćîđÖĉî 90 üĆî ĒúąÝĆéÿŠÜøć÷ßČęĂ×ĂÜ
ñĎšĔßšÜćîìĊęëĎÖøąÜĆïĕð÷ĆÜñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂ÷Čî÷ĆîÖćøĔßšÜćî
ÝĆéìĞćøć÷ÜćîïĆîìċÖđĀêčÖćøèŤ (Log) đóČęĂøć÷ÜćîĒÖŠĀĆüĀîšćÜćîÿćøÿîđìýđðŨîðøąÝĞćìčÖđéČĂî
ñĎšïĆÜÙĆïïĆâßć
óĉÝćøèć×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøúÜìąđïĊ÷î đóĉÖëĂîÿĉìíĉ ĒúąđðúĊę÷îĒðúÜÿĉìíĉ×ĂÜñĎšĔßšÜćî
óĉÝćøèćÖćø×ĂĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷×ĂÜñĎšðäĉïĆêĉÜćîĀøČĂĀîŠü÷Üć÷õć÷îĂÖ
óĉÝćøèćÖćøĔßšÜćîïĆâßĊñĎšĔßšÜćîøŠüöÖĆî (Shared User ID) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîđìŠćîĆĚî
ñĎšðäĉïĆêĉÜćî/ ñĎšĔßšÜćî
ĒÝšÜÙüćöðøąÿÜÙŤĔîÖćø×ĂĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷êćö×ĆĚîêĂîÖćøðäĉïĆêĉĔîÖćø×ĂĔßšïøĉÖćøđÙøČĂ׊ć÷
êšĂÜðäĉïĆêĉêćööćêøÖćøÖćøĔßšÜćîøĀĆÿñŠćîìĊę Öôñ. ÖĞćĀîéĂ÷ŠćÜđÙøŠÜÙøĆé
ĀîŠü÷Üćîõć÷îĂÖ
ÖĞćĀîéÙŠćĔîÖćøúĘĂÙĀîšćÝĂĂĆêēîöĆêĉđöČęĂĕöŠöĊÖćøĔßšÜćîøąïïÿćøÿîđìý ĀøČĂĂčðÖøèŤðøąöüúñú
ÿćøÿîđìý×ĂÜ Öôñ. êćöøą÷ąđüúćìĊęÖĞćĀîé
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøđךćëċÜĔĀšÿĂéÙúšĂÜÖĆïÙüćöêšĂÜÖćøìćÜíčøÖĉÝĒúąÙüćöêšĂÜÖćøéšćîÙüćööĆęîÙÜðúĂéõĆ÷
öćêøåćî
7.1.1ךĂÖĞćĀîéÖćøÙüïÙčöÖćøđךćëċÜ (Access Control Requirements)
1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜÝĆéìĞćêćøćÜĒÿéÜÿĉìíĉĔîÖćøđךćëċÜ (Authorization Matrix) ìĊę
đĀöćąÿöĔîĒêŠúąøąïïÿćøÿîđìýĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø ĒúąðøĆïðøčÜĂ÷ŠćÜÿöęĞćđÿöĂìčÖ 3
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøúÜìąđïĊ÷îñĎšĔßš ÖćøïøĉĀćøÝĆéÖćøÿĉìíĉÖćøĔßšÜćîøąïïÿćøÿîđìý ÖćøïøĉĀćøÝĆéÖćø
øĀĆÿñŠćîĒúąÖćøìïìüîÿĉìíĉÖćøđךćëċÜ×ĂÜñĎšĔßš
öćêøåćî
7.2.1 ÖćøúÜìąđïĊ÷îñĎšĔßš (User Registration)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊ×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøúÜìąđïĊ÷î ÖćøđóĉÖëĂîÿĉìíĉ
ĒúąÖćøđðúĊę÷îĒðúÜÿĉìíĉ×ĂÜñĎšĔßšÜćîĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø đóČęĂÖĞćĀîéÿĉìíĉêŠćÜė Ĕî
ÖćøĔßšÜćîêćöÙüćöđĀöćąÿö
2) ×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøúÜìąđïĊ÷î ÖćøđóĉÖëĂîÿĉìíĉ ĒúąÖćøđðúĊę÷îĒðúÜÿĉìíĉ êšĂÜĕéšøĆï Öćø
ĂîčöĆêĉÝćÖ ñĎšïĆÜÙĆïïĆâßćĒúąñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý óøšĂöìĆĚÜöĊÖćøÙüïÙčö×ĆĚîêĂîðäĉïĆêĉĔîđøČęĂÜ
éĆÜêŠĂĕðîĊĚ
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-22 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂúÜìąđïĊ÷îñĎšĔßšÜćî (User Registration Procedure)
2) PD-23 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøđðúĊę÷îĒðúÜÿĉìíĉñĎšĔßšÜćî (User Modification Procedure)
3) PD-24 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøđóĉÖëĂîÖćøúÜìąđïĊ÷îñĎšĔßšÜćî (User De-Registration
Procedure)
4) PD-25 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšïĆâßĊñĎšĔßšÜćîìĊęöĊÿĉìíĉđìĊ÷ïđìŠćïĆâßĊñĎšĔßšÜćîìĊęöĊÿĉìíĉ
óĉđýþ ( Equivalent-Privilege User Account Request Procedure)
5) PD-26 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšïĆâßĊñĎšĔßšÜćîìĊęöĊÿĉìíĉóĉđýþĔîÖøèĊÞčÖđÞĉî ( Emergency
Use of Privilege User Account Procedure)
6) PD-27 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøđðúĊę÷îĒðúÜøĀĆÿñŠćîïĆâßĊñĎšĔßšÜćîìĊęöĊÿĉìíĉóĉđýþ (Change of
Privilege User Accounts Password Procedure)
7) PD-28 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøìïìüîÿĉìíĉÖćøđךćëċÜ×ĂÜñĎšĔßšÜćî (Review of User
Access Rights Procedure)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøĔßšÜćîøĀĆÿñŠćî ÖćøðŜĂÜÖĆîĂčðÖøèŤìĊęĕöŠ öĊñĎšéĎĒú ĒúąÖćøÙüïÙčöÖćøĕöŠìĉĚÜìøĆ ó÷Ťÿĉî
ÿćøÿîđìýÿĞćÙĆâĕüšĔîìĊęìĊęĕöŠðúĂéõĆ÷
öćêøåćî
7.3.1ÖćøĔßšÜćîøĀĆÿñŠćî (Password Use)
1) ñĎšĔßšÜćî êšĂÜđÖĘïøĀĆÿñŠćîĕüšđðŨîÙüćöúĆïđÞóćąïčÙÙú ĕöŠđðŗéđñ÷ĔĀšñĎšĂČęîøĆïìøćï ĒúąñĎšĔßšÜćîêšĂÜ
ĕöŠóĉöóŤøĀĆÿñŠćîĔîúĆÖþèąđðŗéđñ÷ đߊî óĉöóŤøĀĆÿñŠćîêŠĂĀîšćñĎšðäĉïĆêĉÜćîÙîĂČęî đðŨîêšî
2) ñĎšĔßšÜćî êšĂÜĕöŠĔßšïĆâßĊßČęĂñĎšĔßšÜćîĒúąøĀĆÿñŠćîøŠüöÖĆîÖĆïñĎšĂČęî ĒöšüŠćïĆâßĊßČęĂñĎšĔßšÜćîÝąĕéšøĆïÖćø
ĂîčâćêÝćÖđÝšć×ĂÜßČęĂñĎšĔßšÜćîïčÙÙúîĆĚîÖĘêćö
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 106 / 174
3) ñĎšĔßšÜćî êšĂÜĕöŠđÖĘïøĀĆÿñŠćîĔîìĊęìĊęđðŗéđñ÷ đߊî ïĆîìċÖøĀĆÿñŠćîïîÖøąéćþēîšêĔîìĊęìĞćÜćî ĀøČĂĔî
ĕôúŤ (File) ìĊęÿćöćøëĂŠćîĕéšēé÷ÜŠć÷ đðŨîêšî
4) ñĎšĔßšÜćî êšĂÜđðúĊę÷îĒðúÜøĀĆÿñŠćîĂ÷ŠćÜđðŨîðøąÝĞćìčÖ 3 đéČĂî
5) ñĎšĔßšÜćî êšĂÜđðúĊę÷îĒðúÜøĀĆÿñŠćî đöČęĂöĊÖćøĒÝšÜđêČĂîÝćÖøąïï ĀøČĂÿÜÿĆ÷üŠćøĀĆÿñŠćîúŠüÜøĎšēé÷
ïčÙÙúĂČęî
6) ñĎšĔßšÜćî êšĂÜđðúĊę÷îøĀĆÿñŠćîĔĀöŠđöČęĂöĊÖćøĔßšÜćîøąïïĔîÙøĆĚÜĒøÖ
7) ñĎšĔßšÜćî êšĂÜÖĞćĀîéøĀĆÿñŠćî êćöÙčèúĆÖþèąéĆÜêŠĂĕðîĊĚ
1. øĀĆÿñŠćîêšĂÜöĊÙüćö÷ćüĂ÷ŠćÜîšĂ÷ 8 ĀúĆÖ àċęÜðøąÖĂïéšü÷ êĆüĂĆÖþø êĆüđú× ĒúąĂĆÖ×øą
óĉđýþ ĀøČĂÿĆâúĆÖþèŤ đߊî (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?)
đðŨîêšî
2. ÖĞćĀîéøĀĆÿñŠćîìĊęÜŠć÷êŠĂÖćøÝéÝĞć ĒêŠêšĂÜĕöŠđðŨîÙĞćìĊęÿćöćøëÙćéđéćĕéšÜŠć÷ đߊî ÙĞćìĊęĂ÷ĎŠ
ĔîóÝîćîčÖøö “qwerty” “abcde” “12345” ßČęĂ-îćöÿÖčú üĆîđéČĂîðŘđÖĉé ìĊęĂ÷ĎŠ đïĂøŤ
ēìøýĆóìŤ ĀøČĂĀöć÷đú×ðøąÝĞćêĆüñĎšðäĉïĆêĉÜćî đðŨîêšî
3. ĕöŠÖĞćĀîéøĀĆÿñŠćîĔĀöŠìĊęđĀöČĂîøĀĆÿñŠćîđéĉö Ă÷ŠćÜîšĂ÷ 5 ÙøĆĚÜÖŠĂîĀîšć
8) ñĎšĔßšÜćî êšĂÜĕöŠĔßš ÜćîøĀĆÿñŠćîēé÷ÖøąïüîÖćøđךćĔßšÜćîēé÷ĂĆêēîöĆêĉ đߊî óĉö óŤøĀĆ ÿñŠćîĔî
úĆÖþèąĒïïöćēÙø ĀøČĂĒïï batch scripts ĀøČĂÖćøÖĞćĀîéÙŠć “Remember Password”
đðŨîêšî
9) ñĎšĔßšÜćî ÙüøÖĞćĀîéøĀĆÿñŠćîìĊęĔßšÿĞćĀøĆïøąïïÿćøÿîđìýõć÷Ĕî Öôñ. ĔĀšöĊÙüćöĒêÖêŠćÜÖĆïøąïï
õć÷îĂÖ Öôñ.
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷ ÖćøÙüïÙčöÖćøóĉÿĎÝîŤêĆüêîÿĞćĀøĆïñĎšĔßšìĊęĂ÷ĎŠõć÷îĂÖ Öôñ. Öćø
ÙüïÙčöÖćøóĉÿĎÝîŤêĆüêîĂčðÖøèŤïîđÙøČĂ׊ć÷ ÖćøðŜĂÜÖĆîóĂøŤê (Port) ìĊęĔßšÿĞćĀøĆïêøüÝÿĂïĒúąðøĆïĒêŠÜ
øąïï ÖćøĒïŠÜĒ÷ÖđÙøČĂ׊ć÷Ă÷ŠćÜđĀöćąÿö ÖćøÙüïÙčöÖćøđßČęĂöêŠĂìćÜđÙøČĂ׊ć÷ ĒúąÖćøÙüïÙčöÖćø
ÖĞćĀîéđÿšîìćÜïîđÙøČĂ׊ć÷
öćêøåćî
7.4.1 ÖćøĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷ (Use of Network Services)
1) ñĎšðäĉïĆêĉÜćî êšĂÜĒÝšÜÙüćöðøąÿÜÙŤĔîÖćø×ĂĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷êćö×ĆĚîêĂîÖćøðäĉïĆêĉĔîÖćø
×ĂĔßšïøĉÖćøđÙøČĂ׊ć÷ ēé÷ñĎšðäĉïĆêĉÜćîÿćöćøëĔßšïøĉÖćøđÙøČĂ׊ć÷ĕéšĀúĆÜÝćÖĕéšøĆïÖćøĂîčöĆêĉÝćÖ
ñĎšïĆÜÙĆïïĆâßć Ēúąòść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý
2) òś ć ÷ðäĉ ïĆ êĉ Ö ćøđìÙēîēú÷Ċ ÿ ćøÿîđìý êš Ă ÜÙüïÙč ö ÖćøĔßš Ü ćîøąïïđÙøČ Ă ×Š ć ÷ đóČę Ă ðŜ Ă ÜÖĆ î
ÖćøđךćëċÜøąïïđÙøČĂ׊ć÷ĒúąïøĉÖćø×ĂÜøąïïđÙøČĂ׊ć÷ēé÷ĕöŠĕéšøĆïĂîčâćê
3) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÙüïÙčöÖćøđßČęĂöêŠĂđÙøČĂ׊ć÷õć÷îĂÖ Ă÷ŠćÜđߊî ÖćøĔßš
ÜćîñŠćî Dial-up đóČęĂĔßšÜćîĂĉîđêĂøŤđîĘê àċęÜĂćÝđðŨîߊĂÜìćÜĔĀšïčÙÙúõć÷îĂÖđךćëċÜÿćøÿîđìý
ĀøČĂøąïïÿćøÿîđìý×ĂÜ Öôñ. ēé÷öĉĕéšøĆïĂîčâćê
4) ñĎšðäĉïĆêĉÜćî êšĂÜĕöŠĔßšøąïïđÙøČĂ׊ć÷ đóČęĂđðŨîߊĂÜìćÜĔîÖćøđÝćąøąïï (Hacking) ĀøČĂ
ÖćøÿĒÖîߊĂÜēĀüŠ×ĂÜøąïïēé÷öĉĕéšøĆïĂîčâćê
5) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÙüïÙčöÖćøđñ÷ĒóøŠĒñîñĆÜøąïïđÙøČĂ׊ć÷ (Network
Diagram) àċęÜøüöĕðëċÜēÙøÜÿøšćÜ IP Address ßČęĂøąïï ĒúąßČęĂĂčðÖøèŤÿćøÿîđìý ĒÖŠñĎšìĊęĕöŠĕéšøĆï
ĂîčâćêĀøČĂïčÙÙúõć÷îĂÖ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 108 / 174
7.4.2 ÖćøóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćîìĊęĂ÷ĎŠõć÷îĂÖĂÜÙŤÖø (User Authentication for External
Connections)
1) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøóĉÿĎÝîŤêĆüêîÖŠĂîìĊęÝąĂîčâćêĔĀšñĎšĔßšÜćîìĊęĂ÷ĎŠ
õć÷îĂÖ Öôñ. ÿćöćøëđךćĔßšÜćîđÙøČĂ׊ć÷Ēúąøąïïÿćøÿîđìý×ĂÜ Öôñ. ĕéš ēé÷óĉÝćøèćêćö
øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý (ĂšćÜĂĉÜ ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉî
éšćîÿćøÿîđìý (Standard of Asset Management)) đߊî ÖćøĔßšøĀĆÿñŠćî(Password) đú×
ðøąÝĞćêĆü (PIN) Tokens, Smart Card, Dial-Back đðŨîêšî
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøđךćëċÜøąïïĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷ ÖćøÙüïÙčöÖćøøąïčĒúąóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćîøąïï
ÿćøÿîđìý ÖćøÙüïÙčöøąïïïøĉĀćøÝĆéÖćøøĀĆÿñŠćî ÖćøÙüïÙčöÖćøĔßšÜćîēðøĒÖøöðøąđõì÷ĎìĉúĉêĊĚ (System
Utilities) ÖćøÙüïÙčöÖćøĀöéđüúć ÖćøĔßšÜćîøąïïÿćøÿîđìý ĒúąÙüïÙčöÖćøÝĞćÖĆéøą÷ąđüúćÖćøđßČęĂöêŠĂ
øąïïÿćøÿîđìý
öćêøåćî
7.5.1 ×ĆĚîêĂîðäĉïĆêĉĔîÖćøđךćëċÜøąïïĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷ (Secure Log-on Procedures)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöĔîÖćøđךćëċÜøąïïðäĉïĆêĉÖćøĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷
ēé÷×ĆĚîêĂîÖćøđךćÿĎŠøąïï êšĂÜöĊÖćøđðŗéđñ÷ךĂöĎúđÖĊę÷üÖĆïøąïïĔĀšîšĂ÷ìĊęÿčé đóČęĂÖćøĀúĊÖđúĊę÷Ü
ñĎšĔßšÜćîìĊęĕöŠĕéšøĆïĂîčâćê àċęÜ×ĆĚîêĂîÖćø Log-on øąïï êšĂÜóĉÝćøèćĔîđøČęĂÜêŠĂéĆÜîĊĚ
1. øąïïêšĂÜĕöŠĒÿéÜךĂöĎú×ĂÜøąïïĀøČĂĒĂóóúĉđÙßĆî (Application) ìĊęĔßšÜćîĂ÷ĎŠĔî
øąïï ĀćÖÖøąïüîÖćøđךćÿĎŠøąïïĕöŠÿĞćđøĘÝ
2. øąïïêšĂÜöĊךĂÙüćöĒÿéÜđêČĂîñĎšĔßšÜćîÖŠĂîÖćøđךćëċÜøąïïÿćøÿîđìýĔĀšìøćïüŠćÖćø
đךćëċÜøąïïéĆÜÖúŠćüêšĂÜĕéšøĆïĂîčöĆêĉđìŠćîĆĚî ìĆĚÜîĊĚđóČęĂðŜĂÜÖĆîÖćøđךćëċÜēé÷ĕöŠĕéšđÝêîć
ēé÷ךĂÙüćöđêČĂîêšĂÜéĆÜÖúŠćüÿćöćøëîĞćĕðĔßšĔîÖćøôŜĂÜøšĂÜìćÜÖãĀöć÷éĆÜêŠĂĕðîĊĚ
“øąïïîĊĚđðŨîøąïïìĊęđðŨîìøĆó÷Ťÿĉî×ĂÜ Öôñ. ÖćøĔßšÜćîêšĂÜĕéšøĆïÖćøĂîčöĆêĉÖŠĂîđìŠćîĆĚî
ÝċÜÝąÿćöćøëĔßšÜćîĕéš ñĎšìĊęĕöŠĕéšøĆïÿĉìíĉĒúąđךćöćĔßšøąïïÜćî ĀćÖöĊÖćøêøüÝóïĂćÝöĊ
ÖćøúÜēìþìćÜüĉîĆ÷ ĀøČĂéĞćđîĉîÖćøìćÜÖãĀöć÷êćöÙüćöđĀöćąÿö îĂÖÝćÖîĆĚî Öôñ.
öĊÿĉìíĉĔîÖćøêøüÝÿĂïóùêĉÖøøöÖćøĔßšÜćîĔîøąĀüŠćÜìĊęñĎšĔßšÜćîĔßšøąïïÜćîîĊ”Ě
“This system is an asset of EGAT and to be used by authorized Users by
continuing to use the system. The Users represent that he/she is an
authorized User of this system and constitutes consent to monitoring.”
3. ĀćÖÖøąïüîÖćøđךćÿĎŠøąïïĕöŠÿĞćđøĘÝ øąïïêšĂÜĕöŠĒÿéÜךĂöĎúìĊęÿćöćøëøąïčêĆüêî×ĂÜ
øąïï đߊî đÙøČĂ׊ć÷ìĊęĔßšÜćî ÿëćîìĊęêĆĚÜ×ĂÜøąïï ĀøČĂßČęĂđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷
đðŨîêšî
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-30 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšēðøĒÖøö÷ĎìĉúĉêĊĚ (Use of System Utilities
Procedure)
öćêøåćî
7.6.1ÖćøÝĞćÖĆéÖćøđךćëċÜÿćøÿîđìý (Information Access Restriction)
1) ñĎšĔßšÜćî êšĂÜĕéšøĆïÿĉìíĉÖćøđךćëċÜđìŠćìĊęÝĞćđðŨîêŠĂÖćøðäĉïĆêĉÜćî ēé÷ÖćøĔĀšÿĉìíĉêšĂÜóĉÝćøèćĔîđøČęĂÜ
éĆÜêŠĂĕðîĊĚ
1. ÙüćööĆęîÙÜðúĂéõĆ÷ìćÜêøøÖą (Logical Security) õć÷ĔîĒĂóóúĉđÙßĆî
(Application)
2. ÖćøÝĞćÖĆéĕöŠĔĀšĔßšêĆüđúČĂÖ (Options) ìĊęĕöŠĕéšøĆïĂîčâćê
3. ÖćøÝĞćÖĆéÖćøđךćëċÜ Command Line
4. ÖćøÝĞćÖĆéÖćøđךćëċÜךĂöĎúĒúąôŦÜÖŤßĆęîÖćøĔßšÜćî×ĂÜĒĂóóúĉđÙßĆî (Application) ìĊęĕöŠ
đÖĊę÷üךĂÜÖĆïĀîšćìĊę ÙüćöøĆïñĉéßĂï
5. ÖćøÝĞćÖĆéøąéĆïÿĉìíĉĔîÖćøđךćëċÜĕôúŤ đߊî ĂŠćîĂ÷ŠćÜđéĊ÷ü đðŨîêšî
6. ÖćøÙüïÙčöÖćøĒÝÖÝŠć÷ĀøČĂđךćëċÜךĂöĎúîĞćĂĂÖ ×ĂÜøąïïÿćøÿîđìý đߊî øć÷Üćî
đðŨîêšî
2) ĔîÖøèĊìĊęđðŨîĕðĕéš øąïïÜćîÙüøøĂÜøĆïÖćøÖĞćĀîéÿĉìíĉĔîÖćøđךćëċÜĒïïÖúčŠöĕéš
7.7 ÖćøÙüïÙčöĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćĒúąÖćøðäĉïĆêĉÜćîÝćÖõć÷îĂÖĂÜÙŤÖø
(Mobile Computing and Teleworking)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöðŜĂÜÖĆîĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćĒúąÖćøÙüïÙčöÖćøðäĉïĆêĉÜćîÝćÖõć÷îĂÖ Öôñ.
üĆêëčðøąÿÜÙŤ
đóČęĂïøĉĀćøÝĆéÖćøÝĆéĀć óĆçîć ĒúąïĞćøčÜøĆÖþćøąïïÿćøÿîđìý×ĂÜ Öôñ. ĒúąÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷
ĔĀšÖĆïÿćøÿîđìýĒúąøąïïÿćøÿîđìýĔĀšöĊðøąÿĉìíĉõćó ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÖćøÝĆéĀć ÖćøóĆçîć Ēúą
ÖćøïĞćøčÜøĆÖþćøąïïÿćøÿîđìý àċęÜðøąÖĂïéšü÷ 6 đøČęĂÜ éĆÜêŠĂĕðîĊĚ
1) ךĂÖĞćĀîééšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïøąïïÿćøÿîđìý (Security Requirements of
Information Systems)
2) ÖćøðøąöüúñúÿćøÿîđìýĔîĒĂóóúĉđÙßĆî (Correct Processing in Applications)
3) öćêøÖćøÖćøđךćøĀĆÿךĂöĎú (Cryptographic Controls)
4) ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ĔĀšÖĆïĕôúŤ×ĂÜøąïïìĊęĔĀšïøĉÖćø (Security of System Files)
5) Öćøÿøš ć ÜÙüćööĆę î ÙÜðúĂéõĆ ÷ ÿĞ ć ĀøĆ ï ÖøąïüîÖćøĔîÖćøóĆ ç îćøąïïĒúąÖøąïüîÖćø
ÿîĆïÿîčî (Security in Development and Support Processes)
6) ÖćøïøĉĀćøÝĆéÖćøߊĂÜēĀüŠĔîăćøŤéĒüøŤ (Hardware) ĒúąàĂôêŤĒüøŤ (Software) (Technical
Vulnerability Management)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 121 / 174
ïìïćìĀîšćìĊę
òść÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂêøüÝÿĂïđÜČęĂîĕ×ìćÜÖãĀöć÷ìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßš
ñúĉêõĆèæŤÖćøđךćøĀĆÿ
ĀĆüĀîšćÜćîÿćøÿîđìý
ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøøąïčÙčèÿöïĆêĉ (Specification) ìćÜéšćî
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÿĞćĀøĆïøąïïÿćøÿîđìýìĊęöĊÖćøÝĆéàČĚĂĀøČĂöĊÖćøóĆçîć×ċĚî
ÙüïÙčöéĎĒúÖćøóĆçîćøąïïĔĀšöĊÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýêćöÙčèÿöïĆêĉ (Specification)
ìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂïøĉĀćøÝĆéÖćøÖćøîĞćđךćךĂöĎú
ÝĆéĔĀšöĊÖćøìĞćïĆâßĊ (Checklist) đóČęĂĔßšĔîÖćøêøüÝÿĂïïĆîìċÖÖćøìéÿĂïĒúąñúÖćøìéÿĂïךĂöĎú
ìĊęĂ÷ĎŠĔîøąĀüŠćÜÖćøðøąöüúñú
ÝĆéĔĀšöĊÖćøêøüÝÿĂïךĂöĎúîĞćĂĂÖ
ïøĉĀćøÝĆéÖćøÖćøđךćøĀĆÿךĂöĎú ĒúąÖčâĒÝđךćøĀĆÿ
ðøąÿćîÜćîÖĆïòść÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý đóČęĂêøüÝÿĂïđÜČęĂîĕ×ìćÜÖãĀöć÷ìĊęđÖĊę÷üךĂÜÖĆï
ÖćøĔßšñúĉêõĆèæŤÖćøđךćøĀĆÿ
ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂÙüïÙčöךĂöĎúÝøĉÜìĊęëĎÖîĞćöćĔßšĔîÖćøìéÿĂï
ïøĉĀćøÝĆéÖćøøąïïðäĉïĆêĉÖćø àĂôêŤĒüøŤ (Software) àĂôêŤĒüøŤÿĞćđøĘÝøĎð (Software Packages)
àĂøŤÿēÙšé (Source Code) ĒúąđĂÖÿćøøąïï
ÝĆéĔĀšöĊĒñîÖćøëĂ÷ÖúĆï (Rollback Plan) ìĊęđĀöćąÿöÖŠĂîÝąéĞćđîĉîÖćøđðúĊę÷îĒðúÜĒÖšĕ×øąïï
ÿćøÿîđìý
ÖĞćĀîéĔĀšöĊÖćøðŜĂÜÖĆîÖćøøĆęüĕĀú×ĂÜÿćøÿîđìý
ÝĆéĔĀšöĊÖøąïüîÖćøÝĆéÖćøߊĂÜēĀüŠìćÜđìÙîĉÙ
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøøąïčÙčèÿöïĆêĉ (Specification) ìćÜéšćîÙüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÿĞćĀøĆïøąïïÿćøÿîđìýìĊęöĊÖćøÝĆéàČĚĂĀøČĂöĊÖćøóĆçîć×ċĚî
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂïøĉĀćøÝĆéÖćøÖćøîĞćđךćךĂöĎú
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂÙüïÙčöךĂöĎúÝøĉÜìĊęëĎÖîĞćöćĔßšĔîÖćøìéÿĂï
ñĎšéĎĒúÿćøÿîđìý
ÙüïÙčöÖćøđÖĘïÖčâĒÝĀúĆÖ (Master Keys) ÖčâĒÝ×ĂÜñĎšéĎĒúøąïï (Administrators’ Keys) Ēúą
ÖčâĒÝÞčÖđÞĉî (Emergency Keys)
ñĎšéĎĒúøąïïÿćøÿîđìý
ÙüïÙčöÖćøđÖĘïÖčâĒÝĀúĆÖ (Master Keys) ÖčâĒÝ×ĂÜñĎšéĎĒúøąïï (Administrators’ Keys) Ēúą
ÖčâĒÝÞčÖđÞĉî (Emergency Keys)
ðøąÿćîÜćîÖĆ ï ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĔîÖćøÿĂïìćîàĂôêŤ Ē üøŤ ð äĉ ïĆ êĉ Ö ćø (Operational
Software)
ÝĆéđÖĘïïĆîìċÖđĀêčÖćøèŤđóČęĂĔßšĔîÖćøêøüÝÿĂï (Audit Log) đöČęĂöĊÖćøđðúĊę÷îĒðúÜ Program
Libraries
ñĎšĔßšÜćî
ĔßšÖčâĒÝđךćøĀĆÿĂ÷ŠćÜðúĂéõĆ÷
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøüĉđÙøćąĀŤĒúąÖćøøąïčךĂÖĞćĀîéìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïøąïïÿćøÿîđìýĔĀöŠ ĀøČĂ
ðøĆïðøčÜÝćÖøąïïÿćøÿîđìýđéĉöìĊęöĊĂ÷ĎŠĒúšü
öćêøåćî
8.1.1 ÖćøüĉđÙøćąĀŤĒúąÖćøøąïčÙčèÿöïĆêĉìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Security Requirements
Analysis and Specification)
1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøøąïčÙčèÿöïĆêĉ (Specification)
ìćÜéš ćîÙüćööĆęîÙÜðúĂéõĆ÷éš ćîÿćøÿîđìýÿĞćĀøĆ ïøąïïÿćøÿîđìýìĊę öĊÖćøÝĆéàČĚ ĂĀøČĂöĊÖćø
óĆçîć×ċĚî ēé÷ךĂÖĞćĀîééĆÜÖúŠćüêšĂÜÙøĂïÙúčöêĆĚÜĒêŠ×ĆĚîêĂîÖćøĂĂÖĒïïÝîëċÜ×ĆĚîêĂîÖćøîĞć
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøêøüÝÿĂïךĂöĎúîĞćđךć ÖćøêøüÝÿĂïךĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜÖćøðøąöüúñú ÖćøêøüÝÿĂïÙüćö
ëĎÖêšĂÜ×ĂÜךĂÙüćö ĒúąÖćøêøüÝÿĂïךĂöĎúîĞćĂĂÖ
öćêøåćî
8.2.1 ÖćøêøüÝÿĂïךĂöĎúîĞćđךć (Input Data Validation)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 125 / 174
1) ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĒúąĀĆ ü Āîš ć Üćîÿćøÿîđìýêš Ă ÜÙüïÙč ö ĔĀš ø ąïïìĊę óĆ ç îćöĊ
ÖćøêøüÝÿĂïÖćøîĞćđךćךĂöĎú ēé÷óĉÝćøèćêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý (ĂšćÜĂĉÜ
ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of Asset
Management)) àċęÜêšĂÜóĉÝćøèćĔîđøČęĂÜêŠĂĕðîĊĚ
ÖćøêøüÝÿĂïÖćøîĞćđךćךĂöĎú (Input Data Validation)
x Presence Check : ÖćøêøüÝÿĂïüŠćךĂöĎúĀć÷ĕðĀøČĂĕöŠ
x Absence Check : ÖćøêøüÝÿĂïüŠćôŗúéŤ (Field) ĀøČĂđøÙĂøŤé (Record) ëĎÖđüšîüŠćÜ
êćöìĊęÖĞćĀîéĀøČĂĕöŠ
x Sequence Check : ÖćøêøüÝÿĂïÙüćöëĎÖêšĂÜ×ĂÜúĞćéĆïךĂöĎú
x Range Check : ÖćøêøüÝÿĂïךĂöĎúüŠćĂ÷ĎŠõć÷ĔîߊüÜÙŠćìĊęÖĞćĀîéĀøČĂĕöŠ
x Limit Check : ÖćøêøüÝÿĂïÖćøÝĞćÖĆéøąéĆïךĂöĎúìĊęÖĞćĀîé ēé÷đðøĊ÷ïđìĊ÷ïÖĆï
øąéĆïÿĎÜÿčéĒúąêęĞćÿčéìĊęÖĞćĀîé
x Reasonableness Check : ÖćøêøüÝÿĂïÙüćöÿöđĀêčÿöñú×ĂÜךĂöĎú đóČęĂÙšîĀć
ךĂöĎúìĊęöĊÙüćöñĉéðÖêĉ
x Consistency Check : ÖćøêøüÝÿĂïÙüćöÿĂéÙúšĂÜ×ĂÜךĂöĎúÿĂÜךĂöĎúĀøČĂ
öćÖÖüŠćîĆĚî
x Embedded-Blank Check : ÖćøêøüÝÿĂïüŠćöĊߊĂÜüŠćÜĂ÷ĎŠõć÷ĔîôŗúéŤ (Field)
ĀøČĂĕöŠ
x Date Check : ÖćøêøüÝÿĂïÙüćöÿöđĀêčÿöñú (Validity) êćöüĆîìĊęðäĉìĉî
ÖćøĂĂÖĒïïôŗúéŤ (Field)
x ÖćøĂĂÖĒïïôŗúéŤ (Field) êšĂÜÿĂéÙúšĂÜÖĆïüĆêëčðøąÿÜÙŤÖćøĔßšÜćî đߊî êĆüđú×
(Numeric Field) üĆîìĊę (Date Field) ĒúąÿÖčúđÜĉî (Currency Field) đðŨîêšî
x ÖćøÝĞćÖĆéÝĞćîüî×ĂÜêĆüĂĆÖþøĀøČĂêĆüđú×
x ÖćøÝĞćÖĆéÖćøĔÿŠêĆüĂĆÖ×øąóĉđýþ ĀøČĂÿĆâúĆÖþèŤ đßŠî “ , ‘ , *, =, < , > , % , $ , + ,
? đðŨîêšî
2) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéÖøąïüîÖćøĒÖšĕ×ךĂñĉéóúćéìĊęóï×ĂÜÖćøîĞćđךćךĂöĎú
3) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéÖćøïĆîìċÖđĀêčÖćøèŤ (Log) ×ĂÜÖĉÝÖøøöìĊęđÖĊę÷üךĂÜÖĆï
ÖøąïüîÖćøîĞćđךćךĂöĎú óøšĂöìĆĚÜêšĂÜÖĞćĀîéĔĀšöĊÖćøÿĂïìćîïĆîìċÖđĀêčÖćøèŤ (Log) Ă÷ŠćÜ
ÿöęĞćđÿöĂ đóČęĂðŜĂÜÖĆîÖćøîĞćđךćךĂöĎúìĊęñĉéóúćéĒúąðŜĂÜÖĆîÖćøîĞćđךćךĂöĎúìĊęĕöŠðøąÿÜÙŤéĊ đߊî
Buffer Overflow ĀøČĂ Code Injection đðŨîêšî
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøĔßšÜćîÖćøđךćøĀĆÿךĂöĎú ĒúąÖćøïøĉĀćøÝĆéÖćøÖčâĒÝđךćøĀĆÿךĂöĎú
öćêøåćî
8.3.1 îē÷ïć÷ÖćøĔßšÜćîÖćøđךćøĀĆÿךĂöĎú (Policy on The Use of Cryptographic Controls)
Ùüćö÷ćü×ĆîĚ êęĞć×ĂÜÖčâĒÝ
ðøąđõì×ĂÜÖčâĒÝÿĞćĀøĆïĒðúøĀĆÿ ĂĆúÖĂøĉìċö
đךćøĀĆÿ (Minimum Key
(Key Cipher) (Algorithm)
Length )
Öč â ĒÝĒïïÿööćêø (Symmetric AES 256 bits
Key) Triple DES 168 bits
Triple DES 112 bits
DES* 56 bits
Öč â ĒÝĒïïĂÿööćêø (Asymmetric DSA 1024 bits
Key) RSA 1024 bits
ECDSA 192 bits
Āöć÷đĀêč: DES ĂîčâćêĔßšĕéšÿĞćĀøĆï Legacy System đìŠćîĆĚî
2) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚĔîÖćøđúČĂÖĔßšñúĉêõĆèæŤÖćøđךćøĀĆÿ
1. éšćîÙüćööĆęîÙÜðúĂéõĆ÷
x øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ìĊęêšĂÜÖćø
x ôŦ Ü ÖŤ ßĆ î Öćøđך ć øĀĆ ÿ ìĊę ÝĞ ć đðŨ î đߊ î Öćøđך ć øĀĆ ÿ đóČę Ă ðŜ Ă ÜÖĆ î ÙüćöëĎ Ö êš Ă Ü
Ùøïëšüî ÖćøøąïčêĆüêîĕéš (Authentication) Ēúą ÖćøðŜĂÜÖĆîÖćøðäĉđÿí
ÙüćöøĆïñĉé (Non-Repudiation) đðŨîêšî
x ēĂÖćÿĔîÖćøïčÖøčÖ đߊî ߊüÜđüúćìĊęđðŨîĕðĕéš ìøĆó÷ćÖøìćÜéšćîÖćøđÜĉî
ĀøČĂìĆÖþąìćÜéšćîđìÙîĉÙ đðŨîêšî
2. éšćîđìÙîĉÙ
x ÿõćóĒüéúš Ă ö×ĂÜøąïïÿćøÿîđìýđߊ î ēÙøÜÿøš ć ÜóČĚ î åćî×ĂÜøąïï
ēÙøÜÿøšćÜĂÜÙŤÖø ñĎšðäĉïĆêĉÜćî ÿĉęÜĂĞćîü÷ÙüćöÿąéüÖìćÜđìÙîĉÙĂČęîė đðŨî
êšî
x ÖćøðŜĂÜÖĆîìćÜÿõćóĒüéúšĂö
x ×îćé×ĂÜךĂöĎú
x ðøąÿĉìíĉõćóÖćøìĞćÜćî
x ÙüćöÿĂéÙúšĂÜÖĆïöćêøåćîìĊęöĊĂ÷ĎŠ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 129 / 174
x ÙüćöîŠćđßČęĂëČĂ ĒúąÖćøøĆïøĂÜñúĉêõĆèæŤ
x ÙüćöÿćöćøëĔîÖćøêĉéêŠĂÖĆïñúĉêõĆèæŤĂČęî
x ÙüćöóøšĂöĔßšÜćî
x öćêøåćîÖćøđךćøĀĆÿìĊęøĂÜøĆï
3. éšćîñĎšðäĉïĆêĉÜćîĒúąĂÜÙŤÖø
x ÙüćöÙčšîđÙ÷×ĂÜñĎšĔßšÜćî
x ÙüćöÿöđĀêčÿöñúĔîÖćøĔßš đߊî đðŨîõćøąĀøČĂđóĉęöõćøąĒÖŠñĎšĔßš đðŨîêšî
x ÙüćöêšĂÜÖćøéšćîÖćøòřÖĂïøö
x ÙüćöêšĂÜÖćøéšćîïčÙúćÖø đߊî êšĂÜđóĉęöïčÙúćÖø
4. éšćîÖćøđÜĉî
x ÙŠćĔߚ݊ć÷ĔîÖćøúÜìčîìĊęđÖĉé×ċĚîđóĊ÷ÜÙøĆĚÜđéĊ÷ü
x ÙŠćĔߚ݊ć÷ĔîÖćøĔßšÜćî øüöëċÜÙŠćĔߚ݊ć÷ìćÜéšćîïčÙúćÖø
x ÙŠćíøøöđîĊ÷öđÖĊę÷üÖĆïúĉ×ÿĉìíĉĝ
x ðøąöćèÖćøÙŠćĔߚ݊ć÷ĔîÖćøéĎĒúĒúąÖćøïĞćøčÜøĆÖþćøąïï
3) êšĂÜöĊÖćøðøąđöĉîÙüćöđÿĊę÷ÜđóČęĂÖĞćĀîéøąéĆïĔîÖćøðŜĂÜÖĆî ēé÷øąéĆïĔîÖćøðÖðŜĂÜÿćøÿîđìý
êšĂÜđĀöćąÿöÖĆïðøąđõìĒúąÙčèõćó×ĂÜ ĂĆúÖĂøĉìċö (Algorithm) ĒúąÙüćö÷ćü×ĆĚîêęĞć×ĂÜ
ÖčâĒÝđךćøĀĆÿ
4) ÙüøĀúĊÖđúĊę÷ÜÖćøĔßš ĂĆúÖĂøĉìċö (Algorithm) ìĊęđðŨîĒïïìĊęĔßšđÞóćąêćöñĎšñúĉê (Proprietor) Ĕî
ÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćîêšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖĀĆüĀîšćÜćîÿćøÿîđìýÖŠĂî ìĆĚÜîĊĚĀĆüĀîšć
Üćîÿćøÿîđìýêš Ă Üðøąđöĉ î ÙüćöđÿĊę ÷ ÜÝćÖÖćøĔßš ē é÷óĉ Ý ćøèćëċ Ü üĆ ê ëč ð øąÿÜÙŤ Ĕ îÖćøĔßš
ÙüćöîŠćđßČęĂëČĂ×ĂÜñĎšñúĉê ĒúąÖćøĔïøĆïøĂÜìćÜéšćîĂČęîė
5) ĀĆüĀîšćÜćîÿćøÿîđìýêš ĂÜðøąÿćîÜćîÖĆïòś ć÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý đóČęĂêøüÝÿĂï
đÜČęĂîĕ×ìćÜÖãĀöć÷ìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßšñúĉêõĆèæŤÖćøđךćøĀĆÿ ÖŠĂîìĊęÝąîĞćÖćøđךćøĀĆÿéĆÜÖúŠćüĕð
ĔßšÜćî
6) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéìĞćïĆâßĊÖćøĔßšÜćîÖćøđךćøĀĆÿ đóČęĂìĊęĔßšĔîÖćøêĉéêćöÖćøĔßšÜćî
ÖćøđךćøĀĆÿĔîøąïïÿćøÿîđìý×ĂÜ Öôñ.
7) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÿĂïìćîñúĉêõĆèæŤÖćøđךćøĀĆÿĔîïĆâßĊÖćøĔßšÖćøđךćøĀĆÿ đߊî đóČęĂ
ÿĂïìćîøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜĂĆúÖĂøĉìċö (Algorithm) ĒúąÙüćö÷ćü×ĆĚîêęĞć×ĂÜÖčâĒÝ
đךćøĀĆÿ (Key Length) ìĊęĔßšÜćî đðŨîêšî đóČęĂ÷ĆÜÙÜĕüšàċęÜøąéĆïĔîÖćøðŜĂÜÖĆîìĊęêšĂÜÖćø
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøêĉéêĆĚÜàĂôêŤĒüøŤ (Software) úÜĕð÷ĆÜøąïïÿćøÿîđìýìĊęĔĀšïøĉÖćø ÖćøðŜĂÜÖĆîךĂöĎúìĊęĔßš
ÿĞćĀøĆïÖćøìéÿĂï ĒúąÖćøÙüïÙčöÖćøđךćëċÜ àĂøŤÿēÙšé (Source Code) ÿĞćĀøĆïøąïïÿćøÿîđìý
öćêøåćî
8.4.1 ÖćøÙüïÙčöÖćøêĉéêĆĚÜàĂôêŤĒüøŤúÜĕð÷ĆÜøąïïìĊęĔĀšïøĉÖćø (Control of Operational Software)
1) ÖćøðøĆïðøčÜĒÖšĕ×àĂôêŤĒüøŤðäĉïĆêĉÖćø (Operational Software) ēðøĒÖøöøąïïÜćî Ēúą
Program Libraries êšĂÜéĞćđîĉîÖćøēé÷ñĎšéĎĒúøąïïìĊęĕéšøĆïĂîčâćê
2) ÖćøðøĆïðøčÜĒÖšĕ×àĂôêŤĒüøŤðäĉïĆêĉÖćø (Operational Software) ēðøĒÖøöøąïïÜćî Ēúą
Program Libraries êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊę
đÖĊę÷üךĂÜ
3) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜïøĉĀćøÝĆéÖćøÖćøÖĞćĀîéÙŠć (Configuration Management) đóČęĂĔĀš
öĆęîĔÝüŠćÖćø÷šć÷ àĂøŤÿēÙšé (Source Code) ÝćÖøąïïÿĞćĀøĆïóĆçîćĕð÷ĆÜøąïïÿĞćĀøĆïìéÿĂï
ĒúąøąïïìĊęĔĀšïøĉÖćøÝøĉÜ öĊÖćøÙüïÙčöĒúąÖĞćĀîéÿĉìíĉĂ÷ŠćÜđĀöćąÿö
4) ñĎš éĎ Ē úøąïïÿćøÿîđìýêš Ă ÜðøąÿćîÜćîÖĆ ï ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĔîÖćøÿĂïìćîøąïï
ÿćøÿîđìý đóČęĂĔĀšöĆęîĔÝüŠćøąïïìĊęĔßšÜćîÝøĉÜöĊÖćøÝĆéđÖĘïđÞóćą Executable Codes đìŠćîĆĚî
5) ñĎšéĎĒúøąïïÿćøÿîđìýêšĂÜÝĆéđÖĘïïĆîìċÖđĀêčÖćøèŤđóČęĂĔßšĔîÖćøêøüÝÿĂï (Audit Log) đöČęĂöĊÖćø
đðúĊę÷îĒðúÜ Program Libraries đߊî øć÷úąđĂĊ÷é×ĂÜÖćøđðúĊę÷îĒðúÜ ñĎšđðúĊę÷îĒðúÜ Ēúąđüúć
ìĊęđðúĊę÷îĒðúÜ đðŨîêšî
6) ñĎšéĎĒúøąïïÿćøÿîđìý êšĂÜìĞćÖćøÿĞćøĂÜĒúąÝĆéđÖĘïàĂôêŤĒüøŤ (Software) ÖŠĂîìĊęÝąöĊ
ÖćøđðúĊę÷îĒðúÜĒÖšĕ× đóČęĂĔĀšöĆęîĔÝüŠćøąïïÿćöćøëÖĎšÙČîĕéšĔîÖøèĊìĊęøąïïúŠöĀúĆÜÝćÖ Öćø
đðúĊę÷îĒðúÜĒÖšĕ×
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD- 10 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÿćøÿîđìý (Change
Management Procedure)
2) PD- 32 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøēðøĒÖøöàĂøŤÿēÙšé (Program Source Code
Management Procedure)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøđðúĊę÷îĒðúÜĀøČĂĒÖšĕ×øąïï ÖćøêøüÝÿĂïÖćøìĞćÜćî×ĂÜĒĂóóúĉđÙßĆî (Application)
õć÷ĀúĆÜÝćÖìĊęđðúĊę÷îĒðúÜøąïïðäĉïĆêĉÖćø ÖćøÝĞćÖĆéÖćøđðúĊę÷îĒðúÜĒÖšĕ×êŠĂàĂôêŤĒüøŤ (Software) ìĊęöć
ÝćÖñĎšñúĉê ÖćøðŜĂÜÖĆîÖćøøĆęüĕĀú×ĂÜÿćøÿîđìý ĒúąÖćøÙüïÙčöÖćøóĆçîćàĂôêŤĒüøŤ (Software) ēé÷
ĀîŠü÷Üćîõć÷îĂÖ
öćêøåćî
8.5.1 ×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÙüïÙčöÖćøđðúĊę÷îĒðúÜĀøČĂĒÖšĕ×øąïï (Change Control Procedures)
1) ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìý đðŨ îñĎš öĊ ĂĞ ć îćÝĔîÖćøĂîč öĆ êĉ Ö ćøđðúĊę ÷ îĒðúÜøąïïÿćøÿîđìýÖŠ Ă î
ÖćøéĞćđîĉîÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ× ēé÷ÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×êšĂÜöĊÖćøïĆîìċÖøć÷úąđĂĊ÷é
ÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×éĆÜêŠĂĕðîĊĚ
1. àĂôêŤĒüøŤ (Software) ÿćøÿîđìý åćîךĂöĎú ĒúąăćøŤéĒüøŤ (Hardware) ìĊę
êšĂÜÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
2. đĀêčñú×ĂÜÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
3. ßČęĂñĎšêĉéêĆĚÜ (Implementer) ĒúąßČęĂñĎšĂîčöĆêĉ
4. üĆîĒúąđüúćìĊęÝąìĞćÖćøđðúĊę÷îĒðúÜ
5. øć÷úąđĂĊ÷é×ĂÜÖćøđðúĊę÷îĒðúÜ
2) ĀĆü Āîšć Üćîÿćøÿîđìý êš Ă ÜÖĞ ćĀîéĔĀš öĊÖ ćøðøąđöĉ î ÙüćöđÿĊę ÷Ü Öćøüĉ đ ÙøćąĀŤñ úÖøąìï×ĂÜ
ÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ× ĒúąÖĞćĀîéÙüćööĆęîÙÜðúĂéõĆ÷ìĊęÝĞćđðŨîÖŠĂîÖćøđðúĊę÷îĒðúÜĒúą
ĒÖšĕ×
3) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊÖćøðøĆïðøčÜđĂÖÿćøøąïïìĊęđðúĊę÷îĒðúÜĒúąĒÖšĕ× đߊî
đĂÖÿćøÖćøĂĂÖĒïï ĀøČĂÙĎŠöČĂÖćøðäĉïĆêĉÜćî ĒúąÙĎŠöČĂÖćøĔßšÜćî×ĂÜñĎšĔßš đðŨîêšî
4) ĀĆ üĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöđóČę Ă ĔĀšöĆęî ĔÝüŠ ćđĂÖÿćøøąïïëĎ ÖÝĆéđÖĘïĔîìĊęðúĂéõĆ÷ êćö
ÙüćöđĀöćąÿö
5) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöĔĀšñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜéĞćđîĉîÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ× ēé÷
ĔĀšöĊñúÖøąìïîšĂ÷ìĊęÿčéêŠĂÖćøéĞćđîĉîíčøÖĉÝ×ĂÜ Öôñ. ìĆĚÜîĊĚêšĂÜĕöŠìĞćĔĀšÖøąïüîÖćøìćÜíčøÖĉÝ
Ā÷čéßąÜĆÖ
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD- 10 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÿćøÿîđìý (Change
Management Procedure)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøïøĉĀćøÝĆéÖćøߊĂÜēĀüŠĔîăćøŤéĒüøŤ (Hardware) ĒúąàĂôêŤĒüøŤ (Software)
öćêøåćî
8.6.1 öćêøÖćøÙüïÙčöߊĂÜēĀüŠìćÜđìÙîĉÙ (Control of Technical Vulnerabilities)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖøąïüîÖćøÝĆéÖćøߊĂÜēĀüŠìćÜđìÙîĉÙìĊęđĀöćąÿöĒúąìĆîìŠüÜìĊ
ēé÷êšĂÜóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖĞćĀîéĔĀšöĊñĎšøĆïñĉéßĂïĔîÖćøÝĆéÖćøߊĂÜēĀüŠìćÜđìÙîĉÙ øüöëċÜÖćøđòŜćøąüĆÜĒúą
ÙüïÙč ö éĎ Ē úߊ Ă ÜēĀüŠ Öćøðøąđöĉ î ÙüćöđÿĊę ÷ Ü×ĂÜߊ Ă ÜēĀüŠ ÖćøĒóìߍ (Patch)
ÖćøêĉéêćöìøĆó÷Ťÿĉî ĒúąÖćøðøąÿćîÜćîÖĆïĀîŠü÷ÜćîìĊęđÖĊę÷üךĂÜ
2. ĒĀúŠ Üך ĂöĎ ú ìĊęĔ ßšĔ îÖćøøąïč êĉ éêćöĒúąêøąĀîĆÖ ëċÜߊĂÜēĀüŠ ì ćÜđìÙîĉÙ ÿĞćĀøĆ ï
àĂôêŤĒüøŤ (Software) ĒúąđìÙēîēú÷ĊĂČęîė êšĂÜĕéšøĆïÖćøðøĆïðøčÜĔĀšìĆîÿöĆ÷Ēúą
ÿĂéÙúš Ă ÜÖĆ ï ÖćøđðúĊę ÷ îĒðúÜ×ĂÜìąđïĊ ÷ îìøĆ ó ÷Ť ÿĉ î ÿćøÿîđìý ĀøČ Ă đöČę Ă öĊ
ÖćøÙšîóïߊĂÜìćÜìĊęđðŨîðøąē÷ßîŤđóĉęöđêĉö
3. êšĂÜöĊÖćøÖĞćĀîéøą÷ąđüúćêĂïÿîĂÜĀøČĂøĆïöČĂ ÖćøĒÝšÜđêČĂîߊĂÜēĀüŠìćÜđìÙîĉÙìĊę
ĂćÝđÖĉé×ċĚî
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD- 10 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÿćøÿîđìý (Change
Management Procedure)
ST-09: öćêøåćîÖćøïøĉĀćøÝĆéÖćøÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý (Standard of Information Security Incident Management)
ïìïćìĀîšćìĊę
ñĎšïøĉĀćøđìÙēîēú÷ĊÿćøÿîđìýøąéĆïÿĎÜ
øĆïøć÷ÜćîÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĔîđïČĚĂÜêšîÝćÖÙèąìĞćÜćî
EGAT CERT ĔîÖøèĊđøŠÜéŠüîĀøČĂđĀêčÖćøèŤĄ ìĊęöĊÙüćöĂŠĂîĕĀüêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý
ñĎšĒÝšÜđĀêčÖćøèŤ
øąïčךĂöĎúìĊęÿĞćÙĆâÿĞćĀøĆïđĀêčÖćøèŤĄĔĀšöćÖìĊęÿčé è ߊüÜđüúćìĊęđÖĉéđĀêčÖćøèŤ
ñĎšðäĉïĆêĉÜćî
øć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĔîìĆîìĊìĊęóïđĀêčÖćøèŤìĊęđÖĊę÷üÖĆï
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĀøČĂÿÜÿĆ÷üŠćĂćÝđðŨîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý
éĞćđîĉîÖćøêĉéêćöđĀêčÖćøèŤĄ Ă÷ŠćÜêŠĂđîČęĂÜÝîÖøąìĆęÜđĀêčÖćøèŤĄ ĕéšéĞćđîĉîÖćøĒÖšĕ×đÿøĘÝÿĉĚî
øć÷ÜćîÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĆîìĊ êćöߊĂÜìćÜìĊę EGAT CERT
ÖĞćĀîé
ĀîŠü÷Üćîõć÷îĂÖ
øć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĔîìĆîìĊìĊęóïđĀêčÖćøèŤìĊęđÖĊę÷üÖĆï
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĀøČĂÿÜÿĆ÷üŠćĂćÝđðŨîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý
øć÷ÜćîÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĆîìĊ êćöߊĂÜìćÜìĊę EGAT CERT
ÖĞćĀîé
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀš öĊ Ö ćøøć÷ÜćîđĀêč Ö ćøèŤ Ē úąÝč é ĂŠ Ă îìĊę đ ÖĊę ÷ üÖĆ ï ÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îÿćøÿîđìýñŠ ć îߊ Ă ÜìćÜ
Öćøøć÷ÜćîìĊęÖĞćĀîéĕüš đóČęĂĔĀšöĆęîĔÝüŠćđĀêčÖćøèŤĒúąÝčéĂŠĂîéĆÜÖúŠćüĕéšøĆïÖćøêøüÝóïĒúąéĞćđîĉîÖćøĒÖšĕ×
Ă÷ŠćÜëĎÖêšĂÜõć÷ĔîđüúćìĊęđĀöćąÿö
öćêøåćî
9.1.1 Öćøøć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Reporting Information
Security Events)
1) Öôñ. êšĂÜÝĆéêĆĚÜÙèąìĞćÜćî EGAT Computer Emergency Response Team (EGAT CERT)
đóČęĂĔßšđðŨîߊĂÜìćÜĔĀšñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖøć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
2) ÙèąìĞćÜćî EGAT CERT êšĂÜđñ÷ĒóøŠĒúąðøąßćÿĆöóĆîíŤĔĀšñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖ
øĆïìøćï×ĆĚîêĂîÖćøðäĉïĆêĉÜćîÿĞćĀøĆïÖćøøć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý
3) ÙèąìĞćÜćî EGAT CERT ÖĞćĀîéĒîüìćÜĔîÖćøøĆïöČĂÖĆïđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý đóČęĂÿćöćøëêĂïÿîĂÜÖĆïđĀêčÖćøèŤĂ÷ŠćÜđĀöćąÿöĒúąìĆîìŠüÜìĊ
4) ñĎš ð äĉ ïĆ êĉ Ü ćîĒúąĀîŠ ü ÷Üćîõć÷îĂÖ öĊ Ā îš ć ìĊę Ĕ îÖćøøć÷ÜćîđĀêč Ö ćøèŤ ìĊę đ ÖĊę ÷ üÖĆ ï ÙüćööĆę î ÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìýĔîìĆîìĊìĊęóïđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĀøČĂ
ÿÜÿĆ÷üŠćĂćÝđðŨîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ìĆĚÜîĊĚ đĀêčÖćøèŤìĊęđÖĊę÷üÖĆï
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýêšĂÜÙøĂïÙúčöđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂïøĉÖćøéšćîÿćøÿîđìý ĕöŠÿćöćøëĔĀšïøĉÖćøĕéš
2. øąïïìĞćÜćîñĉéóúćé (Malfunctions)
3. öĊÖćøđךćëċÜךĂöĎúÿĞćÙĆâĒúąîĞćĕðĔßšĔîÜćîēé÷ñĉéüĆêëčðøąÿÜÙŤĀøČĂēé÷ĕöŠĕéšøĆïĂîčâćê
4. öĊÖćøđðúĊę÷îĒðúÜĒÖšĕ× ÿćøÿîđìý ēðøĒÖøö ĀøČĂ ĂčðÖøèŤðøąöüúñúÿćøÿîđìý ēé÷
ĕöŠĕéšøĆïĂîčâćê
5. ךĂöĎúìĊęÿĞćÙĆâ×ĂÜ Öôñ. ÿĎâĀć÷ đߊî ךĂöĎúÖćøđÜĉî ךĂöĎúđÜĉîđéČĂî đðŨîêšî
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-33 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøđöČęĂđÖĉéđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý (Information Security Incident Management Procedure)
9.2 ÖćøïøĉĀćøÝĆéÖćøĒúąÖćøðøĆïðøčÜĒÖšĕ×êŠĂÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý (Management of Information Security Incidents and
Improvements)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖøąïüîÖćø üĉíĊÖćøìĊę ÿĂéÙúšĂÜĒúąöĊðøąÿĉìíĉõćóĔîÖćøÝĆéÖćøÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ ÷éšćîÿćøÿîđìý×ĂÜ Öôñ. ÖćøđøĊ ÷îøĎšÝćÖÿëćîÖćøèŤìĊę đÖĊę÷üך ĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý ĒúąÖćøÙüïÙčöÖćøđÖĘïøüïøüöĀúĆÖåćî
üĆêëčðøąÿÜÙŤ
đóČęĂïøĉĀćøĒúąÝĆéÖćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜĂÜÙŤÖø ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÖćøïøĉĀćøÙüćö
êŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜĂÜÙŤÖø đøČęĂÜĀĆüךĂóČĚîåćîÿĞćĀøĆïÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜ
ĂÜÙŤÖø (Information Security Aspects of Business Continuity Management)
ïìïćìĀîšćìĊę
ÙèąÖøøöÖćøïøĉĀćøÝĆéÖćøéšćî÷čìíýćÿêøŤ ÖćøïøĉĀćøÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙčöõć÷Ĕî Öôñ. (Ù÷ÿ.)/
ÙèąĂîčÖøøöÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî (Business Continuity Steering
Committee)
ĒêŠÜêĆĚÜÙèąìĞćÜćîõć÷ĔîÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
ĔĀšÙĞćðøċÖþćÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
óĉÝćøèćÖøĂïÿĞćĀøĆïĒñîđóČęĂÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP Framework)
óĉÝćøèćĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP)
ÝĆéÿøøìøĆó÷ćÖø ïčÙúćÖøĒúąÜïðøąöćèìĊęđóĊ÷ÜóĂ
ÿć÷ÜćîêŠćÜė
ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøøąïčÖøąïüîÖćøìćÜíčøÖĉÝìĊęöĊÙüćöÿĞćÙĆâ ĒúąøąïčñúÖøąïììĊęĂćÝ
đðŨîĕðĕéšđöČęĂøąïïĀ÷čéßąÜĆÖ
ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøðøąđöĉîÙüćöđÿĊę÷ÜìĊęöĊñúêŠĂÙüćöêŠĂđîČęĂÜÖćøéĞćđîĉîÜćî×ĂÜ Öôñ.
ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøÖĞćĀîéñúÖøąìï×ĂÜõĆ÷ÙčÖÙćöêŠćÜėìĊęîŠćÝąđÖĉé×ċĚî øüöìĆĚÜüĉđÙøćąĀŤ
ëċÜ ÙüćöđÿĊ÷Āć÷ĒúąúĞćéĆïÙüćöÿĞćÙĆâĔîÖćøÖĎšÙČî øą÷ąđüúćĔîÖćøÖĎšÙČî ĒúąìøĆó÷ćÖøóČĚîåćîìĊęĔßš
ĔîÖćøÖĎšÙČî
óĉÝćøèćüŠćĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) êšĂÜÙøĂïÙúčöĒĂóóúĉđÙßĆîìĊęöĊÙüćöÿĞćÙĆâ
ìĆĚÜĀöé
ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøÝĆéìĞć ìéÿĂï ĒúąðøĆïðøčÜĒÖšĕ× ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(BCP)
ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøÖĞćĀîéÖćøÙüïÙčöĒñîÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
ìĞćÿĞćđîćĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ĒúąđĂÖÿćøĂČęîìĊęÝĞćđðŨîêšĂÜĔßšĔîÖćøÿîĆïÿîčîĒñîÜćî
ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøÖĞćĀîéêćøćÜÖćøìéÿĂï×ĂÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(BCP)
ðøąÿćîÜćîÖĆïÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøðäĉïĆêĉÖćøéĞćđîĉîÜćî(BCP Execution
Team) đóČęĂÝĆéĔĀšöĊÖćøïĆîìċÖñúÖćøìéÿĂïóøšĂöøć÷ÜćîêŠĂÙèąÖøøöÖćøïøĉĀćøÝĆéÖćøéšćî
10.1 ĀĆ ü ך Ă óČĚ î åćîÿĞ ćĀøĆï ÖćøïøĉĀ ćøÙüćöêŠ Ă đîČęĂ ÜĔîÖćøéĞ ć đîĉ îÜćî×ĂÜĂÜÙŤ Ö ø
(Information Security Aspects of Business Continuity Management)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖøąïüîÖćøĔîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ÖćøðøąđöĉîÙüćöđÿĊę÷ÜĔîÖćøÿøšćÜÙüćöêŠĂđîČęĂÜ
ĔĀšÖĆïíčøÖĉÝ ÖćøÝĆéìĞćĒúąĔßšÜćîĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ÖćøÖĞćĀîéÖøĂïÿĞćĀøĆïÖćøüćÜĒñîđóČęĂ
ÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ êúĂéÝîÖćøìéÿĂïĒúąÖćøðøĆïðøčÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(BCP)
öćêøåćî
ēÙøÜÿøšćÜÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
Öôñ. êšĂÜÖĞćĀîéēÙøÜÿøšćÜÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî ĒúąÝĆéêĆĚÜÙèąìĞćÜćîÖćøïøĉĀćøÙüćö
êŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî éĆÜêŠĂĕðîĊĚ
10.1.1. ÖćøîĞ ć ÙüćööĆę î ÙÜðúĂéõĆ ÷ öćĔßš ÖĆ ï ÖøąïüîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøéĞ ć đîĉ î Üćî
(Including Information Security in The Business Continuity Management Process)
1) ÙèąÖøøöÖćøïøĉĀćøÝĆéÖćøéšćî÷čìíýćÿêøŤ ÖćøïøĉĀćøÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙčöõć÷Ĕî Öôñ.
(Ù÷ÿ.)/ÙèąĂîčÖøøöÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî Ēúąÿć÷ÜćîêŠćÜėêšĂÜöĆęîĔÝüŠć
ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) ÙøĂïÙúčöĒĂóóúĉđÙßĆîìĊęöĊÙüćöÿĞćÙĆâìĆĚÜĀöé
2) ÙèąÖøøöÖćøïøĉĀćøÝĆéÖćøéšćî÷čìíýćÿêøŤ ÖćøïøĉĀćøÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙčöõć÷Ĕî Öôñ.
(Ù÷ÿ.)/ÙèąĂîčÖøøöÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî êšĂÜöĆęîĔÝüŠćÖøąïüîÖćøïøĉĀćø
ÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćîêšĂÜöĊĂÜÙŤðøąÖĂïĀúĆÖ éĆÜêŠĂĕðîĊĚ
1. ÖćøøąïčëċÜÖøąïüîÖćøìćÜíčøÖĉÝĒúąøąïïÿćøÿîđìýìĊęÿîĆïÿîčî
2. ÖćøðøąđöĉîñúÖøąìïìćÜíčøÖĉÝ (Business Impact Analysis)
x ÖćøøąïčõĆ÷óĉïĆêĉÙüćöñĉéóúćéìćÜÙüćööĆęîÙÜðúĂéõĆ÷ìĊęĂćÝđÖĉé×ċĚîĕéš àċęÜđðŨî
ÿćđĀêčĔĀšÖøąïüîÖćøìćÜíčøÖĉÝ×ĂÜ Öôñ. Ā÷čéßąÜĆÖ
x ÖćøðøąđöĉîñúÖøąìïÝćÖõĆ÷óĉïĆêĉÙüćöñĉéóúćéìćÜÙüćööĆęîÙÜðúĂéõĆ÷ìĊęöĊ
Öćøøąïč
3. ÖćøÝĆéìĞćÖú÷čìíŤÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî (BCP Strategy) Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþø
10.1.4. ÖćøÖĞć ĀîéÖøĂïÿĞ ć ĀøĆ ï ÖćøüćÜĒñîđóČęĂÙüćöêŠĂ đîČęĂ ÜĔîÖćøéĞć đîĉ î Üćî (Business
Continuity Planning Framework)
1) ÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøóĆçîćÖćøéĞćđîĉîÜćî (BCP Development Team)
êšĂÜÖĞćĀîéĔĀšöĊÖøĂïÿĞćĀøĆïĒñîđóČęĂÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP Framework) đóČęĂĔĀš
ĒêŠúąĒñîöĊÙüćöÿĂéÙúšĂÜÖĆî ēé÷ÖøĂïÿĞćĀøĆïÖćøüćÜĒñî êšĂÜóĉÝćøèćđøČęĂÜ éĆÜêŠĂĕðîĊĚ
1. đÜČęĂîĕ×ĔîÖćøðøąÖćýĔßšĒñî ēé÷öĊÖćøĂíĉïć÷ÖøąïüîÖćøĔîÖćøðäĉïĆêĉÜćîÖŠĂî
ðøąÖćýĔßšĒñî đߊî ðøąđöĉîÿëćîÖćøèŤĂ÷ŠćÜĕø öĊĔÙøìĊęđÖĊę÷üךĂÜïšćÜ đðŨîêšî
2. ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîÞčÖđÞĉî ēé÷öĊÖćøĂíĉïć÷ÖøąïüîÖćøĔîÖćøðäĉïĆêĉÜćî đöČęĂ
đÖĉéđĀêčÖćøèŤìĊęÖøąìïêŠĂÖćøéĞćđîĉîíčøÖĉÝ ĀøČĂÙüćöðúĂéõĆ÷×ĂÜïčÙÙú àċęÜøüöĕð
ëċÜ ÖćøðøąßćÿĆöóĆîíŤ ĒúąÖćøðøąÿćîÜćîÖĆïđÝšćĀîšćìĊęøĆå đߊî đÝšćĀîšćìĊęêĞćøüÝ
ĒúąĀøČĂ îĆÖéĆïđóúĉÜ đðŨîêšî
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-34 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÝĆéìĞćĒúąÖćøðøąÖćýĔßšĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(Business Continuity Plans Development and Execution Procedure)
üĆêëčðøąÿÜÙŤ
đóČęĂðŜĂÜÖĆîÖćøúąđöĉéךĂÖĞćĀîéìćÜÖãĀöć÷ ךĂÖĞćĀîéĔîÿĆââć Ēúą×šĂÖĞćĀîéìćÜéšćîÙüćööĆę îÙÜ
ðúĂéõĆ÷ĂČęîė ìĊęđÖĊę÷üךĂÜ ĒúąđóČęĂĔĀšÖćøðäĉïĆêĉ×ĂÜñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖđðŨîĕðêćöîē÷ïć÷
ÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îÿćøÿîđìý×ĂÜ Öôñ. ĂĊ Ö ìĆĚ Ü đóČę Ă ĔĀš Ö ćøêøüÝðøąđöĉ î øąïïÿćøÿîđìýĕéš
ðøąÿĉìíĉõćóÿĎÜÿčéēé÷öĊÖćøĒìøÖĒàÜĀøČĂìĞćĔĀšĀ÷čéßąÜĆÖêŠĂÖøąïüîÖćøìćÜíčøÖĉÝîšĂ÷ìĊęÿčé ìĆĚÜîĊĚ Öôñ. ĕéš
ÖĞćĀîéĔĀšöĊöćêøåćîÖćøðäĉïĆêĉêćöךĂÖĞćĀîéĒúąÖãĀöć÷ìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
àċęÜðøąÖĂïéšü÷ 3 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) ÖćøðäĉïĆêĉêćöךĂÖĞćĀîéìćÜÖãĀöć÷ (Compliance with Legal Requirements)
2) Öćøðäĉ ïĆ êĉ ê ćöîē÷ïć÷ öćêøåćîÙüćööĆę î ÙÜðúĂéõĆ ÷ Ēúą×š Ă ÖĞ ć ĀîéìćÜđìÙîĉ Ù
(Compliance with Security Policies and Standards, and Technical Compliance)
3) ÖćøêøüÝðøąđöĉîøąïïÿćøÿîđìý (Information Systems Audit Considerations)
ïìïćìĀîšćìĊę
ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.)
ýċÖþćĒúąøüïøüö ךĂÖĞćĀîéêŠćÜė ìĊęöĊñúìćÜÖãĀöć÷ ìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý×ĂÜ Öôñ.
ÝĆéđêøĊ÷öĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøÿČęĂÿćø×ĂÜ Öôñ. (EGAT ICT Master Plan) ēé÷
óĉÝćøèćĔĀšÖćøéĞćđîĉîÜćîéšćîđìÙēîēú÷ĊÿćøÿîđìýÿĂéÙúšĂÜÖĆïîē÷ïć÷ ĒúąöćêøåćîéšćîÙüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ÝĆéĔĀšöĊÖćøêøüÝÿĂïÖćøðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷ÖŠĂîîĞć
ĂčðÖøèŤðøąöüúñúÿćøÿîđìýĂĂÖĔßšÜćî
ÝĆéĔĀšöĊÖćøêøüÝÿĂïöćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷
ÖĞćĀîéĒîüìćÜĔîÖćøéĞćđîĉîÜćîÿĞćĀøĆïîē÷ïć÷ÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙúĔĀšđðŨîĕðêćö÷čìíýćÿêøŤ
ĒúąĒñîüĉÿćĀÖĉÝ×ĂÜ Öôñ. ĒúąìĉýìćÜĒîüēîšöìćÜéšćîđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøđðúĊę÷îĒðúÜ
ĀøČĂđóĉęöđêĉöĔîךĂÖãĀöć÷Ēúą×šĂÖĞćĀîéìĊęđÖĊę÷üךĂÜ
ÝĆéìĞćøŠćÜîē÷ïć÷ÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙúÿĂéÙúšĂÜêćö÷čìíýćÿêøŤĒúąĒñîüĉÿćĀÖĉÝ×ĂÜ Öôñ.
ìĉýìćÜ ĒîüēîšöìćÜéšćîđìÙēîēú÷Ċÿćøÿîđìý ĒúąđöČęĂöĊÖćøđðúĊę÷îĒðúÜĀøČĂđóĉęöđêĉöĔîךĂÖãĀöć÷
Ēúą×šĂÖĞćĀîéìĊęđÖĊę÷üךĂÜ
ñĎšêøüÝÿĂïĂĉÿøą
ÿĂïìćîÖćøðäĉïĆêĉÜćîêćöîē÷ïć÷ĒúąöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
đóČęĂüĆéøąéĆïÖćøðäĉïĆêĉêćöîē÷ïć÷ĒúąöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ óøšĂöìĆĚÜöćêøåćîìćÜ
đìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷Ă÷ŠćÜÿöęĞćđÿöĂ
ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýĔîÖćøÿĂïìćîøąïïÿćøÿîđìý ĒúąĂčðÖøèŤðøąöüúñú
ÿćøÿîđìý üŠćöĊÖćøëČĂðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷×ĂÜ Öôñ.
ÝĆéìĞćĒîüÖćøêøüÝÿĂï ïìïćìĀîš ćìĊęĒúąìøĆó÷ćÖøéšćîđìÙēîēú÷ĊÿćøÿîđìýìĊę êšĂÜÖćøđóČęĂ
ÖćøêøüÝÿĂïĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
ðäĉïĆêĉÜćîÖćøêøüÝÿĂï õć÷ĔêšÖćøÝĞćÖĆéÖćøđךćëċÜēðøĒÖøöÙĂöóĉüđêĂøŤĒúą×šĂöĎúĒïïĂŠćîĂ÷ŠćÜ
đéĊ÷ü (Read-Only) óøšĂöìĆĚÜúïÿĞćđîćĕôúŤìĊęĕéšøĆïÝćÖÖćøêøüÝÿĂïđöČęĂÖćøêøüÝÿĂïĕéšéĞćđîĉîÖćø
ĒúšüđÿøĘÝĒúąĕöŠöĊðøąđéĘîêšĂÜêĉéêćö
ĀîŠü÷ÜćîïøĉĀćøÿĆââć
ýċÖþćĒúąøüïøüö ךĂÖĞćĀîéĔîÿĆââćìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
ĒúąÝĆéìĞćךĂðäĉïĆêĉ đóČęĂøĂÜøĆïÿĆââćéĆÜÖúŠćü óøšĂöìĆĚÜìąđïĊ÷îđĂÖÿćøĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
ēé÷öĊÖćøðøĆïðøčÜĒúąÿĂïìćîđðŨîðøąÝĞćìčÖ 6 đéČĂî
òść÷ìøĆó÷ćÖøïčÙÙú
ÝĆéĔĀšöĊךĂÖĞćĀîé ÙĞćÿĆęÜ ĀøČĂðøąÖćý ÖĆïñĎšðäĉïĆêĉÜćîõć÷Ĕî Öôñ. ĒúąĀîŠü÷Üćîõć÷îĂÖ đÖĊę÷üÖĆï
ÖćøðŜĂÜÖĆîךĂöĎúÿŠüîïčÙÙú ĒúąÖćøĔĀšÙüćöÿĞćÙĆâ×ĂÜÖćøđÖĘïøĆÖþćÙüćöúĆï×ĂÜךĂöĎúìĊęĔßšĔîÖćø
éĞćđîĉîÜćî×ĂÜ Öôñ.
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ïøĉĀćøÝĆéÖćøìøĆó÷ćÖøêŠćÜė đóČęĂĔĀšÖćøðäĉïĆêĉêćöîē÷ïć÷ÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙúđðŨîĕðĂ÷ŠćÜöĊ
ðøąÿĉìíĉõćó
ÿŠ Ü đÿøĉ ö ĒúąÿîĆ ï ÿîč î ĔîÖćøðäĉ ïĆ êĉ ê ćöîē÷ïć÷Ùčš ö ÙøĂÜך Ă öĎ ú ÿŠ ü îïč Ù Ùú ĒÖŠ ñĎš ð äĉ ïĆ êĉ Ü ćîĒúą
ĀîŠü÷Üćîõć÷îĂÖ
ÙüïÙčööĉĔĀšđðŗéđñ÷ךĂöĎúÿŠüîïčÙÙúìĊęĂ÷ĎŠĔîÙüćöÙüïÙčöéĎĒú×ĂÜêîêŠĂĀîŠü÷Üćî×ĂÜøĆåĒĀŠÜĂČęîĀøČĂ
ĀîŠü÷Üćîõć÷îĂÖēé÷ðøćýÝćÖÙüćö÷ĉî÷ĂöđðŨîĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø×ĂÜđÝšć×ĂÜךĂöĎú
óĉÝćøèćÖćøìĞćàĚĞćĀøČĂéĆéĒðúÜēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ ĕð÷ĆÜÿČęĂïĆîìċÖךĂöĎú
óĉÝćøèćÖćøēĂî÷šć÷ēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ ĕð÷ĆÜđÙøČęĂÜÙĂöóĉüđêĂøŤđÙøČęĂÜĂČęî
ĒúąóĉÝćøèćÖćøđðŗéđñ÷ēðøĒÖøöÙĂöóĉüđêĂøŤ
óĉÝćøèćÖćøĔßšēðøĒÖøöÙĂöóĉüđêĂøŤìĊęĕéšøĆïÝćÖĂĉîđìĂøŤđîĘê ëšćñĎšðäĉïĆêĉÜćîöĊÙüćöÝĞćđðŨîêšĂÜĔßš
Üćî
ÙüïÙčöĔĀšöĊÖćøĔßšēðøĒÖøöÙĂöóĉüđêĂøŤìĊęëĎÖêšĂÜêćöÖãĀöć÷ ĒúąÙüïÙčöÖćøĔßšÜćîĔĀšđðŨîĕðêćö
úĉ×ÿĉìíĉĝ
ĀĆüĀîšćÜćîÿćøÿîđìý
ÝĆéĔĀšöĊÖøąïüîÖćøÖćøđךćëċÜÿćøÿîđìýĒúąøąïïÿćøÿîđìýìĆĚÜìćÜÖć÷õćó (Physical) ĒúąìćÜ
êøøÖą (Logical) óøšĂöìĆĚÜÙüïÙčöïĆîìċÖđĀêčÖćøèŤ (Logs) ĔĀšđðŨîĕðêćööćêøåćî
×ĂÙĞćðøċÖþćÖĆïòść÷ÖãĀöć÷ đÖĊę÷üÖĆïךĂñĎÖöĆéĔîÖćøĔßšÖćøđךćøĀĆÿìĊęöĊĒĀúŠÜÖĞćđîĉéêćöÖãĀöć÷
ĀøČĂÖãךĂïĆÜÙĆï×ĂÜðøąđìýĂČęî
ðøąÿćîÜćîÖĆ ï ñĎš ê øüÝÿĂïĂĉ ÿ øąĔîÖćøÿĂïìćîøąïïÿćøÿîđìý ĒúąĂč ð ÖøèŤ ð øąöüúñú
ÿćøÿîđìý üŠćöĊÖćøëČĂðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷×ĂÜ Öôñ.
ÖćøÙüïÙčöĒúąêøüÝÿĂïÖćøĔßšđÙøČęĂÜöČĂêøüÝøąïïÿćøÿîđìý (System Audit Tools)
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý
ÝĆéđÖĘïĒúąéĎĒúøĆÖþćÿČęĂïĆîìċÖךĂöĎúĔĀšĂ÷ĎŠĔîÿõćóóøšĂöĔßšÜćî ēé÷ÖćøÝĆéđÖĘïĒúąéĎĒúøĆÖþćÿČęĂÙüø
ðäĉïĆêĉêćöÙĞćĒîąîĞć×ĂÜđÝšć×ĂÜñúĉêõĆèæŤ
ÝĆéđÖĘïÿćøÿîđìýêćöøą÷ąđüúćìĊęÖĞćĀîéĔîêćøćÜÖćøđÖĘïøĆÖþćÿćøÿîđìý
ĔĀšÙüćöøŠüööČĂĒúąÿîĆïÿîčîÖćøÿĂïìćîÖćøðäĉïĆêĉÜćîêćöîē÷ïć÷ĒúąöćêøåćîÙüćööĆęîÙÜ
ðúĂéõĆ÷
đòŜćøąüĆÜÖćøđךćëċÜ øąïïìĊęêøüÝÿĂï×ĂÜñĎšêøüÝÿĂï Ă÷ŠćÜÿöęĞćđÿöĂ
ÝĆéđêøĊ÷öìøĆó÷ćÖøìĊęñĎšêøüÝÿĂïøšĂÜ×Ă đóČęĂĔßšĔîÖøąïüîÖćøêøüÝÿĂïĔĀšóøšĂö
ñĎšðäĉïĆêĉÜćî
ĔßšøąïïÿćøÿîđìýĒúąøąïïÿČęĂÿćø×ĂÜ Öôñ. đóČęĂÖćøéĞćđîĉîÜćî×ĂÜ Öôñ. đìŠćîĆĚî
ĕöŠìĞćàĚĞćĀøČĂéĆéĒðúÜēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ ĕð÷ĆÜÿČęĂïĆîìċÖךĂöĎú ĕöŠēĂî÷šć÷
ēðøĒÖøöÙĂöóĉ ü đêĂøŤ éĆ Ü ÖúŠ ć üĕð÷Ć Ü đÙøČę Ă ÜÙĂöóĉ ü đêĂøŤ đ ÙøČę Ă ÜĂČę î ĒúąĕöŠ đ ðŗ é đñ÷ēðøĒÖøö
ÙĂöóĉüđêĂøŤ ēé÷ĕöŠĕéšøĆïĂîčâćê
ĕöŠéĞćđîĉîÖćø ĀøČĂöĊÿŠüîøŠüöĔîÖćøìĞćàĚĞć éĆéĒðúÜ đñ÷ĒóøŠ ēĂî÷šć÷ ĀøČĂĒúÖđðúĊę÷î đĂÖÿćø
ÿćøÿîđìý ēðøĒÖøöÙĂöóĉüđêĂøŤ ĀøČĂđÙøČęĂÜöČĂĔéė ĂĆîđðŨîÖćøúąđöĉéúĉ×ÿĉìíĉĝĒúąìøĆó÷ŤÿĉîìćÜ
ðŦââć
ĕöŠêĉéêĆĚÜēðøĒÖøöÙĂöóĉüđêĂøŤ ēé÷ĕöŠĕéšøĆïĂîčâćê
ĕöŠ Ĕ ßš ă ćøŤ é ĒüøŤ (Hardware) ĀøČ Ă àĂôêŤ Ē üøŤ (Software) đóČę Ă ìéÿĂï ðøąđöĉ î ĒÖš ĕ × ĀøČ Ă
đðúĊę÷îĒðúÜøąïïÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøøąïčךĂÖĞćĀîéêŠćÜė ìĊęöĊñúìćÜÖãĀöć÷ ÖćøðŜĂÜÖĆîÿĉìíĉĒúąìøĆó÷ŤÿĉîìćÜðŦââć ÖćøðŜĂÜÖĆîךĂöĎú
ÿĞćÙĆâìĊęđÖĊę÷üךĂÜÖĆï Öôñ. ÖćøðŜĂÜÖĆîךĂöĎúÿŠüîêĆü ÖćøðŜĂÜÖĆîÖćøĔßšÜćîĂčðÖøèŤðøąöüúñúÿćøÿîđìýñĉé
üĆêëčðøąÿÜÙŤ ĒúąÖćøÙüïÙčöÖćøđךćøĀĆÿךĂöĎúêćöךĂÖĞćĀîé
öćêøåćî
11.1.1 ÖćøøąïčךĂÖĞćĀîéêŠćÜė ìĊęöĊñúìćÜÖãĀöć÷ (Identification of Applicable Legislation)
1) ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) êšĂÜýċÖþćĒúąøüïøüö ךĂÖĞćĀîéêŠćÜėìĊęöĊñú
ìćÜÖãĀöć÷ ìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ. (đߊî óøąøćßïĆââĆêĉ
ךĂÖĞćĀîéìćÜÖãĀöć÷ ךĂÖĞćĀîéĔîÿĆââć Ēúą×šĂÖĞćĀîéìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ĂČęîė
đðŨîêšî) ĒúąÝĆéìĞćøąđïĊ÷ïðäĉïĆêĉđóČęĂøĂÜøĆïךĂÖĞćĀîééĆÜÖúŠćü óøšĂöìĆĚÜìąđïĊ÷îđĂÖÿćø Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþø đóČęĂĔĀšĀîŠü÷ÜćîìĊęđÖĊę÷üךĂÜîĞćĕððäĉïĆêĉĔßšēé÷ìĆęüÖĆî ēé÷öĊÖćøðøĆïðøčÜ
ĒúąÿĂïìćîđðŨîðøąÝĞćìčÖ 6 đéČĂî
2) ĀîŠü÷ÜćîïøĉĀćøÿĆââć êšĂÜýċÖþćĒúąøüïøüö ךĂÖĞćĀîéĔîÿĆââćìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ. ĒúąÝĆéìĞćךĂðäĉïĆêĉ đóČęĂøĂÜøĆïÿĆââćéĆÜÖúŠćü óøšĂöìĆĚÜ
ìąđïĊ÷îđĂÖÿćø Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø ēé÷öĊÖćøðøĆïðøčÜĒúąÿĂïìćîđðŨîðøąÝĞćìčÖ 6
đéČĂî
11.1.2 ÖćøðŜĂÜÖĆîÿĉìíĉĒúąìøĆó÷ŤÿĉîìćÜðŦââć (Intellectual Property Rights (IRP))
1) ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð êšĂÜÙüïÙčöĔĀšöĊÖćøĔßšēðøĒÖøöÙĂöóĉüđêĂøŤìĊęëĎÖêšĂÜêćö
ÖãĀöć÷ ĒúąÙüïÙčöÖćøĔßšÜćîĔĀšđðŨîĕðêćöúĉ×ÿĉìíĉĝ đߊî øą÷ąđüúćÖćøĔßšÜćî ÝĞćîüîúĉ×ÿĉìíĉĝ
êćöÝĞćîüîñĎšĔßšÜćî ĒúąÝĞćîüîúĉ×ÿĉìíĉĝêćöÝĞćîüîĂčðÖøèŤðøąöüúñúÿćøÿîđìý đðŨîêšî
2) ēðøĒÖøöÙĂöóĉüđêĂøŤĒúąđĂÖÿćøìĊęđÖĊę÷üÖĆïēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ êšĂÜöĊ
ךĂÙüćöìĊęĒÿéÜúĉ×ÿĉìíĉĝĂ÷ŠćÜßĆéđÝî éĆÜêŠĂĕðîĊĚ
x ÿÜüîúĉ×ÿĉìíĉĝ ó.ý. 2551 êćö ó.ø.ï. úĉ×ÿĉìíĉĝ ó.ý. 2537
ÖćøĕôôŜćòść÷ñúĉêĒĀŠÜðøąđìýĕì÷
x Copyright©2008 by: Electricity Generating Authority of Thailand
3) ñĎšðäĉïĆêĉÜćî êšĂÜĕöŠìĞćàĚĞćĀøČĂéĆéĒðúÜēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ ĕð÷ĆÜÿČęĂïĆîìċÖ
ךĂöĎú ĕöŠ ēĂî÷šć÷ēðøĒÖøöÙĂöóĉüđêĂøŤ éĆÜÖúŠ ćüĕð÷Ć ÜđÙøČęĂÜÙĂöóĉüđêĂøŤ đÙøČęĂÜĂČęî ĒúąĕöŠ
đðŗéđñ÷ēðøĒÖøöÙĂöóĉüđêĂøŤ ēé÷ĕöŠĕéšøĆïĂîčâćêÝćÖ ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕðĀøČĂ
ñĎšìĊęĕéšøĆïöĂïĀöć÷ÝćÖñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 163 / 174
4) ñĎšðäĉïĆêĉÜćî êšĂÜĕöŠéĞćđîĉîÖćø ĀøČĂöĊÿŠüîøŠüöĔîÖćøìĞćàĚĞć éĆéĒðúÜ đñ÷ĒóøŠ ēĂî÷šć÷ ĀøČĂ
ĒúÖđðúĊę÷î đĂÖÿćø ÿćøÿîđìý ēðøĒÖøöÙĂöóĉüđêĂøŤ ĀøČĂđÙøČęĂÜöČĂĔéė ĂĆîđðŨîÖćøúąđöĉé
úĉ×ÿĉìíĉĝĒúąìøĆó÷ŤÿĉîìćÜðŦââć
5) ñĎšðäĉïĆêĉÜćî êšĂÜĕöŠêĉéêĆĚÜēðøĒÖøöÙĂöóĉüđêĂøŤ ēé÷ĕöŠĕéšøĆïĂîčâćê ĔîÖøèĊìĊęÝĞćđðŨîêšĂÜĔßšÜćî
êšĂÜĒÝšÜÙüćöðøąÿÜÙŤĕð÷ĆÜ ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð đóČęĂéĞćđîĉîÖćøêøüÝÿĂïúĉ×
ÿĉìǴĒúąìøĆ
íŤ ó÷ŤÿĉîìćÜðŦââć ÖŠĂîîĞćĕðĔßšÜćî
×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-35 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøêøüÝÿĂïÖćøĔßšēðøĒÖøöÙĂöóĉüđêĂøŤìĊęúąđöĉéìøĆó÷ŤÿĉîìćÜ
ðŦââć (Monitoring of Illegal Software Usage Procedure)
2) PD-36 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú (Data Protection and Privacy
of Personal Information Procedure)
ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøêøüÝðøąđöĉîøąïïÿćøÿîđìý ĒúąÖćøÙüïÙčöđÙøČęĂÜöČĂÿĞćĀøĆïÖćøêøüÝðøąđöĉîøąïï
ÿćøÿîđìýĂ÷ŠćÜđĀöćąÿö
öćêøåćî
11.3.1 öćêøÖćøÖćøêøüÝðøąđöĉîøąïïÿćøÿîđìý (Information Systems Audit Controls)
1) ñĎšêøüÝÿĂïĂĉÿøąêšĂÜĔßšÙüćöøąöĆéøąüĆÜđðŨîóĉđýþĔîÖćøéĞćđîĉîÖćøêøüÝÿĂïøąïïðäĉïĆêĉÖćø
đóČęĂĕöŠĔĀšÖøąìïÖćøéĞćđîĉîÜćî×ĂÜ Öôñ. ĀøČĂĔĀšđÖĉéÙüćöđÿĊę÷Ü×ĂÜ ÖćøĀ÷čéßąÜĆÖìćÜ
íčøÖĉÝĔĀšîšĂ÷ìĊęÿčé
đĂÖÿćøĂšćÜĂĉÜ
x ISO/IEC 27001:2005
x ISO/IEC 17799:2005
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 173 / 174
x öćêøåćîÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ĔîÖćøðøąÖĂïíčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ (đüĂøŤßĆî 2.5)
ðøąÝĞćðŘ 2550, ýĎî÷ŤđìÙēîēú÷ĊĂĉđúĘÖìøĂîĉÖÿŤĒúąÙĂöóĉüđêĂøŤ ĒĀŠÜßćêĉ ÿĞćîĆÖÜćîóĆçîć
üĉì÷ćýćÿêøŤĒúąđìÙēîēú÷ĊĒĀŠÜßćêĉ ÖøąìøüÜüĉì÷ćýćÿêøŤ