öćêøåćîÙüćööĆîę ÙÜðúĂéõĆ÷éšćîÿćøÿîđìý

ÞïĆïìĊę 2
( ðøĆïðøčÜ ó.ý. 2554 )

ÖćøĕôôŜćòść÷ñúĉêĒĀŠÜðøąđìýĕì÷
 ÙĞćîĞć
ÖćøĕôôŜćòść÷ñúĉêĒĀŠÜðøąđìýĕì÷ (Öôñ.) ĕéšêøąĀîĆÖëċÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýüŠćđðŨî
ðŦÝÝĆ÷ÿĞćÙĆâĔîÖćøéĞćđîĉîíčøÖĉÝĔĀšðøąÿïÙüćöÿĞćđøĘÝõć÷ĔêšÖćøïøĉĀćøÝĆéÖćøìĊęéĊ éĆÜîĆĚîđóČęĂđðŨî Öćø
ÖĞćĀîéìĉýìćÜ ĀúĆÖÖćøĒúąÖøĂï×ĂÜךĂÖĞćĀîéĔîÖćøðŜĂÜÖĆîìøĆó÷ŤÿĉîìĊęđÖĊę÷üךĂÜÖĆïøąïïÿćøÿîđìýĔĀš
ðúĂéõĆ÷ÝćÖõĆ÷ÙčÖÙćöìĊęÖŠĂĔĀšđÖĉé ÙüćöđÿĊ÷Āć÷êŠĂÖćøøĆÖþćÙüćöúĆï (Confidentiality) ÙüćöëĎÖêšĂÜ
Ùøïëšüî (Integrity) ĒúąÙüćöóøšĂöĔßš (Availability) ×ĂÜךĂöĎúĔîøąïïÿćøÿîđìý ĂĊÖìĆĚÜđóČęĂĔĀš
ñĎšðäĉïĆêĉÜćîĒúąïčÙÙúìĊęđÖĊę÷üךĂÜÖĆï Öôñ. êøąĀîĆÖëċÜÙüćöÿĞćÙĆâ×ĂÜ ÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý Öôñ. ÝċÜĕéšöĊÖćøÖĞćĀîéöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÞïĆïîĊĚ đóČęĂøĂÜøĆïîē÷ïć÷
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĒúąĔĀšĀîŠü÷ÜćîêŠćÜė ĔßšĔîÖćøéĞćđîĉîÜćîéšćîÿćøÿîđìýĂ÷ŠćÜ
đÙøŠÜÙøĆé

ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) ĕéšĔĀšÙüćöđĀĘîßĂïĔîöćêøåćîÙüćööĆęîÙÜ

ðúĂéõĆ÷éšćîÿćøÿîđìýÞïĆïîĊĚĒúąÝąĔßšđðŨîđÙøČęĂÜöČĂĔîÖćøïøĉĀćøÝĆéÖćøéšćîÿćøÿîđìý ĔĀšïøøúčñúÿĞćđøĘÝ
êćöđðŜćĀöć÷ìĊęÖĞćĀîéĕüšêŠĂĕð

(îć÷ÿĀĆÿ ðøąìĆÖþŤîčÖĎú)
øĂÜñĎšüŠćÖćøîē÷ïć÷ĒúąĒñî
ðøąíćîÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ.

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 2 / 174

ïĆîìċÖÖćøĒÖšĕ×
úĞćéĆïìĊę ßČęĂđĂÖÿćø üĆêëčðøąÿÜÙŤÖćøĒÖšĕ× üĆîìĊęöĊñúïĆÜÙĆïĔßš

1 ÙĎŠöČĂÖćøðäĉïĆêĉÜćîêćö đóČęĂĔĀšöĊÙüćöđĀöćąÿöÖĆïÖćøéĞćđîĉîÜćîĔîðŦÝÝčïĆî öÖøćÙö 2554

öćêøåćîÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
ÞïĆïìĊę 2
öć Ö÷ĉę Ü ×ċĚ î øüöìĆĚ Ü đóČę Ă ĔĀš ÿ ĂéÙ úš Ă ÜÖĆ ï Öćø
đðúĊę ÷ îĒðúÜĒúąđóĉę ö đêĉ ö Ĕîך Ă ÖãĀöć÷Ēúą
ךĂÖĞćĀîéìĊęđÖĊę÷üךĂÜÖĆï Öôñ. éĆÜîĊĚ
x óøąøćßÖùþãĊÖć üŠćéšü÷üĉíĊÖćøĒïïðúĂéõĆ÷
ĔîÖćøìĞ ć íč ø ÖøøöìćÜĂĉ đ úĘ Ö ìøĂîĉ Ö ÿŤ ó.ý.
ģĦĦĤ
x ð ø ą Ö ć ý Ù è ą Ö ø ø ö Ö ć ø íč ø Ö ø ø ö ì ć Ü
Ăĉ đ úĘ Ö ìøĂîĉ Ö ÿŤ đøČę Ă Ü Ēîüîē÷ïć÷ĒúąĒîü
ðäĉïĆ êĉĔîÖćøøĆ Ö þćÙüćööĆę î ÙÜðúĂéõĆ÷ éšć î
ÿćøÿîđìý×ĂÜĀîŠü÷Üćî×ĂÜøĆå ó.ý. ģĦĦĤ
x øŠćÜóøąøćßïĆââĆêĉÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú
x ð ø ą Ö ć ý Ù è ą Ö ø ø ö Ö ć ø íč ø Ö ø ø ö ì ć Ü
Ăĉ đ úĘ Ö ìøĂîĉ Ö ÿŤ đøČę Ă Ü Ēîüîē÷ïć÷ĒúąĒîü
ðäĉ ïĆ êĉ Ĕ îÖćøÙčš ö ÙøĂÜך Ă öĎ ú ÿŠ ü îïč Ù Ùú×ĂÜ
ĀîŠü÷Üćî×ĂÜøĆå ó.ý. ģĦĦĤ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 3 / 174

ÿćøïĆâ Āîšć

ÙĞćîĉ÷ćö ........................................................................................................................................................................... 6
ST-01: ÖćøîĞćöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕððäĉïĆêĉ (Implement of Information security
standards) ................................................................................................................................................................... 12
ST-02: öćêøåćîēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï Öôñ. (Standard of Organization of
Information Security) ............................................................................................................................................... 23
2.1 ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷õć÷ĔîĂÜÙŤÖø (Internal Organization) ............................................... 26
2.2 ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üךĂÜÖĆïĀîŠü÷Üćîõć÷îĂÖ (External Parties) .......................... 31
ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of Asset Management) ......................... 34
3.1 ĀîšćìĊęÙüćöøĆïñĉéßĂïêŠĂìøĆó÷Ťÿĉî×ĂÜĂÜÙŤÖø (Responsibility for Assets) .................................................... 36
3.2 ÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìý (Information Classification) ............................................................................... 37
ST-04: öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üÖĆïïčÙúćÖø (Standard of Human Resources Security) ................ 46
4.1 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÖŠĂîÖćøÝšćÜÜćî (Prior to Employment) ......................................................... 50
4.2 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ĔîøąĀüŠćÜÖćøÝšćÜÜćî (During Employment).................................................. 52
4.3 ÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî (Termination or Change of Employment) ............................ 54
ST-05: öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö (Standard of Physical and Environmental
Security) ...................................................................................................................................................................... 55
5.1 ïøĉđüèìĊęêšĂÜöĊÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ (Secure Areas) .......................................................................... 58
5.2 ÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜĂčðÖøèŤ (Equipment Security) ................................................................................. 64
ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of
Communication and Operation Management) ................................................................................................. 68
6.1 ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïĒúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćî (Operational Procedures and
Responsibilities) ........................................................................................................................................... 71
6.2 ÖćøïøĉĀćøÝĆéÖćøÖćøĔĀšïøĉÖćø×ĂÜĀîŠü÷Üćîõć÷îĂÖ (External Party Service Delivery Management) . 75
6.3 ÖćøüćÜĒñîĒúąÖćøêøüÝøĆïìøĆó÷ćÖøÿćøÿîđìý (System Planning and Acceptance) ............................ 77
6.4 ÖćøðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ (Protection against Malicious and Mobile Code)............................. 78
6.5 ÖćøÿĞćøĂÜךĂöĎú (Back-up) ................................................................................................................................ 80
6.6 ÖćøïøĉĀćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđÙøČĂ׊ć÷×ĂÜĂÜÙŤÖø (Network Security Management)
........................................................................................................................................................................ 81
6.7 ÖćøÝĆéÖćøÿČęĂìĊęĔßšĔîÖćøïĆîìċÖךĂöĎú (Media Handling) .................................................................................. 83
6.8 ÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Exchange of Information) .................................................................................. 85
6.9 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïïøĉÖćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Commerce Services) ........ 91
6.10 ÖćøđòŜćøąüĆÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Monitoring) ................................................................................. 95
ST-07: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ (Standard of Access Control) ................................................................. 98
7.1 ךĂÖĞćĀîéìćÜíčøÖĉÝÿĞćĀøĆïÖćøÙüïÙčöÖćøđךćëċÜ (Business Requirements for Access Control) ............ 102

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 4 / 174

 7.2 ÖćøïøĉĀćøÝĆéÖćøÖćøđךćëċÜ×ĂÜñĎšĔßš (User Access Management)............................................................... 103
7.3 ĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜñĎšĔßšÜćî (User Responsibilities) ........................................................................... 106
7.4 ÖćøÙüïÙčöÖćøđךćëċÜđÙøČĂ׊ć÷ (Network Access Control) .......................................................................... 108
7.5 ÖćøÙüïÙčöÖćøđךćëċÜøąïïðäĉïĆêĉÖćø (Operating System Access Control) ............................................. 115
7.6 ÖćøÙüïÙčöÖćøđךćëċÜēðøĒÖøöðøą÷čÖêŤĒúąÿćøÿîđìý (Application and Information Access Control)118
7.7 ÖćøÙüïÙčöĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćĒúąÖćøðäĉïĆêĉÜćîÝćÖõć÷îĂÖĂÜÙŤÖø (Mobile Computing and
Teleworking) ............................................................................................................................................... 119
ST-08: öćêøåćîÖćøÝĆéĀć ÖćøóĆçîć ĒúąÖćøïĞćøčÜøĆÖþćøąïïÿćøÿîđìý (Standard of Information System
Acquisition, Development and Maintenance) ................................................................................................. 121
8.1 ךĂÖĞćĀîééšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïøąïïÿćøÿîđìý (Security Requirements of Information
Systems) ...................................................................................................................................................... 123
8.2 ÖćøðøąöüúñúÿćøÿîđìýĔîĒĂóóúĉđÙßĆî (Correct Processing in Applications) ..................................... 125
8.3 öćêøÖćøÖćøđךćøĀĆÿךĂöĎú (Cryptographic Controls) ................................................................................. 128
8.4 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ĔĀšÖĆïĕôúŤ×ĂÜøąïïìĊęĔĀšïøĉÖćø (Security of System Files) .......................... 133
8.5 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïÖøąïüîÖćøĔîÖćøóĆçîćøąïïĒúąÖøąïüîÖćøÿîĆïÿîčî (Security in
Development and Support Processes) ................................................................................................ 136
8.6 ÖćøïøĉĀćøÝĆéÖćøߊĂÜēĀüŠĔîăćøŤéĒüøŤĒúąàĂôêŤĒüøŤ (Technical Vulnerability Management) ................ 140
ST-09: öćêøåćîÖćøïøĉĀćøÝĆéÖćøÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Standard of
Information Security Incident Management) ................................................................................................... 141
9.1 Öćøøć÷ÜćîđĀêčÖćøèŤĒúąÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Reporting Information
Security Events and Weaknesses) ......................................................................................................... 144
9.2 ÖćøïøĉĀćøÝĆéÖćøĒúąÖćøðøĆïðøčÜĒÖšĕ×êŠĂÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
(Management of Information Security Incidents and Improvements) .......................................... 146
ST-10: öćêøåćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜ Öôñ. (Standard of Business Continuity
Management) ........................................................................................................................................................... 149
10.1 ĀĆüךĂóČĚîåćîÿĞćĀøĆïÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜĂÜÙŤÖø (Information Security Aspects
of Business Continuity Management) ................................................................................................... 152
ST-11: öćêøåćîÖćøðäĉïĆêĉêćöךĂÖĞćĀîéĒúąÖãĀöć÷ìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Standard of
Compliance) ............................................................................................................................................................. 159
11.1 ÖćøðäĉïĆêĉêćöךĂÖĞćĀîéìćÜÖãĀöć÷ (Compliance with Legal Requirements) ................................... 163
11.2 ÖćøðäĉïĆêĉêćöîē÷ïć÷ öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷Ēúą×šĂÖĞćĀîéìćÜđìÙîĉÙ (Compliance with
Security Policies and Standards, and Technical Compliance) ........................................................ 170
11.3 ÖćøêøüÝðøąđöĉîøąïïÿćøÿîđìý (Information Systems Audit Considerations) ................................ 172
đĂÖÿćøĂšćÜĂĉÜ .............................................................................................................................................................. 173

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 5 / 174

ÙĞćîĉ÷ćö
ÙĞćîĉ÷ćöĔîÿŠüîîĊĚđðŨîÖćøĔĀšÙĞćÝĞćÖĆéÙüćöÿĞćĀøĆïýĆóìŤìĊęĔßšÜćîĔîîē÷ïć÷ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÞïĆïîĊĚ đóČęĂĔĀšöĊ
ÙüćöĀöć÷ìĊęßĆéđÝîĒúšüđךćĔÝêøÜÖĆî

ýĆóìŤ ÙüćöĀöć÷
ÙüćööĆęîÙÜ Āöć÷ÙüćöüŠćÖćøðŜĂÜÖĆîìøĆó÷ŤÿĉîÿćøÿîđìýÝćÖÖćøđךćëċÜ Ĕßš đðŗéđñ÷ ×Ćé×üćÜ đðúĊę÷îĒðúÜĒÖšĕ× ìĞćĔĀšÿĎâĀć÷
ðúĂéõĆ÷éšćî ìĞćĔĀšđÿĊ÷Āć÷ ëĎÖìĞćúć÷ ĀøČĂúŠüÜøĎšēé÷öĉßĂï (ĂšćÜĂĉÜÝćÖ óøąøćßÖùþãĊÖć üŠćéšü÷üĉíĊÖćøĒïïðúĂéõĆ÷ĔîÖćøìĞć
ÿćøÿîđìý íčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ ó.ý. 2553)
Öôñ. ÖćøĕôôŜćòść÷ñúĉêĒĀŠÜðøąđìýĕì÷
ñĎšüŠćÖćø ñĎšüŠćÖćø Öôñ.
ñĎšĂĞćîü÷Öćøòść÷ ñĎšĂĞćîü÷Öćøòść÷ ĀøČĂñĎšìĊęìĞćĀîšćìĊęĒìîñĎšĂĞćîü÷Öćøòść÷ ĀøČĂđìĊ÷ïđìŠć đߊî ñĎšĂĞćîü÷Öćøđ×ČęĂî ñĎšĂĞćîü÷Öćø
ēøÜĕôôŜćóúĆÜîĚĞć ñĎšĂĞćîü÷ÖćøēøÜĕôôŜćñĎšĂĞćîü÷ÖćøÿĞćîĆÖ ñĎšĂĞćîü÷ÖćøēÙøÜÖćø ñĎšĂĞćîü÷ÖćøÿŠüî ĀĆüĀîšćēÙøÜÖćø
(øąéĆïÿŠüî) đðŨîêšî
ĀĆüĀîšćÜćî ĀĆüĀîšćÖĂÜ ñĎšÝĆéÖćøÖĂÜ ĀĆüĀîšćēÙøÜÖćø (øąéĆïÖĂÜ) ñĎšÝĆéÖćøēÙøÜÖćø (øąéĆïÖĂÜ) ĀĆüĀîšćĀîŠü÷ ñĎšÝĆéÖćøĀîŠü÷
ÿćøÿîđìý ×ċĚîĕðìĊęøĆïñĉéßĂïÜćîÿćøÿîđìý ĀøČĂñĎšðäĉïĆêĉÜćîìĊęñĎšĂĞćîü÷Öćøòść÷×ċĚîĕðöĂïĀöć÷ĔĀšøĆïñĉéßĂïÜćîÿćøÿîđìý
ĀĆüĀîšćýĎî÷Ť ĀĆüĀîšćÜćî×ĂÜýĎî÷ŤÙĂöóĉüđêĂøŤ ĀøČĂñĎšøĆÖþćïøĉđüè ĔîÖøèĊìĊęĕöŠöĊĀĆüĀîšćÜćîýĎî÷ŤÙĂöóĉüđêĂøŤ
ÙĂöóĉüđêĂøŤ
ñĎšéĎĒúĀšĂÜ ñĎšìĊęĕéšøĆïöĂïĀöć÷ĔĀšöĊĀîšćìĊęéĎĒúøĆïñĉéßĂïĀšĂÜÙĂöóĉüđêĂøŤ
ÙĂöóĉüđêĂøŤ
ñĎšðäĉïĆêĉÜćî ñĎšìéúĂÜÜćî óîĆÖÜćî ĒúąúĎÖÝšćÜ×ĂÜ Öôñ.
ñĎšĔßšÜćî ñĎšìéúĂÜÜćî óîĆÖÜćî ĒúąúĎÖÝšćÜ×ĂÜ Öôñ. øüöëċÜĀîŠü÷Üćîõć÷îĂÖ ïčÙúćÖø×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊę
ðäĉïĆêĉÜćîĔĀš Öôñ. ìĊęĕéšøĆïÿĉìíĉđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜÖôñ.
ĀîŠü÷Üćîõć÷îĂÖ ĀîŠü÷ÜćîĀøČĂïčÙÙúõć÷îĂÖìĊęéĞćđîĉîíčøÖĉÝĀøČĂĔĀšïøĉÖćøìĊęĂćÝĕéšøĆïÿĉìíĉđךćëċÜìøĆó÷ŤÿĉîéšćîđìÙēîēú÷Ċÿćøÿîđìý
×ĂÜ Öôñ. àċęÜÙúĂïÙúčöëċÜ
- ïøĉþĆìĔîđÙøČĂ×ĂÜ Öôñ. đߊî ïøĉþĆìñúĉêĕôôŜćøą÷ĂÜ ÝĞćÖĆé (ïôø.) ïøĉþĆìñúĉêĕôôŜć×îĂö ÝĞćÖĆé (ïô×.)
ïøĉþĆì ĂĊĒÖĘê ĂĉîđêĂøŤđîßĆîĒîú ÝĞćÖĆé đðŨîêšî
- ñĎšøĆïÝšćÜðäĉïĆêĉÜćîĔĀšÖĆï Öôñ. (Outsource) đߊî ñĎšøĆïÝšćÜêĉéêĆĚÜøąïïÜćî ERP đðŨîêšî
- ñĎšøĆïÝšćÜóĆçîćøąïïÜćîĀøČĂÝĆéĀćüĆÿéčĂčðÖøèŤêŠćÜė (Supplier) đߊî ñĎšóĆçîćøąïïÜćîÙüïÙčöÖćøñúĉê
ñĎšÝĞćĀîŠć÷ĂčðÖøèŤÙĂöóĉüđêĂøŤ đðŨîêšî
- ñĎšĔĀšïøĉÖćøêŠćÜė (Service Provider) đߊî ñĎšêĉéêĆĚÜĒúąïĞćøčÜøĆÖþćìøĆó÷ŤÿĉîêŠćÜė ñĎšĔĀšïøĉÖćøēÙøÜ׊ć÷
ÿČęĂÿćø ñĎšĔĀšïøĉÖćøĂĉîđêĂøŤđîĘê đðŨîêšî
- ìĊę ð øċ Ö þć (Consultant) đߊ î ìĊę ð øċ Ö þćøąïïÜćîÖćøüćÜĒñîÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îđìÙēîēú÷Ċ
ÿćøÿîđìý đðŨîêšî
- đÝšćĀîšćìĊę×ĂÜĀîŠü÷ÜćîêŠćÜė đߊî ÖøąìøüÜóúĆÜÜćî ÖøąìøüÜđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøÿČęĂÿćø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 6 / 174

 ýĆóìŤ ÙüćöĀöć÷
ýĎî÷ŤđìÙēîēú÷ĊĂĉđúĘÖìøĂîĉÖÿŤĒúąÙĂöóĉüđêĂøŤĒĀŠÜßćêĉ (NECTEC) ĒúąÿĞćîĆÖÜćîêĞćøüÝĒĀŠÜßćêĉ đðŨîêšî
- úĎÖÙšćìĊęĔßšïøĉÖćø (Customer) đߊî ÖćøĕôôŜćîÙøĀúüÜ ÖćøĕôôŜćÿŠüîõĎöĉõćÙ đðŨîêšî
ñĎšêøüÝÿĂïĂĉÿøą ĀîŠü÷Üćîõć÷ĔîĀøČĂõć÷îĂÖìĊęìĞćĀîšćìĊęĔîÖćøêøüÝÿĂïÖćøÙüïÙčöõć÷Ĕî ìĊęđÖĊę÷üךĂÜÖĆïÖćøøĆÖþćÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý àċęÜđðŨîĂĉÿøąÝćÖñĎšøĆïêøüÝ
ĀîŠü÷ÜćîìĊęÿćö ĀîŠü÷Üćîõć÷îĂÖ÷Öđüšî úĎÖÙšćìĊęĔßšïøĉÖćø (Customer)
ìøĆó÷Ťÿĉî ÿĉęÜìĊęöĊöĎúÙŠćêŠĂ Öôñ. ĒúąđÖĊę÷üךĂÜÖĆïÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊę Öôñ. đðŨîđÝšć×ĂÜÝĆéàČĚĂ đߊć
üŠćÝšćÜ ĀøČĂóĆçîć ìĆĚÜîĊĚìøĆó÷ŤÿĉîÿćøÿîđìýéĆÜÖúŠćüÿćöćøëĒïŠÜêćöðøąđõìĕéšéĆÜîĊĚ
1. ÿćøÿîđìý (Information) đߊî åćîךĂöĎúĕôúŤ×šĂöĎú ÿĆââć đĂÖÿćø/ÙĎŠöČĂøąïï ךĂöĎúÖćøüĉÝĆ÷ ÙĎŠöČĂ
ñĎšĔßšÜćî ìøĆó÷ćÖøĔîÖćøòřÖĂïøö ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîĀøČĂÿîĆïÿîčî ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆï
íčøÖĉÝĒñîÖćøÖĎšÙČîÿõćó ðøąüĆêĉÖćøêøüÝÿĂïĒúąÿćøÿîđìýìĊęÿĞćÙĆâĂČęîė đðŨîêšî
2. ìøĆó÷ŤÿĉîìćÜàĂôêŤĒüøŤ (Software Assets) đߊî ēðøĒÖøöðøą÷čÖêŤ ēðøĒÖøöøąïïđÙøČęĂÜöČĂÿĞćĀøĆï
óĆçîć Ēúą ēðøĒÖøöðøąđõì÷ĎìĉúĉêĊĚ đðŨîêšî
3. ìøĆó÷ŤÿĉîìćÜÖć÷õćó (Physical Assets) đߊî ĂčðÖøèŤðøąöüúñúÿćøÿîđìý ĂčðÖøèŤêĉéêŠĂÿČęĂÿćø Ēúą
ÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš đðŨîêšî
4. ÖćøïøĉÖćøéšćîÖćøðøąöüúñú ÖćøêĉéêŠĂÿČęĂÿćø ĒúąÿćíćøèĎðēõÙĂČęîė
(Services) đߊî ïøĉÖćøĂĉîđêĂøŤđîĘê ïøĉÖćøÙüïÙčöÖćøđךćëċÜĂćÙćø ïøĉÖćøøąïï
ÙüïÙčöÙüćöøšĂî ïøĉÖćøĒÿÜÿüŠćÜ ïøĉÖćøĕôôŜćĒúąóúĆÜÜćî Ēúą ïøĉÖćøÙüïÙčö
ÙüćößČĚî đðŨîêšî
àĂôêŤĒüøŤ ēðøĒÖøöÙĂöóĉüđêĂøŤðøąđõìĔéėÖĘĕéš êĆĚÜĒêŠøąïïðäĉïĆêĉÖćøđߊî éĂÿ (Dos) ēðøĒÖøöĂĞćîü÷ðøąē÷ßîŤ
(Software) øąïïÜćî ÝîÖøąìĆĚÜēðøĒÖøöìĊęđÖĘïĂ÷ĎŠĔîøĂö (Rom) (ĂšćÜĂĉÜÝćÖ óÝîćîčÖøöÙĂöóĉüđêĂøŤĒúąĂĉîđìĂøŤđîĘê ðŘó.ý.
2545)
ēðøĒÖøö ÙĞćÿĆęÜ ßčéÙĞćÿĆęÜ ĀøČĂÿĉęÜĂČęîĔéìĊęìĞćĕðĔßšÖĆïđÙøČęĂÜÙĂöóĉüđêĂøŤ đóČęĂĔĀšđÙøČęĂÜÙĂöóĉüđêĂøŤìĞćÜćîĀøČĂđóČęĂĔĀšĕéšøĆïñú
ÙĂöóĉüđêĂøŤ Ă÷ŠćÜĀîċęÜĂ÷ŠćÜĔé ìĆĚÜîĊĚĕöŠüŠćÝąđðŨîõćþćēðøĒÖøöÙĂöóĉüđêĂøŤĔîúĆÖþèąĔé (ĂšćÜĂĉÜÝćÖ ×šĂÖĞćĀîé Öôñ. ìĊę
33/2548)
ēðøĒÖøöĕöŠ ēðøĒÖøöĀøČĂßčéēðøĒÖøöìĊęìĞćĔĀšÿćøÿîđìý ĀøČĂøąïïÿćøÿîđìýđÖĉéÙüćöđÿĊ÷Āć÷ēé÷êĆĚÜĔÝ đߊî ĕüøĆÿ (Virus)
ðøąÿÜÙŤéĊ đüĉøŤö (Worm) ēìøÝĆî (Trojan) ĒĂéĒüøŤ (Adware) ĀøČĂÿðć÷ĒüøŤ (Spyware) đðŨîêšî
(Malicious
Software)
ēðøĒÖøößîĉé ßčéÙĞćÿĆęÜàċęÜđÙúČęĂî÷šć÷ÝćÖÙĂöóĉüđêĂøŤđÙøČęĂÜĀîċęÜĕð÷ĆÜĂĊÖđÙøČęĂÜĀîċęÜēé÷ìĊęÿćöćøëìĞćÜćîĕéšĂ÷ŠćÜĂĆêēîöĆêĉĒúą
đÙúČęĂîìĊę éĞćđîĉîÖćøĂ÷ŠćÜĔéĂ÷ŠćÜĀîċęÜēé÷ìĊęñĎšĔßšĂćÝĕöŠĕéšêøąĀîĆÖëċÜÖćøéĞćđîĉîÖćøéĆÜÖúŠćü đߊî ēðøĒÖøöðøąđõì Java
(Mobile code) Applet ĀøČĂ ActiveX đðŨîêšî
øąïïÙĂöóĉüđêĂøŤ ĂčðÖøèŤÙĂöóĉüđêĂøŤĀøČĂßčéĂčðÖøèŤ×ĂÜÙĂöóĉüđêĂøŤìĊęđßČęĂöÖćøìĞćÜćîđךćéšü÷ÖĆî ēé÷ĕéšöĊÖćøÖĞćĀîéÙĞćÿĆęÜ
ßčéÙĞćÿĆęÜ ĀøČĂÿĉęÜĂČęîĔé ĒúąĒîüìćÜðäĉïĆêĉÜćîĔĀšĂčðÖøèŤĀøČĂßčéĂčðÖøèŤìĞćĀîšćìĊęðøąöüúñúךĂöĎúēé÷ĂĆêēîöĆêĉ
(ĂšćÜĂĉÜÝćÖ óøąøćßïĆââĆêĉüŠćéšü÷ÖćøÖøąìĞćÙüćöñĉéđÖĊę÷üÖĆïÙĂöóĉüđêĂøŤ ó.ý. 2550)
ךĂöĎúÙĂöóĉüđêĂøŤ ךĂöĎú ךĂÙüćö ÙĞćÿĆęÜ ßčéÙĞćÿĆęÜ ĀøČĂÿĉęÜĂČęîĔéïøøéćìĊęĂ÷ĎŠĔîøąïïÙĂöóĉüđêĂøŤĔîÿõćóìĊęøąïïÙĂöóĉüđêĂøŤĂćÝ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 7 / 174

 ýĆóìŤ ÙüćöĀöć÷
ðøąöüúñúĕéš ĒúąĔĀšĀöć÷ÙüćöøüöëċÜךĂöĎúĂĉđúĘÖìøĂîĉÖÿŤ (ĂšćÜĂĉÜÝćÖ óøąøćßïĆââĆêĉüŠćéšü÷ÖćøÖøąìĞć
ÙüćöñĉéđÖĊę÷üÖĆïÙĂöóĉüđêĂøŤ ó.ý. 2550)
ÿćøÿîđìý ךĂöĎúÙĂöóĉüđêĂøŤĀøČĂךĂÙüćöìĊęĕéšöĊÖćøðøąöüúñú đߊî ìøĆó÷ŤÿĉîðøąđõìåćîךĂöĎú (Database) ĒúąĕôúŤ×šĂöĎú
(Data file) ÿĆââć (Contract) Ēúą×šĂêÖúÜ (Agreement) đĂÖÿćøĒúąÙĎŠöČĂøąïïÜćî (System Document)
ךĂöĎúüĉÝĆ÷ (Research Document) ÙĎŠöČĂñĎšĔßšÜćî (User Manual) đĂÖÿćøÖćøòřÖĂïøö (Training Document)
×ĆĚîêĂîÖćøðäĉïĆêĉÜćî (Operational or Support Procedure) ĒñîøĂÜøĆïÙüćöêŠĂđîČęĂÜìćÜíčøÖĉÝ (Business
Continuity Plan) đĂÖÿćø Ēúą×šĂöĎúÝĆéđÖĘïÿĞćøĂÜ (Archived Information) đðŨîêšî (ĂšćÜĂĉÜÝćÖ óøã.ÖĞćĀîé
üĉíĊÖćøĒïï(öĆęîÙÜ)ðúĂéõĆ÷ĔîÖćøðøąÖĂïíčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ Ēúą ISO/IEC 27001)
øąïïÿćøÿîđìý øąïïÙĂöóĉüđêĂøŤĒúąÖćøđÖĘïïĆîìċÖךĂöĎúàċęÜöĊÖćøðøąöüúñúéšü÷øąïïÙĂöóĉüđêĂøŤ (ðøĆïðøčÜÝćÖ (øŠćÜ) óøą
øćßÖùþãĊÖć ÖĞćĀîéüĉíĊÖćøĒïï (öĆęîÙÜ) ðúĂéõĆ÷ĔîÖćøðøąÖĂïíčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ)
ĂčðÖøèŤðøąöüúñú øąïïÿćøÿîđìý øąïïđÙøČĂ׊ć÷ ÿëćîìĊę êĆĚÜìćÜÖć÷õć÷×ĂÜøąïïÿćøÿîđìýĒúąøąïïđÙøČĂ׊ć÷ êúĂéÝî
ÿćøÿîđìý ĂčðÖøèŤĒúąøąïïÿîĆïÿîčîêŠćÜėđߊî øąïïĕôôŜć øąïïðøĆïĂćÖćý øąïïÙüïÙčöĂčèĀõĎöĉĒúąÙüćößČĚî đðŨîêšî
(ðøĆïðøčÜÝćÖ ISO/IEC 27002)
ĒĂóóúĉđÙßĆî ēðøĒÖøöÙĂöóĉüđêĂøŤĀøČĂÖúčŠö×ĂÜēðøĒÖøöàċęÜìĞćĀîšćìĊęđóČęĂÝčéðøąÿÜÙŤĂ÷ŠćÜĔéĂ÷ŠćÜĀîċęÜ đߊî đüĉøŤéēðøđàÿđàĂøŤ
(Application) ÿđðøéßĊêåćîךĂöĎú đðŨîêšî (ðøĆïðøčÜÝćÖ CISA Review Manual 2010 Ēúą óÝîćîčÖøöÙĂöóĉüđêĂøŤĒúą
ĂĉîđìĂøŤđîĘê ðŘó.ý. 2545)
ēðøĒÖøöðøąđõì ēðøĒÖøöđÞóćąđóČę Ă Ĕßš ÿĞ ć ĀøĆ ï ÜćîïĞ ć øč Ü øĆ Ö þćĒúąđóĉę ö ðøąÿĉ ì íĉ õ ćóÖćøìĞ ć Üćî×ĂÜøąïïÙĂöóĉ ü đêĂøŤ đߊ î
÷Ď ìĉ úĉ êĊĚ (System ēðøĒÖøöÖćøÝĆéÖćøĕôúŤ (File manager) ēðøĒÖøöìĊęĔßšëĂîēðøĒÖøö (Uninstaller) ēðøĒÖøöÿĒÖîéĉÿÖŤ (Disk
Utilities) Scanner) ĒúąēðøĒÖøöÝĆéóČĚîìĊęđÖĘïךĂöĎú (Disk Defragmenter) đðŨîêšî (ðøĆïðøčÜÝćÖ ÝćÖ CISA Review
Manual 2010 Ēúą Wikipedia)
đ Ù øČę Ă Ü öČ Ă ê ø ü Ý ēðøĒÖøöĀøČĂßčéēðøĒÖøöđÞóćąìĊęĔßšĔîÖćøêøüÝðøąđöĉîÙüćöðúĂéõĆ÷×ĂÜøąïïÿćøÿîđìý đߊî Scanning
øąïïÿćøÿîđìý Tools Ēúą Password Cracking Utilities đðŨîêšî
đÙøČĂ׊ć÷ øąïïìĊęđÖĉéÝćÖÖćøîĞćđÙøČęĂÜÙĂöóĉüđêĂøŤêĆĚÜĒêŠ 2 đÙøČęĂÜ×ċĚîĕðöćêŠĂđßČęĂöē÷Üđךćéšü÷ÖĆî đóČęĂĒúÖđðúĊę÷îךĂöĎú
׊ćüÿćø ĀøČĂĔßšìøĆó÷ćÖøêŠćÜė (ðøĆïðøčÜÝćÖ ×šĂÖĞćĀîé Öôñ. ìĊę 33/2548)
íčøÖøøö ÖćøÖøąìĞćĔéė ìĊęđÖĊę÷üÖĆïÖĉÝÖøøöĔîìćÜĒóŠÜĒúąóćèĉß÷Ť ĀøČĂĔîÖćøéĞćđîĉîÜćî×ĂÜøĆå ĂĆîðøąÖĂïĕðéšü÷ ÙĞć×Ă
ÖćøĂîčâćê ÖćøÝéìąđïĊ÷î ÙĞćÿĆęÜìćÜðÖÙøĂÜ ÖćøßĞćøąđÜĉî ÖćøðøąÖćý ĀøČĂÖćøéĞćđîĉîÖćøĔéė êćö
ÖãĀöć÷ÖĆ ï ĀîŠ ü ÷Üćî×ĂÜøĆ å ĀøČ Ă ēé÷ĀîŠ ü ÷Üćî×ĂÜøĆ å (Ăš ć ÜĂĉ Ü ÝćÖ óøąøćßïĆ â âĆ êĉ üŠ ć éš ü ÷íč ø ÖøøöìćÜ
ĂĉđúĘÖìøĂîĉÖÿŤ ó.ý. 2544)
ĂĉđúĘÖìøĂîĉÖÿŤ Öćøðøą÷čÖêŤĔßšüĉíĊÖćøìćÜĂĉđúĘÖêøĂî ĕôôŜć ÙúČęîĒöŠđĀúĘÖĕôôŜć ĀøČĂüĉíĊĂČęîĔéĔîúĆÖþèąÙúšć÷ÖĆîĒúąĔĀšĀöć÷Ùüćö
øüöëċÜÖćøðøą÷čÖêŤĔßšüĉíĊÖćøìćÜĒÿÜ üĉíĊÖćøìćÜĒöŠđĀúĘÖĀøČĂĂčðÖøèŤìĊęđÖĊę÷üךĂÜÖĆïÖćøðøą÷čÖêŤĔßšüĉíĊêŠćÜė đߊîüŠć
îĆĚî (ĂšćÜĂĉÜÝćÖ óøąøćßïĆââĆêĉüŠćéšü÷íčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ ó.ý. 2544)
ךĂöĎú ךĂÙüćöìĊęĕéšÿøšćÜ ÿŠÜ øĆï đÖĘïøĆÖþć ĀøČĂðøąöüúñúéšü÷üĉíĊÖćøìćÜĂĉđúĘÖìøĂîĉÖÿŤ đߊî üĉíĊÖćøĒúÖđðúĊę÷îךĂöĎú
ĂĉđúĘÖìøĂîĉÖÿŤ ìćÜĂĉđúĘÖìøĂîĉÖÿŤ ÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ ēìøđú×ēìøóĉöóŤ ĀøČĂēìøÿćø đðŨîêšî (ĂšćÜĂĉÜÝćÖ óøąøćßïĆââĆêĉüŠć
éšü÷íčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ ó.ý. 2544)
íčøÖøøöìćÜ íčøÖøøöìĊęÖøąìĞć×ċĚîēé÷ĔßšüĉíĊÖćøìćÜĂĉđúĘÖìøĂîĉÖÿŤìĆĚÜĀöéĀøČĂĒêŠïćÜÿŠüî (ĂšćÜĂĉÜÝćÖ óøąøćßïĆââĆêĉüŠćéšü÷

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 8 / 174

 ýĆóìŤ ÙüćöĀöć÷
ĂĉđúĘÖìøĂîĉÖÿŤ íčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ ó.ý. 2544)
ÖćøđךćëċÜ ÙüćöÿćöćøëĔîÖćøđךćĕð ĂĆîĂćÝìĞćĔĀšÿćöćøëݹÊćî ìĞć ÿøšćÜ ĒÖšĕ× ðøĆïðøčÜđðúĊę÷îĒðúÜ úŠüÜøĎšéšü÷ðøąÖćø
Ĕéė ĀøČĂĕéšĂŠćî ìĞć ÿøšćÜ ĒÖšĕ× ðøĆïðøčÜđðúĊę÷îĒðúÜ úŠüÜøĎšéšü÷ðøąÖćøĔéė ÿĞćĀøĆïךĂöĎúÙĂöóĉüđêĂøŤ ךĂöĎú
ĂĉđúĘÖìøĂîĉÖÿŤ ÿćøÿîđìý øąïïÙĂöóĉüđêĂøŤ øąïïÿćøÿîđìý ìĆĚÜēé÷ÖćøđךćëċÜéšü÷üĉíĊÖćøìćÜĂĉđúĘÖìøĂîĉÖÿŤĒúą
üĉíĊÖćøìćÜÖć÷õćó
ïøĉđüè Öôñ. ïøĉđüèìĊęìĞćÖćø×ĂÜ Öôñ. ìčÖĒĀŠÜĒúąĔĀšĀöć÷ÙüćöøüöëċÜïøĉđüèĂČęîė ×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔîÙüćöøĆïñĉéßĂï×ĂÜ
đÝšćĀîšćìĊęÙüïÙčöÖćøøĆÖþćÙüćöðúĂéõĆ÷ (ĂšćÜĂĉÜÝćÖ ÙĞćÿĆęÜ Öôñ. ìĊę Ù. 21/2534 đøČęĂÜ ÖćøîĞćÿĉęÜ×ĂÜđךć-ĂĂÖ
ïøĉđüè Öôñ.)
ÖćøÿĞćøĂÜךĂöĎú ÖćøđÖĘïøĆÖþćךĂöĎúÙĂöóĉüđêĂøŤúÜĔîÿČęĂìĊęĕéšđêøĊ÷öÖćøĕüšĒúšü ĒúąÝąëĎÖîĞćöćĔßšÜćîĒìîĔîÖøèĊìĊęךĂöĎúĀúĆÖìĊę
ÖĞćúĆÜëĎÖĔßšĔîÖćøðäĉïĆêĉÜćîĂ÷ĎŠđÖĉéÙüćöđÿĊ÷Āć÷ (ðøĆïðøčÜÝćÖ ×šĂÖĞćĀîé Öôñ. ìĊę 33/2548)
ÖćøÖĎšÙČî ÖćøîĞćךĂöĎúÙĂöóĉüđêĂøŤ øąïïÙĂöóĉüđêĂøŤ ĒúąøąïïÿćøÿîđìýìĊęđÖĉéÙüćöđÿĊ÷Āć÷ÖúĆïöćĔßšÜćîĕéšĂ÷ŠćÜ
ëĎÖêšĂÜÙøïëšüî (ðøĆïðøčÜÝćÖ ×šĂÖĞćĀîé Öôñ. ìĊę 33/2548)
ÖćøÝšćÜÜćî ÖćøüŠćÝšćÜñĎšðäĉïĆêĉÜćî ĀøČĂĀîŠü÷Üćîõć÷îĂÖ đóČęĂðäĉïĆêĉÜćî ĀøČĂĔĀšïøĉÖćøĒÖŠ Öôñ.
đðúĊę ÷ îĒðúÜÖćø ÖćøđðúĊę÷îĒðúÜĀîšćìĊęøĆïñĉéßĂï×ĂÜñĎšðäĉïĆêĉÜćîĔîĀîŠü÷ÜćîêšîÿĆÜÖĆé ĀøČĂđÜČęĂîĕ× ÖćøüŠćÝšćÜ×ĂÜĀîŠü÷Üćî
ÝšćÜÜćî õć÷îĂÖ
Ăč ð Ö ø èŤ ÿČę Ă ÿ ć ø ĂčðÖøèŤÙĂöóĉüđêĂøŤ ĀøČĂĂčðÖøèŤÿČęĂÿćøìĊęÿąéüÖĔîÖćøóÖóć đߊî ÙĂöóĉüđêĂøŤēîšêïčŢÙ(Laptop) ĂčðÖøèŤóĊéĊđĂ(PDA)
ðøąđõìóÖóć ÿöćøŤìÖćøŤé(Smartcard) ĒúąēìøýĆóìŤöČĂëČĂ(Mobile phone) đðŨîêšî
ÿČęĂïĆîìċÖךĂöĎú đĂÖÿćøìĊęđðŨîÖøąéćþ ĀøČĂĂčðÖøèŤìĊęĔßšĔîÖćøïĆîìċÖךĂöĎúĂĉđúĘÖìøĂîĉÖÿŤ đߊî đìð éĉÿÖŤ CD ĀøČĂ DVD đðŨîêšî
ÖćøðäĉïĆêĉÜćîÝćÖ ÖćøìĞćÜćîìĊęïšćîĀøČĂìĊęÿëćîìĊęêĆĚÜõć÷îĂÖĂÜÙŤÖøĂČęîė ìĊęöĊÖćøđßČęĂöêŠĂìćÜĂĉđúĘÖìøĂîĉÖÿŤēé÷ñŠćîìćÜ đÙøČęĂÜ
õć÷îĂÖÿĞćîĆÖÜćî ÙĂöóĉüđêĂøŤ ĀøČĂđÙøČęĂÜēìøÿćø đðŨîêšî ĕð÷ĆÜ Öôñ. ĀøČĂÿëćîìĊęìĊęĀúĆÖĂČęîĂĆîđðŨîÿëćîìĊęìĞćÜćîĀúĆÖ
ך Ă ÖĞ ć ĀîéìĊę öĊ ñ ú óøąøćßïĆââĆêĉ ךĂÖĞćĀîéìćÜÖãĀöć÷ øąđïĊ÷ïðäĉïĆêĉ ךĂÖĞćĀîéĔîÿĆââć Ēúą×šĂÖĞćĀîéìćÜéšćîÙüćööĆęîÙÜ
ìćÜÖãĀöć÷ ðúĂéõĆ÷ĂČęîė ìĊę Öôñ. êšĂÜðäĉïĆêĉêćö
ÿĉìíĉ×ĂÜñĎšĔßšÜćî ÿĉìíĉìĆęüĕð ÿĉìíĉÝĞćđóćą ÿĉìíĉóĉđýþ ĒúąÿĉìíĉĂČęîĔé ìĊęđÖĊę÷üךĂÜÖĆïøąïïÿćøÿîđìý×ĂÜĀîŠü÷Üćî (ĂšćÜĂĉÜÝćÖ
ðøąÖćýÙèąÖøøöÖćøíčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ đøČęĂÜ Ēîüîē÷ïć÷ĒúąĒîüðäĉïĆêĉĔîÖćøøĆÖþćÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý ×ĂÜĀîŠü÷Üćî×ĂÜøĆå ó.ý. 2553)
ÿĉìíĉóĉđýþ ÿĉìíĉÿĎÜÿčé×ĂÜøąïï ĀøČĂÿĉìíĉÿĞćĀøĆïñĎšéĎĒúøąïïĀøČĂđìĊ÷ïđìŠć đߊî ïĆâßĊñĎšĔßš Administrators (Windows), Root
(Unix), QSECOFR (AS400), SAPSTAR (SAP), SYS ĀøČĂ SYSTEM (Oracle) đðŨîêšî
úĉ×ÿĉìíĉĝ ÿĉìíĉĒêŠñĎšđéĊ÷üìĊęÝąìĞćÖćøĔéė êćöóøąøćßïĆââĆêĉîĊĚ (óøąøćßïĆââĆêĉ úĉ×ÿĉìíĉĝ ó.ý. 2537) đÖĊę÷üÖĆïÜćîìĊęñšĎ
ÿøšćÜÿøøÙŤĕéšìĞć×ċĚî (ĂšćÜĂĉÜÝćÖ óøąøćßïĆââĆêĉ úĉ×ÿĉìíĉĝ ó.ý. 2537)
ìĞćàĚĞć ÙĆéúĂÖĕöŠüŠćēé÷üĉíĊĔéė đúĊ÷ïĒïï ìĞćÿĞćđîć ìĞćĒöŠóĉöóŤ ïĆîìċÖđÿĊ÷Ü ïĆîìċÖõćó ĀøČĂ ïĆîìċÖđÿĊ÷ÜĒúąõćó ÝćÖ
êšîÞïĆï ĀøČĂÝćÖćøēÛþèćĔîÿŠüîĂĆîđðŨîÿćøąÿĞćÙĆâ ìĆĚÜîĊĚ ĕöŠüŠćìĆĚÜĀöéĀøČĂïćÜÿŠüî ÿĞćĀøĆïĔîÿŠüîìĊęđÖĊę÷üÖĆï
ēðøĒÖøöÙĂöóĉüđêĂøŤ ĔĀšĀöć÷ÙüćöëċÜ ÙĆéúĂÖĀøČĂìĞćÿĞćđîćēðøĒÖøöÙĂöóĉüđêĂøŤÝćÖÿČęĂïĆîìċÖĔéė ĕöŠüŠćéšü÷üĉíĊ
Ĕéė ĔîÿŠüîĂĆîđðŨîÿćøąÿĞćÙĆâ ēé÷ĕöŠöĊúĆÖþèąđðŨîÖćøÝĆéìĞćÜćî×ċĚîĔĀöŠ ìĆĚÜîĊĚ ĕöŠüŠćìĆĚÜĀöéĀøČĂïćÜÿŠüî (ĂšćÜĂĉÜ
ÝćÖ óøąøćßïĆââĆêĉ úĉ×ÿĉìíĉĝ ó.ý. 2537)
éĆéĒðúÜ ìĞćàĚĞćēé÷đðúĊę÷îøĎðĔĀöŠ ðøĆïðøčÜĒÖšĕ×đóĉęöđêĉö ĀøČĂÝĞćúĂÜÜćîêšîÞïĆïĔîÿŠüîĂĆîđðŨîÿćøąÿĞćÙĆâēé÷ĕöŠöĊúĆÖþèą

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 9 / 174

 ýĆóìŤ ÙüćöĀöć÷
đðŨîÖćøÝĆéìĞćÜćî×ċĚîĔĀöŠ ìĆĚÜîĊĚ ĕöŠüŠćìĆĚÜĀöéĀøČĂïćÜÿŠüî ĔîÿŠüîìĊęđÖĊę÷üÖĆïēðøĒÖøöÙĂöóĉüđêĂøŤ ĔĀšĀöć÷Ùüćö
øüöëċÜ ìĞćàĚĞćēé÷đðúĊę÷îøĎðĔĀöŠ ðøĆïðøčÜ ĒÖšĕ×đóĉęöđêĉöēðøĒÖøöÙĂöóĉüđêĂøŤĔîÿŠüîĂĆîđðŨîÿćøąÿĞćÙĆâ ēé÷ĕöŠöĊ
úĆÖþèąđðŨîÖćøÝĆéìĞć×ċĚîĔĀöŠ (ĂšćÜĂĉÜÝćÖ óøąøćßïĆââĆêĉ úĉ×ÿĉìíĉĝ ó.ý. 2537)
ךĂöĎúÿŠüîïčÙÙú ךĂöĎúđÖĊę÷üÖĆïÿĉęÜđÞóćąêĆü×ĂÜïčÙÙú đߊî ÖćøýċÖþć åćîąÖćøđÜĉî ðøąüĆêĉÿč×õćó ðøąüĆêĉĂćßâćÖøøö ðøąüĆêĉÖćø
ìĞćÜćî ĀøČĂðøąüĆêĉÖĉÝÖøøöïøøéćìĊęöĊßČęĂ×ĂÜïčÙÙúîĆĚîĀøČĂöĊđú×Āöć÷ øĀĆÿ ĀøČĂÿĉęÜïĂÖúĆÖþèąìĊęìĞćĔĀšøĎšêĆüïčÙÙú
îĆĚîĕéš đߊî úć÷óĉöóŤîĉĚüöČĂ ĒñŠîïĆîìċÖúĆÖþèąđÿĊ÷Ü×ĂÜÙî ĀøČĂøĎðëŠć÷ ĒúąĔĀšĀöć÷ÙüćöøüöëċÜךĂöĎúđÖĊę÷üÖĆïÿĉęÜ
đÞóćąêĆü×ĂÜñĎšìĊęëċÜĒÖŠÖøøöĒúšüéšü÷ (ĂšćÜĂĉÜÝćÖ øŠćÜóøąøćßïĆââĆêĉÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú)
ñĎšÙüïÙčöךĂöĎúÿŠüî ñĎšàċęÜöĊĀîšćìĊęøĆïñĉéßĂïĔîÖćøđÖĘïøüïøüö ÙüïÙčöÖćøĔßšĒúąÖćøđðŗéđñ÷ךĂöĎúÿŠüîïčÙÙú
ïčÙÙú (ĂšćÜĂĉÜÝćÖ øŠćÜóøąøćßïĆââĆêĉÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú)
đÝšć×ĂÜךĂöĎúÿŠüî đÝšć×ĂÜךĂöĎúđÖĊę÷üÖĆïÿĉęÜđÞóćąêĆü×ĂÜïčÙÙú ĒúąĔĀšĀöć÷ÙüćöøüöëċÜ
ïčÙÙú 1) ìć÷ćìĀøČĂÙĎŠÿöøÿ×ĂÜđÝšć×ĂÜךĂöĎúÿŠüîïčÙÙúĔîÖøèĊìĊęđÝšć×ĂÜךĂöĎúÿŠüîïčÙÙúîĆĚîëċÜĒÖŠÙüćöêć÷
2) ñĎšàċęÜöĊĀîšćìĊęđÖĊę÷üךĂÜÖĆïךĂöĎúÿŠüîïčÙÙú×ĂÜđÝšć×ĂÜךĂöĎúÿŠüîïčÙÙúêćöìĊęÖĞćĀîéĔîÖãÖøąìøüÜ
(ĂšćÜĂĉÜÝćÖ øŠćÜóøąøćßïĆââĆêĉÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú)
đĀêčÖćøèŤìĊę đĀêčÖćøèŤ ĀøČĂÿõćó×ĂÜïøĉÖćøĀøČĂđÙøČĂ׊ć÷ìĊęĒÿéÜĔĀšđĀĘîëċÜÙüćöđðŨîĕðĕéšìĊęÝąđÖĉé ÖćøòśćòŚîîē÷ïć÷éšćîÙüćö
đÖĊę÷üÖĆïÙüćööĆęîÙÜ öĆęîÙÜðúĂéõĆ÷ĀøČĂöćêøÖćøðŜĂÜÖĆîìĊęúšöđĀúü ĀøČĂđĀêčÖćøèŤĂĆîĕöŠĂćÝøĎšĕéšüŠćĂćÝđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
ðúĂéõĆ÷éšćî (ðøĆïðøčÜÝćÖ ðøąÖćýÙèąÖøøöÖćøíčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ đøČęĂÜ Ēîüîē÷ïć÷ĒúąĒîüðäĉïĆêĉĔîÖćøøĆÖþć
ÿćøÿîđìý ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ×ĂÜĀîŠü÷Üćî×ĂÜøĆå ó.ý.2553 )
(Information
Security Event)
ÿëćîÖćøèŤìĊę ÿëćîÖćøèŤŤéšćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊĕę öŠŠóċÜðøąÿÜÙŤŤĀøČĂĕöŠĂćÝÙćéÙĉé (unwanted or unexpected) àċęÜĂćÝ
đÖĊę÷üÖĆïÙüćööĆęîÙÜ ìĞćĔĀšøąïïÿćøÿîđìý×ĂÜĂÜÙŤÖøëĎÖïčÖøčÖĀøČĂēÝöêĊĒúąÙüćööĆęîÙÜðúĂéõĆ÷ëĎÖÙčÖÙćö (ðøĆïðøčÜÝćÖ ðøąÖćý
ðúĂéõĆ÷éšćî ÙèąÖøøöÖćøíčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ đøČęĂÜ Ēîüîē÷ïć÷ĒúąĒîüðäĉïĆêĉĔîÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý ÿćøÿîđìý ×ĂÜĀîŠü÷Üćî×ĂÜøĆå ó.ý.2553 )
(Information
Security Incident
ÝčéĂŠĂîìĊęđÖĊę÷üÖĆï ÝčéïÖóøŠĂÜ ĀøČĂÙüćöĂŠĂîĒĂàċęÜõĆ÷ÙčÖÙćöĀøČĂñĎšĕöŠðøąÿÜÙŤéĊĂćÝĔßšðøąē÷ßîŤđóČęĂÖøąìĞćÖćøĔéėêŠĂìøĆó÷Ťÿĉî
ÙüćööĆęîÙÜ ÿćøÿîđìý ĂĆîĂćÝÝąîĞćĕðÿĎŠñúđÿĊ÷êŠĂÖćøéĞćđîĉîíčøÖĉÝ ĒúąÖćøøĆÖþćÙüćöðúĂéõĆ÷éšćîÿćøÿîđìý đߊî
ðúĂéõĆ÷éšćî • ךĂïÖóøŠĂÜĔîĒĂóóúĉđÙßĆî
ÿćøÿîđìý • ߊĂÜēĀüŠìćÜđìÙîĉÙĔîøąïïðäĉïĆêĉÖćø
• Öćøđðŗé Network protocol Ēúą IP service port ìĊęĕöŠĕéšĔßšÜćîìćÜíčøÖĉÝ
• ÖćøĕöŠ Lock ĀîšćÝĂ ĀøČĂ ÖćøĕöŠ Log Off ĂĂÖÝćÖøąïï đöČęĂĕöŠĕéšĔßšÜćîđðŨîøą÷ąđüúćîćî
ÖćøÝĆ é ĀöüéĀöĎŠ Āöć÷ëċÜÖćøÝĆéøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý ēé÷ÙĞćîċÜëċÜøąéĆïÙüćöúĆï (Sensitivity) ĒúąøąéĆï
ÿćøÿîđìý ÙüćöÿĞćÙĆâ (Criticality) ×ĂÜÿćøÿîđìý
ýĎî÷ŤÙĂöóĉüđêĂøŤ ÿëćîìĊęìĊęĔßšĔîÖćøÝĆéüćÜĂčðÖøèŤðøąöüúñúÿćøÿîđìý ìĊęðøąöüúñúĀøČĂÝĆéđÖĘïÿćøÿîđìýìĊęöĊøąéĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷×ĂÜÿćøÿîđìý “ÿĎÜÿčé” ĀøČĂ “ÿĎÜ”

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 10 / 174

 ýĆóìŤ ÙüćöĀöć÷
ĀšĂÜÙĂöóĉüđêĂøŤ ÿëćîìĊęìĊęĔßšĔîÖćøÝĆéüćÜĂčðÖøèŤðøąöüúñúÿćøÿîđìý ìĊęðøąöüúñúĀøČĂÝĆéđÖĘïÿćøÿîđìýìĊęöĊøąéĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷×ĂÜÿćøÿîđìý “ðćîÖúćÜ” ĀøČĂ “êęĞć”

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 11 / 174

ST-01: ÖćøîĞćöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕððäĉïêĆ ĉ (Implement of
Information security standards)

üĆêëčðøąÿÜÙŤ
đóČęĂđðŨîĒîüìćÜĔîÖćøîĞćöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕððäĉïĆêĉ

ēÙøÜÿøšćÜöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ĂÜÙŤðøąÖĂï×ĂÜöćêøåćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĒïŠÜđðŨî 11 ĀĆüךà éĆÜêŠĂĕðîĊĚ

øĀĆÿ ßČęĂöćêøåćî
ST-01 ÖćøîĞćöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕððäĉïĆêĉ (Implement of
Information security policy and standards)
ST-02 öćêøåćîēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï Öôñ. (Standard of
Organization of Information Security)
ST-03 öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of Asset
Management)
ST-04 öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üÖĆïïčÙúćÖø (Standard of Human
Resources Security)
ST-05 öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö (Standard of
Physical and Environmental Security)
ST-06 öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ
Öôñ. (Standard of Communication and Operation Management)
ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ (Standard of Access Control)

ST-08 öćêøåćîÖćøÝĆéĀć ÖćøóĆçîć ĒúąÖćøïĞćøčÜøĆÖþćøąïïÿćøÿîđìý (Standard

of Information System Acquisition, Development and Maintenance)
ST-09 öćêøåćîÖćøïøĉ Ā ćøÝĆ é ÖćøÿëćîÖćøèŤ ìĊę đ ÖĊę ÷ üÖĆ ï ÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć î
ÿćøÿîđìý (Standard of Information Security Incident Management)
ST-10 öćêøåćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜ Öôñ. (Standard of
Business Continuity Management)
ST-11 öćêøåćîÖćøðäĉïĆêĉêćöךĂÖĞćĀîéĒúąÖãĀöć÷ìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 12 / 174

 øĀĆÿ ßČęĂöćêøåćî
éšćîÿćøÿîđìý (Standard of Compliance)

ךĂêÖúÜÖćøðäĉïĆêĉêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ĀîŠü÷Üćîõć÷Ĕî Öôñ. ÿćöćøëĒïŠÜĕéš 2 ðøąđõìÙČĂ
1. òść÷ìĊęöĊúĆÖþèąÜćîđðŨîñĎšĔßšÜćî ĒúąöĊÖćøóĆçîćøąïïÿćøÿîđìý (òść÷ÖúčŠöìĊę 1) ÙČĂ òść÷Ĕéė ìĊę
öĊúĆÖþèąđðŨîñĎšĔßšÜćîøąïïÿćøÿîđìý ĒúąöĊÖćøóĆçîćøąïïÿćøÿîđìýõć÷Ĕîòść÷ êšĂÜöĊÖćø
ĒêŠÜêĆĚÜĀĆüĀîšćÜćîÿćøÿîđìý ĒúąÝĆéĔĀšöĊÖćøöĂïĀöć÷ĀîšćìĊę ñĎšéĎĒúÿćøÿîđìý ĒúąñĎšéĎĒú
øąïïÿćøÿîđìý ēÙøÜÿøšćÜĔîÖćøÖĞćÖĆïéĎĒúÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý éĆÜêŠĂĕðîĊĚ

2. òść÷ìĊęöĊúĆÖþèąÜćîđðŨîñĎšĔßšÜćî öĊÖćøóĆçîćøąïïÿćøÿîđìý ĒúąýĎî÷ŤÙĂöóĉüđêĂøŤĀøČĂĀšĂÜ

ÙĂöóĉüđêĂøŤĔîÙüćöéĎĒú (òść÷ÖúčŠöìĊę 2) ÙČĂ òść÷Ĕéė ìĊęöĊúĆÖþèąđðŨîñĎšĔßšÜćîøąïïÿćøÿîđìý
öĊÖćøóĆçîćøąïïÿćøÿîđìý ĒúąöĊđÙøČęĂÜĒöŠ×Šć÷ (Server) ĒúąýĎî÷ŤÙĂöóĉüđêĂøŤĔîÙüćöéĎĒú
ēé÷êšĂÜöĊÖćøĒêŠÜêĆĚÜĀĆüĀîšćÜćîÿćøÿîđìý ĒúąÝĆéĔĀšöĊÖćøöĂïĀöć÷ĀîšćìĊę ñĎšéĎĒúÿćøÿîđìý
ñĎš éĎ Ē úøąïïÿćøÿîđìý ĀĆ ü Āîš ć ýĎ î ÷Ť Ù Ăöóĉ ü đêĂøŤ ñĎš éĎ Ē úýĎ î ÷Ť Ù Ăöóĉ ü đêĂøŤ ĀøČ Ă ñĎš éĎ Ē úĀš Ă Ü
ÙĂöóĉüđêĂøŤ ēÙøÜÿøšćÜĔîÖćøÖĞćÖĆïéĎĒúÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý éĆÜêŠĂĕðîĊĚ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 13 / 174

 ĒêŠúąĀîŠü÷ÜćîêšĂÜìĞćÖćøðøąđöĉîÙüćöÿćöćøëĒúą×šĂÝĞćÖĆéêŠćÜėĔîÖćøðäĉïĆêĉêćööćêøåćîÙüćö
öĆęîÙÜðúĂéõĆ÷éšćî ĒúąÝĆéìĞćךĂêÖúÜÖćøðäĉïĆêĉêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ēé÷
ÖøĂÖ “Ùìÿ. öð. 01 ĒïïôĂøŤöÖćøðøąđöĉîĒúąÖćøêøüÝÿĂï ÖćøðäĉïĆêĉêćöîē÷ïć÷ ĒúąöćêøåćîÙüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý” ĔîÿŠüî ”ÖćøðøąđöĉîêîđĂÜĔîÖćøðäĉïĆêĉêćöîē÷ïć÷ ĒúąöćêøåćîÙüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý” óøšĂöìĆĚÜîĞćđÿîĂ ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý×ĂÜòść÷ (Ùìÿ. òść÷)
ĀøČĂñĎšìĊęĕéšøĆïöĂïĀöć÷ ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý×ĂÜÿć÷øĂÜñĎšüŠćÖćø (Ùìÿ. ÿć÷øĂÜñĎšüŠćÖćø)
ĒúąÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) êćöúĞćéĆïßĆĚî đðŨîðøąÝĞćìčÖðŘ ēé÷ĔĀšĒúšüđÿøĘÝõć÷Ĕî
ĕêøöćÿĒøÖ×ĂÜðŘÜïðøąöćè

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-01 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćî
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Information Security Policy, Standard and Procedure
Management)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 14 / 174

ÖøąïüîÖćøÙüïÙčöĒúąêøüÝÿĂïÖćøðäĉïĆêĉêćööćêøåćîÙüćööĆîę ÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ìčÖĀîŠü÷ÜćîĔî Öôñ. êšĂÜðäĉïĆêĉêćöÖãĀöć÷ÖćøÙüïÙčöõć÷Ĕî ēé÷öĊïčÙÙúĀøČĂÙèąìĞćÜćîìĊęìĞć
ĀîšćìĊęêøüÝðøąđöĉîÖćøÙüïÙčöõć÷Ĕî Ēúąøć÷ÜćîĔĀšñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕðđðŨîðøąÝĞćìčÖðŘ
đðŨîðøąÝĞćìčÖðŘĔĀš ēé÷ĒúšüđÿøĘÝõć÷ĔîĕêøöćÿìĊę 4 ×ĂÜðŘÜïðøąöćè éĆÜîĆĚîñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć
×ċĚîĕðÿćöćøëÖĞćĀîéĔĀš ïčÙÙúĀøČĂÙèąìĞćÜćîéĆÜÖúŠćüöĊĀîšćìĊęêøüÝðøąđöĉîÖćøðäĉïĆêĉêćööćêøåćîÙüćö
ðúĂéõĆ÷éšćîÿćøÿîđìý êćö “Ùìÿ. öð. 01 ĒïïôĂøŤöÖćøðøąđöĉîĒúąÖćøêøüÝÿĂï ÖćøðäĉïĆêĉêćö
îē÷ïć÷ ĒúąöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý” ĔîÿŠüî “ÖćøêøüÝÿĂïÖćøðäĉïĆêĉêćöîē÷ïć÷
ĒúąöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý” Ēúąøć÷ÜćîñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕðóøšĂö
ÖĆïøć÷ÜćîÖćøÙüïÙčöõć÷Ĕî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-01 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćø
ðäĉïĆêĉÜćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Information Security Policy, Standard and
Procedure Management)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 15 / 174

êćøćÜĒÿéÜĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜñĎšðäĉïĆêĉÜćîêćööćêøåćîÙüćööĆęÜÙÜðúĂéõĆ÷éšćîÿćøÿîđìý

ïìïćì ĀîšćìĊęÙüćöøĆïñĉéßĂïêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ST02 ST03 ST04 ST05 ST06 ST07 ST08 ST09 ST10 ST11
ñĎšïøĉĀćø Öôñ. ìčÖ 4.2.1
øąéĆïßĆĚî
ÙèąÖøøöÖćø 2.1.1, 2.1.8 11.1.1,
đìÙēîēú÷Ċÿćøÿîđìý 11.2.1, 11.2.2
Öôñ. (Ùìÿ.)
ÙèąÖøøöÖćøïøĉĀćø 10.1.1,
ÝĆéÖćøéšćî 10.1.3,
÷čìíýćÿêøŤ Öćø 10.1.4
ïøĉĀćøÙüćöđÿĊę÷ÜĒúą
ÖćøÙüïÙčöõć÷Ĕî
Öôñ. (Ù÷ÿ.)/
ÙèąĂîčÖøøöÖćø
ïøĉĀćøÙüćöêŠĂđîČęĂÜ
ĔîÖćøéĞćđîĉîÜćî
ÙèąìĞćÜćîÖćø 10.1.2,
ïøĉĀćøÙüćöêŠĂđîČęĂÜ 10.1.3,
ĔîÖćøóĆçîćÖćø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 16 / 174

 ïìïćì ĀîšćìĊęÙüćöøĆïñĉéßĂïêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ST02 ST03 ST04 ST05 ST06 ST07 ST08 ST09 ST10 ST11
éĞćđîĉîÜćî
ÙèąìĞćÜćîÖćø 10.1.3,
ïøĉĀćøÙüćöêŠĂđîČęĂÜ 10.1.5
ĔîÖćøðäĉïĆêĉÖćø
éĞćđîĉîÜćî
øĂÜñĎšüŠćÖćøĀøČĂñĎšìĊę 2.1.2
ĕéšøĆïöĂïĀöć÷
ÿć÷ÜćîêŠćÜė 10.1.1,
10.1.2,
10.1.3,
10.1.4,
10.1.5
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂ 2.1.3, 2.1.4 3.1.1, 3.1.3, 4.2.2 6.1.1, 6.7.1 7.2.1, 7.3.2, 11.1.2, 11.1.4
đìĊ÷ïđìŠć×ċĚîĕð 3.2.1 7.4.1, 7.5.2
ÙèąìĞćÜćî EGAT 9.1.1, 9.1.2,
Computer 9.2.1, 9.2.2,
Emergency 9.2.3
Response Team
(EGAT CERT)
ñĎšđðŨîđÝšć×ĂÜ 2.1.4, 2.2.1, 3.1.1, 3.1.2, 6.1.1, 6.1.2, 7.1.1, 7.2.1, 8.1.1, 8.2.1, 11.1.2,

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 17 / 174

 ïìïćì ĀîšćìĊęÙüćöøĆïñĉéßĂïêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ST02 ST03 ST04 ST05 ST06 ST07 ST08 ST09 ST10 ST11
ÿćøÿîđìý 2.2.2 3.1.3, 3.2.1, 6.1.3, 6.5.1, 7.2.2, 7.2.4, 8.4.2, 8.5.1, 11.1.3,
3.2.2 6.7.4, 6.8.2, 7.6.1, 7.6.2 8.5.2, 8.5.3, 11.1.4, 11.2.1
6.8.5, 6.9.1 8.5.5

ĀĆüĀîšćÜćî 4.3.2 7.5.6 11.1.2

ĀĆüĀîšćÜćî 2.1.6, 2.1.7, 3.1.1 4.2.2, 4.3.3 5.1.3, 5.2.3, 6.1.1, 6.1.2, 7.1.1, 7.2.1, 8.1.1, 8.2.1, 9.1.1, 9.1.2, 11.1.2,
ÿćøÿîđìý 2.2.1, 2.2.2 5.2.4, 5.2.6, 6.1.4, 6.2.1, 7.2.2, 7.2.3, 8.2.2, 8.2.3, 9.2.1 11.1.3,
5.2.7 6.2.2, 6.2.3, 7.2.4, 7.3.3, 8.2.4, 8.3.1, 11.1.4,
6.3.1, 6.3.2, 7.4.6, 7.5.1, 8.3.2, 8.4.1, 11.1.5,
6.4.1, 6.4.2, 7.5.2, 7.5.3, 8.4.2, 8.4.3, 11.1.6,
6.5.1, 6.7.1, 7.5.4, 7.5.5, 8.5.1, 8.5.2, 11.2.1,
6.7.2, 6.7.3, 7.5.6, 7.6.2, 8.5.3, 8.5.4, 11.3.1, 11.3.2
6.7.4, 6.8.1, 7.7.1, 7.7.2 8.5.5, 8.6.1
6.8.2, 6.8.3,
6.8.4, 6.8.5,
6.9.1, 6.9.2,
6.9.3, 6.10.1,
6.10.2,

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 18 / 174

 ïìïćì ĀîšćìĊęÙüćöøĆïñĉéßĂïêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ST02 ST03 ST04 ST05 ST06 ST07 ST08 ST09 ST10 ST11
6.10.3,
6.10.4,
6.10.5,
6.10.6

ñĎšéĎĒúÿćøÿîđìý 2.1.4 3.1.1, 3.1.2, 8.3.2 11.1.3, 11.2.1

3.1.3, 3.2.1,
3,2,2
ñĎšéĎĒúøąïï 2.1.4 3.1.1, 3.1.2, 7.2.1, 7.2.2, 8.4.1, 8.3.2 11.1.3, 11.2.1
ÿćøÿîđìý 3.1.3, 3.2.1, 7.2.3, 7.6.1
3,2,2
ĀĆüĀîšćýĎî÷Ť 5.1.1, 5.1.2,
ÙĂöóĉüđêĂøŤ 5.1.3, 5.1.4,
5.1.5, 5.1.6,
5.2.2, 5.2.4
ñĎšéĎĒúĀšĂÜ 5.1.1, 5.1.2,
ÙĂöóĉüđêĂøŤ 5.1.3, 5.1.4,
5.1.5, 5.2.2,
5.2.4

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 19 / 174

 ïìïćì ĀîšćìĊęÙüćöøĆïñĉéßĂïêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ST02 ST03 ST04 ST05 ST06 ST07 ST08 ST09 ST10 ST11
ñĎšéĎĒúýĎî÷Ť 4.3.3 5.1.1, 5.1.2
ÙĂöóĉüđêĂøŤĀøČĂ
ñĎšøĆïñĉéßĂïÿëćîìĊę
òść÷øĆÖþćÙüćö 4.3.1 5.1.1, 5.1.2,
ðúĂéõĆ÷ 5.2.7
òść÷üćÜĒñî 3.1.2 4.2.2 8.3.1 11.3.2
đìÙēîēú÷Ċÿćøÿîđìý
òść÷ðäĉïĆêĉÖćø 6.6.1, 6.6.2, 7.4.1, 7.4.2, 11.3.2
đìÙēîēú÷Ċÿćøÿîđìý 6.8.4 7.4.3, 7.4.4,
7.4.5, 7.4.6,
7.4.7
òść÷øąïïÿČęĂÿćø 7.4.6
òść÷ìøĆó÷ćÖøïčÙÙú 2.1.5 4.1.2, 4.1.3, 11.1.4, 11.1.5
4.2.2, 4.2.3,
4.3.1
òść÷óĆçîćïčÙÙúÖø 4.2.2

òść÷ÖãĀöć÷ 4.2.3 11.1.6

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 20 / 174

 ïìïćì ĀîšćìĊęÙüćöøĆïñĉéßĂïêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ST02 ST03 ST04 ST05 ST06 ST07 ST08 ST09 ST10 ST11
òść÷ïĆâßĊĒúąÖćøđÜĉî 4.3.2

ĀîŠü÷ÜćîïøĉĀćø 11.1.1
ÿĆââć
ñĎšêøüÝÿĂïĂĉÿøą 2.1.8 11.2.1,11.2.2,
11.3.1, 11.3.2
ñĎšðäĉïĆêĉÜćî 2.1.3, 2.1.4, 4.1.1, 4.1.3, 5.1.2, 5.1.5, 6.4.1 7.2.1, 7.3.1, 9.1.1, 9.1.2 11.1.2,
2.1.5 4.3.1 5.2.4, 5.2.5, 7.3.2, 7.3.3, 11.1.4, 11.1.5
5.2.7 7.4.1, 7.4.6,
7.5.5, 7.7.1,
7.7.2
ñĎšöćêĉéêŠĂýĎî÷Ť 5.1.1, 5.1.2,
ÙĂöóĉüđêĂøŤĀøČĂ ĀšĂÜ 5.1.5
ÙĂöóĉüđêĂøŤ
ĀîŠü÷Üćîõć÷ĔîìĊę 4.1.2, 4.1.3, 6.2.1, 6.2.2,
êšĂÜÖćøüŠćÝšćÜ 4.2.2, 4.3.1, 6.2.3, 6.3.2
ĀîŠü÷Üćîõć÷îĂÖ 4.3.2
ñĎšÙüïÙčöךĂöĎúÿŠüî 11.1.4
ïčÙÙú

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 21 / 174

 ïìïćì ĀîšćìĊęÙüćöøĆïñĉéßĂïêćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ST02 ST03 ST04 ST05 ST06 ST07 ST08 ST09 ST10 ST11
đÝšć×ĂÜךĂöĎúÿŠüî 11.1.4
ïčÙÙú

ĀîŠü÷Üćîõć÷îĂÖ 2.2.1, 2.2.2 4.1.1, 4.1.3, 7.2.1, 7.3.1, 9.1.1, 9.1.2

4.3.1 7.3.2, 7.4.1

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 22 / 174

ēé÷ĒêŠ ú ąĀîŠ ü ÷ÜćîĀøČ Ă ĒêŠ ú ąïč Ù ÙúĂćÝÝąöĊ Ā úć÷ïìïćìĀîš ć ìĊę ìĊę đ ÖĊę ÷ üך Ă Üĕéš ö ćÖÖüŠ ć Āîċę Ü ïìïćì
êĆüĂ÷ŠćÜđߊî
ƒ òść÷ìĊęđðŨîñĎšĔßšÜćîÿćøÿîđìýĂ÷ŠćÜđéĊ÷ü ïìïćìÙČĂ “ñĎšðäĉïĆêĉÜćî” ĒêŠđöČęĂòść÷éĆÜÖúŠćüöĊ
ÙüćöêšĂÜÖćøÝšćÜĀîŠü÷Üćîõć÷îĂÖ ÖĘÝąöĊïìïćì “ĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜ
ĀîŠü÷Üćîõć÷îĂÖ” đóĉęö×ċĚîöć đðŨîêšî
ƒ òś ć ÷ìĊę öĊ Ö ćøóĆ ç îćøąïïÿćøÿîđìý ïìïćìÙČ Ă “ñĎš ð äĉ ïĆ êĉ Ü ćî” Ēúą “ĀĆ ü Āîš ć Üćî
ÿćøÿîđìý” ĒêŠ đöČę Ăòś ć÷éĆÜÖúŠćüöĊÙüćöêšĂÜÖćøêĉéêŠĂýĎî÷ŤÙ ĂöóĉüđêĂøŤĀøČĂĀš ĂÜ
ÙĂöóĉüđêĂøŤ ÖĘÝąöĊïìïćì “ñĎšöćêĉéêŠĂýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ” đóĉęö×ċĚîöć
đðŨîêšî
ƒ òść÷ìĊęöĊÖćøóĆçîćøąïïÿćøÿîđìýĒúąöĊĀšĂÜđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷ (Server) ïìïćì
ÙČĂ “ñĎšðäĉïĆêĉÜćî” “ĀĆüĀîšćÜćîÿćøÿîđìý” Ēúą “ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ” đðŨîêšî
ƒ ïčÙúìĊęĕéšøĆïïìïćì “ĀĆüĀîšćÜćîÿćøÿîđìý” ĀøČĂ “ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ” ÷ŠĂööĊ
ïìïćì “ñĎšðäĉïĆêĉÜćî” éšü÷đߊîÖĆî

ST-02: öćêøåćîēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï Öôñ. (Standard of

Organization of Information Security)

üĆêëčðøąÿÜÙŤ
đóČęĂïøĉĀćøÝĆéÖćøÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìýĒúąøąïïÿćøÿîđìýõć÷Ĕî Öôñ. øüöìĆĚÜÿćøÿîđìý
ĒúąøąïïÿćøÿîđìýìĊęëĎÖđךćëċÜ ëĎÖðøąöüúñú ĀøČĂëĎÖĔßšĔîÖćøêĉéêŠĂÿČęĂÿćøÖĆïĀîŠü÷Üćîõć÷îĂÖ Öôñ.
ēé÷ÖĞćĀîéĔĀšöĊöćêøåćîēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïĂÜÙŤÖø àċęÜðøąÖĂïéšü÷ 2 đøČęĂÜ
éĆÜêŠĂĕðîĊĚ
1) ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷õć÷ĔîĂÜÙŤÖø (Internal Organization)
2) ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üךĂÜÖĆïĀîŠü÷Üćîõć÷îĂÖ (External Parties)

ïìïćìĀîšćìĊę
ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.)
ƒ ÖĞćĀîéìĉýìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĔîĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćø
ÿČęĂÿćø
ƒ ðøĆïðøčÜĒúąĂîčöĆêĉĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøÿČęĂÿćø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 23 / 174

 ƒ óĉÝćøèćĒúąìïìüîîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý
ƒ ÿĂïìćîĒúąóĉÝćøèćĔĀšÙüćöđĀĘîßĂïĔîÖćøÝĆéĀćĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊęđÖĊę÷üךĂÜÖĆï
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ÙüïÙč ö ÖćøïĆ Ü ÙĆ ï Ĕßš î ē÷ïć÷ öćêøåćî Ēúą×ĆĚ î êĂîðäĉ ïĆ êĉ Ü ćîéš ć îÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć î
ÿćøÿîđìý ĔĀšìĆęüëċÜìĆĚÜ Öôñ.
ƒ ĔĀšÙćĞ ðøċÖþć ÿŠÜđÿøĉöĒúąÿîĆïÿîčîÙüćöêøąĀîĆÖëċÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ÿŠ Ü đÿøĉ ö ĒúąÿîĆ ï ÿîč î ĔĀš öĊ Ö ćøøĆ ï ÙĞ ć ðøċ Ö þćÝćÖñĎš đ ßĊę ÷ üßćâĔîđøČę Ă ÜÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć î
ÿćøÿîđìý
ƒ ðøąđöĉ î ðøąÿĉ ì íĉ ñ úĔîÖćøîĞ ć îē÷ïć÷ öćêøåćî Ēúą×ĆĚî êĂîÖćøðäĉ ïĆ êĉ Ü ćî éš ć îÙüćööĆę î ÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìýĕððäĉïĆêĉ
ƒ ÝĆéĔĀšöĊÖćøêøüÝÿĂïÙüïÙčöìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÝćÖñĎšêøüÝÿĂïõć÷îĂÖ
êćöÙüćöÝĞćđðŨî

øĂÜñĎšüŠćÖćøĀøČĂñĎšìĊęĕéšøĆïöĂïĀöć÷
ƒ ðøąÿćîÜćîÖĆïÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) đóČęĂÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý õć÷Ĕîÿć÷Üćî

ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ƒ ÖĞćĀîéÙüćöøĆïñĉéßĂïĔîÖćøðÖðŜĂÜìøĆó÷ŤÿĉîĒúąÙüćöøĆïñĉéßĂïĔîÖćøéĞćđîĉîÖćøéšćîÙüćööĆęîÙÜ
ðúĂéõĆ÷×ĂÜñĎšðäĉïĆêĉÜćî
ƒ óĉÝćøèćÖćøĔßšĂčðÖøèŤðøąöüúñúÿćøÿîđìýĒúąĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćìĊęđðŨî×ĂÜÿŠüîêĆü
×ĂÜñĎšĔêšïĆÜÙĆïïĆâßć

ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜĔîÖćøÖĞćĀîéĔĀšöĊÖøąïüîÖćøÖćøðøąđöĉîÙüćö
đÿĊę÷Ü ×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊęêšĂÜÖćøđךćëċÜ
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜĔîÖćøÝĆéìĞćךĂêÖúÜĀøČĂÿĆââćøąĀüŠćÜ Öôñ. ÖĆï
ĀîŠü÷Üćîõć÷îĂÖ
ƒ ìïìüîïĆâßĊøć÷ßČęĂñĎšĔßšÜćî×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊęĕéšøĆïÿĉìíĉĔîÖćøđךćëċÜ ÿćøÿîđìý ĒúąĂčðÖøèŤ
ðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ.

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 24 / 174

 ƒ óĉÝćøèćÖćøĒÝšÜÙüćöðøąÿÜÙŤđóČęĂđךćëċÜÿćøÿîđìýÝćÖñĎšĔßšÜćî

ĀĆüĀîšćÜćîÿćøÿîđìý
ƒ ïøĉĀćøÝĆéÖćøøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïĀîŠü÷ÜćîĂČęîìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý×ĂÜ Öôñ.
ƒ ïøĉĀćøÝĆéÖćøøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïÖúčŠöìĊęöĊÙüćöÿîĔÝđðŨîóĉđýþĔîđøČęĂÜđéĊ÷üÖĆî
ƒ ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĔîÖćøÖĞćĀîéĔĀšöĊÖøąïüîÖćøÖćøðøąđöĉîÙüćöđÿĊę÷Ü ×ĂÜ
ĀîŠü÷Üćîõć÷îĂÖìĊęêšĂÜÖćøđךćëċÜ
ƒ ÝĆéĔĀšöĊÖćøìĞćךĂêÖúÜĀøČĂÿĆââćøąĀüŠćÜ Öôñ. ÖĆï ĀîŠü÷Üćîõć÷îĂÖìĊęêšĂÜÖćøđךćëċÜ
ƒ ïøĉĀćøÝĆéÖćøÿĉìíĉĔîÖćøđךćëċÜøąïïÿćøÿîđìý×ĂÜĀîŠü÷Üćîõć÷îĂÖ

ñĎšïĆÜÙĆïïĆâßć
ƒ óĉÝćøèćÙüćöðøąÿÜÙŤĔîÖćøđךćëċÜøąïïðøąöüúñúÿćøÿîđìý×ĂÜñĎšĔêšïĆÜÙĆïïĆâßć

ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý
ƒ øąïčñĎšĔßšÜćîÿćøÿîđìý ÖćøóĉÿĎÝîŤêĆüêîĒúąöĂïÿĉìíĉĔîøąïïðøąöüúñúÿćøÿîđìý

òść÷ìøĆó÷ćÖøïčÙÙú
ƒ ÝĆéĔĀšñĎšðäĉïĆêĉÜćîöĊÖćøúÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
ƒ ÿĂïìćîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.

ñĎšêøüÝÿĂïĂĉÿøą
ƒ êøüÝÿĂïÖćøÙüïÙčöìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ øć÷ÜćîñúÖćøêøüÝÿĂïéšćîÙüćööĆę îÙÜðúĂéõĆ ÷éšćîÿćøÿîđìýêŠĂÙèąÖøøöÖćøđìÙēîēú÷Ċ
ÿćøÿîđìý Öôñ. (Ùìÿ.) ĒúąÙèąÖøøöÖćøêøüÝÿĂï (Audit Committee)

ñĎšðäĉïĆêĉÜćî
ƒ ðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ
Öôñ.
ƒ ĒÝšÜÙüćöðøąÿÜÙŤĔîÖćøđךćëċÜøąïïðøąöüúñúÿćøÿîđìýêŠĂñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ĒúąñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 25 / 174

 ƒ úÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.

ĀîŠü÷Üćîõć÷îĂÖ
ƒ ðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ
Öôñ.
ƒ ĒÝšÜÙüćöðøąÿÜÙŤĔîÖćøđךćëċÜêŠĂñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂï
ƒ úÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.

2.1 ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷õć÷ĔîĂÜÙŤÖø (Internal Organization)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøïøĉĀćøÝĆéÖćøéšćîÙüćööĆęîÙÜðúĂéõĆ÷ ÖćøðøąÿćîÜćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýõć÷Ĕî
Öôñ. ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïéšćîÙüćööĆęîÙÜðúĂéõĆ÷ ÖøąïüîÖćøĂîčöĆêĉÖćøĔßšÜćîĂčðÖøèŤ
ðøąöüúñúÿćøÿîđìý ÖćøúÜîćööĉĔĀšđðŗéđñ÷ÿćøÿîđìýìĊęđðŨîÙüćöúĆï×ĂÜ Öôñ. ÖćøöĊøć÷ßČęĂĒúą×šĂöĎú
ÿĞćĀøĆïÖćøêĉéêŠĂÖĆïĀîŠü÷ÜćîĂČęîĒúąÖúčŠöìĊęöĊÙüćöøĎšÙüćöÿîĔÝđøČęĂÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ĒúąÖćøìïìüîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý

öćêøåćî
2.1.1 ÖćøĔĀšÙüćöÿĞćÙĆâ×ĂÜñĎšïøĉĀćøĒúąÖćøÖĞćĀîéĔĀšöĊÖćøïøĉĀćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý (Management Commitment to Information Security)
1) ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) êšĂÜïøĉĀćøÝĆéÖćøÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý ĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøÖĞćĀîéđðŜćĀöć÷ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĒúąìĉýìćÜĔîÖćøÿîĆïÿîčîÖćø
øĉđøĉęöÖćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ĔîĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćø
ÿČęĂÿćøĕüšĂ÷ŠćÜßĆéđÝî ēé÷êšĂÜêøÜÖĆïÙüćöêšĂÜÖćøìćÜéšćîíčøÖĉÝ ĒúąêšĂÜÙøĂïÙúčöÖĆï
ÖøąïüîÖćøìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
2. ÖćøðøĆïðøčÜĒúąĂîčöĆêĉĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøÿČęĂÿćø
3. ÖćøóĉÝćøèćĒúąìïìüîîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
4. ÖćøÿĂïìćîĒúąóĉÝćøèćĔĀšÙüćöđĀĘîßĂïĔîÖćøÝĆéĀćĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊę
đÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 26 / 174

 5. ÖćøÙüïÙč ö ÖćøïĆ Ü ÙĆ ï Ĕßš î ē÷ïć÷ öćêøåćî Ēúą×ĆĚ î êĂîðäĉ ïĆ êĉ Ü ćîéš ć îÙüćööĆę î ÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý ĔĀšìĆęüëċÜìĆĚÜ Öôñ.
6. ÖćøÿŠÜđÿøĉöĒúąÿîĆïÿîčîÙüćöêøąĀîĆÖëċÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĂ÷ŠćÜ
êŠĂđîČęĂÜ
7. ÖćøÿŠ Ü đÿøĉ ö ĒúąÿîĆ ï ÿîč î ĔĀš öĊ Ö ćøøĆ ï ÙĞ ć ðøċ Ö þćÝćÖñĎš đ ßĊę ÷ üßćâĔîđøČę Ă ÜÙüćööĆę î ÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
8. ÖćøðøąđöĉîðøąÿĉìíĉñúĔîÖćøîĞćîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćîéšćîÙüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕððäĉïĆêĉ
2) ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) êšĂÜöĊÖćøðøąßčöĂ÷ŠćÜîšĂ÷ĕêøöćÿúąĀîċęÜÙøĆĚÜ

2.1.2 ÖćøðøąÿćîÜćîÙüćööĆęîÙÜðúĂéõĆ÷õć÷Ĕî Öôñ. (Information Security Coordination)

1) øĂÜñĎšüŠćÖćøĀøČĂñĎšìĊęĕéšøĆïöĂïĀöć÷ êšĂÜðøąÿćîÜćîÖĆïÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ.
(Ùìÿ.) đóČęĂÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÿĂïìćîÖćøðäĉïĆêĉÜćî×ĂÜñĎšðäĉïĆêĉÜćîĔîĀîŠü÷ÜćîĔĀšÿĂéÙúšĂÜÖĆïîē÷ïć÷ÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
2. ÖĞćĀîéĒîüìćÜĔîÖćøïøĉĀćøÝĆéÖćøđöČęĂöĊÖćøðäĉïĆêĉìĊęĕöŠÿĂéÙúšĂÜÖĆïîē÷ïć÷ÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
3. ĂîčöĆêĉüĉíĊÖćøĒúąÖøąïüîÖćøìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý đߊî
ÖćøðøąđöĉîÙüćöđÿĊę÷ÜĒúąÖćøÖĞćĀîéßĆĚîÙüćöúĆïךĂöĎú đðŨîêšî
4. øąïčÖćøđðúĊę÷îĒðúÜ×ĂÜõĆ÷ÙčÖÙćöĒúąßŠĂÜēĀüŠìĊęÿĞćÙĆâĒúąĒúąÙüćöđðŨîĕðĕéšìĊęõĆ÷
ÙčÖÙćöêŠćÜėÝąÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷êŠĂÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý
×ĂÜ Öôñ.
5. ÖćøÿøšćÜÙüćöêøąĀîĆÖ ĔĀšÙüćöøĎšĒúąÖćøòřÖĂïøö ìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý ĔĀšìĆęüëċÜìĆĚÜ Öôñ.
6. ðøąđöĉîÙüćöëĎÖêš ĂÜĒúąđĀöćąÿö×ĂÜÖćøîĞćîē÷ïć÷éšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý×ĂÜÖćøïĆÜÙĆïĔßš
7. ðøąđöĉîøć÷ÜćîñúÖćøđòŜćøąüĆÜĒúąÿĂïìćîÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý ĒúąĔĀšÙĞćĒîąîĞćìĊęđĀöćąÿöĔîÖćøøĆïöČĂÖĆïÿëćîÖćøèŤéĆÜÖúŠćü

2.1.3 ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿćøÿîđìý (Allocation of

Information Security Responsibilities)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 27 / 174

 1) îē÷ïć÷ ĒúąöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕéšöĊÖćøøąïčĀîšćìĊęÙüćöøĆïñĉéßĂïĕüš
Ēúšü ìĆĚ ÜîĊĚĀîšć ìĊęÙ üćöøĆïñĉ éßĂï éĆÜ ÖúŠćüêš ĂÜĕéšøĆ ï ÖćøðøĆï ĔßšĒ úąđóĉęö đêĉ ö Ĕîøć÷úąđĂĊ ÷éĔĀš
đĀöćąÿöêŠĂÿćøÿîđìýĒúąøąïïÿćøÿîđìýĒêŠúąðøąđõì
2) ñĎšðäĉïĆêĉÜćîìĊęĕéšøĆïöĂïĀöć÷ĔĀšøĆïñĉéßĂïĂćÝöĊÖćøöĂïĀöć÷ÜćîìĊęĕéšøĆïĕð÷ĆÜñĎšĂČęîĕéš Ă÷ŠćÜĕøÖĘ
êćöñĎšðäĉïĆêĉÜćîîĆĚî÷ĆÜÙÜêšĂÜÙüćöøĆïñĉéßĂïêŠĂÜćîéĆÜÖúŠćü øüöìĆĚÜêšĂÜöĆęîĔÝüŠćÜćîìĊęöĂïĀöć÷
ĕð÷ĆÜñĎšĂČęîîĆĚîĕéšøĆïÖćøéĞćđîĉîÜćîĂ÷ŠćÜëĎÖêšĂÜ
3) ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð öĊĀîšćìĊęÖĞćĀîéÙüćöøĆïñĉéßĂïĔîÖćøðÖðŜĂÜìøĆó÷Ťÿĉî Ēúą
ÙüćöøĆïñĉéßĂïĔîÖćøéĞćđîĉîÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜñĎšðäĉïĆêĉÜćîĕüšĂ÷ŠćÜßĆéđÝî ĔîđøČęĂÜ
éĆÜêŠĂĕðîĊĚ
1. êš Ă Üøąïč ì øĆ ó ÷Ť ÿĉ î ĒúąÖøąïüîÖćøéš ć îÙüćööĆę î ÙÜðúĂéõĆ ÷ ìĊę đ ÖĊę ÷ üך Ă ÜÖĆ ï øąïï
ÿćøÿîđìý
2. êšĂÜÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜñĎšðäĉïĆêĉÜćîêŠĂìøĆó÷ŤÿĉîĒúąÖøąïüîÖćøìćÜéšćî
ÙüćööĆęîÙÜðúĂéõĆ÷Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
3. êšĂÜÖĞćĀîéøąéĆï×ĂÜÿĉìíĉÖćøđךćëċÜ (Authorization Level) ĕüšĂ÷ŠćÜßĆéđÝîĒúąđðŨîúć÷
úĆÖþèŤĂĆÖþø
4) ñϚߊü÷ñĎšüŠćÖćøđìÙēîēú÷Ċÿćøÿîđìý öĊĀîšćìĊęéĎĒúøĆïñĉéßĂïÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìýĔĀšđðŨîĕðêćöîē÷ïć÷Ēúąöćêøåćî×ĂÜ Öôñ. ēé÷ĔĀšöĊÖćøïøĉĀćøÙüćöđÿĊę÷ÜìĊę
đĀöćąÿö đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷ĀøČĂñúÖøąìïìĊęĂćÝđÖĉé×ċĚî

2.1.4 ÖøąïüîÖćøĔîÖćøĂîčöĆêĉÖćøĔßšÜćîĂčðÖøèŤðøąöüúñúÿćøÿîđìý (Authorization Process for

Information Processing Facilities)
1) ñĎšðäĉïĆêĉÜćîêšĂÜĒÝšÜÙüćöðøąÿÜÙŤĔîÖćøđךćëċÜøąïïðøąöüúñúÿćøÿîđìýêŠĂñĎšïĆÜÙĆïïĆâßć Ēúą
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ēé÷ñĎšĔßšÜćîÿćøÿîđìýÿćöćøëĔßšÜćîĕéšĀúĆÜĕéšøĆï ÖćøĂîčöĆêĉ
2) ÖćøĒÝšÜÙüćöðøąÿÜÙŤđóČęĂđךćëċÜÿćøÿîđìýêšĂÜðäĉïĆêĉêćöÖøąïüîÖćøĔîÖćøøšĂÜ×ĂéĆÜîĊĚ
ÖćøøšĂÜ×Ă: ñĎšĔßšÜćîÿćøÿîđìýöĊĀîšćìĊęĔîÖćøøšĂÜ×ĂÖćøđךćëċÜ
ÖćøĂîčöĆê:ĉ ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð×ĂÜñĎšøšĂÜ×ĂöĊĀîšćìĊęĔîÖćøóĉÝćøèćÖćøøšĂÜ
×Ă
ÖćøöĂïÿĉìíĉ: ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýöĊĀîšćìĊęĔîÖćøóĉÝćøèćÖćøøšĂÜ×Ă
ÖćøîĞ ć ĕðĔßš : ñĎš éĎ Ē úÿćøÿîđìýĒúąñĎš éĎ Ē úøąïïÿćøÿîđìýöĊ Ā îš ć ìĊę Ĕ îÖćøøąïč ñĎš Ĕ ßš Ü ćî
ÿćøÿîđìý ÖćøóĉÿĎÝîŤêĆüêîĒúąöĂïÿĉìíĉ Ĕîøąïïðøąöüúñúÿćøÿîđìý×ĂÜñĎš
đðŨîđÝšć×ĂÜÿćøÿîđìýîĆĚî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 28 / 174

 3) ÖćøîĞćöćĔßšàċęÜĂčðÖøèŤðøąöüúñúÿćøÿîđìýĒúąĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćìĊęđðŨî×ĂÜÿŠüîêĆü
êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð

2.1.5 ÖćøúÜîćööĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜĂÜÙŤÖø (Confidentiality Agreements)

1) òść÷ìøĆó÷ćÖøïčÙÙúêšĂÜÖĞćĀîéĔĀšñĎšðäĉïĆêĉÜćîúÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
ēé÷ëČĂđðŨîÿŠüîĀîċęÜ×ĂÜÖćøüŠćÝšćÜ ìĆĚÜîĊĚךĂêÖúÜéĆÜÖúŠćüêšĂÜöĊÖćøøąïčëċÜךĂÖĞćĀîéđóČęĂðÖðŜĂÜ
ךĂöĎúìĊęđðŨîÙüćöúĆï ĒúąöĊךĂÙüćöìĊęÿćöćøëîĞćĕðïĆÜÙĆïĔßšĕéšêćöÖãĀöć÷
2) ךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ. êšĂÜøąïčđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ךĂöĎúìĊęêšĂÜĕéšøĆïÖćøðÖðŜĂÜ
2. øą÷ąđüúćïĆÜÙĆïĔßš×ĂÜךĂêÖúÜ
3. ךĂðäĉïĆêĉđöČęĂÿĉĚîÿčéךĂêÖúÜ
4. ĀîšćìĊęÙüćöøĆïñĉéßĂïĒúą×šĂðäĉïĆêĉ×ĂÜñĎšúÜîćö đóČęĂĀúĊÖđúĊę÷ÜÖćøđðŗéđñ÷ךĂöĎúēé÷ĕöŠĕéš
øĆïĂîčâćê
5. ÿĉìíĉÙüćöđðŨîđÝšć×ĂÜÿćøÿîđìý ÿĉìíĉéšćîÙüćöúĆïìćÜÖćøÙšć ĒúąìøĆó÷ŤÿĉîìćÜðŦââć
6. ÖćøĂîčâćêĔĀšĔߚךĂöĎúìĊęđðŨîÙüćöúĆïĒúąÿĉìíĉ×ĂÜñĎšúÜîćöđóČęĂĔߚךĂöĎú
7. ÿĉìíĉĔîÖćøêøüÝÿĂïĒúąđòŜćøąüĆÜÖćøðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜÖĆïךĂöĎúìĊęđðŨîÙüćöúĆï
8. ÖøąïüîÖćøĒÝšÜđĀêčÖćøèŤÖćøđðŗéđñ÷ךĂöĎúēé÷ĕöŠĕéšøĆïĂîčâćêĀøČĂÖćøøĆęüĕĀú×ĂÜךĂöĎú
ìĊęđðŨîÙüćöúĆï
9. đÜČęĂîĕ×ĔîÖćøÿŠÜÙČîĀøČĂìĞćúć÷ךĂöĎú đöČęĂöĊÖćøøąÜĆïךĂêÖúÜ
10. ךĂðäĉïĆêĉĔîÖøèĊìĊęöĊÖćøúąđöĉéÿĆââć
3) đÜČęĂîĕ×Ēúą×šĂ ÙüćöĂČęîėîĂÖđĀîČĂÝćÖך ćÜêšîĂćÝëĎÖ øąïčúÜĕðĔîÖćøìĞ ć ÿĆâ âćöĉĔ Āšđðŗéđñ÷
ÙüćöúĆï×ĂÜ Öôñ. ìĆĚÜîĊĚ×ċĚîĂ÷ĎŠÖĆïøąéĆïÙüćöêšĂÜÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜ Öôñ.
4) òść÷ìøĆó÷ćÖøïčÙÙú êšĂÜÿĂïìćîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï Ă÷ŠćÜîšĂ÷ðŘúąĀîċęÜÙøĆĚÜ ĀøČĂđöČęĂöĊ
ÖćøđðúĊę÷îĒðúÜìĊęÿĞćÙĆâ×ĂÜÖãĀöć÷Ēúą×šĂÖĞćĀîéĂČęîėìĊęđÖĊę÷üךĂÜ

2.1.6 ÖćøöĊøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïĀîŠü÷ÜćîĂČęî (Contact with Authorities)

1) ĀĆ ü Āîš ć ÜćîÿćøÿîđìýöĊ Ā îš ć ìĊę Ĕ îÝĆ é ìĞ ć ĒúąðøĆ ï ðøč Ü øć÷ßČę Ă Ēúą×š Ă öĎ ú ÿĞ ć ĀøĆ ï Öćøêĉ é êŠ Ă ÖĆ ï
ĀîŠü÷ÜćîĂČęî àċęÜøüöìĆĚÜĀîŠü÷Üćîõć÷ĔîĒúąĀîŠü÷Üćîõć÷îĂÖ Öôñ. ìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý ēé÷öĊêĆüĂ÷ŠćÜéĆÜêŠĂĕðîĊĚ
1. ĀîŠü÷ÜćîìćÜéšćîÖãĀöć÷
x ÿĞćîĆÖÜćîêĞćøüÝĒĀŠÜßćêĉ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 29 / 174

 x ÖøąìøüÜđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøÿČęĂÿćø (ICT)
x ýĎî÷ŤđìÙēîēú÷ĊĂĉđúĘÖìøĂîĉÖÿŤĒúąÙĂöóĉüđêĂøŤĒĀŠÜßćêĉ (NECTEC)
2. ĀîŠü÷ÜćîÖĞćÖĆïéĎĒú
x ÿĞćîĆÖÜćîÙèąÖøøöÖćøîē÷ïć÷øĆåüĉÿćĀÖĉÝ (ÿÙø.)
x ïøĉþĆì ĕì÷đøìêĉĚÜĒĂîéŤĂĉîôĂøŤđößĆęîđàĂøŤüĉÿ ÝĞćÖĆé (TRIS)
3. ñĎšĔĀšïøĉÖćøéšćîÖćøÿČęĂÿćøĒúąēìøÙöîćÙö
x ïøĉþĆì ìĊēĂìĊ ÝĞćÖĆé (öĀćßî)
x ïøĉþĆì ìøĎ ÙĂøŤðĂđøßĆęî ÝĞćÖĆé (öĀćßî)
x ïøĉþĆì ìĊìĊĒĂîéŤìĊ ÝĞćÖĆé (öĀćßî)
x ïøĉþĆì Öÿì ēìøÙöîćÙö ÝĞćÖĆé (öĀćßî)
4. ñĎšĔĀšïøĉÖćøđÙøČĂ׊ć÷ĂĉîđêĂøŤđîĘê
x ïøĉþĆì đÙ đĂÿ àĊ ÙĂöđöĂøŤđßĊ÷ú ĂĉîđêĂøŤđîê ÝĞćÖĆé
x ïøĉþĆì Öÿì ēìøÙöîćÙö ÝĞćÖĆé (öĀćßî)
x ïøĉþĆì ìøĎ ÙĂøŤðĂđøßĆęî ÝĞćÖĆé (öĀćßî)
x ïøĉþĆì ĂĉîđìĂøŤđîĘêðøąđìýĕì÷ ÝĞćÖĆé (öĀćßî)
x ïøĉþĆì ÿćöćøë Ăĉîēôđîê ÝĞćÖĆé
x ïøĉþĆì àĊđĂÿ úĘĂÖàĂĉîēô ÝĞćÖĆé (öĀćßî)
5. ĀîŠü÷Üćîõć÷Ĕî
x EGAT CERT
x Help Desk
x òść÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý (Ăüì.)
x òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý (Ăðì.)

2) ĀĆüĀîšćÜćîÿćøÿîđìýöĊĀîšćìĊęĔîÖćøìïìüîøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïĀîŠü÷ÜćîĂČęî
Ă÷ŠćÜîšĂ÷ðŘúąĀîċęÜÙøĆĚÜ ĀøČĂđöČęĂöĊÖćøđðúĊę÷îĒðúÜøć÷ßČęĂĒúą×šĂöĎúéĆÜÖúŠćü

2.1.7 ÖćøöĊøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïÖúčŠöìĊęöĊÙüćöÿîĔÝđðŨîóĉđýþĔîđøČęĂÜđéĊ÷üÖĆî (Contact

with Special Interest Groups)
1) ĀĆüĀîšćÜćîÿćøÿîđìýöĊĀîšćìĊęĔîÝĆéìĞć ĒúąðøĆïðøčÜøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïÖúčŠöìĊęöĊ
ÙüćöÿîĔÝđðŨîóĉđýþĔîđøČęĂÜđéĊ÷üÖĆî Ă÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
1. ßöøöđìÙēîēú÷ĊÿćøÿîđìýøĆåüĉÿćĀÖĉÝĒĀŠÜðøąđìýĕì÷ (ICTSEC)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 30 / 174

 2. ßöøöøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ (ISA)
3. ýĎî÷ŤðøąÿćîÜćîÖćøøĆÖþćÙüćöðúĂéõĆ÷ÙĂöóĉüđêĂøŤ ðøąđìýĕì÷ (ThaiCERT)
2) ĀĆüĀîšćÜćîÿćøÿîđìýöĊĀîšćìĊęĔîÖćøìïìüîøć÷ßČęĂĒúą×šĂöĎúÿĞćĀøĆïÖćøêĉéêŠĂÖĆïÖúčŠöìĊęöĊÙüćö
ÿîĔÝđðŨîóĉđýþĔîđøČęĂÜđéĊ÷üÖĆîĂ÷ŠćÜîšĂ÷ðŘúąĀîċęÜÙøĆĚÜ ĀøČĂđöČęĂöĊÖćøđðúĊę÷îĒðúÜøć÷ßČęĂĒúą×šĂöĎú
Ēúą×šĂöĎúéĆÜÖúŠćü

2.1.8 ÖćøìïìüîéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïÿćøÿîđìýēé÷ñĎšêøüÝÿĂïĂĉÿøą (Independent

Review of Information Security)
1) ñĎšêøüÝÿĂïĂĉÿøą êšĂÜìĞćÖćøêøüÝÿĂïÖćøÙüïÙčöìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
Ă÷ŠćÜîšĂ÷ðŘúąĀîċęÜÙøĆĚÜ
2) ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) êšĂÜÝĆéĔĀšöĊÖćøêøüÝÿĂïÙüïÙčöìćÜéšćîÙüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÝćÖñĎšêøüÝÿĂïõć÷îĂÖêćöÙüćöÝĞćđðŨî
3) ñú×ĂÜÖćøêøüÝÿĂïêšĂÜĕéšøĆïÖćøïĆîìċÖĒúąøć÷ÜćîêŠĂÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ.
(Ùìÿ.) ĒúąÙèąÖøøöÖćøêøüÝÿĂï (Audit Committee)
4) ñú×ĂÜÖćøêøüÝÿĂïàċęÜïŠÜßĊĚךĂïÖóøŠĂÜ×ĂÜÖćøÙüïÙčöéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ĀøČĂÖćøĕöŠðäĉïĆêĉêćöîē÷ïć÷ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý êšĂÜĕéšøĆï ÖćøóĉÝćøèć
ĒÖš ĕ ×ēé÷ÙèąÖøøöÖćøđìÙēîēú÷Ċ ÿ ćøÿîđìý Öôñ. (Ùìÿ.) ĀøČ Ă ñĎš ìĊę ĕ éš øĆ ï öĂïĀöć÷ēé÷
ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.)
5) ×Ăïđ×ê×ĂÜÖćøêøüÝÿĂïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýêšĂÜÙøĂïÙúčöÖćøêĉéêćöñú Öćø
êøüÝÿĂïĔîÙøĆĚÜìĊęñŠćîöć

2.2 ēÙøÜÿøšćÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üךĂÜÖĆïĀîŠü÷Üćîõć÷îĂÖ (External

Parties)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøðøąđöĉîÙüćöđÿĊę÷Ü×ĂÜÖćøđךćëċÜÿćøÿîđìýēé÷ĀîŠü÷Üćîõć÷îĂÖ ÖćøøąïčךĂÖĞćĀîéìĊęđÖĊę÷üךĂÜÖĆï
ÙüćööĆęîÙÜðúĂéõĆ÷ ĒúąÖćøøąïčĒúąÝĆéìĞćךĂÖĞćĀîéÿĞćĀøĆïĀîŠü÷Üćîõć÷îĂÖìĊęđÖĊę÷üךĂÜÖĆï Ùüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.

öćêøåćî
2.2.1 ÖćøðøąđöĉîÙüćöđÿĊę÷Ü×ĂÜÖćøđךćëċÜÿćøÿîđìýēé÷ĀîŠü÷Üćîõć÷îĂÖ (Identification of Risks
Related to External Parties)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 31 / 174
 1) đöČęĂöĊÙüćöÝĞćđðŨîêšĂÜĔĀšĀîŠü÷Üćîõć÷îĂÖđךćëċÜÿćøÿîđìý ĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂïêšĂÜÝĆéĔĀšöĊÖćøìĞćךĂêÖúÜĀøČĂ
ÿĆââćøąĀüŠćÜ Öôñ. ÖĆï ĀîŠü÷Üćîõć÷îĂÖ ēé÷ךĂêÖúÜĀøČĂÿĆââćêšĂÜöĊÙčèÿöïĆêĉ éĆÜêŠĂĕðîĊĚ
1. öĊÖćøÖĞćĀîéøąéĆïĔîÖćøĔĀšïøĉÖćøøąĀüŠćÜÖĆîĂ÷ŠćÜßĆéđÝî
2. öĊÖćøøąïčĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜìĆĚÜ Öôñ. ĒúąĀîŠü÷Üćîõć÷îĂÖ
3. ÿćöćøëúéÙüćöđÿĊę÷Ü×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊęöĊêŠĂ Öôñ.
4. öĊÖćøøąïčĔĀšĀîŠü÷Üćîõć÷îĂÖêšĂÜðäĉïĆêĉêćöîē÷ïć÷éšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý êúĂéÝîךĂÖĞćĀîéìĊęđÖĊę÷üךĂÜ
2) ÖŠĂîÖćøìĞćךĂêÖúÜĀøČĂÿĆââćÖĆïĀîŠü÷Üćîõć÷îĂÖ ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšć×ĂÜ
ĀîŠ ü ÷ÜćîÿćøÿîđìýìĊę øĆ ï ñĉ é ßĂïêš Ă ÜÖĞ ć ĀîéĔĀš öĊ Ö øąïüîÖćøÖćøðøąđöĉ î ÙüćöđÿĊę ÷ Üēé÷
ðøąÿćîÜćîÖĆïĀîŠü÷ÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜ
3) ÖćøøąïčÙüćöđÿĊę÷Ü×ĂÜÖćøđךćëċÜøąïïÿćøÿîđìýÝćÖĀîŠü÷Üćîõć÷îĂÖêšĂÜóĉÝćøèćðøąđéĘî
éĆÜêŠĂĕðîĊĚ
1. ÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊęĀîŠü÷Üćîõć÷îĂÖêšĂÜÖćøđךćëċÜ
2. ðøąđõì×ĂÜÖćøđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý đߊî
x Öćøđך ć ëċ Ü ìćÜÖć÷õćó (Physical Access) đߊî Öćøđךć ÿĞ ć îĆÖ Üćî ĀšĂ Ü
ÙĂöóĉüđêĂøŤ ĒúąêĎšđÖĘïđĂÖÿćø đðŨîêšî
x ÖćøđךćëċÜìćÜêøøÖą (Logical Access) đߊî ÖćøđךćëċÜåćîךĂöĎúĒúąøąïïךĂöĎú
đðŨîêšî
x ÖćøđßČęĂöêŠĂđÙøČĂ׊ć÷øąĀüŠćÜ Öôñ. ÖĆïĀîŠü÷Üćîõć÷îĂÖ Ă÷ŠćÜđߊî
i ÖćøđßČęĂöêŠĂñŠćîđÙøČĂ׊ć÷ÿćíćøèą (Public network) đߊî Internet đðŨî
êšî
i ÖćøđßČęĂöêŠĂñŠćîđÙøČĂ׊ć÷ÿŠüîêĆü (Private Network) đߊî Local Network
đðŨîêšî
i ÖćøđßČęĂöêŠĂĒïïëćüø (Permanent Connection ) đߊî Leased line đðŨî
êšî
i ÖćøđßČęĂöêŠĂđöČęĂêšĂÜÖćøđìŠćîĆĚî (Per-request Connection ) đߊî Dialup
Modem đðŨîêšî
x ÖćøđךćëċÜîĆĚîđÖĉé×ċĚîìĊęõć÷ĔîĀøČĂõć÷îĂÖÿĞćîĆÖÜćî×ĂÜ Öôñ.
3. öĎúÙŠćĒúąÙüćöÿĞćÙĆâ×ĂÜÿćøÿîđìýÿĞćĀøĆïÖćøéĞćđîĉîíčøÖĉÝ
4. ÖćøÙüïÙčöìĊęÝĞćđðŨîđóČęĂĔßšĔîÖćøðÖðŜĂÜÿćøÿîđìýÝćÖÖćøđךćëċÜēé÷ĀîŠü÷Üćîõć÷îĂÖ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 32 / 174

 5. ïčÙÙúćÖøÝćÖĀîŠü÷Üćîõć÷îĂÖìĊęđÖĊę÷üךĂÜÖĆïÖćøÝĆéÖćøÿćøÿîđìý×ĂÜĂÜÙŤÖø
6. ÖøąïüîÖćøĔîÖćøóĉÿĎÝîŤêĆüêîĒúąÿĉìíĉìĊęĔĀšĒÖŠĀîŠü÷Üćîõć÷îĂÖ øüöëċÜÙüćöëĊęĔîÖćø
ÿĂïìćîÿĉìíĉìĊęĕéšøĆï
7. ñúÖøąìïìĊę đ Öĉ é ×ċĚ î ĀćÖĀîŠ ü ÷Üćîõć÷îĂÖĕöŠ ÿ ćöćøëđך ć ëċ Ü ÿćøÿîđìýĒúąøąïï
ÿćøÿîđìýĕéšđöČęĂêšĂÜÖćø ĒúąñúÖøąìïĀćÖĀîŠü÷Üćîõć÷îĂÖîĞćđךćÿćøÿîđìýĀøČĂ
ĕéšøĆïÿćøÿîđìýìĊęĕöŠëĎÖêšĂÜ
8. ךĂÖĞćĀîéĒúąđÜČęĂîĕ×ĔîÖćøđךćëċÜÝćÖĀîŠü÷Üćîõć÷îĂÖĔîÖøèĊìĊęđÖĉéÿëćîÖćøèŤìĊę
đÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
9. ÖãĀöć÷ ךĂÖĞćĀîé ĒúąÿĆââćךĂïĆÜÙĆïĂČęîėìĊęđÖĊę÷üךĂÜÖĆïĀîŠü÷Üćîõć÷îĂÖ
10. ñúÖøąìïêŠĂñĎšìĊęöĊÿŠüîĕéšÿŠüîđÿĊ÷ (Stakeholders) ÝćÖךĂêÖúÜĀøČĂÿĆââćÖĆïĀîŠü÷Üćî
õć÷îĂÖ
4) ĀîŠü÷Üćîõć÷îĂÖìĊęêšĂÜÖćøđךćëċÜÿćøÿîđìý ĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìýêšĂÜĒÝšÜÙüćö
ðøąÿÜÙŤĔîÖćøđךćëċÜêŠĂñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂï ēé÷
ĀîŠü÷Üćîõć÷îĂÖìĊęĒÝšÜÙüćöðøąÿÜÙŤÝąÿćöćøëĔßšÜćîĕéšĀúĆÜÝćÖĕéšøĆïÖćøĂîčöĆêĉ

2.2.2 ÖćøøąïčךĂÖĞćĀîéÿĞćĀøĆïĀîŠü÷Üćîõć÷îĂÖìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
×ĂÜ Öôñ. (Addressing Security When Dealing with External Party)
1) ĀîŠü÷Üćîõć÷îĂÖàċęÜÿćöćøëđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ. êšĂÜ
ðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ
Öôñ.
2) ÖćøđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ. ēé÷ĀîŠü÷Üćîõć÷îĂÖêšĂÜ
ĕéšøĆïÖćøÝĞćÖĆéđÞóćąìĊęÝĞćđðŨîĔîÖćøìĞćÜćîđìŠćîĆĚî
3) ĀîŠü÷Üćîõć÷îĂÖìĊęêšĂÜÖćøđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìýêšĂÜĒÝšÜÙüćö
ðøąÿÜÙŤĔîÖćøđךćëċÜêŠĂñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂï ēé÷
ĀîŠü÷Üćîõć÷îĂÖìĊę ĒÝšÜÙüćöðøąÿÜÙŤÝąÿćöćøëĔßšÜćîĕéšĀúĆÜÝćÖĕéšøĆïÖćøĂîčöĆêĉ
4) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂïêšĂÜÖĞćĀîéĔĀšĀîŠü÷Üćîõć÷îĂÖ
úÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ. ēé÷ëČĂđðŨîÿŠüîĀîċęÜ×ĂÜÖćøüŠćÝšćÜìĆĚÜîĊĚךĂêÖúÜ
éĆÜÖúŠćüêšĂÜöĊÖćøøąïčëċÜךĂÖĞćĀîéđóČęĂðÖðŜĂÜךĂöĎúìĊęđðŨîÙüćöúĆïĒúąöĊךĂÙüćöìĊęÿćöćøëîĞćĕð
ïĆÜÙĆïĔßšĕéšêćöÖãĀöć÷ îĂÖÝćÖîĊĚךĂêÖúÜéĆÜÖúŠćüêšĂÜĕéšøĆïÖćøÿĂïìćîēé÷òść÷ÖãĀöć÷

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 33 / 174

 5) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂïêšĂÜÝĆéĔĀšöĊöćêøÖćøđóČęĂÖćøøĆÖþć
ÙüćöúĆï (Confidentiality) ĒúąÙüćöëĎÖêšĂÜÙøïëšüî (Integrity) ×ĂÜÿćøÿîđìýìĊęÿŠÜñŠćî
øąĀüŠćÜ Öôñ. ĒúąĀîŠü÷Üćîõć÷îĂÖ đߊî ÖćøđךćøĀĆÿךĂöĎú (Data Encryption) đðŨîêšî
6) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜëĂéëĂîÿĉìíĉĔîÖćøđךćëċÜøąïïÿćøÿîđìý×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊę
ÿĉĚîÿčéÿĆââćĀøČĂđöČęĂĕöŠöĊÙüćöÝĞćđðŨîêšĂÜđךćëċÜ
7) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜìïìüîïĆâßĊøć÷ßČęĂñĎšĔßšÜćî×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊęĕéšøĆïÿĉìíĉĔîÖćø
đךćëċÜ ÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ. đðŨîðøąÝĞćìčÖ 3 đéČĂî đóČęĂ÷Čî÷Ćî
ÙüćöÝĞćđðŨîĔîÖćøĔßšÜćî
8) ĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂïêšĂÜÖĞćĀîéĔĀšöĊÖúĕÖÖćøêøüÝÿĂï Ă÷ŠćÜđߊî ĀúĆÖåćîÖćø
êøüÝÿĂï (Audit Trail) đóČęĂߊü÷ĔîÖćøøąïčĒúąÿČïĀćߊĂÜēĀüŠéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìýÝćÖñĎšĔßšÜćî×ĂÜĀîŠü÷Üćîõć÷îĂÖ
9) ĀîŠü÷Üćîõć÷îĂÖêšĂÜĕéšøĆïÖćøĂîčâćêÝćÖĀĆüĀîšćÜćîÿćøÿîđìýìĊęøĆïñĉéßĂï ÖŠĂîÖćøđßČęĂöêŠĂ
ĂčðÖøèŤÿćøÿîđìýÿŠüîêĆü đךćÖĆïĂčðÖøèŤÿćøÿîđìý×ĂÜ Öôñ. đߊî ÙĂöóĉüđêĂøŤēîšêïčšÙ Ēúą
đÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷ đðŨîêšî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-33 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøđöČęĂđÖĉéÿëćîÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý (Information Security Incident Management Procedure)

ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of Asset

Management)

üĆêëčðøąÿÜÙŤ
đóČęĂðŜĂÜÖĆîìøĆó÷ŤÿĉîÝćÖÙüćöđÿĊ÷Āć÷ìĊęĂćÝđÖĉé×ċĚî ĒúąÖĞćĀîéøąéĆï×ĂÜÖćøðŜĂÜÖĆîÿćøÿîđìý×ĂÜ Öôñ.
Ă÷ŠćÜđĀöćąÿö Öôñ. ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý àċęÜðøąÖĂïéšü÷ 2 đøČęĂÜ
éĆÜêŠĂĕðîĊĚ
1) ĀîšćìĊęÙüćöøĆïñĉéßĂïêŠĂìøĆó÷Ťÿĉî×ĂÜĂÜÙŤÖø (Responsibility of Assets)
2) ÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìý ( Information Classification)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 34 / 174

ïìïćìĀîšćìĊę
òść÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý (Ăüì.)
ƒ ĔĀš ÙĞ ć ðøċ Ö þćĒúąĒîąîĞ ć ñĎš ĂĞ ć îü÷Öćøòś ć ÷ĀøČ Ă đìĊ ÷ ïđìŠ ć ×ċĚ î ĕð ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìý ñĎš éĎ Ē ú
ÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý ĔîÖćøïĞćøčÜøĆÖþćÿćøÿîđìýĂ÷ŠćÜðúĂéõĆ÷ĒúąÝĆéìĞć
ìąđïĊ÷îìøĆó÷Ťÿĉî óøšĂöìĆĚÜĒïŠÜøąéĆïĀöüéĀöĎŠÿćøÿîđìý
ƒ ðøąÿćîÜćîòść÷óĆçîćïčÙúćÖøĔîÖćøòřÖĂïøöìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý

ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ƒ ÝĆéìĞćìąđïĊ÷îìøĆó÷ŤÿĉîĒúąĒïŠÜøąéĆïĀöüéĀöĎŠÿćøÿîđìý×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔîÙüćöøĆïñĉéßĂï Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþøĒúąðøĆïðøčÜĔĀšđðŨîðŦÝÝčïĆî
ƒ ÝĆé ìĞ ć Öã øąđïĊ ÷ï ĀøČ Ă ĀúĆ Ö đÖèæŤ Ă ÷Š ć ÜđðŨ î úć÷úĆ Ö þèŤ ĂĆÖ þøÿĞć ĀøĆï ÖćøĔßš Ü ćîÿćøÿîđìýĒúą
ìøĆó÷ŤÿĉîìĊęđÖĊę÷üךĂÜÖĆïÖćøðøąöüúñúÿćøÿîđìý đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷êŠĂìøĆó÷Ťÿĉî

ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ƒ ÝĆéìĞćìąđïĊ÷îìøĆó÷ŤÿĉîĒúąĒïŠÜøąéĆïĀöüéĀöĎŠÿćøÿîđìý×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔîÙüćöøĆïñĉéßĂï Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþøĒúąðøĆïðøčÜĔĀšđðŨîðŦÝÝčïĆî óøšĂöìĆĚÜêøüÝÿĂïìąđïĊ÷îìøĆó÷Ťÿĉîêćöøą÷ąđüúć
ìĊęÖĞćĀîéĂ÷ŠćÜÿöęĞćđÿöĂ
ƒ ÖĞć Āîéøą÷ąđüúćĔîÖćøìïìüîÖćøÝĆéĀöüéĀöĎŠ ÿĉ ì íĉĔ îÖćøđך ćëċ Ü ìøĆ ó÷Ťÿĉ î óøš ĂöìĆĚ ÜðøĆïðøč Ü
ĀöüéĀöĎŠĔĀšìĆîÿöĆ÷Ă÷ĎŠđÿöĂ
ƒ ÝĆé ìĞ ć Öã øąđïĊ ÷ï ĀøČ Ă ĀúĆ Ö đÖèæŤ Ă ÷Š ć ÜđðŨ î úć÷úĆ Ö þèŤ ĂĆÖ þøÿĞć ĀøĆï ÖćøĔßš Ü ćîÿćøÿîđìýĒúą
ìøĆó÷ŤÿĉîìĊęđÖĊę÷üךĂÜÖĆïÖćøðøąöüúñúÿćøÿîđìý đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷êŠĂìøĆó÷Ťÿĉî
ƒ ÝĆéìĞćðŜć÷ßČęĂêćöĀöüéĀöĎŠìøĆó÷ŤÿĉîìĊęĕéšÝĆéĒïŠÜĕüš
ƒ öĂïÿĉìíĉìĊęëĎÖêšĂÜđĀöćąÿöÿĞćĀøĆïñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý

ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý
ƒ ÝĆéìĞćìąđïĊ÷îìøĆó÷Ťÿĉî øąïčđÝšć×ĂÜìøĆó÷Ťÿĉî ĒúąĒïŠÜøąéĆïĀöüéĀöĎŠÿćøÿîđìý×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔî
ÙüćöøĆïñĉéßĂï Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþøĒúąðøĆïðøčÜĔĀšđðŨîðŦÝÝčïĆî
ƒ êšĂÜðøĆïðøčÜĒÖšĕ×ĒúąïĞćøčÜøĆÖþćìąđïĊ÷îìøĆó÷Ť ÿĉî×ĂÜ Öôñ. õć÷ĔêšÖćøéĎĒú×ĂÜñĎšđðŨîđÝšć×ĂÜ
ÿćøÿîđìýĔĀšđðŨîðŦÝÝčïĆî
ƒ ÝĆé ìĞ ć Öã øąđïĊ ÷ï ĀøČ Ă ĀúĆ Ö đÖèæŤ Ă ÷Š ć ÜđðŨ î úć÷úĆ Ö þèŤ ĂĆÖ þøÿĞć ĀøĆï ÖćøĔßš Ü ćîÿćøÿîđìýĒúą
ìøĆó÷ŤÿĉîìĊęđÖĊę÷üךĂÜÖĆïÖćøðøąöüúñúÿćøÿîđìý đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷êŠĂìøĆó÷Ťÿĉî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 35 / 174

ĀĆüĀîšćÜćîÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïñĎšìĊęđÖĊę÷üךĂÜĔîÖćøÝĆéìĞćĒúąðøĆïðøčÜìąđïĊ÷îìøĆó÷Ťÿĉîÿćøÿîđìý×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔî
ÙüćöøĆïñĉéßĂï

ñĎšðäĉïĆêĉÜćî
ƒ ïøĉĀćøÝĆéÖćøÿćøÿîđìýĔîøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđĀöćąÿöÖĆïøąéĆïÖćøĒïŠÜĒ÷Öÿćøÿîđìý
ĀøČĂêćöÝčéðøąÿÜÙŤêćöĒêŠñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ƒ ÖĞćĀîé×Ăïđ×ê×ĂÜÿćøÿîđìýìĊęêšĂÜÖćøđךćëċÜĂ÷ŠćÜßĆéđÝî

3.1 ĀîšćìĊęÙüćöøĆïñĉéßĂïêŠĂìøĆó÷Ťÿĉî×ĂÜĂÜÙŤÖø (Responsibility for Assets)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÝĆéìĞćìąđïĊ÷îìøĆó÷Ťÿĉî ÖćøøąïčñĎšđðŨîđÝšć×ĂÜìøĆó÷Ťÿĉî ĒúąÖćøĔßšÜćîìøĆó÷ŤÿĉîĂ÷ŠćÜđĀöćąÿö

öćêøåćî
3.1.1 ÖćøÝĆéìĞćìąđïĊ÷îìøĆó÷Ťÿĉî (Inventory of Assets)
1) ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïï
ÿćøÿîđìýêšĂÜÝĆéìĞćìąđïĊ÷îìøĆó÷ŤÿĉîìĊęöĊÙüćöÿĞćÙĆâ×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔîÙüćöøĆïñĉéßĂï Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþøĔĀšëĎÖêšĂÜÙøïëšüî ēé÷ĀĆüĀîšćÜćîÿćøÿîđìýöĊĀîšćìĊęĔîÖćøðøąÿćîÜćîĔî
ÖćøÝĆéìĞćìąđïĊ÷îéĆÜÖúŠćü
2) ìąđïĊ÷îìøĆó÷ŤÿĉîìĊęĕéšöĊÖćøÝĆéìĞćîĆĚî êšĂÜöĊÖćøîĞćđÿîĂñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕðđóČęĂ
óĉÝćøèćđðŨîðøąÝĞćìčÖðŘ
3) ìąđïĊ÷îìøĆó÷ŤÿĉîêšĂÜðøąÖĂïĕðéšü÷ ÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý àċęÜĕéšÝĆéĒïŠÜ
êćöðøąđõìéĆÜîĊĚ
1. ÿćøÿîđìý (Information) đߊî åćîךĂöĎú ĕôúŤ×šĂöĎú ÿĆââć đĂÖÿćø/ÙĎŠöČĂøąïï ךĂöĎú
ÖćøüĉÝĆ÷ ÙĎŠöČĂñĎšĔßšÜćî ìøĆó÷ćÖøĔîÖćøòřÖĂïøö ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîĀøČĂÿîĆïÿîčî
ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ĒñîÖćøÖĎšÙČîÿõćó ðøąüĆêĉÖćøêøüÝÿĂï Ēúą
ÿćøÿîđìýìĊęÿĞćÙĆâĂČęîė đðŨîêšî
2. ìøĆó÷ŤÿĉîìćÜàĂôêŤĒüøŤ (Software Assets) đߊî ēðøĒÖøöðøą÷čÖêŤ ēðøĒÖøöøąïï
đÙøČęĂÜöČĂÿĞćĀøĆïóĆçîć Ēúą ēðøĒÖøöðøąđõì÷ĎìĉúĉêĊĚ (System Utilities) đðŨîêšî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 36 / 174

 3. ìøĆó÷ŤÿĉîìćÜÖć÷õćó (Physical Assets) đߊî ĂčðÖøèŤðøąöüúñúÿćøÿîđìý ĂčðÖøèŤ
êĉéêŠĂÿČęĂÿćø ĒúąÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš đðŨîêšî
4. ÖćøïøĉÖćøéšćîÖćøðøąöüúñú ÖćøêĉéêŠĂÿČęĂÿćø ĒúąÿćíćøèĎðēõÙĂČęîė(Services) đߊî
ïøĉÖćøĂĉîđêĂøŤđîĘê ïøĉÖćøÙüïÙčöÖćøđךćëċÜĂćÙćø ïøĉÖćøøąïïÙüïÙčöÙüćöøšĂî
ïøĉÖćøĒÿÜÿüŠćÜ ïøĉÖćøĕôôŜćĒúąóúĆÜÜćî ĒúąïøĉÖćøÙüïÙčöÙüćößČĚî đðŨîêšî
4) ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïï
ÿćøÿîđìý êšĂÜöĊÖćøìïìüîìąđïĊ÷îìøĆó÷Ťÿĉî×ĂÜ Öôñ. ìĊęĂ÷ĎŠĔîÙüćöøĆïñĉéßĂï Ă÷ŠćÜîšĂ÷ðŘúą
1 ÙøĆĚÜ ĒúąðøĆïðøčÜĔĀšìĆîÿöĆ÷Ă÷ĎŠđÿöĂ ēé÷ĀĆüĀîšćÜćîÿćøÿîđìýöĊĀîšćìĊęĔîÖćøðøąÿćîÜćîĔî
ÖćøðøĆïðøčÜĒÖšĕ×ìąđïĊ÷îìøĆó÷ŤÿĉîéĆÜÖúŠćü

3.1.2 ÖćøøąïčñĎšđðŨîđÝšć×ĂÜìøĆó÷Ťÿĉî (Ownership of Assets)

1) ìąđïĊ÷îìøĆó÷ŤÿĉîêšĂÜöĊÖćøøąïčđÝšć×ĂÜ àċęÜöĊĀîšćìĊęøĆïñĉéßĂïĔîÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜ
ìøĆó÷Ťÿĉîõć÷ĔêšÖćøéĎĒú ìĆĚÜîĊĚĀîšćìĊęøĆïñĉéßĂïéĆÜÖúŠćüĂćÝÝąöĂïĀöć÷ĔĀšĒÖŠñĎšéĎĒúÿćøÿîđìý
ĒúąñĎšéĎĒúøąïïÿćøÿîđìý ĀøČĂòść÷üćÜĒñîđìÙēîēú÷Ċÿ ćøÿîđìýĕéš ĒêŠĂ÷Š ćÜĕøÖĘêćöÙüćö
øĆïñĉéßĂïĔîìøĆó÷Ťÿĉî÷ĆÜÙÜđðŨî×ĂÜđÝšć×ĂÜìøĆó÷Ťÿĉî
2) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý öĊĀîšćìĊęÖĞćĀîéøą÷ąđüúćĔîÖćøìïìüîÿĉìíĉĔîÖćøđךćëċÜ ēé÷ÙĞćîċÜëċÜ
öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ

3.1.3 ÖćøĔßšÜćîìøĆó÷ŤÿĉîìĊęđĀöćąÿö (Acceptable Use of Assets)

1) ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ĒúąñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒú
øąïïÿćøÿîđìý êšĂÜÝĆéìĞćÖã øąđïĊ÷ï ĀøČĂĀúĆÖđÖèæŤĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþøÿĞćĀøĆïÖćøĔßš
ÜćîÿćøÿîđìýĒúąìøĆó÷ŤÿĉîìĊęđÖĊę÷üךĂÜÖĆïÖćøðøąöüúñúÿćøÿîđìý đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷êŠĂ
ìøĆó÷Ťÿĉî

3.2 ÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìý (Information Classification)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìý×ĂÜ Öôñ. ÖćøÝĆéìĞćðŜć÷ßČęĂĒúąÖćøÝĆéÖćøÿćøÿîđìýêćöìĊęĕéšÝĆéĀöüéĀöĎŠĕüš

öćêøåćî
3.2.1 ÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìý (Classification Guidelines)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 37 / 174

 1) ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ĒúąñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒú
øąïïÿćøÿîđìýêšĂÜéĞćđîĉîÖćøÝĆéĀöüéĀöĎŠÿćøÿîđìýēé÷ÙĞćîċÜëċÜðŦÝÝĆ÷éĆÜêŠĂĕðîĊĚ
1. øąéĆïÙüćöúĆï (Sensitivity) Āöć÷ëċÜ ìøĆó÷ŤÿĉîìĊęöĊÙüćöÿĞćÙĆâĂćÝöĊñúÖøąìïìĞćĔĀš
Öôñ. ĕéšøĆïÙüćöđÿĊ÷Āć÷ëšćĕéšøĆïÖćøđðŗéđñ÷ àċęÜđðŨîøąéĆïìĊęêšĂÜÖćøđÖèæŤÙüćöúĆï×ĂÜ
ìøĆó÷Ťÿĉî (Confidentiality Aspect) ìĆĚÜîĊĚĂšćÜëċÜøąéĆïßĆĚîÙüćöúĆï×ĂÜøąđïĊ÷ïüŠćéšü÷Öćø
øĆÖþćÙüćöúĆï×ĂÜìćÜøćßÖćø ó.ý. 2544 ĒúąÙŠćñúÖøąìïÝćÖđÖèæŤÖćøüĆéøąéĆïÙüćö
đÿĊę÷Ü ×ĂÜ Öôñ. éĆÜêŠĂĕðîĊĚ

øąéĆïÙüćöúĆï ÙüćöĀöć÷êćöøąđïĊ÷ïüŠćéšü÷ ÙüćöĀöć÷êćöÙŠćñúÖøąìïÝćÖ

(Sensitivity) ÖćøøĆÖþćÙüćöúĆï×ĂÜìćÜøćßÖćø
ó.ý. 2544
ךĂöĎú׊ćüÿćøúĆï àċęÜĀćÖđðŗéđñ÷
ìĆĚ Ü Āöé ĀøČ Ă đóĊ ÷ ÜïćÜÿŠ ü î Ýą
úĆïìĊęÿčé
ÖŠ Ă Ĕ Āš đ Öĉ é Ù ü ć ö đ ÿĊ ÷ Ā ć ÷ Ē ÖŠ
ðøąē÷ßîŤĒĀŠÜøĆåĂ÷ŠćÜøšć÷ĒøÜìĊęÿčé
ךĂöĎú׊ćüÿćøúĆï àċęÜĀćÖđðŗéđñ÷
ìĆĚ Ü Āöé ĀøČ Ă đóĊ ÷ ÜïćÜÿŠ ü î Ýą
úĆïöćÖ
ÖŠ Ă Ĕ Āš đ Öĉ é Ù ü ć ö đ ÿĊ ÷ Ā ć ÷ Ē ÖŠ
ðøąē÷ßîŤĒĀŠÜøĆåĂ÷ŠćÜøšć÷ĒøÜ
ךĂöĎú׊ćüÿćøúĆï àċęÜĀćÖđðŗéđñ÷
ìĆĚ Ü Āöé ĀøČ Ă đóĊ ÷ ÜïćÜÿŠ ü î Ýą
úĆï
ÖŠ Ă Ĕ Āš đ Öĉ é Ù ü ć ö đ ÿĊ ÷ Ā ć ÷ Ē ÖŠ
ðøąē÷ßîŤĒĀŠÜøĆå
ìøĆó÷ŤÿĉîìĊęöĊøąéĆïÙüćöúĆïìĊęĕöŠđךć
׊ć÷ 3 øąéĆïךćÜêšî
ĂČęîė
đÖèæŤÖćøüĆéøąéĆïÙüćöđÿĊę÷Ü ×ĂÜ
Öôñ.
ìøĆó÷Ťÿĉî àċęÜĀćÖđðŗéđñ÷ìĆĚÜĀöé
ĀøČ Ă đóĊ ÷ ÜïćÜÿŠ ü î ÝąÖŠ Ă ĔĀš đ Öĉ é
ÙüćöđÿĊ÷Āć÷ĒÖŠ Öôñ. ēé÷
ÙąĒîîñúÖøąìïĂ÷ĎŠĔîøąéĆï 4
ìøĆó÷Ťÿĉî àċę ÜĀćÖđðŗéđñ÷ìĆĚ ÜĀöé
ĀøČ Ă đóĊ ÷ ÜïćÜÿŠ ü î ÝąÖŠ Ă ĔĀš đ Öĉ é
ÙüćöđÿĊ÷Āć÷ĒÖŠ Öôñ. ēé÷
ÙąĒîîñúÖøąìïĂ÷ĎŠĔîøąéĆï 3
ìøĆ ó÷Ť ÿĉî àċę ÜĀćÖđðŗéđñ÷ìĆĚÜĀöé
ĀøČ Ă đóĊ ÷ ÜïćÜÿŠ ü î ÝąÖŠ Ă ĔĀš đ Öĉ é
ÙüćöđÿĊ÷Āć÷ĒÖŠ Öôñ. ēé÷
ÙąĒîîñúÖøąìïĂ÷ĎŠĔîøąéĆï 2
ìøĆó÷Ť ÿĉî àċę ÜĀćÖđðŗéđñ÷ìĆĚÜĀöé
ĀøČ Ă đóĊ ÷ ÜïćÜÿŠ ü î ÝąÖŠ Ă ĔĀš đ Öĉ é
ÙüćöđÿĊ÷Āć÷ĒÖŠ Öôñ. ēé÷
ÙąĒîîñúÖøąìïĂ÷ĎŠĔîøąéĆï 1

2. øąéĆïÙüćöÿĞćÙĆâ (Criticality) Āöć÷ëċÜ ìøĆó÷ŤÿĉîìĊęöĊÙüćöÿĞćÙĆâĂćÝöĊñúÖøąìïìĞćĔĀš

Öôñ. ĕéšøĆïÙüćöđÿĊ÷Āć÷ëšćĕéšøĆïÖćøđðúĊę÷îĒðúÜĀøČĂĕöŠóøšĂöĔßšÜćî àċęÜđðŨîøąéĆïìĊę

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 38 / 174

 êšĂÜÖćøđÖèæŤÙüćöëĎÖêšĂÜÙøïëšüîĒúąÙüćöóøšĂöĔßš×ĂÜìøĆó÷Ťÿĉî (Integrity and
Availability Aspect) ēé÷ĂšćÜĂĉÜÝćÖÙŠćñúÖøąìïÝćÖđÖèæŤÖćøüĆéøąéĆïÙüćöđÿĊę÷Ü ×ĂÜ
Öôñ.

øąéĆïÙüćöÿĞćÙĆâ ÙüćöĀöć÷êćöÙŠćñúÖøąìïÝćÖđÖèæŤÖćøüĆéøąéĆïÙüćöđÿĊę÷Ü ×ĂÜ

(Criticality) Öôñ.
ìøĆó÷Ťÿĉî àċęÜĀćÖĕéšøĆïÖćøđðúĊę÷îĒðúÜĀøČĂĕöŠóøšĂöĔßšÜćî Ýą
ÿĎÜÿčé (4)
ÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷ĒÖŠ Öôñ. ēé÷ÙąĒîîñúÖøąìïĂ÷ĎŠĔîøąéĆï 4
ìøĆó÷Ťÿĉî àċęÜĀćÖĕéšøĆïÖćøđðúĊę÷îĒðúÜĀøČĂĕöŠóøšĂöĔßšÜćî Ýą
ÿĎÜ (3)
ÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷ĒÖŠ Öôñ. ēé÷ÙąĒîîñúÖøąìïĂ÷ĎŠĔîøąéĆï 3
ìøĆó÷Ťÿĉî àċęÜĀćÖĕéšøĆïÖćøđðúĊę÷îĒðúÜĀøČĂĕöŠóøšĂöĔßšÜćî Ýą
ðćîÖúćÜ (2)
ÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷ĒÖŠ Öôñ. ēé÷ÙąĒîîñúÖøąìïĂ÷ĎŠĔîøąéĆï 2
ìøĆó÷Ťÿĉî àċęÜĀćÖĕéšøĆïÖćøđðúĊę÷îĒðúÜĀøČĂĕöŠóøšĂöĔßšÜćî Ýą
êęĞć (1)
ÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷ĒÖŠ Öôñ. ēé÷ÙąĒîîñúÖøąìïĂ÷ĎŠĔîøąéĆï 1

2) ĀöüéĀöĎŠÿćøÿîđìýÝąĕéšøĆïÖćøÝĆéĒïŠÜđðŨîøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ 4 øąéĆï éĆÜîĊĚ

øąéĆïÙüćöúĆï øąéĆïÙüćöÿĞćÙĆâ (Criticality)

(Sensitivity) ÿĎÜÿčé (4) ÿĎÜ (3) ðćîÖúćÜ (2) êęĞć (1)
úĆïìĊęÿčé ÿĎÜÿčé ÿĎÜÿčé ÿĎÜÿčé ÿĎÜÿčé
úĆïöćÖ ÿĎÜÿčé ÿĎÜ ÿĎÜ ÿĎÜ
úĆï ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ ðćîÖúćÜ
ĂČęîė ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć

1. øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” Āöć÷ëċÜ

x ÿćøÿîđìýìĊęöĊøąéĆïÙüćöúĆï (Sensitivity) “úĆïìĊęÿčé” Ēúą øąéĆïÙüćöÿĞćÙĆâ
(Criticality) “ÿĎÜÿčé” “ÿĎÜ” “ðćîÖúćÜ” ĀøČĂ “êęĞć”
x ÿćøÿîđìýìĊę öĊ øąéĆ ïÙüćöÿĞ ćÙĆ â (Criticality) “ÿĎÜÿčé” Ēúą øąéĆïÙüćöúĆï
(Sensitivity) “úĆïìĊęÿčé” “úĆïöćÖ” “úĆï” ĀøČĂ “ĂČęîė”

2. øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜ” Āöć÷ëċÜ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 39 / 174

 x ÿćøÿîđìýìĊęöĊøąéĆïÙüćöúĆï (Sensitivity) “úĆïöćÖ” Ēúą øąéĆïÙüćöÿĞćÙĆâ
(Criticality) “ÿĎÜ” “ðćîÖúćÜ” ĀøČĂ “êęĞć”
x ÿćøÿîđìýìĊę öĊ øąéĆ ïÙüćöÿĞćÙĆ â (Criticality) “ÿĎÜ” Ēúą øąéĆ ïÙüćöúĆ ï
(Sensitivity) “úĆïöćÖ” “úĆï” ĀøČĂ “ĂČęîė”

3. øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ðćîÖúćÜ” Āöć÷ëċÜ

x ÿćøÿîđìýìĊę öĊ ø ąéĆ ï ÙüćöúĆ ï (Sensitivity) “úĆï” Ēúą øąéĆïÙüćöÿĞćÙĆâ
(Criticality) “ðćîÖúćÜ” ĀøČĂ “êęĞć”
x ÿćøÿîđìýìĊęöĊøąéĆïÙüćöÿĞćÙĆâ (Criticality) “ðćîÖúćÜ” Ēúą øąéĆïÙüćöúĆï
(Sensitivity) “úĆï” ĀøČĂ “ĂČęîė”

4. øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “êęĞć” Āöć÷ëċÜ

x ÿćøÿîđìýìĊę öĊ ø ąéĆ ï ÙüćöÿĞ ć ÙĆ â (Criticality) “êęĞć” ĒúąøąéĆ ïÙüćöúĆï
(Sensitivity) “ĂČęîė”
3) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý öĊĀîšćìĊęĔîÖćøÖĞćĀîéøą÷ąđüúćĔîÖćøìïìüîÖćøÝĆéĀöüéĀöĎŠ óøšĂöìĆĚÜ
ðøĆïðøčÜĀöüéĀöĎŠĔĀšìĆîÿöĆ÷Ă÷ĎŠđÿöĂ
4) ñúĉêõĆèæŤìĊęĕéšøĆïÖćøÿŠÜöĂï êšĂÜĕéšøĆïÖćøúÜìąđïĊ÷îĔîìąđïĊ÷îìøĆó÷Ťÿĉî×ĂÜĀîŠü÷ÜćîÖŠĂî
đÙúČęĂî÷šć÷ĕð÷ĆÜÝčéìĊęêĉéêĆĚÜĔßšÜćîÝøĉÜ

3.2.2 ÖćøÝĆéìĞćðŜć÷ßČęĂ ĒúąÖćøÝĆéÖćøìøĆó÷Ťÿĉîÿćøÿîđìý (Information Labeling and Handling)

1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýöĊĀîšćìĊęøĆïñĉéßĂïĔîÖćøÝĆéìĞćðŜć÷ßČęĂêćöĀöüéĀöĎŠìøĆó÷ŤÿĉîìĊęĕéšÝĆéĕüš
ìĆĚÜîĊĚ ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĂćÝÝąöĂïĀöć÷ĀîšćìĊęøĆïñĉéßĂïéĆÜÖúŠćüĔĀšĒÖŠ ñĎšéĎĒúÿćøÿîđìý
ĒúąñĎšéĎĒúøąïïÿćøÿîđìý ĀøČĂĀîŠü÷Üćîéšćîÿćøÿîđìýĕéš ĒêŠĂ÷ŠćÜĕøÖĘêćöÙüćöøĆïñĉéßĂïĔî
ÖćøÝĆéìĞćðŜć÷ßČęĂ÷ĆÜÙÜđðŨî×ĂÜđÝšć×ĂÜÿćøÿîđìý
2) øĎ ð Ēïï×ĂÜðŜ ć ÷ßČę Ă Ýą×ċĚ î Ă÷ĎŠ ÖĆ ï ðøąđõìñúúĆ ó íŤ ÖćøĒÿéÜñú ĒúąÖćøđÖĘ ï ïĆ î ìċ Ö ×ĂÜøąïï
ÿćøÿîđìý đߊî ÿĉęÜóĉö óŤ ÖćøĒÿéÜñúìćÜĀîšćÝĂ ÿČę ĂĔîÖćøđÖĘïïĆîìċÖ (đìð éĉÿÖŤ àĊéĊ) Ēúą
ךĂÙüćöìćÜĂĉđúĘÖìøĂîĉÖÿŤ đðŨîêšî
3) ÿćøÿîđìýìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” “ÿĎÜ” Ēúą “ðćîÖúćÜ” ìĊęêšĂÜĕéšøĆïÖćøÝĆéìĞć
ðŜć÷ßČęĂ ēé÷ðŜć÷ßČęĂîĆĚîêšĂÜÿČęĂëċÜøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷
4) ÿćøÿîđìýĔîøĎðĒïïÿĉęÜóĉöóŤìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” “ÿĎÜ” Ēúą “ðćîÖúćÜ” êšĂÜ
öĊÖćøøąïčĀîšćðŦÝÝčïĆî×ĂÜÝĞćîüîĀîšćìĆĚÜĀöéĔîĒêŠúąĀîšćĂ÷ŠćÜđßŠî “Āîšć 1 ÝćÖ 10” ĔîìčÖĀîšć
ēé÷ìĊęÝąĂ÷ĎŠÿŠüîĀĆüÖøąéćþĀøČĂìšć÷ÖøąéćþÖĘĕéš
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 40 / 174
 5) ÿĞćĀøĆïÖćøÝĆéÖćøÿćøÿîđìýĔîøĎðĒïïĂĉđúĘÖìøĂîĉÖÿŤ ĔĀšéĞćđîĉîÖćøĂ÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
1. ÖćøÝĆéüćÜ

ÖćøÙüïÙčöÖćøÝĆéüćÜĂčðÖøèŤðøąöüúñúÿćøÿîđìýêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ĂčðÖøèŤðøąöüúñú øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÿćøÿîđìý ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć
đÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷ ƒ ÝĆéüćÜĔîýĎî÷Ť ƒ ÝĆéüćÜĔîýĎî÷Ť ƒ ÝĆéüćÜĔîĀšĂÜ ƒ ÝĆéüćÜĔîĀšĂÜ
1 1 1
(Computer Server) ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ1
øąïïđÖĘ ï ך Ă öĎ ú (Storage ƒ ÝĆéüćÜĔîýĎî÷Ť ƒ ÝĆéüćÜĔîýĎî÷Ť ƒ ÝĆéüćÜĔîĀšĂÜ ƒ ÝĆéüćÜĔîĀšĂÜ
1 1 1
system) ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ 1
ĂčðÖøèŤđÙøČĂ׊ć÷ĀúĆÖ đßŠî ƒ ÝĆéüćÜĔîýĎî÷Ť ƒ ÝĆéüćÜĔîýĎî÷Ť ƒ ÝĆéüćÜĔîĀšĂÜ ƒ ÝĆéüćÜĔîĀšĂÜ
1 1 1
Core router, Core ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ ÙĂöóĉüđêĂøŤ 1
switch, Core firewall
Ēúą Core IPS/IDS đðŨîêšî
ĂčðÖøèŤđÙøČĂ׊ć÷ĕøšÿć÷ đßŠî ƒ öĊÖćøÝĆéüćÜĒúą ƒ öĊÖćøÝĆéüćÜĒúą ƒ öĊÖćøÝĆéüćÜĒúą ƒ öĊÖćøÝĆéüćÜĒúą
3 3
wireless access point ðŜĂÜÖĆîìĊę ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊę
3
đĀöćąÿö đĀöćąÿö3
ĂčðÖøèŤđÙøČĂ׊ć÷ĂČęîė đßŠî ƒ öĊÖćøÝĆéüćÜĒúą ƒ öĊÖćøÝĆéüćÜĒúą ƒ öĊÖćøÝĆéüćÜĒúą ƒ öĊÖćøÝĆéüćÜĒúą
3 3
Edge router, Edge ðŜĂÜÖĆîìĊę ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊę
3
switch Ēúą edge firewall đĀöćąÿö đĀöćąÿö3
đðŨîêšî
ÿČęĂïĆîìċÖךĂöĎú ƒ öĊÖćøðŜĂÜÖĆîéšćî ƒ öĊÖćøðŜĂÜÖĆîéšćî ƒ öĊÖćøðŜĂÜÖĆîéšćî ƒ öĊÖćøðŜĂÜÖĆîéšćî
Öć÷õćó Öć÷õćó (Physical) Öć÷õćó (Physical) Öć÷õćó
(Physical) Ēúą ĒúąÿõćóĒüéúšĂöìĊę ĒúąÿõćóĒüéúšĂöìĊę (Physical) Ēúą
2 2
ÿõćóĒüéúšĂöìĊę đĀöćąÿö đĀöćąÿö ÿõćóĒüéúšĂöìĊę
2
đĀöćąÿö ƒ ÝĆéđÖĘïĂ÷ŠćÜðúĂéõĆ÷ đĀöćąÿö2
ƒ ÝĆéđÖĘïĂ÷ŠćÜ đóČęĂðŜĂÜÖĆîÖćøđךćëċÜ
ðúĂéõĆ÷đóČęĂ ēé÷öĉĕéšøĆïĂîčâćê4
ðŜĂÜÖĆîÖćøđךćëċÜ
ēé÷öĉĕéšøĆï
Ăîčâćê4
ĂčðÖøèŤÙĂöóĉüđêĂøŤĒúą ƒ öĊÖćøÝĆéüćÜĒúą ƒ öĊÖćøÝĆéüćÜĒúą ƒ öĊÖćøÝĆéüćÜĒúą ƒ öĊÖćøÝĆéüćÜĒúą
3 3
ĂčðÖøèŤÿĞćîĆÖÜćîĂČęîė ðŜĂÜÖĆîìĊę ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊęđĀöćąÿö ðŜĂÜÖĆîìĊę
3
đĀöćąÿö đĀöćąÿö3

Āöć÷đĀêč 1ĂšćÜëċÜ ST-05: öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö (Standard of Physical and

Environmental Security)
2
ĂšćÜëċÜ 6.7.1 ÖćøïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš (Management of Removable Media) Ĕî
ST-06: öćêøåćîÖćøïøĉ ĀćøÝĆéÖćøéš ćîÖćøÿČę ĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of
Communication and Operation Management)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 41 / 174

 3
ĂšćÜëċÜ 5.2.1 ÖćøÝĆéüćÜĒúąÖćøðŜĂÜÖĆîĂčðÖøèŤ (Equipment Siting and Protection) Ĕî ST-05: öćêøåćîÙüćö
öĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö (Standard of Physical and Environmental Security)
4
ĂšćÜëċÜ 7.3.3 ÖćøÙüïÙčöÖćøĕöŠìĉĚÜìøĆó÷ŤÿĉîÿćøÿîđìýÿĞćÙĆâĕüšĔîìĊęìĊęĕöŠðúĂéõĆ÷ (Clear Desk and Clear Screen
Control) Ĕî ST-07: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ (Standard of Access Control)

2. ÖćøđךćøĀĆÿךĂöĎú

ÖćøÙüïÙčöÖćøđךćøĀĆÿךĂöĎúêćöøąéĆïÙüćöúĆï×ĂÜÿćøÿîđìý
ÿëćîą×ĂÜךĂöĎú øąéĆïÙüćöúĆï×ĂÜÿćøÿîđìý
úĆïìĊęÿčé úĆïöćÖ úĆï ĂČęîė
1 1
ÝĆéđÖĘï ƒ öĊÖćøđךćøĀĆÿךĂöĎú ƒ öĊÖćøđךćøĀĆÿךĂöĎú - -

1 1 1
ÿŠÜñŠćî ƒ öĊÖćøđךćøĀĆÿךĂöĎú ƒ öĊÖćøđךćøĀĆÿךĂöĎú ƒ öĊÖćøđךćøĀĆÿךĂöĎú -

1
Āöć÷đĀêč ĂšćÜëċÜ 8.3.1 îē÷ïć÷ÖćøĔßšÜćîÖćøđךćøĀĆÿךĂöĎú (Policy on The Use of Cryptographic Controls) Ĕî ST-08:
öćêøåćîÖćøÝĆéĀć ÖćøóĆçîć ĒúąÖćøïĞćøčÜøĆÖþćøąïïÿćøÿîđìý (Standard of Information System Acquisition,
Development and Maintenance)

3. ÖćøóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćî

ÖćøÙüïÙčöÖćøóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćîêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
øąïïÿćøÿîđìý øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć
1 1 1 1
đÙøČĂ׊ć÷ (ĔîÖøèĊìĊę ƒ öĊÖćøóĉÿĎÝîŤêĆüêî ƒ öĊÖćøóĉÿĎÝîŤêĆüêî ƒ öĊÖćøóĉÿĎÝîŤêĆüêî ƒ öĊÖćøóĉÿĎÝîŤêĆüêî
ñĎš Ĕ ßš Ü ćîĂ÷ĎŠ õ ć÷îĂÖ ƒ öĊÖćøđךćøĀĆÿךĂöĎú ƒ öĊÖćøđךćøĀĆÿךĂöĎú ƒ öĊÖćøđךćøĀĆÿךĂöĎú ƒ öĊÖćøđךćøĀĆÿךĂöĎú
Öôñ.) ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî1 ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî1 ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî1 ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî1
đÙøČĂ׊ć÷ (ĔîÖøèĊìĊęĔßš ƒ öĊÖćøóĉÿĎÝîŤêĆüêî 7 ƒ öĊÖćøóĉÿĎÝîŤêĆüêî 7 ƒ öĊÖćøóĉÿĎÝîŤêĆüêî 7 ƒ öĊÖćøóĉÿĎÝîŤêĆüêî 7
ÜćîđÙøČĂ׊ć÷ĕøšÿć÷) ƒ öĊÖćøđךćøĀĆÿךĂöĎú ƒ öĊÖćøđךćøĀĆÿךĂöĎú ƒ öĊÖćøđךćøĀĆÿךĂöĎú ƒ öĊÖćøđךćøĀĆÿךĂöĎú
7 7 7
ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî ÿĞćĀøĆïóĉÿĎÝîŤ êĆüêî7
2 2 2 2
øąïïðäĉïĆêĉÖćø ƒ öĊÖćøóĉÿĎÝîŤêĆüêî ƒ öĊÖćøóĉÿĎÝîŤêĆüêî ƒ öĊÖćøóĉÿĎÝîŤêĆüêî ƒ öĊÖćøóĉÿĎÝîŤêĆüêî
ƒ öĊÖćøÙüïÙčöøąïï ƒ öĊÖćøÙüïÙčöøąïï ƒ öĊÖćøÙüïÙčöøąïï ƒ öĊÖćøÙüïÙčöøąïï
ïøĉĀćøÝĆéÖćø ïøĉĀćøÝĆéÖćø ïøĉĀćøÝĆéÖćø ïøĉĀćøÝĆéÖćø
3 3 3
øĀĆÿñŠćî øĀĆÿñŠćî øĀĆÿñŠćî øĀĆÿñŠćî3
ƒ öĊÖćøÖĞćĀîé ƒ öĊÖćøÖĞćĀîé
4
Session Time-Out Session Time-Out4
ƒ ÖćøÖĞćĀîéߊüÜđüúć ƒ ÖćøÖĞćĀîéߊüÜđüúć
Ēúąøą÷ąđüúćÖćø Ēúąøą÷ąđüúćÖćø
5
đßČęĂöêŠĂ đßČęĂöêŠĂ5

6 6 6 6
ĒĂóóúĉđÙßĆî ƒ öĊÖćøóĉÿĎÝîŤêĆüêî öĊ ƒ öĊÖćøóĉÿĎÝîŤêĆüêî öĊ ƒ öĊÖćøóĉÿĎÝîŤêĆüêî ƒ öĊÖćøóĉÿĎÝîŤêĆüêî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 42 / 174

 ÖćøÙüïÙčöÖćøóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćîêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
øąïïÿćøÿîđìý øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć
ÖćøÙüïÙčöøąïï ÖćøÙüïÙčöøąïï
ïøĉĀćøÝĆéÖćø ïøĉĀćøÝĆéÖćø
6
øĀĆÿñŠćî øĀĆÿñŠćî6
ƒ öĊÖćøÖĞćĀîé ƒ öĊÖćøÖĞćĀîé
6
Session Time-Out Session Time-Out6
ƒ ÖćøÖĞćĀîéߊüÜđüúć ƒ ÖćøÖĞćĀîéߊüÜđüúć
Ēúąøą÷ąđüúćÖćø Ēúąøą÷ąđüúćÖćø
6
đßČęĂöêŠĂ đßČęĂöêŠĂ6
Āöć÷đĀêč 1ĂšćÜëċÜ 7.4.2 ÖćøóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćîìĊęĂ÷ĎŠõć÷îĂÖĂÜÙŤÖø (User Authentication for External Connections) Ĕî
ST-07: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ (Standard of Access Control)
2
ĂšćÜëċÜ 7.5.2 ÖćøøąïčĒúąóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćî (User Identification and Authentication) Ĕî ST-07: öćêøåćî
ÖćøÙüïÙčöÖćøđךćëċÜ (Standard of Access Control)
3
ĂšćÜëċÜ 7.5.3 øąïïïøĉĀćøÝĆéÖćøøĀĆÿñŠćî (Password Management System) Ĕî ST-07: öćêøåćîÖćøÙüïÙčöÖćø
đךćëċÜ (Standard of Access Control)
4
ĂšćÜëċÜ 7.5.5 ÖćøĀöéđüúćÖćøĔßšÜćîøąïïÿćøÿîđìý (Session Time-Out) Ĕî ST-07: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
(Standard of Access Control)
5
ĂšćÜëċÜ 7.5.6 ÖćøÝĞćÖĆéøą÷ąđüúćÖćøđßČęĂöêŠĂøąïïÿćøÿîđìý (Limitation of Connection Time) Ĕî ST-07:
öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ (Standard of Access Control)
6
ĂšćÜëċÜ 7.6.1 ÖćøÝĞćÖĆéÖćøđךćëċÜÿćøÿîđìý (Information Access Restriction) Ĕî ST-07: öćêøåćîÖćøÙüïÙčöÖćø
đךćëċÜ (Standard of Access Control)
7
ĂšćÜëċÜ 7.4.6 ÖćøÙüïÙčöÖćøđßČęĂöêŠĂìćÜđÙøČĂ׊ć÷ (Network Connection Control) Ĕî ST-07: öćêøåćîÖćøÙüïÙčö
ÖćøđךćëċÜ (Standard of Access Control)

4. Öćøðøąöüúñú

ÖćøÙüïÙčöÖćøðøąöüúñúêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
øąïïÿćøÿîđìý øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć
ĒĂóóúĉđÙßĆî ƒ öĊÖćøêøüÝÿĂïÖćø ƒ öĊÖćøêøüÝÿĂïÖćø ƒ öĊÖćøêøüÝÿĂïÖćø -
1 1
îĞćđךćךĂöĎú îĞćđךćךĂöĎú îĞćđךćךĂöĎú1
ƒ öĊÖćøêøüÝÿĂï ƒ öĊÖćøêøüÝÿĂï ƒ öĊÖćøêøüÝÿĂï
ךĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜ ×šĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜ ×šĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜ
2 2
Öćøðøąöüúñú Öćøðøąöüúñú Öćøðøąöüúñú2
ƒ öĊÖćøêøüÝÿĂï ƒ öĊÖćøêøüÝÿĂï ƒ öĊÖćøêøüÝÿĂï
3 3
ךĂöĎúîĞćĂĂÖ ×šĂöĎúîĞćĂĂÖ ×šĂöĎúîĞćĂĂÖ3

Āöć÷đĀêč 1ĂšćÜëċÜ 8.2.1 ÖćøêøüÝÿĂïךĂöĎúîĞćđךć (Input Data Validation) Ĕî ST-08: öćêøåćîÖćøÝĆéĀć ÖćøóĆçîć ĒúąÖćø
ïĞćøčÜøĆÖþćøąïïÿćøÿîđìý (Standard of Information System Acquisition, Development and Maintenance)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 43 / 174

 2
ĂšćÜëċÜ 8.2.2 ÖćøêøüÝÿĂïךĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜÖćøðøąöüúñú (Control of Internal Processing) Ĕî ST-08:
öćêøåćîÖćøÝĆéĀć ÖćøóĆçîć ĒúąÖćøïĞćøčÜøĆÖþćøąïïÿćøÿîđìý (Standard of Information System Acquisition,
Development and Maintenance)
3
ĂšćÜëċÜ 8.2.4 ÖćøêøüÝÿĂïךĂöĎúîĞćĂĂÖ (Output Data Validation) Ĕî ST-08: öćêøåćîÖćøÝĆéĀć ÖćøóĆçîć Ēúą
ÖćøïĞćøčÜøĆÖþćøąïïÿćøÿîđìý (Standard of Information System Acquisition, Development and
Maintenance)

5. ÿŠÜñŠćî ĀøČĂĒúÖđðúĊę÷î

ÖćøÙüïÙčöÖćøÿŠÜñŠćî ĀøČĂĒúÖđðúĊ÷ę îÿćøÿîđìýêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý

ÖøèĊ øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć
ÖćøøĆ ï ÿŠ Ü ÿČę Ă ïĆ î ìċ Ö ×š Ă öĎ ú ƒ öĊÖćøðŜĂÜÖĆîÿČęĂ ƒ öĊÖćøðŜĂÜÖĆîÿČęĂ ƒ öĊÖćøðŜĂÜÖĆîÿČęĂ ƒ öĊÖćøðŜĂÜÖĆîÿČęĂ
(ÿČę Ă ïĆ î ìċ Ö ×š Ă öĎ ú àċę Ü ÿŠ Ü ĂĂÖ ïĆîìċÖךĂöĎúìĊę ïĆîìċÖךĂöĎúìĊę ïĆîìċÖךĂöĎúìĊę ïĆîìċÖךĂöĎúìĊę
ĕðîĂÖïøĉ đ üè Öôñ. ĀøČ Ă đĀöćąÿö1 đĀöćąÿö1 đĀöćąÿö1 đĀöćąÿö1
ĕéšøĆïÝćÖîĂÖïøĉđüè Öôñ.) ƒ öĊÖøąïüîÖćøđóČęĂĔĀš ƒ öĊÖøąïüîÖćø
öĆęîĔÝüŠćñĎšøĆïĕéšøĆï đóČęĂĔĀšöĆęîĔÝüŠćñĎšøĆï
1
×ĂÜëĎÖêšĂÜÙøïëšüî ĕéšøĆï×ĂÜëĎÖêšĂÜ
Ùøïëšüî1

Ö ć ø øĆ ï ÿŠ Ü ×š Ă Ù ü ć ö ì ć Ü ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø

ĂĉđúĘÖìøĂîĉÖÿŤ øĆïÿŠÜךĂÙüćöìćÜ
øĆïÿŠÜךĂÙüćöìćÜ øĆïÿŠÜךĂÙüćöìćÜ øĆïÿŠÜךĂÙüćöìćÜ
ĂĉđúĘÖìøĂîĉÖÿŤĔĀšöĊ
ĂĉđúĘÖìøĂîĉÖÿŤĔĀšöĊ ĂĉđúĘÖìøĂîĉÖÿŤĔĀšöĊ ĂĉđúĘÖìøĂîĉÖÿŤĔĀšöĊ
ÙüćööĆęîÙÜðúĂéõĆ÷
ÙüćööĆęîÙÜ ÙüćööĆęîÙÜ ÙüćööĆęîÙÜ
2 2 2
ðúĂéõĆ÷ ðúĂéõĆ÷ ðúĂéõĆ÷2
ƒ öĊÖćø÷Čî÷ĆîĒúą ƒ öĊÖćø÷Čî÷ĆîĒúą
óĉÿĎÝîŤĒĀúŠÜìĊęöć×ĂÜ óĉÿĎÝîŤĒĀúŠÜìĊęöć
2
ךĂÙüćö ×ĂÜךĂÙüćö2
ƒ öĊÖøąïüîÖćøđóČęĂĔĀš ƒ öĊÖøąïüîÖćø
öĆęîĔÝüŠćñĎšøĆïĕéšøĆï đóČęĂĔĀšöĆęîĔÝüŠćñĎšøĆï
2
ךĂÙüćö ĕéšøĆïךĂÙüćö2
ƒ öĊÖćøóĉÿĎÝîŤÙüćö ƒ öĊÖćøóĉÿĎÝîŤÙüćö
ëĎÖêšĂÜÙøïëšüî×ĂÜ ëĎÖêšĂÜÙøïëšüî×ĂÜ
2
ךĂÙüćö ךĂÙüćö2
ÖćøĒúÖđðúĊę÷îÿćøÿîđìý ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø
ñŠ ć îøąïïÿćøÿîđìýìćÜ ĒúÖđðúĊę÷î ĒúÖđðúĊę÷î ĒúÖđðúĊę÷î ĒúÖđðúĊę÷î
íčøÖĉÝìĊęđßČęĂöē÷ÜÖĆî ÿćøÿîđìýñŠćîøąïï ÿćøÿîđìýñŠćî ÿćøÿîđìýñŠćî ÿćøÿîđìýñŠćî
ÿćøÿîđìýìćÜíčøÖĉÝ øąïïÿćøÿîđìý øąïïÿćøÿîđìý øąïïÿćøÿîđìý
3
ìĊęđßČęĂöē÷ÜÖĆî ìćÜíčøÖĉÝìĊęđßČęĂöē÷Ü ìćÜíčøÖĉÝìĊę ìćÜíčøÖĉÝìĊę
3 3
ƒ öĊÖćø÷Čî÷ĆîĒúą ÖĆî đßČęĂöē÷ÜÖĆî đßČęĂöē÷ÜÖĆî3
óĉÿĎÝîŤĒĀúŠÜìĊęöć×ĂÜ ƒ öĊÖćø÷Čî÷ĆîĒúą

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 44 / 174

 ÖćøÙüïÙčöÖćøÿŠÜñŠćî ĀøČĂĒúÖđðúĊ÷ę îÿćøÿîđìýêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÖøèĊ øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý
ÿĎÜÿčé ÿĎÜ ðćîÖúćÜ êęĞć
3
ÿćøÿîđìý óĉÿĎÝîŤĒĀúŠÜìĊęöć
ƒ öĊÖćøóĉÿĎÝîŤÙüćö ×ĂÜÿćøÿîđìý3
ëĎÖêšĂÜÙøïëšüî×ĂÜ ƒ öĊÖćøóĉÿĎÝîŤÙüćö
ÿćøÿîđìý3 ëĎÖêšĂÜÙøïëšüî×ĂÜ
ÿćøÿîđìý3
ÖćøĒúÖđðúĊę÷îÿćøÿîđìý ƒ öĊÖćøøĆÖþćÙüćö ƒ öĊÖćøøĆÖþćÙüćö ƒ öĊÖćøøĆÖþćÙüćö ƒ öĊÖćøøĆÖþćÙüćö
ñŠ ć î ø ą ï ï ó ć èĉ ß ÷Ť öĆęîÙÜðúĂéõĆ÷ öĆęîÙÜðúĂéõĆ÷ öĆęîÙÜðúĂéõĆ÷ öĆęîÙÜðúĂéõĆ÷
ĂĉđúĘÖìøĂîĉÖÿŤìĊęöĊÖćøÿŠÜñŠćî ÿĞćĀøĆïÖćøóćèĉß÷Ť ÿĞćĀøĆïÖćøóćèĉß÷Ť ÿĞćĀøĆïÖćø ÿĞćĀøĆïÖćø
4 4
ìćÜđÙøČĂ׊ć÷ÿćíćøèą ĂĉđúĘÖìøĂîĉÖÿŤ ĂĉđúĘÖìøĂîĉÖÿŤ óćèĉß÷Ť óćèĉß÷Ť
4
ĂĉđúĘÖìøĂîĉÖÿŤ ĂĉđúĘÖìøĂîĉÖÿŤ4

ÖćøĒúÖđðúĊę÷îךĂöĎúĔîÖćø ƒ öĊÖćøÙüïÙčöÖćøìĞć ƒ öĊÖćøÙüïÙčöÖćøìĞć ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø

ìĞ ć íč ø ÖøøöĂĂîĕúîŤ × ĂÜ íčøÖøøöĂĂîĕúîŤ5 íčøÖøøöĂĂîĕúîŤ 5
ìĞćíčøÖøøö ìĞćíčøÖøøö
øąïïóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ ĂĂîĕúîŤ5 ĂĂîĕúîŤ5

Öćøđñ÷ĒóøŠÿćøÿîđìýĂĂÖ ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø ƒ öĊÖćøÙüïÙčöÖćø

ÿĎŠÿćíćøèą đñ÷ĒóøŠÿćøÿîđìýÿĎŠ đñ÷ĒóøŠÿćøÿîđìý đñ÷ĒóøŠ đñ÷ĒóøŠ
ÿćíćøèą6 ÿĎŠÿćíćøèą6 ÿćøÿîđìýÿĎŠ ÿćøÿîđìýÿĎŠ
ÿćíćøèą6 ÿćíćøèą6

1
Āöć÷đĀêč ĂšćÜëċÜ 6.8.3 ÖćøÿŠÜÿČęĂïĆîìċÖךĂöĎúĂĂÖĕðîĂÖĂÜÙŤÖø (Physical Media in Transit) Ĕî ST-06: öćêøåćîÖćøïøĉĀćø
ÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and Operation
Management)
2
ĂšćÜëċÜ 6.8.4 ÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Mail) Ĕî ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćø
ĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and Operation Management)
3
ĂšćÜëċÜ 6.8.5 øąïïÿćøÿîđìýìćÜíčøÖĉÝìĊęđßČęĂöē÷ÜÖĆî (Business Information Systems) Ĕî ST-06: öćêøåćîÖćø
ïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and
Operation Management)
4
ĂšćÜëċÜ 6.9.1 Öćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Commerce) Ĕî ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćø
ÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and Operation Management)
5
ĂšćÜëċÜ 6.9.2 ÖćøìĞćíčøÖøøöĂĂîĕúîŤ (On-line Transactions) Ĕî ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćø
ĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and Operation Management)
6
ĂšćÜëċÜ 6.9.3 ÿćøÿîđìýìĊęöĊÖćøđñ÷ĒóøŠĂĂÖÿĎŠÿćíćøèą (Publicly Available Information) Ĕî ST-06: öćêøåćîÖćø
ïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and
Operation Management)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 45 / 174

 6. ÖćøìĞćúć÷

ÖćøÙüïÙčöÖćøìĞćúć÷ךĂöĎúĔîÿČęĂïĆîìċÖךĂöĎúêćöøąéĆïÙüćöúĆï×ĂÜÿćøÿîđìý
ÖøèĊ øąéĆïÙüćöúĆï×ĂÜÿćøÿîđìý
úĆïìĊęÿčé úĆïöćÖ úĆï ĂČęîė
ÖćøÿŠ Ü ÿČę Ă ïĆ î ìċ Ö ×š Ă öĎ ú ĕðîĂÖ ƒ ìĞćúć÷ךĂöĎúđóČęĂĔĀš ƒ ìĞćúć÷ךĂöĎú ƒ ìĞćúć÷ךĂöĎú -
ĀîŠü÷ÜćîđóČęĂàŠĂöïĞćøčÜ öĆęîĔÝĕéšüŠćÝąĕöŠ đóČęĂĔĀšöĆęîĔÝĕéšüŠć đóČęĂĔĀšöĆęîĔÝĕéšüŠć
ÿćöćøëîĞćÖúĆïöć ÝąĕöŠÿćöćøëîĞć ÝąĕöŠÿćöćøëîĞć
ĕéš (Non- ÖúĆïöćĕéš (Non- ÖúĆïöćĕéš (Non-
1 1
Retrievable) Retrievable) Retrievable) 1
ÖćøēĂî÷šć÷ÿČęĂïĆîìċÖךĂöĎúĀøČĂ ƒ ìĞćúć÷ךĂöĎúđóČęĂĔĀš ƒ ìĞćúć÷ךĂöĎú ƒ ìĞćúć÷ךĂöĎú -
ìøĆ ó ÷Ť ÿĉî ÿćøÿîđìýĔéėìĊę öĊ ÿČę Ă öĆęîĔÝĕéšüŠćÝąĕöŠ đóČęĂĔĀšöĆęîĔÝĕéšüŠć đóČęĂĔĀšöĆęîĔÝĕéšüŠć
ïĆîìċÖךĂöĎúõć÷Ĕî Öôñ. ÿćöćøëîĞćÖúĆïöć ÝąĕöŠÿćöćøëîĞć ÝąĕöŠÿćöćøëîĞć
ĕéš (Non- ÖúĆïöćĕéš (Non- ÖúĆïöćĕéš (Non-
1 1
Retrievable) Retrievable) Retrievable) 1
ÖćøÝĞćĀîŠć÷ÿČęĂïĆîìċÖךĂöĎúĀøČĂ ƒ ìĞćúć÷ךĂöĎú Ēúą ƒ ìĞćúć÷ךĂöĎú Ēúą ƒ ìĞćúć÷ךĂöĎú Ēúą -
ìøĆ ó ÷Ť ÿĉî ÿćøÿîđìýĔéėìĊę öĊ ÿČę Ă àĂôêŤĒüøŤđóČęĂĔĀš àĂôêŤĒüøŤđóČęĂĔĀš àĂôêŤĒüøŤđóČęĂĔĀš
ïĆîìċÖךĂöĎúĂĂÖîĂÖ Öôñ. öĆęîĔÝĕéšüŠćÝąĕöŠ öĆęîĔÝĕéšüŠćÝąĕöŠ öĆęîĔÝĕéšüŠćÝąĕöŠ
ÿćöćøëîĞćÖúĆïöć ÿćöćøëîĞćÖúĆïöć ÿćöćøëîĞćÖúĆïöć
ĕéš (Non- ĕéš (Non- ĕéš (Non-
1 1
Retrievable) Retrievable) Retrievable)1

Āöć÷đĀêč 1ĂšćÜëċÜ 6.7.2 ÖćøÖĞćÝĆéÿČęĂïĆîìċÖךĂöĎú (Disposal of Media) Ĕî ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúą

ÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. (Standard of Communication and Operation Management)

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-02 ×ĆĚ î êĂîÖćøðäĉ ïĆ êĉ Ü ćîđøČę Ă Ü ÖćøÝĆ é ĀöüéĀöĎŠ ì øĆ ó ÷Ť ÿĉ î ÿćøÿîđìý (Information
Classification Procedure)
2) PD-03 ×ĆĚîêĂîÖćøðäĉ ïĆêĉÜćîđøČęĂÜ ÖćøÝĆ éìĞćðŜ ć÷ßČęĂĒúąÖćøÝĆéÖćøìøĆ ó÷Ťÿĉ îÿćøÿîđìý
(Information Labeling and Handling Procedure)

ST-04: öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üÖĆïïčÙúćÖø (Standard of Human

Resources Security)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 46 / 174

üĆêëčðøąÿÜÙŤ
đóČęĂĔĀšñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖđךćĔÝëċÜïìïćìĀîšćìĊęÙüćöøĆïñĉéßĂï ìĆĚÜÖŠĂî øąĀüŠćÜ ÿĉĚîÿčé
ĀøČĂđðúĊę÷îĒðúÜÖćøÝšćÜÜćî êúĂéÝîêøąĀîĆÖëċÜõĆ÷ÙčÖÙćöĒúąðŦâĀćìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý đóČęĂúéÙüćöđÿĊę÷ÜĂĆîđÖĉéÝćÖÖćø×ēö÷ ÖćøÞšĂēÖÜ ÖćøĔßšÜćîøąïïÿćøÿîđìýñĉéüĆêëčðøąÿÜÙŤ
ĒúąÙüćöñĉ é óúćéĔîÖćøðäĉïĆêĉĀîš ćìĊę ìĆĚ Ü îĊĚ ĕéšÖĞć ĀîéĔĀšöĊ ö ćêøåćîÖćøēÙøÜÿøšćÜìćÜéš ćîÙüćööĆęî ÙÜ
ðúĂéõĆ÷ìĊęđÖĊę÷üךĂÜÖĆïïčÙúćÖø àċęÜðøąÖĂïéšü÷ 3 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÖŠĂîÖćøÝšćÜÜćî (Prior to Employment)
2) ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ĔîøąĀüŠćÜÖćøÝšćÜÜćî (During Employment)
3) ÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îÖćøÝšćÜÜćî (Termination or Change of Employment)

ïìïćìĀîšćìĊę
ñĎšïøĉĀćø Öôñ. ìčÖøąéĆïßĆĚî
ƒ ÿîĆïÿîčîĒúąÿŠÜđÿøĉöéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĒÖŠñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćî
õć÷îĂÖ

ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ƒ ĒÝš Ü ñĎš ð äĉ ïĆ êĉ Ü ćîĔîĀîŠ ü ÷ÜćîĔĀš ì øćï đöČę Ă öĊ Ö ćøđðúĊę ÷ îĒðúÜîē÷ïć÷ öćêøåćîĒúą×ĆĚ î êĂî
ðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜ

ĀĆüĀîšćÜćî
ƒ êøüÝÿĂïđóČęĂđøĊ÷ÖÙČîìøĆó÷Ťÿĉî×ĂÜ Öôñ. ÝćÖñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖ đöČęĂÖćøÿĉĚîÿčé
ĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî
ƒ ÖĞćĀîéĔĀšñĎšðäĉïĆêĉÜćîöĊÖćøëŠć÷ìĂéÙüćöøĎšìĊęöĊÙüćöÿĞćÙĆâêŠĂÖćøéĞćđîĉîíčøÖĉÝ×ĂÜ Öôñ. ÖŠĂîÿĉĚîÿčé
ÖćøÝšćÜÜćî

ĀĆüĀîšćÜćîÿćøÿîđìý
ƒ đòŜćøąüĆÜõĆ÷ÙčÖÙćöĒúąßŠĂÜēĀüŠìĊęĂćÝöĊñúÖøąìïêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý óøšĂöìĆĚÜ
ĒÝšÜðøąđéĘîéĆÜÖúŠćüĔĀšĒÖŠñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜ
ƒ êøüÝÿĂïĒúąìĞćúć÷ÿćøÿîđìýìĊęÝĆéđÖĘïĔîĂčðÖøèŤðøąöüúñúÿćøÿîđìýÿŠüîêĆü×ĂÜñĎšðäĉïĆêĉÜćî
ĒúąĀîŠü÷Üćîõć÷îĂÖ ÖŠĂîÿŠÜöĂïÙČîĂčðÖøèŤĀøČĂÿĉĚîÿčéÖćøÝšćÜÜćî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 47 / 174

 ƒ ëĂéëĂîÿĉ ì íĉ Ĕ îÖćøđך ć ëċ Ü ×ĂÜñĎš ð äĉ ïĆ êĉ Ü ćîĒúąĀîŠ ü ÷Üćîõć÷îĂÖ đöČę Ă ÖćøÿĉĚ î ÿč é ĀøČ Ă
ÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî

òść÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý
ƒ òřÖĂïøöĀøČĂðøąßćÿĆöóĆîíŤđóČęĂÿøšćÜÙüćöêøąĀîĆÖéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĒÖŠ
ñĎšðäĉïĆêĉÜćî

ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤĒúąñĎšøĆïñĉéßĂïÿëćîìĊę
ƒ ëĂéëĂîÿĉìíĉĔîÖćøđךćëċÜĂćÙćøĒúąïøĉđüè×ĂÜ Öôñ. ÝćÖñĎšðäĉïĆêĉÜćî ĒúąĀîŠü÷Üćîõć÷îĂÖ đöČęĂ
ÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî

òść÷ìøĆó÷ćÖøïčÙÙú
ƒ øąïčĀîšćìĊęÙüćöøĆïñĉéßĂïìćÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęöĊÙüćöÿĞćÙĆâĔîđĂÖÿćøïøø÷ć÷
úĆÖþèąÜćî (Job Description)
ƒ êøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšðäĉïĆêĉÜćî ÖŠĂîìĊęĕéšøĆïÖćøðøĆïêĞćĒĀîŠÜĀøČĂ÷šć÷ĀîŠü÷Üćî
ƒ êøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšÿöĆÙø
ƒ ÖĞćĀîéđÜČęĂîĕ×ÖćøÝšćÜÜćî
ƒ ðøąÿćîÜćîÖĆïòść÷ÖãĀöć÷ đóČęĂÖĞćĀîéĔĀšöĊÖøąïüîÖćøúÜēìþìćÜüĉîĆ÷ìĊęđðŨîíøøöĒÖŠñĎšðäĉïĆêĉÜćî
ĒúąĀîŠü÷Üćîõć÷îĂÖìĊęĕöŠðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ĒÝš Ü øć÷ßČę Ă ×ĂÜñĎš ð äĉ ïĆ êĉ Ü ćî ĒúąĀîŠ ü ÷Üćîõć÷îĂÖìĊę ÿĉĚ î ÿč é ĀøČ Ă ÖćøđðúĊę ÷ îÖćøÝš ć ÜÜćîĒÖŠ ñĎš ìĊę
đÖĊę÷üךĂÜ Ă÷ŠćÜđߊî ĀĆüĀîšćÜćîÿćøÿîđìý ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤĒúąñĎšøĆïñĉéßĂïÿëćîìĊę

òść÷óĆçîćïčÙÙúćÖø
ƒ ÝĆéðåöîĉđìýñĎšðäĉïĆêĉÜćîĔĀöŠ

òść÷øĆÖþćÙüćöðúĂéõĆ÷
ƒ êšĂÜêøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšðäĉïĆêĉÜćîĂĊÖÙøĆĚÜ ÖŠĂîìĊęĕéšøĆïÖćøðøĆïêĞćĒĀîŠÜĀøČĂ÷šć÷ĀîŠü÷Üćî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 48 / 174

òść÷ÖãĀöć÷
ƒ ðøąÿćîÜćîÖĆïòść÷ìøĆó÷ćÖøïčÙÙú đóČęĂÖĞćĀîéĔĀšöĊÖøąïüîÖćøúÜēìþìćÜüĉîĆ÷ìĊęđðŨîíøøöĒÖŠ
ñĎšðäĉïĆêĉÜćî ĒúąĀîŠü÷Üćîõć÷îĂÖìĊęĕöŠðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćî
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý

òść÷ïĆâßĊĒúąÖćøđÜĉî
ƒ êøüÝÿĂïđóČęĂđøĊ÷ÖÙČîìøĆó÷Ťÿĉî×ĂÜ Öôñ. ÝćÖñĎšðäĉïĆêĉÜćî ĒúąĀîŠü÷Üćîõć÷îĂÖ đöČęĂÖćøÿĉĚîÿčé
ĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî

ĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ
ƒ ĒÝšÜđÜČęĂîĕ×ÖćøðäĉïĆêĉÜćî×ĂÜĀîŠü÷Üćîõć÷îĂÖ
ƒ ÖĞćĀîéđÜČęĂîĕ×ÖćøÝšćÜÜćîĀîŠü÷Üćîõć÷îĂÖ
ƒ ÖĞćĀîéĔĀšĀîŠü÷Üćîõć÷îĂÖ öĊÖćøëŠć÷ìĂéÙüćöøĎšìĊęöĊÙüćöÿĞćÙĆâêŠĂÖćøéĞćđîĉîíčøÖĉÝ×ĂÜ Öôñ.
ÖŠĂîÿĉĚîÿčéÖćøÝšćÜÜćî
ƒ ĒÝšÜøć÷ßČęĂ×ĂÜĀîŠü÷Üćîõć÷îĂÖìĊęÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îÖćøÝšćÜÜćîĒÖŠñĎšìĊęđÖĊę÷üךĂÜ

ñĎšðäĉïĆêĉÜćî
ƒ ðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ
Öôñ.
ƒ Ĕßš ïĆ â ßĊñĎš Ĕ ßš Ē úąøĀĆ ÿ ñŠ ć îĂ÷Š ć ÜøąöĆ é øąüĆ Ü ĒúąđÖĘ ï øĆ Ö þćøĀĆ ÿ ñŠ ć îđðŨ î ÙüćöúĆ ï ēé÷ðäĉ ïĆ êĉ ê ćö
öćêøåćîÖćøĔßšÜćîøĀĆÿñŠćîĂ÷ŠćÜđÙøŠÜÙøĆé
ƒ ĔßšÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤĂ÷ŠćÜðúĂéõĆ÷ēé÷ðäĉïĆêĉêćööćêøåćîÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ (ST-
05: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ. 5.8.4 Öćø
ÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ)
ƒ øć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęóïĔîÖćøðäĉïĆêĉÜćîðøąÝĞćüĆî
ƒ ĔßšìøĆó÷Ťÿĉîÿćøÿîđìý×ĂÜ Öôñ. Ă÷ŠćÜöĆęîÙÜðúĂéõĆ÷
ƒ úÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
ƒ øĆïñĉéßĂïêŠĂÿćøÿîđìýìĊęïĆîìċÖĂ÷ĎŠõć÷ĔîÿČęĂÿćøðøąđõìóÖóćêćööćêøåćîÖćøðŜĂÜÖĆîĂčðÖøèŤ
ÿČęĂÿćøðøąđõìóÖóć Ă÷ŠćÜđÙøŠÜÙøĆé (ST-06: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ 6.7.1 ÖćøðŜĂÜÖĆî
ĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóć)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 49 / 174

ĀîŠü÷Üćîõć÷îĂÖ
ƒ ðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ
Öôñ.
ƒ úÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.

4.1 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÖŠĂîÖćøÝšćÜÜćî (Prior to Employment)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøêøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšÿöĆÙø ĒúąÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïéšćîÙüćööĆęîÙÜðúĂéõĆ÷Ēúą
øąïčĀîšćìĊęøĆïñĉéßĂïéĆÜÖúŠćüĔîđÜČęĂîĕ×ÖćøÝšćÜÜćî

öćêøåćî
4.1.1 ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Roles and Responsibilities)
1) ñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖìĊęđךćëċÜÿćøÿîđìýĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ
Öôñ. êšĂÜðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý×ĂÜ Öôñ.
2) ñĎšðäĉïĆêĉÜćîìčÖÙîöĊĀîšćìĊęéĆÜêŠĂĕðîĊĚ
1. ĔßšïĆâßĊñĎšĔßšĒúąøĀĆÿñŠćîĂ÷ŠćÜøąöĆéøąüĆÜ ĒúąđÖĘïøĆÖþćøĀĆÿñŠćîđðŨîÙüćöúĆïēé÷ðäĉïĆêĉêćö
öćêøåćîÖćøĔßšÜćîøĀĆÿñŠćî Ă÷ŠćÜđÙøŠÜÙøĆé (ST-06: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ 6.3.1
ÖćøĔßšÜćîøĀĆÿñŠćî)
2. Ĕßš Ý éĀöć÷Ăĉ đ úĘ Ö ìøĂîĉ Ö ÿŤ Ă ÷Š ć ÜðúĂéõĆ ÷ ēé÷ðäĉ ïĆ êĉ ê ćööćêøåćîÖćøÿŠ Ü ÝéĀöć÷
ĂĉđúĘÖìøĂîĉ ÖÿŤ (ST-05: öćêøåćîÖćøïøĉĀ ćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćø
ÿćøÿîđìý×ĂÜ Öôñ. 5.8.4 ÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ)
3. øć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęóïĔîÖćøðäĉïĆêĉÜćî
ðøąÝĞćüĆî ēé÷ðäĉïĆêĉêćööćêøåćîÖćøïøĉĀćøÝĆéÖćøÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
4. êšĂÜĔßšìøĆó÷Ťÿĉîÿćøÿîđìý×ĂÜ Öôñ. Ă÷ŠćÜðúĂéõĆ÷ êĆüĂ÷ŠćÜđߊî
x ĀšćöêĉéêĆĚÜēðøĒÖøöĀøČĂđóĉęöăćøŤéĒüøŤ (Hardware) ïîđÙøČęĂÜÙĂöóĉüđêĂøŤ Ēúą
ĀšćöđðúĊę÷îĒðúÜ ÖćøêĆĚÜÙŠć×ĂÜàĂôêŤĒüøŤ (Software) ĒúąăćøŤéĒüøŤ (Hardware)
ÖŠĂîĕéšøĆïĂîčâćê
x ĀšćöéćüîŤēĀúéēðøĒÖøöĔéėÝćÖĒĀúŠÜìĊęĕöŠîŠćđßČęĂëČĂìćÜĂĉîđêĂøŤđîĘê

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 50 / 174

 x ĔßšÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéšĂ÷ŠćÜøąöĆéøąüĆÜ
5. ñĎšðäĉïĆêĉÜćîêšĂÜúÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
6. ñĎšðäĉïĆêĉÜćîìĊęöĊÿĉìíĉĔîÖćøđßČęĂöêŠĂđךćëċÜđÙøČĂ׊ć÷×ĂÜ Öôñ. ÝćÖõć÷îĂÖÿĞćîĆÖÜćîêšĂÜ
ðäĉïĆêĉêćööćêøåćîÖćøðäĉïĆêĉÜćîÝćÖõć÷îĂÖÿĞćîĆÖÜćî Ă÷ŠćÜđÙøŠÜÙøĆé
7. ñĎšðäĉïĆêĉÜćîìĊęÙøĂïÙøĂÜĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćêšĂÜøĆïñĉéßĂïêŠĂÿćøÿîđìýìĊęïĆîìċÖ
Ă÷ĎŠõć÷ĔîĂčðÖøèŤéĆÜÖúŠćüêćööćêøåćîÖćøðŜĂÜÖĆîĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóć Ă÷ŠćÜ
đÙøŠÜÙøĆé (ST-06: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ 6.7.1 ÖćøðŜĂÜÖĆîĂčðÖøèŤÿČęĂÿćø
ðøąđõìóÖóć)
3) ñĎšðäĉïĆêĉÜćîìčÖÙîêšĂÜðäĉïĆêĉêćöÙüćöøĆïñĉéßĂïéšćîÖćøđךćëċÜìćÜÖć÷õćó (Physical Control)
éĆÜîĊĚ
1. êĉéïĆêøñĎšðäĉïĆêĉÜćîĔîìĊęìĊęđĀĘîĕéšßĆéêúĂéđüúćìĊęĂ÷ĎŠĔîïøĉđüè×ĂÜ Öôñ.
2. ĀšćöïĂÖĀøČĂĒÿéÜøĀĆÿñŠćîìĊęĔßšđךćđ×êĀüÜĀšćöĒÖŠñĎšĂČęî
3. ĀšćööĂïïĆêøðøąÝĞćêĆü ĀøČĂïĆêøĒÿéÜêîñĎšðäĉïĆêĉÜćîĔĀšĒÖŠñĎšĂČęî
4. ĒÝšÜđêČĂîđÝšćĀîšćìĊęøĆÖþćÙüćöðúĂéõĆ÷×ĂÜĂćÙćøĀćÖöĊïčÙÙúĒðúÖĀîšćĀøČĂîŠćÿÜÿĆ÷đךć
öćĔîïøĉđüèÿëćîìĊęìĞćÜćî

4.1.2 ÖćøêøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšÿöĆÙøÜćî (Screening)

1) òść÷ìøĆó÷ćÖøïčÙÙúêšĂÜøąïčĀîšćìĊęÙüćöøĆïñĉéßĂïìćÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęöĊ
ÙüćöÿĞćÙĆâĔîđĂÖÿćøïøø÷ć÷úĆÖþèąÜćî (Job Description) ēé÷ĒïŠÜøąéĆïĕéšéĆÜêŠĂĕðîĊĚ
1. ĀîšćìĊęìĊęöĊÙüćöÿĞćÙĆâ (Sensitive Role) ÙČĂêĞćĒĀîŠÜìĊęöĊÙüćöđðŨîĕðĕéšüŠćĂćÝÖŠĂĔĀšđÖĉé
ñúÖøąìïĂ÷ŠćÜøčîĒøÜêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ. êĆüĂ÷ŠćÜđߊî
x êĞ ć ĒĀîŠ Ü ìĊę đ ÖĊę ÷ üÖĆ ï ÖćøüćÜĒñî ÖćøÖĞ ć Āîéìĉ ý ìćÜĒúąÖćøîĞ ć ĕðĔßš × ĂÜøąïï
ìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
x êĞ ć ĒĀîŠ Ü ìĊę öĊ Ù üćöøĆ ï ñĉ é ßĂïĀúĆ Ö ĔîÖćøÖĞ ć Āîéìĉ ý ìćÜ üćÜĒñî ĒúąĂĂÖĒïï
øąïïÙĂöóĉüđêĂøŤ øüöëċÜăćøŤéĒüøŤ (Hardware) ĒúąàĂôêŤĒüøŤ (Software)
x êĞćĒĀîŠÜìĊęÿćöćøëđךćëċÜøąïïĔîøąĀüŠćÜÖćøðäĉïĆêĉÜćîĀøČĂøąĀüŠćÜÖćøàŠĂöïĞćøčÜ
ēé÷öĊÙüćöđÿĊę÷ÜìĊęđðŨîĕðĕéšÿĎÜìĊęĂćÝÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷øčîĒøÜĀøČĂÿŠÜñúÖøąìï
êŠĂ Öôñ.
2. ĀîšćìĊęðÖêĉ (Regular Role) ÙČĂêĞćĒĀîŠÜìĊęöĊÙüćöđðŨîĕðĕéšüŠćĂćÝÖŠĂĔĀšđÖĉéñúÖøąìïêŠĂ
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.ĔîøąéĆïìĊęÝĞćÖĆé Āöć÷øüöëċÜìčÖêĞćĒĀîŠÜìĊę
ĕöŠëĎÖÝĆéĂ÷ĎŠĔîÖúčŠö×ĂÜĀîšćìĊęìĊęöĊÙüćöÿĞćÙĆâ (Sensitive Role)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 51 / 174

 2) ñĎšìéúĂÜÜćî úĎÖÝšćÜĀøČĂĀîŠü÷Üćîõć÷îĂÖ êšĂÜĕöŠĕéšøĆïĀîšćìĊęìĊęöĊÙüćöÿĞćÙĆâ (Sensitive Role)
ÖŠĂîĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕðĒúąĀĆüĀîšćÿćøÿîđìýìĊęđÖĊę÷üךĂÜ
3) òść÷ìøĆó÷ćÖøïčÙÙúĀøČĂĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜêšĂÜêøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšÿöĆÙø ēé÷
êšĂÜóĉÝćøèćëċÜךĂöĎúÿŠüîêĆü ĒúąÖãĀöć÷ìĊęđÖĊę÷üךĂÜÖĆïÖćøÝšćÜÜćî ēé÷êšĂÜÙĞćîċÜëċÜðøąđéĘî
êŠćÜėêŠĂĕðîĊĚ
1. ÝĞćîüîïčÙÙúìĊęĂšćÜĂĉÜ
2. ĔïĒÿéÜüčçĉÖćøýċÖþć
3. ĔïĂîčâćêðøąÖĂïüĉßćßĊó ðøąÖćýîĊ÷ïĆêø
4. đĂÖÿćøĒÿéÜêĆüïčÙ Ùú đߊ î ïĆêøðøąÝĞ ćêĆüðøąßćßî ïĆ êøðøąÝĞćêĆ üךćøćßÖćø ïĆ êø
ðøąÝĞćêĆüđÝšćĀîšćìĊę×ĂÜøĆå ĀøČĂĀîĆÜÿČĂđéĉîìćÜ đðŨîêšî
5. ÖćøêøüÝÿĂïĂČęîė đߊî ÿëćîąÙüćöîŠćđßČęĂëČĂìćÜéšćîÖćøđÜĉî ðøąüĆêĉĂćßâćÖøøö đðŨî
êšî

4.1.3 ÖćøÖĞćĀîéđÜČęĂîĕ×ÖćøÝšćÜÜćî (Terms and Conditions of Employment)

1) ñĎšðäĉïĆêĉÜćî ĒúąĀîŠü÷Üćîõć÷îĂÖìĊęĕéšøĆïÿĉìíĉĔîÖćøđךćëċÜÿćøÿîđìýêšĂÜúÜîćöĔîךĂêÖúÜöĉĔĀš
đðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
2) òść÷ìøĆó÷ćÖøïčÙÙú ĀøČĂĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜêšĂÜÖĞćĀîéđÜČęĂîĕ×ÖćøÝšćÜÜćîĔĀš
ÙøĂïÙúčöĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ĀîšćìĊęÙüćöøĆïñĉéßĂïéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
2. ÖøèĊìĊęöĊÖćøÿĆîîĉþåćîüŠćñĎšðäĉïĆêĉÜćîĔßšÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤĀøČĂךĂÙüćöđÿĊ÷ÜĕðĔîìćÜìĊę
öĉßĂï Öôñ. öĊÿĉìíĉĔîÖćøÿčŠöêøüÝÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤĀøČĂךĂÙüćöđÿĊ÷ÜéĆÜÖúŠćüēé÷ĕöŠ
êšĂÜĕéšøĆï Öćø÷ĉî÷ĂöĀøČĂöĊÖćøĒÝšÜĒÖŠñĎšðäĉïĆêĉÜćîÖŠĂîéĞćđîĉîÖćø
3. ÿćøÿîđìýĀøČĂøąïïÿćøÿîđìýìĊęÿøšćÜĀøČĂóĆçîćēé÷ñĎšðäĉïĆêĉÜćîĔîøąĀüŠćÜÖćøüŠćÝšćÜ ëČĂ
đðŨîìøĆó÷Ťÿĉî×ĂÜ Öôñ.

4.2 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ĔîøąĀüŠćÜÖćøÝšćÜÜćî (During Employment)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÖĞćĀîéĀîšćìĊęĔîÖćøïøĉĀćøÝĆéÖćøéšćîÙüćööĆęîÙÜðúĂéõĆ÷ ÖćøÿøšćÜÙüćöêøąĀîĆÖ ĔĀšÙüćöøĎš Ēúą
ÖćøòřÖĂïøöéšćîÙüćööĆęîÙÜðúĂéõĆ÷ĔĀšĒÖŠñĎšðäĉïĆêĉÜćî êúĂéÝîÖøąïüîÖćøúÜēìþìćÜüĉîĆ÷

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 52 / 174

öćêøåćî
4.2.1 ĀîšćìĊęĔîÖćøïøĉĀćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Management Responsibilities)
1) ñĎšïøĉĀćø Öôñ. ìčÖøąéĆïßĆĚîöĊĀîšćìĊęÿîĆïÿîčîĒúąÿŠÜđÿøĉöđøČęĂÜéĆÜêŠĂĕðîĊĚ ĒÖŠñĎšðäĉïĆêĉÜćîĒúą
ĀîŠü÷Üćîõć÷îĂÖ
1. ĒÝšÜĀîšćìĊęĒúąÙüćöøĆïñĉéßĂïéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÖŠĂîìĊęÝąĕéšøĆï
ĂîčâćêĔĀšđךćëċÜÿćøÿîđìýĀøČĂĂčðÖøèŤðøąöüúñúÿćøÿîđìý
2. ÝĎÜĔÝĔĀšðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćøðäĉïĆêĉÿĞćĀøĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý
3. ÿøšćÜÙüćöêøąĀîĆÖëċÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜÖĆïĀîšćìĊę Ùüćö
øĆïñĉéßĂï×ĂÜêîđĂÜĒúą×ĂÜ Öôñ.
4. ðäĉïĆêĉêćöđÜČęĂîĕ×ÖćøÝšćÜÜćî àċęÜøüöëċÜîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćîéšćî
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.

4.2.2 ÖćøÿøšćÜÙüćöêøąĀîĆÖ ÖćøĔĀšÙüćöøĎš ĒúąÖćøĂïøöéšćîÙüćööĆęîÙÜðúĂéõĆ÷ĔĀšĒÖŠñĎšðäĉïĆêĉÜćî

(Information Security Awareness, Education, and Training)
1) ÖćøðåöîĉđìýñĎšðäĉïĆêĉÜćîĔĀöŠ
1. òś ć ÷óĆ ç îćïč Ù ÙúćÖøêš Ă ÜéĞ ć đîĉ î Öćøòř Ö Ăïøö ĔĀš Ē ÖŠ ñĎš ð äĉ ïĆ êĉ Ü ćîĔĀöŠ đóČę Ă ÿøš ć Ü
ÙüćöêøąĀîĆÖéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ēé÷Ăíĉïć÷ëċÜîē÷ïć÷Ēúąöćêøåćî
éšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
2. òść÷ìøĆó÷ćÖøïčÙÙúêšĂÜìĞćÿĞćđîćđĂÖÿćøÿøšćÜÙüćöêøąĀîĆÖéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìýĔĀšĒÖŠñĎšðäĉïĆêĉÜćîĔĀöŠìčÖÙî óøšĂöìĆĚÜêšĂÜĔĀšñĎšðäĉïĆêĉÜćîĔĀöŠúÜîćöøĆïìøćï
2) ÖćøĒÝšÜđÜČęĂîĕ×ÖćøðäĉïĆêĉÜćî×ĂÜĀîŠü÷Üćîõć÷îĂÖ
1. òść÷ìøĆó÷ćÖøïčÙÙú ĀøČĂĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠ ćÝšćÜêšĂÜĂíĉïć÷ëċÜđÜČęĂîĕ×
ÖćøðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĔĀšĒÖŠĀîŠü÷Üćîõć÷îĂÖìĊęëĎÖüŠćÝšćÜ
3) ÖćøÿøšćÜÙüćöêøąĀîĆÖĔîÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷Ă÷ŠćÜÿöęĞćđÿöĂ
1. ĀĆüĀîšćÜćîÿćøÿîđìý öĊĀîšćìĊęøĆïñĉéßĂïĔîÖćøđòŜćøąüĆÜõĆ÷ÙčÖÙćö ĒúąßŠĂÜēĀüŠìĊęĂćÝöĊ
ñúÖøąìïêŠ ĂÙüćööĆę îÙÜðúĂéõĆ ÷éšćîÿćøÿîđìý óøšĂöìĆĚÜĒÝš ÜðøąđéĘîéĆ ÜÖúŠćüĔĀšĒ ÖŠ
ñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜ îĂÖÝćÖîĊĚêšĂÜđêČĂîĔĀšñĎšðäĉïĆêĉÜćîđóĉęöÙüćöøąöĆéøąüĆÜÙüćöđÿĊę÷ÜĔî
đøČęĂÜêŠćÜė đߊî ĕüøĆÿÙĂöóĉüđêĂøŤ đìÙîĉÙÖćøĀúĂÖúŠĂìćÜÝĉêüĉì÷ć (Social Engineering)
ĒúąßŠĂÜēĀüŠĔĀöŠėìćÜéšćîđìÙîĉÙ đðŨîêšî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 53 / 174

 2. òść÷üćÜĒñîđìÙēîēú÷ĊÿćøÿîđìýêšĂÜéĞćđîĉîÖćøòřÖĂïøöĀøČĂðøąßćÿĆöóĆîíŤđóČęĂÿøšćÜ
ÙüćöêøąĀîĆÖéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĒÖŠñĎšðäĉïĆêĉÜćîđðŨîðøąÝĞćìčÖðŘ
3. ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕðêšĂÜĒÝšÜñĎšðäĉïĆêĉÜćîĔîĀîŠü÷ÜćîĔĀšìøćï đöČęĂöĊÖćø
đðúĊę ÷ îĒðúÜîē÷ïć÷ öćêøåćî Ēúą×ĆĚ î êĂîðäĉ ïĆêĉ Ü ćîéš ć îÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć î
ÿćøÿîđìýìĊęđÖĊę÷üךĂÜ øüöìĆĚÜĂíĉïć÷ñúÖøąìïÝćÖÖćøđðúĊę÷îĒðúÜéĆÜÖúŠćü

4.2.3 ÖøąïüîÖćøìćÜüĉîĆ÷đóČęĂúÜēìþ (Disciplinary Process)

1) òść÷ìøĆó÷ćÖøïčÙÙúĒúąòść÷ÖãĀöć÷ êšĂÜÖĞćĀîéĔĀšöĊÖćøúÜēìþêćöÖøąïüîúÜēìþìćÜüĉîĆ÷×ĂÜ
Öôñ. ĒÖŠñĎšðäĉïĆêĉÜćî ĒúąĀîŠü÷Üćîõć÷îĂÖìĊęĕöŠðäĉïĆêĉêćöîē÷ïć÷ öćêøåćî Ēúą×ĆĚîêĂî
ðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
2) ĔîÖøèĊ ìĊę ñĎš ð äĉ ïĆ êĉ Ü ćî ĒúąĀîŠ ü ÷Üćîõć÷îĂÖÖøąìĞ ć Ùüćöñĉ é éš ć îÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć î
ÿćøÿîđìýĂ÷ŠćÜøčîĒøÜ ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ĒúąñĎšéĎĒúÿćøÿîđìýĒúąøąïïÿćøÿîđìýêšĂÜ
ĒÝš Ü ĀĆ ü Āîš ć Üćîÿćøÿîđìý đóČę Ă éĞ ć đîĉ î ÖćøëĂîÿĉ ì íĉ Ĕ îÖćøđך ć ëċ Ü ÿćøÿîđìýĒúąĀøČ Ă øąïï
ÿćøÿîđìý ēé÷ìĆîìĊ

4.3 ÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî (Termination or Change of

Employment)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïđöČęĂÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îÖćøÝšćÜÜćî àċęÜøüöĕðëċÜÖćøÙČîìøĆó÷Ťÿĉî Ēúą
ÖćøëĂéëĂîÿĉìíĉĔîÖćøđךćëċÜ

öćêøåćî
4.3.1 ÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî (Termination Responsibilities)
1) đöČęĂÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî ñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖêšĂÜðäĉïĆêĉêćö
ĀîšćìĊęÙüćöøĆïñĉéßĂïêćöךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ. Ă÷ŠćÜđÙøŠÜÙøĆé
2) òść÷ìøĆó÷ćÖøïčÙÙúĒúąòść÷øĆÖþćÙüćöðúĂéõĆ÷êšĂÜêøüÝÿĂïÙčèÿöïĆêĉ×ĂÜñĎšðäĉïĆêĉÜćîĂĊÖÙøĆĚÜ
ÖŠĂîìĊęĕéšøĆïÖćøðøĆïêĞćĒĀîŠÜĀøČĂ÷šć÷ĀîŠü÷Üćî
3) òść÷ìøĆó÷ćÖøïčÙÙú ĀøČĂĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜêšĂÜöĊÖćøĒÝšÜøć÷ßČęĂ×ĂÜñĎšðäĉïĆêĉÜćî
ĒúąĀîŠ ü ÷Üćîõć÷îĂÖìĊęÿĉĚ î ÿčé ĀøČĂ ÖćøđðúĊę ÷ îÖćøÝš ć ÜÜćîĒÖŠ ñĎš ìĊęđ ÖĊę ÷ üך ĂÜ đߊ î ĀĆ üĀîš ć Üćî
ÿćøÿîđìý ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤĒúąñĎšøĆïñĉéßĂïÿëćîìĊę đðŨîðøąÝĞćìčÖđéČĂî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 54 / 174

4.3.2 ÖćøÙČîìøĆó÷Ťÿĉî×ĂÜĂÜÙŤÖø (Return of Assets)
1) ĀĆüĀîšćÜćîĒúąòść÷ïĆâßĊĒúąÖćøđÜĉî êšĂÜéĞćđîĉîÖćøêøüÝÿĂïđóČęĂđøĊ÷ÖÙČîìøĆó÷Ťÿĉî×ĂÜ Öôñ.
ÝćÖñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖ đöČęĂÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćøÝšćÜÜćî ēé÷øüöëċÜ
ÿćøÿîđìý ĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý ìĊęĕéšøĆïĔîøąĀüŠćÜÖćøðäĉïĆêĉÜćî
2) ĀĆ üĀîšćÜćîĒúąĀîŠ ü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠ ćÝšćÜêšĂÜÖĞć ĀîéĔĀš ñĎš ðäĉïĆêĉÜćî ĒúąĀîŠ ü÷Üćî
õć÷îĂÖ ìĞćÖćøëŠć÷ìĂéÙüćöøĎšìĊęöĊÙüćöÿĞćÙĆâêŠĂÖćøéĞćđîĉîíčøÖĉÝ×ĂÜ Öôñ. ÖŠĂîÿĉĚîÿčéÖćøÝšćÜ
Üćî

4.3.3 ÖćøëĂéëĂîÿĉìíĉĔîÖćøđךćëċÜ (Removal of Access Rights)

1) ĀĆüĀîšćÜćîÿćøÿîđìý ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤĒúąñĎšøĆïñĉéßĂïÿëćîìĊęêšĂÜéĞćđîĉîÖćøëĂéëĂî
ÿĉìíĉĔîÖćøđךćëċÜ×ĂÜñĎšðäĉïĆêĉÜćî ĒúąĀîŠü÷Üćîõć÷îĂÖ đöČęĂÖćøÿĉĚîÿčéĀøČĂÖćøđðúĊę÷îĒðúÜÖćø
ÝšćÜÜćî
2) ÖćøëĂéëĂîÿĉìíĉĔîÖćøđךćëċÜĀöć÷øüöëċÜ ìćÜÖć÷õćó (Physical) ĒúąìćÜêøøÖą (Logical)
đߊî ÖčâĒÝ ïĆêøĒÿéÜêî ïĆêøðøąÝĞćêĆüñĎšðäĉïĆêĉÜćî ĒúąïĆâßĊñĎšĔßšÜćî đðŨîêšî
3) ĔîÖøèĊìĊęñĎšðäĉïĆêĉÜćî ĒúąĀîŠü÷Üćîõć÷îĂÖìĊęÿĉĚîÿčéĀøČĂđðúĊę÷îĒðúÜÖćøÝšćÜÜćî öĊÖćøĔßšïĆâßĊ
ñĎšĔßšÜćîøŠüöÖĆî (Shared User ID) ÖĆïñĎšðäĉïĆêĉÜćîĂČęî ñĎšïĆÜÙĆïïĆâßćìĊęđÖĊę÷üךĂÜêšĂÜéĞćđîĉîÖćø
đðúĊę÷îøĀĆÿñŠćîìĆîìĊĀúĆÜÝćÖÿĉĚîÿčéĀøČĂđðúĊę÷îĒðúÜÖćøÝšćÜÜćî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-04 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿŠÜÙČîìøĆó÷ŤÿĉîđöČęĂđúĉÖÝšćÜÜćîĀøČĂđðúĊę÷îĒðúÜúĆÖþèąÖćø
ÝšćÜÜćî (Return of Assets Procedure)
2) PD-05 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøëĂéëĂîÿĉìíĉ đöČęĂđúĉÖÝšćÜĀøČĂđðúĊę÷îĒðúÜúĆÖþèąÖćøÝšćÜ
Üćî (Removal of Access Right Procedure)

ST-05: öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö (Standard of

Physical and Environmental Security)

üĆêëčðøąÿÜÙŤ
đóČęĂðŜĂÜÖĆîÖćøđךćëċÜìćÜÖć÷õćóēé÷ĕöŠĕéšøĆïĂîčâćê ÖćøÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷ ĒúąÖćøÖŠĂÖüîĀøČĂ
ĒìøÖĒàÜêŠĂìøĆó÷Ťÿĉî×ĂÜ Öôñ. ĂĊÖìĆĚÜđóČęĂðŜĂÜÖĆîìøĆó÷Ťÿĉî×ĂÜ Öôñ. ÿĎâĀć÷ đÿĊ÷Āć÷ ëĎÖ×ēö÷ ĀøČĂ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 55 / 174
ÿćøÿîđìýëĎÖđðŗéđñ÷ēé÷ĕöŠĕéšøĆïĂîčâćê ĒúąÖćøìĞćĔĀšÖĉÝÖøøöÖćøéĞćđîĉîÜćîêŠćÜė ×ĂÜ Öôñ. đÖĉé Öćø
êĉé×ĆéĀøČĂĀ÷čéßąÜĆÖ ēé÷ÖĞćĀîéĔĀšöĊöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö àċęÜ
ðøąÖĂïéšü÷ 2 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) ïøĉđüèìĊęêšĂÜöĊÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ (Secure Areas)
2) ÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜĂčðÖøèŤ (Equipment Security)

ïìïćìĀîšćìĊę
òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý (Ăðì.)
ƒ ĔĀšÙĞ ćðøċ Ö þćĒúąĒîąîĞ ćĒîüìćÜìĊę đÖĊę ÷üך Ă ÜÖĆ ï îē÷ïć÷ÙüćööĆę îÙÜðúĂéõĆ ÷ ìćÜÖć÷õćóĒúą
ÿĉęÜĒüéúšĂöĀøČĂðŦâĀćìĊęđÖĊę÷üךĂÜ
ƒ ÿČęĂÿćøÖĆïñĎšïøĉĀćø×ĂÜ Öôñ. êćöøąéĆï×ĂÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïĂčðÖøèŤ ÿĂéÙúšĂÜÖĆï
ÙüćöÿĞćÙĆâ×ĂÜÿćøÿîđìýìĊęĕéšøĆïÖćøðøąöüúñú
ƒ êøüÝÿĂïÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćó×ĂÜăćøŤéĒüøŤ (Hardware) àĂôêŤĒüøŤ (Software) Ēúą
ÿćøÿîđìý ìĊęĔßšÜćîĂ÷ĎŠĔî Öôñ.
ƒ ÙüïÙčöñĎšðäĉïĆêĉÜćîìĊęìĞćÜćîĔîóČĚîìĊęìĊęĂ÷ŠćÜđךöÜüé óøšĂöìĆĚÜĕéšøĆïÖćøòřÖòî Ăïøö éšćîÙüćööĆęîÙÜ
ðúĂéõĆ÷×ĂÜøąïïĂ÷ŠćÜđĀöćąÿöĂ÷ĎŠđÿöĂ

ĀĆüĀîšćÜćîÿćøÿîđìý
ƒ ÝĆéĔĀšöĊÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýđðŨîðøąÝĞćìčÖĕêøöćÿ ĀøČĂêćöìĊęĕéšøąïčĔîÙĎŠöČĂ
ÖćøĔßšÜćî×ĂÜĂčðÖøèŤðøąöüúñúÿćøÿîđìý
ƒ ÝĆéìĞćđĂÖÿćøøć÷ÖćøÖćøđךćÿć÷ (Patch List) đóČęĂðŜĂÜÖĆîÙüćöÿĆïÿî
ƒ ÙüïÙčöÖćøðäĉïĆêĉĀîšćìĊęĔîøąĀüŠćÜÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïïÿîĆïÿîčî
êŠćÜė óøšĂöìĆĚÜïĆîìċÖðøąüĆêĉĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
ƒ ìïìüîÿĆââćïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïïÿîĆïÿîčîêŠćÜėđðŨîðøąÝĞćĂ÷ŠćÜ
îšĂ÷ðŘúąĀîċęÜÙøĆĚÜ
ƒ ÿøšćÜÙüćöêøąĀîĆÖĔĀšÖĆïñĎšïøĉĀćøĒúąñĎšðäĉïĆêĉÜćîĔîøąéĆïÖćøïøĉÖćøÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï
ĂčðÖøèŤêŠćÜė
ƒ êøüÝÿĂïĂć÷č×ĂÜÿČęĂïĆîìċÖךĂöĎúÿćøÿîđìýĂ÷ŠćÜÿöęĞćđÿöĂ
ƒ ÖĞćĀîéøą÷ąđüúćÖćøÿŠÜÙČîìøĆó÷Ťÿĉî×ĂÜ Öôñ. óøšĂöìĆĚÜêøüÝÿĂïÿõćó×ĂÜìøĆó÷Ťÿĉî×ĂÜ Öôñ.
ĀúĆÜÝćÖĕéšøĆïÙČîÝćÖñĎšðäĉïĆêĉÜćî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 56 / 174

ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčöõć÷ĔîýĎî÷ŤÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčöÖćøđךć-ĂĂÖýĎî÷ŤÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčöìĊęđĀöćąÿö đóČęĂðŜĂÜÖćøðäĉïĆêĉÜćîĂĆîÖŠĂĔĀšđÖĉéñúÖøąìïêŠĂÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý ĔîøąĀüŠćÜÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïïÿîĆïÿîčîêŠćÜė
ƒ ÝĆéĔĀšöĊÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙüćöÝćÖõć÷îĂÖĒúąÿĉęÜĒüéúšĂöêŠĂýĎî÷ŤÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøïøĉĀćøÝĆéÖćøĂčðÖøèŤĒúąøąïïÿîĆïÿîčîÖćøìĞćÜćîøąïïÿćøÿîđìýÿćøÿîđìýÿĞćĀøĆï
ýĎî÷ŤÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøïĞćøčÜøĆÖþćøąïïÿîĆïÿîčîÖćøìĞćÜćîêŠćÜė đðŨîðøąÝĞć

ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčöõć÷ĔîĀšĂÜÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčöÖćøđךć-ĂĂÖĀšĂÜÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčöìĊęđĀöćąÿö đóČęĂðŜĂÜÖćøðäĉïĆêĉÜćîĂĆîÖŠĂĔĀšđÖĉéñúÖøąìïêŠĂÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý ĔîøąĀüŠćÜÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïïÿîĆïÿîčîêŠćÜė
ƒ ÝĆéĔĀšöĊÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙüćöÝćÖõć÷îĂÖĒúąÿĉęÜĒüéúšĂöêŠĂĀšĂÜÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøïøĉĀćøÝĆéÖćøĂčðÖøèŤĒúąøąïïÿîĆïÿîčîÖćøìĞćÜćîøąïïÿćøÿîđìýÿćøÿîđìýÿĞćĀøĆï
ĀšĂÜÙĂöóĉüđêĂøŤ
ƒ ÝĆéĔĀšöĊÖćøïĞćøčÜøĆÖþćøąïïÿîĆïÿîčîÖćøìĞćÜćîêŠćÜė đðŨîðøąÝĞć

đÝšćĀîšćìĊęøĆÖþćÙüćöðúĂéõĆ÷
ƒ êøüÝÿĂïúĆÖþèą×ĂÜìøĆó÷Ťÿĉî×ĂÜ Öôñ. ēé÷đðøĊ÷ïđìĊ÷ïÖĆïđĂÖÿćøÖćøĒÝšÜÙüćöðøąÿÜÙŤĔîÖćø
îĞćĂĂÖ×ĂÜìøĆó÷ŤÿĉîĂ÷ŠćÜúąđĂĊ÷éøĂïÙĂï
ƒ ïĆîìċÖÖćøîĞćìøĆó÷ŤÿĉîĂĂÖîĂÖĂćÙćø Öôñ. ìčÖÙøĆĚÜ óøšĂöìĆĚÜøć÷ÜćîÖćøîĞćìøĆó÷ŤÿĉîĂĂÖĕð÷ĆÜ
ñĎšïĆÜÙĆïïĆâßć×ĂÜñĎšĒÝšÜÙüćöðøąÿÜÙŤ

ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤ ĀøČĂñĎšøĆïñĉéßĂïÿëćîìĊę
ƒ ÙüïÙčöÖćøđךćëċÜìćÜÖć÷õćó×ĂÜýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤĒúąĂčðÖøèŤìĆĚÜĀöéõć÷Ĕî
ýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ ĂĊÖìĆĚÜñĎšðäĉïĆêĉÜćîĀøČĂñĎšöćêĉéêŠĂðäĉïĆêĉêćööćêøåćîÙüćööĆęîÙÜ
ðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿĉęÜĒüéúšĂö×ĂÜ Öôñ.

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 57 / 174

 ƒ ÙüïÙč ö ĔĀš öĊÖ ćøĒúÖïĆ êøìĊę Ĕ ßš ø ąïč êĆü êî×ĂÜïč Ù ÙúîĆĚî ė ĔîÖćøđךć -ĂĂÖýĎî ÷Ť Ù Ăöóĉü đêĂøŤ/Āš Ă Ü
ÙĂöóĉüđêĂøŤĒúąìĞćÖćøúÜïĆîìċÖךĂöĎúĔîïĆîìċÖñĎšêĉéêŠĂ (Visitor Log Book)

ñĎšðäĉïĆêĉÜćî
ƒ êĉ é ïĆ ê øĂîč â ćêĀøČ Ă ïĆ ê øñĎš êĉ é êŠ Ă êøÜÝč é ìĊę ÿ ćöćøëđĀĘ î ĕéš Ă ÷Š ć ÜßĆ é đÝîêúĂéđüúćìĊę Ă ÷ĎŠ Ĕ îýĎ î ÷Ť
ÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ
ƒ óïđĀĘîñĎšìĊęöĊóùêĉÖøøöîŠćÿÜÿĆ÷Ă÷ĎŠõć÷ĔîĂćÙćøìĊęöĊýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤêĆĚÜĂ÷ĎŠ êšĂÜĒÝšÜ
ĕð÷ĆÜđÝšćĀîšćìĊęøĆÖþćÙüćöðúĂéõĆ÷ēé÷ìĆîìĊ
ƒ ĒÝšÜÙüćöðøąÿÜÙŤĔîÖćø×ĂîĞćìøĆó÷Ťÿĉî×ĂÜ Öôñ. ĂĂÖîĂÖÿĞćîĆÖÜćîêŠĂñĎšïĆÜÙĆïïĆâßć óøšĂöìĆĚÜ
ðäĉïĆêĉêćööćêøåćîìĊę Öôñ. ÖĞćĀîéĔîÖćøĔßšĂčðÖøèŤĒïïóÖóćđöČęĂĔßšÜćîîĂÖÿĞćîĆÖÜćî

ñĎšöćêĉéêŠĂ
ƒ ĒúÖïĆêøĂîčâćêĀøČĂïĆêøñĎšöćêĉéêŠĂĒúąêšĂÜêĉéïĆêøêøÜÝčéìĊęÿćöćøëđĀĘîĕéšĂ÷ŠćÜßĆéđÝîêúĂéđüúćìĊę
Ă÷ĎŠĔîĂćÙćøìĊęöĊýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ
ƒ êĉ é ïĆ ê øĂîč â ćêĀøČ Ă ïĆ ê øñĎš êĉ é êŠ Ă êøÜÝč é ìĊę ÿ ćöćøëđĀĘ î ĕéš Ă ÷Š ć ÜßĆ é đÝîêúĂéđüúćìĊę Ă ÷ĎŠ Ĕ îýĎ î ÷Ť
ÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ

5.1 ïøĉđüèìĊęêšĂÜöĊÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ (Secure Areas)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÝĆéìĞćïøĉđüèúšĂöøĂïóČĚîìĊęÙüïÙčö ÖćøÙüïÙčöÖćøđךć-ĂĂÖ ÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï
ÿĞćîĆÖÜćî ĀšĂÜìĞćÜćî Ēúą ìøĆó÷ŤÿĉîĂČęîė ÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙćöÝćÖõć÷îĂÖĒúąÿĉęÜĒüéúšĂö ÖćøÙüïÙčö
ÖćøðäĉïĆêĉÜćîĔîóČĚîìĊęìĊęêšĂÜøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ ĒúąÖćøÝĆéïøĉđüèÿĞćĀøĆïÖćøđךćëċÜĀøČĂÿĞćĀøĆï Öćø
ÿŠÜöĂïñúĉêõĆèæŤēé÷ïčÙÙúõć÷îĂÖ

öćêøåćî
5.1.1 ÖćøÝĆéìĞćïøĉđüèúšĂöøĂï (Physical Security Perimeter)
1) ÖøèĊýĎî÷ŤÙĂöóĉüđêĂøŤ ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöýĎî÷ŤÙĂöóĉüđêĂøŤ Ă÷ŠćÜ
îšĂ÷éĆÜêŠĂĕðîĊĚ
x Ă÷ĎŠĔîĂćÙćøìĊęöĊÖćøÖĆĚîïøĉđüèĒúąÝĆéìĞćñîĆÜĀøČĂÖĞćĒóÜúšĂöøĂï

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 58 / 174

 x ÖĞćĒóÜßĆĚîîĂÖ×ĂÜĂćÙćø êšĂÜöĊēÙøÜÿøšćÜìĊęĒ×ĘÜĒøÜ ðøąêĎßĆĚîîĂÖìĆĚÜĀöéêšĂÜöĊÖćøðŜĂÜÖĆî
ÖćøđךćëċÜēé÷ĕöŠĕéšøĆïĂîčâćêĂ÷ŠćÜĒîŠîĀîćéšü÷ÖúĕÖÙüïÙčö êĆüĂ÷ŠćÜđߊî ÿĆââćèđêČĂîñĎš
ïčÖøčÖ (Alarms) ĂĊÖìĆĚÜðøąêĎĒúąĀîšćêŠćÜìĊęĂ÷ĎŠßĆĚîúŠćÜêšĂÜĔÿŠÖčâĒÝ (Lock) Ă÷ĎŠêúĂéđüúć
x ïøĉđüèìćÜđךć - ĂĂÖ×ĂÜĂćÙćø êšĂÜÝĆéêĆĚÜēêŢąìĞćÖćø×ĂÜñĎšøĆÖþćÙüćöðúĂéõĆ÷ ēé÷
ÖĞćĀîéĔĀšđךćĂćÙćøĕéšđÞóćąïčÙÙúìĊęĕéšøĆïĂîčâćêđìŠćîĆĚî
x ñĎšöćêĉéêŠĂêšĂÜĒúÖïĆêøĂîčâćêĀøČĂïĆêøñĎšöćêĉéêŠĂĒúąêšĂÜêĉéïĆêøêøÜÝčéìĊęÿćöćøëđĀĘîĕéš
Ă÷ŠćÜßĆéđÝîêúĂéđüúćìĊęĂ÷ĎŠĔîĂćÙćø ìĆĚÜîĊĚëšćĕöŠðäĉïĆêĉêćöñĎšóïđĀĘîêšĂÜĒÝšÜĕð÷ĆÜòść÷øĆÖþć
ÙüćöðúĂéõĆ÷ĔĀšìøćïēé÷ìĆîìĊ
x ðøąêĎĀîĊĕô×ĂÜĂćÙćø êšĂÜĕöŠÿćöćøëđðŗéðøąêĎÝćÖõć÷îĂÖĂćÙćøĕéš ĀøČĂöĊøąïïĒÝšÜ
đêČĂîÖćøïčÖøčÖ óøšĂöìĆĚÜìéÿĂïøąïïĒÝšÜđêČĂîđðŨîðøąÝĞćìčÖĕêøöćÿ
x ýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜĂ÷ĎŠĔîóČĚîìĊęđÞóćąàċęÜöĊñîĆÜúšĂöøĂïĒúąöĊðøąêĎìćÜđךć - ĂĂÖĂĊÖ
ßĆĚîĀîċęÜ ēé÷ðøąêĎìćÜđךć - ĂĂÖ×ĂÜýĎî÷ŤÙĂöóĉüđêĂøŤêšĂÜöĊÖćøðŜĂÜÖĆîÖćøđךćëċÜĂ÷ŠćÜĒîŠî
Āîćéšü÷ÖúĕÖÙüïÙčö êĆüĂ÷ŠćÜđߊî ÿĆââćèđêČĂîñĎšïčÖøčÖ (Alarms)
x êšĂÜöĊÖćøÝĆéýĎî÷ŤÙĂöóĉüđêĂøŤĔĀšđðŨîÿĆéÿŠüî ēé÷ĒïŠÜđðŨîÿŠüîøąïïđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ
׊ć÷ (Server zone) ÿŠüîøąïïđÙøČĂ׊ć÷ (Network zone) ĒúąÿŠüîóČĚîìĊęðäĉïĆêĉÜćîÿĞćĀøĆï
đÝšćĀîšćìĊęýĎî÷ŤÙĂöóĉüđêĂøŤ ìĆĚÜîĊĚêšĂÜöĊðøąêĎìćÜđךć - ĂĂÖ đÞóćąÿĞćĀøĆïÿŠüîøąïïđÙøČęĂÜ
ÙĂöóĉüđêĂøŤĒöŠ×Šć÷ (Server zone) ĒúąÿŠüîøąïïđÙøČĂ׊ć÷ (Network zone)
x õć÷ĔîýĎ î ÷Ť Ù Ăöóĉ ü đêĂøŤ êš Ă ÜĒïŠ Ü óČĚ î ìĊę Ĕ Āš đ ðŨ î ÿĆ é ÿŠ ü î ēé÷Ē÷ÖĂč ð ÖøèŤ ð øąöüúñú
ÿćøÿîđìýìĊęéĎĒúēé÷ Öôñ. ĂĂÖÝćÖĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊęéĎĒúēé÷ĀîŠü÷Üćî
õć÷îĂÖĂ÷ŠćÜßĆéđÝî
x õć÷ĔîýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜöĊÖćøêĉéêĆĚÜÖúšĂÜüÜÝøðŗéĔĀšÙøĂïÙúčöóČĚîìĊęìĊęÿĞćÙĆâìĆĚÜĀöé
õć÷ĔîýĎî÷ŤÙĂöóĉüđêĂøŤ
2) ÖøèĊĀšĂÜÙĂöóĉüđêĂøŤ ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöĀšĂÜÙĂöóĉüđêĂøŤ Ă÷ŠćÜîšĂ÷
éĆÜêŠĂĕðîĊĚ
x Ă÷ĎŠĔîĂćÙćøìĊęöĊÖćøÖĆĚîïøĉđüèĒúąÝĆéìĞćñîĆÜĀøČĂÖĞćĒóÜúšĂöøĂï ēé÷êšĂÜöĊÖćøðŜĂÜÖĆîÖćø
đךćëċÜēé÷ĕöŠĕéšøĆïĂîčâćê
x ðøąêĎĀîĊĕô×ĂÜĂćÙćø êšĂÜĕöŠÿćöćøëđðŗéðøąêĎÝćÖõć÷îĂÖĂćÙćøĕéš ĀøČĂöĊøąïïĒÝšÜ
đêČĂîÖćøïčÖøčÖ óøšĂöìĆĚÜìéÿĂïøąïïĒÝšÜđêČĂîđðŨîðøąÝĞćìčÖĕêøöćÿ
x óČĚîìĊęĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜöĊñîĆÜúšĂöøĂïĒúąöĊðøąêĎìćÜđךć - ĂĂÖĂĊÖßĆĚîĀîċęÜ ēé÷ðøąêĎ
ìćÜđ×šć – ĂĂÖ×ĂÜĀšĂÜÙĂöóĉüđêĂøŤêšĂÜöĊÖćøðŜĂÜÖĆîÖćøđךćëċÜĂ÷ŠćÜĒîŠîĀîć

5.1.2 ÖćøÙüïÙčöÖćøđךć-ĂĂÖ (Physical Entry Controls)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 59 / 174
 1) ÖøèĊýĎî÷ŤÙĂöóĉüđêĂøŤ ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöÖćøđךć-ĂĂÖýĎî÷Ť
ÙĂöóĉüđêĂøŤ Ă÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
x ïøĉđüèìćÜđךć - ĂĂÖ×ĂÜĂćÙćøýĎî÷ŤÙĂöóĉüđêĂøŤêšĂÜÝĆéêĆĚÜēêŢąìĞćÖćø×ĂÜñĎšøĆÖþćÙüćö
ðúĂéõĆ ÷ ĒúąöĊ ÖćøÖĞćĀîéĔĀšđךćýĎî÷ŤÙ ĂöóĉüđêĂøŤĕéš đÞóćąïčÙ ÙúìĊęĕéšøĆ ïĂîčâćêÝćÖ
ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤđìŠćîĆĚî
x ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜÖĞćĀîéÿĉìíĉñĎšðäĉïĆêĉÜćîĀøČĂĀîŠü÷Üćîõć÷îĂÖìĊęöĊÿĉìíĉñŠćî
đךć - ĂĂÖýĎî÷ŤÙĂöóĉüđêĂøŤĒúąßŠüÜđüúćìĊęöĊÿĉìíĉñŠćîđךć - ĂĂÖýĎî÷ŤÙĂöóĉüđêĂøŤĂ÷ŠćÜđðŨî
úć÷úĆÖþèŤĂĆÖþø
x ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜìïìüîÿĉìíĉñŠćîđךć - ĂĂÖýĎî÷ŤÙĂöóĉüđêĂøŤđðŨîðøąÝĞćìčÖ
ĕêøöćÿ
x ðøąêĎïøĉđüèìćÜđךć - ĂĂÖ×ĂÜýĎî÷ŤÙĂöóĉüđêĂøŤêšĂÜöĊøąïïóĉÿĎÝîŤêĆüêîìĊęöĊÖćøøĆÖþćÙüćö
öĆęîÙÜðúĂéõĆ÷Ă÷ŠćÜĒîŠîĀîć đߊî ÖćøĔßšïĆêøñŠćîđÞóćąïčÙÙú (Access Card) øŠüöÖĆï
øĀĆÿñŠćîđÞóćąïčÙÙú (PIN) ĀøČĂøąïïêøüÝÿĂïúć÷îĉĚüöČĂ øŠüöÖĆïøĀĆÿñŠćîđÞóćąïčÙÙú
(PIN) đðŨîêšî óøšĂöìĆĚÜêšĂÜöĊÖćøÝĆéđÖĘï éĎĒúøĆÖþćðøąüĆêĉÖćøđךćëċÜ×ĂÜøąïïóĉÿĎÝîŤêĆüêî
ĕüšĂ÷ŠćÜîšĂ÷ 6 đéČĂî
x ÖćøđךćýĎî÷ŤÙĂöóĉüđêĂøŤēé÷ñĎšöćêĉéêŠĂ ñĎšéĎĒúýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜĔĀšöĊÖćøĒúÖïĆêøìĊęĔßš
øąïčêĆüêî×ĂÜïčÙÙúîĆĚîė ĒúąìĞćÖćøúÜïĆîìċÖךĂöĎúĔîïĆîìċÖñĎšêĉéêŠĂ (Visitor Log Book)
ēé÷ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊïĆîìċÖñĎšöćêĉéêŠĂ (Visitor Log Book) àċęÜïĆîìċÖ
ךĂöĎúøć÷úąđĂĊ÷é ÖćøêĉéêŠĂéĆÜêŠĂĕðîĊĚ
o ßČęĂĒúąîćöÿÖčúñĎšöćêĉéêŠĂ
o ßČęĂ×ĂÜĀîŠü÷ÜćîĀøČĂĂÜÙŤÖøñĎšöćêĉéêŠĂ
o ñĎšðäĉïĆêĉÜćîìĊęöĊĀîšćìĊęøĆïñĉéßĂïĔîøąĀüŠćÜÖćøêĉéêŠĂ
o ÝčéðøąÿÜÙŤĔîÖćøêĉéêŠĂ
o üĆîĒúąđüúćìĊęđךćöćêĉéêŠĂ
o üĆîĒúąđüúćìĊęđÿøĘÝÿĉĚîÖćøêĉéêŠĂ
o úć÷đàĘîñĎšêĉéêŠĂ
x ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜêøüÝÿĂïÙüćöëĎÖêšĂÜÙøïëšüî×ĂÜïĆîìċÖÖćøêĉéêŠĂ (Visitor
Log Book) đðŨîðøąÝĞćìčÖđéČĂî
x ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜÝĆéđÖĘïïĆîìċÖÖćøêĉéêŠĂ (Visitor Log Book) ĕüšĂ÷ŠćÜîšĂ÷ 6
đéČĂî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 60 / 174

 x ñĎšðäĉïĆêĉÜćîĒúąñĎšöćêĉéêŠĂ êšĂÜêĉéïĆêøĂîčâćêĀøČĂïĆêøñĎšêĉéêŠĂêøÜÝčéìĊęÿćöćøëđĀĘîĕéšĂ÷ŠćÜ
ßĆéđÝîêúĂéđüúćìĊęĂ÷ĎŠĔîýĎî÷ŤÙĂöóĉüđêĂøŤ ìĆĚÜîĊĚëšćĕöŠðäĉïĆêĉêćöñĎš óïđĀĘ îêšĂÜĒÝšÜĕð÷ĆÜ
đÝšćĀîšćìĊęøĆÖþćÙüćöðúĂéõĆ÷ĔĀšìøćïēé÷ìĆîìĊ
2) ÖøèĊ Āš Ă ÜÙĂöóĉ ü đêĂøŤ ñĎš éĎ Ē úĀš Ă ÜÙĂöóĉ ü đêĂøŤ êš Ă ÜÝĆ é ĔĀš öĊ Ö ćøÙüïÙč ö Öćøđך ć -ĂĂÖĀš Ă Ü
ÙĂöóĉüđêĂøŤ Ă÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
x ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜÖĞćĀîéÿĉìíĉñĎšðäĉïĆêĉÜćîĀøČĂĀîŠü÷Üćîõć÷îĂÖìĊęöĊÿĉìíĉñŠćîđךć
- ĂĂÖĀšĂÜÙĂöóĉüđêĂøŤĒúąßŠüÜđüúćìĊęöĊÿĉìíĉñŠćîđךć - ĂĂÖĀšĂÜÙĂöóĉüđêĂøŤĂ÷ŠćÜđðŨîúć÷
úĆÖþèŤĂĆÖþø
x ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜìïìüîÿĉìíĉñŠćîđךć - ĂĂÖĀšĂÜÙĂöóĉüđêĂøŤđðŨîðøąÝĞćìčÖĕêø
öćÿ
x ĀšĂÜÙĂöóĉüđêĂøŤêšĂÜöĊÖćøÙüïÙčöÖćøđךćĂĂÖ đߊî öĊÖčâĒÝúĘĂÙ ĀøČĂĔßšïĆêøñŠćîđÞóćą
ïčÙÙú (Access Card) đðŨîêšî
x ÖćøđךćĀšĂÜÙĂöóĉüđêĂøŤēé÷ñĎšöćêĉéêŠĂ ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜĔĀšöĊÖćøĒúÖïĆêøìĊęĔßš
øąïčêĆüêî×ĂÜïčÙÙúîĆĚîė ĒúąìĞćÖćøúÜïĆîìċÖךĂöĎúĔîïĆîìċÖñĎšêĉéêŠĂ (Visitor Log Book)
ēé÷ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊïĆîìċÖñĎšöćêĉéêŠĂ (Visitor Log Book) àċęÜïĆîìċÖ
ךĂöĎúøć÷úąđĂĊ÷é ÖćøêĉéêŠĂéĆÜêŠĂĕðîĊĚ
o ßČęĂĒúąîćöÿÖčúñĎšöćêĉéêŠĂ
o ßČęĂ×ĂÜĀîŠü÷ÜćîĀøČĂĂÜÙŤÖøñĎšöćêĉéêŠĂ
o ñĎšðäĉïĆêĉÜćîìĊęöĊĀîšćìĊęøĆïñĉéßĂïĔîøąĀüŠćÜÖćøêĉéêŠĂ
o ÝčéðøąÿÜÙŤĔîÖćøêĉéêŠĂ
o üĆîĒúąđüúćìĊęđךćöćêĉéêŠĂ
o üĆîĒúąđüúćìĊęđÿøĘÝÿĉĚîÖćøêĉéêŠĂ
o úć÷đàĘîñĎšêĉéêŠĂ
x ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜêøüÝÿĂïÙüćöëĎÖêšĂÜÙøïëšüî×ĂÜïĆîìċÖÖćøêĉéêŠĂ (Visitor
Log Book) đðŨîðøąÝĞćìčÖđéČĂî
x ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜÝĆéđÖĘïïĆîìċÖÖćøêĉéêŠĂ (Visitor Log Book) ĕüšĂ÷ŠćÜîšĂ÷ 6
đéČĂî

5.1.3 ÖćøøĆ Ö þćÙüćööĆę î ÙÜðúĂéõĆ ÷ ÿĞ ć ĀøĆ ï ÿĞ ć îĆ Ö Üćî Āš Ă ÜìĞ ć Üćî ĒúąìøĆ ó ÷Ť ÿĉ î ĂČę î ė (Securing
Offices, Rooms, and Facilities)
1) ĂčðÖøèŤðøąöüúñúÿćøÿîđìý ĒúąÿČęĂïĆîìċÖךĂöĎúĒïïĂĉđúĘÖìøĂîĉÖÿŤ Ă÷ŠćÜđߊî àĊéĊ đìð
ĒñŠîéĉÿÖŤ êšĂÜĕöŠĒÿéÜðŜć÷àċęÜïŠÜïĂÖëċÜüĆêëčðøąÿÜÙŤ×ĂÜĂčðÖøèŤéĆÜÖúŠćüĂ÷ŠćÜßĆéĒÝšÜ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 61 / 174
 2) ĀšĂÜìĞćÜćîÿŠüîêĆü ÿĞćĀøĆïøąéĆïĀĆüĀîšćÖĂÜ×ċĚîĕð êšĂÜöĊÖćøðŗéĔÿŠÖčâĒÝ (Lock) đöČęĂĕöŠĂ÷ĎŠõć÷Ĕî
ĀšĂÜìĞćÜćî
3) ĂčðÖøèŤðøąöüúñúÿćøÿîđìýÿĞćîĆÖÜćîêšĂÜÝĆéüćÜĂ÷ĎŠĔîóČĚîìĊęêćöĀîŠü÷ÜćîìĊęĕéšøĆïÖćøÝĆéÿøøēé÷
ĂîčâćêĔĀšđךćëċÜĕéšđÞóćąñĎšìĊęĕéšøĆïĂîčâćêđìŠćîĆĚî
4) ĔîøąĀüŠćÜÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïïÿîĆïÿîčîêŠćÜė ĀĆüĀîšćÜćî
ÿćøÿîđìý ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤĀøČĂñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöìĊę
đĀöćąÿö đóČęĂðŜĂÜÖćøðäĉïĆêĉÜćîĂĆîÖŠĂĔĀšđÖĉéñúÖøąìïêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý

5.1.4 ÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙüćöÝćÖõć÷îĂÖĒúąÿĉęÜĒüéúšĂö (Protecting Against External and

Environmental Threats)
1) ÖøèĊýĎî÷ŤÙĂöóĉüđêĂøŤ ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙüćöÝćÖõć÷îĂÖ
ĒúąÿĉęÜĒüéúšĂöêŠĂýĎî÷ŤÙĂöóĉüđêĂøŤ Ă÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
x êšĂÜÝĆéĔĀšöĊÖćøðŜĂÜÖĆîĕôĕĀöš đߊî đÙøČęĂÜêøüÝÝĆïÙüćöøšĂî ĒúąđÙøČęĂÜêøüÝÝĆïÙüĆî đðŨî
êšî
x öĊĂčðÖøèŤéĆïđóúĉÜĂ÷ŠćÜóĂđóĊ÷ÜĒúąêĉéêĆĚÜĂ÷ĎŠĔîÝčéìĊęÿąéüÖĒÖŠÖćøĔßšÜćîĒúąóøšĂöĔßšÜćî
x öĊøąïïéĆïđóúĉÜĂĆêēîöĆêĉ đߊî øąïïéĆïđóúĉÜĒïï FM - 200 ĀøČĂøąïïéĆïđóúĉÜéšü÷îĚĞćßîĉé
Dry Pipe đðŨîêšî
x öĊøąïïðŜĂÜÖĆîĕôôŜć×ĆéךĂÜ đߊî øąïïÿĞćøĂÜĕôôŜć (UPS) ĒúąĀøČĂøąïïÖĞćđîĉéĕôôŜć
(Generator) đðŨîêšî
x öĊøąïïÙüïÙčöĂčèĀõĎöĉĒúąÙüćößČĚî ēé÷ĂčèĀõĎöĉĒúąÙüćößČĚîêšĂÜĂ÷ĎŠĔîøąéĆïìĊęđĀöćąÿö
ÖĆïĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊęÝĆéĂ÷ĎŠĔîýĎî÷ŤÙĂöóĉüđêĂøŤ
x öĊøąïïêøüÝÝĆïîĚĞćøĆęüĒúąöĊÖćø÷ÖøąéĆïóČĚî×ĂÜýĎî÷ŤÙĂöóĉüđêĂøŤ
x öĊÖćøìéÿĂïøąïïéĆïđóúĉÜĂĆêēîöĆêĉ øąïïðŜĂÜÖĆîĕôôŜć×ĆéךĂÜ øąïïÙüïÙčöĂčèĀõĎöĉĒúą
ÙüćößČĚî ĒúąøąïïêøüÝÝĆïîĚĞćøĆęü đðŨîðøąÝĞćìčÖĕêøöćÿ
x öĊøąïïĀøČĂÖøąïüîÖćø ĔîÖćøðŗéÖćøìĞćÜćîÞčÖđÞĉîÿĞćĀøĆïĂčðÖøèŤðøąöüúñúÿćøÿîđìý
đöČęĂøąïïĕôôŜćÿĞćøĂÜöĊÖøąĒÿĕôôŜćđĀúČĂĂ÷ĎŠĔîÝĞćîüîÝĞćÖĆéđóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷ĂĆî
đÖĉéÝćÖĂčðÖøèŤðøąöüúñúÿćøÿîđìýĕöŠĕéšøĆïÖćøðŗéÖćøìĞćÜćîĕéšìĆîìŠüÜìĊ
x êšĂÜöĊÖćøøąöĆéøąüĆÜöĉĔĀšöĊüĆêëčìĊęđðŨîĂĆîêøć÷ĂĆîĂćÝÝąÖŠĂĔĀšđÖĉéđóúĉÜĕĀöšĒúąüĆÿéčìĊęêĉéĕô
ĕéšÜŠć÷ êĆĚÜĂ÷ĎŠĔîýĎî÷ŤÙĂöóĉüđêĂøŤ
2) ÖøèĊĀšĂÜÙĂöóĉüđêĂøŤ ñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙüćöÝćÖõć÷îĂÖ
ĒúąÿĉęÜĒüéúšĂöêŠĂĀšĂÜÙĂöóĉüđêĂøŤ Ă÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 62 / 174

 x êšĂÜÝĆéĔĀšöĊÖćøðŜĂÜÖĆîĕôĕĀöš đߊî đÙøČęĂÜêøüÝÝĆïÙüćöøšĂî ĒúąđÙøČęĂÜêøüÝÝĆïÙüĆî đðŨî
êšî
x öĊĂčðÖøèŤéĆïđóúĉÜĂ÷ŠćÜóĂđóĊ÷ÜĒúąêĉéêĆĚÜĂ÷ĎŠĔîÝčéìĊęÿąéüÖĒÖŠÖćøĔßšÜćîĒúąóøšĂöĔßšÜćî
x êšĂÜöĊÖćøøąöĆéøąüĆÜöĉĔĀšöĊüĆêëčìĊęđðŨîĂĆîêøć÷ĂĆîĂćÝÝąÖŠĂĔĀšđÖĉéđóúĉÜĕĀöšĒúąüĆÿéčìĊęêĉéĕô
ĕéšÜŠć÷ êĆĚÜĂ÷ĎŠĔîĀšĂÜÙĂöóĉüđêĂøŤ

5.1.5 ÖćøðäĉïĆêĉÜćîĔîóČĚîìĊęìĊęêšĂÜøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ (Working in Secure Areas)

1) ñĎš ð äĉ ïĆ êĉ Ü ćîìĊę ó ïđĀĘ î ñĎš ìĊę öĊ ó ùêĉ Ö øøöîŠ ć ÿÜÿĆ ÷ Ă÷ĎŠ õ ć÷ĔîĂćÙćøìĊę öĊ ýĎ î ÷Ť Ù Ăöóĉ ü đêĂøŤ Ē úąĀš Ă Ü
ÙĂöóĉüđêĂøŤ êĆĚÜĂ÷ĎŠêšĂÜĒÝšÜĕð÷ĆÜđÝšćĀîšćìĊęøĆÖþćÙüćöðúĂéõĆ÷ēé÷ìĆîìĊ
2) ĀšćöÿĎïïčĀøĊę øĆïðøąìćîĂćĀćøĒúąéČęöîĚĞćõć÷ĔîýĎî÷ŤÙĂöóĉüđêĂøŤĒúąĀšĂÜÙĂöóĉüđêĂøŤ
3) ĀšćöîĞćĂčðÖøèŤìĊęïĆîìċÖøĎðõćó üĊéĊìĆýîŤ ĀøČĂđÿĊ÷Ü ĒúąÿČęĂïĆîìċÖßîĉéđÙúČęĂîìĊę đךćĕðõć÷ĔîýĎî÷Ť
ÙĂöóĉüđêĂøŤĒúąĀšĂÜÙĂöóĉüđêĂøŤ ÷ÖđüšîđöČęĂøĆïĂîčâćêĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþøÝćÖĀĆüĀîšć
ýĎî÷ŤÙĂöóĉüđêĂøŤĀøČĂñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ đìŠćîĆĚî

5.1.6 ÖćøÝĆéïøĉđüèÿĞćĀøĆïÖćøđךćëċÜ ĀøČĂÖćøÿŠÜöĂïñúĉêõĆèæŤēé÷ïčÙÙúõć÷îĂÖ (Public Access,

Delivery, and Loading Areas)
1) ýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜöĊïøĉđüèÿĞćĀøĆïÖćøđךćëċÜĀøČĂÖćøÿŠÜöĂïñúĉêõĆèæŤēé÷ïčÙÙúõć÷îĂÖ
đóČęĂĔĀšĀîŠü÷ÜćîìĊęÿŠÜöĂï (Supplier) ÿćöćøëÿŠÜöĂïñúĉêõĆèæŤēé÷ĕöŠÝĞćđðŨîêšĂÜđךćëċÜĔîïøĉđüè
ĂČęîė×ĂÜýĎî÷ŤÙĂöóĉüđêĂøŤ
2) ÖŠĂîÝąđÙúČęĂî÷šć÷ñúĉêõĆèæŤÝćÖïøĉđüèÿĞćĀøĆïÖćøđךćëċÜĀøČĂÖćøÿŠÜöĂïĕð÷ĆÜÝčéìĊęêĉéêĆĚÜĔßšÜćîÝøĉÜ
ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ êšĂÜêøüÝÿĂïñúĉêõĆèæŤüŠćñúĉêõĆèæŤéĆÜÖúŠćüĂćÝÝąÖŠĂĔĀšđÖĉéÙüćö
đÿĊ÷Āć÷êŠĂýĎî÷ŤÙĂöóĉüđêĂøŤĀøČĂĕöŠ

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-06 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĂîčâćêđ×šć – ĂĂÖýĎî÷ŤÙĂöóĉüđêĂøŤ (Data Center
Access Request Procedure)
2) PD-07 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿĂïìćîÖćøđ×šć – ĂĂÖýĎî÷ŤÙĂöóĉüđêĂøŤ/ĀšĂÜÙĂöóĉüđêĂøŤ
(Data Center Access Review Procedure)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 63 / 174

5.2 ÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜĂčðÖøèŤ (Equipment Security)

ëšĂ÷ĒëúÜîē÷ïć÷ (Policy Statement)

ĔĀšöĊÖćøÙüïÙčöÖćøÝĆéüćÜĒúąðŜĂÜÖĆîĂčðÖøèŤ ÖćøÝĆéÖćøøąïïÿćøÿîđìýĒúąĂčðÖøèŤÿîĆïÿîčîÖćøìĞćÜćî
ÖćøÙüïÙčöÖćøđéĉîÿć÷ĕôĒúąÿćøÿČęĂÿćø ÖćøïĞćøčÜøĆÖþćĂčðÖøèŤ ÖćøðŜĂÜÖĆîĂčðÖøèŤìĊęĔßšÜćîÝćÖõć÷îĂÖ
Öôñ. ÖćøÙüïÙčöÖćøÖĞćÝĆéĂčðÖøèŤĒúąÖćøîĞćÖúĆïöćĔßšÜćî ĒúąÖćøÙüïÙčöÖćøîĞćìøĆó÷ŤÿĉîĂĂÖîĂÖ
ÿĞćîĆÖÜćî
öćêøåćî
5.2.1 ÖćøÝĆéüćÜĒúąÖćøðŜĂÜÖĆîĂčðÖøèŤ (Equipment Siting and Protection)
1) ĂčðÖøèŤðøąöüúñúÿćøÿîđìýÿĞćîĆÖÜćî êšĂÜÝĆéüćÜĂ÷ĎŠĔîóČĚîìĊęêćöĀîŠü÷ÜćîìĊęĕéšøĆïÖćøÝĆéÿøø
ēé÷ĂîčâćêĔĀšđךćëċÜĕéšđÞóćąñĎšìĊęĕéšøĆïĂîčâćêđìŠćîĆĚî
2) ĂčðÖøèŤðøąöüúñúÿćøÿîđìýÿĞćîĆÖÜćî êšĂÜÝĆéüćÜĂ÷ĎŠĔîóČĚîìĊęĒúąÿõćóĒüéúšĂöìĊęđĀöćąÿöêćö
ÙĎŠöČĂÖćøĔßšÜćî×ĂÜđÝšć×ĂÜñúĉêõĆèæŤ
3) ĂčðÖøèŤĒÿéÜñúÿćøÿîđìý Ă÷ŠćÜđߊî ÝĂÙĂöóĉüđêĂøŤĒúąđÙøČęĂÜóĉöóŤ êšĂÜÝĆéüćÜĂ÷ŠćÜđĀöćąÿö
đóČęĂúéÙüćöđÿĊę÷ÜÝćÖÖćøđךćëċÜÿćøÿîđìýēé÷ĕöŠĕéšøĆïĂîčâćê
4) ĂčðÖøèŤÙĂöóĉüđêĂøŤĒúąĂčðÖøèŤÿĞćîĆÖÜćî êšĂÜĕéšøĆïÖćøðŜĂÜÖĆîÖćøÿĎâĀć÷Ă÷ŠćÜđĀöćąÿö đߊî
ÖćøĔßšÿć÷úŢĂÙĂčðÖøèŤ đðŨîêšî
5) ĂćÙćøìĊęöĊĂčðÖøèŤ ðøąöüúñúÿćøÿîđìýêĉ éêĆĚ ÜĂ÷ĎŠ êš ĂÜöĊøąïïÖøĂÜÖøąĒÿĕôôŜć (Stabilizer
System) đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷ĂĆîđÖĉéÝćÖøąïïĕôôŜć

5.2.2 ĂčðÖøèŤĒúąøąïïÿîĆïÿîčîÖćøìĞćÜćî (Supporting Utilities)

1) ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤ ĒúąñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøïøĉĀćøÝĆéÖćøĂčðÖøèŤĒúą
øąïïÿîĆ ï ÿîč î ÖćøìĞ ć ÜćîøąïïÿćøÿîđìýÿćøÿîđìýÿĞ ć ĀøĆ ï ýĎ î ÷Ť Ù Ăöóĉ ü đêĂøŤ Ē úąĀš Ă Ü
ÙĂöóĉüđêĂøŤ Ă÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
x ÝĆéĔĀšöĊĂčðÖøèŤĒúąøąïïÿîĆïÿîčîÖćøìĞćÜćîêŠćÜė đߊî øąïïĕôôŜć øąïïĕôôŜćÿĞćøĂÜ
øąïïîĚĞć øąïïðøĆïĂćÖćý øąïïøąïć÷ĂćÖćý Ēúąøąïïÿć÷ÿČęĂÿćøÿĞćøĂÜ Ă÷ŠćÜđóĊ÷ÜóĂ
đóČęĂÿîĆïÿîčîÖćøìĞćÜćî×ĂÜĂčðÖøèŤðøąöüúñúÿćøÿîđìý
x ÝĆéĔĀšöĊÖćøìéÿĂïÙüćöóøšĂöĔßš×ĂÜĂčðÖøèŤĒúąøąïïÿîĆïÿîčî ÖćøìĞćÜćîêŠćÜė đߊî
øąïïĕôôŜć øąïïĕôôŜćÿĞćøĂÜ øąïïîĚĞć øąïïðøĆïĂćÖćý øąïïøąïć÷ĂćÖćý Ēúąøąïï
ÿć÷ÿČęĂÿćøÿĞćøĂÜ đðŨîðøąÝĞćìčÖĕêøöćÿ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 64 / 174

 x ÝĆéĔĀšöĊߊĂÜìćÜÿČęĂÿćøĀúĆÖĂ÷ŠćÜîšĂ÷ 2 ߊĂÜìćÜ đóČęĂĔßšìéĒìî đöČęĂߊĂÜìćÜÿČęĂÿćø
ߊĂÜìćÜĔéߊĂÜìćÜĀîċęÜĕöŠÿćöćøëĔßšÜćîĕéšêćöðÖêĉ

5.2.3 ÖćøÙüïÙčöÖćøđéĉîÿć÷ĕô ÿć÷ÿČęĂÿćø Ēúąÿć÷đÙđïĉĚúĂČęîė (Cabling Security)

1) ÿć÷ĕôôŜćĒúąÿć÷ÿČęĂÿćøÿĞćĀøĆïĂčðÖøèŤðøąöüúñúÿćøÿîđìýêšĂÜüćÜÿć÷õć÷ĔîìŠĂ øćÜøšĂ÷
ÿć÷ ĀøČĂĕéšøĆïÖćøðŜĂÜÖĆîēé÷üĉíĊĂČęîìĊęđĀöćąÿö đóČęĂĀúĊÖđúĊę÷ÜÝćÖÖćøđÖĉéÙüćöđÿĊ÷Āć÷ ĀøČĂÖćø
đךćëċÜēé÷ñĎšìĊęĕöŠĕéšøĆïĂîčâćê
2) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜüćÜÿć÷ĕôôŜćĒúąÿć÷ÿČęĂÿćøÿĞćĀøĆïĂčðÖøèŤðøąöüúñúÿćøÿîđìýĂ÷ĎŠ
ĔêšéĉîêšĂÜöĊðŜć÷ïŠÜßĊĚëċÜĒîüÿć÷ đóČęĂðŜĂÜÖĆïÙüćöđÿĊ÷Āć÷ìĊęđÖĉéÝćÖÖćø×čéđÝćą
3) ÿć÷ĕôêšĂÜĒ÷ÖÝćÖÿć÷ÿČęĂÿćøĔîøą÷ąìĊęđĀöćąÿöđóČęĂðŜĂÜÖĆîÖćøøïÖüî×ĂÜÿĆââćè
4) ÿć÷ĕô ÿć÷ÿČęĂÿćø Ēúąÿć÷đÙđïĉĚúĂČęîėêšĂÜĕéšøĆïÖćøìĞćÿĆâúĆÖþèŤĂ÷ŠćÜßĆéđÝîđóČęĂðŜĂÜÖĆî Ùüćö
ÿĆïÿî
5) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéìĞćđĂÖÿćøøć÷ÖćøÖćøđךćÿć÷ (Patch List) đóČęĂðŜĂÜÖĆî
ÙüćöÿĆïÿî
6) ÿĞćĀøĆïøąïïìĊęöĊÙüćöÿĞćÙĆâ ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜóĉÝćøèćĔĀšöĊÖćøÙüïÙčö éĆÜîĊĚ
1. êĉéêĆĚÜìŠĂĀčšöÿć÷ßîĉéóĉđýþ (Armored Conduit)
2. öĊđÿšîìćÜÿĞćøĂÜĀøČĂøąïïÿČęĂÿćøÿĞćøĂÜ
3. Ĕßšÿć÷Ĕ÷ĒÖšüîĞćĒÿÜ (Fiber Optic)
4. ĔßšĂčðÖøèŤĀŠĂĀčšöÿć÷đóČęĂðŜĂÜÖĆîÙúČęîĒöŠđĀúĘÖĕôôŜć
5. êøüÝÿĂïøąïïÿć÷đóČęĂêøüÝÝĆïĂčðÖøèŤĒðúÖðúĂö
6. ÙüïÙčöÖćøđךćëċÜĒñÜóĆÖðúć÷ÿć÷ (Patch Panel) ĒúąĀšĂÜóĆÖÿć÷ (Cable Room)

5.2.4 ÖćøïĞćøčÜøĆÖþćĂčðÖøèŤ (Equipment Maintenance)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆ éĔĀšöĊÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýđðŨîðøąÝĞć
ìčÖ ĕêøöćÿ ĀøČĂêćöìĊęĕéšøąïčĔîÙĎŠöČĂÖćøĔßšÜćî×ĂÜĂčðÖøèŤðøąöüúñúÿćøÿîđìý
2) ĀĆüĀîšćýĎî÷ŤÙĂöóĉüđêĂøŤĒúąñĎšéĎĒúĀšĂÜÙĂöóĉüđêĂøŤ êšĂÜÝĆéĔĀšöĊÖćøïĞćøčÜøĆÖþćøąïïÿîĆïÿîčî
ÖćøìĞćÜćîêŠćÜė đðŨîðøąÝĞćìčÖė ĕêøöćÿ ĀøČĂêćöìĊęĕéšøąïčĔîÙĎŠöČĂÖćøĔßšÜćî×ĂÜĂčðÖøèŤ
ðøąöüúñúÿćøÿîđìý
3) ëš ć öĊ Ö ćøüŠ ć Ýš ć ÜĀîŠ ü ÷Üćîõć÷îĂÖđóČę Ă ïĞ ć øč Ü øĆ Ö þćĂč ð ÖøèŤ ð øąöüúñúÿćøÿîđìýĒúąøąïï
ÿîĆïÿîčîÖćøìĞćÜćîêŠćÜė ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÿĆââćÖćøüŠćÝšćÜĂ÷ŠćÜđðŨîìćÜÖćø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 65 / 174

 ēé÷êšĂÜÖĞćĀîéøą÷ąđüúć ×Ăïđ×ê ĒúąøąéĆïÖćøĔĀšïøĉÖćø (Service Level Agreement) Ă÷ŠćÜ
ßĆéđÝî
4) ĀĆüĀîšćÜćîÿćøÿîđìýĒúąĀøČĂñĎšìĊęđÖĊę÷üךĂÜ êšĂÜÝĆéĔĀšöĊÖćøïĆîìċÖðøąüĆêĉÖćøïĞćøčÜøĆÖþćĂčðÖøèŤ
ðøąöüúñúÿćøÿîđìýĒúąøąïïÿîĆïÿîčîÖćøìĞćÜćîêŠćÜė Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø ìĆĚÜîĊĚïĆîìċÖ
éĆÜÖúŠćüêšĂÜöĊøć÷úąđĂĊ÷éĂ÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
1. üĆîìĊęĔîÖćøïĞćøčÜøĆÖþć
2. ñĎšéĞćđîĉîÖćøïĞćøčÜøĆÖþć
3. øć÷úąđĂĊ÷éÖćøïĞćøčÜøĆÖþć
4. ÿõćîą×ĂÜĂčðÖøèŤ
5. ðŦâĀćìĊęóïĒúąÖćøĒÖšĕ×
6. úć÷öČĂßČęĂñĎšïĞćøčÜøĆÖþć
5) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜìïìüîÿĆââćïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂøąïï
ÿîĆïÿîčîêŠćÜėđðŨîðøąÝĞćĂ÷ŠćÜîšĂ÷ðŘúąĀîċęÜÙøĆĚÜ
6) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜøąöĆéøąüĆÜöĉĔĀšÖćøðäĉïĆêĉÜćîĔîÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñú
ÿćøÿîđìýìĊęÿŠÜñúêŠĂÖćøÿĉĚîÿčéÖćøðøąÖĆîÿĉîÙšć

5.2.5 ÖćøðŜĂÜÖĆîĂčðÖøèŤìĊęĔßšÜćîĂ÷ĎŠîĂÖÿĞćîĆÖÜćî (Security of Equipment Off-Premises)

1) ñĎšðäĉïĆêĉÜćîìĊęĕéšøĆïĂîčâćêĔĀšĔßšĂčðÖøèŤĒïïóÖóć êšĂÜðäĉïĆêĉéĆÜêŠĂĕðîĊĚ
1. ×èąđÙúČęĂî÷šć÷ĀøČĂđéĉîìćÜ êšĂÜöĊÿĆöõćøąìĊęðÖðŗéöĉéßĉéĒúąĀŠĂĀčšöĔî×èąđéĉîìćÜ
đóČęĂðŜĂÜÖĆîÙüćöđÿĊ÷Āć÷êŠĂĂčðÖøèŤ
2. ðäĉïĆêĉêćöÙĞćĒîąîĞćÝćÖēøÜÜćîÖćøñúĉê×ĂÜĂčðÖøèŤĂ÷ŠćÜđÙøŠÜÙøĆé đóĊęĂðŜĂÜÖĆîĕöŠĔĀš
đÖĉ é ÙüćöđÿĊ ÷ Āć÷×ĂÜĂč ð ÖøèŤ đߊ î ĕöŠ ü ćÜĂč ð ÖøèŤ ĕ üš Ĕ Öúš ÖĆ ï Ăč ð ÖøèŤ ĂČę î ė ìĊę öĊ
ÿîćöĒöŠđĀúĘÖĕôôŜćĒøÜÿĎÜ ĕöŠđÖĘïĂčðÖøèŤĕüšĔîìĊęìĊęöĊĂčèĀõĎöĉÿĎÜ đðŨîêšî
3. ìĞćÖćøÿĞćøĂÜךĂöĎúĔîĂčðÖøèŤĂ÷ŠćÜÿöęĞćđÿöĂ
4. ĕöŠüćÜĂčðÖøèŤĒïïóÖóćìĉĚÜĕüšĔîìĊęÿćíćøèą
5. ĔîÖøèĊìĊęêšĂÜöĊÙüćöÝĞćđðŨîêšĂÜüćÜĂčðÖøèŤĒïïóÖóćĔîìĊęÿćíćøèą ĒúąĂčðÖøèŤ
éĆÜÖúŠćüêšĂÜÿćöćøĔßšÿć÷đךćÖčâĒÝúĘĂÙÖĆïĂčðÖøèŤÿĞćîĆÖÜćîĀøČĂĂčðÖøèŤĂČęîė ìĊęĕöŠ
ÿćöćøëđÙúČęĂî÷šć÷ĕéš đóČęĂðŜĂÜÖĆîÖćø×ēö÷ ĀøČĂÿĎâĀć÷
2) ÖćøðøąÖĆîĂčðÖøèŤìĊęĔßšÜćîĂ÷ĎŠîĂÖÿĞćîĆÖÜćîêšĂÜÙøĂïÙúčöđóĊ÷ÜóĂ êćöÙüćöđĀöćąÿöĒúą
đĀĘîÿöÙüø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 66 / 174

5.2.6 ÖćøÖĞćÝĆéĂčðÖøèŤĀøČĂÖćøîĞćĂčðÖøèŤÖúĆïöćĔßšÜćîĂĊÖÙøĆĚÜ (Secure Disposal or Re-use of
Equipment)
1) ÖćøìĞćúć÷ÿČęĂïĆîìċÖךĂöĎúĂĉđúĘÖìøĂîĉÖÿŤìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” “ÿĎÜ” Ēúą “ðćî
ÖúćÜ” êšĂÜöĊÖćøĒÝšÜÙüćöðøąÿÜÙŤêŠĂñĎšïĆÜÙĆïïĆâßć ĒúąñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýēé÷ÿćöćøë
ìĞćúć÷ĕéšĀúĆÜĕéšøĆïÖćøĂîčâćêđìŠćîĆĚî
2) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜöĊÖćøêøüÝÿĂïĂć÷č×ĂÜÿČęĂïĆîìċÖךĂöĎúÿćøÿîđìýĂ÷ŠćÜÿöęĞćđÿöĂ
3) ĔîÖøèĊìĊę Öôñ. êšĂÜÿŠÜÙČîĂčðÖøèŤðøąöüúñúÿćøÿîđìýđöČęĂÿĉĚîÿčéøą÷ąđüúćđߊć ĀĆüĀîšćÜćî
ÿćøÿîđìý êšĂÜêøüÝÿĂïÖćøëĂéëĂîĀøČĂìĞćúć÷ÿćøÿîđìý×ĂÜ Öôñ. ĂĂÖÝćÖĂčðÖøèŤéĆÜÖúŠćü
ÖŠĂîÿŠÜÙČî
4) ÿČęĂïĆîìċÖךĂöĎúĂĉđúĘÖìøĂîĉÖÿŤìĊęĔßšïĆîìċÖÿćøÿîđìýìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” “ÿĎÜ”
Ēúą “ðćîÖúćÜ” àċęÜĀöéĂć÷čÖćøĔßšÜćîĒúšüêšĂÜĕéšøĆïÖćøìĞćúć÷ìćÜÖć÷õćó ĀøČĂìĞćúć÷ úï
đ×Ċ÷îìĆïךĂöĎúēé÷ĔßšĀúĆÖÖćøìćÜđìÙîĉÙìĊęöĆęîĔÝĕéšüŠćÝąĕöŠÿćöćøëîĞćÿćøÿîđìýđéĉöÖúĆïöćĕéš
(Non-Retrievable)
5) ÿČęĂïĆîìċÖךĂöĎúĂĉđúĘÖìøĂîĉÖÿŤìĊęĔßšïĆîìċÖÿćøÿîđìý àċęÜêšĂÜÖćøîĞćÖúĆïöćĔßšĔĀöŠêšĂÜĕéšøĆïÖćøúï
đ×Ċ÷îìĆïךĂöĎúēé÷ĔßšĀúĆÖÖćøìćÜđìÙîĉÙìĊęöĆęîĔÝĕéšüŠćÝąĕöŠÿćöćøëîĞćÿćøÿîđìýđéĉöÖúĆïöćĕéš
(Non-Retrievable) ēé÷óĉÝćøèćêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý (ĂšćÜĂĉÜ ST-03:
öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of Asset Management))
6) đĂÖÿćøìĊęđðŨîÖøąéćþìĊęĔßšïĆîìċÖÿćøÿîđìýìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” “ÿĎÜ” Ēúą
“ðćîÖúćÜ” àċęÜĕöŠöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćîĒúšüêšĂÜĕéšøĆïÖćøìĞćúć÷ìćÜÖć÷õćó ñŠćîìćÜđÙøČęĂÜ
ìĞćúć÷Öøąéćþ

5.2.7 ÖćøîĞćìøĆó÷Ťÿĉî×ĂÜĂÜÙŤÖøĂĂÖîĂÖÿĞćîĆÖÜćî (Removal of Property)

1) ñĎš ð äĉ ïĆ êĉ Ü ćî êš Ă ÜĒÝš Ü ÙüćöðøąÿÜÙŤ Ĕ îÖćø×ĂîĞ ć ìøĆ ó ÷Ť ÿĉ î ×ĂÜ Öôñ. ĂĂÖîĂÖÿĞ ć îĆ Ö ÜćîêŠ Ă
ñĎšïĆÜÙĆïïĆâßć ēé÷ñĎšðäĉïĆêĉÜćîÿćöćøëîĞćìøĆó÷ŤÿĉîĂĂÖîĂÖÿĞćîĆÖÜćîĕéšĀúĆÜĕéšøĆïÖćøĂîčâćê
đìŠćîĆĚî
2) đÝšćĀîšćìĊęøĆÖþćÙüćöðúĂéõĆ÷ êšĂÜêøüÝÿĂïúĆÖþèą×ĂÜìøĆó÷Ťÿĉî×ĂÜ Öôñ. ēé÷đðøĊ÷ïđìĊ÷ïÖĆï
đĂÖÿćøÖćøĒÝšÜÙüćöðøąÿÜÙŤĔîÖćøîĞćĂĂÖ×ĂÜìøĆó÷ŤÿĉîĂ÷ŠćÜúąđĂĊ÷éøĂïÙĂï
3) đÝšćĀîšćìĊęøĆÖþćÙüćöðúĂéõĆ÷ êšĂÜïĆîìċÖÖćøîĞćìøĆó÷ŤÿĉîĂĂÖîĂÖĂćÙćø Öôñ. ìčÖÙøĆĚÜĔîÿöčé
ìąđïĊ÷îÖćøîĞćÿĉęÜ×ĂÜñŠćîđךć - ĂĂÖ ïøĉđüè Öôñ. ĒúąêšĂÜøć÷ÜćîÖćøîĞćìøĆó÷ŤÿĉîĂĂÖĕð÷ĆÜ
ñĎšïĆÜÙĆïïĆâßć×ĂÜñĎšĒÝšÜÙüćöðøąÿÜÙŤ đóČęĂêøüÝÿĂïĒúą÷Čî÷ĆîÙüćöëĎÖêšĂÜêćöøą÷ąđüúćìĊę
đĀĘîÿöÙüø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 67 / 174

 4) ĀĆ ü Āîš ć Üćîÿćøÿîđìý êš Ă ÜÖĞ ć Āîéøą÷ąđüúćÖćøÿŠ Ü ÙČ î ìøĆ ó ÷Ť ÿĉ î ×ĂÜ Öôñ. Ēúąêš Ă ÜöĊ Ö ćø
êøüÝÿĂïÿõćó×ĂÜìøĆó÷Ťÿĉî×ĂÜ Öôñ. ĀúĆÜÝćÖĕéšøĆïÙČî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-08 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿĂïìćîÖćøóøšĂöĔßš×ĂÜĂčðÖøèŤÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿĉęÜĒüéúšĂö (Environmental Security Equipment Maintenance Review Procedure)
2) PD-09 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂîĞćìøĆó÷Ťÿĉî×ĂÜĂÜÙŤÖøĂĂÖîĂÖÿĞćîĆÖÜćî (Removal of
Property Request Procedure)

ST-06: öćêøåćîÖćøïøĉĀćøÝĆéÖćøéšćîÖćøÿČęĂÿćøĒúąÖćøðäĉïĆêĉÖćøÿćøÿîđìý×ĂÜ Öôñ.

(Standard of Communication and Operation Management)

üĆêëčðøąÿÜÙŤ
đóČęĂĔĀšÖćøéĞćđîĉîÜćîìĊęđÖĊę÷üךĂÜÖĆïĂčðÖøèŤðøąöüúñúÿćøÿîđìýđðŨîĕðĂ÷ŠćÜëĎÖêšĂÜĒúąøĆÖþćĕüšàċęÜ Ùüćö
öĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìýĒúąĂčðÖøèŤÿćøÿîđìý×ĂÜ Öôñ. ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÖćøïøĉĀćøÝĆéÖćø
éšćîÖćøÿČęĂÿćøĒúąÖćøéĞćđîĉîÜćî×ĂÜđÙøČĂ׊ć÷ÿćøÿîđìý×ĂÜĂÜÙŤÖø àċęÜðøąÖĂïéšü÷ 10 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïĒúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćî (Operational Procedures and
Responsibilities)
2) ÖćøïøĉĀćøÝĆéÖćøÖćøĔĀšïøĉÖćø×ĂÜĀîŠü÷Üćîõć÷îĂÖ (Third-party Service Delivery
Management)
3) ÖćøüćÜĒñîĒúąÖćøêøüÝøĆïìøĆó÷ćÖøÿćøÿîđìý (System Planning and Acceptance)
4) ðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ (Protection Against Malicious and Mobile Code)
5) ÖćøÿĞćøĂÜךĂöĎú (Back-up)
6) ÖćøïøĉĀćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđÙøČĂ׊ć÷×ĂÜĂÜÙŤÖø (Network Security
Management)
7) ÖćøÝĆéÖćøÿČęĂìĊęĔßšĔîÖćøïĆîìċÖךĂöĎú (Media Handling)
8) ÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Exchange of Information)
9) ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïïøĉÖćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Commerce
Services)
10) ÖćøđòŜćøąüĆÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Monitoring)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 68 / 174
ïìïćìĀîšćìĊę
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ƒ Ăîč öĆ êĉ Ö ćøĔßš Ü ćî ÙĎŠ öČ Ă ðäĉ ïĆ êĉ Ü ćî đöČę Ă öĊ Ö ćøÝĆ é ìĞ ć ĀøČ Ă đðúĊę ÷ îĒðúÜÙĎŠ öČ Ă ðäĉ ïĆ êĉ Ü ćî êćö
ÙüćöđĀöćąÿö
ƒ óĉÝćøèćÖćøđÙúČęĂî÷šć÷ÿČęĂïĆîìċÖךĂöĎúĂĂÖîĂÖ Öôñ.

ĀĆüĀîšćÜćîÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĔîÖćøïøĉĀćøÝĆéÖćøÙĎŠöČĂÖćøðäĉïĆêĉÜćî
ƒ ðøąÿćîÜćîÖĆ ï ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìý ĔîÖćøïøĉ Ā ćøÝĆ é ÖćøÖćøđðúĊę ÷ îĒðúÜàĂôêŤ Ē üøŤ
(Software) ĒĂóóúĉ đ ÙßĆ î (Application) ך Ă öĎ ú Ĕîøąïïðøąöüúñúÿćøÿîđìý ĒúąĂč ð ÖøèŤ
ðøąöüúñúÿćøÿîđìý
ƒ ÙüïÙčöĔĀšöĊÖćøĒ÷ÖøąïïÿĞćĀøĆïÖćøóĆçîćĒúąøąïïÿĞćĀøĆïÖćøìéÿĂï ĂĂÖÝćÖøąïïìĊęĔßšÜćîÝøĉÜ
ƒ ïøĉĀćøÝĆéÖćøÖćøðäĉïĆêĉÜćî×ĂÜĀîŠü÷Üćîõć÷îĂÖ
ƒ ÝĆ é ĔĀš öĊ Ö ćøêøüÝêøćĒúąðøąöćèÖćøĒîüēîš ö ĒúąøąéĆ ï ÖćøĔßš Ü ćî×ĂÜĂč ð ÖøèŤ ð øąöüúñú
ÿćøÿîđìý
ƒ óĉÝ ćøèćìïìüîñúÖøąìïìĊęđÖĉ é ×ċĚî đöČę ĂöĊ ÖćøđðúĊę ÷îĒðúÜìĊęđÖĊę ÷üך ĂÜÖĆï ÖćøĔĀšïøĉÖ ćøÝćÖ
ĀîŠü÷Üćîõć÷îĂÖ
ƒ ÖĞćĀîéđÖèæŤĔîÖćøêøüÝøĆïøąïïÿćøÿîđìýĔĀöŠ
ƒ óĉÝćøèćÖćøîĞćøąïïÿćøÿîđìýĔĀöŠĀøČĂøąïïÿćøÿîđìýìĊęöĊÖćøðøĆïðøčÜĕðĔßšÜćîÝøĉÜ
ƒ ïøĉĀćøÝĆéÖćøĔîÖćøðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊĒúąēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊßîĉéđÙúČęĂîìĊę
ƒ ÖĞćĀîéĔĀšöĊÖćøÿĞćøĂÜךĂöĎú
ƒ óĉÝćøèćÖćøđךćëċÜøą÷ąĕÖú (Remote) ÝćÖõć÷îĂÖđÙøČĂ׊ć÷×ĂÜ Öôñ. ĒúąÖćø×ĂĔßšïøĉÖćøéšćî
đÙøČĂ׊ć÷ (Network Services) ×ĂÜ Öôñ.
ƒ ïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎúÿćøÿîđìý ĔĀšđðŨîĕðêćööćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćî
ÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđĂÖÿćø
øąïï
ƒ ÝĆéìĞć×ĆĚîêĂîÖćøðäĉïĆêĉÜćî ĀøČĂĒîüìćÜÖćøðäĉïĆêĉÿĞćĀøĆïÖćøĒúÖđðúĊę÷îÿćøÿîđìý
ƒ ïøĉĀćøÝĆéÖćøÖćøĒúÖđðúĊę÷îÿćøÿîđìý×ĂÜ Öôñ. ÖĆïĀîŠü÷Üćîõć÷îĂÖ
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčöÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤĔĀšöĊÙüćööĆęîÙÜðúĂéõĆ÷

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 69 / 174

 ƒ ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøÙüïÙčöÿćøÿîđìý×ĂÜøąïïÿćøÿîđìýìćÜ
íčøÖĉÝìĊęđßČęĂöē÷ÜÖĆî
ƒ ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï Öćø
óćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ
ƒ ÙüïÙčöÙüćööĆęîÙÜðúĂéõĆ÷ĔîÖćøìĞćíčøÖøøöĂĂîĕúîŤ
ƒ ÙüïÙčöÿćøÿîđìýìĊęöĊøąéĆïÙüćöÿĞćÙĆâ (Criticality) ÿĎÜ ìĊęöĊÖćøđñ÷ĒóøŠĂĂÖÿĎŠÿćíćøèą
ƒ ïøĉĀćøÝĆéÖćøÖćøïĆîìċÖđĀêčÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßšÜćîÿćøÿîđìý
ƒ ÙüïÙčöĔĀšöĊÖćøêĆĚÜđüúć×ĂÜĂčðÖøèŤðøąöüúñúÿćøÿîđìýêŠćÜė ĔĀšêøÜÖĆïđÙøČęĂÜĒöŠ×Šć÷×ĂÜòść÷
ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý (NTP Server)

òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčöÖćøĔßšÜćîđÙøČĂ׊ć÷ĒúąðŜĂÜÖĆîÖćøđßČęĂöêŠĂÝćÖñĎšìĊęĕöŠĕéšøĆïĂîčâćêĔî Öćø
đךćëċÜđÙøČĂ׊ć÷
ƒ óĉÝćøèćÖćøđךćëċÜøą÷ąĕÖú (Remote) ÝćÖõć÷îĂÖđÙøČĂ׊ć÷×ĂÜ Öôñ.
ƒ óĉÝćøèćÖćø×ĂĔßšïøĉÖćøéšćîđÙøČĂ׊ć÷ (Network Services)
ƒ ÖĞćÖĆïéĎĒúĒúąêøüÝÿĂïÖćøĔĀšïøĉÖćø×ĂÜñĎšĔĀšïøĉÖćøéšćîđÙøČĂ׊ć÷
ƒ ïøĉĀćøÝĆéÖćøÖćøđñ÷ĒóøŠ×šĂöĎúïî Web Site ×ĂÜ Öôñ.

ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂïøĉĀćøÝĆéÖćøÙĎŠöČĂÖćøðäĉïĆêĉÜćî
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý ĔîÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜàĂôêŤĒüøŤ (Software)
ĒĂóóúĉ đ ÙßĆ î (Application) ך Ă öĎ ú Ĕîøąïïðøąöüúñúÿćøÿîđìý ĒúąĂč ð ÖøèŤ ð øąöüúñú
ÿćøÿîđìý
ƒ ÝĆéĔĀšöĊÖćøĒïŠÜĀîšćìĊęÙüćöøĆïñĉéßĂïĔîÖćøĔßšìøĆó÷Ťÿĉîÿćøÿîđìý×ĂÜ Öôñ. Ă÷ŠćÜđĀöćąÿö
ƒ óĉÝćøèćÖćøîĞćøąïïÿćøÿîđìýĔĀöŠĀøČĂøąïïÿćøÿîđìýìĊęöĊÖćøðøĆïðøčÜĕðĔßšÜćîÝøĉÜ
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂĔĀšöĆęîĔÝüŠćöĊÖøąïüîÖćøÿĞćøĂÜךĂöĎúĒúąÖćøÖĎšÙČîךĂöĎú
ìĊęđóĊ÷ÜóĂêŠĂÙüćöêšĂÜÖćøìćÜíčøÖĉÝ
ƒ óĉÝćøèćÖćøìĞćúć÷ÿČęĂĔîøĎðĂĉđúĘÖìøĂîĉÖÿŤìĊęđÖĘïךĂöĎúìĊęđðŨîÙüćöúĆïĀøČĂöĊÙüćöÿĞćÙĆâ
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđĂÖÿćø
øąïï
ƒ óĉÝćøèćÖćøĒúÖđðúĊę÷îÿćøÿîđìý×ĂÜ Öôñ. ÖĆïĀîŠü÷Üćîõć÷îĂÖ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 70 / 174

 ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøÙüïÙčöÿćøÿîđìý×ĂÜøąïïÿćøÿîđìýìćÜ
íčøÖĉÝìĊęđßČęĂöē÷ÜÖĆî
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆï Öćø
óćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ
ƒ ïøĉĀćøÝĆéÖćøךĂöĎúìĊęêšĂÜÖćøđñ÷ĒóøŠ êćööćêøåćîÖćøđñ÷ĒóøŠĂĂÖÿĎŠÿćíćøèą

ĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ
ƒ ÖĞćĀîéđÖèæŤĔîÖćøêøüÝøĆïøąïïÿćøÿîđìýĔĀöŠ
ƒ óĉÝćøèćìïìüîñúÖøąìïìĊęđÖĉé×ċĚî đöČęĂöĊÖćøđðúĊę÷îĒðúÜìĊęđÖĊę÷üךĂÜÖĆïÖćøĔĀšïøĉÖćøÝćÖĀîŠü÷Üćî
õć÷îĂÖ

ñĎšðäĉïĆêĉÜćî
ƒ êøüÝÿĂïĒúąêĉéêĆĚÜēðøĒÖøöìĊęêøüÝÝĆïĒúąĒÖšĕ× ēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ ïîĂčðÖøèŤðøąöüúñú
ÿćøÿîđìýìĊęøĆïñĉéßĂï ĒúąöĊÖćøðøĆïðøčÜēðøĒÖøöéĆÜÖúŠćüĔĀšìĆîÿöĆ÷Ă÷ĎŠđÿöĂ

6.1 ÖćøÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂïĒúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćî (Operational

Procedures and Responsibilities)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÝĆéìĞćÙĎŠöČĂÖćøðäĉïĆêĉÜćîìĊęđðŨîúć÷úĆÖþèŤĂĆÖþø ÖćøÙüïÙčöÖćøđðúĊę÷îĒðúÜ ðøĆïðøčÜ ĀøČĂĒÖšĕ×
øąïïĀøČĂĂčðÖøèŤðøąöüúñúÿćøÿîđìý ÖćøĒïŠÜĀîšćìĊęÙüćöøĆïñĉéßĂïĂ÷ŠćÜđĀöćąÿö ĒúąÖćøĒ÷Öøąïï
ÿĞćĀøĆïóĆçîć ìéÿĂï ĒúąĔĀšïøĉÖćøĂĂÖÝćÖÖĆî

öćêøåćî
6.1.1 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîìĊęđðŨîúć÷úĆÖþèŤĂĆÖþø (Documented Operating Procedures)
1) ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĒúąĀĆ ü Āîš ć Üćîÿćøÿîđìý êš Ă ÜÝĆ é ìĞ ć ÙĎŠ öČ Ă ÿĞ ć ĀøĆ ï Öćøðäĉ ïĆ êĉ Ü ćîìĊę
đÖĊę÷üךĂÜÖĆïĂčðÖøèŤðøąöüúñúÿćøÿîđìý (Computer Operation Manual) ìĊęĔßšđðŨîĒîüìćÜ
ĔîÖćøðäĉïĆêĉÜćî ēé÷ÙĎŠöČĂéĆÜÖúŠćüêšĂÜðøąÖĂïĕðéšü÷đøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ×ĆĚîêĂîĀøČĂúĞćéĆïĔîÖćøðäĉïĆêĉÜćîðøąÝĞćüĆî
2. ÖćøÿĞćøĂÜךĂöĎúÿĞćĀøĆïøąïïêŠćÜė
3. êćøćÜÖćøÝĆéÖćøÖćøìĞćÜćî (Job Scheduling)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 71 / 174

 4. ÖøąïüîÖćøĔîÖćøĒÖšĕ×ðŦâĀćìĊęĂćÝÝąđÖĉé×ċĚîĔî×èąðäĉïĆêĉÜćî
5. øć÷ßČęĂïčÙÙúìĊęÿćöćøëêĉéêŠĂĕéšĔîÖøèĊìĊęđÖĉéđĀêčÖćøèŤÞčÖđÞĉîđÖĉé×ċĚî
6. ÖøąïüîÖćøĔîÖćøÝĆéÖćøđĂÖÿćøøć÷Üćî×ĂÜךĂöĎú (Printing Report) ìĊęöĊÙüćöÿĞćÙĆâ
ĒúąÖćøÝĆ é ÖćøÿČę Ă ìĊę Ĕ ßš Ĕ îÖćøïĆ î ìċ Ö ×š Ă öĎ ú àċę Ü øüöëċ Ü ÖøąïüîÖćøĔîÖćøìĞ ć úć÷
đĂÖÿćøøć÷ÜćîĀøČĂÿČęĂìĊęĔßšĔîÖćøïĆîìċÖךĂöĎú
7. ÖøąïüîÖćøĔîÖćøÖĎšÙČîÿõćó ĔîÖøèĊìĊęøąïïđÖĉéÖćøñĉéóúćé (System Restart and
Recovery)
8. ÖćøÝĆéÖćøĀúĆÖåćîÖćøêøüÝÿĂï (Audit Trail) Ēúą×šĂöĎúïĆîìċÖđĀêčÖćøèŤ×ĂÜøąïï
(System Log)
2) đöČęĂöĊÖćøÝĆéìĞćĀøČĂđðúĊę÷îĒðúÜÙĎŠöČĂÖćøðäĉïĆêĉÜćî êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎšĂĞćîü÷Öćøòść÷ĀøČĂ
đìĊ÷ïđìŠć×ċĚîĕðĀøČĂñĎšìĊęĕéšøĆïöĂïĀöć÷
3) ĔîÖøèĊìĊęöĊÖćøêĉéêĆĚÜøąïïĔĀöŠ ĀøČĂðøĆïðøčÜøąïïđéĉö ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćî
ÿćøÿîđìý êšĂÜÝĆéìĞćĀøČĂðøĆïðøčÜÙĎŠöČĂÖćøðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜĔĀšđÿøĘÝÿĉĚîÖŠĂîÝąîĞćøąïïĕðĔßš
ÜćîÝøĉÜ
4) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊÖćøÙüïÙčöÖćøđךćëċÜÙĎŠöČĂÖćøðäĉïĆêĉÜćîàċęÜđðŨîÿćøÿîđìý
ìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” Ēúą “ÿĎÜ” đóČęĂðŜĂÜÖĆîÖćøđךćëċÜĀøČĂ Öćøđðŗéđñ÷
ךĂöĎúēé÷ĕöŠĕéšøĆïĂîčâćê ēé÷ÙĎŠöČĂÖćøðäĉïĆêĉÜćîéĆÜÖúŠćüÝąĂîčâćêĔĀšđךćëċÜĕéšđÞóćąñĎšðäĉïĆêĉÜćî
ìĊęđÖĊę÷üךĂÜđìŠćîĆĚî
5) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéìĞć “ìąđïĊ÷îÙĎŠöČĂÖćøðäĉïĆêĉÜćî” đóČęĂÙüćöđðŨîøąđïĊ÷ïĔî
ÖćøÝĆéđÖĘïÙĎŠöČĂÖćøðäĉïĆêĉÜćîêŠćÜė ēé÷öĊøć÷úąđĂĊ÷ééĆÜêŠĂĕðîĊĚ
1. Āöć÷đú×ĂšćÜĂĉÜ
2. ÙĞćĂíĉïć÷
3. ßČęĂñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
4. ĀöüéĀöĎŠÿćøÿîđìý
5. ïĆîìċÖÖćøđðúĊę÷îĒðúÜ (Version Control) ēé÷øüöëċÜ üĆîìĊęÝĆéìĞćĒúąüĆîìĊęĒÖšĕ×ÙĎŠöČĂ
ÖćøðäĉïĆêĉÜćî
6. ÿëćîìĊęÝĆéđÖĘïđĂÖÿćøêšîÞïĆï
7. ÝĞćîüîĒúąÿëćîìĊęÝĆéđÖĘïÿĞćđîćđĂÖÿćø
6) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜìïìüî “ìąđïĊ÷îÙĎŠöČĂÖćøðäĉïĆêĉÜćî” Ă÷ŠćÜîšĂ÷ìčÖ 6 đéČĂî đóČęĂĔĀš
öĆęîĔÝüŠć “ìąđïĊ÷îÙĎŠöČĂÖćøðäĉïĆêĉÜćî” öĊÙüćöđðŨîðŦÝÝčïĆîĒúąÙĎŠöČĂÖćøðäĉïĆêĉÜćîêŠćÜė ÿćöćøë
ÙšîĀćĒúąøąïčñĎšđðŨîđÝšć×ĂÜĕéš

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 72 / 174

6.1.2 ÖćøÙüïÙčöÖćøđðúĊę÷îĒðúÜ ðøĆïðøčÜ ĀøČĂĒÖšĕ×øąïïĀøČĂĂčðÖøèŤðøąöüúñúÿćøÿîđìý
(Change Management)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöÖćøđðúĊę÷îĒðúÜàĂôêŤĒüøŤ (Software) ĒĂóóúĉđÙ
ßĆî (Application) ךĂöĎúĔîøąïïðøąöüúñúÿćøÿîđìý ĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìýĂ÷ŠćÜ
đÙøŠÜÙøĆé ēé÷×ĆĚîêĂîĔîÖćøĒÝšÜÙüćöðøąÿÜÙŤêšĂÜöĊÖćøøąïčøć÷úąđĂĊ÷ééĆÜêŠĂĕðîĊĚ
1. üĆêëčðøąÿÜÙŤĔîÖćøđðúĊę÷îĒðúÜ
2. øć÷úąđĂĊ÷éÖćøđðúĊę÷îĒðúÜ
3. ðøąđöĉ î ñúÖøąìïìĊę Ă ćÝÝąđÖĉ é ×ċĚ î øüöìĆĚ Ü ñúÖøąìïÙüćööĆę î ÙÜðúĂéõĆ ÷ ×ĂÜ
ÖćøđðúĊę÷îĒðúÜîĆĚîė
4. ÖøąïüîÖćøĔîÖćøĂîčöĆêĉÖćøđðúĊę÷îĒðúÜ
5. ÖćøÿČęĂÿćøÖćøđðúĊę÷îĒðúÜĔĀšñĎšìĊęđÖĊę÷üךĂÜøĆïìøćï
6. ×ĆĚîêĂîĔîÖćøëĂ÷ÖúĆï (Fallback Procedures) øüöìĆĚÜĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜ
ñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜĔîÖćøÖĎšÙČîøąïïĔîÖøèĊìĊęÖćøđðúĊę÷îĒðúÜĕöŠđðŨîĕðêćöĒñî
2) ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĒúąĀĆ ü Āîš ć Üćîÿćøÿîđìý êš Ă ÜÖĞ ć ÖĆ ï éĎ Ē úđóČę Ă ĔĀš öĆę î ĔÝüŠ ć
ÖćøđðúĊę÷îĒðúÜ öĊÖøąïüîÖćøĔîÖćøÙüïÙčöĂ÷ŠćÜđĀöćąÿö ēé÷ÖĞćĀîéĔĀšöĊÖćøÝĆéđÖĘïךĂöĎú
ïĆîìċÖđĀêčÖćøèŤ (Log) đöČęĂàĂôêŤĒüøŤ (Software) ĒĂóóúĉđÙßĆî (Application) ךĂöĎúĔîøąïï
ðøąöüúñúÿćøÿîđìý ĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìýöĊÖćøđðúĊę÷îĒðúÜ
3) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéìĞć×ĆĚîêĂîÖćøðäĉïĆêĉÜćîĔî Öćø
ïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÖøèĊÞčÖđÞĉî (Emergency Change) Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
ēé÷êšĂÜÖĞćĀîéĔĀšöĊÖćøÙüïÙčö éĆÜêŠĂĕðîĊĚ
1. ñĎšìĊęĕéšøĆïöĂïĀöć÷đìŠćîĆĚîÿćöćøëìĊęÝąìĞćÖćøđðúĊę÷îĒðúÜÖøèĊÞčÖđÞĉî (Emergency
Change) ĕéš ĒúąÖćøđðúĊę÷îĒðúÜÖøèĊÞčÖđÞĉî (Emergency Change) ÝąêšĂÜ
éĞćđîĉîÖćøêćö×ĆĚîêĂî ÖćøðäĉïĆêĉÜćîĔîÖćøđðúĊę÷îĒðúÜÖøèĊðÖêĉõć÷Ĕî 3 üĆîìĞćÖćø
ĀúĆÜÝćÖìĊęðŦâĀćĕéšëĎÖĒÖšĕ×Ă÷ŠćÜđÿøĘÝÿĉĚî
2. ÖćøđðúĊę÷îĒðúÜÖøèĊÞčÖđÞĉî (Emergency Change) ìčÖøć÷Öćø êšĂÜöĊÖćøÝéïĆîìċÖĔî
“ìąđïĊ÷îÖćøđðúĊę÷îĒðúÜÿćøÿîđìýÖøèĊÞčÖđÞĉî (Emergency Change Logbook)”

6.1.3 ÖćøĒïŠÜĀîšćìĊęÙüćöøĆïñĉéßĂï (Segregation of Duties)

1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøĒïŠÜĀîšćìĊęÙüćöøĆïñĉéßĂïĂ÷ŠćÜđĀöćąÿö đóČęĂúéÙüćö
đÿĊę÷ÜĔîÖćøĔßšìøĆó÷Ťÿĉîÿćøÿîđìý×ĂÜ Öôñ. ĔîìćÜìĊęĕöŠđĀöćąÿöìĆĚÜēé÷đÝêîćĒúąĕöŠđÝêîć ìĆĚÜîĊĚ
ÖćøĒïŠÜĀîšćìĊęÙüćöøĆïñĉéßĂïêšĂÜÙĞćîċÜüŠć êšĂÜĕöŠöĊñĎšðäĉïĆêĉÜćîđóĊ÷ÜÙîđéĊ÷üìĊęÿćöćøëđךćëċÜ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 73 / 174
 ĒÖšĕ× ĀøČĂĔßšìøĆó÷Ťÿĉîÿćøÿîđìýēé÷ĕöŠĕéšøĆïĂîčâćê ĒúąĀøČĂĕöŠöĊÖćøêøüÝÝĆï (Detection) ĒêŠ
ĔîÖøèĊìĊęĕöŠÿćöćøëĒïŠÜĀîšćìĊęÙüćöøĆïñĉéßĂïĕéš êšĂÜöĊÖćøóĉÝćøèćÖćøÙüïÙčöĔîéšćîĂČęîė đߊî
ÖćøđòŜćøąüĆÜÖćøðäĉïĆêĉÜćî ĒúąĀúĆÖåćîÖćøêøüÝÿĂï (Audit Trail) ēé÷ĀĆüĀîšćÜćîÿćøÿîđìý
ĀøČĂñĎšðäĉïĆêĉÜćîĂČęîàċęÜĕöŠöĊÙüćöđÖĊę÷üךĂÜēé÷êøÜÖĆïÖćøðäĉïĆêĉÜćîîĆĚîė đðŨîêšî
2) ñĎšóĆçîćøąïïÿćøÿîđìýêšĂÜĕöŠöĊÿĉìíĉĔîÖćøđךćëċÜøąïïìĊęĔßšÜćîÝøĉÜ ĒúąêšĂÜĕöŠöĊÿĉìíĉĔîÖćø
đÙúČęĂî÷šć÷àĂôêŤĒüøŤ (Software) ĒúąĒĂóóúĉđÙßĆî (Application) ÝćÖøąïïÿĞćĀøĆïÖćøóĆçîć
ĒúąøąïïÿĞćĀøĆïìéÿĂï ĕð÷ĆÜøąïïìĊęĔßšÜćîÝøĉÜ ĔîÖøèĊìĊęĕöŠÿćöćøëĒïŠÜĀîšćìĊęÙüćöøĆïñĉéßĂï
ĕéš êšĂÜöĊÖćøóĉÝćøèć ÖćøÙüïÙčöĔîéšćîĂČęîė đߊî ÖćøđòŜćøąüĆÜÖćøðäĉïĆêĉÜćî ĒúąĀúĆÖåćîÖćø
êøüÝÿĂï (Audit Trail) ēé÷ĀĆüĀîšćÜćîÿćøÿîđìý ĀøČĂñĎšðäĉïĆêĉÜćîĂČęîàċęÜĕöŠöĊÙüćöđÖĊę÷üךĂÜ
ēé÷êøÜÖĆïÖćøðäĉïĆêĉÜćîîĆĚîė đðŨîêšî

6.1.4 ÖćøĒ÷ÖøąïïÿĞćĀøĆïÖćøóĆçîć ÖćøìéÿĂï ĒúąÖćøĔĀšïøĉÖćøĂĂÖÝćÖÖĆî (Separation of

Development, Test, and Operational Facilities)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöĔĀšöĊÖćøĒ÷ÖøąïïÿĞćĀøĆïÖćøóĆçîć ĒúąøąïïÿĞćĀøĆï Öćø
ìéÿĂï ĂĂÖÝćÖøąïïìĊęĔßšÜćîÝøĉÜ đóČęĂðŜĂÜÖĆîðŦâĀćìĊęĂćÝöĊñúÖøąìïÖĆïךĂöĎú ĀøČĂ Öćø
ðøąöüúñú×ĂÜøąïïìĊęĔßšÜćîÝøĉÜēé÷êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčö éĆÜêŠĂĕðîĊĚ
1. ÝĆéìĞć×ĆĚîêĂîÖćøðäĉïĆêĉÜćîìĊęđðŨîúć÷úĆÖþèŤĂĆÖþøĔîÖćø÷šć÷ēðøĒÖøöÙĂöóĉüđêĂøŤ
ÝćÖøąïïÿĞćĀøĆïÖćøóĆçîć ĀøČĂøąïïÿĞćĀøĆïÖćøìéÿĂï ĕð÷ĆÜøąïïìĊęĔßšÜćîÝøĉÜ
2. ĔîÖćøĒ÷ÖøąïïĂĂÖÝćÖÖĆî êšĂÜöĊÖćøĒ÷ÖÖćøìĞćÜćîĒïïÖć÷õćó (Physical) đߊî
ÖćøĒ÷ÖđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷ øąïïÿĞćĀøĆïÖćøóĆçîćĀøČĂøąïïÿĞćĀøĆï
ÖćøìéÿĂïĂĂÖÝćÖđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷øąïïìĊęĔßšÜćîÝøĉÜ ìĆĚÜîĊĚĔîÖøèĊìĊęĕöŠ
ÿćöćøëìĞć ĕéš đîČęĂ ÜÝćÖךĂÝĞ ćÖĆ éìćÜíč ø Öĉ Ý êš Ă ÜìĞć ÖćøĒ÷ÖÖćøìĞć ÜćîĒïïêøøÖą
(Logical) đߊî Ē÷Ö Directories ĀøČĂ Logical Partition ĂĂÖÝćÖÖĆî đðŨîêšî
3. øąïïÿĞćĀøĆïÖćøìéÿĂï êšĂÜÝĞćúĂÜöćÝćÖøąïïìĊęĔßšÜćîÝøĉÜ ēé÷êšĂÜĔĀšöĊ Ùüćö
Ùúšć÷ÙúċÜÖĆîöćÖìĊęÿčé
4. ĔîÖćøđךćëċÜøąïïÿĞćĀøĆïÖćøìéÿĂï ñĎšðäĉïĆêĉÜćîêšĂÜĔßšïĆâßĊñĎšĔßšÜćîìĊęĒêÖêŠćÜÝćÖ
øąïïìĊęĔßšÜćîÝøĉÜ ĒúąêšĂÜöĊךĂÙüćöĀøČĂÿĆâúĆÖþèŤìĊęĒÿéÜðøąđõì×ĂÜøąïïĂ÷ŠćÜ
ßĆéđÝî đóČęĂúéÙüćöđÿĊę÷ÜÝćÖÖćøñĉéóúćéĔîÖćøđךćëċÜøąïï
5. àĂøŤÿēÙšé (Source Code) ×ĂÜøąïïÜćîÿćøÿîđìý êšĂÜĕöŠđÖĘïĂ÷ĎŠĔîøąïïìĊęĔßšÜćî
ÝøĉÜ ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜđÖĘï àĂøŤÿēÙšé (Source Code) ĔîøąïïìĊęĔßšÜćîÝøĉÜ
đîČęĂÜÝćÖךĂÝĞćÖĆé×ĂÜõćþćìĊęĔßšĔîÖćøóĆçîćøąïï ĔĀšöĊÖćøÖĞćĀîéÿĉìíĉĔîÖćøđךćëċÜ
àĂøŤÿēÙšéđÞóćąñĎšìĊęĕéšøĆïĂîčâćêđìŠćîĆĚî
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 74 / 174
 6. Compilers đÙøČęĂÜöČĂĔîÖćøĒÖšĕ× (Editor Tools) ĒúąđÙøČęĂÜöČĂìĊęĔßšĔîÖćøóĆçîćĂČęîė
øüöìĆĚÜēðøĒÖøöðøąđõì÷ĎìĉúĉêĊĚ (System Utilities) êšĂÜĕöŠêĉéêĆĚÜĔîøąïïìĊęĔßšÜćîÝøĉÜ
ĔîÖøèĊìĊęĕöŠÿćöćøëìĞćĕéšêšĂÜöĊ ÖćøÙüïÙčöìĊęđĀöćąÿö đߊî ÝĞćÖĆéÖćøđךćëċÜÿĞćĀøĆïñĎšìĊę
ĕéšøĆïĂîčâćêÝćÖĀĆüĀîšćÿćøÿîđìý đìŠćîĆĚî
7. đöČęĂñĎšóĆçîćøąïïÿćøÿîđìý öĊÙüćöÝĞćđðŨîĔîÖćøđךćëċÜøąïïìĊęĔßšÜćîÝøĉÜ ñĎšéĎĒú
ÿćøÿîđìýøąïïĒúąøąïïÿćøÿîđìý êš Ă ÜöĊ Ö ćøÖĞ ć ĀîéïĆ â ßĊ ñĎš Ĕ ßš ßĆę ü Ùøćü
(Temporary User ID) ēé÷ñŠćî×ĆĚîêĂîÖćø×ĂúÜìąđïĊ÷îñĎšĔßšÜćî ĂĊÖìĆĚÜêšĂÜöĊÖćø
ÝĆéđÖĘïðøąüĆêĉÖćøðäĉïĆêĉÜćîĔîøąïï (Activities Log) øüöëċÜÖćø÷ÖđúĉÖïĆâßĊñĎšĔßšđöČęĂ
ĕöŠöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćî
8. ÿćøÿîđìýìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” Ēúą “ÿĎÜ” êšĂÜĕöŠîĞćöćĔßšđðŨîךĂöĎú
ìéÿĂïĒúąïĆîìċÖĂ÷ĎŠĔîøąïïÿĞćĀøĆïÖćøìéÿĂï

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-10 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÿćøÿîđìý (Change
Management Procedure)
2) PD-11 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćî ÖćøóĆçîćøąïïÿćøÿîđìý (System Development Procedure)
3) PD-12 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÖøèĊÞčÖđÞĉîÿćøÿîđìý
(Emergency Change Management Procedure)
6.2 ÖćøïøĉĀćøÝĆéÖćøÖćøĔĀšïøĉÖćø×ĂÜĀîŠü÷Üćîõć÷îĂÖ (External Party Service
Delivery Management)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀš öĊÖćøÙüïÙčöÖćøĔĀšïøĉÖćø ÖćøêøüÝÿĂï ĒúąÖćøïøĉ ĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÖćøĔĀšïøĉÖćøēé÷
ĀîŠü÷Üćîõć÷îĂÖ

öćêøåćî
6.2.1 ÖćøĔĀšïøĉÖćøēé÷ĀîŠü÷Üćîõć÷îĂÖ (Service Delivery)
1) ĀĆüĀîšćÜćîÿćøÿîđìý ĒúąĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ öĊĀîšćìĊęÖĞćÖĆï
éĎĒúĔĀšĀîŠü÷Üćîõć÷îĂÖðäĉïĆêĉêćöîē÷ïć÷ĒúąöćêøåćîÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý×ĂÜ Öôñ. øüöëċÜÖćøÙüïÙčöøąéĆïÖćøĔĀšïøĉÖćøĒúąúĆÖþèą×ĂÜÖćøĔĀšïøĉÖćøĔĀš
đðŨîĕðêćöךĂêÖúÜ ĒúąĀøČĂ ÿĆââćÖćøĔĀšïøĉÖćø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 75 / 174

 2) ĀĆüĀîšćÜćîÿćøÿîđìý ĒúąĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ êšĂÜÖĞćÖĆïéĎĒúĔĀš
ĀîŠü÷Üćîõć÷îĂÖöĊĒñîÜćîĔîÖćøøĂÜøĆïđĀêčÖćøèŤÞčÖđÞĉî đóČęĂøĆÖþćøąéĆïÖćøĔĀšïøĉÖćøĕéšĂ÷ŠćÜ
êŠĂđîČęĂÜ

6.2.2 ÖćøêøüÝÿĂïÖćøĔĀšïøĉÖćøēé÷ĀîŠü÷Üćîõć÷îĂÖ (Monitoring and Review of External

Party services)
1) ĀĆüĀîšćÜćîÿćøÿîđìý ĒúąĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ öĊĀîšćìĊę
øĆïñĉ é ßĂïĔîÖćøïøĉ Ā ćøÝĆ é ÖćøÙüćöÿĆö óĆ î íŤÖĆï ĀîŠ ü ÷Üćîõć÷îĂÖĒúąÖĞć ĀîéĔĀš ĀîŠ ü ÷Üćî
õć÷îĂÖöĊÖćøÿĂïìćîÖćøðäĉïĆêĉÜćîĔĀšđðŨîĕðêćöךĂêÖúÜ ĒúąĀøČĂÿĆââćÖćøĔĀšïøĉÖćø
2) ĀĆüĀîšćÜćîÿćøÿîđìý ĒúąĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ êšĂÜđòŜćøąüĆÜĒúą
êøüÝÿĂïÖćøĔĀšïøĉÖćø×ĂÜĀîŠü÷Üćîõć÷îĂÖ ĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. êøüÝÿĂïøąéĆïÖćøĔĀšïøĉÖćøÖĆïךĂêÖúÜ ĒúąĀøČĂÿĆââćÖćøĔĀšïøĉÖćø ìĊęĕéšÝĆéìĞćĕüš
2. ÿøčðøć÷ÜćîÖćøĔĀšïøĉÖćø (Service Reports) ×ĂÜĀîŠü÷Üćîõć÷îĂÖ đóČęĂÿøčð
ÖćøéĞćđîĉîÜćîêćöđÜČęĂîĕ××ĂÜךĂêÖúÜ ĒúąĀøČĂ ÿĆââćÖćøĔĀšïøĉÖćø
3. ÿĂïìćîÖćøïĆîìċÖđĀêčÖćøèŤđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęđÖĉéÝćÖ
ךĂêÖúÜ ĒúąĀøČĂÿĆââćÖćøĔĀšïøĉÖćø ēé÷ÙøĂïÙúčöđøČęĂÜéĆÜêŠĂĕðîĊĚ
x ĀúĆÖåćîÖćøêøüÝÿĂï (Audit Trail)
x ïĆîìċÖđĀêčÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜĀîŠü÷Üćîõć÷îĂÖ
x ðŦâĀćÝćÖÖćøéĞćđîĉîÜćî
x ÖćøêĉéêćöךĂñĉéóúćé×ĂÜÖćøĔĀšïøĉÖćø
x ÖćøĒÖšðŦâĀćĒúąÖćøÝĆéÖćøðŦâĀćìĊęóï
4. øć÷ÜćîđĀêčÖćøèŤđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊęđÖĉéÖĆïĀîŠü÷ÜćîìĊę
øĆïñĉéßĂï×ĂÜ Öôñ.

6.2.3 ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜĔîÖćøĔĀšïøĉÖćø (Managing Changes to External Party

Services)
1) ĀĆüĀîšćÜćîÿćøÿîđìý ĒúąĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ êšĂÜóĉÝćøèć
ìïìüîñúÖøąìïìĊęđÖĉé×ċĚî đöČę ĂöĊÖćøđðúĊę÷îĒðúÜìĊęđÖĊę÷üךĂÜÖĆïÖćøĔĀšïøĉÖćøÝćÖĀîŠü÷Üćî
õć÷îĂÖĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøđðúĊę÷îĒðúÜēé÷ Öôñ.
x öĊÖćøðøĆïðøčÜÖćøĔĀšïøĉÖćøìĊęéĊ×ċĚî
x öĊÖćøóĆçîćĒĂóóúĉđÙßĆî (Application) ĒúąĀøČĂ øąïïĔĀöŠė

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 76 / 174

 x öĊ Ö ćøðøĆ ï ðøč Ü ĒúąĒÖš ĕ ×îē÷ïć÷ öćêøåćîĒúą×ĆĚ î êĂîðäĉ ïĆ êĉ Ü ćîéš ć î
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
x öĊÖćøđóĉęöÖćøÙüïÙčö đóČęĂĒÖšðŦâĀćđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý

2. ÖćøđðúĊę÷îĒðúÜēé÷ĀîŠü÷Üćîõć÷îĂÖ
x öĊÖćøđðúĊę÷îĒðúÜĒúąðøĆïðøčÜđÙøČĂ׊ć÷
x öĊÖćøĔßšđìÙēîēú÷ĊĔĀöŠ
x öĊÖćøĔßšÜćîñúĉêõĆèæŤĔĀöŠ ĀøČĂðøĆïðøčÜđüĂøŤßĆîĔĀöŠ
x öĊÖćøĔßšđÙøČęĂÜöČĂĔîÖćøóĆçîćĔĀöŠ ĒúąĀøČĂöĊÖćøêĉéêĆĚÜÿõćóĒüéúšĂöĔĀöŠ
x öĊÖćøđðúĊę÷îĒðúÜÿëćîìĊę×ĂÜĂčðÖøèŤðøąöüúñúÿćøÿîđìý
x öĊÖćøđðúĊę÷îñĎšÙšć (Vendors)

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-13 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøðøąđöĉîÖćøĔĀšïøĉÖćø×ĂÜĀîŠü÷Üćîõć÷îĂÖ (Third-party
Service Delivery Evaluation Procedure)

6.3 ÖćøüćÜĒñîĒúąÖćøêøüÝøĆïìøĆó÷ćÖøÿćøÿîđìý (System Planning and

Acceptance)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøüćÜĒñîÙüćöêšĂÜÖćøøąïïÿćøÿîđìý ĒúąđÖèæŤĔîÖćøêøüÝøĆïøąïïÿćøÿîđìý

öćêøåćî
6.3.1 ÖćøüćÜĒñîÙüćöêšĂÜÖćøìøĆó÷ćÖøÿćøÿîđìý (Capacity Management)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøêøüÝêøćĒúąðøąđöĉîĒîüēîšöøąéĆïÖćøĔßšÜćî×ĂÜĂčðÖøèŤ
ðøąöüúñúÿćøÿîđìý (Capacity) đóČęĂìĊęÝąÿćöćøëðøĆïðøčÜðøąÿĉìíĉõćóĒúą Ùüćö
đóĊ ÷ ÜóĂ×ĂÜĂč ð ÖøèŤ ð øąöüúñúÿćøÿîđìý ĔĀš ê ĂïÿîĂÜÙüćöêš Ă ÜÖćø×ĂÜñĎš đ ðŨ î đÝš ć ×ĂÜ
ÿćøÿîđìýìĆĚÜĔîðŦÝÝčïĆîĒúąĔîĂîćÙê ìĆĚÜîĊĚÖćøêøüÝêøćĒúąÖćøðøąđöĉîêšĂÜóĉÝćøèćĔîđøČęĂÜ
éĆÜêŠĂĕðîĊĚ
1. ÙüćöÿćöćøëĔîÖćøðøąöüúñú (Processing Power)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 77 / 174
 2. ÙüćöêšĂÜÖćøĀîŠü÷ÙüćöÝĞć (Memory Requirement)
3. ×îćéĒúąÖćøĔßšÜćî×ĂÜĀîŠü÷đÖĘïךĂöĎú (Disk Usage and Size)
4. ðøĉöćèךĂöĎúĔîøąïïđÙøČĂ׊ć÷ìĊęÿćöćøëøĂÜøĆïĕéš (Network Traffic Load)

6.3.2 ÖćøêøüÝøĆïøąïï (System Acceptance)

1) ĀĆüĀîšćÜćîÿćøÿîđìý ĒúąĀîŠü÷Üćîõć÷ĔîìĊęêšĂÜÖćøüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ êšĂÜÖĞćĀîé
đÖèæŤĔîÖćøêøüÝøĆïøąïïÿćøÿîđìýĔĀöŠĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
2) ĀĆ ü Āîš ć Üćîÿćøÿîđìý ĒúąĀîŠ ü ÷Üćîõć÷ĔîìĊę êš Ă ÜÖćøüŠ ć Ýš ć ÜĀîŠ ü ÷Üćîõć÷îĂÖ êš Ă ÜöĊ
ÖćøðøąßčöĀćøČĂøŠüöÖĆîĂ÷ŠćÜÿöęĞćđÿöĂêúĂéߊüÜÖćøóĆçîćøąïï óøšĂöìĆĚÜÝĆéĔĀšöĊÖćøìéÿĂï
đóČęĂĔĀšöĆęîĔÝüŠćøąïïÜćîĕéšøĆïÖćøĂĂÖĒïïêćöÙüćöêšĂÜÖćø×ĂÜñĎšĔßšÜćî
3) ÖćøîĞ ć øąïïÿćøÿîđìýĔĀöŠ Ā øČ Ă øąïïÿćøÿîđìýìĊę öĊ Ö ćøðøĆ ï ðøč Ü ĕðĔßš Ü ćîÝøĉ Ü êš Ă Üĕéš øĆ ï
ÖćøĂîčöĆêĉÝćÖñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý ēé÷êšĂÜóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÙüćöêšĂÜÖćøéšćîìøĆó÷ćÖøĒúąðøąÿĉìíĉõćó×ĂÜøąïïÿćøÿîđìý
2. ÖćøÝĆéÖćøÙüćöêŠĂđîČęĂÜìćÜíčøÖĉÝ
3. ÖćøÖĎšÙČîøąïïĒúąÖćøüćÜĒñîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜ
4. ÖćøÖĞćĀîéöćêøåćîĔîÖćøđêøĊ÷öÖćøĒúąÖćøìéÿĂïÖøąïüîÖćøðäĉïĆêĉÜćîðøąÝĞćüĆî
5. ךĂêÖúÜĔîÖćøÙüïÙčöÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
6. ÙüćöëĎÖêšĂÜÙøïëšüî×ĂÜÙĎŠöČĂÖćøðäĉïĆêĉÜćî
7. đĂÖÿćøĂšćÜĂĉÜĀøČĂñúÖćøìéÿĂïìĊęÿîĆïÿîčîüŠćÖćøîĞćøąïïĔĀöŠöćĔߚݹĕöŠöĊñúÖøąìï
êŠĂøąïïðŦÝÝčïĆî ēé÷đÞóćąĔîߊüÜđüúćìĊęöĊÖćøĔßšÜćîÿĎÜ
8. đĂÖÿćøĂšćÜĂĉÜĀøČĂñúÖćøìéÿĂïìĊęÿîĆïÿîčîüŠćĕéšöĊÖćøóĉÝćøèćñúÖøąìï×ĂÜøąïï
ĔĀöŠìĊęöĊñúêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
9. ÖćøĂïøöÖćøðäĉïĆêĉÜćîÿĞćĀøĆïøąïïĔĀöŠ
10. ÙüćöÿąéüÖĔîÖćøĔßšÜćî

6.4 ÖćøðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ (Protection against Malicious and Mobile

Code)

ëšĂ÷ĒëúÜîē÷ïć÷

ĔĀšöĊÖćøðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ ĒúąÖćøðŜĂÜÖĆîēðøĒÖøößîĉéđÙúČęĂîìĊę

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 78 / 174

öćêøåćî
6.4.1 ÖćøðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ (Controls Against Malicious Code)
1) ñĎšðäĉïĆêĉÜćîöĊĀîšćìĊęêøüÝÿĂïĒúąêĉéêĆĚÜēðøĒÖøöìĊęêøüÝÝĆïĒúąĒÖšĕ× ēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ ïî
ĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊęøĆïñĉéßĂï ĒúąöĊÖćøðøĆïðøčÜēðøĒÖøöéĆÜÖúŠćüĔĀšìĆîÿöĆ÷Ă÷ĎŠ
đÿöĂ
1. êøüÝÿĂï ĕôúŤ (File) ìĊęĂ÷ĎŠĔîĂčðÖøèŤðøąöüúñúÿćøÿîđìý ĒúąĕôúŤ (File) ìĊęĕéšøĆï
ÝćÖđÙøČĂ׊ć÷ĂČęîė đóČęĂêøüÝĀćēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊÖŠĂîđðŗéĔßšÜćî
2. êøüÝÿĂïÿćøÿîđìýìĊę ÿŠÜ öćÖĆ ï ÝéĀöć÷Ăĉ đúĘ Ö ìøĂîĉÖ ÿŤđ óČę Ă êøüÝĀćēðøĒÖøöìĊę ĕ öŠ
ðøąÿÜÙŤéĊÖŠĂîđðŗéĔßš
3. êøüÝÿĂï Web Page ìĊęđךćëċÜđóČęĂðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ
2) ĀĆüĀîšćÜćîÿćøÿîđìý öĊĀîšćìĊęĔîÖćøïøĉĀćøÝĆéÖćø ÙüïÙčö ĒúąüćÜĒñîĔîÖćøðŜĂÜÖĆîēðøĒÖøö
ìĊęĕöŠðøąÿÜÙŤéĊ ìĊęĂćÝÿøšćÜÙüćöđÿĊ÷Āć÷ĔĀšÖĆïøąïïÿćøÿîđìý×ĂÜ Öôñ. ēé÷êšĂÜéĞćđîĉîÖćø
éĆÜêŠĂĕðîĊĚ
1. ðŜĂÜÖĆîÖćøêĉéêĆĚÜàĂôêŤĒüøŤ (Software) ìĊęĕöŠĕéšøĆïĂîčâćê ĒúąÿĂïìćîàĂôêŤĒüøŤ
(Software) ĒúąĕôúŤ (File) ךĂöĎúìĊęöĊÙüćöÿĞćÙĆâêŠĂ Öôñ. Ă÷ŠćÜÿöęĞćđÿöĂ
2. đêøĊ÷öĒñîÙüćöêŠĂđîČęĂÜìćÜíčøÖĉÝìĊęđĀöćąÿö đóČęĂøĆïöČĂÖĆïÖćøëĎÖēÝöêĊēé÷ēðøĒÖøö
ĕöŠðøąÿÜÙŤéĊ ìĆĚÜîĊĚøüöëċÜÖøąïüîÖćøĔîÖćøÿĞćøĂÜĒúąÖĎšÙČîךĂöĎú
3. ÝĆ é ìĞ ć ך Ă ðäĉ ïĆ êĉ ÿĞ ć ĀøĆ ï ñĎš Ĕ ßš Ü ćîđöČę Ă êøüÝóïēðøĒÖøöìĊę ĕ öŠ ð øąÿÜÙŤ éĊ àċę Ü øüöëċ Ü
Öćøøć÷Üćî ĒúąÖćøÖϚךĂöĎúÝćÖÖćøëĎÖēÝöêĊēé÷ēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ
4. êĉéêćöךĂöĎú׊ćüÿćøđÖĊę÷üÖĆïēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊĂ÷ŠćÜÿöęĞćđÿöĂ đߊî ÖćøđðŨî
ÿöćßĉÖĀøČĂđךć Web Site ìĊęĔĀš×šĂöĎúđÖĊę÷üÖĆïēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ đðŨîêšî
5. êøüÝÿĂïÖćøìĞćÜćî×ĂÜēðøĒÖøöìĊęêøüÝÝĆïēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ đóČęĂĔĀšöĆęîĔÝüŠć
ÖćøĒÝšÜđêČĂîĒúąÖćøĔĀš×šĂöĎúîĆĚîëĎÖêšĂÜ
6. ðŜĂÜÖĆîĕöŠĔĀšñĎšĔßšÜćîĀ÷čéĀøČĂëĂéëĂîēðøĒÖøöìĊęêøüÝÝĆïĒúąĒÖšĕ×ēðøĒÖøöìĊęĕöŠ
ðøąÿÜÙŤéĊ
7. ÝĆéìĞćךĂêÖúÜ ĒúąĀøČĂ ÿĆââćÖćøĔĀšïøĉÖćøĀúĆÜÖćø×ć÷ÖĆïñĎšïøĉþĆìÙĎŠÙšć ĒúąĀøČĂ
đÝšć×ĂÜñúĉêõĆèæŤđóČęĂðøĆïðøčÜĔĀšēðøĒÖøöìĊęêøüÝÝĆïĒúąĒÖšĕ×ēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ
öĊÙüćöìĆîÿöĆ÷Ă÷ĎŠđÿöĂ
8. ðøąÿćîÜćîÖĆ ïñĎšøĆïñĉ éßĂïÖćøÙüïÙčöõć÷Ĕî ĔĀšöĊÖćøÙüïÙčöĒúąêøüÝÿĂïÖćø
ðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ Ă÷ŠćÜîšĂ÷ðŘúą 2 ÙøĆĚÜ

6.4.2 ÖćøðŜĂÜÖĆîēðøĒÖøößîĉéđÙúČęĂîìĊę (Controls Against Mobile Code)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 79 / 174
 1) ĀĆüĀîšćÜćîÿćøÿîđìý öĊĀîšćìĊęĔîÖćøïøĉĀćøÝĆéÖćø ÙüïÙčö ĒúąüćÜĒñîÖćøðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠ
ðøąÿÜÙŤéĊßîĉéđÙúČęĂîìĊę ìĊęĂćÝÿøšćÜÙüćöđÿĊ÷Āć÷ĔĀšÖĆïøąïïÿćøÿîđìý×ĂÜ Öôñ. ēé÷êšĂÜ
éĞćđîĉîÖćøéĆÜêŠĂĕðîĊĚ
1. ĔĀšöĊÖćøêøüÝÿĂïÙüćöëĎÖêšĂÜ×ĂÜĒĀúŠÜìĊęöć×ĂÜēðøĒÖøößîĉéđÙúČęĂîìĊę (đߊî Java
Applet Ēúą ActiveX đðŨîêšî) ÖŠĂîÖćøĔßšÜćî
2. ĔĀšĔßšēðøĒÖøößîĉéđÙúČęĂîìĊęìĊęĕéšøĆïĂîčâćêÝćÖĀĆüĀîšćÜćîÿćøÿîđìýđìŠćîĆĚî
3. ĔĀšĔßšēðøĒÖøößîĉéđÙúČęĂîìĊęđÞóćąĔîÿõćóĒüéúšĂöìćÜêøøÖą (Logical) Ēïïðŗé
đìŠćîĆĚî
4. øąÜĆïÖćøĔßšĀøČĂøĆïēðøĒÖøößîĉéđÙúČęĂîìĊę đöČęĂêøüÝóïüŠćēðøĒÖøößîĉéđÙúČęĂîìĊęĂćÝ
ÿøšćÜÙüćöđÿĊ÷Āć÷

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-14 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÙüïÙčöðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ (Controls Against
Malicious Code Procedure)
2) PD-16 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÖĎšÙČîÿõćó (Restoration Procedure)

6.5 ÖćøÿĞćøĂÜךĂöĎú (Back-up)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÿĞćøĂÜךĂöĎú ĒúąìéÿĂïךĂöĎúìĊęÿĞćøĂÜĕüšĂ÷ŠćÜÿöęĞćđÿöĂ
öćêøåćî
6.5.1 ÖćøÿĞćøĂÜךĂöĎú (Information Back-up)
1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýđóČęĂĔĀšöĆęîĔÝüŠćöĊÖøąïüîÖćø
ÿĞćøĂÜךĂöĎúĒúąÖćøÖĎšÙČîךĂöĎúìĊęđóĊ÷ÜóĂêŠĂÙüćöêšĂÜÖćøìćÜíčøÖĉÝ×ĂÜ Öôñ.
2) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýđóČęĂÖĞćĀîéÙüćöëĊęĒúąßŠüÜđüúć
Ĕî ÖćøÿĞćøĂÜךĂöĎúÿćøÿîđìýĔĀšÿĂéÙúšĂÜÖĆïÙüćöêšĂÜÖćø×ĂÜ Öôñ. ĒúąêćöךĂïĆÜÙĆïìćÜ
ÖãĀöć÷
3) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéĔĀšöĊÖćøÿĞćøĂÜךĂöĎú ēé÷ÙüøóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. øąéĆïÙüćöÝĞćđðŨî×ĂÜÖćøÿĞćøĂÜךĂöĎú
2. ðøąđõì×ĂÜךĂöĎúìĊęÙüøÿĞćøĂÜĂ÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
x øąïïðäĉïĆêĉÖćø
x ïĆîìċÖđĀêčÖćøèŤ×ĂÜøąïïðäĉïĆêĉÖćø (Event Logs)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 80 / 174

 x øąïïåćîךĂöĎú
x Archive Log ×ĂÜøąïïåćîךĂöĎú
x øąïïĒĂóúĉđÙßĆî
x ÖćøÖĞćĀîéÙŠć (Configuration) ×ĂÜĂčðÖøèŤđÙøČĂ׊ć÷ đߊî Routers,
Switches đðŨîêšî
x ÖćøÖĞćĀîéÙŠć (Configuration) ×ĂÜøąïïøĆÖþćÙüćöðúĂéõĆ÷ đߊî Firewall,
IDS đðŨîêšî
3. ðøąđõì×ĂÜÖćøÿĞćøĂÜךĂöĎú đߊî ÖćøÿĞćøĂÜךĂöĎúìĆĚÜĀöéĀøČĂïćÜÿŠüî ĒúąÙüćöëĊę
×ĂÜÖćøÿĞćøĂÜךĂöĎú đðŨîêšî
4. ÿëćîìĊęÝĆéđÖĘïÿČęĂïĆîìċÖךĂöĎúÿĞćøĂÜĒúą×šĂöĎúìĊęëĎÖÿĞćøĂÜ êš ĂÜöĊøąéĆïÖćøðŜĂÜÖĆ î
éšćîÖć÷õćó (Physical) ĒúąÿõćóĒüéúšĂöìĊęđĀöćąÿö
5. êšĂÜìéÿĂïÿČęĂïĆîìċÖךĂöĎúÿĞćøĂÜĂ÷ŠćÜÿöęĞćđÿöĂ đóČęĂĔĀšöĆęîĔÝüŠćÿćöćøëîĞćÖúĆïöć
ĔßšĕéšĔîߊüÜÞčÖđÞĉî
6. êšĂÜöĊÖćøđךćøĀĆÿÿČęĂïĆîìċÖךĂöĎúÿĞćøĂÜìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” Ēúą
“ÿĎÜ”
4) ÿČęĂïĆîìċÖךĂöĎúÿĞćøĂÜêšĂÜöĊðŜć÷ßČęĂàċęÜÿćöćøëøąïčךĂöĎúéĆÜêŠĂĕðîĊĚ
1. ßČęĂ×ĂÜøąïïÿćøÿîđìý
2. ðøąđõì×ĂÜÖćøÿĞćøĂÜךĂöĎú
3. üĆîìĊęđøĉęöĔßšÿČęĂĔîÖćøÿĞćøĂÜךĂöĎú
4. ĀöüéĀöĎŠÿćøÿîđìý
5) êšĂÜöĊÖćøìéÿĂïÿČęĂïĆîìċÖךĂöĎúÿĞćøĂÜĔîĒêŠúąøąïïĂ÷ŠćÜîšĂ÷ðŘúą 1 ÙøĆĚÜ

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-15 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿĞćøĂÜךĂöĎú (Backup Procedure)
2) PD-16 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÖĎšÙČîÿõćó (Restoration Procedure)

6.6 ÖćøïøĉĀćøÝĆéÖćøìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđÙøČĂ׊ć÷×ĂÜĂÜÙŤÖø (Network

Security Management)

ëšĂ÷ĒëúÜîē÷ïć÷

ĔĀšöĊÖćøðŜĂÜÖĆîõĆ÷ÙčÖÙćöìćÜđÙøČĂ׊ć÷ ĒúąÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïïøĉÖćøđÙøČĂ׊ć÷
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 81 / 174
öćêøåćî
6.6.1öćêøÖćøìćÜđÙøČĂ׊ć÷ (Network Controls)
1) òść÷ðäĉ ïĆêĉÖćøđìÙēîēú÷Ċÿ ćøÿîđìý êš ĂÜÝĆéĔĀšöĊÖćøÙüïÙčö ÖćøĔßš ÜćîđÙøČ Ă׊ ć÷ĒúąðŜĂÜÖĆ î
ÖćøđßČęĂöêŠĂÝćÖñĎšìĊęĕöŠĕéšøĆïĂîčâćêĔîÖćøđךćëċÜđÙøČĂ׊ć÷ éĆÜêŠĂĕðîĊĚ
1. Āîš ć ìĊę Ù üćöøĆ ï ñĉ é ßĂïĔîÖćøðäĉ ïĆ êĉ Ü ćîéš ć îđÙøČ Ă ×Š ć ÷êš Ă ÜĒ÷ÖÝćÖĀîš ć ìĊę
ÙüćöøĆïñĉéßĂïĔîÖćøðäĉïĆêĉÜćîéšćîÙĂöóĉüđêĂøŤ
2. ÝĆéìĞćĒñîñĆÜđÙøČĂ׊ć÷ÿćøÿîđìý×ĂÜ Öôñ. ìĆĚÜìćÜÖć÷õćó (Physical) ĒúąìćÜ
êøøÖą (Logical) øüöëċÜÖĞćĀîéĔĀšöĊÖćøðøĆïðøčÜĒñîñĆÜđöČęĂöĊÖćøđðúĊę÷îĒðúÜđÙøČĂ׊ć÷
3. ĔîÖćøđךćëċÜøą÷ąĕÖú (Remote) ÝćÖõć÷îĂÖđÙøČĂ׊ć÷×ĂÜ Öôñ. êšĂÜĕéšøĆïÖćøĂîčöĆêĉ
ÝćÖòść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý ĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜĂ÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþø ìĆĚÜîĊĚÖćøđךćëċÜøą÷ąĕÖú (Remote) ÙüøöĊÖćøÙüïÙčÙüćööĆęîÙÜ
ðúĂéõĆ÷ìćÜđìÙîĉÙĂČęîė đߊî VPN, Token-Based Authentication Devices Ēúą
Digital Certificate đðŨîêšî
4. ÝĆé ĔĀšöĊ ÖćøđךćøĀĆÿך ĂöĎú ìĊęöĊÙüćöÿĞ ćÙĆâ ÿĞćĀøĆïÿćøÿîđìýìĊęìĊęöĊ ø ąéĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷ “ÿĎÜÿčé” Ēúą “ÿĎÜ” ìĊęÿŠÜñŠćîđÙøČĂ׊ć÷ÿćíćøèąĀøČĂđÙøČĂ׊ć÷ĕøšÿć÷
5. êšĂÜöĊÖćøøąÜĆïÖćøĔĀšïøĉÖćøéšćîđÙøČĂ׊ć÷ (Network Services) ìĊęĕöŠĕéšĔßšÜćîĒúąĀøČĂ
ĕöŠĕéšöĊÖćøđךćøĀĆÿ đߊî FTP Ēúą Telnet đðŨîêšî ìĆĚÜîĊĚĔîÖøèĊìĊęñĎšðäĉïĆêĉÜćîöĊÙüćö
ÝĞćđðŨîêšĂÜĔßš ÖćøïøĉÖćøéšćîđÙøČĂ׊ć÷ (Network Services) éĆÜÖúŠćüêšĂÜĒÝšÜÙüćö
ðøąÿÜÙŤ Ē úą×ĂĂîč öĆ êĉ Ý ćÖòś ć ÷ðäĉ ïĆ êĉ Ö ćøđìÙēîēú÷Ċ ÿ ćøÿîđìý ĒúąĀĆ ü Āîš ć Üćî
ÿćøÿîđìýìĊęđÖĊę÷üךĂÜ Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
6. ĀšćöđßČęĂöêŠĂĂč ðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ. ÖĆ ïđÙøČĂ׊ć÷ÿćíćøèąñŠćî
ĂčðÖøèŤđßČęĂöêŠĂ đߊî Modem, AirCard Ēúą Access Point đðŨîêšî ìĆĚÜîĊĚĔîÖøèĊìĊęöĊ
ÙüćöÝĞćđðŨîêšĂÜĔßšĂčðÖøèŤđóČęĂđßČęĂöêŠĂÖĆïđÙøČĂ׊ć÷ÿćíćøèą êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖ
òść÷ðäĉïĆêĉÖćøđìÙēîēú÷ĊÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜ Ă÷ŠćÜđðŨî
úć÷úĆÖþèŤĂĆÖþø
7. êšĂÜöĊÖćøïĆîìċÖđĀêčÖćøèŤ ĒúąÖćøđòŜćøąüĆÜ Ă÷ŠćÜÿöęĞćđÿöĂ đóČęĂĔĀšÿćöćøëêøüÝóï
đĀêčúąđöĉéìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 82 / 174

6.6.2ÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïïøĉÖćøđÙøČĂ׊ć÷ (Security of Network Services)
1) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÖĞćÖĆïéĎĒúĒúąêøüÝÿĂïÖćøĔĀšïøĉÖćø×ĂÜñĎšĔĀšïøĉÖćø
éš ćîđÙøČĂ׊ć ÷ đóČę Ă ĔĀšöĊ øąéĆ ïÖćøĔĀšïøĉÖćø úĆ Ö þèą×ĂÜÖćøĔĀšïøĉÖ ćø ĒúąøąéĆ ïÙüćööĆęî ÙÜ
ðúĂéõĆ÷đðŨîĕðêćöךĂêÖúÜ ĒúąĀøČĂ ÿĆââćÖćøĔĀšïøĉÖćø

6.7 ÖćøÝĆéÖćøÿČęĂìĊęĔßšĔîÖćøïĆîìċÖךĂöĎú (Media Handling)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš ÖćøÖĞćÝĆéÿČęĂïĆîìċÖךĂöĎú óøšĂöìĆĚÜÖćøÿøšćÜ
ÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđĂÖÿćøøąïï Ēúą×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøÝĆéÖćøÿćøÿîđìý

öćêøåćî
6.7.1 ÖćøïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš (Management of Removable
Media)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜöĊÖćøïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš ēé÷ÝĆéĔĀšöĊ
ÖćøÙüïÙčö éĆÜêŠĂĕðîĊĚ
1. ÿČęĂìĊęïĆîìċÖךĂöĎú ìĊęĕöŠöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćî êšĂÜìĞćúć÷ךĂöĎúéĆÜÖúŠćüĔĀšĕöŠÿćöćøëÖĎš
ÖúĆïÙČîĕéš ÖŠĂîîĞćÿČęĂéĆÜÖúŠćüĕðĔßšÜćîĂĊÖÙøĆĚÜ ēé÷óĉÝćøèćêćöøąéĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷×ĂÜÿćøÿîđìý (ĂšćÜĂĉÜ ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćî
ÿćøÿîđìý (Standard of Asset Management))
2. ÿČęĂïĆîìċÖךĂöĎúêšĂÜÝĆéđÖĘïĔîÿõćóĒüéúšĂöìćÜÖć÷õćó (Physical) ìĊęöĊÙüćööĆęîÙÜ
ðúĂéõĆ÷ ĒúąĀøČĂêćöìĊęìćÜñĎšñúĉêĕéšøąïč
3. ĔîÖøèĊìĊęĂć÷čÖćøÝĆéđÖĘïÿćøÿîđìýîćîÖüŠćĂć÷č×ĂÜÿČęĂïĆîìċÖךĂöĎú (êćöÙĞćĒîąîĞć×ĂÜ
ñĎšñúĉê) êšĂÜëŠć÷ēĂîÿćøÿîđìýĕð÷ĆÜÿČęĂĂČęî đóČęĂðŜĂÜÖĆîÖćøÿĎâĀć÷×ĂÜÿćøÿîđìýÝćÖ
ÖćøđÿČęĂöÿõćó×ĂÜÿČęĂïĆîìċÖךĂöĎúîĆĚî
2) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîĔîÖćøđÙúČęĂî÷šć÷ÿČęĂïĆîìċÖךĂöĎúĂĂÖîĂÖ Öôñ. êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖ
ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø ĒúąêšĂÜöĊÖćøïĆîìċÖøć÷úąđĂĊ÷é
ÖćøđÙúČęĂî÷šć÷éĆÜÖúŠćüđóČęĂđðŨîĀúĆÖåćîÖćøêøüÝÿĂïĔîõć÷ĀúĆÜ

6.7.2 ÖćøÖĞćÝĆéÿČęĂïĆîìċÖךĂöĎú (Disposal of Media)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîé×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøìĞćúć÷ÿČęĂïĆîìċÖךĂöĎú đóČęĂúéÙüćö
đÿĊę÷ÜĔîÖćøøĆęüĕĀú×ĂÜÿćøÿîđìýĀøČĂÖćøđךćëċÜēé÷ñĎšìĊęĕöŠĕéšøĆïĂîčâćê
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 83 / 174
 2) ÿČęĂìĊęïĆîìċÖךĂöĎúìĊęÿĞćÙĆâêšĂÜöĊÖćøìĞćúć÷Ă÷ŠćÜđĀöćąÿö đߊî Öćøđñć ÖćøêĆéđîČĚĂđìð ĀøČĂÖćøĔßš
ēðøĒÖøöĂČęîė×ĂÜ Öôñ. ìĊęđĀöćąÿöĔîÖćøúïךĂöĎú ìĆĚÜîĊĚ üĉíĊÖćøìĞćúć÷ÿČęĂ ĔîĒêŠúąðøąđõì
ÝĞćĒîÖĕéšéĆÜêŠĂĕðîĊĚ
1. đĂÖÿćøìĊęđðŨîÖøąéćþ
x ĔîÖøèĊìĊęĕöŠöĊÙüćöÝĞćđðŨîìĊęÝąĔßšÜćîđĂÖÿćøìĊęđðŨîÙüćöúĆïĀøČĂöĊÙüćöÿĞćÙĆâ
ÝąêšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýÖŠĂîîĞćĕðìĞćúć÷éšü÷üĉíĊìĊę
ĕöŠÿćöćøëîĞćêšîÞïĆïÖúĆïöćĔßšÜćîĕéš đߊî Öćøđñć ĀøČĂ ÖćøìĞćúć÷ìćÜ
Öć÷õćó (Physical) ñŠćîìćÜđÙøČęĂÜìĞćúć÷Öøąéćþ đðŨîêšî
x êšĂÜĕöŠîĞćđĂÖÿćøìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” Ēúą “ÿĎÜ” öćĔßšÜćî
ĔĀöŠ (Recycled)
2. ÿČęĂĔîøĎðĂĉđúĘÖìøĂîĉÖÿŤ
x ĔîÖøèĊìĊęĕöŠöĊÙüćöÝĞćđðŨîìĊęÝąĔßšÜćîÿČęĂĔîøĎðĂĉđúĘÖìøĂîĉÖÿŤìĊęđÖĘïךĂöĎúìĊęđðŨî
ÙüćöúĆïĀøČĂöĊÙüćöÿĞćÙĆâ ÝąêšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ÖŠĂîîĞćĕðìĞćúć÷éšü÷üĉíĊìĊęĕöŠÿćöćøëîĞćêšîÞïĆïÖúĆïöćĔßšÜćîĕéš đߊî Öćøđñć
Öćøúï ĀøČĂđ×Ċ÷îìĆïךĂöĎúēé÷ĔßšĀúĆÖÖćøìćÜđìÙîĉÙìĊęöĆęîĔÝĕéšüŠćÝąĕöŠÿćöćøë
îĞćÿćøÿîđìýđéĉöÖúĆïöćĕéš (Non-Retrievable) đðŨîêšî
3. ĔîÖøèĊìĊęöĊÖćøĔßšïøĉÖćøĀîŠü÷Üćîõć÷îĂÖĔîÖćøìĞćúć÷ đĂÖÿćø ĂčðÖøèŤ ĒúąÿČęĂ
ïĆîìċÖךĂöĎú ñĎšøšĂÜ×ĂĔîÖćøìĞćúć÷ÿČęĂ öĊĀîšćìĊęÖĞćÖĆïéĎĒúĔĀšĀîŠü÷Üćîõć÷îĂÖðäĉïĆêĉ
êćöîē÷ïć÷ĒúąöćêøåćîÖćøÖĞćÝĆéÿČęĂïĆîìċÖךĂöĎú×ĂÜ Öôñ. øüöëċÜÖćøÙüïÙčöøąéĆï
ÖćøĔĀšïøĉÖćøĒúąúĆÖþèą×ĂÜÖćøĔĀšïøĉÖćøĔĀšđðŨîĕðêćöךĂêÖúÜ ĒúąĀøČĂ ÿĆââćÖćø
ĔĀšïøĉÖćø
4. ñĎšéĞćđîĉîÖćøìĞćúć÷ÿČęĂ êšĂÜÝĆéìĞć “ìąđïĊ÷îÖćøìĞćúć÷ÿČęĂïĆîìċÖךĂöĎú” đóČęĂđÖĘïïĆîìċÖ
đĀêč Ö ćøèŤ Ö ćøìĞ ć úć÷ÿČę Ă ìĊę ïĆ î ìċ Ö ×š Ă öĎ ú ĒúąĔßš đ ðŨ î ĀúĆ Ö åćîĂš ć ÜĂĉ Ü ÿĞ ć ĀøĆ ï
ÖćøêøüÝÿĂïĔîõć÷ĀúĆÜ

6.7.3 ×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøÝĆéÖćøÿćøÿîđìý (Information Handling Procedures)

1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøïøĉĀćøÝĆéÖćøÿČęĂïĆîìċÖךĂöĎú ĔĀšÿĂéÙúšĂÜÖĆïøąéĆïÙüćö
öĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý àċęÜÙøĂïÙúčöĂ÷ŠćÜîšĂ÷ĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøÝĆéÖćøĒúąÝĆéìĞćðŜć÷ßČęĂ×ĂÜÿČęĂïĆîìċÖךĂöĎúêćöÖćøÝĆéßĆĚîÿćøÿîđìý
2. ÖćøÝĞćÖĆéÖćøđךćëċÜđóČęĂðŜĂÜÖĆîÖćøđךćëċÜÿČęĂïĆîìċÖךĂöĎúēé÷ñĎšìĊęĕöŠĕéšøĆïĂîčâćê
3. ÖćøÝĆéìĞćìąđïĊ÷îñĎšìĊęĕéšøĆïĂîčâćêĔîÖćøĕéšøĆïÿČęĂïĆîìċÖךĂöĎú

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 84 / 174

 4. ÖćøêøüÝÿĂïÙüćöÙøïëš ü î×ĂÜך Ă öĎ ú îĞ ć đך ć ÖćøêøüÝÿĂïÙüćöÿĞ ć đøĘ Ý ×ĂÜÖćø
ðøąöüúñú ĒúąÖćøêøüÝÿĂïĒúą÷Čî÷ĆîÙüćöëĎÖêšĂÜ×ĂÜךĂöĎúîĞćĂĂÖ
5. ÖćøðŜĂÜÖĆîךĂöĎúìĊęĂ÷ĎŠøąĀüŠćÜÖćøðøąöüúñúĒúąÖćøîĞćĂĂÖĕð÷ĆÜÿČę ĂïĆîìċÖךĂöĎú
(Spooled data) đߊî ךĂöĎúđĂÖÿćøìĊęĂ÷ĎŠĔîøąĀüŠćÜÖćøÝĆéóĉöóŤĔî Print Server Ēúą
đÙøČęĂÜóĉöóŤ đðŨîêšî
6. ÖćøÝĆéđÖĘïÿČęĂïĆîìċÖךĂöĎúêćöìĊęøąïčĕüšēé÷ñĎšñúĉê
7. Öćøđñ÷ĒóøŠ×šĂöĎúĔĀšîšĂ÷ìĊęÿčéđìŠćìĊęÝĞćđðŨî
8. ÖćøìĞćđÙøČęĂÜĀöć÷ìĊęÿČęĂïĆîìċÖךĂöĎúĔĀšßĆéđÝîđóČęĂĔĀšñĎšøĆïÿČęĂïĆîìċÖךĂöĎúìĊęĕéšøĆïĂîčâćê
ÿĆÜđÖêđĀĘî
9. ÖćøÿĂïìćîøć÷ßČęĂñĎšìĊęöĊÿĉìíČìĞćÖćøđñ÷ĒóøŠÿČęĂïĆîìċÖךĂöĎúĒúąøć÷ßČęĂñĎšìĊęĕéšøĆïĂîčâćê
ĔîÖćøĕéšøĆïÿČęĂïĆîìċÖךĂöĎúĂ÷ŠćÜÿöęĞćđÿöĂ

6.7.4 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïđĂÖÿćøøąïï (Security of System Documentation)

1) ĀĆüĀîšćÜćîÿćøÿîđìýĒúąñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷
ÿĞćĀøĆïđĂÖÿćøøąïï đߊî àĂøŤÿēÙšé (Source Code) ×ĂÜēðøĒÖøö Ēúąøć÷úąđĂĊ÷é
ÖćøÖĞćĀîéÙŠć×ĂÜøąïï (System Configuration Details) đðŨîêšî ēé÷ÝĆéĔĀšöĊÖćøÙüïÙčö
éĆÜêŠĂĕðîĊĚ
1. đĂÖÿćøøąïïêšĂÜđÖĘïøĆÖþćĂ÷ŠćÜðúĂéõĆ÷
2. đĂÖÿćøøąïïêšĂÜðøĆïðøčÜĔĀšìĆîÿöĆ÷Ă÷ĎŠđÿöĂ
3. øć÷îćöÖćøđךćëċÜđĂÖÿćøøąïïêšĂÜÖĞćĀîéĔĀšöĊñĎšđךćëċÜêćöÙüćöđĀöćąÿöĒúąĕéšøĆï
ĂîčâćêÝćÖñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýđìŠćîĆĚî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-17 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšÿČęĂïĆîìċÖךĂöĎúìĊęÿćöćøëđÙúČęĂî÷šć÷ĕéš (Request of
Removable Media Procedure)
2) PD-18 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøìĞćúć÷ÿČęĂïĆîìċÖךĂöĎú (Disposal of Media Procedure)

6.8 ÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Exchange of Information)

ëšĂ÷ĒëúÜîē÷ïć÷

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 85 / 174

ĔĀšöĊ×ĆĚîêĂîðäĉïĆêĉĒúą×šĂêÖúÜÿĞćĀøĆïÖćøĒúÖđðúĊę÷îÿćøÿîđìý óøšĂöìĆĚÜÖćøÙüïÙčöÖćøÿŠÜÿČęĂïĆîìċÖךĂöĎú
ĂĂÖĕðõć÷îĂÖ Öôñ. ÖćøÙüïÙčöÖćøÿŠÜךĂÙüćöìćÜĂĉđúĘÖìøĂîĉÖÿŤ ĒúąÖćøðŜĂÜÖĆîøąïïÿćøÿîđìýìćÜ
íčøÖĉÝìĊęđßČęĂöē÷ÜÖĆî

öćêøåćî
6.8.1îē÷ïć÷Ēúą×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Information Exchange Policies
and Procedures)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéìĞć×ĆĚîêĂîÖćøðäĉïĆêĉÜćî ĀøČĂĒîüìćÜÖćøðäĉïĆêĉÿĞćĀøĆï Öćø
ĒúÖđðúĊę÷îÿćøÿîđìýđóČęĂÙüïÙčöÖćøĒúÖđðúĊę÷îÿćøÿîđìý ēé÷ÙüøóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøðŜĂÜÖĆîÖćøéĆÖÝĆïךĂöĎúìĊęĒúÖđðúĊę÷î ÖćøìĞćÿĞćđîć ÖćøđðúĊę÷îĒðúÜĒÖšĕ× ÖćøÿŠÜ
ñĉéđÿšîìćÜ (Mis-Routing) ĒúąÖćøëĎÖìĞćúć÷
2. ÖćøêøüÝÝĆïĒúąðŜĂÜÖĆîēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊàċęÜĂćÝëĎÖÿŠÜñŠćîìćÜÖćøĔßšĂčðÖøèŤ
ÿČęĂÿćøĂĉđúĘÖìøĂîĉÖÿŤ
3. ÖćøðŜĂÜÖĆîךĂöĎúìĊęÿĞćÙĆâĔîøĎðÿČęĂĂĉđúĘÖìøĂîĉÖÿŤìĊęÿŠÜñŠćîĔîøĎðĒïï×ĂÜđĂÖÿćøĒîï
4. ÖćøÿČęĂÿćøĒïïĕøšÿć÷ ēé÷êšĂÜÙĞćîċÜëċÜÙüćöđÿĊę÷ÜđÞóćąéšćîìĊęđÖĊę÷üךĂÜ
5. ïìïćìĀîš ć ìĊę Ĕ îÖćøĒÝš Ü đêČ Ă î×ĂÜñĎš ð äĉ ïĆ êĉ Ü ćîĒúąĀîŠ ü ÷Üćîõć÷îĂÖìĊę đ ÖĊę ÷ üÖĆ ï
ÖćøĔßšÜćîøąïïđìÙēîēú÷ĊÿćøÿîđìýìĊęĕöŠđÖĊę÷üךĂÜÖĆï Öôñ. àċęÜĂćÝÿŠÜñúêŠĂßČęĂđÿĊ÷Ü
ĒúąõćóóÝîŤ×ĂÜ Öôñ. ĔîđßĉÜúï đߊî Öćøÿïðøąöćì Öćø׊ö×ĎŠ ÖćøĒĂïĂšćÜ ÖćøÿŠÜ
ÝéĀöć÷úĎÖēàŠ ĒúąÖćøÿĆęÜàČĚĂēé÷ĕöŠĕéšøĆïĂîčâćê đðŨîêšî
6. ÖćøĔßšđìÙîĉÙÖćøđךćøĀĆÿ đߊî đóČęĂðÖðŜĂÜÿćøÿîđìýìĊęđðŨîÙüćöúĆï đóČęĂĔĀšÿćøÿîđìý
öĊ ÙüćöëĎÖêšĂÜĒúąøąïčêĆüêîĕéš
7. ÖćøđÖĘïøĆÖþćĒúąÖćøìĞćúć÷ đĂÖÿćø ÝéĀöć÷ ĒúąïĆîìċÖēêšêĂïìćÜíčøÖĉÝ øüöëċÜ
ךĂÙüćöàċęÜđÖĊę÷üךĂÜÖĆïÖãĀöć÷ĀøČĂךĂïĆÜÙĆï×ĂÜðøąđìýĕì÷
8. ÖćøĕöŠìĉĚÜךĂöĎúìĊęöĊÙüćöÿĞćÙĆâĕüšìĊęĂčðÖøèŤÖćøóĉöóŤ đߊî đÙøČęĂÜìĞćÿĞćđîć đÙøČęĂÜóĉöóŤ
ĒúąđÙøČęĂÜÿŠÜĒôÖàŤ đðŨîêšî àċęÜĂćÝëĎÖđךćëċÜēé÷ñĎšìĊęĕöŠĕéšøĆïĂîčâćê
9. ÖćøÙüïÙč ö ĒúąÝĞ ć ÖĆ é ÖćøÿŠ Ü êŠ Ă ÿćøÿîđìýēé÷Ăč ð ÖøèŤ Ö ćøÿČę Ă ÿćø đߊ î ÖćøÿŠ Ü êŠ Ă
ÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤõć÷Ĕî Öôñ. ĕð ÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤõć÷îĂÖēé÷ĂĆêēîöĆêĉ
10. ÖćøĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîĔĀšöĊÙüćöøąöĆéøąüĆÜìĊęđĀöćąÿö đߊî Āšćöđðŗéđñ÷ךĂöĎúìĊęđðŨî
ÙüćöúĆï đóČęĂĀúĊÖđúĊę÷ÜÖćøĂćÝĕéš÷ĉîĀøČĂëĎÖéĆÖôŦÜĔî×èąÙč÷ēìøýĆóìŤ đߊî
x ÖćøøĆïìøćïךĂöĎúēé÷ÖúčŠöÙîìĊęĂ÷ĎŠøĂïėךćÜĔî×èąìĊęÙč÷ēìøýĆóìŤ
x ÖćøéĆ Ö ôŦ Ü ñŠ ć îÖćøđך ć ëċ Ü ĒïïÖć÷õćó (Physical) đߊ î đÙøČę Ă ÜēìøýĆ ó ìŤ
ÿć÷ēìøýĆóìŤ ĀøČĂĔßšĂčðÖøèŤÿĒÖî
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 86 / 174
 x ÖćøøĆïìøćïךĂöĎúēé÷ÖúčŠöÙîìĊęĂ÷ĎŠÖĆïñĎšøĆïēìøýĆóìŤðúć÷ìćÜ
11. ÖćøĕöŠìĉĚÜךĂÙüćöìĊęöĊđîČĚĂĀćÿĞćÙĆâĕüšĔîđÙøČęĂÜêĂïøĆï đîČęĂÜÝćÖĂćÝëĎÖôŦÜēé÷ñĎšìĊęĕöŠ
đÖĊę÷üךĂÜĕéš ĀøČ ĂךĂÙüćöîĆĚîĂćÝëĎÖđÖĘïĔîøąïïÿćíćøèą ĀøČĂĂćÝëĎÖđÖĘ ïĕüšñĉéìĊę
đîČęĂÜÝćÖēìøñĉéĀöć÷đú×
12. ĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîđÖĊę÷üÖĆïðŦâĀćĔîÖćøĔßšđÙøČęĂÜÿŠÜĒôÖàŤ Ă÷ŠćÜđߊî
x ÖćøđךćëċÜēé÷ĕöŠĕéšøĆïĂîčâćêđóČęĂÖćøđÖĘïךĂöĎúĕüš ĒúšüöćéċÜךĂöĎúĕð
x ÖćøêĆĚÜÙŠćđÙøČęĂÜ ēé÷êĆĚÜĔÝĀøČĂĕöŠêĆĚÜĔÝ đóČęĂĔĀšÿŠÜךĂÙüćöĕð÷ĆÜĀöć÷đú×đÞóćą
x ÖćøÿŠÜđĂÖÿćøĒúą×šĂÙüćöĕðñĉéđú×Āöć÷ĕöŠ üŠćÝąēé÷Öćøēìøñĉéđú×Āöć÷
ĀøČĂĔßšđú×Āöć÷ìĊęïĆîìċÖĕüšĒêŠïĆîìċÖñĉéóúćé
13. ĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîĕöŠĔĀšúÜìąđïĊ÷îđךćךĂöĎúéšćîðøąßćÖøýćÿêøŤ (Demographic
Data) Ă÷Š ć Üđߊ î ìĊę Ă ÷ĎŠ × ĂÜÝéĀöć÷Ăĉ đ úĘ Ö ìøĂîĉ Ö ÿŤ ĀøČ Ă ÿćøÿîđìýÿŠ ü îêĆ ü ĂČę î ė Ĕî
àĂôêŤĒüøŤ (Software) đóČęĂĀúĊÖđúĊę÷ÜÖćøîĞćךĂöĎúéĆÜÖúŠćüĕðĔßšēé÷ĕöŠĕéšøĆïĂîčâćê
14. ĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîüŠćđÙøČęĂÜÿŠÜĒôÖàŤĒúąđÙøČęĂÜëŠć÷đĂÖÿćøìĊęìĆîÿöĆ÷ÿćöćøëđÖĘï
ךĂöĎúđĂÖÿćøìĊęìĞćÿĞćđîćĀøČĂÿŠÜĒôÖàŤđóČęĂĔßšĔîÖøèĊöĊĂčðÖøèŤöĊðŦâĀćĔîÖćøÿŠÜ ēé÷
ÿĞćđîćÝąóĉöóŤđöČęĂðŦâĀćĕéšøĆïÖćøĒÖšĕ×
15. ĒÝšÜđêČĂîñĎšðäĉïĆêĉÜćîĕöŠÙüøóĎéÙč÷đøČęĂÜìĊęđðŨîÙüćöúĆï×ĂÜ Öôñ. ĔîìĊęÿćíćøèąĀøČĂ
ÿëćîìĊęĒïïđðŗéēé÷ĕöŠöĊÖĞćĒóÜìĊęÖĆîđÿĊ÷Üĕéš

6.8.2 ךĂêÖúÜĔîÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Exchange Agreements)

1) ĔîÖćøĒúÖđðúĊę÷îÿćøÿîđìý×ĂÜ Öôñ. ÖĆïĀîŠü÷Üćîõć÷îĂÖ êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎšđðŨî
đÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþøÖŠĂîđìŠćîĆĚî
2) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜ êšĂÜÝĆéĔĀšöĊÖćøìĞćךĂêÖúÜ Ēúą
ĀøČĂ ÿĆââćÖĆïĀîŠü÷Üćîõć÷îĂÖđöČęĂöĊÖćøĒúÖđðúĊę÷îÿćøÿîđìý ēé÷óĉÝćøèćĔĀšöĊÖćøÙüïÙčö
éĆÜêŠĂĕðîĊĚ
1. ÖćøøĆÖþćÙüćöúĆï×ĂÜךĂêÖúÜ ĒúąĀøČĂÿĆââćÖĆïĀîŠü÷Üć÷õć÷îĂÖĀøČĂñĎšðäĉïĆêĉÜćîìĊę
đÖĊę÷üךĂÜ
2. ךĂêÖúÜĔîÖćøòćÖךĂöĎúĀøČĂ àĂøŤÿēÙšé (Source Code) ĕüšìĊęĀîŠü÷Üćîõć÷îĂÖàċęÜ
ĕöŠĔߊÙĎŠÿĆââć đóČęĂĔĀšĂÜÙŤÖøÿćöćøëìĊęÝąđךćëċÜךĂöĎúéĆÜÖúŠćüĕéšĔîÖøèĊìĊęïøĉþĆìÙĎŠÿĆââć
ĀøČĂïøĉþĆììĊęĕéšøĆïÖćøüŠćÝšćÜĔĀšóĆçîćàĂôêŤĒüøŤ (Software) ĕöŠÿćöćøëĔĀšïøĉÖćøĕéš
(Escrow Agreement)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 87 / 174

 3. ĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜïøĉþĆìĄ ĒúąÙĎŠÿĆââćĔîÖćøÙüïÙčöÿćøÿîđìý øąĀüŠćÜÖćø
ÿŠÜñŠćî (Transmission) ÖćøÖøąÝć÷êŠĂ (Dispatch) ĒúąÖćøĕéšøĆï (Receipt)
ÿćøÿîđìý
4. ÙüćöøĆïñĉéßĂï ĒúąÖćøßéĔßš đöČęĂÿćøÿîđìýÿĎâĀć÷ ëĎÖĒÖšĕ× ĀøČĂëĎÖđðŗéđñ÷ēé÷öĉ
ßĂï
5. Öøøöÿĉìíĉĝ ÖćøðŜĂÜÖĆîÿĉìíĉĒúąìøĆó÷ŤÿĉîìćÜðŦââć×ĂÜÿćøÿîđìý
6. øĎðĒïïĔîÖćøÝĆéìĞćðŜć÷ßČęĂÿćøÿîđìýìĊęöĊÖćøĒúÖđðúĊę÷î
7. ךĂÖĞćĀîéìćÜđìÙîĉÙĂČęîėÿĞćĀøĆïÖćøÝĆéđÖĘï Öćøðøąöüúñú ĒúąÖćøÿŠÜÿćøÿîđìýìĊęöĊ
ÖćøĒúÖđðúĊę÷î đߊî ÖčâĒÝÖćøđךćøĀĆÿ đðŨîêšî
8. öćêøåćîĒúą×ĆĚîêĂîÖćøðäĉïĆêĉÜćîÿĞćĀøĆïÖćøĒúÖđðúĊę÷îÿćøÿîđìý
9. ÖøąïüîÖćøêĉéêćö ĒúąÖćøðŜĂÜÖĆîÖćøðäĉđÿíÙüćöøĆïñĉé (Non-Repudiation)
3) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜöĊÖćøÙüïÙčöÿćøÿîđìýìĊęöĊÖćøĒúÖđðúĊę÷î ēé÷êšĂÜÙøĂïÙúčöðŦÝÝĆ÷
êŠ ć Üė đߊ î ÖćøðŜ Ă ÜÖĆ î ÙüćöúĆ ï (Confidentiality) ×ĂÜÿćøÿîđìý ÙüćöëĎ Ö êš Ă ÜÙøïëš ü î
(Integrity) ×ĂÜÿćøÿîđìý ĒúąÖćøðŜĂÜÖĆîìøĆó÷ŤÿĉîìćÜðŦââć đðŨîêšî
4) ÿćøÿîđìýìĊęøĆïöćÝćÖĀîŠü÷Üć÷õć÷îĂÖ êšĂÜÿŠÜĕð÷ĆÜñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýìĊęöĊĀîšćìĊęøĆïñĉéßĂï
ÿćøÿîđìýđìŠćîĆĚî
5) ĀĆüĀîšćÿćøÿîđìý êšĂÜóĉÝćøèćÙüćööĆęîÙÜðúĂéõĆ÷ìĊęđÖĊę÷üךĂÜÖĆïĀîŠü÷Üćîõć÷îĂÖ

6.8.3 ÖćøÿŠÜÿČęĂïĆîìċÖךĂöĎúĂĂÖĕðîĂÖĂÜÙŤÖø (Physical Media in Transit)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøðŜĂÜÖĆîךĂöĎúìĊęöĊÖćøÿŠÜëċÜÖĆîøąĀüŠćÜÿĞćîĆÖÜćî éĆÜêŠĂĕðîĊĚ
1. ĔßšñĎšÿŠÜìĊęîŠćđßČęĂëČĂàċęÜĕéšøĆïÖćøĂîčöĆêĉÝćÖĀĆüĀîšćÜćîÿćøÿîđìý
2. ÖĞćĀîéÖøąïüîÖćøĔîÖćøøąïčêĆüêî×ĂÜñĎš×îÿŠÜ đߊî ĒÿéÜïĆêøðøąÝĞćêĆüñĎšðäĉïĆêĉÜćî
ĀøČĂïĆêøðøąÝĞćêĆüðøąßćßî đðŨîêšî
3. öĊÖćøïøøÝčĀĊïĀŠĂĂ÷ŠćÜđĀöćąÿöĒúąđðŨîĕðêćöÙĞćĒîąîĞć×ĂÜñĎšñúĉê đóČęĂðŜĂÜÖĆîÙüćö
đÿĊ÷Āć÷ìćÜÖć÷õćó (Physical) ìĊęĂćÝđÖĉé×ċĚîĔîߊüÜ×îÿŠÜ đߊî ÖćøëĎÖÙüćöøšĂî
ÙüćößČĚî ĀøČĂ ÙúČęîĒöŠđĀúĘÖĕôôŜć đðŨîêšî
4. öĊ Ö ćøðŜ Ă ÜÖĆ î Öćøđðŗ é đñ÷ĀøČ Ă éĆ é ĒðúÜÿćøÿîđìýìĊę öĊ ø ąéĆ ï ÙüćööĆę î ÙÜðúĂéõĆ ÷
“ÿĎÜÿčé” Ēúą “ÿĎÜ” ēé÷ĕöŠĕéšøĆïĂîčâćê đߊî ÖćøĔßšïøøÝčõĆèæŤìĊęÿćöćøëúĘĂÙĕéš Ēúą
ÖćøÿŠÜöĂïēé÷ëċÜöČĂ (By Hand) đðŨîêšî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 88 / 174

6.8.4ÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Mail)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöÖćøÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤĔĀšöĊÙüćööĆęîÙÜ
ðúĂéõĆ÷ éĆÜêŠĂĕðîĊĚ
1. êšĂÜöĊÖćøĒÝšÜÙüćöðøąÿÜÙŤÝćÖñĎšĔßšÜćîĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþøĒúąÿćöćøëĔßšÜćîĕéš
đöČęĂĕéšøĆïÖćøĂîčöĆêĉÝćÖĀĆüĀîšćÜćîÿćøÿîđìýđìŠćîĆĚî
2. ÖĞćĀîéÿĉìíĉÖćøđךćëċÜøąïïÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤĔĀšđĀöćąÿöÖĆïÖćøĔßšïøĉÖćøĒúą
Āîš ć ìĊę Ù üćöøĆ ï ñĉ é ßĂï×ĂÜñĎš ð äĉ ïĆ êĉ Ü ćî øüöìĆĚ Ü öĊ Ö ćøìïìüîÿĉ ì íĉ Ö ćøđך ć ëċ Ü Ă÷Š ć Ü
ÿöęĞćđÿöĂ
3. ÖĞćĀîéĔĀšñĎšìĊęĕéšøĆïöĂïĀöć÷đìŠćîĆĚîìĊęÝąđךćĒÖšĕ×đðúĊę÷îĒðúÜÿĉìíĉÖćøđךćëċÜêŠćÜė ĕéš
4. ïĆîìċÖøć÷úąđĂĊ÷éÖćøđךćëċÜøąïïÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ ÖćøĒÖšĕ×đðúĊę÷îĒðúÜÿĉìíĉ
êŠćÜė ĕüšđóČęĂđðŨîĀúĆÖåćîÖćøêøüÝÿĂïĔîÖøèĊđÖĉéðŦâĀć
5. ÝĆéĔĀšöĊüĉíĊÖćøêøüÝÿĂïêĆüêîĒúąÿĉìíĉĔîÖćøĔßšïøĉÖćø×ĂÜñĎšðäĉïĆêĉÜćîÖŠĂîĂîčâćêĔĀš
ĔßšïøĉÖćø
6. ÝĆéĔĀšöĊÖćøìéÿĂïøąïïÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ đóČęĂĀćÝčéĂŠĂîĒúą×šĂñĉéóúćé
êĆüĂ÷ŠćÜđߊî ÖćøðøąđöĉîߊĂÜēĀüŠìćÜđìÙîĉÙ (Vulnerability Assessment) ĀøČĂÖćø
ìĞćĔĀšĔßšïøĉÖćøĕöŠĕéš (Denial of Service) đðŨîêšî Ă÷ŠćÜîšĂ÷ðŘúą 1 ÙøĆĚÜ
7. ĀšćööĉĔ ĀšĔ ßšïøĉ ÖćøÿćíćøèąÝćÖõć÷îĂÖ êĆüĂ÷ŠćÜđߊ î ךĂÙüćöĂĆêēîöĆêĉ (Instant
Messaging), File Sharing ĒúąïøĉÖćøÝéĀöć÷ìćÜĂĉđúĘÖìøĂîĉÖÿŤôøĊ×ĂÜ×ĂÜđĂÖßî
ÿĞćĀøĆïÜćî×ĂÜ Öôñ. đߊî Yahoo mail, Hotmail ĀøČĂ Gmail đðŨîêšî
8. ךĂóĉÝćøèćìćÜéšćîÖãĀöć÷ êĆüĂ÷ŠćÜđߊî ךĂÖĞćĀîéÿĞćĀøĆïúć÷đàĘîìćÜĂĉđúĘÖìøĂîĉÖÿŤ
9. ÝĆéĔĀšöĊÖćøđÖĘïךĂöĎúïĆîìċÖđĀêčÖćøèŤ×ĂÜøąïïÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ ĕüšĂ÷ŠćÜîšĂ÷ 90
üĆî ìĆĚÜîĊĚïĆîìċÖđĀêčÖćøèŤ×ĂÜøąïïÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤìĊęÝĆéđÖĘïêšĂÜðøąÖĂïéšü÷
ךĂöĎúéĆÜêŠĂĕðîĊĚ
x ך Ă öĎ ú ïĆ î ìċ Ö đĀêč Ö ćøèŤ ìĊę ïĆ î ìċ Ö ĕüš đ öČę Ă đך ć ëċ Ü đÙøČę Ă ÜĔĀš ï øĉ Ö ćøÝéĀöć÷
ĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Mail Server) àċęÜðøąÖĂïéšü÷ ךĂöĎúĀöć÷đú×
×ĂÜךĂÙüćöìĊęøąïčĔîÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ (Message ID) ךĂöĎúßČęĂìĊęĂ÷ĎŠ
ĂĉđúĘÖìøĂîĉÖÿŤ×ĂÜñĎšÿŠÜ (Sender) ךĂöĎúßČęĂìĊęĂ÷ĎŠĂĉđúĘÖìøĂîĉÖÿŤ×ĂÜñĎšøĆï
(Receiver) ךĂöĎúìĊęïĂÖëċÜÿëćîąĔîÖćøêøüÝÿĂï (Status Indicator) (àċęÜ
ĕéšĒÖŠ ÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤìĊęÿŠÜÿĞćđøĘÝ ÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤìĊęÿŠÜÙČî ĀøČĂ
ÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤìĊęöĊÖćøÿŠÜúŠćßšćđðŨîêšî)
x ךĂöĎúĀöć÷đú×ßčéĂĉîđìĂøŤđîĘê×ĂÜđÙøČęĂÜÙĂöóĉüđêĂøŤñĎšĔßšïøĉÖćøìĊęđßČęĂöêŠĂĂ÷ĎŠ
×èąđךćöćĔßšïøĉÖćø
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 89 / 174
 x ךĂöĎúüĆîĒúąđüúćÖćøêĉéêŠĂ×ĂÜđÙøČęĂÜìĊęđךćöćĔßšïøĉÖćøĒúąđÙøČęĂÜĔĀšïøĉÖćø
x IP address ×ĂÜđÙøČęĂÜïøĉÖćøÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ ìĊęëĎÖđßČęĂöêŠĂĂ÷ĎŠĔî
×èąîĆĚî
x ìĊęĂ÷ĎŠÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ (Email-Address)
x ך Ă öĎ ú ìĊę ïĆ î ìċ Ö Öćøđך ć ëċ Ü ÝéĀöć÷Ăĉ đ úĘ Ö ìøĂîĉ Ö ÿŤ ñŠ ć îēðøĒÖøöÝĆ é ÖćøÝćÖ
đÙøČę Ă Ü×ĂÜÿöćßĉ Ö ēé÷÷Ć Ü ÙÜÝĆ é đÖĘ ï ך Ă öĎ ú ìĊę ïĆ î ìċ Ö Öćøđך ć ëċ Ü ÝéĀöć÷
ĂĉđúĘÖìøĂîĉÖÿŤìĊęéċÜĕðîĆĚîĕüšìĊęđÙøČęĂÜĔĀšïøĉÖćø đߊî ךĂöĎúïĆîìċÖđĀêčÖćøèŤ×ĂÜ
POP3 ĀøČĂךĂöĎúïĆîìċÖđĀêčÖćøèŤ×ĂÜ IMAP4 đðŨîêšî
2) ñĎšðäĉïĆêĉÜćîêšĂÜĕöŠÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ ēé÷ĔßšìĊęĂ÷ĎŠÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ (Email-Address)
ìĊęĕéšøĆïĂîčâćêÝćÖ Öôñ. ĕðéĞćđîĉîÖćøĔîìćÜìĊęìĞćĔĀš Öôñ. ĀøČĂñĎšĂČęîĕéšøĆï ÙüćöđÿĊ÷Āć÷
3) ñĎšðäĉïĆêĉÜćî Öôñ. ìĊęĕéšøĆïøĀĆÿñŠćî×ĂÜñĎšĔßšÜćî ĔîÖćøđךćĔßšÜćîøąïïÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ ×ĂÜ
Öôñ. ĀćÖđÖĉéÖøèĊìĊęìĞćĔĀš Öôñ. ĀøČĂñĎšĂČęîĕéšøĆïÙüćöđÿĊ÷Āć÷ÝąêšĂÜđðŨîñĎšøĆïñĉé

6.8.5 øąïïÿćøÿîđìýìćÜíčøÖĉÝìĊęđßČęĂöē÷ÜÖĆî (Business Information Systems)

1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöđóČęĂðŜĂÜÖĆîÿćøÿîđìý
×ĂÜøąïïÿćøÿîđìýìćÜíčøÖĉÝìĊęđßČęĂöē÷ÜÖĆî éĆÜêŠĂĕðîĊĚ
1. êšĂÜöĊÖćøĒÝšÜÙüćöðøąÿÜÙŤÝćÖñĎšĔßšÜćîĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþøĒúąÿćöćøëĔßšÜćîĕéš
đöČęĂĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýđìŠćîĆĚî
2. êšĂÜÖĞćĀîéÿĉìíĉÖćøđךćëċÜøąïïÿćøÿîđìýìćÜíčøÖĉÝĔĀšđĀöćąÿöÖĆïÖćøĔßšïøĉÖćøĒúą
Āîš ć ìĊę Ù üćöøĆ ï ñĉ é ßĂï×ĂÜñĎš ð äĉ ïĆ êĉ Ü ćî øüöìĆĚ Ü öĊ Ö ćøìïìüîÿĉ ì íĉ Ö ćøđך ć ëċ Ü Ă÷Š ć Ü
ÿöęĞćđÿöĂ
3. ÖĞćĀîéĔĀšñĎšìĊęĕéšøĆïöĂïĀöć÷đìŠćîĆĚîìĊęÝąđךćĒÖšĕ×đðúĊę÷îĒðúÜÿĉìíĉÖćøđךćëċÜêŠćÜė ĕéš
4. ïĆîìċÖøć÷úąđĂĊ÷éÖćøđךćëċÜøąïïÿćøÿîđìýìćÜíčøÖĉÝ ÖćøĒÖšĕ×đðúĊę÷îĒðúÜÿĉìíĉ
êŠćÜė ĕüšđóČęĂđðŨîĀúĆÖåćîÖćøêøüÝÿĂïĔîÖøèĊđÖĉéðŦâĀć
5. ÝĆéĔĀšöĊüĉíĊÖćøêøüÝÿĂïêĆüêîĒúąÿĉìíĉĔîÖćøĔßšïøĉÖćø×ĂÜñĎšðäĉïĆêĉÜćîÖŠĂîĂîčâćêĔĀš
ĔßšïøĉÖćø
6. ÝĆ é ĔĀš öĊ Ö ćøìéÿĂïøąïïÿćøÿîđìýìćÜíč ø Öĉ Ý đóČę Ă ĀćÝč é ĂŠ Ă îĒúą×š Ă ñĉ é óúćé
êĆüĂ÷ŠćÜđߊî ÖćøðøąđöĉîߊĂÜēĀüŠìćÜđìÙîĉÙ (Vulnerability Assessment) Ă÷ŠćÜîšĂ÷
ðŘúą 1 ÙøĆĚÜ
7. ÝĆéĔĀšöĊÖćøÙüïÙčöÖćøđךćëċÜĒúąÖćøÙüïÙčöÖćøĒÖšĕ×đðúĊę÷îĒðúÜ ÿćøÿîđìý×ĂÜ
øąïïÿćøÿîđìýìćÜíčøÖĉÝ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 90 / 174

 8. ÝĆéĔĀšöĊÖćøïĆîìċÖøć÷úąđĂĊ÷éÖćøđךćìĞćíčøÖøøö×ĂÜñĎšĔßšĔîøąïï (Transaction Log)
ĕüš đóČęĂĔßšđðŨîĀúĆÖåćîÖćøêøüÝÿĂï
9. ÝĆéĔĀšöĊÖćøÿĞćøĂÜךĂöĎúĂ÷ŠćÜđóĊ÷ÜóĂĒúąđĀöćąÿö

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-19 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøĒúÖđðúĊę÷îÿćøÿîđìý (Information Exchange
Procedure)
2) PD-20 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÿŠÜñŠćîÿČęĂïĆîìċÖךĂöĎú (Physical Media in Transit
Procedure)

6.9 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïïøĉÖćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ (Electronic

Commerce Services)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀš öĊÖćøðŜ ĂÜÖĆîÿćøÿîđìý×ĂÜøąïïóćèĉß÷ŤĂĉđúĘÖìøĂîĉ ÖÿŤ ÖćøðŜ ĂÜÖĆîÿćøÿîđìý×ĂÜÖćøìĞćíčø Öøøö
ĂĂîĕúîŤ ĒúąÖćøðŜĂÜÖĆîÿćøÿîđìýìĊęöĊÖćøđñ÷ĒóøŠĂĂÖÿĎŠÿćíćøèą

öćêøåćî
6.9.1 Öćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ (Electronic Commerce)
1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷
ÿĞćĀøĆï Öćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ ēé÷ÝĆéĔĀšöĊÖćøÙüïÙčöéĆÜêŠĂĕðîĊĚ
1. ÖĞćĀîéÿĉìíĉÖćøđךćëċÜøąïïóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤĔĀšđĀöćąÿöÖĆïÖćøđךćĔßšïøĉÖćø×ĂÜ
úĎÖÙšćĒúąĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜñĎšðäĉïĆêĉÜćî øüöìĆĚÜöĊÖćøìïìüîÿĉìíĉ Öćø
đךćëċÜĂ÷ŠćÜÿöęĞćđÿöĂ
2. ÖĞćĀîéĔĀšñĎšìĊęĕéšøĆïöĂïĀöć÷đìŠćîĆĚîìĊęÝąđךćĒÖšĕ×đðúĊę÷îĒðúÜÿĉìíĉÖćøđךćëċÜêŠćÜė ĕéš
3. ïĆîìċÖøć÷úąđĂĊ÷éÖćøđךćëċÜøąïïóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ ÖćøĒÖšĕ×đðúĊę÷îĒðúÜÿĉìíĉ
êŠćÜė ĕüšđóČęĂđðŨîĀúĆÖåćîÖćøêøüÝÿĂïĔîÖøèĊđÖĉéðŦâĀć
4. ÝĆéĔĀšöĊüĉíĊÖćøêøüÝÿĂïêĆüêîĒúąÿĉìíĉĔîÖćøĔßšïøĉÖćø×ĂÜúĎÖÙšćÖŠĂîĂîčâćêĔĀšĔ ßš
ïøĉÖćø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 91 / 174

 5. ÝĆéĔĀšöĊüĉíĊÖćøêøüÝÿĂïêĆüêîĒúąðŜĂÜÖĆîÖćøðäĉđÿíÙüćöøĆïñĉé ĔĀšöĊÙüćöđĀöćąÿöÖĆï
øąéĆïÙüćöđÿĊę÷Ü øĎðĒïïĒúąöĎúÙŠć×ĂÜíčøÖøøöìĊęĔĀšïøĉÖćø êĆüĂ÷ŠćÜüĉíĊÖćøêøüÝÿĂï
êĆüêîĒúąðŜĂÜÖĆîÖćøðäĉđÿíÙüćöøĆïñĉé ĕéšĒÖŠ
x øĀĆÿñŠćî đú×ðøąÝĞćêĆü (PIN) ĂčðÖøèŤĀøČĂïĆêøìĊęĔßšđÖĘïךĂöĎú ÿŠüîïčÙÙú
(Tokens ĀøČĂ Smart Card) úĆÖþèąìćÜßĊüõćóÿŠüîïčÙÙú (Biometric)
x đìÙēîēú÷ĊÖčâĒÝÿćíćøèą (Public Key Infrastructure: PKI) ìĊęĔßšÿøšćÜ
Digital Certificate Ēúą Digital Signature
x đìÙēîēú÷ĊÖćøđךćøĀĆÿúĆï ךĂöĎúìĊęĔßšêøüÝÿĂï êĆüêîúĎÖÙšć
x ÖćøĔߚߊĂÜìćÜìĊęöĊÙüćöðúĂéõĆ÷ÿĎÜĔîÖćøøĆïÿŠÜךĂöĎúÖćøêøüÝÿĂïêĆüêî đߊî
Secure Sockets Layer (SSL) đðŨîêšî
6. ÝĆéĔĀšöĊÖćøÙüïÙčöÖćøđךćëċÜĒúąÖćøÙüïÙčöÖćøĒÖšĕ×đðúĊę÷îĒðúÜ ×šĂöĎúĔîåćîךĂöĎú
ìĊęÝĆéđÖĘïךĂöĎúìĊęĔßšĔîÖćøêøüÝÿĂïêĆüêî (Authentication Database)
7. ÝĆéĔĀšöĊÖćøïĆîìċÖøć÷úąđĂĊ÷éÖćøđךćìĞćíčøÖøøö×ĂÜúĎÖÙšć (Transaction Log) ĕüš đóČęĂ
ĔßšđðŨîĀúĆÖåćîÖćøêøüÝÿĂï
8. ÝĆéĔĀšöĊüĉíĊÖćøøĆïÿŠÜ ðøąöüúñú ĒúąÝĆéđÖĘïÿćøÿîđìýĔîúĆÖþèą ìĊęðúĂéõĆ ÷êćö
ĀöüéĀöĎŠÿćøÿîđìý ìĆĚÜîĊĚÿćøÿîđìýìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” Ēúą “ÿĎÜ”
êšĂÜöĊüĉíĊĔîÖćøøĆÖþćÙüćöëĎÖêšĂÜđßČęĂëČĂĕéšĒúąÖćøøĆÖþćÙüćöúĆï×ĂÜךĂöĎúĂ÷ŠćÜĀîċęÜ
Ă÷ŠćÜĔé éĆÜêŠĂĕðîĊĚ
x đìÙēîēú÷Ċ Ö ćøđך ć øĀĆ ÿ úĆ ï ÿĞ ćĀøĆ ïך ĂöĎ ú úĆ ï đߊ î Öćøđך ć øĀĆ ÿ úĆ ï ך ĂöĎ ú ìĊę Ă ÷ĎŠ
øąĀüŠćÜÖćøøĆïÿŠÜ ÖćøđךćøĀĆÿúĆïךĂöĎúêĆĚÜĒêŠ êšîìćÜëċÜðúć÷ìćÜ (End-to-
End Encryption) ÖćøđךćøĀĆÿúĆïךĂöĎúĔîߊüÜÝĆéđÖĘï đðŨîêšî
x ÖćøĔßš ߊ Ă ÜìćÜìĊę öĊ Ù üćöðúĂéõĆ ÷ ÿĎ Ü ĔîÖćøøĆ ï ÿŠ Ü ×š Ă öĎ ú úĆ ï đߊ î Secure
Sockets Layer (SSL) đðŨîêšî
x đìÙēîēú÷ĊÖčâĒÝÿćíćøèą (Public Key Infrastructure: PKI) ìĊęĔßšÿøšćÜ
Digital Certificate Ēúą Digital Signature đóČęĂĔßšêøüÝÿĂïêĆüêîÖŠĂî
ÖćøđךćëċÜךĂöĎúúĆï
9. ÝĆéĔĀšöĊÖćøìéÿĂïøąïïÖćøóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ đóČęĂĀćÝčéĂŠĂîĒúą×šĂñĉéóúćé
êĆüĂ÷ŠćÜđߊî ÖćøðøąđöĉîߊĂÜēĀüŠìćÜđìÙîĉÙ (Vulnerability Assessment) ĒúąÖćø
ìéÿĂïÖćøđÝćąøąïï (Penetration Testing) đðŨîêšî Ă÷ŠćÜîšĂ÷ðŘúą 1 ÙøĆĚÜ
2) ÖćøÝĆéđêøĊ÷öóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤøąĀüŠćÜÙĎŠÙšć (Trading Partners) êšĂÜöĊÿĆââćìĊęđðŨîúć÷
úĆÖþèŤĂĆÖþøàċęÜñĎÖöĆéìĆĚÜÿĂÜòść÷üŠćêÖúÜêćöךĂÿĆââćÖćøÙšćîĆĚî øüöëċÜøć÷úąđĂĊ÷é×ĂÜÖćø
Ăîčâćê ךĂêÖúÜéšćîïøĉÖćøÿćøÿîđìý
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 92 / 174
6.9.2 ÖćøìĞćíčøÖøøöĂĂîĕúîŤ (On-line Transactions)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÙüćööĆęîÙÜðúĂéõĆ÷ĔîÖćøìĞćíčøÖøøöĂĂîĕúîŤ ēé÷ÝĆéĔĀšöĊÖćø
ÙüïÙčö éĆÜêŠĂĕðîĊĚ
1. ÝĆéĔĀšöĊüĉíĊÖćøêøüÝÿĂïêĆüêîĒúąðŜĂÜÖĆîÖćøðäĉđÿíÙüćöøĆïñĉé ĔĀšöĊÙüćöđĀöćąÿöÖĆï
øąéĆïÙüćöđÿĊę÷Ü øĎðĒïïĒúąöĎúÙŠć×ĂÜíčøÖøøö êĆüĂ÷ŠćÜüĉíĊÖćøêøüÝÿĂïêĆüêîĒúą
ðŜĂÜÖĆî ÖćøðäĉđÿíÙüćöøĆïñĉéßĂï ĕéšĒÖŠ
x øĀĆÿñŠćî đú×ðøąÝĞćêĆü (PIN) ĂčðÖøèŤĀøČĂïĆêøìĊęĔßšđÖĘïךĂöĎú ÿŠüîïčÙÙú
(Tokens or Smart Card) úĆÖþèąìćÜßĊüõćóÿŠüîïčÙÙú (Biometric)
x đìÙēîēú÷ĊÖčâĒÝÿćíćøèą (Public Key Infrastructure: PKI) ìĊęĔßšÿøšćÜ
Digital Certificate Ēúą Digital Signature
x đìÙēîēú÷ĊÖćøđךćøĀĆÿúĆï ךĂöĎúìĊęĔßšêøüÝÿĂï êĆüêîúĎÖÙšć
x ÖćøĔߚߊĂÜìćÜìĊęöĊÙüćöðúĂéõĆ÷ÿĎÜĔîÖćøøĆïÿŠÜךĂöĎúÖćøêøüÝÿĂïêĆüêî đߊî
Secure Sockets Layer (SSL) đðŨîêšî
2. ÝĆéĔĀšöĊüĉíĊÖćøøĆïÿŠÜ ðøąöüúñú ĒúąÝĆéđÖĘïÿćøÿîđìýĔîúĆÖþèą ìĊęðúĂéõĆ ÷êćö
ĀöüéĀöĎŠÿćøÿîđìý ìĆĚÜîĊĚÿćøÿîđìýìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” Ēúą “ÿĎÜ”
êšĂÜöĊüĉíĊĔî ÖćøøĆÖþćÙüćöëĎÖêšĂÜđßČęĂëČĂĕéšĒúąÖćøøĆÖþćÙüćöúĆï×ĂÜךĂöĎúĂ÷ŠćÜ
ĀîċęÜĂ÷ŠćÜĔé éĆÜêŠĂĕðîĊĚ
x đìÙēîēú÷Ċ Ö ćøđך ć øĀĆ ÿ úĆ ï ÿĞ ćĀøĆ ïך ĂöĎ ú úĆ ï đߊ î Öćøđך ć øĀĆ ÿ úĆ ï ך ĂöĎ ú ìĊę Ă ÷ĎŠ
øąĀüŠćÜÖćøøĆïÿŠÜ ÖćøđךćøĀĆÿúĆïךĂöĎúêĆĚÜĒêŠ êšîìćÜëċÜðúć÷ìćÜ (End-to-
End Encryption) ÖćøđךćøĀĆÿúĆïךĂöĎúĔîߊüÜÝĆéđÖĘï đðŨîêšî
x ÖćøĔßš ߊ Ă ÜìćÜìĊę öĊ Ù üćöðúĂéõĆ ÷ ÿĎ Ü ĔîÖćøøĆ ï ÿŠ Ü ×š Ă öĎ ú úĆ ï đߊ î Secure
Sockets Layer (SSL) đðŨîêšî
x đìÙēîēú÷ĊÖčâĒÝÿćíćøèą (Public Key Infrastructure: PKI) ìĊęĔßšÿøšćÜ
Digital Certificate Ēúą Digital Signature đóČęĂĔßšêøüÝÿĂïêĆüêîÖŠĂîÖćø
đךćëċÜךĂöĎúúĆï

6.9.3 ÿćøÿîđìýìĊęöĊÖćøđñ÷ĒóøŠĂĂÖÿĎŠÿćíćøèą (Publicly Available Information)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšÿćøÿîđìý ìĊęöĊøąéĆïÙüćöÿĞćÙĆâ (Criticality) ÿĎÜ ìĊęöĊÖćø
đñ÷ĒóøŠĂĂÖÿĎŠÿćíćøèą öĊÖćøÙüïÙčöéĆÜêŠĂĕðîĊĚ
1. ÝĆéĔĀšöĊÖøąïüîÖćøĂîčöĆêĉìĊęđðŨîìćÜÖćøÖŠĂîÝąöĊÖćøđñ÷ĒóøŠÿćøÿîđìý ĔîÖćøøĆÖþć
ÙüćöëĎÖêšĂÜđßČęĂëČĂĕéš

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 93 / 174

 2. öĊÖćøøĆÖþćÙüćöëĎÖêšĂÜđßČęĂëČĂĕéš×ĂÜÿćøÿîđìý ēé÷ÖúĕÖìĊęđĀöćąÿö đߊî Digital
Signatures đðŨîêšî
3. ÖĞ ć Āîéÿĉ ì íĉ Ö ćøđך ć ëċ Ü ÿćøÿîđìýìĊę öĊ Ö ćøđñ÷ĒóøŠ Ă ĂÖÿĎŠ ÿ ćíćøèąĔĀš đ ĀöćąÿöÖĆ ï
Öćøđך ć Ĕßš ï øĉ Ö ćø×ĂÜúĎ Ö Ùš ć ĒúąĀîš ć ìĊę Ù üćöøĆ ï ñĉ é ßĂï×ĂÜñĎš ð äĉ ïĆ êĉ Ü ćî øüöìĆĚ Ü öĊ
ÖćøìïìüîÿĉìíĉÖćøđךćëċÜĂ÷ŠćÜÿöęĞćđÿöĂ
4. ÖĞćĀîéĔĀšñĎšìĊęĕéšøĆïöĂïĀöć÷đìŠćîĆĚîìĊęÝąđךćĒÖšĕ×đðúĊę÷îĒðúÜÿĉìíĉÖćøđךćëċÜêŠćÜė ĕéš
5. ëšćđðŨîÖćøđñ÷ĒóøŠñŠćî Web Site ×ĂÜ Öôñ. êšĂÜöĊÖćøìéÿĂïđóČęĂĀćÝčéĂŠĂîĒúą
ך Ă ñĉ é óúćé êĆ ü Ă÷Š ć Üđߊ î Öćøðøąđöĉ î ߊ Ă ÜēĀüŠ ì ćÜđìÙîĉ Ù (Vulnerability
Assessment) ĒúąÖćøìéÿĂï ÖćøđÝćąøąïï (Penetration Testing) đðŨîêšî Ă÷ŠćÜ
îšĂ÷ðŘúą 1 ÙøĆĚÜ
6. ïĆîìċÖđĀêčÖćøèŤ (Log) ÖćøđךćëċÜøąïïóćèĉß÷ŤĂĉđúĘÖìøĂîĉÖÿŤ ÖćøĒÖšĕ×đðúĊę÷îĒðúÜ
ÿĉìíĉêŠćÜė ĕüšđóČęĂđðŨîĀúĆÖåćîÖćøêøüÝÿĂïĔîÖøèĊđÖĉéðŦâĀć
2) ÖøèĊìĊęđðŨîÖćøđñ÷ĒóøŠñŠćî Web Site ×ĂÜ Öôñ. ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąòść÷ðäĉïĆêĉÖćø
đìÙēîēú÷Ċÿćøÿîđìý êšĂÜøĆïñĉéßĂïĔîđøČęĂÜêŠĂĕðîĊĚ
1. ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜêøüÝÿĂïךĂöĎúÖŠĂîîĞć×ċĚîđñ÷ĒóøŠ đóČęĂúéÙüćöđÿĊę÷ÜÝćÖ
ÙüćöñĉéóúćéĔîÖćøîĞćךĂöĎú×ċĚîðøąÖćýïî Web Site ×ĂÜ Öôñ.
2. ñĎšđðŨîđÝš ć×ĂÜÿćøÿîđìýêšĂÜöĊïĆîìċÖĒÝšÜòść÷ðäĉ ïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý đóČęĂ
ÖĞćĀîéÿĉì íĉđÞóćąøĀĆÿ ñŠćîĒúąđîČĚĂìĊęĔî www.egat.co.th Server ĀøČ Ă
www.egat.com Server ĔĀšñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ÿćöćøëîĞćךĂöĎú×ċĚîðøąÖćýïî
ĂĉîđìĂøŤđîĘê Web Site ĕéš ĀøČĂ öĊïĆîìċÖĒÝšÜòść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý đóČęĂ
ìĞćÖćøđßČęĂöē÷ÜÝćÖĀîšć Homepage ĀúĆÖ ĕð÷ĆÜ Web Server ×ĂÜñĎšđðŨîÝšć×ĂÜ
ÿćøÿîđìýìĊęêšĂÜ Öćøđñ÷ĒóøŠ×šĂöĎúìćÜĂĉîđìĂøŤđîĘê×ĂÜĀîŠü÷ÜćîîĆĚî
3. ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜøąïčךĂöĎúàċęÜðøąÖĂïéšü÷ ßČęĂñĎšøĆïñĉéßĂï ךĂöĎú ÿĆÜÖĆé
Āöć÷đú×ēìøýĆóìŤ ìĊęĂ÷ĎŠÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ (Email-Address) ĕüšéšćîúŠćÜ (Footer)
×ĂÜ Web Page ĀîšćĒøÖ×ĂÜĀîŠü÷ÜćîîĆĚî
4. ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜĒÝšÜßČęĂ ÿĆÜÖĆé Āöć÷đú×ēìøýĆóìŤ ìĊę Ă÷ĎŠÝéĀöć÷
ĂĉđúĘÖìøĂîĉÖÿŤ (Email-Address) ĔĀšòść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý đóČęĂÝĆéìĞć
ìąđïĊ÷î Web Site
5. òść÷ðäĉïĆêĉÖćøđìÙēîēú÷ĊÿćøÿîđìýøĆïñĉéßĂïĔîÖćøÝéìąđïĊ÷îßČęĂđÙøČęĂÜÙĂöóĉüđêĂøŤ
(Domain Name Server) ÖĆï IP address ×ĂÜđÙøČęĂÜ Web Server ìĊęĀîŠü÷Üćî
õć÷Ĕî×ĂÝéìąđïĊ ÷ î ĒúąìĞ ć ÖćøđßČę Ă öē÷ÜÝćÖ www.egat.co.th ĀøČ Ă
www.egat.com ĕð÷ĆÜ Web Server ×ĂÜĀîŠü÷ÜćîîĆĚî
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 94 / 174
6.10 ÖćøđòŜćøąüĆÜìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Monitoring)

ëšĂ÷ĒëúÜîē÷ïć÷

ĔĀšöĊÖćøïĆîìċÖđĀêčÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßšÜćîÿćøÿîđìý ÖćøêøüÝÿĂïÖćøĔßšÜćîøąïïÿćøÿîđìý Öćø

ðŜĂÜÖĆîךĂöĎúïĆîìċÖđĀêčÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßšÜćîÿćøÿîđìý ÖćøïĆîìċÖÖĉÝÖøøöÖćøéĞćđîĉîÜćî×ĂÜ
đÝšćĀîšćìĊęìĊęđÖĊę÷üךĂÜÖĆïøąïïÿćøÿîđìý ÖćøïĆîìċÖđĀêčÖćøèŤ×šĂñĉéóúćéìĊęđÖĊę÷üךĂÜÖĆïÖćøìĞćÜćî×ĂÜøąïï
ÿćøÿîđìý ĒúąÖćøêĆĚÜđüúć×ĂÜđÙøČęĂÜÙĂöóĉüđêĂøŤĔĀšêøÜÖĆî

öćêøåćî
6.10.1 ÖćøïĆîìċÖđĀêčÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßšÜćîÿćøÿîđìý (Audit Logging)
1) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéĔĀšöĊÖćøïĆîìċÖđĀêčÖćøèŤìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßšÜćîÿćøÿîđìý àċęÜ
ðøąÖĂïéšü÷øć÷úąđĂĊ÷ééĆÜêŠĂĕðîĊĚ
1. ïĆâßĊñĎšĔßšÜćî
2. üĆîìĊę đüúć øć÷úąđĂĊ÷é×ĂÜđĀêčÖćøèŤÿĞćÙĆâ đߊî Öćø Log-on Ēúą Öćø Log-off đðŨî
êšî
3. øąïčëċÜđÙøČęĂÜ (Terminal) ĀøČĂÿëćîìĊę (ëšćđðŨîĕðĕéš)
4. ÖćøïĆîìċÖÙüćöÿĞćđøĘÝĒúąúšöđĀúüĔîÖćøó÷ć÷ćöđךćëċÜøąïï
5. ÖćøïĆîìċÖÙüćöÿĞćđøĘÝĒúąúšöđĀúüĔîÖćøó÷ć÷ćöđךćëċÜךĂöĎúĒúąìøĆó÷ćÖøĂČęîė
6. ÖćøđðúĊę÷îĒðúÜÖćøÖĞćĀîéÙŠćĔîøąïï (Configuration)
7. ÖćøĔßšÿĉìíĉóĉđýþ (Privilege)
8. ÖćøđךćëċÜĕôúŤ (File) Ēúąßîĉé×ĂÜÖćøđךćëċÜ
9. ìĊęĂ÷ĎŠ×ĂÜđÙøČĂ׊ć÷ đߊî IP address Ēúą MAC address đðŨîêšî
10. Protocols ìĊęĔßšÜćî
11. ÿĆââćèïĂÖđĀêčìĊęđÖĉéÝćÖøąïïÖćøÙüïÙčöÖćøđךćëċÜ
12. ÖćøđðŗéÖćøĔßšÜćî (Activation) ĒúąÖćøøąÜĆïÖćøĔßšÜćî (De-Activation) ×ĂÜøąïï
ðŜĂÜÖĆî đߊîøąïïðŜĂÜÖĆîĕüøĆÿ ĒúąøąïïêøüÝÝĆïÖćøïčÖøčÖ (Intrusion Detection
System)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 95 / 174

6.10.2 ÖćøđòŜćøąüĆÜÖćøĔßšÜćîøąïï (Monitoring System Use)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøđòŜćøąüĆÜÖćøĔßšÜćîĂčðÖøèŤðøąöüúÿćøÿîđìý ×ĂÜ Öôñ.
ĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøĂîčâćêĔîÖćøđךćëċÜ øüöëċÜøć÷úąđĂĊ÷é đߊî
x ïĆâßĊñĎšĔßšÜćî
x üĆîĒúąđüúć×ĂÜđĀêčÖćøèŤìĊęÿĞćÙĆâ
x ðøąđõì×ĂÜđĀêčÖćøèŤ
x ÖćøđךćëċÜĕôúŤ (File)
x ēðøĒÖøö÷ĎìĉúĉêĊĚìĊęĔßš
2. ÖćøðäĉïĆêĉÜćîìĊęöĊÿĉìíĉóĉđýþìĆĚÜĀöé đߊî
x ÖćøĔßšïĆâßĊñĎšĔßšìĊęöĊÿĉìíĉóĉđýþ đߊî Supervisor, Root Ēúą Administrator
đðŨîêšî
x ÖćøđøĉęöêšîĀøČĂĀ÷čéøąïï
x ÖćøđßČęĂöêŠĂĂčðÖøèŤîĞćđךć îĞćĂĂÖ (I/O device)
3. Öćøó÷ć÷ćöđךćëċÜēé÷ñĎšìĊęĕöŠĕéšøĆïĂîčâćê đߊî
x ÖćøñĉéóúćéĀøČĂÖćøðäĉđÿíÖćøÖøąìĞć×ĂÜñĎšĔßšÜćî
x ÖćøñĉéóúćéĀøČĂÖćøðäĉđÿíìĊęđÖĊę÷üךĂÜÖĆïךĂöĎúĒúąìøĆó÷ćÖøĂČęîė
x Öćøúąđöĉ é îē÷ïć÷Öćøđך ć ëċ Ü ĒúąÖćøĒÝš Ü đêČ Ă îÝćÖĂč ð ÖøèŤ ìĊę Ĕ ßš đ ßČę Ă öêŠ Ă
đÙøČĂ׊ć÷ (Network Gateway) Ēúą Firewall
x ÖćøĒÝšÜđêČĂîÝćÖøąïïêøüÝÝĆïÖćøïčÖøčÖ (Intrusion Detection System)
ĒúąøąïïðŜĂÜÖĆîÖćøïčÖøčÖ (Intrusion Protection System)
4. ÖćøĒÝšÜđêČĂîĀøČĂךĂñĉéóúćéÝćÖøąïï đߊî
x ÖćøĒÝšÜđêČĂîĀøČĂךĂÙüćöÝćÖ Console
x ïĆîìċÖđĀêčÖćøèŤÖćø÷ÖđüšîĔîøąïï (System Log Exceptions)
x øąïïĒÝš Ü đêČ Ă îÖćøïøĉ Ā ćøÝĆ é ÖćøđÙøČ Ă ×Š ć ÷ (Network Management
Alarms)
x ÖćøĒÝšÜđêČĂîÝćÖøąïïÙüïÙčöÖćøđךćëċÜ
5. ÖćøđðúĊę÷îĒðúÜ ĀøČĂÙüćöó÷ć÷ćöìĊę ÝąđðúĊę÷îĒðúÜÖćøÙüïÙčöĒúąÙŠćìĊęÖĞćĀîé
(Configuration) ĔîøąïïÙüćööĆęîÙÜðúĂéõĆ÷ đߊî
x üĆî đüúćìĊęìĞćÖćøđðúĊę÷îĒðúÜ ĀøČĂÙüćöó÷ć÷ćöìĊęÝąđðúĊę÷îĒðúÜ
x ÿćøÿîđìýìĊę đÖĊę ÷üÖĆ ïÖćøđðúĊę ÷ îĒðúÜ ĀøČ ĂÙüćöó÷ć÷ćöìĊę ÝąđðúĊę ÷ îĒðúÜ
Ă÷ŠćÜđߊî ÖćøÝĆéÖćøĕôúŤ (File) ĀøČà ךĂñĉéóúćéĒúąöĊÖćøĒÖšĕ×ĔĀšëĎÖêšĂÜ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 96 / 174
 ïĆâßĊñĎšĔßš ñĎšéĎĒúøąïï (Administrator) ĀøČĂēĂđðĂđøđêĂøŤ (Operator) ìĊę
x
đÖĊę÷üךĂÜÖĆïÖćøđðúĊę÷îĒðúÜ ĀøČĂÙüćöó÷ć÷ćöìĊęÝąđðúĊę÷îĒðúÜ
x ÖćøðøąöüúñúÙĂöóĉ üđêĂøŤ (Computer Process) ìĊęđÖĊę÷üךĂÜÖĆï
ÖćøđðúĊę÷îĒðúÜ ĀøČĂÙüćöó÷ć÷ćöìĊęÝąđðúĊę÷îĒðúÜ
2) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÿĂïìćîñú×ĂÜÖĉÝÖøøöÖćøđòŜćøąüĆÜ×ċĚîĂ÷ĎŠÖĆïÙüćöđÿĊę÷ÜìĊęđÖĊę÷üךĂÜ
ēé÷ðŦÝÝĆ÷×ĂÜÙüćöđÿĊę÷ÜêšĂÜ óĉÝćøèćĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. øąéĆïÙüćöÿĞćÙĆâ (Criticality) ×ĂÜĒĂóóúĉđÙßĆî (Application)
2. øąéĆïÙüćöúĆï (Sensitivity) ĒúąøąéĆïÙüćöÿĞćÙĆâ (Criticality) ĒúąÖćøüĉđÙøćąĀŤ
ÿćøÿîđìýìĊęđÖĊę÷üךĂÜÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
3. ðøąÿïÖćøèŤÖćøĒìøÖàċöĒúąÖćøĔßšñĉéüĆêëčðøąÿÜÙŤ×ĂÜøąïï ĒúąÙüćöëĊę×ĂÜߊĂÜēĀüŠ
ìĊęëĎÖđÝćą ìĊęñŠćîöć
4. ×Ăïđ×ê×ĂÜøąïïìĊęđßČęĂöêŠĂÖĆî (ēé÷đÞóćąđÙøČĂ׊ć÷ÿćíćøèą)
5. ïĆîìċÖđĀêčÖćøèŤ (Log) ×ĂÜøąïïàċęÜëĎÖøąÜĆïÖćøĔßšÜćî (De-Activation)

6.10.3 ÖćøðŜĂÜÖĆîךĂöĎúïĆîìċÖđĀêčÖćøèŤ (Protection of Log Information)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøðŜĂÜÖĆîÖćøđðúĊę÷îĒðúÜךĂöĎúïĆîìċÖđĀêčÖćøèŤēé÷ĕöŠĕéšøĆï
ĂîčâćêĒúąðŜĂÜÖĆîðŦâĀćìĊęđÖĉéÖĆïÖćøïĆîìċÖđĀêčÖćøèŤ éĆÜêŠĂĕðîĊĚ
1. ÖćøđðúĊę÷îĒðúÜĒÖšĕ×ðøąđõì×ĂÜךĂÙüćö (Message Types) ìĊęĕéšøĆïÖćøïĆîìċÖ
2. ÖćøĒÖšĕ×ĀøČĂúïĕôúŤ (File) ךĂöĎúïĆîìċÖđĀêčÖćøèŤ (Log)
3. ךĂñĉéóúćé×ĂÜđĀêčÖćøèŤìĊęïĆîìċÖĀøČĂÖćøđ×Ċ÷îìĆïđĀêčÖćøèŤìĊęïĆîìċÖ ĂĆîđîČęĂÜöćÝćÖ
ÙüćöÝč×ĂÜÿČęĂìĊęđÖĘïĕôúŤ (File) ïĆîìċÖđĀêčÖćøèŤ (Log File )ĕöŠđóĊ÷ÜóĂ

6.10.4 ïĆîìċÖÖĉÝÖøøöÖćøéĞćđîĉîÜćî×ĂÜđÝšćĀîšćìĊęìĊęđÖĊę÷üךĂÜÖĆïøąïïÿćøÿîđìý (Administrator

and Operator Logs)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊ øć÷úąđĂĊ÷éĔîÖćøïĆ îìċÖÖĉÝÖøøöÖćøéĞćđîĉîÜćî×ĂÜ
đÝšćĀîšćìĊęìĊęđÖĊę÷üךĂÜÖĆïøąïïÿćøÿîđìý Ă÷ŠćÜîšĂ÷éĆÜêŠĂĕðîĊĚ
1. đüúćìĊęđĀêčÖćøèŤĕéšđÖĉé×ċĚî
2. ÿćøÿîđìýìĊęđÖĊę÷üÖĆïđĀêčÖćøèŤ Ă÷ŠćÜđߊî ÖćøÝĆéÖćøĕôúŤ (File) ĀøČà ךĂñĉéóúćéĂĆî
đÖĉéÝćÖÙüćöñĉéóúćéĒúąöĊÖćøĒÖšĕ×ĔĀšëĎÖêšĂÜ
3. ïĆâßĊñĎšĔßš ñĎšéĎĒúøąïï (Administrator) ĀøČĂēĂđðĂđøđêĂøŤ (Operator) ìĊęđÖĊę÷üךĂÜ
4. ÖćøðøąöüúñúÙĂöóĉüđêĂøŤ (Processing) ìĊęđÖĊę÷üךĂÜ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 97 / 174

 2) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÿĂïìćîïĆîìċÖÖĉÝÖøøöÖćøéĞćđîĉîÜćî×ĂÜđÝšćĀîšćìĊęìĊęđÖĊę÷üךĂÜÖĆï
øąïïÿćøÿîđìý Ă÷ŠćÜîšĂ÷đðŨîðøąÝĞćìčÖüĆî

6.10.5 ÖćøïĆîìċÖđĀêčÖćøèŤ×šĂñĉéóúćé (Fault Logging)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøïĆîìċÖđĀêčÖćøèŤ×šĂñĉéóúćéĂĆîđÖĉéÝćÖøąïïĀøČĂĕéšøĆïĒÝšÜ
ÝćÖñĎšĔßšÜćî ēé÷êšĂÜöĊĒîüìćÜĔîÖćøÝĆéÖćøךĂñĉéóúćéìĊęĕéšøĆïøć÷Üćî éĆÜêŠĂĕðîĊĚ
1. ÖćøÿĂïìćîïĆîìċÖđĀêčÖćøèŤ×šĂñĉéóúćé (Fault Logging) đóČęĂĔĀšöĆęîĔÝüŠćךĂñĉéóúćé
ĕéšøĆïÖćøĒÖšĕ×Ă÷ŠćÜđĀöćąÿö
2. ÖćøÿĂïìćîöćêøÖćøĔîÖćøĒÖšĕ× đóČęĂĔĀšöĆęîĔÝüŠćÖćøÙüïÙčöĕöŠĕéšøĆïÖćøúąđöĉé

6.10.6 ÖćøêĆĚÜđüúć×ĂÜđÙøČęĂÜÙĂöóĉüđêĂøŤĔĀšêøÜÖĆî (Clock Synchronization)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜêĆĚÜđüúć×ĂÜĂčðÖøèŤðøąöüúñúÿćøÿîđìýêŠćÜė ĔĀšêøÜÖĆïđÙøČęĂÜĒöŠ
׊ć÷×ĂÜòść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý (NTP Server) àċęÜĂšćÜĂĉÜÿćÖú (Stratum 0) ēé÷
ñĉéóúćéĕöŠđÖĉî 10 öĉúúĉüĉîćìĊ

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-21 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøđòŜćøąüĆÜÖćøĔßšÜćîøąïï (System Usage Monitoring
Procedure)

ST-07: öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ (Standard of Access Control)

üĆêëčðøąÿÜÙŤ
đóČęĂÙüïÙčöĒúąðŜĂÜÖĆîÖćøđךćëċÜ ÖćøúŠüÜøĎš ĒúąÖćøĒÖšĕ×ÿćøÿîđìýĒúąøąïïÿćøÿîđìý×ĂÜ Öôñ. ēé÷
ĕöŠĕéšøĆïĂîčâćê Öôñ. ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÖćøÙüïÙčöÖćøđךćëċÜàċęÜðøąÖĂïéšü÷ 7 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) ךĂÖĞćĀîéìćÜíčøÖĉÝÿĞćĀøĆïÖćøÙüïÙčöÖćøđךćëċÜ (Business Requirements for Access
Control)
2) ÖćøïøĉĀćøÝĆéÖćøÖćøđךćëċÜ×ĂÜñĎšĔßš (User Access Management)
3) ĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜñĎšĔßšÜćî (User Responsibilities)
4) ÖćøÙüïÙčöÖćøđךćëċÜđÙøČĂ׊ć÷ (Network Access Control)
5) ÖćøÙüïÙčöÖćøđךćëċÜøąïïðäĉïĆêĉÖćø (Operating System Access Control)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 98 / 174

 6) ÖćøÙüïÙčöÖćøđךćëċÜēðøĒÖøöðøą÷čÖêŤĒúąÿćøÿîđìý (Application and Information
Access Control)
7) ÖćøÙüïÙčö Ăč ð ÖøèŤÿČę Ă ÿćøðøąđõìóÖóćĒúąÖćøðäĉ ïĆêĉ ÜćîÝćÖõć÷îĂÖĂÜÙŤÖø (Mobile
Computing and Teleworking)

ïìïćìĀîšćìĊę
òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý (Ăðì.)
ƒ óĉÝćøèćÖćø×ĂĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷×ĂÜñĎšðäĉïĆêĉÜćîĀøČĂĀîŠü÷Üć÷õć÷îĂÖ ĂĊÖìĆĚÜêšĂÜÙüïÙčöÖćø
ĔßšÜćîøąïïđÙøČĂ׊ć÷ đóČęĂðŜĂÜÖĆîÖćøđךćëċÜøąïïđÙøČĂ׊ć÷ĒúąïøĉÖćø×ĂÜøąïïđÙøČĂ׊ć÷ēé÷ĕöŠĕéš
øĆïĂîčâćê
ƒ ÝĆéĔĀšöĊÖćøĒïŠÜĒ÷ÖđÙøČĂ׊ć÷êćöÖúčŠö×ĂÜñĎšĔßš ĀøČĂÖúčŠö×ĂÜøąïïÿćøÿîđìý đóČęĂÙüïÙčöÖćøĔßšÜćî
ĔîĒêŠúąđÙøČĂ׊ć÷÷ŠĂ÷ĕéšĂ÷ŠćÜđĀöćąÿö ĒúąöĊÖćøóĉÿĎÝîŤêĆüêî×ĂÜĂčðÖøèŤĔîøąïïđÙøČĂ׊ć÷
ƒ øąÜĆïïøĉÖćøĒúąóĂøŤê (Port) ìĊęĕöŠöĊÙüćöÝĞćđðŨîêšĂÜĔßšïîđÙøČęĂÜÙĂöóĉüđêĂøŤĀøČĂĂčðÖøèŤđÙøČĂ׊ć÷
ĒúąêĉéêĆĚÜøąïïÙüïÙčöđóČęĂÖúĆęîÖøĂÜךĂöĎúìĊęøĆï - ÿŠÜ óøšĂöìĆĚÜðŜĂÜÖĆîĕöŠĔĀšöĊÖćøøĆïÿŠÜךĂöĎúìĊęĕöŠ
đĀöćąÿöÝćÖõć÷îĂÖ Öôñ.
ƒ êĉéêĆĚÜ Firewall øąĀüŠćÜđÙøČĂ׊ć÷×ĂÜ Öôñ. ÖĆï đÙøČĂ׊ć÷õć÷îĂÖ óøšĂÜìĆĚÜĒïŠÜĒ÷Ö Zone êćö
ÙüćöđĀöćąÿö ĒúąÙüïÙčöÖćøÖĞćĀîéđÿšîìćÜïîđÙøČĂ׊ć÷×ĂÜ Öôñ.
ƒ ÖĞćĀîéÙŠć×ĂÜøąïï (Configuration) ĂčðÖøèŤđÙøČĂ׊ć÷ öĉĔĀšÿćöćøëïøĉĀćøÝĆéÖćøÝćÖõć÷îĂÖ
đÙøČĂ׊ć÷ĕéš đüšîĒêŠĔîÖøèĊÞčÖđÞĉî àċęÜêšĂÜĕéšøĆïÖćøĂîčâćêÝćÖĀĆüĀîšćÜćîÿćøÿîđìý
ƒ ÙüïÙčöÖćøđßČęĂöêŠĂđÙøČĂ׊ć÷õć÷îĂÖ àċęÜĂćÝđðŨîߊĂÜìćÜĔĀšïčÙÙúõć÷îĂÖđךćëċÜÿćøÿîđìýĀøČĂ
øąïïÿćøÿîđìý×ĂÜ Öôñ. ēé÷öĉĕéšøĆïĂîčâćê
ƒ ÝĆéĔĀšöĊÖćøóĉÿĎÝîŤêĆüêîÖŠĂîìĊęÝąĂîčâćêĔĀšñĎšĔßšÜćîìĊęĂ÷ĎŠõć÷îĂÖ Öôñ. ÿćöćøëđךćĔßšÜćîđÙøČĂ׊ć÷
Ēúąøąïïÿćøÿîđìý×ĂÜ Öôñ. ĕéš

òść÷øąïïÿČęĂÿćø
ƒ ÿĂïìćîÖćøđßČę Ă öêŠ Ă øąïïñŠ ć îìćÜÿć÷ēìøýĆ ó ìŤ Ă ÷Š ć ÜÿöęĞ ć đÿöĂ đóČę Ă êøüÝÿĂïÖćøđßČę Ă öêŠ Ă
ĂĉîđìĂøŤđîĘêēé÷Āöć÷đú×ēìøýĆóìŤìĊęĕöŠĕéšøĆïĂîčâćê

òść÷ìøĆó÷ćÖøïčÙÙú
ƒ ĒÝšÜøć÷ßČęĂ×ĂÜñĎšðäĉïĆêĉÜćî ĀøČĂĀîŠü÷Üćîõć÷îĂÖìĊęÿĉĚîÿčéĀøČĂđðúĊę÷îĒðúÜÖćøÝšćÜÜćîĒÖŠñĎšđðŨî
đÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 99 / 174

ĀîŠü÷ÜćîìĊęüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ
ƒ ĒÝšÜøć÷ßČęĂ×ĂÜñĎšðäĉïĆêĉÜćî ĀøČĂĀîŠü÷Üćîõć÷îĂÖìĊęÿĉĚîÿčéĀøČĂđðúĊę÷îĒðúÜÖćøÝšćÜÜćîĒÖŠñĎšđðŨî
đÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý

ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ƒ ÝĆ é ĔĀš öĊ üĉ íĊ ðŜ Ă ÜÖĆ î ĕöŠ Ĕ Āš ñĎš ð äĉ ïĆ êĉ Ü ćîĀøČ Ă ĀîŠ ü ÷Üćîõć÷îĂÖ ìĊę ĕ öŠ öĊ ÿĉ ì íĉ ÿ ćöćøëđך ć ëċ Ü Ăč ð ÖøèŤ
ðøąöüúñúÿćøÿîđìýìĊęĕöŠöĊñĎšéĎĒú

ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ƒ óĉÝćøèć×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøúÜìąđïĊ÷î đóĉÖëĂîÿĉìíĉ ĒúąđðúĊę÷îĒðúÜÿĉìíĉ×ĂÜñĎšĔßšÜćî
ƒ óĉÝćøèćĔĀšñĎšĔßšÜćîöĊÿĉìíĉđóČęĂÖćøđךćëċÜÿćøÿîđìýĀøČĂøąïïÿćøÿîđìýĔéė Ă÷ŠćÜđðŨîúć÷úĆÖþèŤ
ĂĆÖþøđìŠćîĆĚî ĂĊÖìĆĚÜĂîčöĆêĉÖćøÿøšćÜïĆâßĊñĎšĔßšßĆęüÙøćü (Temporary User)
ƒ êøüÝÿĂïÖćøĔßšÜćîïĆâßĊñĎšĔßšàĚĞćÖĆîĔîøąïï Ă÷ŠćÜÿöęĞćđÿöĂđðŨîðøąÝĞćìčÖ 3 đéČĂî
ƒ ÝĆéĔĀšöĊÖćøëĂéëĂîĀøČĂđðúĊę÷îĒðúÜÿĉìíĉÖćøđךćëċÜìĆîìĊ đöČęĂñĎšĔßšÜćî đÖþĊ÷è đðúĊę÷îĒðúÜĀîšćìĊę
ÙüćöøĆ ï ñĉ é ßĂï đðúĊę ÷ îĒðúÜÿĆ Ü ÖĆ é ĀøČ Ă ĕöŠ öĊ Ù üćöÝĞ ć đðŨ î ĔîÖćøĔßš Ü ćîÿćøÿîđìýĀøČ Ă øąïï
ÿćøÿîđìý
ƒ ÝĆé ĔĀš öĊÖćøÿĂïìćîÿĉ ì íĉÖćøđךćëċÜ×ĂÜñĎšĔ ßšÜćîøąïïđðŨîðøąÝĞćìčÖ 3 đéČĂî ĀøČ ĂđöČęĂ Öôñ. öĊ
ÖćøđðúĊę÷îĒðúÜøąïïÿćøÿîđìýĀøČĂēÙøÜÿøšćÜĂÜÙŤÖøìĊęÿĞćÙĆâ
ƒ ÝĆéĔĀšöĊÖćøĒïŠÜĒ÷Öøąïïÿćøÿîđìý ēé÷óĉÝćøèćÝćÖúĞćéĆïßĆĚî×ĂÜÿćøÿîđìýìĊę Öôñ. ÖĞćĀîéĕüš
ƒ ÖĞćĀîéøą÷ąđüúćÖćøĔßšÜćîĔîøąïïÿćøÿîđìý×ĂÜ Öôñ. ÿĞćĀøĆïĀîŠü÷Üćîõć÷îĂÖìĊęöĊÙüćö
ÝĞćđðŨîêšĂÜđךćëċÜĕéšÿĎÜÿčé 12 đéČĂî
ƒ óĉÝćøèćÖćøĔßšÜćîïĆâßĊñĎšĔßšÜćîøŠüöÖĆî (Shared User ID) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîđìŠćîĆĚî

ĀĆüĀîšćÜćîÿćøÿîđìý
ƒ ÝĆéĔĀšöĊïĆâßĊñĎšĔßšÜćîĒêŠúąïčÙÙú ĒúąÖćøÙüïÙčöÖćøđךćëċÜ ÿćøÿîđìý øąïïðäĉïĆêĉÖćøĒúąøąïï
ÿćøÿîđìý êćööćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĊę Öôñ. ÖĞćĀîé óøšĂöìĆĚÜÝĆéđÖĘï
ïĆîìċÖđĀêčÖćøèŤ (Log) ĔĀšöĊÙüćööĆęîÙÜðúĂéõĆ÷
ƒ óĉÝćøèćĔĀšñĎšĔßšÜćîöĊÿĉìíĉđóČęĂÖćøđךćëċÜÿćøÿîđìýĀøČĂøąïïÿćøÿîđìýĔéė Ă÷ŠćÜđðŨîúć÷úĆÖþèŤ
ĂĆÖþøđìŠćîĆĚî óøšĂöìĆĚÜÿĂïìćîÿĉìíĉÖćøđךćëċÜ×ĂÜñĎšĔßšÜćîøąïïđðŨîðøąÝĞćìčÖ 3 đéČĂî ĀøČĂđöČęĂ
Öôñ. öĊÖćøđðúĊę÷îĒðúÜøąïïÿćøÿîđìýĀøČĂēÙøÜÿøšćÜĂÜÙŤÖøìĊęÿĞćÙĆâ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 100 / 174

 ƒ ÝĆéĔĀšöĊÖćøëĂéëĂîĀøČĂđðúĊę÷îĒðúÜÿĉìíĉÖćøđךćëċÜìĆîìĊ đöČęĂñĎšĔßšÜćî đÖþĊ÷è đðúĊę÷îĒðúÜĀîšćìĊę
ÙüćöøĆ ï ñĉ é ßĂï đðúĊę ÷ îĒðúÜÿĆ Ü ÖĆ é ĀøČ Ă ĕöŠ öĊ Ù üćöÝĞ ć đðŨ î ĔîÖćøĔßš Ü ćîÿćøÿîđìýĀøČ Ă øąïï
ÿćøÿîđìý
ƒ ÝĆéĔĀšöĊÖćøÖĞćĀîéÙŠć×ĂÜøąïï (Configuration) ĔîÖćøúĘĂÙĀîšćÝĂóøšĂöĔÿŠøĀĆÿñŠćî ÖćøÖĞćĀîé
Session Time-out
ƒ ÝĆéĔĀšĂčðÖøèŤðøąöüúñúÿćøÿîđìý öĊĂčðÖøèŤúĘĂÙĂ÷ĎŠđÿöĂ
ƒ ÝĆéĔĀšöĊÖćøĒïŠÜĒ÷Öøąïïÿćøÿîđìý ēé÷óĉÝćøèćÝćÖúĞćéĆïßĆĚî×ĂÜÿćøÿîđìýìĊę Öôñ. ÖĞćĀîéĕüš
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčö ĒúąðŜĂÜÖĆîÖćøĔßšĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćĔîÖćøđßČęĂöêŠĂđÙøČĂ׊ć÷
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčö ĒúąìéÿĂïÙüćöðúĂéõĆ÷×ĂÜøĀĆÿñŠćîêćööćêøåćîìĊę Öôñ. ÖĞćĀîéĂ÷ĎŠđÿöĂ
ƒ ÖĞćĀîéøą÷ąđüúćÖćøĔßšÜćîĔîøąïïÿćøÿîđìý×ĂÜ Öôñ. ÿĞćĀøĆïĀîŠü÷Üćîõć÷îĂÖìĊęöĊÙüćö
ÝĞćđðŨîêšĂÜđךćëċÜĕéšÿĎÜÿčé 12 đéČĂî
ƒ óĉÝćøèćÖćøĔßšÜćîïĆâßĊñĎšĔßšÜćîøŠüöÖĆî (Shared User ID) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîđìŠćîĆĚî

ñĎšéĎĒúøąïïÿćøÿîđìý
ƒ ÙüïÙčööĉĔĀšöĊÖćøĔßšÜćîïĆâßĊßČęĂñĎšĔßšàĚĞćÖĆî
ƒ ÖĞ ć ĀîéøĀĆ ÿ ñŠ ć î×ĂÜñĎš Ĕ ßš Ē ïïßĆę ü Ùøćüēé÷Ĕßš üĉ íĊ Ö ćøÿčŠ ö ĒúąÖĞ ć ĀîéĔĀš ø ąïïìĞ ć ÖćøïĆ Ü ÙĆ ï ĔĀš öĊ
ÖćøđðúĊę÷îøĀĆÿñŠćîñĎšĔßšĔĀöŠđöČęĂöĊÖćøĔßšÜćîøąïïĔîÙøĆĚÜĒøÖ
ƒ úïĀøČĂøąÜĆïÖćøĔßšÜćîÿĉìíĉ×ĂÜñĎšĔßšÜćîìĊęöćÖĆïøąïï (Default User)
ƒ ÝĆéĔĀšöĊÖćøÿĂïìćîĒúąøąÜĆïÖćøĔßšÜćîïĆâßĊñĎšĔßšÜćîìĊęĕöŠĕéšĔßšÜćîđÖĉî 90 üĆî ĒúąÝĆéÿŠÜøć÷ßČęĂ×ĂÜ
ñĎšĔßšÜćîìĊęëĎÖøąÜĆïĕð÷ĆÜñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂ÷Čî÷ĆîÖćøĔßšÜćî
ƒ ÝĆéìĞćøć÷ÜćîïĆîìċÖđĀêčÖćøèŤ (Log) đóČęĂøć÷ÜćîĒÖŠĀĆüĀîšćÜćîÿćøÿîđìýđðŨîðøąÝĞćìčÖđéČĂî

ñĎšïĆÜÙĆïïĆâßć
ƒ óĉÝćøèć×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøúÜìąđïĊ÷î đóĉÖëĂîÿĉìíĉ ĒúąđðúĊę÷îĒðúÜÿĉìíĉ×ĂÜñĎšĔßšÜćî
ƒ óĉÝćøèćÖćø×ĂĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷×ĂÜñĎšðäĉïĆêĉÜćîĀøČĂĀîŠü÷Üć÷õć÷îĂÖ
ƒ óĉÝćøèćÖćøĔßšÜćîïĆâßĊñĎšĔßšÜćîøŠüöÖĆî (Shared User ID) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîđìŠćîĆĚî

ñĎšðäĉïĆêĉÜćî/ ñĎšĔßšÜćî
ƒ ĒÝšÜÙüćöðøąÿÜÙŤĔîÖćø×ĂĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷êćö×ĆĚîêĂîÖćøðäĉïĆêĉĔîÖćø×ĂĔßšïøĉÖćøđÙøČĂ׊ć÷
ƒ êšĂÜðäĉïĆêĉêćööćêøÖćøÖćøĔßšÜćîøĀĆÿñŠćîìĊę Öôñ. ÖĞćĀîéĂ÷ŠćÜđÙøŠÜÙøĆé

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 101 / 174

 ƒ ÖĞćĀîéÙŠ ćĔîÖćøúĘĂÙĀîšćÝĂĂĆê ēîöĆêĉđöČęĂĕöŠöĊÖ ćøĔßšÜćîøąïïÿćøÿîđìý ĂčðÖøèŤ ðøąöüúñú
ÿćøÿîđìý ĀøČĂ ĂčðÖøèŤðøąđõìóÖóć×ĂÜ Öôñ. êćöøą÷ąđüúćìĊęÖĞćĀîé
ƒ êĆĚÜÙŠćĔĀšöĊēðøĒÖøöóĆÖĀîšćÝĂìĊęêšĂÜĔÿŠøĀĆÿñŠćî ÿĞćĀøĆïđÙøČęĂÜÙĂöóĉüđêĂøŤÿŠüîïčÙÙú ĀøČĂđÙøČęĂÜ
ÙĂöóĉüđêĂøŤĒïïóÖóć ĒúąđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷
ƒ ĀúĊÖđúĊę÷ÜÖćøÖøąìĞćìĊęÿĉĚîđðúČĂÜìøĆó÷ćÖø×ĂÜđÙøČĂ׊ć÷ ĒúąĕöŠĔßšøąïïđÙøČĂ׊ć÷ đóČęĂđðŨîߊĂÜìćÜĔî
ÖćøđÝćąøąïï (Hacking) ĀøČĂÖćøÿĒÖîߊĂÜēĀüŠ×ĂÜøąïïēé÷öĉĕéšøĆïĂîčâćê
ƒ ĔîÖćøĔßšÜćîĂĉîđìĂøŤđîĘêĔĀšĔßšēðøēêÙĂú×ĂÜ HTTP Ēúą HTTPS đìŠćîĆĚî îĂÖÝćÖĕéšøĆïÖćøĂîčâćê
ÝćÖòść÷ðäĉïĆêĉÖćøđìÙēîēú÷ĊÿćøÿîđìýĔĀšĔßšĂ÷ŠćÜĂČęî ĂĊÖìĆĚÜêšĂÜ Log Off Ēúąðŗé Web Browser
ĀúĆÜÝćÖÖćøĔßšÜćîìčÖÙøĆĚÜ ĒúąêšĂÜðäĉïĆêĉêćööćêøÖćøêŠćÜėìĊę Öôñ. ÖĞćĀîéĂ÷ŠćÜđÙøŠÜÙøĆé
ƒ ĕöŠêĉéêĆĚÜ Modem đóČęĂđךćëċÜĂĉîđìĂøŤđîĘê ĔîÖøèĊìĊęÝĞćđðŨîêšĂÜĕéšøĆïÖćøĂîčâćêÝćÖòść÷ðäĉïĆêĉÖćø
đìÙēîēú÷ĊÿćøÿîđìýÖŠĂîđìŠćîĆĚî
ƒ êĉéêĆĚÜēðøĒÖøöðŜĂÜÖĆîĕüøĆÿĒúą Personal Firewall ÿĞćĀøĆïĂčðÖøèŤÿŠüîêĆüìĊęĔßšđßČęĂöêŠĂđÙøČĂ׊ć÷
×ĂÜ Öôñ. ÝćÖõć÷îĂÖ
ƒ đĂÖÿćøìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” êšĂÜóĉöóŤÝćÖđÙøČęĂÜóĉöóŤđÞóćąđìŠćîĆĚî ĒúąêšĂÜîĞć
ĂĂÖÝćÖÝćÖđÙøČęĂÜóĉöóŤēé÷ìĆîìĊ

ĀîŠü÷Üćîõć÷îĂÖ
ƒ ÖĞćĀîéÙŠćĔîÖćøúĘĂÙĀîšćÝĂĂĆêēîöĆêĉđöČęĂĕöŠöĊÖćøĔßšÜćîøąïïÿćøÿîđìý ĀøČĂĂčðÖøèŤðøąöüúñú
ÿćøÿîđìý×ĂÜ Öôñ. êćöøą÷ąđüúćìĊęÖĞćĀîé

7.1 ךĂÖĞćĀîéìćÜíčøÖĉÝÿĞćĀøĆïÖćøÙüïÙčöÖćøđךćëċÜ (Business Requirements for

Access Control)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøđךćëċÜĔĀšÿĂéÙúšĂÜÖĆïÙüćöêšĂÜÖćøìćÜíčøÖĉÝĒúąÙüćöêšĂÜÖćøéšćîÙüćööĆęîÙÜðúĂéõĆ÷

öćêøåćî
7.1.1ךĂÖĞćĀîéÖćøÙüïÙčöÖćøđךćëċÜ (Access Control Requirements)
1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜÝĆéìĞćêćøćÜĒÿéÜÿĉìíĉĔîÖćøđךćëċÜ (Authorization Matrix) ìĊę
đĀöćąÿöĔîĒêŠúąøąïïÿćøÿîđìýĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø ĒúąðøĆïðøčÜĂ÷ŠćÜÿöęĞćđÿöĂìčÖ 3

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 102 / 174

 đéČĂî ĀøČĂöĊÖćøìïìüîđöČęĂöĊÖćøđðúĊę÷îĒðúÜøąïïÿćøÿîđìý ĂĊÖìĆĚÜÖćøđךćëċÜ×ĂÜñĎšĔßšÜćî
ìĆĚÜĀöéêšĂÜÿĂéÙúšĂÜÖĆïךĂÖĞćĀîéìćÜíčøÖĉÝ×ĂÜ Öôñ. ĒúąĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜñĎšĔßšÜćî
2) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéøąéĆïÖćøĂîčöĆêĉ (Authorization
Level) ÖćøđךćëċÜøąïïÿćøÿîđìýĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
3) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜéĎĒúÖĞćÖĆïĔĀš Default Permission ÿĞćĀøĆï ĕôúŤ (File) Ēúą ēôúđéĂøŤ
(Folder) ìĊęÿøšćÜ×ċĚîêšĂÜĕéšøĆïÖćøÝĞćÖĆéÿĉìíĉĔîÖćøđךćëċÜēé÷ñĎšĔßšÜćîìĆęüĕð
4) ĔîÖćøÖĞćĀîéÖćøđךćëċÜÿćøÿîđìýĀøČĂøąïïÿćøÿîđìý×ĂÜ Öôñ. ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜ
óĉÝćøèćךĂÖĞćĀîéêŠćÜėìĊęöĊñúìćÜÖãĀöć÷ ìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
×ĂÜ Öôñ. đߊî óøąøćßïĆââĆêĉ ךĂÖĞćĀîéìćÜÖãĀöć÷ ךĂÖĞćĀîéĔîÿĆââć Ēúą×šĂÖĞćĀîé
ìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ĂČęîė đðŨîêšî
5) ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĒúąĀĆ ü Āîš ć Üćîÿćøÿîđìý êš Ă ÜÝĆ é ĔĀš öĊ Ö ćøĒïŠ Ü Ē÷ÖĀîš ć ìĊę
ÙüćöøĆïñĉéßĂï (Segregation of Duties)ĔîÖćøđךćëċÜøąïïÿćøÿîđìýĂ÷ŠćÜđĀöćąÿö đߊî öĊ
ÖćøĒïŠÜĒ÷ÖĀîšćìĊęøąĀüŠćÜ ÖćøĒÝšÜÙüćöðøąÿÜÙŤÖćøđךćëċÜÖĆïÖćøĂîčöĆêĉÖćøđךćëċÜ đðŨîêšî
6) ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĒúąĀĆ ü Āîš ć Üćîÿćøÿîđìý êš Ă ÜÖĞ ć ĀîéĔĀš öĊ Ö ćøÿĂïìćîÿĉ ì íĉ Ĕ î
ÖćøđךćëċÜøąïïÿćøÿîđìýĂ÷ŠćÜÿöęĞćđÿöĂìčÖ 3 đéČĂî óøšĂöìĆĚÜđóĉÖëĂîÿĉìíĉ đöČęĂóïđĀĘîÿĉìíĉìĊęĕöŠ
ëĎÖêšĂÜêćö êćøćÜĒÿéÜÿĉìíĉĔîÖćøđךćëċÜ (Authorization Matrix)

7.2 ÖćøïøĉĀćøÝĆéÖćøÖćøđךćëċÜ×ĂÜñĎšĔßš (User Access Management)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøúÜìąđïĊ÷îñĎšĔßš ÖćøïøĉĀćøÝĆéÖćøÿĉìíĉÖćøĔßšÜćîøąïïÿćøÿîđìý ÖćøïøĉĀćøÝĆéÖćø
øĀĆÿñŠćîĒúąÖćøìïìüîÿĉìíĉÖćøđךćëċÜ×ĂÜñĎšĔßš

öćêøåćî
7.2.1 ÖćøúÜìąđïĊ÷îñĎšĔßš (User Registration)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊ×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøúÜìąđïĊ÷î ÖćøđóĉÖëĂîÿĉìíĉ
ĒúąÖćøđðúĊę÷îĒðúÜÿĉìíĉ×ĂÜñĎšĔßšÜćîĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø đóČęĂÖĞćĀîéÿĉìíĉêŠćÜė Ĕî
ÖćøĔßšÜćîêćöÙüćöđĀöćąÿö
2) ×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÖćøúÜìąđïĊ÷î ÖćøđóĉÖëĂîÿĉìíĉ ĒúąÖćøđðúĊę÷îĒðúÜÿĉìíĉ êšĂÜĕéšøĆï Öćø
ĂîčöĆêĉÝćÖ ñĎšïĆÜÙĆïïĆâßćĒúąñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý óøšĂöìĆĚÜöĊÖćøÙüïÙčö×ĆĚîêĂîðäĉïĆêĉĔîđøČęĂÜ
éĆÜêŠĂĕðîĊĚ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 103 / 174

 1. ÖćøÖĞćĀîéÿĉìíĉìĊęđĀöćąÿöÖĆïñĎšĔßšÜćîêćöÙüćöÝĞćđðŨîìćÜéšćîíčøÖĉÝ ĒúąÿĂéÙúšĂÜÖĆï
ĀîšćìĊęÙüćöøĆïñĉéßĂï
2. ÖćøĂîčöĆêĉĒúąÿĂïìćîÖćøđךćøąïïÿćøÿîđìýĔĀš đðŨîĕðêćö×ĆĚîêĂîðäĉïĆêĉÜćîìĊę
ÖĞćĀîé
3. ÖćøÝĆ éđÖĘ ïðøąüĆêĉÖćøúÜìąđïĊ÷î ÖćøđóĉÖëĂîÿĉì íĉ ĒúąÖćøđðúĊę÷îĒðúÜÿĉì íĉ×ĂÜ
ñĎšĔßšÜćî
3) ïĆâßĊßČęĂñĎšĔßš (Username) êšĂÜđðŨîßČęĂđÞóćąÿĞćĀøĆïñĎšĒÝšÜÙüćöðøąÿÜÙŤđìŠćîĆĚî ìĆĚÜîĊĚñĎšéĎĒúøąïï
ÿćøÿîđìý êšĂÜÙüïÙčööĉĔĀšöĊÖćøĔßšÜćîïĆâßĊßČęĂñĎšĔßšàĚĞćÖĆî ĒúąñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜ
êøüÝÿĂïÖćøĔßšÜćîïĆâßĊñĎšĔßšàĚĞćÖĆîĔîøąïï Ă÷ŠćÜÿöęĞćđÿöĂđðŨîðøąÝĞćìčÖ 3 đéČĂî
4) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøëĂéëĂîĀøČĂđðúĊę÷îĒðúÜÿĉìíĉ
ÖćøđךćëċÜìĆîìĊ đöČęĂñĎš Ĕ ßšÜćî đÖþĊ÷è đðúĊę÷îĒðúÜĀîšćìĊę ÙüćöøĆïñĉéßĂï đðúĊę÷îĒðúÜÿĆÜÖĆé
ĀøČĂĕöŠöĊÙüćöÝĞćđðŨîĔîÖćøĔßšÜćîÿćøÿîđìýĀøČĂøąïïÿćøÿîđìý ìĆĚÜîĊĚòść÷ìøĆó÷ćÖøïčÙÙúĀøČĂ
ĀîŠü÷ÜćîìĊęüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ êšĂÜĒÝšÜøć÷ßČęĂ×ĂÜñĎšðäĉïĆêĉÜćî ĀøČĂĀîŠü÷Üćîõć÷îĂÖìĊę
ÿĉĚîÿčéĀøČĂđðúĊę÷îĒðúÜÖćøÝšćÜÜćîĒÖŠñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý
5) ĀîŠü÷Üćîõć÷îĂÖ ìĊęđךćöćðäĉïĆêĉÜćîøŠüöÖĆï Öôñ. ĀĆüĀîšćÜćîÿćøÿîđìýĀøČĂ ñĎšđðŨîđÝšć×ĂÜ
ÿćøÿîđìý êšĂÜöĊÖćøÖĞćĀîéøą÷ąđüúćÖćøĔßšÜćîĔîøąïïÿćøÿîđìý×ĂÜ Öôñ. ÿĞćĀøĆïĀîŠü÷Üćî
õć÷îĂÖìĊęöĊÙüćöÝĞćđðŨîêšĂÜđךćëċÜĕéšÿĎÜÿčé 12 đéČĂî ëšćđÖĉîÖüŠćøą÷ąđüúćìĊęÖĞćĀîé ĀîŠü÷Üćî
ìĊęüŠćÝšćÜĀîŠü÷Üćîõć÷îĂÖ êšĂÜöĊÖćøĒÝšÜÙüćöðøąÿÜÙŤĔîÖćøĔßšÜćîđóĉęöđêĉö óøšĂöìĆĚÜöĊÖćø×Ă
ĂîčöĆêĉÖćøĔßšÜćîĔîøąïïÿćøÿîđìý×ĂÜ Öôñ. ÝćÖ ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýìĊęđÖĊę÷üךĂÜĂ÷ŠćÜđðŨî
úć÷úĆÖþèŤĂĆÖþø
6) ÖćøÿøšćÜïĆâßĊñĎšĔßšßĆęüÙøćü (Temporary User) êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖ ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
đìŠćîĆĚî ĒúąêšĂÜöĊÖćøÝĞćÖĆéߊüÜđüúćÖćøĔßšÜćîđìŠćìĊęÝĞćđðŨîđìŠćîĆĚî

7.2.2 ÖćøïøĉĀćøÝĆéÖćøÿĉìíĉ (Privilege Management)

1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöĒúąÝĞćÖĆéÿĉìíĉĔîÖćøĔßš
Üćîøąïï êćöÙüćöÝĞćđðŨîĔîÖćøĔßšÜćîđìŠćîĆĚî
2) ÖćøĂîčâćêĔĀšöĊÿĉìíĉđóČęĂÖćøđךćëċÜÿćøÿîđìýĀøČĂøąïïÿćøÿîđìýĔéė êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎš
đðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþøđìŠćîĆĚî
3) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜöĊÖćøÝĞćÖĆéÝĞćîüîñĎšðäĉïĆêĉÜćîìĊęìĞćĀîšćìĊęđðŨî ñĎšĔĀšÿĉìíĉÖĆïñĎšĔßšÜćîĔĀš
îšĂ÷ìĊęÿčéêćöÙüćöđĀöćąÿö

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 104 / 174

 4) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÝĆéđÖĘïïĆîìċÖđĀêčÖćøèŤ (Log) ÿĞćĀøĆïÖćøĔĀšÿĉìíĉĔîøąïï
óøšĂöìĆĚÜĔĀšñĎšéĎĒúøąïïÿćøÿîđìý ÝĆéìĞćøć÷ÜćîïĆîìċÖđĀêčÖćøèŤ (Log) đóČęĂøć÷ÜćîĒÖŠĀĆüĀîšć
ÜćîÿćøÿîđìýđðŨîðøąÝĞćìčÖđéČĂî
5) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöĒúąÝĞćÖĆéÿĉìíĉóĉđýþ éĆÜêŠĂĕðîĊĚ
x ĔĀšĔßšÿĉìíĉóĉđýþĔîÜćî êćöÙüćöÝĞćđðŨîđìŠćîĆĚî
x ĔîÖøèĊĕöŠöĊÖćøĔßšÜćîÿĉìíĉóĉđýþđðŨîðøąÝĞć ÖćøĔĀšÿĉìíĉóĉđýþÙüøĔĀšđðŨîøć÷ÙøĆĚÜđöČęĂöĊ
ÙüćöÝĞćđðŨîđìŠćîĆĚî óøšĂöìĆĚÜêšĂÜÖĞćĀîéøą÷ąđüúćÖćøĔßšÜćî ĒúąøąÜĆï ÖćøĔßš
ÜćîìĆîìĊ đöČęĂóšîøą÷ąđüúćéĆÜÖúŠćü
x êš Ă ÜöĊ Ö ćøđðúĊę ÷ îøĀĆ ÿ ñŠ ć îĂ÷Š ć ÜđÙøŠ Ü ÙøĆ é đߊ î đðúĊę ÷ îøĀĆ ÿ ñŠ ć îìč Ö ÙøĆĚ Ü ĀúĆ Ü Āöé
ÙüćöÝĞćđðŨîĔîÖćøĔßšÜćî ĀøČĂĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćîđðŨîøą÷ąđüúćîćî
êšĂÜđðúĊę÷îøĀĆÿñŠćîđðŨîðøąÝĞćìčÖ 30 - 45 üĆî đðŨîêšî
x êšĂÜöĊÖćøĒïŠÜĒ÷ÖĀîšćìĊęìĊęĕöŠ×ĆéĒ÷šÜÖĆïĀîšćìĊęÖćøìĞćÜćî đߊî ñĎšóĆçîćøąïïêšĂÜĕöŠĕéš
øĆïÿĉìíĉóĉđýþ (Root) đðŨîêšî
x êšĂÜöĊïĆâßĊñĎšĔßšÜćîÿŠüîêĆüÿĞćĀøĆïÖćøĔßšÜćîðÖêĉ àċęÜĒ÷ÖÝćÖïĆâßĊñĎšĔßšÜćîìĊęĕéšøĆïÿĉìíĉ
óĉđýþ đóČęĂÖćøĔßšÜćîìĊęĕöŠÝĞćđðŨîêšĂÜĔßšÿĉìíĉóĉđýþ
6) ñĎšéĎĒúøąïïÿćøÿîđìý êšĂÜúïĀøČĂøąÜĆïÖćøĔßšÜćîÿĉìíĉ×ĂÜñĎšĔßšÜćîìĊęöćÖĆïøąïï (Default User)
ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćî êšĂÜöĊÖćøÖĞćĀîéøĀĆÿñŠćîĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷ĒúąđðúĊę÷îĒðúÜ
øĀĆÿñŠćîđðŨîðøąÝĞćìčÖ 3 đéČĂî

7.2.3 ÖćøïøĉĀćøÝĆéÖćøøĀĆÿñĎšĔßš (User Password Management)

1) đöČęĂöĊÖćøÿøšćÜïĆâßĊñĎšĔßšÜćî ñĎšéĎĒúøąïïÿćøÿîđìý êšĂÜÖĞćĀîéøĀĆÿñŠćî×ĂÜñĎšĔßšĒïïßĆęüÙøćüēé÷
ĔßšüĉíĊÖćøÿčŠö ĒúąÖĞćĀîéĔĀšøąïïìĞćÖćøïĆÜÙĆïĔĀšöĊÖćøđðúĊę÷îøĀĆÿñŠćîñĎšĔßšĔĀöŠđöČęĂöĊÖćøĔßšÜćî
øąïïĔîÙøĆĚÜĒøÖ
2) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÿŠÜöĂïøĀĆÿñŠćîÿĞćĀøĆïñĎšĔßšÜćîĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷ đߊî
ÖćøÝĆéÿŠÜøĀĆÿñŠćîĔĀšÖĆïĀĆüĀîšćÜćîĔîÙøĆĚÜĒøÖĒúąøąïïêšĂÜïĆÜÙĆïĔĀšöĊÖćøđðúĊę÷îøĀĆÿñŠćîìĆîìĊ
đöČęĂöĊÖćøđךćøąïïĔîÙøĆĚÜĒøÖ đðŨîêšî
3) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøđךćøĀĆÿךĂöĎúøĀĆÿñŠćîĔîøąïï

7.2.4 ÖćøìïìüîÿĉìíĉÖćøđךćëċÜ×ĂÜñĎšĔßš (Review of User Access Rights)

1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ĒúąĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÿĂïìćîÿĉìíĉÖćøđךćëċÜ×ĂÜ
ñĎšĔßšÜćîøąïïđðŨîðøąÝĞćìčÖ 3 đéČĂî ĀøČĂđöČęĂ Öôñ. öĊÖćøđðúĊę÷îĒðúÜøąïïÿćøÿîđìýĀøČĂ
ēÙøÜÿøšćÜĂÜÙŤÖøìĊęÿĞćÙĆâ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 105 / 174
 2) ñĎšéĎĒúøąïïÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÿĂïìćîĒúąøąÜĆïÖćøĔßšÜćîïĆâßĊñĎšĔßšÜćîìĊęĕöŠĕéšĔßšÜćîđÖĉî
90 üĆî ĂĊÖìĆĚÜêšĂÜÝĆéÿŠÜøć÷ßČęĂ×ĂÜñĎšĔßšÜćîìĊęëĎÖøąÜĆïĕð÷ĆÜñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂ÷Čî÷ĆîÖćø
ĔßšÜćî ìĆĚÜîĊĚøą÷ąđüúćìĊęĕöŠĕéšĔßšÜćî×ĂÜïĆâßĊñĎšĔßšÜćî ĂćÝÝą×ċĚîĂ÷ĎŠĒêŠúąøąïïÜćî đߊî øąïïìĊęöĊ
ÙüćöëĊęĔîÖćøĔßšÜćîîšĂ÷ ñĎšéĎĒúøąïïÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøÿĂïìćîĒúąøąÜĆïÖćøĔßšÜćîïĆâßĊ
ñĎšĔßšÜćîìĊęĕöŠĕéšĔßšÜćîđÖĉî 365 üĆî đðŨîêšî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-22 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂúÜìąđïĊ÷îñĎšĔßšÜćî (User Registration Procedure)
2) PD-23 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøđðúĊę÷îĒðúÜÿĉìíĉñĎšĔßšÜćî (User Modification Procedure)
3) PD-24 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøđóĉÖëĂîÖćøúÜìąđïĊ÷îñĎšĔßšÜćî (User De-Registration
Procedure)
4) PD-25 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšïĆâßĊñĎšĔßšÜćîìĊęöĊÿĉìíĉđìĊ÷ïđìŠćïĆâßĊñĎšĔßšÜćîìĊęöĊÿĉìíĉ
óĉđýþ ( Equivalent-Privilege User Account Request Procedure)
5) PD-26 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšïĆâßĊñĎšĔßšÜćîìĊęöĊÿĉìíĉóĉđýþĔîÖøèĊÞčÖđÞĉî ( Emergency
Use of Privilege User Account Procedure)
6) PD-27 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøđðúĊę÷îĒðúÜøĀĆÿñŠćîïĆâßĊñĎšĔßšÜćîìĊęöĊÿĉìíĉóĉđýþ (Change of
Privilege User Accounts Password Procedure)
7) PD-28 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøìïìüîÿĉìíĉÖćøđךćëċÜ×ĂÜñĎšĔßšÜćî (Review of User
Access Rights Procedure)

7.3 ĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜñĎšĔßšÜćî (User Responsibilities)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøĔßšÜćîøĀĆÿñŠćî ÖćøðŜĂÜÖĆîĂčðÖøèŤìĊęĕöŠ öĊñĎšéĎĒú ĒúąÖćøÙüïÙčöÖćøĕöŠìĉĚÜìøĆ ó÷Ťÿĉî
ÿćøÿîđìýÿĞćÙĆâĕüšĔîìĊęìĊęĕöŠðúĂéõĆ÷

öćêøåćî
7.3.1ÖćøĔßšÜćîøĀĆÿñŠćî (Password Use)
1) ñĎšĔßšÜćî êšĂÜđÖĘïøĀĆÿñŠćîĕüšđðŨîÙüćöúĆïđÞóćąïčÙÙú ĕöŠđðŗéđñ÷ĔĀšñĎšĂČęîøĆïìøćï ĒúąñĎšĔßšÜćîêšĂÜ
ĕöŠóĉöóŤøĀĆÿñŠćîĔîúĆÖþèąđðŗéđñ÷ đߊî óĉöóŤøĀĆÿñŠćîêŠĂĀîšćñĎšðäĉïĆêĉÜćîÙîĂČęî đðŨîêšî
2) ñĎšĔßšÜćî êšĂÜĕöŠĔßšïĆâßĊßČęĂñĎšĔßšÜćîĒúąøĀĆÿñŠćîøŠüöÖĆîÖĆïñĎšĂČęî ĒöšüŠćïĆâßĊßČęĂñĎšĔßšÜćîÝąĕéšøĆïÖćø
ĂîčâćêÝćÖđÝšć×ĂÜßČęĂñĎšĔßšÜćîïčÙÙúîĆĚîÖĘêćö
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 106 / 174
 3) ñĎšĔßšÜćî êšĂÜĕöŠđÖĘïøĀĆÿñŠćîĔîìĊęìĊęđðŗéđñ÷ đߊî ïĆîìċÖøĀĆÿñŠćîïîÖøąéćþēîšêĔîìĊęìĞćÜćî ĀøČĂĔî
ĕôúŤ (File) ìĊęÿćöćøëĂŠćîĕéšēé÷ÜŠć÷ đðŨîêšî
4) ñĎšĔßšÜćî êšĂÜđðúĊę÷îĒðúÜøĀĆÿñŠćîĂ÷ŠćÜđðŨîðøąÝĞćìčÖ 3 đéČĂî
5) ñĎšĔßšÜćî êšĂÜđðúĊę÷îĒðúÜøĀĆÿñŠćî đöČęĂöĊÖćøĒÝšÜđêČĂîÝćÖøąïï ĀøČĂÿÜÿĆ÷üŠćøĀĆÿñŠćîúŠüÜøĎšēé÷
ïčÙÙúĂČęî
6) ñĎšĔßšÜćî êšĂÜđðúĊę÷îøĀĆÿñŠćîĔĀöŠđöČęĂöĊÖćøĔßšÜćîøąïïĔîÙøĆĚÜĒøÖ
7) ñĎšĔßšÜćî êšĂÜÖĞćĀîéøĀĆÿñŠćî êćöÙčèúĆÖþèąéĆÜêŠĂĕðîĊĚ
1. øĀĆÿñŠćîêšĂÜöĊÙüćö÷ćüĂ÷ŠćÜîšĂ÷ 8 ĀúĆÖ àċęÜðøąÖĂïéšü÷ êĆüĂĆÖþø êĆüđú× ĒúąĂĆÖ×øą
óĉđýþ ĀøČĂÿĆâúĆÖþèŤ đߊî (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?)
đðŨîêšî
2. ÖĞćĀîéøĀĆÿñŠćîìĊęÜŠć÷êŠĂÖćøÝéÝĞć ĒêŠêšĂÜĕöŠđðŨîÙĞćìĊęÿćöćøëÙćéđéćĕéšÜŠć÷ đߊî ÙĞćìĊęĂ÷ĎŠ
ĔîóÝîćîčÖøö “qwerty” “abcde” “12345” ßČęĂ-îćöÿÖčú üĆîđéČĂîðŘđÖĉé ìĊęĂ÷ĎŠ đïĂøŤ
ēìøýĆóìŤ ĀøČĂĀöć÷đú×ðøąÝĞćêĆüñĎšðäĉïĆêĉÜćî đðŨîêšî
3. ĕöŠÖĞćĀîéøĀĆÿñŠćîĔĀöŠìĊęđĀöČĂîøĀĆÿñŠćîđéĉö Ă÷ŠćÜîšĂ÷ 5 ÙøĆĚÜÖŠĂîĀîšć
8) ñĎšĔßšÜćî êšĂÜĕöŠĔßš ÜćîøĀĆÿñŠćîēé÷ÖøąïüîÖćøđךćĔßšÜćîēé÷ĂĆêēîöĆêĉ đߊî óĉö óŤøĀĆ ÿñŠćîĔî
úĆÖþèąĒïïöćēÙø ĀøČĂĒïï batch scripts ĀøČĂÖćøÖĞćĀîéÙŠć “Remember Password”
đðŨîêšî
9) ñĎšĔßšÜćî ÙüøÖĞćĀîéøĀĆÿñŠćîìĊęĔßšÿĞćĀøĆïøąïïÿćøÿîđìýõć÷Ĕî Öôñ. ĔĀšöĊÙüćöĒêÖêŠćÜÖĆïøąïï
õć÷îĂÖ Öôñ.

7.3.2ÖćøðŜĂÜÖĆîĂčðÖøèŤìĊęĕöŠöĊñĎšéĎĒú (Unattended User Equipment)

1) ñĎš ĂĞ ć îü÷Öćøòś ć ÷ĀøČ Ă đìĊ ÷ ïđìŠ ć ×ċĚ î ĕð êš Ă ÜÝĆ é ĔĀš öĊ üĉ íĊ ðŜ Ă ÜÖĆ î ĕöŠ Ĕ Āš ñĎš ð äĉ ïĆ êĉ Ü ćîĀøČ Ă ĀîŠ ü ÷Üćî
õć÷îĂÖ ìĊęĕöŠöĊÿĉìíĉÿćöćøëđךćëċÜĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊęĕöŠöĊñĎšéĎĒú
2) ñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖ êšĂÜÖĞćĀîéÙŠćĔîÖćøúĘĂÙĀîšćÝĂĂĆêēîöĆêĉđöČęĂĕöŠöĊÖćøĔßšÜćî
øąïïÿćøÿîđìý ĀøČĂĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ. êćöøą÷ąđüúćìĊęÖĞćĀîé ēé÷
ēðøĒÖøöóĆÖĀîšćÝĂ (Screen Saver) êšĂÜìĞćÜćîēé÷ĂĆêēîöĆêĉĀúĆÜÝćÖìĊęĕöŠöĊÖćøĔßšÜćî
ÙĂöóĉüđêĂøŤđðŨîøą÷ąđüúćîćîÖüŠć 10 îćìĊ ĒúąñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖÝąĔßšÜćîêŠĂ
ĕéš đöČęĂöĊÖćøĔÿŠøĀĆÿñŠćîìĊęëĎÖêšĂÜ
3) ñĎšĔßšÜćî êšĂÜúĘĂÙĀîšćÝĂéšü÷ēðøĒÖøö Screen Saver ĀøČĂ Log Out ĂĂÖÝćÖđÙøČęĂÜÙĂöóĉüđêĂøŤ
đöČęĂöĊÙüćöÝĞćđðŨîêšĂÜúąìĉĚÜđÙøČęĂÜÙĂöóĉüđêĂøŤ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 107 / 174

7.3.3ÖćøÙüïÙčöÖćøĕöŠìĉĚÜìøĆó÷ŤÿĉîÿćøÿîđìýÿĞćÙĆâĕüšĔîìĊęìĊęĕöŠðúĂéõĆ÷ (Clear Desk and Clear
Screen Control)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊöćêøÖćøÿĞćĀøĆïðŜĂÜÖĆî øąïïÙĂöóĉüđêĂøŤ øąïïđÙøČĂ׊ć÷
Ēúąøąïïÿćøÿîđìý ēé÷ÖćøÖĞćĀîéÙŠć×ĂÜøąïï (Configuration) ĔĀšöĊÖćøúĘĂÙĀîšćÝĂÿĞćĀøĆï
ĂčðÖøèŤìĊęĕöŠöĊóîĆÖÜćîéĎĒú ĀøČĂöĊĂðč ÖøèŤúĘĂÙĂ÷ĎŠđÿöĂ
2) ñĎšðäĉïĆêĉÜćîêšĂÜóĉöóŤđĂÖÿćøìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé” Ēúą “ÿĎÜ” ÝćÖđÙøČęĂÜóĉöóŤ
đÞóćąđìŠćîĆĚî ĒúąêšĂÜîĞćĂĂÖÝćÖÝćÖđÙøČęĂÜóĉöóŤēé÷ìĆîìĊ
3) ÿëćîìĊęìĊęöĊÖćøøĆï ÿŠÜ ĒôÖàŤ ĀøČĂÝéĀöć÷đךć - ĂĂÖ êšĂÜöĊÖćøéĎĒúēé÷ñĎšìĊęĕéšøĆïöĂïĀöć÷

7.4 ÖćøÙüïÙčöÖćøđךćëċÜđÙøČĂ׊ć÷ (Network Access Control)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷ ÖćøÙüïÙčöÖćøóĉÿĎÝîŤêĆüêîÿĞćĀøĆïñĎšĔßšìĊęĂ÷ĎŠõć÷îĂÖ Öôñ. Öćø
ÙüïÙčöÖćøóĉÿĎÝîŤêĆüêîĂčðÖøèŤïîđÙøČĂ׊ć÷ ÖćøðŜĂÜÖĆîóĂøŤê (Port) ìĊęĔßšÿĞćĀøĆïêøüÝÿĂïĒúąðøĆïĒêŠÜ
øąïï ÖćøĒïŠÜĒ÷ÖđÙøČĂ׊ć÷Ă÷ŠćÜđĀöćąÿö ÖćøÙüïÙčöÖćøđßČęĂöêŠĂìćÜđÙøČĂ׊ć÷ ĒúąÖćøÙüïÙčöÖćø
ÖĞćĀîéđÿšîìćÜïîđÙøČĂ׊ć÷

öćêøåćî
7.4.1 ÖćøĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷ (Use of Network Services)
1) ñĎšðäĉïĆêĉÜćî êšĂÜĒÝšÜÙüćöðøąÿÜÙŤĔîÖćø×ĂĔßšÜćîïøĉÖćøđÙøČĂ׊ć÷êćö×ĆĚîêĂîÖćøðäĉïĆêĉĔîÖćø
×ĂĔßšïøĉÖćøđÙøČĂ׊ć÷ ēé÷ñĎšðäĉïĆêĉÜćîÿćöćøëĔßšïøĉÖćøđÙøČĂ׊ć÷ĕéšĀúĆÜÝćÖĕéšøĆïÖćøĂîčöĆêĉÝćÖ
ñĎšïĆÜÙĆïïĆâßć Ēúąòść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý
2) òś ć ÷ðäĉ ïĆ êĉ Ö ćøđìÙēîēú÷Ċ ÿ ćøÿîđìý êš Ă ÜÙüïÙč ö ÖćøĔßš Ü ćîøąïïđÙøČ Ă ×Š ć ÷ đóČę Ă ðŜ Ă ÜÖĆ î
ÖćøđךćëċÜøąïïđÙøČĂ׊ć÷ĒúąïøĉÖćø×ĂÜøąïïđÙøČĂ׊ć÷ēé÷ĕöŠĕéšøĆïĂîčâćê
3) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÙüïÙčöÖćøđßČęĂöêŠĂđÙøČĂ׊ć÷õć÷îĂÖ Ă÷ŠćÜđߊî ÖćøĔßš
ÜćîñŠćî Dial-up đóČęĂĔßšÜćîĂĉîđêĂøŤđîĘê àċęÜĂćÝđðŨîߊĂÜìćÜĔĀšïčÙÙúõć÷îĂÖđךćëċÜÿćøÿîđìý
ĀøČĂøąïïÿćøÿîđìý×ĂÜ Öôñ. ēé÷öĉĕéšøĆïĂîčâćê
4) ñĎšðäĉïĆêĉÜćî êšĂÜĕöŠĔßšøąïïđÙøČĂ׊ć÷ đóČęĂđðŨîߊĂÜìćÜĔîÖćøđÝćąøąïï (Hacking) ĀøČĂ
ÖćøÿĒÖîߊĂÜēĀüŠ×ĂÜøąïïēé÷öĉĕéšøĆïĂîčâćê
5) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÙüïÙčöÖćøđñ÷ĒóøŠĒñîñĆÜøąïïđÙøČĂ׊ć÷ (Network
Diagram) àċęÜøüöĕðëċÜēÙøÜÿøšćÜ IP Address ßČęĂøąïï ĒúąßČęĂĂčðÖøèŤÿćøÿîđìý ĒÖŠñĎšìĊęĕöŠĕéšøĆï
ĂîčâćêĀøČĂïčÙÙúõć÷îĂÖ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 108 / 174
7.4.2 ÖćøóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćîìĊęĂ÷ĎŠõć÷îĂÖĂÜÙŤÖø (User Authentication for External
Connections)
1) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøóĉÿĎÝîŤêĆüêîÖŠĂîìĊęÝąĂîčâćêĔĀšñĎšĔßšÜćîìĊęĂ÷ĎŠ
õć÷îĂÖ Öôñ. ÿćöćøëđךćĔßšÜćîđÙøČĂ׊ć÷Ēúąøąïïÿćøÿîđìý×ĂÜ Öôñ. ĕéš ēé÷óĉÝćøèćêćö
øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý (ĂšćÜĂĉÜ ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉî
éšćîÿćøÿîđìý (Standard of Asset Management)) đߊî ÖćøĔßšøĀĆÿñŠćî(Password) đú×
ðøąÝĞćêĆü (PIN) Tokens, Smart Card, Dial-Back đðŨîêšî

7.4.3 ÖćøóĉÿĎÝîŤêĆüêî×ĂÜĂčðÖøèŤĔîøąïïđÙøČĂ׊ć÷ (Equipment Identification in Networks)

1) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøóĉÿĎÝîŤêĆüêî×ĂÜĂčðÖøèŤĔîøąïïđÙøČĂ׊ć÷
đߊî ÖćøêøüÝÿĂï MAC Address đðŨîêšî

7.4.4 ÖćøðŜĂÜÖĆîóĂøŤêìĊęĔßšÿĞćĀøĆïêøüÝÿĂïĒúąðøĆïĒêŠÜøąïï (Remote Diagnostic and

Configuration Port Protection)
1) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜøąÜĆïïøĉÖćøĒúąóĂøŤê (Port) ìĊęĕöŠöĊÙüćöÝĞćđðŨîêšĂÜĔßš
ïîđÙøČęĂÜÙĂöóĉüđêĂøŤĀøČĂĂčðÖøèŤđÙøČĂ׊ć÷

7.4.5 ÖćøĒïŠÜĒ÷ÖđÙøČĂ׊ć÷ (Segregation in Networks)

1) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøĒïŠÜĒ÷ÖđÙøČĂ׊ć÷êćöÖúčŠö×ĂÜñĎšĔßš ĀøČĂÖúčŠö
×ĂÜøąïïÿćøÿîđìý đóČę Ă ÙüïÙč ö ÖćøĔßš Ü ćîĔîĒêŠ ú ąđÙøČ Ă ×Š ć ÷÷Š Ă ÷ĕéš Ă ÷Š ć ÜđĀöćąÿö ēé÷
ĀúĆ Ö đÖèæŤ Ö ćøĒïŠ Ü Ē÷ÖđÙøČ Ă ×Š ć ÷ êš Ă ÜÿĂéÙúš Ă ÜÖĆ ï öćêøåćîéš ć îÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć î
ÿćøÿîđìý×ĂÜ Öôñ. ĔîĀöüéĂČęîė ÙüćöêšĂÜÖćøĔîÖćøđךćëċÜךĂöĎú øąéĆïÙüćöÿĞćÙĆâ×ĂÜךĂöĎú
øüöëċÜÖćøóĉÝćøèćéšćîøćÙć ðøąÿĉìíĉõćó ĒúąñúÖøąìïìćÜéšćîÙüćöðúĂéõĆ÷ éĆÜêŠĂĕðîĊĚ
x đÙøČĂ׊ć÷ìĊęĂîčâćêĔĀšđךćëċÜÝćÖõć÷îĂÖÖĆïđÙøČĂ׊ć÷ìĊęĔßšõć÷Ĕî Öôñ. đìŠćîĆĚî
x đÙøČ Ă ×Š ć ÷ĒĂóóúĉ đ ÙßĆ î (Application) ìĊęöĊÙ üćöÿĞćÙĆâ ÖĆïđÙøČĂ׊ć÷ĂČęîė ìĊę öĊ
ÙüćöÿĞćÙĆâîšĂ÷ÖüŠć
x đÙøČĂ׊ć÷ÿĞćĀøĆïđÙøČęĂÜĔĀšïøĉÖćø (Server Farm) ÖĆïđÙøČĂ׊ć÷×ĂÜñĎšĔßšÜćî
ìĆĚÜîĊĚÖćøĒïŠÜĒ÷ÖđÙøČĂ׊ć÷ êšĂÜöĊÖćøêĉéêĆĚÜĂčðÖøèŤìĊęÿćöćøëĒïŠÜĒ÷ÖđÙøČĂ׊ć÷ĕéš đߊî Firewall
ĀøČĂ Switch ìĊęÿćöćøëĒïŠÜ VLAN ĕéš đðŨîêšî
2) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÖĞćĀîéđÿšîìćÜïîđÙøČĂ׊ć÷ìĊęđךöÜüé đóČęĂÝĞćÖĆéÖćø
đךćëċÜøą÷ąĕÖúĕðđÞóćąđÙøČĂ׊ć÷ìĊęÖĞćĀîéđìŠćîĆĚî
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 109 / 174
 3) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜêĆĚÜÙŠć (Configuration) ĂčðÖøèŤđÙøČĂ׊ć÷ đߊî Firewall
ĀøČĂ Router đðŨîêšî öĉĔĀšÿćöćøëïøĉĀćøÝĆéÖćøÝćÖõć÷îĂÖđÙøČĂ׊ć÷ĕéš đüšîĒêŠĔîÖøèĊÞčÖđÞĉî àċęÜ
êšĂÜĕéšøĆïÖćøĂîčâćê ÝćÖĀĆüĀîšćÜćîÿćøÿîđìý đìŠćîĆĚî

7.4.6 ÖćøÙüïÙčöÖćøđßČęĂöêŠĂìćÜđÙøČĂ׊ć÷ (Network Connection Control)

1) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÝĞćÖĆéÖćøĔßšÜćîđÙøČĂ׊ć÷×ĂÜñĎšĔßšĔîÖćøđßČęĂöêŠĂđÙøČĂ׊ć÷
×ĂÜ Öôñ. đߊî Router ĀøČĂ Firewall đðŨîêšî óøšĂöìĆĚÜêšĂÜêĉéêĆĚÜøąïïÙüïÙčöđóČęĂÖúĆęîÖøĂÜ
ךĂöĎúìĊęøĆï - ÿŠÜ đߊî Web Filtering, E-mail Filtering ĀøČĂ Content Filtering đðŨîêšî đóČęĂìĞć
ĔĀšÖćøđßČęĂöêŠĂöĊÙüćöðúĂéõĆ÷ ÖćøéĞćđîĉîÖćøéĆÜÖúŠćüĂćÝóĉÝćøèćĔßš Firewall ĀîċęÜêĆüĀøČĂ
öćÖÖüŠć
2) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜêĉéêĆĚÜ Firewall øąĀüŠćÜđÙøČĂ׊ć÷×ĂÜ Öôñ. ÖĆï
đÙøČĂ׊ć÷õć÷îĂÖ ìĆĚÜîĊĚÖćøêĉéêĆĚÜ Firewall êšĂÜóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøðŜĂÜÖĆîÖćøÝøćÝøÝćÖõć÷îĂÖ êšĂÜëĎÖÖĞćĀîéĔĀšĔßšđÿšîìćÜìĊęñŠćî First Tier
Firewall ìĊęöĊÙüćööĆęîÙÜðúĂéõĆ÷ đóČęĂðŜĂÜÖĆîìøĆó÷Ťÿĉîÿćøÿîđìý×ĂÜ Öôñ. Ēúą
ēÙøÜÿøšćÜóČĚîåćîìĊęöĊÙüćöÿĞćÙĆâÝćÖÖćøđךćëċÜìĊęĕöŠĕéšøĆïĂîčâćê
2. ÖãÖćøÙĆéÖøĂÜÖćøÝøćÝøïîđÙøČĂ׊ć÷ (Network Traffic Filtering Rules) êšĂÜöĊ
ÖćøðŜĂÜÖĆîđĀêčÖćøèŤ éĆÜêŠĂĕðîĊĚ
y ĒóĘÙđÖê (Packet) ×ćđךć ìĊęöĊðúć÷ìćÜđðŨî IP Address ×ĂÜ Firewall ĀøČĂ
đðŨî IP Address ìĊęĕöŠĔߊ Range of IP Address ÿćíćøèą×ĂÜ Öôñ. ìĊęĕéšøĆï
ÖćøúÜìąđïĊ÷îĒïïÿćíćøèąĕüš
y ĒóĘÙđÖê (Packet) ×ćđךć ìĊęöĊêšîìćÜđĀöČĂîÖĆï IP Address ×ĂÜđÙøČĂ׊ć÷
õć÷Ĕî Öôñ.
y ĒóĘÙđÖê (Packet) ×ćĂĂÖ ìĊęöĊðúć÷ìćÜđĀöČĂîÖĆï IP Address ×ĂÜđÙøČĂ׊ć÷
õć÷Ĕî Öôñ.
y ĒóĘÙđÖê (Packet) ×ćđךć ìĊęđðŨî ICMP (Internet Control Message
Protocol) ĀøČĂ SNMP (Simple Network Management Protocol) ÝćÖ
êšîìćÜìĊęĕöŠĔߊ IP Address ×ĂÜñĎšéĎĒú Firewall
y êšîìćÜĀøČĂðúć÷ìćÜ×ĂÜ ĒóĘÙđÖê (Packet) ×ćđךćĀøČĂ×ćĂĂÖìĊęđðŨî IP
Address Ēïï Private IP ĀøČĂĂ÷ĎŠĔîߊüÜ×ĂÜ RFC 1918 ìĊęÿÜüîĕüš éĆÜêŠĂĕðîĊĚ
y 10.0.0.0 to 10.255.255.255 (Class A)
y 172.16.0.0 to 172.31.255.255 (Class B)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 110 / 174

 y 192.168.0.0 to 192.168.255.255 (Class C)
y ĒóĘÙđÖê (Packet) ×ćđךćĒúą×ćĂĂÖ ìĊęöĊ IP Address êšîìćÜĀøČĂðúć÷ìćÜ
đðŨî 127.0.0.1 (Local Host) ĀøČĂ (0.0.0.0)
y ĒóĘÙđÖê (Packet) ×ćđךćĒúą×ćĂĂÖ ìĊęöĊ IP Address êšîìćÜĀøČĂðúć÷ìćÜ
đðŨî X.X.X.255 (Broadcast)
3. Firewall êšĂ Üøąïč êĆ ü êîĒúąóĉÿĎ Ý îŤ êĆüêî×ĂÜñĎš Ĕ ßš ÖŠĂ îìĊęÝ ąĔĀš ÿĉ ì íĉ Ö ćøđך ćëċ Ü
ĂĉîđìĂøŤđôà (Interface) đóČęĂÖćøïøĉĀćøÝĆéÖćø Firewall
4. Firewall êšĂÜöĊÖćøêĆĚÜÙŠćĔĀšøąÜĆïïĆâßĊñĎšĔßšĀúĆÜÝćÖöĊÙüćöó÷ć÷ćöìĊęÝąđךćÿĎŠøąïïĕöŠ
ÿĞ ć đøĘ Ý 3 ÙøĆĚ Ü Öćø÷Öđúĉ Ö ÖćøøąÜĆ ï êš Ă ÜéĞ ć đîĉ î Öćøēé÷òś ć ÷ðäĉ ïĆ êĉ Ö ćøđìÙēîēú÷Ċ
ÿćøÿîđìý
5. ĕöŠĂîčâćêĔĀšóĉÿĎÝîŤêĆüêîñŠćîìćÜ ĂĉîđìĂøŤđôà (Interface) ÖćøÝĆéÖćø Firewall ÝćÖ
øą÷ąĕÖú (Remote)
6. ñĎšéĎĒú Firewall ìĊęĕéšøĆïÖćøöĂïĀöć÷ÝćÖòść÷ðäĉïĆêĉÖćøđìÙēîēú÷ĊÿćøÿîđìýđìŠćîĆĚîìĊę
öĊÿĉìíĉìĊęÝąđðúĊę÷îÖćøêĆĚÜÙŠćéšćîÙüćöðúĂéõĆ÷ïî Firewall
7. Firewall êšĂÜöĊÖćøêĆĚÜÙŠćĔĀšïĆîìċÖđĀêčÖćøèŤ (Log) éšćîÙüćööĆęÜÙÜðúĂéõĆ÷
8. Firewall êšĂÜĕéšøĆïÖćøÿĂïìćî ìéÿĂï ĒúąêøüÝÿĂïĂ÷ŠćÜÿöęĞćđÿöĂ
9. Firewall êšĂÜëĎÖïøĉĀćøÝĆéÖćøñŠćîìćÜÖćøêĉéêŠĂÿČęĂÿćøìĊęöĊÖćøđךćøĀĆÿ
10. êšĂÜðŗéïøĉÖćøĒúąóĂøŤê (Port) ìĊęĕöŠÝĞćđðŨîêšĂÜĔßšïî Firewall
11. ñĎšéĎĒú Firewall êšĂÜêĉéêćöךĂöĎúߊĂÜēĀüŠÝćÖñĎšĔĀšïøĉÖćø (Vendor) đóČęĂøĆïìøćï
׊ćüÿćø Öćø Upgrade Ēúą Ēóìߍ (Patch) ìĊęÝĞćđðŨî ĒúąêšĂÜìĞćÖćøêĉéêĆĚÜ Ēóìߍ
(Patch) ìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ìĆĚÜĀöéìĊęđÖĊę÷üךĂÜ
12. Firewall ðøąđõìàĂôêŤĒüøŤ (Software) êšĂÜêĉéêĆĚÜïîđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷ Ē÷Ö
êŠćÜĀćÖ
13. Firewall êšĂÜÿćöćøëðŜĂÜÖĆîêĆüđĂÜÝćÖÖćøēÝöêĊ DOS (Denial of Service) ĕéš
Ă÷ŠćÜđߊî Ping, Sweeps ĀøČĂ TCP SYN Floods đðŨîêšî
14. ñĎšéĎĒú Firewall êšĂÜĔßšđüĂøŤßĆî×ĂÜàĂôêŤĒüøŤ (Software) Firewall Ēúą
øąïïðäĉïĆêĉÖćøìĊęđÝšć×ĂÜñúĉêõĆèæŤ÷ĆÜĔĀšÖćøÿîĆïÿîčî
3) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜöĊÖćøêĉéêĆĚÜ Firewall đóČęĂĒïŠÜĒ÷Ö Zone ĔĀšöĊÖćøĔßš
DMZ (Demilitarized Zone) ēé÷êšĂÜóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. đÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷ìĊęĔĀšïøĉÖćøñŠćîĂĉîđìĂøŤđîĘêđߊî FTP, Email, Web Ēúą
External DNS Server đðŨîêšî êšĂÜêĉéêĆĚÜĂ÷ĎŠĔî DMZ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 111 / 174
 2. ÖćøđךćëċÜđÙøČĂ׊ć÷Ēïï Dial-In ĀøČĂÖćøđךćëċÜÝćÖøą÷ąĕÖúêšĂÜöĊÖćøóĉÿĎÝîŤêĆüêîìĊę
Firewall ĀøČĂñŠćîïøĉÖćøìĊęĂ÷ĎŠĔî DMZ
3. DNS Servers êšĂÜĕöŠĂîčâćêĔĀšöĊÖćøĒúÖđðúĊę÷îēàî (Zone Transfers) đüšîĒêŠöĊđĀêč
ÝĞćđðŨî
4) ĔîÖøèĊìĊę Öôñ. öĊÖćøĔßšÜćî IDS (Intrusion Detection System) ĀøČĂ IPS (Intrusion
Protection System) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜóĉÝćøèćĔĀšöĊÖćøÙüïÙčö
éĆÜêŠĂĕðîĊĚ
1. êšĂÜöĊÖćøîĞćÖúĕÖÖćøêøüÝÝĆïÖćøïčÖøčÖÖĆïđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷ĒúąĂčðÖøèŤ
đÙøČĂ׊ć÷ìĊęöĊÙüćöÿĞćÙĆâÿĎÜ ìĊęìĞćĀîšćìĊęđðŨî Gateway àċęÜđßČęĂöêŠĂøąĀüŠćÜ WAN
Segment
2. ĀćÖöĊÖćøĔßš IDS/IPS Ēïï Network-Based êšĂÜêĉéêĆĚÜ IDS/IPS ĔĀšìĞćÜćîøŠüöÖĆï
Firewall đóČęĂđòŜćøąüĆÜ øąÜĆï Ēúąøć÷ÜćîÖĉÝÖøøöìĊęĕöŠĕéšøĆïĂîčâćê
3. ĀćÖöĊÖćøĔßš IDS/IPS Ēïï Host-Based êšĂÜêĉéêĆĚÜ IDS/IPS ïîđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ
׊ć÷ìĊęöĊÙüćöÿĞ ćÙĆâ đóČęĂĔßšĔ îÖćøđòŜćøąüĆÜĒúąÿĂïìćîÖćøđðúĊę ÷îĒðúÜìĊęĕöŠĕéšøĆï
Ăîčâćê×ĂÜ ĕôúŤ (File) ĒúąĕôúŤøąïï (System File)
4. öĊÖćøĔßš IDS/IPS đóČęĂêøüÝÝĆïÖćøÝøćÝøïîđÙøČĂ׊ć÷ĔîøĎðĒïïÖćøēÝöêĊ Ēúą
óùêĉÖøøöìĊęîŠćÿÜÿĆ÷
5. öĊÖćøêĆĚÜÙŠćĔĀš IDS/IPS ĒÝšÜđêČĂîĕð÷ĆÜñĎšéĎĒúøąïï đöČęĂêøüÝóï ÖćøēÝöêĊ óùêĉÖøøö
ĀøČĂđĀêčÖćøèŤìĊęîŠćÿÜÿĆ÷
5) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÙüïÙčöÖćøđßČę ĂöêŠĂìćÜđÙøČĂ׊ć÷ÿĞćĀøĆïÖćøđךćëċÜ
ĂĉîđìĂøŤđîĘêēé÷óĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ñĎšĔßšÜćî êšĂÜĕöŠĔßšÜćîĂčðÖøèŤ Video Streaming ĂčðÖøèŤ Audio Streaming ĀøČĂ
DownloadĕôúŤìĊęöĊ×îćéĔĀ⊠ĔîÖøèĊìĊęÝĞćđðŨîêšĂÜĕéšøĆïÖćøĂîčâćêÝćÖĀĆüĀîšćÜćî
ÿćøÿîđìý ÖŠĂîđìŠćîĆĚî
2. đöČęĂöĊÖćøĔßšÜćîøąïïÿćøÿîđìý ĀøČĂ ÖćøðäĉïĆêĉÜćîđÖĊę÷üÖĆïíčøÖĉÝ×ĂÜ Öôñ. ñĎšĔßšÜćî
êšĂÜĕöŠöĊđÝêîćðŗéïĆÜĀøČĂïĉéđïČĂîêĆüêî
3. ïøĉÖćøĂĉîđìĂøŤđîĘêöĊđÝêîćđóČęĂĔßšĔîÖćøéĞćđîĉîÜćîìćÜíčøÖĉÝ×ĂÜ Öôñ. đìŠćîĆĚî òść÷
ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÝĞćÖĆéÖćøĔßšÜćîĂĉîđìĂøŤđîĘêđóČęĂđøČęĂÜÿŠüîêĆüĀøČĂìĊę
ĕöŠĔߊÖćøéĞćđîĉîÜćîìćÜíčøÖĉÝ×ĂÜ Öôñ. ĔĀšîšĂ÷ìĊęÿčéđìŠćìĊęđðŨîĕðĕéš ēé÷ñĎšéĎĒúøąïï
ÿćøÿîđìý đߊî ÖćøøąÜĆïÖćøđךćëċÜ Website ìĊęĕöŠÝĞćđðŨî ÖćøøąÜĆïÖćøđךćëċÜ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 112 / 174

 Website ìĊęöĊđîČĚĂĀćêšĂÜĀšćöêćö óøąøćßïĆââĆêĉüŠćéšü÷ÖćøÖøąìĞćÙüćöñĉéđÖĊę÷üÖĆï
ÙĂöóĉüđêĂøŤ ó.ý. 2550
4. ÖćøđðúĊę÷îĒðúÜÙŠćêĉéêĆĚÜ Security Option Ĕî Web Browser ×ĂÜñĎšĔßšÜćîêšĂÜ
ÿĂéÙúšĂÜÖĆïöćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
5. đÙøČęĂÜÙĂöóĉüđêĂøŤìĊęĔßšđךćëċÜĂĉîđìĂøŤđîĘêêšĂÜêĉéêĆĚÜēðøĒÖøöðŜĂÜÖĆîĕüøĆÿ óøšĂöìĆĚÜêšĂÜ
öĊÖćøðøĆïðøčÜ Virus Signature ĔĀšöĊÙüćöìĆîÿöĆ÷Ă÷ĎŠđÿöĂ
6. ÿćøÿîđìýĒúąàĂôêŤĒüøŤ (Software) ìĊęĕéšøĆïìćÜĂĉîđìĂøŤđîĘêêšĂÜëĎÖÿĒÖîđóČęĂÙšîĀć
ēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊÖŠĂîîĞćöćĔßšÜćî
7. ñĎšĔßšÜćî êšĂÜëĎÖÝĞćÖĆéĔĀšĔßšēðøēêÙĂú×ĂÜ HTTP Ēúą HTTPS đìŠćîĆĚî îĂÖÝćÖĕéšøĆï
ÖćøĂîčâćêÝćÖòść÷ðäĉïĆêĉÖćøđìÙēîēú÷ĊÿćøÿîđìýĔĀšĔßšĂ÷ŠćÜĂČęî
8. ñĎšĔßšÜćî êšĂÜĀúĊÖđúĊę÷ÜÖćøÖøąìĞćìĊęÿĉĚîđðúČĂÜìøĆó÷ćÖø×ĂÜđÙøČĂ׊ć÷ éĆÜêŠĂĕðîĊĚ
y ÿŠÜÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤìĊęöĊ×îćéĔĀâŠĀøČĂÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤúĎÖēàŠ
y ĔßšđüúćĔîÖćøđךćëċÜĂĉîđìĂøŤđîĘêđÖĉîÙüćöÝĞćđðŨî
y đúŠîđÖö Online
y đךćĀšĂÜóĎéÙč÷ Online
y Upload ĀøČĂ Download ĕôúŤ (File) ìĊęöĊ×îćéđÖĉî 3 MB
y đךćëċÜĕôúŤðøąđõì üĊéĊìĆýîŤ đÿĊ÷Ü ìĊęöĊ×îćéđÖĉî 3 MB
9. ñĎšĔßšÜćî êšĂÜÙĞćîċÜüŠćךĂöĎúÝćÖĂĉîđìĂøŤđîĘêĂćÝĕöŠöĊÙüćöìĆîÿöĆ÷ĀøČĂĕöŠöĊ Ùüćö
ëĎÖêšĂÜ ñĎšĔßšÜćî êšĂÜêøüÝÿĂïÙüćöëĎÖêšĂÜ×ĂÜךĂöĎúÝćÖĒĀúŠÜìĊęîŠćđßČęĂëČĂÖŠĂîìĊęÝą
đñ÷ĒóøŠ×šĂöĎúéĆÜÖúŠćü
10.ñĎšĔßšÜćî êšĂÜĕöŠĔßšÜćîĂĉîđìĂøŤđîĘêđóČęĂđðŨîÖćøÖŠĂÖüî ìĞćĔĀšđÖĉéÙüćöĒêÖĒ÷Ö ĀøČĂìĞć
ĔĀšõćóúĆÖþèŤ×ĂÜ Öôñ. đÿČęĂöđÿĊ÷
11.ñĎšĔßšÜćî êšĂÜĕöŠïĆîìċÖøĀĆÿñŠćîĔî Web Browser (Remember Password) đóČęĂðŜĂÜÖĆî
ïčÙÙúĂČęîìĊęÿćöćøëđךćëċÜÙĂöóĉüđêĂøŤ×ĂÜñĎš Ĕßš ÜćîîĞćøĀĆÿ ñŠćîéĆ ÜÖúŠćüĕðĔßšÜćîĔî
ĂĉîđìĂøŤđîĘêēé÷ĕöŠĕéšøĆïĂîčâćê
12.ÿĞćĀøĆïàĂôêŤĒüøŤ (Software) ìĊęÿŠÜñúÖøąìïêŠĂÖćøéĞćđîĉîÖćø ×ĂÜ Öôñ. ñĎšĔßšÜćî êšĂÜ
ĕöŠ Download Ēóìߍ (Patch) ×ĂÜàĂôêŤĒüøŤ (Software) ĀøČĂÖćøðøĆïðøčÜđüĂøŤßĆî
×ĂÜàĂôêŤĒüøŤ (Software) ÝćÖ website ×ĂÜñĎš×ć÷àĂôêŤĒüøŤ (Software) đóČęĂĔĀš
öĆęîĔÝüŠćàĂôêŤĒüøŤ (Software) éĆÜÖúŠćüöĊđüĂøŤßĆîĒúąöĊÖćøÖĞćĀîéÙŠćêćööćêøåćî×ĂÜ
Öôñ.

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 113 / 174

 13.ñĎšĔßšÜćî êšĂÜĕöŠ Download đĂÖÿćø ĀøČĂÿćøÿîđìýêŠćÜė đߊî ךĂöĎú øĎðõćó üĊéĊēĂ
đÿĊ÷Ü ĒúąàĂôêŤĒüøŤ (Software) ìĊęúąđöĉéúĉ×ÿĉìíĉĝ ĀøČĂñĉéÖãĀöć÷
14.ñĎšĔßšÜćî êšĂÜĕöŠêĉéêĆĚÜàĂôêŤĒüøŤ (Software) ìĊę Download ÝćÖĂĉîđìĂøŤđîĘêîĂÖÝćÖ
ĕéšøĆïÖćøĂîčâćêÝćÖĀĆüĀîšćÜćîÿćøÿîđìý ēé÷ÖćøêĉéêĆĚÜêšĂÜÖøąìĞćēé÷ñĎšìĊęĕéšøĆï
öĂïĀöć÷ÝćÖĀĆüĀîšćÜćîÿćøÿîđìýđìŠćîĆĚî
15.òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜðŜĂÜÖĆîĕöŠĔĀšöĊÖćøøĆïÿŠÜךĂöĎúìĊęĕöŠđĀöćąÿö
ÝćÖõć÷îĂÖ Öôñ. êĆüĂ÷ŠćÜđߊî
y Executable đߊî .EXE .COM đðŨîêšî
y ĕôúŤ (File) đÿĊ÷Ü đߊî .AUD .WAV .MP3 Ēúą MP4 đðŨîêšî
y ĕôúŤ (File) üĊéĊìĆýîŤ đߊî .MPG .MPEG .MOV Ēúą.AVI đðŨîêšî
y Peer to Peer đߊî .torrent đðŨîêšî
ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜĕéšøĆïĂîčâćêÝćÖĀĆüĀîšćÜćîĒúąòść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċ
ÿćøÿîđìý
16.ñĎšĔßšÜćî êšĂÜĕöŠêĉéêĆĚÜ Modem đóČęĂđךćëċÜĂĉîđìĂøŤđîĘêĔîÖøèĊìĊęÝĞćđðŨîêšĂÜĕéšøĆï
ÖćøĂîčâćêÝćÖòść÷ðäĉïĆêĉÖćøđìÙēîēú÷ĊÿćøÿîđìýÖŠĂîđìŠćîĆĚî
17.ñĎšĔßšÜćî êšĂÜĕöŠđñ÷ĒóøŠ×šĂöĎúìĊęđÖĊę÷üךĂÜÖĆïúĎÖÙšć×ĂÜ Öôñ. ĀøČĂךĂöĎú×ĂÜ Öôñ. ìĊę
ÿĞćÙĆâñŠćîìćÜĂĉîđìĂøŤđîĘê
18.ñĎšĔßšÜćîêšĂÜ Log-Off Ēúąðŗé Web Browser ĀúĆÜÝćÖÖćøĔßšÜćîìčÖÙøĆĚÜ ēé÷đÞóćą
Ă÷ŠćÜ÷ĉęÜ Web Sites ìĊęêšĂÜĔßšïĆâßĊñĎšĔßšĒúąøĀĆÿñŠćîĔîÖćøóĉÿĎÝîŤêĆüêî
6) òś ć ÷øąïïÿČę Ă ÿćøêš Ă ÜÿĂïìćîÖćøđßČę Ă öêŠ Ă øąïïñŠ ć îìćÜÿć÷ēìøýĆ ó ìŤ Ă ÷Š ć ÜÿöęĞ ć đÿöĂ đóČę Ă
êøüÝÿĂïÖćøđßČęĂöêŠĂĂĉîđìĂøŤđîĘêēé÷Āöć÷đú×ēìøýĆóìŤìĊęĕöŠĕéšøĆïĂîčâćê

7.4.7 ÖćøÙüïÙčöÖćøÖĞćĀîéđÿšîìćÜïîđÙøČĂ׊ć÷ (Network Routing Control)

1) òść÷ðäĉïĆêĉÖćøđìÙēîēú÷Ċÿćøÿîđìý êšĂÜÙüïÙčöÖćøÖĞćĀîéđÿšîìćÜïîđÙøČĂ׊ć÷ đóČęĂĔĀšöĆęîĔÝüŠć
ÖćøđßČęĂöêŠĂđÙøČęĂÜÙĂöóĉüđêĂøŤĒúąÖćøĕĀúđüĊ÷î×ĂÜÿćøÿîđìýïîđÙøČĂ׊ć÷ĕöŠđðŨîÖćøòśćòŚî
îē÷ïć÷ÖćøÙüïÙčöÖćøđךćëċÜĒĂóóúĉđÙßĆî (Application) ìćÜíčøÖĉÝ ēé÷êšĂÜöĊÖúĕÖĔî
ÖćøêøüÝÿĂïìĊęĂ÷ĎŠðúć÷ìćÜĒúąêšîìćÜ×ĂÜÖćøđßČęĂöêŠĂ đߊî ÖćøÙüïÙčöēé÷ Firewall ĀøČĂ
Proxy đðŨîêšî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 114 / 174

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-29 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšïøĉÖćøđÙøČĂ׊ć÷ (Network Services Request
Procedure)

7.5 ÖćøÙüïÙčöÖćøđךćëċÜøąïïðäĉïĆêĉÖćø (Operating System Access Control)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøđךćëċÜøąïïĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷ ÖćøÙüïÙčöÖćøøąïčĒúąóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćîøąïï
ÿćøÿîđìý ÖćøÙüïÙčöøąïïïøĉĀćøÝĆéÖćøøĀĆÿñŠćî ÖćøÙüïÙčöÖćøĔßšÜćîēðøĒÖøöðøąđõì÷ĎìĉúĉêĊĚ (System
Utilities) ÖćøÙüïÙčöÖćøĀöéđüúć ÖćøĔßšÜćîøąïïÿćøÿîđìý ĒúąÙüïÙčöÖćøÝĞćÖĆéøą÷ąđüúćÖćøđßČęĂöêŠĂ
øąïïÿćøÿîđìý
öćêøåćî
7.5.1 ×ĆĚîêĂîðäĉïĆêĉĔîÖćøđךćëċÜøąïïĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷ (Secure Log-on Procedures)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöĔîÖćøđךćëċÜøąïïðäĉïĆêĉÖćøĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷
ēé÷×ĆĚîêĂîÖćøđךćÿĎŠøąïï êšĂÜöĊÖćøđðŗéđñ÷ךĂöĎúđÖĊę÷üÖĆïøąïïĔĀšîšĂ÷ìĊęÿčé đóČęĂÖćøĀúĊÖđúĊę÷Ü
ñĎšĔßšÜćîìĊęĕöŠĕéšøĆïĂîčâćê àċęÜ×ĆĚîêĂîÖćø Log-on øąïï êšĂÜóĉÝćøèćĔîđøČęĂÜêŠĂéĆÜîĊĚ
1. øąïïêšĂÜĕöŠĒÿéÜךĂöĎú×ĂÜøąïïĀøČĂĒĂóóúĉđÙßĆî (Application) ìĊęĔßšÜćîĂ÷ĎŠĔî
øąïï ĀćÖÖøąïüîÖćøđךćÿĎŠøąïïĕöŠÿĞćđøĘÝ
2. øąïïêšĂÜöĊךĂÙüćöĒÿéÜđêČĂîñĎšĔßšÜćîÖŠĂîÖćøđךćëċÜøąïïÿćøÿîđìýĔĀšìøćïüŠćÖćø
đךćëċÜøąïïéĆÜÖúŠćüêšĂÜĕéšøĆïĂîčöĆêĉđìŠćîĆĚî ìĆĚÜîĊĚđóČęĂðŜĂÜÖĆîÖćøđךćëċÜēé÷ĕöŠĕéšđÝêîć
ēé÷ךĂÙüćöđêČĂîêšĂÜéĆÜÖúŠćüÿćöćøëîĞćĕðĔßšĔîÖćøôŜĂÜøšĂÜìćÜÖãĀöć÷éĆÜêŠĂĕðîĊĚ
“øąïïîĊĚđðŨîøąïïìĊęđðŨîìøĆó÷Ťÿĉî×ĂÜ Öôñ. ÖćøĔßšÜćîêšĂÜĕéšøĆïÖćøĂîčöĆêĉÖŠĂîđìŠćîĆĚî
ÝċÜÝąÿćöćøëĔßšÜćîĕéš ñĎšìĊęĕöŠĕéšøĆïÿĉìíĉĒúąđךćöćĔßšøąïïÜćî ĀćÖöĊÖćøêøüÝóïĂćÝöĊ
ÖćøúÜēìþìćÜüĉîĆ÷ ĀøČĂéĞćđîĉîÖćøìćÜÖãĀöć÷êćöÙüćöđĀöćąÿö îĂÖÝćÖîĆĚî Öôñ.
öĊÿĉìíĉĔîÖćøêøüÝÿĂïóùêĉÖøøöÖćøĔßšÜćîĔîøąĀüŠćÜìĊęñĎšĔßšÜćîĔßšøąïïÜćîîĊ”Ě
“This system is an asset of EGAT and to be used by authorized Users by
continuing to use the system. The Users represent that he/she is an
authorized User of this system and constitutes consent to monitoring.”
3. ĀćÖÖøąïüîÖćøđךćÿĎŠøąïïĕöŠÿĞćđøĘÝ øąïïêšĂÜĕöŠĒÿéÜךĂöĎúìĊęÿćöćøëøąïčêĆüêî×ĂÜ
øąïï đߊî đÙøČĂ׊ć÷ìĊęĔßšÜćî ÿëćîìĊęêĆĚÜ×ĂÜøąïï ĀøČĂßČęĂđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷
đðŨîêšî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 115 / 174

 4. øąïïêšĂÜĕöŠĒÿéÜךĂÙüćöìĊęßĊĚđÞóćąđĀêč×ĂÜÖćøđךćÿĎŠøąïïĕöŠÿĞćđøĘÝ đߊîĕöŠÙüøĒÿéÜ
ךĂÙüćöüŠć ïĆâßĊñĎšĔßšÜćîñĉé ĀøČĂ øĀĆÿñŠćîñĉé đðŨîêšî
5. ĀšćöđךćÿĎŠøąïïÝćÖïĆâßĊñĎšĔßšÜćîÿŠüîïčÙÙúđéĊ÷üÖĆî öćÖÖüŠćĀîċęÜ Session Ĕîøąïï
đéĊ÷üÖĆî
6. øąïïêšĂÜÝĞćÖĆéÝĞćîüîÙøĆĚÜĔîÖćøó÷ć÷ćöđךćÿĎŠøąïïìĊę ĕöŠÿĞćđøĘÝ ĒúąêšĂÜóĉÝćøèć
đÜČęĂîĕ×êŠĂĕðîĊĚ
y ÖćøđÖĘïïĆîìċÖñúÖćøđךćÿĎŠøąïïìĆĚÜìĊęÿĞćđøĘÝĒúąĕöŠÿĞćđøĘÝ
y ÝĞćÖĆéߊüÜđüúćĔîÖćøó÷ć÷ćöđךćÿĎŠøąïïĂ÷ŠćÜđĀöćąÿö
y ÖćøêĆéÖćøđßČęĂöêŠĂ
y ÖćøÿŠÜךĂÙüćöđêČĂîìĊęĀîšćÝĂ×ĂÜñĎšéĎĒú×ĂÜøąïïđöČęĂöĊÖćøđךćøąïïđÖĉîêćö
ÝĞćîüîÙøĆĚÜìĊęÝĞćÖĆéĕüš
7. øąïïêšĂÜĒÿéÜüĆî đüúć ĔîÖćøđךćÿĎŠøąïïìĊęÿĞćđøĘÝĔîÙøĆĚÜÖŠĂî óøšĂöìĆĚÜĒÿéÜÝĞćîüî
ÙøĆĚÜìĊęó÷ć÷ćöđךćøąïïĕöŠÿĞćđøĘÝîĆïêĆĚÜĒêŠÖćøđךćÿĎŠøąïïìĊęÿĞćđøĘÝĔîÙøĆĚÜÖŠĂîêŠĂñĎšĔßšÜćî
8. øąïïêšĂÜĕöŠÿŠÜøĀĆÿñŠćîĒïï Clear Text ñŠćîøąïïđÙøČĂ׊ć÷

7.5.2 ÖćøøąïčĒúąóĉÿĎÝîŤêĆüêî×ĂÜñĎšĔßšÜćî (User Identification and Authentication)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšñĎšĔßšÜćîöĊïĆâßĊñĎšĔßšÜćîĒêŠúąïčÙÙúđóČęĂĔßšĔîÖćøóĉÿĎÝîŤêĆüêîĔî
ÖćøđךćëċÜøąïïÿćøÿîđìý
2) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜöĊÖćøïĆâßĊñĎšĔßšÜćîøŠüöÖĆî (Shared User ID) êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖ
ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìý ĀĆ ü Āîš ć ÜćîÿćøÿîđìýĒúąñĎš ïĆ Ü ÙĆ ï ïĆ â ßć îĂÖÝćÖîĊĚ ĀĆ ü Āîš ć Üćî
ÿćøÿîđìýĒúąñĎšïĆÜÙĆïïĆâßć êšĂÜóĉÝćøèćÖćøÙüïÙčöĂČęîė đߊî êšĂÜÖĞćĀîéñĎšøĆïñĉéßĂï Öćø
éĞćđîĉîÖćøĔéėĂĆîđÖĉéÝćÖÖćøĔßšÜćîïĆâßĊñĎšĔßšÜćîîĆĚî ĒúąêšĂÜöĊÖćøêøüÝÿĂïÖćøĔßšÜćî×ĂÜïĆâßĊ
ñĎšĔßšÜćîéĆÜÖúŠćüĂ÷ŠćÜÿöęĞćđÿöĂ đðŨîêšî
3) đóČę Ă đóĉę ö ðøąÿĉ ì íĉ õ ćóĔîÖćøóĉ ÿĎ Ý îŤ êĆ ü êîĔîøąïïÿćøÿîđìýìĊę öĊ Ù üćöÿĞ ć ÙĆ â ÿĎ Ü ĀĆ ü Āîš ć Üćî
ÿćøÿîđìý êšĂÜóĉÝćøèćÖćøÙüïÙčöĂČęîė đߊî üĉíĊÖćøđךćøĀĆÿĒúąëĂéøĀĆÿךĂöĎú Smart Card
Token ĀøČĂßĊüõćóÿŠüîïčÙÙú đðŨîêšî

7.5.3 øąïïïøĉĀćøÝĆéÖćøøĀĆÿñŠćî (Password Management System)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöøĀĆÿñŠćî éĆÜêŠĂĕðîĊĚ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 116 / 174

 1. ïĆÜÙĆïĔĀšöĊÖćøđðúĊę÷îĒðúÜøĀĆÿñŠćîßĆęüÙøćü (Temporary Password) ĔîÙøĆĚÜĒøÖ×ĂÜ
ÖćøđךćÿĎŠøąïï ĂĊÖìĆĚÜÝĆéĔĀšñĎšĔßšÜćîÿćöćøëđúČĂÖĒúąđðúĊę÷îĒðúÜøĀĆÿñŠćî×ĂÜêîđĂÜ
óøšĂöìĆĚÜöĊ×ĆĚîêĂîĔîÖćø÷Čî÷ĆîøĀĆÿñŠćî
2. ĀšćöñĎšĔßš ÖĞćĀîéøĀĆÿñŠćîĒïïĕöŠÖĞćĀîéÙŠć (Blank Password)
3. ĀšćöñĎšĔßš êĆĚÜøĀĆÿñŠćîđĀöČĂîÖĆïßČęĂñĎšĔßšÜćî
4. ĀšćöñĎšĔßš đðúĊę÷îĒðúÜøĀĆÿñŠćîöćÖÖüŠć 1 ÙøĆĚÜõć÷Ĕî 24 ßö.
5. ĀšćöñĎšĔßš ÖĞćĀîéøĀĆÿñŠćîĔĀöŠìĊęđĀöČĂîÖĆïøĀĆÿñŠćîđéĉö Ă÷ŠćÜîšĂ÷ 5 ÙøĆĚÜÖŠĂîĀîšć
6. øĀĆÿñŠćîÿĞćĀøĆïñĎšĔßšÜćîìĆęüĕð êšĂÜöĊÖćøïĆÜÙĆïĔĀšöĊÖćøđðúĊę÷îĒðúÜøĀĆÿñŠćîìčÖ 60 -
90 üĆî
7. øĀĆÿñŠćîñĎšĔßšÜćîÿĉìíĉóĉđýþ êšĂÜöĊÖćøïĆÜÙĆïĔĀšöĊÖćøđðúĊę÷îĒðúÜøĀĆÿñŠćîìčÖ 30 - 45
üĆî
8. øĀĆÿñŠćîêšĂÜöĊÙüćö÷ćüĂ÷ŠćÜîšĂ÷ 8 ĀúĆÖ àċęÜðøąÖĂïéšü÷ êĆüĂĆÖþø êĆüđú× ĒúąĂĆÖ×øą
óĉđýþ ĀøČĂÿĆâúĆÖþèŤ đߊî (a-Z) (0-9) (@ , # , & , “ , ‘ , *, =, < , > , % , $ , + , ?)
đðŨîêšî
9. øąïïìĊęöĊÙüćöđÿĊę÷ÜÿĎÜ ĀøČĂđðŨîøąïïÿćøÿîđìýìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ “ÿĎÜÿčé”
Ēúą “ÿĎÜ” êšĂÜöĊÖćøóĉÿĎÝîŤêĆüêîēé÷ÖćøĔßšüĉíĊÖćøóĉÿĎÝîŤêĆüêîĒïï 2 Factors
10. øąÜĆïÖćøĔßšÜćîïĆâßĊñĎšĔßš ĔîÖøèĊìĊęöĊÖćøðŜĂîøĀĆÿñŠćîñĉéêĆĚÜĒêŠ 3 ÙøĆĚÜ×ċĚîĕð
11. øąïïêšĂÜĕöŠĒÿéÜøĀĆÿñŠćîĒúąÝĞćîüîĂĆÖ×øąøĀĆÿñŠćîìĊęñĎšĔßšÜćîóĉöóŤĔî×èąđךćÿĎŠøąïï
ēé÷ĂćÝöĊÖćøĒÿéÜÿĆâúĆÖþèŤĒìîøĀĆÿñŠćîÝøĉÜĔî×èąìĊęñĎšĔßšÜćîóĉöóŤ
12. êšĂÜöĊøĎðĒïïìĊęðŜĂÜÖĆîĔîÖćøÝĆéđÖĘïĒúąÿŠÜøĀĆÿñŠćî đߊî ÖćøđךćøĀĆÿ ĀøČĂ Hashing
đðŨîêšî
ìĆĚÜîĊĚÖćøÙüïÙčöøĀĆÿñŠćîÝą×ċĚîĂ÷ĎŠÖĆïÙüćöÿćöćøë×ĂÜøąïïÜćîÿćøÿîđìýĒêŠúąøąïï
2) øąïïðäĉïĆêĉÖćø åćîךĂöĎú ĒúąĒĂóóúĉđÙßĆî (Application) ìĊęđÖĘïïĆâßĊñĎšĔßšÜćîĒúąøĀĆÿñŠćî
êšĂÜöĊÖćøÙüïÙčöĂ÷ŠćÜđךöÜüé đóČęĂĔĀšđךćëċÜĕéšēé÷ñĎšéĎĒúøąïïìĊęĕéšøĆïĂîčâćêđìŠćîĆĚî

7.5.4 ÖćøĔßšÜćîēðøĒÖøöðøąđõì÷ĎìĉúĉêĊĚ (Use of System Utilities)

1) ĀĆ üĀîš ć Üćîÿćøÿîđìý êš Ă ÜÙüïÙčö ÖćøĔßšÜ ćîēðøĒÖøöðøąđõì÷Ď ìĊúĉ êĊĚï îøąïïìĊę Ĕ ßš Ü ćîÝøĉ Ü
(Production System) éĆÜêŠĂĕðîĊĚ
1. ÖĞćĀîéÙüćöøĆïñĉéßĂïĔîÖćøĔßšēðøĒÖøöðøąđõì÷ĎìĉúĉêĊĚ (System Utilities) Ă÷ŠćÜ
ßĆéđÝîĒúąÿČęĂÿćøĔĀšñĎšđÖĊę÷üךĂÜìøćïđóČęĂëČĂðäĉïĆêĉ
2. êšĂÜöĊÖćøóĉÿĎÝîŤêĆüêî ĒúąÖĞćĀîéÿĉìíĉ ĔîÖćøĔßšÜćîēðøĒÖøöðøąđõì÷ĎìĊúĉêĊĚ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 117 / 174

 3. ÝĞćÖĆéÖćøđךćëċÜēðøĒÖøöðøąđõì÷ĎìĉúĉêĊĚ (System Utilities) ĔĀšđÞóćąÖúčŠöÙîìĊęöĊĀîšćìĊę
øĆïñĉéßĂï
4. öĊÖćøïĆîìċÖđĀêčÖćøèŤ (Log) ÖćøĔßšÜćîēðøĒÖøöðøąđõì÷ĎìĊúĉêĊĚ ĒúąêšĂÜöĊÖćøÿĂï
ìćîÝćÖñĎšêøüÝÿĂïĂĉÿøąĒúąĀĆüĀîšćÜćîÿćøÿîđìýĂ÷ŠćÜÿöęĞćđÿöĂ
5. êšĂÜìĞćÖćøđóĉÖëĂîĀøČĂøąÜĆïēðøĒÖøöðøąđõì÷ĎìĊúĉêĊĚìĊęĕöŠÝĞćđðŨî

7.5.5 ÖćøĀöéđüúćÖćøĔßšÜćîøąïïÿćøÿîđìý (Session Time-Out)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîé Session Time-Out ×ĂÜøąïïÿćøÿîđìýìĊęĕöŠöĊÖćøĔßšÜćî
õć÷Ĕîøą÷ąđüúćìĊęÖĞćĀîé đߊî ÖćøêĆéÖćøđßČęĂöêŠĂÖĆïĒĂóóúĉđÙßĆî (Application) ĀøČĂđÙøČĂ׊ć÷
ĀćÖĕöŠ öĊ Ö ćøĔßš Ü ćîđðŨ î đüúć 10 îćìĊ ē é÷ĂĆ ê ēîöĆ êĉ đðŨ î êš î ìĆĚ Ü îĊĚ ëš ć øąïïìĊę ĕ öŠ ÿ ćöćøëêĆ é
ÖćøđßČęĂöêŠĂĒïïĂĆêēîöĆêĉĕéš êšĂÜÖĞćĀîéĔĀšĔßšēðøĒÖøöóĆÖĀîšćÝĂìĊęêšĂÜĔÿŠøĀĆÿñŠćî ĀøČĂÖĞćĀîéĔĀš
öĊÖćøúĘĂÙĀîšćÝĂ
2) ĀĆü Āîšć ÜćîÿćøÿîđìýĒúąñĎšð äĉ ïĆ êĉÜ ćî êš Ă ÜêĆĚ Ü ÙŠć ĔĀšöĊ ē ðøĒÖøöóĆ Ö Āîš ć ÝĂìĊę êšĂ ÜĔÿŠ ø ĀĆ ÿ ñŠ ć î
ÿĞćĀøĆïđÙøČęĂÜÙĂöóĉüđêĂøŤÿŠüîïčÙÙú ĀøČĂđÙøČęĂÜÙĂöóĉüđêĂøŤĒïïóÖóć ĒúąđÙøČęĂÜÙĂöóĉüđêĂøŤ
ĒöŠ×Šć÷ ìĆĚÜîĊĚēðøĒÖøöóĆÖĀîšćÝĂ êšĂÜÖĞćĀîéĔĀšðŜĂîøĀĆÿñŠćîĀúĆÜÝćÖìĊęöĊÖćøìĉĚÜđÙøČęĂÜéĆÜÖúŠćüĕüš
ēé÷ĕöŠöĊÖćøĔßšÜćîđðŨîđüúć 10 îćìĊ

7.5.6 ÖćøÝĞćÖĆéøą÷ąđüúćÖćøđßČęĂöêŠĂøąïïÿćøÿîđìý (Limitation of Connection Time)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĞćÖĆéøą÷ąđüúćĔîÖćøđßČęĂöêŠĂøąïïÿćøÿîđìýìĊęöĊÙüćöÿĞćÙĆâÿĎÜ ēé÷
êšĂÜÙĞćëċÜøą÷ąđüúćìĊęÝĞćđðŨîĔîÖøąïüîÖćøéĞćđîĉîÜćîìćÜíčøÖĉÝ đߊî ÖĞćĀîéĔĀšđךćĔßšÜćîĕéšĔî
ߊüÜđüúćìĞćÖćø×ĂÜ Öôñ. đðŨîêšî
2) ĀćÖöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćîîĂÖđüúćìĊęÖĞćĀîé êšĂÜ×ĂĂîčöĆêĉÝćÖĀĆüĀîšćÜćîĒúąĀĆüĀîšćÜćî
ÿćøÿîđìý đìŠćîĆĚî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-30 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšēðøĒÖøö÷ĎìĉúĉêĊĚ (Use of System Utilities
Procedure)

7.6 ÖćøÙüïÙčöÖćøđךćëċÜēðøĒÖøöðøą÷čÖêŤĒúąÿćøÿîđìý (Application and

Information Access Control)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 118 / 174

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÝĞćÖĆéÖćøđךćëċÜÿćøÿîđìý ĒúąÖćøĒ÷ÖøąïïÿćøÿîđìýìĊęöĊÙüćöÿĞćÙĆâÿĎÜĕüšĔîïøĉđüèìĊęÙüïÙčö
đÞóćą

öćêøåćî
7.6.1ÖćøÝĞćÖĆéÖćøđךćëċÜÿćøÿîđìý (Information Access Restriction)
1) ñĎšĔßšÜćî êšĂÜĕéšøĆïÿĉìíĉÖćøđךćëċÜđìŠćìĊęÝĞćđðŨîêŠĂÖćøðäĉïĆêĉÜćî ēé÷ÖćøĔĀšÿĉìíĉêšĂÜóĉÝćøèćĔîđøČęĂÜ
éĆÜêŠĂĕðîĊĚ
1. ÙüćööĆęîÙÜðúĂéõĆ÷ìćÜêøøÖą (Logical Security) õć÷ĔîĒĂóóúĉđÙßĆî
(Application)
2. ÖćøÝĞćÖĆéĕöŠĔĀšĔßšêĆüđúČĂÖ (Options) ìĊęĕöŠĕéšøĆïĂîčâćê
3. ÖćøÝĞćÖĆéÖćøđךćëċÜ Command Line
4. ÖćøÝĞćÖĆéÖćøđךćëċÜךĂöĎúĒúąôŦÜÖŤßĆęîÖćøĔßšÜćî×ĂÜĒĂóóúĉđÙßĆî (Application) ìĊęĕöŠ
đÖĊę÷üךĂÜÖĆïĀîšćìĊę ÙüćöøĆïñĉéßĂï
5. ÖćøÝĞćÖĆéøąéĆïÿĉìíĉĔîÖćøđךćëċÜĕôúŤ đߊî ĂŠćîĂ÷ŠćÜđéĊ÷ü đðŨîêšî
6. ÖćøÙüïÙčöÖćøĒÝÖÝŠć÷ĀøČĂđךćëċÜךĂöĎúîĞćĂĂÖ ×ĂÜøąïïÿćøÿîđìý đߊî øć÷Üćî
đðŨîêšî
2) ĔîÖøèĊìĊęđðŨîĕðĕéš øąïïÜćîÙüøøĂÜøĆïÖćøÖĞćĀîéÿĉìíĉĔîÖćøđךćëċÜĒïïÖúčŠöĕéš

7.6.2ÖćøĒ÷ÖøąïïÿćøÿîđìýìĊęöĊÙüćöÿĞćÙĆâÿĎÜ (Sensitive System Isolation)

1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøĒïŠÜĒ÷Öøąïïÿćøÿîđìý ēé÷
óĉÝćøèćÝćÖúĞćéĆïßĆĚî×ĂÜÿćøÿîđìýìĊęĕéšöĊÖćøÖĞćĀîéĕüš ēé÷øąïïÿćøÿîđìýìĊęöĊÙüćöÿĞćÙĆâÿĎÜ
êšĂÜöĊÖćøĒïŠÜĒ÷Ö ìĆĚÜìćÜÖć÷õćóĒúąìćÜêøøÖą Ă÷ŠćÜĕøÖĘêćöĔîÖøèĊìĊęøąïïÿćøÿîđìýìĊęöĊ
ÙüćöÿĞćÙĆâÿĎÜöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćîøŠüöÖĆïøąïïÿćøÿîđìýĂČęîìĊęöĊÙüćöÿĞćÙĆâîšĂ÷ÖüŠć êšĂÜ
ĕéšøĆïÖćøĂîčâćêÝćÖ ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýìĊęöĊÙüćöÿĞćÙĆâÿĎÜÖüŠć

7.7 ÖćøÙüïÙčöĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćĒúąÖćøðäĉïĆêĉÜćîÝćÖõć÷îĂÖĂÜÙŤÖø
(Mobile Computing and Teleworking)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöðŜĂÜÖĆîĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćĒúąÖćøÙüïÙčöÖćøðäĉïĆêĉÜćîÝćÖõć÷îĂÖ Öôñ.

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 119 / 174

öćêøåćî
7.7.1ÖćøðŜĂÜÖĆîĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóć (Mobile Computing and Communications)
1) ÖćøĔßš Ü ćîĂč ð ÖøèŤ ð øąđõìóÖóćĔîìĊę ÿ ćíćøèą Āš Ă Üðøąßč ö ĒúąóČĚ î ìĊę õ ć÷îĂÖĂČę î ėìĊę ĕ öŠ öĊ
ÖćøðŜĂÜÖĆî ĀøČĂĕöŠĕéšĂ÷ĎŠĔîïøĉđüè×ĂÜ Öôñ. ñĎšĔßšÜćî êšĂÜðŜĂÜÖĆîÖćøđךćëċÜìĊęĕöŠĕéšøĆïĂîčâćê đߊî
ÖćøĕöŠđðŗé ÖćøđßČęĂöêŠĂĒïïĕøšÿć÷ēé÷ĕöŠöĊÖćøđךćøĀĆÿךĂöĎú đðŨîêšî
2) ñĎšĔ ßšÜ ćîĂč ð ÖøèŤ ðøąđõìóÖóć ßîĉ éìĊę øĂÜøĆ ï Öćøêĉ éêĆĚ Ü ēðøĒÖøöðŜ Ă ÜÖĆî ĕüøĆÿ ĕéš êšĂ ÜÝĆ éĔĀš öĊ
ēðøĒÖøöðŜĂÜÖĆîĕüøĆÿ ĒúąêšĂÜðøĆïðøčÜĔĀšēðøĒÖøöéĆÜÖúŠćüìĆîÿöĆ÷Ă÷ĎŠđÿöĂ
3) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøðŜĂÜÖĆîÖćøĔßšĂčðÖøèŤÿČęĂÿćøðøąđõìóÖóćĔî Öćø
đßČę Ă öêŠ Ă đÙøČ Ă ×Š ć ÷ ēé÷ÖćøĔßš Ăč ð ÖøèŤ ð øąöüúñúðøąđõìóÖóćđóČę Ă đßČę Ă öêŠ Ă ×š ć öđÙøČ Ă ×Š ć ÷
ÿćíćøèą đߊî ÖćøđךćëċÜøą÷ąĕÖú (Remote Access) đðŨîêšî êšĂÜĔßšÜćîĕéšĀúĆÜÝćÖìĊęñŠćî
ÖćøóĉÿĎÝîŤêĆüêî (Authentication) ĒúšüđìŠćîĆĚî
4) ÖćøéĎĒúĂčðÖøèŤðøąöüúñúðøąđõìóÖóć êšĂÜöĊÖćøðŜĂÜÖĆîĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. öĊÖćøÖĞćĀîéĒúąöĂïĀöć÷ÙüćöøĆïñĉéßĂïĔîÖćøéĎĒúĂčðÖøèŤðøąöüúñúðøąđõì
óÖóć
2. ñĎšĔßšÜćî êšĂÜîĞćĂčðÖøèŤðøąöüúñúðøąđõìóÖóćêĉéêĆüĕðéšü÷đÿöĂ đߊî ĕöŠúąìĉĚÜ
ĂčðÖøèŤðøąöüúñúðøąđõìóÖóćĔîøë÷îêŤ ĀšĂÜóĆÖĔîēøÜĒøö ĀøČĂĀšĂÜðøąßčö đðŨîêšî
ĔîÖøèĊ ìĊę öĊ Ù üćöÝĞ ć đðŨ î êš Ă ÜìĉĚ Ü ĕüš Ĕ îøë÷îêŤ êš Ă ÜđÖĘ ï ĕüš Ĕ îìš ć ÷øë ĀøČ Ă úĘ Ă ÙĂč ð ÖøèŤ
ðøąöüúñúðøąđõìóÖóćĕüšĔîÿëćîìĊęöĆęîÙÜðúĂéõĆ÷
3. ñĎš Ĕ ßš Ü ćî êš Ă ÜÝĆ é đÖĘ ï Ăč ð ÖøèŤ ð øąöüúñúðøąđõìóÖóćĔîÖøąđðŞ ć ìĊę ð úĂéõĆ ÷ Ēúą
đĀöćąÿö đóČęĂðŜĂÜÖćøÖøąĒìÖ ÖĆîîĚĞć ĀøČĂÙüćößČĚî đðŨîêšî
4. ñĎšĔßšÜćî êšĂÜÿĞćøĂÜךĂöĎú×ĂÜĂčðÖøèŤðøąöüúñúðøąđõìóÖóćĂ÷ŠćÜÿöęĞćđÿöĂĒúąöĊ
ÖćøđךćøĀĆÿךĂöĎúìĊęÿĞćøĂÜĂ÷ŠćÜđĀöćąÿö
5. Ĕî×èąìĊę Ăč ð ÖøèŤ ð øąöüúñúðøąđõìóÖóćöĊ Ö ćøđßČę Ă öêŠ Ă ÖĆ ï đÙøČ Ă ×Š ć ÷×ĂÜ Öôñ.
ñĎšĔßšÜćî êšĂÜĕöŠĔßšĂčðÖøèŤðøąöüúñúðøąđõìóÖóć đßČęĂöêŠĂĂĉîđìĂøŤđîĘêñŠćî ߊĂÜìćÜ
ĂČęîîĂÖđĀîČĂÝćÖߊĂÜìćÜìĊę Öôñ. ÝĆéĔĀš
5) ĀĆ ü Āîš ć Üćîÿćøÿîđìý êš Ă ÜÖĞ ć ĀîéÖćøĔÿŠ ø ĀĆ ÿ ñŠ ć îÖŠ Ă îđך ć ëċ Ü ×š Ă öĎ ú ĀøČ Ă ĒĂóóúĉ đ ÙßĆ î
(Application) ïîĂčðÖøèŤðøąöüúñúðøąđõìóÖóć ìĊęöĊךĂöĎú×ĂÜ Öôñ. ĂĊÖìĆĚÜêšĂÜÖĞćĀîéĔĀšöĊ
ÖćøúĘĂÙĀîšćÝĂĀćÖĕöŠöĊÖćøĔßšÜćîêćöøą÷ąđüúćìĊęÖĞćĀîé

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 120 / 174

7.7.2ÖćøðäĉïĆêĉÜćîÝćÖõć÷îĂÖÿĞćîĆÖÜćî (Teleworking)
1) ÖćøðäĉïĆêĉÜćîÝćÖõć÷îĂÖÿĞćîĆÖÜćî×ĂÜ Öôñ. êšĂÜĕéšøĆïÖćøĂîčâćêÝćÖñĎšïĆÜÙĆïïĆâßćĂ÷ŠćÜđðŨî
úć÷úĆÖþèŤĂĆÖþø ēé÷ñĎšïĆÜÙĆïïĆâßćêšĂÜóĉÝćøèćđÜČęĂîĕ×ĔîÖćøÝĆéđêøĊ÷öÖćø éĆÜêŠĂĕðîĊĚ
1. ÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖć÷õćóĒúąÿõćóĒüéúšĂö×ĂÜÖćøðäĉïĆêĉÜćîÝćÖõć÷îĂÖ
Öôñ.
2. ÙüćööĆęîÙÜðúĂéõĆ÷ìćÜÖćøÿČęĂÿćø ēé÷÷ċéÝćÖøąéĆïÙüćöÿĞćÙĆâ (Sensitivity) ×ĂÜ
ךĂöĎúìĊę ÝąëĎÖđךćëċÜĒúąÿŠÜñŠćîߊĂÜìćÜÖćøđßČęĂöêŠĂÿČęĂÿćø (Communication Link)
øüöëċÜøąéĆïÙüćöÿĞćÙĆâ (Sensitivity) ×ĂÜøąïïõć÷Ĕî Öôñ.
2) đĂÖÿćøìĊęđðŨîÙüćöúĆï êšĂÜÝĆéđÖĘïĔîïøĉđüèÖćøìĞćÜćîĒúąÝĆéđÖĘïĔîĂčðÖøèŤïøøÝčõĆèæŤìĊęúĘĂÙĕéš
ēé÷ĔßšĀúĆÖđÖèæŤÖćøøĆÖþćÙüćöúĆïđߊîđéĊ÷üÖĆïÿćøÿîđìýìĊęĂ÷ĎŠĔîÿĞćîĆÖÜćî×ĂÜ Öôñ.
3) ñĎšðäĉïĆêĉÜćî êšĂÜöĊÖćøêĉéêĆĚÜēðøĒÖøöðŜĂÜÖĆîĕüøĆÿĒúą Personal Firewall ÿĞćĀøĆïĂčðÖøèŤ
ÿŠüîêĆüìĊęĔßšđßČęĂöêŠĂđÙøČĂ׊ć÷×ĂÜ Öôñ. ÝćÖõć÷îĂÖ
4) ñĎšïĆÜÙĆïïĆâßć×ĂÜñĎšðäĉïĆêĉÜćîêšĂÜðøąÿćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂìĞćÖćøëĂéëĂîÿĉìíĉĔî
ÖćøđךćëċÜ×ĂÜñĎšðäĉïĆêĉÜćîÝćÖõć÷îĂÖÿĞćîĆÖÜćî đöČęĂđÿøĘÝÿĉĚîÖćøðäĉïĆêĉÜćîìĊęĕéšøĆïöĂïĀöć÷

ST-08: öćêøåćîÖćøÝĆéĀć ÖćøóĆçîć ĒúąÖćøïĞćøčÜøĆÖþćøąïïÿćøÿîđìý (Standard of

Information System Acquisition, Development and Maintenance)

üĆêëčðøąÿÜÙŤ
đóČęĂïøĉĀćøÝĆéÖćøÝĆéĀć óĆçîć ĒúąïĞćøčÜøĆÖþćøąïïÿćøÿîđìý×ĂÜ Öôñ. ĒúąÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷
ĔĀšÖĆïÿćøÿîđìýĒúąøąïïÿćøÿîđìýĔĀšöĊðøąÿĉìíĉõćó ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÖćøÝĆéĀć ÖćøóĆçîć Ēúą
ÖćøïĞćøčÜøĆÖþćøąïïÿćøÿîđìý àċęÜðøąÖĂïéšü÷ 6 đøČęĂÜ éĆÜêŠĂĕðîĊĚ
1) ךĂÖĞćĀîééšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïøąïïÿćøÿîđìý (Security Requirements of
Information Systems)
2) ÖćøðøąöüúñúÿćøÿîđìýĔîĒĂóóúĉđÙßĆî (Correct Processing in Applications)
3) öćêøÖćøÖćøđךćøĀĆÿךĂöĎú (Cryptographic Controls)
4) ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ĔĀšÖĆïĕôúŤ×ĂÜøąïïìĊęĔĀšïøĉÖćø (Security of System Files)
5) Öćøÿøš ć ÜÙüćööĆę î ÙÜðúĂéõĆ ÷ ÿĞ ć ĀøĆ ï ÖøąïüîÖćøĔîÖćøóĆ ç îćøąïïĒúąÖøąïüîÖćø
ÿîĆïÿîčî (Security in Development and Support Processes)
6) ÖćøïøĉĀćøÝĆéÖćøߊĂÜēĀüŠĔîăćøŤéĒüøŤ (Hardware) ĒúąàĂôêŤĒüøŤ (Software) (Technical
Vulnerability Management)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 121 / 174
ïìïćìĀîšćìĊę
òść÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂêøüÝÿĂïđÜČęĂîĕ×ìćÜÖãĀöć÷ìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßš
ñúĉêõĆèæŤÖćøđךćøĀĆÿ

ĀĆüĀîšćÜćîÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøøąïčÙčèÿöïĆêĉ (Specification) ìćÜéšćî
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÿĞćĀøĆïøąïïÿćøÿîđìýìĊęöĊÖćøÝĆéàČĚĂĀøČĂöĊÖćøóĆçîć×ċĚî
ƒ ÙüïÙčöéĎĒúÖćøóĆçîćøąïïĔĀšöĊÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýêćöÙčèÿöïĆêĉ (Specification)
ìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂïøĉĀćøÝĆéÖćøÖćøîĞćđךćךĂöĎú
ƒ ÝĆéĔĀšöĊÖćøìĞćïĆâßĊ (Checklist) đóČęĂĔßšĔîÖćøêøüÝÿĂïïĆîìċÖÖćøìéÿĂïĒúąñúÖćøìéÿĂïךĂöĎú
ìĊęĂ÷ĎŠĔîøąĀüŠćÜÖćøðøąöüúñú
ƒ ÝĆéĔĀšöĊÖćøêøüÝÿĂïךĂöĎúîĞćĂĂÖ
ƒ ïøĉĀćøÝĆéÖćøÖćøđךćøĀĆÿךĂöĎú ĒúąÖčâĒÝđךćøĀĆÿ
ƒ ðøąÿćîÜćîÖĆïòść÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý đóČęĂêøüÝÿĂïđÜČęĂîĕ×ìćÜÖãĀöć÷ìĊęđÖĊę÷üךĂÜÖĆï
ÖćøĔßšñúĉêõĆèæŤÖćøđךćøĀĆÿ
ƒ ðøąÿćîÜćîÖĆïñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý đóČęĂÙüïÙčöךĂöĎúÝøĉÜìĊęëĎÖîĞćöćĔßšĔîÖćøìéÿĂï
ƒ ïøĉĀćøÝĆéÖćøøąïïðäĉïĆêĉÖćø àĂôêŤĒüøŤ (Software) àĂôêŤĒüøŤÿĞćđøĘÝøĎð (Software Packages)
àĂøŤÿēÙšé (Source Code) ĒúąđĂÖÿćøøąïï
ƒ ÝĆéĔĀšöĊĒñîÖćøëĂ÷ÖúĆï (Rollback Plan) ìĊęđĀöćąÿöÖŠĂîÝąéĞćđîĉîÖćøđðúĊę÷îĒðúÜĒÖšĕ×øąïï
ÿćøÿîđìý
ƒ ÖĞćĀîéĔĀšöĊÖćøðŜĂÜÖĆîÖćøøĆęüĕĀú×ĂÜÿćøÿîđìý
ƒ ÝĆéĔĀšöĊÖøąïüîÖćøÝĆéÖćøߊĂÜēĀüŠìćÜđìÙîĉÙ

ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂÝĆéĔĀšöĊÖćøøąïčÙčèÿöïĆêĉ (Specification) ìćÜéšćîÙüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÿĞćĀøĆïøąïïÿćøÿîđìýìĊęöĊÖćøÝĆéàČĚĂĀøČĂöĊÖćøóĆçîć×ċĚî
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂïøĉĀćøÝĆéÖćøÖćøîĞćđךćךĂöĎú
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂÙüïÙčöךĂöĎúÝøĉÜìĊęëĎÖîĞćöćĔßšĔîÖćøìéÿĂï

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 122 / 174

 ƒ óĉÝćøèćÖćøđðúĊę÷îĒðúÜøąïïÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂïøĉĀćøÝĆéÖćøøąéĆï×ĂÜÿĉìíĉ (Authorization Levels)
×ĂÜñĎšĔßšÜćî

ñĎšéĎĒúÿćøÿîđìý
ƒ ÙüïÙčöÖćøđÖĘïÖčâĒÝĀúĆÖ (Master Keys) ÖčâĒÝ×ĂÜñĎšéĎĒúøąïï (Administrators’ Keys) Ēúą
ÖčâĒÝÞčÖđÞĉî (Emergency Keys)
ñĎšéĎĒúøąïïÿćøÿîđìý
ƒ ÙüïÙčöÖćøđÖĘïÖčâĒÝĀúĆÖ (Master Keys) ÖčâĒÝ×ĂÜñĎšéĎĒúøąïï (Administrators’ Keys) Ēúą
ÖčâĒÝÞčÖđÞĉî (Emergency Keys)
ƒ ðøąÿćîÜćîÖĆ ï ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĔîÖćøÿĂïìćîàĂôêŤ Ē üøŤ ð äĉ ïĆ êĉ Ö ćø (Operational
Software)
ƒ ÝĆéđÖĘïïĆîìċÖđĀêčÖćøèŤđóČęĂĔßšĔîÖćøêøüÝÿĂï (Audit Log) đöČęĂöĊÖćøđðúĊę÷îĒðúÜ Program
Libraries

ñĎšĔßšÜćî
ƒ ĔßšÖčâĒÝđךćøĀĆÿĂ÷ŠćÜðúĂéõĆ÷

8.1 ךĂÖĞćĀîééšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïøąïïÿćøÿîđìý (Security Requirements

of Information Systems)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøüĉđÙøćąĀŤĒúąÖćøøąïčךĂÖĞćĀîéìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïøąïïÿćøÿîđìýĔĀöŠ ĀøČĂ
ðøĆïðøčÜÝćÖøąïïÿćøÿîđìýđéĉöìĊęöĊĂ÷ĎŠĒúšü
öćêøåćî
8.1.1 ÖćøüĉđÙøćąĀŤĒúąÖćøøąïčÙčèÿöïĆêĉìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ (Security Requirements
Analysis and Specification)
1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøøąïčÙčèÿöïĆêĉ (Specification)
ìćÜéš ćîÙüćööĆęîÙÜðúĂéõĆ÷éš ćîÿćøÿîđìýÿĞćĀøĆ ïøąïïÿćøÿîđìýìĊę öĊÖćøÝĆéàČĚ ĂĀøČĂöĊÖćø
óĆçîć×ċĚî ēé÷ךĂÖĞćĀîééĆÜÖúŠćüêšĂÜÙøĂïÙúčöêĆĚÜĒêŠ×ĆĚîêĂîÖćøĂĂÖĒïïÝîëċÜ×ĆĚîêĂîÖćøîĞć

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 123 / 174

 øąïïĕðêĉéêĆĚÜ ĒúąêšĂÜĕéšøĆïĂîčöĆêĉÝćÖñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýÖŠĂîìĊę
ÝąđøĉęöÖøąïüîÖćøÖćøÝĆéàČĚĂĀøČĂÖćøóĆçîćøąïïÿćøÿîđìý
2) ÙčèÿöïĆêĉ (Specification) ìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýÿĞćĀøĆïøąïïÿćøÿîđìý
Ýą×ċĚîĂ÷ĎŠÖĆïøąéĆïÙüćöÿĞćÙĆâ×ĂÜøąïïÿćøÿîđìý õĆ÷ÙčÖÙćöìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý ĒúąÖćøóĉÝćøèćðŦÝÝĆ÷ÙüćöđÿĊę÷ÜéĆÜêŠĂĕðîĊĚ
1. øąéĆïÙüćöÿĞćÙĆâ (Criticality) øüöĕðëċÜÙüćöëĎÖêšĂÜÙøïëšüîĒúąÙüćöóøšĂöĔßš
×ĂÜÖøąïüîÖćøĔîøąïïÿćøÿîđìý
2. ÙčèÙŠć (Value) øąéĆïÙüćöúĆï (Sensitivity) ĀøČĂøąéĆïÙüćöÿĞćÙĆâ (Criticality)
øüöĕðëċÜÙüćöëĎÖêšĂÜÙøïëšüîĒúąÙüćöóøšĂöĔßš ×ĂÜÿćøÿîđìýìĊęđÖĊę÷üךĂÜ
3. ðøąÿïÖćøèŤĔîĂéĊêđÖĊę÷üÖĆïÖćøĔßšøąïïÿćøÿîđìý ĀøČĂÖćøĔßšøąïïÿćøÿîđìý
ĕðĔîìćÜìĊęĕöŠëĎÖêšĂÜ
4. ×Ăïđ×êÿĞćĀøĆïÖćøđßČęĂöêŠĂøąïïÿćøÿîđìý
5. ñúÖøąìïìĊę Ă ćÝÝąđÖĉ é ×ċĚ î ÖĆ ï øąïïÿćøÿîđìýĂČę î ė Ēúąõćóøüö×ĂÜøąéĆ ï
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
3) ÙčèÿöïĆêĉ (Specification) ìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆ ïøąïïÿćøÿîđìýêšĂÜöĊ
ÙüćöÿĂéÙúšĂÜÖĆïÖãĀöć÷ĒúąøąđïĊ÷ïךĂïĆÜÙĆïìĊęđÖĊę÷üךĂÜ ĂĊÖìĆĚÜêšĂÜóĉÝćøèćĔîđøČęĂÜêŠĂĕðîĊĚ
1. ēÙøÜÿøšćÜøąïïĒúąÖćøđßČęĂöêŠ ĂøąïïđÙøČ Ă׊ ć÷ đߊ î øąïïĒïïÖøąÝć÷ýĎ î ÷Ť
(Distributed System) øąïïĒïïøüöýĎî÷Ť (Centralized System) ĀøČĂøąïï
Ēïïðŗé (Closed System)đðŨîêšî
2. ÖćøđךćëċÜÝćÖÿëćîìĊęÖĞćĀîéĔĀšđÞóćą đߊî ÖćøđךćëċÜÝćÖõć÷ĔîĒúąõć÷îĂÖ
ÿĞćîĆÖÜćî đðŨîêšî
3. ñĎšĔßšÜćîìĊęĕéšøĆïĂîčâćêĔĀšđךćëċÜøąïï
4. üĉíĊÖćøóĉÿĎÝîŤêĆüêî
5. ÖćøÙüïÙčöÖćøđךćëċÜ
6. üĉíĊÖćøöĂïÿĉìíĉ (Authorization)
7. ÖćøĒïŠÜĒ÷ÖĀîšćìĊęĔîÖøąïüîÖćøìĊęÿĞćÙĆâ đߊî ñĎšìĊęÿćöćøëÖĞćĀîéÙŠć×ĂÜøąïï
(Configuration) êšĂÜĕöŠÿćöćøëÿøšćÜøć÷ÖćøíčøÖøøö×ĂÜñĎšĔßšÜćîĕéš đðŨîêšî
8. üĉíĊÖćøêøüÝÿĂïךĂöĎúîĞćđךć Öćøðøąöüúñú Ēúą×šĂöĎúîĞćĂĂÖ
9. ÖćøøĂÜøĆïĒúąÙüćöÿćöćøëÿĎÜÿčéĔîÖćøìĞćÜćî×ĂÜøąïïìĊęðøąöćèÖćø
10. ÙüćööĆęîÙÜðúĂéõĆ÷ĔîÖćøÿŠÜñŠćîךĂöĎú

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 124 / 174

 11. ÙüćöÝĞćđðŨî×ĂÜÖćøĔßšđÙøČęĂÜöČĂÖćøđךćøĀĆÿ (Cryptographic Tools) đóČęĂÖćø
øĆÖþćÙüćöúĆï (Confidentiality) ÙüćöëĎÖêšĂÜÙøïëšüî (Integrity) ×ĂÜךĂöĎú
ĀøČĂ ÖćøðŜĂÜÖĆîÖćøðäĉđÿíÙüćöøĆïñĉé (Non-Repudiation)
12. ךĂÖĞćĀîéìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĔîøąéĆï ĒĂóóúĉđÙßĆ î
(Application) øąéĆïēÙøÜÿøšćÜ øąéĆïøąïïðäĉïĆêĉÖćø ĒúąøąéĆïåćîךĂöĎú
13. üĉíĊÖćøêøüÝÿĂïĒúąÖćøÙüïÙčö
14. ÖćøÿĞćøĂÜĒúąÖćøÖĎšÙČîøąïï
15. ÖćøÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú (ĂšćÜĂĉÜ 11.1.4 ÖćøÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú (Data
Protection and Privacy of Personal Information))
4) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÙüïÙčöéĎĒúÖćøóĆçîćøąïïĔĀšöĊÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
êćöÙčèÿöïĆêĉ (Specification) ìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
5) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøìéÿĂïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜĂčðÖøèŤ
ðøąöüúÿćøÿîđìýĀúĆÖ đߊî ÖćøÙšîĀćߊĂÜēĀüŠ×ĂÜøąïïðäĉïĆêĉÖćø Router, Firewall Ēúą
åćîךĂöĎú đðŨîêšî ÖŠĂîîĞćøąïïĂĂÖĔßšÜćîÝøĉÜ ĔîÖøèĊìĊęøąïïÿćøÿîđìýìĊęöĊÙüćöđÿĊę÷ÜÿĎÜÙüø
óĉÝćøèćÝĆéĔĀšöĊÖćøìéÿĂïÖćøđÝćąøąïï (Penetration Test)
6) ĔîÖøèĊ ìĊę öĊ Ö ćøÝĆ é àČĚ Ă øąïïÿćøÿîđìý ĒúąøąïïÿćøÿîđìýéĆ Ü ÖúŠ ć üöĊ Ù üćöÿćöćøë
(Functionality) éš ć îÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îÿćøÿîđìýìĊę đ ÿîĂĕöŠ ê øÜÖĆ ï Ùč è ÿöïĆ êĉ
(Specification) éš ćîÙüćööĆęîÙÜðúĂéõĆ÷ Ēúšü êš ĂÜöĊÖćøóĉ ÝćøèćÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙč ö
ìéĒìî (Compensating Control) ĔîøąĀüŠćÜÖćøÝĆéàČĚĂÝĆéĀć
7) ĔîÖøèĊ ìĊę ø ąïïÿćøÿîđìýìĊę ÝĆ é àČĚ Ă öĊ Ö ćøđóĉę ö ×Ċ é Ùüćöÿćöćøë (Functionality) ĂČę î ėìĊę Ă ćÝöĊ
ÙüćöđÿĊę ÷ ÜêŠ Ă ÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îÿćøÿîđìý ÙüøöĊ Ö ćøÿĂïìćîüŠ ć Ùüćöÿćöćøë
(Functionality) éĆÜÖúŠćüđðŨîðøąē÷ßîŤĒÖŠ Öôñ. ĀøČĂĕöŠ đóČęĂóĉÝćøèćÖćøøąÜĆï (Disabled) Öćø
ĔßšÜćîÙüćöÿćöćøë (Functionality) éĆÜÖúŠćü

8.2 ÖćøðøąöüúñúÿćøÿîđìýĔîĒĂóóúĉđÙßĆî (Correct Processing in Applications)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøêøüÝÿĂïךĂöĎúîĞćđךć ÖćøêøüÝÿĂïךĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜÖćøðøąöüúñú ÖćøêøüÝÿĂïÙüćö
ëĎÖêšĂÜ×ĂÜךĂÙüćö ĒúąÖćøêøüÝÿĂïךĂöĎúîĞćĂĂÖ

öćêøåćî
8.2.1 ÖćøêøüÝÿĂïךĂöĎúîĞćđךć (Input Data Validation)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 125 / 174
 1) ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĒúąĀĆ ü Āîš ć Üćîÿćøÿîđìýêš Ă ÜÙüïÙč ö ĔĀš ø ąïïìĊę óĆ ç îćöĊ
ÖćøêøüÝÿĂïÖćøîĞćđךćךĂöĎú ēé÷óĉÝćøèćêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý (ĂšćÜĂĉÜ
ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of Asset
Management)) àċęÜêšĂÜóĉÝćøèćĔîđøČęĂÜêŠĂĕðîĊĚ
ÖćøêøüÝÿĂïÖćøîĞćđךćךĂöĎú (Input Data Validation)
x Presence Check : ÖćøêøüÝÿĂïüŠćךĂöĎúĀć÷ĕðĀøČĂĕöŠ
x Absence Check : ÖćøêøüÝÿĂïüŠćôŗúéŤ (Field) ĀøČĂđøÙĂøŤé (Record) ëĎÖđüšîüŠćÜ
êćöìĊęÖĞćĀîéĀøČĂĕöŠ
x Sequence Check : ÖćøêøüÝÿĂïÙüćöëĎÖêšĂÜ×ĂÜúĞćéĆïךĂöĎú
x Range Check : ÖćøêøüÝÿĂïךĂöĎúüŠćĂ÷ĎŠõć÷ĔîߊüÜÙŠćìĊęÖĞćĀîéĀøČĂĕöŠ
x Limit Check : ÖćøêøüÝÿĂïÖćøÝĞćÖĆéøąéĆïךĂöĎúìĊęÖĞćĀîé ēé÷đðøĊ÷ïđìĊ÷ïÖĆï
øąéĆïÿĎÜÿčéĒúąêęĞćÿčéìĊęÖĞćĀîé
x Reasonableness Check : ÖćøêøüÝÿĂïÙüćöÿöđĀêčÿöñú×ĂÜךĂöĎú đóČęĂÙšîĀć
ךĂöĎúìĊęöĊÙüćöñĉéðÖêĉ
x Consistency Check : ÖćøêøüÝÿĂïÙüćöÿĂéÙúšĂÜ×ĂÜךĂöĎúÿĂÜךĂöĎúĀøČĂ
öćÖÖüŠćîĆĚî
x Embedded-Blank Check : ÖćøêøüÝÿĂïüŠćöĊߊĂÜüŠćÜĂ÷ĎŠõć÷ĔîôŗúéŤ (Field)
ĀøČĂĕöŠ
x Date Check : ÖćøêøüÝÿĂïÙüćöÿöđĀêčÿöñú (Validity) êćöüĆîìĊęðäĉìĉî

ÖćøĂĂÖĒïïôŗúéŤ (Field)
x ÖćøĂĂÖĒïïôŗúéŤ (Field) êšĂÜÿĂéÙúšĂÜÖĆïüĆêëčðøąÿÜÙŤÖćøĔßšÜćî đߊî êĆüđú×
(Numeric Field) üĆîìĊę (Date Field) ĒúąÿÖčúđÜĉî (Currency Field) đðŨîêšî
x ÖćøÝĞćÖĆéÝĞćîüî×ĂÜêĆüĂĆÖþøĀøČĂêĆüđú×
x ÖćøÝĞćÖĆéÖćøĔÿŠêĆüĂĆÖ×øąóĉđýþ ĀøČĂÿĆâúĆÖþèŤ đßŠî “ , ‘ , *, =, < , > , % , $ , + ,
? đðŨîêšî
2) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéÖøąïüîÖćøĒÖšĕ×ךĂñĉéóúćéìĊęóï×ĂÜÖćøîĞćđךćךĂöĎú
3) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéÖćøïĆîìċÖđĀêčÖćøèŤ (Log) ×ĂÜÖĉÝÖøøöìĊęđÖĊę÷üךĂÜÖĆï
ÖøąïüîÖćøîĞćđךćךĂöĎú óøšĂöìĆĚÜêšĂÜÖĞćĀîéĔĀšöĊÖćøÿĂïìćîïĆîìċÖđĀêčÖćøèŤ (Log) Ă÷ŠćÜ
ÿöęĞćđÿöĂ đóČęĂðŜĂÜÖĆîÖćøîĞćđךćךĂöĎúìĊęñĉéóúćéĒúąðŜĂÜÖĆîÖćøîĞćđךćךĂöĎúìĊęĕöŠðøąÿÜÙŤéĊ đߊî
Buffer Overflow ĀøČĂ Code Injection đðŨîêšî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 126 / 174

8.2.2 ÖćøêøüÝÿĂïךĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜÖćøðøąöüúñú (Control of Internal Processing)
1) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøêøüÝÿĂïךĂöĎúìĊęĂ÷ĎŠĔîøąĀüŠćÜÖćøðøąöüúñú đóČęĂÝĆéÖćø
ÙüćöđÿĊę÷ÜìĊęĂćÝìĞćĔĀšÖćøðøąöüúñúúšöđĀúü ĒúąÿŠÜñúêŠĂÙüćöÙøïëšüî×ĂÜÿćøÿîđìý ēé÷
óĉÝćøèćêćöøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜÿćøÿîđìý (ĂšćÜĂĉÜ ST-03: öćêøåćîÖćøïøĉĀćø
ÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of Asset Management)) àċęÜêšĂÜóĉÝćøèćĔîđøČęĂÜ
êŠĂĕðîĊĚ
1. Öćøđóĉęö ĒÖšĕ× ĒúąêĆéÙüćöÿćöćøë (Functionality) đóČęĂĔßšĔîÖćøđðúĊę÷îĒðúÜ
ךĂöĎú
2. ÖøąïüîÖćøĔîÖćøðŜĂÜÖĆîÖćøðøąöüúñú×ĂÜēðøĒÖøöìĊęĕöŠđðŨîĕðêćöúĞćéĆï ĀøČĂ
ÖćøðøąöüúñúìĊęñĉéóúćé×ĂÜēðøĒÖøöÖŠĂîĀîšć
3. ÖćøĔßšēðøĒÖøöìĊęđĀöćąÿöĔîÖćøÖĎšÙČîøąïï đóČęĂĔĀšöĆęîĔÝüŠćÖćøðøąöüúñúךĂöĎúöĊ
ÙüćöëĎÖêšĂÜ
4. ÖćøðŜĂÜÖĆîÝćÖÖćøēÝöêĊēé÷ÖćøĔßšüĉíĊ đߊî Buffer Overflows đðŨîêšî
2) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøìĞćïĆâßĊ (Checklist) đóČęĂĔßšĔîÖćøêøüÝÿĂïïĆîìċÖ
ÖćøìéÿĂïĒúąñúÖćøìéÿĂï óøšĂöìĆĚÜđĂÖÿćøéĆÜÖúŠćüêšĂÜëĎÖđÖĘïøĆÖþćĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷ ēé÷
ïĆâßĊéĆÜÖúŠćüêšĂÜÙøĂïÙúčöđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøÙüïÙčöĒïìߍ (Batch) ĒúąđàÿàĆęî (Session) đóČęĂĔßšÖøąìï÷Ăé (Reconcile)
ĕôúŤ×šĂöĎúĀúĆÜÝćÖÖćøðøĆïðøčÜøć÷Öćø
2. ÖćøÙüïÙčö÷Ăé (Balancing Controls) đóČęĂêøüÝÿĂï÷Ăééčú÷Ööć (Opening
Balances) ÖĆï÷Ăééčú÷Öĕð (Closing Balances) đߊî
x ÖćøÙüïÙčöÖøąïüîÖćøðäĉïĆêĉÜćîĔîĒêŠúąßŠüÜ×ĂÜÖćøðøąöüúñú (Run-
to-Run Controls)
x ÷Ăéøüö×ĂÜñúúĆóíŤêŠćÜė ìĊęöĊÖćøðøĆïðøčÜ
x ÖćøÙüïÙčöÖøąïüîÖćøðäĉïĆêĉÜćîĔîĒêŠúąßŠüÜ×ĂÜēðøĒÖøö (Program-
to-Program Controls)
3. ÖćøêøüÝÿĂïÙüćöëĎÖêšĂÜ×ĂÜךĂöĎúîĞćđךćìĊęøąïïÿøšćÜ×ċĚî
4. ÖćøêøüÝÿĂïÙŠć Ēăß (Hash) ×ĂÜñúøüö×ĂÜ đøÙĂøŤé (Record) ĒúąĕôúŤ (File)
5. ÖćøêøüÝÿĂïēðøĒÖøöøąïïÜćîüŠćìĞćÜćîëĎÖêšĂÜêćöđüúćêćöđüúćìĊęÖĞćĀîé
6. ÖćøêøüÝÿĂïüŠćēðøĒÖøöìĞćÜćîêćöúĞćéĆïìĊęëĎÖêšĂÜĒúąĀ÷čéÖćøìĞćÜćîĔîÖøèĊìĊę
đÖĉéךĂñĉéóúćé ĒúąóĆÖÖćøìĞćÜćîÝîÖüŠćÖćøĒÖšĕ×ðŦâĀćđÿøĘÝÿĉĚî
7. ÖćøïĆîìċÖđĀêčÖćøèŤ (Log) ×ĂÜÖĉÝÖøøöìĊęđÖĊę÷üךĂÜÖĆïÖćøðøąöüúñú
8.2.3 ÖćøêøüÝÿĂïÙüćöëĎÖêšĂÜ×ĂÜךĂÙüćö (Message Integrity)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 127 / 174
 1) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÙüïÙčöÖćøóĆçîćøąïïÿćøÿîđìýĔĀšöĊÖćø÷Čî÷ĆîĒúąóĉÿĎÝîŤêĆüêî×ĂÜ
ĒĀúŠÜìĊęöć×ĂÜךĂÙüćö (Message Authenticity) ĒúąóĉÿĎÝîŤÙüćöëĎÖêšĂÜ×ĂÜךĂÙüćö ēé÷ĂćÝ
óĉÝćøèćĔßšđìÙîĉÙêŠćÜė êćöêĆüĂ÷ŠćÜéĆÜêŠĂĕðîĊĚ
2)
Ùüćö÷ćü×ĆîĚ êęĞć×ĂÜÖčâĒÝ
ĂĆúÖĂøĉìċö
đךćøĀĆÿ ÖćøĔßšÜćî (Usage)
(Algorithm)
(Minimum Key Length )
Hashing (Message digests)
MD5 ĕöŠÿćöćøëøąïčĕéš ĒĂóóúĉđÙßĆęîìĊęöĊÙüćöÿĞćÙĆâ
SHA-1 ĕöŠÿćöćøëøąïčĕéš ĒĂóóúĉđÙßĆęîìĊęöĊÙüćöÿĞćÙĆâÿĎÜ
Keyed Hashing (Authenticating message digests)
HMAC-MD5 128 bits ĒĂóóúĉđÙßĆęîìĊęöĊÙüćöÿĞćÙĆâ
HMAC-SHA-1 160 bits ĒĂóóúĉđÙßĆęîìĊęöĊÙüćöÿĞćÙĆâÿĎÜ

8.2.4 ÖćøêøüÝÿĂïךĂöĎúîĞćĂĂÖ (Output Data Validation)

1) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøêøüÝÿĂïךĂöĎúîĞćĂĂÖ ēé÷óĉÝćøèćêćöøąéĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷×ĂÜÿćøÿîđìý (ĂšćÜĂĉÜ ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý
(Standard of Asset Management)) àċęÜêšĂÜóĉÝćøèćĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøêøüÝÿĂïךĂöĎúîĞćĂĂÖÖĆïÙŠćìĊęÙćéÖćøĕüš (Plausibility Checks)
2. ÖćøÖøąìï÷Ăé (Reconcile) đóČęĂĔĀšöĆęîĔÝüŠćךĂöĎúìĆĚÜĀöéĕéšøĆïÖćøðøąöüúñú
3. ÖøąïüîÖćøĔîÖćøêĂïÿîĂÜĔîÖøèĊìĊęñúÖćøìéÿĂïךĂöĎúîĞćĂĂÖĕöŠđðŨîĕðêćöìĊę
Ùćéĕüš
4. ÖćøïĆîìċÖđĀêčÖćøèŤ (Log) ×ĂÜÖĉÝÖøøöìĊęđÖĊę÷üךĂÜÖĆïÖćøêøüÝÿĂïךĂöĎúîĞćĂĂÖ

8.3 öćêøÖćøÖćøđךćøĀĆÿךĂöĎú (Cryptographic Controls)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøĔßšÜćîÖćøđךćøĀĆÿךĂöĎú ĒúąÖćøïøĉĀćøÝĆéÖćøÖčâĒÝđךćøĀĆÿךĂöĎú

öćêøåćî
8.3.1 îē÷ïć÷ÖćøĔßšÜćîÖćøđךćøĀĆÿךĂöĎú (Policy on The Use of Cryptographic Controls)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 128 / 174

 1) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøđךćøĀĆÿÿćøÿîđìý ēé÷óĉÝćøèćêćöøąéĆïÙüćöúĆï×ĂÜ
ÿćøÿîđìý (ĂšćÜĂĉÜ ST-03: öćêøåćîÖćøïøĉĀćøÝĆéÖćøìøĆó÷Ťÿĉîéšćîÿćøÿîđìý (Standard of
Asset Management)) ìĆĚÜîĊĚêšĂÜóĉÝćøèćđúČĂÖĔßšđìÙîĉÙêŠćÜė ìĊęöĊøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ĕðêęĞć
ÖüŠćđìÙîĉÙéĆÜêŠĂĕðîĊĚ

Ùüćö÷ćü×ĆîĚ êęĞć×ĂÜÖčâĒÝ
ðøąđõì×ĂÜÖčâĒÝÿĞćĀøĆïĒðúøĀĆÿ ĂĆúÖĂøĉìċö
đךćøĀĆÿ (Minimum Key
(Key Cipher) (Algorithm)
Length )
Öč â ĒÝĒïïÿööćêø (Symmetric AES 256 bits
Key) Triple DES 168 bits
Triple DES 112 bits
DES* 56 bits
Öč â ĒÝĒïïĂÿööćêø (Asymmetric DSA 1024 bits
Key) RSA 1024 bits
ECDSA 192 bits
Āöć÷đĀêč: DES ĂîčâćêĔßšĕéšÿĞćĀøĆï Legacy System đìŠćîĆĚî
2) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚĔîÖćøđúČĂÖĔßšñúĉêõĆèæŤÖćøđךćøĀĆÿ
1. éšćîÙüćööĆęîÙÜðúĂéõĆ÷
x øąéĆïÙüćööĆęîÙÜðúĂéõĆ÷ìĊęêšĂÜÖćø
x ôŦ Ü ÖŤ ßĆ î Öćøđך ć øĀĆ ÿ ìĊę ÝĞ ć đðŨ î đߊ î Öćøđך ć øĀĆ ÿ đóČę Ă ðŜ Ă ÜÖĆ î ÙüćöëĎ Ö êš Ă Ü
Ùøïëšüî ÖćøøąïčêĆüêîĕéš (Authentication) Ēúą ÖćøðŜĂÜÖĆîÖćøðäĉđÿí
ÙüćöøĆïñĉé (Non-Repudiation) đðŨîêšî
x ēĂÖćÿĔîÖćøïčÖøčÖ đߊî ߊüÜđüúćìĊęđðŨîĕðĕéš ìøĆó÷ćÖøìćÜéšćîÖćøđÜĉî
ĀøČĂìĆÖþąìćÜéšćîđìÙîĉÙ đðŨîêšî
2. éšćîđìÙîĉÙ
x ÿõćóĒüéúš Ă ö×ĂÜøąïïÿćøÿîđìýđߊ î ēÙøÜÿøš ć ÜóČĚ î åćî×ĂÜøąïï
ēÙøÜÿøšćÜĂÜÙŤÖø ñĎšðäĉïĆêĉÜćî ÿĉęÜĂĞćîü÷ÙüćöÿąéüÖìćÜđìÙîĉÙĂČęîė đðŨî
êšî
x ÖćøðŜĂÜÖĆîìćÜÿõćóĒüéúšĂö
x ×îćé×ĂÜךĂöĎú
x ðøąÿĉìíĉõćóÖćøìĞćÜćî
x ÙüćöÿĂéÙúšĂÜÖĆïöćêøåćîìĊęöĊĂ÷ĎŠ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 129 / 174
 x ÙüćöîŠćđßČęĂëČĂ ĒúąÖćøøĆïøĂÜñúĉêõĆèæŤ
x ÙüćöÿćöćøëĔîÖćøêĉéêŠĂÖĆïñúĉêõĆèæŤĂČęî
x ÙüćöóøšĂöĔßšÜćî
x öćêøåćîÖćøđךćøĀĆÿìĊęøĂÜøĆï

3. éšćîñĎšðäĉïĆêĉÜćîĒúąĂÜÙŤÖø
x ÙüćöÙčšîđÙ÷×ĂÜñĎšĔßšÜćî
x ÙüćöÿöđĀêčÿöñúĔîÖćøĔßš đߊî đðŨîõćøąĀøČĂđóĉęöõćøąĒÖŠñĎšĔßš đðŨîêšî
x ÙüćöêšĂÜÖćøéšćîÖćøòřÖĂïøö
x ÙüćöêšĂÜÖćøéšćîïčÙúćÖø đߊî êšĂÜđóĉęöïčÙúćÖø

4. éšćîÖćøđÜĉî
x ÙŠćĔߚ݊ć÷ĔîÖćøúÜìčîìĊęđÖĉé×ċĚîđóĊ÷ÜÙøĆĚÜđéĊ÷ü
x ÙŠćĔߚ݊ć÷ĔîÖćøĔßšÜćî øüöëċÜÙŠćĔߚ݊ć÷ìćÜéšćîïčÙúćÖø
x ÙŠćíøøöđîĊ÷öđÖĊę÷üÖĆïúĉ×ÿĉìíĉĝ
x ðøąöćèÖćøÙŠćĔߚ݊ć÷ĔîÖćøéĎĒúĒúąÖćøïĞćøčÜøĆÖþćøąïï
3) êšĂÜöĊÖćøðøąđöĉîÙüćöđÿĊę÷ÜđóČęĂÖĞćĀîéøąéĆïĔîÖćøðŜĂÜÖĆî ēé÷øąéĆïĔîÖćøðÖðŜĂÜÿćøÿîđìý
êšĂÜđĀöćąÿöÖĆïðøąđõìĒúąÙčèõćó×ĂÜ ĂĆúÖĂøĉìċö (Algorithm) ĒúąÙüćö÷ćü×ĆĚîêęĞć×ĂÜ
ÖčâĒÝđךćøĀĆÿ
4) ÙüøĀúĊÖđúĊę÷ÜÖćøĔßš ĂĆúÖĂøĉìċö (Algorithm) ìĊęđðŨîĒïïìĊęĔßšđÞóćąêćöñĎšñúĉê (Proprietor) Ĕî
ÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜĔßšÜćîêšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖĀĆüĀîšćÜćîÿćøÿîđìýÖŠĂî ìĆĚÜîĊĚĀĆüĀîšć
Üćîÿćøÿîđìýêš Ă Üðøąđöĉ î ÙüćöđÿĊę ÷ ÜÝćÖÖćøĔßš ē é÷óĉ Ý ćøèćëċ Ü üĆ ê ëč ð øąÿÜÙŤ Ĕ îÖćøĔßš
ÙüćöîŠćđßČęĂëČĂ×ĂÜñĎšñúĉê ĒúąÖćøĔïøĆïøĂÜìćÜéšćîĂČęîė
5) ĀĆüĀîšćÜćîÿćøÿîđìýêš ĂÜðøąÿćîÜćîÖĆïòś ć÷üćÜĒñîđìÙēîēú÷Ċÿćøÿîđìý đóČęĂêøüÝÿĂï
đÜČęĂîĕ×ìćÜÖãĀöć÷ìĊęđÖĊę÷üךĂÜÖĆïÖćøĔßšñúĉêõĆèæŤÖćøđךćøĀĆÿ ÖŠĂîìĊęÝąîĞćÖćøđךćøĀĆÿéĆÜÖúŠćüĕð
ĔßšÜćî
6) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéìĞćïĆâßĊÖćøĔßšÜćîÖćøđךćøĀĆÿ đóČęĂìĊęĔßšĔîÖćøêĉéêćöÖćøĔßšÜćî
ÖćøđךćøĀĆÿĔîøąïïÿćøÿîđìý×ĂÜ Öôñ.
7) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÿĂïìćîñúĉêõĆèæŤÖćøđךćøĀĆÿĔîïĆâßĊÖćøĔßšÖćøđךćøĀĆÿ đߊî đóČęĂ
ÿĂïìćîøąéĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜĂĆúÖĂøĉìċö (Algorithm) ĒúąÙüćö÷ćü×ĆĚîêęĞć×ĂÜÖčâĒÝ
đךćøĀĆÿ (Key Length) ìĊęĔßšÜćî đðŨîêšî đóČęĂ÷ĆÜÙÜĕüšàċęÜøąéĆïĔîÖćøðŜĂÜÖĆîìĊęêšĂÜÖćø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 130 / 174

 8) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜĒîąîĞćñĎšĔßšÜćîĔîÖćøĔßšđÙøČęĂÜöČĂĔîÖćøđךćøĀĆÿ đóČęĂĔĀšöĆęîĔÝüŠćñĎšĔßšÜćî
öĊÙüćöđךćĔÝÖŠĂîìĊęÝąĔßšÜćîÝøĉÜ ĒúąêšĂÜĒîąîĞćñĎšĔßšÜćîĔîÖćøđÖĘïøĆÖþćÖčâĒÝ ÖćøđךćøĀĆÿ
×ĂÜñĎšĔßšÜćî ēé÷đÞóćąĂ÷ŠćÜ÷ĉęÜÖćøđÖĘïøĆÖþćÖčâĒÝÿŠüîêĆü (Private Key)

8.3.2 ÖćøïøĉĀćøÝĆéÖćøÖčâĒÝđךćøĀĆÿךĂöĎú (Key Management)

1) ÖčâĒÝĔîÖćøđךćøĀĆÿÝąêšĂÜëĎÖÿøšćÜēé÷ĀĆüĀîšćÜćîÿćøÿîđìý ēé÷ĂčðÖøèŤìĊęÖćøÿøšćÜÖčâĒÝêšĂÜöĊ
ÖćøÙüïÙčöìćÜÖć÷õćó (Physical) đóČęĂðŜĂÜÖĆîÖćøđךćëċÜēé÷ĕöŠĕéšøĆïĂîčâćê
2) ĀĆ ü Āîš ć Üćîÿćøÿîđìýêš Ă ÜÖĞ ć ĀîéĔĀš öĊ Ö øąïüîÖćøÙüïÙč ö ÖćøÿŠ Ü öĂïÖč â ĒÝđך ć øĀĆ ÿ Ă÷Š ć Ü
ðúĂéõĆ÷ đߊî ÖčâĒÝÿŠüîïčÙÙú (Private Keys) ĀøČĂ ÖčâĒÝúĆï (Secret Keys) ĔîÖćøđךćøĀĆÿ
Ēïïÿööćêø (Symmetric Encryption) đðŨîêšî ēé÷ÿŠÜöĂïĔĀšëċÜöČĂđÝšć×ĂÜÖčâĒÝđìŠćîĆĚî ĀøČĂ
đÝšć×ĂÜÖčâĒÝÝąÿøšćÜÖčâĒÝÿŠüîïčÙÙú (Private Keys) ēé÷êøÜÝćÖàĂôêŤĒüøŤ (Software) ìĊę
đßČęĂëČĂĕéšàċęÜñŠćîÖćøĂîčöĆêĉÖćøĔßšÜćîÝćÖĀĆüĀîšćÜćîÿćøÿîđìý đðŨîêšî
3) ñĎšĔßšÜćîìĊęđÖĊę÷üךĂÜÖĆïøąïïÖćøđךćøĀĆÿ (Cryptographic) êšĂÜĕöŠÿŠÜÖčâĒÝÿŠüîïčÙÙú (Private
Keys) ĕð÷ĆÜñĎšĂČęî Ă÷ŠćÜĕøÖĘêćö ÖčâĒÝÿćíćøèą (Public Keys) ÿćöćøëÿŠÜĕð÷ĆÜñĎšĂČęîĀøČĂ
ĀîŠü÷Üćîõć÷îĂÖĕéš
4) ñĎšĔßšÜćîêšĂÜ÷Čî÷ĆîÙüćööĊêĆüêî×ĂÜđÝšć×ĂÜÖčâĒÝÿćíćøèą (Public Keys) ēé÷ĒïïÖćø÷Čî÷Ćî
ēé÷êøÜÝćÖñĎšÿŠÜ ĀøČĂ Öćø÷Čî÷ĆîĔîøĎðĒïï×ĂÜĔïøĆïøĂÜÖčâĒÝÝćÖ Certification Authority (CA)
ìĊęđßČęĂëČĂĕéš
5) ñĎšĔßšÜćîêšĂÜìéÿĂïÙüćöëĎÖêšĂÜ×ĂÜÖčâĒÝìĊęøĆïñĉéßĂïÖŠĂîìĊęÝąĔßšÜćîÝøĉÜ đߊî ìéÿĂïÖćøÿŠÜ
ךĂÙüćöìĊęöĊÖćøđךćøĀĆÿ ĀøČĂìéÿĂïÖćøđךćøĀĆÿĒúąÖćøëĂéøĀĆÿĕôúŤ đðŨîêšî
6) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜđøĊ÷ÖÙČîĀøČĂìĞćúć÷ÖčâĒÝÿŠüîïčÙÙú (Private Keys) ÖčâĒÝúĆï
(Secret Keys) ĔîÖøèĊêŠĂĕðîĊĚ
1. ñĎšĔßšÜćîóšîÿõćóÖćøđðŨîñĎšðäĉïĆêĉÜćî×ĂÜ Öôñ.
2. ñĎšĔßšÜćîĕöŠöĊÙüćöÝĞćđðŨîêšĂÜĔßšÖčâĒÝ
3. ÖčâĒÝëĎÖìĞćúć÷ĀøČĂúšćÿöĆ÷Ēúšü
4. ÖčâĒÝëĎÖúŠüÜøĎšēé÷ïčÙÙúĂČęî ĀøČĂÖčâĒÝÿĎâĀć÷
7) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÿøšćÜÖčâĒÝÿŠüîïčÙÙú (Private Keys) ĀøČĂÖčâĒÝúĆï (Secret Keys)
ĔĀöŠ ĔîÖøèĊêŠĂĕðîĊĚ
1. ÖčâĒÝëĎÖìĞćúć÷ĀøČĂúšćÿöĆ÷Ēúšü
2. ÖčâĒÝëĎÖúŠüÜøĎšēé÷ïčÙÙúĂČęî ĀøČĂÖčâĒÝÿĎâĀć÷
8) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéÖøąïüîÖćøĔîÖćøÖĎšÙČîÖčâĒÝ đóČęĂúéÙüćöđÿĊę÷ÜĔîÖćøÿĎâĀć÷
ĀøČĂđÿĊ÷Āć÷×ĂÜÖčâĒÝ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 131 / 174
 9) ĔîøąïïìĊęöĊÙüćöÿĞćÙĆâ ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéđÖĘïÖčâĒÝÙĎŠ (Key Pair) ĔîÖćøđךćøĀĆÿĒïï
Ăÿööćêø (Asymmetric Encryption) ĀøČĂ ÖčâĒÝúĆï (Secret Keys) ĔîÖćøđךćøĀĆÿĒïï
ÿööćêø (Symmetric Encryption) éšü÷üĉíĊÖćøìĊęðúĂéõĆ÷ đߊî đÖĘïĒ÷ÖĔîđÙøČęĂÜĂČęîĀøČĂĂčðÖøèŤ
ĂČęîìĊęöĊÖćøÙüïÙčöÖćøđךćëċÜìĊęĂ÷ŠćÜĒîŠîĀîć ĀøČĂđÖĘïĔîÿČęĂìĊęđÙúČęĂî÷šć÷ĕéšìĊęöĊÖćøúĘĂÙĂ÷ŠćÜ ĒîŠî
Āîć đðŨîêšî
10) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéĔĀšÖčâĒÝÿćíćøèą (Public Keys) ÝĆéđÖĘïĔîđÙøČĂ׊ć÷ÖúćÜ àċęÜ
đðŨîÿćöćøëđךćëċÜēé÷ñĎšìĊęĕéšøĆïĂîčâćêđìŠćîĆĚî
11) ñĎšĔßšÜćîêšĂÜđÖĘïÖčâĒÝÿŠüîïčÙÙú (Private Keys) ĔîÿëćîìĊęìĊęðúĂéõĆ÷ àċęÜÙüøÝąđÖĘïĔîĂčðÖøèŤìĊę
ÿćöćøëđÙúČęĂî÷šć÷ĕéš đߊî Token ĀøČĂ Smart Card đðŨîêšî ēé÷ĀĆüĀîšćÜćîÿćøÿîđìýöĊĀîšćìĊę
ĔĀšÙĞćĒîąîĞćìĊęđĀöćąÿöĔîÖćøđÖĘïÖčâĒÝÿŠüîïčÙÙú (Private Keys) ĒÖŠñĎšĔßšÜćî
12) ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìýêšĂÜđÖĘïÖčâĒÝĀúĆÖ (Master Keys) ÖčâĒÝ×ĂÜñĎšéĎĒú
øąïï (Administrators’ Keys) ĀøČĂÖčâĒÝÞčÖđÞĉî (Emergency Keys) ĔîÿČęĂìĊęĒ÷ÖÖĆîĒúąöĊ
ÖćøÙüïÙčöÖćøđךćëċÜìĊęđךöÜüé
13) ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìýìĊęöĊĀîšćìĊęïøĉĀćøÝĆéÖćøÖčâĒÝđךćøĀĆÿךĂöĎú êšĂÜöĊÖćø
ĒïŠÜĒ÷ÖĀîšćìĊęéĆÜîĊĚ
1. ĔîÖćøđïĉÖĀøČĂĔßšÜćîÖčâĒÝĀúĆÖ (Master Keys) êšĂÜÖøąìĞćēé÷ïčÙÙúêĆĚÜĒêŠÿĂÜ
Ùî×ċĚîĕð
2. ïčÙÙúÙîđéĊ÷üÖĆî êšĂÜĕöŠÿćöćøëÿøšćÜĒúąđðŗéÖćøĔßšÜćî (Activate) ÖčâĒÝßčé
đéĊ÷üÖĆî
14) ĀĆ ü Āîš ć Üćîÿćøÿîđìýêš Ă ÜöĂïĀöć÷ĔĀš öĊ ñĎš øĆ ï ñĉ é ßĂï ĔîÖćøéĎ Ē úøąïïÖćøđך ć øĀĆ ÿ
(Cryptographic)
15) ĀîŠü÷ÜćîìĊęĕéšøĆïÖčâĒÝêšĂÜïøĉĀćøÝĆéÖćøÖčâĒÝìĊęĂ÷ĎŠõć÷ĔêšÙüćöøĆïñĉéßĂï êćöìĊęĕéšêÖúÜøŠüöÖĆî
ÖĆïĀĆüĀîšćÜćîÿćøÿîđìý ĔîÖøèĊìĊęóïüŠćÖčâĒÝëĎÖúŠüÜøĎšēé÷ïčÙÙúĂČęî ĀîŠü÷ÜćîìĊęøĆïñĉéßĂï
ÖčâĒÝêšĂÜĒÝšÜĀĆüĀîšćÜćîÿćøÿîđìýìĆîìĊ
16) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéĂć÷čÖćøĔßšÜćî×ĂÜÖčâĒÝ đóČęĂĔĀšÖčâĒÝîĆĚîëĎÖĔßšĔîߊüÜđüúćìĊę
ÝĞćÖĆé êĆüĂ÷ŠćÜđߊî
x ÖčâĒÝĀúĆÖ (Master Keys) ÙüøđðúĊę÷îĒðúÜìčÖė 1 ðŘ ĀøČĂđðŨîĕðêćöìĊęđÝšć×ĂÜ
ñúĉêõĆèæŤĒîąîĞć
x ÖčâĒÝìĊęĔßšđךćøĀĆÿÖčâĒÝ êĆüĂ÷ŠćÜđߊî ÖćøĔßšÖčâĒÝÿŠüîïčÙÙú (Private Keys)
đךćøĀĆÿÖčâĒÝúĆï (Secret Keys) ÙüøđðúĊę÷îĒðúÜĂ÷ŠćÜîšĂ÷ìčÖė 6 đéČĂî ĀøČĂ
đðŨîĕðêćöìĊęđÝšć×ĂÜñúĉêõĆèæŤĒîąîĞć

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 132 / 174

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-31 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ Öćø×ĂĔßšÜćîÖčâĒÝđךćøĀĆÿךĂöĎú (Key Registration
Procedure)

8.4 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ĔĀšÖĆïĕôúŤ×ĂÜøąïïìĊęĔĀšïøĉÖćø (Security of System

Files)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøêĉéêĆĚÜàĂôêŤĒüøŤ (Software) úÜĕð÷ĆÜøąïïÿćøÿîđìýìĊęĔĀšïøĉÖćø ÖćøðŜĂÜÖĆîךĂöĎúìĊęĔßš
ÿĞćĀøĆïÖćøìéÿĂï ĒúąÖćøÙüïÙčöÖćøđךćëċÜ àĂøŤÿēÙšé (Source Code) ÿĞćĀøĆïøąïïÿćøÿîđìý

öćêøåćî
8.4.1 ÖćøÙüïÙčöÖćøêĉéêĆĚÜàĂôêŤĒüøŤúÜĕð÷ĆÜøąïïìĊęĔĀšïøĉÖćø (Control of Operational Software)
1) ÖćøðøĆïðøčÜĒÖšĕ×àĂôêŤĒüøŤðäĉïĆêĉÖćø (Operational Software) ēðøĒÖøöøąïïÜćî Ēúą
Program Libraries êšĂÜéĞćđîĉîÖćøēé÷ñĎšéĎĒúøąïïìĊęĕéšøĆïĂîčâćê
2) ÖćøðøĆïðøčÜĒÖšĕ×àĂôêŤĒüøŤðäĉïĆêĉÖćø (Operational Software) ēðøĒÖøöøąïïÜćî Ēúą
Program Libraries êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýìĊę
đÖĊę÷üךĂÜ
3) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜïøĉĀćøÝĆéÖćøÖćøÖĞćĀîéÙŠć (Configuration Management) đóČęĂĔĀš
öĆęîĔÝüŠćÖćø÷šć÷ àĂøŤÿēÙšé (Source Code) ÝćÖøąïïÿĞćĀøĆïóĆçîćĕð÷ĆÜøąïïÿĞćĀøĆïìéÿĂï
ĒúąøąïïìĊęĔĀšïøĉÖćøÝøĉÜ öĊÖćøÙüïÙčöĒúąÖĞćĀîéÿĉìíĉĂ÷ŠćÜđĀöćąÿö
4) ñĎš éĎ Ē úøąïïÿćøÿîđìýêš Ă ÜðøąÿćîÜćîÖĆ ï ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĔîÖćøÿĂïìćîøąïï
ÿćøÿîđìý đóČęĂĔĀšöĆęîĔÝüŠćøąïïìĊęĔßšÜćîÝøĉÜöĊÖćøÝĆéđÖĘïđÞóćą Executable Codes đìŠćîĆĚî
5) ñĎšéĎĒúøąïïÿćøÿîđìýêšĂÜÝĆéđÖĘïïĆîìċÖđĀêčÖćøèŤđóČęĂĔßšĔîÖćøêøüÝÿĂï (Audit Log) đöČęĂöĊÖćø
đðúĊę÷îĒðúÜ Program Libraries đߊî øć÷úąđĂĊ÷é×ĂÜÖćøđðúĊę÷îĒðúÜ ñĎšđðúĊę÷îĒðúÜ Ēúąđüúć
ìĊęđðúĊę÷îĒðúÜ đðŨîêšî
6) ñĎšéĎĒúøąïïÿćøÿîđìý êšĂÜìĞćÖćøÿĞćøĂÜĒúąÝĆéđÖĘïàĂôêŤĒüøŤ (Software) ÖŠĂîìĊęÝąöĊ
ÖćøđðúĊę÷îĒðúÜĒÖšĕ× đóČęĂĔĀšöĆęîĔÝüŠćøąïïÿćöćøëÖĎšÙČîĕéšĔîÖøèĊìĊęøąïïúŠöĀúĆÜÝćÖ Öćø
đðúĊę÷îĒðúÜĒÖšĕ×

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 133 / 174

 7) ĔîÖøèĊìĊęñĎš×ć÷ĀøČĂñĎšđðŨîđÝšć×ĂÜñúĉêõĆèæŤöĊÙüćöÝĞćđðŨîêšĂÜĔĀšïøĉÖćøĀúĆÜÖćø×ć÷ĔîÖćøéĎĒúĒúą
ïĞćøčÜøĆÖþćàĂôêŤĒüøŤðäĉïĆêĉÖćø (Operational Software) ×ĂÜ Öôñ. ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜ
øĆïñĉéßĂïĔîÖćøéĎĒúĒúąÙüïÙčöÖćøđךćëċÜàĂôêŤĒüøŤðäĉïĆêĉÖćø (Operational Software) ìĆĚÜ
ìćÜÖć÷õćó (Physical) ĒúąìćÜêøøÖą (Logical) đóĊ÷ÜđìŠćìĊęÝĞćđðŨîêŠĂÖćøĔĀšïøĉÖćøĀúĆÜÖćø
×ć÷đìŠćîĆĚî óøšĂöìĆĚÜêšĂÜÝĆéđÖĘïïĆîìċÖđĀêčÖćøèŤ (Audit Log) đóČęĂĔßšĔîÖćøêøüÝÿĂï
8) ĔîÖøèĊìĊęñĎš×ć÷ĀøČĂñĎšđðŨîđÝšć×ĂÜñúĉêõĆèæŤöĊÙüćöÝĞćđðŨîêšĂÜĔĀšïøĉÖćøĀúĆÜÖćø×ć÷ĔîÖćøéĎĒúĒúą
ïĞ ć øč Ü øĆ Ö þćàĂôêŤ Ē üøŤ ð äĉ ïĆ êĉ Ö ćø (Operational Software) ÝćÖõć÷îĂÖ (Remote
Maintenance) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéĔĀšöĊÖćøÙüïÙčöéĆÜîĊĚ
x öĊÖćøøąïč×Ăïđ×ê üĆêëčðøąÿÜÙŤ ĒúąĒñîÜćîÖćøéĎĒúĒúąïĞćøčÜøĆÖþćøąïïÝćÖ
õć÷îĂÖ
x öĊ Ö ćøÝĞ ć ÖĆ é ÿĉ ì íĉ Ö ćøđך ć ëċ Ü đóĊ ÷ ÜđìŠ ć ìĊę ÝĞ ć đðŨ î êŠ Ă ÖćøĔĀš ï øĉ Ö ćøêćö×Ăïđ×ê Ēúą
üĆêëčðøąÿÜÙŤìĊęøąïč
x öĊÖćøëĂéëĂîÿĉìíĉĀøČĂđðúĊę÷îĒðúÜøĀĆÿñŠćîìĆîìĊ õć÷ĀúĆÜÖćøĔĀšïøĉÖćøĒúšüđÿøĘÝ
ĀøČĂõć÷ĀúĆÜìĊęÿĆââćÖćøĔĀšïøĉÖćøÿĉĚîÿčé
x öĊÝĆéđÖĘïïĆîìċÖđĀêčÖćøèŤđóČęĂĔßšĔîÖćøêøüÝÿĂï (Audit Log) ÖĉÝÖøøö×ĂÜñĎš×ć÷
9) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊĒñîÖćøëĂ÷ÖúĆï (Rollback Plan) ìĊęđĀöćąÿöÖŠĂîÝą
éĞćđîĉîÖćøÖćøđðúĊę÷îĒðúÜĒÖšĕ×
10) ÖŠĂîîĞćøąïïÿćøÿîđìýĕðĔßšÜćîÝøĉÜ ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøìéÿĂïøąïïÜćîĒúą
ēðøĒÖøöøąïïðäĉïĆêĉÖćø ÖćøìéÿĂïÙüøøüöëċÜÖćøìéÿĂïÖćøĔßšÜćîÙüćööĆęîÙÜðúĂéõĆ÷ Öćø
ĔßšÜćîøŠüöÖĆïøąïïĂČęî (ëšćöĊ) ĒúąÙüćöÿąéüÖĔîÖćøĔßšÜćî ēé÷ÖćøìéÿĂïêšĂÜéĞćđîĉîÖćøïî
øąïïÿĞćĀøĆïÖćøìéÿĂï

8.4.2 ÖćøðŜĂÜÖĆîךĂöĎúìĊęĔßšÿĞćĀøĆïÖćøìéÿĂï (Protection of System Test Data)

1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýĒúąĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÙüïÙčöĕöŠĔĀšöĊÖćøîĞćךĂöĎúÝøĉÜ (Live
Data) ìĊęöĊÙüćöÿĞćÙĆâöćĔßšìéÿĂï ĔîÖøèĊÝĞćđðŨîêšĂÜĔߚךĂöĎúÝøĉÜìĊęöĊÙüćöÿĞćÙĆâđóČęĂìéÿĂï ñĎš
đðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜðøĆïĀøČĂúïךĂöĎúÿŠüîïčÙÙú ĀøČĂךĂöĎúÿĞćÙĆâÖŠĂîîĞćĕðĔßšìéÿĂï
2) ĀĆ üĀîš ćÜćîÿćøÿîđìýêšĂ ÜĒÝš Ü ÙüćöðøąÿÜÙŤÖĆ ïñĎšđ ðŨ î đÝšć×ĂÜÿćøÿîđìýìĊę đ ÖĊę÷ üך ĂÜ đóČę Ă×Ă
ĂîčâćêĔîÖćøìĞćÿĞćđîćךĂöĎúÝćÖøąïïĔĀšïøĉÖćøÝøĉÜĕðĔßšìéÿĂï
3) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÙüïÙčöñĎšéĎĒúøąïïÿćøÿîđìý ĔĀšúïךĂöĎúìĊęĔßšĔîÖćøìéÿĂïìĆîìĊ
õć÷ĀúĆÜÖćøìéÿĂïđÿøĘÝÿĉĚî
4) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÝĆéĔĀšöĊÖćøïĆîìċÖđĀêčÖćøèŤ×ĂÜÖćøÿĞćđîćךĂöĎúÝćÖøąïïìĊęĔĀšïøĉÖćø
ÝøĉÜđóČęĂĔßšĔîÖćøìéÿĂï
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 134 / 174
 5) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊÖćøÙüïÙčöÖćøđךćëċÜøąïïÿĞćĀøĆïÖćøìéÿĂïĔîøąéĆï
đéĊ÷üÖĆïøąïïĔßšïøĉÖćøÝøĉÜ

8.4.3 ÖćøÙüïÙčöÖćøđךćëċÜàĂøŤÿēÙšéÿĞćĀøĆïøąïï (Access Control to Program Source Code)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćÖĆïéĎĒúĔĀšöĊÖćøÙüïÙčöìĊęđÙøŠÜÙøĆéĔîÖćøđךćëċÜ àĂøŤÿēÙšé (Source
Code) đóČęĂðŜĂÜÖĆîÖćøđךćëċÜÝćÖñĎšìĊęĕöŠĕéšøĆïĂîčâćêĒúąëĎÖđðúĊę÷îĒðúÜēé÷ĕöŠđÝêîć
2) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊñĎšéĎĒú àĂøŤÿēÙšé (Source Code) àċęÜöĊÿĉìíĉĔî
ÖćøðøĆïðøčÜđðúĊę÷îĒðúÜ Program Source Libraries ĕéš
3) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîĔîÖćøđךćëċÜ àĂøŤÿēÙšé (Source Code) ñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜêšĂÜĒÝšÜ
ÙüćöðøąÿÜÙŤêŠĂĀĆüĀîšćÜćîÿćøÿîđìýđóČęĂĂîčöĆêĉĔĀšđךćëċÜ àĂøŤÿēÙšé (Source Code) êćö Ùüćö
ÝĞćđðŨî ìĆĚÜîĊĚÖćøìĞćÿĞćđîć×ĂÜ àĂøŤÿēÙšé (Source Code) ìĊęöĊÙüćöÿĞćÙĆâ êšĂÜÝĆéđÖĘïēé÷Ē÷ÖĂĂÖ
ÝćÖàĂøŤÿēÙšé (Source Code) êšîÞïĆï ĒúąÖĞćĀîéĔĀšöĊÖćøÙüïÙčöÖćøđךćëċÜ àĂøŤÿēÙšé (Source
Code) êšîÞïĆïĂ÷ŠćÜđÙøŠÜÙøĆéēé÷ñĎšéĎĒú àĂøŤÿēÙšé (Source Code) đߊî ÿĉìíĉĔî ÖćøĂŠćîĂ÷ŠćÜ
đéĊ÷ü ĒúąÿćöćøëđךćëċÜĕéšēé÷ñĎšéĎĒú àĂøŤÿēÙšé (Source Code) đìŠćîĆĚî đðŨîêšî
4) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöĔĀšöĊÖćøÝĆéđÖĘï Libraries ×ĂÜøąïïìĊęĔĀšïøĉÖćøÝøĉÜ Ēúą×ĂÜ
øąïïÿĞćĀøĆïóĆçîćĒ÷ÖĂĂÖÝćÖÖĆî
5) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšñĎšéĎĒú àĂøŤÿēÙšé (Source Code) ÝĆéìĞć Archive àĂøŤÿēÙšé
(Source Code) ×ĂÜđüĂøŤßĆîÖŠĂîĀîšć ĒúąöĊÖćøÖĞćĀîéøą÷ąđüúćĔîÖćø Archive ìĊęßĆéđÝî
óøšĂöìĆĚÜìĞćÿĞćđîć Program Source Libraries êćö×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÙüïÙčöÖćø
đðúĊę÷îĒðúÜĀøČĂĒÖšĕ×øąïïÿćøÿîđìý
6) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøïĆîìċÖđĀêčÖćøèŤđóČęĂÖćøêøüÝÿĂï (Audit Log) ÖĉÝÖøøöìĊę
đÖĊę÷üÖĆï àĂøŤÿēÙšé (Source Code) đߊî ÖćøđðúĊę÷îĒðúÜĒÖšĕ× ĒúąÖćøúï đðŨîêšî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD- 10 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÿćøÿîđìý (Change
Management Procedure)
2) PD- 32 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøēðøĒÖøöàĂøŤÿēÙšé (Program Source Code
Management Procedure)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 135 / 174

8.5 ÖćøÿøšćÜÙüćööĆęîÙÜðúĂéõĆ÷ÿĞćĀøĆïÖøąïüîÖćøĔîÖćøóĆçîćøąïïĒúąÖøąïüîÖćø
ÿîĆïÿîčî (Security in Development and Support Processes)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøđðúĊę÷îĒðúÜĀøČĂĒÖšĕ×øąïï ÖćøêøüÝÿĂïÖćøìĞćÜćî×ĂÜĒĂóóúĉđÙßĆî (Application)
õć÷ĀúĆÜÝćÖìĊęđðúĊę÷îĒðúÜøąïïðäĉïĆêĉÖćø ÖćøÝĞćÖĆéÖćøđðúĊę÷îĒðúÜĒÖšĕ×êŠĂàĂôêŤĒüøŤ (Software) ìĊęöć
ÝćÖñĎšñúĉê ÖćøðŜĂÜÖĆîÖćøøĆęüĕĀú×ĂÜÿćøÿîđìý ĒúąÖćøÙüïÙčöÖćøóĆçîćàĂôêŤĒüøŤ (Software) ēé÷
ĀîŠü÷Üćîõć÷îĂÖ

öćêøåćî
8.5.1 ×ĆĚîêĂîðäĉïĆêĉÿĞćĀøĆïÙüïÙčöÖćøđðúĊę÷îĒðúÜĀøČĂĒÖšĕ×øąïï (Change Control Procedures)
1) ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìý đðŨ îñĎš öĊ ĂĞ ć îćÝĔîÖćøĂîč öĆ êĉ Ö ćøđðúĊę ÷ îĒðúÜøąïïÿćøÿîđìýÖŠ Ă î
ÖćøéĞćđîĉîÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ× ēé÷ÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×êšĂÜöĊÖćøïĆîìċÖøć÷úąđĂĊ÷é
ÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×éĆÜêŠĂĕðîĊĚ
1. àĂôêŤĒüøŤ (Software) ÿćøÿîđìý åćîךĂöĎú ĒúąăćøŤéĒüøŤ (Hardware) ìĊę
êšĂÜÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
2. đĀêčñú×ĂÜÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
3. ßČęĂñĎšêĉéêĆĚÜ (Implementer) ĒúąßČęĂñĎšĂîčöĆêĉ
4. üĆîĒúąđüúćìĊęÝąìĞćÖćøđðúĊę÷îĒðúÜ
5. øć÷úąđĂĊ÷é×ĂÜÖćøđðúĊę÷îĒðúÜ
2) ĀĆü Āîšć Üćîÿćøÿîđìý êš Ă ÜÖĞ ćĀîéĔĀš öĊÖ ćøðøąđöĉ î ÙüćöđÿĊę ÷Ü Öćøüĉ đ ÙøćąĀŤñ úÖøąìï×ĂÜ
ÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ× ĒúąÖĞćĀîéÙüćööĆęîÙÜðúĂéõĆ÷ìĊęÝĞćđðŨîÖŠĂîÖćøđðúĊę÷îĒðúÜĒúą
ĒÖšĕ×
3) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊÖćøðøĆïðøčÜđĂÖÿćøøąïïìĊęđðúĊę÷îĒðúÜĒúąĒÖšĕ× đߊî
đĂÖÿćøÖćøĂĂÖĒïï ĀøČĂÙĎŠöČĂÖćøðäĉïĆêĉÜćî ĒúąÙĎŠöČĂÖćøĔßšÜćî×ĂÜñĎšĔßš đðŨîêšî
4) ĀĆ üĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöđóČę Ă ĔĀšöĆęî ĔÝüŠ ćđĂÖÿćøøąïïëĎ ÖÝĆéđÖĘïĔîìĊęðúĂéõĆ÷ êćö
ÙüćöđĀöćąÿö
5) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöĔĀšñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜéĞćđîĉîÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ× ēé÷
ĔĀšöĊñúÖøąìïîšĂ÷ìĊęÿčéêŠĂÖćøéĞćđîĉîíčøÖĉÝ×ĂÜ Öôñ. ìĆĚÜîĊĚêšĂÜĕöŠìĞćĔĀšÖøąïüîÖćøìćÜíčøÖĉÝ
Ā÷čéßąÜĆÖ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 136 / 174

 6) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöĔĀšñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜìĞćÖćøìéÿĂïÖćøđðúĊę÷îĒðúÜĒúą
ĒÖšĕ×ïîøąïïÿĞćĀøĆïÖćøìéÿĂï ēé÷îĞćÿĞćđîć×ĂÜ àĂøŤÿēÙšé (Source Code) úŠćÿčéìĊęĔßšĔî
øąïïìĊęĔĀšïøĉÖćøÝøĉÜöćÝĞćúĂÜïîøąïïÿĞćĀøĆïÖćøìéÿĂï ÖŠĂîìĞćÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×ïî
øąïïìĊęĔĀšïøĉÖćøÝøĉÜ
7) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜìĞćÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×øąïïÿćøÿîđìýìĊęöĊÙüćöÿĞćÙĆâ Ēúą
Öôñ. ĕöŠöĊøąïïÿĞćĀøĆïÖćøìéÿĂï ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÿõćóĒüéúšĂöÿĞćĀøĆïÖćø
ìéÿĂï
8) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊĒñîÖćøëĂ÷ÖúĆï (Rollback Plan) ìĊęđĀöćąÿöÖŠĂîÝą
éĞćđîĉîÖćøđðúĊę÷îĒðúÜĒÖšĕ× đóČęĂøĂÜøĆïÖćøìĞćÜćîĔîÖøèĊìĊęöĊךĂñĉéóúćéĔîÖćøđðúĊę÷îĒðúÜĒúą
ĒÖšĕ×
9) ĔîÖøèĊìĊęêšĂÜöĊÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×ĒïïÞčÖđÞĉî ēé÷ñĎšðäĉïĆêĉÜćîêšĂÜđךćëċÜøąïïìĊęĔĀšïøĉÖćø
ÝøĉÜ đóČęĂéĞćđîĉîÖćøĒÖšĕ× ĀĆüĀîšćÿćøÿîđìý êšĂÜÖĞćĀîéïĆâßĊñĎšĔßšđÞóćąĔĀšÖĆïñĎšðäĉïĆêĉÜćîĒúąêšĂÜ
øąÜĆ ï ÖćøĔßš Ü ćîĀøČ Ă úïïĆ â ßĊ ñĎš Ĕ ßš đ ÞóćąéĆ Ü ÖúŠ ć üđöČę Ă éĞ ć đîĉ î ÖćøĒúš ü đÿøĘ Ý îĂÖÝćÖîĊĚ ĀĆ ü Āîš ć
ÿćøÿîđìý êšĂÜÿĂïìćîïĆîìċÖđĀêčÖćøèŤ×ĂÜøąïï (System Log) đóČęĂêøüÝÿĂïÖĉÝÖøøöìĊę
đÖĉé×ċĚîøąĀüŠćÜ ÖćøđðúĊę÷îĒðúÜÞčÖđÞĉîéĆÜÖúŠćü
10) ĀĆüĀîšćÜćîÿćøÿîđìýĒúąñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜÙüïÙčöøąéĆï×ĂÜÿĉìíĉ (Authorization
Levels) ×ĂÜñĎšĔßšÜćî đöČęĂöĊÖćøđðúĊę÷îĒðúÜ×ĂÜēðøĒÖøöìĊęĔßšÜćîÝøĉÜ ĔĀšÿĂéÙúšĂÜÖĆïøąéĆïÿĉìíĉìĊę
ĕéšêÖúÜÖĆî
11) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöĔĀšöĊÖćøĀúĆÖåćîÖćøêøüÝÿĂï (Audit Trail) ×ĂÜ
ÖćøđðúĊę÷îĒðúÜìĊęøšĂÜ×ĂìĆĚÜĀöé ēé÷ĀúĆÖåćîÖćøêøüÝÿĂï (Audit Trail) êšĂÜðøąÖĂïéšü÷
1. øąïčëċÜïčÙÙúìĊęìĞćÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
2. øąïčëċÜïčÙÙúìĊęĂîčöĆêĉÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
3. üĆîĒúąđüúćìĊęĕéšđðúĊę÷îĒðúÜ ĒÖšĕ×ĒúąĂîčöĆêĉ
4. øć÷úąđĂĊ÷éÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
12) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊÖćøÙüïÙčöđüĂøŤßĆî ÿĞćĀøĆïÖćøðøĆïðøčÜĒúąĒÖšĕ×àĂôĒüøŤ
ìĆĚÜĀöé
13) ĔîÖøèĊìĊęöĊÖćøóĆçîćøąïïóøšĂöėÖĆî ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜöĆęîĔÝĕéšüŠćÖćøóĆçîćĒúą
ÖćøøüïøüöĀøČĂñÿöñÿćîÖćøđðúĊę÷îĒðúÜöĊÖćøðøąÿćîÜćîĂ÷ŠćÜđĀöćąÿö
14) ĔîÖøèĊìĊęøąïïÜćîöĊÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ× ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜðøąđöĉîñúÖøąìïéšćî
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
15) õć÷ĀúĆÜÖćøđðúĊę ÷îĒðúÜĒúąĒÖšĕ× ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöđóČęĂĔĀšöĆęîĔÝüŠć
ðøąÿĉìíĉõćóĒúąÖćøøĂÜøĆï×ĂÜøąïï÷ĆÜđðŨîĕðÙüćöêšĂÜÖćø×ĂÜđÝšć×ĂÜÿćøÿîđìýĀøČĂĕöŠ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 137 / 174
8.5.2 ÖćøêøüÝÿĂïÖćøìĞćÜćî×ĂÜĒĂóúĉđÙßĆîõć÷ĀúĆÜÝćÖìĊęđðúĊę÷îĒðúÜøąïïðäĉïĆêĉÖćø (Technical
Review of Applications After Operation System Changes)
1) ÖŠ Ă îìĊę Ý ąöĊ Ö ćøđðúĊę ÷ îĒðúÜøąïïðäĉ ïĆ êĉ Ö ćøêš Ă Üĕéš øĆ ï Ăîč öĆ êĉ Ý ćÖñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýìĊę
đÖĊę÷üךĂÜÖŠĂî
2) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÿĂïìćî×ĆĚîêĂîÖćøðäĉïĆêĉÜćîĔîÖćøÙüïÙčöÙüćöëĎÖêšĂÜÙøïëšüî
×ĂÜøąïïøąïïðäĉ ïĆ êĉ Ö ćø đóČę Ă ĔĀš öĆę î ĔÝüŠ ć ÖćøÙüïÙč ö îĆĚ î ĕöŠ ú éĀ÷Š Ă îõć÷ĀúĆ Ü ÝćÖ
ÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
3) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊÖćøìéÿĂïÖćøđðúĊę÷îĒðúÜøąïïðäĉïĆêĉÖćøĔîøąïï
ÿĞćĀøĆïìéÿĂï đóČęĂĔĀšöĆęîĔÝüŠćÖćøđðúĊę÷îĒðúÜéĆÜÖúŠćüÝąĕöŠöĊñúÖøąìïêŠĂøąïïìĊęĔĀšïøĉÖćøÝøĉÜ
ĀøČĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
4) ĀĆ ü Āîš ć ÿćøÿîđìý êš Ă ÜöĆę î ĔÝüŠ ć öĊ Ö ćøÝĆ é ìĞ ć ĒñîÖćøđðúĊę ÷ îĒðúÜĒúąĒÖšĕ ×øąïïðäĉ ïĆ êĉ Ö ćø
úŠüÜĀîšć đóČęĂĔĀšñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜöĊđüúćĔîÖćøìéÿĂïÖŠĂîÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
5) ĀĆüĀîšćÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊêĉéêćöĒóìߍ (Patch) ×ĂÜøąïïøąïïðäĉïĆêĉÖćøìĊęđÖĊę÷üךĂÜ
ÖĆïÙüćööĆęîÙÜðúĂéõĆ÷Ă÷ĎŠđÿöĂ ĔîÖøèĊöĊÖćøóĉÝćøèćĔĀšêĉéêĆĚÜĒóìߍ (Patch) ÖćøêĉéêĆĚÜéĆÜÖúŠćü
êšĂÜéĞćđîĉîÖćøêćö×ĆĚîêĂîðäĉïĆêĉÜćîđøČęĂÜÖćøÙüïÙčöÖćøđðúĊę÷îĒðúÜ
6) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéìĞćĒñîðäĉïĆêĉÖćøðøąÝĞćðŘĒúąÜïðøąöćè øĂÜøĆïÖćøÿĂïìćîĒúą
ÖćøìéÿĂïøąïïìĊęđðŨîñúöćÝćÖÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×øąïïðäĉïĆêĉÖćø

8.5.3 ÖćøÝĞćÖĆéÖćøđðúĊę÷îĒðúÜĒÖšĕ×êŠĂàĂôêŤĒüøŤìĊęöćÝćÖñĎšñúĉê (Restrictions on Changes to

Software Packages)
1) ēé÷ìĆęüĕðàĂôêŤĒüøŤÿĞćđøĘÝøĎð (Software Packages) ÝćÖđÝšć×ĂÜñúĉêõĆèæŤ ÝąĔßšÜćîēé÷
ðøćýÝćÖÖćøĒÖšĕ× ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜðøĆïðøčÜĒÖšĕ× êšĂÜĔĀšöĊÖćøóĉÝćøèćĔîđøČęĂÜêŠĂĕðîĊĚ
1. ÙüćöđÿĊę÷Üđóĉęö×ċĚîđîČęĂÜÝćÖ ÖćøÙüïÙčöìĊęòŦÜĕüšĔîøąïï (Built-In Controls) ĂćÝÝą
úéĀ÷ŠĂî
2. ÖćøĕéšøĆïÙüćö÷ĉî÷ĂöÝćÖđÝšć×ĂÜñúĉêõĆèæŤĔîÖćøĒÖšĕ×
3. ÙüćöđðŨîĕðĕéš×ĂÜÖćøđðúĊę÷îĒðúÜĒúąðøĆïðøčÜēðøĒÖøöĔĀšìĆîÿöĆ÷ÝćÖđÝšć×ĂÜ
ñúĉêõĆèæŤ
4. ñúÖøąìïĔîÖćøéĎĒúĒúąïĞćøčÜøĆÖþćēðøĒÖøöĔîĂîćÙê
2) ĔîÖøèĊìĊęöĊÙüćöÝĞćđðŨîêšĂÜðøĆïðøčÜĒÖšĕ×àĂôêŤĒüøŤÿĞćđøĘÝøĎð (Software Packages) ÝćÖđÝšć×ĂÜ
ñúĉ ê õĆ è æŤ êš Ă Üĕéš øĆ ï ÖćøĂîč öĆ êĉ Ý ćÖñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìýĒúąĀĆ ü Āîš ć ÜćîÿćøÿîđìýÖŠ Ă î
éĞćđîĉîÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 138 / 174
 3) ĀĆüĀîšćÜćîÿćøÿîđìýìĊęđÖĊę÷üךĂÜ êšĂÜÖĞćĀîéĔĀšöĊÖćøÝĆéìĞćđĂÖÿćøÖćøđðúĊę÷îĒðúÜĒúąĒÖšĕ×
àĂôêŤĒüøŤÿĞćđøĘÝøĎð (Software Packages) đóČęĂĔßšĔîÖćøéĎĒúĒúąïĞćøčÜøĆÖþćøąïïĔîĂîćÙê ìĆĚÜîĊĚ
ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìýêšĂÜÝĆéđÖĘïĒúąøĆÖþćàĂôêŤĒüøŤÿĞćđøĘÝøĎð (Software Packages) Ēúą
đĂÖÿćøÖćøđðúĊę÷îĒðúÜêšîÞïĆï đóČęĂĔßšĔîÖćøĂšćÜĂĉÜ

8.5.4 ÖćøðŜĂÜÖĆîÖćøøĆęüĕĀú×ĂÜÿćøÿîđìý (Information Leakage)

1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĔĀšöĊÖćøðŜĂÜÖĆîÖćøøĆęüĕĀú×ĂÜÿćøÿîđìý đóČęĂÝĞćÖĆéÙüćöđÿĊę÷Ü
×ĂÜÖćøøĆęüĕĀú×ĂÜÿćøÿîđìý đߊî ÖćøĔßšðøąē÷ßîŤßŠĂÜìćÜìĊęĒĂïĒòÜ đðŨîêšî ēé÷êšĂÜóĉÝćøèć
ĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøÙšîĀć (Scan) ÿČęĂïĆîìċÖךĂöĎúĒúąÖćøÿČęĂÿćø×ćĂĂÖ (Outbound Media and
Communications) đóČęĂĀćÿćøÿîđìýìĊęĒĂïĒòÜ
2. ÖćøĂĞćóøćÜ (Masking) ĒúąÖćøñÿöÿĆââćè (Modulate) øąïïÿćøÿîđìýĒúą
ÖćøÿČęĂÿćø đóČęĂúéēĂÖćÿìĊęĀîŠü÷Üćîõć÷îĂÖÝąÿćöćøëđךćĕðĔßšøąïïÿćøÿîđìý
ĒúąÖćøÿČęĂÿćøéĆÜÖúŠćü
3. Ĕßšø ąïïĒúąàĂôêŤĒ üøŤ (Software) ìĊę óĉÝ ćøèćĒúšü üŠ ć đðŨî ìĊę÷ ĂöøĆï êćö
öćêøåćîÿćÖú (High Integrity)
4. öĊÖćøđòŜćøąüĆÜñĎšðäĉïĆêĉÜćîĒúąÖĉÝÖøøö×ĂÜøąïïĂ÷ŠćÜÿöęĞćđÿöĂ õć÷ĔêšÖãøąđïĊ÷ï
ךĂïĆÜÙĆï
5. öĊÖćøêøüÝêøćÖćøĔßšìøĆó÷ćÖø×ĂÜøąïïÿćøÿîđìý
6. öĊÖćøÿĂïìćîàĂøŤÿēÙšé (Source Code) ×ĂÜøąïïìĊęÿĞćÙĆâìĊęóĆçîćēé÷ĀîŠü÷Üćî
õć÷Ĕî Öôñ. ĒúąĀîŠü÷Üćîõć÷îĂÖ ÖŠĂîîĞćĕðĔßšÜćî

8.5.5 ÖćøóĆçîćàĂôêŤĒüøŤēé÷ĀîŠü÷Üćîõć÷îĂÖ (Outsourced Software Development)

1) ĔîÖøèĊìĊęàĂôêŤĒüøŤ (Software) ëĎÖóĆçîćēé÷ĀîŠü÷Üćîõć÷îĂÖ ĀĆüĀîšćÜćîÿćøÿîđìýĒúąñĎšđðŨî
đÝšć×ĂÜÿćøÿîđìýêšĂÜóĉÝćøèćĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ĔĀšĀîŠü÷Üćîõć÷îĂÖúÜîćöĔîךĂêÖúÜöĉĔĀšđðŗéđñ÷ÙüćöúĆï×ĂÜ Öôñ.
2. ĔĀšöĊÖćøïøĉĀćøÝĆéÖćøđøČęĂÜúĉ×ÿĉìíĉĝ ÙüćöđðŨîđÝšć×ĂÜàĂøŤÿēÙšé (Source Code) Ēúą
ìøĆó÷ŤÿĉîìćÜðŦââć
3. ĔĀšöĊÖćøøĆïøĂÜÙčèõćóĒúąÙüćöëĎÖêšĂÜ×ĂÜÜćîìĊęÿŠÜöĂï
4. ךĂêÖúÜĔîÖćøéĎĒúñúðøąē÷ßîŤ×ĂÜìĆĚÜÿĂÜòść÷ (Escrow Arrangements) ĔîÖøèĊìĊę
ĀîŠü÷Üćîõć÷îĂÖĕöŠÿćöćøëĔĀšïøĉÖćøĕéš
5. ĔĀšÿĉìíĉ×ĂÜ Öôñ. ĔîÖćøđךćêøüÝÿĂïÙčèõćóĒúąÙüćöëĎÖêšĂÜ×ĂÜÜćîìĊęÿŠÜöĂï
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 139 / 174
 6. ĔĀšöĊÖćøìéÿĂïàĂôêŤĒüøŤ (Software) ìĊęëĎÖóĆçîćēé÷ĀîŠü÷Üćîõć÷îĂÖ ÖŠĂîÖćø
êĉéêĆĚÜđóČęĂêøüÝĀćēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ
7. öĊÖćøÖĞćĀîéĔĀšĀîŠü÷Üćîõć÷îĂÖìĊęóĆçîćàĂôêŤĒüøŤ (Software) êšĂÜðäĉïĆêĉêćö
ךĂÖĞćĀîé ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîĔîÖćøóĆçîćĀøČĂöćêøåćîéšćîÙčèõćó×ĂÜ Öôñ.
8. öĊÖćøÖĞćĀîéÙčèÿöïĆêĉéšćîÙüćöðúĂéõĆ÷ĔîÖćøÿŠÜñŠćîךĂöĎúøąĀüŠćÜ Öôñ. Ēúą
ĀîŠü÷Üćîõć÷îĂÖìĊęóĆçîćàĂôêŤĒüøŤ (Software)

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD- 10 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÿćøÿîđìý (Change
Management Procedure)

8.6 ÖćøïøĉĀćøÝĆéÖćøߊĂÜēĀüŠĔîăćøŤéĒüøŤĒúąàĂôêŤĒüøŤ (Technical Vulnerability

Management)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøïøĉĀćøÝĆéÖćøߊĂÜēĀüŠĔîăćøŤéĒüøŤ (Hardware) ĒúąàĂôêŤĒüøŤ (Software)

öćêøåćî
8.6.1 öćêøÖćøÙüïÙčöߊĂÜēĀüŠìćÜđìÙîĉÙ (Control of Technical Vulnerabilities)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖøąïüîÖćøÝĆéÖćøߊĂÜēĀüŠìćÜđìÙîĉÙìĊęđĀöćąÿöĒúąìĆîìŠüÜìĊ
ēé÷êšĂÜóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖĞćĀîéĔĀšöĊñĎšøĆïñĉéßĂïĔîÖćøÝĆéÖćøߊĂÜēĀüŠìćÜđìÙîĉÙ øüöëċÜÖćøđòŜćøąüĆÜĒúą
ÙüïÙč ö éĎ Ē úߊ Ă ÜēĀüŠ Öćøðøąđöĉ î ÙüćöđÿĊę ÷ Ü×ĂÜߊ Ă ÜēĀüŠ ÖćøĒóìߍ (Patch)
ÖćøêĉéêćöìøĆó÷Ťÿĉî ĒúąÖćøðøąÿćîÜćîÖĆïĀîŠü÷ÜćîìĊęđÖĊę÷üךĂÜ
2. ĒĀúŠ Üך ĂöĎ ú ìĊęĔ ßšĔ îÖćøøąïč êĉ éêćöĒúąêøąĀîĆÖ ëċÜߊĂÜēĀüŠ ì ćÜđìÙîĉÙ ÿĞćĀøĆ ï
àĂôêŤĒüøŤ (Software) ĒúąđìÙēîēú÷ĊĂČęîė êšĂÜĕéšøĆïÖćøðøĆïðøčÜĔĀšìĆîÿöĆ÷Ēúą
ÿĂéÙúš Ă ÜÖĆ ï ÖćøđðúĊę ÷ îĒðúÜ×ĂÜìąđïĊ ÷ îìøĆ ó ÷Ť ÿĉ î ÿćøÿîđìý ĀøČ Ă đöČę Ă öĊ
ÖćøÙšîóïߊĂÜìćÜìĊęđðŨîðøąē÷ßîŤđóĉęöđêĉö
3. êšĂÜöĊÖćøÖĞćĀîéøą÷ąđüúćêĂïÿîĂÜĀøČĂøĆïöČĂ ÖćøĒÝšÜđêČĂîߊĂÜēĀüŠìćÜđìÙîĉÙìĊę
ĂćÝđÖĉé×ċĚî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 140 / 174

 4. đöČę Ă öĊ Ē îüēîš ö ĔîÖćøđÖĉ é ߊ Ă ÜēĀüŠ ì ćÜđìÙîĉ Ù ĀĆ ü Āîš ć Üćîÿćøÿîđìýêš Ă Üøąïč
ÙüćöđÿĊę÷ÜìĊęđÖĊę÷üךĂÜĒúąüĉíĊÖćøøĆïöČĂ đߊî ÖćøĒóìߍ (Patch) ߊĂÜēĀüŠ×ĂÜøąïï
ĒúąĀøČĂ Öćøðøą÷čÖêŤ ÖćøÙüïÙčöĂČęîė đðŨîêšî ēé÷üĉíĊÖćøøĆïöČĂéĆÜÖúŠćüêšĂÜëČĂ
ðäĉïĆêĉêćö×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÿćøÿîđìý
ĀøČ Ă ×ĆĚ î êĂîðäĉ ïĆ êĉ Ü ćîđøČę Ă ÜÖćøêĂïÿîĂÜêŠ Ă ÿëćîÖćøèŤ ìĊę đ ÖĊę ÷ üÖĆ ï ÙüćööĆę î ÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
5. êšĂÜðøąđöĉîÙüćöđÿĊę÷ÜĒúąìéÿĂïĒóìߍ (Patch) ÖŠĂîêĉéêĆĚÜ đóČęĂĔĀšöĆęîĔÝĕéšüŠć Öćø
êĉéêĆĚÜöĊðøąÿĉìíĉõćóĒúąĕöŠÿŠÜñúÖøąìïךćÜđÙĊ÷ÜĂ÷ŠćÜøčîĒøÜ ĔîÖøèĊìĊęĕöŠöĊĒóìߍ
(Patch) êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöĂČęîė đߊî
x ÖćøðŗéïøĉÖćøìĊęđÖĊę÷üךĂÜÖĆïߊĂÜēĀüŠìćÜđìÙîĉÙ
x ÖćøðøĆïđðúĊę÷îĀøČĂđóĉęöÖćøÙüïÙčöĔîÖćøđךćëċÜ đߊî Firewalls đðŨîêšî
x ÖćøđóĉęöÖćøđòŜćøąüĆÜ đóČęĂêøüÝÝĆïĀøČĂðŜĂÜÖĆîÖćøÝĎŠēÝö
x ÖćøđóĉęöÙüćöêøąĀîĆÖëċÜߊĂÜēĀüŠìćÜđìÙîĉÙ
6. êšĂÜöĊÖćøïĆîìċÖđĀêčÖćøèŤđóČęĂÖćøêøüÝÿĂï (Audit Log) ĔîìčÖė×ĆĚîêĂîðäĉïĆêĉÜćî
ìĊęéĞćđîĉîÖćø
7. êšĂÜöĊÖćøêøüÝÿĂïĒúąðøąđöĉîÖøąïüîÖćøĔîÖćøïøĉĀćøÝĆéÖćøߊĂÜēĀüŠìćÜđìÙîĉÙ
Ă÷ŠćÜÿöęĞćđÿöĂ đóČęĂĔĀšöĆęîĔÝüŠćÖøąïüîÖćøéĆÜÖúŠćüöĊðøąÿĉìíĉõćóĒúąðøąÿĉìíĉñú
8. øąïïìĊęöĊÙüćöđÿĊę÷ÜÿĎÜêšĂÜéĞćđîĉîÖćøÝĆéÖćøߊĂÜēĀüŠìćÜđìÙîĉÙÖŠĂî
2) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéüćÜĂčðÖøèŤðøąöüúñúÿćøÿîđìýÿĞćîĆÖÜćî ĔĀšĂ÷ĎŠĔîóČĚîìĊęĒúą
ÿõćóĒüéúšĂöìĊęđĀöćąÿöêćöÙĎŠöČĂÖćøĔßšÜćî×ĂÜđÝšć×ĂÜñúĉêõĆèæŤ
3) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøïĞćøčÜøĆÖþćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĒúąøąïï
ÿîĆïÿîčîÖćøìĞćÜćîêŠćÜė Ă÷ŠćÜÿöęĞćđÿöĂ

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD- 10 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜÿćøÿîđìý (Change
Management Procedure)

ST-09: öćêøåćîÖćøïøĉĀćøÝĆéÖćøÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý (Standard of Information Security Incident Management)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 141 / 174

üĆêëčðøąÿÜÙŤ
đóČę Ă ĔĀš đ Āêč Ö ćøèŤ Ē úąÝč é ĂŠ Ă îìĊę đ ÖĊę ÷ üך Ă ÜÖĆ ï ÙüćööĆę î ÙÜðúĂéõĆ ÷ êŠ Ă øąïïÿćøÿîđìý×ĂÜ Öôñ. ĕéš øĆ ï
ÖćøéĞćđîĉîÖćøĂ÷ŠćÜöĊðøąÿĉìíĉñúĔîߊüÜøą÷ąđüúćìĊęđĀöćąÿö Öôñ. ÝċÜÖĞćĀîéĔĀšöĊöćêøåćîÖćøïøĉĀćø
ÝĆéÖćøÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý àċęÜðøąÖĂïéšü÷ 2 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) Öćøøć÷ÜćîđĀêčÖćøèŤĒúąÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Reporting
information Security Events and Weaknesses)
2) ÖćøïøĉĀćøÝĆéÖćøĒúąÖćøðøĆïðøčÜĒÖšĕ×êŠĂÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý (Management of Information Security Incidents and Improvement)

ïìïćìĀîšćìĊę
ñĎšïøĉĀćøđìÙēîēú÷ĊÿćøÿîđìýøąéĆïÿĎÜ
ƒ øĆïøć÷ÜćîÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĔîđïČĚĂÜêšîÝćÖÙèąìĞćÜćî
EGAT CERT ĔîÖøèĊđøŠÜéŠüîĀøČĂđĀêčÖćøèŤĄ ìĊęöĊÙüćöĂŠĂîĕĀüêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý

ÙèąìĞćÜćî EGAT Computer Emergency Response Team (EGAT CERT)

ƒ đñ÷ĒóøŠĒúąðøąßćÿĆöóĆîíŤĔĀšñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖøĆïìøćï×ĆĚîêĂîÖćøðäĉïĆêĉÜćî
ÿĞćĀøĆïÖćøøć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ÖĞćĀîéĒîüìćÜÖćøđòŜćøąüĆÜøąïïÿćøÿîđìý ĒúąßŠĂÜēĀüŠéšćîøąïïÿćøÿîđìý đóČęĂêĉéêćöĒúą
ðŜĂÜÖĆîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ÖĞćĀîéĒîüìćÜĔîÖćøøĆïöČĂÖĆïđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý đóČęĂÿćöćøë
êĂïÿîĂÜÖĆïđĀêčÖćøèŤĂ÷ŠćÜđĀöćąÿöĒúąìĆîìŠüÜìĊ
ƒ ÝĆé ĔĀšöĊ ߊĂÜìćÜÖćøøć÷ÜćîñúÖćøøĆï öČĂĀøČ ĂÖćøĒÖš ĕ ×đĀêč Ö ćøèŤĄ ÝćÖĀĆü Āîš ćÜćîÿćøÿîđìý
õć÷ĀúĆÜìĊęĕéšéĞćđîĉîÖćøĒÖšĕ×đÿøĘÝÿĉĚî
ƒ øüïøüöךĂöĎúđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý øć÷ÜćîêŠĂÙèąÖøøöÖćø
đìÙēîēú÷Ċÿćøÿîđìý (Ùìÿ.) ĀøČĂñĎšïøĉĀćøđìÙēîēú÷ĊÿćøÿîđìýøąéĆïÿĎÜ (CIO) ĔîÖøèĊđøŠÜéŠüî
ƒ üĉđÙøćąĀŤøć÷ÜćîÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïöĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý đóČęĂîĞćĕððøĆïðøčÜÖćøÙüïÙčö
éšćîÿćøÿîđìý óøšĂöìĆĚÜÝĆéìĞćøć÷ÜćîÿøčðĔĀšÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý (Ùìÿ.)
ƒ óĉÝćøèćÙüćöđĀöćąÿöĔîÖćøđðŗéđñ÷ÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ðøąÿćîÜćîĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂøüïøüöÖćøđøĊ÷îøĎšøĎðĒïï×ĂÜđĀêčÖćøèŤĄ óøšĂöìĆĚÜđñ÷ĒóøŠ
ÙüćöøĎšĔîÖćøĒÖšĕ×ĒúąđêøĊ÷öÖćøðŜĂÜÖĆîđĀêčÖćøèŤĄ ìĊęĂćÝđÖĉé×ċĚîĔîĂîćÙêĔĀšÖĆïñĎšðäĉïĆêĉÜćî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 142 / 174

 ƒ ÝĆéìĞćĒñîøĂÜøĆïÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷ (Incident Response Plan) đóČęĂøĆïöČĂ
ÖĆïÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýĔîÖćøÝĆéÖćøĀúĆÖåćîÖćøêøüÝÿĂï (Audit Trail) Ēúą
ó÷ćîĀúĆÖåćîĂ÷ŠćÜđĀöćąÿö
ĀĆüĀîšćÜćîÿćøÿîđìý
ƒ ĂîčöĆêĉÿĞćĀøĆïÖćøóĉÿĎÝîŤ ĀøČĂìéÿĂïÝčéĂŠĂîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ÖĞć ĀîéĀîš ć ìĊę Ù üćöøĆ ï ñĉ é ßĂï×ĂÜĀîŠ ü ÷ÜćîÿćøÿîđìýĔîÖćøđòŜ ć øąüĆ Ü øąïïÿćøÿîđìý Ēúą
ߊĂÜēĀüŠ éšćîøąïïÿćøÿîđìý đóČęĂêĉéêćöĒúąðŜĂÜÖĆîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
ƒ ÝĆéĔĀšöĊÖćøÙüïÙčöÖĉÝÖøøöÖćøĒÖšĕ×ĒúąÖĎšÙČîøąïïđöČęĂđÖĉéđĀêčÖćøèŤĄ
ƒ ÝĆéĔĀšöĊÖćøÝĆéÖćøĀúĆÖåćîÖćøêøüÝÿĂï (Audit Trail) Ēúąó÷ćîĀúĆÖåćîĂ÷ŠćÜđĀöćąÿö
ƒ éĞćđîĉîÜćîđøĊ÷îøĎšøĎðĒïï×ĂÜđĀêčÖćøèŤĄ đóČęĂøąïčĒúąìĞćÙüćöđךćĔÝ ÝčéĂŠĂî ߊĂÜēĀüŠ ×ĂÜđĀêčÖćøèŤ
Ą
ƒ øć÷ÜćîñúÖćøøĆïöČĂĀøČĂÖćøĒÖšĕ×đĀêčÖćøèŤĄ õć÷ĀúĆÜìĊęĕéšéĞćđîĉîÖćøĒÖšĕ×đÿøĘÝÿĉĚî

ñĎšĒÝšÜđĀêčÖćøèŤ
ƒ øąïčךĂöĎúìĊęÿĞćÙĆâÿĞćĀøĆïđĀêčÖćøèŤĄĔĀšöćÖìĊęÿčé è ߊüÜđüúćìĊęđÖĉéđĀêčÖćøèŤ

ñĎšðäĉïĆêĉÜćî
ƒ øć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĔîìĆîìĊìĊęóïđĀêčÖćøèŤìĊęđÖĊę÷üÖĆï
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĀøČĂÿÜÿĆ÷üŠćĂćÝđðŨîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý
ƒ éĞćđîĉîÖćøêĉéêćöđĀêčÖćøèŤĄ Ă÷ŠćÜêŠĂđîČęĂÜÝîÖøąìĆęÜđĀêčÖćøèŤĄ ĕéšéĞćđîĉîÖćøĒÖšĕ×đÿøĘÝÿĉĚî
ƒ øć÷ÜćîÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĆîìĊ êćöߊĂÜìćÜìĊę EGAT CERT
ÖĞćĀîé

ĀîŠü÷Üćîõć÷îĂÖ
ƒ øć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĔîìĆîìĊìĊęóïđĀêčÖćøèŤìĊęđÖĊę÷üÖĆï
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĀøČĂÿÜÿĆ÷üŠćĂćÝđðŨîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý
ƒ øć÷ÜćîÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĆîìĊ êćöߊĂÜìćÜìĊę EGAT CERT
ÖĞćĀîé

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 143 / 174

9.1 Öćøøć÷ÜćîđĀêčÖćøèŤĒúąÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
(Reporting Information Security Events and Weaknesses)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀš öĊ Ö ćøøć÷ÜćîđĀêč Ö ćøèŤ Ē úąÝč é ĂŠ Ă îìĊę đ ÖĊę ÷ üÖĆ ï ÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îÿćøÿîđìýñŠ ć îߊ Ă ÜìćÜ
Öćøøć÷ÜćîìĊęÖĞćĀîéĕüš đóČęĂĔĀšöĆęîĔÝüŠćđĀêčÖćøèŤĒúąÝčéĂŠĂîéĆÜÖúŠćüĕéšøĆïÖćøêøüÝóïĒúąéĞćđîĉîÖćøĒÖšĕ×
Ă÷ŠćÜëĎÖêšĂÜõć÷ĔîđüúćìĊęđĀöćąÿö

öćêøåćî
9.1.1 Öćøøć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý (Reporting Information
Security Events)
1) Öôñ. êšĂÜÝĆéêĆĚÜÙèąìĞćÜćî EGAT Computer Emergency Response Team (EGAT CERT)
đóČęĂĔßšđðŨîߊĂÜìćÜĔĀšñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖøć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
2) ÙèąìĞćÜćî EGAT CERT êšĂÜđñ÷ĒóøŠĒúąðøąßćÿĆöóĆîíŤĔĀšñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖ
øĆïìøćï×ĆĚîêĂîÖćøðäĉïĆêĉÜćîÿĞćĀøĆïÖćøøć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý
3) ÙèąìĞćÜćî EGAT CERT ÖĞćĀîéĒîüìćÜĔîÖćøøĆïöČĂÖĆïđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý đóČęĂÿćöćøëêĂïÿîĂÜÖĆïđĀêčÖćøèŤĂ÷ŠćÜđĀöćąÿöĒúąìĆîìŠüÜìĊ
4) ñĎš ð äĉ ïĆ êĉ Ü ćîĒúąĀîŠ ü ÷Üćîõć÷îĂÖ öĊ Ā îš ć ìĊę Ĕ îÖćøøć÷ÜćîđĀêč Ö ćøèŤ ìĊę đ ÖĊę ÷ üÖĆ ï ÙüćööĆę î ÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìýĔîìĆîìĊìĊęóïđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĀøČĂ
ÿÜÿĆ÷üŠćĂćÝđðŨîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ìĆĚÜîĊĚ đĀêčÖćøèŤìĊęđÖĊę÷üÖĆï
ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýêšĂÜÙøĂïÙúčöđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ĂčðÖøèŤðøąöüúñúÿćøÿîđìýĀøČĂïøĉÖćøéšćîÿćøÿîđìý ĕöŠÿćöćøëĔĀšïøĉÖćøĕéš
2. øąïïìĞćÜćîñĉéóúćé (Malfunctions)
3. öĊÖćøđךćëċÜךĂöĎúÿĞćÙĆâĒúąîĞćĕðĔßšĔîÜćîēé÷ñĉéüĆêëčðøąÿÜÙŤĀøČĂēé÷ĕöŠĕéšøĆïĂîčâćê
4. öĊÖćøđðúĊę÷îĒðúÜĒÖšĕ× ÿćøÿîđìý ēðøĒÖøö ĀøČĂ ĂčðÖøèŤðøąöüúñúÿćøÿîđìý ēé÷
ĕöŠĕéšøĆïĂîčâćê
5. ךĂöĎúìĊęÿĞćÙĆâ×ĂÜ Öôñ. ÿĎâĀć÷ đߊî ךĂöĎúÖćøđÜĉî ךĂöĎúđÜĉîđéČĂî đðŨîêšî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 144 / 174

 6. õĆ ÷ íøøößćêĉ ìĊę ìĞ ć ĔĀš ÿ ćøÿîđìýĒúąøąïïÿćøÿîđìý×ĂÜ Öôñ. đÿĊ ÷ Āć÷ìĞ ć ĔĀš
ñĎšðäĉïĆêĉÜćîĕöŠÿćöćøëðäĉïĆêĉÜćîðøąÝĞćüĆîĕéš
7. ĂčðÖøèŤðøąöüúñúÿćøÿîđìý ÿćøÿîđìý Ēúąøąïïÿćøÿîđìý ëĎÖēÝöêĊĒúąĂćÝìĞć
ĔĀšĒóøŠÖøąÝć÷ēé÷ēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ
8. øąïïđÙøČĂ׊ć÷ĒúąÖćøÿČęĂÿćø×ĆéךĂÜĕöŠÿćöćøëĔĀšïøĉÖćøĕéš
9. öĊÖćøđךćëċÜךĂöĎú×èąÿŠÜñŠćîđÙøČĂ׊ć÷ēé÷ĕöŠĕéšøĆïĂîčâćê
5) ĔîÖøèĊìĊęĂčðÖøèŤðøąöüúñúÿćøÿîđìýìĊęĂ÷ĎŠĔîÙüćöøĆïñĉéßĂï ëĎÖēÝöêĊĀøČĂĒóøŠÖøąÝć÷ēé÷
ēðøĒÖøöìĊę ĕ öŠ ð øąÿÜÙŤ éĊ ñĎš ð äĉ ïĆ êĉ Ü ćîĒúąĀîŠ ü ÷Üćîõć÷îĂÖ êš Ă ÜêĆ é ÖćøđßČę Ă öêŠ Ă Ăč ð ÖøèŤ
ðøąöüúñúÿćøÿîđìýìĊęĂ÷ĎŠĔî׊ć÷êšĂÜÿÜÿĆ÷ÝćÖđÙøČĂ׊ć÷×ĂÜ Öôñ. óøšĂöìĆĚÜøć÷ÜćîđĀêčÖćøèŤ
éĆÜÖúŠćüĔĀš EGAT CERT ìøćïēé÷ìĆîìĊ ĒúąĔĀšÙüćöøŠüööČĂÖĆïĀîŠü÷ÜćîÿćøÿîđìýĔîÖćøÖĞćÝĆé
ēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ ÖŠĂîîĞćĂčðÖøèŤðøąöüúñúÿćøÿîđìýđßČęĂöêŠĂÖĆïđÙøČĂ׊ć÷×ĂÜ Öôñ.
6) đĀêč Ö ćøèŤ ìĊę đ ÖĊę ÷ üÖĆ ï ÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îÿćøÿîđìý êš Ă ÜëĎ Ö ïĆ î ìċ Ö Ĕî ĒïïôĂøŤ ö ĒÝš Ü
đĀêčÖćøèŤ×ĂÜ EGAT CERT ĂĊÖìĆĚÜ ñĎšĒÝšÜđĀêčÖćøèŤĄ êšĂÜøąïčךĂöĎúìĊęÿĞćÙĆâÿĞćĀøĆïđĀêčÖćøèŤĄ ĔĀš
öćÖìĊęÿčé è ߊüÜđüúćìĊęđÖĉéđĀêčÖćøèŤ ìĆĚÜîĊĚךĂöĎúïćÜÿŠüîĂćÝÝąðøĆïðøčÜĔîõć÷ĀúĆÜÝćÖìĊęöĊÖćø
ÿČïÙšîĒÖšĕ×đĀêčÖćøèŤĄ đÿøĘÝÿĉĚî ēé÷ךĂöĎúìĊęêšĂÜïĆîìċÖĔîĒïïôĂøŤöĒÝšÜđĀêčÖćøèŤ×ĂÜ EGAT
CERT ÙøĂïÙúčöđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÿëćîìĊę üĆîĒúąđüúćìĊęóïĀøČĂđÖĉéđĀêčÖćøèŤĄ
2. ñĎšøć÷Üćî đߊî ßČęĂ îćöÿÖčú Āöć÷đú×ðøąÝĞćêĆü êĞćĒĀîŠÜ ÿĆÜÖĆé ĒúąđïĂøŤēìøýĆóìŤ
đðŨîêšî
3. üĆîìĊęĒúąđüúćìĊęøć÷ÜćîđĀêčÖćøèŤĄ
4. øć÷úąđĂĊ÷é×ĂÜđĀêčÖćøèŤĄ đߊî ïčÙÙúìĊęđÖĊę÷üךĂÜ øć÷úąđĂĊ÷é×ĂÜđĀêčÖćøèŤĔÙøìĞć
Ăąĕø ìĊęĕĀî Ă÷ŠćÜĕø đöČęĂĕø ĒúąìĞćĕö đðŨîêšî
5. ñĎšøĆïđøČęĂÜøć÷Üćî đߊî ßČęĂ îćöÿÖčú Āöć÷đú×ðøąÝĞćêĆü êĞćĒĀîŠÜ ÿĆÜÖĆé ĒúąđïĂøŤ
ēìøýĆóìŤ đðŨîêšî
6. ñúÖøąìïêŠĂÖćøðäĉïĆêĉÜćîðøąÝĞćüĆî
7. ÖćøĒÖšĕ×ðŦâĀć
8. ðøąöćèÖćøöĎúÙŠćÙüćöđÿĊ÷Āć÷
9. ךĂöĎúđóĉęöđêĉöĂČęîė ìĊęÝĞćđðŨî (ëšćöĊ)
7) ÙèąìĞćÜćî EGAT CERT ÝĆéĔĀšöĊߊĂÜìćÜÖćøøć÷ÜćîñúÖćøøĆïöČĂĀøČĂÖćøĒÖšĕ×đĀêčÖćøèŤĄ ÝćÖ
ĀĆüĀîšćÜćîÿćøÿîđìý õć÷ĀúĆÜìĊęĕéšéĞćđîĉîÖćøĒÖšĕ×đÿøĘÝÿĉĚî
8) ÙèąìĞćÜćî EGAT CERT êšĂÜøüïøüöךĂöĎúđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý øć÷ÜćîêŠĂÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý (Ùìÿ.) ÷ÖđüšîĔîÖøèĊđøŠÜéŠüîĀøČĂ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 145 / 174
 đĀêčÖćøèŤĄ ìĊęöĊÙüćöĂŠĂîĕĀüêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ĔîđïČĚĂÜêšîĂćÝøć÷ÜćîêøÜ
êŠĂñĎšïøĉĀćøđìÙēîēú÷ĊÿćøÿîđìýøąéĆïÿĎÜ (CIO) ēé÷êšĂÜéĞćđîĉîÖćøđðŨîÙüćöúĆïĒúąöĊÖćøÝĆéìĞć
đĂÖÿćøđóČęĂøć÷ÜćîĔîõć÷ĀúĆÜ ìĆĚÜîĊĚñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜêšĂÜéĞćđîĉîÖćøêĉéêćöđĀêčÖćøèŤĄ
Ă÷ŠćÜêŠĂđîČęĂÜÝîÖøąìĆęÜđĀêčÖćøèŤĄ ĕéšéĞćđîĉîÖćøĒÖšĕ×đÿøĘÝÿĉĚî
9) ÙèąìĞćÜćî EGAT CERT êšĂÜóĉÝćøèćÙüćöđĀöćąÿöĔîÖćøđðŗéđñ÷đĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý Ēúąøć÷ÜćîêŠĂñĎšïøĉĀćøđìÙēîēú÷ĊÿćøÿîđìýøąéĆïÿĎÜ (CIO) Ĕî
ÖøèĊìĊęêšĂÜðøąÿćîÜćî đóČęĂéĞćđîĉîÖćøêćöÖãĀöć÷êšĂÜ×ĂÙüćöÙĉéđĀĘîÖĆïòść÷ÖãĀöć÷ÖŠĂî
éĞćđîĉîÖćø

9.1.2 Öćøøć÷ÜćîÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜĂÜÙŤÖø (Reporting Security

Weaknesses)
1) ĔîÖøèĊìĊęóïÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĀøČĂÿÜÿĆ÷üŠćĂćÝđðŨîÝčéĂŠĂîìĊę
đÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖ êšĂÜøć÷Üćî
ÝčéĂŠĂîìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýìĆîìĊ êćöߊĂÜìćÜìĊę EGAT CERT ÖĞćĀîé
2) ÖćøóĉÿĎÝîŤ ĀøČĂ ìéÿĂïÝčéĂŠĂîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý êšĂÜĕéšøĆïÖćøĂîčöĆêĉÝćÖ
ÙèąìĞćÜćî EGAT CERT ĒúąĀĆüĀîšćÜćîÿćøÿîđìýđìŠćîĆĚî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-33 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøïøĉĀćøÝĆéÖćøđöČęĂđÖĉéđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý (Information Security Incident Management Procedure)

9.2 ÖćøïøĉĀćøÝĆéÖćøĒúąÖćøðøĆïðøčÜĒÖšĕ×êŠĂÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìý (Management of Information Security Incidents and
Improvements)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖøąïüîÖćø üĉíĊÖćøìĊę ÿĂéÙúšĂÜĒúąöĊðøąÿĉìíĉõćóĔîÖćøÝĆéÖćøÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ ÷éšćîÿćøÿîđìý×ĂÜ Öôñ. ÖćøđøĊ ÷îøĎšÝćÖÿëćîÖćøèŤìĊę đÖĊę÷üך ĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý ĒúąÖćøÙüïÙčöÖćøđÖĘïøüïøüöĀúĆÖåćî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 146 / 174

öćêøåćî
9.2.1 ĀîšćìĊęÙüćöøĆïñĉéßĂïĒúą×ĆĚîêĂîðäĉïĆêĉ (Responsibilities and Procedures)
1) ÙèąìĞćÜćî EGAT CERT êšĂÜÖĞćĀîéĒîüìćÜĔîÖćøđòŜćøąüĆÜøąïïÿćøÿîđìý ĒúąßŠĂÜēĀüŠéšćî
øąïïÿćøÿîđìý
2) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜĀîŠü÷ÜćîÿćøÿîđìýĔîÖćøđòŜćøąüĆÜ
øąïïÿćøÿîđìý ĒúąßŠĂÜēĀüŠéšćîøąïïÿćøÿîđìý êćöĒîüìćÜĔîÖćøđòŜćøąüĆÜ đóČęĂêĉéêćöĒúą
ðŜĂÜÖĆîÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
3) ÙèąìĞćÜćî EGAT CERT êšĂÜÝĆéìĞć ĒñîøĂÜøĆïÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷
(Incident Response Plan) đóČęĂøĆïöČĂÖĆïÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý éĆÜêŠĂĕðîĊĚ
1. ÙüćöúšöđĀúü ĀøČĂÖćøĀ÷čéÖćøĔĀšïøĉÖćø×ĂÜøąïïÿćøÿîđìý
2. ēðøĒÖøöìĊęĕöŠðøąÿÜÙŤéĊ
3. ÖćøēÝöêĊđóČęĂĔĀšđÖĉéÖćøĀ÷čéÖćøĔĀšïøĉÖćø (Denial of Service)
4. ÙüćöñĉéóúćéÝćÖךĂöĎúìćÜíčøÖĉÝìĊęĕöŠÿöïĎøèŤĀøČĂĕöŠëĎÖêšĂÜ
5. ÖćøÿĎâđÿĊ÷ÙüćöúĆïĒúąÙüćöëĎÖêšĂÜÙøïëšüî
6. ÖćøĔßšøąïïÿćøÿîđìýñĉéüĆêëčðøąÿÜÙŤ
îĂÖÝćÖîĊĚ ĒñîøĂÜøĆïÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷ (Incident Response Plan)
êšĂÜÙøĂïÙúčöëċÜđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøüĉđÙøćąĀŤĒúąÖćøøąïčÿćđĀêč×ĂÜÖćøđÖĉé×ċĚî×ĂÜÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý
2. ÖćøüćÜĒñîĒúąÖćøĒÖšĕ×ĒïïđßĉÜðŜĂÜÖĆîđóČęĂðŜĂÜÖĆîĕöŠĔĀšđÖĉéðŦâĀćĒïïđéĉöĔîĂîćÙê
3. ÖćøêĉéêŠĂÿČęĂÿćøÖĆïïčÙÙúĀøČĂĀîŠü÷ÜćîìĊęđÖĊę÷üךĂÜĔîÖćøÖĎšÙČîøąïï
4. Öćøøć÷ÜćîñúÖćøðäĉïĆêĉÜćî
4) ÙèąìĞćÜćî EGAT CERT êšĂÜìĞćĀîšćìĊęðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý ĔîÖćøÝĆéÖćø
ĀúĆÖåćîÖćøêøüÝÿĂï (Audit Trail) Ēúąó÷ćîĀúĆÖåćîĂ÷ŠćÜđĀöćąÿö ēé÷ÖćøĔßšüĉíĊđÖĘïøüïøüö
ó÷ćîĀúĆÖåćîìćÜîĉêĉüĉì÷ćýćÿêøŤ (Forensic Evidence)
5) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÝĆéĔĀšöĊÖćøÙüïÙčöÖĉÝÖøøöÖćøĒÖšĕ×ĒúąÖĎšÙČîøąïïđöČęĂđÖĉéÿëćîÖćøèŤ
ìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ēé÷ÖćøÙüïÙčöÖĉÝÖøøöêšĂÜÙøĂïÙúčöéĆÜêŠĂĕðîĊĚ
1. ñĎšìĊęìĞćÖćøĒÖšĕ×ĒúąÖĎšÙČîøąïïÜćîÝøĉÜ êšĂÜđðŨîñĎšìĊęĕéšøĆïĂîčâćêđìŠćîĆĚî
2. öĊÖćøÝĆéìĞćđĂÖÿćøĒÿéÜøć÷úąđĂĊ÷éÖćøéĞćđîĉîÖćøĒÖšĕ×ĒúąÖĎšÙČîøąïï
3. öĊÖćøøć÷ÜćîñúÖćøĒÖšĕ×ĒúąÖĎšÙČî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 147 / 174

9.2.2 ÖćøđøĊ÷îøĎšÝćÖÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷ (Learning From Security Incidents)
1) ÙèąìĞćÜćî EGAT CERT êšĂÜüĉđÙøćąĀŤ øć÷ÜćîđĀêčÖćøèŤìĊęđÖĊę÷üÖĆïöĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý đóČę Ă îĞ ć ĕððøĆ ï ðøč Ü ÖćøÙüïÙč ö éš ć îÿćøÿîđìý óøš Ă öìĆĚ Ü ÝĆ é ìĞ ć øć÷Üćîÿøč ð ĔĀš
ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) ìøćï
2) õć÷ĀúĆÜ ÝćÖìĊęÿ ëćîÖćøèŤ ìĊęđÖĊę ÷ üÖĆïéš ć îÙüćööĆę îÙÜðúĂéõĆ ÷ ĕéšëĎ Ö éĞć đîĉ î ÖćøĒÖš ĕ ×đÿøĘ Ý ÿĉĚ î
ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜéĞćđîĉîÖćøđøĊ÷îøĎšøĎðĒïï×ĂÜÿëćîÖćøèŤ đóČęĂøąïčĒúąìĞćÙüćöđךćĔÝ
ÝčéĂŠĂî ߊĂÜēĀüŠ ×ĂÜÿëćîÖćøèŤ óøšĂöìĆĚÜÖĞćĀîéöćêøÖćøĔîÖćøðŜĂÜÖĆîđóČęĂĕöŠĔĀšÿëćîÖćøèŤ
đÖĉé×ċĚîĂĊÖĔîĂîćÙê ēé÷ךĂöĎúĔîÖćøýċÖþćĀøČĂđøĊ÷îøĎšÿëćîÖćøèŤÙüøóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÿĂïìćîüŠć ÿëćîÖćøèŤđÖĉé×ċĚîĕéšĂ÷ŠćÜĕø đߊî đÖĉéÝćÖÝčéĂŠĂîĀøČĂߊĂÜēĀüŠÝčéĕĀî
ÖćøïčÖøčÖđÖĉé×ċĚîĕéšĂ÷ŠćÜĕø đðŨîêšî
2. ÿĂïìćîüŠć ÙèąìĞćÜćî EGAT CERT ĕéšøĆïÖćøĒÝšÜÿëćîÖćøèŤĕéšĂ÷ŠćÜĕø
3. ÿĂïìćîüŠć ÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĕéšøĆïÖćøĒÖšĕ×
Ă÷ŠćÜĕø
4. ÿĂïìćîüŠć ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜìĊęöĊĂ÷ĎŠĔîðŦÝÝčïĆî đóĊ÷ÜóĂĔîÖćøøĆïöČĂÖĆï
ÿëćîÖćøèŤĀøČĂêšĂÜéĞćđîĉîÖćøðøĆïðøčÜĒÖšĕ×ĀøČĂĕöŠ Ă÷ŠćÜĕø
5. ÿĂïìćîüŠć ÖćøÙüïÙčöÿĞćĀøĆïߊĂÜēĀüŠ÷ĆÜöĊÙüćöÝĞćđðŨîĂ÷ĎŠĀøČĂĕöŠ
3) ÙèąìĞćÜćî EGAT CERT êšĂÜðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìý đóČęĂøüïøüöÖćøđøĊ÷îøĎš
øĎðĒïï×ĂÜÿëćîÖćøèŤĄ óøšĂöìĆĚÜ đñ÷ĒóøŠÙüćöøĎšĔĀšĒÖŠñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜ ĔîÖćøđêøĊ÷öÖćø
ðŜĂÜÖĆîÿëćîÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷ ìĊęÝąđÖĉé×ċĚîĔîĂîćÙê

9.2.3 ÖćøđÖĘïøüïøüöĀúĆÖåćî (Collection of Evidence)

1) ÙèąìĞćÜćî EGAT CERT öĊĀîšćìĊęðøąÿćîÜćîĔîÖćøđÖĘïøüïøüöó÷ćîĀúĆÖåćî ĔîÖøèĊìĊęđÖĉé
đĀêčÖćøèŤìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
2) ÖøąïüîÖćøĔîÖćøđÖĘïøüïøüöĀúĆÖåćî êšĂÜóĉÝćøèćđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. Öćø÷ĂöøĆï×ĂÜĀúĆÖåćîìĊęÿćöćøëĔßšđðŨîĀúĆÖåćîĂšćÜĂĉÜĔîÖøąïüîÖćøìćÜýćú
2. îĚĞćĀîĆÖ×ĂÜĀúĆÖåćîìĊęÝĆéđÖĘï (ÙčèõćóĒúąÙüćöÙøïëšüîÿöïĎøèŤ×ĂÜĀúĆÖåćî)
3) ÖćøøüïøüöĒúąÝĆ é đÖĘ ï ĀúĆÖ åćî êš Ă ÜđðŨ î ĕðêćöĀúĆ Ö đÖèæŤ ìĊę Ö ãĀöć÷ÖĞ ć Āîé ĔîÖćøøĆ Ö þć
ÙüćöîŠćđßČęĂëČĂ×ĂÜó÷ćîĀúĆÖåćîđóČęĂĔߚÚćÜĂĉÜĔîÖøąïüîÖćøìćÜýćú ìĆĚÜîĊĚÖćøđÖĘïøüïøüö
ĀúĆÖåćîêšĂÜöĊÖćøÙüïÙčöđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ĀúĆÖåćîðøąđõìđĂÖÿćøìĊęđðŨîÖøąéćþ
x êšîÞïĆï×ĂÜđĂÖÿćøìĊęđðŨîÖøąéćþ êšĂÜöĊÖćøđÖĘïøĆÖþćĂ÷ŠćÜöĆęîÙÜðúĂéõĆ÷êúĂé
øą÷ąđüúć×ĂÜÖćøÿČïÿüî ēé÷öĉĔĀšêšîÞïĆï×ĂÜđĂÖÿćøìĊęđðŨîÖøąéćþđðúĊę÷îĒðúÜ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 148 / 174
 ĕð óøšĂöìĆĚÜöĊÖćøÝéïĆîìċÖøć÷úąđĂĊ÷éÖćøÙšîóï đߊî ßČęĂĒúąîćöÿÖčúñĎšÙšîóï
ÿëćîìĊęÙšîóï đüúćìĊęÙšîóï Ēúąó÷ćîìĊęÙšîóï
2. ĀúĆÖåćîðøąđõìÿČęĂĂĉđúĘÖìøĂîĉÖÿŤ
x ÝĆéìĞćÿĞćđîć×ĂÜÿČęĂĂĉđúĘÖìøĂîĉÖÿŤĒïïđÙúČęĂî÷šć÷ĕéš (Removable Media) ךĂöĎú
ĔîĀîŠü÷đÖĘïךĂöĎú (Hard disk) Ēúą ĀîŠü÷ÙüćöÝĞć (Memory) ĔîøĎðĒïï Mirror
ìĆĚÜîĊĚĔî×ĆĚîêĂîÖćøđÖĘïøüïøüöĀúĆÖåćîêšĂÜöĊÖćøïĆîìċÖøŠĂÜøĂ÷ óøšĂöìĆĚÜöĊó÷ćî
ïčÙÙúĔî×èąðäĉïĆêĉÜćî ĂĊÖìĆĚÜÖćøÿĞćđîćÿČęĂĂĉđúĘÖìøĂîĉÖÿŤĒúąïĆîìċÖøŠĂÜøĂ÷ êšĂÜ
ÝĆéđÖĘïĂ÷ŠćÜðúĂéõĆ÷ đóČęĂðŜĂÜÖĆîÖćøĒÖšĕ×ĀøČĂđךćëċÜēé÷ĕöŠĕéšøĆïĂîčâćê

ST-10: öćêøåćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜ Öôñ. (Standard of

Business Continuity Management)

üĆêëčðøąÿÜÙŤ
đóČęĂïøĉĀćøĒúąÝĆéÖćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜĂÜÙŤÖø ĕéšÖĞćĀîéĔĀšöĊöćêøåćîÖćøïøĉĀćøÙüćö
êŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜĂÜÙŤÖø đøČęĂÜĀĆüךĂóČĚîåćîÿĞćĀøĆïÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜ
ĂÜÙŤÖø (Information Security Aspects of Business Continuity Management)

ïìïćìĀîšćìĊę
ÙèąÖøøöÖćøïøĉĀćøÝĆéÖćøéšćî÷čìíýćÿêøŤ ÖćøïøĉĀćøÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙčöõć÷Ĕî Öôñ. (Ù÷ÿ.)/
ÙèąĂîčÖøøöÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî (Business Continuity Steering
Committee)
ƒ ĒêŠÜêĆĚÜÙèąìĞćÜćîõć÷ĔîÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
ƒ ĔĀšÙĞćðøċÖþćÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
ƒ óĉÝćøèćÖøĂïÿĞćĀøĆïĒñîđóČęĂÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP Framework)
ƒ óĉÝćøèćĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP)
ƒ ÝĆéÿøøìøĆó÷ćÖø ïčÙúćÖøĒúąÜïðøąöćèìĊęđóĊ÷ÜóĂ

ÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøóĆçîćÖćøéĞćđîĉîÜćî (BCP Development Team)

ƒ ÝĆéìĞćÖú÷čìíŤÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî (BCP Strategy)
ƒ ÝĆéìĞćÖøĂïÿĞćĀøĆïĒñîđóČęĂÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP Framework)
ƒ ðøąÿćîÜćîÖĆïÿć÷ÜćîêŠćÜėĔîÖćøðøąđöĉîÙüćöđÿĊę÷ÜĒúąñúÖøąìïìćÜíčøÖĉÝ (Business
Impact Analysis)
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 149 / 174
 ƒ ðøąÿćîÜćîÖĆïÿć÷ÜćîêŠćÜė ĔîÖćøÝĆéìĞć ìéÿĂï ĒúąðøĆïðøčÜĒÖšĕ× ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜ
ĔĀšÖĆïíčøÖĉÝ (BCP)
ƒ ðøąÿćîÜćîÖĆïÿć÷ÜćîêŠćÜė ĔîÖćøÖĞćĀîéÖćøÙüïÙčöĒñîÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
ƒ ðøąÿćîÜćîÖĆïĀîŠü÷ÜćîìĊęđÖĊę÷üךĂÜĔîÖćøÝĆéìĞć ×ĆĚîêĂîðäĉïĆêĉÜćîĔîÖøèĊÞčÖđÞĉî
ƒ ðøąÿćîÜćîÖĆïÿć÷ÜćîêŠćÜė ĔîÖćøÖĞćĀîéêćøćÜÖćøìéÿĂï×ĂÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆï
íčøÖĉÝ (BCP)
ƒ éĎĒúÝĆéÖćøĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) ĒúąđĂÖÿćøêŠćÜė ìĊęđÖĊę÷üךĂÜ đߊî ñúÖćø
ìéÿĂï đðŨîêšî
ƒ ïøĉĀćøÝĆéÖćøÖćøđðúĊę÷îĒðúÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) ĒúąÖú÷čìíŤÖćøïøĉĀćø
ÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî ĒúąđĂÖÿćøêŠćÜė ìĊęđÖĊę÷üךĂÜ
ƒ đðŨîýĎî÷ŤðøąÿćîÜćîĔîÖćøÖĎšÙČî Öćøøüöóú ĒúąÖćøÖøąÝć÷׊ćüÿćø

ÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøðäĉïĆêĉÖćøéĞćđîĉîÜćî(BCP Execution Team)

ÜćîéšćîïøĉĀćøüĉÖùêÖćøèŤ (Crisis Management)
ƒ êĆéÿĉîĔÝĔîÖćøðøąÖćýĔßšĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) ĒúąĒÝšÜĔĀšÙèąìĞćÜćîÖĎšÙČî
ìøćï
ƒ ĒÝšÜđĀêčÖćøèŤĔîđïČĚĂÜêšîĔĀšĀîŠü÷Üćîõć÷îĂÖìøćï
ƒ ĔĀšÙĞćĒîąîĞćéšćîÖú÷čìíŤĔîÖøèĊđÖĉéđĀêčõĆ÷óĉïĆêĉ
ƒ ïĆîìċÖÖĉÝÖøøöêŠćÜė ìĊęéĞćđîĉîÖćøĔîߊüÜđÖĉéđĀêčÖćøèŤõĆ÷óĉïĆêĉ
ƒ óĉÝćøèćüŠćÝąðøĆïðøčÜÿĞćîĆÖÜćîĀúĆÖìĊęĕéšøĆïÙüćöđÿĊ÷Āć÷ ĀøČĂÿøšćÜÿĞćîĆÖÜćîĔĀöŠ
ƒ ÿŠÜöĂïĀîšćìĊęÙüćöøĆïñĉéßĂïÖúĆïÙČîĒÖŠÿć÷ÜćîêŠćÜė đöČęĂđĀêčÖćøèŤÖúĆïÿĎŠõćüąðÖêĉ
ÜćîéšćîðøąđöĉîÿëćîÖćøèŤ (Assessment) ÙøĂïÙúčöÜćî éĆÜêŠĂĕðîĊĚ
ƒ ðøąđöĉîđüúćìĊęĕöŠÿćöćøëĔĀšïøĉÖćøĀøČĂéĞćđîĉîíčøÖĉÝĕéšĒúąĒÖšĕ×ðŦâĀć
ƒ ðøąÿćîÜćîÖĆ ï ĀîŠ ü ÷ÜćîìĊę đ ÖĊę ÷ üך Ă ÜđóČę Ă ÖĎš ÙČ î ÿĞ ć îĆ Ö ÜćîìĊę đ Öĉ é ÙüćöđÿĊ ÷ Āć÷ ĀøČ Ă ÝĆ é đêøĊ ÷ ö
ÿĞćîĆÖÜćîĔĀöŠ
ƒ ÝĆéêĆĚÜýĎî÷ŤïĆâßćÖćøÞčÖđÞĉîĔîÖćøÿĆęÜÖćøߊüÜõćüąüĉÖùê
ƒ ÝĆéêĆĚÜÿëćîìĊęìĞćÜćîÿĞćøĂÜ
ÜćîéšćîÖĎšÙČîÖćøéĞćđîĉîíčøÖĉÝ (Business Recovery) ÙøĂïÙúčöÜćî éĆÜêŠĂĕðîĊĚ
ƒ ÝĆéđêøĊ÷öÙüćöóøšĂö×ĂÜïčÙÙúćÖøĒúąÿëćîìĊę
ƒ đÙúČęĂî÷šć÷ñĎšðäĉïĆêĉÜćîĀúĆÖĕð÷ĆÜýĎî÷ŤÿĞćøĂÜ
ƒ ĔĀšÙüćöߊü÷đĀúČĂĀîŠü÷ÜćîĂČęîė ĔîÖćøđÙúČęĂî÷šć÷
ÜćîéšćîÖĎšÙČîéšćîđìÙîĉÙ (Technical Recovery) ÙøĂïÙúčöÜćî éĆÜêŠĂĕðîĊĚ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 150 / 174
 ƒ ðøąÿćîÜćîÖĆïĀîŠü÷ÜćîÿćøÿîđìýđóČęĂÝĆéđêøĊ÷öÖøąïüîÖćøìćÜđìÙîĉÙĔîÖćøÖĎšÙČîøąïï
ÿćøÿîđìý øąïïđÙøČĂ׊ć÷ ĒĂóóúĉđÙßĆęî Ēúą×šĂöĎúÝćÖÿČęĂÿĞćøĂÜ
ƒ ðøąÿćîÜćîÖĆïĀîŠü÷ÜćîÿćøÿîđìýđóČęĂÝĆéđêøĊ÷öÙüćöóøšĂöĒúąÖćøïøĉĀćøÝĆéÖćøýĎî÷ŤÿĞćøĂÜ
đߊî ĀšĂÜđÖĘïÿČęĂÿĞćøĂÜךĂöĎú øąïïđÙøČĂ׊ć÷ÿĞćøĂÜ ÖćøđðŗéĔßšÜćîđÙøČęĂÜÙĂöóĉüđêĂøŤĒöŠ×Šć÷
đðŨîêšî
ƒ ðøąÿćîÜćîÖĆïĀîŠü÷ÜćîÿćøÿîđìýđóČęĂêøüÝÿĂïÙüćöóøšĂö×ĂÜøąïïÿćøÿîđìýĒúąøąïï
đÙøČĂ׊ć÷ đóČęĂĔĀšöĆęîĔÝüŠćÿćöćøëĔĀšïøĉÖćøĒÖŠñĎšðäĉïĆêĉÜćîĕéš

ÿć÷ÜćîêŠćÜė
ƒ ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøøąïčÖøąïüîÖćøìćÜíčøÖĉÝìĊęöĊÙüćöÿĞćÙĆâ ĒúąøąïčñúÖøąïììĊęĂćÝ
đðŨîĕðĕéšđöČęĂøąïïĀ÷čéßąÜĆÖ
ƒ ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøðøąđöĉîÙüćöđÿĊę÷ÜìĊęöĊñúêŠĂÙüćöêŠĂđîČęĂÜÖćøéĞćđîĉîÜćî×ĂÜ Öôñ.
ƒ ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøÖĞćĀîéñúÖøąìï×ĂÜõĆ÷ÙčÖÙćöêŠćÜėìĊęîŠćÝąđÖĉé×ċĚî øüöìĆĚÜüĉđÙøćąĀŤ
ëċÜ ÙüćöđÿĊ÷Āć÷ĒúąúĞćéĆïÙüćöÿĞćÙĆâĔîÖćøÖĎšÙČî øą÷ąđüúćĔîÖćøÖĎšÙČî ĒúąìøĆó÷ćÖøóČĚîåćîìĊęĔßš
ĔîÖćøÖĎšÙČî
ƒ óĉÝćøèćüŠćĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) êšĂÜÙøĂïÙúčöĒĂóóúĉđÙßĆîìĊęöĊÙüćöÿĞćÙĆâ
ìĆĚÜĀöé
ƒ ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøÝĆéìĞć ìéÿĂï ĒúąðøĆïðøčÜĒÖšĕ× ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(BCP)
ƒ ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøÖĞćĀîéÖćøÙüïÙčöĒñîÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
ƒ ìĞćÿĞćđîćĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ĒúąđĂÖÿćøĂČęîìĊęÝĞćđðŨîêšĂÜĔßšĔîÖćøÿîĆïÿîčîĒñîÜćî
ƒ ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøÖĞćĀîéêćøćÜÖćøìéÿĂï×ĂÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(BCP)
ƒ ðøąÿćîÜćîÖĆïÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøðäĉïĆêĉÖćøéĞćđîĉîÜćî(BCP Execution
Team) đóČęĂÝĆéĔĀšöĊÖćøïĆîìċÖñúÖćøìéÿĂïóøšĂöøć÷ÜćîêŠĂÙèąÖøøöÖćøïøĉĀćøÝĆéÖćøéšćî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 151 / 174

 ÷čìíýćÿêøŤ ÖćøïøĉĀćøÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙčöõć÷Ĕî Öôñ. (Ù÷ÿ.)/ÙèąĂîčÖøøöÖćøïøĉĀćø
ÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî ĒúąñĎšïøĉĀćøìĊęđÖĊę÷üךĂÜøĆïìøćï
ƒ ðøąÿćîÜćîÖĆ ï ÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) ĔîÖćøðøĆïðøčÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) ĔĀšđðŨîðŦÝÝčïĆî

10.1 ĀĆ ü ך Ă óČĚ î åćîÿĞ ćĀøĆï ÖćøïøĉĀ ćøÙüćöêŠ Ă đîČęĂ ÜĔîÖćøéĞ ć đîĉ îÜćî×ĂÜĂÜÙŤ Ö ø
(Information Security Aspects of Business Continuity Management)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖøąïüîÖćøĔîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ÖćøðøąđöĉîÙüćöđÿĊę÷ÜĔîÖćøÿøšćÜÙüćöêŠĂđîČęĂÜ
ĔĀšÖĆïíčøÖĉÝ ÖćøÝĆéìĞćĒúąĔßšÜćîĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ÖćøÖĞćĀîéÖøĂïÿĞćĀøĆïÖćøüćÜĒñîđóČęĂ
ÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ êúĂéÝîÖćøìéÿĂïĒúąÖćøðøĆïðøčÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(BCP)

öćêøåćî
ēÙøÜÿøšćÜÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
Öôñ. êšĂÜÖĞćĀîéēÙøÜÿøšćÜÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî ĒúąÝĆéêĆĚÜÙèąìĞćÜćîÖćøïøĉĀćøÙüćö
êŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî éĆÜêŠĂĕðîĊĚ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 152 / 174

 øĎðìĊę 1: ēÙøÜÿøšćÜÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî×ĂÜ Öôñ.

10.1.1. ÖćøîĞ ć ÙüćööĆę î ÙÜðúĂéõĆ ÷ öćĔßš ÖĆ ï ÖøąïüîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøéĞ ć đîĉ î Üćî
(Including Information Security in The Business Continuity Management Process)
1) ÙèąÖøøöÖćøïøĉĀćøÝĆéÖćøéšćî÷čìíýćÿêøŤ ÖćøïøĉĀćøÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙčöõć÷Ĕî Öôñ.
(Ù÷ÿ.)/ÙèąĂîčÖøøöÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî Ēúąÿć÷ÜćîêŠćÜėêšĂÜöĆęîĔÝüŠć
ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) ÙøĂïÙúčöĒĂóóúĉđÙßĆîìĊęöĊÙüćöÿĞćÙĆâìĆĚÜĀöé
2) ÙèąÖøøöÖćøïøĉĀćøÝĆéÖćøéšćî÷čìíýćÿêøŤ ÖćøïøĉĀćøÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙčöõć÷Ĕî Öôñ.
(Ù÷ÿ.)/ÙèąĂîčÖøøöÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî êšĂÜöĆęîĔÝüŠćÖøąïüîÖćøïøĉĀćø
ÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćîêšĂÜöĊĂÜÙŤðøąÖĂïĀúĆÖ éĆÜêŠĂĕðîĊĚ
1. ÖćøøąïčëċÜÖøąïüîÖćøìćÜíčøÖĉÝĒúąøąïïÿćøÿîđìýìĊęÿîĆïÿîčî
2. ÖćøðøąđöĉîñúÖøąìïìćÜíčøÖĉÝ (Business Impact Analysis)
x ÖćøøąïčõĆ÷óĉïĆêĉÙüćöñĉéóúćéìćÜÙüćööĆęîÙÜðúĂéõĆ÷ìĊęĂćÝđÖĉé×ċĚîĕéš àċęÜđðŨî
ÿćđĀêčĔĀšÖøąïüîÖćøìćÜíčøÖĉÝ×ĂÜ Öôñ. Ā÷čéßąÜĆÖ
x ÖćøðøąđöĉîñúÖøąìïÝćÖõĆ÷óĉïĆêĉÙüćöñĉéóúćéìćÜÙüćööĆęîÙÜðúĂéõĆ÷ìĊęöĊ
Öćøøąïč
3. ÖćøÝĆéìĞćÖú÷čìíŤÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî (BCP Strategy) Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþø

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 153 / 174

 4. ÖćøÝĆéìĞćÖøĂïÿĞćĀøĆïĒñîđóČęĂÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP Framework)
5. ÖćøÝĆéìĞćĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
6. ÖćøìéÿĂïĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) Ă÷ŠćÜÿöęĞćđÿöĂ
7. ÖćøÿĂïìćîĒúąðøĆïðøčÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP)

10.1.2. ÖćøðøąđöĉîÙüćöđÿĊę÷ÜĔîÖćøÿøšćÜÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî (Business Continuity and

Risk Assessment)
1) ÿć÷ÜćîêŠćÜėĒúąÙèąìĞćÜćîÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøóĆçîćÖćøéĞćđîĉîÜćî
(BCP Development Team) êšĂÜøŠüöÖĆîĔîÖćøøąïčÖøąïüîÖćøìćÜíčøÖĉÝìĊęöĊÙüćöÿĞćÙĆâ Ēúą
øąïčñúÖøąïììĊęĂćÝđðŨîĕðĕéšđöČęĂøąïïĀ÷čéßąÜĆÖ øüöìĆĚÜÖćøøąïčÙüćöêšĂÜÖćøóČĚîåćîđóČęĂÖćø
ïĞćøčÜøĆÖþćĒúą ÖćøôŚŪîôĎøąïïÿćøÿîđìýìćÜíčøÖĉÝìĊęöĊÙüćöÿĞćÙĆâ
2) ÿć÷ÜćîêŠć ÜėĒúąÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠĂ đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉî Üćî (BCP
Development Team) êšĂÜøŠüöÖĆîðøąđöĉîÖćøðøąđöĉîÙüćöđÿĊę÷ÜĒúąñúÖøąìïìćÜíčøÖĉÝ
(Business Impact Analysis) ĔîÖćøéĞćđîĉîÜćî×ĂÜ Öôñ. ēé÷ÖćøðøąđöĉîÙüćöđÿĊę÷ÜéĆÜÖúŠćü
êšĂÜóĉÝćøèćĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÙøĂïÙúč ö ìč Ö ÖøąïüîÖćøìćÜíč ø Öĉ Ý êúĂéÝîøąïïÿćøÿîđìýĒúąĂč ð ÖøèŤ
ðøąöüúñúÿćøÿîđìýìĊęÿîĆïÿîčî
2. đĀêčÖćøèŤêŠćÜė àċęÜĂćÝÿŠÜñúÖøąìïêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý Ēúą
ĂćÝìĞćĔĀšÖćøéĞćđîĉîíčøÖĉÝĀ÷čéßąÜĆÖđߊî ÙüćöđÿĊ÷Āć÷×ĂÜĂčðÖøèŤ Ùüćöñĉéóúćé
ÝćÖÖćøðäĉ ïĆ êĉ Ü ćî ÖćøēÝøÖøøö ĂĆ Ù ÙĊ õĆ ÷ õĆ ÷ óĉ ïĆ êĉ ì ćÜíøøößćêĉ ĒúąÖćøÖŠ Ă
Öćøøšć÷ đðŨîêšî
3. ñúÖøąìï×ĂÜÙüćöđÿĊę÷ÜìĊęöĊñúêŠĂÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
4. ÖćøÝĆéúĞćéĆïÙüćöÿĞćÙĆâ×ĂÜÙüćöđÿĊę÷Ü ēé÷êšĂÜóĉÝćøèćÝćÖðŦÝÝĆ÷ìĊęÿĞćÙĆâ đߊî
ñúÖøąìï×ĂÜÖćøĀ÷čéßąÜĆÖ øą÷ąđüúćìĊę÷ĂöøĆïĕéš×ĂÜÖćøĀ÷čéßąÜĆÖ ĒúąúĞćéĆï
ÙüćöÿĞćÙĆâĔîÖćøÖĎšÙČîøąïï đðŨîêšî
3) ÿć÷ÜćîêŠ ć ÜėĒúąÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠĂ đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) êšĂÜøŠüöÖĆîĔîÖćøÖĞćĀîéñúÖøąìï×ĂÜõĆ÷ÙčÖÙćöêŠćÜėìĊęîŠćÝąđÖĉé×ċĚî
øüöìĆĚÜüĉđÙøćąĀŤëċÜÙüćöđÿĊ÷Āć÷ĒúąúĞćéĆïÙüćöÿĞćÙĆâĔîÖćøÖĎšÙČî øą÷ąđüúćĔîÖćøÖĎšÙČî Ēúą
ìøĆó÷ćÖøóČĚîåćîìĊęĔßšĔîÖćøÖĎšÙČî ēé÷êšĂÜóĉÝćøèćëċÜõĆ÷ÙčÖÙćöĂ÷ŠćÜîšĂ÷ĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. õĆ÷íøøößćêĉ đߊî ĂĆÙÙĊõĆ÷ ĀøČĂîĚĞćìŠüö đðŨîêšî
2. ÖćøÿĎâđÿĊ÷×ĂÜÖćøïøĉÖćøìĊęÿĞćÙĆâ đߊî ĕôôŜć ÖćøÿČęĂÿćø ĀøČĂÖćøðøąðć đðŨîêšî
3. ÖćøÖøąìĞćēé÷êĆĚÜĔÝĒúąĕöŠĕéšêĆĚÜĔÝìĊęÖŠĂĔĀšđÖĉéÙüćöđÿĊ÷Āć÷êŠĂ ĂčðÖøèŤĀøČĂךĂöĎú
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 154 / 174
 4. ÖćøðøąìšüÜ×ĂÜñĎšðäĉïĆêĉÜćî
5. ÖćøìĞćÜćîñĉéóúćé×ĂÜøąïï
6. ߊĂÜēĀüŠéšćîÙüćööĆęîÙÜðúĂéõĆ÷
7. Öćøđðŗéđñ÷ÿćøÿîđìýìĊęđðŨîÙüćöúĆïēé÷êĆĚÜĔÝĒúąĕöŠĕéšêĆĚÜĔÝ

10.1.3. ÖćøÝĆéìĞćĒúąĔßšÜćîĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî (Developing and

Implementing Continuity Plans Including Information Security)
1) ÿć÷ÜćîêŠć ÜėĒúąÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠĂ đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) êšĂÜÝĆéìĞć ìéÿĂï ĒúąðøĆïðøčÜĒÖšĕ× ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆï
íčøÖĉÝ (BCP) ēé÷ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ êšĂÜøąïčøć÷úąđĂĊ÷éĔîÖćøÖĎšÙČîĒúąôŚŪîôĎ
ÖćøéĞćđîĉîÜćîíčøÖĉÝõć÷Ĕîøą÷ąđüúćìĊęÖĞćĀîé
2) ÖøąïüîÖćøĔîÖćøÿøšćÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) êšĂÜøąïčĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ĀîšćìĊęÙüćöøĆïñĉéßĂïĒúąÖøąïüîÖćøÿøšćÜÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
2. ÖćøøąïčøąéĆïÙüćöđÿĊ÷Āć÷ìĊę÷ĂöøĆïĕéš×ĂÜÿćøÿîđìýĒúąïøĉÖćø
3. ÖćøÖĞ ć ĀîéÖøąïüîÖćøĔîÖćøđêøĊ ÷ öÙüćöóøš Ă öÿĞ ć ĀøĆ ï ÖćøÖĎš ÙČ î ĒúąôŚŪ î ôĎ
ÖćøéĞćđîĉîÜćîíčøÖĉÝ
4. ÖćøÖĞćĀîéÖøąïüîÖćøÿĞćĀøĆïÖćøÖĎšÙČîĒúąôŚŪîôĎÖćøéĞćđîĉîÜćîíčøÖĉÝ
5. ÖćøìéÿĂïĒúąðøĆïðøčÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ĔĀšìĆîÿöĆ÷Ă÷ĎŠđÿöĂ
3) ÿć÷ÜćîêŠć ÜėĒúąÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠĂ đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉ î Üćî (BCP
Development Team) êšĂÜÖĞćĀîéÖćøÙüïÙčöĒñîÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî ĒúąÝĆéìĞć
ĒñîÖćøÖĎšÙČîõćüąüĉÖùê (Disaster Recovery Plan) đóČęĂĔĀšöĆęîĔÝüŠćÖøąïüîÖćøìćÜíčøÖĉÝìĊę
ÿĞćÙĆâĒúąøąïïÿćøÿîđìýìĊęøĂÜøĆïÿćöćøëéĞćđîĉîÖćøĕéšĂ÷ŠćÜêŠĂđîČęĂÜ ìĆĚÜîĊĚÙüøóĉÝćøèćĔĀšöĊ
ÖćøÙüïÙčöĔîđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ÖćøđóĉęöÖćøðŜĂÜÖĆî×ĂÜøąïïÿćøÿîđìýìĊęÿĞćÙĆâ ēé÷ÖćøđóĉęöÖćøðŜĂÜÖĆîĔîìčÖ
øąéĆ ï đߊ î ÖćøÙüïÙč ö ìćÜÖć÷õćó ÖćøÙüïÙč ö ìćÜêøøÖą ĒúąÖćøÙüïÙč ö
ÖćøÿČęĂÿćø đðŨîêšî
2. ÖćøöĊĂčðÖøèŤĀøČĂøąïïÿĞćøĂÜÿĞćĀøĆïøąïïÿćøÿîđìýìĊęÿĞćÙĆâ (Redundancy of
Critical Components) đߊî ÖćøìĞć High Availability ĀøČĂ Load Balancing
đðŨîêšî
3. ÖćøĔßšÿëćðŦê÷ÖøøöĒïïÖøąÝć÷ (Distributed Architecture) ÿĞćĀøĆïøąïï
ÿćøÿîđìý ìĊęÿĞćÙĆâ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 155 / 174

 4. ÖćøÝĆéêĆĚÜýĎî÷ŤÿĞćøĂÜ àċęÜøüöëċÜÖćøÿĞćøĂÜךĂöĎú ĂčðÖøèŤðøąöüúñúÿćøÿîđìý
ÖćøÿČęĂÿćø ĒúąĂčðÖøèŤÿĞćîĆÖÜćîĂČęîė đðŨîêšî đóČęĂĔĀšđÝšćĀîšćìĊęìĊęđÖĊę÷üךĂÜÿćöćøë
ðäĉïĆêĉÜćîĕéšđöČęĂđÖĉéđĀêčõĆ÷óĉïĆêĉ
5. ÖćøìĞ ć ÿĆ â âćÖĆ ï ñĎš Ĕ Āš ï øĉ Ö ćøĀøČ Ă đÝš ć ×ĂÜñúĉ ê õĆ è æŤ đóČę Ă ÖĞ ć ĀîéïìïćìĀîš ć ìĊę
ÙüćöøĆïñĉéßĂïĒúą×šĂđÜČęĂîĕ×ĔîÿĆââćìĊęêšĂÜéĞćđîĉîÖćø
4) ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) êšĂÜøąïčøć÷ßČęĂñĎšðäĉïĆêĉÜćîìĊęđÖĊę÷üךĂÜ đóČęĂĒÝšÜđêČĂî
đöČęĂđÖĉéđĀêčõĆ÷óĉïĆêĉ ìĆĚÜîĊĚøć÷ßČęĂêšĂÜöĊÖćøøąïčëċÜ êĞćĒĀîŠÜ ßČęĂ đïĂøŤēìøýĆóìŤïšćî đïĂøŤēìøýĆóìŤ
ÿĞćîĆÖÜćî đïĂøŤöČĂëČĂ ĒúąÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ đðŨîêšî
5) ĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) êšĂÜĕéšøĆïÖćøĂîčöĆêĉēé÷ÙèąÖøøöÖćøïøĉĀćøÝĆéÖćø
éšćî÷čìíýćÿêøŤ ÖćøïøĉĀćøÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙčöõć÷Ĕî Öôñ. (Ù÷ÿ.)/ÙèąĂîčÖøøöÖćø
ïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî đóČęĂðøąÖćýĔßšÜćî
6) ÿć÷ÜćîêŠćÜė êšĂÜìĞćÿĞćđîćĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ĒúąđĂÖÿćøĂČęîìĊęÝĞćđðŨîêšĂÜĔßšĔî
ÖćøÿîĆïÿîčîĒñîÜćî óøšĂöìĆĚÜÝĆéđÖĘïđĂÖÿćøéĆÜÖúŠćüĕüšĔîÿëćîìĊęìĊęĀŠćÜÝćÖÿĞćîĆÖÜćîĀúĆÖ
Ă÷ŠćÜđóĊ÷ÜóĂ đóČęĂĕöŠĔĀšđÖĉéÙüćöđÿĊ÷Āć÷đöČęĂđÖĉéõĆ÷óĉïĆêĉÖĆïÿĞćîĆÖÜćîĀúĆÖ
7) ÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøðäĉïĆêĉÖćøéĞćđîĉîÜćî(BCP Execution Team) êšĂÜ
ÖĞćÖĆïĒúąéĎĒú đóČęĂĔĀšöĆęîĔÝüŠćĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) ÿćöćøëúéøą÷ąđüúć
×ĂÜÖćøĀ÷čéßąÜĆÖĔîÖćøéĞćđîĉîÜćî×ĂÜ Öôñ. ÝćÖđĀêčÖćøèŤõĆ÷óĉïĆêĉìćÜíøøößćêĉ ĒúąĀøČĂÖćø
ÖŠĂÖćøøšć÷ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýĔĀšĂ÷ĎŠĔîøąéĆïìĊę÷ĂöøĆïĕéš

10.1.4. ÖćøÖĞć ĀîéÖøĂïÿĞ ć ĀøĆ ï ÖćøüćÜĒñîđóČęĂÙüćöêŠĂ đîČęĂ ÜĔîÖćøéĞć đîĉ î Üćî (Business
Continuity Planning Framework)
1) ÙèąìĞćÜćîÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøóĆçîćÖćøéĞćđîĉîÜćî (BCP Development Team)
êšĂÜÖĞćĀîéĔĀšöĊÖøĂïÿĞćĀøĆïĒñîđóČęĂÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP Framework) đóČęĂĔĀš
ĒêŠúąĒñîöĊÙüćöÿĂéÙúšĂÜÖĆî ēé÷ÖøĂïÿĞćĀøĆïÖćøüćÜĒñî êšĂÜóĉÝćøèćđøČęĂÜ éĆÜêŠĂĕðîĊĚ
1. đÜČęĂîĕ×ĔîÖćøðøąÖćýĔßšĒñî ēé÷öĊÖćøĂíĉïć÷ÖøąïüîÖćøĔîÖćøðäĉïĆêĉÜćîÖŠĂî
ðøąÖćýĔßšĒñî đߊî ðøąđöĉîÿëćîÖćøèŤĂ÷ŠćÜĕø öĊĔÙøìĊęđÖĊę÷üךĂÜïšćÜ đðŨîêšî
2. ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîÞčÖđÞĉî ēé÷öĊÖćøĂíĉïć÷ÖøąïüîÖćøĔîÖćøðäĉïĆêĉÜćî đöČęĂ
đÖĉéđĀêčÖćøèŤìĊęÖøąìïêŠĂÖćøéĞćđîĉîíčøÖĉÝ ĀøČĂÙüćöðúĂéõĆ÷×ĂÜïčÙÙú àċęÜøüöĕð
ëċÜ ÖćøðøąßćÿĆöóĆîíŤ ĒúąÖćøðøąÿćîÜćîÖĆïđÝšćĀîšćìĊęøĆå đߊî đÝšćĀîšćìĊęêĞćøüÝ
ĒúąĀøČĂ îĆÖéĆïđóúĉÜ đðŨîêšî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 156 / 174

 3. ÖøąïüîÖćøĔîÖćøëĂ÷ÖúĆï (Fallback Process) ēé÷öĊÖćøĂíĉïć÷ÖøąïüîÖćø
ðäĉïĆêĉÜćî đóČęĂđÙúČęĂî÷šć÷ñĎšðäĉïĆêĉÜćîĀøČĂøąïïÿîĆïÿîčîìĊęÿĞćÙĆâ×ĂÜíčøÖĉÝĕðýĎî÷Ť
ÿĞćøĂÜßĆęüÙøćü đóČęĂÙČîÿõćóÖćøéĞćđîĉîíčøÖĉÝÖúĆïöćõć÷Ĕîøą÷ąđüúćìĊęÖĞćĀîé
4. êćøćÜđüúćĔîÖćøïĞćøčÜøĆÖþćàċęÜøąïčüŠćĒñîÙüøöĊÖćøìéÿĂïĂ÷ŠćÜĕø đöČęĂĕø óøšĂö
ìĆĚÜÖøąïüîÖćøĔîÖćøïĞćøčÜøĆÖþćĒñî
5. ÖĉÝÖøøöđóČęĂÿøšćÜÙüćöêøąĀîĆÖ ÖćøĔĀšÙüćöøĎš ĒúąÖćøòřÖĂïøö đóČęĂÿøšćÜÙüćö
đךćĔÝĔîÖøąïüîÖćøÿøšćÜÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî
6. ÖćøøąïčÙüćöøĆïñĉéßĂï×ĂÜĒêŠúąïčÙÙú ēé÷öĊÖćøĂíĉïć÷ëċÜÙüćöøĆïñĉéßĂïĔî
ÖćøéĞ ć đîĉ î ÜćîêćöĒñîÜćîĔîĒêŠ ú ąÿŠ ü î àċę Ü ÙüćöøĆ ïñĉ é ßĂïéĆ Ü ÖúŠ ć üÿćöćøë
öĂïĀöć÷ĔĀšñĎšðäĉïĆêĉÖćøĒìîĕéšđöČęĂöĊÙüćöÝĞćđðŨî
7. ÖćøÖĞ ć ĀîéÖøąïüîÖćøĔîÖćøÖĎš ÙČ î ĒúąôŚŪ î ôĎ Ö ćøéĞ ć đîĉ î Üćîíč ø Öĉ Ý Ēúą
ÙüćöóøšĂöĔßš×ĂÜÿćøÿîđìýĔĀšÖúĆïÿĎŠÿõćóðÖêĉ õć÷Ĕîøą÷ąđüúćìĊęÖĞćĀîé
8. ÖøąïüîÖćøĔîÖćøÖúĆïđךćÿĎŠõćüąðÖêĉ (Resumption Procedures) ēé÷öĊ
ÖćøĂíĉïć÷ÖøąïüîÖćøðäĉïĆêĉÜćîđóČęĂĔĀšÖúĆïđךćÿĎŠÖćøéĞćđîĉîÜćîðÖêĉ
2) ÖøĂïÿĞćĀøĆïĒñîđóČęĂÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP Framework) êšĂÜĕéšøĆïÖćøĂîčöĆêĉ
ÝćÖÙèąÖøøöÖćøïøĉĀćøÝĆéÖćøéšćî÷čìíýćÿêøŤ ÖćøïøĉĀćøÙüćöđÿĊę÷ÜĒúąÖćøÙüïÙčöõć÷Ĕî
Öôñ. (Ù÷ÿ.)/ÙèąĂîčÖøøöÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî ÖŠĂîìĊęÝąÿČęĂÿćøĔĀšÿć÷
ÜćîêŠćÜėĒúąñĎšìĊęđÖĊę÷üךĂÜøĆïìøćï

10.1.5. ÖćøìéÿĂïĒúąÖćøðøĆïðøčÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (Testing, Maintaining, and

Re-Assessing Business Continuity Plans)
1) ĔîÖćøìéÿĂïĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ ÿć÷ÜćîêŠćÜėĒúąÙèąìĞćÜćîÖćøïøĉĀćøÙüćö
êŠĂđîČęĂÜĔîÖćøóĆçîćÖćøéĞćđîĉîÜćî (BCP Development Team) êšĂÜöĆęîĔÝüŠćñĎšðäĉïĆêĉÜćîìĊę
đÖĊę÷üךĂÜöĊÙüćöêøąĀîĆÖëċÜĒñîÜćîĒúąĀîšćìĊęÙüćöøĆïñĉéßĂï×ĂÜêĆüđĂÜ
2) ÿć÷ÜćîêŠć ÜėĒúąÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉî Üćî (BCP
Development Team) êšĂÜÖĞćĀîéêćøćÜÖćøìéÿĂï×ĂÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(BCP) ēé÷öĊÖćøøąïčëċÜøć÷úąđĂĊ÷é đߊî üĆî đüúć ĒúąüĉíĊÖćøìéÿĂï đðŨîêšî
3) ĔîÖćøìéÿĂïĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ đóČęĂĔĀšđÖĉéÙüćööĆęîĔÝüŠćĒñîÝąÿćöćøëĔßšĕéš
ÝøĉÜ ÙüøóĉÝćøèćðøąđéĘî éĆÜêŠĂĕðîĊĚ
1. ÖćøìéÿĂïÿëćîÖćøèŤĀúć÷ėøĎðĒïï ēé÷ìĞćÖćøðøąßčöøŠüöÖĆîëċÜÖćøđêøĊ÷öÖćø
đóČęĂÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćîēé÷ĔßšÖćø÷ÖêĆüĂ÷ŠćÜÿëćîÖćøèŤìĊęìĞćĔĀšđÖĉéÖćø
Ā÷čéßąÜĆÖ
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 157 / 174
 2. ÖćøÝĞ ć úĂÜđĀêč Ö ćøèŤ đóČę Ă ĂïøöóîĆ Ö Üćîëċ Ü Āîš ć ìĊę đ öČę Ă đÖĉ é đĀêč Þč Ö đÞĉ î Ēúą
ÖćøÝĆéÖćøđĀêčÞčÖđÞĉî
3. ÖćøìéÿĂïÖćøÖĎšÙČîìćÜđìÙîĉÙ đóČęĂĔĀšöĆęîĔÝüŠćøąïïÿćøÿîđìýÿćöćøëÖĎšÙČîĕéš
Ă÷ŠćÜöĊðøąÿĉìíĉõćó
4. ÖćøìéÿĂïÖćøÖĎš ÙČ î ìĊę ýĎ î ÷Ť ÿĞ ć øĂÜ ēé÷öĊ Ö ćøéĞ ć đîĉ î íč ø Öĉ Ý ×îćîĕðÖĆ ï
ÖćøéĞćđîĉîÖćøÖĎšÙČî
5. ÖćøìéÿĂï×ĂÜñĎš Ĕ Āš ï øĉ Ö ćøĀøČ Ă đÝš ć ×ĂÜñúĉ ê õĆ è æŤ đóČę Ă ĔĀš öĆę î ĔÝüŠ ć Ĕî
ÖćøđêøĊ÷öÖćø×ĂÜñĎšĔĀšïøĉÖćøĀøČĂđÝšć×ĂÜñúĉêõĆèæŤ đðŨîĕðêćöךĂÖĞćĀîéĔîÿĆââć
6. ÖćøàĆÖàšĂöđêĘöøĎðĒïï (Complete Rehearsals) ēé÷ÖćøìéÿĂïÙüćöóøšĂö×ĂÜ
ñĎšðäĉïĆêĉÜćî ĂčðÖøèŤ ÿĉę ÜĂĞćîü÷ÙüćöÿąéüÖ ĒúąÖøąïüîÖćøĔîÖćøøĆïöČĂÖĆï
ÖćøĀ÷čéßąÜĆÖ
4) ÿć÷ÜćîêŠ ć ÜėĒúąÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠ Ă đîČę Ă ÜĔîÖćøðäĉ ïĆ êĉ Ö ćøéĞ ć đîĉ î Üćî(BCP
Execution Team) êšĂÜÝĆéĔĀšöĊÖćøïĆîìċÖñúÖćøìéÿĂïóøšĂöøć÷ÜćîêŠĂÙèąÖøøöÖćøïøĉĀćø
ÝĆ é Öćøéš ć î÷č ì íýćÿêøŤ Öćøïøĉ Ā ćøÙüćöđÿĊę ÷ ÜĒúąÖćøÙüïÙč ö õć÷Ĕî Öôñ. (Ù÷ÿ.)/
ÙèąĂîčÖøøöÖćøïøĉĀćøÙüćöêŠĂđîČęĂÜĔîÖćøéĞćđîĉîÜćî ĒúąñĎšïøĉĀćøìĊęđÖĊę ÷üךĂÜøĆïìøćï
øüöëċÜÖĞćĀîéĔĀšöĊÖćøîĞćñúÖćøìéÿĂïöćðøĆïðøčÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) Ĕî
ÖøèĊìĊęÝĞćđðŨî
5) ÿć÷ÜćîêŠć ÜėĒúąÙèąìĞ ć ÜćîÖćøïøĉ Ā ćøÙüćöêŠĂ đîČę Ă ÜĔîÖćøóĆ ç îćÖćøéĞ ć đîĉî Üćî (BCP
Development Team) öĊĀîšćøĆïñĉéßĂïĔîÖćøðøĆïðøčÜĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(BCP) ĔĀšđðŨîðŦÝÝčïĆî ìĆĚÜîĊĚĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ (BCP) êšĂÜöĊÖćøÿĂïìćîĂ÷ŠćÜ
îšĂ÷ðŘúąÙøĆĚÜĀøČĂđöČęĂöĊÖćøđðúĊę÷îĒðúÜìćÜéšćîíčøÖĉÝ éĆÜêŠĂĕðîĊĚ
1. Öú÷čìíŤìćÜíčøÖĉÝ
2. ÖøąïüîÖćøìćÜíčøÖĉÝ
3. øąïïÿćøÿîđìý ĒúąēÙøÜÿøšćÜéšćîđìÙēîēú÷Ċÿćøÿîđìý
4. ÿëćîìĊęêĆĚÜ×ĂÜÿĉęÜĂĞćîü÷ÙüćöÿąéüÖ
5. ñĎšĔĀšïøĉÖćøĀøČĂđÝšć×ĂÜñúĉêõĆèæŤ
6. øć÷ßČęĂñĎšêĉéêŠĂĒúąđïĂøŤēìøýĆóìŤ

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-34 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÝĆéìĞćĒúąÖćøðøąÖćýĔßšĒñîÿøšćÜÙüćöêŠĂđîČęĂÜĔĀšÖĆïíčøÖĉÝ
(Business Continuity Plans Development and Execution Procedure)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 158 / 174

ST-11: öćêøåćîÖćøðäĉïĆêêĉ ćöךĂÖĞćĀîéĒúąÖãĀöć÷ìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý (Standard of Compliance)

üĆêëčðøąÿÜÙŤ
đóČęĂðŜĂÜÖĆîÖćøúąđöĉéךĂÖĞćĀîéìćÜÖãĀöć÷ ךĂÖĞćĀîéĔîÿĆââć Ēúą×šĂÖĞćĀîéìćÜéšćîÙüćööĆę îÙÜ
ðúĂéõĆ÷ĂČęîė ìĊęđÖĊę÷üךĂÜ ĒúąđóČęĂĔĀšÖćøðäĉïĆêĉ×ĂÜñĎšðäĉïĆêĉÜćîĒúąĀîŠü÷Üćîõć÷îĂÖđðŨîĕðêćöîē÷ïć÷
ÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îÿćøÿîđìý×ĂÜ Öôñ. ĂĊ Ö ìĆĚ Ü đóČę Ă ĔĀš Ö ćøêøüÝðøąđöĉ î øąïïÿćøÿîđìýĕéš
ðøąÿĉìíĉõćóÿĎÜÿčéēé÷öĊÖćøĒìøÖĒàÜĀøČĂìĞćĔĀšĀ÷čéßąÜĆÖêŠĂÖøąïüîÖćøìćÜíčøÖĉÝîšĂ÷ìĊęÿčé ìĆĚÜîĊĚ Öôñ. ĕéš
ÖĞćĀîéĔĀšöĊöćêøåćîÖćøðäĉïĆêĉêćöךĂÖĞćĀîéĒúąÖãĀöć÷ìĊęđÖĊę÷üÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
àċęÜðøąÖĂïéšü÷ 3 đøČęĂÜéĆÜêŠĂĕðîĊĚ
1) ÖćøðäĉïĆêĉêćöךĂÖĞćĀîéìćÜÖãĀöć÷ (Compliance with Legal Requirements)
2) Öćøðäĉ ïĆ êĉ ê ćöîē÷ïć÷ öćêøåćîÙüćööĆę î ÙÜðúĂéõĆ ÷ Ēúą×š Ă ÖĞ ć ĀîéìćÜđìÙîĉ Ù
(Compliance with Security Policies and Standards, and Technical Compliance)
3) ÖćøêøüÝðøąđöĉîøąïïÿćøÿîđìý (Information Systems Audit Considerations)

ïìïćìĀîšćìĊę
ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.)
ƒ ýċÖþćĒúąøüïøüö ךĂÖĞćĀîéêŠćÜė ìĊęöĊñúìćÜÖãĀöć÷ ìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý×ĂÜ Öôñ.
ƒ ÝĆéđêøĊ÷öĒñîĒöŠïìđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøÿČęĂÿćø×ĂÜ Öôñ. (EGAT ICT Master Plan) ēé÷
óĉÝćøèćĔĀšÖćøéĞćđîĉîÜćîéšćîđìÙēîēú÷ĊÿćøÿîđìýÿĂéÙúšĂÜÖĆïîē÷ïć÷ ĒúąöćêøåćîéšćîÙüćö
öĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý
ƒ ÝĆéĔĀšöĊÖćøêøüÝÿĂïÖćøðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷ÖŠĂîîĞć
ĂčðÖøèŤðøąöüúñúÿćøÿîđìýĂĂÖĔßšÜćî
ƒ ÝĆéĔĀšöĊÖćøêøüÝÿĂïöćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷
ƒ ÖĞćĀîéĒîüìćÜĔîÖćøéĞćđîĉîÜćîÿĞćĀøĆïîē÷ïć÷ÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙúĔĀšđðŨîĕðêćö÷čìíýćÿêøŤ
ĒúąĒñîüĉÿćĀÖĉÝ×ĂÜ Öôñ. ĒúąìĉýìćÜĒîüēîšöìćÜéšćîđìÙēîēú÷ĊÿćøÿîđìýĒúąÖćøđðúĊę÷îĒðúÜ
ĀøČĂđóĉęöđêĉöĔîךĂÖãĀöć÷Ēúą×šĂÖĞćĀîéìĊęđÖĊę÷üךĂÜ
ƒ ÝĆéìĞćøŠćÜîē÷ïć÷ÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙúÿĂéÙúšĂÜêćö÷čìíýćÿêøŤĒúąĒñîüĉÿćĀÖĉÝ×ĂÜ Öôñ.
ìĉýìćÜ ĒîüēîšöìćÜéšćîđìÙēîēú÷Ċÿćøÿîđìý ĒúąđöČęĂöĊÖćøđðúĊę÷îĒðúÜĀøČĂđóĉęöđêĉöĔîךĂÖãĀöć÷
Ēúą×šĂÖĞćĀîéìĊęđÖĊę÷üךĂÜ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 159 / 174

 ƒ éĞ ć đîĉ î Öćøìïìüîîē÷ïć÷Ùčš ö ÙøĂÜך Ă öĎ ú ÿŠ ü îïč Ù ÙúĂ÷Š ć Üîš Ă ÷ðŘ ú ąĀîċę Ü ÙøĆĚ Ü ĀøČ Ă đöČę Ă öĊ Ö ćø
đðúĊę÷îĒðúÜìĊęĂćÝÿŠÜñúÖøąìïêŠĂÖćøđÖĘïøüïøüöךĂöĎúÿŠüîïčÙÙú ÖćøĔßšĒúąÖćøđðŗéđñ÷ךĂöĎú
ÿŠüîïčÙÙú øüöëċÜÖćøđÖĘïøĆÖþćĒúąÖćøĒÖšĕ×đðúĊę÷îĒðúÜךĂöĎúÿŠüîïčÙÙú×ĂÜ Öôñ. óøšĂöìĆĚÜ
ïĆîìċÖñúÖćøðøąßčö
ƒ óĉÝćøèćÖćø×ĂĒÖšĕ×ĒúąðøĆïðøčÜîē÷ïć÷ÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú îĂÖđĀîČĂÝćÖÖćøìïìüîĔî
øĂïðÖêĉ
ƒ ÿŠ Ü đÿøĉ ö ĒúąÿîĆ ï ÿîč î ĔîÖćøðäĉ ïĆ êĉ ê ćöîē÷ïć÷Ùčš ö ÙøĂÜך Ă öĎ ú ÿŠ ü îïč Ù Ùú ĒÖŠ ñĎš ð äĉ ïĆ êĉ Ü ćîĒúą
ĀîŠü÷Üćîõć÷îĂÖ

ñĎšêøüÝÿĂïĂĉÿøą
ƒ ÿĂïìćîÖćøðäĉïĆêĉÜćîêćöîē÷ïć÷ĒúąöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
đóČęĂüĆéøąéĆïÖćøðäĉïĆêĉêćöîē÷ïć÷ĒúąöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ óøšĂöìĆĚÜöćêøåćîìćÜ
đìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷Ă÷ŠćÜÿöęĞćđÿöĂ
ƒ ðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýĔîÖćøÿĂïìćîøąïïÿćøÿîđìý ĒúąĂčðÖøèŤðøąöüúñú
ÿćøÿîđìý üŠćöĊÖćøëČĂðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷×ĂÜ Öôñ.
ƒ ÝĆéìĞćĒîüÖćøêøüÝÿĂï ïìïćìĀîš ćìĊęĒúąìøĆó÷ćÖøéšćîđìÙēîēú÷ĊÿćøÿîđìýìĊę êšĂÜÖćøđóČęĂ
ÖćøêøüÝÿĂïĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
ƒ ðäĉïĆêĉÜćîÖćøêøüÝÿĂï õć÷ĔêšÖćøÝĞćÖĆéÖćøđךćëċÜēðøĒÖøöÙĂöóĉüđêĂøŤĒúą×šĂöĎúĒïïĂŠćîĂ÷ŠćÜ
đéĊ÷ü (Read-Only) óøšĂöìĆĚÜúïÿĞćđîćĕôúŤìĊęĕéšøĆïÝćÖÖćøêøüÝÿĂïđöČęĂÖćøêøüÝÿĂïĕéšéĞćđîĉîÖćø
ĒúšüđÿøĘÝĒúąĕöŠöĊðøąđéĘîêšĂÜêĉéêćö

ĀîŠü÷ÜćîïøĉĀćøÿĆââć
ƒ ýċÖþćĒúąøüïøüö ךĂÖĞćĀîéĔîÿĆââćìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ.
ĒúąÝĆéìĞćךĂðäĉïĆêĉ đóČęĂøĂÜøĆïÿĆââćéĆÜÖúŠćü óøšĂöìĆĚÜìąđïĊ÷îđĂÖÿćøĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø
ēé÷öĊÖćøðøĆïðøčÜĒúąÿĂïìćîđðŨîðøąÝĞćìčÖ 6 đéČĂî

òść÷ìøĆó÷ćÖøïčÙÙú
ƒ ÝĆéĔĀšöĊךĂÖĞćĀîé ÙĞćÿĆęÜ ĀøČĂðøąÖćý ÖĆïñĎšðäĉïĆêĉÜćîõć÷Ĕî Öôñ. ĒúąĀîŠü÷Üćîõć÷îĂÖ đÖĊę÷üÖĆï
ÖćøðŜĂÜÖĆîךĂöĎúÿŠüîïčÙÙú ĒúąÖćøĔĀšÙüćöÿĞćÙĆâ×ĂÜÖćøđÖĘïøĆÖþćÙüćöúĆï×ĂÜךĂöĎúìĊęĔßšĔîÖćø
éĞćđîĉîÜćî×ĂÜ Öôñ.

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 160 / 174

 ƒ ĒÝšÜĒÖŠñĎšðäĉïĆêĉÜćîĔĀšìøćïüŠć Öôñ. öĊÿĉìíĉĔîÖćøêøüÝÿĂï ÝéĀöć÷ĂĉđúĘÖìøĂîĉÖÿŤ ĒôŜöךĂöĎúÿŠüî
ïčÙÙú ĒôŜöךĂöĎúĔîăćøŤééĉÿÖŤ ĀøČĂÿćøÿîđìýĂČęîė ìĊęÝĆéđÖĘïõć÷ĔîĀøČĂÿŠÜñŠćîēé÷øąïïÿćøÿîđìý
×ĂÜ Öôñ. ìčÖđöČęĂ

ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
ƒ ïøĉĀćøÝĆéÖćøìøĆó÷ćÖøêŠćÜė đóČęĂĔĀšÖćøðäĉïĆêĉêćöîē÷ïć÷ÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙúđðŨîĕðĂ÷ŠćÜöĊ
ðøąÿĉìíĉõćó
ƒ ÿŠ Ü đÿøĉ ö ĒúąÿîĆ ï ÿîč î ĔîÖćøðäĉ ïĆ êĉ ê ćöîē÷ïć÷Ùčš ö ÙøĂÜך Ă öĎ ú ÿŠ ü îïč Ù Ùú ĒÖŠ ñĎš ð äĉ ïĆ êĉ Ü ćîĒúą
ĀîŠü÷Üćîõć÷îĂÖ
ƒ ÙüïÙčööĉĔĀšđðŗéđñ÷ךĂöĎúÿŠüîïčÙÙúìĊęĂ÷ĎŠĔîÙüćöÙüïÙčöéĎĒú×ĂÜêîêŠĂĀîŠü÷Üćî×ĂÜøĆåĒĀŠÜĂČęîĀøČĂ
ĀîŠü÷Üćîõć÷îĂÖēé÷ðøćýÝćÖÙüćö÷ĉî÷ĂöđðŨîĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø×ĂÜđÝšć×ĂÜךĂöĎú
ƒ óĉÝćøèćÖćøìĞćàĚĞćĀøČĂéĆéĒðúÜēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ ĕð÷ĆÜÿČęĂïĆîìċÖךĂöĎú
ƒ óĉÝćøèćÖćøēĂî÷šć÷ēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ ĕð÷ĆÜđÙøČęĂÜÙĂöóĉüđêĂøŤđÙøČęĂÜĂČęî
ĒúąóĉÝćøèćÖćøđðŗéđñ÷ēðøĒÖøöÙĂöóĉüđêĂøŤ
ƒ óĉÝćøèćÖćøĔßšēðøĒÖøöÙĂöóĉüđêĂøŤìĊęĕéšøĆïÝćÖĂĉîđìĂøŤđîĘê ëšćñĎšðäĉïĆêĉÜćîöĊÙüćöÝĞćđðŨîêšĂÜĔßš
Üćî
ƒ ÙüïÙčöĔĀšöĊÖćøĔßšēðøĒÖøöÙĂöóĉüđêĂøŤìĊęëĎÖêšĂÜêćöÖãĀöć÷ ĒúąÙüïÙčöÖćøĔßšÜćîĔĀšđðŨîĕðêćö
úĉ×ÿĉìíĉĝ
ƒ

ĀĆüĀîšćÜćîÿćøÿîđìý
ƒ ÝĆéĔĀšöĊÖøąïüîÖćøÖćøđךćëċÜÿćøÿîđìýĒúąøąïïÿćøÿîđìýìĆĚÜìćÜÖć÷õćó (Physical) ĒúąìćÜ
êøøÖą (Logical) óøšĂöìĆĚÜÙüïÙčöïĆîìċÖđĀêčÖćøèŤ (Logs) ĔĀšđðŨîĕðêćööćêøåćî
ƒ ×ĂÙĞćðøċÖþćÖĆïòść÷ÖãĀöć÷ đÖĊę÷üÖĆïךĂñĎÖöĆéĔîÖćøĔßšÖćøđךćøĀĆÿìĊęöĊĒĀúŠÜÖĞćđîĉéêćöÖãĀöć÷
ĀøČĂÖãךĂïĆÜÙĆï×ĂÜðøąđìýĂČęî
ƒ ðøąÿćîÜćîÖĆ ï ñĎš ê øüÝÿĂïĂĉ ÿ øąĔîÖćøÿĂïìćîøąïïÿćøÿîđìý ĒúąĂč ð ÖøèŤ ð øąöüúñú
ÿćøÿîđìý üŠćöĊÖćøëČĂðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷×ĂÜ Öôñ.
ƒ ÖćøÙüïÙčöĒúąêøüÝÿĂïÖćøĔßšđÙøČęĂÜöČĂêøüÝøąïïÿćøÿîđìý (System Audit Tools)

ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 161 / 174

 ƒ ÝĆéìĞćïĆâßĊ (Checklist) ÖćøđÖĘïøĆÖþćÿćøÿîđìý đóČęĂĔĀšđðŨîĕðêćöìĊęÖãĀöć÷ĒúąöćêøåćîÙüćö
öĆęîÙÜðúĂéõĆ÷ìĊę Öôñ. ÖĞćĀîé
ƒ ÝĆéđÖĘïĒúąéĎĒúøĆÖþćÿČęĂïĆîìċÖךĂöĎúĔĀšĂ÷ĎŠĔîÿõćóóøšĂöĔßšÜćî ēé÷ÖćøÝĆéđÖĘïĒúąéĎĒúøĆÖþćÿČęĂÙüø
ðäĉïĆêĉêćöÙĞćĒîąîĞć×ĂÜđÝšć×ĂÜñúĉêõĆèæŤ
ƒ ÝĆéđÖĘïÿćøÿîđìýêćöøą÷ąđüúćìĊęÖĞćĀîéĔîêćøćÜÖćøđÖĘïøĆÖþćÿćøÿîđìý
ƒ ĔĀšÙüćöøŠüööČĂĒúąÿîĆïÿîčîÖćøÿĂïìćîÖćøðäĉïĆêĉÜćîêćöîē÷ïć÷ĒúąöćêøåćîÙüćööĆęîÙÜ
ðúĂéõĆ÷
ƒ ðäĉïĆêĉêćöîē÷ïć÷ÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú×ĂÜ Öôñ. Ă÷ŠćÜđÙøŠÜÙøĆé

ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý
ƒ ÝĆéđÖĘïĒúąéĎĒúøĆÖþćÿČęĂïĆîìċÖךĂöĎúĔĀšĂ÷ĎŠĔîÿõćóóøšĂöĔßšÜćî ēé÷ÖćøÝĆéđÖĘïĒúąéĎĒúøĆÖþćÿČęĂÙüø
ðäĉïĆêĉêćöÙĞćĒîąîĞć×ĂÜđÝšć×ĂÜñúĉêõĆèæŤ
ƒ ÝĆéđÖĘïÿćøÿîđìýêćöøą÷ąđüúćìĊęÖĞćĀîéĔîêćøćÜÖćøđÖĘïøĆÖþćÿćøÿîđìý
ƒ ĔĀšÙüćöøŠüööČĂĒúąÿîĆïÿîčîÖćøÿĂïìćîÖćøðäĉïĆêĉÜćîêćöîē÷ïć÷ĒúąöćêøåćîÙüćööĆęîÙÜ
ðúĂéõĆ÷
ƒ đòŜćøąüĆÜÖćøđךćëċÜ øąïïìĊęêøüÝÿĂï×ĂÜñĎšêøüÝÿĂï Ă÷ŠćÜÿöęĞćđÿöĂ
ƒ ÝĆéđêøĊ÷öìøĆó÷ćÖøìĊęñĎšêøüÝÿĂïøšĂÜ×Ă đóČęĂĔßšĔîÖøąïüîÖćøêøüÝÿĂïĔĀšóøšĂö

ñĎšðäĉïĆêĉÜćî
ƒ ĔßšøąïïÿćøÿîđìýĒúąøąïïÿČęĂÿćø×ĂÜ Öôñ. đóČęĂÖćøéĞćđîĉîÜćî×ĂÜ Öôñ. đìŠćîĆĚî
ƒ ĕöŠìĞćàĚĞćĀøČĂéĆéĒðúÜēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ ĕð÷ĆÜÿČęĂïĆîìċÖךĂöĎú ĕöŠēĂî÷šć÷
ēðøĒÖøöÙĂöóĉ ü đêĂøŤ éĆ Ü ÖúŠ ć üĕð÷Ć Ü đÙøČę Ă ÜÙĂöóĉ ü đêĂøŤ đ ÙøČę Ă ÜĂČę î ĒúąĕöŠ đ ðŗ é đñ÷ēðøĒÖøö
ÙĂöóĉüđêĂøŤ ēé÷ĕöŠĕéšøĆïĂîčâćê
ƒ ĕöŠéĞćđîĉîÖćø ĀøČĂöĊÿŠüîøŠüöĔîÖćøìĞćàĚĞć éĆéĒðúÜ đñ÷ĒóøŠ ēĂî÷šć÷ ĀøČĂĒúÖđðúĊę÷î đĂÖÿćø
ÿćøÿîđìý ēðøĒÖøöÙĂöóĉüđêĂøŤ ĀøČĂđÙøČęĂÜöČĂĔéė ĂĆîđðŨîÖćøúąđöĉéúĉ×ÿĉìíĉĝĒúąìøĆó÷ŤÿĉîìćÜ
ðŦââć
ƒ ĕöŠêĉéêĆĚÜēðøĒÖøöÙĂöóĉüđêĂøŤ ēé÷ĕöŠĕéšøĆïĂîčâćê
ƒ ĕöŠ Ĕ ßš ă ćøŤ é ĒüøŤ (Hardware) ĀøČ Ă àĂôêŤ Ē üøŤ (Software) đóČę Ă ìéÿĂï ðøąđöĉ î ĒÖš ĕ × ĀøČ Ă
đðúĊę÷îĒðúÜøąïïÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 162 / 174

11.1 ÖćøðäĉïĆêĉêćöךĂÖĞćĀîéìćÜÖãĀöć÷ (Compliance with Legal Requirements)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøøąïčךĂÖĞćĀîéêŠćÜė ìĊęöĊñúìćÜÖãĀöć÷ ÖćøðŜĂÜÖĆîÿĉìíĉĒúąìøĆó÷ŤÿĉîìćÜðŦââć ÖćøðŜĂÜÖĆîךĂöĎú
ÿĞćÙĆâìĊęđÖĊę÷üךĂÜÖĆï Öôñ. ÖćøðŜĂÜÖĆîךĂöĎúÿŠüîêĆü ÖćøðŜĂÜÖĆîÖćøĔßšÜćîĂčðÖøèŤðøąöüúñúÿćøÿîđìýñĉé
üĆêëčðøąÿÜÙŤ ĒúąÖćøÙüïÙčöÖćøđךćøĀĆÿךĂöĎúêćöךĂÖĞćĀîé

öćêøåćî
11.1.1 ÖćøøąïčךĂÖĞćĀîéêŠćÜė ìĊęöĊñúìćÜÖãĀöć÷ (Identification of Applicable Legislation)
1) ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) êšĂÜýċÖþćĒúąøüïøüö ךĂÖĞćĀîéêŠćÜėìĊęöĊñú
ìćÜÖãĀöć÷ ìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ. (đߊî óøąøćßïĆââĆêĉ
ךĂÖĞćĀîéìćÜÖãĀöć÷ ךĂÖĞćĀîéĔîÿĆââć Ēúą×šĂÖĞćĀîéìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷ĂČęîė
đðŨîêšî) ĒúąÝĆéìĞćøąđïĊ÷ïðäĉïĆêĉđóČęĂøĂÜøĆïךĂÖĞćĀîééĆÜÖúŠćü óøšĂöìĆĚÜìąđïĊ÷îđĂÖÿćø Ă÷ŠćÜ
đðŨîúć÷úĆÖþèŤĂĆÖþø đóČęĂĔĀšĀîŠü÷ÜćîìĊęđÖĊę÷üךĂÜîĞćĕððäĉïĆêĉĔßšēé÷ìĆęüÖĆî ēé÷öĊÖćøðøĆïðøčÜ
ĒúąÿĂïìćîđðŨîðøąÝĞćìčÖ 6 đéČĂî
2) ĀîŠü÷ÜćîïøĉĀćøÿĆââć êšĂÜýċÖþćĒúąøüïøüö ךĂÖĞćĀîéĔîÿĆââćìĊęđÖĊę÷üךĂÜÖĆïÙüćööĆęîÙÜ
ðúĂéõĆ÷éšćîÿćøÿîđìý×ĂÜ Öôñ. ĒúąÝĆéìĞćךĂðäĉïĆêĉ đóČęĂøĂÜøĆïÿĆââćéĆÜÖúŠćü óøšĂöìĆĚÜ
ìąđïĊ÷îđĂÖÿćø Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø ēé÷öĊÖćøðøĆïðøčÜĒúąÿĂïìćîđðŨîðøąÝĞćìčÖ 6
đéČĂî
11.1.2 ÖćøðŜĂÜÖĆîÿĉìíĉĒúąìøĆó÷ŤÿĉîìćÜðŦââć (Intellectual Property Rights (IRP))
1) ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð êšĂÜÙüïÙčöĔĀšöĊÖćøĔßšēðøĒÖøöÙĂöóĉüđêĂøŤìĊęëĎÖêšĂÜêćö
ÖãĀöć÷ ĒúąÙüïÙčöÖćøĔßšÜćîĔĀšđðŨîĕðêćöúĉ×ÿĉìíĉĝ đߊî øą÷ąđüúćÖćøĔßšÜćî ÝĞćîüîúĉ×ÿĉìíĉĝ
êćöÝĞćîüîñĎšĔßšÜćî ĒúąÝĞćîüîúĉ×ÿĉìíĉĝêćöÝĞćîüîĂčðÖøèŤðøąöüúñúÿćøÿîđìý đðŨîêšî
2) ēðøĒÖøöÙĂöóĉüđêĂøŤĒúąđĂÖÿćøìĊęđÖĊę÷üÖĆïēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ êšĂÜöĊ
ךĂÙüćöìĊęĒÿéÜúĉ×ÿĉìíĉĝĂ÷ŠćÜßĆéđÝî éĆÜêŠĂĕðîĊĚ
x ÿÜüîúĉ×ÿĉìíĉĝ ó.ý. 2551 êćö ó.ø.ï. úĉ×ÿĉìíĉĝ ó.ý. 2537
ÖćøĕôôŜćòść÷ñúĉêĒĀŠÜðøąđìýĕì÷
x Copyright©2008 by: Electricity Generating Authority of Thailand
3) ñĎšðäĉïĆêĉÜćî êšĂÜĕöŠìĞćàĚĞćĀøČĂéĆéĒðúÜēðøĒÖøöÙĂöóĉüđêĂøŤìĊę Öôñ. đðŨîđÝšć×ĂÜ ĕð÷ĆÜÿČęĂïĆîìċÖ
ךĂöĎú ĕöŠ ēĂî÷šć÷ēðøĒÖøöÙĂöóĉüđêĂøŤ éĆÜÖúŠ ćüĕð÷Ć ÜđÙøČęĂÜÙĂöóĉüđêĂøŤ đÙøČęĂÜĂČęî ĒúąĕöŠ
đðŗéđñ÷ēðøĒÖøöÙĂöóĉüđêĂøŤ ēé÷ĕöŠĕéšøĆïĂîčâćêÝćÖ ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕðĀøČĂ
ñĎšìĊęĕéšøĆïöĂïĀöć÷ÝćÖñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 163 / 174
 4) ñĎšðäĉïĆêĉÜćî êšĂÜĕöŠéĞćđîĉîÖćø ĀøČĂöĊÿŠüîøŠüöĔîÖćøìĞćàĚĞć éĆéĒðúÜ đñ÷ĒóøŠ ēĂî÷šć÷ ĀøČĂ
ĒúÖđðúĊę÷î đĂÖÿćø ÿćøÿîđìý ēðøĒÖøöÙĂöóĉüđêĂøŤ ĀøČĂđÙøČęĂÜöČĂĔéė ĂĆîđðŨîÖćøúąđöĉé
úĉ×ÿĉìíĉĝĒúąìøĆó÷ŤÿĉîìćÜðŦââć
5) ñĎšðäĉïĆêĉÜćî êšĂÜĕöŠêĉéêĆĚÜēðøĒÖøöÙĂöóĉüđêĂøŤ ēé÷ĕöŠĕéšøĆïĂîčâćê ĔîÖøèĊìĊęÝĞćđðŨîêšĂÜĔßšÜćî
êšĂÜĒÝšÜÙüćöðøąÿÜÙŤĕð÷ĆÜ ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠć×ċĚîĕð đóČęĂéĞćđîĉîÖćøêøüÝÿĂïúĉ×
ÿĉìǴĒúąìøĆ
íŤ ó÷ŤÿĉîìćÜðŦââć ÖŠĂîîĞćĕðĔßšÜćî

11.1.3 ÖćøðŜĂÜÖĆîךĂöĎúÿĞćÙĆâìĊęđÖĊę÷üךĂÜÖĆïĂÜÙŤÖø (Protection of Organizational Records)

1) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜÝĆéìĞćïĆâßĊ (Checklist) ÖćøđÖĘïøĆÖþćÿćøÿîđìý đóČęĂĔĀšđðŨîĕð
êćöìĊęÖãĀöć÷ÖĞćĀîé ēé÷ïĆâßĊÖćøđÖĘïøĆÖþćÿćøÿîđìý êšĂÜÙøĂïÙúčöđøČęĂÜéĆÜêŠĂĕðîĊĚ
1. ðøąđõì×ĂÜÿćøÿîđìý
2. ÖãĀöć÷ìĊęđÖĊę÷üךĂÜ
3. ÿëćîìĊęÝĆéđÖĘïÿćøÿîđìý
4. øą÷ąđüúćÖćøÝĆéđÖĘïøĆÖþć
5. ךĂðäĉïĆêĉĔîÖćøÝĆéđÖĘïĒúąéĎĒúøĆÖþć
ēé÷öĊêĆüĂ÷ŠćÜøą÷ąđüúćÖćøÝĆéđÖĘïøĆÖþć éĆÜêŠĂĕðîĊĚ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 164 / 174

 øą÷ąđüúćÖćø
ÿëćîìĊÝę ĆéđÖĘï
ðøąđõì×ĂÜÿćøÿîđìý ÖãĀöć÷ìĊęđÖĊę÷üךĂÜ ÝĆéđÖĘïøĆÖþć - ךĂðäĉïĆêĉĔîÖćøÝĆéđÖĘïĒúąéĎĒúøĆÖþć
ÿćøÿîđìý
ðŘ
ךĂöĎúÝøćÝøìćÜÙĂöóĉüđêĂøŤ (ĂšćÜĂĉÜÝćÖ óøï. ÖćøÖøąìĞćÙüćöñĉéđÖĊę÷üÖĆïÙĂöóĉüđêĂøŤ ó.ý. 2550)
Authentication Server óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
Logs (RADIUS, TACACS, ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
DIAMETER)
Email Server Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
FTP Server Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
Web application Server óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
Logs ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
NTP Server Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
IM Server Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
ךĂöĎúÝøćÝøìćÜÙĂöóĉüđêĂøŤ (đóĉęöđêĉö)
Proxy Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
¤µ˜¦“µœ‡ªµ¤¤´ ɜ‡Šž¨°—£´¥—oµœ­µ¦­œÁš« ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 165 / 174
 øą÷ąđüúćÖćø
ÿëćîìĊÝę ĆéđÖĘï
ðøąđõì×ĂÜÿćøÿîđìý ÖãĀöć÷ìĊęđÖĊę÷üךĂÜ ÝĆéđÖĘïøĆÖþć - ךĂðäĉïĆêĉĔîÖćøÝĆéđÖĘïĒúąéĎĒúøĆÖþć
ÿćøÿîđìý
ðŘ
IDS Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï
ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
Firewalls Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï
ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
Routers & Switches Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
Active Directory Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï
ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
Operating System Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
Remote Access Logs óø ï . Ö ćø Ö ø ą ìĞ ć Ù ü ć ö ñĉ é đ ÖĊę ÷ ü ÖĆ ï
ýĎî÷ŤÙĂöóĉüđêĂøŤ/ 1 ĂšćÜĂĉÜ ST-07 öćêøåćîÖćøÙüïÙčöÖćøđךćëċÜ
ÙĂöóĉüđêĂøŤ ó.ý. 2550 ĀšĂÜÙĂöóĉüđêĂøŤ Ēúą ST-06 öćêøåćîÖćøÿĞćøĂÜךĂöĎú
ÖćøđÜĉî (Financial) (ĂšćÜĂĉÜÝćÖ óøï. ÖćøïĆâßĊ ó.ý. 2543)
ïĆâßĊĒúąđĂÖÿćøÖćøúÜïĆâßĊ óøï. ÖćøïĆâßĊ ó.ý. 2543 ĒñîÖïĆâßĊ 7 ĂšćÜĂĉÜ óøï. ÖćøïĆâßĊ ó.ý. 2543

¤µ˜¦“µœ‡ªµ¤¤´ ɜ‡Šž¨°—£´¥—oµœ­µ¦­œÁš« ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 166 / 174

 2) ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý ĀøČĂñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý êšĂÜÝĆéđÖĘïĒúąéĎĒú
øĆÖþćÿČęĂïĆîìċÖךĂöĎúĔĀšĂ÷ĎŠĔîÿõćóóøšĂöĔßšÜćî ēé÷ÖćøÝĆéđÖĘïĒúąéĎĒúøĆÖþćÿČęĂÙüøðäĉïĆêĉêćö
ÙĞćĒîąîĞć×ĂÜđÝšć×ĂÜñúĉêõĆèæŤ
3) ñĎš éĎ Ē úÿćøÿîđìýĒúąñĎš éĎ Ē úøąïïÿćøÿîđìý ĀøČ Ă ñĎš đ ðŨ î đÝš ć ×ĂÜÿćøÿîđìý êš Ă ÜÝĆ é đÖĘ ï
ÿćøÿîđìýêćöøą÷ąđüúćìĊęÖĞćĀîéĔîêćøćÜÖćøđÖĘïøĆÖþćÿćøÿîđìý Ă÷ŠćÜĕøÖĘêćöøą÷ąđüúć
ÖćøÝĆéđÖĘïêšĂÜđóĊ÷ÜóĂêŠĂÖøąïüîÖćøÖćøêøüÝÿĂï ĀøČĂĂćÝêšĂÜÝĆéđÖĘïđÖĉîÖüŠćøą÷ąđüúćìĊę
ÖĞćĀîéĔîÖøèĊìĊęöĊÖćøôŜĂÜøšĂÜĔîßĆĚîýćúĒúąöĊđĀêčêšĂÜĔßšïĆîìċÖךĂöĎúéĆÜÖúŠćü
4) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÙüïÙčöĒúąđÖĘïøĆÖþćïĆîìċÖđĀêčÖćøèŤ (Log) ĔĀšöĊÙüćööĆęîÙÜ
ðúĂéõĆ÷ đߊî đÖĘïïĆîìċÖđĀêčÖćøèŤ (Log) ĕüšĔîÿČęĂïĆîìċÖךĂöĎúĒïïĂŠćîĕéšĂ÷ŠćÜđéĊ÷ü đךćøĀĆÿ
ĀøČĂđÖĘïĕüšĔîìĊęìĊęöĊÖćøÙüïÙčöÖćøđךćëċÜìćÜÖć÷õćó (Physical) đðŨîêšî
5) ĀĆüĀîšćÜćîÿćøÿîđìý öĊĀîšćìĊęĔîÖćøéĎĒúךĂöĎúïîĂčðÖøèŤðøąöüúñúÿćøÿîđìý×ĂÜ Öôñ.
Ēúąêš Ă ÜéĞ ć đîĉ î Öćøúïך Ă öĎ ú ×ĂÜ Öôñ. ÖŠ Ă îÖćøēĂî÷š ć ÷Ăč ð ÖøèŤ ð øąöüúñúÿćøÿîđìý
îĂÖÝćÖîĊĚ ÿČęĂïĆîìċÖךĂöĎúìĊęÝĆéđÖĘïךĂöĎúõć÷Ĕî×ĂÜ Öôñ. êšĂÜúï ĀøČĂìĞćúć÷ÖŠĂîìĉĚÜ

11.1.4 ÖćøÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú (Data Protection and Privacy of Personal Information)

1) òść÷ìøĆó÷ćÖøïčÙÙú êšĂÜÝĆéĔĀšöĊךĂÖĞćĀîé ÙĞćÿĆęÜ ĀøČĂðøąÖćý ÖĆïñĎšðäĉïĆêĉÜćîõć÷Ĕî Öôñ.
ĒúąĀîŠü÷Üćîõć÷îĂÖ đÖĊę÷üÖĆïÖćøÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú ĒúąÖćøĔĀšÙüćöÿĞćÙĆâ×ĂÜÖćø
đÖĘïøĆÖþćÙüćöúĆï×ĂÜךĂöĎúÿŠüîïčÙÙúìĊęĔßšĔîÖćøéĞćđîĉîÜćî×ĂÜ Öôñ.
2) ñĎšĂĞćîü÷Öćøòść÷ĀøČĂđìĊ÷ïđìŠ ć×ċĚîĕðêšĂÜÝĆéĔĀšöĊñĎšÙüïÙčö ך ĂöĎú ÿŠ üîïčÙ Ùú đóČę ĂÙüïÙčöÖćø
øüïøüö ÝĆéđÖĘï Ĕßš đñ÷ĒóøŠ ĀøČĂéĞćđîĉîÖćøĂČęîĔéđÖĊę÷üÖĆïךĂöĎúÿŠüîïčÙÙú
3) ÖćøđÖĘïøüïøüöךĂöĎúÿŠüîïčÙÙú öĊĀúĆÖđÖèæŤĒúą×Ăïđ×êđîČĚĂĀćéĆÜêŠĂĕðîĊĚ
1. ĔîÖćøđÖĘïøüïøüöךĂöĎú ÖúŠćüÙČĂ ĔîÖćøđÖĘïøüïøüöךĂöĎúîĆĚî êšĂÜßĂïéšü÷ÖãĀöć÷
ĒúąêšĂÜĔßšüĉíĊÖćøìĊęđðŨîíøøöĒúąđĀöćąÿö ēé÷ĔîÖćøđÖĘïøüïøüöךĂöĎúîĆĚî êšĂÜĔĀš
đÝšć×ĂÜךĂöĎúøĎšđĀĘî øĆïøĎš ĀøČĂĕéšøĆïÙüćö÷ĉî÷ĂöÝćÖđÝšć×ĂÜךĂöĎú
2. ĔîÖćøđÖĘïøüïøüöĔĀšñĎšÙüïÙčöךĂöĎúÿŠüîïčÙÙú ĒÝšÜêŠĂđÝšć×ĂÜךĂöĎúÿŠüîïčÙÙúìøćï
ÖŠĂîĀøČĂĔî×èąìĊęÝąéĞćđîĉîÖćøëċÜøć÷úąđĂĊ÷é éĆÜêŠĂĕðîĊĚ
x ßČęĂ ĀîŠü÷Üćî×ĂÜñĎšÙüïÙčöךĂöĎúÿŠüîïčÙÙú
x üĆêëčðøąÿÜÙŤ×ĂÜÖćøđÖĘïøüïøüö ĒúąüĉíĊÖćøĔîÖćøđÖĘïøüïøüö
x ÖĞćĀîéøą÷ąđüúćĔîÖćøđÖĘïøĆÖþćךĂöĎúÿŠüîïčÙÙú
x ÿĉìíĉ×ĂÜđÝšć×ĂÜךĂöĎúÿŠüîïčÙÙú

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 167 / 174

 4) ÖćøĔßšĒúąÖćøđðŗéđñ÷ךĂöĎúÿŠüîïčÙÙú öĊĀúĆÖđÖèæŤĒúą×Ăïđ×êđîČĚĂĀćéĆÜêŠĂĕðîĊĚ
1. ÖćøĔߚך Ă öĎ ú ÿŠ ü îïč Ù ÙúÝąêš Ă ÜĔßš ê ćöÙüćöđĀöćąÿö ĒúąđóČę ĂüĆ ê ëč ð øąÿÜÙŤ Ĕ îÖćø
éĞćđîĉîÜćî×ĂÜ Öôñ. õć÷Ĕêš×Ăïđ×êìĊęÖãĀöć÷ÖĞćĀîé
2. ךĂöĎúÿŠüîïčÙÙúîĆĚî ÝąêšĂÜĕöŠöĊÖćøđðŗéđñ÷ ìĞćĔĀšöĊĀøČĂðøćÖäĔîúĆÖþèąĂČęîĔé àċęÜ
ĕöŠĕéšÖĞćĀîéĕüšēé÷ßĆéĒÝšÜĔîüĆêëčðøąÿÜÙŤ×ĂÜÖćøđÖĘïøüïøüöךĂöĎú đüšîĒêŠÝąĕéšøĆï
Ùüćö÷ĉ î ÷ĂöÝćÖđÝš ć ×ĂÜך Ă öĎ ú Ă÷Š ć ÜđðŨ î úć÷úĆ Ö þèŤ ĂĆ Ö þø ĀøČ Ă đðŨ î Öćøđðŗ é đñ÷
éĆÜêŠĂĕðîĊĚ
x đðŨîÖćøðäĉïĆêĉêćöÖãĀöć÷
x đðŨîĕðđóČęĂðøąē÷ßîŤ×ĂÜđÝšć×ĂÜךĂöĎúÿŠüîïčÙÙúĒúąÖćø×ĂÙüćö÷ĉî÷ĂöĕöŠ
ÿćöćøëéĞćđîĉîÖćøĕéšĔîđüúćîĆĚî
x đðŨîĕðđóČęĂðøąē÷ßîŤ ìĊęđÖĊę÷üÖĆïßĊüĉê ÿč ×õćó ĀøČ ĂÙüćöðúĂéõĆ ÷×ĂÜđÝšć×ĂÜ
ךĂöĎúÿŠüîïčÙÙú
x đðŗéđñ÷êŠĂĀîŠü÷Üćî×ĂÜ Öôñ. đóČęĂÖćøîĞćĕðĔßšêćöĂĞćîćÝĀîšćìĊę
x đðŨ î ÖćøĔßš ך Ă öĎ ú êćöðÖêĉ õ ć÷ĔîüĆ ê ëč ð øąÿÜÙŤ × ĂÜÖćøÝĆ é ĔĀš öĊ ø ąïïך Ă öĎ ú
׊ćüÿćøÿŠüîïčÙÙúîĆĚî
x êŠĂĀîŠü÷Üćî×ĂÜøĆåìĊęìĞćÜćîéšü÷ÖćøüćÜĒñî ĀøČĂÖćøÿëĉêĉ ĀøČĂÿĞćöąēîêŠćÜė
àċęÜöĊĀîšćìĊęêšĂÜøĆÖþćךĂöĎú׊ćüÿćøÿŠüîïčÙÙúĕüšĕöŠĔĀšđðŗéđñ÷êŠĂĕð÷ĆÜñĎšĂČęî
x đðŨîÖćøĔĀšđóČęĂðøąē÷ßîŤĔîÖćøýċÖþćüĉÝĆ÷ĀøČĂÿëĉêĉĒúąĕéšđÖĘïךĂöĎúÿŠüîïčÙÙú
đóČęĂÖćøîĆĚîĕüšđðŨîÙüćöúĆï ēé÷ĕöŠøąïčßČęĂĀøČĂÿŠüîìĊęìĞćĔĀšøĎšüŠćđðŨîךĂöĎú׊ćüÿćø
ÿŠüîïčÙÙúìĊęđÖĊę÷üÖĆïïčÙÙúĔé
x êŠ Ă ĀĂÝéĀöć÷đĀêč Ē ĀŠ Ü ßćêĉ Öøöýĉ ú ðćÖø ĀøČ Ă ĀîŠ ü ÷ÜćîĂČę î ×ĂÜøĆ å đóČę Ă
ÖćøêøüÝéĎÙčèÙŠćĔîÖćøđÖĘïøĆÖþć
x êŠ Ă đÝš ć Āîš ć ìĊę × ĂÜøĆ å đóČę Ă ÖćøðŜ Ă ÜÖĆ î Öćøòś ć òŚ î ĀøČ Ă ĕöŠ ð äĉ ïĆ êĉ ê ćöÖãĀöć÷
ÖćøÿČïÿüî ÖćøÿĂïÿüî ĀøČĂÖćøôŜĂÜÙéĊ ĕöŠüŠćđðŨîÙéĊðøąđõìĔéÖĘêćö
x đðŨîÖćøĔĀšàċęÜÝĞćđðŨî đóČęĂÖćøðŜĂÜÖĆîĀøČĂøąÜĆïĂĆîêøć÷êŠĂßĊüĉêĀøČĂÿč×õćó×ĂÜ
ïčÙÙú
x êŠĂýćú ĒúąđÝš ćĀîšćìĊę ×ĂÜøĆå ĀøČĂĀîŠ ü÷Üćî×ĂÜøĆåĀøČĂïčÙÙúìĊęöĊĂĞćîćÝêćö
ÖãĀöć÷ìĊęÝą×ĂךĂđìĘÝÝøĉÜéĆÜÖúŠćü
x ÖøèĊĂČęîêćöìĊęÖĞćĀîéĔîóøąøćßÖùþãĊÖćìĊęđÖĊę÷üךĂÜÖĆï óøï. ךĂöĎú׊ćüÿćø
×ĂÜøćßÖćø ó.ý. 2540
x Öćøđðŗéđñ÷ךĂöĎú׊ćüÿćøÿŠüîïčÙÙúĔîךà (3) (4) (5) (6) (7) (8) Ēúą (9) êćö
đĂÖÿćøĒîïìšć÷×ĂÜÖãÖøąìøüÜ ó.ý. 2541 ĂĂÖêćöÙüćöĔî óøï. ךĂöĎú
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 168 / 174
 ׊ćüÿćøøćßÖćø ó.ý. 2540) ēé÷ĔĀšöĊÖćøÝĆéìĞćïĆâßĊĒÿéÜÖćøđðŗéđñ÷ÖĞćÖĆïĕüš
ÖĆïךĂöĎú׊ćüÿćøîĆĚî
3. ĔîÖøèĊìĊęĀ îŠ ü÷ÜćîĔéêš Ă ÜÖćøđðŗé đñ÷ךĂöĎ ú ÿŠü îïčÙ ÙúĔĀš Ē ÖŠ Ā îŠü ÷Üćîõć÷îĂÖ ñĎš
ÙüïÙčöךĂöĎúÿŠüîïčÙÙú êšĂÜÝĆéìĞćÿĆââćàċęÜÙøĂïÙúčöëċÜÖćøÙčšöÙøĂÜĒúąÖćøđÖĘï
øĆÖþćךĂöĎúÿŠüîïčÙÙú
5) ÖćøđÖĘ ïøĆÖþćĒúąÖćøĒÖšĕ×đðúĊę÷îĒðúÜךĂöĎ úÿŠüîïčÙ Ùú öĊĀúĆÖđÖèæŤĒúą×Ăïđ×êđîČĚ ĂĀć
éĆÜêŠĂĕðîĊĚ
1. ñĎšÙüïÙčöךĂöĎúÿŠüîïčÙÙúöĊĀîšćìĊęéĎĒúךĂöĎúÿŠüîïčÙÙúìĊęĂ÷ĎŠõć÷ĔêšÙüćöÙøĂïÙøĂÜ×ĂÜ
ĀîŠü÷Üćî ēé÷ÝĆéĔĀšöĊÖøąïüîÖćøđÖĘïøĆÖþćךĂöĎú ÖćøðøĆïðøčÜךĂöĎúĔĀšđðŨîðŦÝÝčïĆî
ĒúąÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜךĂöĎú đóČęĂðŜĂÜÖĆîÖćøđךćëċÜ đðúĊę÷îĒðúÜךĂöĎú
ÿŠüîïčÙÙúēé÷ĕöŠĕéšøĆïĂîčâćê
2. ĔĀšđÖĘïøĆÖþćךĂöĎúÿŠüîïčÙÙúêćöøą÷ąđüúćìĊęÖãĀöć÷ÖĞćĀîé ĀøČĂîćîÖüŠćđóČęĂĔĀš
đðŨîĕðêćöüĆêëčðøąÿÜÙŤĔîÖćøéĞćđîĉîíčøÖĉÝ×ĂÜ Öôñ. ēé÷đöČęĂóšîÖĞćĀîéøą÷ąđüúć
ĀøČĂĕöŠöĊÙüćöÝĞćđðŨîêšĂÜđÖĘïךĂöĎúĂĊÖêŠĂĕð ĀøČĂđÝšć×ĂÜךĂöĎúđóĉÖëĂîÙüćö÷ĉî÷Ăö ĔĀš
ñĎšÙüïÙčöךĂöĎúÿŠüîïčÙÙúÝĆéÖćøúïĀøČĂìĞćúć÷ךĂöĎúÿŠüîïčÙÙúîĆĚîéšü÷üĉíĊÖćøĔéė ĂĆî
ÝąìĞćĔĀšĕöŠðøćÖäĀøČĂïŠÜßĊĚ ×šĂöĎúÿŠüîïčÙÙúĂĊÖêŠĂĕð ĀøČĂìĞćĔĀš×šĂöĎúÿŠüîïčÙÙúĕöŠ
ðøćÖäßČęĂĀøČĂÿĉęÜïĂÖúĆÖþèąìĊęìĞćĔĀšøĎšêĆüđÝšć×ĂÜךĂöĎúÿŠüîïčÙÙú õć÷Ĕî 30 üĆî
6) ĀćÖöĊÖćøðøĆïðøčÜĒÖšĕ×îē÷ïć÷ öćêøåćî ĀøČĂ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷
éšćîÿćøÿîđìýìĊęđÖĊę÷üÖĆïךĂöĎúÿŠüîïčÙÙú êšĂÜìĞćÖćøđðŗéđñ÷ĀøČĂðøąÖćýĕüšĔĀšßĆéđÝî øüöìĆĚÜ
ĔĀš×šĂöĎúĔéė ÿćöćøëøąïčđÖĊę÷üÖĆïĀîŠü÷Üćî×ĂÜñĎšÙüïÙčöךĂöĎúÿŠüîïčÙÙú øüöìĆĚÜìĊęĂ÷ĎŠ×ĂÜ
ĀîŠü÷ÜćîéĆÜÖúŠćü
7) ñĎšðäĉïĆêĉÜćî ìĊęĕéšøĆïĂîčâćêĔĀšđךćëċÜךĂöĎúÿŠüîïčÙÙú êšĂÜĕéšøĆïÖćøĂïøöđøČęĂÜÖćøđÖĘïøĆÖþć
ÿćøÿîđìýìĊęđðŨîÙüćöúĆï Ēúąîē÷ïć÷ĔîÖćøéĎĒúĒúąðŜĂÜÖĆîÿćøÿîđìý
8) òść÷ìøĆó÷ćÖøïčÙÙú êšĂÜĒÝšÜĒÖŠñĎšðäĉïĆêĉÜćîĔĀšìøćïüŠć Öôñ. öĊÿĉìíĉĔîÖćøêøüÝÿĂï ÝéĀöć÷
ĂĉđúĘÖìøĂîĉÖÿŤ ĒôŜöךĂöĎúÿŠüîïčÙÙú ĒôŜöךĂöĎúĔîăćøŤééĉÿÖŤ ĀøČĂÿćøÿîđìýĂČęîė ìĊęÝĆéđÖĘïĔî
øąïïÿćøÿîđìý×ĂÜ Öôñ. ìčÖđöČęĂ ēé÷ĕöŠÝĞćđðŨîêšĂÜĒÝšÜĔĀšìøćïúŠüÜĀîšć

11.1.5 ÖćøðŜĂÜÖĆîÖćøĔßšÜćîĂčðÖøèŤðøąöüúñúÿćøÿîđìýñĉéüĆêëčðøąÿÜÙŤ (Prevention of Misuse

of Information Processing Facilities)
1) ñĎšðäĉïĆêĉÜćî êšĂÜĔßšøąïïÿćøÿîđìýĒúąøąïïÿČęĂÿćø×ĂÜ Öôñ. đóČęĂÖćøéĞćđîĉîÜćî×ĂÜ Öôñ.
đìŠćîĆĚî

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 169 / 174

 2) ñĎšðäĉïĆêĉÜćî êšĂÜĕöŠĔßšăćøŤéĒüøŤ (Hardware) ĀøČĂàĂôêŤĒüøŤ (Software) đóČęĂìéÿĂï ðøąđöĉî
ĒÖš ĕ × ĀøČ Ă đðúĊę ÷ îĒðúÜøąïïÖćøøĆ Ö þćÙüćööĆę î ÙÜðúĂéõĆ ÷ éš ć îÿćøÿîđìý đüš î ĒêŠ ĕ éš øĆ ï
öĂïĀöć÷Ă÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø ÝćÖĀĆüĀîšćÜćîÿćøÿîđìý đìŠćîĆĚî
3) òś ć ÷ìøĆ ó ÷ćÖøïč Ù Ùú êš Ă ÜĒÝš Ü ĒÖŠ ñĎš ð äĉ ïĆ êĉ Ü ćîĔĀš ì øćïüŠ ć Öôñ. öĊ ÿĉ ì íĉ Ĕ îÖćøêøüÝÿĂï
ÿćøÿîđìý ìĊęÝĆéđÖĘïõć÷ĔîĀøČĂÿŠÜñŠćîēé÷øąïïÿćøÿîđìýĒúąøąïïÿČęĂÿćø×ĂÜ Öôñ. ìčÖđöČęĂ
ēé÷ĕöŠÝĞćđðŨîêšĂÜĒÝšÜĔĀšìøćïúŠüÜĀîšć
4) ĀĆ ü Āîš ć Üćîÿćøÿîđìý êš Ă ÜÝĆ é ĔĀš öĊ Ö ćøĒÿéÜך Ă ÙüćöđêČ Ă îïîĀîš ć ÝĂÙĂöóĉ ü đêĂøŤ ÖŠ Ă îìĊę
ñĎšðäĉïĆêĉÜćîđךćÿĎŠ (Log-In) øąïïÿćøÿîđìý đóČęĂĒÝšÜĔĀšìøćïüŠćøąïïéĆÜÖúŠćüÿćöćøëđךćëċÜĕéš
đÞóćąñĎšìĊęĕéšøĆïĂîčâćêđìŠćîĆĚî ēé÷ñĎšðäĉïĆêĉÜćîêšĂÜøĆïìøćïĒúąÿîĂÜêĂïÖĆïךĂÙüćöđêČĂî
đóČęĂĔĀšÖøąïüîÖćøđךćÿĎŠøąïïéĞćđîĉîêŠĂĕð

11.1.6 ÖćøĔßšÜćîöćêøÖćøÖćøđךćøĀĆÿךĂöĎúêćöךĂÖĞćĀîé (Regulation of Cryptographic

Controls)
1) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜóĉÝćøèćÙüćöÿĂéÙúšĂÜĔîךĂÖãĀöć÷ĀøČĂÖãךĂïĆÜÙĆï×ĂÜðøąđìý
ĕì÷ đÖĊę÷üÖĆïÖćøĔßšđÙøČęĂÜöČĂĀøČĂđìÙîĉÙÖćøđךćøĀĆÿ (Cryptographic Tools and
Technologies)
2) ĔîÖøèĊ ìĊę öĊ Ö ćøĒúÖđðúĊę ÷ îÿćøÿîđìýøąĀüŠ ć ÜĂÜÙŤ Ö øõć÷îĂÖðøąđìýĕì÷ ĀĆ ü Āîš ć Üćî
ÿćøÿîđìý êšĂÜðøċÖþćòść÷ÖãĀöć÷ đÖĊę÷üÖĆïךĂñĎÖöĆéĔîÖćøĔßšÖćøđךćøĀĆÿìĊęöĊĒĀúŠÜÖĞćđîĉéêćö
ÖãĀöć÷ĀøČĂ ÖãךĂïĆÜÙĆï×ĂÜðøąđìýĂČęî

×ĆĚîêĂîÖćøðäĉïĆêĉĂšćÜĂĉÜ
1) PD-35 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøêøüÝÿĂïÖćøĔßšēðøĒÖøöÙĂöóĉüđêĂøŤìĊęúąđöĉéìøĆó÷ŤÿĉîìćÜ
ðŦââć (Monitoring of Illegal Software Usage Procedure)
2) PD-36 ×ĆĚîêĂîÖćøðäĉïĆêĉÜćîđøČęĂÜ ÖćøÙčšöÙøĂÜךĂöĎúÿŠüîïčÙÙú (Data Protection and Privacy
of Personal Information Procedure)

11.2 ÖćøðäĉïĆêĉêćöîē÷ïć÷ öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷Ēúą×šĂÖĞćĀîéìćÜđìÙîĉÙ

(Compliance with Security Policies and Standards, and Technical
Compliance)

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 170 / 174

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöđóČęĂĔĀšÖćøðäĉïĆêĉđðŨîĕðêćöîē÷ïć÷ÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìýêúĂéÝîöćêøåćî
Ēúą×ĆĚîêĂîÖćøðäĉïĆêĉĂČęîėìĊęđÖĊę÷üךĂÜ ĒúąÝĆéĔĀšöĊÖćøêøüÝÿĂïÖćøðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙ×ĂÜ
Öôñ.
öćêøåćî
11.2.1 ÖćøðäĉïĆêĉêćöîē÷ïć÷ ĒúąöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷ (Compliance with Security
Policies and Standards)
1) ñĎšêøüÝÿĂïĂĉÿøąöĊĀîšćìĊęøĆïñĉéßĂïĔîÖćøÿĂïìćîÖćøðäĉïĆêĉÜćîêćöîē÷ïć÷Ēúąöćêøåćî
ÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜ Öôñ. đóČęĂüĆéøąéĆïÖćøðäĉïĆêĉêćöîē÷ïć÷Ēúąöćêøåćî Ùüćö
öĆęîÙÜðúĂéõĆ÷Ă÷ŠćÜÿöęĞćđÿöĂ ìĆĚÜîĊĚÙüćöÿĞćÙĆâ×ĂÜøąïïÝąđðŨîêĆüĒðøĔîÖćøÖĞćĀîéÙüćöëĊęĔî
ÖćøÿĂïìćî đߊ î øąïïìĊę öĊ Ù üćöÿĞ ć ÙĆ â ÿĎ Ü ÝąöĊ Ù üćöëĊę Ĕ îÖćøÿĂïìćîÿĎ Ü ÖüŠ ć øąïïìĊę öĊ
ÙüćöÿĞćÙĆâêęĞćÖüŠć đðŨîêšî
2) ñĎšđðŨîđÝšć×ĂÜÿćøÿîđìý ñĎšéĎĒúÿćøÿîđìýĒúąñĎšéĎĒúøąïïÿćøÿîđìý êšĂÜĔĀšÙüćöøŠüööČĂĒúą
ÿîĆïÿîčîÖćøÿĂïìćîÖćøðäĉïĆêĉÜćîêćöîē÷ïć÷ĒúąöćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷
3) ÙèąÖøøöÖćøđìÙēîēú÷Ċ ÿ ćøÿîđìý Öôñ. (Ùìÿ.) êš Ă ÜÝĆ é đêøĊ ÷ öĒñîĒöŠ ï ìđìÙēîēú÷Ċ
ÿćøÿîđìýĒúąÖćøÿČęĂÿćø×ĂÜ Öôñ. (EGAT ICT Master Plan) ēé÷óĉÝćøèćĔĀšÖćøéĞćđîĉîÜćî
éšćîđìÙēîēú÷ĊÿćøÿîđìýÿĂéÙúšĂÜÖĆïîē÷ïć÷ ĒúąöćêøåćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷éšćî
ÿćøÿîđìý
4) ĀĆ ü Āîš ć Üćîÿćøÿîđìý öĊ Ā îš ć ìĊę Ĕ îÖćøÙüïÙč ö ĔĀš ñĎš ð äĉ ïĆ êĉ Ü ćîëČ Ă ðäĉ ïĆ êĉ ê ćö×ĆĚ î êĂî
ÖćøðäĉïĆêĉÜćîéšćîÙüćööĆęîÙÜðúĂéõĆ÷ Ă÷ŠćÜđÙøŠÜÙøĆé óøšĂöìĆĚÜêĉéêćööćêøåćîĒúą×ĆĚîêĂî
Öćøðäĉ ïĆ êĉ Ü ćîéš ć îÙüćööĆę î ÙÜðúĂéõĆ ÷ ìĊę đ ðŨ î ìĊę ÷ ĂöøĆ ï ēé÷ìĆę ü ĕð ÝćÖĒĀúŠ Ü êŠ ć Üė Ēúą
ÖĞćĀîéÖćøðäĉïĆêĉÖćøĒÖšĕ× (Corrective Actions) đïČĚĂÜêšî

11.2.2 ÖćøêøüÝÿĂïÖćøðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙ×ĂÜĂÜÙŤÖø (Technical Compliance

Checking)
1) ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) êšĂÜÝĆéĔĀšöĊÖćøêøüÝÿĂïÖćøðäĉïĆêĉêćö
öćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷ÖŠĂîîĞćĂčðÖøèŤðøąöüúñúÿćøÿîđìýĂĂÖ
ĔßšÜćî
2) ÙèąÖøøöÖćøđìÙēîēú÷Ċÿćøÿîđìý Öôñ. (Ùìÿ.) êšĂÜÝĆéĔĀšöĊÖćøêøüÝÿĂïöćêøåćîìćÜ
đìÙîĉÙéšćîÙüćööĆęîÙÜÙüćöðúĂéõĆ÷ ÙøĂïÙúčöëċÜđøČęĂÜéĆÜêŠĂĕðîĊĚ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 171 / 174

 1. ÖćøÿĂïìćîÙŠćÖćøÖĞćĀîéÙŠć×ĂÜøąïï (System Configuration) ēé÷đðøĊ÷ïđìĊ÷ï
ÖĆ ï öćêøåćîìćÜéš ć îđìÙîĉ Ù éš ć îÙüćööĆę î ÙÜðúĂéõĆ ÷ ×ĂÜ Öôñ. (Minimum
Baseline Standards) ĒîüìćÜéšćîÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜñĎšñúĉê ĀøČĂ ĒîüìćÜ
éšćîÙüćööĆęîÙÜðúĂéõĆ÷ìĊęÖĞćĀîéÝćÖĂÜÙŤÖøàċęÜđðŨîìĊę÷ĂöøĆï (Security Guideline)
đߊî National Institute of Standards and Technology đðŨîêšî
2. ÖćøÿĂïìćîߊĂÜēĀüŠìćÜĂĉđúĘÖìøĂîĉÖÿŤ (Vulnerability Assessment) ÿĞćĀøĆï
Ăč ð ÖøèŤ ð øąöüúñúÿćøÿîđìý êš Ă ÜéĞ ć đîĉ î Öćøēé÷ñĎš đ ßĊę ÷ üßćâüĉ ý üÖøøąïïìĊę öĊ
ðøąÿïÖćøèŤ ĒúąĔßšđÙøČęĂÜöČĂߊü÷ĔîÖćøêøüÝÿĂï
3. ÖćøìéÿĂïÖćøđÝćąøąïï (Penetration Test) êšĂÜéĞćđîĉîÖćøđóČęĂÙšîĀćߊĂÜēĀüŠĔî
øąïï ēé÷ĔĀšÙøĂïÙúčöìčÖߊĂÜìćÜĀøČĂÝčéìĊęĂćÝđÖĉéߊĂÜēĀüŠ ĒúąéĞćđîĉîÖćøéšü÷
ÙüćöøąöĆéøąüĆÜđðŨîóĉđýþ
3) ñĎšêøüÝÿĂïĂĉÿøąêšĂÜÿĂïìćîÖøąïüîÖćøêøüÝÿĂïöćêøåćîìćÜđìÙîĉÙéšćîÙüćööĆęîÙÜ
ÙüćöðúĂéõĆ÷Ă÷ŠćÜÿöęĞćđÿöĂ đóČęĂóĉÝćøèćüŠćøąïïÿćøÿîđìýĕéšøĆï ÖćøêøüÝÿĂïĒúąöĊÖćø
éĞćđîĉîÖćøĒÖšĕ×õć÷ĀúĆÜÖćøêøüÝÿĂïĂ÷ŠćÜđĀöćąÿö
4) ñĎšêøüÝÿĂïĂĉÿøąêšĂÜðøąÿćîÜćîÖĆïĀĆüĀîšćÜćîÿćøÿîđìýĔîÖćøÿĂïìćîøąïïÿćøÿîđìý
ĒúąĂčðÖøèŤðøąöüúñúÿćøÿîđìý üŠćöĊÖćøëČĂðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙéšćîÙüćö
öĆęîÙÜÙüćöðúĂéõĆ÷×ĂÜ Öôñ. ìĆĚÜîĊĚëšćêøüÝóïüŠćĕöŠöĊÖćøëČĂðäĉïĆêĉêćööćêøåćîìćÜđìÙîĉÙ
éš ć îÙüćööĆę î ÙÜÙüćöðúĂéõĆ ÷ êš Ă ÜöĊ Ö ćøÝĆ é ìĞ ć đĂÖÿćøßĊĚ Ē ÝÜĂ÷Š ć ÜßĆé đÝîĒúąöĊ Ö ćøđóĉę ö
öćêøÖćøßéđß÷đóČęĂïøøđìćÙüćöđÿĊę÷Ü

11.3 ÖćøêøüÝðøąđöĉîøąïïÿćøÿîđìý (Information Systems Audit Considerations)

ëšĂ÷ĒëúÜîē÷ïć÷
ĔĀšöĊÖćøÙüïÙčöÖćøêøüÝðøąđöĉîøąïïÿćøÿîđìý ĒúąÖćøÙüïÙčöđÙøČęĂÜöČĂÿĞćĀøĆïÖćøêøüÝðøąđöĉîøąïï
ÿćøÿîđìýĂ÷ŠćÜđĀöćąÿö

öćêøåćî
11.3.1 öćêøÖćøÖćøêøüÝðøąđöĉîøąïïÿćøÿîđìý (Information Systems Audit Controls)
1) ñĎšêøüÝÿĂïĂĉÿøąêšĂÜĔßšÙüćöøąöĆéøąüĆÜđðŨîóĉđýþĔîÖćøéĞćđîĉîÖćøêøüÝÿĂïøąïïðäĉïĆêĉÖćø
đóČęĂĕöŠĔĀšÖøąìïÖćøéĞćđîĉîÜćî×ĂÜ Öôñ. ĀøČĂĔĀšđÖĉéÙüćöđÿĊę÷Ü×ĂÜ ÖćøĀ÷čéßąÜĆÖìćÜ
íčøÖĉÝĔĀšîšĂ÷ìĊęÿčé

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 172 / 174

 2) ñĎšêøüÝÿĂïĂĉÿøąêšĂÜðäĉïĆêĉÜćîÖćøêøüÝÿĂïõć÷ĔêšÖćøÝĞćÖĆéÖćøđךćëċÜēðøĒÖøöÙĂöóĉüđêĂøŤ
Ēúą×šĂöĎúĒïïĂŠćîĂ÷ŠćÜđéĊ÷ü (Read-Only) ìĆĚÜîĊĚÖćøđךćëċÜĒïïĂČęîė êšĂÜÖøąìĞć Ĕî
ÿõćóĒüéúšĂöÝĞćúĂÜđìŠćîĆĚî
3) ñĎš ê øüÝÿĂïĂĉ ÿ øąêšĂ ÜìĞć ÖćøúïÿĞ ć đîćĕôúŤ ìĊę ĕéš øĆ ï ÝćÖÖćøêøüÝÿĂïđöČę Ă ÖćøêøüÝÿĂïĕéš
éĞćđîĉîÖćøĒúšüđÿøĘÝĒúąĕöŠöĊðøąđéĘîêšĂÜêĉéêćö
4) ĀĆüĀîšćÜćîÿćøÿîđìý êšĂÜÖĞćĀîéÖćøïĆîìċÖđĀêčÖćøèŤ (Log) ×ĂÜÖĉÝÖøøöìĊęđÖĊę÷üךĂÜÖĆïñĎšêøüÝ
ÿĂï ēé÷ñĎšéĎĒúøąïïÿćøÿîđìý êšĂÜđòŜćøąüĆÜÖćøđךćëċÜ øąïïìĊęêøüÝÿĂï×ĂÜñĎšêøüÝÿĂïĂ÷ŠćÜ
ÿöęĞćđÿöĂ
5) ñĎšêøüÝÿĂïĂĉÿøąêšĂÜÝĆéìĞćĒîüÖćøêøüÝÿĂï ïìïćìĀîšćìĊęĒúąìøĆó÷ćÖøéšćîđìÙēîēú÷Ċ
ÿćøÿîđìýìĊęêšĂÜÖćøđóČęĂÖćøêøüÝÿĂïĂ÷ŠćÜđðŨîúć÷úĆÖþèŤĂĆÖþø ēé÷ñĎšéĎĒúøąïïÿćøÿîđìýìĊę
ëĎÖêøüÝÿĂï êšĂÜÝĆéđêøĊ÷öìøĆó÷ćÖøìĊęñĎšêøüÝÿĂïøšĂÜ×Ă đóČęĂĔßšĔîÖøąïüîÖćøêøüÝÿĂïĔĀš
óøšĂö

11.3.2 ÖćøðŜĂÜÖĆîđÙøČęĂÜöČĂÿĞćĀøĆïÖćøêøüÝðøąđöĉîøąïïÿćøÿîđìý (Protection of Information

Systems Audit Tools)
1) ĀĆüĀîšćÜćîÿćøÿîđìý öĊĀîšćìĊęøĆïñĉéßĂïĔîÖćøĂîčöĆêĉ ÖćøĔßšđÙøČęĂÜöČĂêøüÝøąïïÿćøÿîđìý
(System Audit Tools) ìĊęĂćÝÿŠÜñúÖøąìïÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷×ĂÜ Öôñ. đߊî
Scanning Tools ĀøČĂ Password Cracking Utilities đðŨîêšî ēé÷êšĂÜöĊÖćøÖĞćÝĆéøą÷ąđüúćĔî
ÖćøĔßšÜćî
2) ĀĆüĀîšćÜćîÿćøÿîđìý öĊĀîšćìĊęøĆïñĉéßĂïĔîÖćøÙüïÙčöÖćøĔßšđÙøČęĂÜöČĂêøüÝøąïïÿćøÿîđìý
(System Audit Tools) đߊî ÝĆéđÖĘïĒ÷ÖêŠćÜĀćÖÝćÖđÙøČęĂÜöČĂĀøČĂēðøĒÖøöĂøøëðøąē÷ßîŤ ìĊę
ĔßšĔîøąïïĔĀšïøĉÖćøÝøĉÜ đðŨîêšî
3) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜÖĞćĀîéÖćøđךćëċÜĂ÷ŠćÜđךöÜüé ìĆĚÜìćÜÖć÷õćó (Physical) ĒúąìćÜ
êøøÖą (Logical) ĔîÖćøđךćëċÜđÙøČęĂÜöČĂêøüÝøąïïÿćøÿîđìý đߊî ēðøĒÖøöÙĂöóĉüđêĂøŤ ĀøČĂ
ĕôúŤ×šĂöĎú đðŨî êšî đóČęĂðŜ ĂÜÖĆî ÖćøîĞ ćĕðĔßšē é÷ñĉ éüĆ êëčðøąÿÜÙŤ ĀøČ ĂÖćøđðŗ éđñ÷ךĂöĎú Öćø
êøüÝÿĂïēé÷ĕöŠĕéšøĆïĂîčâćê
4) ĀĆüĀîšćÜćîÿćøÿîđìýêšĂÜêøüÝÿĂïÖćøĔßšÜćîđÙøČęĂÜöČĂêøüÝøąïïÿćøÿîđìý (System Audit
Tools)

đĂÖÿćøĂšćÜĂĉÜ
x ISO/IEC 27001:2005
x ISO/IEC 17799:2005
öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 173 / 174
 x öćêøåćîÖćøøĆÖþćÙüćööĆęîÙÜðúĂéõĆ÷ĔîÖćøðøąÖĂïíčøÖøøöìćÜĂĉđúĘÖìøĂîĉÖÿŤ (đüĂøŤßĆî 2.5)
ðøąÝĞćðŘ 2550, ýĎî÷ŤđìÙēîēú÷ĊĂĉđúĘÖìøĂîĉÖÿŤĒúąÙĂöóĉüđêĂøŤ ĒĀŠÜßćêĉ ÿĞćîĆÖÜćîóĆçîć
üĉì÷ćýćÿêøŤĒúąđìÙēîēú÷ĊĒĀŠÜßćêĉ ÖøąìøüÜüĉì÷ćýćÿêøŤ

öćêøåćîÙüćööĆęîÙÜðúĂéõĆ÷éšćîÿćøÿîđìý ÞïĆïìĊę 2 ðøĆïðøčÜ ó.ý. 2554 174 / 174