นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Cyber Security)

นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Cyber Security)

4597 แชร์
ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ
เรื่อง  นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
พ.ศ. ๒๕๖๕

____________


                    โดยที่เป็นการสมควรปรับปรุงนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศของสำนักงานหลักประกันสุขภาพแห่งชาติ ให้เป็นไปอย่างเหมาะสม มีความมั่นคงปลอดภัยสามารถดำเนินงานได้อย่างต่อเนื่องและมีประสิทธิภาพ
                    อาศัยอำนาจตามความในมาตรา ๓๑ วรรคหนึ่ง และมาตรา ๓๖ (๒) แห่งพระราชบัญญัติหลักประกันสุขภาพแห่งชาติ พ.ศ. ๒๕๔๕ ประกอบมาตรา ๔๔ มาตรา ๔๕ แห่งพระราชบัญญัติว่าด้วย การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ และมาตรา ๕ แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ เลขาธิการสำนักงานหลักประกันสุขภาพแห่งชาติ จึงออกประกาศไว้ ดังต่อไปนี้
                    ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ พ.ศ. ๒๕๖๕”
                    ข้อ ๒ ประกาศนี้ให้ใช้บังคับตั้งวันที่ ๑ เมษายน พ.ศ. ๒๕๖๕ เป็นต้นไป
                    ข้อ ๓ ให้ยกเลิก
                    (๑) ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง นโยบายรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ ลงวันที่ ๒๓ มิถุนายน พ.ศ. ๒๕๕๗
                    (๒) ประกาศสำนักงานหลักประกันสุขภาพแห่งชาติ เรื่อง แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศ ลงวันที่ ๑๖ กรกฎาคม พ.ศ ๒๕๕๗
                    ข้อ ๔ ในประกาศนี้
                    “สำนักงาน” หมายความว่า สำนักงานหลักประกันสุขภาพแห่งชาติ และให้หมายความรวมถึงสำนักงานสาขาด้วย
                    “เลขาธิการ” หมายความว่า เลขาธิการสำนักงานหลักประกันสุขภาพแห่งชาติ
                    “นโยบาย” หมายความว่า หลักการเกี่ยวกับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
                    “แนวปฏิบัติ” หมายความว่า ข้อปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
                    “ความมั่นคงปลอดภัยด้านสารสนเทศ” หมายความว่า การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ได้แก่ ความถูกต้องแท้จริง (Authenticity) ความรับผิด (Accountability) การห้ามปฏิเสธความรับผิด (Non-repudiation) และความน่าเชื่อถือ (Reliability)
                    ข้อ ๕ แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ประกอบด้วย
                    (๑) แนวนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
                    (๒) แนวปฏิบัติในการรักษาความปลอดภัยด้านสารสนเทศระดับผู้ใช้งาน
                    (๓) แนวปฏิบัติในการรักษาความปลอดภัยด้านสารสนเทศระดับผู้ดูแลระบบ
                    (๔) แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของบุคคลภายนอก
                    ข้อ ๖ ในกรณีที่กฎหมาย กฎ ระเบียบ ข้อบังคับ ประกาศ ว่าด้วยการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ กำหนดแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศไว้เป็นอย่างอื่น ให้ถือปฏิบัติตามกฎหมาย กฎ ระเบียบ ข้อบังคับ ประกาศ ว่าด้วยการนั้น
                    ข้อ ๗ วิธีดำเนินการตามแนวนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
                    (๑) การเข้าถึงและควบคุมการใช้งานสารสนเทศ
                    (๒) การจัดทำระบบสำรองและแผนเตรียมความพร้อมกรณีฉุกเฉิน
                    (๓) การตรวจสอบและประเมินความเสี่ยง
                    (๔) การจัดทำนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน
                    (๕) การรับผิดชอบต่อความเสี่ยง ความเสียหายหรืออันตรายที่เกิดขึ้นกับระบบสารสนเทศของสำนักงาน
                    (๖) การทบทวนนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
                    (๗) การปฏิบัติตามแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
                    (๘) การรับมือภัยคุกคามทางไซเบอร์
                    ข้อ ๘ วิธีปฏิบัติตามแนวทางในการรักษาความปลอดภัยด้านสารสนเทศของผู้ใช้งาน
                    (๑) การปฏิบัติหน้าที่ทั่วไป
                    (๒) การใช้งานเครื่องคอมพิวเตอร์และระบบเครือข่าย
                    (๓) การควบคุมเข้าถึงระบบปฏิบัติการ
                    (๔) การใช้งานบัญชีผู้ใช้งาน (Account)
                    (๕) การกำหนดรหัสผ่าน (Password) การเปลี่ยนรหัสผ่าน และการใช้งานรหัสผ่าน
                    (๖) การป้องกันจากโปรแกรมประสงค์ร้าย (Malware)
                    (๗) การใช้ระบบอินเทอร์เน็ต (Internet)
                    (๘) การใช้งานและการควบคุมการใช้งานจดหมายอิเล็กทรอนิกส์ (e-mail) ของสำนักงาน
                    (๙) การจัดการเหตุละเมิดการรักษาความมั่นคงปลอดภัย
                    (๑๐) การเคลื่อนย้ายและการทำสำเนาสารสนเทศ
                    (๑๑) การควบคุมอุปกรณ์คอมพิวเตอร์ อุปกรณ์สื่อสารเคลื่อนที่ และสื่อบันทึกข้อมูล
                    (๑๒) การทำลายสื่อบันทึกข้อมูลหรือการทำลายไฟล์ข้อมูลที่มีระดับลับขึ้นไป
                    (๑๓) การเข้ารหัสข้อมูลที่มีระดับลับขึ้นไป
                    ข้อ ๙ วิธีปฏิบัติเพื่อรักษาความปลอดภัยด้านสารสนเทศของผู้ดูแลระบบ
                    (๑) การปฏิบัติหน้าที่โดยทั่วไปของผู้ดูแลระบบ
                    (๒) การกำหนดประเภทของข้อมูล ลำดับความสำคัญ หรือลำดับชั้นความลับของข้อมูล
                    (๓) การควบคุมการเข้าถึงระบบสารสนเทศ
                    (๔) การควบคุมการเข้าถึงระบบเครือข่ายไร้สาย
                    (๕) การควบคุมการเข้าถึงระบบเครือข่ายและเครื่องคอมพิวเตอร์แม่ข่าย
                    (๖) การควบคุมการเข้าถึงระบบปฏิบัติการ
                    (๗) การควบคุมอุปกรณ์คอมพิวเตอร์และอุปกรณ์สื่อสารเคลื่อนที่
                    (๘) การปฏิบัติเมื่อเกิดเหตุละเมิดการรักษาความมั่นคงปลอดภัย กรณีการเข้าถึงระบบ โดยไม่ได้รับอนุญาต
                    (๙) การปฏิบัติภายหลังการเกิดเหตุละเมิดการรักษาความมั่นคงปลอดภัย
                    (๑๐) การสำรองข้อมูล
                    (๑๑) การสำรองและกู้คืนข้อมูล
                    (๑๒) การสร้างความตระหนัก
                    (๑๓) การตรวจสอบและการประเมินผล
                    (๑๔) แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
                    ข้อ ๑๐ วิธีปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของบุคคลภายนอก
                    (๑) การปฏิบัติการเข้าออกพื้นที่ภายในสำนักงาน
                    (๒) การกำหนดให้มีการยืนยันตัวบุคคลก่อนที่จะอนุญาตให้ผู้ใช้ที่อยู่ภายนอกสำนักงานสามารถเข้าใช้งานเครือข่ายและระบบสารสนเทศของสำนักงานได้
                    ข้อ ๑๑ การปฏิบัติตามแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศของสำนักงาน ให้เป็นไปตามเอกสารแนบท้ายประกาศนี้
                    ข้อ ๑๒ กรณีมีปัญหาเกี่ยวกับการปฏิบัติตามประกาศนี้ ให้เลขาธิการเป็นผู้มีอำนาจวินิจฉัยชี้ขาด โดยอาจมอบคณะกรรมการบริหารนโยบายดิจิทัลของสำนักงาน พิจารณาเสนอความเห็นก่อนก็ได้

 

ประกาศ  ณ  วันที่   ๑๓  เมษายน  พ.ศ.  ๒๕๖๕