ประกาศสำนักงานสภาความมั่นคงแห่งชาติ
เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

            โดยที่พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ ในมาตรา ๕ ได้กำหนดให้หน่วยงานของรัฐต้องจัดทำแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อให้การดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้ และตามประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ กำหนดให้หน่วยงานของรัฐต้องจัดให้มีนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานเป็นลายลักษณ์อักษร ประกอบกับตามมาตรา ๔๔ และมาตรา ๔๕ ของพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ กำหนดให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ จัดทำประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้สอดคล้องกับนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์

            ดังนั้น เพื่อให้การดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัย มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์เป็นที่ยอมรับในระดับสากล สำนักงานสภาความมั่นคงแห่งชาติจึงเห็นควรกำหนดนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อเป็นเครื่องมือให้กับผู้ใช้งาน ผู้ดูแลระบบงาน และผู้เกี่ยวข้องกับระบบเครือข่ายคอมพิวเตอร์ ใช้เป็นแนวทางในการดูแลรักษาความมั่นคงปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของสำนักงานสภาความมั่นคงแห่งชาติ จึงออกประกาศดังต่อไปนี้

ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศสำนักงานสภาความมั่นคงแห่งชาติ เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ”

ข้อ ๒ นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ประกอบด้วย

            นโยบายที่ ๑ นโยบายการเข้าถึงและควบคุมการใช้งานสารสนเทศ

                        ๑) การรักษาความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อม

                        ๒) การควบคุมการเข้าออกห้องศูนย์คอมพิวเตอร์

                        ๓) การเข้าถึงและควบคุมการใช้งานสารสนเทศ

                                    - การใช้งานตามภารกิจเพื่อควบคุมการเข้าถึงสารสนเทศ

                                    - การบริหารจัดการการเข้าถึงของผู้ใช้งาน

                                    - การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน

                                    - การควบคุมการเข้าถึงเครือข่าย

                                    - การควบคุมการเข้าถึงระบบปฏิบัติการ

                                    - การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศ

                        ๔) การควบคุมหน่วยงานภายนอกเข้าถึงระบบเทคโนโลยีสารสนเทศ

                        ๕) การใช้งานเครื่องคอมพิวเตอร์ส่วนบุคคล

                        ๖) การใช้งานเครื่องคอมพิวเตอร์แบบพกพา

                        ๗) การใช้งานอินเทอร์เน็ตและเครือข่ายสังคมออนไลน์

                        ๘) การใช้งานจดหมายอิเล็กทรอนิกส์

                        ๙) การควบคุมการเข้าถึงระบบเครือข่ายไร้สาย

                        ๑๐) การใช้งานระบบไฟร์วอลล์

                        ๑๑) การใช้งานระบบตรวจจับและป้องกันผู้บุกรุก

            นโยบายที่ ๒ นโยบายการรักษาสภาพความพร้อมใช้งานของการให้บริการ

                        ๑) แนวทางปฏิบัติในการสำรองข้อมูล ระบบสำรอง และการปฏิบัติงานในสภาวะฉุกเฉิน

            นโยบายที่ ๓ นโยบายการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ

                        ๑) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ

                        ๒) การกำหนดหน้าที่และความรับผิดชอบด้านสารสนเทศ

ข้อ ๓

            หน่วยงานต้องจัดทำ “แผนการรับมือภัยคุกคามทางไซเบอร์” ให้เป็นไปตามกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ และสอดคล้องกับนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของสำนักงาน

ข้อ ๔ การกำหนดความรับผิดชอบ

            ๔.๑ เลขาธิการสภาความมั่นคงแห่งชาติในฐานะผู้บริหารระดับสูงสุด (Chief Executive Officer : CEO) ของสำนักงานเป็นผู้รับผิดชอบต่อความเสี่ยง ความเสียหายหรืออันตรายที่เกิดขึ้น กรณีระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แก่สำนักงานหรือผู้หนึ่งผู้ใด อันเนื่องมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามนโยบายนี้

            ๔.๒ ผู้บริหารเทคโนโลยีสารสนเทศระดับสูงระดับกรม (Department Chief Information Officer : DCIO) เป็นผู้รับผิดชอบในการสั่งการ กำกับนโยบาย ให้ข้อเสนอแนะ คำปรึกษา และควบคุมตรวจสอบ ให้สอดคล้องกับนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ

            ๔.๓ ผู้อำนวยการศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร เป็นผู้รับผิดชอบติดตาม กำกับ ดูแล ควบคุม ตรวจสอบ รวมทั้งให้ข้อเสนอแนะและแนวทางแก้ไขปัญหาแก่เจ้าหน้าที่ เพื่อให้เป็นไปตามนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

            ๔.๔ ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร ผู้ดูแลระบบ ผู้รับผิดชอบระบบสารสนเทศ และผู้ที่ได้รับมอบหมายต้องดำเนินการให้เป็นไปตามประกาศนี้ และมีการทบทวน ปรับปรุงนโยบายอย่างน้อยปีละ ๑ ครั้ง หากมีการเปลี่ยนแปลงให้นำแจ้งให้เจ้าหน้าที่ทุกระดับรับทราบ

ข้อ ๕

นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ จัดเป็นมาตรฐานในการใช้งานระบบเทคโนโลยีสารสนเทศของสำนักงาน เพื่อให้การดำเนินงานทางอิเล็กทรอนิกส์มีความปลอดภัย เชื่อถือได้ และเป็นไปตามกฎหมายและระเบียบที่เกี่ยวข้อง

ประกาศนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศเป็นต้นไป

ประกาศ ณ วันที่ ๖ กรกฎาคม พ.ศ. ๒๕๖๕