Page 19 - ปรับ แนวนโยบายและแนวปฏิบัติ ใหม่ 2564 ทำebook
P. 19
๖
๒. ขอกําหนดการใชงานตามภารกิจ เพื่อควบคุมการเขาถึงสารสนเทศ (Business requirements
for access control) โดยแบงการจัดทําขอปฏิบัติเปน ๒ สวน
(๑) ควบคุมการเขาถึงสารสนเทศ โดยใหกําหนดแนวทางการควบคุมการเขาถึงระบบสารสนเทศ
และสิทธิที่เกี่ยวของกับระบบสารสนเทศ
(๒) ปรับปรุงใหสอดคลองกับขอมูลกําหนดการใชงานตามภารกิจและขอกําหนดดานความมั่นคง
ปลอดภัย
๓. การบริหารจัดการการเขาถึงของผูใชงาน (User access management)
ควบคุมการเขาถึงระบบสารสนเทศเฉพาะผูที่ไดรับอนุญาต และผานการฝกอบรมหลักสูตรการสราง
ความตระหนักเรื่องความมั่นคงปลอดภัยสารสนเทศ เพื่อปองกันการเขาถึงจากผูซึ่งไมไดรับอนุญาต ดังนี้
๓.๑ หลักสูตรการฝกอบรมเกี่ยวกับการสรางความตระหนักเรื่องความมั่นคงปลอดภัยสารสนเทศ
๓.๒ ฝกอบรมใหความรูความเขาใจกับผูใชงาน เพื่อใหเกิดความตระหนัก ความเขาใจถึงภัยและ
ผลกระทบที่เกิดจากการใชงานระบบสารสนเทศโดยไมระมัดระวังหรือรูเทาไมถึงการณ รวมถึงกําหนดใหมี
มาตรการเชิงปองกันตามความเหมาะสม
๓.๓ ขั้นตอนปฏิบัติในการลงทะเบียนผูใชงาน (User registration) ครอบคลุมในเรื่องตอไปนี้
(๑) จัดทําแบบฟอรมขอใชงานระบบสารสนเทศและผูใชงานกรอกขอมูลลงในแบบฟอรม เพื่อ
ตรวจสอบสิทธิและดําเนินการตามขั้นตอนการลงทะเบียนผูใชงาน
(๒) ระบุชื่อบัญชีผูใชงานแยกกันเปนรายบุคคล ไมซ้ําซอนกัน
(๓) ชื่อผูใชงานจะกําหนดอยางเปนรูปแบบเดียวกันจําแนกตามประเภทของผูใชงาน
(๔) จํากัดการใชงานบัญชีผูใชงานแบบกลุมภายใตบัญชีรายชื่อเดียวกัน และอนุญาตใหใชเทาที่
จําเปน
(๕) มีการตรวจสอบและมอบหมายสิทธิในการเขาถึงที่เหมาะสมตอหนาที่ความรับผิดชอบ
(๖) จัดทําเอกสารแสดงถึงสิทธิและหนาที่ความรับผิดชอบของผูใชงานซึ่งตองลงนาม
รับทราบดวย
(๗) ทําบันทึกและจัดเก็บขอมูลการขออนุมัติเขาใชระบบสารสนเทศ
(๘) เกณฑในการอนุญาตใหเขาถึงระบบสารสนเทศ และไดรับการพิจารณาอนุญาตจาก
ผูอํานวยการสํานักหรือผูที่ไดรับมอบหมาย
(๙) ยกเลิกเพิกถอนการอนุญาตใหเขาถึงระบบสารสนเทศและการตัดออกจากทะเบียนของ
ผูใชงาน เมื่อมีการลาออกจากงาน เปลี่ยนตําแหนง โอน ยาย สิ้นสุดการจาง
