Page 20 - ปรับ แนวนโยบายและแนวปฏิบัติ ใหม่ 2564 ทำebook

P. 20

๗

๓.๔ การบริหารจัดการสิทธิของผูใชงาน (User management) โดยแสดงรายละเอียดที่เกี่ยวกับ

การควบคุมและจํากัดสิทธิ เพื่อใหสามารถเขาถึงและใชงานระบบสารสนเทศแตละชนิดตามความเหมาะสม

ทั้งนี้รวมถึงสิทธิจําเพาะ สิทธิพิเศษ และสิทธิอื่นๆ ที่เกี่ยวของกับการเขาถึง

(๑) แสดงกระบวนการในการมอบหมายหรือกําหนดสิทธิการใชงานใหแกผูใชงาน

(๒) กําหนดระดับสิทธิในการเขาถึงสารสนเทศที่เหมาะสมตามหนาที่ความรับผิดชอบ และตาม

ความจําเปนในการใชงาน

(๓) การมอบหมาย สิทธิ ตองสอดคลองกับนโยบายควบคุมการเขาถึง

(๔) บันทึกและจัดเก็บขอมูลการมอบหมายสิทธิใหแกผูใชงาน

๓.๕ บริหารจัดการรหัสผานสําหรับผูใชงาน (User password management) โดยจัดทํา

กระบวนการบริหารจัดการรหัสผานสําหรับผูใชงานอยางรัดกุม

(๑) มีขั้นตอนปฏิบัติที่ดีสําหรับการตั้ง เปลี่ยนรหัสผานที่มีความมั่นคงปลอดภัย

(๒) การตั้งรหัสผานชั่วคราว ตองยากตอการเดา และตองมีความแตกตางกัน

(๓) ผูใชงานตองเปลี่ยนรหัสผานทันทีหลังจากไดรับรหัสผานชั่วคราว และควรเปลี่ยนใหรหัสผาน

ยากตอการเดา

(๔) ตองมีการลงนามเพื่อปองกันการเปดเผยขอมูลรหัสผานของตน

(๕) การเปลี่ยนแปลงรหัสผานตองตรวจสอบบัญชีชื่อผูใชงานและรหัสผานปจจุบันใหถูกตอง

กอนที่จะอนุญาตใหเปลี่ยนรหัสใหม

(๖) ในกรณีความจําเปนตองใหสิทธิพิเศษกับผูใชงาน ผูใชงานนั้นจะตองไดรับความเห็นชอบและ

อนุมัติจากผูบังคับบัญชาของหนวยงานเจาของระบบโดยมีการกําหนดระยะเวลาใชงานและระงับการใชงาน

ทันทีเมื่อพนระยะเวลาพิเศษที่ไดรับ และตองกําหนดใหรหัสผูใชงานตางจากรหัสผูใชงานตามปกติ

๓.๖ ทบทวนสิทธิการเขาถึงของผูใชงาน (Review of user access rights) ตองมีกระบวนการ

ทบทวนสิทธิการเขาถึงของผูใชงานระบบสารสนเทศและปรับปรุงบัญชีผูใชงาน เมื่อมีการเปลี่ยนแปลง เชน มี

การออกจากงาน เปลี่ยนตําแหนง โอน ยาย สิ้นสุดการจาง

15 16 17 18 19 20 21 22 23 24 25