ว่าด้วย วิธีปฏิบัติในการควบคุมภายในและการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของสหกรณ์ พ.ศ.2558
พ.ศ. 2558
——————————–
อาศัยอำนาจตามความในข้อบังคับของสหกรณ์ออมทรัพย์ตำรวจตระเวนชายแดนที่ 24 จำกัด ข้อ 79(8) และข้อ 107(11) และมติที่ประชุมคณะกรรมการดำเนินการ ชุดที่ 45 ครั้งที่ 10/2558 เมื่อวันที่ 29 กรกฎาคม 2558 คณะกรรมการดำเนินการจึงได้กำหนดระเบียบว่าด้วย วิธีปฏิบัติในการควบคุมภายในและการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของสหกรณ์ ดังต่อไปนี้
หมวด 1 บททั่วไป
ข้อ 1 ระเบียบนี้เรียกว่า “ระเบียบ สหกรณ์ออมทรัพย์ตำรวจตระเวนชายแดนที่ 24 จำกัด ว่าด้วย วิธีปฏิบัติในการควบคุมภายใน
และการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของสหกรณ์ พ.ศ. 2558 ”
ข้อ 2 ระเบียบนี้ให้ใช้บังคับตั้งแต่วันที่ 15 สิงหาคม พ.ศ. 2558 เป็นต้นไป
ข้อ 3 ในระเบียบนี้
“สหกรณ์” หมายถึง สหกรณ์ออมทรัพย์ตำรวจตระเวนชายแดนที่ 24 จำกัด
“คณะกรรมการ” หมายถึง คณะกรรมการดำเนินการ สหกรณ์ออมทรัพย์ตำรวจตระเวนชายแดนที่ 24 จำกัด
“ประธานกรรมการ” หมายถึง ประธานกรรมการดำเนินการ สหกรณ์ออมทรัพย์ตำรวจตระเวนชายแดนที่ 24 จำกัด
“ผู้จัดการ” หมายถึง ผู้จัดการ สหกรณ์ออมทรัพย์ตำรวจตระเวนชายแดนที่ 24 จำกัด
“เจ้าหน้าที่” หมายถึง เจ้าหน้าที่ สหกรณ์ออมทรัพย์ตำรวจตระเวนชายแดนที่ 24 จำกัด
“บุคลากร” หมายถึง ผู้ใช้ประโยชน์จากทรัพย์สินด้านเทคโนโลยีสารสนเทศของสหกรณ์ ซึ่งครอบคลุมถึงเจ้าหน้าที่ สมาชิกทุกคน ตลอดจนบุคคลภายนอกที่ได้รับอนุญาตให้ทำงานในสหกรณ์หรือที่เข้ามาดำเนินการด้านเทคโนโลยีสารสนเทศให้กับสหกรณ์ตามข้อตกลงที่ทำไว้กับสหกรณ์ หรือที่เข้ามาอบรมตามโครงการที่ผ่านความเห็นชอบจากที่ประชุมคณะกรรมการ และเจ้าหน้าที่ของรัฐผู้ดูแลการใช้โปรแกรมระบบบัญชีคอมพิวเตอร์ในการประมวลผลข้อมูล
“เครื่องคอมพิวเตอร์” หมายถึง เครื่องคอมพิวเตอร์ทั้งหลาย เครื่องเซิร์ฟเวอร์ หรืออุปกรณ์อื่นใด ที่ทำหน้าที่ได้เสมือนเครื่องคอมพิวเตอร์ ทั้งที่ใช้งานอยู่ภายในสหกรณ์ หรือภายนอกแล้วเชื่อมต่อเข้ากับระบบเครือข่าย
“ระบบเครือข่าย” หมายถึง ระบบเครือข่ายคอมพิวเตอร์ที่สหกรณ์สร้างขึ้นทั้งแบบมีสาย และไร้สาย รวมทั้งเครือข่ายเสมือนส่วนตัว(Virtual Private Network, VPN)
“ผู้ดูแลเครือข่ายคอมพิวเตอร์” หมายถึง พนักงานหรือบุคคลากรที่ได้รับมอบหมายจากสหกรณ์ให้มีหน้าที่รับผิดชอบในการดูแลรักษาเครือข่ายคอมพิวเตอร์ซึ่งสามารถเข้าถึงโปรแกรมเครือข่ายคอมพิวเตอร์เพื่อการจัดการฐานข้อมูลของเครือข่ายคอมพิวเตอร์ หรือ/ “ผู้ควบคุมระบบงาน” หมายถึง ผู้จัดการหรือเจ้าหน้าที่ที่ได้รับมอบหมายจากสหกรณ์ ให้เป็นผู้ควบคุมโปรแกรมระบบบัญชีคอมพิวเตอร์ที่สหกรณ์นำมาใช้งาน
“ข้อมูล” หมายถึง สิ่งที่สื่อความหมายให้รู้เรื่องราว ข้อเท็จจริง ข้อมูล หรือสิ่งใด ๆ ไม่ว่าจะได้จัดทำไว้ในรูปแบบของเอกสาร แฟ้ม รายงาน หนังสือ แผนผัง แผนที่ ภาพวาด ภาพถ่าย ฟิล์ม การบันทึกภาพหรือเสียง การบันทึกโดยเครื่องคอมพิวเตอร์ หรือวิธีอื่นใดที่ทำให้สิ่งที่บันทึกไว้ปรากฏได้
“ระบบสารสนเทศ” หมายถึง ข้อมูล และสาระต่าง ๆ ที่เกิดจากการประมวลผลมาจากข้อมูล ที่จัดไว้อย่างเป็นระบบ
ข้อ 4 วิธีการเผยแพร่ระเบียบ
(1) แจ้งให้ทราบการถือใช้ระเบียบในที่ประชุมคณะกรรมการดำเนินการ
(2) ทำหนังสือเวียนให้เจ้าหน้าที่รับทราบ
(3) เผยแพร่ข้อมูลในเวบไซต์ (Web Site)
(4) ติดประกาศไว้ ณ ที่ทำการสหกรณ์ เป็นระยะเวลาอย่างน้อย 60 วัน นับแต่วันที่ประกาศถือใช้ระเบียบนี้
ข้อ 5 ในกรณีที่มีปัญหาเกี่ยวกับการปฏิบัติตามระเบียบนี้ ให้คณะกรรมการดำเนินการเป็นผู้มีอำนาจวินิจฉัย
หมวด 2 วัตถุประสงค์
ข้อ 6 วัตถุประสงค์ของการออกระเบียบนี้
(1) เพื่อให้บุคลากรระมัดระวังในการใช้เครื่องคอมพิวเตอร์ โดยจะไม่ทำให้ประสิทธิภาพของระบบบัญชีคอมพิวเตอร์และระบบเครือข่ายด้อยประสิทธิภาพลงอย่างผิดปกติโดยเจตนาหรือไม่เจตนาก็ตาม
(2) เพื่อให้บุคลากรใช้เทคโนโลยีสารสนเทศอย่างถูกต้องตามบทบาทและหน้าที่ที่ได้รับมอบหมาย
(3) เพื่อให้การใช้เทคโนโลยีสารสนเทศของสหกรณ์มีความมั่นคง ปลอดภัย และสามารถใช้งานได้อย่างมีประสิทธิภาพ
(4) เพื่อให้บุคลากรระมัดระวังและตระหนักถึงความเสี่ยงที่อาจเกิดขึ้นจากการใช้เทคโนโลยีสารสนเทศ
(5) เพื่อให้สหกรณ์ได้มีการควบคุมภายในและรักษาความปลอดภัยระบบสารสนเทศที่ใช้คอมพิวเตอร์เป็นไปตามนโยบาย ระเบียบสหกรณ์และระเบียบนายทะเบียนสหกรณ์
หมวด 3 การรักษาความปลอดภัยทางกายภาพ
ข้อ 7 สหกรณ์จะต้องจัดตั้งเครื่องคอมพิวเตอร์ไว้ในที่ที่เหมาะสม และห้ามผู้ไม่มีหน้าที่รับผิดชอบเข้ามาใช้เครื่องคอมพิวเตอร์ของสหกรณ์โดยไม่ได้รับอนุญาต
ข้อ 8 จัดให้มีการติดตั้งอุปกรณ์ดับเพลิงไว้ในที่ที่เหมาะสมและสะดวกต่อการใช้งานเมื่อมีเหตุฉุกเฉิน และจัดทำแผนผังการขนย้ายเครื่องคอมพิวเตอร์และอุปกรณ์ต่าง ๆ รวมทั้งเอกสารที่เกี่ยวข้อง
ข้อ 9 จัดให้มีระบบการควบคุมอุณหภูมิ ให้แก่อุปกรณ์เครื่องคอมพิวเตอร์อย่างเพียงพอและเหมาะสมกับสถานที่ รวมทั้งจัดตั้งเครื่องคอมพิวเตอร์ให้อยู่ในสถานที่ที่มีอากาศถ่ายเทได้สะดวก
ข้อ 10 จัดให้มีระบบสำรองไฟเครื่องแม่ข่ายและอุปกรณ์ที่เกี่ยวข้องอย่างเพียงพอ เพื่อลดการหยุดชะงักการทำงานของเครื่องแม่ข่าย ในกรณีที่มีไฟฟ้าดับหรือไฟตก
หมวด 4 คณะกรรมการดำเนินการ
ข้อ 11 ต้องพิจารณาจัดให้มีทรัพย์สินด้านเทคโนโลยีสารสนเทศตามสมควรและเหมาะสมกับสหกรณ์
ข้อ 12 มอบหมายให้มีผู้รับผิดชอบในการติดตามการปฏิบัติตามนโยบายหรือระเบียบปฏิบัติในการควบคุมภายใน และการรักษา ความปลอดภัยด้านเทคโนโลยีสารสนเทศของสหกรณ์
ข้อ 13 สื่อสารให้บุคลากรเข้าใจนโยบายหรือระเบียบปฏิบัติในการควบคุมภายใน และการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของสหกรณ์
ข้อ 14 ส่งเสริมให้มีการฝึกอบรมหรือให้ความรู้เกี่ยวกับระบบงานและการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศแก่
คณะกรรมการดำเนินการ ผู้จัดการ และเจ้าหน้าที่สหกรณ์ อย่างน้อยปีละ 1 ครั้ง หรือสนับสนุนให้เข้ารับการฝึกอบรมกับหน่วยงานและองค์กรต่าง ๆ ที่มีการจัดอบรมในเรื่องดังกล่าว
ข้อ 15 ต้องกำหนดให้ผู้บริการโปรแกรมระบบบัญชีจัดทำคู่มือการใช้โปรแกรมและเอกสารด้านฐานข้อมูล ได้แก่ โครงสร้าง
ข้อมูล (Data Structure) หรือพจนานุกรมข้อมูล (Data Dictionary) ให้กับสหกรณ์เพื่อ ประกอบการใช้งานโปรแกรม ระบบบัญชี
ข้อ 16 มอบหมายให้มีผู้รับผิดชอบในการเก็บรักษาคู่มือและเอกสารสนับสนุนการปฏิบัติงานให้อยู่ในที่ปลอดภัย และให้เรียกใช้งานได้ทันที
ข้อ 17 พิจารณาคัดเลือกและจัดทำสัญญากับผู้ให้บริการโปรแกรมหรือระบบเทคโนโลยีสารสนเทศ และพิจารณาเกี่ยวกับการ
รักษาความลับของข้อมูล เงื่อนไขต่างๆ และขอบเขตงานของผู้ให้บริการ กรณีที่ใช้บริการโปรแกรมของเอกชน
ข้อ 18 แต่งตั้งเจ้าหน้าที่เพื่อรับผิดชอบด้านเทคโนโลยีสารสนเทศของสหกรณ์
ข้อ 19 จัดให้มีการทำหรือทบทวนแผนฉุกเฉิน และการประเมินผลของการทดสอบแผนฉุกเฉินอย่างน้อยปีละ 1 ครั้ง
ข้อ 20 รณรงค์ให้ทุกคนใช้พลังงานไฟฟ้าอย่างประหยัด โดยจัดระดับการทำงานของเครื่องคอมพิวเตอร์และปิดอุปกรณ์ต่อพ่วงทุกครั้งที่ไม่มีการใช้งาน ให้เหมาะสมและมีประสิทธิภาพ รวมทั้งการใช้มาตรการลดการใช้กระดาษให้น้อยลงด้วย
หมวด 5 ผู้จัดการสหกรณ์/ผู้ดูแลระบบงาน
ข้อ 21 ควบคุมดูแลการใช้ระบบเทคโนโลยีสารสนเทศให้เป็นไปตามวัตถุประสงค์
ข้อ 22 ดำเนินการให้ระบบเทคโนโลยีสารสนเทศของสหกรณ์ทำงานได้อย่างมีประสิทธิภาพ ทันสมัย และมั่นคงปลอดภัยตามนโยบายการรักษาความปลอดภัยของสหกรณ์
ข้อ 23 ติดตั้งค่าการรักษาความปลอดภัยของระบบบัญชีคอมพิวเตอร์ และระบบเครือข่ายให้สามารถป้องกันบุคคลที่ไม่ได้รับอนุญาตเข้าสู่ระบบได้ง่าย ได้แก่ ความยาวของรหัสผ่าน ระยะเวลาการเปลี่ยนแปลงรหัสผ่าน ระยะเวลาการตั้งเวลาพักหน้าจอในกรณีผู้ใช้งานไม่อยู่ที่เครื่อง เป็นต้น
ข้อ 24 มีหน้าที่รับผิดชอบในการบริหารจัดการผู้ใช้งาน เกี่ยวกับการสร้าง/เปลี่ยนแปลง/ลบชื่อผู้ใช้งาน (username) โดยการกำหนดสิทธิการใช้งาน จะต้องเป็นไปตามหน้าที่ความรับผิดชอบของผู้ใช้งาน
ข้อ 25 มีหน้าที่สอบทานสิทธิการใช้งานของเจ้าหน้าที่ในระบบบัญชีคอมพิวเตอร์ และระบบเครือข่ายให้สอดคล้องกับหน้าที่ความรับผิดชอบในแต่ละตำแหน่งเป็นประจำทุกปี
ข้อ 26 บริหารจัดการระบบเครือข่ายให้มีความมั่นคงปลอดภัย มีประสิทธิภาพ ครอบคลุมพื้นที่การทำงานทั้งหมด ได้แก่
(1) กำหนดสิทธิการเข้าถึงระบบเครือข่ายให้กับผู้ที่ได้รับอนุญาตเท่านั้น
(2) จัดทำการปรับปรุงแผนผังเครือข่ายและอุปกรณ์ที่เกี่ยวข้องให้เป็นปัจจุบัน
(3) มีการตรวจสอบหรือเฝ้าระวังเกี่ยวกับการรักษาความปลอดภัยระบบคอมพิวเตอร์แม่ข่ายอย่างสม่ำเสมอ
(4) ติดตั้งระบบป้องกันไวรัสกับเครื่องคอมพิวเตอร์แม่ข่าย และปรับปรุงระบบป้องกันไวรัสให้เป็นปัจจุบันสม่ำเสมอ
ข้อ 27 จัดทำตารางแผนการสำรองข้อมูลและวิธีการกู้คืนข้อมูล และให้มีการสำรองข้อมูลและการทดสอบการกู้คืนข้อมูลเป็นไปตามแผนที่กำหนด ได้แก่
(1) กำหนดตารางแผนการสำรองข้อมูลให้เหมาะสมกับการปฏิบัติงานของสหกรณ์
(2) กำหนดให้สำรองข้อมูลจากระบบบัญชีคอมพิวเตอร์ที่ สหกรณ์ใช้ในเครื่องคอมพิวเตอร์ที่แยกต่างหากจากเครื่องแม่ข่ายหลักของสหกรณ์ จำนวน 1 ชุด เป็นประจำทุกวันทำการของสหกรณ์และสำรองข้อมูลไว้ในสื่อบันทึกข้อมูลจำนวน 1 ชุดเป็นประจำทุกเดือน
(3) กำหนดให้สำรองโปรแกรม ฐานข้อมูลที่เกี่ยวกับระบบปฏิบัติการ ระบบฐานข้อมูลและระบบบัญชีคอมพิวเตอร์ไว้ในสื่อบันทึกข้อมูลจำนวน 1 ชุด เป็นประจำทุก 3 เดือน
(4) ให้เจ้าหน้าที่ผู้รับผิดชอบระบบงานสำรองข้อมูลในสื่อบันทึกข้อมูลและติดฉลากที่มีรายละเอียด โปรแกรมระบบงานวัน เดือน ปี จำนวนหน่วยข้อมูล
(5) จัดเก็บสื่อบันทึกข้อมูลไว้ในที่ปลอดภัยทั้งในและนอกสำนักงานสหกรณ์ และให้สามารถนำมาใช้งานได้ทันทีในกรณีที่มีเหตุฉุกเฉิน
(6) ผู้จัดการหรือผู้ที่ได้รับมอบหมายต้องทดสอบข้อมูลที่สำรองทุก 6 เดือน และเก็บรักษาชุดสำรองข้อมูลไว้อย่างน้อย 10 ปีตามกฎหมาย
(7) จัดทำทะเบียนคุมข้อมูลชุดสำรอง และควบคุมการนำข้อมูลชุดสำรองออกมาใช้งาน
ข้อ 28 จัดทำแผนฉุกเฉินรองรับเมื่อเกิดปัญหากับระบบเทคโนโลยีสารสนเทศ ในกรณีเครื่องคอมพิวเตอร์ได้รับความเสียหายหรือหยุดชะงัก และกำหนดผู้รับผิดชอบที่ชัดเจน
ข้อ 29 ดำเนินการทดสอบแผนฉุกเฉินร่วมกับบุคลากรอย่างน้อยปีละ 1 ครั้งและจัดทำผลการทดสอบแผนฉุกเฉิน
ข้อ 30 จัดการกับเหตุการณ์ผิดปกติที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศโดยทันทีเมื่อได้รับรายงานจากบุคลากร
หมวด 6 บุคลากร
ข้อ 31 ต้องใช้เครื่องคอมพิวเตอร์เพื่อประโยชน์สูงสุดต่อการดำเนินงานของสหกรณ์ และเป็นไปตามวัตถุประสงค์
ข้อ 32 ให้คำนึงถึงการใช้งานอย่างประหยัด และหมั่นตรวจสอบเครื่องคอมพิวเตอร์ให้สามารถใช้งานได้อย่าง สมบูรณ์และมีประสิทธิภาพ
ข้อ 33 บุคลากรแต่ละคนมีหน้าที่ป้องกันดูแลรักษาข้อมูลชื่อผู้ใช้งาน(username) และรหัสผ่าน(password) ทั้งนี้ ต้องห้ามเผยแพร่ให้ผู้อื่นล่วงรู้รหัสผ่าน(password) ของตนเอง
ข้อ 34 การกำหนดรหัสผ่านในการเข้าถึงระบบเทคโนโลยีสารสนเทศอย่างน้อย 4 ตัวอักษร โดยกำหนดให้มี ความยากต่อการคาดเดาและให้มีการเปลี่ยนแปลงรหัสผ่านของผู้ใช้งานทุก ๆ 4 เดือน
ข้อ 35 บุคลากรแต่ละคนห้ามใช้ชื่อผู้ใช้งาน(username) และรหัสผ่าน(password) ของบุคคลอื่นมาใช้งานไม่ว่าจะได้รับอนุญาตจากผู้ใช้งานนั้นหรือไม่ก็ตาม
ข้อ 36 การใช้งานเครื่องคอมพิวเตอร์ ผู้ใช้งานต้องรับผิดชอบในฐานะเป็นผู้ถือครองเครื่องนั้นๆ และต้อง รับผิดชอบต่อความ เสียหายที่เกิดขึ้นอันเนื่องมาจากการใช้งานที่ผิดปกติ โดยชื่อผู้ใช้งาน(username) และรหัสผ่าน(password)ของผู้ถือ ครองเครื่องนั้น ๆ
ข้อ 37 เมื่อพบเหตุการณ์ผิดปกติที่เกี่ยวกับความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ให้รีบแจ้งให้ผู้จัดการ/ผู้ดูแลระบบงานของสหกรณ์โดยทันที
ข้อ 38 ให้ประธานกรรมการเป็นผู้รักษาการให้เป็นไปตามระเบียบนี้
ประกาศใช้เมื่อวันที่ 1 สิงหาคม พ.ศ. 2558