Page 773 - NEIC_FINAL REPORT
P. 773
โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพื่อรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคลื่อน แผนพลังงานของประเทศไทย
5.4 การควบคุมการเข้าถึงระบบ
ศูนย์ฯ จะต้องจัดทําวิธีปฏิบัติที่เป็นมาตรฐานเพื่อป้องกันการเข้าถึงระบบโดยไม่ได้รับอนุญาต โดยมี ประเด็นที่ต้องพิจารณาดังต่อไปนี้
(1) การจํากัดการเข้าถึงสารสนเทศ (Information Access Restriction) ศูนย์ฯ จะต้องจัดทําแนว ปฏิบัติการเข้าถึงสารสนเทศและระบบประมวลผลสารสนเทศที่สอดคล้องกับนโยบายควบคุมการ เข้าถึง และมีการบังคับใช้อย่างเคร่งครัด
(2) ขั้นตอนปฏิบัติสําหรับการเข้าระบบที่มีความปลอดภัย (Secure Login Procedures) ศูนย์ฯ จะต้อง มั่นใจว่าระบบจะต้องมีการควบคุมการเข้าระบบที่มีความปลอดภัย และมีการบังคับใช้อย่างเคร่งครัด ซึ่งอาจจะรวมถึงการบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication) ด้วย
(3) ระบบจัดการรหัสผ่าน (Password Management) ศูนย์ฯ จะต้องจัดทําระบบจัดการรหัสผ่านที่มี ปฏิสัมพันธ์กับผู้ใช้และเป็นไปตามมาตรฐานของอุตสาหกรรม โดยมีการประกาศเป็นลายลักษณ์อักษร และบังคับใช้อย่างเคร่งครัด
(4) การใช้โปรแกรมภายนอก (Use of External Applications) ศูนย์ฯ จะต้องมีการจํากัดและควบคุม การใช้งานโปรแกรมภายนอกที่ไม่ใช่โปรแกรมของศูนย์ฯ หรือโปรแกรมที่ถูกระบุไว้ในระบบความ ปลอดภัย โดยอาจจะใช้การสร้างรายการอนุญาต (Allowed List) หรือการแยกการใช้งาน (Isolation) ระหว่างโปรแกรมของศูนย์ และ โปรแกรมผ่านนอก ผ่านเทคโนโลยีเช่น Virtual Desktop Interface
(5) การควบคุมการเข้าถึงซอร์สโค้ดของโปรแกรม (Source Code Access Control) ศูนย์ฯ จะต้องจํากัด และควบคุมการเข้าถึงซอร์สโค้ดของโปรแกรมทั้งหมด ที่พัฒนาโดยศูนย์ฯ หรือหน่วยงานอื่นที่ได้รับ มอบหมายจากศูนย์ฯ
6.8-8
รายงานฉบับสมบูรณ์
Final Report
รายงานฉบับสมบูรณ์
6 - 63