Page 774 - NEIC_FINAL REPORT
P. 774
6 - 64
ศูนย์ฯ จะต้องมีการจัดให้มีมาตรการการเข้ารหัสข้อมูล (Cryptographic Controls) เพื่อให้มีการใช้การ เข้ารหัสข้อมูลเพื่อปกป้องข้อมูลอ่อนไหวและข้อมูลมีคุณค่าของศูนย์ อย่างเหมาะสมและได้ผล โดยมุ่งหวังเพ่ือ ป้องกันความลับและความถูกต้องของสารสนเทศ โดยจะต้องจัดทํานโยบายอย่างน้อยสองชุดคือ
(1) นโยบายการใช้มาตรการเข้ารหัสข้อมูล (Cryptographic Policy) ที่ระบุถึงมาตรฐานขั้นต่ําในการ เข้ารหัส สําหรับข้อมูลแต่ละชุดของศูนย์ โดยสอดคล้องกับชั้นความลับของข้อมูล และ วิธีการ ประมวลผลข้อมูลเหล่านั้น เช่น ข้อมูลที่มีความอ่อนไหวสูง อาจจะต้องมีการเข้ารหัสข้อมูลที่มีความ แข็งแรงสูง และต้องใช้กุญแจเข้ารหัสที่ดูแลโดยผู้บริหารระดับสูงเท่านั้น ซึ่งหมายถึงว่า ถ้าผู้ปฏิบัติงาน ต้องการเข้าถึงข้อมูลเหล่านั้น จะต้องขอให้ผู้บริหารระดับสูงเป็นผู้ถอดรหัสข้อมูลให้
(2) นโยบายการบริหารจัดการกุญแจเข้ารหัส (Cryptographic Key Management Policy) ซ่ึงกําหนดถึง การสร้าง ครอบครอง ใช้งาน และ ทําลาย กุญแจเข้ารหัสอย่างเป็นระบบ มีหลักฐานถึงการปฏิบัติใน ขั้นตอนต่าง ๆ อย่างเป็นลายลักษณ์อักษร และ สอดคล้องกับวิธีปฏิบัติที่ได้มาตรฐานของอุตสาหกรรม
โดยนโยบายทั้งสองจะต้องมีการประกาศเป็นลายลักษณ์อักษรและบังคับใช้อย่างเคร่งครัด
7. ความมั่นคงปลอดภัยทางกายภาพ
ในมุมมองด้านกายภาพ ศูนย์ฯ จะต้องพิจารณาอย่างน้อยสองประเด็นต่อไปนี้คือ
7.1 การจัดพื้นที่ต้องการความปลอดภัย
ศูนย์ฯ จะต้องกําหนดพื้นที่ทางกายภาพที่เป็นพื้นที่ปลอดภัย เพื่อป้องกันการเข้าถึงทางกายภาพโดยไม่ได้ รับอนุญาต ความเสียหาย และการแทรกแซงการทํางาน ที่มีตอ่ สารสนเทศและการประมวลผลสารสนเทศของศูนย์ฯ โดยมีประเด็นท่ีต้องพิจารณาต่อไปนี้
(1) ขอบเขตทางกายภาพ (Physical Perimeter) ศูนย์ฯ จะต้องกําหนดพื้นทางกายภาพท่ีเป็นพ้ืนที่สําคัญ ท่ีต้องการการรักษาความปลอดภัย อันประกอบไปด้วยพื้นที่ท่ีมีการจัดการสารสนเทศ การประมวลผล สารสนเทศ และการจัดเก็บอุปกรณ์ประมวลผลสารสนเทศที่เกี่ยวข้องกับศูนย์ฯ ทั้งหมด โดยจะต้องมี การประกาศอย่างชัดเจนว่าพ้ืนท่ีใด จะถูกใช้งานในด้านใด
(2) การควบคุมการเข้าออกทางกายภาพ (Physical Entry Controls) ศูนย์ฯ จะต้องออกแบบและ ดําเนินการป้องกันการเข้าออกอย่างเหมาะสม โดยพิจารณาจากขอบเขตทางกายภาพ ความอ่อนไหว และมูลค่าของข้อมูล และบทบาทของบุคลากรที่ต้องการเข้าออกพื้นที่ โดยกําหนดให้เฉพาะผู้ที่ได้รับ อนุญาตและมีสิทธิเข้าถึงสารสนเทศ หรืออุปกรณ์ประมวลผลสารสนเทศในพื้นที่ดังกล่าวเข้าถึงได้ ซึ่ง การควบคุมการเข้าออกทางกายภาพ จะต้องครอบคลุมประเด็นต่อไปน้ี เป็นอย่างน้อย
6.8-9
Strategic Design and Development Study of the National Energy Information Center to Support National Energy Plan โครงการศึกษาการจัดทําาแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศพลังงานแห่งชาติ เพื่อรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคล่ือนแผนพลังงานของประเทศไทย
โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพื่อรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคล่ือน แผนพลังงานของประเทศไทย
6. การเข้ารหัสข้อมูล
รายงานฉบับสมบูรณ์