ประกาศมหาวิทยาลัยศรีนครินทรวิโรฒ
เรื่อง นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของสารสนเทศ

เพื่อให้สารสนเทศรวมทั้งระบบเทคโนโลยีสารสนเทศและการสื่อสารของมหาวิทยาลัยศรีนครินทรวิโรฒมีความมั่นคงปลอดภัย สามารถดำเนินงานได้อย่างต่อเนื่อง มีประสิทธิภาพ และสอดคล้องตามหลักมาตรฐานสากล รวมทั้งเพื่อให้เกิดมาตรการในการป้องกันปัญหาอันอาจเกิดขึ้นจากการถูกภาวะคุกคามต่าง ๆ และจากการใช้งานระบบเทคโนโลยีสารสนเทศและการสื่อสารในลักษณะที่ไม่พึงประสงค์ ซึ่งอาจก่อความเสียหายแก่มหาวิทยาลัยในภาพรวม และเป็นการป้องกันการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 กฎหมายและระเบียบอื่น ๆ ที่เกี่ยวข้อง มหาวิทยาลัยศรีนครินทรวิโรฒจึงเห็นสมควรกำหนดนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของสารสนเทศขึ้น

อาศัยอำนาจตามความในมาตรา 5 มาตรา 6 และมาตรา 7 แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์ และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 และด้วยความเห็นชอบของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ จึงออกประกาศไว้ ดังต่อไปนี้

  1. ประกาศนี้เรียกว่า “ประกาศมหาวิทยาลัยศรีนครินทรวิโรฒ เรื่อง นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของสารสนเทศ”
  2. นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของสารสนเทศได้กำหนดขึ้น โดยมีวัตถุประสงค์ดังต่อไปนี้
    1. เพื่อให้มีนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของสารสนเทศ มหาวิทยาลัยศรีนครินทรวิโรฒ ซึ่งเป็นไปตามกฎหมายและระเบียบปฏิบัติที่เกี่ยวข้อง

    2. เพื่อเป็นกรอบและแนวปฏิบัติในการกำหนดมาตรฐาน ขั้นตอนการปฏิบัติงาน ผู้รับผิดชอบ รวมถึงสิ่งอำนวยความสะดวกด้านคอมพิวเตอร์สำหรับการติดตั้งและใช้งานระบบเพื่อการรักษาความมั่นคงปลอดภัยของสารสนเทศ

    3. เพื่อกำหนดให้มีการสำรองข้อมูลสารสนเทศอย่างสม่ำเสมอ มีแผนเตรียมความพร้อมสำหรับกรณีฉุกเฉิน และให้สามารถกู้ระบบกลับคืนได้ภายในระยะเวลาที่เหมาะสม เพื่อให้ระบบเทคโนโลยีสารสนเทศและการสื่อสารของมหาวิทยาลัยสามารถใช้งานได้เป็นปกติอย่างต่อเนื่อง เหมาะสม และสอดคล้องตามภารกิจ

    4. เพื่อให้มีการตรวจสอบและประเมินความเสี่ยงในการรักษาความมั่นคงปลอดภัยของสารสนเทศ รวมทั้งระบบเทคโนโลยีสารสนเทศและการสื่อสารอย่างสม่ำเสมอ

    5. เพื่อส่งเสริมให้มีการเผยแพร่ความรู้แก่นิสิต และบุคลากรของมหาวิทยาลัยศรีนครินทรวิโรฒ รวมถึงบุคคลที่เกี่ยวข้อง เพื่อสร้างความเข้าใจ ให้เกิดความตระหนัก และมีส่วนร่วมรับผิดชอบในการรักษาความมั่นคงปลอดภัยของสารสนเทศ

  3. นโยบายการรักษาความมั่นคงปลอดภัยของสารสนเทศ มหาวิทยาลัยศรีนครินทรวิโรฒ แบ่งเป็น 2 ส่วน ประกอบด้วย
    1. ส่วนที่ 1 นโยบายความมั่นคงปลอดภัยของสารสนเทศ ซึ่งแบ่งสาระสำคัญออกเป็น 11 หมวด ประกอบด้วย
      หมวด 1 นโยบายความมั่นคงปลอดภัย
      หมวด 2 โครงสร้างการบริหารความมั่นคงปลอดภัยสารสนเทศและความรับผิดชอบ
      หมวด 3 การจัดการสินทรัพย์สารสนเทศ
      หมวด 4 ความมั่นคงปลอดภัยที่เกี่ยวกับบุคลากร
      หมวด 5 การสร้างความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
      หมวด 6 การบริหารจัดการด้านการสื่อสารและเครือข่ายสารสนเทศ
      หมวด 7 การควบคุมการเข้าถึงระบบสารสนเทศและเครือข่าย
      หมวด 8 การจัดหาพัฒนาและบำรุงรักษาระบบสารสนเทศ
      หมวด 9 การดำเนินการกับเหตุการณ์ด้านความมั่นคงปลอดภัย
      หมวด 10 การบริหารความต่อเนื่องของการดำเนินภารกิจของมหาวิทยาลัย
      หมวด 11 การปฏิบัติตามข้อกำหนด

    2. ส่วนที่ 2 แนวปฏิบัติการรักษาความมั่นคงปลอดภัยของสารสนเทศ ซึ่งแบ่งสาระสำคัญออกเป็น 7 ส่วน ประกอบด้วย
      ส่วนที่ 1 การสร้างความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อม
      ส่วนที่ 2 การบริหารจัดการด้านการสื่อสารและเครือข่ายสารสนเทศ
      ส่วนที่ 3 การควบคุมการเข้าถึงระบบสารสนเทศและเครือข่าย
      ส่วนที่ 4 การจัดหาพัฒนาและบำรุงรักษาระบบสารสนเทศ
      ส่วนที่ 5 การดำเนินการกับสถานการณ์ด้านความมั่นคงปลอดภัย
      ส่วนที่ 6 การบริหารความต่อเนื่องของการดำเนินภารกิจของมหาวิทยาลัย
      ส่วนที่ 7 การปฏิบัติตามข้อกำหนด

  4. กำหนดให้มีการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ โดยให้มีการตรวจสอบและควบคุมประสิทธิภาพของระบบงานเทคโนโลยีสารสนเทศและการสื่อสาร และดำเนินการตรวจประเมินระบบความมั่นคงปลอดภัยด้านระบบเทคโนโลยีสารสนเทศและการสื่อสารของมหาวิทยาลัยอย่างน้อยปีละ 1 ครั้ง

  5. กำหนดให้มีการทบทวนและปรับปรุงนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของสารสนเทศ อย่างน้อยปีละ 1 ครั้ง

  6. สร้างความรู้ความเข้าใจกับผู้ใช้งานสารสนเทศของมหาวิทยาลัย เพื่อให้เกิดความตระหนักถึงภัยและผลกระทบที่อาจเกิดจากการใช้งานระบบเทคโนโลยีสารสนเทศและการสื่อสารโดยไม่ระมัดระวัง หรือรู้เท่าไม่ถึงการณ์ด้วยวิธีการ

    1. เผยแพร่นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศผ่านเว็บไซต์ของมหาวิทยาลัย โดยให้ผู้ใช้งานและบุคคลทั่วไปสามารถเข้าถึงได้

    2. จัดอบรมให้ความรู้ เพื่อสร้างความเข้าใจแก่ผู้ใช้งานในสาระสำคัญที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของสารสนเทศ

  7. กรณีระบบเทคโนโลยีสารสนเทศและการสื่อสาร หรือข้อมูลสารสนเทศของมหาวิทยาลัยเกิดความเสียหาย หรือเกิดอันตรายใดๆ แก่องค์กร หรือผู้หนึ่งผู้ใดอันเนื่องมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามแนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศกำหนดให้ผู้บริหารระดับสูงสุดของมหาวิทยาลัยเป็นผู้รับผิดชอบต่อความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น

  8. การกำหนดชั้นความลับของสารสนเทศให้เป็นไปตามพระราชบัญญัติข้อมูลข่าวสารของทางราชการ พ.ศ.2540 และระเบียบว่าด้วยการรักษาความลับของทางราชการ พ.ศ.2544 หรือข้อกำหนดอื่นที่ได้ประกาศใช้ทดแทน

  9. ข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของมหาวิทยาลัยให้เป็นไปตามที่กำหนดไว้ในนโยบายความมั่นคงปลอดภัยของสารสนเทศ มหาวิทยาลัยศรีนครินทรวิโรฒ พ.ศ. 2556 และแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของสารสนเทศ มหาวิทยาลัยศรีนครินทรวิโรฒ พ.ศ. 2556 ตามที่แนบท้ายประกาศนี้

  10. ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศ เป็นต้นไป

ประกาศ ณ วันที่ 2 มิถุนายน พ.ศ. 2558

ผู้ช่วยศาสตราจารย์ นพ. เฉลิมชัย บุญยะลีพรรณ
อธิการบดีมหาวิทยาลัยศรีนครินทรวิโรฒ