Page 22 - นโยบายความมั่นคงปลอดภัย it support
P. 22
ิ
่
2.2 ต้องมการลงนามในสัญญาระหว่างบรษัทและหนวยงานภายนอกว่าจะไม่เปดเผยความลับ
ี
ิ
ิ
ของบรษัท (Non-Disclosure Agreement: NDA)
ั
10. การจดหา พัฒนา และดูแลรกษาระบบสารสนเทศ (System Acquisition, Development and Maintenance)
ั
วัตถุประสงค์
ี
ี่
ื
การควบคุมการพัฒนา หรอแก้ไขเปลยนแปลงระบบสารสนเทศมวัตถุประสงค์เพื่อให้ระบบงาน
์
ี
ี่
ั
ี่
คอมพิวเตอรทได้รบการพัฒนา หรอแก้ไขเปลยนแปลงมการประมวลผลทถูกต้องครบถ้วน และเปนไป
ี่
็
ื
ื
ี
็
ี่
ุ
ึ
ตามความต้องของผู้ใช้งาน ซงเปนการลดความเสยงด้าน Integrity Risk โดยมเน้อหาครอบคลม
่
ึ
ี
้
่
ึ
ื
ิ
่
กระบวนการพัฒนา หรอแก้ไขเปลยนแปลงตั้งแตเร่มต้นซงได้แก่การรองขอจนถงการน าระบบงานท ี ่
่
ื
ี่
ิ
ได้รบการพัฒนาหรอแก้ไขเปลยนแปลงไปใช้งานจรง
ั
แนวทางปฏบัต ิ
ิ
ิ
1. ควรมขั้นตอนหรอวธปฏบัตในการพัฒนาหรอแก้ไขเปลยนแปลงระบบงานเปนลายลักษณอักษร โดย
ิ
ื
์
ี
ื
ิ
็
ี
ี่
่
ี
้
ื
อย่างน้อยควรมข้อก าหนดเกยวกับขั้นตอนในการรองขอ ขั้นตอนในการพัฒนาหรอแก้ไขเปลยนแปลง
ี
่
ี
ขั้นตอนในการทดสอบ และขั้นตอนในการโอนย้ายระบบงาน
ิ
่
ี
ี
ุ
์
่
ี
ี
ี
ิ
ี
ิ
ิ
ี
ื
ิ
2. ควรมขั้นตอนหรอวธปฏบัตในกรณทมการแก้ไขเปลยนแปลงระบบงานคอมพวเตอรในกรณฉกเฉน
่
ุ
ี
ุ
ุ
็
ิ
ั
ี
(Emergency Change) และควรมการบันทกเหตผลความจ าเปนและขออนมัตจากผู้มอ านาจหน้าททกคร้ง
ึ
ี
่
ื
ี
่
่
3. ควรสอสารเกยวกับรายละเอยดของขั้นตอนดังกลาวให้ผู้ใช้งานและบคคลทเกยวข้องได้รบทราบอย่าง
ี
่
ี
ี
ั
ุ
่
้
ทั่วถง พรอมทั้งควบคุมให้มการปฏบัตตาม
ี
ิ
ิ
ึ
4. การควบคุมการพัฒนา หรอแก้ไขเปลยนแปลงระบบงาน
ื
ี่
4.1 การรองขอ
้
์
้
4.1.1 การรองขอให้มการพัฒนาหรอแก้ไขเปลยนแปลงระบบงานคอมพิวเตอร ต้อง
ี
ี่
ื
จัดท าให้เปนลายลักษณอักษร โดยอาจเปน Electronic Transaction เชน อเมล เปนต้น
ี
็
็
์
็
่
ื
ั
ี
ุ
่
ิ
ั
ี่
และได้รบอนมัตจากผู้มอ านาจหน้าท เช่น หัวหน้าสวนงานทรองขอ หรอผู้รบผิดชอบ
ี่
้
ระบบสารสนเทศ เปนต้น
็
ี
ี่
์
4.1.2 ควรมการประเมนผลกระทบของการเปลยนแปลงทส าคัญเปนลายลักษณอักษร
็
ิ
ี่
ั
ทั้งในด้านการปฏบัตงาน (Operation) ระบบรกษาความปลอดภัย (Security) และการ
ิ
ิ
ท างาน (Functionality) ของระบบงานทเกยวข้อง
ี่
ี่
21 | P a g e
