นโยบายนี้จัดทำขึ้นเพื่อวัตถุประสงค์กำหนดกรอบการดำเนินงานและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์และระบบที่เกี่ยวข้องของสำนักงาน ก.พ.ร. โดยมุ่งเน้นการปกป้องความลับ (Confidentiality) ความถูกต้อง (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลเว็บไซต์ของสำนักงาน ก.พ.ร. โดยตระหนักถึงความสําคัญของการรักษาความมั่นคงปลอดภัยเว็บไซต์ เพื่อสร้างความเชื่อมั่นให้กับผู้รับบริการ จึงได้กําหนดมาตรการรักษาความมั่นคงปลอดภัยเว็บไซต์ ดังนี้
- การป้องกันการเข้าถึงจากภายนอก (Network and System Security)
- Firewall ติดตั้งและกำหนดค่าไฟร์วอลล์เพื่อกรองและจำกัดการเข้าถึงระบบจากเครือข่ายภายนอก โดยจะอนุญาตเฉพาะการเชื่อมต่อที่จำเป็นและได้รับอนุญาตเท่านั้น เพื่อป้องกันการบุกรุกโดยไม่ได้รับอนุญาต
- ระบบป้องกันไวรัสและมัลแวร์ (Anti-Virus and Anti-Malware) เซิร์ฟเวอร์และระบบคอมพิวเตอร์ที่ให้บริการทุกเครื่อง ได้รับการติดตั้งซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพ และมีการอัปเดตฐานข้อมูลไวรัสอย่างสม่ำเสมอ เพื่อตรวจจับและยับยั้งภัยคุกคามล่าสุด
- การจัดการข้อมูลผู้ใช้งาน (User Data and Session Management)
- นโยบายคุกกี้ (Cookie Policy) เว็บไซต์ของสำนักงาน ก.พ.ร. ใช้คุกกี้ (ไฟล์ข้อความขนาดเล็ก) เพื่อจดจำการตั้งค่า อำนวยความสะดวกในการเข้าใช้งานและพัฒนาประสิทธิภาพรวมทั้งสร้างประสบการณ์ที่ดีของการใช้งานครั้งถัดไปของผู้ใช้ เช่น การตั้งค่าภาษา ทั้งนี้ สำนักงาน ก.พ.ร. เคารพความเป็นส่วนตัวของผู้ใช้งาน ก่อนการติดตั้งคุกกี้ที่ไม่จำเป็นต่อการทำงานของเว็บไซต์ (เช่น คุกกี้เพื่อการตลาดหรือวิเคราะห์) เราจะแสดงแถบขอความยินยอม (Cookie Banner) เพื่อให้ผู้รับบริการตัดสินใจได้ และคุกกี้ที่เกี่ยวข้องกับข้อมูลสำคัญจะถูกตั้งค่าด้วยคุณสมบัติ HttpOnly และ Secure เพื่อป้องกันการเข้าถึงจากสคริปต์และการดักฟังข้อมูล
- การออกจากระบบอัตโนมัติ (Automatic Session Timeout) เพื่อความปลอดภัย หากไม่มีการใช้งานเป็นระยะเวลาที่กำหนด ระบบจะทำการออกจากระบบ (Log off) โดยอัตโนมัติ เพื่อป้องกันการเข้าถึงบัญชีโดยไม่ได้รับอนุญาตในกรณีที่ท่านลืมออกจากระบบบนอุปกรณ์สาธารณะ
ข้อแนะนําสำหรับผู้รับบริการเกี่ยวกับการรักษาความมั่นคงปลอดภัย
ตามที่สำนักงาน ก.พ.ร. กำหนดมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพเพื่อป้องกันมิให้มีการเข้าถึงข้อมูลส่วนบุคคลของท่านโดยมิชอบแล้วก็ตาม แต่ในปัจจุบันนี้ยังมิได้มีระบบ รักษาความปลอดภัยใดๆ ที่จะสามารถปกป้องข้อมูลของท่านได้อย่างเด็ดขาดจากการถูกทําลายหรือถูกเข้าถึงโดยบุคคลที่ไม่ประสงค์ดีได้ ดังนั้น ผู้รับบริการจึงควรปฏิบัติตามข้อแนะนําเกี่ยวกับการรักษาความมั่นคงปลอดภัยดังต่อไปนี้ด้วย คือ
- การป้องกันตนเองจากการหลอกลวง (Phishing and Malware Prevention)
- ตรวจสอบ URL ก่อนล็อกอิน ก่อนกรอกชื่อผู้ใช้และรหัสผ่าน โปรดตรวจสอบให้แน่ใจว่าที่อยู่เว็บไซต์ (URL) บนเบราว์เซอร์ถูกต้องและมีการเชื่อมต่อที่ปลอดภัย (ขึ้นต้นด้วย https:// พร้อมสัญลักษณ์รูปแม่กุญแจ)
- ระมัดระวังการดาวน์โหลด หลีกเลี่ยงการดาวน์โหลดโปรแกรมหรือไฟล์จากแหล่งที่ไม่น่าเชื่อถือ หรือจากลิงก์ในอีเมลที่น่าสงสัย ซึ่งอาจมีมัลแวร์แฝงมาด้วย
- การรักษาความปลอดภัยบนอุปกรณ์ส่วนตัว (Endpoint Security)
- ติดตั้งโปรแกรมป้องกันไวรัส ควรติดตั้งโปรแกรมป้องกันไวรัสบนคอมพิวเตอร์และสมาร์ทโฟนของท่าน และหมั่นอัปเดตโปรแกรมให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
- ติดตั้ง Personal Firewall การเปิดใช้งานไฟร์วอลล์ส่วนบุคคลบนระบบปฏิบัติการ (เช่น Windows Firewall, macOS Firewall) จะช่วยเพิ่มเกราะป้องกันอีกชั้นหนึ่งจากการเชื่อมต่อที่ไม่พึงประสงค์จากอินเทอร์เน็ต
- การจัดการบัญชีผู้ใช้ (Account Security)
- ใช้รหัสผ่านที่รัดกุม ตั้งรหัสผ่านที่คาดเดาได้ยาก มีความยาวอย่างน้อย 8 ตัวอักษร และประกอบด้วยตัวอักษรพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข และสัญลักษณ์
- ออกจากระบบทุกครั้ง หลังจากเลิกใช้งาน โดยเฉพาะเมื่อใช้อุปกรณ์คอมพิวเตอร์สาธารณะ ควรทำการออกจากระบบ (Log off) ทุกครั้ง