แผนแม่บทเทคโนโลยีสารสนเทศ พ.ศ.2559-2563

129 (3) การระบุและยืนยันตัวตนของผู้ใช้งาน (User Identification and Authentication) (3.1) ผู้ใช้งานต้องทำการพิสูจน์ตัวตนทุกครั้งก่อนใช้ระบบเทคโนโลยี สารสนเทศ เพื่อป้องกันผู้ ไม่มีสิทธิเข้าใช้งานระบบเทคโนโลยี สารสนเทศ หากการระบุและยืนยันตัวตนของผู้ใช้งานมีปัญหา หรือเกิดความผิดพลาดผู้ใช้งานแจ้งให้ผู้ดูแลระบบทำการแก้ไข (3.2) ผู้ใช้งานที่เป็นเจ้าของบัญชีผู้ใช้บริการต้องเป็นผู้รับผิดชอบใน ผลต่าง ๆ อันจะเกิดขึ้นจากการใช้บัญชีผู้ ใช้บริการของเครื่อง คอมพิวเตอร์และระบบเครือข่าย เว้นแต่จะพิสูจน์ได้ว่าผลเสียหาย นั้นเกิดจากการกระทำของผู้อื่น (3.3) ผู้ใช้งานต้องเก็บรักษาบัญชีผู้ใช้บริการไว้เป็นความลับและห้าม เปิดเผยต่อบุคคลอื่น ห้ามโอน จำหน่าย หรือจ่ายแจกให้ผู้อื่นโดย ไม่ได้รับอนุญาตจากหัวหน้าส่วนราชการ (3.4) ผู้ใช้งานต้องลงบันทึกเข้า (Login) โดยใช้บัญชีผู้ใช้บริการของ ตนเอง และทำการลงบันทึกออก (Logout) ทุกครั้งเมื่อสิ้นสุดการ ใช้งานหรือหยุดการใช้งานชั่วคราว 4. การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอพพลิเคชั่นและสารสนเทศ (1) ผู้ดูแลระบบต้องกำหนดการลงทะเบียนบุคลากรใหม่ ควรกำหนดให้มีขั้นตอนปฏิบัติ อย่างเป็นทางการเพื่อให้มีสิทธิต่างๆ ในการใช้งานตามความจำเป็น รวมทั้งขั้นตอน ปฏิบัติสำหรับการยกเลิกสิทธิการใช้งาน เช่น การลาออก หรือการเปลี่ยนตำแหน่งงาน ภายในหน่วยงาน เป็นต้น (2) ผู้ดูแลระบบต้องกำหนดสิทธิการใช้งานระบบเทคโนโลยีสารสนเทศที่สำคัญ เช่น ระบบ คอมพิวเตอร์ โปรแกรมประยุกต์ จดหมายอิเล็กทรอนิกส์ ระบบเครือข่ายไร้ สาย (Wireless LAN) ระบบอินเทอร์เน็ต (Internet) เป็นต้น โดยต้องให้สิทธิเฉพาะการ ปฏิบัติงานในหน้าที่และต้องได้รับความเห็นชอบจากผู้บริหารเป็นลายลักษณ์อักษร รวมทั้งต้องทบทวนสิทธิดังกล่าวอย่างสม่ำเสมอ (3) ผู้ดูแลระบบต้องบริหารจัดการสิทธิการใช้งานระบบและรหัสผ่านของผู้ใช้งานดังต่อไปนี้ (3.1) กำหนดการเปลี่ยนแปลงและการยกเลิกรหัสผ่าน เมื่อผู้ใช้งาน ระบบ ลาออก หรือพ้นจากตำแหน่ง หรือยกเลิกการใช้งาน (3.2) ส่งมอบรหัสผ่านชั่วคราวให้กับผู้ใช้บริการด้วยวิธีการที่ปลอดภัย (3.3) กำหนดให้ ผู้ ใช้ งานไม่บันทึ กหรื อเก็บรหั สผ่ าน ไว้ ในระบบ คอมพิวเตอร์ในรูปแบบที่ไม่ได้ป้องกันการเข้าถึง (3.4) กำหนดชื่อผู้ใช้หรือรหัสผู้ใช้งานต้องไม่ซ้ำกัน