แนวปฏิบัติ IT — Work From Home

1. การเข้าถึงระบบสารสนเทศของสำนักงาน

WFH IT Security
ประกาศสำนักงาน

แนวปฏิบัติการใช้ระบบเทคโนโลยีสารสนเทศ
สำหรับการปฏิบัติงานนอกสถานที่

เพื่อให้การปฏิบัติงานนอกสถานที่ (Work From Home) ของพนักงานเป็นไปอย่างมีประสิทธิภาพ ปลอดภัย และเป็นการป้องกันความเสี่ยงที่อาจเกิดขึ้นต่อข้อมูลและระบบสารสนเทศของสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล

6 หมวดหลัก19 หัวข้อย่อยตัวอย่างปฏิบัติจริง
1
หมวดที่ 1

การเข้าถึงระบบสารสนเทศของสำนักงาน

การเข้าถึงระบบสารสนเทศของสำนักงาน
1.1

ช่องทางการเข้าถึงระบบ

ระบบสารสนเทศของสำนักงานได้รับการออกแบบเป็นระบบแบบ Web-based เพื่อความสะดวกและปลอดภัยในการใช้งาน พนักงานต้องเข้าใช้งานผ่านเว็บไซต์ของระบบที่หน่วยงานกำหนดเท่านั้น โดยพิมพ์ URL ของระบบสำนักงานลงในเบราว์เซอร์โดยตรง และหลีกเลี่ยงการคลิกลิงก์จากอีเมลที่ไม่รู้จักหรือแหล่งที่ไม่น่าเชื่อถือ

ตัวอย่างการปฏิบัติ
  • พิมพ์ URL ของระบบสำนักงานลงในเบราว์เซอร์โดยตรง เช่น https://system.office.go.th
  • บันทึก URL ไว้ใน Bookmark ของเบราว์เซอร์เพื่อความสะดวก
ข้อควรระวัง
  • ห้ามคลิกลิงก์จากอีเมลที่ไม่รู้จักหรือแหล่งที่ไม่น่าเชื่อถือ
  • ระวังเว็บไซต์ปลอม (Phishing) ที่มี URL คล้ายคลึงกับระบบจริง
1.2

การยืนยันตัวตนเข้าสู่ระบบ

การเข้าสู่ระบบต้องดำเนินการผ่านแอปพลิเคชัน ThaiD (Digital ID) ตามมาตรฐานที่สำนักงานกำหนด เมื่อเข้าสู่หน้าล็อกอิน ให้เลือก "เข้าสู่ระบบด้วย ThaiD" จากนั้นเปิดแอปพลิเคชัน ThaiD บนสมาร์ทโฟนเพื่อสแกน QR Code และยืนยันตัวตนด้วยใบหน้าหรือรหัสผ่าน

ตัวอย่างการปฏิบัติ
  • เปิดหน้าล็อกอิน → เลือก "เข้าสู่ระบบด้วย ThaiD"
  • เปิดแอป ThaiD บนสมาร์ทโฟน → สแกน QR Code ที่ปรากฏบนหน้าจอ
  • ยืนยันตัวตนด้วยการสแกนใบหน้าหรือใส่รหัสผ่านในแอป ThaiD
1.3

การรักษาความปลอดภัยของบัญชีผู้ใช้งาน

ห้ามพนักงานเปิดเผยข้อมูลบัญชีผู้ใช้งาน (Username/Password) หรืออนุญาตให้บุคคลอื่นใช้บัญชีของตนในการเข้าถึงระบบของสำนักงานโดยเด็ดขาด ไม่จดรหัสผ่านใส่กระดาษแปะไว้ที่หน้าจอคอมพิวเตอร์ และไม่บอกรหัสผ่านให้เพื่อนร่วมงานหรือบุคคลในครอบครัวทราบ แม้จะเป็นการขอให้ช่วยงานชั่วคราวก็ตาม

ข้อควรระวัง
  • ห้ามจดรหัสผ่านใส่กระดาษแปะไว้ที่หน้าจอคอมพิวเตอร์
  • ห้ามบอกรหัสผ่านให้เพื่อนร่วมงานหรือบุคคลในครอบครัว
  • ห้ามให้บุคคลอื่นใช้บัญชีของตน แม้จะเป็นการช่วยงานชั่วคราว
2
หมวดที่ 2

การใช้อุปกรณ์สำหรับการปฏิบัติงาน

การใช้อุปกรณ์สำหรับการปฏิบัติงาน
2.1

มาตรฐานอุปกรณ์ที่ใช้ปฏิบัติงาน

การเลือกใช้อุปกรณ์ที่เหมาะสมเป็นสิ่งสำคัญในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ให้ใช้อุปกรณ์คอมพิวเตอร์หรืออุปกรณ์สื่อสารของสำนักงาน หรืออุปกรณ์ส่วนตัวที่มีความปลอดภัยและเชื่อถือได้ในการเข้าถึงระบบ หากใช้อุปกรณ์ส่วนตัว ควรแยก User Profile สำหรับการทำงานออกจาก Profile ที่ใช้ส่วนตัวหรือให้บุคคลอื่นในครอบครัวใช้

ตัวอย่างการปฏิบัติ
  • สร้าง User Profile แยกสำหรับการทำงานบน Windows หรือ macOS
  • ตั้งรหัสผ่านสำหรับ Profile การทำงานเพื่อป้องกันการเข้าถึงจากบุคคลอื่น
2.2

การป้องกันมัลแวร์และการอัปเดตระบบ

อุปกรณ์ที่ใช้ปฏิบัติงานต้องมีการติดตั้งโปรแกรมป้องกันไวรัส (Anti-virus) และต้องได้รับการอัปเดตระบบปฏิบัติการรวมถึงซอฟต์แวร์อย่างสม่ำเสมอ ตั้งค่าให้ระบบปฏิบัติการและโปรแกรม Anti-virus อัปเดตอัตโนมัติ และหมั่นตรวจสอบสถานะการอัปเดตอย่างน้อยสัปดาห์ละ 1 ครั้ง

ตัวอย่างการปฏิบัติ
  • ตั้งค่า Windows Update เป็น Automatic
  • ติดตั้งและเปิดใช้งาน Windows Defender หรือโปรแกรม Anti-virus ที่สำนักงานกำหนด
  • ตรวจสอบสถานะการอัปเดตทุกวันจันทร์
2.3

ข้อควรระวังในการใช้อุปกรณ์สาธารณะ

หลีกเลี่ยงการใช้อุปกรณ์สาธารณะ หรืออุปกรณ์ของบุคคลอื่นในการเข้าถึงระบบและข้อมูลของสำนักงาน ไม่ล็อกอินเข้าระบบของสำนักงานผ่านคอมพิวเตอร์ที่ให้บริการในร้านอินเทอร์เน็ตคาเฟ่ หรือคอมพิวเตอร์ของโรงแรม

ข้อควรระวัง
  • ห้ามใช้คอมพิวเตอร์ร้านอินเทอร์เน็ตคาเฟ่เข้าระบบสำนักงาน
  • ห้ามใช้คอมพิวเตอร์ของโรงแรมหรือ Co-working Space ที่ใช้ร่วมกัน
  • ห้ามยืมอุปกรณ์ของบุคคลอื่นเพื่อเข้าระบบสำนักงาน
3
หมวดที่ 3

การใช้งานเครือข่ายอินเทอร์เน็ต

การใช้งานเครือข่ายอินเทอร์เน็ต
3.1

การใช้เครือข่ายที่ปลอดภัย

การเชื่อมต่อเครือข่ายที่ปลอดภัยช่วยป้องกันการดักจับข้อมูลระหว่างการสื่อสาร ให้ใช้เครือข่ายอินเทอร์เน็ตที่มีความปลอดภัย เช่น เครือข่ายส่วนบุคคล (Private Network) หรือเครือข่ายที่บ้านที่มีการตั้งรหัสผ่าน ตั้งรหัสผ่าน Wi-Fi ที่บ้านให้คาดเดาได้ยาก (ประกอบด้วยตัวอักษรพิมพ์เล็ก พิมพ์ใหญ่ ตัวเลข และสัญลักษณ์) และเปลี่ยนรหัสผ่านเริ่มต้น (Default Password) ของ Router

ตัวอย่างการปฏิบัติ
  • ตั้งรหัสผ่าน Wi-Fi ที่บ้านให้มีความยาวอย่างน้อย 12 ตัวอักษร เช่น MyH0me@Wifi2024!
  • เปลี่ยนรหัสผ่านเริ่มต้นของ Router จาก admin/admin เป็นรหัสผ่านที่คาดเดาได้ยาก
  • เปิดใช้งาน WPA3 หรือ WPA2 สำหรับการเข้ารหัส Wi-Fi
3.2

ข้อห้ามการใช้เครือข่ายสาธารณะ

หลีกเลี่ยงการใช้เครือข่าย Wi-Fi สาธารณะ (Public Wi-Fi) ที่ไม่มีการเข้ารหัสในการเข้าถึงระบบของสำนักงาน หากจำเป็นต้องทำงานที่ร้านกาแฟ ให้ใช้การแชร์อินเทอร์เน็ตจากสมาร์ทโฟน (Personal Hotspot) แทนการเชื่อมต่อ Wi-Fi ฟรีของร้าน

ตัวอย่างการปฏิบัติ
  • เปิด Personal Hotspot บนสมาร์ทโฟน แล้วเชื่อมต่อโน้ตบุ๊กผ่าน Hotspot แทน Wi-Fi ร้านกาแฟ
ข้อควรระวัง
  • ห้ามเชื่อมต่อ Wi-Fi ฟรีตามร้านกาแฟ ห้างสรรพสินค้า หรือสนามบิน เพื่อเข้าระบบสำนักงาน
  • ห้ามเชื่อมต่อ Wi-Fi ที่ไม่มีรหัสผ่าน (Open Network)
4
หมวดที่ 4

การใช้งานข้อมูลของสำนักงาน

การใช้งานข้อมูลของสำนักงาน
4.1

พื้นที่การทำงานและประมวลผลข้อมูล

ข้อมูลของสำนักงานถือเป็นทรัพย์สินที่ต้องได้รับการปกป้อง ให้ใช้งานและประมวลผลข้อมูลของสำนักงานผ่านระบบของหน่วยงานที่จัดเตรียมไว้ให้เท่านั้น แก้ไขเอกสารผ่านระบบ Document Management System ของสำนักงาน แทนการดาวน์โหลดไฟล์มาแก้ไขบนเครื่องส่วนตัวแล้วส่งกลับทางอีเมล

ตัวอย่างการปฏิบัติ
  • แก้ไขเอกสารผ่านระบบ DMS ของสำนักงานโดยตรง
  • ใช้ระบบ Cloud ที่สำนักงานจัดเตรียมไว้ในการแชร์ไฟล์
ข้อควรระวัง
  • ห้ามดาวน์โหลดไฟล์มาแก้ไขบนเครื่องส่วนตัวแล้วส่งกลับทางอีเมล
4.2

การจัดเก็บข้อมูลในอุปกรณ์ส่วนตัว

หลีกเลี่ยงการดาวน์โหลดหรือจัดเก็บข้อมูลของสำนักงานไว้ในอุปกรณ์ส่วนตัวโดยไม่จำเป็น หากมีความจำเป็นต้องดำเนินการตามมาตรการรักษาความปลอดภัยที่กำหนด หากจำเป็นต้องดาวน์โหลดไฟล์ข้อมูลสำคัญมาไว้ในเครื่องส่วนตัว ต้องทำการเข้ารหัสไฟล์ (Encrypt) หรือตั้งรหัสผ่านสำหรับเปิดไฟล์นั้นๆ และลบไฟล์ทิ้งทันทีเมื่อใช้งานเสร็จ

ตัวอย่างการปฏิบัติ
  • ใช้ 7-Zip ตั้งรหัสผ่านเข้ารหัสไฟล์ที่ดาวน์โหลดมา
  • ลบไฟล์ออกจากเครื่องทันทีเมื่อใช้งานเสร็จ พร้อมล้าง Recycle Bin
4.3

การรักษาความลับของข้อมูล

ต้องระมัดระวังเป็นอย่างยิ่งในการเปิดเผยข้อมูลสำคัญของสำนักงาน และข้อมูลส่วนบุคคล (PDPA) ต่อบุคคลที่ไม่เกี่ยวข้อง ล็อกหน้าจอคอมพิวเตอร์ (กดปุ่ม Windows + L) ทุกครั้งที่ลุกออกจากโต๊ะทำงาน แม้จะทำงานอยู่ที่บ้าน เพื่อป้องกันบุคคลในครอบครัวเห็นข้อมูลสำคัญ

ตัวอย่างการปฏิบัติ
  • กดปุ่ม Windows + L (หรือ Command + Control + Q บน Mac) ทุกครั้งที่ลุกจากโต๊ะ
  • ตั้งค่า Screen Lock อัตโนมัติหลังไม่ใช้งาน 5 นาที
ข้อควรระวัง
  • ห้ามเปิดเผยข้อมูลสำคัญต่อบุคคลที่ไม่เกี่ยวข้อง รวมถึงบุคคลในครอบครัว
  • ห้ามถ่ายภาพหน้าจอที่มีข้อมูลสำคัญแล้วส่งผ่านช่องทางส่วนตัว
5
หมวดที่ 5

ช่องทางการประชุมออนไลน์และการรักษาความปลอดภัย

ช่องทางการประชุมออนไลน์และการรักษาความปลอดภัย
5.1

แพลตฟอร์มการประชุมหลัก

เพื่อความเป็นระเบียบเรียบร้อยและความปลอดภัยในการสื่อสาร การประชุมออนไลน์ที่เกี่ยวข้องกับภารกิจของสำนักงาน ให้ใช้ระบบ Cisco Webex เป็นช่องทางหลัก หลีกเลี่ยงการใช้แพลตฟอร์มการประชุมอื่น เว้นแต่จะได้รับอนุญาตเป็นกรณีพิเศษจากหน่วยงาน

ตัวอย่างการปฏิบัติ
  • ใช้ Cisco Webex สำหรับการประชุมทุกครั้งที่เกี่ยวกับงานของสำนักงาน
ข้อควรระวัง
  • หลีกเลี่ยงการใช้ Zoom, Google Meet หรือแพลตฟอร์มอื่น เว้นแต่ได้รับอนุญาต
5.2

การจัดการห้องประชุมและสิทธิ์ผู้เข้าร่วม

ผู้จัดประชุม (Host) ควรกำหนดรหัสผ่าน (Password/Passcode) สำหรับการเข้าห้องประชุม และควบคุมสิทธิ์ผู้เข้าร่วมประชุมให้เหมาะสม ตั้งค่าให้ผู้เข้าร่วมประชุมต้องรอในห้องรับรอง (Lobby/Waiting Room) ก่อน และ Host จะเป็นผู้อนุมัติให้เข้าห้องประชุมทีละคนหลังจากตรวจสอบชื่อแล้ว

ตัวอย่างการปฏิบัติ
  • ตั้งค่า Waiting Room/Lobby ใน Webex ก่อนเริ่มประชุม
  • กำหนด Passcode สำหรับการเข้าห้องประชุม เช่น รหัส 6 หลัก
  • อนุมัติผู้เข้าร่วมทีละคนหลังตรวจสอบชื่อ
5.3

การรักษาความลับของลิงก์การประชุม

ห้ามเผยแพร่ลิงก์การประชุม (Meeting Link) และรหัสผ่านในพื้นที่สาธารณะ หรือช่องทางโซเชียลมีเดียที่บุคคลภายนอกสามารถเข้าถึงได้ ส่งลิงก์การประชุมและรหัสผ่านผ่านทางอีเมลของสำนักงาน หรือช่องทางแชทภายในองค์กรเท่านั้น ไม่โพสต์ลงใน Facebook หรือกลุ่ม Line สาธารณะ

ตัวอย่างการปฏิบัติ
  • ส่งลิงก์ประชุมผ่านอีเมลสำนักงาน หรือระบบแชทภายในองค์กร
ข้อควรระวัง
  • ห้ามโพสต์ลิงก์ประชุมใน Facebook, Line สาธารณะ หรือโซเชียลมีเดียอื่น
  • ห้ามส่งลิงก์ประชุมผ่าน Line ส่วนตัวให้บุคคลภายนอก
5.4

การตรวจสอบและยืนยันตัวตนผู้เข้าร่วม

ผู้จัดประชุมต้องตรวจสอบรายชื่อและยืนยันตัวตนผู้เข้าร่วมประชุมก่อนเริ่มการประชุมทุกครั้ง ขอให้ผู้เข้าร่วมประชุมเปิดกล้องเพื่อยืนยันตัวตนในช่วงเริ่มต้นการประชุม และตั้งชื่อ (Display Name) ให้เป็นชื่อ-นามสกุลจริง หรือระบุหน่วยงานให้ชัดเจน

ตัวอย่างการปฏิบัติ
  • ขอให้ผู้เข้าร่วมเปิดกล้องเพื่อยืนยันตัวตนในช่วงเริ่มต้น
  • ตั้ง Display Name เป็นชื่อ-นามสกุลจริง เช่น "สมชาย ใจดี - กองเทคโนโลยี"
5.5

การบันทึกการประชุม

การบันทึกภาพ เสียง หรือวิดีโอการประชุม ต้องดำเนินการตามระเบียบของสำนักงาน และต้องแจ้งให้ผู้เข้าร่วมประชุมทราบล่วงหน้า ก่อนกดปุ่ม Record ใน Webex ผู้จัดประชุมต้องกล่าวแจ้งให้ทุกคนในห้องประชุมทราบว่า "การประชุมนี้จะมีการบันทึกวิดีโอเพื่อใช้เป็นรายงานการประชุม"

ตัวอย่างการปฏิบัติ
  • กล่าวแจ้งก่อนบันทึก: "การประชุมนี้จะมีการบันทึกวิดีโอเพื่อใช้เป็นรายงานการประชุม"
  • บันทึกไฟล์การประชุมไว้ในระบบจัดเก็บของสำนักงานเท่านั้น
6
หมวดที่ 6

มาตรการการกำกับดูแล

มาตรการการกำกับดูแล
6.1

บทบาทของผู้บังคับบัญชาในการกำกับดูแล

ให้ผู้บังคับบัญชาสอดส่องดูแลผู้ใต้บังคับบัญชาตามลำดับชั้นให้รับทราบและถือปฏิบัติตามแนวปฏิบัตินี้โดยเคร่งครัด โดยผู้บังคับบัญชาแต่ละระดับมีหน้าที่แจ้งให้ผู้ใต้บังคับบัญชารับทราบแนวปฏิบัติฉบับนี้ ติดตามและกำกับดูแลให้มีการปฏิบัติตามอย่างสม่ำเสมอ รวมถึงรายงานปัญหาหรือเหตุการณ์ด้านความปลอดภัยต่อฝ่ายเทคโนโลยีสารสนเทศโดยทันที

ตัวอย่างการปฏิบัติ
  • ผู้อำนวยการสำนัก/กอง แจ้งเวียนแนวปฏิบัตินี้ให้พนักงานในสังกัดทุกคนรับทราบผ่านอีเมลหรือระบบสารบรรณ
  • หัวหน้ากลุ่มงานตรวจสอบว่าพนักงานในทีมปฏิบัติตามแนวปฏิบัติ เช่น ใช้ Cisco Webex ในการประชุม และไม่ใช้ Wi-Fi สาธารณะ
  • เมื่อพบว่าพนักงานใช้อุปกรณ์สาธารณะเข้าระบบ ผู้บังคับบัญชาแจ้งเตือนและรายงานฝ่าย IT ทันที
6.2

การรายงานลักษณะการปฏิบัติงานประจำวัน

พนักงานที่ปฏิบัติงานนอกสถานที่ต้องรายงานลักษณะการใช้อุปกรณ์และสภาพแวดล้อมในการทำงานของแต่ละวันให้ผู้บังคับบัญชาทราบ เพื่อให้สามารถติดตามและประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลได้อย่างทันท่วงที

ตัวอย่างการปฏิบัติ
  • รายงานผ่าน LINE กลุ่มสำนัก/กอง ทุกเช้าก่อนเริ่มงาน เช่น "วันนี้ทำงานที่บ้าน ใช้โน้ตบุ๊กสำนักงาน เชื่อมต่อ Wi-Fi บ้านส่วนตัว"
  • หากมีการเปลี่ยนสถานที่ทำงานระหว่างวัน ให้แจ้งผู้บังคับบัญชาทราบ เช่น "ช่วงบ่ายย้ายไปทำงานที่ Co-working Space ใช้ Personal Hotspot"
  • กรณีพบปัญหาด้านความปลอดภัย เช่น ได้รับอีเมล Phishing หรืออุปกรณ์ทำงานผิดปกติ ให้แจ้งผู้บังคับบัญชาและฝ่าย IT ทันที
6.3

การตรวจสอบและประเมินผลการปฏิบัติ

ฝ่ายเทคโนโลยีสารสนเทศอาจดำเนินการตรวจสอบการปฏิบัติตามแนวปฏิบัตินี้เป็นระยะ เพื่อให้มั่นใจว่าพนักงานทุกคนปฏิบัติตามมาตรการที่กำหนดอย่างครบถ้วน หากพบว่ามีการฝ่าฝืนหรือไม่ปฏิบัติตาม อาจดำเนินการตามระเบียบของสำนักงานต่อไป

ตัวอย่างการปฏิบัติ
  • ฝ่าย IT ตรวจสอบ Log การเข้าใช้ระบบเป็นรายเดือน เพื่อดูว่ามีการเข้าถึงจาก IP หรืออุปกรณ์ที่ไม่ปลอดภัยหรือไม่
  • จัดทำแบบสำรวจการปฏิบัติตามแนวปฏิบัติ WFH เป็นรายไตรมาส
ข้อควรระวัง
  • การฝ่าฝืนแนวปฏิบัตินี้อาจถูกดำเนินการทางวินัยตามระเบียบของสำนักงาน
  • หากเกิดเหตุละเมิดข้อมูลอันเนื่องมาจากการไม่ปฏิบัติตามแนวปฏิบัติ พนักงานอาจต้องรับผิดชอบตามกฎหมายที่เกี่ยวข้อง

สรุปตัวอย่างการปฏิบัติที่สำคัญ

หัวข้ออ้างอิงแนวปฏิบัติหลักตัวอย่างการปฏิบัติที่ชัดเจน
1.1, 1.2, 1.3เข้าใช้งานผ่านเว็บไซต์ที่กำหนด และยืนยันตัวตนผ่าน ThaiDพิมพ์ URL โดยตรง, สแกน QR Code ผ่านแอป ThaiD, ไม่จดรหัสผ่านแปะหน้าจอ
2.1, 2.2, 2.3ใช้อุปกรณ์ที่ปลอดภัย อัปเดตสม่ำเสมอ และมี Anti-virusแยก User Profile สำหรับทำงาน, ตั้งค่าอัปเดตอัตโนมัติ, ไม่ใช้คอมพิวเตอร์สาธารณะ
3.1, 3.2ใช้เครือข่ายส่วนบุคคลที่ปลอดภัย หลีกเลี่ยง Public Wi-Fiตั้งรหัสผ่าน Wi-Fi บ้านให้เดายาก, ใช้ Personal Hotspot แทน Wi-Fi ร้านกาแฟ
4.1, 4.2, 4.3ใช้งานผ่านระบบหน่วยงาน ระวังการเปิดเผยข้อมูลสำคัญแก้ไขเอกสารผ่านระบบ DMS, เข้ารหัสไฟล์ที่ดาวน์โหลด, ล็อกหน้าจอเมื่อลุกจากโต๊ะ
5.1 - 5.5ใช้ Cisco Webex เป็นหลัก กำหนดรหัสผ่านและตรวจสอบผู้เข้าร่วมตั้งค่า Waiting Room, ส่งลิงก์ผ่านอีเมลภายใน, เปิดกล้องยืนยันตัวตน, แจ้งก่อนบันทึก
6.1, 6.2, 6.3ผู้บังคับบัญชากำกับดูแลตามลำดับชั้น พนักงานรายงานการปฏิบัติงานประจำวันรายงานผ่าน LINE กลุ่มสำนักทุกเช้า, แจ้งเมื่อเปลี่ยนสถานที่ทำงาน, ฝ่าย IT ตรวจสอบ Log รายเดือน