PM กับกระบวนการสร้างคุณค่า (ต่อ)

การกำหนดสิทธิ์ในการเข้าถึงแฟ้มข้อมูลผู้ใช้งาน

หลังจากที่ได้จัดทำระบบบริการศูนย์การเรียนรู้ด้วยตนเองขึ้นมาแล้ว แม้ว่าจะมีระบบสารสนเทศและเทคโนโลยีที่ทันสมัย แต่นั่นก็ไม่ได้หมายความว่าระบบจะมีความปลอดภัย 100% ดังนั้น จึงมีการกำหนดนโยบาย หรือขั้นตอนการทำงาน (Flow) ร่วมด้วยเพื่อให้ระบบการทำงานมีความรัดกุม และน่าเชื่อถือ สามารถตรวจสอบได้มากยิ่งขึ้น ดังนี้

1. การควบคุมการเข้าถึงระบบสารสนเทศ (Access Control) เพื่อปกป้องการร่วงล้ำเข้าสู่ระบบสารสนเทศของผู้ไม่มีหน้าที่เกี่ยวข้องหรือผู้ไม่ประสงค์ดี จะอนุญาตให้ผู้หน้าที่เกี่ยวข้องหรือผู้เป็นเจ้าของเท่านั้นที่สามารถเข้าถึงข้อมูลและระบบสารสนเทศและกระทำการใดๆ กับข้อมูลหรือระบบสารสนเทศตามสิทธิ์ที่ของตนเอง โดย

  • การแบ่งแยกหน้าที่ความรับผิดชอบ การดำเนินกิจกรรมขององค์กร ขั้นตอนต่างๆ ไม่ควรถูกดำเนินการโดยบุคคลคนเดียวตั้งแต่เริ่มต้นจนสิ้นสุดกระบวนการ ควรมีการพิจารณาแบ่งแยกหน้าที่ความรับผิดชอบในแต่ละขั้นตอนให้แก่บุคคลที่มีความเหมาะสมเพื่อให้ความเสียหายหรือการฉ้อฉลที่เกิดขึ้นในระหว่างการดำเนินการสามารถถูกค้นพบได้และแก้ไขได้ทันเวลา
  • การกำหนดสิทธิแบบพอเพียง ทำให้สามารถปฏิบัติหน้าที่ที่ได้รับมอบหมายอย่างถูกต้องสมบูรณ์และสิทธิที่ได้รับต้องไม่เกินความจำเป็นในการใช้งาน
  • การจัดการเข้าถึงของผู้ใช้งานสารสนเทศ * การลงทะเบียนผู้ใช้งาน โดยพิจารณาความเหมาะสม ตามความจำเป็นในการใช้งาน
    • ควรเปลี่ยนรหัสผ่านทันทีหลังจากการติดตั้งและปรับแต่งระบบ และมีการเปลี่ยนรหัสผ่านทุก ๆ 60 วัน
    • มีการพิจารณาทบทวนสิทธิการเข้าถึงของผู้ใช้งานสารสนเทศ ทุก 3 เดือน
    • ยูสเซอร์ไอดีของผู้ใช้งานสารสนเทศถือเป็นความลับ ผู้ใช้งานสารสนเทศไม่ควรเปิดเผยให้ผู้อื่นได้รับทราบ
    • ผู้ใช้งานไม่ควรส่งรหัสผ่านของไอดีที่มีสิทธิพิเศษผ่านทางอีเมล์ที่ปราศจากการเข้ารหัส
  • การเข้าถึงแอพพลิเคชั่น
    • ควรกำหนดสิทธิให้แก่ผู้ใช้งาน โดยจัดทำเอกสารระบุสิทธิในการดำเนินการกับข้อมูล เช่น อ่าน แก้ไข ลบ หรือพิมพ์
    • ควรตรวจสอบไม่ให้ฟังก์ชันการทำงานเปิดโอกาสให้ผู้ใช้งานสามารถเข้าถึงข้อมูลอื่นที่ผู้ใช้งานไม่มีความจำเป็นหรือไม่เกี่ยวข้องกับหน้าที่
    • การเข้าถึงแอพพลิเคชั่นเพื่อการบริหารจัดการ ควรจำกัดสิทธิให้เข้าถึงระบบในส่วนที่จำเป็นและไม่ควรเข้าถึงส่วนที่เป็นข้อมูลทางธุรกิจ

2. การคุ้มครองความเป็นส่วนตัวของข้อมูลสารสนเทศ การคุ้มครองความเป็นส่วนตัวของข้อมูลสารสนเทศ คือ สิทธิในการตัดสินใจว่าเมื่อใดข้อมูลสารสนเทศของบุคคลหนึ่ง จะสามารถเปิดเผยให้กับผู้อื่นได้ และภายใต้ขอบเขตของกฎหมาย โดยจะคำนึงถึงหลักการดังนี้

  • การคุ้มครองข้อมูลส่วนบุคคล
    • ข้อมูลส่วนบุคคลจะถูกเก็บรวบรวมด้วยความเป็นธรรมและชอบด้วยกฎหมาย
    • มีการใช้ข้อมูลเพื่อวัตถุประสงค์ของการเก็บรวบรวมเท่านั้น
    • เจ้าของข้อมูลสามารถเข้าตรวจสอบดูได้
    • มีการรักษาความปลอดภัยในทุกขั้นตอนที่เกี่ยวข้องกับข้อมูล
    • ทำลายหลังจากใช้แล้ว
  • ความถูกต้องแม่นยำของข้อมูล
    • ข้อมูลส่วนตัว จะได้รับการตรวจสอบก่อนจะนำเข้าสู่ฐานข้อมูล
    • ข้อมูลมีความถูกต้องแม่นยำ และมีความทันสมัย
  • ความลับของข้อมูล
    • มีมาตรการป้องกันความปลอดภัยของข้อมูลบุคคล ไม่ว่าจะเป็นทางด้านเทคนิค และการบริหาร
    • บุคคลที่สามไม่สมควรได้รับอนุญาตให้เข้าถึงข้อมูลโดยปราศจากการรับรู้หรืออนุญาตของเจ้าของ ยกเว้นโดยข้อกำหนดของกฎหมาย
    • ข้อมูลไม่ควรถูกเปิดเผยด้วยเหตุผลที่ไม่ตรงกับวัตถุประสงค์ในการเก็บข้อมูล
ตัวชี้วัดที่สำคัญที่ใช้ในการควบคุมและปรับปรุงกระบวนการ
  • ระดับความพึงพอใจของผู้รับบริการ
  • ระยะเวลาในตรวจสอบสิทธิ์การเข้าใช้บริการ
  • ขั้นตอนการทำงานลดลง
  • ความครบถ้วนถูกต้องของรายงานผลการให้บริการ
การจัดการกระบวนการไปสู่การปฎิบัติ
  • จัดทำแผนการปฎิบัติงาน
  • จัดทำคู่มือการปฎิบัติงานและนำไปปฎิบัติ
  • จัดกลุ่มแลกเปลี่ยนเรียนรู้
  • แจ้งหน่วยงาน/คณะด้วยหนังสือเวียน ประกาศ ข่าว ประชาสัมพันธ์
  • ประเมินผลการใช้งานระบบจากแบบสอบถามออนไลน์
  • บำรุงรักษา/ปรับปรุงพัฒนาระบบ

< หน้าก่อนนี้ | หน้าถัดไป >