การกำหนดสิทธิ์ในการเข้าถึงแฟ้มข้อมูลผู้ใช้งาน
หลังจากที่ได้จัดทำระบบบริการศูนย์การเรียนรู้ด้วยตนเองขึ้นมาแล้ว แม้ว่าจะมีระบบสารสนเทศและเทคโนโลยีที่ทันสมัย แต่นั่นก็ไม่ได้หมายความว่าระบบจะมีความปลอดภัย 100% ดังนั้น จึงมีการกำหนดนโยบาย หรือขั้นตอนการทำงาน (Flow) ร่วมด้วยเพื่อให้ระบบการทำงานมีความรัดกุม และน่าเชื่อถือ สามารถตรวจสอบได้มากยิ่งขึ้น ดังนี้
1. การควบคุมการเข้าถึงระบบสารสนเทศ (Access Control) เพื่อปกป้องการร่วงล้ำเข้าสู่ระบบสารสนเทศของผู้ไม่มีหน้าที่เกี่ยวข้องหรือผู้ไม่ประสงค์ดี จะอนุญาตให้ผู้หน้าที่เกี่ยวข้องหรือผู้เป็นเจ้าของเท่านั้นที่สามารถเข้าถึงข้อมูลและระบบสารสนเทศและกระทำการใดๆ กับข้อมูลหรือระบบสารสนเทศตามสิทธิ์ที่ของตนเอง โดย
- การแบ่งแยกหน้าที่ความรับผิดชอบ การดำเนินกิจกรรมขององค์กร ขั้นตอนต่างๆ ไม่ควรถูกดำเนินการโดยบุคคลคนเดียวตั้งแต่เริ่มต้นจนสิ้นสุดกระบวนการ ควรมีการพิจารณาแบ่งแยกหน้าที่ความรับผิดชอบในแต่ละขั้นตอนให้แก่บุคคลที่มีความเหมาะสมเพื่อให้ความเสียหายหรือการฉ้อฉลที่เกิดขึ้นในระหว่างการดำเนินการสามารถถูกค้นพบได้และแก้ไขได้ทันเวลา
- การกำหนดสิทธิแบบพอเพียง ทำให้สามารถปฏิบัติหน้าที่ที่ได้รับมอบหมายอย่างถูกต้องสมบูรณ์และสิทธิที่ได้รับต้องไม่เกินความจำเป็นในการใช้งาน
- การจัดการเข้าถึงของผู้ใช้งานสารสนเทศ * การลงทะเบียนผู้ใช้งาน โดยพิจารณาความเหมาะสม ตามความจำเป็นในการใช้งาน
- ควรเปลี่ยนรหัสผ่านทันทีหลังจากการติดตั้งและปรับแต่งระบบ และมีการเปลี่ยนรหัสผ่านทุก ๆ 60 วัน
- มีการพิจารณาทบทวนสิทธิการเข้าถึงของผู้ใช้งานสารสนเทศ ทุก 3 เดือน
- ยูสเซอร์ไอดีของผู้ใช้งานสารสนเทศถือเป็นความลับ ผู้ใช้งานสารสนเทศไม่ควรเปิดเผยให้ผู้อื่นได้รับทราบ
- ผู้ใช้งานไม่ควรส่งรหัสผ่านของไอดีที่มีสิทธิพิเศษผ่านทางอีเมล์ที่ปราศจากการเข้ารหัส
- การเข้าถึงแอพพลิเคชั่น
- ควรกำหนดสิทธิให้แก่ผู้ใช้งาน โดยจัดทำเอกสารระบุสิทธิในการดำเนินการกับข้อมูล เช่น อ่าน แก้ไข ลบ หรือพิมพ์
- ควรตรวจสอบไม่ให้ฟังก์ชันการทำงานเปิดโอกาสให้ผู้ใช้งานสามารถเข้าถึงข้อมูลอื่นที่ผู้ใช้งานไม่มีความจำเป็นหรือไม่เกี่ยวข้องกับหน้าที่
- การเข้าถึงแอพพลิเคชั่นเพื่อการบริหารจัดการ ควรจำกัดสิทธิให้เข้าถึงระบบในส่วนที่จำเป็นและไม่ควรเข้าถึงส่วนที่เป็นข้อมูลทางธุรกิจ
2. การคุ้มครองความเป็นส่วนตัวของข้อมูลสารสนเทศ การคุ้มครองความเป็นส่วนตัวของข้อมูลสารสนเทศ คือ สิทธิในการตัดสินใจว่าเมื่อใดข้อมูลสารสนเทศของบุคคลหนึ่ง จะสามารถเปิดเผยให้กับผู้อื่นได้ และภายใต้ขอบเขตของกฎหมาย โดยจะคำนึงถึงหลักการดังนี้
- การคุ้มครองข้อมูลส่วนบุคคล
- ข้อมูลส่วนบุคคลจะถูกเก็บรวบรวมด้วยความเป็นธรรมและชอบด้วยกฎหมาย
- มีการใช้ข้อมูลเพื่อวัตถุประสงค์ของการเก็บรวบรวมเท่านั้น
- เจ้าของข้อมูลสามารถเข้าตรวจสอบดูได้
- มีการรักษาความปลอดภัยในทุกขั้นตอนที่เกี่ยวข้องกับข้อมูล
- ทำลายหลังจากใช้แล้ว
- ความถูกต้องแม่นยำของข้อมูล
- ข้อมูลส่วนตัว จะได้รับการตรวจสอบก่อนจะนำเข้าสู่ฐานข้อมูล
- ข้อมูลมีความถูกต้องแม่นยำ และมีความทันสมัย
- ความลับของข้อมูล
- มีมาตรการป้องกันความปลอดภัยของข้อมูลบุคคล ไม่ว่าจะเป็นทางด้านเทคนิค และการบริหาร
- บุคคลที่สามไม่สมควรได้รับอนุญาตให้เข้าถึงข้อมูลโดยปราศจากการรับรู้หรืออนุญาตของเจ้าของ ยกเว้นโดยข้อกำหนดของกฎหมาย
- ข้อมูลไม่ควรถูกเปิดเผยด้วยเหตุผลที่ไม่ตรงกับวัตถุประสงค์ในการเก็บข้อมูล
ตัวชี้วัดที่สำคัญที่ใช้ในการควบคุมและปรับปรุงกระบวนการ
- ระดับความพึงพอใจของผู้รับบริการ
- ระยะเวลาในตรวจสอบสิทธิ์การเข้าใช้บริการ
- ขั้นตอนการทำงานลดลง
- ความครบถ้วนถูกต้องของรายงานผลการให้บริการ
การจัดการกระบวนการไปสู่การปฎิบัติ
- จัดทำแผนการปฎิบัติงาน
- จัดทำคู่มือการปฎิบัติงานและนำไปปฎิบัติ
- จัดกลุ่มแลกเปลี่ยนเรียนรู้
- แจ้งหน่วยงาน/คณะด้วยหนังสือเวียน ประกาศ ข่าว ประชาสัมพันธ์
- ประเมินผลการใช้งานระบบจากแบบสอบถามออนไลน์
- บำรุงรักษา/ปรับปรุงพัฒนาระบบ