นโยบายความมั่นคงด้านสารสนเทศ
การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities)
เรื่องการใช้งานรหัสผ่าน (Password Use)
กำหนดแนวปฏิบัติที่ดีสำหรับผู้ใช้งานในการกำหนดรหัสผ่าน การใช้งานรหัสผ่าน และการเปลี่ยนรหัสผ่านที่มีคุณภาพ
1. ผู้ใช้งานต้องเปลี่ยนรหัสผ่านชั่วคราวทันทีเมื่อเข้าใช้งานระบบสารสนเทศครั้งแรก
2. ผู้ใช้งานต้องกำหนดรหัสผ่านที่ยากต่อการคาดเดาและเป็นไปตามข้อกำหนดของแต่ละระบบสารสนเทศ
3. ผู้ใช้งานต้องกำหนดรหัสผ่าน โดยกำหนดรหัสผ่านต้องมีความยาวไม่น้อยกว่า 8 ตัวอักษร และประกอบด้วย 3 ใน 5 อย่างดังต่อไปนี้
3.1 ตัวอักษรพิมพ์ใหญ่ภาษาอังกฤษ
3.2 ตัวอักษรพิมพ์เล็กภาษาอังกฤษ
3.3 ตัวเลข
3.4 สัญลักษณ์พิเศษ
3.5 ตัวอักษร Unicode เช่น ตัวอักษรภาษาไทยหรือภาษาอังกฤษ
4. ไม่ใช้รหัสผ่านส่วนบุคคลร่วมกับบุคคลอื่น
5. เก็บรักษารหัสผ่านของตัวเองไว้เป็นความลับ ไม่จดหรือบันทึกรหัสผ่านส่วนบุคคลไว้ในสถานที่ที่บุคคลอื่นสังเกตเห็นได้ง่าย และไม่กำหนดให้มีการบันทึกหรือช่วยจำรหัสผ่านส่วนบุคคลในระบบคอมพิวเตอร์
6. กรณีที่มีความจำเป็นต้องบอกรหัสผ่านแก่ผู้อื่นเพื่อปฏิบัติหน้าที่แทน หลังจากการปฏิบัติหน้าที่นั้นเสร็จสิ้นให้ทำการเปลี่ยนรหัสผ่านในทันที
7.เปลี่ยนรหัสผ่านตามรอบระยะเวลาที่กำหนด หรืออย่างน้อยทุก 6 เดือน
8. หลีกเลี่ยงการใช้รหัสผ่านเดิมที่เคยใช้ไปแล้ว
9. ผู้ใช้งานที่ได้รับสิทธิให้เป็นผู้ดูแลระบบต้องเปลี่ยนรหัสผ่านอย่างน้อยทุก 3 เดือน