5. หลักการรักษาความมั่นคงปลอดภัยของข้อมูล

5.1 การรักษาความมั่นคงปลอดภัยของข้อมูลที่จัดเก็บในระบบเอกสารปกติ

บริษัท ได้กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่จัดเก็บเป็นเอกสาร (Hard Copy) ไว้เป็นการเฉพาะ กล่าวคือ

5.1.1 ระบบการเก็บข้อมูลส่วนบุคคลตามประเภทของเจ้าของข้อมูลส่วนบุคคล

5.1.2 กำหนดให้ผู้ที่จัดเก็บหรือบันทึกข้อมูลส่วนบุคคลเป็นผู้รับผิดชอบในการเข้าถึงซึ่งข้อมูลส่วนบุคคลนั้นเพียงผู้เดียว

5.1.3 ผู้ที่ไม่มีหน้าที่เกี่ยวข้องหรือไม่มีอำนาจ ไม่อาจเข้าถึง นำไปใช้ ส่งต่อ หรือเปิดเผย หรือแก้ไข ลบ ทำลายได้

5.1.4 มีการกำหนดระยะเวลาในการจัดเก็บเอกสารที่มีข้อมูลส่วนบุคคลแต่ละประเภทอย่างชัดเจน รวมถึงวิธีการลบ ทำลาย ตลอดจนระบบการ

ตรวจสอบการลบ ทำลายข้อมูลส่วนบุคคลดังกล่าวเมื่อพ้นระยะเวลาการจัดเก็บตามที่กำหนด

5.1.5 กำหนดให้มีกิจกรรมการตรวจสอบภายในเพื่อให้มั่นใจว่ากระบวนการควบคุม วิธีดำเนินการต่าง ๆ จะยังคงยึดมั่นไว้อย่างมีประสิทธิภาพ

5.1.6 กำหนดให้การละเมิดข้อมูลส่วนบุคคลเป็นความผิดวินัยในกรณีร้ายแรง

5.1.7 มีระเบียบปฏิบัติเกี่ยวกับการแจ้งเหตุกรณีที่พบว่ามีการละเมิดข้อมูลส่วนบุคคลแก่เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือผู้มีหน้าที่เกี่ยวข้อง

หรือผู้มีอำนาจสูงสุดของบริษัทเพื่อสั่งการให้มีการแก้ไขเหตุการณ์ดังกล่าวโดยรวดเร็ว

5.2 การรักษาความมั่นคงปลอดภัยของข้อมูลที่จัดเก็บในระบบอิเล็กทรอนิกส์

บริษัท ได้กำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลโดยคำนึงถึงสิทธิขั้นพื้นฐานของข้อมูลส่วนบุคคลของผู้มีส่วนเกี่ยวข้อง ด้วยการออกแบบระบบสารสนเทศและระบบเครือข่ายและคอมพิวเตอร์ให้มีความมั่นคงปลอดภัยอย่างเหมาะสมที่สุด เพื่อสนับสนุนการดำเนินงานของบริษัทได้อย่างต่อเนื่อง สอดคล้องกับบทบัญญัติของกฎหมายที่เกี่ยวข้อง รวมทั้งเป็นการป้องกันภัยคุกคามที่อาจก่อให้เกิดความเสียหายแก่บริษัท

  1. จัดให้มีการกำหนดนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศเป็นลายลักษณ์อักษร และสื่อสารนโยบายดังกล่าวเพื่อสร้างความเข้าใจและสามารถปฏิบัติตามได้อย่างถูกต้อง โดยเฉพาะอย่างยิ่งระหว่างหน่วยงานด้านเทคโนโลยีสารสนเทศและหน่วยงานด้านอื่นภายในบริษัท เพื่อให้มีการประสานงานและสามารถดำเนินธุรกิจได้ตามเป้าหมายที่ตั้งไว้
  2. กำหนดผู้ที่มีหน้าที่และความรับผิดชอบในการบริหารและจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศไว้เป็นการเฉพาะ เพื่อให้มั่นใจว่าบริษัทสามารถจัดหาวิธีการหรือแนวทางด้านเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงหรือจัดการความเสี่ยงที่มีอยู่
  3. บริษัทได้กำหนดความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศเพื่อครอบคลุมความเสี่ยงที่สำคัญอันอาจกระทบต่อธุรกิจ เจ้าของข้อมูลส่วนบุคคล ไม่ว่าจะเป็น ความเสี่ยงจากบุคลากร จาก Software และข้อมูล จากระบบเครือข่ายและอินเตอร์เน็ต จากอุปกรณ์คอมพิวเตอร์ จากการโจรกรรม จากกระแสไฟฟ้าขัดข้อง และจากภาวะโรคระบาด
  4. 4. กำหนดวิธีการหรือเครื่องมือในการบริหารและจัดการความเสี่ยงให้อยู่ในระดับที่บริษัทยอมรับได้จัดทำตารางลักษณะรายละเอียดตามความ

เสี่ยง โดยมีหัวเรื่อง ชื่อความเสี่ยง ประเภทความเสี่ยง ลักษณะความเสี่ยง ปัจจัยความเสี่ยง และผลกระทบ เป็นต้น กำหนดระดับโอกาสการเกิดเหตุการณ์และระดับความรุนแรงของผลกระทบความเสี่ยง รวมถึงการทำแผนภูมิความเสี่ยง

  1. 5. กำหนดตัวชี้วัดระดับความเสี่ยงด้านเทคโนโลยีสารสนเทศ รวมถึงจัดให้มีการติดตามและรายงานผลตัวชี้วัดต่อผู้ที่มีหน้าที่รับผิดชอบ เพื่อให้สามารถบริหารและจัดการความเสี่ยงได้อย่างเหมาะสมและทันต่อเหตุการณ์
  2. 6. ห้ามบุคลากรของบริษัทใช้เครือข่ายคอมพิวเตอร์ เพื่อกระทำการอันผิดกฎหมายและขัดต่อศีลธรรมอันดีของสังคม เช่น การจัดทำเว็บไซต์เพื่อดำเนินการค้าขาย หรือเผยแพร่สิ่งที่ผิดกฎหมาย หรือขัดต่อศีลธรรมอันดี เป็นต้น
  3. 7. ไม่อนุญาตให้ใช้เครือข่ายคอมพิวเตอร์ หรือเครื่องคอมพิวเตอร์ ด้วยชื่อบัญชีผู้ใช้ของผู้อื่น ทั้งที่ได้รับอนุญาต และไม่ได้รับอนุญาตจากเจ้าของชื่อบัญชีผู้ใช้
  4. 8. ห้ามเข้าใช้ระบบคอมพิวเตอร์และข้อมูลที่มีการป้องกันการเข้าถึงของผู้อื่น เพื่อแก้ไข ลบ เพิ่มเติม หรือคัดลอก
  5. 9. ห้ามเผยแพร่ข้อมูลของผู้อื่น หรือของหน่วยงาน โดยไม่ได้รับอนุญาตจากผู้เป็นเจ้าของข้อมูลนั้น ๆ
  6. 10. ห้ามผู้ใดก่อกวน ขัดขวาง หรือทำลายให้ทรัพยากรและเครือข่ายคอมพิวเตอร์ของบริษัทเกิดความเสียหาย เช่น การส่งไวรัสคอมพิวเตอร์ การป้อนโปรแกรมที่ทำให้เครื่องคอมพิวเตอร์หรืออุปกรณ์เครือข่ายปฏิเสธการทำงาน เป็นต้น
  7. 11. ห้ามผู้ใดลักลอบดักรับข้อมูลในเครือข่ายคอมพิวเตอร์ของบริษัท และของผู้อื่นที่อยู่ระหว่างการรับและส่งในเครือข่ายคอมพิวเตอร์
  8. 12. ก่อนการใช้งานสื่อบันทึกพกพาต่าง ๆ หรือเปิดไฟล์ที่แนบมากับจดหมายอิเล็กทรอนิกส์ หรือไฟล์ที่ดาวน์โหลดมาจากอินเทอร์เน็ต มีระบบตรวจสกัดกั้น คัดกรองข้อมูล ข้อมูลไม่พึงประสงค์และแจ้งเตือนก่อนทำการบันทึกข้อมูล
  9. 13. มอบหมายหน้าที่ให้กับผู้ใช้งานในฝ่ายเทคโนโลยี รับผิดชอบการดูแลระบบสารสนเทศที่บริษัทใช้งานให้มีความมั่นคงปลอดภัยของระบบสารสนเทศ และควบคุมการปฏิบัติงาน เพื่อให้คงไว้ซึ่งนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศของบริษัท
  10. 14. พนักงานของบริษัททุกคนต้องรับผิดชอบในการปฏิบัติตามนโยบายและแนวปฏิบัติของบริษัท ในการรักษาความมั่นคงปลอดภัยระบบสารสนเทศของบริษัท รวมทั้งจะต้องไม่กระทำการละเมิดต่อกฎหมายที่เกี่ยวข้องกับการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
  11. 15. ไม่อนุญาตให้ผู้ใช้งานติดตั้ง แก้ไข เปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอร์ของบริษัท เว้นแต่ได้รับคำปรึกษาหรือคำแนะนำจากผู้ดูแลระบบ หรือได้รับอนุญาตจากผู้มีอำนาจสูงสุดของหน่วยงาน
  12. 16. กำหนดเส้นทางการเชื่อมต่อระบบเครือข่ายเพื่อการเข้าใช้งานระบบอินเทอร์เน็ต โดยต้องผ่านระบบรักษาความปลอดภัย ได้แก่ Firewall หรือ Proxy โดยเครื่องคอมพิวเตอร์ของบริษัทก่อนทำการเชื่อมต่อระบบเครือข่าย ต้องมีการติดตั้งโปรแกรมป้องกันไวรัสและทำการอุดช่องโหว่ของระบบปฏิบัติการก่อน และภายหลังจากใช้งานระบบอินเทอร์เน็ตเสร็จแล้ว ให้ผู้ใช้งานทำการปิดเว็บบราวเซอร์เพื่อป้องกันการเข้าใช้งานโดยบุคคลอื่น
  13. 17. ผู้ใช้งานต้องเข้าถึงแหล่งข้อมูลตามสิทธิ์ที่ได้รับตามหน้าที่ความรับผิดชอบเพื่อประสิทธิภาพของระบบเครือข่ายและความปลอดภัยของบริษัท โดยห้ามผู้ใช้งานเปิดเผยข้อมูลสำคัญที่เป็นความลับของบริษัท ยกเว้นเป็นไปตามหลักเกณฑ์การเปิดเผยอย่างเป็นทางการของบริษัท รวมถึงการตรวจสอบความถูกต้องและความน่าเชื่อถือของข้อมูลคอมพิวเตอร์ที่อยู่บนอินเทอร์เน็ตก่อนนำไปใช้งาน
  14. 18. ผู้ใช้งานจะต้องใช้ระบบอินเทอร์เน็ต ในลักษณะที่ไม่เป็นการละเมิดของบุคคลอื่น ๆ และจะต้องไม่ก่อให้เกิดความเสียหายขึ้นต่อบริษัท รวมทั้งจะต้องไม่กระทำการใดอันเข้าข่ายความผิดตามพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือกฎหมายที่เกี่ยวข้องโดยเด็ดขาด ทั้งนี้ การใช้ระบบอินเทอร์เน็ตเพื่อการปฏิบัติงานของบริษัทในทุกกรณี ผู้ใช้งานจะต้องปฏิบัติตามขั้นตอนการปฏิบัติที่บริษัทกำหนดไว้อย่างเคร่งครัด
  15. 19. จัดลำดับชั้นความลับของข้อมูล ต้องมีการแบ่งประเภทของข้อมูลตามภารกิจและการจัดลำดับความสำคัญของข้อมูล กำหนดวิธีบริหารจัดการกับข้อมูลแต่ละประเภท รวมถึงกำหนดวิธีปฏิบัติกับข้อมูลสำคัญสำหรับการจัดเก็บ การถ่ายโอน การทําซ้ำ การเปลี่ยนแปลง การเผยแพร่และการลบ โดยการรับส่งข้อมูลต้องได้รับการเข้ารหัสที่เป็นมาตรฐานสากล หรือเป็นวิธีที่บริษัทกำหนด ผู้ใช้ปลายทางทั้งหมดที่ใช้ข้อมูลจะต้องจัดการข้อมูลบริษัทในลักษณะที่ไม่มีผลลัพธ์เชิงลบเกิดขึ้นกับบริษัท
  16. 20. มีมาตรการควบคุมความถูกต้องของข้อมูลที่จัดเก็บ นำเข้า ประมวลผล และแสดงผล ในกรณีที่มีการจัดเก็บข้อมูลเดียวกันไว้หลายที่ หรือมีการจัดเก็บชุดข้อมูลที่มีความสัมพันธ์กัน ต้องมีการควบคุมให้ข้อมูลมีความถูกต้องครบถ้วนตรงกัน รวมถึงมาตรการรักษาความปลอดภัยข้อมูลในกรณีที่นำเครื่องคอมพิวเตอร์ออกนอกพื้นที่ของบริษัท เช่น ส่งซ่อม เป็นต้น หรือทำลายข้อมูลที่เก็บอยู่ในสื่อบันทึกก่อน
  17. 21. มีการควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูล โดยคำนึงถึงการใช้งานและความมั่นคงปลอดภัยในการใช้งานระบบสารสนเทศ กำหนดกฎเกณฑ์ที่เกี่ยวกับการอนุญาตให้เข้าถึง กำหนดสิทธิ์เพื่อให้ผู้ใช้งานในทุกระดับได้รับรู้ เข้าใจ และสามารถปฏิบัติตามแนวทางที่กำหนดโดยเคร่งครัด และตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ โดยกำหนดสิทธิ์การใช้ข้อมูลและระบบสารสนเทศ เช่น สิทธิ์การใช้โปรแกรมระบบสารสนเทศ สิทธิ์การใช้งานอินเทอร์เน็ต เป็นต้น ให้แก่ผู้ใช้งานให้เหมาะสมกับหน้าที่และความรับผิดชอบ โดยต้องให้สิทธิ์เฉพาะเท่าที่จำเป็นแก่การปฏิบัติหน้าที่ และได้รับความเห็นชอบจากผู้มีอำนาจหน้าที่เป็นลายลักษณ์อักษร รวมทั้งทบทวนสิทธิ์ดังกล่าวอย่างสม่ำเสมอ
  18. 22. กรณีที่มีความจำเป็นที่ผู้ใช้งานซึ่งเป็นเจ้าของข้อมูลสำคัญมีการให้สิทธิ์ผู้ใช้งานรายอื่นให้สามารถเข้าถึงหรือแก้ไขเปลี่ยนแปลงข้อมูลของตนเองได้ เช่น การ Share Files เป็นต้น จะต้องเป็นการให้สิทธิ์เฉพาะรายหรือเฉพาะกลุ่มเท่านั้น และต้องยกเลิกการให้สิทธิ์ดังกล่าวในกรณีที่ไม่มีความจำเป็นแล้ว และเจ้าของข้อมูลต้องมีหลักฐานการให้สิทธิ์ดังกล่าว และต้องกำหนดระยะเวลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว
  19. 23. กรณีที่มีความจำเป็นต้องให้สิทธิ์บุคคลอื่น ให้มีสิทธิ์ใช้งานระบบสารสนเทศและระบบเครือข่ายในลักษณะฉุกเฉินหรือชั่วคราว ต้องมีขั้นตอนหรือวิธีปฏิบัติ และต้องมีการขออนุมัติจากผู้มีอำนาจหน้าที่ทุกครั้ง บันทึกเหตุผลและความจำเป็น รวมถึงต้องกำหนดระยะเวลาการใช้งาน และระงับการใช้งานทันทีเมื่อพ้นระยะเวลาดังกล่าว
  20. 24. มีระบบตรวจสอบตัวตนจริงและสิทธิ์การเข้าใช้งานของผู้ใช้งาน ก่อนเข้าสู่ระบบสารสนเทศที่รัดกุมเพียงพอ เช่น กำหนดรหัสผ่านให้ยากแก่การคาดเดา เป็นต้น และต้องกำหนดให้ผู้ใช้งานแต่ละรายมีบัญชีผู้ใช้งานเป็นของตนเอง ทั้งนี้ การพิจารณาว่าการกำหนดรหัสผ่านมีความยากแก่การคาดเดาและการควบคุมการใช้รหัสผ่านมีความรัดกุมหรือไม่นั้น บริษัทจะใช้ปัจจัยที่เหมาะสมในการพิจารณาดำเนินการ

 

  1. 25. พนักงานจะต้องกำหนดรหัสผ่าน (Password) ตามรูปแบบ และวิธีการที่บริษัทกำหนด กรณีผู้ใช้งานมีการใช้งานร่วมกันลักษณะ Shared Users Licenses เช่นระบบ SAP เป็นต้น ทางผู้ดูแลจะมีการส่งอีเมลแจ้งเตือนผู้รับผิดชอบการใช้งานให้ทำการเปลี่ยนรหัสผ่านในการเข้าระบบงานนั้น เมื่อมีการเปลี่ยนแปลงของผู้ใช้งานในสังกัด
  2. 26. จัดให้มีระบบการตรวจสอบรายชื่อผู้ใช้งานของระบบงานสำคัญอย่างสม่ำเสมอ และดำเนินการตรวจสอบบัญชีรายชื่อผู้ใช้งานที่มิได้มีสิทธิ์ใช้

งานระบบแล้ว เช่น บัญชีรายชื่อของผู้ใช้งานที่ลาออกแล้ว บัญชีรายชื่อที่ติดมากับระบบ เป็นต้น พร้อมทั้งระงับการใช้งานโดยทันทีเมื่อตรวจพบ เช่น Disable ลบออกจากระบบ หรือเปลี่ยน รหัสผ่าน เป็นต้น

  1. 27. จัด Data Center Room ให้เป็นสัดส่วน เช่น แบ่งเป็นส่วนระบบเครือข่าย ส่วนเครื่องคอมพิวเตอร์แม่ข่าย ส่วนเครื่องสำรองไฟฟ้า ส่วนแบตเตอรี่เครื่องสำรองไฟฟ้า เป็นต้น เพื่อความสะดวกในการปฏิบัติงานและทำให้การควบคุมการเข้าถึงอุปกรณ์คอมพิวเตอร์สำคัญต่าง ๆ มีประสิทธิภาพมากขึ้น
  2. 28. จัดทำข้อตกลงสำหรับการถ่ายโอนข้อมูล โดยคำนึงถึงความมั่นคงปลอดภัยของข้อมูล และผู้ดูแลระบบต้องควบคุมการปฏิบัติงานนั้น ๆ ให้มีความปลอดภัยทั้ง 3 ด้าน คือ การรักษาความลับ การรักษาความถูกต้องของข้อมูล และการรักษาความพร้อมที่จะให้บริการ โดยกำหนดให้มีการรลงนามในสัญญาระหว่างบริษัทและหน่วยงานภายนอกว่าจะไม่เปิดเผยความลับของบริษัท ตลอดจนมีมาตรการในการติดตามและตรวจสอบการปฏิบัติงานและคุณภาพการให้บริการของผู้ให้บริการภายนอก ว่าเป็นไปตามสัญญาและข้อตกลง
Copyright © 2024 Nicecall All rights reserved.