EXEDY CYBER SECURITY POLICY
นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์บริษัท EXEDY (Thailand) Co., Ltd.
- บทนํา
1.1 วัตถุประสงค์
- เพื่อกําหนดทิศทาง หลักการ และกรอบของข้อกําหนดในการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์
- เพื่อสร้างความรู้ความเข้าใจให้พนักงานปฏิบัติตามนโยบาย มาตรฐานกรอบการดําเนินงาน ขั้นตอนการ ปฏิบัติงาน คําแนะนำรวมถึงกฎหมายที่เกี่ยวกับระบบคอมพิวเตอร์ได้อย่างถูกต้องและเหมาะสม
- เพื่อให้พนักงานและผู้ที่ต้องใช้หรือเชื่อมต่อระบบคอมพิวเตอร์ของบริษัท ให้สามารถใช้งานระบบคอมพิวเตอร์ของบริษัทได้ อย่างถูกต้องและเหมาะสม
- เพื่อป้องกันไม่ให้ระบบคอมพิวเตอร์และข้อมูลสารสนเทศของบริษัท โดนบุกรุก ขโมย ทําลาย แทรกแซงการทํางานหรือ โจรกรรมในรูปแบบต่างๆ ที่อาจจะสร้างความเสียหายต่อการดําเนินธุรกิจของบริษัท
1.2 ขอบเขต
นโยบายฉบับนี้ครอบคลุมการป้องกันและรักษาความมั่นคงปลอดภัยไซเบอร์ของบริษัททั้งที่อยูภายในหรือภายนอกสถานที่ปฏิบัติงานของบริษัท รวมทั้งคลาวด์ที่บริษัทจัดหา ซึ่งครอบคลุมถึง
1) พนักงานและหน่วยงานทั้งหมดของบริษัท
2) บุคคลภายนอกบริษัทที่ได้รับสิทธิเข้าถึงทรัพย์สินที่เกี่ยวข้องกับระบบคอมพิวเตอร์และข้อมูลสารสนเทศของบริษัท
1.3 หลักการปฏิบัติในการรักษาความมั่นคงปลอดภัย (Security Principles)
หลักการปฏิบัติในการรักษาความมั่นคงปลอดภัยนี้ มีหลักการเพื่อให้บรรลุผลตามวัตถุประสงค์ดังต่อไปนี้
– ความลับ (Confidentiality) การปกป้องความลับของข้อมูล โดยป้องกันการเข้าถึงและการเปิดเผยข้อมูลจากผู้ที่ไม่ได้รับอนุญาต รวมไปถึงข้อมูลส่วนบุคคลหรือข้อมูลที่เป็นกรรมสิทธิ์ของบริษัท
– ความสมบูรณ์ (Integrity) การทําให้มั่นใจว่าข้อมูลของบริษัทต้องไม่มีการแก้ไข ดัดแปลงหรือโดนทําลายโดยผู้ที่ไม่ได้รับอนุญาต
– ความพร้อมใช้งาน (Availability) การทําให้มั่นใจว่าผู้ใช้งานที่ได้รับอนุญาตสามารถเข้าถึงข้อมูลและบริการได้อย่างรวดเร็วและเชื่อถือได้
– ความรับผิดชอบ (Accountability) การระบุหน้าที่ความรับผิดชอบของแต่ละบุคคล รวมถึงการรับผิดและรับชอบใน ผลของกระทําตามบทบาทหน้าที่นั้นๆ
– การพิสูจน์ตัวตน (Authentication) การทําให้มั่นใจว่าสิทธิการเข้าใช้งานระบบคอมพิวเตอร์และข้อมูลสารสนเทศต้องผ่านกระบวนการยืนยันตัวตนที่สมบูรณ์แล้วเท่านั้น
– การกําหนดสิทธิ (Authorization) การทําให้มั่นใจว่าการให้สิทธิเข้าใช้งานระบบคอมพิวเตอร์และข้อมูลสารสนเทศเป็น ไปตามความจําเป็น (Least Privilege) และสอดคล้องกับความต้องการพื้นฐาน (Need to Know Basic) ตามที่ได้รับอนุญาต
– การห้ามปฏิเสธความรับผิดชอบ (Non-repudiation) การทําให้มั่นใจว่าผู้มีส่วนร่วม (Parties) ที่เกี่ยวข้องในการทําธุรกรรมไม่สามารถปฏิเสธได้ว่าไม่มีส่วนเกี่ยวข้องกับการทําธุรกรรมที่เกิดขึ้น การรักษาความมั่นคงปลอดภัยอย่างได้ผล จําเป็นต้องมีข้อตกลงร่วมกันและได้รับความเอาใจใส่อย่างจริงจังในทุกเรื่องที่เกี่ยวข้อง ประกอบไปด้วย
– การรักษาความปลอดภัยถือว่าเป็นหน้าที่ของพนักงานและบุคคลภายนอกทุกคน
– การบริหารและการปฏิบัติในด้านการรักษาความมั่นคงปลอดภัยเป็นกระบวนการที่ต้องกระทําอย่างต่อเนื่องอยู่ตลอดเวลา
– การมีจิตสํานึก รู้จักหน้าที่ มีความรับผิดชอบและใส่ใจที่จะกระทําตามข้อปฏิบัติที่กําหนดไว้ในนโยบาย มาตรฐาน กรอบของการดําเนินงาน ขั้นตอนการปฏิบัติงาน คําแนะนําและกระบวนการต่างๆ ถือเป็นสิ่ง สําคัญที่สุดในกระบวนการรักษาความมั่นคงปลอดภัย การอธิบายให้พนักงานและบุคคลภายนอกทราบ อย่างชัดเจนเพื่อให้มีความเข้าใจในหน้าที่และความรับผิดชอบในการรักษาความปลอดภัยที่ตนเองรับผิดชอบเป็นสิ่งที่จะทําให้การรักษาความมั่นคงปลอดภัยดําเนินไปอย่างมีประสิทธิผล
1.4 คําจํากัดความ
- “บริษัท (Company)” หมายถึงบริษัท EXEDY (Thailand) Co., Ltd.
- “พนักงาน (Employee)” หมายถึง พนักงานที่ได้รับการว่าจ้างให้ทํางานเป็นพนักงานทดลองงาน พนักงานประจํา
พนักงานสัญญาจ้างพิเศษ และผู้บริหารทุกระดับที่อยู่ภายใต้การจ้างงานของบริษัท EXEDY (Thailand) Co., Ltd.
- “ผู้ใช้งาน (User)” หมายถึง พนักงานของบริษัท รวมไปถึงบุคคลภายนอกบริษัทที่ได้รับอนุญาตให้มีรหัสเข้าใช้งานในบัญชีรายชื่อ ผู้สามารถเข้าใช้งานหรือมีรหัสผ่านเพื่อเข้าใช้งานอุปกรณ์ประมวลผลสารสนเทศของบริษัท
- “ผู้บังคับบัญชา” หมายถึง พนักงานซึ่งเป็นผู้บังคับบัญชาของหน่วยงานภายในตามโครงสร้างองค์กรของบริษัท
- “ระบบคอมพิวเตอร์ (Computer System)” หมายถึง เครื่องมือ หรืออุปกรณ์คอมพิวเตอร์ทุกชนิดทั้งHardwareและ Software ทุกขนาด อุปกรณ์เครือข่ายเชื่อมโยงข้อมูลทั้งชนิดมีสายและไร้สาย วัสดุอุปกรณ์การเก็บรักษาและการถ่ายโอนข้อมูลชนิดต่างๆ ระบบ Internet และระบบ Intranet รวมถึง อุปกรณ์ไฟฟ้า และสื่อสารโทรคมนาคมต่างๆ ที่สามารถทํางานหรือใช้งานได้ในลักษณะเช่นเดียวกันหรือคล้ายคลึงกับคอมพิวเตอร์ ทั้งที่เป็นทรัพย์สินของบริษัท ของบริษัทคู่ค้าและบริษัทอื่นที่อยู่ระหว่างการติดตั้งและยังไม่ได้ส่งมอบ ของพนักงานที่นําเข้ามาติดตั้ง หรือใช้งานภายในสถานประกอบการของบริษัท
- “ข้อมูลสารสนเทศ (Information Technology)” หมายถึง ข้อมูล ข่าวสาร บันทึก ประวัติ ข้อความในเอกสาร โปรแกรมคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์รูปภาพ เสียง เครื่องหมาย และสัญลักษณ์ต่างๆ ไม่ว่าจะเก็บไว้ในรูปแบบที่สามารถสื่อความหมายให้บุคคลสามารถเข้าใจได้โดยตรงหรือผ่านเครื่องมือ หรืออุปกรณ์ใดๆ
- “ข้อมูลสําคัญ” หรือ “ข้อมูลที่เป็นความลับ (Sensitive Information)” หมายถึง ข้อมูลสารสนเทศที่มีความสําคัญต่อการดําเนินธุรกิจของบริษัทหรือที่บริษัท มีพันธะผูกพันตามข้อกําหนดของกฎหมาย จรรยาบรรณในการประกอบธุรกิจ หรือสัญญาซึ่งบริษัทไม่อาจนําไปเปิดเผยต่อบุคคลอื่นหรือนําไปใช้ประโยชน์อย่างอื่น นอกเหนือจากวัตถุประสงค์ในการดําเนินธุรกิจของบริษัท การรั่วไหลของข้อมูลสําคัญหรือข้อมูลที่เป็นความลับดังกล่าวอาจเป็นเหตุให้การดําเนินธุรกิจของบริษัท ต้องหยุดชะงัก ขาดประสิทธิภาพหรือบริษัทเสื่อมเสียชื่อเสียง
- “ระบบที่มีความสําคัญ (Important System)” หมายถึง ระบบคอมพิวเตอร์ที่บริษัทใช้ประโยชน์เพื่อให้บริการทางธุรกิจทั้งระบบที่ก่อให้เกิดรายได้โดยตรงและระบบที่สนับสนุนให้เกิดรายได้ รวมถึงระบบอิเล็กทรอนิกส์อื่นใดที่ช่วยในการดําเนินธุรกิจของบริษัทให้เป็นปกติและระบบที่ได้รับการกําหนดโดยหน่วยงานด้านความปลอดภัยข้อมูลและระบบสารสนเทศของบริษัท ทั้งนี้หากระบบที่มีความสําคัญหยุดการทํางานหรือมีความสามารถในการทํางานที่ลดถอยลงจะทําให้การดําเนินธุรกิจของบริษัทต้องหยุดชะงักหรือด้อยประสิทธิภาพ
- “Remote Access” หมายถึง การเชื่อมต่อเพื่อเข้าถึงคอมพิวเตอร์หรือระบบเครือข่ายของบริษัท (ผ่านช่องทางการสื่อสารภายในบริษัท) หรือจากภายนอกบริษัท (ผ่าน Internet)
- “เจ้าของระบบ (System Owner)” หมายถึง หน่วยงานภายในซึ่งเป็นเจ้าของระบบคอมพิวเตอร์และมีความรับผิดชอบในระบบคอมพิวเตอร์นั้นๆ
- “ผู้อารักขา (Custodian)” หมายถึง ผู้ที่ได้รับมอบหมายจากเจ้าของระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศในการสนับสนุนงานการดูแล จัดการ และควบคุมการเข้าใช้ข้อมูลสารสนเทศให้เป็นไปตามข้อกําหนดหรือระดับสิทธิที่เจ้าของระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศกําหนด
- “ผู้ดูแลระบบ (Administrator)” หมายถึง ผู้ที่ได้รับมอบหมายให้ดูแลใช้งานและบํารุงรักษาระบบคอมพิวเตอร์ทั้งอุปกรณ์ Hardware, Software และอุปกรณ์ต่อพ่วงที่ประกอบกันขึ้นเป็นระบบคอมพิวเตอร์ ผู้ดูแลระบบจะเป็นผู้ที่ได้รับอนุญาตให้มีอํานาจในการปรับเปลี่ยน เพิ่มเติม แก้ไข ปรับปรุงให้ระบบคอมพิวเตอร์ของบริษัททํางานได้อย่างถูกต้อง มีความปลอดภัยและมีประสิทธิภาพสอดคล้องกับความต้องการทางธุรกิจ
18.“การรักษาความมั่นคงปลอดภัย” หรือ “ความมั่นคงปลอดภัย (Security)” หมายถึง กระบวนการและการกระทําใดๆ เช่น การป้องกัน การเข้มงวดกวดขัน การระมัดระวัง การเอาใจใส่ในการใช้งานและการดูแลรักษาระบบคอมพิวเตอร์และข้อมูลสารสนเทศที่เป็นระบบและข้อมูลสําคัญให้พ้นจากความพยายามใดๆ ทั้งจากพนักงานภายในและจากบุคคลภายนอกในการเข้าถึง เพื่อโจรกรรมทําลายหรือแทรกแซงการทํางาน จนเป็นเหตุให้การดําเนินธุรกิจของบริษัทได้รับความเสียหาย
19.“บุคคลภายนอก (External Party)” หมายถึง บุคลากรหรือหน่วยงานภายนอกที่ดําเนินธุรกิจหรือให้บริการที่อาจได้รับสิทธิเข้าถึงสารสนเทศ และอุปกรณ์ประมวลผลสารสนเทศของบริษัทฯ เช่น
– บริษัทคู่ค้า (Business Partner)
– ผู้รับจ้างปฏิบัติงานให้กับบริษัทฯ (Outsource)
– ผู้รับจ้างพัฒนาระบบหรือจัดหาวัสดุอุปกรณ์ต่าง ๆ (Supplier)
– ผู้ให้บริการต่าง ๆ (Service Provider)
– ที่ปรึกษา (Consultant)
- หน้าที่และความรับผิดชอบ
- หน้าที่ของผู้บังคับบัญชา
ผู้จัดการทุกแผนกที่มีการใช้งานระบบคอมพิวเตอร์ของบริษัทจะต้องมีความเข้าใจและมีความรับผิดชอบต่อระบบความปลอดภัยทางไซเบอร์ของบริษัท
- ผู้บังคับบัญชาต้องควบคุมดูแลพนักงานในแผนก และผู้เข้ามาติดต่อจากภายนอก ให้ปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ของบริษัท EXEDY (Thailand) Co., Ltd.
- ชี้แจงให้พนักงานทราบถึงนโยบาย มาตรฐาน กรอบการดําเนินงาน ขั้นตอนการปฏิบัติงาน วิธีการปฏิบัติ คําแนะนํา และกระบวนการต่างๆของบริษัทที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์
- ดูแล แนะนําและตักเตือน กรณีที่พบเห็นการปฏิบัติที่ไม่ถูกต้องหรือไม่เหมาะสม
- พิจารณาลงโทษทางวินัยแก่ผู้กระทําผิดอย่างเสมอภาคและเป็นธรรม
2.2 หน้าที่ของพนักงาน
2.2.1 พนักงานทุกคน ต้องปฏิบัติดังต่อไปนี้
1) ต้องเรียนรู้ ทําความเข้าใจ และปฏิบัติตามนโยบาย มาตรฐาน กรอบการดําเนินงาน ขั้นตอนการปฏิบัติงาน วิธีการปฏิบัติ คําแนะนํา และกระบวนการต่างๆของบริษัทที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์โดย เคร่งครัด
2) ให้ความร่วมมือกับบริษัทอย่างเต็มที่ในการป้องกันระบบคอมพิวเตอร์และข้อมูลสารสนเทศของบริษัท
3) แจ้งให้บริษัททราบทันที เมื่อพบเห็นการปฏิบัติที่ไม่ถูกต้องหรือไม่เหมาะสมหรือพบเห็นการบุกรุกโจรกรรม
ทําลาย แทรกแซงการทํางานหรือจารกรรมที่อาจสร้างความเสียหายต่อบริษัท
2.2.2 พนักงานที่ได้รับมอบหมายให้ใช้งานเครื่องคอมพิวเตอร์ ต้องปฏิบัติดังต่อไปนี้
1) ต้องออกจากระบบ (Log-out, Log-off) ทุกระบบเมื่อไม่ได้ใช้งานเป็นเวลานาน และปิดเครื่องคอมพิวเตอร์และอุปกรณ์ต่อพ่วงอื่นทันทีหลังเลิกงาน
2) ต้องล็อคหน้าจอ (Lock Screen) แบบกําหนดรหัสผ่าน (Password) หากไม่ใช้งานหรือไปทํากิจกรรมอย่างอื่นเป็นระยะเวลาสั้นๆ เพื่อป้องกันมิให้บุคคลอื่นลักลอบเข้าไปใช้งาน
3) ต้องตรวจสอบข้อมูลที่นํามาลงในเครื่องคอมพิวเตอร์ของตนเองทุกครั้ง โดยใช้โปรแกรมป้องกันไวรัส (Anti-virus)
ที่มีข้อมูลไวรัสที่ทันสมัย
4) ต้องเก็บรักษารหัสผ่าน (Password) และรหัสอื่นใดที่บริษัทกําหนด เพื่อใช้ในการเข้าถึงระบบคอมพิวเตอร์ ข้อมูลสารสนเทศ หรือข้อมูลของบริษัทเป็นความลับส่วนตัวพนักงาน ซึ่งจะต้องเก็บ รักษาไว้มิให้ผู้อื่นล่วงรู้และห้ามใช้ร่วมกันกับบุคคลอื่น ทั้งนี้พนักงานต้องเปลี่ยนรหัสผ่านและรหัสอื่น ใด เมื่อรหัสเก่าหมดอายตามระยะเวลาที่กําหนดหรือเมื่อพนักงานเห็นสมควรต้องทําการเปลี่ยน รหัสผ่าน โดยตั้งรหัสผ่าน และรหัสอื่นใด ด้วยความรอบคอบ ห้ามตั้งรหัสซ้ำกับรหัสเก่า ห้ามตั้งรหัส ที่ผู้อื่นสามารถคาดเดาได้ง่าย หรือห้ามตั้งรหัสซ้ํากันในทุกระบบที่พนักงานมีสิทธิใช้งาน ทั้งนี้มาตรฐานการตั้งรหัสผ่านอย่างปลอดภัย อ้างอิงตามเอกสาร IT Security Standard
- การบริหารจัดการความเสี่ยงด้านความมั่งคงปลอดภัยไซเบอร์ (Cyber Security Risk Management)
วัตถุประสงค์: เพื่อแสดงถึงการยอมรับความเสี่ยงและลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ โดยบริษัทใช้วิธีการที่สอดคล้องกันในการบริหารจัดการความเสี่ยงด้านความั่นคงปลอดภัย (Security Risk Management) รวมถึงมีมาตรการรักษาความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลซึ่งสอดคล้องกับกระบวนการในการระบุและประเมิน ความเสี่ยง (Risk Identification and Assessment) รายละเอียดดังนี้
3.1 วิธีการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัย (Security Risk Management Methodology)
3.2 การจัดโครงสร้างองค์กร (Internal Organization)
3.3 การบริหารความเสี่ยงภายนอก (Risk Management with External Parties)
- การบริหารจัดการระบบ (System Management)
วัตถุประสงค์: เพื่อให้มีมาตรการในการปกป้องทรัพย์สินของบริษัทอย่างเหมาะสม รายละเอียดดังนี้
4.1 บัญชีทรัพย์สินและความเป็นเจ้าของ (Inventory and Ownership)
4.2 การจัดชั้นความลับและการควบคุม (Security Classification and Handling)
4.3 การบริหารจัดการซอฟต์แวร์ลิขสิทธิ์ (Software Licensing)
- การบริหารจัดการหน่วยงานและบุคลากร (Human Resource Management)
วัตถุประสงค์: เพื่อให้พนักงานและบุคคลภายนอกที่ทําสัญญากับบริษัทเข้าใจในหน้าที่ความรับผิดชอบของตนเอง รวมถึงตระหนักถึงการรักษาความมั่นคงปลอดภัยในการปฏิบัติงาน รายละเอียดดังนี้
5.1 ก่อนการจ้างงาน (Prior to Employment)
5.2 ระหว่างการจ้างงาน (During Employment)
5.3 การสิ้นสุดหรือการเปลี่ยนการจ้างงาน (Termination and Change of Employment)
- การรักษาความมั่นคงปลอดภัยสถานที่และอุปกรณ์ (Physical and Equipment Security)
วัตถุประสงค์: เพื่อป้องกันการเข้าถึงสถานที่และอุปกรณ์โดยไม่ได้รับอนุญาต ซึ่งอาจทําให้เกิดความเสียหายและการแทรกแซงการทํางานต่อระบบคอมพิวเตอร์ของบริษัท รายละเอียดดังนี้
6.1 การรักษาความมั่นคงปลอดภัยสถานที่ (Physical Security)
6.2 การรักษาความมั่นคงปลอดภัยอุปกรณ์ (Equipment Security)
- การบริหารจัดการการสื่อสารและการดําเนินงาน (Communications and Operation Management)
วัตถุประสงค์
- เพื่อทําให้มั่นใจว่ามีการดําเนินงานบนระบบคอมพิวเตอร์อย่างปลอดภัย
- เพื่อดําเนินการ (Implement) และรักษา (Maintain) ระดับความมั่นคงปลอดภัยไซเบอร์อย่างเหมาะสม
- เพื่อลดความเสี่ยงจากการล้มเหลวของระบบคอมพิวเตอร์
- เพื่อปกป้องและรักษาความถูกต้องของข้อมูล ซอฟต์แวร์ และระบบคอมพิวเตอร์ให้มีสภาพพร้อมใช้งาน
- เพื่อทําให้มั่นใจว่ามีการปกป้องข้อมูลในเครือข่าย รวมถึงการป้องกันโครงสร้างพื้นฐานสนับสนุนอื่นๆ
- เพื่อป้องกันการเปิดเผย การแก้ไข การลบ หรือการทําลายทรัพย์สินโดยไม่ได้รับอนุญาต รวมถึงการหยุดชะงักของกิจกรรมทางธุรกิจ
- เพื่อรักษาความมั่นคงปลอดภัยของข้อมูลที่มีการรับส่งภายในบริษัทและบุคคลภายนอก
- เพื่อเฝ้าระวังการประมวลผลข้อมูลที่ไม่ได้รับอนุญาตรายละเอียด
รายละเอียดดังนี้
7.1 ขั้นตอนการปฏิบัติงานและหน้าที่ความรับผิดชอบ (Operational Procedure and Responsibilities)
7.2 การบริหารจัดการการส่งมอบบริการของบุคคลภายนอก (External Party Service Delivery Management)
7.3 การบริหารจัดการปริมาณความจุของระบบ (Capacity Management)
7.4 การป้องกันซอฟต์แวร์ไม่ประสงค์ดี (Protection Against Malicious Software)
7.5 การสํารองและการกู้คืนข้อมูล (Back Up and Restoration)
7.6 การบริหารจัดการความมั่นคงปลอดภัยของเครือข่าย (Network Security Management)
7.7 การควบคุมสื่อบันทึกข้อมูลที่สามารถเคลื่อนย้ายได้ (Removable Media Handling)
7.8 การจัดการข้อมูลแบบคลาวด์ (Cloud Storage)
7.9 การรับส่งข้อมูล (Information Transfer)
7.10 การเฝ้าระวัง (Monitoring)
7.11 การบริหารจัดการแพทช์ (Patch Management)
- การบริหารจัดการการควบคุมการเข้าถึง (Access Control Management)
วัตถุประสงค์: เพื่อควบคุมการเข้าถึงข้อมูลและระบบคอมพิวเตอร์เฉพาะผู้ที่ได้รับอนุญาต,ป้องกันการเข้าถึงระบบและบริการโดยไม่ได้รับอนุญาต รายละเอียดดังนี้
8.1 การบริหารจัดการการเข้าถึงของผู้ใช้งาน (User Access Management)
8.2 การบริหารจัดการรหัสผ่าน (Password Management)
8.3 การควบคุมการเข้าถึง (Access Control)
8.4 การควบคุมอุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนที่และการปฏิบัติงานจากภายนอกบริษัท (Mobile Computing and Teleworking)
การจัดหา การพัฒนา และการบํารุงรักษาระบบ (System Acquisition, Development and Maintenance)
วัตถุประสงค์: เพื่อให้การจัดหา การพัฒนาและการบํารุงรักษาระบบ คํานึงถึงความมั่นคงปลอดภัยเป็นองค์ประกอบสําคัญ
รายละเอียดดังนี้
9.1 ข้อกําหนดการรักษาความมั่นคงปลอดภัยสําหรับระบบ (Security Requirements for Systems)
9.2 การประมวลผลบนแอปพลิเคชัน (Correct Processing in Applications)
9.3 การควบคุมการเข้ารหัส (Cryptographic Controls)
9.4 การรักษาความมั่นคงปลอดภัย System File (Security of System Files)
9.5 การรักษาความมั่นคงปลอดภัยในการพัฒนา และกระบวนการสนับสนุน (Security in Development and Support Processes)
9.6 การบริหารจัดการช่องโหว่ (Vulnerability Management)
- การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ (Cyber Security Incident Management)
วัตถุประสงค์: เพื่อลดความเสี่ยงและความเสียหายที่อาจเกิดขึ้น และทําให้มั่นใจว่าเหตุการณ์ด้านความมั่นคง ปลอดภัยทางไซเบอร์ รวมถึงจุดอ่อนที่เกี่ยวข้องกับระบบได้รับการสื่อสารและสามารถดําเนินการแก้ไขได้ทันเวลา รายละเอียดดังนี้
10.1 การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ (Management of Cyber Security Incident)
- การจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management)
วัตถุประสงค์: เพื่อป้องกันกระบวนการทางธุรกิจที่สําคัญจากผลกระทบของความล้มเหลวที่สําคัญของระบบคอมพิวเตอร์หรือจากภัยพิบัติ
รายละเอียดดังนี้
11.1 การจัดการความมั่นคงปลอดภัยไซเบอร์ในแผนความต่อเนื่องทางธุรกิจ
- กฎหมายและข้อบังคับที่เกี่ยวข้อง (Regulatory and Compliance)
วัตถุประสงค์: เพื่อหลีกเลี่ยงการละเมิดข้อผูกพันในกฎหมาย ระเบียบข้อบังคับหรือสัญญาจ้างที่เกี่ยวข้องกับ ความมั่นคงปลอดภัย พระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พระราชบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎหมาย ระเบียบข้อบังคับอื่นที่เกี่ยวข้องซึ่งใช้บังคับอยู่แล้วในขณะนี้และที่จะได้ออกใช้บังคับ ต่อไปในภายหน้า รายละเอียดดังนี้
12.1 การปฏิบัติตามข้อกําหนดทางกฎหมาย (Compliance with Legal Requirement)
12.2 การพิจารณาการตรวจสอบระบบ (System Audit Considerations)
กระบวนการรายงานสถานการณ์วิกฤตกับข้อมูลสู่ลูกค้าและผู้จัดส่ง
- การจำกัดความเสี่ยงเบื้องต้น:
- ระยะเวลา: ทันทีหลังจากเกิดสถานการณ์
- กระบวนการ: ทราบถึงสถานการณ์โดยรวดเร็วและดำเนินการเพื่อจำกัดความเสี่ยงให้น้อยที่สุด.
- การตรวจสอบสถานการณ์และบรรยากาศ:
- ระยะเวลา: ภายใน 24 ชั่วโมงหลังจากเหตุการณ์เกิด.
- กระบวนการ: ตรวจสอบและรับข้อมูลสถานการณ์ที่แท้งความจริงเพื่อทราบรายละเอียดและกระบวนการที่เกี่ยวข้อง.
- การรายงานให้ลูกค้า:
- ระยะเวลา: ภายใน 24-48 ชั่วโมงหลังจากทราบถึงสถานการณ์.
- กระบวนการ: ติดต่อกับลูกค้าทันทีเพื่อบอกให้ทราบถึงสถานการณ์และสรุปผลกระบวนการแก้ไขหรือมาตรการที่กำลังดำเนินอยู่.
- การรายงานให้ผู้จัดส่ง:
- ระยะเวลา: ภายใน 24-48 ชั่วโมงหลังจากทราบถึงสถานการณ์.
- กระบวนการ: ติดต่อผู้จัดส่งและสรุปผลการรับมือกับสถานการณ์ รวมถึงมาตรการที่กำลังดำเนิน.
- การสืบค้นและวิเคราะห์:
- ระยะเวลา: ตามความเหมาะสมและความซับซ้อนของสถานการณ์.
- กระบวนการ: สืบค้นหาสาเหตุและทราบรายละเอียดเพิ่มเติมเกี่ยวกับสถานการณ์เพื่อให้ข้อมูลในการรายงานให้ลูกค้าและผู้จัดส่งมีความแม่นยำและรายละเอียด.
- การประเมินและปรับปรุงมาตรการความปลอดภัย:
- ระยะเวลา: หลังจากสถานการณ์ถูกควบคุมและมีความมั่นใจว่าไม่มีความเสี่ยงอื่น ๆ.
- กระบวนการ: ประเมินและวิเคราะห์ความเสี่ยง, รายงานข้อมูลการประเมินแก่ลูกค้าและผู้จัดส่ง, และปรับปรุงมาตรการความปลอดภัยตามความจำเป็น.
- การรายงานการสิ้นสุด:
- ระยะเวลา: หลังจากการประเมินและปรับปรุงมาตรการความปลอดภัยเสร็จสิ้น.
- กระบวนการ: รายงานสรุปสถานการณ์และมาตรการความปลอดภัยสุดท้ายให้ลูกค้าและผู้จัดส่ง.
กระบวนการนี้ควรถูกจัดทำในรูปแบบของแผนที่มีการสืบสาดและปรับปรุงอย่างต่อเนื่องเพื่อให้สามารถรับมือกับสถานการณ์วิกฤตที่เกี่ยวข้องกับข้อมูลอย่างมีประสิทธิภาพและมีประสิทธิภาพ.
นโยบายการส่งข้อมูลที่เป็นความลับ
วัตถุประสงค์: นโยบายนี้ถูกกำหนดขึ้นเพื่อครอบคลุมข้อมูลที่เป็นความลับและรักษาความลับของข้อมูลที่สำคัญของบริษัท. วัตถุประสงค์หลักมีดังนี้:
- รักษาความลับ: รักษาความลับของข้อมูลที่สำคัญและข้อมูลที่เป็นความลับขององค์กร.
- ป้องกันการรั่วไหล: ป้องกันข้อมูลที่เป็นความลับไม่ถูกรั่วไหลหรือเข้าถึงโดยบุคคลที่ไม่มีสิทธิ์.
- ปฏิบัติตามกฎหมาย: ปฏิบัติตามข้อกำหนดทางกฎหมายเกี่ยวกับความปลอดภัยและความเป็นมืออาชีพ.
- รักษาความน่าเชื่อถือ: รักษาความน่าเชื่อถือและความรับผิดชอบต่อลูกค้าและคู่ค้า.
ข้อมูลที่เป็นความลับ: ข้อมูลที่ถือเป็นความลับรวมถึงแต่ไม่จำกัดอยู่ที่:
- ข้อมูลลูกค้า
- ข้อมูลธุรกิจและการเงิน
- ข้อมูลที่เกี่ยวข้องกับโครงการวิจัยและพัฒนา
- ข้อมูลที่มีลักษณะอัตราความลับ
ข้อกำหนด:
- การจัดเก็บและการส่งข้อมูล:
- ข้อมูลที่เป็นความลับควรถูกจัดเก็บในระบบที่ปลอดภัยและมีการกำหนดสิทธิ์การเข้าถึง.
- การส่งข้อมูลที่เป็นความลับหรือการแชร์ข้อมูลนั้นต้องมีการอนุมัติจากผู้รับหรือผู้มีสิทธิ์.
- การส่งข้อมูลที่เป็นความลับควรเป็นไปตามข้อกำหนดในข้อตกลงหรือสัญญาที่เกี่ยวข้อง.
- ความรับผิดชอบ:
- ผู้รับมอบหมายหรือผู้ที่รับผิดชอบต้องรักษาความลับและรับผิดชอบต่อความปลอดภัยของข้อมูลที่มีความลับ.
- การตรวจสอบและการประเมิน:
- การตรวจสอบและการประเมินความปลอดภัยและความลับของข้อมูลควรมีการทำเป็นประจำ.
- มาตรการความปลอดภัยควรถูกปรับปรุงตามความจำเป็นและการประเมินความปลอดภัยต่อเป้าหมาย.
การฝึกอบรม: พนักงานควรรับการฝึกอบรมเกี่ยวกับนโยบายการส่งข้อมูลที่เป็นความลับและมาตรการความปลอดภัยที่เกี่ยวข้อง.
การประเมินประสิทธิภาพ: นโยบายการส่งข้อมูลที่เป็นความลับควรถูกประเมินและปรับปรุงตามความจำเป็นและการประเมินความปลอดภัยต่อเป้าหมาย.
การรายงานสถานการณ์: สถานการณ์ที่เกี่ยวข้องกับการรักษาความลับและความปลอดภัยของข้อมูลควรรายงานให้คณะกรรมการความปลอดภัยและความเสี่ยง และรายงานเหตุการณ์ที่เกี่ยวข้องทันที.
นโยบายนี้ต้องเป็นส่วนหนึ่งของวัฒนธรรมองค์กรและควรมีการปฏิบัติตามอย่างเคร่งครัด. นอกจากนี้, นโยบายนี้ควรรับการปรับปรุงตามความเปลี่ยนแปลงในสภาพแวดล้อมทางความปลอดภัยและความลับ.
การส่งเมล์ที่มีข้อมูลที่เป็นความลับอาจจะต้องผ่านการบีบอัดข้อมูลหรือตั้งรหัสผ่านเพื่อเพิ่มความปลอดภัย. นอกจากนี้, การมีหมายเหตุกำกับ “ห้ามส่งต่อ” หรือ “ความลับระดับได้ห้ามส่งต่อ” ยังเป็นวิธีเพิ่มความปลอดภัยของข้อมูล. นี่คือขั้นตอนการทำ:
**สำหรับการส่งเมล์ที่เป็นความลับ:**
- **บีบอัดข้อมูล (ถ้าจำเป็น):**
– หากคุณมีข้อมูลมากหรือข้อมูลใหญ่ คุณสามารถใช้โปรแกรมบีบอัดเพื่อลดขนาดข้อมูลก่อนส่ง. โปรแกรมบีบอัดที่รู้จักคือ WinRAR หรือ 7-Zip สำหรับไฟล์ข้อมูลที่มีขนาดใหญ่.
- **ตั้งรหัสผ่าน:**
– ใส่รหัสผ่านในไฟล์ที่บีบอัด เพื่อปกป้องข้อมูล. รหัสผ่านควรมีความซับซ้อนเพื่อป้องกันการถูกบีบอัดโดยบุคคลที่ไม่มีสิทธิ์.
- **หมายเหตุกำกับ “ห้ามส่งต่อ” หรือ “ความลับระดับได้ห้ามส่งต่อ”:**
– เพิ่มหมายเหตุที่บอกว่าข้อมูลเป็นความลับและไม่ควรส่งต่อ หรือระบุระดับความลับของข้อมูล.
- **การใช้ Line หรือแอปพลิเคชันที่รองรับการเข้ารหัสแบบ End-to-End:**
– ถ้าคุณส่งข้อมูลผ่าน Line หรือแอปพลิเคชันอื่นที่รองรับการเข้ารหัสแบบ End-to-End, ข้อมูลจะถูกเข้ารหัสและถูกส่งไปถึงผู้รับโดยมีความปลอดภัย.
**เพื่อความปลอดภัยสูงสุด:**
– ระวังไม่ให้ผู้ไม่มีสิทธิ์เข้าถึงรหัสผ่านหรือข้อมูลที่เป็นความลับ.
– ในกรณีที่คุณต้องการเก็บข้อมูลที่เป็นความลับที่ได้รับจากเมล์ที่คุณส่ง, ควรเก็บข้อมูลและรหัสในที่ปลอดภัย เช่นคลังข้อมูลออนไลน์ที่เป็นมาตรการความปลอดภัย.
**สำหรับการเพิ่มหมายเหตุ “ห้ามส่งต่อ” หรือ “ความลับระดับได้ห้ามส่งต่อ”:**
- **กำหนดหมายเหตุ:**
– ในเมล์ที่คุณส่ง, ระบุให้ชัดเจนในส่วนหมายเหตุหรือหัวข้อว่าข้อมูลเป็นความลับและห้ามส่งต่อหรือมีระดับความลับตามที่จำเป็น.
- **ความรับผิดชอบ:**
– ระบุให้ผู้รับรู้ถึงความรับผิดชอบที่เกี่ยวกับการรักษาความลับและห้ามส่งต่อข้อมูล.
- **การตรวจสอบความลับ:**
– แนะนำให้ผู้รับตรวจสอบความลับและระดับความลับก่อนที่จะส่งต่อข้อมูล.
- **การประมาณความเสี่ยง:**
– อภิปรายถึงผลกระทบทางกฎหมายหรือการรักษาความลับเมื่อไม่เป็นไปตามหมายเหตุหรือเงื่อนไข.
การใช้หมายเหตุ “ห้ามส่งต่อ” หรือ “ความลับระดับได้ห้ามส่งต่อ” จะช่วยเพิ่มความรับผิดชอบและความตระหนักในการรักษาความปลอดภัยของข้อมูล.
ประกาศและเริ่มดำเนินการ ณ วันที่ 1 ธันวาคม พ.ศ.2565