1. บทนํา1.1 วัตถุประสงค์ 1.2 ขอบเขต 1.3 หลักการปฏิบัติในการรักษาความมั่นคงปลอดภัย (Security Principles) 1.4 คําจํากัดความ 2. หน้าที่และความรับผิดชอบ2.1 หน้าที่ของผู้บังคับบัญชา 2.2 หน้าที่ของพนักงาน 2.2.2 พนักงานที่ได้รับมอบหมายให้ใช้งานเครื่องคอมพิวเตอร์ ต้องปฏิบัติดังต่อไปนี้ 2.2.3 พนักงานที่มีหน้าที่เกี่ยวข้องกับบุคคลภายนอก 3. การบริหารจัดการความเสี่ยงด้านความมั่งคงปลอดภัยไซเบอร์ (Cyber Security Risk Management)วัตถุประสงค์: เพื่อแสดงถึงการยอมรับความเสี่ยงและลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
โดยบริษัทใช้ วิธีการที่สอดคล้องกันในการบริหารจัดการความเสี่ยงด้านความั่นคงปลอดภัย (Security Risk Management) รวมถึงมีมาตรการรักษาความมั่นคงปลอดภัยเพื่อปกป้องข้อมูลซึ่งสอดคล้องกับกระบวนการในการระบุและประเมิน ความเสี่ยง (Risk Identification and Assessment) 4. การบริหารจัดการระบบ (System Management)วัตถุประสงค์: เพื่อให้มีมาตรการในการปกป้องทรัพย์สินของบริษัทอย่างเหมาะสม 5. การบริหารจัดการหน่วยงานและบุคลากร (Human Resource Management)วัตถุประสงค์:
เพื่อให้พนักงานและบุคคลภายนอกที่ทําสัญญากับบริษัทเข้าใจในหน้าที่ความรับผิดชอบของตนเอง รวมถึงตระหนักถึงการรักษาความมั่นคงปลอดภัยในการปฏิบัติงาน 6. การรักษาความมั่นคงปลอดภัยสถานที่และอุปกรณ์ (Physical and Equipment Security)วัตถุประสงค์:
เพื่อป้องกันการเข้าถึงสถานที่และอุปกรณ์โดยไม่ได้รับอนุญาต ซึ่งอาจทําให้เกิดความเสียหายและ การแทรกแซงการทํางานต่อระบบคอมพิวเตอร์ของบริษัท 7. การบริหารจัดการการสื่อสารและการดําเนินงาน (Communications and Operation Management)วัตถุประสงค์ 8. การบริหารจัดการการควบคุมการเข้าถึง (Access Control Management)วัตถุประสงค์:
เพื่อควบคุมการเข้าถึงข้อมูลและระบบคอมพิวเตอร์เฉพาะผู้ที่ได้รับอนุญาต และป้องกันการเข้าถึง ระบบและบริการโดยไม่ได้รับอนุญาต 9. การจัดหา การพัฒนา และการบํารุงรักษาระบบ (System Acquisition, Development and Maintenance)วัตถุประสงค์: เพื่อให้การจัดหา การพัฒนา และการบํารุงรักษาระบบ คํานึงถึงความมั่นคงปลอดภัยเป็นองค์ประกอบสําคัญ 10. การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ (Cyber Security Incident Management)วัตถุประสงค์: เพื่อลดความเสี่ยงและความเสียหายที่อาจเกิดขึ้น และทําให้มั่นใจว่าเหตุการณ์ด้านความมั่นคง ปลอดภัยทางไซเบอร์ รวมถึงจุดอ่อนที่เกี่ยวข้องกับระบบได้รับการสื่อสารและสามารถดําเนินการแก้ไขได้ทันเวลา 11. การจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management)วัตถุประสงค์: เพื่อป้องกันกระบวนการทางธุรกิจที่สําคัญจากผลกระทบของความล้มเหลวที่สําคัญของระบบคอมพิวเตอร์หรือจากภัยพิบัติ 12. กฎหมายและข้อบังคับที่เกี่ยวข้อง (Regulatory and Compliance)วัตถุประสงค์: เพื่อหลีกเลี่ยงการละเมิดข้อผูกพันในกฎหมาย ระเบียบข้อบังคับหรือสัญญาจ้างที่เกี่ยวข้องกับ ความมั่นคงปลอดภัย พระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พระราชบัญญัติการรักษา ความมั่นคงปลอดภัยไซเบอร์ พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล รวมถึงกฎหมาย ระเบียบข้อบังคับอื่นที่เกี่ยวข้องซึ่งใช้บังคับอยู่แล้วในขณะนี้และที่จะได้ออกใช้บังคับ ต่อไปในภายหน้า วันที่มีผล: ตั้งแต่วันที่ 1 พฤศจิกำยน 2562 เป็นต้นไป |