- Profilerr
- นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ช่วยให้สร้างพื้นฐานสำหรับการรักษาความปลอดภัยของข้อมูล อำนวยความสะดวกในการตัดสินใจด้านการจัดการความปลอดภัย และกำหนดวัตถุประสงค์ที่สร้าง ส่งเสริม และบังคับใช้การควบคุมการรักษาความปลอดภัยด้านสารสนเทศ ที่ดีที่สุดเท่าที่จะเป็นไปได้ด้วย นโยบายนี้ครอบคลุมถึงข้อมูลและระบบสารสนเทศทั้งหมด รวมถึงข้อมูลและระบบสารสนเทศที่ใช้ จัดการ หรือดำเนินการโดยบริษัทบนเว็บไซต์นี้ นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ มุ่งหวังที่จะปกป้องความเป็นส่วนตัว ความสมบูรณ์ และ ความพร้อมใช้งานของข้อมูล การจำแนกประเภทและการประมวลผลข้อมูล ตลอดจนการต่อต้านการละเมิดนโยบายดังกล่าว
นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ จัดให้มีชุดมาตรการป้องกันที่ครอบคลุม ซึ่งจะต้องนำไปใช้อย่างเท่าเทียมกันทั่วทั้งเว็บไซต์ของเรา เพื่อจัดให้มีสภาพแวดล้อมการทำงานที่ปลอดภัยสำหรับการดำเนินงานเว็บไซต์
วัตถุประสงค์
การจัดการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ประกอบด้วยทางเลือกอย่างมีเหตุมีผล และการนำปัจจัยการควบคุมที่เหมาะสมไปใช้อย่างมีประสิทธิผล เพื่อปกป้องสินทรัพย์ด้านสารสนเทศสำคัญขององค์กร. กระบวนการควบคุมและการจัดการ ควบคู่ไปกับการติดตามตรวจสอบความเหมาะสมและประสิทธิผลในเวลาต่อมา เป็นองค์ประกอบหลักสองประการของโปรแกรมการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ วัตถุประสงค์สามประการของการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ประกอบด้วย:
- การปกป้องความเป็นส่วนตัว: การปกป้องความเป็นส่วนตัว ไม่ให้เปิดเผยต่อบุคคลหรือระบบที่ไม่ได้รับอนุญาต
- ความสมบูรณ์: การปกป้องความถูกต้อง ความสมบูรณ์ และทันเวลาของข้อมูล
- ความพร้อมใช้งาน: จัดให้มีการเข้าถึงข้อมูล และ บริการที่สำคัญยิ่งใหญ่ให้แก่ผู้ใช้ที่ได้รับอนุญาต เมื่อจำเป็น
ขอบเขตแห่งการประยุกต์ใช้
นโยบายนี้ใช้กับพนักงาน ผู้รับเหมา หุ้นส่วน ผู้ฝึกงาน/ผู้เข้ารับการฝึกอบรมที่ทำงานให้กับบริษัทของเราทุกคน ผู้ให้บริการบุคคลที่สามที่ให้บริการโฮสติ้ง หรือ ผู้ให้บริการบุคคลที่สามซึ่งมีการจัดเก็บข้อมูลไว้นอกสถานที่ของบริษัท จะต้องปฏิบัติตามนโยบายนี้ด้วย
ขอบเขตแห่งการประยุกต์ใช้ของนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศนี้ ใช้กับข้อมูลที่จัดเก็บ ส่ง และประมวลผลภายในบริษัทของเราตลอดจนข้อมูลของบริษัทที่มาจากภายนอก อีกด้วย
วัตถุประสงค์ต่าง ๆ
วัตถุประสงค์ของนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ คือ การให้แนวทางให้แก่บริษัทของเรา ในการบริหารความเสี่ยงด้านสารสนเทศ และแนวปฏิบัติในการปกป้องสินทรัพย์ด้านสารสนเทศ สำหรับทุกแผนก
การจำแนกประเภทสินทรัพย์ด้านสารสนเทศ
สินทรัพย์ด้านสารสนเทศของบริษัท แบ่งออกเป็นสี่หมวดหมู่ กล่าวคือ สาธารณะ ภายใน เป็นส่วนตัว และ มีการเข้าถึงที่จำกัด สินทรัพย์ด้านสารสนเทศหลักทั้งหมดต้องมีเจ้าของที่ได้รับมอบหมายซึ่งมีหน้าที่รับผิดชอบในการสร้างขั้นตอนการรับรองความถูกต้อง และ การอนุญาตที่เหมาะสมกับหมวดหมู่เหล่านี้ โดยระบุว่า:
- ข้อมูลที่เปิดเผยต่อสาธารณะ โดยทั่วไปสามารถจัดหา หรือ เผยแพร่สู่สาธารณะได้ ข้อมูลที่เปิดเผยต่อสาธารณะ คือ ข้อมูลที่ไม่ต้องการการปกป้อง และเมื่อใช้ตามที่ตั้งใจไว้ จะไม่มีผลกระทบเชิงลบ เพียงเล็กน้อยหรือไม่มีเลยต่อกิจกรรม สินทรัพย์ หรือ ชื่อเสียงของภาระผูกพันในการรักษาข้อมูลที่เป็นส่วนตัวของบริษัท
- ข้อมูลที่เป็นเรื่องส่วนตัว มีไว้สำหรับการใช้ภายในเท่านั้น และสามารถเข้าถึงได้โดยพนักงานที่ต้องการข้อมูลที่เป็นเรื่องส่วนตัวดังกล่าว เพื่อปฏิบัติหน้าที่ของบริษัทเท่านั้น (ข้อมูลที่เป็นเรื่องควส่วนตัว รวมถึงข้อมูลที่ได้รับการคุ้มครองตามกฎหมายของรัฐบาล หรือ ข้อผูกพันตามสัญญาทางธุรกิจ) และ ต้องการการปกป้องความเป็นส่วนตัวและความปลอดภัยอีกด้วย
- ข้อมูลที่มีการเข้าถึงที่จำกัด ซึ่งจะต้องเก็บเป็นความลับอย่างเคร่งครัด โดยเข้าถึงได้ให้เป็นไปตามหลักการ "จำเป็นต้องรู้" ตัวอย่าง ได้แก่ ข้อมูลที่มีผลกระทบต่อผลประโยชน์ของชาติและ/หรือความมั่นคงของชาติ
พนักงานทุกคน จะต้องตระหนักถึงความรับผิดชอบทางกฎหมาย และองค์กรของตน สำหรับการใช้ ถ่ายโอน หรือ เปิดเผยข้อมูลอย่างไม่เหมาะสมให้แก่บุคคลอื่น ส่วนบุคคลที่สามใด ๆ ที่ได้รับข้อมูลที่เป็นเรื่องตัว หรือ ข้อมูลที่มีการเข้าถึงที่จำกัด จะต้องได้รับอนุญาตให้ทำเช่นนั้น และ บุคคลนั้น หรือ องค์กรของเขา จะต้องใช้มาตรการรักษาความปลอดภัยด้านสารสนเทศ ที่รับรองการรักษาความส่วนตัว และความสมบูรณ์ของข้อมูลเหล่านี้
ข้อมูลที่เป็นเรื่องส่วนตัว ควรได้รับการปกป้องเพื่อป้องกันการเข้าถึงหรือเปิดเผยโดยไม่ได้รับอนุญาต
ข้อมูลที่มีการเข้าถึงที่จำกัด มีระดับความละเอียดอ่อนสูงสุด และก่อ ให้เกิดความเสี่ยงสูงสุดต่อบริษัท ประเทศ และบุคคลต่าง ๆ หากมีการเข้าถึง หรือ เป็นที่รู้จักของผู้ที่ไม่ได้รับอนุญาตได้ ดังนั้น พนักงานของบริษัทที่ทำงานกับข้อมูลที่มีการเข้าถึงที่จำกัด หรือ ใช้ระบบที่จัดเก็บ ส่ง หรือจัดการข้อมูลที่มีการเข้าถึงที่จำกัด จึงจำเป็นต้องรักษาความเป็นส่วนตัว ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล/รายละเอียดดังกล่าวตลอดเวลา
การจัดการการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
การจัดการการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ประกอบด้วยผู้นำ โครงสร้างองค์กร และกระบวนการที่ปกป้องข้อมูล และ บรรเทาภัยคุกคามด้านความปลอดภัยด้านสารสนเทศที่เพิ่มมากขึ้น
ผลลัพธ์ที่สำคัญในการจัดการการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ได้แก่:
- การจัดแนวการรักษาความปลอดภัยด้านสารสนเทศให้สอดคล้องกับกลยุทธ์ทางธุรกิจเพื่อเพื่อรองรับเป้าหมายขององค์กร
- จัดการ และ ลดความเสี่ยงและลดผลกระทบที่อาจเกิดขึ้นกับทรัพยากรสารสนเทศให้อยู่ในระดับที่ยอมรับได้
- การจัดการประสิทธิภาพของการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ โดยการวัด ติดตาม และรายงานตามตัวชี้วัดการจัดการการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อจัดให้มีการบรรลุเป้าหมายขององค์กร
- ให้ปรับการลงทุนด้านการรักษาความมั่นคงปลอดภัยด้านสารสนเทศให้เหมาะสมเพื่อรองรับเป้าหมายขององค์กร สิ่งสำคัญ คือ ต้องคำนึงถึงความจำเป็นขององค์กร และ ประโยชน์ของการจัดการ การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ อีกด้วย
ความรับผิดชอบ
ทางแผนกการตลาด มีหน้าที่รับผิดชอบในการกรอกเว็บไซต์ และ ตรวจสอบให้แน่ใจว่าเนื้อหาเป็นไปตามข้อกำหนดทางกฎหมาย และ การเมืองอีกด้วย
ทางแผนกไอทีมีหน้าที่รับผิดชอบด้านความปลอดภัย ฟังก์ชันการทำงาน และ โครงสร้างพื้นฐานของเว็บไซต์ผู้ดูแลระบบจะติดตามการทำงานของเว็บไซต์ของเราเพื่อความรวดเร็วในการตอบสนองและการแก้ไขปัญหาใด ๆ ที่เกิดขึ้น
การแจ้งให้ทราบและการสื่อสาร
สิ่งสำคัญ คือ ทุกด้านของการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ รวมถึงการรักษาความลับ ความเป็นส่วนตัว และ ขั้นตอนที่เกี่ยวข้องกับการเข้าถึงระบบ ถูกรวมเข้าไว้ในขั้นตอนการรับพนักงานเข้ารับตำแหน่งอย่างเป็นทางการ และ แจ้งให้พนักงานปัจจุบันทราบอย่างสม่ำเสมอ
พนักงานจะต้องได้รับแจ้งเมื่อเริ่มต้นการจ้างงานว่า พวกเขาจะต้องไม่เปิดเผยข้อมูลใด ๆ ที่พวกเขาอาจเข้าถึงได้ในขณะที่ปฏิบัติหน้าที่ พนักงานควรได้รับแจ้งด้วยว่า พวกเขาไม่ควรพยายามเข้าถึงข้อมูลที่ไม่จำเป็นสำหรับการปฏิบัติหน้าที่ตามปกติ