Profilerr
  • Profilerr
  • นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ช่วยให้สร้างพื้นฐานสำหรับการรักษาความปลอดภัยของข้อมูล อำนวยความสะดวกในการตัดสินใจด้านการจัดการความปลอดภัย และกำหนดวัตถุประสงค์ที่สร้าง ส่งเสริม และบังคับใช้การควบคุมการรักษาความปลอดภัยด้านสารสนเทศ ที่ดีที่สุดเท่าที่จะเป็นไปได้ด้วย นโยบายนี้ครอบคลุมถึงข้อมูลและระบบสารสนเทศทั้งหมด รวมถึงข้อมูลและระบบสารสนเทศที่ใช้ จัดการ หรือดำเนินการโดยบริษัทบนเว็บไซต์นี้ นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ มุ่งหวังที่จะปกป้องความเป็นส่วนตัว ความสมบูรณ์ และ ความพร้อมใช้งานของข้อมูล  การจำแนกประเภทและการประมวลผลข้อมูล ตลอดจนการต่อต้านการละเมิดนโยบายดังกล่าว

นโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ จัดให้มีชุดมาตรการป้องกันที่ครอบคลุม ซึ่งจะต้องนำไปใช้อย่างเท่าเทียมกันทั่วทั้งเว็บไซต์ของเรา เพื่อจัดให้มีสภาพแวดล้อมการทำงานที่ปลอดภัยสำหรับการดำเนินงานเว็บไซต์

วัตถุประสงค์

การจัดการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ประกอบด้วยทางเลือกอย่างมีเหตุมีผล และการนำปัจจัยการควบคุมที่เหมาะสมไปใช้อย่างมีประสิทธิผล เพื่อปกป้องสินทรัพย์ด้านสารสนเทศสำคัญขององค์กร.  กระบวนการควบคุมและการจัดการ ควบคู่ไปกับการติดตามตรวจสอบความเหมาะสมและประสิทธิผลในเวลาต่อมา เป็นองค์ประกอบหลักสองประการของโปรแกรมการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ วัตถุประสงค์สามประการของการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ประกอบด้วย:

  • การปกป้องความเป็นส่วนตัว: การปกป้องความเป็นส่วนตัว ไม่ให้เปิดเผยต่อบุคคลหรือระบบที่ไม่ได้รับอนุญาต
  • ความสมบูรณ์: การปกป้องความถูกต้อง ความสมบูรณ์ และทันเวลาของข้อมูล
  • ความพร้อมใช้งาน: จัดให้มีการเข้าถึงข้อมูล และ บริการที่สำคัญยิ่งใหญ่ให้แก่ผู้ใช้ที่ได้รับอนุญาต เมื่อจำเป็น

ขอบเขตแห่งการประยุกต์ใช้

นโยบายนี้ใช้กับพนักงาน ผู้รับเหมา หุ้นส่วน ผู้ฝึกงาน/ผู้เข้ารับการฝึกอบรมที่ทำงานให้กับบริษัทของเราทุกคน ผู้ให้บริการบุคคลที่สามที่ให้บริการโฮสติ้ง หรือ ผู้ให้บริการบุคคลที่สามซึ่งมีการจัดเก็บข้อมูลไว้นอกสถานที่ของบริษัท จะต้องปฏิบัติตามนโยบายนี้ด้วย

ขอบเขตแห่งการประยุกต์ใช้ของนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศนี้ ใช้กับข้อมูลที่จัดเก็บ ส่ง และประมวลผลภายในบริษัทของเราตลอดจนข้อมูลของบริษัทที่มาจากภายนอก อีกด้วย

วัตถุประสงค์ต่าง ๆ

วัตถุประสงค์ของนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ คือ การให้แนวทางให้แก่บริษัทของเรา ในการบริหารความเสี่ยงด้านสารสนเทศ และแนวปฏิบัติในการปกป้องสินทรัพย์ด้านสารสนเทศ สำหรับทุกแผนก

การจำแนกประเภทสินทรัพย์ด้านสารสนเทศ

สินทรัพย์ด้านสารสนเทศของบริษัท แบ่งออกเป็นสี่หมวดหมู่ กล่าวคือ สาธารณะ ภายใน เป็นส่วนตัว  และ มีการเข้าถึงที่จำกัด   สินทรัพย์ด้านสารสนเทศหลักทั้งหมดต้องมีเจ้าของที่ได้รับมอบหมายซึ่งมีหน้าที่รับผิดชอบในการสร้างขั้นตอนการรับรองความถูกต้อง และ การอนุญาตที่เหมาะสมกับหมวดหมู่เหล่านี้ โดยระบุว่า:

  1. ข้อมูลที่เปิดเผยต่อสาธารณะ  โดยทั่วไปสามารถจัดหา หรือ เผยแพร่สู่สาธารณะได้ ข้อมูลที่เปิดเผยต่อสาธารณะ  คือ ข้อมูลที่ไม่ต้องการการปกป้อง และเมื่อใช้ตามที่ตั้งใจไว้ จะไม่มีผลกระทบเชิงลบ เพียงเล็กน้อยหรือไม่มีเลยต่อกิจกรรม สินทรัพย์ หรือ ชื่อเสียงของภาระผูกพันในการรักษาข้อมูลที่เป็นส่วนตัวของบริษัท
  2. ข้อมูลที่เป็นเรื่องส่วนตัว มีไว้สำหรับการใช้ภายในเท่านั้น และสามารถเข้าถึงได้โดยพนักงานที่ต้องการข้อมูลที่เป็นเรื่องส่วนตัวดังกล่าว เพื่อปฏิบัติหน้าที่ของบริษัทเท่านั้น (ข้อมูลที่เป็นเรื่องควส่วนตัว รวมถึงข้อมูลที่ได้รับการคุ้มครองตามกฎหมายของรัฐบาล หรือ ข้อผูกพันตามสัญญาทางธุรกิจ) และ ต้องการการปกป้องความเป็นส่วนตัวและความปลอดภัยอีกด้วย
  3. ข้อมูลที่มีการเข้าถึงที่จำกัด   ซึ่งจะต้องเก็บเป็นความลับอย่างเคร่งครัด โดยเข้าถึงได้ให้เป็นไปตามหลักการ "จำเป็นต้องรู้" ตัวอย่าง ได้แก่ ข้อมูลที่มีผลกระทบต่อผลประโยชน์ของชาติและ/หรือความมั่นคงของชาติ

พนักงานทุกคน จะต้องตระหนักถึงความรับผิดชอบทางกฎหมาย และองค์กรของตน สำหรับการใช้ ถ่ายโอน หรือ เปิดเผยข้อมูลอย่างไม่เหมาะสมให้แก่บุคคลอื่น ส่วนบุคคลที่สามใด ๆ ที่ได้รับข้อมูลที่เป็นเรื่องตัว หรือ ข้อมูลที่มีการเข้าถึงที่จำกัด  จะต้องได้รับอนุญาตให้ทำเช่นนั้น และ บุคคลนั้น หรือ องค์กรของเขา จะต้องใช้มาตรการรักษาความปลอดภัยด้านสารสนเทศ ที่รับรองการรักษาความส่วนตัว และความสมบูรณ์ของข้อมูลเหล่านี้

ข้อมูลที่เป็นเรื่องส่วนตัว ควรได้รับการปกป้องเพื่อป้องกันการเข้าถึงหรือเปิดเผยโดยไม่ได้รับอนุญาต

ข้อมูลที่มีการเข้าถึงที่จำกัด มีระดับความละเอียดอ่อนสูงสุด และก่อ ให้เกิดความเสี่ยงสูงสุดต่อบริษัท ประเทศ และบุคคลต่าง ๆ หากมีการเข้าถึง หรือ เป็นที่รู้จักของผู้ที่ไม่ได้รับอนุญาตได้ ดังนั้น พนักงานของบริษัทที่ทำงานกับข้อมูลที่มีการเข้าถึงที่จำกัด   หรือ ใช้ระบบที่จัดเก็บ ส่ง หรือจัดการข้อมูลที่มีการเข้าถึงที่จำกัด   จึงจำเป็นต้องรักษาความเป็นส่วนตัว  ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล/รายละเอียดดังกล่าวตลอดเวลา

การจัดการการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

การจัดการการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ประกอบด้วยผู้นำ โครงสร้างองค์กร และกระบวนการที่ปกป้องข้อมูล และ บรรเทาภัยคุกคามด้านความปลอดภัยด้านสารสนเทศที่เพิ่มมากขึ้น

ผลลัพธ์ที่สำคัญในการจัดการการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ  ได้แก่:

  • การจัดแนวการรักษาความปลอดภัยด้านสารสนเทศให้สอดคล้องกับกลยุทธ์ทางธุรกิจเพื่อเพื่อรองรับเป้าหมายขององค์กร
  • จัดการ และ ลดความเสี่ยงและลดผลกระทบที่อาจเกิดขึ้นกับทรัพยากรสารสนเทศให้อยู่ในระดับที่ยอมรับได้
  • การจัดการประสิทธิภาพของการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ โดยการวัด ติดตาม และรายงานตามตัวชี้วัดการจัดการการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ  เพื่อจัดให้มีการบรรลุเป้าหมายขององค์กร
  • ให้ปรับการลงทุนด้านการรักษาความมั่นคงปลอดภัยด้านสารสนเทศให้เหมาะสมเพื่อรองรับเป้าหมายขององค์กร สิ่งสำคัญ คือ ต้องคำนึงถึงความจำเป็นขององค์กร และ ประโยชน์ของการจัดการ การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ  อีกด้วย

ความรับผิดชอบ

ทางแผนกการตลาด มีหน้าที่รับผิดชอบในการกรอกเว็บไซต์ และ ตรวจสอบให้แน่ใจว่าเนื้อหาเป็นไปตามข้อกำหนดทางกฎหมาย และ การเมืองอีกด้วย

ทางแผนกไอทีมีหน้าที่รับผิดชอบด้านความปลอดภัย ฟังก์ชันการทำงาน และ โครงสร้างพื้นฐานของเว็บไซต์ผู้ดูแลระบบจะติดตามการทำงานของเว็บไซต์ของเราเพื่อความรวดเร็วในการตอบสนองและการแก้ไขปัญหาใด ๆ ที่เกิดขึ้น

การแจ้งให้ทราบและการสื่อสาร

สิ่งสำคัญ คือ ทุกด้านของการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ รวมถึงการรักษาความลับ ความเป็นส่วนตัว และ ขั้นตอนที่เกี่ยวข้องกับการเข้าถึงระบบ  ถูกรวมเข้าไว้ในขั้นตอนการรับพนักงานเข้ารับตำแหน่งอย่างเป็นทางการ และ แจ้งให้พนักงานปัจจุบันทราบอย่างสม่ำเสมอ

พนักงานจะต้องได้รับแจ้งเมื่อเริ่มต้นการจ้างงานว่า พวกเขาจะต้องไม่เปิดเผยข้อมูลใด ๆ ที่พวกเขาอาจเข้าถึงได้ในขณะที่ปฏิบัติหน้าที่  พนักงานควรได้รับแจ้งด้วยว่า พวกเขาไม่ควรพยายามเข้าถึงข้อมูลที่ไม่จำเป็นสำหรับการปฏิบัติหน้าที่ตามปกติ