Cyber Security Policy

นโยบายความมั่นคงปลอดภัยไซเบอร์ และสารสนเทศ

(Cyber Security and Information Technology Policy)

 

คณะกรรมการ บริษัท ไหมทอง จำกัด  ให้ความสำคัญกับความมั่นคง ปลอดภัยไซเบอร์ และสารสนเทศ ซึ่งเป็นปัจจัยสำคัญในการสนับสนุนการดำเนินธุรกิจของบริษัท จึงกำหนดให้ มีการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ และสารสนเทศ อย่างมีประสิทธิภาพ สอดคล้องกับ พระราชบัญญัติว่าด้วยการกระทำความผิดทางคอมพิวเตอร์ พ.ศ. 2560 และพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายอื่นๆ ที่เกี่ยวข้อง และแนวปฏิบัติที่เป็นมาตรฐานสากล

ดังนั้น เพื่อให้บุคลากรของบริษัทรับทราบถึงหน้าที่ ข้อปฏิบัติเกี่ยวกับระบบเทคโนโลยีสารสนเทศ อันเป็นความรับผิดชอบร่วมกันของคณะกรรมการบริษัท ผู้บริหาร พนักงาน และบุคคลที่เกี่ยวข้องทุกคน โดย กำหนดแนวทางปฏิบัติ เป็นลายลักษณ์อักษร ดังนี้

  1. กำหนดให้ฝ่ายบริหารมีทิศทาง และการสนับสนุนเรื่องความมั่นคงปลอดภัยไซเบอร์ สอดคล้องกับ กฎหมาย ระเบียบ ข้อบังคับต่างๆ รวมถึงเผยแพร่แก่บุคคลที่เกี่ยวข้องทั้งภายใน และภายนอก บริษัททราบ อีกทั้งยังต้องมีการทบทวนอย่างสม่ำเสมอ
  2. ให้จัดทำโครงสร้างบริษัท สำหรับบริหารให้เกิดการปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์ และสารสนเทศ ในทุกกระบวนการดำเนินงาน และโครงการต่างๆของบริษัท โดยกำหนดหน้าที่ ความรับผิดชอบ ช่องทางการติดต่อ ของบุคลากร รวมถึงหน่วยงาน ทั้งภายใน และภายนอก บริษัท ให้มีการควบคุมสิทธิ์การปฏิบัติงานจากระยะไกล และอุปกรณ์คอมพิวเตอร์พกพา
  3. ก่อนการจ้างงาน ให้มีการตรวจสอบประวัติ และกำหนดหน้าที่ความรับผิดชอบไว้ในข้อสัญญา ของผู้ปฏิบัติงาน และคู่สัญญา ในระหว่างการจ้างงานให้มีการสร้างความตระหนักถึงภัยไซเบอร์ ที่ต้องระมัดระวัง รวมถึงโทษทางวินัย หากไม่ปฏิบัติ หรือละเมิด และเมื่อสิ้นสุดการจ้างงาน

บริษัทต้องมีการยกเลิกการเข้าถึงสิทธิ์ต่างๆ ทั้งนี้ผู้ปฏิบัติงาน และคู่สัญญา ยังคงมีหน้าที่ ความรับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์ และสารสนเทศตามที่บริษัทกำหนด

  1. ให้จัดหมวดหมู่ทรัพย์สิน และสถานที่สารสนเทศพร้อมทำป้ายบ่งชี้ โดยแบ่งตามข้อกำหนด กฎหมาย ประโยชน์คุณค่า มูลค่า หรือความสำคัญ พร้อมทั้งทำบัญชีทรัพย์สินที่ระบุหมวดหมู่ ทรัพย์สิน ผู้รับผิดชอบ ผู้เบิกใช้ และทบทวนอยู่เสมอ เพื่อบริหาร และจัดการสื่อบันทึกข้อมูลที่ เหมาะสมต่างๆ เช่น เรียกคืนทรัพย์สินเมื่อสิ้นสุดการจ้างงานหรือสัญญา วิธีการทำลายที่ เหมาะสมกับระดับการป้องกันเมื่อยกเลิกใช้งาน
  2. จัดให้มีการทำทะเบียน และควบคุมผู้ใช้งาน ครอบคลุมถึงผู้มีสิทธิพิเศษ ที่เข้าถึงสารสนเทศ และบริการเครือข่ายได้เฉพาะส่วนที่ได้รับอนุญาตเท่านั้น ต้องทบทวนอยู่เสมอ โดยผู้ดูแลระบบ รวมถึงผู้พัฒนาระบบ มีหน้าที่รักษาความลับ และควบคุมการเข้าถึงระบบสารสนเทศ และ ผู้ใช้งานมีหน้าที่รักษาข้อมูลความลับสำหรับการพิสูจน์ตัวตน
  3. ให้มีการเข้ารหัสข้อมูล โดยพิจารณาระดับการป้องกันตามนโยบาย และระยะเวลาที่กำหนด พร้อมทั้งทำบัญชีระบบ ที่มีการใช้งาน และการเข้ารหัสข้อมูล
  4. ให้มีการจัดทำกระบวนการปฏิบัติ ควบคุมพื้นที่เข้า-ออก สำหรับพื้นที่ควบคุม สำนักงาน และอื่นๆ เพื่อป้องกันความเสียหาย การจารกรรม อันตราย อันเป็นการรบกวนการดำเนินงาน ของบริษัทรวมถึงจัดวาง ติดตั้ง ป้องกัน และบำรุงรักษาอุปกรณ์สารสนเทศ ให้พร้อมใช้งานอยู่ เสมอ
  5. ให้จัดทำขั้นตอนปฏิบัติสำหรับการคาดการณ์ทรัพยากรที่ระบบต้องการใช้ การแยกระบบระหว่าง การพัฒนากับระบบที่ให้บริการออกจากกัน การจัดการป้องกันโปรแกรมไม่พึงประสงค์ การสำรองข้อมูล การลงบันทึกเหตุการณ์ การบริหารจัดการช่องโหว่ทางเทคนิค การตรวจสอบ ระบบ และการเฝ้าระวังการควบคุมการติดตั้งซอฟต์แวร์บนระบบที่ให้บริการ รวมถึงทบทวน เมื่อมีการเปลี่ยนแปลงกระบวนทำงานที่สำคัญหรือตามรอบเวลาที่นโยบายกำหนด
  6. ให้กำหนดความปลอดภัยไซเบอร์ เป็นส่วนหนึ่งของความต้องการระบบ พร้อมทั้งจัดทำขั้นตอน ปฏิบัติที่ปลอดภัยสำหรับ การพัฒนาระบบขึ้นเอง การจัดซื้อ การจัดจ้าง หรือการใช้เครือข่าย สาธารณะ ให้ครอบคลุมกระบวนการ การจัดหา การพัฒนา การตรวจรับ และการบำรุงรักษา
  7. ให้มีข้อตกลงกำหนดความมั่นคงปลอดภัยทางไซเบอร์ และสารสนเทศกับคู่ค้า ที่เกี่ยวข้องกับ ห่วงโซ่อุปทานของบริการ และผลิตภัณฑ์ โดยพิจารณาข้อกำหนดจากการเข้าถึง การดำเนินงาน การจัดเก็บ และติดต่อสื่อสาร หรือจัดหาส่วนประกอบโครงสร้างพื้นฐานด้านสารสนเทศ รวมถึง ให้มีการเฝ้าระวัง ตรวจสอบ ทบทวน และประเมินความเสี่ยงการให้บริการของคู่ค้าอย่าง สม่ำเสมอ
  8. กำหนดหน้าที่ และขั้นตอนปฏิบัติของผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์ และ สารสนเทศ ผู้ปฏิบัติงาน อันประกอบด้วย ผู้บริหารที่เกี่ยวข้อง ผู้ใช้งาน ผู้ดูแลระบบสารสนเทศ ผู้พัฒนาระบบ คู่สัญญา และบุคคลอื่น ๆ ที่เกี่ยวข้องต้องจดบันทึก และรายงานจุดอ่อน ความมั่นคงปลอดภัยไซเบอร์ และสารสนเทศ ที่มีในระบบ หรือบริการที่ตนเองใช้งาน รวมถึง รายงานโดยทันทีที่พบเหตุการณ์ หลังเกิดเหตุการณ์ให้ศึกษา และวิเคราะห์แล้วนำความรู้ที่ได้มา ป้องกันเหตุที่จะเกิดในอนาคต รวมถึงการบ่งชี้ การเก็บรวบรวม การได้มา และการเก็บรักษา ทรัพย์สินสารสนเทศ ซึ่งสามารถใช้เป็นหลักฐานได้
  9. จัดให้มีข้อกำหนดการตอบสนองต่อความมั่นคงปลอดภัยไซเบอร์ และการวางแผนการจัดการ เพื่อสร้างความต่อเนื่องของการดำเนินธุรกิจ ในสถานการณ์วิกฤต หรือภัยพิบัติ ต้องเตรียม เอกสาร กระบวนการทำงาน ระบบงาน อาทิ ระบบสำรองฉุกเฉิน เพื่อควบคุมความเสียหาย ให้อยู่ในระดับที่กำหนด ทั้งนี้ให้มีการปรับปรุง และทดสอบดำเนินการอย่างสม่ำเสมอ
  10. ระบุข้อกำหนด ระเบียบ ข้อบังคับ มาตรฐาน กฎหมาย และข้อกำหนดทางเทคนิคสำหรับป้องกัน ข้อมูล โดยเฉพาะข้อมูลส่วนบุคคล จากการสูญหาย ถูกทำลาย ปลอมแปลง เข้าถึง และเปิดเผย ที่ไม่ได้รับอนุญาต ลงในขั้นตอนปฏิบัติสำหรับระบบสารสนเทศ ต่างๆที่เกี่ยวข้อง เป็นลายลักษณ์ อักษรอย่างชัดเจน ทั้งนี้จำเป็นต้องปรับปรุงให้สอดคล้องกับกฎหมายอยู่เสมอ

 

วันที่มีผล: ตั้งแต่วันที่ 1 มีนาคม 2568 เป็นต้นไป

เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวเองได้ของคุณได้เองโดยคลิกที่ ตั้งค่า

ยอมรับ
ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • เปิดใช้งานตลอด

บันทึกการตั้งค่า