นโยบาย และ ข้อตกลง

INFORMATION SECURITY POLICY

นโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ

บริษัท ที.เอช.นิค จำกัด ต่อไปนี้เรียกว่า “บริษัทฯ” ได้นำระบบเทคโนโลยีสารสนเทศมาใช้ในการ ดำเนินธุรกิจเพื่ออำนวยความสะดวกแก่พนักงานในการปฏิบัติงาน ดังนั้นเพื่อให้ระบบเทคโนโลยีสารสนเทศ รองรับการตอบสนองต่อความคาดหวังและความต้องการของผู้มีส่วนได้เสีย โดยเฉพาะการมีแนวปฏิบัติ มีเครื่องมือ มีมาตรฐานที่ใช้ดำเนินการที่ทันสมัย มีประสิทธิภาพ และมีความปลอดภัยสอดคล้องตาม มาตรฐานสากล เพื่อให้การดำเนินการใดๆ ด้านเทคโนโลยีสารสนเทศของบริษัทฯ มีความมั่นคงปลอดภัยและ น่าเชื่อถือ ตลอดจนข้อมูลและสินทรัพย์สารสนเทศของบริษัทฯ ได้รับการดูแลรักษาอย่างเหมาะสม โดย คำนึงถึงความเสี่ยงจากภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศ และด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้น มาตรการในการรักษาความลับ ความถูกต้อง ครบถ้วน สมบูรณ์ และความพร้อมใช้ต่อการ ดำเนินงานอย่างเหมาะสม รวมถึงสอดคล้องกับข้อบังคับ กฎ ระเบียบ กฎหมายด้านความมั่นคงปลอดภัยสารสนเทศ จึงได้กำหนดนโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศไว้ดังนี้

1. การตรวจสอบและประเมินความเสี่ยง

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องจัดให้มีการบริหาร จัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ โดยให้ครอบคลุมถึงการระบุความเสี่ยง การประเมินความเสี่ยง และ การควบคุมความเสี่ยงให้อยู่ในเกณฑ์ที่บริษัทฯ ยอมรับได้ รวมถึงจัดให้มีผู้รับผิดชอบในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศอย่างเหมาะสม เพื่อให้มั่นใจว่าการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศถูกจัดการอย่างเหมาะสม

2. การบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องจัดให้มีการบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับแผนกลยุทธ์บริษัทฯ โดยให้ครอบคลุมถึงการบริหารทรัพยากรบุคคลและระบบเทคโนโลยีสารสนเทศที่เพียงพอต่อการดำเนินงานด้านเทคโนโลยีสารสนเทศ รวมถึงจัดให้มีการจัดการความเสี่ยงสำคัญในกรณีที่ไม่สามารถจัดสรรทรัพยากรได้เพียงพอต่อการดำเนินงานด้านเทคโนโลยีสารสนเทศ

3. การรักษาความปลอดภัยต่อทรัพย์สินสารสนเทศ

3.1 การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรฐานการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ สำหรับการควบคุมเข้าถึงและการใช้งานระบบสารสนเทศของบริษัทฯ ให้เหมาะสมกับประเภทของข้อมูล ลำดับความสำคัญ หรือลำดับชั้นความลับของข้อมูล รวมทั้งระดับชั้นการเข้าถึง และช่องทางการเข้าถึง และ จัดให้มีการป้องกันการบุกรุกผ่านระบบเครือข่ายจากผู้บุกรุกรวมถึงจากโปรแกรมที่ไม่พึงประสงค์ที่จะสร้างความเสียหายให้แก่ข้อมูลของบริษัทฯ

3.2 การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายที่ให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรการป้องกัน ควบคุมการใช้งาน และการบำรุงรักษาด้านกายภาพของทรัพย์สินสารสนเทศ และอุปกรณ์สารสนเทศซึ่งเป็นโครงสร้างพื้นฐานที่สนับสนุนการทำงานของระบบสารสนเทศของบริษัทฯ ให้อยู่ในสภาพที่มีความสมบูรณ์พร้อมใช้ รวมถึงป้องกันการเข้าถึงทรัพย์สินสารสนเทศหรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต

3.3 การจัดการข้อมูลสารสนเทศและการรักษาความลับ

(1) การจำแนกประเภททรัพย์สินสารสนเทศ

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯต้องดำเนินการ ตามนโยบายการจัดชั้นความความลับของข้อมูล ซึ่งมีการจัดการหมวดหมู่ของทรัพย์สินสารสนเทศ และจัดลำดับชั้นความลับของสารสนเทศโดยมีการกำหนดชั้นความลับให้สอดคล้องกับกฎหมาย และ ข้อกำหนดที่เกี่ยวข้องกับบริษัทฯ

(2) การจัดทำระบบสำรองและแผนรองรับกรณีเกิดเหตุฉุกเฉิน

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องจัดทำระบบสารสนเทศสำรองที่เหมาะสมให้อยู่ในสภาพพร้อมใช้งานโดยคัดเลือกระบบสารสนเทศที่สำคัญ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง โดยต้องปรับปรุงแผนเตรียมความพร้อม กรณีฉุกเฉินดังกล่าวให้สามารถปรับใช้ได้อย่างเหมาะสมและสอดคล้องกับการใช้งานตามการดำเนินงาน พร้อมทั้งต้องมีการกำหนดหน้าที่และความรับผิดชอบของบุคลากรซึ่งดูแลรับผิดชอบ ระบบสารสนเทศ ระบบสารสนเทศสำรอง และให้มีการทดสอบสภาพพร้อมใช้งานของระบบสารสนเทศระบบสำรอง และแผนรองรับกรณีเกิดเหตุฉุกเฉินอย่างสม่ำเสมอ

(3) การควบคุมการเข้ารหัสข้อมูล

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรการการเข้ารหัสลับข้อมูลและแนวทางการเลือกมาตรฐานการเข้ารหัสลับข้อมูลโดยให้มีความเหมาะสมกับความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลในแต่ละลำดับชั้นความลับที่กำหนดไว้ รวมทั้งติดตามให้มีการปฏิบัติให้เป็นไปตามนโยบายและวิธีการดังกล่าวอย่างสม่ำเสมอ

3.4 การควบคุมดูแลบุคลากรผู้ปฏิบัติงาน

(1) การควบคุมการใช้งานของผู้ใช้งาน

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องจัดให้มีการควบคุมการใช้งานทรัพย์สินสารสนเทศและระบบสารสนเทศ ดังนี้

1. กำหนดมาตรการป้องกันทรัพย์สินสารสนเทศประเภทอุปกรณ์ระหว่างที่ไม่มีผู้ใช้งาน

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดให้มีมาตรการที่เหมาะสมเพื่อป้องกันทรัพย์สินสารสนเทศประเภทอุปกรณ์ระหว่างที่ไม่มีผู้ใช้งาน โดยพิจารณาจากความเสี่ยงที่บุคคลอื่นจะเข้ามาใช้งานแทนผู้ใช้งานตัวจริง

2. กำหนดการใช้งานอุปกรณ์เคลื่อนที่และการปฏิบัติงานจากเครือข่ายภายนอกบริษัทฯ

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดให้มีมาตรการที่เหมาะสมควบคุมความมั่นคงปลอดภัยของอุปกรณ์สื่อสารประเภทพกพา โดยพิจารณาจากความเสี่ยงที่มีการนำอุปกรณ์เข้ามาเชื่อมต่อกับเครือข่ายคอมพิวเตอร์ของบริษัทฯรวมถึงกำหนดมาตรการควบคุมสำหรับการนำอุปกรณ์ออกไปใช้งานภายนอกบริษัทฯ

(2) การควบคุมดูแลผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ (IT Outsourcing)

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องมีข้อกำหนดและกรอบการปฏิบัติงานของผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีความมั่นคงปลอดภัย โดยต้องครอบคลุมกรณีที่ผู้รับดำเนินการมีการให้ผู้บริการภายนอกรายอื่น (Sub-Contract) รับช่วงจัดการงานด้านเทคโนโลยีสารสนเทศ และต้องมีเจ้าหน้าที่ภายในเป็นผู้กำกับดูแล

3.5 การจัดการระบบเครือข่ายคอมพิวเตอร์และการรับส่งข้อมูลสารสนเทศ

(1) การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องควบคุมกำกับให้มีการบริหารจัดการการควบคุมเครือข่ายคอมพิวเตอร์ให้มีความมั่นคงปลอดภัย และควบคุมให้มีการกำหนดคุณสมบัติทางด้านความมั่นคงปลอดภัย ระดับของการให้บริการ และความต้องการด้านการบริหารจัดการของ การให้บริการเครือข่ายในข้อตกลงหรือสัญญาการให้บริการด้านเครือข่ายต่างๆ ทั้งที่เป็นการให้บริการจากภายในหรือภายนอก รวมถึงจัดให้มีการแบ่งแยกระบบเครือข่ายคอมพิวเตอร์ตามความเหมาะสม โดยต้องพิจารณาถึงความต้องการเข้าถึงระบบเครือข่าย ผลกระทบทางด้านความมั่นคงปลอดภัยสารสนเทศ และระดับความสำคัญของข้อมูลที่อยู่บนเครือข่ายนั้น

(2) การควบคุมการรับส่งข้อมูลสารสนเทศ

1. เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรการในการควบคุมการรับส่งข้อความทางอิเล็กทรอนิกส์ (Electronic Messaging) เช่น จดหมาย อิเล็กทรอนิกส์ (E-Mail) หรือ Instant Messaging เป็นต้น โดยข้อความทางอิเล็กทรอนิกส์ที่สำคัญ จะต้องได้รับการป้องกันอย่างเหมาะสมจากการพยายามเข้าถึง การแก้ไขการรบกวนทำให้ระบบหยุดให้บริการจากผู้ไม่มีสิทธิ

2. ผู้บริหารต้องจัดให้บุคลากรและหน่วยงานภายนอกที่ปฏิบัติงานให้บริษัทฯ มีการทำสัญญารักษาความลับหรือไม่เปิดเผยข้อมูลของบริษัทฯ อย่างเป็นลายลักษณ์อักษร

3.6 การป้องกันภัยคุกคามต่อระบบสารสนเทศ

(1) การป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรการสำหรับการตรวจจับ การป้องกัน และการกู้คืนระบบเพื่อป้องกันทรัพย์สินจากซอฟต์แวร์ไม่ประสงค์ดี รวมทั้งต้องมีการสร้างความตระหนักที่เกี่ยวข้องให้กับผู้ใช้งานอย่างเหมาะสม

(2) การบริหารจัดการช่องโหว่ทางเทคนิค

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องควบคุมให้ระบบสารสนเทศของบริษัทฯ ได้รับการพิสูจน์ถึงช่องโหว่ทางเทคนิคซึ่งอาจเกิดขึ้นได้ โดยให้เป็นไปตามหลักเกณฑ์ ดังต่อไปนี้

1. จัดให้มีการทดสอบการเจาะระบบ (Penetration Test) กับระบบงานที่มีความสำคัญที่เชื่อมต่อกับระบบเครือข่ายภายนอก (Untrusted Network) และเป็นไปตามการวิเคราะห์ความเสี่ยง และผลกระทบทางธุรกิจ (Risk and Business Impact Analysis) โดยต้องทดสอบอย่างน้อยทุก 1 ปี และเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสำคัญ

2. จัดให้มีการประเมินช่องโหว่ของระบบ (Vulnerability Assessment) กับระบบงานที่มีความสำคัญทุกระบบอย่างน้อยปีละ 1 ครั้งและเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสำคัญ และรายงานผลไปยังหน่วยงานที่เกี่ยวข้องเพื่อให้รับทราบและหาแนวทางการแก้ไขและป้องกัน

3. จัดให้มีการทดสอบขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศอย่างน้อยปีละ 1 ครั้ง

3.7 การจัดหาพัฒนา และ ดูแลรักษาระบบสารสนเทศ

เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องจัดให้มีข้อกำหนดในการจัดหาพัฒนา และดูแลรักษาระบบสารสนเทศที่เหมาะสม เพื่อลดความผิดพลาดในการกำหนดความต้องการ การออกแบบ การพัฒนา และการทดสอบระบบสารสนเทศที่มีการพัฒนาขึ้นใหม่หรือปรับปรุงระบบงานเพิ่มเติม รวมถึงควบคุมให้ระบบงานที่พัฒนาหรือจัดหาเป็นไปตามข้อตกลงที่กำหนดไว้

4. การทบทวนนโยบาย

กำหนดให้มีการทบทวนนโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศให้เป็นปัจจุบันอย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ ทั้งนี้เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ และฝ่ายอื่นๆ ที่เกี่ยวข้องต้องปรับปรุงขั้นตอนและวิธีปฏิบัติงานให้สอดคล้องกับนโยบายที่มีการเปลี่ยนแปลง

5. การประเมินผลการปฏิบัติงานและการตรวจประเมินระบบมาตรฐานภายใน

กำหนดให้มีการตรวจประเมินระบบมาตรฐานภายใน โดยกำหนดให้มีการตรวจประเมินและวัดผลการปฏิบัติงานตามกฎหมาย ระเบียบ ข้อบังคับที่สำนักงานกำหนด รวมถึงมาตรฐานต่าง ๆ ที่จำเป็นต่อการดำเนินงานของสำนักงาน เพื่อมั่นใจถึงประสิทธิภาพในการปฏิบัติงานและความมั่นคงปลอดภัยในข้อมูล รวมถึงระบบสารสนเทศของสำนักงาน

6. บทบังคับใช้

นโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศนี้ให้ใช้บังคับกับ พนักงาน ลูกจ้าง ลูกจ้างของ บริษัท ที.เอช.นิค จำกัด รวมถึงบุคคลภายนอก และหน่วยงานภายนอกที่ให้บริการแก่บริษัทฯ โดยมีผลบังคับใช้ตั้งแต่วันถัดจากวันประกาศเป็นต้นไป