Sirisoft Information Technology Policy
นโยบายด้านเทคโนโลยีสารสนเทศ
บริษัท สิริซอฟต์ จำกัด (มหาชน) (“บริษัท”) มีนโยบายที่จะให้พนักงาน และผู้ปฏิบัติงานที่เกี่ยวข้องกับการใช้ระบบ เทคโนโลยีสารสนเทศ อันประกอบด้วยวงจรเครือข่ายการสื่อสารข้อมูล ระบบซอฟท์แวร์ที่ใช้ในการปฏิบัติการและการ ประมวลผลข้อมูล เครื่องคอมพิวเตอร์ พร้อมอุปกรณ์ต่อพ่วง แฟ้มข้อมูล และข้อมูลของบริษัท อย่างมีประสิทธิภาพ ไม่ขัดต่อ กฎหมาย หรือพระราชบัญญัติที่เกี่ยวข้อง โดยมีมาตรฐานความปลอดภัยที่เพียงพอ เพื่อประโยชน์และประสิทธิผลทางธุรกิจ ของบริษัท จึงกำหนดให้ถือปฏิบัติ ดังนี้
- การรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ
- การตรวจสอบและประเมินความเสี่ยง
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องจัดให้มีการบริหารจัดการความเสี่ยงด้าน เทคโนโลยีสารสนเทศ โดยให้ครอบคลุมถึงการระบุความเสี่ยง การประเมินความเสี่ยง และการควบคุมความเสี่ยงให้ อยู่ในเกณฑ์ที่บริษัทยอมรับได้ รวมถึงจัดให้มีผู้รับผิดชอบในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ อย่างเหมาะสม เพื่อให้มั่นใจว่าการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศถูกจัดการอย่างเหมาะสม - การบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องจัดให้มีการบริหารทรัพยากรด้านเทคโนโลยี สารสนเทศให้สอดคล้องกับแผนกลยุทธ์ของบริษัท โดยให้ครอบคลุมถึงการบริหารทรัพยากรบุคคลและระบบ เทคโนโลยีสารสนเทศที่เพียงพอต่อการดำเนินงานด้านเทคโนโลยีสารสนเทศ รวมถึงจัดให้มีการจัดการความเสี่ยง สำคัญในกรณีที่ไม่สามารถจัดสรรทรัพยากรได้เพียงพอต่อการดำเนินงานด้านเทคโนโลยีสารสนเทศ - การรักษาความปลอดภัยต่อทรัพย์สินสารสนเทศ
- การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ
- หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องกำหนดมาตรฐานการรักษา ความปลอดภัยระบบเทคโนโลยีสารสนเทศ สำหรับการควบคุมเข้าถึงและการใช้งานระบบ สารสนเทศของบริษัท ให้เหมาะสมกับประเภทของข้อมูล ลำดับความสำคัญ หรือลำดับชั้น ความลับของข้อมูลรวมทั้งระดับชั้นการเข้าถึง เวลาที่ได้เข้าถึงและช่องทางการเข้าถึง และจัดให้ มีการป้องกันการบุกรุกผ่านระบบเครือข่ายจากผู้บุกรุก รวมถึงจากโปรแกรมที่ไม่พึงประสงค์ที่จะ สร้างความเสียหายให้แก่ข้อมูลของบริษัท
- การใช้งานคอมพิวเตอร์และเทคโนโลยีสารสนเทศของบริษัท จะต้องเป็นไปตามพระราชบัญญัติ ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (และที่ได้แก้ไขเพิ่มเติม) รวมถึงกฎหมาย อื่นใดที่เกี่ยวข้อง
- บริษัทจะจำกัดการเข้าถึงข้อมูลภายในโดยให้เฉพาะผู้บริหารที่เข้าถึงข้อมูลดังกล่าวได้ หรือผู้ที่มี หน้าที่โดยตรงในการบริหารงานต่าง ๆ ที่เกี่ยวข้องเท่านั้น ทั้งนี้ ให้รวมถึงการเปิดเผยข้อมูลที่จำเป็นต่อพนักงานของบริษัท โดยบริษัทจะแจ้งให้พนักงานทราบว่าข้อมูลดังกล่าวนั้นเป็น ความลับ และไม่สามารถเปิดเผยให้แก่บุคคลภายนอกได้
- บริษัทจะจัดระบบรักษาความปลอดภัยเพื่อป้องกันการเข้าถึงข้อมูล และเอกสารที่เป็นความลับ อย่างเคร่งครัด
- พนักงานที่ได้รับอนุญาตให้เข้าถึงข้อมูลที่เป็นความลับ จะต้องใช้ระบบเทคโนโลยีสารสนเทศให้ ถูกต้องตามสิทธิที่ได้รับอนุญาต และจะต้องไม่ยินยอมให้ผู้อื่นใช้ หรือเข้าถึงรหัสผ่านสำหรับเข้า ใช้งานระบบเทคโนโลยีสารสนเทศนั้น
- ห้ามบุคคลใดใช้งานระบบเทคโนโลยีสารสนเทศเพื่อเข้าถึง หรือส่งข้อมูลส่วนตัว หรือข้อมูลที่มี เนื้อหาขัดต่อศีลธรรมอันดีเกี่ยวกับการพนัน การละเมิดสิทธิผู้อื่น หรือกระทบต่อความมั่นคงของ ประเทศชาติ
- หากมีการสื่อสารผ่านสังคมออนไลน์ จะต้องดำเนินการอย่างเหมาะสม ถูกต้องตามความเป็นจริง โดยคำนึงถึงความเป็นธรรมต่อผู้มีส่วนเกี่ยวข้องทุกฝ่าย ไม่ก่อให้เกิดความเสียหายต่อบริษัท และ จะไม่สื่อสารข้อมูลส่วนตัวในฐานะพนักงานของบริษัท ทั้งนี้ การดำเนินการใด ๆ ในฐานะตัวแทน ของบริษัทผ่านสื่อสังคมออนไลน์ จะดำเนินการได้ต่อเมื่อได้รับอนุมัติจากบุคคลหรือฝ่ายที่ รับผิดชอบในเรื่องที่เกี่ยวข้องนั้น ๆ รวมถึงได้ดำเนินการตามอำนาจและขั้นตอนการอนุมัติของ บริษัทแล้วเท่านั้น
- การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
- หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องกำหนดมาตรการป้องกัน ควบคุมการใช้งาน และการบำรุงรักษาด้านกายภาพของทรัพย์สินสารสนเทศและอุปกรณ์ สารสนเทศซึ่งเป็นโครงสร้างพื้นฐานที่สนับสนุนการทำงานของระบบสารสนเทศของบริษัท ให้อยู่ ในสภาพที่มีความสมบูรณ์พร้อมใช้ รวมถึงป้องกันการเข้าถึงทรัพย์สินสารสนเทศหรือการ เปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
- ห้ามบุคคลใดทำการเปลี่ยนแปลง ทำซ้ำ ลบทิ้ง หรือทำลายข้อมูลของบริษัท รวมทั้งห้ามมิให้ เปิดเผยข้อมูลที่มีอยู่ในระบบสารสนเทศของบริษัท โดยไม่ได้รับอนุญาต
- การจัดการข้อมูลสารสนเทศและการรักษาความลับ
- การจำแนกประเภททรัพย์สินสารสนเทศ
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องกำหนดแนวทางการจัด หมวดหมู่ของทรัพย์สินสารสนเทศ และจัดลำดับชั้นความลับของสารสนเทศ โดยต้องกำหนดชั้น ความลับให้สอดคล้องกับกฎหมายและข้อกำหนดที่เกี่ยวข้องกับบริษัท รวมถึงต้องดำเนินการ บริหารจัดการลำดับชั้นความลับข้อมูลตามแนวทางการดำเนินงานที่กำหนดไว้ - การจัดทำระบบสำรองและแผนรองรับกรณีเกิดเหตุฉุกเฉิน
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องจัดทำระบบสารสนเทศ สำรองที่เหมาะสมให้อยู่ในสภาพพร้อมใช้งานโดยคัดเลือกระบบสารสนเทศที่สำคัญ รวมทั้ง จัดทำแผนรองรับกรณีเกิดเหตุฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทาง อิเล็กทรอนิกส์ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง โดยต้องปรับปรุงแผน เตรียมความพร้อมกรณีฉุกเฉินดังกล่าวให้สามารถปรับใช้ได้อย่างเหมาะสมและสอดคล้องกับการ ใช้งานตามการดำเนินงาน พร้อมทั้งต้องมีการกำหนดหน้าที่และความรับผิดชอบของบุคลากรซึ่ง ดูแลรับผิดชอบระบบสารสนเทศ ระบบสารสนเทศสำรอง และการจัดทำแผนรองรับกรณีเกิด เหตุฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์ และให้มีการทดสอบ สภาพพร้อมใช้งานของระบบสารสนเทศ ระบบสำรอง และแผนรองรับกรณีเกิดเหตุฉุกเฉินอย่าง สม่ำเสมอ - การควบคุมการเข้ารหัสข้อมูล
หน่วยงานเจ้าของโครงการ หรือหน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องกำหนดมาตรการการเข้ารหัสลับข้อมูลและแนวทางการเลือกมาตรฐานการเข้ารหัสลับข้อมูล โดยให้มีความเหมาะสมกับความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลในแต่ละลำดับชั้นความลับที่กำหนดไว้ รวมทั้งติดตามให้มีการปฏิบัติให้เป็นไปตามนโยบายและวิธีการดังกล่าวอย่างสม่ำเสมอ - การควบคุมดูแลบุคลากรผู้ปฏิบัติงาน
- การควบคุมการใช้งานของผู้ใช้งาน
หน่วยงานเจ้าของโครงการ หรือหน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องจัดให้มีการควบคุมการใช้งานทรัพย์สินสารสนเทศและระบบสารสนเทศ ดังนี้ - กำหนดมาตรการป้องกันทรัพย์สินสารสนเทศประเภทอุปกรณ์ระหว่างที่ไม่มีผู้ใช้งาน
หน่วยงานเจ้าของโครงการ หรือหน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศ ของบริษัท ต้องกำหนดให้ผู้ใช้งานเข้าใช้เครื่องคอมพิวเตอร์หรือระบบเทคโนโลยี สารสนเทศโดยการใส่รหัสผ่าน และให้ออกจากระบบสารสนเทศ ระบบงาน คอมพิวเตอร์ที่ใช้งาน และเครื่องคอมพิวเตอร์ โดยทันทีเมื่อไม่มีความจำเป็นต้องใช้ งาน หรือเมื่อเสร็จสิ้นการปฏิบัติงาน รวมถึงให้มีการล็อคหน้าจอเครื่องคอมพิวเตอร์ หรืออุปกรณ์ที่สำคัญเมื่อไม่ได้ใช้งานหรือเมื่อออกห่างจากเครื่องคอมพิวเตอร์ตามเวลา ที่กำหนดอย่างเหมาะสม - กำหนดการใช้งานอุปกรณ์เคลื่อนที่และการปฏิบัติงานจากเครือข่ายภายนอกบริษัท
หน่วยงานเจ้าของโครงการ หรือหน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศ ของบริษัท ต้องกำหนดให้มีมาตรการที่เหมาะสมควบคุมความมั่นคงปลอดภัยของ อุปกรณ์สื่อสารประเภทพกพา โดยพิจารณาจากความเสี่ยงที่มีการนำอุปกรณ์เข้ามา เชื่อมต่อกับเครือข่ายคอมพิวเตอร์ของบริษัท รวมถึงกำหนดมาตรการควบคุมสำหรับ การนำอุปกรณ์ออกไปใช้งานภายนอกบริษัท - กำหนดการควบคุมการติดตั้งซอฟต์แวร์บนระบบงาน
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องจัดทำขั้นตอน ปฏิบัติงานและมาตรการควบคุมการติดตั้งซอฟต์แวร์บนระบบที่ให้บริการจริง เพื่อ จำกัดการติดตั้งซอฟต์แวร์โดยผู้ใช้งานและป้องกันการติดตั้งซอฟต์แวร์ที่ไม่ได้รับ อนุญาตให้ใช้งาน และกำหนดรายการซอฟต์แวร์มาตรฐาน (Software Standard) ที่ อนุญาตให้ติดตั้งบนเครื่องคอมพิวเตอร์ของบริษัท อย่างเป็นลายลักษณ์อักษร และ ปรับปรุงให้เป็นปัจจุบันเสมอ รวมถึงสื่อสารให้ผู้ใช้งานภายในบริษัทรับทราบและ ปฏิบัติตาม - การควบคุมดูแลผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ (IT Outsourcing)
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องจัดทำข้อกำหนดและกรอบ การปฏิบัติงานของผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีความ มั่นคงปลอดภัย โดยข้อกำหนดและกรอบการปฏิบัติงานต้องครอบคลุมกรณีที่ผู้รับดำเนินการมี การให้ผู้บริการภายนอกรายอื่น (Sub-Contract) รับช่วงจัดการงานด้านเทคโนโลยีสารสนเทศ - การจัดการระบบเครือข่ายคอมพิวเตอร์และการรับส่งข้อมูลสารสนเทศ
- การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องควบคุม กำกับให้มีการ บริหารจัดการการควบคุมเครือข่ายคอมพิวเตอร์ให้มีความมั่นคงปลอดภัย และควบคุมให้มีการ กำหนดคุณสมบัติทางด้านความมั่นคงปลอดภัย ระดับของการให้บริการ และความต้องการด้าน การบริหารจัดการของการให้บริการเครือข่ายในข้อตกลงหรือสัญญาการให้บริการด้านเครือข่าย ต่าง ๆ ทั้งที่เป็นการให้บริการจากภายในหรือภายนอก รวมถึงจัดให้มีการแบ่งแยกระบบ เครือข่ายคอมพิวเตอร์ตามความเหมาะสม โดยต้องพิจารณาถึงความต้องการเข้าถึงระบบ เครือข่าย ผลกระทบทางด้านความมั่นคงปลอดภัยสารสนเทศ และระดับความสำคัญของข้อมูล ที่อยู่บนเครือข่ายนั้น - การควบคุมการรับส่งข้อมูลสารสนเทศ
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องจัดให้มีการควบคุมข้อมูลที่มี การแลกเปลี่ยนระหว่างหน่วยงานภายในบริษัท รวมทั้งบริษัทย่อย และระหว่างบริษัทกับ หน่วยงานภายนอกโดยให้เป็นไปตามหลักเกณฑ์ดังต่อไปนี้ - แผนกเทคโนโลยีสารสนเทศ ต้องควบคุม กำกับให้มีข้อกำหนดสำหรับการปฏิบัติงาน ในการแลกเปลี่ยนข้อมูลสารสนเทศให้เหมาะสมสำหรับประเภทของการสื่อสารที่ใช้ และประเภทของข้อมูลลำดับชั้นความลับของข้อมูล รวมถึงควบคุมให้มีข้อตกลงในการ แลกเปลี่ยนข้อมูลสารสนเทศทั้งที่เป็นการแลกเปลี่ยนระหว่างหน่วยงานภายในบริษัท รวมทั้งบริษัทย่อย และระหว่างบริษัทกับหน่วยงานภายนอกอย่างเป็นลายลักษณ์อักษร
- แผนกเทคโนโลยีสารสนเทศ ต้องกำหนดมาตรการในการควบคุมการรับส่งข้อความ ทางอิเล็กทรอนิกส์ (Electronic Messaging) เช่น จดหมายอิเล็กทรอนิกส์ (E-Mail) หรือ EDI (Electronic Data Interchange) หรือ Instant Messaging เป็นต้น โดย ข้อความทางอิเล็กทรอนิกส์ที่สำคัญจะต้องได้รับการป้องกันอย่างเหมาะสมจากการ พยายามเข้าถึง การแก้ไข การรบกวนทำให้ระบบหยุดให้บริการจากผู้ไม่มีสิทธิ
- หัวหน้าแผนกเทคโนโลยีสารสนเทศต้องจัดให้บุคลากรและหน่วยงานภายนอกที่ ปฏิบัติงานให้บริษัทมีการทำสัญญารักษาความลับหรือไม่เปิดเผยข้อมูลของบริษัท อย่างเป็นลายลักษณ์อักษร
- การป้องกันภัยคุกคามต่อระบบสารสนเทศ
- การป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี
หน่วยงานเจ้าของโครงการ หรือหน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องกำหนดมาตรการสำหรับการตรวจจับ การป้องกัน และการกู้คืนระบบเพื่อป้องกันทรัพย์สิน จากซอฟต์แวร์ไม่ประสงค์ดี รวมทั้งต้องมีการสร้างความตระหนักที่เกี่ยวข้องให้กับผู้ใช้งานอย่าง เหมาะสม - การบริหารจัดการช่องโหว่ทางเทคนิค
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องควบคุมให้ระบบสารสนเทศ ของบริษัท ได้รับการพิสูจน์ถึงช่องโหว่ทางเทคนิคซึ่งอาจเกิดขึ้นได้ โดยให้เป็นไปตามหลักเกณฑ์ ดังต่อไปนี้ - จัดให้มีการทดสอบการเจาะระบบ (Penetration Test) กับระบบงานที่มีความสำคัญที่ เชื่อมต่อกับระบบเครือข่ายภายนอก (Untrusted Network) โดยบุคคลที่เป็นอิสระ จากหน่วยงานที่รับผิดชอบด้านเทคโนโลยีสารสนเทศ และเป็นไปตามการวิเคราะห์ ความเสี่ยงและผลกระทบทางธุรกิจ (Risk and Business Impact Analysis) ดังนี้
- กรณีที่เป็นระบบงานสำคัญที่ประเมินแล้วมีความสำคัญสูง ต้องทดสอบอย่าง น้อย ทุก 3 ปี และเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสำคัญ
- กรณีที่เป็นระบบงานที่มีความสำคัญอื่น ๆ ต้องทดสอบอย่างน้อยทุก 5 ปี
- จัดให้มีการประเมินช่องโหว่ของระบบ (Vulnerability Assessment) กับระบบงานที่ มีความสำคัญทุกระบบอย่างน้อยปีละ 1 ครั้งและเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสำคัญ และรายงานผลไปยังหน่วยงานที่เกี่ยวข้องเพื่อให้รับทราบ และหาแนวทางการแก้ไขและป้องกัน
- จัดให้มีการทดสอบขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ที่อาจ ส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศอย่างน้อยปีละ 1 ครั้ง โดย อย่างน้อยต้องครอบคลุมถึงการบริหารจัดการความเสี่ยงไซเบอร์ (Cyber Security Drill)
- การจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศ
หน่วยงานที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัท ต้องจัดให้มีข้อกำหนดในการจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศที่เหมาะสม เพื่อลดความผิดพลาดในการกำหนดความต้องการ การ ออกแบบ การพัฒนา และการทดสอบระบบสารสนเทศที่มีการพัฒนาขึ้นใหม่หรือปรับปรุงระบบงาน เพิ่มเติม รวมถึงควบคุมให้ระบบงานที่พัฒนาหรือจัดหาเป็นไปตามข้อตกลงที่กำหนดไว้
- การกำหนดมาตรฐานการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ
แผนกเทคโนโลยีสารสนเทศ ต้องจัดให้มีมาตรฐานการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศของ หน่วยงานที่สอดคล้องกับนโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศที่ได้ประกาศใช้งาน และ ดำเนินการประกาศให้ผู้เกี่ยวข้องทั้งหมดทราบ เพื่อให้สามารถเข้าถึง เข้าใจ และปฏิบัติตามมาตรฐานการรักษา ความปลอดภัยระบบเทคโนโลยีสารสนเทศได้ และต้องกำหนดผู้รับผิดชอบตามมาตรฐานการรักษาความปลอดภัย ระบบเทคโนโลยีสารสนเทศดังกล่าวให้ชัดเจน โดยมาตรฐานการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ ของบริษัท แบ่งออกเป็น 14 ข้อ ได้แก่ - มาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Standard)
- การจัดโครงสร้างความมั่นคงปลอดภัยของระบบสารสนเทศ (Organization of Information Security)
- การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร (Human Resource Security)
- การบริหารจัดการทรัพย์สินสารสนเทศ (Asset Management)
- การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ (Access Control)
- การควบคุมการเข้ารหัสข้อมูล (Cryptographic Control)
- การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (Physical and Environmental Security)
- การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (Operations Security)
- การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์ (Communications Security)
- การจัดหา พัฒนา และดูแลรักษาระบบสารสนเทศ (System Acquisition, Development and Maintenance)
- การใช้บริการระบบสารสนเทศจากผู้ให้บริการภายนอก (IT Outsourcing)
- การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Incident Management)
- การบริหารความต่อเนื่องทางธุรกิจในด้านความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Aspects of Business Continuity Management)
- การปฏิบัติตามข้อกำหนด (Compliance)
- การรายงาน กำหนดให้มีการรายงานการปฏิบัติตามนโยบายความปลอดภัยด้านเทคโนโลยีสารสนเทศ รวมถึงระเบียบ และข้อกำหนดใด ๆ ต่อคณะกรรมการบริษัท อย่างน้อยปีละ 1 ครั้ง หรือในกรณีที่มีเหตุการณ์ใด ๆ ซึ่งอาจส่งผล กระทบต่อการปฏิบัติตามนโยบายความปลอดภัยด้านเทคโนโลยีสารสนเทศ รวมถึงระเบียบและข้อกำหนดอย่างมี นัยสำคัญ เช่น ระบบคอมพิวเตอร์หรือข้อมูลสารสนเทศเกิดความเสียหายหรืออันตรายใด ๆ แก่บริษัท หรือ ผู้หนึ่งผู้ใด อันเนื่องมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติตามนโยบายความปลอดภัยด้าน เทคโนโลยีสารสนเทศ รวมถึงระเบียบและข้อกำหนดที่บริษัทกำหนดไว้ ทั้งนี้ ผู้บริหารระดับสูงสุดของหน่วยงาน (ประธานเจ้าหน้าที่บริหาร : CEO) เป็นผู้รับผิดชอบต่อความเสี่ยง ความเสียหาย หรืออันตรายที่เกิดขึ้น
- บทบังคับใช้ นโยบายความปลอดภัยด้านเทคโนโลยีสารสนเทศนี้ให้ใช้บังคับกับ พนักงาน ลูกจ้างชั่วคราว ลูกจ้างประจำของ บริษัท รวมถึงบุคคลภายนอก และหน่วยงานภายนอกที่ให้บริการแก่บริษัท
นโยบายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลฉบับนี้ ได้รับการอนุมัติจากที่ประชุมคณะกรรมการบริษัท ครั้งที่ 1/2566 เมื่อวันที่ 28 มีนาคม 2566 และให้มีผลใช้บังคับตั้งแต่วันที่ 29 มีนาคม 2566 เป็นต้นไป