INFORMATION SECURITY POLICY
นโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ
บริษัท ที.เอช.นิค จำกัด ต่อไปนี้เรียกว่า “บริษัทฯ” ได้นำระบบเทคโนโลยีสารสนเทศมาใช้ในการ ดำเนินธุรกิจเพื่ออำนวยความสะดวกแก่พนักงานในการปฏิบัติงาน ดังนั้นเพื่อให้ระบบเทคโนโลยีสารสนเทศ รองรับการตอบสนองต่อความคาดหวังและความต้องการของผู้มีส่วนได้เสีย โดยเฉพาะการมีแนวปฏิบัติ มีเครื่องมือ มีมาตรฐานที่ใช้ดำเนินการที่ทันสมัย มีประสิทธิภาพ และมีความปลอดภัยสอดคล้องตาม มาตรฐานสากล เพื่อให้การดำเนินการใดๆ ด้านเทคโนโลยีสารสนเทศของบริษัทฯ มีความมั่นคงปลอดภัยและ น่าเชื่อถือ ตลอดจนข้อมูลและสินทรัพย์สารสนเทศของบริษัทฯ ได้รับการดูแลรักษาอย่างเหมาะสม โดย คำนึงถึงความเสี่ยงจากภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศ และด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้น มาตรการในการรักษาความลับ ความถูกต้อง ครบถ้วน สมบูรณ์ และความพร้อมใช้ต่อการ ดำเนินงานอย่างเหมาะสม รวมถึงสอดคล้องกับข้อบังคับ กฎ ระเบียบ กฎหมายด้านความมั่นคงปลอดภัยสารสนเทศ จึงได้กำหนดนโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศไว้ดังนี้
1. การตรวจสอบและประเมินความเสี่ยง
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องจัดให้มีการบริหาร จัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ โดยให้ครอบคลุมถึงการระบุความเสี่ยง การประเมินความเสี่ยง และ การควบคุมความเสี่ยงให้อยู่ในเกณฑ์ที่บริษัทฯ ยอมรับได้ รวมถึงจัดให้มีผู้รับผิดชอบในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศอย่างเหมาะสม เพื่อให้มั่นใจว่าการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศถูกจัดการอย่างเหมาะสม
2. การบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องจัดให้มีการบริหารทรัพยากรด้านเทคโนโลยีสารสนเทศให้สอดคล้องกับแผนกลยุทธ์บริษัทฯ โดยให้ครอบคลุมถึงการบริหารทรัพยากรบุคคลและระบบเทคโนโลยีสารสนเทศที่เพียงพอต่อการดำเนินงานด้านเทคโนโลยีสารสนเทศ รวมถึงจัดให้มีการจัดการความเสี่ยงสำคัญในกรณีที่ไม่สามารถจัดสรรทรัพยากรได้เพียงพอต่อการดำเนินงานด้านเทคโนโลยีสารสนเทศ
3. การรักษาความปลอดภัยต่อทรัพย์สินสารสนเทศ
3.1 การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรฐานการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ สำหรับการควบคุมเข้าถึงและการใช้งานระบบสารสนเทศของบริษัทฯ ให้เหมาะสมกับประเภทของข้อมูล ลำดับความสำคัญ หรือลำดับชั้นความลับของข้อมูล รวมทั้งระดับชั้นการเข้าถึง และช่องทางการเข้าถึง และ จัดให้มีการป้องกันการบุกรุกผ่านระบบเครือข่ายจากผู้บุกรุกรวมถึงจากโปรแกรมที่ไม่พึงประสงค์ที่จะสร้างความเสียหายให้แก่ข้อมูลของบริษัทฯ
3.2 การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายที่ให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรการป้องกัน ควบคุมการใช้งาน และการบำรุงรักษาด้านกายภาพของทรัพย์สินสารสนเทศ และอุปกรณ์สารสนเทศซึ่งเป็นโครงสร้างพื้นฐานที่สนับสนุนการทำงานของระบบสารสนเทศของบริษัทฯ ให้อยู่ในสภาพที่มีความสมบูรณ์พร้อมใช้ รวมถึงป้องกันการเข้าถึงทรัพย์สินสารสนเทศหรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
3.3 การจัดการข้อมูลสารสนเทศและการรักษาความลับ
(1) การจำแนกประเภททรัพย์สินสารสนเทศ
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯต้องดำเนินการ ตามนโยบายการจัดชั้นความความลับของข้อมูล ซึ่งมีการจัดการหมวดหมู่ของทรัพย์สินสารสนเทศ และจัดลำดับชั้นความลับของสารสนเทศโดยมีการกำหนดชั้นความลับให้สอดคล้องกับกฎหมาย และ ข้อกำหนดที่เกี่ยวข้องกับบริษัทฯ
(2) การจัดทำระบบสำรองและแผนรองรับกรณีเกิดเหตุฉุกเฉิน
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องจัดทำระบบสารสนเทศสำรองที่เหมาะสมให้อยู่ในสภาพพร้อมใช้งานโดยคัดเลือกระบบสารสนเทศที่สำคัญ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง โดยต้องปรับปรุงแผนเตรียมความพร้อม กรณีฉุกเฉินดังกล่าวให้สามารถปรับใช้ได้อย่างเหมาะสมและสอดคล้องกับการใช้งานตามการดำเนินงาน พร้อมทั้งต้องมีการกำหนดหน้าที่และความรับผิดชอบของบุคลากรซึ่งดูแลรับผิดชอบ ระบบสารสนเทศ ระบบสารสนเทศสำรอง และให้มีการทดสอบสภาพพร้อมใช้งานของระบบสารสนเทศระบบสำรอง และแผนรองรับกรณีเกิดเหตุฉุกเฉินอย่างสม่ำเสมอ
(3) การควบคุมการเข้ารหัสข้อมูล
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรการการเข้ารหัสลับข้อมูลและแนวทางการเลือกมาตรฐานการเข้ารหัสลับข้อมูลโดยให้มีความเหมาะสมกับความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลในแต่ละลำดับชั้นความลับที่กำหนดไว้ รวมทั้งติดตามให้มีการปฏิบัติให้เป็นไปตามนโยบายและวิธีการดังกล่าวอย่างสม่ำเสมอ
3.4 การควบคุมดูแลบุคลากรผู้ปฏิบัติงาน
(1) การควบคุมการใช้งานของผู้ใช้งาน
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องจัดให้มีการควบคุมการใช้งานทรัพย์สินสารสนเทศและระบบสารสนเทศ ดังนี้
1. กำหนดมาตรการป้องกันทรัพย์สินสารสนเทศประเภทอุปกรณ์ระหว่างที่ไม่มีผู้ใช้งาน
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดให้มีมาตรการที่เหมาะสมเพื่อป้องกันทรัพย์สินสารสนเทศประเภทอุปกรณ์ระหว่างที่ไม่มีผู้ใช้งาน โดยพิจารณาจากความเสี่ยงที่บุคคลอื่นจะเข้ามาใช้งานแทนผู้ใช้งานตัวจริง
2. กำหนดการใช้งานอุปกรณ์เคลื่อนที่และการปฏิบัติงานจากเครือข่ายภายนอกบริษัทฯ
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดให้มีมาตรการที่เหมาะสมควบคุมความมั่นคงปลอดภัยของอุปกรณ์สื่อสารประเภทพกพา โดยพิจารณาจากความเสี่ยงที่มีการนำอุปกรณ์เข้ามาเชื่อมต่อกับเครือข่ายคอมพิวเตอร์ของบริษัทฯรวมถึงกำหนดมาตรการควบคุมสำหรับการนำอุปกรณ์ออกไปใช้งานภายนอกบริษัทฯ
(2) การควบคุมดูแลผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศ (IT Outsourcing)
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องมีข้อกำหนดและกรอบการปฏิบัติงานของผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีความมั่นคงปลอดภัย โดยต้องครอบคลุมกรณีที่ผู้รับดำเนินการมีการให้ผู้บริการภายนอกรายอื่น (Sub-Contract) รับช่วงจัดการงานด้านเทคโนโลยีสารสนเทศ และต้องมีเจ้าหน้าที่ภายในเป็นผู้กำกับดูแล
3.5 การจัดการระบบเครือข่ายคอมพิวเตอร์และการรับส่งข้อมูลสารสนเทศ
(1) การรักษาความมั่นคงปลอดภัยด้านการสื่อสารข้อมูลสารสนเทศผ่านระบบเครือข่ายคอมพิวเตอร์
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องควบคุมกำกับให้มีการบริหารจัดการการควบคุมเครือข่ายคอมพิวเตอร์ให้มีความมั่นคงปลอดภัย และควบคุมให้มีการกำหนดคุณสมบัติทางด้านความมั่นคงปลอดภัย ระดับของการให้บริการ และความต้องการด้านการบริหารจัดการของ การให้บริการเครือข่ายในข้อตกลงหรือสัญญาการให้บริการด้านเครือข่ายต่างๆ ทั้งที่เป็นการให้บริการจากภายในหรือภายนอก รวมถึงจัดให้มีการแบ่งแยกระบบเครือข่ายคอมพิวเตอร์ตามความเหมาะสม โดยต้องพิจารณาถึงความต้องการเข้าถึงระบบเครือข่าย ผลกระทบทางด้านความมั่นคงปลอดภัยสารสนเทศ และระดับความสำคัญของข้อมูลที่อยู่บนเครือข่ายนั้น
(2) การควบคุมการรับส่งข้อมูลสารสนเทศ
1. เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรการในการควบคุมการรับส่งข้อความทางอิเล็กทรอนิกส์ (Electronic Messaging) เช่น จดหมาย อิเล็กทรอนิกส์ (E-Mail) หรือ Instant Messaging เป็นต้น โดยข้อความทางอิเล็กทรอนิกส์ที่สำคัญ จะต้องได้รับการป้องกันอย่างเหมาะสมจากการพยายามเข้าถึง การแก้ไขการรบกวนทำให้ระบบหยุดให้บริการจากผู้ไม่มีสิทธิ
2. ผู้บริหารต้องจัดให้บุคลากรและหน่วยงานภายนอกที่ปฏิบัติงานให้บริษัทฯ มีการทำสัญญารักษาความลับหรือไม่เปิดเผยข้อมูลของบริษัทฯ อย่างเป็นลายลักษณ์อักษร
3.6 การป้องกันภัยคุกคามต่อระบบสารสนเทศ
(1) การป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องกำหนดมาตรการสำหรับการตรวจจับ การป้องกัน และการกู้คืนระบบเพื่อป้องกันทรัพย์สินจากซอฟต์แวร์ไม่ประสงค์ดี รวมทั้งต้องมีการสร้างความตระหนักที่เกี่ยวข้องให้กับผู้ใช้งานอย่างเหมาะสม
(2) การบริหารจัดการช่องโหว่ทางเทคนิค
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ ต้องควบคุมให้ระบบสารสนเทศของบริษัทฯ ได้รับการพิสูจน์ถึงช่องโหว่ทางเทคนิคซึ่งอาจเกิดขึ้นได้ โดยให้เป็นไปตามหลักเกณฑ์ ดังต่อไปนี้
1. จัดให้มีการทดสอบการเจาะระบบ (Penetration Test)
กับระบบงานที่มีความสำคัญที่เชื่อมต่อกับระบบเครือข่ายภายนอก (Untrusted Network)
และเป็นไปตามการวิเคราะห์ความเสี่ยง
และผลกระทบทางธุรกิจ (Risk and Business Impact Analysis) โดยต้องทดสอบอย่างน้อยทุก 1 ปี
และเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสำคัญ
2. จัดให้มีการประเมินช่องโหว่ของระบบ (Vulnerability
Assessment) กับระบบงานที่มีความสำคัญทุกระบบอย่างน้อยปีละ 1
ครั้งและเมื่อมีการเปลี่ยนแปลงระบบงานดังกล่าวอย่างมีนัยสำคัญ
และรายงานผลไปยังหน่วยงานที่เกี่ยวข้องเพื่อให้รับทราบและหาแนวทางการแก้ไขและป้องกัน
3.
จัดให้มีการทดสอบขั้นตอนและกระบวนการในการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศอย่างน้อยปีละ
1 ครั้ง
3.7 การจัดหาพัฒนา และ ดูแลรักษาระบบสารสนเทศ
เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ
ต้องจัดให้มีข้อกำหนดในการจัดหาพัฒนา และดูแลรักษาระบบสารสนเทศที่เหมาะสม
เพื่อลดความผิดพลาดในการกำหนดความต้องการ การออกแบบ การพัฒนา
และการทดสอบระบบสารสนเทศที่มีการพัฒนาขึ้นใหม่หรือปรับปรุงระบบงานเพิ่มเติม
รวมถึงควบคุมให้ระบบงานที่พัฒนาหรือจัดหาเป็นไปตามข้อตกลงที่กำหนดไว้
4. การทบทวนนโยบาย
กำหนดให้มีการทบทวนนโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศให้เป็นปัจจุบันอย่างน้อยปีละ
1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ
ทั้งนี้เจ้าของโครงการหรือผู้ที่ได้รับมอบหมายให้ดูแลระบบสารสนเทศของบริษัทฯ และฝ่ายอื่นๆ
ที่เกี่ยวข้องต้องปรับปรุงขั้นตอนและวิธีปฏิบัติงานให้สอดคล้องกับนโยบายที่มีการเปลี่ยนแปลง
5.
การประเมินผลการปฏิบัติงานและการตรวจประเมินระบบมาตรฐานภายใน
กำหนดให้มีการตรวจประเมินระบบมาตรฐานภายใน
โดยกำหนดให้มีการตรวจประเมินและวัดผลการปฏิบัติงานตามกฎหมาย ระเบียบ ข้อบังคับที่สำนักงานกำหนด
รวมถึงมาตรฐานต่าง ๆ ที่จำเป็นต่อการดำเนินงานของสำนักงาน
เพื่อมั่นใจถึงประสิทธิภาพในการปฏิบัติงานและความมั่นคงปลอดภัยในข้อมูล
รวมถึงระบบสารสนเทศของสำนักงาน
6. บทบังคับใช้
นโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศนี้ให้ใช้บังคับกับ พนักงาน ลูกจ้าง ลูกจ้างของ
บริษัท ที.เอช.นิค จำกัด รวมถึงบุคคลภายนอก และหน่วยงานภายนอกที่ให้บริการแก่บริษัทฯ
โดยมีผลบังคับใช้ตั้งแต่วันถัดจากวันประกาศเป็นต้นไป
ประกาศใช้ ณ วันที่ 20 สิงหาคม พ.ศ. 2564