Systemweb Technologies ได้มีการนำนโยบาย ทางด้านการบริหารจัดการความปลอดภัยทางข้อมูล(ISMS) มาประยุกต์ใช้

บทที่ 1. จุดประสงค์

บริษัทจำกัด Systemweb Technologies (ต่อจากนี้จะเรียกแทนว่า บริษัท) ได้มุ่งมั่นเพื่อความปลอดภัยทางข้อมูล ระบบต่างๆ เครื่องมือ และโครงข่ายสื่อสาร บริัษัทมีเป้าหมายที่จะลดความเสี่ยงที่เกิดจากข้อผิดพลาดของมนุษย์ การกระทำโดยเจตนา หรือภัยพิบัติทางธรรมชาติได้อย่างมีประสิทธิภาพ ซึ่งรวมไปถึงการโจรกรรม การใช้งานอย่างไม่เหมาะสม การรั่วไหล การปลอมแปลง หรือความเสียหายทางทรัพย์สินทางสารสนเทศ นอกจากนี้บริษัทยังมุ่งมั่นในการจัดตั้งระบบบริหารการจัดการความปลอดภัยทางข้อมูล เพื่อบรรลุวัตถุประสงค์เหล่านี้บริษัทนโยบายความปลอดภัยทางข้อมูล(ต่อจากนี้จะเรียกแทนว่า นโบายนี้) เพื่อคุ้มครองความเป็นส่วนตัว ความซื่อตรง และความเพียบพร้อมของข้อมูล

  • ความเป็นส่วนตัว เพื่อให้แน่ใจได้ว่าข้อมูลสามารถเข้าถึงได้โดยบุคคลที่ผ่านรอบรับรองแล้ว
  • ความซื่อตรง เพื่อให้แน่ใจได้ว่าข้อมูลที่ใช้มีความแม่นยำและไม่ได้ผ่านการปลอมแปลง

  • ความเพียบพร้อมของข้อมูล เพื่อให้แน่ใจได้ว่าผู้ใช้ที่ได้รับการรับรองสามารถเข้าถึงข้อมูลและทรัพยากรที่เกี่ยวข้องเมื่อยามต้องการ

บทที่ 2. โดยมาตรฐาน

ISO/IEC 27001:2013(ข้อมูลสารสนเทศ – เทคนิคด้านความปลอดภัย – การบริหารจัดการความปลอดภัยทางข้อมูล – สิ่งจำเป็น)

บทที่ 3. เนื้อหาหลัก
  • ก่อตั้งหน่วยงานความปลอดภัยทางข้อมูลเพื่อสร้างทีมงานที่มีส่วนรับผิดชอบในการโปรโมตการริเริ่มทางความปลอดภัยทางข้อมูล
  • ประเมินผลการแต่งตั้งและมอบหมายเชิงบุคคล และสร้างระบบควบคุมและแผนสำรองแรงงาน ในกรณีที่พนักงานลาออก ลาพักผ่อน ถูกพักงาน หรือโยกย้ายตำแหน่ง นอกจากนี้ยังมีโปรแกรมให้ความรู้และการตระหนักถึงความปลอดภัยของข้อมูล
  • ก่อระบบกักเก็บข้อมูลที่สามารถโยกย้าย ใช้งาน และจัดการทรัพยากรข้อมูลได้อย่างมีประสิทธิภาพ
  • คำนึงถึงแนวการป้องกันและการออกแบบสำหรับป้องกันการโจรกรรมสำหรับตัวอาคาร และพัฒนาแนวทางความปลอดภัยในสำหรับเครื่องมืออำนวยความสะดวกและสถานที่เฉพาะทางให้เป็นพิเศษ
  • เสริมสร้างเทคโนโลยีด้านการป้องกันในเครือข่ายสำหรับการปิดกั้นผู้บุกรุกจากภายนอกและการพยายามเจาะเข้า
  • การประเมินระดับความเข้มแข็งด้านความปลอดภัยของข้อมูลสารสนเทศและให้การรับรองบุคคลที่มีสิทธิเข้าใช้ตามความเหมาะสม
  • สร้างระบบความคุมที่สามารถเพิ่มเติมหรือดัดแปลงระบบคอมพิวเตอร์ และบำรุงรักษาข้อมูลให้เป็นอย่างดี ง่ายต่อการตรวจสอบ
  • สร้างกระบวนการรับมือฉุกเฉินและแผนดำเนินธุรกิจต่อเนื่อง และการซ้อมรับมือ ทดสอบ และบันทึกผลลัพธ์อย่างเป็นประจำ
  • พัฒนาระบบตรวจสอบความปลอดภัยทางข้อมูล มีการตรวจสอบอย่างสม่ำเสมอหรือครั้งคราวสำหรับระบบคอมพิวเตอร์แบบต่างๆ และมีการบังคับใช้มิให้มีการลบหรือดัดแปลงข้อมูลเกี่ยวกับการตรวจสอบ
  • สอดคล้องกับแนวทางปฏิบัติการที่ออกโดยหน่วยงานควบคุมดูแลที่เกี่ยวข้อง และมีการตั้งเวลาอัพเดตกฏเกณฑ์เพื่อตอบรับกับข้อกำหนดทางกฏหมาย
บทที่ 4. แก้ไขและประกาศ

นโยบายนี้จะต้องถูกตรวจสอบอย่างต่อเนื่องจาก ทีมงานพัฒนาความปลอดภัยทางข้อมูล ทุกๆปี และจะต้องถูกแก้ไขเมื่อได้รับการเสนอแนะให้เปลี่ยนแปลงจากหน่วยงาน ทีมธุรกิจ กฏเกณฑ์ข้อบังคับ หรือ สภาพแวดล้อมทางกายภาพ ประจวบกับปัจจัยอื่นๆ นโยบายจะถูกเปิดเผยต่อสาธารณะและถูกพัฒนาและปรับปรุงเพิ่มเติมจากการประชุมกับทางภาครัฐ

ข่าวสารที่เกี่ยวข้อง