HomeAbout GWPolicyInformation Security Policy

นโยบายการจัดการความมั่นคงปลอดภัยสารสนเทศ

ข้อมูลนี้ เป็นส่วนหนึ่งของ เอกสาร SM-G-0003 version 1.2

Published 2 Feb 2022

Policy

Data Security system Shield Protection Verification

บริษัท จะดำเนินการทุกวิถีทาง เพื่อให้ระบบงานบริการต่างๆ ที่จำเป็นต่อการดำเนินธุรกิจ อันได้แก่ ระบบคอมพิวเตอร์ ระบบเครือข่ายโทรศัพท์ ระบบเครือข่ายสื่อสารข้อมูลอื่นใด ฯลฯ ให้สามารถใช้งานได้อย่างต่อเนื่อง ตลอดเวลา ข้อมูลมีความถูกต้องเชื่อถือได้

บริษัท จะให้ความสำคัญ ต่อการปรับปรุงระบบการรักษาความปลอดภัย สารสนเทศอย่างต่อเนื่อง เพื่อให้มีประสิทธิผล และสามารถปกป้องทรัพย์สิน ข้อมูล และระบบสารสนเทศที่สำคัญของบริษัท จากภัยคุกคามที่เกิดขึ้นใหม่อยู่เสมอ โดย

  • ข้อมูลที่สำคัญ ของบริษัท จะต้องได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาต
  • ข้อมูลที่สำคัญ ของบริษัท จะต้องได้รับการรักษาความลับอย่างเหมาะสม
  • ข้อมูลที่สำคัญ ของบริษัท จะต้องมีความถูกต้อง และสมบูรณ์ครบถ้วน
  • ข้อมูลที่สำคัญ ของบริษัท จะต้องมีความพร้อมใช้งานอยู่เสมอ
  • กฎหมาย กฎระเบียบ และข้อบังคับที่เกี่ยวข้องต่าง ๆ จะต้องได้รับการปฏิบัติตามอย่างถูกต้องครบถ้วน
  • พนักงานทุกคนต้องได้รับการฝึกอบรมด้านการรักษาความปลอดภัยของข้อมูล
  • จัดให้มีการบริหารจัดการความเสี่ยง (Risk management) ที่เกี่ยวข้อง กับความปลอดภัยของข้อมูลขึ้นในบริษัท
  • จัดทำแผนการจัดการเพื่อให้ธุรกิจดำเนินได้อย่างต่อเนื่อง พร้อมทั้งทำการดูแลรักษา และทดสอบแผนอย่างเหมาะสม
  • จัดให้มีชุดเอกสารนโยบายย่อยการรักษาความปลอดภัย ของสารสนเทศ และเอกสารสนับสนุน ที่เกี่ยวข้อง เพื่อกำหนดระเบียบปฏิบัติ ตลอดจนแนวทางการปฏิบัติงาน และการใช้งานข้อมูลอย่างปลอดภัย
  • จัดให้มีกระบวนการในการรายงาน สืบสวน รับมือ และจัดการกับเหตุการณ์ ด้านความมั่นคงปลอดภัยไซเบอร์อย่างเหมาะสม ตลอดจนสิ่งผิดปรกติ และเหตุการณ์ที่น่าสงสัยอื่น ๆ จะต้องได้รับการรายงานไปที่หน่วยงาน ที่ทำหน้าที่ โดยตรง ในการดูแลความปลอดภัยระบบคอมพิวเตอร์ และข้อมูลสารสนเทศของบริษัท เพื่อดำเนินการตรวจสอบและแก้ไข
  • จัดให้บุคคลภายนอกที่เข้ามาปฏิบัติงานหรือเข้าถึงข้อมูลที่เป็นของบริษัทจะต้องปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ โดยอ้างอิงรายละเอียดจากเอกสารข้อปฏิบัติสำหรับบุคคลภายนอก (External code of conduct) โดยระบุรายละเอียดว่าบุคคลภายนอกจะต้องทำความเข้าใจเอกสารฉบับนี้ก่อนเข้าปฏิบัติงานภายในบริษัท
  • จัดให้มีการทบทวนระบบบริหาร ความมั่นคงปลอดภัยสารสนเทศ เป็นประจำ อย่างน้อยปีละหนึ่งครั้ง เพื่อการปรับปรุงพัฒนาอย่างต่อเนื่อง

Portable device

6.2 นโยบายการใช้งานอุปกรณ์คอมพิวเตอร์แบบพกพา

6.2.1 นโยบายกำหนดจำนวนอุปกรณ์พกพาส่วนตัว

บริษัทมีนโยบายให้ผู้ใช้งานใช้อุปกรณ์พกพาเฉพาะที่เป็นของบริษัทในการเข้าถึงหรือจัดเก็บข้อมูลและสารสนเทศของบริษัทเท่านั้น หากมีความจำเป็นต้องใช้อุปกรณ์พกพาส่วนตัวในการเข้าถึงหรือจัดเก็บข้อมูล และสารสนเทศของบริษัท บริษัทอนุญาตให้ใช้ได้ไม่เกิน 2 เครื่อง หากจำเป็นต้องใช้มากกว่าที่กำหนดต้องได้รับการอนุมัติจากหัวหน้าหน่วยงานหรือเลขานุการบริษัทกรณีเป็นกรรมการ

6.2.2 คุณสมบัติของอุปกรณ์พกพาส่วนตัว

อุปกรณ์พกพาส่วนตัวที่ผู้ใช้งานนำมาเข้าถึงหรือจัดเก็บข้อมูลและสารสนเทศของบริษัทจะต้องเป็นอุปกรณ์พกพาที่ไม่ปรับแต่งให้มีการละเมิดความปลอดภัย เช่น “Jail breaking” หรือ “Rooting” ไม่ติดตั้งซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ รวมทั้งต้องกำหนดค่ารหัสผ่านและเข้ารหัสข้อมูลหรืออุปกรณ์พกพาตามนโยบายที่ส่วนงานเทคโนโลยีสารสนเทศกำหนด ทั้งนี้ ผู้ใช้งานต้องได้รับการอนุมัติการใช้งานจากผู้บังคับบัญชา หรือเลขานุการบริษัท กรณีผู้ใช้งาน เป็นกรรมการ และส่วนงานเทคโนโลยีสารสนเทศก่อนการใช้งาน

6.2.3 การตรวจสอบและเพิกถอนการใช้งาน

บริษัทขอสงวนสิทธิ์ในการตรวจสอบ ระงับ เพิกถอนการใช้งานและลบข้อมูลทั้งหมด (Wipe) บนอุปกรณ์พกพาทั้งที่เป็นของบริษัทและของส่วนตัวบุคคลที่ใช้ในการเข้าถึงหรือจัดเก็บข้อมูลและสารสนเทศของบริษัท หากเป็นว่าการใช้งานมีความเสี่ยงต่อโครงสร้างพื้นฐานหรือข้อมูลและสารสนเทศของบริษัท

Human security

7 นโยบาย ย่อยการบริหารทรัพยากรบุคคล

นโยบายด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับบุคลากร

7.1 ต้องมีการกำหนดหน้าที่และความรับผิดชอบ

ทางด้านความมั่นคงปลอดภัยสารสนเทศอย่างเป็นลายลักษณ์อักษรสำหรับผู้ใช้งานหรือบุคคลภายนอกประเภทบุคคลที่มาปฏิบัติงาน รวมทั้งกำหนดมาตรการป้องกันและดูแลรักษาความปลอดภัยสารสนเทศของบริษัท

7.2 ต้องมีการตรวจสอบคุณสมบัติ

ของผู้สมัครเข้าทำงานทุกกรณีโดยละเอียด เช่น ตรวจสอบจากจดหมายรับรอง ประวัติการทำงาน วุฒิการศึกษา หรือบริษัทที่สามารถอ้างอิงได้ การผ่านการอบรม เป็นต้น และต้องสร้างความตระหนักเรื่องความมั่นคงปลอดภัยเบื้องต้น ให้พนักงานเข้าใหม่ พร้อมทั้งจัดให้พนักงานมีการลงนามไม่เปิดเผยความลับของบริษัท

7.3 ต้องกำหนดเงื่อนไขและนโยบายด้านความมั่นคงปลอดภัยในสัญญา

ให้ผู้ใช้งานที่ได้รับการว่าจ้างต้องปฏิบัติตามมาตรการความมั่นคงปลอดภัยให้สอดคล้องกับนโยบายของบริษัทที่กำหนดไว้

7.4 บุคลากรของบริษัททุกคนจะต้องลงนามในเอกสารข้อตกลงการไม่เปิดเผยข้อมูล (Non-Disclosure Agreement)

และ/หรือ เอกสาร อื่น ๆ ที่เกี่ยวข้อง เพื่อเป็นการยอมรับว่าข้อมูลต่าง ๆ ที่ ได้รับทราบ และใช้งานในระหว่างการจ้างงาน เป็นทรัพย์สินของบริษัท และไม่สามารถนำไปใช้เพื่อการอื่น โดยมิได้รับอนุญาตนอกจากนี้ การพยายามเข้าถึงระบบโดยไม่ได้รับอนุญาต การจงใจใส่ข้อมูลที่ผิดพลาด และการเจตนาเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต ถือเป็นสิ่งต้องห้ามทั้งสิ้น

7.5 จัดอบรมให้ความรู้แก่ผู้ใช้งานทุกคน

เพื่อให้เกิดความตระหนักและทราบวิธีปฏิบัติเพื่อสร้างความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและต้องมีการลงนามและเก็บรวบรวมไว้ในแฟ้มประวัติของบุคลากร ถ้ามีการเปลี่ยนแปลงด้านนโยบายและวิธีปฏิบัติด้านความมั่นคงปลอดภัยต้องแจ้งให้พนักงานทราบ

7.6 กำหนดผลทางวินัยและการรับผิดในสัญญาจ้างและสัญญาบริการ

การไม่ปฏิบัติตามนโยบายย่อยการรักษาความปลอดภัยสารสนเทศนี้ถือว่ามีความผิดทางวินัยและบริษัทสงวนสิทธิ์ที่จะตรวจสอบการใช้งานระบบคอมพิวเตอร์และข้อมูลสารสนเทศของพนักงานทุกคน เพื่อให้มั่นใจว่าการรักษาความปลอดภัยของข้อมูลสารสนเทศและระบบคอมพิวเตอร์เป็นไปอย่างเหมาะสม

7.7 การกำหนดกระบวนการเมื่อมีการแต่งตั้ง โยกย้าย และปลดจากตำแหน่ง

หากมีการแต่งตั้งโยกย้าย ปลดหรือเปลี่ยนแปลง ตำแหน่งใด ๆ ฝ่ายบริหารทรัพยากรบุคคล ต้องแจ้งให้ผู้รับการว่าจ้าง ทราบ และปฏิบัติตามเงื่อนไขในสัญญาจ้าง จนกว่าจะสิ้นสุดการว่าจ้าง และพนักงานซึ่งพ้นตำแหน่งจากการจ้างงานไม่ว่ากรณีใด ต้องคืนทรัพย์สินที่เกี่ยวข้อง กับระบบสารสนเทศ เช่น กุญแจ บัตรประจำตัวพนักงาน บัตรผ่านเข้า-ออก สำนักงาน อุปกรณ์ต่อพ่วง คู่มือ และเอกสารต่าง ๆ ให้แก่ผู้บังคับบัญชาก่อนวันสุดท้ายของการว่าจ้างงาน ซึ่งส่วนงานเทคโนโลยีสารสนเทศต้องถอดถอนสิทธิการเข้าใช้งานดังกล่าวด้วย

Asset management

8.1 ทรัพย์สินด้านสารสนเทศ

ได้แก่ ฐานข้อมูล ไฟล์ข้อมูล ซอฟต์แวร์ เครื่องมือในการพัฒนา อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย อุปกรณ์สื่อสาร สื่อบันทึกข้อมูลภายนอก และอุปกรณ์ต่อพ่วงทุกชนิด ต้องมีการจัดทำบัญชีทรัพย์สิน หน่วยงานธุรการ จะเป็นผู้จัดทำบัญชีฮาร์ดแวร์ ส่วนงานเทคโนโลยีสารสนเทศ จัดทำบัญชีซอฟต์แวร์  แอพพลิเคชั่น และข้อมูล โดยผู้เป็นเจ้าของข้อมูลนั้นต้องร่วมจัดทำทะเบียนรายการทรัพย์สินด้านสารสนเทศ รวมถึงต้องจัดทำ และจัดการป้ายชื่อ สำหรับปิดฉลากเอกสารข้อมูลของอุปกรณ์ทรัพย์สินสารสนเทศ

8.2 การระบุชั้นความลับของ ข้อมูล และทรัพย์สินต่าง ๆ

  1. บริษัทต้องจำแนกชั้นความลับของข้อมูลทั้งหมด โดยพิจารณาจากความจำเป็นในการเข้าถึงข้อมูล รายการ ทรัพย์สินข้อมูล (Information asset) สามารถอ้างอิงจาก รายงาน ในเอกสาร R-G-2101 เพื่อการปฏิบัติงาน ข้อมูลเพิ่มเติม สามารถอ้างอิงได้จาก นโยบายย่อยการจำแนกชั้นความลับ และการจัดการข้อมูล ข้อมูลของบริษัท ถ้าไม่มีการระบุชั้นความลับไว้ให้ถือเป็น “Internal” ทั้งหมด รวมทั้ง เอกสารที่ออกโดยระบบ Freshservice และ Peakengine ให้ถือเป็น “Internal” ทั้งหมด
  2. เจ้าของข้อมูล จะต้องดำเนินการ ระบุ (Label) ชั้นความลับของข้อมูล กรณีที่เป็นเอกสารกระดาษ ให้ จัดทำ ตรายาง ระบุ ชั้นความลับของเอกสาร และประทับที่เอกสารทุกหน้า กรณีที่เป็นไฟล์เอกสารให้ระบุที่ท้ายเอกสาร (Footer) ทุกหน้า ยกเว้นเอกสารที่ออกโดยระบบ Freshservice จะไม่มีการ Label

8.5 การใช้งานทรัพย์สินสารสนเทศบริษัท

8.5.1 ข้อมูลของบริษัท
  1. ผู้ใช้งานต้องใช้ความระมัดระวังเป็นพิเศษ ในการใช้งานข้อมูลประเภท “Confidential” (ต่อไปในเอกสารนี้เรียกว่า “ข้อมูลที่เป็นความลับ”) เพื่อป้องกันไม่ให้ข้อมูลถูกเข้าถึงหรือถูกเปิดเผยโดยไม่ได้รับอนุญาต
  2. ข้อมูลที่เป็นความลับของบริษัทต้องไม่ถูกเปิดเผยกับผู้อื่น เว้นแต่มีความจำเป็นในการปฏิบัติงานเท่านั้น
  3. ผู้ใช้งานต้องตระหนักถึงการรักษาข้อมูลที่เป็นความลับที่ถูกเก็บไว้ในเครื่องคอมพิวเตอร์ของผู้ใช้งาน เครื่องคอมพิวเตอร์ที่มีการใช้งานร่วมกันมากกว่าหนึ่งคนขึ้นไป ห้ามเก็บข้อมูลที่เป็นความลับไว้ในเครื่องคอมพิวเตอร์นั้น
  4. ข้อมูลได้ที่ถูกพิจารณาว่าเป็นข้อมูลที่เป็นความลับหรือมีจุดอ่อนด้านความมั่นคงปลอดภัยต้องได้รับการเข้ารหัส
  5. ผู้ใช้งานควรเก็บรักษาเอกสารลับและสื่อบันทึกข้อมูลที่มีข้อมูลที่เป็นความลับ ในตู้ที่สามารถปิดล็อก ได้เมื่อไม่ใช้งาน โดยเฉพาะอย่างยิ่ง เมื่ออยู่นอกเวลาทำการ หรือเมื่อต้องทิ้งเอกสาร หรือสื่อนั้นไว้ โดยไม่อยู่ที่โต๊ะทำงาน
  6. พนักงานต้องไม่เปิดเผยข้อมูลที่เป็นความลับต่อบุคคลภายนอก ยกเว้นในกรณีที่การเปิดเผยนั้น ครอบคลุมด้วยสัญญาการรักษาความลับ
  7. สื่อบันทึกข้อมูล หรืออุปกรณ์เคลื่อนที่ต่างๆ (เช่น Smartphone, Thumb-drive) ที่มีข้อมูลที่เป็นความลับของบริษัท บันทึกอยู่ ต้องได้รับการดูแลรักษา และใช้งาน อย่างระมัดระวัง
  8. ข้อมูลที่เกี่ยวข้อง กับการดำเนินธุรกิจของบริษัท ทั้งที่มีการเก็บรักษาอยู่ในเครื่องคอมพิวเตอร์ ของผู้ใช้งาน หรือเครื่องเซิฟเวอร์ ที่ดูแล โดยผู้ใช้งาน ต้องได้รับการสำรองข้อมูลอย่างสม่ำเสมอ เพื่อประโยชน์ในการกู้คืนข้อมูล เมื่อมีปัญหาใดๆเกิดขึ้น
8.5.2  คอมพิวเตอร์ของบริษัท
  1. ระบบเทคโนโลยีสารสนเทศ และอุปกรณ์ การประมวลผลข้อมูล รวมทั้ง บริการ ที่เกี่ยวข้องทั้งหมด ที่บริษัทเป็นผู้จัดหามานั้น มีวัตถุประสงค์ เพื่อให้ใช้ในการดำเนินธุรกิจของบริษัท การใช้งานระบบ และอุปกรณ์ต่างๆ เพื่อกิจธุระส่วนตัวนั้น อนุญาตให้สามารถใช้ได้ ในขอบเขตที่จำกัด ตามความเหมาะสม ซึ่งจะต้องไม่รบกวน หรือเป็นอุปสรรค ต่อการทำงาน ตามหน้าที่รับผิดชอบของพนักงาน
  2. ผู้ใช้งาน ต้องรับผิดชอบ ในการใช้งานคอมพิวเตอร์ และอุปกรณ์ต่างๆของบริษัท อย่างระมัดระวัง และให้การปกป้อง เสมือนเป็นทรัพย์สินของตน
  3. เครื่องคอมพิวเตอร์ เครื่องคอมพิวเตอร์พกพา เครื่องเซิฟเวอร์ เครื่องเวิร์คสเตชั่น และเทอร์มินอลทั้งหมดของบริษัท ต้องได้รับการปกป้อง ด้วยรหัสผ่าน ของระบบปฏิบัติการ ทุกครั้ง เมื่อต้องการเขาใช้
  4. เครื่องคอมพิวเตอร์พกพา ต้องได้รับการปกป้อง เทียบเท่ากับเครื่องคอมพิวเตอร์ ที่ใช้งานอยู่ภายในบริษัท โดยการติดตั้ง ซอฟต์แวร์ ป้องกันไวรัส การอัปเดต Security patch ฯลฯ ทั้งนี้ ผู้ใช้งาน ต้องทำการปกป้อง อุปกรณ์ และข้อมูล ตามคำแนะนำ ที่ระบุไว้ ในคำแนะนำ เพื่อความปลอดภัย ในการใช้งานอุปกรณ์คอมพิวเตอร์พกพาของบริษัท
  5. อุปกรณ์คอมพิวเตอร์ ของบริษัท ต้องไม่ถูกดัดแปลง หรือติดตั้งอุปกรณ์เพิ่มเติมใดๆ ก่อนได้รับอนุญาตจากหัวหน้างาน และพนักงานต้องไม่อนุญาต ให้ผู้ไม่มีหน้าที่เกี่ยวข้อง ทำการติดตั้งฮาร์ดแวร์ หรือซอฟต์แวร์ใดๆ บนเครื่องคอมพิวเตอร์ของบริษัท อย่างเด็ดขาด
  6. ห้ามมิให้พนักงาน ทำการติดตั้ง หรือเผยแพร่ ซอฟต์แวร์ ที่ละเมิดลิขสิทธิ์ บนระบบคอมพิวเตอร์ของบริษัท
  7. ห้ามมิให้พนักงานนำซอฟต์แวร์ของบริษัทไปติดตั้งใช้งานส่วนตัวหรือทำสำเนาโดยไม่ได้รับอนุญาต
8.5.3 การใช้งานอีเมล
  1. ผู้ใช้งานอีเมลทั้งหมดของบริษัท ต้องมี email account ที่เป็นของตนเอง บริษัทอาจจะจัดหา email account ให้แก่บุคคลที่ไม่ใช่พนักงานได้ เมื่อบุคคลนั้น ยินยอมปฏิบัติตาม นโยบาย การบริหาร ผู้ให้บริการ
  2. ผู้ใช้งานต้องใช้ซอฟต์แวร์ ที่ได้รับอนุญาตเท่านั้น ในการเข้าถึง และ/หรือ ติดต่อสื่อสารกับระบบอีเมลของบริษัท
  3. ห้ามใช้ email account ของบริษัท เพื่อกระทำการใดๆ ที่เกี่ยวข้องกับ สิ่งผิดกฎหมาย เช่น เพื่อการโฆษณา สิ่งมึนเมา ยาเสพติด สินค้าหนีภาษี การเผยแพร่ซอฟต์แวร์ละเมิดลิขสิทธิ์
  4. พนักงานต้องไม่ใช้ email account ของบริษัท ในการประกาศข้อมูลใดๆ ในชุมชนอิเล็กทรอนิกส์ เช่น เว็บบอร์ด บล็อก กระดานข่าว เป็นต้น เว้นแต่การประกาศข้อมูลนั้น เกี่ยวข้อง หรือเป็นส่วนหนึ่ง ของการทำงานให้กับบริษัท
  5. เมื่อต้องการส่งข้อมูลที่เป็นความลับ ผ่านทางอีเมล ข้อมูลดังกล่าว ต้องได้รับการเข้ารหัส หรือ ถูกปกป้องด้วยรหัสผ่าน และ มีรหัสลับที่จะถูกส่ง ไปยังผู้รับ ผ่านทางช่องทางอื่น เช่น ส่งผ่าน SMS
  6. ผู้ใช้งาน ต้องร่างเนื้อหาของอีเมล ด้วยความระมัดระวัง โดยคำนึงอยู่เสมอว่า ตนเองเป็นผู้ส่ง ออกอีเมลนั้น ในนามตัวแทนของบริษัท
  7. ห้ามผู้ใช้งานทำการปลอมแปลง ข้อความในอีเมล หัวจดหมายอีเมล ลายเซ็นในอีเมล หรือ email account ของบุคคลอื่นโดยเด็ดขาด
  8. ผู้ใช้งานต้องไม่ยินยอม ให้บุคคลอื่น ทำการส่งอีเมล โดยใช้ email account ของตนโดยเด็ดขาด ยกเว้นบุคคลที่ได้รับมอบหมาย งานตามหน้าที่
  9. ห้ามมิให้ผู้ใช้งาน ส่งอีเมล ที่ผู้รับไม่ได้ต้องการ ตัวอย่างเช่น อีเมลขยะ (Junk mail) โฆษณาสินค้าต่างๆ (Spam mail) อีเมลลูกโซ่ หรืออีเมลหลอกลวงใดๆ โดยเด็ดขาด
  10. ห้ามมิให้ผู้ใช้งาน ส่ง หรือส่งต่อ อีเมลที่มีรูปภาพ หรือเนื้อหา ดูหมิ่น หมิ่นประมาท กล่าวร้าย ทำให้บุคคลอื่นเสื่อมเสียชื่อเสียง เหยียดชนชั้น ข่มขู่ การพนัน หรือลามกอนาจารโดยเด็ดขาด
  11. ผู้ใช้งานต้องใช้ความระมัดระวังเป็นพิเศษ เมื่อจำเป็นต้องเปิดไฟล์แนบ ในอีเมล ที่ได้รับจากผู้ส่ง ที่ตนเองไม่รู้จัก ซึ่งไฟล์แนบนั้น เออมีไวรัส อีเมลบอม หรือโปรแกรมแฝง (โทรจัน)
  12. เมื่อผู้ใช้งานได้รับข้อความเตือน จากซอฟต์แวร์ ป้องกันไวรัส ว่า เครื่องคอมพิวเตอร์ของตน ถูกโจมตี โดยไวรัส ผู้ใช้งานต้องระงับ การส่งอีเมล โดยทันที จนกว่าเครื่องคอมพิวเตอร์ จะได้รับการแก้ไข จนกลับเข้าสู่สภาพปกติ
8.5.4  การใช้งานอินเทอร์เน็ต
  1. ผู้ใช้งานต้องใช้งานอินเทอร์เน็ตด้วยความระมัดระวัง และการใช้งานนั้น ต้องไม่เป็นสาเหตุให้ บริษัท และบุคคล ผู้เกี่ยวข้องกับบริษัท เสื่อมเสียชื่อเสียง หรือเกี่ยวพันกับการกระทำที่ผิดกฎหมาย ทั้งนี้ การใช้งานอินเทอร์เน็ตในทางที่ผิด ถือเป็นความผิดทางวินัย และอาจถูกดำเนินคดีตามกฎหมาย
  2. การเข้าใช้งานอินเทอร์เน็ต ต้องเข้าใช้งานผ่านช่องทาง ที่บริษัทกำหนดให้เท่านั้น บริษัทขอสงวนสิทธิ์ ในการตรวจสอบ การใช้งานอินเทอร์เน็ตของผู้ใช้งาน เพื่อตรวจสอบการใช้งาน ที่ไม่เหมาะสม
  3. การใช้งานอินเทอร์เน็ต ผู้ใช้ต้องพิจารณา และระมัดระวัง ในการคลิกหน้าต่างโฆษณา แบบป็อปอัพ หรือเข้าสู่เว็บไซต์ใดๆ เพื่อป้องกัน โปรแกรมมุ่งร้าย หรือการโจรกรรมข้อมูล ในเครื่องคอมพิวเตอร์ ของผู้ใช้งาน โดยที่ผู้ใช้งาน ไม่ได้รับทราบ หรือไม่ได้อนุญาต
  4. ห้ามมิให้ผู้ใช้งานเข้าชม ใช้งาน ดาวน์โหลด รับรู้ หรือทำซ้ำๆ สื่อลามกอนาจาร และสื่ออื่นใด ที่ไม่เหมาะสม หรือผิดกฎหมาย
  5. หาประสิทธิภาพการทำงานของเครื่องคอมพิวเตอร์ ของผู้ใช้งานลดลง หลังจากเข้าชมเว็บไซต์ใดๆ ผู้ใช้งาน ต้องแจ้งให้หน่วยงาน IT support ทราบทันที
8.5.5 การป้องกันไวรัส
  1. ห้ามมิให้ผู้ใช้งาน สร้าง เก็บ หรือเผยแพร่ โปรแกรมมุ่งร้ายใดๆ ตัวอย่างเช่น ไวรัส หนอนอินเตอร์เน็ต โปรแกรมแฝง(โทรจัน) อีเมลบอม เข้าสู่ระบบคอมพิวเตอร์ของบริษัท ยกเว้น หน่วยงานที่ได้รับมอบหมาย ให้ปฏิบัติงาน ที่เกี่ยวข้องเท่านั้น
  2. ห้ามมิให้ผู้ใช้งาน ขัดขวาง หรือ รบกวนการทำงาน ของซอฟต์แวร์ ป้องกันไวรัส
  3. หากผู้ใช้งานสงสัยว่า เครื่องคอมพิวเตอร์ ของตน ติดไวรัส หรือได้รับการแจ้งเตือน จากซอฟต์แวร์ ป้องกันไวรัส ว่า เครื่องคอมพิวเตอร์ถูก โจมตี จากไวรัส ผู้ใช้งานต้องหยุดการทำงานทั้งหมด และแจ้งเหตุต่อหน่วยงาน IT support ทันที
hacker-in-black-clothes-in-front-of-a-computer-mon-2021-09-04-04-35-48-utc
8.5.6 การใช้งานรหัสผ่านอย่างมั่นคงปลอดภัย
  1. ผู้ใช้งานแต่ละคนต้องได้รับมอบ user account ที่แตกต่างกัน เพื่อใช้ในการเข้าถึงระบบและบริการต่างๆ ของบริษัท รหัสผ่าน ต้องได้รับการเปลี่ยน เมื่อเข้าใช้งานครั้งแรก
  2. ผู้ใช้งาน ที่สามารถเข้าถึง ข้อมูล ที่เป็นความลับ จะต้อง ใช้ รหัสผ่าน เพื่อเข้าสู่ ระบบ แบบ หลายขั้นตอน
  3. รหัสผ่านถือเป็นข้อมูลที่เป็นความลับและเป็นหน้าที่ของผู้ใช้งานทุกคนที่ต้องเก็บรักษารหัสผ่านอย่างมั่นคงปลอดภัย ห้ามมิให้มีการใช้งาน user account ร่วมกันหรือให้ผู้อื่นเข้าใช้งาน user account ของตนโดยเด็ดขาด
  4. ผู้ใช้งาน ต้องรับผิดชอบ ต่อการกระทำใดๆ ที่กระทำผ่าน user account และรหัสผ่านของตน ทั้งหมด
  5. ถ้าหากผู้ใช้งานสงสัยว่า user account หรือรหัสผ่านของตนถูกเปิดเผย ให้ผู้ใช้งาน ทำการเปลี่ยนแปลงรหัสผ่าน ทั้งหมดทันที
8.5.7 สำนักงานของบริษัท
  1. ผู้ใช้งาน ต้องดูแลรักษาสภาพแวดล้อมในการทำงาน ให้อยู่ในสภาพที่มีความปลอดภัยอยู่เสมอ
  2. ผู้ปฏิบัติงานในบริษัท จะตรวจสอบ และสอบถาม บุคคลภายนอก ที่เข้ามาในบริเวณสำนักงานของ บริษัท โดยผู้มาติดต่อจะต้องแจ้งชื่อ บุคคลภายในบริษัท ที่มาติดต่อด้วย และต้องอยู่ในความดูแลของบุคคลภายในดังกล่าว
  3. พนักงานต้องไม่เปิดประตูสำนักงานทิ้งไว้ หรือยินยอมให้บุคคลอื่นติดตาม เข้ามาภายในพื้นที่ สำนักงาน โดยเด็ดขาด เพื่อเป็นการป้องกัน การเข้าถึงพื้นที่สำนักงาน และพื้นที่ควบคุม ความมั่นคงปลอดภัย โดยบุคคลที่ไม่ได้รับอนุญาต
  4. ผู้จัดการสำนักงาน ควรตรวจสอบ ความมั่นคงปลอดภัย ของพื้นที่ ทำงานของตน เป็นประจำทุกวัน หลังเลิกงาน เพื่อให้มั่นใจว่า ตู้เซฟ ตู้เอกสาร ลิ้นชัก และอุปกรณ์ต่างๆ ได้รับการปิดล็อก อย่างเหมาะสม และกุญแจ ถูกเก็บ รักษา ไว้อย่างปลอดภัย
  5. ข้อมูล สื่อบันทึก วัสดุ และอุปกรณ์ที่จัดเก็บข้อมูล ที่เป็นความลับ ต้องไม่ถูกทิ้งไว้ โดยลำพัง บนโต๊ะทำงาน ในห้องประชุม หรือในตู้ที่ไม่ได้ล็อกกุญแจ โดยเด็ดขาด และ ต้องไม่ถูกทิ้ง ลงในถังขยะ โดยไม่ได้รับการทำลายอย่างเหมาะสม การทำลายข้อมูล สื่อบันทึก วัสดุ และอุปกรณ์ ให้อ้างอิงได้จาก WP-G-0011 ขบวนการจำแนกชั้นความลับ และการจัดการข้อมูล
  6. การเคลื่อนย้าย เครื่องคอมพิวเตอร์ หรือสื่อบันทึกข้อมูล ออกจากพื้นที่ทำงาน จะต้องได้รับอนุญาต ทุกครั้ง
8.5.8 ความมั่นคงปลอดภัยของระบบเครือข่าย
  1. ห้ามมิให้ผู้ใช้งานติดตั้งอุปกรณ์ฮาร์ดแวร์หรือซอฟต์แวร์ใดๆ ที่เกี่ยวข้องกับการให้บริการเครือข่าย โดยไม่ได้รับอนุญาต
  2. ผู้ใช้งานควรตรวจสอบระบบเครือข่ายว่ามีความมั่นคงปลอดภัยตามมาตรฐาน
8.5.9 การใช้งานโทรศัพท์ และเครื่องถ่ายเอกสาร
  1. ห้ามมิให้ผู้ใช้งาน บันทึก หรือฝากข้อความ ที่มีข้อมูล ที่เป็นความลับ ในเครื่องตอบรับโทรศัพท์อัตโนมัติ หรือระบบ วอยซ์เมล โดยเด็ดขาด
  2. ห้ามมิให้สนทนา เกี่ยวกับข้อมูล ที่เป็นความลับ ผ่าน ลำโพงของเครื่องโทรศัพท์ เว้นแต่
  • ผู้เข้าร่วมการประชุมทุกฝ่าย ได้รับการพิสูจน์ตัวตน แล้วว่า เป็นผู้ที่เกี่ยวข้อง และมีสิทธิรับทราบข้อมูล
  • ผู้ที่เกี่ยวข้อง ตรวจสอบจนมั่นใจแล้วว่า ไม่มีบุคคล ที่ไม่ได้รับอนุญาต อยู่ในบริเวณใกล้เคียง ที่อาจได้ยินข้อมูล ที่เป็นความลับ ที่สนทนาอยู่
  • ผู้ใช้งานต้องสนทนาโทรศัพท์ ด้วยความระมัดระวัง เพื่อป้องกัน มิให้ข้อมูล ที่เป็นความรัก ถูกแอบฟัง โดยบุคคลที่ไม่ได้รับอนุญาต
  • ในกรณีที่ต้องมีการเปิดเผยข้อมูล ที่เป็นความลับใดๆ ทางโทรศัพท์ ผู้ให้ข้อมูลต้องทำการตรวจสอบ ให้มั่นใจว่า คู่สนทนานั้น เป็นผู้ที่ได้รับอนุญาต ให้รับทราบข้อมูลดังกล่าว ก่อนที่จะเปิดเผย
8.5.10 พนักงานและผู้ให้บริการของบริษัท
  1. บุคลากรทุกคน ต้องรับทราบทำความเข้าใจและปฏิบัติตามมานโยบายการรักษาความมั่นคง ปลอดภัย สารสนเทศ
  2. ข้อมูลที่ถูกสร้าง เก็บ รักษาหรือส่งผ่านบนระบบเทคโนโลยีสารสนเทศของบริษัทถือเป็นทรัพย์สินของบริษัท (ยกเว้นข้อมูลที่เป็นทรัพย์สินของลูกค้า หรือบุคคลภายนอก รวมถึง ซอฟต์แวร์ หรือวัสดุอื่นๆ ที่ได้รับการคุ้มครอง โดยสิทธิบัตร หรือลิขสิทธิ์ ของบุคคลภายนอก) ทั้งนี้ บริษัท สามารถเปิดเผย หรือ ช้อมูล เหล่านี่ เป็นหลักฐาน ในการสืบสวน ความผิดต่างๆ โดยไม่จำเป็น ต้องแจ้ง ให้ผู้ใช้งานทราบล่วงหน้า
  3. เพื่อ วัตถุประสงค์ ในการบริหารจัดการ และรักษา ความมั่นคงปลอดภัย ของระบบ เทคโนโลยีสารเทศ ของบริษัท บริษัท ขอ สงวนสิทธิ์ ในการตรวจสอบ การใช้งานเครื่องพิวเตอร์ ระบบคอมพิวเตอร์ และระบบเครือข่าย ของผู้ใช้งาน เพื่อให้มั่นใจว่า มีการใช้งาน ตรงตามที่นโยบาย ของบริษัท กำหนดไว้หนวด
  4. บริษัทขอสงวนสิทธิ์ ในการเข้าถึง ทบทวน และตรวจสอบอีเมล ของผู้ใช้งาน โดยไม่จำเป็น ต้องแจ้งให้ทราบล่วงหน้า อย่างไรก็ตาม บริษัทจะดำเนินการตรวจสอบ ดังกล่าว ต่อเมื่อมีความจำเป็นเท่านั้น และจะไม่เปิดเผยข้อมูลใดๆ ของผู้ใช้งาน เว้นแต่เป็นการเปิดเผย ตามคำสั่งศาล ตามบทบังคับของกฎหมาย หรือด้วยความยินยอม จากผู้ใช้งานเท่านั้น
  5. ห้ามมิให้พนักงาน ใช้งานทรัพย์สิน และระบบ เทคโนโลยีสารสนเทศ ของบริษัท กระทำการใดๆ ที่ขัดแย้ง ต่อกฎหมาย แห่งราชอาณาจักรไทย และกฎหมาย ระหว่างประเทศ ไม่ว่าโดยกรณีใดก็ตาม
  6. ห้ามมิให้ผู้ใช้งาน ทำการใช้งาน ทำซ้ำ หรือเผยแพร่ รูปภาพ เพลง บทความ หนังสือ หรือเอกสารใดๆ ที่เป็นการละเมิดลิขสิทธิ์ หรือติดตั้งซอฟต์แวร์ ละเมิดลิขสิทธิ์ บนระบบ เทคโนโลยีสารสนเทศ ของบริษัท โดยเด็ดขาด
8.5.11 การรายงาน เหตุ ล่วงละเมิดความมั่นคงปลอดภัย
  1. บุคลากรทั้งภายใน และภายนอก ทุกคน มีหน้าที่ รายงาน เหตุล่วงละเมิด ความมั่นคงปลอดภัย จุดอ่อน หรือการกระทำที่ไม่เหมาะสม ใด ๆ ที่เกิดขึ้น หรือสงสัยว่าเกิดขึ้น ภายในบริษัท ต่อผู้บังคับบัญชา หรือหน่วยงานที่ได้รับมอบหมาย ให้ดูแลความปลอดภัย ระบบคอมพิวเตอร์ และข้อมูลสารสนเทศของบริษัท ทันที ที่พบเหตุ เพื่อดำเนินการแก้ไข ปัญหาอย่างทันท่วงที
  2. ผู้ใช้งานที่พบความผิดปกติ ของการทำงาน หรือข้อผิดพลาดของซอฟต์แวร์ ฮาร์ดแวร์ และอุปกรณ์ใดๆ จะต้องรายงานต่อ [email protected]
  3. ผู้ ใช้งาน และ บุคคลภายนอก ที่พบเหตุ ละเมิด ความมั่นคงปลอดคงปลอดภัย หรือจุดอ่อนใดๆ ในบริษัท ต้องไม่บอกเล่าเหตุการณ์ ที่เกิดขึ้นกับผู้อื่น ยกเว้น ผู้บังคับบัญชา และ หน่วยงานที่ได้รับมอบหมาย ให้ดูแลความปลอดภัย ระบบคอมพิวเตอร์ และข้อมูล สารสนเทศ ของบริษัท และห้ามมิให้ ทำการพิสูจน์ ข้อสงสัย เกี่ยวกับจุดอ่อน ด้านความมั่นคง ปลอดภัย นั้น ด้วยตนเองเอง
8.5.12 การกระทำอื่นๆ ที่ถือเป็นข้อห้ามของบริษัท

การกระทำต่างๆ ที่จะกล่าวถึงด้านล่างนี้ ถือเป็นข้อห้ามของบริษัท ซึ่ง บริษัท ไม่ยอมให้พนักงาน ดำเนินการค้าโดยเด็ดขาด

  1. ใช้งานทรัพยากรของบริษัท เพื่อการจัดหา หรือส่งต่อ วัสดุ เอกสาร วีดีโอ หรือรูปภาพ ลามกอนาจาร หมิ่นประมาท แสดงความอาฆาต หรือการกระทำที่มีเจตนา ขัดต่อกฎหมาย
  2. การฉ้อโกง โดยใช้ User account ของบริษัท เพื่อเสนอขายสินค้า หรือบริการใดๆ
  3. การให้การรับรองใดๆ ทั้งโดยทางตรง หรือโดยนัย เว้นแต่การรับรองนั้น เป็นส่วนหนึ่งของหน้าที่ ที่ได้รับมอบหมาย
  4. การพยายามล่วงละเมิด ความมั่นคงปลอดภัย หรือรบกวนการทำงานของระบบเครือข่าย เช่นการเข้าถึงข้อมูล หรือเครื่องเซิฟเวอร์ ที่ตนไม่ ได้รับอนุญาต เช่น Sniffing, Pinged Floods, Packet spoofing, Denial of Service และ Forged Routing Information ด้วยเจตนามุ่งร้าย
  5. การใช้งาน Bandwidth จำนวนมาก เฉพาะอย่างยิ่ง ใช้งานโปรแกรม ประเภท P2P file sharing ที่ไม่ได้ เป็น กิจการ ของบริษัท
  6. การดักฟัง หรือดักจับข้อมูล ที่พนักงาน ไม่ได้รับอนุญาต ให้รับรู้ ด้วยวิธีการใดๆ เว้นแต่ เป็นการดำเนินการตามหน้าที่ ที่ได้รับมอบหมาย
  7. การค้นหาจุดบกพร่องของระบบ เช่น Port Scanning, Security scanning เพื่อให้การเข้าถึงข้อมูล หรือ ระบบ โดยที่ได้รับอนุญาต เว้นแต่เป็นการดำเนินการ ตามหน้าที่ ที่ได้รับมอบหมาย
  8. การหลบเลี่ยง การพิสูจน์ ตัวตน ผู้ใช้งาน หรือมาตราด้านความมั่นคงปลอดภัย ของคอมพิวเตอร์ และระบบเครือข่ายใดๆ
  9. การใช้โปรแกรม/สคลิปต์/คำสั่ง หรือการส่งข้อความใดๆ โดยมีเจตนารบกวน ลดประสิทธิภาพ การให้บริการ หรือ ระงับการใช้งานของผู้ใช้งาน ทั้งโดยผ่านระบบภายใน หรือผ่านระบบเครือข่ายต่างๆ
  10. ให้ข้อมูลที่เป็นความลับ เกี่ยวกับรายชื่อพนักงาน รายชื่อลูกค้า ความลับทางการค้า ของบริษัท และข้อมูลที่เป็นความลับอื่นๆ แก่บุคคลภายนอก
  11. การข่มขู่คุกคาม ทุกรูปแบบ ผ่านทางอีเมล โทรศัพท์ หรือระบบส่งข้อความ ไม่ว่าจะด้วยภาษา ความถี่ หรือขนาดของข้อความ อย่างไรก็ตาม
  12. การแสดงความคิดเห็น หรือส่งข้อความใด ๆ ที่ไม่เกี่ยวข้องกับการทำงาน ไปหาบุคคลจำนวนมาก (Newsgroup spam)
  13. การ ละเมิด สิทธิส่วนบุคคล ลิขสิทธิ์ของบริษัท ความลับทางการค้า สิทธิบัตร ทรัพย์สินทางปัญญา หรือกฎหมายอื่นใด
  14. การ Check-in ใน Social Media เพื่อเข้าสถานที่ที่ต้องการความปลอดภัย และมีความสำคัญสูงของบริษัท เช่น อาคารศูนย์ เทคโนโลยีสารสนเทศ, ห้องควบคุมระบบเครือข่าย, ห้อง Strong room เป็นต้น
  15. การ Post ข้อมูลของบริษัท ที่มีชั้นความลับเป็น Confidential, Restricted, และ Internal ใน Social Media.
  16. การลงทะเบียนเพื่อใช้งาน Social Media ในนามบริษัท เว้นแต่จะเป็นการกระทำที่ได้รับมอบหมายในหน้าที่

External party policy

Businessman collects wooden puzzles with the word Data Protection. Denied access to confidential information. Ensuring the confidentiality of personal and business information. GDPR. Cyber Security

นโยบายย่อย และ ข้อปฏิบัติสำหรับ บุคคลภายนอก

(External party code of conduct and policy)

SM-G-0004

Version 1.0

นโยบายย่อยสำหรับบุคคลภายนอก

รายชื่อ บุคคลภายนอกประเภทต่าง ๆ และระดับความลับ ของข้อมูล ที่บุคคลภายนอก แต่ละองค์กร มีบันทึกอยู่ใน ระบบ Peak Engine รายละเอียด ต่าง ๆ จะถูก นำมาทบทวน และปรับปรุงให้ทันสมัย ปีละ 1 ครั้งโดย ฝ่ายธุรการ และฝ่ายบุคคล

นโยบายย่อยนี้ จะมีผลบังคับใช้กับ บุคคลภายนอกที่สามารถเข้าถึง ข้อมูลระดับ Internal ขึ้นไป

  • บุคคลภายนอก จะได้รับทราบถึงรายละเอียด ในข้อปฏิบัติสำหรับ บุคคลภายนอก รวมถึงเอกสารสัญญา หรือข้อตกลงอื่น ๆ ที่เกี่ยวข้องเพื่อให้สามารถปฏิบัติงานให้แก่บริษัทได้อย่างถูกต้อง เมื่อต้องเข้าติดต่อประสานงาน หรือใช้งานข้อมูล และระบบเทคโนโลยีสารสนเทศ ของบริษัท
  • บุคคลภายนอก ต้องรักษาข้อมูลต่าง ๆ ที่ได้รับทราบระหว่างการปฏิบัติงานให้แก่บริษัท ไว้เป็นความลับ และอนุญาตให้ใช้ข้อมูล เพื่อการปฏิบัติงานให้กับบริษัท เท่านั้น ห้ามมิให้ทำการเปิดเผย ต่อบุคคลอื่นก่อนได้รับอนุญาต จากบริษัท อย่างเด็จขาด
  • บุคคลภายนอก และ ผู้ปฏิบัติงาน ทุกคน ของหน่วยงานบุคคลภายนอก จะต้องลงนามใน “ข้อตกลงการไม่เปิดเผยข้อมูล (NDA)” และปฏิบัติตามนโยบาย และข้อปฏิบัติ ฉบับนี้ อย่างเคร่งครัด และสม่ำเสมอ
  • บุคคลภายนอก ต้องไม่นำบุคคลอื่นที่ไม่เกี่ยวข้อง เข้ามาในพื้นที่ บริษัท โดยไม่ได้รับอนุญาติ
  • กรณีที่ บุคคลภายนอก มีความจำเป็นต้องขอใช้ข้อมูลประเภท Restricted หรือ Internal จากบริษัท ให้ทำการแจ้งต่อพนักงานที่เป็นผู้ติดต่อประสานงาน เพื่อขออนุญาต ใช้งานข้อมูลจากเจ้าของข้อมูล หรือผู้มีอำนาจ โดยอนุญาตให้ใช้งานเฉพาะข้อมูล เท่าที่จำเป็น
  • บุคคลภายนอก ที่จะเข้าปฏิบัติงาน ต้องแจ้งข้อมูลของผู้ปฏิบัติ ให้ทางบริษัททราบล่วงหน้า โดยมีข้อมูล ดังนี้
    1. รายชื่อ พร้อม นำเอกสาร/บัตร ที่ใช้ยืนยันตัวตน ที่มีรูปภาพ ไปด้วยทุกครั้ง เพื่อให้ หน่วยงานเจ้าของสถานที่ สามารถตรวจสอบ เพื่อยืนยันตัวตนได้
    2. รายละเอียดยานพาหนะ ที่จะใช้ ในการเดินทางเข้ายังสถานที่ปฏิบัติงาน (กรณีที่ เจ้าของสถานที่แจ้ง และร้องขอข้อมูล)
    3. รายละเอียด ประวัติสุขภาพ และเอกสารยืนยัน ด้านสุขภาพ ตามที่เจ้าของสถานที่ร้องขอ
  • กรณีบุคคลภายนอก นำอุปกรณ์สารสนเทศส่วนบุคคล เช่น คอมพิวเตอร์ พกพา หรือ Notebook เข้าใช้งานในพื้นที่ของผู้มอบหมายงาน หรือ พื้นที่ที่บริษัทฯกำหนด บุคคลภายนอก จะต้องเตรียมสัญญาณ เพื่อเชื่อมต่อระบบเครือข่าย อินเตอร์เน็ต มาด้วย บริษัท ไม่อนุญาต ให้มีการเชื่อมต่อ กับระบบเครือข่าย และอุปกรณ์ภายในของบริษัท และของลูกค้า ยกเว้น การเชื่อมต่อนั้น เป็นส่วนหนึ่งของบริการที่บุคคลภายนอก จะเข้าดำเนินการ และต้องได้รับอนุญาตจากผู้ดูแลระบบ หรืออุปกรณ์ เหล่านั้น ก่อน
  • ไม่อนุญาต ให้บุคคลภายนอก ทำการถ่ายภาพ หรือบันทึกเสียง และภาพเคลื่อนไหว ภายในพื้นที่ บริษัท และพื้นที่ปฏิบัติงาน ของบริษัทลูกค้า ก่อนได้รับอนุญาต
  • ขณะปฏิบัติงานหากพบว่ามีสิ่งผิดปรกติใด ๆ เกิดขึ้น ต้องรายงานให้พนักงานที่เป็นผู้ติดต่อประสานงาน ทราบทันที
  • บริษัท ขอสงวนสิทธิ์ในการตรวจสอบการทำงานของ บุคคลภายนอก รวมถึงเพิกถอนสิทธิ์ต่าง ๆ ในการเข้าใช้ข้อมูล และระบบเทคโนโลยีสารสนเทศ เมื่อพบสิ่งผิดปกติ หรือมีเหตุกระทบด้านความมั่นคง (Security Violation) โดยไม่ต้องแจ้งให้ทราบล่วงหน้า
  • บุคคลภายนอก ต้องปฏิบัติงานตามขอบเขต และหน้าที่ความรับผิดชอบ ที่ได้รับมอบหมาย หรือที่ระบุไว้ในสัญญาเท่านั้น
  • บุคคลภายนอก จะปฏิบัติงานด้วยความระมัดระวัง เพื่อป้องกันความเสียหายที่อาจเกิดขึ้น ต่อบริษัท กรณีที่เกิดความเสียหายขึ้น องค์กรที่เป็นต้นสังกัด ของบุคคลภายนอกนั้น ต้องรับผิดชอบ ต่อความเสียหายดังกล่าว ด้วย

คำจำกัดความ

บริษัท หมายถึง บริษัทกรีนวิลโซลูชั่น จำกัด

ผู้ใช้งาน หมายถึง กรรมการ/พนักงาน หรือผู้ที่ได้รรับอนุญาต ให้ใช้ระบบคอมพิวเตอร์ หรือระบบเครือข่ายของบริษัท

เจ้าของข้อมูล หมายถึง ผู้ได้รับมอบหมายจากผู้บังคับบัญชา ให้รับผิดชอบ ข้อมูลของระบบ โดยเจ้าของข้อมูลเป็นผู้รับผิดชอบข้อมูลนั้น ๆ หรือ ได้รับผลกระทบโดยตรงหากข้อมูลเหล่านั้นเสียหาย

พนักงาน (Employee) หมายถึง พนักงานที่ได้รับการว่าจ้าง ให้ทำงาน เป็น พนักงานทดลองงาน พนักงานประจำ พนักงานสัญญาจ้างพิเศษ และผู้บริหารทุกระดับ ที่อยู่ภายใต้การจ้างงานของบริษัท

ระบบสารสนเทศ หมายถึง ระบบที่มีการนำเอา ฮาร์ดแวร์ ซอฟท์แวร์ บุคลากร แนวปฏิบัติ และข้อมูล ซึ่งทำงานประสานกันเพื่อจัดเตรียมสารสนเทศที่จำเป็นให้กับบริษัท

สารสนเทศ (Information) หมายถึง ข้อมูลต่าง ๆ ที่ได้ผ่านการเปลี่ยนแปลงประมวลผล หรือวิเคราะห์ สรุปผลด้วยวิธีการต่าง ๆ แล้วเก็บรวบรวมไว้ เพื่อนำมาใช้ประโยชน์ตามต้องการ การประมวลผล เป็นการนำข้อมูลจากเหล่งต่าง ๆ ที่เก็บรวบรวมไว้มาฝ่านกระบวนการต่าง ๆ เพื่อแพรสภาพข้อมูลให้เป็นระบบที่อยู่ในรูปแบบที่ต้องการ

ระบบคอมพิวเตอร์ (Computer System) หมายถึง เครื่องมือ หรืออุปกรณ์คอมพิวเตอร์ ทุกชนิดทั้ง Hardware และ Software ทุกขนาด อุปกรณ์เครือข่ายเชื่อมโยงข้อมูลทั้งชนิดมีสาย และไร้สาย วัสดุอุปกรณ์ การเก็บรักษา และการถ่ายโอนข้อมูลชนิดต่าง ๆ ระบบ Internet และระบบ Intranet รวมถึงอุปกรณ์ ไฟฟ้า และสื่อสารโทรคมนาคมต่าง ๆ ที่สามารถทำงาน หรือใช้งานได้ในลักษณะเช่นเดียวกัน หรือคล้ายคลึงกับคอมพิวเตอร์ ทั้งที่เป็นทรัพย์สินของบริษัท ของบริษัทคู่ค้า ของบริษัทอื่นที่อยู่ในระหว่างการติดตั้ง และยังไม่ได้ส่งมอบ หรือของพนักงาน ที่นำเข้ามาติดตั้ง หรือใช้งานภายในสถานประกอบการของบริษัท

เทคโนโลยีสารสนเทศ หรือ ไอที (information technology: IT) คือการประยุกต์ใช้คอมพิวเตอร์ และอุปกรณ์โทรคมนาคม เพื่อจัดเก็บ ค้นหา ส่งผ่าน และจัดดำเนินการข้อมูล [1] ซึ่งมักเกี่ยวข้องกับธุรกิจหนึ่งหรือองค์การอื่น ๆ [2] ศัพท์นี้โดยปกติก็ใช้แทนความหมายของเครื่องคอมพิวเตอร์และเครือข่ายคอมพิวเตอร์ และยังรวมไปถึงเทคโนโลยีการกระจายสารสนเทศอย่างอื่นด้วย เช่น โทรทัศน์และโทรศัพท์ อุตสาหกรรมหลายอย่างเกี่ยวข้องกับเทคโนโลยีสารสนเทศ ตัวอย่างเช่น ฮาร์ดแวร์ ซอฟต์แวร์ อิเล็กทรอนิกส์ อุปกรณ์กึ่งตัวนำ อินเทอร์เน็ต อุปกรณ์โทรคมนาคม การพาณิชย์อิเล็กทรอนิกส์ และบริการทางคอมพิวเตอร์

ข้อมูลสารสนเทศ (Information) หมายถึง ข้อมูล ข่าวสาร บันทึก ประวัติ ข้อความในเอกสาร โปรแกรมคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์รูปภาพ เสียง เครื่องหมาย และสัญลักษณ์ ต่าง ๆ ไม่ว่าจะเก็บไว้ในรูปแบบ ที่สามารถสื่อความหมายให้บุคคล สามารถเข้าใจได้โดยตรง หรือผ่านเครื่องมือ หรืออุปกรณ์ ใด ๆ

บุคคลภายนอก (External Party) หมายถึง องค์กร ผู้บริหาร บุคลากร ของหน่วยงานภายนอกที่ดำเนินธุรกิจ และบุคคลธรรมดา ที่ทำสัญญาให้บริการ ที่ได้รับสิทธิ์ ให้เข้าถึงสารสนเทศ และอุปกรณ์ ประมวลผล สารสนเทศของบริษัท เช่น

  • บริษัทคู่ค้า (Business Partner) คือองค์กรธุรกิจ ที่ร่วมดำเนินการให้บริการ กับบริษัท เช่น Atrinet, Parkplace Technologies, และ Envision digital
  • ผู้ให้บริการตามสัญญา (Contractor) คือบุคคลธรรมดา ที่มีความสามารถในการให้บริการ และบริษัท ได้ทำสัญญาว่าจ้าง ให้ดำเนินการตามภารกิจที่ได้รับมอบหมาย ให้กับบริษัทลูกค้าของบริษัท (ในที่นี้เรียกว่า “ผู้มอบหมายงาน”) จะมีสิทธิในการควบคุม สั่งการ ประเมินผลการทำงาน จะยอมรับ หรือปฏิเสธการทำงานของ
  • ผู้จัดหาวัสดุอุปกรณ์ต่างๆ (Supplier) คือ นิติบุคคล หรือบุคคลธรรมดา ทั้งในประเทศ และต่างประเทศ ที่ จำหน่ายวัสดุ อุปกรณ์ต่าง ๆ ให้กับบริษัท โดย จะมีการส่งมอบวัสดุ และให้การรับประกัน การชำรุดเสียหายของอุปกรณ์ ดังกล่าวตามระยะเวลารับประกัน
  • ผู้ให้บริการต่างๆ (Service Provider) คือ นิติบุคคล ที่ดำเนินกิจการ ให้บริการ ตามขอบเขต และลักษณะการส่งมอบงาน และระดับการให้บริการต่าง ๆ ส่วนใหญ่เป็นบริการในลักษณะ สาธารณะ เช่น บริการ ระบบบัญชี และการบริการด้านภาษี ของ PUUN ซึ่งใช้ แพลตฟอร์ม Peakengine, บริการระบบ Microsoft 365, บริการระบบ Freshservice, บริการขนส่งสินค้า และบริการด้านภาษีศุลกากร ของบริษัท Fedex, DHL, SFexpress และ อื่น ๆ
  • ที่ปรึกษา (Consultant) หมายถึง นิติบุคคล หรือบุคคล ที่ให้บริการ ให้คำปรึกษา เพื่อให้บริษัทดำเนินการ ให้บรรลุตามเป้าหมาย หรือจุดประสงค์ ที่ต้องการ เช่น ที่ปรึกษาด้านการพัฒนาคุณภาพ
  • ผู้รับการว่าจ้าง หมายถึง บุคคล/บริษัท หรือหน่วยงานภายนอก ซึ่งได้รับการว่าจ้าง จากบริษัทให้ทำงานให้ในช่วงระยะเวลาหนึ่ง หรือทำงานในฐานะ เป็นผู้ใช้งานของบริษัท ซึ่งรวมถึงลูกจ้างชั่วคราว โดยทั่วไปการว่าจ้างจะมีการทำสัญญาจ้าง เพื่อควบคุม ให้ผู้รับจ้างปฏิบัติตามเงื่อนไข หรือข้อตกลงการจ้างงานนั้น

ข้อปฏิบัติสำหรับผู้ให้บริการตามสัญญาและที่ปรึกษา

  • ผู้ให้บริการที่นำอุปกรณ์สารสนเทศส่วนบุคคล เช่น คอมพิวเตอร์ พกพา หรือ Notebook เข้าใช้งานในพื้นที่ของผู้มอบหมายงาน หรือ พื้นที่ที่บริษัทฯกำหนด ทั้งการเชื่อมต่อโดยตรงในห้อง Server room, ในพื้นที่ที่มีระบบเครือข่าย ของผู้มอบหมายงาน หรือเจ้าของสถานที่ และทางการเชื่อมต่อระยะไกล จะต้องดูแล อุปกรณ์ คอมพิวเตอร์ดังกล่าว ดังนี้
    1. ห้ามมิให้ใช้ ซอฟต์แวร์ ที่ไม่มีลิขสิทธิ์
    2. ดำเนินการปรับปรุง ซอฟต์แวร์ ระบบปฏิบัติการ , ซอฟต์แวร์ เชื่อมต่ออินเตอร์เน็ต (Internet browser) และซอฟต์แวร์ ระบบฐานข้อมูล ต่าง ๆ (หากมีการใช้งาน) ให้ทันสมัยอยู่เสมอ
    3. มีการติดตั้งซอฟท์แวร์ป้องกันการโจมตี จากภัยทางไซเบอร์ และโปรแกรม ไม่ประสงค์ดีต่าง ๆ
    4. เพื่อให้การให้บริการ มีความต่อเนื่อง ผู้ให้บริการ จะดูแลอุปกรณ์ ดังกล่าว ให้พร้อมใช้งานอยู่เสมอ
    5. ผู้ให้บริการ จะดำเนินการ สำรองข้อมูล อย่างสม่ำเสมอ
  • ผู้ให้บริการ จะไม่นำข้อมูล เอกสาร หรือซอฟต์แวร์ ที่มีลิขสิทธิ์ ของบริษัท และของ หน่วยงานที่ผู้ให้บริการได้รับมอบหมายให้ปฏิบัติงานให้ ไปใช้งานส่วนตัว หรือใช้งานในทางที่ผิด
  • ผู้ให้บริการ ที่ปฏิบัติงานผ่านเครือข่ายอินเตอร์เน็ต ให้เลือกบริการจากเครือข่ายที่ไว้ใจได้ หลีกเลี่ยงการใช้งานบนเครือข่ายสาธารณะ ที่ไม่ปลอดภัย เช่น อินเตอร์เน็ต ของร้านอาหาร ร้านกาแฟ หรือ โรงแรม (ที่ไม่ได้รับการรับรองว่าปลอดภัย)
  • ผู้ให้บริการ ที่ได้รับอนุญาตให้เข้าปฏิบัติงาน ที่สถานที่ ของบริษัท หรือ สถานที่ที่บริษัทมอบหมายให้ จะต้องปฏิบัติตามข้อกำหนดของสถานที่นั้น ๆ และจะไม่ได้รับอนุญาตให้ ถ่ายภาพ บันทึกเสียง หรือวีดีโอ ก่อนได้รับอนุญาต
  • เมื่อสิ้นสุดระยะเวลาปฏิบัติงาน ตามข้อตกลง หรือสัญญา ผู้ให้บริการต้องส่งคืนทรัพย์สินต่าง ๆ เช่น กุญแจ และอุปกรณ์ต่าง ๆ (ถ้ามี) รวมทั้ง รหัสการเข้าระบบ ให้แก่พนักงานผู้ติดต่อ ประสานงานอย่างครบถ้วน
  • ในกรณีที่ผู้ให้บริการ ได้ดำเนินการเปลี่ยนแปลง การตั้งค่าของระบบ หรือการเปลี่ยนแปลงใด ๆ อันอาจจะส่งผลต่อการให้บริการ ตามข้อตกลง หรือสัญญา ผู้ให้บริการจะต้องแจ้งต่อบริษัท อย่างเป็นลายลักษณ์อักษร เพื่อให้บริษัททำการพิจารณา วิเคราะห์ผลกระทบ และหาวิธีในการแก้ไขควบคุมความเสี่ยงได้อย่างเหมาะสม

ข้อปฏิบัติ สำหรับบริษัทคู่ค้า

  • บุคลากรของบริษัทคู่ค้าที่จะเข้าปฏิบัติงานต้องแจ้งข้อมูลของผู้ปฏิบัติให้ทางบริษัททราบล่วงหน้าโดยมีข้อมูล ดังนี้
    1. รายชื่อ พร้อม นำเอกสาร/บัตร ที่ใช้ยืนยันตัวตน ที่มีรูปภาพ ไปด้วยทุกครั้ง เพื่อให้ หน่วยงานเจ้าของสถานที่ สามารถตรวจสอบ เพื่อยืนยันตัวตนได้
    2. รายละเอียดยานพาหนะ ที่จะใช้ ในการเดินทางเข้ายังสถานที่ปฏิบัติงาน (กรณีที่ เจ้าของสถานที่แจ้ง และร้องขอข้อมูล)
    3. รายละเอียด ประวัติสุขภาพ และเอกสารยืนยัน ด้านสุขภาพ ตามที่เจ้าของสถานที่ร้องขอ
  • กรณีบุคลากรของบริษัทคู่ค้านำอุปกรณ์สารสนเทศส่วนบุคคล เช่น คอมพิวเตอร์ พกพา หรือ Notebook เข้าใช้งานในพื้นที่ของผู้มอบหมายงาน หรือ พื้นที่ที่บริษัทฯกำหนด กรณีที่บุคคลดังกล่าวต้องใช้สัญญาณอินเตอร์เน็ต จะต้องเตรียมสัญญาณ เพื่อเชื่อมต่อระบบเครือข่าย อินเตอร์เน็ต มาด้วย บริษัท ไม่อนุญาต ให้มีการเชื่อมต่อ กับระบบเครือข่ายอินเตอร์เน็ต และอุปกรณ์ภายในของบริษัท และของลูกค้า ยกเว้น การเชื่อมต่อนั้น เป็นส่วนหนึ่งของบริการที่ จะเข้าดำเนินการ และต้องได้รับอนุญาตจากผู้ดูแลระบบ หรืออุปกรณ์ เหล่านั้น ก่อนทุกครั้ง
  • เมื่อมีการเข้าปฏิบัติงาน ใน Server room หรือนำอุปกรณ์สารสนเทศ หรือสื่อบันทึกข้อมูลใด ๆ เข้าใช้งานใน Server room ต้องแจ้งความจำนงต่อพนักงานที่เป็นผู้ติดต่อประสานงาน เพื่อขออนุมัติตามความเหมาะสม บริษัท จะอนุญาตให้ใช้งานได้ตามความจำเป็นเท่านั้น  และบุคลากร ต้องให้ความร่วมมือกับบริษัท ในการตรวจสอบอุปกรณ์ ที่นำเข้าใช้งานอย่างเหมาะสมด้วย
  • บริษัทคู่ค้า จะไม่ติดตั้งโปรแกรม ซอฟท์แวร์ หรือปรับแต่งค่าของระบบ โดยไม่ได้รับอนุญาต
  • บริษัท คู่ค้า จะชี้แจงรายละเอียดงานบริการ ให้กับ บุคลากร ที่ปฏิบัติงาน ในทุกส่วนที่เกี่ยวข้อง ให้ทราบ และร่วมดำเนินการให้บรรลุวัตถประสงค์ ตามที่ต้องการอย่างเต็มความสามารถ

ข้อปฏิบัติสำหรับผู้ให้บริการ (Service Provider)

  • เมื่อผู้ให้บริการหรือระบบมีการเปลี่ยนแปลง ผู้ให้บริการจะต้องแจ้งและชี้แจงรายละเอียดการเปลี่ยนแปลงนั้น ๆ เป็นลายลักษณ์อักษร ต่อบริษัทและผู้ประสานงานของบริษัททราบ
  • ระบบที่ให้บริการจะต้องมีมาตรการด้านความปลอดภัยอย่างเหมาะสม เพียงพอ ให้การควบคุมการเข้าถึงข้อมูลของผู้ที่ไม่ได้รับอนุญาต การรักษาความถูกต้องของข้อมูล และการรักษาระบบให้พร้อมใช้งานเสมอ
  • เจ้าหน้าที่ของผู้ให้บริการที่สามารถเข้าถึงข้อมูลตั้งแต่ชั้นความลับ Internal ขึ้นไป จะต้องเซ็นสัญญารักษาความลับ
Translate »
This website uses cookies and asks your personal data to enhance your browsing experience.
Ok, I agree Privacy Policy