คำนำ

บริษัทฯ ตระหนักถึงความสำคัญของการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล ทั้งของลูกค้า คู่ค้า และพนักงาน เอกสารฉบับนี้จัดทำขึ้นเพื่อแสดงให้เห็นถึงความมุ่งมั่นและมาตรการที่เรานำมาใช้ในการปกป้องข้อมูลและระบบสารสนเทศขององค์กร

นโยบายฉบับนี้ครอบคลุม 3 หมวดหลัก ได้แก่

1. การสำรองข้อมูล (Data Backup)
2. การควบคุมการเข้าถึงข้อมูล (Access Control)
3. การรักษาความปลอดภัยทางไซเบอร์ (Cyber Security)

1.การสำรองข้อมูล (Data Backup)

1.1 นโยบายการสำรองข้อมูล

บริษัทฯ ดำเนินการสำรองข้อมูลอย่างเป็นระบบและสม่ำเสมอ เพื่อให้มั่นใจว่าข้อมูลสำคัญของลูกค้าและองค์กรจะไม่สูญหาย แม้เกิดเหตุการณ์ไม่คาดคิด

ความถี่ในการสำรองข้อมูล

• ฐานข้อมูล (Database): สำรองข้อมูลรายวันโดยอัตโนมัติ
• โค้ดโปรแกรม (Source Code): จัดเก็บใน Git Repository พร้อม Version Control

ประเภทการสำรองข้อมูล

• สำรองข้อมูลเต็มรูปแบบ (Full Backup)เป็นประจำทุกวัน
• จัดเก็บไฟล์สำรองข้อมูลที่ Cloud Storage เพื่อความปลอดภัยสูงสุด

1.2 การทดสอบการกู้คืนข้อมูล

บริษัทฯ มีการทดสอบการกู้คืนข้อมูล (Backup Recovery Test) ปีละ 1 ครั้ง และมีแผนจะเพิ่มจำนวนครั้งในการทดสอบต่อปีในอนาคต เพื่อให้มั่นใจว่าระบบสำรองข้อมูลทำงานได้จริง

1.3 การรักษาความปลอดภัยของข้อมูลสำรอง

การเข้ารหัส

• ข้อมูลสำรองทุกชุดถูกเข้ารหัส (Encrypted) ไว้เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้น

ระยะเวลาการเก็บรักษา (Retention Policy)

• เก็บข้อมูลสำรองไว้เป็นระยะเวลา 3 วันย้อนหลัง และมีแผนจะขยายระยะเวลาเก็บข้อมูลย้อนหลังเพิ่มขึ้นในอนาคต

การป้องกัน Ransomware

• สำรองข้อมูลด้วยระบบ Immutable และ Air-gapped Backup ที่แยก Server ในการเก็บข้อมูล และแยก Backup ออกจากกัน เพื่อความปลอกภัยของข้อมูล

1.4 Recovery Time Objective (RTO) และ Recovery Point Objective (RPO)

• Recovery Time Objective (RTO): เพื่อให้มั่นใจในความต่อเนื่องทางธุรกิจ ในกรณีที่ระบบล่ม บริษัทฯ จะกู้คืนระบบให้กลับมาใช้งานได้ภายใน 8 ชั่วโมง
• Recovery Point Objective (RPO): เนื่องจากมีการ Backup รายวัน ข้อมูลที่อาจสูญหายจะไม่เกิน 24 ชั่วโมงย้อนหลัง

2. การควบคุมการเข้าถึงข้อมูล (Access Control)

2.1 การจัดการสิทธิ์และบทบาทผู้ใช้

บริษัทฯ ใช้ระบบ Role-Based Access Control (RBAC) เพื่อจำกัดการเข้าถึงข้อมูลตามบทบาทหน้าที่ของพนักงานแต่ละคน

การทบทวนสิทธิ์การเข้าถึง (Access Review)

• ทบทวนสิทธิ์การเข้าถึงของพนักงานทุก 6 เดือน ใช้วิธี Manual Review โดยผู้บริหารและทีม IT

การจัดการสิทธิ์เมื่อมีการเปลี่ยนแปลง

• กรณีมีย้ายตำแหน่งงาน: ปรับสิทธิ์ใหม่ตามเหมาะสมของตำแหน่งงาน ภายใน 2-3 สัปดาห์
• การลาออกของพนักงาน: เมื่อพนักงานลาออก มีการยกเลิกสิทธิ์การเข้าถึงทั้งหมดทันที

หลักการให้สิทธิ์เท่าที่จำเป็น (Least Privilege)

• มีการกำหนด Role และสิทธิการเข้าถึงตาม Role ของพนักงาน โดยแต่ละ Role จะมีสิทธิในการเข้าถึงข้อมูลที่ไม่เท่ากัน พนักงานจะได้รับสิทธิ์เท่าที่จำเป็นสำหรับการทำงานเท่านั้น

2.2 การตรวจสอบและติดตาม

ระบบ Log Tracking มีการบันทึก Log ครอบคลุม:

• ใครเข้าถึง (User ID)
• เมื่อไหร่ (Timestamp)
• ทำอะไร (Actions performed)
• ผลลัพธ์ (Success/Failure)

การตรวจสอบ Audit Log

• มีการตรวจสอบและบริหารจัดการ Audit Log เมื่อมีกิจกรรมผิดปกติ
• Audit Log จะถูกเก็บอย่างปลอดภัยเพื่อการตรวจสอบย้อนหลัง

ระบบแจ้งเตือน (Alert)

• ยังไม่มี ระบบแจ้งเตือนอัตโนมัติเมื่อมีการเข้าถึงข้อมูลผิดปกติ อยู่ในแผนพัฒนาเพื่อเพิ่มประสิทธิภาพการตรวจจับภัยคุกคาม

3. การรักษาความปลอดภัยทางไซเบอร์ (Cyber Security)

3.1 โครงสร้างพื้นฐานด้านความปลอดภัย

Firewall และการป้องกันเครือข่าย

• มีการติดตั้ง Firewall ทั้งระดับ Network และ Application Level

Antivirus และ Anti-malware

• ไม่มีการติดตั้ง Antivirus และ Anti-malware บนระบบ MAC OS
• ใช้ Windows Defender บนระบบ Windows
• มีแผนจะจัดหา Antivirus และ Anti-malware สำหรับ MAC OS และ Windows ในอนาคต

Email Security

• ใช้ระบบ Anti-phishing และ Anti-spam ผ่าน Google Workspace

3.2 การเข้ารหัสและการป้องกันข้อมูล

การเข้ารหัสข้อมูล

• ข้อมูลที่จัดเก็บ (at rest): จัดเก็บเข้ารหัสด้วยเทคนิค Eksblowfish และมีแผนจะพัฒนามาตรฐานการเข้ารหัสให้มีความปลอดภัยมากขึ้น

การจัดการคีย์เข้ารหัส (Key Management)

• จัดการในระดับ Code และมีการควบคุมการเข้าถึง Source Code อย่างเข้มงวด

3.3 การบริหารจัดการและอัปเดต

Patch Management

• มีกระบวนการจัดการ Patch Management สำหรับ: Operating System, Firewall, Database, Framework และ Library อย่างสม่ำเสมอ โดยอัปเดตเมื่อมีการแจ้งเตือนความเสี่ยงหรือมี security patch สำคัญ

3.4 การอบรมและสร้างจิตสำนึก

Security Awareness Training

• มีการอบรมพนักงานเรื่องความปลอดภัยสารสนเทศอย่างสม่ำเสมอ
• ความถี่: เมื่อมีภัยคุกคามใหม่เกิดขึ้น
• หัวข้อครอบคลุม:
  • การระบุและป้องกัน Phishing
  • การจัดการรหัสผ่านที่ปลอดภัย
  • การใช้งานอุปกรณ์อย่างปลอดภัย
• มีแผนจะอบรมพนักงาน ประชาสัมพันธ์ และให้ความรู้พนักงานอย่างสม่ำเสมอ

การปฏิบัติตามกฎหมายและมาตรฐาน

PDPA Compliance

บริษัทฯ ดำเนินการให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) โดย:

• เก็บรวบรวมข้อมูลส่วนบุคคลเท่าที่จำเป็น
• มีความยินยอมจากเจ้าของข้อมูลก่อนการเก็บและใช้งาน
• รักษาความปลอดภัยของข้อมูลตามมาตรฐานสากล
• เปิดเผยนโยบายความเป็นส่วนตัวอย่างชัดเจน

การติดต่อและรายงานเหตุการณ์

หากพบกิจกรรมที่น่าสงสัย ช่องโหว่ด้านความปลอดภัย หรือเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยสารสนเทศ กรุณาติดต่อ:

ทีม IT Security

• Email: [email protected]
• เวลาทำการ: จันทร์-ศุกร์ 09:00-18:00 น.

การทบทวนและปรับปรุงนโยบาย

นโยบายฉบับนี้จะได้รับการทบทวนอย่างน้อย ปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงสำคัญในด้าน:

• กฎหมายและข้อบังคับที่เกี่ยวข้อง
• เทคโนโลยีและภัยคุกคามใหม่
• โครงสร้างและการดำเนินงานขององค์กร

คำรับรองจากฝ่ายบริหาร

ฝ่ายบริหารบริษัทฯ ให้คำมั่นสัญญาว่าจะสนับสนุนและดำเนินการตามนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศนี้อย่างเต็มที่ เพื่อปกป้องข้อมูลและผลประโยชน์ของลูกค้า คู่ค้า และองค์กร