นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

Information Security Policy

1. วัตถุประสงค์

นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศฉบับนี้ จัดทำขึ้นเพื่อกำหนดกรอบการดำเนินงานสำหรับการคุ้มครองความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) ของทรัพย์สินสารสนเทศ ภายใต้ขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ที่กำหนดไว้

นโยบายนี้กำหนดทิศทางและพันธสัญญาของคณะกรรมการบริหารในการจัดทำและนำไปปฏิบัติ การคงความต่อเนื่อง และปรับปรุงระบบฯ อย่างต่อเนื่อง เพื่อให้สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022

นโยบายนี้ยังกำหนดหลักการระดับนโยบาย และกรอบการกำกับดูแลสำหรับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ภายใต้ขอบเขต ISMS ขององค์กร

 

2. ขอบเขต

นโยบายนี้บังคับใช้กับพนักงานทุกคน ผู้รับจ้าง และบุคคลภายนอกที่เกี่ยวข้องทั้งหมด ซึ่งปฏิบัติงานภายใต้ขอบเขตของ ISMS ที่กำหนดไว้อย่างเป็นทางการ ตามที่ระบุในเอกสารกำกับดูแลและการดำเนินงานของระบบ ISMS (ISMS Governance & Operation Process)

บุคลากรทั้งหมดที่อยู่ภายใต้ขอบเขตของ ISMS ต้องปฏิบัติตามนโยบายฉบับนี้ รวมถึงนโยบายและขั้นตอนการปฏิบัติงานที่เกี่ยวข้องอย่างเคร่งครัด

 

3. หลักการด้านความมั่นคงปลอดภัยสารสนเทศ

บริษัท ไทยเควสท์ จำกัด (บริษัท) ยึดมั่นในหลักการด้านความมั่นคงปลอดภัยสารสนเทศดังนี้:

    • คุ้มครองความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) ของทรัพย์สินสารสนเทศ
    • การบริหารจัดการตามระดับความเสี่ยง (Risk-based Approach) ในการระบุ ประเมิน และจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
    • ดำเนินการให้มั่นใจว่ามีการปฏิบัติตามกฎหมาย ระเบียบข้อบังคับ และข้อผูกพันตามสัญญาที่เกี่ยวข้องอย่างครบถ้วน
    • กำหนดบทบาท หน้าที่ และความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศอย่างชัดเจน
    • ส่งเสริมความตระหนักรู้ ด้านความมั่นคงปลอดภัยสารสนเทศแก่พนักงานและบุคคลภายนอกที่เกี่ยวข้อง
    • การปรับปรุงประสิทธิผลของระบบ ISMS อย่างต่อเนื่อง
 

4. วัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ

บริษัทกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศที่สามารถวัดผลได้ เพื่อสนับสนุนกลยุทธ์ทางธุรกิจขององค์กร ข้อกำหนดทางกฎหมายและระเบียบข้อบังคับ โดยวัตถุประสงค์ดังกล่าวรวมถึงแต่ไม่จำกัดเพียง:

  • การรักษาประสิทธิผลของระบบ ISMS ให้สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022
  • การป้องกันการเข้าถึงระบบปฏิบัติงาน (Production Systems) โดยไม่ได้รับอนุญาต
  • การทำให้มั่นใจได้ว่าระบบปฏิบัติงานมีความพร้อมใช้งานและมีความสามารถในการฟื้นตัวกลับมาได้เร็วเมื่อเกิดเหตุขัดข้อง
  • การตรวจพบและตอบสนองต่อเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยสารสนเทศอย่างรวดเร็ว
  • การคงมาตรฐานการปฏิบัติตามข้อกำหนดทางกฎหมาย ระเบียบข้อบังคับ และข้อผูกพันตามสัญญาที่เกี่ยวข้อง

วัตถุประสงค์ดังกล่าวต้องได้รับการติดตามเป็นระยะ และได้รับการทบทวนในที่ประชุมคณะกรรมการบริหาร  เพื่อให้มั่นใจว่ายังคงมีความเหมาะสมและมีประสิทธิผลอย่างต่อเนื่อง

 

5.  พันธสัญญาของคณะกรรมการบริหาร

คณะกรรมการบริหารมีความมุ่งมั่นที่จะดำเนินการดังนี้:

  • สนับสนุนระบบ ISMS และทำให้มั่นใจได้ว่าระบบดังกล่าวสอดคล้องกับกลยุทธ์ทางธุรกิจ
  • จัดสรรทรัพยากรอย่างเพียงพอ เพื่อให้การจัดทำและลงมือปฏิบัติตามระบบเป็นไปอย่างมีประสิทธิผล
  • ให้ความเห็นชอบต่อแนวทางการจัดการความเสี่ยงที่เหมาะสม และยอมรับความเสี่ยงบางส่วน
  • มีส่วนร่วมในการทบทวนระบบ ISMS อย่างต่อเนื่อง
  • ส่งเสริมการปรับปรุงด้านความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง

ทั้งนี้คณะกรรมการบริหารเป็นผู้รับผิดชอบสูงสุดต่อประสิทธิผลของระบบ ISMS และรับรองว่าได้จัดทำ นำไปปฏิบัติ และสื่อสารนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศได้ จนเกิดความเข้าใจในหมู่บุคลากรภายในองค์กรแล้ว

 

6.  การบริหารจัดการความเสี่ยง

ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศต้องได้รับการดำเนินการดังนี้:

  • ได้รับการระบุ วิเคราะห์ และประเมินผลด้วยวิธีการและเกณฑ์มาตรฐาน
  • มีผู้รับผิดชอบจัดการความเสี่ยง (Risk Owners) อย่างชัดเจน
  • เลือกใช้มาตรการจัดการตามขีดความสามารถในการรับความเสี่ยง
  • ได้รับการทบทวนเป็นระยะ และเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ
  • การตัดสินใจใช้มาตรการจัดการความเสี่ยงแต่ละครั้ง ต้องมีบันทึกเป็นลายลักษณ์อักษรและได้รับการอนุมัติ

เกณฑ์การยอมรับความเสี่ยงและระดับความเสี่ยงที่ยอมรับได้ ต้องได้รับการอนุมัติจากคณะกรรมการบริหาร และต้องได้รับการทบทวนอย่างน้อยปีละหนึ่งครั้ง ทั้งนี้จะถูกระบุไว้ในคำแถลงขอบเขตการประยุกต์ใช้ (Statement of Applicability: SoA) มาตรการควบคุมที่เลือกใช้ พร้อมเหตุผลประกอบ ที่สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022

 

7.  กรอบการควบคุม

มาตรการควบคุมด้านความมั่นคงปลอดภัยที่เหมาะสมจะถูกคัดเลือกและนำไปปฏิบัติ โดยพิจารณาจาก:

  • ผลการประเมินความเสี่ยง
  • ข้อกำหนดทางกฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง
  • ข้อผูกพันตามสัญญา
  • ความต้องการทางธุรกิจและการดำเนินงาน

มาตรการควบคุมจะต้องได้รับการนำไปปฏิบัติให้สอดคล้องกับมาตรฐาน ISO/IEC 27001:2022 และ SoA ที่ได้รับการอนุมัติ รวมทั้งต้องมีเอกสารขั้นตอนการปฏิบัติงานรองรับในกรณีที่จำเป็น

 

8. บทบาทและความรับผิดชอบ

บริษัทกำหนดบทบาทและความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศไว้ดังนี้:

  • คณะกรรมการบริหาร (Management Committee): รับผิดชอบภาพรวมและกำหนดทิศทางเชิงกลยุทธ์
  • ผู้จัดการระบบ ISMS (ISMS Manager): ประสานงานและกำกับดูแลการดำเนินงานของระบบ ISMS
  • ผู้รับผิดชอบจัดการความเสี่ยง (Risk Owners): บริหารจัดการและดำเนินการจัดการความเสี่ยงที่ได้รับมอบหมาย
  • ผู้รับผิดชอบมาตรการควบคุม(Control Owners): จัดทำและนำมาตรการควบคุมไปปฏิบัติ
  • พนักงานและผู้รับจ้าง (Employees and Contractors): ปฏิบัติตามนโยบายและขั้นตอนการปฏิบัติงานด้านความมั่นคงปลอดภัยอย่างเคร่งครัด

บริษัทรับรองว่าบุคลากรที่ปฏิบัติหน้าที่ด้านความมั่นคงปลอดภัยสารสนเทศมีความรู้ความสามารถที่เหมาะสม โดยพิจารณาจากวุฒิการศึกษา การฝึกอบรม และประสบการณ์

พนักงานและผู้รับจ้างทุกคนต้องได้รับการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศอย่างเหมาะสม และมีหน้าที่ต้องปฏิบัติตามนโยบายและขั้นตอนการปฏิบัติงานที่เกี่ยวข้องอย่างเคร่งครัด

 

9. ข้อผูกพันในการปฏิบัติตามนโยบาย

บริษัทต้องปฏิบัติตามข้อกำหนดดังนี้:

  • กฎหมายและระเบียบข้อบังคับที่เกี่ยวข้อง
  • ข้อกำหนดของตลาดหลักทรัพย์และผู้ให้บริการข้อมูลตลาดทุน
  • ข้อผูกพันตามสัญญา
  • นโยบายและขั้นตอนการปฏิบัติงานภายในองค์กร

ข้อกำหนดในการปฏิบัติตามนโยบายต้องถูกระบุ จัดทำเป็นเอกสาร และทบทวนเป็นระยะ เพื่อให้มั่นใจว่ามีการปฏิบัติตามอย่างต่อเนื่อง ทั้งนี้ การฝ่าฝืนหรือการไม่ปฏิบัติตามอาจส่งผลให้ถูกพิจารณาดำเนินการทางวินัย ทางสัญญา หรือทางกฎหมายตามแต่กรณี

 

10. การจัดการเหตุการณ์ผิดปกติ

เหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศหรือจุดอ่อนที่สงสัยว่าอาจเกิดขึ้นทั้งหมด ต้องได้รับการรายงานผ่านช่องทางการรายงานที่กำหนดทันที โดยเหตุการณ์ดังกล่าวจะถูกตรวจสอบ จัดการ และทบทวนตามขั้นตอนการปฏิบัติงานเมื่อเกิดเหตุการณ์ผิดปกติ (Incident Response Procedure) ซึ่งรวมถึงการวิเคราะห์หาสาเหตุที่แท้จริง (Root Cause Analysis) และการดำเนินการแก้ไข (Corrective Actions) ตามความจำเป็น.

 

11. ความต่อเนื่องทางธุรกิจ

บริษัทจะคงความสามารถในการดำเนินธุรกิจอย่างต่อเนื่องและการฟื้นฟูสภาพหลังเกิดภัยพิบัติ (Disaster Recovery) เพื่อวัตถุประสงค์ดังนี้:

  • เพื่อปกป้องแพลตฟอร์มดิจิทัลหลักและโครงสร้างพื้นฐานสำหรับการดำเนินงาน
  • เพื่อลดผลกระทบจากการปฏิบัติงานที่หยุดชะงักให้เหลือน้อยที่สุด
  • เพื่อให้มั่นใจว่าสามารถกู้คืนระบบได้ตามเป้าหมายการกู้คืนที่กำหนด (Recovery Objectives)

ทั้งนี้เป้าหมายการกู้คืนและมาตรการความต่อเนื่องต้องถูกกำหนด จัดทำเป็นเอกสาร และดำเนินการทดสอบตามระยะเวลาที่กำหนดอย่างสม่ำเสมอ

 

12. การเฝ้าระวัง ตรวจสอบ และทบทวน

ประสิทธิผลของระบบ ISMS ต้องได้รับการติดตามผ่านกระบวนการดังนี้:

  • ตัวชี้วัดผลการดำเนินงาน (Performance Metrics)
  • การตรวจสอบภายใน (Internal Audits)
  • การทบทวนโดยคณะกรรมการบริหาร (Management Reviews)
  • การติดตามผลการดำเนินการแก้ไข (Corrective Action Tracking)

ผลการติดตามและการทบทวนต้องได้รับการบันทึกเป็นลายลักษณ์อักษร และนำไปใช้เพื่อสนับสนุนการปรับปรุงอย่างต่อเนื่อง ทั้งนี้ ระบบ ISMS ต้องได้รับการทบทวนอย่างน้อยปีละหนึ่งครั้ง เพื่อให้มั่นใจถึงความเหมาะสม ความเพียงพอ และประสิทธิผลของระบบ

 

13. การปรับปรุงอย่างต่อเนื่อง

บริษัทมุ่งมั่นในการปรับปรุงประสิทธิผลของ ISMS อย่างต่อเนื่องดังนี้:

  • พิจารณาดำเนินการต่อสิ่งที่พบจากการตรวจสอบ
  • นำมาตรการแก้ไขไปปฏิบัติ
  • ทบทวนประสิทธิผลของการจัดการความเสี่ยง
  • ปรับปรุงมาตรการควบคุมเพื่อรองรับภัยคุกคามในรูปแบบที่เปลี่ยนไป
 

14. การสื่อสารนโยบาย

นโยบายฉบับนี้จะต้อง:

  • ได้รับการอนุมัติโดยคณะกรรมการบริหาร
  • ได้รับการสื่อสารให้พนักงานทุกคนและบุคคลภายนอกที่เกี่ยวข้องรับทราบ
  • เปิดให้ผู้มีส่วนได้ส่วนเสีย (Interested Parties) เข้าถึงได้ตามความเหมาะสม
  • ได้รับการจัดเก็บและควบคุมเป็นข้อมูลที่จัดทำเป็นเอกสาร (Documented Information) ภายใต้ขั้นตอนการควบคุมเอกสารขององค์กร
 

15. การบังคับใช้

การไม่ปฏิบัติตามนโยบายฉบับนี้ อาจส่งผลให้มีการดำเนินการดังนี้:

  • การดำเนินการทางวินัย
  • การยกเลิกสัญญา
  • การดำเนินการทางกฎหมายตามแต่กรณี
 

16. การทบทวนนโยบาย

นโยบายฉบับนี้จะต้องดำเนินการทบทวนตามหลักเกณฑ์ดังนี้:

  • ได้รับการทบทวนอย่างน้อยปีละหนึ่งครั้ง
  • ได้รับการปรับปรุงเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อการดำเนินธุรกิจ สภาพแวดล้อมด้านความเสี่ยง หรือข้อกำหนดทางกฎหมายและระเบียบข้อบังคับ
  • ได้รับการอนุมัติโดยคณะกรรมการบริหาร