นโยบายการรักษาความมั่นคงปลอดภัย

เพื่อให้กลุ่มบริษัท ดี บัสซ์ จำกัด ซึ่งต่อไปนี้จะเรียกว่า “บริษัท” มีการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์และความเสี่ยงด้านไซเบอร์อย่างมีประสิทธิภาพ สอดคล้องกับแนวปฏิบัติที่เป็นมาตรฐานสากล เพื่อป้องกันภัยคุกคาม การโจมตี การทำลายระบบสารสนเทศ และการจารกรรมข้อมูลทางไซเบอร์ ทางบริษัทจึงได้กำหนดนโยบายการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ โดยมีสาระสำคัญ ดังนี้

มาตรการ และวิธีการรักษาความมั่นคงปลอดภัย

  1. ให้มีคณะทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ โดยมีตัวแทนจากทางหน่วยงานที่มีหน้าที่รับผิดชอบเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ จากฝ่ายพัฒนาซอฟท์แวร์และฝ่ายสนับสนุนธุรกิจเป็นผู้รับผิดชอบความมั่นคงปลอดภัยทางไซเบอร์ และให้กำหนดหน้าที่ความรับผิดชอบพร้อมทั้งวิธีการบริหารจัดการ
  2. พัฒนาและรักษากรอบการดำเนินงานหรือแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ให้สอดคล้องกับมาตรฐานสากล และติดตามกฎหมายและข้อกำหนดต่าง ๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์อย่างน้อยปีละ 1 ครั้ง และพิจารณาการปฏิบัติตามให้สอดคล้อง
  3. ให้มีการบริหารจัดการความเสี่ยงความมั่นคงปลอดภัยไซเบอร์ โดยการประเมินจากภัยคุกคาม (Threat) ช่องโหว่ (Vulnerability) ความเป็นไปได้ (Likelihoods) และผลกระทบ (Impact) ต่อธุรกิจ รวมทั้งให้มีการจัดการความเสี่ยง ที่มีความสอดคล้องกับการบริหารความเสี่ยงในระดับองค์กร โดยขอบเขตของการบริหารความเสี่ยงความมั่นคงปลอดภัยไซเบอร์ครอบคลุมถึงสินทรัพย์และบุคลากรทั้งหมดขององค์กร อีกทั้งหน่วยงานภายนอกที่เกี่ยวข้อง
  4. สื่อความและจัดอบรมให้ความรู้เกี่ยวกับภัยคุกคามด้านไซเบอร์ (Cybersecurity Awareness) เพื่อสร้างความตระหนักรู้ ความรับผิดชอบ และความเข้าใจการรับมือกับภัยคุกคามทางไซเบอร์ให้กับพนักงานอย่างน้อยปีละ 1 ครั้ง
  5. กำหนดมาตรการให้พนักงานทุกคน
    1. 5.1 ต้องเรียนรู้ ทำความเข้าใจ และปฏิบัติตามนโยบาย มาตรฐาน กรอบการดำเนินงาน ขั้นตอนการปฎิบัติงาน วิธีการปฏิบัติ คำแนะนำ และกระบวนการต่างๆ ของบริษัทที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์โดยเคร่งครัด
    2. 5.2 ให้ความร่วมมือกับบริษัทอย่างเต็มที่ในการป้องกันระบบคอมพิวเตอร์และข้อมูลสารสนเทศของบริษัท
    3. 5.3 แจ้งให้บริษัททราบทันที เมื่อพบเห็นการปฏิบัติที่ไม่ถูกต้องหรือไม่เหมาะสม หรือพบเห็นการบุกรุก โจรกรรม ทำลาย แทรกแซงการทำงาน หรือจารกรรมที่อาจสร้างความเสียหายต่อบริษัท
    4. 5.4 ต้องออกจากระบบ (Log-out, Log-off) ทุกระบบเมื่อไม่ได้ใช้งานเป็นเวลานาน และปิดเครื่องคอมพิวเตอร์และอุปกรณ์ต่อพ่วงอื่นทันทีหลังเลิกงาน
    5. 5.5 ต้องล็อคหน้าจอ (Lock Screen) แบบกำหนดรหัสผ่าน (Password) หากไม่ใช้งานหรือไปทำกิจกรรมอย่างอื่นเป็นระยะเวลาสั้นๆ เพื่อป้องกันมิให้บุคคลอื่นลักลอบเข้าไปใช้งาน
    6. 5.6 ต้องตรวจสอบข้อมูลที่นำมาลงในเครื่องคอมพิวเตอร์ของตนเองทุกครั้ง โดยใช้โปรแกรมป้องกันไวรัส (Anti-virus) ที่มีข้อมูลไวรัสที่ทันสมัย
    7. 5.7 ต้องเก็บรักษารหัสผ่าน (Password) และรหัสอื่นใดที่บริษัทกำหนด เพื่อใช้ในการเข้าถึงระบบคอมพิวเตอร์ ข้อมูลสารสนเทศ หรือข้อมูลของบริษัทเป็นความลับส่วนตัวพนักงาน ซึ่งจะต้องเก็บรักษาไว้มิให้ผู้อื่นล่วงรู้ และห้ามใช้ร่วมกันกับบุคคลอื่น ทั้งนี้พนักงานต้องเปลี่ยนรหัสผ่านและรหัสอื่นใด เมื่อรหัสเก่าหมดอายุตามระยะเวลาที่กำหนดหรือเมื่อพนักงานเห็นสมควรต้องทำการเปลี่ยนรหัสผ่าน โดยตั้งรหัสผ่าน และรหัสอื่นใด ด้วยความรอบคอบ ห้ามตั้งรหัสซํ้ากับรหัสเก่า ห้ามตั้งรหัสที่ผู้อื่นสามารถคาดเดาได้ง่าย หรือห้ามตั้งรหัสซํ้ากันในทุกระบบที่พนักงานมีสิทธิใช้งาน ทั้งนี้มาตรฐานการตั้งรหัสผ่านอย่างปลอดภัย

เทคโนโลยีเสริมที่นำมาใช้ในการรักษาความมั่นคงปลอดภัย

นอกจากมาตรการ และวิธีการรักษาความมั่นคงปลอดภัยโดยทั่วไปที่กล่าวข้างต้นแล้ว บริษัทยังใช้เทคโนโลยีระดับสูงดังต่อไปนี้เพื่อปกป้องข้อมูลส่วนตัวของท่าน

  1. Secured Socket Layer (SSL) เป็นเทคโนโลยีในการเข้าสู่ข้อมูลผ่านรหัสที่ระดับ 128 bits (128-bits Encryption) เพื่อเข้ารหัสข้อมูลที่ถูกส่งผ่านเครือข่ายอินเทอร์เน็ตในทุกครั้งที่มีการทำธุรกรรมทางการเงินผ่านเครือข่ายอินเทอร์เน็ตของบริษัททำให้ผู้ที่ดักจับข้อมูลระหว่างทางไม่สามารถนำข้อมูลไปใช้ต่อได้
  2. Virtual Private Network (VPN) เพื่อสร้างช่องทางการสื่อสารที่ปลอดภัยเมื่อพนักงานต้องทำงานจากระยะไกล ทำหน้าที่ช่วยปกป้อง ไม่ให้แฮกเกอร์สามารถดักจับข้อมูลและนำไปใช้งานต่อได้
  3. Firewall เป็นระบบซอฟท์แวร์ที่จะอนุญาตให้เฉพาะผู้ที่มีสิทธิ หรือผู้ที่บริษัทอนุมัติเท่านั้นจึงจะผ่าน Fire Wall เพื่อเข้าถึงข้อมูลได้
  4. Back Up and Restoration เครื่องคอมพิวเตอร์แม่ข่ายของบริษัทและระบบฐานข้อมูลมีระบบสำรองข้อมูลตามมามาตรฐาน
  5. Monitoring เป็นระบบตรวจจับการทำงานหรือความผิดปกติที่เกิดขึ้นจากการทำงานสอดประสานของระบบต่างๆ ภายในบริษัท ทำหน้าที่ช่วยตรวจจับความผิดปกติของระบบต่างที่อาจเกิดขึ้น
  6. Access Control Management คือระบบที่ช่วยควบคุมการเข้าถึงไฟล์งานและระบบต่างๆ ให้ถูกใช้งานได้จากผู้ที่มีหน้าที่รับผิดชอบเท่านั้น
เราใช้คุกกี้เพื่อปรับปรุงประสบการณ์การท่องเว็บของคุณ แสดงเนื้อหาในแบบของคุณ และวิเคราะห์การเข้าชมเว็บไซต์ของเรา ศึกษารายละเอียดเพิ่มเติมเกี่ยวกับ นโยบายความเป็นส่วนตัว ของเรา