นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy)
6 พฤศจิกายน 2025 2025-11-06 20:28นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy)
บริษัท พระนครซอฟต์ จำกัด มุ่งมั่นที่จะสร้างและรักษาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่เป็นไปตามมาตรฐานสากล ISO/IEC 27001:2022 เพื่อให้มั่นใจใน ความลับ (Confidentiality), ความครบถ้วน (Integrity), และ ความพร้อมใช้งาน (Availability) ของทรัพย์สินสารสนเทศทั้งหมดของบริษัท ลูกค้า และคู่ค้าที่เกี่ยวข้อง
1. วัตถุประสงค์
- เพื่อปกป้องทรัพย์สินสารสนเทศของบริษัท ลูกค้า และคู่ค้า จากภัยคุกคามภายในและภายนอก ไม่ว่าจะโดยเจตนาหรือไม่ก็ตาม
- เพื่อสร้างความมั่นใจว่าการปฏิบัติงานและบริการของบริษัท โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับการ พัฒนา, ออกแบบ, ซื้อขาย, และจัดหาเว็บไซต์/ซอฟต์แวร์ เป็นไปตามข้อกำหนดทางกฎหมาย ข้อบังคับ และข้อผูกพันตามสัญญาที่เกี่ยวข้อง
- เพื่อสร้างกรอบการทำงานสำหรับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่องและเป็นระบบ
- เพื่อส่งเสริมวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยสารสนเทศให้กับพนักงานและผู้ที่เกี่ยวข้องทุกคน
2. ขอบเขต (Scope)
นโยบายนี้มีผลบังคับใช้กับ:
- บุคลากรทั้งหมด ของบริษัท พระนครซอฟต์ จำกัด (พนักงาน, ผู้รับเหมา, บุคคลภายนอกที่เกี่ยวข้อง)
- ทรัพย์สินสารสนเทศทั้งหมด รวมถึงข้อมูลลูกค้า, ข้อมูลการออกแบบ, รหัสต้นฉบับ (Source Code), ข้อมูลระบบ, อุปกรณ์ฮาร์ดแวร์, และโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินงาน ซื้อขาย, จัดหา, รับเช่า, เช่าซื้อ, ครอบครอง, ปรับปรุง, สร้าง, ออกแบบ เว็บไซต์ และซอฟต์แวร์
3. หลักการสำคัญ (Key Principles)
3.1. การบริหารจัดการความเสี่ยง (Risk Management)
- บริษัทจะดำเนินการ ประเมินความเสี่ยง ด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอ เพื่อระบุ วิเคราะห์ และประเมินความเสี่ยงที่เกี่ยวข้องกับการดำเนินงานหลัก
- จะมีการกำหนดและนำมาตรการควบคุม (Controls) ตาม Annex A ของ ISO/IEC 27001:2022 และมาตรการอื่น ๆ ที่เหมาะสมมาใช้ เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้
3.2. การปฏิบัติตามกฎหมายและข้อผูกพัน (Legal and Compliance)
- บริษัทจะต้องมั่นใจว่าการดำเนินงานทั้งหมด รวมถึงการพัฒนาซอฟต์แวร์และการจัดการข้อมูลลูกค้า สอดคล้องกับกฎหมาย และข้อบังคับที่เกี่ยวข้อง (เช่น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) และข้อผูกพันตามสัญญา
3.3. ความมั่นคงปลอดภัยในการพัฒนาและจัดหา (Secure Development & Acquisition)
- ต้องมีการนำหลักการ การเขียนโค้ดที่ปลอดภัย (Secure Coding) และแนวปฏิบัติด้านความมั่นคงปลอดภัยมาใช้ตลอด วงจรชีวิตของการพัฒนาซอฟต์แวร์ (SDLC) และการออกแบบเว็บไซต์
- การจัดหาซอฟต์แวร์หรือบริการจากภายนอกจะต้องมีการประเมินและควบคุมด้านความมั่นคงปลอดภัยสารสนเทศอย่างเข้มงวด
3.4. การควบคุมการเข้าถึง (Access Control)
- การเข้าถึงข้อมูลและระบบจะอยู่บนพื้นฐานของ ความจำเป็นต้องรู้ (Need-to-know) และ สิทธิในการเข้าถึงตามหน้าที่ (Least Privilege) โดยมีการทบทวนสิทธิการเข้าถึงอย่างสม่ำเสมอ
3.5. การจัดการเหตุการณ์ (Incident Management)
- บริษัทจะกำหนดขั้นตอนที่ชัดเจนสำหรับการ รายงาน, ตอบสนอง, และแก้ไขเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ รวมถึงการเรียนรู้และปรับปรุงเพื่อป้องกันการเกิดซ้ำ
3.6. การสำรองข้อมูล (Backup)
- ข้อมูลที่สำคัญต่อการดำเนินธุรกิจทั้งหมด (รวมถึงรหัสต้นฉบับและข้อมูลลูกค้า) ต้องได้รับการ สำรองข้อมูล อย่างสม่ำเสมอและมีการทดสอบความสามารถในการกู้คืนเพื่อให้มั่นใจใน ความต่อเนื่องทางธุรกิจ (Business Continuity)
4. บทบาทและความรับผิดชอบ (Roles and Responsibilities)
- ผู้บริหารระดับสูง (Top Management) มีความรับผิดชอบสูงสุดในการอนุมัติ, สนับสนุน, และทบทวนนโยบายนี้
- พนักงานทุกคน มีหน้าที่ต้องทำความเข้าใจ ปฏิบัติตามนโยบายและขั้นตอนที่เกี่ยวข้อง และรายงานเหตุการณ์หรือจุดอ่อนด้านความมั่นคงปลอดภัยสารสนเทศทันที
5. การทบทวนและการปรับปรุงอย่างต่อเนื่อง
นโยบายนี้จะได้รับการ ทบทวน โดยผู้บริหารอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมีการเปลี่ยนแปลงทางธุรกิจ, กฎหมาย, หรือภัยคุกคาม เพื่อให้มั่นใจว่า ISMS มีความเหมาะสมและมีประสิทธิภาพอย่างต่อเนื่อง
นโยบายฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่ประกาศ และถือเป็นแนวทางหลักในการดำเนินการรักษาความมั่นคงปลอดภัยสารสนเทศของบริษัท พระนครซอฟต์ จำกัด
ประกาศใช้ ณ. วันที่ 1 พฤศจิกายน 2568
