09_Information Security for Employee

Information Security for Employee (ฉบบั ยอ่ )

1. ระเบยี บว่าดว้ ยการควบคมุ ความมัน่ คงปลอดภัยสาหรับทรพั ยากรบคุ คล 1.1 พนักงานทุกคนต้องเข้าใจและปฏบิ ัตติ ามบทบาทหน้าท่ีรับผดิ ชอบท่ีเกีย่ วกบั เร่อื งความปลอดภัย และการใหก้ ารยอมรบั การใช้งานทรัพยากรทางเทคโนโลยีสารสนเทศต่างๆ 1.2 พนักงานทุกคนต้องเข้าใจและปฏิบัติตามนโยบายทรัพยากรบุคคลและระเบียบปฏิบัติต่างๆที่ เกี่ยวขอ้ งและทีจ่ ะมีการแก้ไขในอนาคต 1.3 ต้องไม่มีการกล่าวอ้าง หรือโต้แย้งใดๆ จากบุคลากรของบริษัทว่าไม่มีความรู้ความเข้าใจใน นโยบายและระเบียบปฏิบัติเร่ืองการใช้คอมพิวเตอรแ์ ละเทคโนโลยีสารสนเทศ และ/หรือ นโยบาย อน่ื ๆ 1.4 ต้องใช้วิจารญาณอย่างเต็มท่ีในการป้องกันและระมัดระวัง การเข้าสู่ระบบ การใช้งานใดๆ ท่ีผิด กฎหมาย การเปิดเผยข้อมูลท่ีเป็นความลับอย่างไม่เหมาะสม การแก้ไข ทาซ้า และ/หรือ ทาลาย ส่วนหน่ึงส่วนใดของข้อมูลสารสนเทศและทรัพย์สินทางสารสนเทศและเทคโนโลยีท่ีเก่ียวข้อง ภายใต้ความรบั ผิดชอบของตนเอง 1.5 เมื่อส้ินสุดสภาพการจ้างงาน ส้ินสุดสัญญา หรือสิ้นสุดข้อตกลง พนักงาน และผู้ให้บริการ ภายนอกท้ังหมด ต้องส่งคืนทรัพย์สินของบริษัท ท้ังน้ีให้ครอบคลุมถึงกรณีที่ผู้ให้บริการ ภายนอกมีการเลิกทางานให้บริษัทดว้ ย 1.6 สิทธ์ิในการเข้าถึงระบบ แอพพลิเคชัน และโครงสร้างพ้ืนฐานของระบบ ของพนักงาน และผู้ ให้บริการภายนอกทั้งหมด จะต้องได้รับการเรียกคืน ทาลาย หรือทาให้ส้ินสุด เม่ือส้ินสุดสภาพ การจ้างงาน ส้นิ สดุ สญั ญา หรอื ส้นิ สดุ ขอ้ ตกลง 1.7 ห้ามให้พนักงานติดต้ังซอฟต์แวร์ที่ไม่ได้รับอนุญาตบนทรัพย์สินของบริษัท หรือนาอุปกรณ์ที่ ไม่ไดร้ บั อนุญาตมาเชือ่ มต่อเข้ากบั ระบบเครือขา่ ยของบรษิ ัทซงึ่ การกระทาดงั กลา่ วจะนามาซงึ่ ภัย ด้านความปลอดภัยและทาให้ระบบเครือข่ายของบริษัทเสี่ยงท่ีจะได้รับอันตรายจากซอฟต์แวร์ท่ี เปน็ อนั ตราย 1.8 ให้รายงานการละเมิดความปลอดภัย การใช้ทรัพย์สินสารสนเทศอย่างไม่ถูกต้อง การเปิดเผย ข้อมูลความลับ หรืออื่นๆ ต่อหนว่ ยงานดา้ นเทคโนโลยสี ารสนเทศทนั ที 2. ระเบยี บวา่ ด้วยการควบคมุ ความมนั่ คงปลอดภยั ทางกายภาพ (Physical and Environment Security) 2.1 พนักงานทุกคนต้องได้รับบัตรประจาตัวพนักงาน (Identification Card – ID) ท่ีมีรูปภาพติด อยู่ตามกฎหมาย โดยพนักงานจะต้องสวมใส่ตลอดเวลาและจะมีการตรวจสอบทุกครั้งที่มีการ ผ่านเข้าออกบริเวณพ้ืนที่ของบริษัท และบัตรประจาพนักงานดังกล่าวจะต้องไม่ปรากฏ Employee Manual : Information Security for Employee Human Resources Department 8-1

2.2 สัญลักษณ์ใดๆ ที่จะทาให้รู้ว่าบริษัทใด ท้ังท่ีปรากฏโดยเด่นชัดและไม่เด่นชัดแต่สามารถทาให้ 2.3 คาดเดาได้ 2.4 ไม่อนุญาตให้ผู้ให้บริการภายนอกและผู้ติดต่อที่ต้องเข้ามายังพื้นที่หวงห้ามใดๆ หากไม่ได้รับ 2.5 การตรวจสอบก่อน จะไม่อาจเข้าทาการใดๆ ได้โดยลาพัง โดยจะต้องมีพนักงานหรือผู้ที่ได้รับ 2.6 มอบหมายจากบริษทั อยู่ดว้ ยตลอดเวลา 2.7 ให้ซักถามและตรวจสอบทันที หากปรากฏว่ามีผู้ใดพยายามเข้ามาในพ้ืนที่ของบริษัทโดยไม่มี 2.8 เอกสารสาแดงการผา่ นเขา้ ออกทถ่ี ูกต้อง และแจ้งให้เจา้ หน้าท่ขี องทางอาคารทราบโดยทันที 3. บรษิ ทั จะตอ้ งสนบั สนุนนโยบายโต๊ะทางานสะอาด (Clear-desk Policy) โดยเอกสารท้งั หมดและ ข้อมูลสารสนเทศสาคัญที่เป็นความลับ จะต้องถูกเก็บรักษาไว้ในตู้ที่มีการล็อคเป็นอย่างดี 3.1 โดยเฉพาะอย่างย่ิงในชว่ งนอกเวลาทาการของบริษทั 3.2 เอกสารและข้อมูลสารสนเทศท่ีเป็นความลับจะต้องถูกเก็บรักษาในสถานท่ีท่ีปลอดภัย จากการ เข้าถึงเอกสารและข้อมูล ในกรณีท่ีต้องมีการใช้ข้อมูลหรือทาลายข้อมูลจะต้องมีการกาหนด 3.3 บทบาทหน้าท่ี การอนญุ าต และขอ้ ปฏิบตั ใิ หช้ ัดเจน ต้องมีการล็อคคอมพิวเตอร์อยู่กับท่ีด้วยสายคล้องที่มีการล็อคไว้ ในกรณีท่ีจาเป็นต้องมีการ ตั้งคอมพวิ เตอรท์ ิง้ ไว้ พนักงานต้องระมัดระวังไม่ให้บัตรประจาตัวและรหัสประจาตัวถูกขโมยไป ต้องไม่ท้ิงบัตรประจา ไว้โดยขาดความระมัดระวัง และให้พนักงานคนอ่ืนยืมไปด้วยเหตุผลใดๆ ก็ตาม ในกรณีที่ พนักงานลืมนาบัตรประจาตัวพนักงานมา จะต้องดาเนินการขอบัตรผ่านช่ัวคราวใช้งานไป พลางกอ่ นจนกว่าจะได้รบั บตั รประจาตวั พนกั งานจริงหรอื หาจนพบ ทรัพย์สินของบริษัทท้ังหมดยกเว้น อุปกรณ์คอมพิวเตอร์เคลื่อนท่ีที่ได้มอบหมายให้พนักงาน จะตอ้ งไมถ่ กู นาออกจากสานกั งานจนกวา่ จะได้รบั อนุญาตจากผมู้ อี านาจตามที่บรษิ ทั กาหนด ระเบยี บวา่ ด้วยการควบคมุ การส่อื สารและการปฏิบตั ิงาน ไม่เก็บข้อมูลที่ไม่เก่ียวข้องกับธุรกิจหรือข้อมูลส่วนตัวในทรัพย์สินสารสนเทศหรืออุปกรณ์ ต่างๆของบรษิ ัท หรอื ใช้ข้อมูลเหลา่ นนั้ เพ่ือประโยชนส์ ่วนตน อนุญาตให้ดาเนินการติดตั้งและใช้ระบบปฏิบัติการและแอพพลิเคชันท่ีได้รับการอนุมัติโดย บริษัทเท่าน้ัน และต้องดาเนินการผ่านเครือข่ายของบริษัท หากจาเป็นต้องมีการติดต้ัง ระบบปฏิบัติการ แอพพลิเคชัน และการปรับตั้งระบบอ่ืนใดที่นอกเหนือไปจากนี้ จะสามารถ กระทาไดต้ ่อเม่ือไดร้ ับความเห็นชอบจากผ้มู ีอานาจตามที่บริษทั กาหนด ห้ามคัดลอกและติดต้ังซอฟต์แวร์ของบริษัทลงบนทรัพย์สินสารสนเทศหรืออุปกรณ์อ่ืนๆท่ี ไมใ่ ชข่ องบรษิ ัท Employee Manual : Information Security for Employee Human Resources Department 8-2

3.4 บคุ ลากรของบริษัทจะต้องไม่มีการจัดเก็บ ประมวลผลและส่งผ่านข้อมูลสารสนเทศของบริษัท ผ่านอุปกรณ์ใดๆ ท่ีไม่ใช่ของบริษัท ทั้งนี้รวมไปถึงคอมพิวเตอร์ส่วนบุคคลท่ีบ้าน และอุปกรณ์ คอมพิวเตอร์เคลื่อนท่ีต่างๆ เช่น สมาร์ทโฟน โทรศัพท์มือถือ และอุปกรณ์จัดเก็บข้อมูล ภายนอก 3.5 อนุญาตให้ใช้ Microsoft Outlook ในการส่งข้อความอิเล็กทรอนิกส์ (อีเมล) ได้เท่านั้น ไม่ อนุญาตให้ใช้ระบบสาธารณะอื่นๆ เช่น Google Mail, Hotmail, Yahoo Messenger หรือ ระบบอ่นื ๆ ทไี่ มใ่ ช่ของบรษิ ัท 3.6 หา้ มใช้ Microsoft Outlook หรือการสื่อสารทางอิเล็กทรอนกิ ส์ของบริษัทเพ่ือวัตถุประสงค์ท่ี ไม่สมควร เช่น ร่วมในการก่ออาชญากรรม ดาเนินธุรกรรมทางการเงินท่ีไม่ถูกต้องด้วย กฎหมาย ใช้ในกิจการส่วนตน ส่งข้อความที่ไม่เหมาะสมหรือข่มขู่ผู้อ่ืน ดาเนินการเผยแพร่ ดู ดาวน์โหลด จัดเก็บและส่งต่อส่ิงลามกอนาจาร หรือ ข้อมูลอื่นๆที่มีความเป็นไปได้ในทางร้าย กลา่ วคือ สงิ่ ใดก็ตามทไ่ี มเ่ ป็นไปตามค่านยิ มและนโยบายของบรษิ ัท 3.7 บุคลากรของบริษัทต้องรับผิดชอบในการควบคุมให้เกิดความปลอดภัยในเวลาท่ีทาการส่ง ข้อมูลท่ีเป็นความลับออกไปนอกบริษัท โดยในกรณีท่ีข้อมูลสารสนเทศดังกล่าวอยู่ในรูปแบบ อิเล็กทรอนิกส์ใหด้ าเนินการตอ่ ไปน้ี เปน็ อย่างนอ้ ย • ใช้แอพพลิเคชัน Winzip เพื่อสร้างไฟล์ประเภท zip ด้วยการเข้ารหัสแบบ 128-bit AES Encryption และใช้รหสั ผา่ นท่ีมีความซับซ้อน • ให้ดาเนนิ การสง่ ข้อมูลสารสนเทศทีม่ ีการเข้ารหสั แลว้ คนละช่องทางกับการส่งรหสั ผ่าน 3.8 ห้ามโพสต์ความเห็นส่วนบุคคล หรือข้อมูลสารสนเทศที่เป็นความลับในห้องสนทนาบนระบบ อินเตอร์เน็ตสาธารณะ กระดานข่าวสาร หรือหัวข้อใดๆ ที่มีการตั้งขึ้น ซ่ึงทาให้นามาซึ่งการ เปิดเผยชื่อบริษัทได้ พึงระลึกเสมอว่าท่ีอยู่ตามจดหมายอิเล็กทรอนิกส์ (อีเมล) ของบริษัท จะต้องไมใ่ ช้ร่วมกบั การแสดงความเห็นสว่ นตนใดๆ ท้งั สนิ้ 3.9 ห้ามใช้ระบบอินเตอร์เน็ตของบริษัทเพื่อการอื่นใดนอกจากการทางานเพื่อบริษัทเท่าน้ัน เช่น เข้าชมเว็บไซต์ท่ีมีสงิ่ ลามกอนาจาร การดูถูกเชื้อชาติ เพศ ศาสนา หรือกลุ่มทางสังคมอื่นใดก็ ตาม รวมไปถงึ การดาวน์โหลดไฟล์ต่างๆ เพ่ือทาการค้าหรอื เพือ่ ประโยชนส์ ่วนตน 3.10 บุคลากรของบริษัทพึงระมัดระวังการใช้โทรศัพท์ของบริษัทเพื่อกิจธุระส่วนตนมากเกินความ จาเป็น การใช้โทรศัพท์ที่ไม่มีความเก่ียวข้องกับธุรกิจของบริษัท รวมไปถึงการโทรศัพท์ ทางไกล หรือทางไกลระหวา่ งประเทศ 3.11 ต้องไม่ส่งข้อมูลท่ีเป็นความลับผ่านเคร่ืองโทรสารที่มีการควบคุมดูแล และต้องยืนยันเสมอว่า ฝ่ังผู้รบั มผี ู้รับเอกสารที่ส่งผ่านเครือ่ งโทรสารไปจริง รวมไปถึงการใช้ความระมัดระวังที่เวลาที่ ฝากข้อความไวท้ เี่ ครือ่ งบันทึกเสียงอัตโนมตั ดิ ว้ ย Employee Manual : Information Security for Employee Human Resources Department 8-3

3.12 ห้ามไม่ให้ส่งข้อมูลสารสนเทศที่ถูกจัดระดับช้ันความลับไว้ในระดับ Confidential หรือสูงกว่า ออกไปนอกเครือข่ายของบริษัทโดยปราศจากการควบคุมข้ันต้น โดยเฉพาะในส่วนของการ ถา่ ยโอนขอ้ มลู ไมว่ ่าจะโดยทางอเิ ล็กทรอนกิ สห์ รือโดยทาง 3.13 เอกสารในรูปแบบของกระดาษท่ีข้อมูลท่ีเป็นความลับจะต้องถูกทิ้งในภาชนะท่ีมีการปิดอย่าง มดิ ชิด 4. ระเบยี บวา่ ดว้ ยการควบคมุ การเขา้ ถงึ (Access Control) 4.1 ห้ามเขียนรหัสผ่านหรือรหัสใดๆ ต้องใช้การจาเท่าน้ัน และต้องเปล่ียนรหัสทันทีท่ีได้รบั รหัสมา ในครง้ั แรก โดยสามารถติดตอ่ หนว่ ยงานดา้ นเทคโนโลยสี ารสนเทศไดท้ ันที หากมีเหตอุ นั เชอ่ื ได้ ว่ารหัสผ่านถูกเปิดเผยหรือล่วงรู้โดยบุคคลอื่น อีกทั้งห้ามไม่ให้รหัสผ่านที่ใช้ในบริษัทเพ่ือกิจ สว่ นตน เชน่ จดหมายอิเลก็ ทรอนกิ สส์ ว่ นตวั ระบบธนาคารพาณชิ ย์อเิ ล็กทรอนิกส์ เปน็ ตน้ 4.2 บุคลากรของบริษัทจะต้องติดบัตรประจาตัวพนักงานตลอดเวลา (บัตรเข้าออกบริษัท) โดยจะ มีการติดต้ังอุปกรณ์อิเลก็ ทรอนิกส์เพ่ือควบคุมสิทธ์ใิ นการเข้าออกของแต่ละบุคคลตามหน้าท่ี รบั ผดิ ชอบและตามความจาเปน็ ของงานท่ไี ดร้ บั มอบหมาย 4.3 ต้องป้องกันไม่ให้บัตรประจาตัวพนักงานและรหัสสูญหายหรือถูกขโมย ต้องไม่วางบัตร ประจาตัวพนักงานไว้โดยขาดความระมัดระวัง หรือให้ผู้อื่นยืมไม่ว่ากรณีใดๆ ในกรณีที่ พนักงานลืมนาบัตรประจาตัวพนักงานมา จะต้องดาเนินการขอบัตรผ่านชั่วคราวใช้งานไป พลางก่อนจนกวา่ จะได้รับบตั รประจาตวั พนกั งาน 4.4 หากพบเห็นว่ามีผู้ใดพยายามเข้ามาในบริษัทโดยไม่มีบัตรผ่าน จะต้องหยุดย้ังการกระทา ดังกล่าวทันทแี ละพาไปยังบรเิ วณต้อนรับและแจ้งเจ้าหนา้ ทรี่ ักษาความปลอดภยั 4.5 ผู้ติดต่อจะต้องแสดงเอกสารหรือหลักฐานยืนยันตัวตนก่อนที่จะได้รับอนุญาตให้เข้ามายัง ภายในบริเวณบริษัท 5. ระเบยี บวา่ ด้วยการควบคมุ การบรหิ ารจดั การเหตกุ ารณค์ วามมน่ั คงปลอดภัยสารสนเทศ (Information Security Incident Management) การรายงานเหตกุ ารณด์ า้ นความปลอดภยั สารสนเทศต่อไปนี้ • แจง้ หน่วยงานดา้ นเทคโนโลยีสารสนเทศทนั ที • หน่วยงานด้านเทคโนโลยีสารสนเทศจะตอ้ งสบื สวนและสรุปเหตุการณ์ • เกบ็ หลกั ฐานให้มากทส่ี ุดเทา่ ท่จี ะเปน็ ไปได้ • แจ้งพนักงานของบริษัทให้ทราบโดยเร็วที่สุดพร้อมทั้งรายละเอียดที่เพียงพอ เช่น ข้อกาหนดหรือรายการท่ีต้องการขอ ให้พนักงานของบริษัทให้ความร่วมมือให้ รายงานเหตุการณ์ด้านความปลอดภัยและชอ่ งโหวข่ องระบบท่พี บ Employee Manual : Information Security for Employee Human Resources Department 8-4

• บันทึกรายละเอยี ดของเหตกุ ารณต์ ่างๆไว้ 5.1 การรายงานความเสียหายหรอื สูญหายของอุปกรณ์เทคโนโลยีสารสนเทศ • พนักงานจะต้องกรอกแบบฟอร์ม “Lost/Broken IT Equipment” และระบุสถานที่ วันเวลาท่อี ุปกรณ์นัน้ เสียหายหรือสญู หาย • พนักงานต้องแจ้งให้ตัวแทนของหน่วยงานด้านทรัพยากรบุคคลทราบทันทีในกรณีท่ี อุปกรณน์ ัน้ ๆไดร้ บั ความเสียหายหรอื สญู หายและถ่ายภาพความเสียหายนัน้ ไวด้ ้วย • ในกรณีที่อุปกรณ์เทคโนโลยีสารสนเทศสูญหาย พนักงานและตัวแทนของหน่วยงาน ด้านทรัพยากรบุคคลจะต้องดาเนินการตามข้ันตอนในการแจ้งความ (พนักงานต้อง ไมไ่ ปแจง้ ความทีส่ ถานีตารวจดัวยตนเอง) • ต้องมกี ารประเมนิ ความเสีย่ งทุกกรณแี ละมีการประเมนิ มลู คา่ ความเสยี หายทีเ่ กดิ ขึน้ 5.2 การรายงานในกรณีท่บี ัตรประจาตวั พนกั งานสญู หาย • พนักงานต้องแจ้งตัวแทนหน่วยงานด้านทรัพยากรบุคคลของตนทันทีและบันทึก ข้อมูลในเอกสาร “Loss of Badge Card” โดยระบุสถานท่ี วันและเวลาท่ีบัตร ประจาตัวพนกั งานสญู หายไปและรายงานขอ้ เทจ็ จรงิ ในหวั ข้อ “Detail” • ตัวแทนหน่วยงานด้านทรัพยากรบุคคลควรแจ้งให้หน่วยงานด้านเทคโนโลยี สารสนเทศดาเนินการระงับการใช้บัตรประจาตัวพนักงานใบท่ีสูญหายไปดังกล่าว จากระบบและตรวจสอบข้อมูลการใช้งานในระบบว่ามีบุคคลอื่นบุคคลใดนาบัตร ประจาตวั พนักงานใบดังกล่าวไปใช้หรอื ไม่ • ออกบัตรใหม่ใหก้ บั พนักงาน 6. ระเบยี บวา่ ดว้ ยการควบคมุ ความสอดคลอ้ ง (Compliance) 6.1 บุคลากรของบริษัทมีหน้าท่ีปฏิบัติตามนโยบายความมั่นคงปลอดภัยทางสารสนเทศของ บริษัทและรายงานการละเมดิ ความปลอดภยั ต่างๆตอ่ หน่วยงานด้านเทคโนโลยีสารสนเทศ 6.2 บุคลากรของบริษัทมีหน้าที่ระบุต้องการต่างๆ (Requirement) ตามข้อสัญญา ให้เป็นไปตาม กฎหมาย และตามระเบียบข้อบังคับทีเก่ียวข้อง ให้เป็นไปตามแนวนโยบายเกี่ยวกับความ ปลอดภัยทางเทคโนโลยีสารสนเทศ โดยรวมไปถึงการป้องกันข้อมูล ความเป็นส่วนตัว การ เกบ็ รวบรวมขอ้ มลู การเกบ็ รกั ษาขอ้ มลู ไวแ้ ละการทาลายข้อมลู ดว้ ย 6.3 ห้ามผู้ใช้ เผยแพร่สิ่งผิดกฎหมาย สื่อลามกอนาจาร หรือสิ่งที่ทาให้เกิดความเสียหายต่อ สังคม โดยเด็ดขาด ผู้ใช้ทุกคนจะต้องทราบว่าการกระทาดังกล่าวถือเป็นการละเมิดนโยบาย ของบริษัท และผิดกฎหมายพระราชบัญญัติว่าด้วยการกระทาผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 หากผู้ใดฝ่าผืน ถือว่าได้กระทาผิดต่อระเบียบข้อบังคับของบริษัท อย่างร้ายแรง และจะได้รบั การพิจารณาโทษถงึ ข้นั เลิกจา้ งโดยไมจ่ า่ ยค่าชดเชย Employee Manual : Information Security for Employee Human Resources Department 8-5

7. ระเบียบบริษัทว่าด้วยความปลอดภัยสารสนเทศการบริการส่ือสารด้วยจดหมายอิเล็กทรอนิกส์ (Email Security) 7.1 ไมอ่ นุญาตใหผ้ ู้ใช้ ใชช้ ื่ออเี มลของบริษัท ในการสง่ หรือจ่ายแจกอีเมล หรือข้อความที่เป็นการ โฆษณา หรอื มีการล่วงละเมิดทางเพศ หรือสร้างความราคาญให้กับผู้อ่ีน(Spam mail) หรือ เป็นอีเมลขยะ (Junk mail) 7.2 ไม่อนุญาตให้ผู้ใช้ ใช้ชื่ออีเมลของบริษัท ในเร่ืองที่ไม่เก่ียวข้องกับงานของบริษัท ผู้ใช้จะต้อง รบั ผิดชอบต่อความเสียหายอันเน่ืองมาจากผู้ไม่หวังดีนาชื่ออีเมลของท่านไปทาให้เกิดความ เสียหายทั้งต่อบริษัท และหน่วยงานภายนอก Employee Manual : Information Security for Employee Human Resources Department 8-6