นโยบายด้านความปลอดภัยของเว็บไซต์
เวลาประกาศ:2021.12.22 จำนวนการค้นหา:5636
I. การจัดทำนโยบายการรักษาความปลอดภัยของข้อมูล
●วัตถุประสงค์
กระทรวงคมนาคมและการสื่อสาร (MOTC) ได้จัดตั้งระบบแอปพลิเคชันข้อมูลตามข้อกำหนดของ "กฎระเบียบการจัดการข้อมูลสำหรับสภาบริหารและหน่วยงานในสังกัด" "แนวทางการจัดการความปลอดภัยของข้อมูลสำหรับสภาบริหารและหน่วยงานในสังกัด " และ "กฎหมายคุ้มครองข้อมูลส่วนบุคคล" โดยคำนึงถึงความจำเป็นในการปฏิบัติงานของ MOTC เพื่อเสริมสร้างการจัดการด้านความปลอดภัยของข้อมูล
●ขอบเขต
นโยบายนี้มีผลบังคับใช้กับบุคลากรภายในองค์กรของ MOTC บุคลากรตามสัญญา บุคลากรที่ถูกโอนย้าย บริษัทที่ทำสัญญาว่าจ้างจากภายนอก และทรัพย์สินทางข้อมูลและหน่วยงานที่เกี่ยวข้องทั้งหมดที่มีการดำเนินงานออนไลน์ที่เชื่อมโยงกับ MOTC และเป็นนโยบายที่เปิดเผยต่อสาธารณะผ่านเอกสารที่เขียนเป็นลายลักษณ์อักษร แบบอิเล็กทรอนิกส์ หรือวิธีการอื่นๆ โดยหวังว่าทุกคนจะปฏิบัติตาม เพื่อรักษาความปลอดภัยในการเก็บรวบรวม การประมวลผล การถ่ายโอน การจัดเก็บ และการหมุนเวียนของข้อมูล
●คำจำกัดความ
ลักษณะการรักษาความปลอดภัยของข้อมูลสามารถจำแนกได้เป็นสามประเภท
1. การเป็นความลับ ทรัพย์สินทางข้อมูลจะถูกจัดลำดับตามระดับความลับ และจะได้รับมาตรฐานและการป้องกันที่เหมาะสมกับระดับความลับนั้นๆ
2. ความสมบูรณ์ ความสมบูรณ์ของทรัพย์สินทางข้อมูลทั้งหมดจะได้รับการคุ้มครอง ซึ่งองค์กรอาจนำไปใช้อย่างเหมาะสม
ความพร้อม บริการที่รวดเร็วและถูกต้องสำหรับทรัพย์สินทางข้อมูลทุกรายการ เพื่อตอบสนองความต้องการของผู้ใช้บริการ
3. นโยบายรักษาความปลอดภัยของข้อมูลควรได้รับการดูแลโดยบุคคลหรือหน่วยงานที่ได้รับมอบหมาย โดยองค์กรรักษาความปลอดภัยของข้อมูลจะทำการประเมินและปรับเปลี่ยนที่จำเป็นเป็นประจำ เพื่อรักษาความเหมาะสมและประสิทธิผลของนโยบายรักษาความปลอดภัยของข้อมูล
II. วัตถุประสงค์ของโยบายรักษาความปลอดภัยของข้อมูล
● การประกันความพร้อมและความสมบูรณ์ของข้อมูล และการคุ้มครองสิทธิของประชาชนในการใช้สิ่งอำนวยความสะดวกด้านการคมนาคม
● การประกันการรักษาความลับของข้อมูลและการรักษาความเป็นส่วนตัวของข้อมูลของหน่วยงานออนไลน์และประชาชนทั่วไป
●การประกันความถูกต้องของข้อมูลและการประกันคุณภาพของระบบสารสนเทศที่ใช้โดยหน่วยงานออนไลน์และประชาชนทั่วไป
มีการกำหนดวัตถุประสงค์ตามนโยบายการรักษาความปลอดภัยที่อธิบายไว้ข้างต้น เพื่อใช้เป็นดัชนีสำหรับการรักษาความปลอดภัยของข้อมูล
1. องค์กรถาวรที่รับผิดชอบในการดำเนินงานด้านความปลอดภัยของข้อมูลโดยรวม
2. รายการทรัพย์สินทางข้อมูลล่าสุดและถูกต้องที่สุด
3. การแบ่งหมวดหมู่การใช้งานและอำนาจหน้าที่ที่สอดคล้องกับกฎหมายข้อบังคับด้านความปลอดภัย การจัดฝึกอบรมด้านความปลอดภัยของข้อมูลอย่างเหมาะสม และการให้ข้อมูลแก่บุคลากรในกระบวนการรายงานเหตุการณ์ด้านความปลอดภัย
4. การกำหนดมาตรการป้องกัน อุปกรณ์รักษาความปลอดภัย และหลักการควบคุมทั่วไปสำหรับทรัพย์สินที่จับต้องได้
5. มาตรการควบคุมความปลอดภัยสำหรับการดำเนินงานด้านการสื่อสารและสารสนเทศ
6. ขั้นตอนการควบคุมที่ชัดเจนและเหมาะสมสำหรับการจัดเก็บและการดึงข้อมูล
7. การพัฒนาและบำรุงรักษาซอฟต์แวร์ถูกรวมอยู่ในข้อควรพิจารณาทางด้านความปลอดภัย
8. การดำเนินงานอย่างต่อเนื่องสำหรับการทำงานขององค์กร
9. การจัดทำระบบตรวจสอบความปลอดภัยของข้อมูลและการสื่อสาร และการดำเนินการตรวจสอบภายในเพื่อความปลอดภัยของข้อมูลและการสื่อสาร เพื่อให้มั่นใจในความปลอดภัยของข้อมูลของ MOTC
10. การประกันความสอดคล้องด้านความปลอดภัยโดยการดำเนินการที่เป็นการว่าจ้างภายนอกจาก MOTC การจัดตั้งกลไกการควบคุมที่เกี่ยวข้อง และการดำเนินการจัดการการว่าจ้างองค์กรภายนอก
11.ความสอดคล้องกับนโยบายการดำเนินการด้านการสื่อสารและข้อมูล
III. ความรับผิดชอบและภาระผูกพัน
1. องค์กรรักษาความปลอดภัยของข้อมูลควรจัดเตรียมแนวทางที่ชัดเจนสำหรับการแก้ไขนโยบายนี้ในเวลาที่เหมาะสม เพื่อให้มั่นใจว่านโยบายดังกล่าวตรงกับความต้องการในปัจจุบัน
2. เจ้าหน้าที่ระดับสูง MOTC ควรมีส่วนร่วมอย่างจริงจังในกิจกรรมการจัดการความปลอดภัยของข้อมูล ให้การสนับสนุนและความมั่นใจในการรักษาความปลอดภัยข้อมูล และตรวจสอบนโยบายนี้อีกครั้งเมื่อจำเป็น
3. บุคลากรควรปฏิบัติตามข้อกำหนดของนโยบายนี้ผ่านขั้นตอนที่เหมาะสม
4. บุคลากรทั้งหมดภายในองค์กรของ MOTC บุคลากรตามสัญญา บุคลากรที่ถูกโอนย้าย บริษัทที่ทำสัญญาว่าจ้างการบริการจากภายนอก และหน่วยงานทั้งหมดที่เกี่ยวข้องกับทรัพย์สินทางข้อมูลที่มีการดำเนินงานแบบออนไลน์กับ MOTC ต้องปฏิบัติตามนโยบายนี้
5. บุคคลากรที่เกี่ยวข้องกับ MOTC ทุกคนควรรายงานเหตุการณ์ด้านความปลอดภัยของข้อมูลหรือจุดอ่อนที่พวกเขาค้นพบผ่านกลไกการรายงานที่เหมาะสม
6. พนักงาน MOTC คนใดที่ไม่ปฏิบัติตามนโยบายนี้หรือมีส่วนร่วมในพฤติกรรมใด ๆ ที่คุกคามต่อความปลอดภัยของข้อมูลของ MOTC จะถูกลงโทษหรือดำเนินคดีตามกฎหมายตามที่สอดคล้อง
7. บุคลากร MOTC ที่เกี่ยวข้องทั้งหมดต้องลงนามในข้อตกลงการรักษาความลับ และรับทราบว่าข้อมูลทั้งหมดที่ได้รับระหว่างการจ้างงานกับ MOTC นั้นเป็นทรัพย์สินของ MOTC และไม่อาจนำไปใช้เพื่อวัตถุประสงค์อื่นที่ไม่ได้รับอนุญาต
IV. การทบทวนและแก้ไขนโยบายการรักษาความปลอดภัยของข้อมูล
1. การทบทวน
นโยบายนี้ได้รับการดูแลโดยบุคลากรที่ได้รับมอบหมายหรือหน่วยงานที่ได้รับมอบหมาย โดยองค์กรรักษาความปลอดภัยข้อมูลจะดำเนินการตรวจสอบและปรับเปลี่ยนที่จำเป็นเป็นประจำ เพื่อรักษาความเหมาะสมและประสิทธิผลของนโยบายการรักษาความปลอดภัยของข้อมูล
2. การแก้ไข
นโยบายนี้ควรได้รับการแก้ไขโดยองค์กรรักษาความปลอดภัยของข้อมูลเป็นประจำปีละครั้งหรือตามการเปลี่ยนแปลงขององค์กร หน้าที่ หรือสภาพแวดล้อมของ MOTC โดยจะมีการปรับปรุงแก้ไขหลังจากได้รับอนุมัติเพื่อให้สอดคล้องกับสภาวะปัจจุบัน
●วัตถุประสงค์
กระทรวงคมนาคมและการสื่อสาร (MOTC) ได้จัดตั้งระบบแอปพลิเคชันข้อมูลตามข้อกำหนดของ "กฎระเบียบการจัดการข้อมูลสำหรับสภาบริหารและหน่วยงานในสังกัด" "แนวทางการจัดการความปลอดภัยของข้อมูลสำหรับสภาบริหารและหน่วยงานในสังกัด " และ "กฎหมายคุ้มครองข้อมูลส่วนบุคคล" โดยคำนึงถึงความจำเป็นในการปฏิบัติงานของ MOTC เพื่อเสริมสร้างการจัดการด้านความปลอดภัยของข้อมูล
●ขอบเขต
นโยบายนี้มีผลบังคับใช้กับบุคลากรภายในองค์กรของ MOTC บุคลากรตามสัญญา บุคลากรที่ถูกโอนย้าย บริษัทที่ทำสัญญาว่าจ้างจากภายนอก และทรัพย์สินทางข้อมูลและหน่วยงานที่เกี่ยวข้องทั้งหมดที่มีการดำเนินงานออนไลน์ที่เชื่อมโยงกับ MOTC และเป็นนโยบายที่เปิดเผยต่อสาธารณะผ่านเอกสารที่เขียนเป็นลายลักษณ์อักษร แบบอิเล็กทรอนิกส์ หรือวิธีการอื่นๆ โดยหวังว่าทุกคนจะปฏิบัติตาม เพื่อรักษาความปลอดภัยในการเก็บรวบรวม การประมวลผล การถ่ายโอน การจัดเก็บ และการหมุนเวียนของข้อมูล
●คำจำกัดความ
ลักษณะการรักษาความปลอดภัยของข้อมูลสามารถจำแนกได้เป็นสามประเภท
1. การเป็นความลับ ทรัพย์สินทางข้อมูลจะถูกจัดลำดับตามระดับความลับ และจะได้รับมาตรฐานและการป้องกันที่เหมาะสมกับระดับความลับนั้นๆ
2. ความสมบูรณ์ ความสมบูรณ์ของทรัพย์สินทางข้อมูลทั้งหมดจะได้รับการคุ้มครอง ซึ่งองค์กรอาจนำไปใช้อย่างเหมาะสม
ความพร้อม บริการที่รวดเร็วและถูกต้องสำหรับทรัพย์สินทางข้อมูลทุกรายการ เพื่อตอบสนองความต้องการของผู้ใช้บริการ
3. นโยบายรักษาความปลอดภัยของข้อมูลควรได้รับการดูแลโดยบุคคลหรือหน่วยงานที่ได้รับมอบหมาย โดยองค์กรรักษาความปลอดภัยของข้อมูลจะทำการประเมินและปรับเปลี่ยนที่จำเป็นเป็นประจำ เพื่อรักษาความเหมาะสมและประสิทธิผลของนโยบายรักษาความปลอดภัยของข้อมูล
II. วัตถุประสงค์ของโยบายรักษาความปลอดภัยของข้อมูล
● การประกันความพร้อมและความสมบูรณ์ของข้อมูล และการคุ้มครองสิทธิของประชาชนในการใช้สิ่งอำนวยความสะดวกด้านการคมนาคม
● การประกันการรักษาความลับของข้อมูลและการรักษาความเป็นส่วนตัวของข้อมูลของหน่วยงานออนไลน์และประชาชนทั่วไป
●การประกันความถูกต้องของข้อมูลและการประกันคุณภาพของระบบสารสนเทศที่ใช้โดยหน่วยงานออนไลน์และประชาชนทั่วไป
มีการกำหนดวัตถุประสงค์ตามนโยบายการรักษาความปลอดภัยที่อธิบายไว้ข้างต้น เพื่อใช้เป็นดัชนีสำหรับการรักษาความปลอดภัยของข้อมูล
1. องค์กรถาวรที่รับผิดชอบในการดำเนินงานด้านความปลอดภัยของข้อมูลโดยรวม
2. รายการทรัพย์สินทางข้อมูลล่าสุดและถูกต้องที่สุด
3. การแบ่งหมวดหมู่การใช้งานและอำนาจหน้าที่ที่สอดคล้องกับกฎหมายข้อบังคับด้านความปลอดภัย การจัดฝึกอบรมด้านความปลอดภัยของข้อมูลอย่างเหมาะสม และการให้ข้อมูลแก่บุคลากรในกระบวนการรายงานเหตุการณ์ด้านความปลอดภัย
4. การกำหนดมาตรการป้องกัน อุปกรณ์รักษาความปลอดภัย และหลักการควบคุมทั่วไปสำหรับทรัพย์สินที่จับต้องได้
5. มาตรการควบคุมความปลอดภัยสำหรับการดำเนินงานด้านการสื่อสารและสารสนเทศ
6. ขั้นตอนการควบคุมที่ชัดเจนและเหมาะสมสำหรับการจัดเก็บและการดึงข้อมูล
7. การพัฒนาและบำรุงรักษาซอฟต์แวร์ถูกรวมอยู่ในข้อควรพิจารณาทางด้านความปลอดภัย
8. การดำเนินงานอย่างต่อเนื่องสำหรับการทำงานขององค์กร
9. การจัดทำระบบตรวจสอบความปลอดภัยของข้อมูลและการสื่อสาร และการดำเนินการตรวจสอบภายในเพื่อความปลอดภัยของข้อมูลและการสื่อสาร เพื่อให้มั่นใจในความปลอดภัยของข้อมูลของ MOTC
10. การประกันความสอดคล้องด้านความปลอดภัยโดยการดำเนินการที่เป็นการว่าจ้างภายนอกจาก MOTC การจัดตั้งกลไกการควบคุมที่เกี่ยวข้อง และการดำเนินการจัดการการว่าจ้างองค์กรภายนอก
11.ความสอดคล้องกับนโยบายการดำเนินการด้านการสื่อสารและข้อมูล
III. ความรับผิดชอบและภาระผูกพัน
1. องค์กรรักษาความปลอดภัยของข้อมูลควรจัดเตรียมแนวทางที่ชัดเจนสำหรับการแก้ไขนโยบายนี้ในเวลาที่เหมาะสม เพื่อให้มั่นใจว่านโยบายดังกล่าวตรงกับความต้องการในปัจจุบัน
2. เจ้าหน้าที่ระดับสูง MOTC ควรมีส่วนร่วมอย่างจริงจังในกิจกรรมการจัดการความปลอดภัยของข้อมูล ให้การสนับสนุนและความมั่นใจในการรักษาความปลอดภัยข้อมูล และตรวจสอบนโยบายนี้อีกครั้งเมื่อจำเป็น
3. บุคลากรควรปฏิบัติตามข้อกำหนดของนโยบายนี้ผ่านขั้นตอนที่เหมาะสม
4. บุคลากรทั้งหมดภายในองค์กรของ MOTC บุคลากรตามสัญญา บุคลากรที่ถูกโอนย้าย บริษัทที่ทำสัญญาว่าจ้างการบริการจากภายนอก และหน่วยงานทั้งหมดที่เกี่ยวข้องกับทรัพย์สินทางข้อมูลที่มีการดำเนินงานแบบออนไลน์กับ MOTC ต้องปฏิบัติตามนโยบายนี้
5. บุคคลากรที่เกี่ยวข้องกับ MOTC ทุกคนควรรายงานเหตุการณ์ด้านความปลอดภัยของข้อมูลหรือจุดอ่อนที่พวกเขาค้นพบผ่านกลไกการรายงานที่เหมาะสม
6. พนักงาน MOTC คนใดที่ไม่ปฏิบัติตามนโยบายนี้หรือมีส่วนร่วมในพฤติกรรมใด ๆ ที่คุกคามต่อความปลอดภัยของข้อมูลของ MOTC จะถูกลงโทษหรือดำเนินคดีตามกฎหมายตามที่สอดคล้อง
7. บุคลากร MOTC ที่เกี่ยวข้องทั้งหมดต้องลงนามในข้อตกลงการรักษาความลับ และรับทราบว่าข้อมูลทั้งหมดที่ได้รับระหว่างการจ้างงานกับ MOTC นั้นเป็นทรัพย์สินของ MOTC และไม่อาจนำไปใช้เพื่อวัตถุประสงค์อื่นที่ไม่ได้รับอนุญาต
IV. การทบทวนและแก้ไขนโยบายการรักษาความปลอดภัยของข้อมูล
1. การทบทวน
นโยบายนี้ได้รับการดูแลโดยบุคลากรที่ได้รับมอบหมายหรือหน่วยงานที่ได้รับมอบหมาย โดยองค์กรรักษาความปลอดภัยข้อมูลจะดำเนินการตรวจสอบและปรับเปลี่ยนที่จำเป็นเป็นประจำ เพื่อรักษาความเหมาะสมและประสิทธิผลของนโยบายการรักษาความปลอดภัยของข้อมูล
2. การแก้ไข
นโยบายนี้ควรได้รับการแก้ไขโดยองค์กรรักษาความปลอดภัยของข้อมูลเป็นประจำปีละครั้งหรือตามการเปลี่ยนแปลงขององค์กร หน้าที่ หรือสภาพแวดล้อมของ MOTC โดยจะมีการปรับปรุงแก้ไขหลังจากได้รับอนุมัติเพื่อให้สอดคล้องกับสภาวะปัจจุบัน