นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy)

บริษัท พระนครซอฟต์ จำกัด มุ่งมั่นที่จะสร้างและรักษาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ที่เป็นไปตามมาตรฐานสากล ISO/IEC 27001:2022 เพื่อให้มั่นใจใน ความลับ (Confidentiality), ความครบถ้วน (Integrity), และ ความพร้อมใช้งาน (Availability) ของทรัพย์สินสารสนเทศทั้งหมดของบริษัท ลูกค้า และคู่ค้าที่เกี่ยวข้อง

1. วัตถุประสงค์

เพื่อปกป้องทรัพย์สินสารสนเทศของบริษัท ลูกค้า และคู่ค้า จากภัยคุกคามภายในและภายนอก ไม่ว่าจะโดยเจตนาหรือไม่ก็ตาม

เพื่อสร้างความมั่นใจว่าการปฏิบัติงานและบริการของบริษัท โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับการ พัฒนา, ออกแบบ, ซื้อขาย, และจัดหาเว็บไซต์/ซอฟต์แวร์ เป็นไปตามข้อกำหนดทางกฎหมาย ข้อบังคับ และข้อผูกพันตามสัญญาที่เกี่ยวข้อง

เพื่อสร้างกรอบการทำงานสำหรับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่องและเป็นระบบ

เพื่อส่งเสริมวัฒนธรรมองค์กรด้านความมั่นคงปลอดภัยสารสนเทศให้กับพนักงานและผู้ที่เกี่ยวข้องทุกคน

2. ขอบเขต (Scope)

นโยบายนี้มีผลบังคับใช้กับ:

บุคลากรทั้งหมด ของบริษัท พระนครซอฟต์ จำกัด (พนักงาน, ผู้รับเหมา, บุคคลภายนอกที่เกี่ยวข้อง)

ทรัพย์สินสารสนเทศทั้งหมด รวมถึงข้อมูลลูกค้า, ข้อมูลการออกแบบ, รหัสต้นฉบับ (Source Code), ข้อมูลระบบ, อุปกรณ์ฮาร์ดแวร์, และโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศที่ใช้ในการดำเนินงาน ซื้อขาย, จัดหา, รับเช่า, เช่าซื้อ, ครอบครอง, ปรับปรุง, สร้าง, ออกแบบ เว็บไซต์ และซอฟต์แวร์

3. หลักการสำคัญ (Key Principles)

3.1. การบริหารจัดการความเสี่ยง (Risk Management)

บริษัทจะดำเนินการ ประเมินความเสี่ยง ด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอ เพื่อระบุ วิเคราะห์ และประเมินความเสี่ยงที่เกี่ยวข้องกับการดำเนินงานหลัก

จะมีการกำหนดและนำมาตรการควบคุม (Controls) ตาม Annex A ของ ISO/IEC 27001:2022 และมาตรการอื่น ๆ ที่เหมาะสมมาใช้ เพื่อลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้

3.2. การปฏิบัติตามกฎหมายและข้อผูกพัน (Legal and Compliance)

บริษัทจะต้องมั่นใจว่าการดำเนินงานทั้งหมด รวมถึงการพัฒนาซอฟต์แวร์และการจัดการข้อมูลลูกค้า สอดคล้องกับกฎหมาย และข้อบังคับที่เกี่ยวข้อง (เช่น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) และข้อผูกพันตามสัญญา

3.3. ความมั่นคงปลอดภัยในการพัฒนาและจัดหา (Secure Development & Acquisition)

ต้องมีการนำหลักการ การเขียนโค้ดที่ปลอดภัย (Secure Coding) และแนวปฏิบัติด้านความมั่นคงปลอดภัยมาใช้ตลอด วงจรชีวิตของการพัฒนาซอฟต์แวร์ (SDLC) และการออกแบบเว็บไซต์

การจัดหาซอฟต์แวร์หรือบริการจากภายนอกจะต้องมีการประเมินและควบคุมด้านความมั่นคงปลอดภัยสารสนเทศอย่างเข้มงวด

3.4. การควบคุมการเข้าถึง (Access Control)

การเข้าถึงข้อมูลและระบบจะอยู่บนพื้นฐานของ ความจำเป็นต้องรู้ (Need-to-know) และ สิทธิในการเข้าถึงตามหน้าที่ (Least Privilege) โดยมีการทบทวนสิทธิการเข้าถึงอย่างสม่ำเสมอ

3.5. การจัดการเหตุการณ์ (Incident Management)

บริษัทจะกำหนดขั้นตอนที่ชัดเจนสำหรับการ รายงาน, ตอบสนอง, และแก้ไขเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ รวมถึงการเรียนรู้และปรับปรุงเพื่อป้องกันการเกิดซ้ำ

3.6. การสำรองข้อมูล (Backup)

ข้อมูลที่สำคัญต่อการดำเนินธุรกิจทั้งหมด (รวมถึงรหัสต้นฉบับและข้อมูลลูกค้า) ต้องได้รับการ สำรองข้อมูล อย่างสม่ำเสมอและมีการทดสอบความสามารถในการกู้คืนเพื่อให้มั่นใจใน ความต่อเนื่องทางธุรกิจ (Business Continuity)

4. บทบาทและความรับผิดชอบ (Roles and Responsibilities)

ผู้บริหารระดับสูง (Top Management) มีความรับผิดชอบสูงสุดในการอนุมัติ, สนับสนุน, และทบทวนนโยบายนี้

พนักงานทุกคน มีหน้าที่ต้องทำความเข้าใจ ปฏิบัติตามนโยบายและขั้นตอนที่เกี่ยวข้อง และรายงานเหตุการณ์หรือจุดอ่อนด้านความมั่นคงปลอดภัยสารสนเทศทันที

5. การทบทวนและการปรับปรุงอย่างต่อเนื่อง

นโยบายนี้จะได้รับการ ทบทวน โดยผู้บริหารอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมีการเปลี่ยนแปลงทางธุรกิจ, กฎหมาย, หรือภัยคุกคาม เพื่อให้มั่นใจว่า ISMS มีความเหมาะสมและมีประสิทธิภาพอย่างต่อเนื่อง

นโยบายฉบับนี้มีผลบังคับใช้ตั้งแต่วันที่ประกาศ และถือเป็นแนวทางหลักในการดำเนินการรักษาความมั่นคงปลอดภัยสารสนเทศของบริษัท พระนครซอฟต์ จำกัด