นโยบายความปลอดภัยของข้อมูล

Submitted by root on Wed, 09/16/2020 - 11:32
นโยบายความปลอดภัยของข้อมูล

นโยบายความปลอดภัยของข้อมูล

บทนำ(คำนำ)
ประกาศนโยบาย

บริษัท พรอมิส (ประเทศไทย) จำกัด (ซึ่งต่อไปนี้จะเรียกว่า “บริษัทฯ”) มีหน้าที่สำคัญในการดูแลจัดการข้อมูลส่วนบุคคลจำนวนมาก ทั้งนี้เพื่อให้บริการแก่ลูกค้า การบริหารจัดการความปลอดภัยและการใช้ข้อมูลอย่างเหมาะสม เป็นความรับผิดชอบที่สำคัญของบริษัทฯ

นโยบายความปลอดภัยของข้อมูลนี้ (ซึ่งต่อไปนี้จะเรียกว่า “ นโยบาย ”) เป็นส่วนหนึ่งของการปฏิบัติตามกฎหมายและหลักจรรยาบรรณ มุ่งหวังที่จะเป็น “สังคมธุรกิจที่ได้รับความไว้วางใจ” ตามหลักปรัชญาบริษัท บริษัทฯมีแนวทางปฏิบัติเกี่ยวกับการจัดการทรัพย์สินสารสนเทศ (ข้อมูลและระบบการประมวลผลข้อมูล ตามที่ระบุไว้ด้านล่างนี้) ที่อยู่ในความครอบครองของบริษัทฯ อันได้แก่ ข้อมูลส่วนบุคคล ฯลฯ บริษัทฯจะกำหนดมาตรการการรับมืออย่างเป็นรูปธรรมในระเบียบที่เกี่ยวข้องกับการบริหารจัดการข้อมูล เพื่อจะบังคับใช้มาตรการคุ้มครองทรัพย์สินดังกล่าวอย่างเหมาะสมตามแนวทางปฏิบัตินี้ กรรมการบริษัทและพนักงานทุกคนต้องปฏิบัติตามนโยบายและระเบียบที่เกี่ยวข้องกับการบริหารจัดการข้อมูลอย่างเคร่งครัด

บทที่ 1
วัตถุประสงค์

บริษัทฯมีเป้าหมายให้ทุกคนในบริษัทฯมีเจตนารมณ์เป็นอันหนึ่งอันเดียวกันในแนวทางปฏิบัติเกี่ยวกับการจัดการทรัพย์สินสารสนเทศที่บริษัทฯ ครอบครองอยู่ ในการดำเนินการตามเจตนารมณ์ดังกล่าว บริษัทฯจะทำให้ทรัพย์สินสารสนเทศที่สำคัญเป็นพิเศษมีความชัดเจนมากยิ่งขึ้น ควบคุมความเสี่ยงที่เป็นอุปสรรคต่อการดำเนินธุรกิจและควบคุมความเสี่ยงในการก่อปัญหาแก่ลูกค้าอันเนื่องมาจากการยกระดับการรักษาความลับและความปลอดภัย

ทรัพย์สินสารสนเทศที่สำคัญเป็นพิเศษ

ทรัพย์สินสารสนเทศที่สำคัญเป็นพิเศษ ในที่นี้หมายถึง ข้อมูลส่วนบุคคล ในบรรดาข้อมูลส่วนบุคคลที่มีอยู่นั้นจะดำเนินมาตรการป้องกันโดยจัดอันดับข้อมูลของลูกค้าให้มีความสำคัญสูงสุด

กลุ่มเป้าหมาย

กรรมการบริษัทและพนักงานทุกคนที่ดูแลจัดการทรัพย์สินสารสนเทศของบริษัทฯ (พนักงาน, พนักงานสัญญาจ้าง, พนักงานชั่วคราว, พนักงานส่งมาประจำการ, พนักงานจากองค์กรภายนอกที่มาประจำการที่บริษัท) จะต้องปฏิบัติตามแนวทางดังต่อไปนี้อย่างเคร่งครัด

แนวทางการปฏิบัติ

  • (1.) หลักเกณฑ์การปฏิบัติตามกฎหมาย

    • ในการดูแลจัดการทรัพย์สินสารสนเทศ จะต้องปฏิบัติตาม นโยบายและระเบียบที่เกี่ยวข้องกับการบริหารจัดการข้อมูลรวมถึง กฎหมายที่เกี่ยวข้องอย่างเคร่งครัด ฯลฯ
    • แม้ว่าปฏิบัติงานอยู่ และกำลังจะลาออก หรือ หลังจากลาออกไปแล้วก็ตาม ต้องไม่ทำให้ข้อมูลนั้นรั่วไหล หรือใช้ข้อมูลนั้นเพื่อวัตถุประสงค์ที่มิชอบด้วยกฎหมาย

  • (2.) หลักเกณฑ์ทางจรรยาบรรณ

    • ห้ามดำเนินการดูแลจัดการทรัพย์สินสารสนเทศไปในทางที่ไม่ถูกต้องเหมาะสม
    • ทรัพย์สินสารสนเทศทั้งหมดจะต้องกลับไปอยู่ในความครอบครองของบริษัทฯ ห้ามนำมาเป็นของส่วนตัว

  • (3.) หลักเกณฑ์ความจำเป็น

    • การใช้ทรัพย์สินสารสนเทศ ถูกจำกัดโดยขอบเขตความสำคัญของการทำงาน
    • เมื่อปฏิบัติงานจนสำเร็จลุล่วงแล้ว ไม่เปิดดูข้อมูลนอกเหนือจากความจำเป็นและไม่นำข้อมูลไปใช้เพื่อ ประโยชน์ส่วนตัว

  • (4.) หลักเกณฑ์ของการแยกประเภทตามระดับความสำคัญ

    • ทรัพย์สินสารสนเทศ จะถูกแบ่งตามระดับความสำคัญของข้อมูล
    • ทรัพย์สินสารสนเทศ จะได้รับการบริหารจัดการและดูแลอย่างเหมาะสมตามประเภท
บทที่ 2
การทบทวนปรับปรุงและธำรงไว้ซึ่งนโยบาย

บริษัทฯจะให้ความรู้เกี่ยวกับความปลอดภัยของข้อมูลแก่พนักงานและกรรมการบริษัททุกท่าน ที่ทำหน้าที่จัดการทรัพย์สินสารสนเทศของบริษัทฯ พร้อมทั้งติดตามตรวจสอบสถานการณ์การจัดการทรัพย์สินสารสนเทศ ฯลฯ

สืบเนื่องจากการเปลี่ยนแปลงทางสภาพแวดล้อมทั้งภายนอกและภายในที่อาจเกิดขึ้นได้ บริษัทฯ จะดำเนินการทบทวนนโยบายและระเบียบที่เกี่ยวข้องกับการบริหารจัดการข้อมูลเป็นประจำ โดยมีวัตถุประสงค์เพื่อให้มั่นใจได้ว่าสามารถนำมาบังคับใช้ได้อย่างมีประสิทธิภาพอยู่เสมอ

กฎระเบียบในการลงโทษผู้ฝ่าฝืน

ผู้ที่ฝ่าฝืนนโยบายหรือระเบียบที่เกี่ยวข้องกับการบริหารจัดการข้อมูล นอกจากจะถูกลงโทษตาม “ข้อบังคับในการทำงาน” ของบริษัทฯแล้ว ยังอาจจะถูกลงโทษตามที่ระบุไว้ในกฎหมายด้วย ฯลฯ

วิธีการแก้ไขปรับปรุง

นโยบายคือการแสดงออกถึงท่าทีและเจตนารมณ์ที่ชัดเจนในการบริหารงานของบริษัทฯ ในกรณีที่จะมีการแก้ไขปรับปรุงนโยบายฯ ฉบับนี้ จำเป็นต้องได้รับการอนุมัติจากคณะกรรมการบริหารของบริษัท แล้วจึงดำเนินการแก้ไขปรับปรุงตามหลักเกณฑ์ที่ได้ระบุไว้ในระเบียบที่เกี่ยวข้องกับการบริหารจัดการข้อมูล

บทที่ 3
มีผลบังคับใช้

นโยบายความปลอดภัยของข้อมูลนี้ มีผลบังคับใช้ตั้งแต่ วันที่ 1 กันยายน พ.ศ.2559