- ການນໍາສະເຫນີ
ຈຸດປະສົງຂອງນະໂຍບາຍຄວາມປອດໄພນີ້ແມ່ນເພື່ອອະທິບາຍມາດຕະການ ແລະການປະຕິບັດທີ່ Allamex™ ຮັບຮອງເອົາເພື່ອຮັບປະກັນຄວາມລັບ, ຄວາມສົມບູນ, ແລະຄວາມພ້ອມຂອງລະບົບ ແລະຂໍ້ມູນຂອງພວກເຮົາ. ນະໂຍບາຍນີ້ນຳໃຊ້ກັບພະນັກງານ, ຜູ້ຮັບເໝົາ ແລະ ໜ່ວຍງານພາກສ່ວນທີສາມທັງໝົດທີ່ມີການເຂົ້າເຖິງລະບົບ ແລະ ຂໍ້ມູນຂອງພວກເຮົາ. ການປະຕິບັດຕາມນະໂຍບາຍນີ້ແມ່ນຈໍາເປັນເພື່ອປົກປ້ອງທຸລະກິດແລະຂໍ້ມູນລູກຄ້າຂອງພວກເຮົາຈາກການເຂົ້າເຖິງ, ການເປີດເຜີຍ, ການປ່ຽນແປງຫຼືການທໍາລາຍໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ.
- ການຄວບຄຸມການເຂົ້າເຖິງ
2.1ບັນຊີຜູ້ໃຊ້:
- ບັນຊີຜູ້ໃຊ້ຈະໄດ້ຮັບການສ້າງຕັ້ງຂຶ້ນສໍາລັບພະນັກງານທັງຫມົດແລະຜູ້ຮັບເຫມົາເຂົ້າເຖິງລະບົບທຸລະກິດອອນໄລນ໌ຂາຍຍົກ.
- ບັນຊີຜູ້ໃຊ້ຈະໄດ້ຮັບການອະນຸຍາດໂດຍອີງໃສ່ຫຼັກການສິດທິພິເສດຫນ້ອຍ, ຮັບປະກັນວ່າບຸກຄົນສາມາດເຂົ້າເຖິງພຽງແຕ່ຊັບພະຍາກອນທີ່ຈໍາເປັນເພື່ອປະຕິບັດຄວາມຮັບຜິດຊອບຂອງເຂົາເຈົ້າ.
- ລະຫັດຜ່ານທີ່ເຂັ້ມແຂງຈະຖືກບັງຄັບໃຊ້, ຮຽກຮ້ອງໃຫ້ມີການປະສົມປະສານຂອງຕົວພິມໃຫຍ່ແລະຕົວພິມນ້ອຍ, ຕົວເລກ, ແລະຕົວອັກສອນພິເສດ.
- ການພິສູດຢືນຢັນຫຼາຍປັດໃຈ (MFA) ຈະຖືກປະຕິບັດສໍາລັບບັນຊີຜູ້ໃຊ້ທັງຫມົດເພື່ອໃຫ້ຄວາມປອດໄພເພີ່ມເຕີມ.
2.2ການເຂົ້າເຖິງຂອງບຸກຄົນທີສາມ:
- ພາກສ່ວນທີສາມເຂົ້າເຖິງລະບົບ ແລະຂໍ້ມູນຂອງພວກເຮົາຈະໄດ້ຮັບພຽງແຕ່ບົນພື້ນຖານຄວາມຕ້ອງການທີ່ຈະຮູ້.
- ໜ່ວຍງານພາກສ່ວນທີສາມຈະຕ້ອງເຊັນສັນຍາຮັກສາຄວາມລັບ ແລະປະຕິບັດຕາມມາດຕະຖານຄວາມປອດໄພ ແລະການປະຕິບັດທີ່ສອດຄ່ອງກັບພວກເຮົາເອງ.
- ການປ້ອງກັນຂໍ້ມູນ
3.1ການຈັດປະເພດຂໍ້ມູນ:
-
- ຂໍ້ມູນທັງຫມົດຈະຖືກຈັດປະເພດໂດຍອີງໃສ່ຄວາມອ່ອນໄຫວແລະຄວາມສໍາຄັນຂອງມັນເພື່ອກໍານົດລະດັບທີ່ເຫມາະສົມຂອງການປົກປ້ອງ.
- ຂໍ້ແນະນຳການຈັດປະເພດຂໍ້ມູນຈະຖືກສະໜອງໃຫ້ພະນັກງານເພື່ອຮັບປະກັນການຈັດການ, ການເກັບຮັກສາ, ແລະການສົ່ງຂໍ້ມູນທີ່ຖືກຕ້ອງ.
3.2ການເຂົ້າລະຫັດຂໍ້ມູນ:
-
- ການສົ່ງຂໍ້ມູນທີ່ລະອຽດອ່ອນຈະຖືກເຂົ້າລະຫັດໂດຍໃຊ້ໂປຣໂຕຄໍການເຂົ້າລະຫັດມາດຕະຖານອຸດສາຫະກໍາເຊັ່ນ SSL/TLS.
- ກົນໄກການເຂົ້າລະຫັດຈະຖືກປະຕິບັດເພື່ອປົກປ້ອງຂໍ້ມູນໃນເວລາພັກຜ່ອນ, ໂດຍສະເພາະສໍາລັບຂໍ້ມູນທີ່ລະອຽດອ່ອນທີ່ເກັບໄວ້ໃນ
- ຖານຂໍ້ມູນແລະລະບົບໄຟລ໌.
3.3ການສໍາຮອງຂໍ້ມູນແລະການຟື້ນຕົວ:
-
- ການສໍາຮອງຂໍ້ມູນປົກກະຕິຂອງຂໍ້ມູນທີ່ສໍາຄັນຈະຖືກປະຕິບັດແລະເກັບຮັກສາໄວ້ຢ່າງປອດໄພໃນສະຖານທີ່ນອກສະຖານທີ່.
- ຄວາມສົມບູນຂອງການສໍາຮອງຂໍ້ມູນແລະຂະບວນການຟື້ນຟູຈະຖືກທົດສອບເປັນໄລຍະເພື່ອຮັບປະກັນການຟື້ນຕົວຂໍ້ມູນໃນກໍລະນີທີ່ເກີດໄພພິບັດ.
4.ຄວາມປອດໄພເຄືອຂ່າຍ
-
- Firewalls ແລະ Intrusion Detection Systems:
- Firewalls ແລະລະບົບກວດຈັບການບຸກລຸກຈະຖືກນຳໃຊ້ເພື່ອປົກປ້ອງໂຄງສ້າງເຄືອຂ່າຍຂອງພວກເຮົາຈາກຄວາມພະຍາຍາມເຂົ້າເຖິງທີ່ບໍ່ໄດ້ຮັບອະນຸຍາດ ແລະການເຄື່ອນໄຫວທີ່ເປັນອັນຕະລາຍ.
- ການຕິດຕາມແລະການວິເຄາະການຈາລະຈອນເຄືອຂ່າຍເປັນປະຈໍາເພື່ອກໍານົດແລະຕອບສະຫນອງຕໍ່ເຫດການຄວາມປອດໄພທີ່ເປັນໄປໄດ້.
4.1ການເຂົ້າເຖິງທາງໄກທີ່ປອດໄພ:
-
- ການເຂົ້າເຖິງລະບົບຂອງພວກເຮົາທາງໄກຈະຖືກອະນຸຍາດຜ່ານຊ່ອງທາງທີ່ປອດໄພເທົ່ານັ້ນ, ເຊັ່ນ VPNs (ເຄືອຂ່າຍສ່ວນຕົວ Virtual).
- ບັນຊີການເຂົ້າເຖິງຈາກໄລຍະໄກຈະໄດ້ຮັບການປົກປ້ອງໂດຍກົນໄກການພິສູດຢືນຢັນທີ່ເຂັ້ມແຂງ ແລະຕິດຕາມກິດຈະກໍາທີ່ໜ້າສົງໄສ.
5.ການຕອບໂຕ້ເຫດການ
5.1ລາຍງານເຫດການ:
-
-
- ພະນັກງານ ແລະຜູ້ຮັບເໝົາຈະໄດ້ຮັບການຝຶກອົບຮົມໃຫ້ລາຍງານເຫດການຄວາມປອດໄພ, ການລະເມີດ ຫຼືການເຄື່ອນໄຫວທີ່ໜ້າສົງໄສໃນທັນທີຕໍ່ກັບຈຸດທີ່ກຳນົດໄວ້.
- ຂັ້ນຕອນການລາຍງານເຫດການຈະໄດ້ຮັບການຕິດຕໍ່ຢ່າງຈະແຈ້ງແລະການທົບທວນຄືນເປັນໄລຍະເພື່ອຮັບປະກັນການຕອບສະຫນອງທັນທີແລະການແກ້ໄຂ.
-
5.2ທີມງານຕອບໂຕ້ເຫດການ:
-
-
- ທີມງານຕອບໂຕ້ເຫດການຈະຖືກແຕ່ງຕັ້ງເພື່ອຈັດການກັບເຫດການຄວາມປອດໄພ, ສືບສວນການລະເມີດ, ແລະປະສານງານການປະຕິບັດທີ່ເຫມາະສົມ.
- ບົດບາດ ແລະຄວາມຮັບຜິດຊອບຂອງສະມາຊິກທີມຈະຖືກກຳນົດ, ແລະຂໍ້ມູນການຕິດຕໍ່ຂອງເຂົາເຈົ້າຈະມີໃຫ້ພ້ອມ.
-
5.3ການຟື້ນຟູເຫດການ ແລະບົດຮຽນທີ່ໄດ້ຮຽນຮູ້:
-
-
- ຈະດໍາເນີນການທັນທີເພື່ອຫຼຸດຜ່ອນຜົນກະທົບຂອງເຫດການຄວາມປອດໄພແລະການຟື້ນຟູລະບົບແລະຂໍ້ມູນທີ່ຖືກກະທົບ.
- ພາຍຫຼັງເກີດເຫດການແຕ່ລະຄັ້ງ, ຈະໄດ້ມີການກວດກາຄືນຫຼັງເຫດການເພື່ອກຳນົດບົດຮຽນ ແລະ ປະຕິບັດການປັບປຸງທີ່ຈຳເປັນ ເພື່ອປ້ອງກັນເຫດການທີ່ຄ້າຍຄືກັນໃນອະນາຄົດ.
-
6.ຄວາມປອດໄພທາງຮ່າງກາຍ
6.1ການຄວບຄຸມການເຂົ້າເຖິງ:
-
- ການເຂົ້າເຖິງສູນຂໍ້ມູນ, ຫ້ອງເຊີບເວີ, ແລະພື້ນທີ່ສຳຄັນອື່ນໆຈະຖືກຈຳກັດໃຫ້ສະເພາະບຸກຄະລາກອນທີ່ໄດ້ຮັບອະນຸຍາດເທົ່ານັ້ນ.
- ກົນໄກການຄວບຄຸມການເຂົ້າເຖິງເຊັ່ນ: ການກວດສອບຄວາມຖືກຕ້ອງທາງຊີວະມິຕິ, ບັດສໍາຄັນ, ແລະການເຝົ້າລະວັງ CCTV ຈະຖືກປະຕິບັດຕາມຄວາມເຫມາະສົມ.
6.2ການປົກປ້ອງອຸປະກອນ:
-
- ອຸປະກອນຄອມພິວເຕີທັງໝົດ, ສື່ເກັບຂໍ້ມູນ, ແລະອຸປະກອນເຄື່ອນທີ່ຈະຖືກປ້ອງກັນຈາກການລັກ, ການສູນເສຍ ຫຼືການເຂົ້າເຖິງໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ.
- ພະນັກງານຈະໄດ້ຮັບການຝຶກອົບຮົມໃຫ້ເກັບຮັກສາແລະຈັດການອຸປະກອນຢ່າງປອດໄພ, ໂດຍສະເພາະໃນເວລາທີ່ເຮັດວຽກຫ່າງໄກສອກຫຼີກຫຼືເດີນທາງ.
7.ການຝຶກອົບຮົມແລະການປູກຈິດສໍານຶກ
7.1 ການຝຶກອົບຮົມຄວາມຮັບຮູ້ດ້ານຄວາມປອດໄພ:
-
- ການຝຶກອົບຮົມການປູກຈິດສໍານຶກດ້ານຄວາມປອດໄພເປັນປົກກະຕິຈະຖືກສະຫນອງໃຫ້ກັບພະນັກງານແລະຜູ້ຮັບເຫມົາທັງຫມົດເພື່ອສຶກສາໃຫ້ເຂົາເຈົ້າກ່ຽວກັບການປະຕິບັດທີ່ດີທີ່ສຸດ, ນະໂຍບາຍ, ແລະຂັ້ນຕອນຄວາມປອດໄພ.
- ກອງປະຊຸມຝຶກອົບຮົມຈະກວມເອົາຫົວຂໍ້ເຊັ່ນ: ຄວາມປອດໄພລະຫັດຜ່ານ, ການຮັບຮູ້ການຫຼອກລວງ, ການຈັດການຂໍ້ມູນ, ແລະການລາຍງານເຫດການ.
7.2 ການຮັບຮູ້ນະໂຍບາຍ:
-
- ພະນັກງານ ແລະຜູ້ຮັບເໝົາທັງໝົດຈະຕ້ອງກວດກາຄືນ ແລະຮັບຮູ້ຄວາມເຂົ້າໃຈຂອງເຂົາເຈົ້າ ແລະປະຕິບັດຕາມນະໂຍບາຍຄວາມປອດໄພນີ້.
- ການຮັບຮູ້ຈະໄດ້ຮັບການປັບປຸງເປັນປົກກະຕິແລະຮັກສາເປັນສ່ວນຫນຶ່ງຂອງບັນທຶກບຸກຄະລາກອນ.
8.ການທົບທວນຄືນນະໂຍບາຍແລະການປັບປຸງ
ນະໂຍບາຍຄວາມປອດໄພນີ້ຈະໄດ້ຮັບການທົບທວນຄືນເປັນໄລຍະແລະປັບປຸງຕາມຄວາມຈໍາເປັນເພື່ອສະທ້ອນໃຫ້ເຫັນການປ່ຽນແປງເຕັກໂນໂລຊີ, ລະບຽບການ, ຫຼືຄວາມຕ້ອງການທຸລະກິດ. ພະນັກງານ ແລະຜູ້ຮັບເໝົາທັງໝົດຈະຖືກແຈ້ງໃຫ້ຊາບກ່ຽວກັບການອັບເດດໃດໆກໍຕາມ, ແລະການປະຕິບັດຕາມນະໂຍບາຍສະບັບປັບປຸງຈະມີຄວາມຈຳເປັນ.
ໂດຍການປະຕິບັດແລະການບັງຄັບໃຊ້ນະໂຍບາຍຄວາມປອດໄພນີ້, ພວກເຮົາມີຈຸດປະສົງເພື່ອປົກປ້ອງທຸລະກິດອອນໄລນ໌ຂາຍສົ່ງຂອງພວກເຮົາ, ຂໍ້ມູນລູກຄ້າ, ແລະຮັກສາຄວາມໄວ້ວາງໃຈຂອງຄູ່ຮ່ວມງານແລະລູກຄ້າຂອງພວກເຮົາ.