- บทนำ
วัตถุประสงค์ของนโยบายความปลอดภัยนี้คือเพื่อร่างมาตรการและแนวทางปฏิบัติที่ Allamex™ นำมาใช้เพื่อให้มั่นใจถึงการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของระบบและข้อมูลของเรา นโยบายนี้ใช้กับพนักงาน ผู้รับเหมา และหน่วยงานภายนอกทั้งหมดที่สามารถเข้าถึงระบบและข้อมูลของเรา การปฏิบัติตามนโยบายนี้เป็นสิ่งจำเป็นเพื่อปกป้องธุรกิจและข้อมูลลูกค้าของเราจากการเข้าถึง การเปิดเผย การเปลี่ยนแปลง หรือการทำลายโดยไม่ได้รับอนุญาต
- Access Control
2.1บัญชีผู้ใช้:
- บัญชีผู้ใช้จะถูกสร้างขึ้นสำหรับพนักงานและผู้รับเหมาทุกคนที่เข้าถึงระบบธุรกิจค้าส่งออนไลน์
- บัญชีผู้ใช้จะได้รับตามหลักการของสิทธิพิเศษน้อยที่สุด เพื่อให้มั่นใจว่าบุคคลต่างๆ สามารถเข้าถึงเฉพาะทรัพยากรที่จำเป็นต่อการปฏิบัติหน้าที่ของตน
- จะมีการบังคับใช้รหัสผ่านที่รัดกุม โดยต้องมีตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกัน
- การรับรองความถูกต้องด้วยหลายปัจจัย (MFA) จะถูกนำมาใช้กับบัญชีผู้ใช้ทั้งหมดเพื่อเพิ่มความปลอดภัยอีกชั้นหนึ่ง
2.2การเข้าถึงของบุคคลที่สาม:
- การเข้าถึงระบบและข้อมูลของเราโดยบุคคลที่สามจะได้รับอนุญาตตามความจำเป็นเท่านั้น
- หน่วยงานบุคคลที่สามจะต้องลงนามในข้อตกลงการรักษาความลับและปฏิบัติตามมาตรฐานความปลอดภัยและแนวทางปฏิบัติที่สอดคล้องกับของเราเอง
- การคุ้มครองข้อมูล
3.1การจัดประเภทข้อมูล:
-
- ข้อมูลทั้งหมดจะถูกจัดประเภทตามความละเอียดอ่อนและวิกฤตเพื่อกำหนดระดับการป้องกันที่เหมาะสม
- แนวทางการจัดประเภทข้อมูลจะถูกจัดเตรียมให้กับพนักงานเพื่อให้แน่ใจว่ามีการจัดการ จัดเก็บ และส่งข้อมูลอย่างเหมาะสม
3.2การเข้ารหัสข้อมูล:
-
- การส่งข้อมูลที่สำคัญจะถูกเข้ารหัสโดยใช้โปรโตคอลการเข้ารหัสมาตรฐานอุตสาหกรรม เช่น SSL/TLS
- กลไกการเข้ารหัสจะถูกนำมาใช้เพื่อปกป้องข้อมูลที่เหลือ โดยเฉพาะอย่างยิ่งสำหรับข้อมูลที่ละเอียดอ่อนที่จัดเก็บไว้ใน
- ฐานข้อมูลและระบบไฟล์
3.3การสำรองและกู้คืนข้อมูล:
-
- การสำรองข้อมูลที่สำคัญเป็นประจำจะดำเนินการและจัดเก็บอย่างปลอดภัยในสถานที่นอกสถานที่
- ความสมบูรณ์ของการสำรองข้อมูลและกระบวนการกู้คืนจะได้รับการทดสอบเป็นระยะเพื่อให้แน่ใจว่าสามารถกู้คืนข้อมูลได้ในกรณีที่เกิดภัยพิบัติ
4.การรักษาความปลอดภัยเครือข่าย
-
- ไฟร์วอลล์และระบบตรวจจับการบุกรุก:
- ไฟร์วอลล์และระบบตรวจจับการบุกรุกจะถูกปรับใช้เพื่อปกป้องโครงสร้างพื้นฐานเครือข่ายของเราจากการพยายามเข้าถึงโดยไม่ได้รับอนุญาตและกิจกรรมที่เป็นอันตราย
- การตรวจสอบและวิเคราะห์การรับส่งข้อมูลเครือข่ายเป็นประจำจะดำเนินการเพื่อระบุและตอบสนองต่อเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้น
4.1การเข้าถึงระยะไกลที่ปลอดภัย:
-
- การเข้าถึงระบบของเราจากระยะไกลจะได้รับอนุญาตผ่านช่องทางที่ปลอดภัยเท่านั้น เช่น VPN (Virtual Private Networks)
- บัญชีการเข้าถึงระยะไกลจะได้รับการปกป้องโดยกลไกการตรวจสอบสิทธิ์ที่รัดกุมและตรวจสอบกิจกรรมที่น่าสงสัย
5.Incident Response
5.1การรายงานเหตุการณ์:
-
-
- พนักงานและผู้รับจ้างจะได้รับการฝึกอบรมให้รายงานเหตุการณ์ด้านความปลอดภัย การละเมิด หรือกิจกรรมที่น่าสงสัยในทันทีไปยังจุดติดต่อที่กำหนด
- ขั้นตอนการรายงานเหตุการณ์จะได้รับการสื่อสารอย่างชัดเจนและมีการทบทวนเป็นระยะเพื่อให้มั่นใจถึงการตอบสนองและการแก้ไขอย่างทันท่วงที
-
5.2ทีมเผชิญเหตุ:
-
-
- ทีมตอบสนองเหตุการณ์จะถูกมอบหมายให้จัดการกับเหตุการณ์ด้านความปลอดภัย ตรวจสอบการละเมิด และประสานงานการดำเนินการที่เหมาะสม
- จะมีการกำหนดบทบาทและความรับผิดชอบของสมาชิกในทีม และข้อมูลติดต่อของพวกเขาจะพร้อมใช้งาน
-
5.3การกู้คืนเหตุการณ์และบทเรียนที่ได้รับ:
-
-
- การดำเนินการโดยด่วนจะถูกนำมาใช้เพื่อลดผลกระทบของเหตุการณ์ด้านความปลอดภัยและกู้คืนระบบและข้อมูลที่ได้รับผลกระทบ
- หลังจากเหตุการณ์แต่ละครั้ง การทบทวนหลังเหตุการณ์จะถูกดำเนินการเพื่อระบุบทเรียนที่ได้รับและดำเนินการปรับปรุงที่จำเป็นเพื่อป้องกันเหตุการณ์ที่คล้ายคลึงกันในอนาคต
-
6.ความปลอดภัยทางกายภาพ
6.1การควบคุมการเข้าถึง:
-
- การเข้าถึงทางกายภาพไปยังศูนย์ข้อมูล ห้องเซิร์ฟเวอร์ และพื้นที่สำคัญอื่นๆ จะถูกจำกัดไว้สำหรับบุคลากรที่ได้รับอนุญาตเท่านั้น
- กลไกการควบคุมการเข้าถึง เช่น การพิสูจน์ตัวตนด้วยไบโอเมตริกซ์ คีย์การ์ด และการเฝ้าระวังด้วยกล้องวงจรปิดจะถูกนำมาใช้ตามความเหมาะสม
6.2การป้องกันอุปกรณ์:
-
- อุปกรณ์คอมพิวเตอร์ สื่อบันทึกข้อมูล และอุปกรณ์พกพาทั้งหมดจะได้รับการปกป้องจากการโจรกรรม การสูญหาย หรือการเข้าถึงโดยไม่ได้รับอนุญาต
- พนักงานจะได้รับการฝึกอบรมให้จัดเก็บและจัดการอุปกรณ์อย่างปลอดภัย โดยเฉพาะอย่างยิ่งเมื่อทำงานจากระยะไกลหรือขณะเดินทาง
7.การฝึกอบรมและการรับรู้
7.1 การฝึกอบรมความตระหนักด้านความปลอดภัย:
-
- การฝึกอบรมความตระหนักด้านความปลอดภัยเป็นประจำจะจัดให้กับพนักงานและผู้รับเหมาทุกคนเพื่อให้ความรู้แก่พวกเขาเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุด นโยบาย และขั้นตอนด้านความปลอดภัย
- เซสชันการฝึกอบรมจะครอบคลุมหัวข้อต่างๆ เช่น ความปลอดภัยของรหัสผ่าน การรับรู้ฟิชชิ่ง การจัดการข้อมูล และการรายงานเหตุการณ์
7.2 รับทราบนโยบาย:
-
- พนักงานและผู้รับจ้างทุกคนจะต้องตรวจสอบและรับทราบความเข้าใจและการปฏิบัติตามนโยบายความปลอดภัยนี้
- กิตติกรรมประกาศจะได้รับการปรับปรุงและคงไว้เป็นส่วนหนึ่งของบันทึกบุคลากรอย่างสม่ำเสมอ
8.การทบทวนนโยบายและการปรับปรุง
นโยบายความปลอดภัยนี้จะได้รับการตรวจสอบเป็นระยะและปรับปรุงตามความจำเป็นเพื่อให้สอดคล้องกับการเปลี่ยนแปลงของเทคโนโลยี ข้อบังคับ หรือข้อกำหนดทางธุรกิจ พนักงานและผู้รับเหมาทุกคนจะได้รับแจ้งเกี่ยวกับการปรับปรุงใดๆ และจะต้องปฏิบัติตามนโยบายที่แก้ไขใหม่
ด้วยการใช้และบังคับใช้นโยบายความปลอดภัยนี้ เรามีเป้าหมายที่จะปกป้องธุรกิจค้าส่งออนไลน์ ข้อมูลลูกค้า และรักษาความไว้วางใจจากพันธมิตรและลูกค้าของเรา