บริษัท อาซาฮี เทค อลูมิเนียม (ประเทศไทย) จำกัด มีความมุ่งมั่นที่จะพัฒนาระบบรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศเพื่อให้ผู้ใช้งาน และบุคคลที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ รวมทั้งได้รับทราบเกี่ยวกับหน้าที่ความรับผิดชอบ และแนวทางปฏิบัติในการควบคุมความเสี่ยงด้านต่างๆ จึงจัดให้มีนโยบายรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศขึ้น

วัตถุประสงค์

  1. เพื่อกำหนดและประกาศนโยบาย แนวทางปฏิบัติ ข้อกำหนด และขั้นตอนปฏิบัติ ให้ผู้บริหาร พนักงาน ผู้ดูแลระบบ บุคคลภายนอกผู้ปฏิบัติงานให้กับบริษัทฯ และผู้ที่มีส่วนเกี่ยวข้อง ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยสารสนเทศ และปฏิบัติตามอย่างเหมาะสม
  2. เพื่อให้กำหนดขอบเขตของการดำเนินการรักษาความมั่นคงปลอดภัยสารสนเทศเป็นไปตามมาตรฐานสากล และสอดคล้องกับข้อกำหนดทางกฏหมาย และระเบียบปฏิบัติที่เกี่ยวข้อง
  3. เพื่อให้เกิดความเชื่อมั่นว่าบริษัทฯ มีการรักษาความมั่นคงปลอดภัยสารสนเทศเป็นไปตามหลักการความลับ (Confidentiality) – สามารถเข้าถึงข้อมูลได้เฉพาะผู้ที่มีสิทธิ, ความคงสภาพ (Integrity) – ข้อมูลมีความครบถ้วนถูกต้อง และความพร้อมใช้ (Availability) – สามารถเข้าถึงได้เมื่อผู้ใช้งานต้องการ
  4. เพื่อเผยแพร่ให้พนักงานและผู้ใช้งานสารสนเทศของบริษัทฯ ได้รับทราบและถือปฏิบัติอย่างเคร่งครัด

เพื่อให้ปฏิบัติบรรลุวัตถุประสงค์ตามนโยบาย ทางบริษัทฯ มีการกำหนดแนวทางปฏิบัติดังนี้

  1. จัดให้มีนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศที่มีนโยบาย แนวทางปฏิบัติ ข้อกำหนด และขั้นตอนปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เป็นลายลักษณ์อักษร โดยสอดคล้องตามกฏหมาย หลักการ มาตรฐานสากล ของการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
  2. จัดให้ข้อมูลสารสนเทศ ระบบเทคโนโลยีสารสนเทศ อุปกรณ์เทคโนโลยีสารสนเทศ สถานที่และสิ่งแวดล้อมที่เกี่ยวข้องกับสารสนเทศ การพัฒนาและบำรุงรักษาระบบสารสนเทศ และสิ่งใดๆ ที่เกี่ยวข้องกับสารสนเทศ มีการรักษาความมั่นคงปลอดภัยอย่างเหมาะสมและเพียงพอ และมีการควบคุมการเข้าถึงที่กำหนดอย่างชัดเจนตามหลักการของความต้องการในการใช้งานที่เหมาะสมและมั่นคงปลอดภัย
  3. จัดให้มีระบบสำรองข้อมูล ระบบกู้คืนข้อมูล และระบบสำรองที่ใช้ทดแทนระบบเทคโนโลยีสารสนเทศหลักในกรณีฉุกเฉิน โดยระบบสำรองต้องอยู่ในสภาพพร้อมใช้ และมีการจัดทำแผนเตรียมความพร้อมกรณีฉุกเฉิน
  4. จัดให้มีการตรวจสอบและการประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ โดยมีแนวทางที่สอดคล้องกับการบริหารความเสี่ยงของบริษัทฯ จัดให้มีการตรวจสอบและดำเนินการแก้ไข เมื่อมีเหตุการณ์ที่ละเมิดความมั่นคงปลอดภัยเกิดขึ้น พร้อมทั้งดำเนินการป้องกันไม่ให้เกิดซ้ำ และให้รายงานและทำบันทึกไว้อย่างชัดเจน
  5. จัดให้ผู้ใช้งานข้อมูลสารสนเทศ ได้รับความรู้เรื่องนโยบาย แนวทางปฏิบัติ มาตรฐาน และระเบียบเกี่ยวกับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ โดยผู้ใช้บริการจะต้องยึดถือและปฏิบัติตามอย่างเคร่งครัด

บทบาทและหน้าที่

  • ผู้บริหาร/ผู้บังคับบัญชา เป็นผู้รับผิดชอบในการสนับสนุนให้ผู้ใช้บริการภายใต้บังคับบัญชาปฏิบัติตามนโยบาย ข้อกำหนด แนวทางปฏิบัติ ขั้นตอนปฏิบัติ และเอกสารใดๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยด้านสารสนเทศ
  • ฝ่ายเทคโนโลยีสารสนเทศ เป็นผู้รับผิดชอบในการพัฒนา (จัดทำ ปรับปรุง ทบทวน เผยแพร่) นโยบาย ข้อกำหนด แนวทางปฏิบัติ ขั้นตอนปฏิบัติ และเอกสารใดๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยด้านสารสนเทศ
  • พนักงาน/ผู้ใช้งานระบบสารสนเทศ จะต้องปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ รวมทั้งข้อกำหนด แนวทางปฏิบัติ ขั้นตอนปฏิบัติ และเอกสารใดๆ ที่เกี่ยวข้องกับนโยบายดังกล่าว การละเลยหรือฝ่าฝืนการปฏิบัติตามจะต้องได้รับโทษทางวินัยตามระเบียบข้อบังคับที่ทางบริษัทฯ กำหนดไว้

การทบทวนและปรับปรุงนโยบาย

  บริษัทฯ จะมีการทบทวนและปรับปรุงนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง หรือเมื่อเกิดเหตุการณ์การเปลี่ยนแปลงที่มีผลกระทบต่อนโยบายอย่างมีวินัยสำคัญ

จึงประกาศมาเพื่อทราบและถือปฏิบัติโดยทั่วกัน

 

ประกาศ ณ วันที่ 27 กันยายน 2566

นาย ชิเกะอะคิ โอดะ

ประธานบริษัทฯ