การคุ้มครองข้อมูล ความมั่นคงปลอดภัยสารสนเทศ และการดำเนินงานที่พร้อมสำหรับการตรวจสอบ
องค์กรที่ดำเนินงานในประเทศไทยถูกคาดหวังให้คุ้มครองข้อมูลส่วนบุคคล รักษาความปลอดภัยของระบบสารสนเทศ และแสดงให้เห็นถึงการควบคุมด้านความปลอดภัยที่เหมาะสมและสามารถตรวจสอบได้
ลูกค้า คู่ค้า และหน่วยงานกำกับดูแล ต่างให้ความสำคัญกับการปฏิบัติตามมาตรฐานที่เป็นที่ยอมรับ มากกว่าการดำเนินการแบบไม่เป็นทางการหรือเฉพาะกิจ
บริการแบบมีการจัดการของเราได้รับการออกแบบมาเพื่อสนับสนุนการปฏิบัติตาม พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย (PDPA) และมาตรฐาน ISO/IEC 27001:2022 โดยมอบแนวทางด้านความปลอดภัยและการคุ้มครองข้อมูลที่เป็นระบบ มีหลักฐานรองรับ และสอดคล้องกับแนวทาง Shared Responsibility Model
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) – ประเทศไทย
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กำหนดข้อกำหนดเกี่ยวกับวิธีการเก็บรวบรวม ใช้ จัดเก็บ และคุ้มครองข้อมูลส่วนบุคคลในประเทศไทย
แม้ว่าผลลัพธ์ด้านการปฏิบัติตาม PDPA จะยังคงเป็นความรับผิดชอบขององค์กร แต่บริการของเราช่วยสนับสนุนภาระหน้าที่ตาม PDPA ผ่านมาตรการควบคุมทั้งด้านเทคนิคและการดำเนินงาน
บริการของเราสนับสนุน PDPA อย่างไร
การควบคุมการเข้าถึงข้อมูล
เราสนับสนุนการควบคุมสิทธิ์การเข้าถึงตามบทบาทหน้าที่ (Role-Based Access Control) และการจัดการวงจรชีวิตผู้ใช้งาน (User Lifecycle Management) เพื่อช่วยลดความเสี่ยงจากการเข้าถึงข้อมูลส่วนบุคคลโดยไม่ได้รับอนุญาต
การเฝ้าระวังด้านความปลอดภัยและการตรวจจับเหตุการณ์
เรามีระบบเฝ้าระวังที่ออกแบบมาเพื่อตรวจจับเหตุการณ์ด้านความปลอดภัยที่อาจส่งผลกระทบต่อข้อมูลส่วนบุคคล ช่วยให้สามารถตอบสนองและควบคุมเหตุการณ์ได้ตั้งแต่ระยะเริ่มต้น
การสนับสนุนการตอบสนองต่อเหตุข้อมูลรั่วไหล
เมื่อมีข้อสงสัยหรือยืนยันแล้วว่าเกิดเหตุข้อมูลส่วนบุคคลรั่วไหล เราให้การสนับสนุนในด้านต่าง ๆ ดังนี้:
การสอบสวนและวิเคราะห์เหตุการณ์
การดำเนินการควบคุมและจำกัดผลกระทบของเหตุการณ์
การแจ้งเหตุให้ลูกค้าทราบอย่างทันท่วงที
การรวบรวมหลักฐานเพื่อสนับสนุนข้อกำหนดการแจ้งเหตุภายใต้ PDPA
ความถูกต้องครบถ้วนและความพร้อมใช้งานของข้อมูล
ผ่านการควบคุมด้านการสำรองข้อมูล การกู้คืนระบบ และความต่อเนื่องทางธุรกิจ เราสนับสนุนให้ข้อมูลส่วนบุคคลมีความพร้อมใช้งานและคงไว้ซึ่งความถูกต้องครบถ้วน สอดคล้องกับความคาดหวังตาม PDPA
ความสอดคล้องกับมาตรฐาน ISO/IEC 27001:2022
มาตรฐาน ISO/IEC 27001:2022 เป็นมาตรฐานสากลที่ได้รับการยอมรับสำหรับระบบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System – ISMS)
แม้ว่าการได้รับการรับรองจะไม่ใช่ข้อบังคับในการนำมาตรฐานนี้มาใช้ แต่การดำเนินงานให้สอดคล้องกับมาตรฐานดังกล่าวช่วยสร้างภาษากลางที่เข้าใจตรงกันระหว่างผู้ตรวจสอบ ลูกค้า และพันธมิตรทางธุรกิจ
บริการของเราได้รับการออกแบบมาเพื่อสนับสนุนวัตถุประสงค์ด้านการควบคุมที่สำคัญของมาตรฐาน ISO/IEC 27001:2022 ซึ่งเกี่ยวข้องกับสภาพแวดล้อมด้าน IT แบบมีการจัดการ
ขอบเขตการควบคุมตามมาตรฐาน ISO ที่บริการของเรารองรับ
การควบคุมด้านองค์กรและการดำเนินงาน
การกำหนดบทบาทและความรับผิดชอบอย่างชัดเจน
กระบวนการ Onboarding และ Offboarding ที่มีการควบคุม
การบริหารการเปลี่ยนแปลงและการยกระดับเหตุการณ์ (Incident Escalation)
การควบคุมด้านบุคลากรและการเข้าถึง
การจัดการวงจรชีวิตผู้ใช้งาน (User Lifecycle Management)
การจำกัดและเพิกถอนสิทธิ์การเข้าถึง
การบังคับใช้ข้อกำหนดด้านการรักษาความลับของข้อมูล
การควบคุมด้านเทคนิค
การป้องกันและเฝ้าระวังอุปกรณ์ปลายทาง
การจัดการแพตช์และช่องโหว่ด้านความปลอดภัย
การบันทึกเหตุการณ์ การเฝ้าระวัง และการตอบสนองต่อเหตุการณ์
การควบคุมด้านการสำรองข้อมูลและการกู้คืนระบบ
ความต่อเนื่องทางธุรกิจและความยืดหยุ่นของระบบ (Platinum)
การวางแผนการกู้คืนระบบและการจัดลำดับความสำคัญ
การกำหนดเป้าหมาย RTO / RPO อย่างชัดเจน
การสนับสนุนด้าน Disaster Recovery และความต่อเนื่องทางธุรกิจ
การสนับสนุน PDPA และ ISO แยกตามระดับบริการ
| ขอบเขตความสามารถ | Bronze | Gold | Platinum |
|---|---|---|---|
|
การควบคุมการเข้าถึงและการจัดการวงจรชีวิตผู้ใช้งาน |
◐ |
✔ |
✔ |
|
การเฝ้าระวังด้านความปลอดภัย |
◐ |
✔ |
✔ |
|
การสนับสนุนการตอบสนองต่อเหตุการณ์ |
– |
◐ |
✔ |
|
การสนับสนุนการตอบสนองต่อเหตุข้อมูลรั่วไหล |
– |
◐ |
✔ |
|
การสำรองข้อมูลและความพร้อมใช้งานของข้อมูล |
– |
✔ |
✔ |
|
การสนับสนุนด้านความต่อเนื่องทางธุรกิจ |
– |
◐ |
✔ |
|
หลักฐานสำหรับการตรวจสอบและการจัดทำรายงาน |
– |
◐ |
✔ |
คำอธิบายสัญลักษณ์:: ✔ รวมอยู่ในบริการ | ◐รองรับในขอบเขตจำกัด | — ไม่รวมในบริการ
โมเดลความรับผิดชอบร่วมกัน
การสนับสนุนการปฏิบัติตาม PDPA และ ISO/IEC 27001 ดำเนินการภายใต้แนวทาง โมเดลความรับผิดชอบร่วมกัน (Shared Responsibility Model) ดังนี้:
เรามีความรับผิดชอบต่อการควบคุมระบบภายในขอบเขตของบริการที่ลูกค้าได้สมัครใช้
ลูกค้ายังคงมีความรับผิดชอบด้านการประมวลผลข้อมูลอย่างถูกต้องตามกฎหมาย การกำกับดูแลภายในองค์กร นโยบายต่าง ๆ และการยื่นเอกสารหรือรายงานต่อหน่วยงานกำกับดูแล
แนวทางนี้สอดคล้องกับความคาดหวังของหน่วยงานกำกับดูแลและผู้ตรวจสอบ
ความหมายของการสอดคล้องนี้ (และสิ่งที่ไม่ได้หมายถึง)
สิ่งที่หมายถึง
บริการได้รับการออกแบบมาเพื่อสนับสนุนวัตถุประสงค์ของการควบคุมตาม PDPA และ ISO
การควบคุมระบบถูกนำมาใช้ตามสัดส่วนของระดับบริการ
สามารถจัดเตรียมหลักฐานที่พร้อมสำหรับการตรวจสอบ (Audit-ready Evidence) ได้ในระดับบริการที่สูงขึ้น
สิ่งที่ไม่ได้หมายถึง
การรับประกันการปฏิบัติตามข้อกำหนดหรือการได้รับการรับรองมาตรฐาน
การทดแทนคำปรึกษาด้านกฎหมายหรือข้อกำหนดทางกฎระเบียบ
การรับผิดชอบแทนลูกค้าในด้านการกำกับดูแลและการบริหารองค์กร
เหตุใดการสอดคล้องกับ PDPA และ ISO จึงมีความสำคัญ
ลดความเสี่ยงด้านกฎระเบียบและกฎหมาย
สร้างความเชื่อมั่นให้กับลูกค้าและพันธมิตร
ทำให้การตรวจสอบและกระบวนการ Due Diligence ง่ายและชัดเจนยิ่งขึ้น
เสริมความแข็งแกร่งของระบบความปลอดภัยในระยะยาว
เรียนรู้เพิ่มเติมหรือขอเอกสารประกอบ
เอกสารการเชื่อมโยงการควบคุม รายงานหลักฐานสำหรับการตรวจสอบ และเอกสารด้าน Compliance สามารถจัดเตรียมให้ได้ตามคำร้องขอ ทั้งนี้ขึ้นอยู่กับระดับบริการที่เลือกใช้
ติดต่อเราเพื่อพูดคุยเกี่ยวกับบริการ Managed Services ที่สอดคล้องกับ PDPA และ ISO
