ข้อที่ 1 หน้าที่ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security Responsibilities)
1. พนักงานมีหน้าที่ในการรักษาความปลอดภัยของระบบข้อมูลให้เป็นไปตามข้อกำหนดการรักษาความมั่นคงปลอดภัยฉบับนี้
2. ผู้บังคับบัญชาทุกระดับชั้นมีหน้าที่ และความรับผิดชอบในการกำกับดูแลผู้ใต้บังคับบัญชาให้ปฏิบัติตามข้อกำหนดฉบับนี้อย่างเคร่งครัด
3. พนักงานที่มีการกระทำที่ละเมิดกฎหมาย เช่น พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (ฉบับที่ 2) พ.ศ. 2560 หรือ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายอื่นๆ หรือละเมิดความปลอดภัยด้านสารสนเทศของบริษัทฯ โดยข้อเท็จจริงของการกระทำที่ส่อเจตนาในทางที่ไม่เหมาะสมให้ถือเป็นความผิดทางวินัย
ข้อที่ 2 หน้าที่ของผู้ดูแลระบบเทคโนโลยีสารสนเทศ (Administrator Responsibilities)
1. ต้องใช้บัญชีผู้ใช้งาน และรหัสผ่านของตนเองในการควบคุมดูแลระบบเทคโนโลยีสารสนเทศ หรือหากมีความจำเป็นหรือมีข้อจำกัดบางประการ ต้องมีการกำหนดการควบคุมการใช้งาน และมีการมอบหมายอย่างเป็นลายลักษณ์อักษรไว้
2. ดูแลรักษา และปรับปรุงระบบคอมพิวเตอร์ เพื่อให้สามารถใช้งานได้ตามความชำนาญ และสอดส่องดูแลการใช้งานเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ เครือข่ายคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์ให้เป็นไปตามนโยบายฉบับนี้
3. สำรองข้อมูลสำคัญทางธุรกิจที่อยู่ในระบบสารสนเทศ (Data) โปรแกรมระบบปฏิบัติการ (Operating System) โปรแกรมระบบงานสารสนเทศ (Application System) และชุดคำสั่ง (Source Code) ให้ครบถ้วนพร้อมใช้งานได้อย่างต่อเนื่อง รวมถึงมีการจัดเก็บสื่อบันทึกข้อมูลสำรองไว้นอกสถานที่ โดยระเบียบปฏิบัติเพิ่มเติมให้อ้างอิงจากเอกสาร ISMS-PD-06-MIS_แนวปฏิบัติการสำรองและทดสอบกู้คืนข้อมูล
4. มีการกำหนดการเข้าถึง หรือควบคุมการใช้งานสารสนเทศตามสิทธิของผู้ใช้งานที่ได้รับผิดตามความเหมาะสม
5. ต้องไม่เข้าถึงข้อมูลส่วนบุคคลของบุคคลใดๆ รวมถึงข้อมูลทางธุรกิจโดยมิชอบ และต้องไม่กระทำการที่เข้าข่ายลักษณะการกระทำความผิดตามกฎหมาย
6. ปฏิบัติตามเอกสาร ISMS-PD-04-MIS_แนวปฏิบัติการควบคุมการเปลี่ยนแปลง หรือแก้ไขระบบ เมื่อมีความจำเป็นต้องเปลี่ยนแปลงอุปกรณ์ระบบคอมพิวเตอร์ อุปกรณ์ระบบคอมพิวเตอร์ เครื่องคอมพิวเตอร์ หรืออุปกรณ์ระบบคอมพิวเตอร์
7. ต้องควบคุม จัดเก็บ ป้องกัน ข้อมูลคอมพิวเตอร์ หรือสารสนเทศให้เป็นไปตามเอกสาร ISMS-PD-05-MIS_แนวปฏิบัติการจัดระดับชั้นความลับ การบ่งชี้ และการจัดการกับสารสนเทศ
8. จัดให้ทำคู่มือ แนวปฏิบัติ หรือสิ่งอื่นใดที่จำเป็นต่อการควบคุม หรือการปฏิบัติการเครื่องคอมพิวเตอร์ อุปกรณ์คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์หรือสารสนเทศ โดยต้องจัดทำเป็นลายลักษณ์อักษรที่อาจอยู่ในรูปสื่อสิ่งพิมพ์ หรืออิเล็กทรอนิกส์ ทั้งนี้ ประเภทหรือจำนวน คู่มือ ขั้นตอนปฏิบัติดังกล่าวให้เป็นไปตามเอกสาร ISMS-PD-05-MIS_แนวปฏิบัติการจัดระดับชั้นความลับ การบ่งชี้ และการจัดการกับสารสนเทศ
9. ตรวจสอบความถูกต้องของข้อมูล เอกสาร หรือรายงานต่างๆ รวมทั้งแก้ไขให้ถูกต้องตามความจำเป็น ก่อนที่จะบันทึกข้อมูล หรือนำออกจากระบบงานของ บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด