ข้อที่ 3 การใช้อุปกรณ์สื่อสารประเภทพกพา (Mobile Device)
1. อุปกรณ์พกพา ได้แก่ เครื่องคอมพิวเตอร์พกพา (Laptop Computer) สมาร์ทโฟน (Smartphone) แท็บเล็ต (Tablet) เป็นต้น
2. สื่อบันทึกข้อมูล ได้แก่ สื่อบันทึกข้อมูลทั่วไป เช่น ซีดีรอม (CD- ROM) ดีวีดีรอม (DVD-ROM) และสื่อบันทึกข้อมูลที่เคลื่อนย้ายได้ (Removable Media) ได้แก่ ฮาร์ดดิสก์ภายนอก (External Hard Disk) ทัมไดรฟ์ (Thumb Drive) ซีดีรอม (CD- ROM) ดีวีดีรอม (DVD-ROM) เป็นต้น
3. บุคลากรที่มีความจำเป็นต้องใช้งานอุปกรณ์พกพา หรือสื่อบันทึกข้อมูลที่เคลื่อนย้ายได้ โดยอุปกรณ์นั้นเป็นทรัพย์สินของบริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด จะต้องมีการดำเนินการขออนุมัติเพื่อยืมอุปกรณ์ และต้องได้รับการอนุมัติก่อนนำไปใช้งาน และต้องดำเนินการคืนอุปกรณ์เหล่านั้นแก่ บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด เมื่อเสร็จสิ้นการใช้งาน
4. กรณีบุคลากรนำอุปกรณ์พกพาส่วนบุคคลซึ่งไม่ได้เป็นทรัพย์สินของบริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด มาใช้ภายในบริษัท แบ่งเป็น 2 กรณี ดังนี้
(ก) อุปกรณ์พกพาส่วนบุคคลที่ใช้ในการปฏิบัติงานประจำ และสามารถเข้าถึงระบบสารสนเทศของ บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด ได้ จะต้อง
– มีการลงทะเบียนเพื่อขอใช้บริการเครือข่าย และระบบสารสนเทศของ บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด และต้องผ่านการพิสูจน์ตัวตนทุกครั้งก่อนการเข้าใช้งาน
– ได้รับสิทธิการเข้าถึงระบบเฉพาะที่เกี่ยวข้องกับการปฏิบัติงานของตนเอง และต้องได้รับการอนุมัติจากผู้มีอำนาจ
– มีการควบคุมการตั้งรหัสผ่านตามที่ระบุในส่วนที่ 6 การใช้รหัสผ่านของนโยบายฉบับนี้
(ข) อุปกรณ์พกพาส่วนบุคคลที่นำมาใช้งานชั่วคราว จะต้อง
– มีการลงทะเบียนเพื่อขอใช้บริการเครือข่ายไร้สายของ บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด และต้องผ่านการพิสูจน์ตัวตนทุกครั้งก่อนการเข้าใช้งาน
– ไม่สามารถใช้ทรัพยากรต่างๆ ในระบบเทคโนโลยีสารสนเทศของ บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด ได้ โดยเจ้าหน้าที่งานสนับสนุนทางเทคนิคจะอนุญาตให้อุปกรณ์พกพาส่วนบุคคลใช้บริการได้เฉพาะระบบอินเทอร์เน็ตเท่านั้น
– ควรมีการตั้งรหัสผ่านลงบนอุปกรณ์พกพา
5. จัดให้มีระบบเครือข่ายที่มีความปลอดภัย และระบบเฝ้าระวังในการเข้าใช้งาน
6. การจัดเก็บข้อมูลเพื่อใช้ปฏิบัติงานของ บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด บนอุปกรณ์พกพา หรือสื่อบันทึกข้อมูล ทั้งที่เป็นทรัพย์สินของ บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด และทรัพย์สินส่วนบุคคลบุคลากรจะต้องเข้มงวดในการป้องกัน และรักษาความปลอดภัยไม่ว่าจะอยู่ภายใน บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด หรือในที่สาธารณะใดๆ
7. ต้องมีความระมัดระวัง และหลีกเลี่ยงการละทิ้งอุปกรณ์ หรือสื่อบันทึกข้อมูลในที่สาธารณะ หรือในที่สามารถพบเห็นและหยิบง่าย
8. บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด มีสิทธิในการตรวจสอบอุปกรณ์พกพา หรือสื่อบันทึกข้อมูล ทั้งที่เป็นทรัพย์สินของบริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด และทรัพย์สินส่วนบุคคล
ข้อที่ 4 การใช้คอมพิวเตอร์ทำงานจากระยะไกล (Teleworking)
1. พนักงานต้องไม่นำชื่อบัญชีผู้ใช้งานให้บุคคลอื่นใช้งาน และต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้น
2. พนักงานต้องลงทะเบียนการใช้งานตามเอกสาร ISMS-PD-14-MIS_แนวปฏิบัติในการเข้าถึงจากระยะไกล บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด สงวนสิทธิ์ที่จะระงับการใช้งานระบบ VPN หากมีเหตุสงสัยว่าคอมพิวเตอร์นั้นไม่ปลอดภัยต่อเครือข่าย
3. การใช้งานระบบ VPN ต้องมีการเข้ารหัสที่มีความมั่นคงปลอดภัย หรือตามมาตรฐานสากล เช่น SSL เป็นต้น
ข้อที่ 5 การกำหนดความปลอดภัยด้านทรัพยากรบุคคล (Human Resource Security)
1. มีกระบวนการคัดเลือกบุคลากรอย่างเหมาะสม เช่น การตรวจสอบภูมิหลังของผู้สมัครงานต้องมีการดำเนินการโดยมีความสอดคล้องกับกฎหมาย ระเบียบ ข้อบังคับ และจริยธรรมที่เกี่ยวข้อง และต้องดำเนินการในระดับที่เหมาะสมกับตำแหน่งหน้าที่
2. มีการทำข้อตกลงการปฏิบัติงานตามที่บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด กำหนดไว้ตามสัญญาการจ้างงาน
3. ให้มีการฝึกอบรม ให้ความรู้ และสร้างความตระหนัก ให้ความรู้ และฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ
4. ให้มีกระบวนการในกรณียุติการว่าจ้าง หรือเปลี่ยนแปลงหน้าที่งาน รวมทั้งการยกเลิกสิทธิการเข้าถึงระบบเทคโนโลยีสารสนเทศ และระบบเครือข่ายของบริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด และการส่งคืนทรัพย์สิน เมื่อหมดภาระหน้าที่