ข้อที่ 19 การรายงานเหตุการณ์ด้านความมั่นคงปลอดภัย (Information Security Reporting)
1. เมื่อพบเหตุการณ์ด้านความมั่นคงปลอดภัย ให้รีบรายงานเหตุการณ์นั้นไปยัง ผู้ดำเนินการให้ความช่วยเหลือ โดยเร็วที่สุด
2. ให้ความร่วมมือ และประสานงานกับผู้ดำเนินการให้ความช่วยเหลือ ในการดำเนินการจัดการกับเหตุการณ์นั้น
ข้อที่ 20 การบริหารความต่อเนื่องของธุรกิจ (Business Continuity Management)
1. พนักงานต้องให้ความร่วมมือในการซ้อมแผนการดำเนินธุรกิจอย่างต่อเนื่อง ตามที่ระบุในเอกสาร ISMS-PD-11-MIS_แนวปฏิบัติการบริหารจัดการความต่อเนื่องทางธุรกิจ หรือแผนการอื่นที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ
2. ดำเนินการซ้อมแผนการดำเนินธุรกิจอย่างต่อเนื่องอย่างน้อยปีละ 1 ครั้ง
ข้อที่ 21 การรับมือเหตุการณ์ผิดปกติทางไซเบอร์ (Cyber Security Management)
1. ต้องมีมาตรการในการเตรียมความพร้อมสำหรับเหตุการณ์ด้านความปลอดภัยไซเบอร์ (Preparing for a Cyber Security Incident)
2. ต้องมีมาตรการในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ (Responding to Cyber Security Incident)
3. ต้องมีการติดตามสถานการณ์ด้านความปลอดภัยทางไซเบอร์ (Following up the Cyber Security Incident)
ข้อที่ 22 การใช้บริการ Cloud Computing อย่างปลอดภัย (Cloud Computing Security)
1. ต้องกำหนดกลยุทธ์ และนโยบายการใช้บริการ Cloud Computing สำหรับผู้ให้บริการภายนอก
2. ต้องมีแนวทางในการบริหารความเสี่ยงที่เกี่ยวข้องกับการใช้บริการ Cloud Computing
3. ต้องมีการบริหารจัดการผู้ให้บริการ Cloud Computing จากภายนอก
4. ต้องมีการรักษาความปลอดภัย และความลับของระบบงาน และข้อมูลของการใช้บริการ Cloud Computing
5. ต้องมีการดำเนินการเพื่อให้มั่นใจว่าระบบงาน และข้อมูลของการใช้ระบริการ Cloud Computing มีความถูกต้องเชื่อถือได้
6. ต้องมีการดำเนินการเพื่อให้มั่นใจถึงความพร้อมใช้ของการใช้บริการ Cloud Computing
7. ต้องมีการดำเนินการเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลที่ครอบคลุมถึงผู้ใช้บริการของบริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด