ข้อที่ 23 การบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศในการบริหารจัดการโครงการ (Information Security Project Management)
1. ผู้บริหารระดับฝ่ายต้องกำหนดให้มีการควบคุมความเสี่ยง การติดตามการดำเนินงานโครงการ รวมถึงการประเมินภาพรวมในการดำเนินงานโครงการ ทั้งโครงการที่เป็นโครงการภายใน และโครงการที่จัดซื้อจัดจ้างจากหน่วยงานภายนอก
2. เจ้าของโครงการควรกำหนดข้อตกลง และความต้องการด้านความมั่นคงปลอดภัยสารสนเทศที่สอดคล้องกับนโยบายด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และระเบียบปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ รวมถึงกฎระเบียบ หรือข้อบังคับต่างๆ ที่เกี่ยวข้องของบริษัทฯ ไว้ในข้อตกลง หรือสัญญาของโครงการ
3. เจ้าของโครงการควรกำหนดบทลงโทษเมื่อผู้ดำเนินงานไม่ปฏิบัติตามนโยบายด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และระเบียบปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ รวมถึงกฎระเบียบ หรือข้อบังคับต่างๆ ที่เกี่ยวข้อง
ข้อที่ 24 การควบคุมการเข้าถึง (Access Control)
1. บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัดต้องกำหนดวิธีการบริหารจัดการการลงทะเบียน และถอดถอนสิทธิผู้ใช้งานอย่างเป็นลายลักษณ์อักษร และปรับปรุงให้เป็นปัจจุบันเสมอ รวมถึงสื่อสารให้ผู้ใช้งานภายในบริษัทรับทราบ และปฏิบัติตาม
2. บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด และเจ้าของข้อมูล ต้องกำหนดให้มีการมอบหมายหรือกำหนดสิทธิ์การใช้งานให้แก่ผู้ใช้งานในการเข้าถึงข้อมูล หรือระบบสารสนเทศตามหน้าที่ความรับผิดชอบ
3. บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด ต้องมีการบริหารจัดการรหัสผู้ใช้งานที่มีสิทธิ์ระดับสูง
4. บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด ต้องกำหนดวิธีการบริหารจัดการข้อมูลความลับสำหรับการพิสูจน์ตัวตนของผู้ใช้
ข้อที่ 25 ความมั่นคงปลอดภัยสารสนเทศด้านการสื่อสาร (Communication Security)
1. ผู้ดูแลระบบ ต้องควบคุม กำกับให้มีการบริหารจัดการการควบคุมเครือข่ายคอมพิวเตอร์ เพื่อป้องกันภัยคุกคาม และมีการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ และแอพพลิเคชั่นที่ทำงานบนเครือข่ายคอมพิวเตอร์ รวมทั้งข้อมูลสารสนเทศที่มีการแลกเปลี่ยนบนเครือข่าย
2. ผู้ดูแลระบบ ต้องควบคุมให้มีการกำหนดคุณสมบัติทางด้านความมั่นคงปลอดภัย ระดับของการให้บริการ และความต้องการด้านการบริหารจัดการของการให้บริการเครือข่ายทั้งหมด ลงในข้อตกลงหรือสัญญาการให้บริการด้านเครือข่ายต่างๆ ทั้งที่เป็นการให้บริการจากภายในหรือภายนอก
3. บริษัท เอเพ็กซ์ เซอร์คิต (ไทยแลนด์) จำกัด ต้องจัดให้มีการแบ่งแยกระบบเครือข่ายคอมพิวเตอร์ตามความเหมาะสม โดยต้องพิจารณาถึงความต้องการของผู้ใช้งานในการเข้าถึงระบบเครือข่าย ผลกระทบทางด้านความมั่นคงปลอดภัยสารสนเทศ และระดับความสำคัญของข้อมูลที่อยู่บนเครือข่ายนั้น
ข้อที่ 26 การบริหารจัดการความเสี่ยง (Risk Management)
1. บริษัทดำเนินการบริหารจัดการ และแสวงหาโอกาส ภายใต้ระดับความเสี่ยงที่ยอมรับได้ เพื่อให้บรรลุวัตถุประสงค์ในการดำเนินงาน และวัตถุประสงค์ของบริษัท
2. กำหนดกลยุทธ์ของบริษัทให้สอดคล้องกับระดับความเสี่ยงที่ยอมรับได้ซึ่งกำหนดโดยผู้บริหารระดับสูง
3. กำหนดให้มีการติดตามการบริหารจัดการความเสี่ยง เพื่อให้มั่นใจว่าความเสี่ยงของบริษัทมีการจัดการที่เหมาะสมอย่างต่อเนื่อง โดยกรอบการบริหารจัดการความเสี่ยงให้อ้างอิงเอกสาร ISMS-PD-03-MIS_แนวปฏิบัติการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ