นโยบายความปลอดภัย
มาตรการรักษาความมั่นคงปลอดภัยของเว็บไซต์และข้อมูลผู้ใช้
ความมั่นคงปลอดภัยของข้อมูล
เราให้ความสำคัญกับการรักษาความปลอดภัยของข้อมูลและระบบเว็บไซต์ โดยใช้มาตรการรักษาความปลอดภัยที่ทันสมัยและเป็นมาตรฐานสากล
1. บทนำ
มูลนิธิรณรงค์เพื่อการไม่สูบบุหรี่ มุ่งมั่นในการรักษาความปลอดภัย และความมั่นคงของระบบสารสนเทศและข้อมูลของผู้ใช้บริการ
นโยบายนี้กำหนดแนวทางและมาตรการรักษาความปลอดภัยที่เราใช้เพื่อปกป้องข้อมูล และระบบเว็บไซต์จากภัยคุกคามต่างๆ
2. วัตถุประสงค์ด้านความปลอดภัย
ความลับ (Confidentiality)
ปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต
ความถูกต้อง (Integrity)
รักษาความถูกต้องและครบถ้วนของข้อมูล
ความพร้อมใช้ (Availability)
รับประกันการเข้าถึงบริการได้ตลอดเวลา
3. มาตรการรักษาความปลอดภัยทางเทคนิค
3.1 การเข้ารหัสข้อมูล
- ใช้ SSL/TLS Certificate สำหรับการเข้ารหัสการสื่อสารระหว่างเบราว์เซอร์และเซิร์ฟเวอร์
- เข้ารหัสข้อมูลส่วนบุคคลที่เก็บในฐานข้อมูล
- ใช้อัลกอริทึมการเข้ารหัสที่เป็นมาตรฐานสากล
- จัดการกุญแจการเข้ารหัสอย่างปลอดภัย
3.2 การควบคุมการเข้าถึง
- ระบบยืนยันตัวตนแบบหลายขั้นตอน (Multi-Factor Authentication)
- การกำหนดสิทธิ์การเข้าถึงตามหน้าที่ (Role-Based Access Control)
- การตรวจสอบและบันทึกการเข้าถึงระบบ
- การล็อกบัญชีผู้ใช้เมื่อมีการพยายามเข้าสู่ระบบผิดหลายครั้ง
3.3 การป้องกันการโจมตี
- Web Application Firewall (WAF) เพื่อป้องกันการโจมตีทางเว็บ
- การป้องกัน DDoS (Distributed Denial of Service)
- การตรวจสอบช่องโหว่ด้านความปลอดภัยอย่างสม่ำเสมอ
- การอัปเดตระบบและซอฟต์แวร์เป็นประจำ
4. มาตรการรักษาความปลอดภัยด้านการบริหารจัดการ
4.1 นโยบายและขั้นตอนการปฏิบัติ
- กำหนดนโยบายความปลอดภัยที่ชัดเจนและครอบคลุม
- จัดทำขั้นตอนการปฏิบัติงานด้านความปลอดภัย
- ทบทวนและปรับปรุงนโยบายเป็นประจำ
- การจัดการเหตุการณ์ด้านความปลอดภัย
4.2 การฝึกอบรมและสร้างความตระหนัก
- ฝึกอบรมเจ้าหน้าที่เกี่ยวกับความปลอดภัยสารสนเทศ
- สร้างความตระหนักเรื่องภัยคุกคามทางไซเบอร์
- การทดสอบความรู้และทักษะด้านความปลอดภัย
- การสื่อสารนโยบายความปลอดภัยให้ทุกคนทราบ
5. มาตรการรักษาความปลอดภัยทางกายภาพ
- ควบคุมการเข้าถึงห้องเซิร์ฟเวอร์และอุปกรณ์เครือข่าย
- ระบบสำรองไฟฟ้าและระบบปรับอากาศ
- ระบบตรวจจับและดับเพลิงอัตโนมัติ
- กล้องวงจรปิดและระบบเตือนภัย
- การจัดเก็บและทำลายข้อมูลอย่างปลอดภัย
6. การสำรองและกู้คืนข้อมูล
6.1 การสำรองข้อมูล
- สำรองข้อมูลอัตโนมัติทุกวันและเก็บไว้หลายสถานที่
- ทดสอบการกู้คืนข้อมูลเป็นประจำ
- เข้ารหัสข้อมูลสำรองเพื่อความปลอดภัย
- จัดเก็บข้อมูลสำรองในระยะเวลาที่เหมาะสม
6.2 แผนความต่อเนื่องทางธุรกิจ
- จัดทำแผนกู้คืนระบบในกรณีเกิดเหตุฉุกเฉิน
- กำหนดลำดับความสำคัญของระบบและข้อมูล
- ทดสอบแผนความต่อเนื่องเป็นประจำ
- ประสานงานกับหน่วยงานที่เกี่ยวข้อง
7. การจัดการเหตุการณ์ด้านความปลอดภัย
ขั้นตอนการรับมือเหตุการณ์
- การตรวจพบ: ระบบตรวจสอบและแจ้งเตือนอัตโนมัติ
- การประเมิน: วิเคราะห์ความรุนแรงและผลกระทบ
- การตอบสนอง: ดำเนินการแก้ไขและควบคุมเหตุการณ์
- การกู้คืน: คืนระบบให้กลับสู่สภาวะปกติ
- การรายงาน: จัดทำรายงานและบทเรียน
7.1 ช่องทางแจ้งเหตุการณ์
หากพบเหตุการณ์ด้านความปลอดภัย กรุณาแจ้งทันทีที่:
- • อีเมล: security@smokefreezone.or.th
- • โทรศัพท์: 0-2278-1828 ต่อ 999 (24 ชั่วโมง)
- • แบบฟอร์มออนไลน์: รายงานเหตุการณ์
8. การปฏิบัติตามมาตรฐานและกฎหมาย
8.1 มาตรฐานที่ปฏิบัติตาม
- ISO/IEC 27001 - ระบบจัดการความมั่นคงปลอดภัยสารสนเทศ
- NIST Cybersecurity Framework
- มาตรฐานความปลอดภัยของภาครัฐไทย
- พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
8.2 การตรวจสอบและประเมิน
- การตรวจสอบภายในด้านความปลอดภัยเป็นประจำ
- การประเมินความเสี่ยงด้านความปลอดภัย
- การทดสอบการเจาะระบบ (Penetration Testing)
- การรับรองจากหน่วยงานภายนอก
9. ความรับผิดชอบของผู้ใช้
ผู้ใช้ควรปฏิบัติ:
- ใช้รหัสผ่านที่แข็งแกร้งและไม่เปิดเผยให้ผู้อื่น
- ออกจากระบบเมื่อใช้งานเสร็จ
- ไม่ใช้เครือข่าย Wi-Fi สาธารณะในการเข้าถึงข้อมูลสำคัญ
- รายงานกิจกรรมที่น่าสงสัยทันที
- อัปเดตเบราว์เซอร์และระบบปฏิบัติการเป็นประจำ
10. การปรับปรุงนโยบาย
นโยบายความปลอดภัยนี้จะได้รับการทบทวนและปรับปรุงอย่างสม่ำเสมอ เพื่อให้สอดคล้องกับภัยคุกคามและเทคโนโลยีที่เปลี่ยนแปลงไป
การเปลี่ยนแปลงที่สำคัญจะแจ้งให้ผู้ใช้ทราบผ่านเว็บไซต์และช่องทางการสื่อสารอื่นๆ
11. การติดต่อ
เจ้าหน้าที่รักษาความปลอดภัยสารสนเทศ
มูลนิธิรณรงค์เพื่อการไม่สูบบุหรี่ กรมควบคุมโรค
อีเมล: security@smokefreezone.or.th
โทรศัพท์: 0-2278-1828 ต่อ 102