มาตรฐาน ISO 27001:2022 คืออะไร? ทำไมถึงสำคัญกับองค์กรของคุณ?

ISO 27001:2022 คือ มาตรฐานสากลสำหรับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ซึ่งเป็นกรอบการทำงานที่ช่วยให้องค์กรต่างๆ สามารถจัดการและปกป้องข้อมูลสำคัญของตนได้อย่างเป็นระบบ ครอบคลุม และมีประสิทธิภาพ

 

สาระสำคัญของมาตรฐานนี้ มุ่งเน้น:

• ประเมินความเสี่ยง: ระบุ วิเคราะห์ และประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่องค์กรอาจเผชิญ
• กำหนดมาตรการควบคุม: กำหนดและนำมาตรการควบคุมที่เหมาะสมมาใช้เพื่อลด หรือขจัดความเสี่ยงที่ระบุ
• ติดตามและทบทวน: ติดตาม วัดผล และทบทวนประสิทธิภาพของ ISMS อย่างต่อเนื่อง เพื่อให้มั่นใจว่า ISMS ยังคงมีความเหมาะสมและมีประสิทธิผล

ประโยชน์ของการนำ ISO 27001:2022 มาใช้:

• เพิ่มความมั่นใจให้กับลูกค้าและพันธมิตร: แสดงให้เห็นถึงความมุ่งมั่นขององค์กรในการปกป้องข้อมูล
• ลดความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ: ช่วยป้องกัน ลด และจัดการกับภัยคุกคามต่างๆ
• สร้างความได้เปรียบในการแข่งขัน: เป็นเครื่องมือในการสร้างความแตกต่างและเพิ่มความน่าเชื่อถือให้กับองค์กร
• ปฏิบัติตามข้อกำหนด: ช่วยให้องค์กรปฏิบัติตามกฎหมาย ข้อบังคับ และข้อกำหนดต่างๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ

ISO 27001:2022 เป็นมากกว่าแค่มาตรฐาน แต่เป็นการลงทุนที่คุ้มค่าสำหรับองค์กร ที่ต้องการสร้างความมั่นใจในด้านความมั่นคงปลอดภัยสารสนเทศ และสร้างความยั่งยืนให้กับธุรกิจในระยะยาว

มาตรฐาน ISO 27001:2022 ประกอบด้วยข้อกำหนดหลัก 10 ข้อ (Clause)  โดยมีรายละเอียดดังนี้:

• Clause 4: บริบทขององค์กร (Context of the organization)

  • ข้อกำหนดนี้เน้นย้ำถึงความสำคัญของการทำความเข้าใจองค์กรและบริบทแวดล้อม รวมถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย เพื่อนำมาประกอบการกำหนดขอบเขตและการดำเนินการของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS)

• Clause 5: ความเป็นผู้นำ (Leadership)

  • ข้อกำหนดนี้มุ่งเน้นที่บทบาทของผู้บริหารระดับสูงในการแสดงความมุ่งมั่นและเป็นผู้นำในการจัดการ ISMS รวมถึงการกำหนดนโยบาย การกำหนดบทบาทความรับผิดชอบ และการจัดสรรทรัพยากรที่จำเป็น

• Clause 6: การวางแผน (Planning)

  • ข้อกำหนดนี้เกี่ยวข้องกับการวางแผนการดำเนินงานของ ISMS โดยมุ่งเน้นที่การประเมินและจัดการความเสี่ยง การกำหนดวัตถุประสงค์ และการวางแผนเพื่อให้บรรลุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ

• Clause 7: การสนับสนุน (Support)

  • ข้อกำหนดนี้มุ่งเน้นที่การจัดหาทรัพยากรที่จำเป็นสำหรับ ISMS รวมถึงทรัพยากรบุคคล โครงสร้างพื้นฐาน สภาพแวดล้อมการทำงาน และการสื่อสาร

• Clause 8: การดำเนินการ (Operation)

  • ข้อกำหนดนี้มุ่งเน้นที่การนำแผน ISMS ไปปฏิบัติ รวมถึงการควบคุมการปฏิบัติงาน การประเมินความเสี่ยง และการจัดการความเสี่ยง

• Clause 9: การประเมินสมรรถนะ (Performance evaluation)

  • ข้อกำหนดนี้มุ่งเน้นที่การติดตาม การวัดผล การวิเคราะห์ และการประเมิน ISMS เพื่อให้มั่นใจว่า ISMS มีประสิทธิภาพและบรรลุวัตถุประสงค์ที่ตั้งไว้

• Clause 10: การปรับปรุง (Improvement)

  • ข้อกำหนดนี้มุ่งเน้นที่การปรับปรุง ISMS อย่างต่อเนื่อง โดยพิจารณาจากผลการประเมินสมรรถนะ การจัดการกับข้อบกพร่อง และการดำเนินการแก้ไข

มาตรฐาน ISO 27001:2022 คืออะไร? ทำไมถึงสำคัญกับองค์กรของคุณ?

Posted by pryn No comments

ISO 27001:2022 คือ มาตรฐานสากลสำหรับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ซึ่งเป็นกรอบการทำงานที่ช่วยให้องค์กรต่างๆ สามารถจัดการและปกป้องข้อมูลสำคัญของตนได้อย่างเป็นระบบ ครอบคลุม และมีประสิทธิภาพ

 

สาระสำคัญของมาตรฐานนี้ มุ่งเน้น:

• ประเมินความเสี่ยง: ระบุ วิเคราะห์ และประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศที่องค์กรอาจเผชิญ
• กำหนดมาตรการควบคุม: กำหนดและนำมาตรการควบคุมที่เหมาะสมมาใช้เพื่อลด หรือขจัดความเสี่ยงที่ระบุ
• ติดตามและทบทวน: ติดตาม วัดผล และทบทวนประสิทธิภาพของ ISMS อย่างต่อเนื่อง เพื่อให้มั่นใจว่า ISMS ยังคงมีความเหมาะสมและมีประสิทธิผล

ประโยชน์ของการนำ ISO 27001:2022 มาใช้:

• เพิ่มความมั่นใจให้กับลูกค้าและพันธมิตร: แสดงให้เห็นถึงความมุ่งมั่นขององค์กรในการปกป้องข้อมูล
• ลดความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ: ช่วยป้องกัน ลด และจัดการกับภัยคุกคามต่างๆ
• สร้างความได้เปรียบในการแข่งขัน: เป็นเครื่องมือในการสร้างความแตกต่างและเพิ่มความน่าเชื่อถือให้กับองค์กร
• ปฏิบัติตามข้อกำหนด: ช่วยให้องค์กรปฏิบัติตามกฎหมาย ข้อบังคับ และข้อกำหนดต่างๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ

ISO 27001:2022 เป็นมากกว่าแค่มาตรฐาน แต่เป็นการลงทุนที่คุ้มค่าสำหรับองค์กร ที่ต้องการสร้างความมั่นใจในด้านความมั่นคงปลอดภัยสารสนเทศ และสร้างความยั่งยืนให้กับธุรกิจในระยะยาว

มาตรฐาน ISO 27001:2022 ประกอบด้วยข้อกำหนดหลัก 10 ข้อ (Clause)  โดยมีรายละเอียดดังนี้:

• Clause 4: บริบทขององค์กร (Context of the organization)

  • ข้อกำหนดนี้เน้นย้ำถึงความสำคัญของการทำความเข้าใจองค์กรและบริบทแวดล้อม รวมถึงความต้องการและความคาดหวังของผู้มีส่วนได้เสีย เพื่อนำมาประกอบการกำหนดขอบเขตและการดำเนินการของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS)

• Clause 5: ความเป็นผู้นำ (Leadership)

  • ข้อกำหนดนี้มุ่งเน้นที่บทบาทของผู้บริหารระดับสูงในการแสดงความมุ่งมั่นและเป็นผู้นำในการจัดการ ISMS รวมถึงการกำหนดนโยบาย การกำหนดบทบาทความรับผิดชอบ และการจัดสรรทรัพยากรที่จำเป็น

• Clause 6: การวางแผน (Planning)

  • ข้อกำหนดนี้เกี่ยวข้องกับการวางแผนการดำเนินงานของ ISMS โดยมุ่งเน้นที่การประเมินและจัดการความเสี่ยง การกำหนดวัตถุประสงค์ และการวางแผนเพื่อให้บรรลุวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ

• Clause 7: การสนับสนุน (Support)

  • ข้อกำหนดนี้มุ่งเน้นที่การจัดหาทรัพยากรที่จำเป็นสำหรับ ISMS รวมถึงทรัพยากรบุคคล โครงสร้างพื้นฐาน สภาพแวดล้อมการทำงาน และการสื่อสาร

• Clause 8: การดำเนินการ (Operation)

  • ข้อกำหนดนี้มุ่งเน้นที่การนำแผน ISMS ไปปฏิบัติ รวมถึงการควบคุมการปฏิบัติงาน การประเมินความเสี่ยง และการจัดการความเสี่ยง

• Clause 9: การประเมินสมรรถนะ (Performance evaluation)

  • ข้อกำหนดนี้มุ่งเน้นที่การติดตาม การวัดผล การวิเคราะห์ และการประเมิน ISMS เพื่อให้มั่นใจว่า ISMS มีประสิทธิภาพและบรรลุวัตถุประสงค์ที่ตั้งไว้

• Clause 10: การปรับปรุง (Improvement)

  • ข้อกำหนดนี้มุ่งเน้นที่การปรับปรุง ISMS อย่างต่อเนื่อง โดยพิจารณาจากผลการประเมินสมรรถนะ การจัดการกับข้อบกพร่อง และการดำเนินการแก้ไข

บทบาทและหน้าที่ของตัวแทนฝ่ายบริหาร ISMR ใน ISO27001:2022

 บทบาทและหน้าที่ของตัวแทนฝ่ายบริหาร

 Information Security Management Representative (ISMR) 

 ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA) ที่ปรึกษา ISO 27001  Email : mr.pryn@gmail.com

 ISMS Representative (ISMR) คือบุคคลที่ได้รับมอบหมายจากผู้บริหารระดับสูง ให้รับผิดชอบในการดูแลระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ขององค์กร

หน้าที่หลักๆ

• ประสานงานกับผู้บริหารระดับสูง:  รายงานสถานะ  ผลการดำเนินงาน ปัญหา อุปสรรค และข้อเสนอแนะในการปรับปรุง ISMS 
•  เป็นตัวแทนของผู้บริหาร: ในการสื่อสารกับหน่วยงานภายในและภายนอกองค์กร ในเรื่องที่เกี่ยวข้องกับ ISMS
•  กำกับดูแล: การดำเนินงานของ ISMS ให้เป็นไปตามข้อกำหนดของมาตรฐาน ISO 27001  รวมถึงการดูแลเอกสาร  บันทึก  และกระบวนการต่างๆ
•  ส่งเสริม: ให้เกิดการตระหนักรู้  ความเข้าใจ  และการมีส่วนร่วมใน ISMS ของบุคลากรทุกระดับในองค์กร
•  ติดตาม: ประเมินผล  และรายงานผลการดำเนินงานของ ISMS  รวมถึงการระบุ  วิเคราะห์  และประเมินความเสี่ยง 
•  จัดการ:  เหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ  และดำเนินการแก้ไข  ป้องกัน  รวมถึงการเรียนรู้จากเหตุการณ์
•  ประสานงาน:  กับหน่วยงานที่เกี่ยวข้อง  เช่น  ฝ่าย IT  ฝ่ายกฎหมาย  ฝ่ายทรัพยากรบุคคล  เพื่อให้การดำเนินงานของ ISMS มีประสิทธิภาพ

ตัวอย่างกิจกรรมที่ ISMS Representative :

• จัดทำแผนปฏิบัติการ ISMS
•  จัดทำและปรับปรุงเอกสาร ISMS เช่น นโยบาย ISMS  คู่มือ ISMS  ขั้นตอนปฏิบัติงาน
•  จัดฝึกอบรมและให้ความรู้ด้านความมั่นคงปลอดภัยสารสนเทศแก่พนักงาน
•  ดำเนินการตรวจประเมินภายใน ISMS
•  รวบรวม  วิเคราะห์  และรายงานตัวชี้วัด ISMS
•  ติดตามการแก้ไขข้อบกพร่องที่พบจากการตรวจประเมิน

คุณสมบัติที่สำคัญของ ISMS Representative:

• ความรู้:  ความเข้าใจในมาตรฐาน ISO 27001  แนวทางปฏิบัติที่ดี  และกฎหมายที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ
• ทักษะ:  การสื่อสาร  การประสานงาน  การวิเคราะห์  การแก้ปัญหา  การจัดการ  และการตัดสินใจ
• ประสบการณ์:  ด้านความมั่นคงปลอดภัยสารสนเทศ  หรือ  การจัดการระบบ 

หมายเหตุ:  บทบาทและหน้าที่ของ ISMS Representative อาจแตกต่างกันไป ขึ้นอยู่กับขนาด  ลักษณะ  และความซับซ้อนขององค์กร

บทบาทและหน้าที่ของตัวแทนฝ่ายบริหาร ISMR ใน ISO27001:2022

Posted by pryn No comments

 บทบาทและหน้าที่ของตัวแทนฝ่ายบริหาร

 Information Security Management Representative (ISMR) 

 ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA) ที่ปรึกษา ISO 27001  Email : mr.pryn@gmail.com

 ISMS Representative (ISMR) คือบุคคลที่ได้รับมอบหมายจากผู้บริหารระดับสูง ให้รับผิดชอบในการดูแลระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ขององค์กร

หน้าที่หลักๆ

• ประสานงานกับผู้บริหารระดับสูง:  รายงานสถานะ  ผลการดำเนินงาน ปัญหา อุปสรรค และข้อเสนอแนะในการปรับปรุง ISMS 
•  เป็นตัวแทนของผู้บริหาร: ในการสื่อสารกับหน่วยงานภายในและภายนอกองค์กร ในเรื่องที่เกี่ยวข้องกับ ISMS
•  กำกับดูแล: การดำเนินงานของ ISMS ให้เป็นไปตามข้อกำหนดของมาตรฐาน ISO 27001  รวมถึงการดูแลเอกสาร  บันทึก  และกระบวนการต่างๆ
•  ส่งเสริม: ให้เกิดการตระหนักรู้  ความเข้าใจ  และการมีส่วนร่วมใน ISMS ของบุคลากรทุกระดับในองค์กร
•  ติดตาม: ประเมินผล  และรายงานผลการดำเนินงานของ ISMS  รวมถึงการระบุ  วิเคราะห์  และประเมินความเสี่ยง 
•  จัดการ:  เหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ  และดำเนินการแก้ไข  ป้องกัน  รวมถึงการเรียนรู้จากเหตุการณ์
•  ประสานงาน:  กับหน่วยงานที่เกี่ยวข้อง  เช่น  ฝ่าย IT  ฝ่ายกฎหมาย  ฝ่ายทรัพยากรบุคคล  เพื่อให้การดำเนินงานของ ISMS มีประสิทธิภาพ

ตัวอย่างกิจกรรมที่ ISMS Representative :

• จัดทำแผนปฏิบัติการ ISMS
•  จัดทำและปรับปรุงเอกสาร ISMS เช่น นโยบาย ISMS  คู่มือ ISMS  ขั้นตอนปฏิบัติงาน
•  จัดฝึกอบรมและให้ความรู้ด้านความมั่นคงปลอดภัยสารสนเทศแก่พนักงาน
•  ดำเนินการตรวจประเมินภายใน ISMS
•  รวบรวม  วิเคราะห์  และรายงานตัวชี้วัด ISMS
•  ติดตามการแก้ไขข้อบกพร่องที่พบจากการตรวจประเมิน

คุณสมบัติที่สำคัญของ ISMS Representative:

• ความรู้:  ความเข้าใจในมาตรฐาน ISO 27001  แนวทางปฏิบัติที่ดี  และกฎหมายที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ
• ทักษะ:  การสื่อสาร  การประสานงาน  การวิเคราะห์  การแก้ปัญหา  การจัดการ  และการตัดสินใจ
• ประสบการณ์:  ด้านความมั่นคงปลอดภัยสารสนเทศ  หรือ  การจัดการระบบ 

หมายเหตุ:  บทบาทและหน้าที่ของ ISMS Representative อาจแตกต่างกันไป ขึ้นอยู่กับขนาด  ลักษณะ  และความซับซ้อนขององค์กร

บทบาทและหน้าที่ของผู้บริหารระดับสูง (Top Management) ใน ISO 27001:2022

  บทบาทและหน้าที่ของผู้บริหารระดับสูง 

(Top Management) ใน ISO 27001:2022

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA) ที่ปรึกษา ISO27001 Email : mr.pryn@gmail.com

ผู้บริหารระดับสูงมีบทบาทสำคัญ:

•  กำหนดนโยบาย ทิศทาง วัตถุประสงค์ และเป้าหมายของ ISMS ให้สอดคล้องกับทิศทางเชิงกลยุทธ์ขององค์กร รวมถึงการกำหนดบริบทขององค์กร, ความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย, ระดับความเสี่ยงที่ยอมรับได้ และขอบเขตของ ISMS
•  จัดสรรทรัพยากรที่จำเป็น เพื่อสนับสนุน ISMS ได้แก่ งบประมาณ บุคลากร โครงสร้างพื้นฐาน เทคโนโลยี และเวลา
•  สื่อสารและส่งเสริม ให้ทุกคนในองค์กร รวมถึงผู้ที่เกี่ยวข้องภายนอก รับทราบและเข้าใจถึงความสำคัญของ ISMS นโยบาย วัตถุประสงค์ และเป้าหมาย
•  กำกับดูแล การดำเนินงานของ ISMS ให้เป็นไปตามข้อกำหนดของมาตรฐาน
•  ทบทวน ISMS เป็นระยะ เพื่อประเมินประสิทธิผล ประสิทธิภาพ และความเหมาะสม  รวมถึงการระบุโอกาสในการปรับปรุง
•  ตัดสินใจ เกี่ยวกับ ISMS เช่น การอนุมัตินโยบาย การจัดการความเสี่ยง การตอบสนองต่อเหตุการณ์ 
•  สนับสนุน การปรับปรุง ISMS อย่างต่อเนื่อง

ตัวอย่างกิจกรรมที่แสดงให้เห็นถึงความมุ่งมั่นของผู้บริหารระดับสูง:

•  อนุมัตินโยบาย ISMS
•  จัดสรรงบประมาณและทรัพยากรสำหรับ ISMS
•  เข้าร่วมการประชุมทบทวน ISMS
•  สื่อสารกับพนักงานเกี่ยวกับความสำคัญของ ISMS
•  สนับสนุนให้มีการฝึกอบรมและสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ
•  มอบหมายความรับผิดชอบให้กับบุคคลที่เหมาะสม เช่น ผู้จัดการ ISMS 
•  ติดตามผลการดำเนินงานของ ISMS

ตัวอย่างเอกสารที่เกี่ยวข้อง:

•  นโยบาย ISMS
•  ขอบเขตของ ISMS
•  การประเมินความเสี่ยง
•  แผนปฏิบัติการ ISMS
•  รายงานการทบทวน ISMS

หมายเหตุ: บทบาทและหน้าที่ของผู้บริหารระดับสูงอาจแตกต่างกันไป ขึ้นอยู่กับขนาด ลักษณะ และความซับซ้อนขององค์กร

บทบาทและหน้าที่ของผู้บริหารระดับสูง (Top Management) ใน ISO 27001:2022

Posted by pryn No comments

  บทบาทและหน้าที่ของผู้บริหารระดับสูง 

(Top Management) ใน ISO 27001:2022

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA) ที่ปรึกษา ISO27001 Email : mr.pryn@gmail.com

ผู้บริหารระดับสูงมีบทบาทสำคัญ:

•  กำหนดนโยบาย ทิศทาง วัตถุประสงค์ และเป้าหมายของ ISMS ให้สอดคล้องกับทิศทางเชิงกลยุทธ์ขององค์กร รวมถึงการกำหนดบริบทขององค์กร, ความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสีย, ระดับความเสี่ยงที่ยอมรับได้ และขอบเขตของ ISMS
•  จัดสรรทรัพยากรที่จำเป็น เพื่อสนับสนุน ISMS ได้แก่ งบประมาณ บุคลากร โครงสร้างพื้นฐาน เทคโนโลยี และเวลา
•  สื่อสารและส่งเสริม ให้ทุกคนในองค์กร รวมถึงผู้ที่เกี่ยวข้องภายนอก รับทราบและเข้าใจถึงความสำคัญของ ISMS นโยบาย วัตถุประสงค์ และเป้าหมาย
•  กำกับดูแล การดำเนินงานของ ISMS ให้เป็นไปตามข้อกำหนดของมาตรฐาน
•  ทบทวน ISMS เป็นระยะ เพื่อประเมินประสิทธิผล ประสิทธิภาพ และความเหมาะสม  รวมถึงการระบุโอกาสในการปรับปรุง
•  ตัดสินใจ เกี่ยวกับ ISMS เช่น การอนุมัตินโยบาย การจัดการความเสี่ยง การตอบสนองต่อเหตุการณ์ 
•  สนับสนุน การปรับปรุง ISMS อย่างต่อเนื่อง

ตัวอย่างกิจกรรมที่แสดงให้เห็นถึงความมุ่งมั่นของผู้บริหารระดับสูง:

•  อนุมัตินโยบาย ISMS
•  จัดสรรงบประมาณและทรัพยากรสำหรับ ISMS
•  เข้าร่วมการประชุมทบทวน ISMS
•  สื่อสารกับพนักงานเกี่ยวกับความสำคัญของ ISMS
•  สนับสนุนให้มีการฝึกอบรมและสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ
•  มอบหมายความรับผิดชอบให้กับบุคคลที่เหมาะสม เช่น ผู้จัดการ ISMS 
•  ติดตามผลการดำเนินงานของ ISMS

ตัวอย่างเอกสารที่เกี่ยวข้อง:

•  นโยบาย ISMS
•  ขอบเขตของ ISMS
•  การประเมินความเสี่ยง
•  แผนปฏิบัติการ ISMS
•  รายงานการทบทวน ISMS

หมายเหตุ: บทบาทและหน้าที่ของผู้บริหารระดับสูงอาจแตกต่างกันไป ขึ้นอยู่กับขนาด ลักษณะ และความซับซ้อนขององค์กร

ภาพรวมของมาตรฐาน ISO 27001:2022

 ภาพรวมของมาตรฐาน ISO 27001:2022

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)  ที่ปรึกษา ISO 27001  Email :                mr.pryn@gmail.com

    มาตรฐาน ISO 27001:2022 เป็นมาตรฐานสากลที่กำหนดข้อกำหนดสำหรับการจัดตั้ง ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) โดยมีวัตถุประสงค์หลักในการปกป้องข้อมูลสำคัญขององค์กรให้ปลอดภัยจากภัยคุกคามในด้านต่าง ๆ เช่น การโจมตีทางไซเบอร์ การสูญหายของข้อมูล หรือการเข้าถึงโดยไม่ได้รับอนุญาต  

    มาตรฐานนี้ถูกออกแบบมาเพื่อให้ทุกองค์กร ไม่ว่าจะมีขนาดเล็กหรือใหญ่ สามารถนำไปใช้เพื่อบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ โดยมีจุดเด่นในเรื่องของการ:

- รักษาความลับ (Confidentiality): การรับรองว่าข้อมูลจะสามารถเข้าถึงได้เฉพาะบุคคลที่มีสิทธิ์เท่านั้น

- ความครบถ้วนถูกต้อง (Integrity): การปกป้องข้อมูลจากการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตหรือความเสียหาย

- ความพร้อมใช้งาน (Availability): การรับรองว่าข้อมูลและระบบสามารถใช้งานได้เมื่อจำเป็น  

 จุดมุ่งหมายของ ISO 27001:2022

    มาตรฐาน ISO 27001:2022 ได้รับการปรับปรุงจากรุ่นก่อนหน้าเพื่อให้ทันต่อการเปลี่ยนแปลงในยุคดิจิทัล โดยมีเป้าหมายในการ:

1. เพิ่มขีดความสามารถขององค์กร ในการจัดการความเสี่ยงและภัยคุกคามทางไซเบอร์

2. สร้างความเชื่อมั่น ให้กับลูกค้า ผู้มีส่วนได้ส่วนเสีย และคู่ค้าในเรื่องความปลอดภัยของข้อมูล

3. สนับสนุนการปฏิบัติตามข้อกำหนดทางกฎหมาย และข้อกำหนดด้านการปกป้องข้อมูลส่วนบุคคล เช่น GDPR หรือ PDPA  

 โครงสร้างของมาตรฐาน

    มาตรฐาน ISO 27001:2022 มีการจัดหมวดหมู่ข้อกำหนดไว้ในรูปแบบที่สอดคล้องกับโครงสร้าง Annex SL ซึ่งประกอบด้วย 7 ข้อกำหนดสำคัญ ได้แก่:

1. บริบทองค์กร (Context of the Organization)  

2. ความเป็นผู้นำ (Leadership)  

3. การวางแผน (Planning)  

4. การสนับสนุน (Support)  

5. การดำเนินการ (Operation)  

6. การประเมินสมรรถนะ (Performance Evaluation)  

7. การปรับปรุง (Improvement)  

 

 ความสำคัญของ ISO 27001:2022 ต่อองค์กร

    การนำมาตรฐาน ISO 27001:2022 ไปประยุกต์ใช้ในองค์กร ช่วยให้สามารถ:

- บริหารจัดการความเสี่ยงด้านข้อมูลได้อย่างมีระบบ

- เพิ่มความได้เปรียบในการแข่งขันผ่านการสร้างความไว้วางใจจากผู้มีส่วนได้ส่วนเสีย

- ลดผลกระทบที่อาจเกิดจากการละเมิดข้อมูลหรือความล้มเหลวของระบบ  

    มาตรฐาน ISO 27001:2022 ไม่เพียงแต่เป็นเครื่องมือในการรักษาความปลอดภัยของข้อมูล แต่ยังเป็นพื้นฐานที่ช่วยให้องค์กรพัฒนาและสร้างสรรค์นวัตกรรมได้อย่างมั่นใจในโลกดิจิทัลที่มีการเปลี่ยนแปลงอย่างรวดเร็ว.

ภาพรวมของมาตรฐาน ISO 27001:2022

Posted by pryn No comments

 ภาพรวมของมาตรฐาน ISO 27001:2022

    ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)  ที่ปรึกษา ISO 27001  Email :                mr.pryn@gmail.com

    มาตรฐาน ISO 27001:2022 เป็นมาตรฐานสากลที่กำหนดข้อกำหนดสำหรับการจัดตั้ง ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) โดยมีวัตถุประสงค์หลักในการปกป้องข้อมูลสำคัญขององค์กรให้ปลอดภัยจากภัยคุกคามในด้านต่าง ๆ เช่น การโจมตีทางไซเบอร์ การสูญหายของข้อมูล หรือการเข้าถึงโดยไม่ได้รับอนุญาต  

    มาตรฐานนี้ถูกออกแบบมาเพื่อให้ทุกองค์กร ไม่ว่าจะมีขนาดเล็กหรือใหญ่ สามารถนำไปใช้เพื่อบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับความมั่นคงปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ โดยมีจุดเด่นในเรื่องของการ:

- รักษาความลับ (Confidentiality): การรับรองว่าข้อมูลจะสามารถเข้าถึงได้เฉพาะบุคคลที่มีสิทธิ์เท่านั้น

- ความครบถ้วนถูกต้อง (Integrity): การปกป้องข้อมูลจากการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตหรือความเสียหาย

- ความพร้อมใช้งาน (Availability): การรับรองว่าข้อมูลและระบบสามารถใช้งานได้เมื่อจำเป็น  

 จุดมุ่งหมายของ ISO 27001:2022

    มาตรฐาน ISO 27001:2022 ได้รับการปรับปรุงจากรุ่นก่อนหน้าเพื่อให้ทันต่อการเปลี่ยนแปลงในยุคดิจิทัล โดยมีเป้าหมายในการ:

1. เพิ่มขีดความสามารถขององค์กร ในการจัดการความเสี่ยงและภัยคุกคามทางไซเบอร์

2. สร้างความเชื่อมั่น ให้กับลูกค้า ผู้มีส่วนได้ส่วนเสีย และคู่ค้าในเรื่องความปลอดภัยของข้อมูล

3. สนับสนุนการปฏิบัติตามข้อกำหนดทางกฎหมาย และข้อกำหนดด้านการปกป้องข้อมูลส่วนบุคคล เช่น GDPR หรือ PDPA  

 โครงสร้างของมาตรฐาน

    มาตรฐาน ISO 27001:2022 มีการจัดหมวดหมู่ข้อกำหนดไว้ในรูปแบบที่สอดคล้องกับโครงสร้าง Annex SL ซึ่งประกอบด้วย 7 ข้อกำหนดสำคัญ ได้แก่:

1. บริบทองค์กร (Context of the Organization)  

2. ความเป็นผู้นำ (Leadership)  

3. การวางแผน (Planning)  

4. การสนับสนุน (Support)  

5. การดำเนินการ (Operation)  

6. การประเมินสมรรถนะ (Performance Evaluation)  

7. การปรับปรุง (Improvement)  

 

 ความสำคัญของ ISO 27001:2022 ต่อองค์กร

    การนำมาตรฐาน ISO 27001:2022 ไปประยุกต์ใช้ในองค์กร ช่วยให้สามารถ:

- บริหารจัดการความเสี่ยงด้านข้อมูลได้อย่างมีระบบ

- เพิ่มความได้เปรียบในการแข่งขันผ่านการสร้างความไว้วางใจจากผู้มีส่วนได้ส่วนเสีย

- ลดผลกระทบที่อาจเกิดจากการละเมิดข้อมูลหรือความล้มเหลวของระบบ  

    มาตรฐาน ISO 27001:2022 ไม่เพียงแต่เป็นเครื่องมือในการรักษาความปลอดภัยของข้อมูล แต่ยังเป็นพื้นฐานที่ช่วยให้องค์กรพัฒนาและสร้างสรรค์นวัตกรรมได้อย่างมั่นใจในโลกดิจิทัลที่มีการเปลี่ยนแปลงอย่างรวดเร็ว.

PDPA อะไร ยังไง ตอนที่ 3 : ฐานกฎหมายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

     Photo by : https://unsplash.com/photos/U69WqLoFGD4

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

เมื่อพรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ประกาศใช้  การดำเนินการกับข้อมูลส่วนบุคคล(รวบรวม,จัดเก็บ,ใช้,เผยแพร่) จะทำได้เมื่อมีฐานกฎหมายรองรับในกรณีต่อไปนี้

1. เจ้าของข้อมูลส่วนบุคคลยินยอม (ต้องขอการยินยอมเป็นลายลักษณ์อักษร)

2. สามารถดำเนินการได้โดยไม่ต้องขอการยินยอม ในกรณีต่อไปนี้

• เป็นการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ 

• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่นการแลกบัตรเพื่อเข้าสู่พื้นที่ควบคุมของหน่วยงาน การใช้กล้องCCTV บันทึกภาพในพื้นที่ 

• เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา เช่น เว็บไซต์รับจองรถเช่าเก็บรวบรวมข้อมูลบัตรเครดิตของลูกค้าไว้เพื่อเป็นหลักประกันในการจองรถเช่า

•   เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ เช่น โรงพยาบาลรัฐจัดเก็บข้อมูลส่วนบุคคลของผู้ป่วยเพื่อใช้ในการรักษา

•   เพื่อการปฏิบัติตามฐานประโยชน์อันชอบธรรม (legitimate interest)  เช่น ธนาคารใช้ข้อมูลส่วนบุคคลเพื่อยืนยันตัวตนของผู้มาใช้บริการ

• เพื่อปฏิบัติตามกฎหมาย เช่น ผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่เก็บข้อมูลจราจรตามที่กำหนดใพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

ดังนั้น ผู้เกี่ยวข้องทั้งผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) จึงต้องทำความเข้าใจฐานกฎหมายที่เกี่ยวข้องให้ชัดเจน เพื่อจะได้ปฏิบัติให้สอดคล้องและมีประสิทธิภาพ

PDPA อะไร ยังไง ตอนที่ 3 : ฐานกฎหมายที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล

Posted by pryn No comments

     Photo by : https://unsplash.com/photos/U69WqLoFGD4

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

เมื่อพรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 ประกาศใช้  การดำเนินการกับข้อมูลส่วนบุคคล(รวบรวม,จัดเก็บ,ใช้,เผยแพร่) จะทำได้เมื่อมีฐานกฎหมายรองรับในกรณีต่อไปนี้

1. เจ้าของข้อมูลส่วนบุคคลยินยอม (ต้องขอการยินยอมเป็นลายลักษณ์อักษร)

2. สามารถดำเนินการได้โดยไม่ต้องขอการยินยอม ในกรณีต่อไปนี้

• เป็นการจัดทำเอกสารประวัติศาสตร์หรือจดหมายเหตุ 

• เพื่อป้องกันหรือระงับอันตรายต่อชีวิต ร่างกาย หรือสุขภาพของบุคคล เช่นการแลกบัตรเพื่อเข้าสู่พื้นที่ควบคุมของหน่วยงาน การใช้กล้องCCTV บันทึกภาพในพื้นที่ 

• เพื่อการปฏิบัติตามสัญญาซึ่งเจ้าของข้อมูลส่วนบุคคลเป็นคู่สัญญา เช่น เว็บไซต์รับจองรถเช่าเก็บรวบรวมข้อมูลบัตรเครดิตของลูกค้าไว้เพื่อเป็นหลักประกันในการจองรถเช่า

•   เพื่อการปฏิบัติหน้าที่ในการดำเนินภารกิจเพื่อประโยชน์สาธารณะ เช่น โรงพยาบาลรัฐจัดเก็บข้อมูลส่วนบุคคลของผู้ป่วยเพื่อใช้ในการรักษา

•   เพื่อการปฏิบัติตามฐานประโยชน์อันชอบธรรม (legitimate interest)  เช่น ธนาคารใช้ข้อมูลส่วนบุคคลเพื่อยืนยันตัวตนของผู้มาใช้บริการ

• เพื่อปฏิบัติตามกฎหมาย เช่น ผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่เก็บข้อมูลจราจรตามที่กำหนดใพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

ดังนั้น ผู้เกี่ยวข้องทั้งผู้ควบคุมข้อมูล (Data Controller) และ ผู้ประมวลผลข้อมูล (Data Processor) จึงต้องทำความเข้าใจฐานกฎหมายที่เกี่ยวข้องให้ชัดเจน เพื่อจะได้ปฏิบัติให้สอดคล้องและมีประสิทธิภาพ

PDPA อะไร ยังไง ตอนที่2 ตัวละครที่เกี่ยวข้องและหน้าที่รับผิดชอบ

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

 

ในการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA นั้นมีผู้เกี่ยวข้องหลักๆ อยู่ 3 ฝ่าย ซึ่งกฎหมายกำหนดให้มีสิทธิ และหน้าที่เพื่อเป็นแนวทางปฏิบัติอย่างชัดเจน ดังนี้

เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เราๆท่านๆนี่แหละเป็นเจ้าของข้อมูลที่ต้องให้ข้อมูลส่วนบุคคลโดยการกรอกแบบฟอร์มต่างๆนาๆในการติดต่อหรือขอใช้บริการหน่วยราชการ  รวมถึงการทำธุรกรรมกับห้างร้านหรือสถาบันการเงินต่างๆ ด้วย

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)

- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) เมื่อมีเรื่องสำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเอง

- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เมื่อมีเจ้าของข้อมูลต้องการข้อมูลของตนเอง

- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (right to be forgotten) 

หน้าที่ผู้ควบคุมข้อมูล (Data Controller)

   หน้าที่ภายในองค์กร

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย 

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง

- มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น 

- ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

- ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) 

- เลือกผู้ประมวลผลข้อมูลที่มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการที่เหมาะสมในการประมวลผลและการรักษาความมั่นคงปลอดภัย

- จัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูล เพื่อควบคุมให้ผู้ประมวลผลข้อมูลดำเนินการให้เป็นไปตามกฎหมาย (ถ้ามี) 

- ถ้ามีการโอนข้อมูลไปยังต่างประเทศต้องทาให้ถูกต้องตามกฎหมาย 

- ป้องกันมิให้บุคคลที่ได้รับข้อมูลส่วนบุคคลที่มิใช่ผู้ควบคุมข้อมูลอื่นใช้หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ

หน้าที่ต่อบุคคลภายนอกองค์กร

- แจ้งเจ้าของข้อมูล 

- แจ้งเหตุแก่ผู้กากับดูแลหรือเจ้าของข้อมูลเมื่อมีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักร) 

- เก็บบันทึกรายการประมวลผลข้อมูล 

หน้าที่ของผู้ประมวลผลข้อมูล (Data Processor)

หน้าที่ภายในองค์กร

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง เพื่อป้องกันการสูญหาย การประมวลผลโดยปราศจากอานาจ หรือ โดยมิชอบ 

- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

หน้าที่ต่อบุคคลภายนอก

- ประมวลผลข้อมูลตามข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล 

- แจ้งเหตุแก่ผู้ควบคุมข้อมูลกรณีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

- แจ้งผู้ควบคุมข้อมูลในกรณีที่เห็นว่ามีทางเลือกในการประมวลผลที่มีความมั่นคงปลอดภัยสูงกว่า 

- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักร) 

- เก็บบันทึกรายการประมวลผลข้อมูล 

Reference : Thailand Data Protection Guidelines 2.0

ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนี้ครับ

PDPA อะไร ยังไง ตอนที่2 ตัวละครที่เกี่ยวข้องและหน้าที่รับผิดชอบ

Posted by pryn No comments

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

 

ในการปฏิบัติตาม พรบ.คุ้มครองข้อมูลส่วนบุคคล 2562 หรือ PDPA นั้นมีผู้เกี่ยวข้องหลักๆ อยู่ 3 ฝ่าย ซึ่งกฎหมายกำหนดให้มีสิทธิ และหน้าที่เพื่อเป็นแนวทางปฏิบัติอย่างชัดเจน ดังนี้

เจ้าของข้อมูลส่วนบุคคล (Data Subject)

เราๆท่านๆนี่แหละเป็นเจ้าของข้อมูลที่ต้องให้ข้อมูลส่วนบุคคลโดยการกรอกแบบฟอร์มต่างๆนาๆในการติดต่อหรือขอใช้บริการหน่วยราชการ  รวมถึงการทำธุรกรรมกับห้างร้านหรือสถาบันการเงินต่างๆ ด้วย

ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller)

คือ บุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor)

คือ บุคคลหรือนิติบุคคลที่ดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล

สิทธิของเจ้าของข้อมูลส่วนบุคคล (Data Subject) ได้แก่

- สิทธิในการขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

- สิทธิขอให้ระงับการใช้ข้อมูล (Right to restrict processing)

- สิทธิคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล (Right to object)

- สิทธิได้รับการแจ้งให้ทราบ (Right to be informed) เมื่อมีเรื่องสำคัญที่เกี่ยวข้องกับข้อมูลส่วนบุคคลของตนเอง

- สิทธิขอเข้าถึงข้อมูลส่วนบุคคล (Right of access) เมื่อมีเจ้าของข้อมูลต้องการข้อมูลของตนเอง

- สิทธิในการขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)

- สิทธิขอให้ลบหรือทำลาย หรือทำให้ข้อมูลส่วนบุคคลเป็นข้อมูลที่ไม่สามารถระบุตัวบุคคล (right to be forgotten) 

หน้าที่ผู้ควบคุมข้อมูล (Data Controller)

   หน้าที่ภายในองค์กร

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อประมวลผลข้อมูลส่วนบุคคลให้ถูกต้องตามกฎหมาย 

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง

- มีระบบการตรวจสอบเพื่อดำเนินการลบหรือทำลายข้อมูลส่วนบุคคลเมื่อพ้นกำหนดระยะเวลาการเก็บรักษา หรือที่ไม่เกี่ยวข้องหรือเกินความจำเป็นตามวัตถุประสงค์ในการเก็บรวบรวมข้อมูลส่วนบุคคลนั้น 

- ตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

- ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) 

- เลือกผู้ประมวลผลข้อมูลที่มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการที่เหมาะสมในการประมวลผลและการรักษาความมั่นคงปลอดภัย

- จัดให้มีข้อตกลงกับผู้ประมวลผลข้อมูล เพื่อควบคุมให้ผู้ประมวลผลข้อมูลดำเนินการให้เป็นไปตามกฎหมาย (ถ้ามี) 

- ถ้ามีการโอนข้อมูลไปยังต่างประเทศต้องทาให้ถูกต้องตามกฎหมาย 

- ป้องกันมิให้บุคคลที่ได้รับข้อมูลส่วนบุคคลที่มิใช่ผู้ควบคุมข้อมูลอื่นใช้หรือเปิดเผยข้อมูลโดยปราศจากอำนาจหรือโดยมิชอบ

หน้าที่ต่อบุคคลภายนอกองค์กร

- แจ้งเจ้าของข้อมูล 

- แจ้งเหตุแก่ผู้กากับดูแลหรือเจ้าของข้อมูลเมื่อมีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ควบคุมข้อมูลที่อยู่นอกราชอาณาจักร) 

- เก็บบันทึกรายการประมวลผลข้อมูล 

หน้าที่ของผู้ประมวลผลข้อมูล (Data Processor)

หน้าที่ภายในองค์กร

- มีมาตรการเชิงเทคนิคและเชิงบริหารจัดการเพื่อรักษาความมั่นคงปลอดภัยในการประมวลผลที่เหมาะสมกับความเสี่ยง เพื่อป้องกันการสูญหาย การประมวลผลโดยปราศจากอานาจ หรือ โดยมิชอบ 

- แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) กรณีเข้าข่ายที่ต้องมี DPO

หน้าที่ต่อบุคคลภายนอก

- ประมวลผลข้อมูลตามข้อตกลงระหว่างผู้ควบคุมและผู้ประมวลผลข้อมูล 

- แจ้งเหตุแก่ผู้ควบคุมข้อมูลกรณีข้อมูลส่วนบุคคลรั่วไหล (Data Breach) 

- แจ้งผู้ควบคุมข้อมูลในกรณีที่เห็นว่ามีทางเลือกในการประมวลผลที่มีความมั่นคงปลอดภัยสูงกว่า 

- ตั้งตัวแทนในราชอาณาจักร (กรณีเป็นผู้ประมวลผลข้อมูลที่อยู่นอกราชอาณาจักร) 

- เก็บบันทึกรายการประมวลผลข้อมูล 

Reference : Thailand Data Protection Guidelines 2.0

ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนี้ครับ

PDPA อะไร ยังไง ตอนที่1 : ทำความรู้จัก พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

PDPA (Personal Data Protection Act) พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ความคุ้มครองข้อมูลส่วนบุคคล(Personal Data) และข้อมูลที่มีความอ่อนไหว(Sensitive Data) โดยเน้นไปที่หน่วยงานหรือองค์กร ที่มีการรวบรวม จัดเก็บ ใช้งาน เผยแพร่ ให้มีแนวทางการจัดการข้อมูลส่วนบุคคลนี้ได้มาตรฐาน

https://unsplash.com/photos/JFk0dVyvdvw 

WHAT? ข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่มีความอ่อนไหว 

ข้อมูลส่วนบุคคล (Personal Data) คืออะไร 

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (ไม่รวมข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล) 

ตัวอย่างข้อมูลส่วนบุคคล เช่น ชื่อสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, วันเกิด, ที่อยู่,อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลธุรกรรมการเงิน ,ทะเบียนรถ เป็นต้น 

ข้อมูลส่วนบุคคที่มีความอ่อนไหว (Sensitive Data) คืออะไร 

คือ ข้อมูลส่วนบุคคลประเภทพิเศษที่มีความอ่อนไหวสูง 

เช่น ข้อมูลสุขภาพ ผลการตรวจร่างกาย, ข้อมูลทางพันธุกรรม, ข้อมูลเกี่ยวกับไบโอเมทริกซ์, พฤติกรรมทางเพศ,ความคิดเห็นทางการเมือง,เชื้อชาติ, ความเชื่อทางศาสนาหรือปรัชญา, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน 

HOW ? ต้องทำอะไรบ้าง ! 

หน่วยงานหรือองค์กร ที่รวบรวม จัดเก็บ และใช้งานข้อมูลข้างต้นนี้ ต้องดำเนินการอย่างน้อยดังนี้ 

1. ขอการยินยอม(Consent) จากเจ้าของข้อมูลอย่างเป็นลายลักษณ์อักษร 

2. ดูแลรักษาข้อมูลให้คงไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง(Integrity) และความพร้อมใช้งาน (Availability) 

    - จัดทำระบบรองรับ กรณีเจ้าของข้อมูลต้องการ ดำเนินการกับข้อมูลส่วนบุคคลของตนเอง  

    - เข้าถึงข้อมูลส่วนบุคคล (Right of access) ของตนเอง 

    - ขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)  

    - ขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (right to be for-gotten)  

    - ขอให้ระงับการใช้ข้อมูล (Right to restrict processing) 

    - ขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนีครับ

PDPA อะไร ยังไง ตอนที่1 : ทำความรู้จัก พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

Posted by pryn No comments

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

PDPA (Personal Data Protection Act) พรบ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ให้ความคุ้มครองข้อมูลส่วนบุคคล(Personal Data) และข้อมูลที่มีความอ่อนไหว(Sensitive Data) โดยเน้นไปที่หน่วยงานหรือองค์กร ที่มีการรวบรวม จัดเก็บ ใช้งาน เผยแพร่ ให้มีแนวทางการจัดการข้อมูลส่วนบุคคลนี้ได้มาตรฐาน

https://unsplash.com/photos/JFk0dVyvdvw 

WHAT? ข้อมูลส่วนบุคคล ข้อมูลส่วนบุคคลที่มีความอ่อนไหว 

ข้อมูลส่วนบุคคล (Personal Data) คืออะไร 

คือข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม (ไม่รวมข้อมูลของผู้ถึงแก่กรรม และข้อมูลนิติบุคคล) 

ตัวอย่างข้อมูลส่วนบุคคล เช่น ชื่อสกุล, เลขประจำตัวประชาชน, เบอร์โทรศัพท์, วันเกิด, ที่อยู่,อีเมล, การศึกษา, เพศ, อาชีพ, รูปถ่าย, ข้อมูลธุรกรรมการเงิน ,ทะเบียนรถ เป็นต้น 

ข้อมูลส่วนบุคคที่มีความอ่อนไหว (Sensitive Data) คืออะไร 

คือ ข้อมูลส่วนบุคคลประเภทพิเศษที่มีความอ่อนไหวสูง 

เช่น ข้อมูลสุขภาพ ผลการตรวจร่างกาย, ข้อมูลทางพันธุกรรม, ข้อมูลเกี่ยวกับไบโอเมทริกซ์, พฤติกรรมทางเพศ,ความคิดเห็นทางการเมือง,เชื้อชาติ, ความเชื่อทางศาสนาหรือปรัชญา, ประวัติอาชญากรรม, ข้อมูลสหภาพแรงงาน 

HOW ? ต้องทำอะไรบ้าง ! 

หน่วยงานหรือองค์กร ที่รวบรวม จัดเก็บ และใช้งานข้อมูลข้างต้นนี้ ต้องดำเนินการอย่างน้อยดังนี้ 

1. ขอการยินยอม(Consent) จากเจ้าของข้อมูลอย่างเป็นลายลักษณ์อักษร 

2. ดูแลรักษาข้อมูลให้คงไว้ซึ่งความลับ (Confidentiality) ความถูกต้อง(Integrity) และความพร้อมใช้งาน (Availability) 

    - จัดทำระบบรองรับ กรณีเจ้าของข้อมูลต้องการ ดำเนินการกับข้อมูลส่วนบุคคลของตนเอง  

    - เข้าถึงข้อมูลส่วนบุคคล (Right of access) ของตนเอง 

    - ขอให้โอนข้อมูลส่วนบุคคล (Right to data portability)  

    - ขอให้ลบ ทำลาย หรือทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนได้ (right to be for-gotten)  

    - ขอให้ระงับการใช้ข้อมูล (Right to restrict processing) 

    - ขอให้แก้ไขข้อมูลส่วนบุคคล (Right of rectification) 

ติดตามบทความ PDPA อะไร ยังไง ในตอนต่อไปได้เร็วๆนีครับ