Page 100 - คู่มือ PDPA4

P. 100

หนา ๒๙
้
เลม ๑๓๙ ตอนพิเศษ ๑๔๐ ง ราชกิจจานุเบกษา ๒๐ มิถุนายน ๒๕๖๕
่

(information༛༛assets)༛༛ทีไส้าคัญ༛༛การปງองกันความ฼สีไยงทีไส้าคัญทีไอาจจะ฼กิดขึๅน༛༛การตรวจสอบ฽ละ฼ฝງา
ิ
ระวังภัยคุกคาม฽ละ฼หตุการละ฼มิดขຌอมูลส຋วนบุคคล༛༛การ฼ผชญ฼หตุ฼มืไอมีการตรวจพบภัยคุกคาม฽ละ
ั
຅ຕ
฼หตุการละ฼มิดขຌอมูลส຋วนบุคคล༛༛฽ละการรกษา฽ละฟนฟูความ฼สียหายทีไ฼กิดจากภัยคุกคามหรือ฼หตุการ
ละ฼มิดขຌอมูลส຋วนบุคคลดຌวย༛༛ทัๅงนีๅ༛༛฼ท຋าทีไจ้า฼ปຓน฼หมาะสม༛༛฽ละ฼ปຓนเปเดຌตามระดับความ฼สีไยง
(๐) มาตรการรักษาความมัไนคงปลอดภัยดังกล຋าว༛༛จะตຌองค้านึงถึงความสามารถ฿นการธ้ารงเวຌ

ຌ
ຌ
ซึไงความลับ༛༛(confidentiality)༛༛ความถูกตຌองครบถຌวน༛༛(integrity)༛༛฽ละสภาพพรอม฿ชงาน༛༛(availability)༛༛
ของขຌอมูลส຋วนบุคคลเวຌเดຌอย຋าง฼หมาะสมตามระดับความ฼สีไยง༛༛฾ดยค้านึงถึงปຑจจัยทาง฼ทค฾น฾ลยี༛༛บริบท༛༛
สภาพ฽วดลຌอม༛༛มาตรฐานทีไ฼ปຓนทีไยอมรบส้าหรบหนวยงานหรอกิจการ฿นประ฼ภทหรอลักษณะ฼ดียวกัน
຋
ั
ั
ื
ื
หรอ฿กลຌ฼คียงกัน༛༛ลักษณะ฽ละวัตถุประสงคຏของการ฼กใบรวบรวม༛༛฿ช༛༛฽ละ฼ปຂด฼ผยขຌอมูลส຋วนบุคคล༛༛
ื
ຌ
ຌ
ทรัพยากรทีไตຌอง฿ช༛༛฽ละความ฼ปຓนเปเดຌ฿นการด้า฼นินการประกอบกัน
ิ
(๑) ส้าหรบการ฼กใบรวบรวม༛༛฿ช༛༛฽ละ฼ปຂด฼ผยขຌอมูลส຋วนบุคคล฿นรป฽บบอ฼ลใกทรอนกสຏ༛༛
ຌ
ิ
ู
ั
มาตรการรกษาความมัไนคงปลอดภัยดังกล຋าว༛༛จะตຌองครอบคลุมส຋วนประกอบต຋าง༛โ༛༛ของระบบ
ั
ຌ
຋
ุ
สารสน฼ทศทีไ฼กีไยวขຌองกับการ฼กใบรวบรวม༛༛฿ช༛༛฽ละ฼ปຂด฼ผยขຌอมูลส຋วนบุคคล༛༛฼ชน༛༛ระบบ฽ละอปกรณ ຏ
ืไ
ิ
ิ
ຏ
ຏ
ืไ
จัด฼กใบขຌอมูลส຋วนบุคคล༛༛฼ครองคอมพว฼ตอร฽ม຋ข຋าย༛༛(servers)༛༛฼ครองคอมพว฼ตอรลูกข຋าย༛༛(clients)༛༛
ุ
ຏ
ຏ
ั
ื
ຌ
฽ละอปกรณต຋าง༛โ༛༛ทีไ฿ช༛༛ระบบ฼ครอข຋าย༛༛ซอฟตຏ฽วร฽ละ฽อปพลิ฼คชน༛༛อย຋าง฼หมาะสมตามระดับ
ความ฼สีไยง༛༛฾ดยค้านงถึงหลักการปງองกัน฼ชงลึก༛༛(defense༛༛in༛༛depth)༛༛ทีไควรประกอบดຌวยมาตรการ
ิ
ึ
ี
ปງองกันหลายชน༛༛(multiple༛༛layers༛༛of༛༛security༛༛controls)༛༛฼พอลดความ฼สีไยง฿นกรณทีไมาตรการ
ืไ
ัๅ
บางมาตรการมีขຌอจ้ากัด฿นการปງองกันความมัไนคงปลอดภัย฿นบางสถานการณ ຏ
ຌ
ั
(๒) มาตรการรกษาความมัไนคงปลอดภัยดังกล຋าว༛༛฿นส຋วนทีไ฼กีไยวกับการ฼ขຌาถึง༛༛฿ช༛༛
ิ
ຌ
ื
฼ปลีไยน฽ปลง༛༛฽กຌเข༛༛ลบ༛༛หรอ฼ปຂด฼ผยขຌอมูลส຋วนบุคคล༛༛อย຋างนอยตຌองประกอบดຌวยการด้า฼นนการ
ดังต຋อเปนอย຋าง฼หมาะสมตามระดับความ฼สีไยง༛༛฾ดยค้านงถึงความจ้า฼ปຓน฿นการ฼ขຌาถึง฽ละ฿ชงาน
ึ
ีๅ
ຌ
ຌ
ั
ตามลักษณะ฽ละวัตถุประสงคຏของการ฼กใบรวบรวม༛༛฿ช༛༛฽ละ฼ปຂด฼ผยขຌอมูลส຋วนบุคคล༛༛การรกษา
ความมัไนคงปลอดภัยตามระดับความ฼สีไยง༛༛ทรพยากรทีไตຌอง฿ช༛༛฽ละความ฼ปຓนเปเดຌ฿นการด้า฼นนการ
ຌ
ิ
ั
ประกอบกัน
(ก) การควบคุมการ฼ขຌาถึงขຌอมูลส຋วนบุคคล฽ละส຋วนประกอบของระบบสารสน฼ทศทีไส้าคัญ༛༛
(access༛༛control)༛༛ทีไมีการพิสูจนຏ฽ละยืนยันตัวตน༛༛(identity༛༛proofing༛༛and༛༛authentication)༛༛฽ละ
ึ
ื
ຌ
การอนญาตหรอการก้าหนดสิทธิ฿นการ฼ขຌาถึง฽ละ฿ชงาน༛༛(authorization)༛༛ทีไ฼หมาะสม༛༛฾ดยค้านงถึง
ุ
ຌ
ຌ
หลักการ฿หสิทธิ฼ท຋าทีไจ้า฼ปຓน༛༛(need-to-know༛༛basis)༛༛ตามหลักการ฿หสิทธิทีไนอยทีไสุด฼ท຋าทีไจ้า฼ปຓน༛༛
ຌ
(principle༛༛of༛༛least༛༛privilege)
(ข) การบริหารจัดการการ฼ขຌาถึงของผูຌ฿ชงาน༛༛(user access management)༛༛ทีไ฼หมาะสม༛༛
ຌ
ຌ
ซึไงอาจรวมถึงการลงทะ฼บียน฽ละการถอนสิทธิผูຌ฿ชงาน༛༛(user༛༛registration༛༛and༛༛de-registration)༛༛
การจัดการสิทธิการ฼ขຌาถึงของผูຌ฿ชຌงาน༛༛(user༛༛access༛༛provisioning)༛༛การบริหารจัดการสิทธิการ฼ขຌาถึง

95 96 97 98 99 100 101 102 103 104 105