นโยบายการรักษาความมั่นคงปลอดภัย และนโยบายการคุ้มครองข้อมูลส่วนบุคคล

เอกสารฉบับนี้กำหนดกรอบการดำเนินงานเพื่อคุ้มครองระบบสารสนเทศและข้อมูลส่วนบุคคลของผู้ใช้บริการเว็บไซต์อย่างเป็นระบบและโปร่งใส

ปรับปรุงล่าสุด: 5 พฤศจิกายน 2568 ฉบับนี้ครอบคลุมการปฏิบัติและมาตรการเชิงเทคนิคและเชิงบริหาร

นโยบายการรักษาความมั่นคงปลอดภัย

วัตถุประสงค์: เพื่อปกป้องความลับ, ความสมบูรณ์ และความพร้อมใช้งานของระบบและข้อมูล

ขอบเขต

นโยบายนี้ครอบคลุมระบบสารสนเทศทั้งหมดที่ดำเนินการภายใต้โดเมนเว็บไซต์ รวมถึงเซิร์ฟเวอร์ แอปพลิเคชัน ฐานข้อมูล และระบบสำรองข้อมูล

หลักการสำคัญ

  1. การควบคุมการเข้าถึงตามบทบาท (Role-based Access Control) และการใช้หลักการสิทธิ์ต่ำสุด
  2. การเข้ารหัสข้อมูลทั้งขณะส่งและขณะพักเก็บ โดยใช้มาตรฐานปัจจุบัน
  3. การบำรุงรักษาและแพตช์ระบบอย่างสม่ำเสมอ
  4. การตรวจสอบและบันทึกการใช้งาน (logging) เพื่อการวิเคราะห์เหตุการณ์ด้านความมั่นคง
  5. การฝึกอบรมความตระหนักด้านความมั่นคงสำหรับพนักงานและผู้ดูแลระบบ

มาตรการเชิงเทคนิค

  • ใช้ HTTPS/TLS สำหรับการสื่อสารทั้งหมด
  • จัดการรหัสผ่านให้เป็นไปตามนโยบายความซับซ้อนและบังคับใช้การยืนยันตัวตนแบบสองขั้นตอนสำหรับผู้ดูแลระบบ
  • สำรองข้อมูลเป็นประจำและทดสอบการกู้คืนข้อมูลอย่างน้อยรายไตรมาส
  • ติดตั้งระบบตรวจจับการบุกรุก (IDS/IPS) และระบบป้องกันเว็บแอปพลิเคชัน (WAF) ตามความเหมาะสม

การบริหารความเสี่ยง

จัดทำการประเมินความเสี่ยงอย่างน้อยปีละครั้ง ระบุช่องโหว่และจัดลำดับความสำคัญของการแก้ไขตามผลกระทบและความน่าจะเป็น

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

วัตถุประสงค์: ระบุแนวปฏิบัติในการเก็บ ใช้ เปิดเผย และคุ้มครองข้อมูลส่วนบุคคลของผู้ใช้

นิยาม

"ข้อมูลส่วนบุคคล" หมายถึงข้อมูลที่สามารถระบุตัวบุคคลได้โดยตรงหรือโดยอ้อม เช่น ชื่อ เบอร์ติดต่อ ที่อยู่อีเมล หมายเลขบัตรประจำตัว

หลักการเก็บรวบรวมและการใช้ข้อมูล

  1. ความชอบธรรมและความโปร่งใส: แจ้งผู้ใช้เกี่ยวกับจุดประสงค์การเก็บข้อมูลและวิธีการใช้งาน
  2. จำกัดวัตถุประสงค์: เก็บเฉพาะข้อมูลที่จำเป็นต่อการให้บริการ
  3. ความถูกต้อง: รักษาข้อมูลให้ถูกต้องและเป็นปัจจุบัน

ประเภทข้อมูลที่เก็บ

  • ข้อมูลที่ใช้สำหรับการติดต่อ เช่น ชื่อ-สกุล อีเมล และเบอร์โทรศัพท์
  • ข้อมูลการใช้งานเว็บไซต์ (log files, cookies, IP address) เพื่อปรับปรุงบริการและวิเคราะห์การใช้งาน

สิทธิของเจ้าของข้อมูล

เจ้าของข้อมูลมีสิทธิขอเข้าถึง แก้ไข ลบ ระงับการประมวลผล และคำร้องคัดค้านการใช้ข้อมูล ซึ่งสามารถติดต่อผ่านช่องทางที่ระบุไว้ในส่วนการติดต่อ

การเปิดเผยข้อมูลต่อบุคคลที่สาม

การส่งต่อข้อมูลไปยังบุคคลที่สามจะทำเฉพาะในกรณีที่จำเป็นหรือได้รับความยินยอมจากเจ้าของข้อมูล เช่น ผู้ให้บริการคลาวด์ ผู้ให้บริการชำระเงิน โดยมีการทำสัญญาควบคุมความลับและมาตรการรักษาความปลอดภัย

การเก็บรักษาและการทำลายข้อมูล

กำหนดระยะเวลาการเก็บข้อมูลตามวัตถุประสงค์และกฎหมายที่เกี่ยวข้อง เมื่อหมดอายุให้ทำลายข้อมูลอย่างปลอดภัยหรือแยกไม่ให้สามารถระบุเจ้าของข้อมูลได้

การกำกับดูแลและความรับผิดชอบ

กำหนดบทบาทผู้รับผิดชอบ (Data Protection Officer / Security Officer) และช่องทางการรายงานความเสี่ยง รวมทั้งนโยบายการฝึกอบรมและการจัดการเอกสารที่เกี่ยวข้อง

การตอบสนองต่อเหตุการณ์ด้านความมั่นคง

  1. เตรียมแผนตอบสนองเหตุการณ์ (Incident Response Plan) พร้อมขั้นตอนการกักกัน วิเคราะห์ และกู้คืน
  2. แจ้งผู้เกี่ยวข้องและผู้ได้รับผลกระทบตามหลักกฎหมายและแนวปฏิบัติที่เหมาะสม
  3. ทบทวนสาเหตุและดำเนินการป้องกันเพื่อไม่ให้เกิดซ้ำ

ช่องทางติดต่อ

หากมีข้อสงสัย หรือต้องการใช้สิทธิของเจ้าของข้อมูล กรุณาติดต่อ:

  • อีเมล: tambolplalo@hotmail.com
  • โทร: 0-4216- 5214
  • ที่อยู่: หมู่4 อาคารสำนักงานเทศบาลตำบลปลาโหล ตำบลปลาโหล อำเภอวาริชภูมิ จังหวัด จังหวัดสกลนคร 47150

เอกสารฉบับเต็มนี้สามารถปรับให้สอดคล้องกับข้อกำหนดทางกฎหมายและนโยบายองค์กรที่เฉพาะเจาะจง