Cybersecurity

เสริมความมั่นคงให้ธุรกิจด้วยระบบความปลอดภัยมาตรฐานสากล เพื่อการดูแลข้อมูลอย่างรอบด้านในยุคดิจิทัล

Our Solution
Talk to Us

Security Builds Trust

นโยบายด้านความมั่นคง
ปลอดภัยไซเบอร์

นโยบายฉบับนี้จัดทำขึ้นเพื่อสร้างความเชื่อมัมั่นให้แก่ลูกค้าว่า การดำเนินธุรกิจและการดูแลด้านความปลอดภัยของข้อมูลขององค์กรดำเนินไปควบคู่กันอย่างเป็นระบบ เพื่อลดความเสี่ยงจากการโจมตีทางไซเบอร์ และเตรียมความพร้อมในการรับมือกับเหตุการณ์ด้านความปลอดภัยอย่างเหมาะสม เพื่อลดผลกระทบที่อาจเกิดขึ้น แนวทางและหลักปฏิบัติตามนโยบายนี้ยังช่วยส่งเสริมให้พนักงานมีความตระหนักในการดูแลและปกป้องข้อมูลส่วนบุคคลของตนเองควบคู่ไปกับการปฏิบัติงาน

หมายเหตุ: เนื้อหาที่ระบุไว้ในหน้านี้เป็นข้อมูลทั่วไปเกี่ยวกับแนวปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร เพื่อใช้เป็นข้อมูลอ้างอิงสาธารณะเท่านั้น การปฏิบัติตามข้อกำหนด นโยบาย หรือมาตรการที่มีผลผูกพันอย่างเป็นทางการ ให้ยึดตามเอกสารภายในของบริษัท สัญญากับลูกค้า หรือข้อกำหนดจากหน่วยงานรับรองที่เกี่ยวข้องเป็นหลัก

  1. นโยบายความมั่นคงปลอดภัยไซเบอร์ขององค์กร
  2. การบริหารจัดการความเสี่ยง
  3. โครงสร้างความรับผิดชอบ บทบาท และหน้าที่
  4. แนวทางปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์
  5. การควบคุมการเข้าถึงพื้นที่และทรัพย์สินทางกายภาพ
  6. การบริหารและจัดการทรัพย์สินขององค์กร
  7. การดูแลและรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ
  8. แผนรับมือเหตุการณ์ด้านความปลอดภัยและการติดต่อกรณีฉุกเฉิน
  9. การดำเนินธุรกิจอย่างต่อเนื่องและข้อกำหนดทางกฎหมาย
  • Authentication (การยืนยันตัวตน) กระบวนการตรวจสอบตัวตนของผู้ใช้งานก่อนเข้าถึงระบบ เช่น การใช้รหัสผ่านที่มีความปลอดภัย การยืนยันตัวตนหลายขั้นตอน (Multi-Factor Authentication)
  • Company/Corporate (บริษัท / องค์กร) ใช้แทนชื่อบริษัท เอ็มโอแค็ป จำกัด (MOCAP Limited) ในเอกสารฉบับนี้
  • Certifications / Industry Standards (มาตรฐานและการรับรอง) มาตรฐานด้านความปลอดภัยที่ได้รับการยอมรับในระดับสากล เช่น ISO/IEC 27001 และ PCI DSS
  • DR – Disaster Recovery (แผนกู้คืนระบบกรณีฉุกเฉิน) แนวทางและสถานที่สำรองที่จัดเตรียมไว้เพื่อให้สามารถดำเนินธุรกิจต่อได้ เมื่อเกิดเหตุขัดข้องหรือเหตุฉุกเฉินที่กระทบต่อระบบหลัก
  • Employee / Staff (พนักงาน) บุคลากรทุกตำแหน่งของบริษัท ไม่ว่าจะเป็นพนักงานประจำหรือสัญญาจ้าง เว้นแต่จะมีการระบุไว้เป็นกรณีเฉพาะ
  • End Point Security (ความปลอดภัยของอุปกรณ์ปลายทาง) มาตรการรักษาความปลอดภัยสำหรับอุปกรณ์ที่เชื่อมต่อกับระบบขององค์กร เช่น คอมพิวเตอร์ โทรศัพท์มือถือ รวมถึงซอฟต์แวร์ป้องกันไวรัส การควบคุมอุปกรณ์ และระบบป้องกันการรั่วไหลของข้อมูล
  • Hardening (การเสริมความปลอดภัยของระบบ) กระบวนการปรับตั้งค่าระบบและอุปกรณ์ให้มีความปลอดภัยมากขึ้น เช่น การลบซอฟต์แวร์ที่ไม่จำเป็น การอุดช่องโหว่ การตั้งค่าควบคุมความปลอดภัย และการอัปเดตระบบให้เป็นเวอร์ชันล่าสุด
  • SLA – Service Level Agreement (ข้อตกลงระดับการให้บริการ) ข้อตกลงร่วมกันระหว่างผู้ให้บริการและผู้รับบริการ ที่กำหนดระดับการให้บริการ ระยะเวลาในการแก้ไขปัญหา และเงื่อนไขที่ยอมรับได้ของทั้งสองฝ่าย

Policy & Risk

นโยบายที่ชัดเจน การปฏิบัติตามข้อกำหนด และมาตรการควบคุมความเสี่ยง เพื่อช่วยลดโอกาสและผลกระทบจากภัยคุกคามด้านความปลอดภัย

Response & Continuity

การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างรวดเร็ว การสำรองข้อมูล และแผนกู้คืนระบบ เพื่อให้ธุรกิจสามารถดำเนินงานได้อย่างต่อเนื่อง

ระบบความปลอดภัย

การควบคุมการเข้าถึงที่เหมาะสม ระบบป้องกันเครือข่าย และการดูแลความปลอดภัยของอุปกรณ์ เพื่อรองรับการดำเนินงานในทุกส่วนขององค์กร

หัวข้อบทความ

  • องค์กรกำหนดแนวทางด้านความมั่นคงปลอดภัยไซเบอร์ให้เป็นส่วนหนึ่งของกลยุทธ์และมาตรฐานการดำเนินงานของบริษัท
  • แต่งตั้งผู้รับผิดชอบและคณะทำงานที่เกี่ยวข้อง เพื่อกำกับดูแลและบริหารจัดการด้านความปลอดภัยของข้อมูล
  • ส่งเสริมและกำกับให้มีการปฏิบัติตามกระบวนการขององค์กรอย่างครบถ้วน รวมถึงกิจกรรมที่เกี่ยวข้อง เช่น การอบรมสร้างความตระหนัก การประเมินความเสี่ยง และการทดสอบแผนรับมือเหตุการณ์
  • กำหนดให้พนักงาน คู่สัญญา และพันธมิตรทางธุรกิจที่เกี่ยวข้อง ลงนามในข้อตกลงรักษาความลับของข้อมูล (Non-Disclosure Agreement: NDA)
  • นำนโยบายและมาตรฐานที่ได้รับการรับรองในระดับอุตสาหกรรมมาใช้ เช่น ISO และ PCI DSS
  • ปฏิบัติตามและทบทวนข้อกำหนดด้านกฎหมายและระเบียบที่เกี่ยวข้องอย่างสม่ำเสมอ
  • ดำเนินการและติดตามการประเมินความเสี่ยงอย่างสม่ำเสมออย่างน้อยปีละครั้ง เพื่อระบุความเสี่ยงใหม่ และติดตามสถานะของความเสี่ยงที่มีอยู่
  • กำหนดเกณฑ์การประเมินโดยคำนึงถึงความลับของข้อมูล ความถูกต้องครบถ้วน และความพร้อมใช้งานของข้อมูล
  • ติดตามแผนการจัดการความเสี่ยง การให้คะแนนความเสี่ยง และการดำเนินการแก้ไขอย่างเหมาะสม สำหรับรายการที่จำเป็นต้องมีแผนปรับปรุงแก้ไข
  • พนักงานต้องปฏิบัติตามกระบวนการ การอบรม และข้อกำหนดด้านการปฏิบัติตามนโยบายขององค์กร รวมถึงข้อกำหนดที่เกี่ยวข้องกับงานและหน้าที่ความรับผิดชอบของตน
  • ใช้งานอุปกรณ์และทรัพยากรขององค์กรอย่างถูกต้องและปลอดภัย
  • ติดตามและรายงานกรณีที่ไม่เป็นไปตามข้อกำหนด พร้อมยกระดับการแจ้งเตือนอย่างเหมาะสมเมื่อพบเหตุผิดปกติหรือการละเมิด
  • การอนุญาตให้เข้าถึงระบบหรือทรัพยากรต่าง ๆ ให้ยึดหลัก “จำเป็นต่อการใช้งาน” เท่านั้น
  • ผู้บังคับบัญชาและผู้บริหาร มีหน้าที่กำกับดูแลและติดตามระดับความตระหนัก ความเข้าใจ และการปฏิบัติตามแนวทางด้านความมั่นคงปลอดภัยไซเบอร์ของพนักงาน
  • ผู้บังคับบัญชาและผู้บริหาร มีหน้าที่ส่งเสริมให้พนักงานได้รับการอบรม และมีความเข้าใจในการปฏิบัติงานด้านความปลอดภัยของข้อมูลอย่างเหมาะสม
  • พนักงานอาจอยู่ภายใต้การดำเนินการทางวินัยหรือการดำเนินการตามกฎหมาย หากตรวจพบว่าการไม่ปฏิบัติตามข้อกำหนดก่อให้เกิดความเสียหาย หรือไม่ปฏิบัติตามมาตรการควบคุมด้านความปลอดภัยตามบทบาทหน้าที่ที่ได้รับมอบหมาย
  • ปฏิบัติตามแนวทางการใช้งานทรัพยากรขององค์กรที่เหมาะสม (Acceptable Use Policy: AUP) ตามคู่มือหรือระเบียบของหน่วยงาน ควบคู่กับแนวปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์ฉบับนี้
  • เข้าร่วมการอบรมด้านความมั่นคงปลอดภัยไซเบอร์อย่างสม่ำเสมอ และผ่านการประเมินหรือทดสอบตามที่กำหนด
  • ปฏิบัติตามแนวทางด้านความปลอดภัยที่ได้รับจากการอบรม เพื่อป้องกันภัยคุกคาม เช่น ไวรัส มัลแวร์ แรนซัมแวร์ การพยายามเจาะระบบ การหลอกลวงทางอีเมล และการหลอกลวงทางสังคม
  • ดูแลอุปกรณ์และระบบให้มีความปลอดภัย โดยใช้รหัสผ่านที่เหมาะสม การยืนยันตัวตนหลายขั้นตอน และอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด
  • หลีกเลี่ยงการใช้อุปกรณ์สาธารณะ หรืออุปกรณ์ที่ไม่ทราบแหล่งที่มาในการดำเนินงานขององค์กร
  • ห้ามใช้อุปกรณ์ขององค์กรเพื่อสนับสนุน หรือเป็นส่วนหนึ่งของการโจมตีทางไซเบอร์ หรือกิจกรรมที่ผิดกฎหมาย
  • ห้ามนำอุปกรณ์ส่วนบุคคล หรืออุปกรณ์ที่ไม่ได้รับอนุญาต รวมถึงโทรศัพท์มือถือ เข้ามาใช้งานในพื้นที่ปฏิบัติงานของศูนย์บริการลูกค้า
  • แจ้งเหตุทันทีเมื่อพบหรือสงสัยว่าอุปกรณ์ ระบบ หรือการดำเนินการใด ๆ มีความเสี่ยงหรือไม่ปลอดภัย
  • ในกรณีที่ไม่แน่ใจ ให้ติดต่อหน่วยงานเทคโนโลยีสารสนเทศเพื่อขอคำแนะนำและการสนับสนุน
  • กำหนดและบังคับใช้การควบคุมการเข้าถึงพื้นที่ ห้อง และบริเวณปฏิบัติงานขององค์กรอย่างเหมาะสม
  • พนักงานต้องปฏิบัติตามระเบียบการใช้งานบัตรพนักงาน และแนวทางด้านการรักษาความปลอดภัยที่กำหนด
  • แยกหน้าที่ความรับผิดชอบในการดูแลและควบคุมบัตรพนักงานอย่างชัดเจน เพื่อลดความเสี่ยงด้านการทุจริตหรือการใช้งานโดยมิชอบ
  • ติดตั้งระบบกล้องวงจรปิด และระบบเฝ้าระวังหรือแจ้งเตือนด้านความปลอดภัยในจุดสำคัญ
  • จัดให้มีกระบวนการลงทะเบียน ติดตาม และควบคุมผู้มาติดต่อหรือผู้เยี่ยมชมอย่างเหมาะสม
  • การติดตาม ตรวจสอบ และบริหารจัดการทรัพย์สินขององค์กรตามแนวปฏิบัติมาตรฐาน และข้อกำหนดของการรับรองด้านความปลอดภัย
  • การใช้เครื่องมือในการติดตามทรัพย์สิน การบันทึกการเปลี่ยนแปลง และการระบุผู้รับผิดชอบทรัพย์สินอย่างชัดเจน
  • การจัดทำเอกสารและกำหนดแนวทางการใช้งานทรัพย์สินขององค์กรอย่างเหมาะสมและเป็นที่ยอมรับโดยทั่วไป

  • ขอบเขตการบังคับใช้ : มาตรการควบคุมด้านความปลอดภัยตามบทความนี้ ให้มีผลครอบคลุมทั้งระบบที่ใช้งานภายในองค์กร และระบบบนโครงสร้างพื้นฐานแบบคลาวด์ ศูนย์ข้อมูล ระบบ และทรัพย์สินสารสนเทศที่เกี่ยวข้อง ซึ่งอยู่ภายใต้ขอบเขตการให้บริการตามสัญญาของบริษัท

      • ดูแลและรักษาความปลอดภัยของเครือข่ายด้วยการวางระบบไฟร์วอลล์อย่างเหมาะสม การแบ่งส่วนเครือข่าย และการอัปเดตเฟิร์มแวร์หรือระบบปฏิบัติการให้เป็นเวอร์ชันล่าสุด
      • ควบคุมและกรองการเข้าถึงเว็บไซต์ เพื่อป้องกันความเสี่ยงจากการรั่วไหลของข้อมูลหรือเว็บไซต์ที่ไม่เหมาะสม
      • ใช้มาตรการรักษาความปลอดภัยของอุปกรณ์ปลายทาง เช่น โปรแกรมป้องกันไวรัส และการสแกนระบบเป็นประจำ
      • ปรับตั้งค่าและเสริมความปลอดภัยของอุปกรณ์และเซิร์ฟเวอร์ตามมาตรฐานการรับรอง และการประเมินช่องโหว่ด้านความปลอดภัย
      • กำหนดระบบควบคุมอีเมล เพื่อจัดการสแปมและการกรองข้อมูลที่ไม่พึงประสงค์
      • กำหนดสิทธิ์การใช้งานโดเมน การติดตั้งซอฟต์แวร์ และการใช้งานอุปกรณ์จัดเก็บข้อมูลอย่างเข้มงวด
      • ควบคุมการเข้าถึงระบบและเครือข่ายของบุคคลภายนอกให้จำกัดเฉพาะที่จำเป็น และเป็นไปตามข้อกำหนดที่กำหนดไว้ถนน ระบบและเครือข่ายที่เชื่อมต่อกับอุปกรณ์ปาร์ตี้
      • ห้ามการเข้าถึงระบบจากระยะไกล เว้นแต่จะได้รับอนุญาตอย่างชัดเจน
      • ใช้มาตรการเข้ารหัสข้อมูลทั้งระหว่างการส่งและการจัดเก็บข้อมูล เมื่อมีความเหมาะสม
  • จัดทำแผนรับมือเหตุการณ์ด้านความปลอดภัย และคู่มือแนวทางการดำเนินการ (Playbook) ให้เป็นส่วนหนึ่งของกลยุทธ์และกระบวนการดำเนินงานขององค์กร
  • สร้างความตระหนักและความเข้าใจเกี่ยวกับช่องทางการแจ้งเหตุ การยกระดับเหตุการณ์ และโครงสร้างการติดต่อในกรณีฉุกเฉิน
  • ดำเนินการอบรม การซ้อมแผน และการบันทึกผลการรับมือเหตุการณ์อย่างสม่ำเสมอ
  • จัดให้มีกระบวนการบันทึกข้อมูลเหตุการณ์ มาตรการแก้ไข และการดำเนินการตามที่กฎหมายหรือข้อกำหนดที่เกี่ยวข้องกำหนด
  • จัดทำและบูรณาการแผนความต่อเนื่องทางธุรกิจให้เป็นส่วนหนึ่งของกลยุทธ์และกระบวนการดำเนินงานขององค์กร
  • กำหนดข้อตกลงระดับการให้บริการ (SLA) ที่ชัดเจนเกี่ยวกับระยะเวลาและเป้าหมายในการกู้คืนระบบ
  • จัดให้มีการสำรองข้อมูลอย่างสม่ำเสมอ พร้อมกระบวนการตรวจสอบความถูกต้องของข้อมูลสำรอง
  • บริหารจัดการความซ้ำซ้อนของอุปกรณ์และฮาร์ดแวร์ เพื่อรองรับการดำเนินงานในกรณีฉุกเฉิน
  • กระจายความเสี่ยงด้านระบบและผู้ให้บริการ เพื่อลดผลกระทบจากการหยุดชะงักของบริการ
  • ดำเนินการทดสอบและซ้อมแผนอย่างน้อยปีละครั้ง เพื่อให้แผนกู้คืนระบบและความต่อเนื่องทางธุรกิจสามารถใช้งานได้จริง

ความมั่นคงปลอดภัยไซเบอร์
เพื่อปกป้องธุรกิจของคุณ

ตั้งแต่นโยบายที่รัดกุมไปจนถึงมาตรการป้องกันขั้นสูง เราดูแลข้อมูล ระบบ และการดำเนินงานขององค์กรให้ปลอดภัย เป็นไปตามข้อกำหนด และพร้อมรับมือกับความเสี่ยงที่เปลี่ยนแปลงอยู่เสมอ

แบบฟอร์มติดต่อสอบถามอื่นๆ

เอ็มโอแค็ป คือผู้ให้บริการเอาท์ซอร์สที่ลูกค้าไว้วางใจ ด้วยความเชี่ยวชาญด้าน Contact Center, BPO และการวิจัยตลาด

  • +66-2203-9000
  • inquiry@mocap.co.th

COMPANY INFO

หน้าแรก

เกี่ยวกับเรา

Our Services

กรณีศึกษา

Join Our Team

TERMS & PRIVACY

นโยบายความเป็นส่วนตัว

Shareholders

Mitsui & Co., Ltd.

Loxbit PCL

Altius Link, Inc.

Work Hours

  • จันทร์-ศุกร์ 08:30-17:30 น.

ติดต่อผู้เชี่ยวชาญของเราเพื่อหารือเกี่ยวกับโซลูชัน Contact Center, BPO และการวิจัยตลาดที่ออกแบบมาเพื่อความสำเร็จของคุณ.

ติดต่อเราที่นี่

ลิขสิทธิ์ © 2026 สงวนลิขสิทธิ์ บริษัท เอ็มโอแคป จำกัด