Management System Policy

นโยบายระบบบริหารจัดการสารสนเทศ (Management System Policy)

บริษัท เอสไอเอส ดิสทริบิวชั่น (ประเทศไทย) จำกัด (มหาชน) (บริษัทฯ) เป็นผู้ให้บริการคลาวด์ที่มุ่งเน้นการเสริมสร้างนวัตกรรมและกระบวนการทำงานเพื่อยกระดับความปลอดภัย ความมีเสถียรภาพ และประสิทธิภาพของการให้บริการ ซึ่งบริษัทฯ ได้กำหนดนโยบายที่สอดคล้องกับวัตถุประสงค์และบริบทขององค์กร โดยเล็งเห็นถึงความสำคัญของการรักษาความมั่นคงปลอดภัยสารสนเทศในการปกป้องความลับ (Confidentiality) ความถูกต้อง (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลที่สำคัญ และคุณภาพในการบริหารจัดการงานบริการให้บรรลุวัตถุประสงค์ตามสัญญา เพื่อสร้างความเชื่อมั่นและความพึงพอใจต่อผู้ใช้บริการและผู้มีส่วนเกี่ยวข้อง โดยการสร้างกระบวนการในการปฏิบัติงานที่สอดคล้องกับมาตรฐานสากล สร้างความมั่นใจว่าข้อมูลของผู้ใช้บริการจะได้รับการรักษาความมั่นคงปลอดภัย และมีการจัดการคุณภาพของงานบริการในระดับสูงสุด

นโยบายระบบบริหารจัดการฉบับนี้ จะถูกใช้เป็นกรอบในการกำหนดและทบทวนวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศและวัตถุประสงค์ด้านการบริหารจัดการงานบริการ โดยบริษัทฯ มีความมุ่งมั่นในการสนับสนุนการดำเนินงานต่างๆ ให้เป็นไปตามหลักการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและการบริหารงานบริการ และสอดคล้องกับกฎหมาย ข้อบังคับ ข้อกำหนดตามสัญญา ข้อกำหนดของลูกค้า และข้อกำหนดอื่นที่เกี่ยวข้อง เพื่อให้การให้บริการ SiS Cloud Services มีการพัฒนาอย่างต่อเนื่องตลอดไป บริษัทฯ จึงกำหนดนโยบายระบบบริหารจัดการดังต่อไปนี้

• ให้มีการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ตามมาตรฐาน ISO/IEC 27001, แนวปฏิบัติด้านความมั่นคงปลอดภัยของข้อมูลสำหรับบริการคลาวด์ (Code of Practice for Information Security Controls for Cloud Services) ตามมาตรฐาน ISO/IEC 27017 และระบบบริหารจัดการงานบริการ (Service Management System: SMS) ตามมาตรฐาน ISO/IEC 20000-1, ระบบบริหารจัดการข้อมูลส่วนบุคคล (Privacy Information Management System: PIMS) ตามมาตรฐาน ISO/IEC 27701, ปกป้องข้อมูลส่วนบุคคลบนบริการคลาวด์ (Personally Identifiable Information – PII) ตามมาตรฐาน ISO/IEC 27018 และได้รับการรับรองจาก Certification Body
• ให้ผู้บริหาร พนักงานและบุคลากรที่เกี่ยวข้องทำความเข้าใจ รับทราบ ยืนยันการรับทราบตามวิธีการที่บริษัทฯ กำหนด และมีส่วนร่วมในการดำเนินงานของระบบบริหารจัดการ
• ผู้บริหารและพนักงานต้องตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยสารสนเทศและข้อมูลส่วนบุคคล, ความมั่นคงปลอดภัยของข้อมูลสำหรับบริการคลาวด์ และการบริหารจัดการงานบริการ และปฏิบัติตามกฎหมายความมั่นคงปลอดภัยของข้อมูลและข้อมูลส่วนบุคคล นโยบาย ระเบียบ หรือขั้นตอนปฏิบัติที่กำหนด รวมถึงข้อกำหนดตามสัญญา ข้อกำหนดของลูกค้า และข้อกำหนดอื่นที่เกี่ยวข้อง
• ผู้บริหารและพนักงานที่ได้รับมอบหมาย มีหน้าที่จัดทำ นำไปปฏิบัติ ทบทวน และปรับปรุงแก้ไขระบบบริหารจัดการของบริษัทฯรวมถึงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ระบบบริหารจัดการงานบริการ (SMS) และบริการต่างๆ ของบริษัทฯ อย่างต่อเนื่อง ให้มีความครบถ้วน ถูกต้อง เป็นปัจจุบัน และพร้อมใช้งานอยู่เสมอ
• บริษัทฯ กำหนดให้นโยบายและมาตรการด้านความมั่นคงปลอดภัยสารสนเทศสำหรับบริการคลาวด์ครอบคลุมข้อกำหนดพื้นฐานด้านความมั่นคงปลอดภัยที่ใช้กับการออกแบบ การพัฒนา การติดตั้ง และการให้บริการคลาวด์ การประเมินและจัดการความเสี่ยงจากบุคลากรภายในที่ได้รับสิทธิ์ การรองรับสภาพแวดล้อมแบบหลายผู้เช่า (multi-tenancy) และการแยกทรัพยากรหรือสภาพแวดล้อมของลูกค้า รวมถึงเทคโนโลยีเสมือนจริง (virtualization) การควบคุมการเข้าถึงทรัพย์สินและข้อมูลของลูกค้าโดยบุคลากรของบริษัทฯ การควบคุมการเข้าถึงและการพิสูจน์ตัวตนที่เหมาะสม โดยเฉพาะการเข้าถึงในการจัดการระบบ การสื่อสารกับลูกค้าในระหว่างกระบวนการบริหารการเปลี่ยนแปลง การรักษาความมั่นคงปลอดภัยของระบบเสมือนจริง การเข้าถึงและการปกป้องข้อมูลของลูกค้า การบริหารจัดการวงจรชีวิตบัญชีผู้ใช้ของลูกค้า และการสื่อสารเหตุละเมิดหรือเหตุการณ์ด้านความมั่นคงปลอดภัย รวมถึงแนวทางการแบ่งปันข้อมูลเพื่อสนับสนุนการสืบสวนและนิติวิทยาศาสตร์ดิจิทัลตามความเหมาะสม
• นโยบายฉบับนี้ต้องได้รับการจัดทำและคงไว้เป็นเอกสารสารสนเทศที่เป็นลายลักษณ์อักษร ได้รับการอนุมัติโดยผู้บริหารระดับสูงหรือผู้มีอำนาจที่ได้รับมอบหมาย มีการสื่อสาร เผยแพร่ และทำให้พนักงานและบุคลากรที่เกี่ยวข้องรับทราบภายในองค์กร และเปิดเผยให้ผู้มีส่วนได้เสียที่เกี่ยวข้องสามารถเข้าถึงได้ตามความเหมาะสม
• บริษัทฯ จะทบทวนนโยบายฉบับนี้อย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญต่อองค์กร ธุรกิจ บริการ ความเสี่ยง เทคโนโลยี กฎหมาย หรือข้อกำหนดที่เกี่ยวข้อง เพื่อให้มั่นใจว่านโยบายยังคงมีความเหมาะสม เพียงพอ มีประสิทธิผล และสอดคล้องกับการปรับปรุงอย่างต่อเนื่องของระบบบริหารจัดการ

ประกาศ ณ วันที่ 20 พฤษภาคม 2569