ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565
การจัดให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสมเป็นหน้าที่ที่สำคัญของผู้ควบคุมข้อมูลส่วนบุคคล ประกาศฉบับนี้จึงได้กำหนดมาตรฐานขั้นต่ำเพื่อเป็นแนวทางในการดำเนินการสำหรับองค์กรต่าง ๆ โดยในส่วนของผู้ประกอบการขนาดเล็กควรให้ความสำคัญกับประเด็นดังต่อไปนี้
มาตรการหลัก:
- ต้องมีทั้งมาตรการเชิงองค์กร เชิงเทคนิค และเชิงกายภาพ
- คำนึงถึงการระบุความเสี่ยง การป้องกัน การตรวจสอบ การเผชิญเหตุ รวมถึงการฟื้นฟู
- มีการรักษาความลับ, ความถูกต้องครบถ้วน และความพร้อมใช้งานของข้อมูล (Confidentiality, Integrity, and Availability)
- ครอบคลุมทุกส่วนประกอบของระบบสารสนเทศที่เกี่ยวข้อง
การควบคุมการเข้าถึงข้อมูล:
- มีการพิสูจน์และยืนยันตัวตนผู้ร้องขอเข้าถึงข้อมูลส่วนบุคคล
- มีการอนุญาต/กำหนดสิทธิการเข้าถึงและใช้งานตามความเหมาะสม
- มีการบริหารจัดการสิทธิผู้ใช้งานที่ดี
- มีการกำหนดขอบเขตความรับผิดชอบของผู้ใช้งาน
- มีระบบสามารถตรวจสอบย้อนหลังได้
การสร้างความตระหนักรู้: มีการฝึกอบรมเพิ่มความรู้และแจ้งนโยบายแก่บุคลากรที่เกี่ยวข้อง
การทบทวนมาตรการ: ต้องทบทวนเมื่อจำเป็นหรือเมื่อเทคโนโลยีเปลี่ยนแปลง หรือเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
ข้อกำหนดสำหรับผู้ประมวลผลข้อมูล: ผู้ควบคุมข้อมูลต้องกำหนดให้ผู้ประมวลผลมีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม และต้องแจ้งเหตุละเมิดข้อมูลส่วนบุคคลให้ผู้ควบคุมข้อมูลทราบ
ความสัมพันธ์กับกฎหมายอื่น: หากมีกฎหมายอื่นกำหนดมาตรการไว้ ต้องปฏิบัติตามกฎหมายนั้นและต้องไม่ต่ำกว่ามาตรฐานขั้นต่ำในประกาศนี้
สำหรับผู้ประกอบการขนาดเล็ก ประกาศฉบับนี้กำหนดชัดเจนว่าให้จัดมาตรการป้องกันเท่าที่จำเป็นเหมาะสม โดยคำนึงถึงระดับความเสี่ยงขององค์กร
ที่มา : ราชกิจจานุเบกษา