1. บทนำและจุดประสงค์

1.1 Rheonics มุ่งมั่นที่จะปกป้องทรัพย์สินข้อมูลของตน รวมถึงข้อมูลกรรมสิทธิ์ ข้อมูลลูกค้า ทรัพย์สินทางปัญญา และโครงสร้างพื้นฐานด้านไอที จากการเข้าถึง การใช้ การเปิดเผย การเปลี่ยนแปลง การหยุดชะงัก หรือการทำลายที่ไม่ได้รับอนุญาต

1.2 นโยบายนี้กำหนดกรอบการทำงานเพื่อรักษาสภาพแวดล้อมที่ปลอดภัยสำหรับ Rheonics' การปฏิบัติการแบบดิจิทัล สอดคล้องกับ:

• กฎระเบียบ: FADP ของสวิส, GDPR (ถ้ามี), กฎหมายของรัฐ/รัฐบาลกลางของสหรัฐอเมริกา และกฎหมายระดับชาติอื่นๆ ที่เกี่ยวข้อง Rheonics ดำเนินการ
• มาตรฐาน: หลักการ Zero Trust, เกณฑ์มาตรฐาน CIS, แนวปฏิบัติ NIST (เช่น SP 800-88, SP 800-171 เมื่อใช้ได้) และแนวปฏิบัติ OWASP

1.3 วัตถุประสงค์:

• ปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งาน (CIA) ของข้อมูลและระบบ
• ลดความเสี่ยงจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์และให้แน่ใจว่าธุรกิจมีความต่อเนื่อง
• ส่งเสริมวัฒนธรรมการตระหนักด้านความปลอดภัยให้กับบุคลากรทุกคน
• ให้เป็นไปตามข้อผูกพันทางกฎหมาย ข้อบังคับ และสัญญา

2 ขอบเขต

ใช้ได้กับทุกคน Rheonics พนักงาน ผู้รับเหมา ที่ปรึกษา ผู้ฝึกงาน อาสาสมัคร และบุคคลที่สาม (“ผู้ใช้”) ที่เข้าถึง Rheonics ระบบ ข้อมูล หรือสิ่งอำนวยความสะดวก ครอบคลุม:

2.1 สินทรัพย์

• ฮาร์ดแวร์
• ซอฟต์แวร์ (รวมถึง SaaS/IaaS/PaaS)
• ข้อมูล (อิเล็กทรอนิกส์และกายภาพ)
• เครือข่าย
• สิ่งอำนวยความสะดวกทางกายภาพ

กิจกรรม 2.2

• งานนอกสถานที่
• ทำงานจากระยะไกล
• การใช้อุปกรณ์ที่เป็นของบริษัท
• การใช้อุปกรณ์ส่วนตัว (BYOD)
• กิจกรรมพัฒนา
• การโต้ตอบระหว่างผู้จำหน่ายบุคคลที่สาม

3. บทบาทและความรับผิดชอบ

4. คำแถลงนโยบาย

4.1 ความปลอดภัยของข้อมูล

• การจำแนกประเภทและการจัดการ: ข้อมูลจะต้องได้รับการจำแนกและจัดการตามความละเอียดอ่อน (ดูภาคผนวก A) ความต้องการจะเพิ่มขึ้นตามความละเอียดอ่อน

• การเข้ารหัสลับ: ข้อมูลที่จำกัดและเป็นความลับจะต้องได้รับการเข้ารหัสทั้งในขณะที่ไม่ได้ใช้งานและระหว่างการส่งโดยใช้อัลกอริทึมมาตรฐานอุตสาหกรรมที่แข็งแกร่ง

• การกำจัด: ต้องใช้วิธีการที่ปลอดภัย: การลบข้อมูลที่สอดคล้องกับ NIST SP 800-88 สำหรับสื่ออิเล็กทรอนิกส์ การทำลายเอกสารแบบตัดขวาง (P-4 หรือสูงกว่า) สำหรับเอกสารทางกายภาพที่มีข้อมูลที่เป็นความลับหรือข้อมูลที่จำกัด ต้องปฏิบัติตามกำหนดการการเก็บข้อมูล

4.2 การควบคุมการเข้าถึง

• สิทธิพิเศษน้อยที่สุด & RBAC: การอนุญาตการเข้าถึงขึ้นอยู่กับความจำเป็นของฟังก์ชันงาน (สิทธิ์ขั้นต่ำ) โดยใช้การควบคุมการเข้าถึงตามบทบาท (RBAC)

• รับรองความถูกต้อง: จำเป็นต้องมีรหัสผู้ใช้เฉพาะ รหัสผ่านที่แข็งแกร่ง (ดูภาคผนวก B) และ MFA เป็นสิ่งจำเป็นสำหรับบริการคลาวด์ การเข้าถึงระยะไกล บัญชีผู้ดูแลระบบ และระบบที่จัดการข้อมูลที่เป็นความลับ/จำกัด

• วิจารณ์: ผู้จัดการ/เจ้าของระบบจะตรวจสอบสิทธิ์การเข้าถึงทุกไตรมาส และเพิกถอนสิทธิ์ทันทีเมื่อสิ้นสุดหรือเปลี่ยนบทบาท จำเป็นต้องมีกระบวนการอนุมัติอย่างเป็นทางการสำหรับการอนุญาต/เปลี่ยนแปลงสิทธิ์การเข้าถึง

4.3 นโยบายการใช้งานที่ยอมรับได้ (AUP)

• วัตถุประสงค์ทางธุรกิจ: Rheonics ทรัพยากรส่วนใหญ่มีไว้สำหรับการใช้งานทางธุรกิจ อนุญาตให้ใช้งานส่วนตัวในขอบเขตจำกัดได้ หากไม่รบกวนหน้าที่ ใช้ทรัพยากรมากเกินไป ไม่ก่อให้เกิดต้นทุน หรือละเมิดนโยบาย/กฎหมาย

• กิจกรรมต้องห้าม: รวมถึงแต่ไม่จำกัดเพียง: กิจกรรมที่ผิดกฎหมาย การคุกคาม การเข้าถึง/แจกจ่ายสื่อที่น่ารังเกียจ การละเมิดลิขสิทธิ์ การปรับเปลี่ยนระบบที่ไม่ได้รับอนุญาต การหลีกเลี่ยงการควบคุมความปลอดภัย การติดตั้งซอฟต์แวร์ที่ไม่ได้รับอนุญาต การนำมัลแวร์เข้ามา การแบ่งปัน/การแยกข้อมูลที่ไม่ได้รับอนุญาต การใช้งานส่วนบุคคลที่มากเกินไป

• การเฝ้าระวังผู้ใช้: ผู้ใช้จะต้องใช้ความระมัดระวังในการใช้อีเมล์ (ฟิชชิ่ง) การท่องเว็บ (เว็บไซต์ที่เป็นอันตราย) และการจัดการไฟล์แนบ/ลิงก์

4.4 ความปลอดภัยของเครือข่าย

• เส้นรอบวงและการแบ่งส่วน: ไฟร์วอลล์ IDS/IPS บำรุงรักษา การแบ่งส่วนเครือข่ายจะแยกระบบที่สำคัญ (เช่น การวิจัยและพัฒนา การผลิต) และที่เก็บข้อมูลออกจากกัน

• บริการ Wi-Fi: รักษาความปลอดภัย WPA3-Enterprise (หรือ WPA2-Enterprise ขั้นต่ำ) สำหรับเครือข่ายภายใน Wi-Fi สำหรับแขกจะต้องแยกออกจากกันโดยตรรกะและไม่อนุญาตให้เข้าถึงทรัพยากรภายใน

• การเข้าถึงระยะไกล: ใช้ได้เฉพาะผ่าน VPN ที่บริษัทอนุมัติพร้อม MFA เท่านั้น การแยกอุโมงค์อาจถูกจำกัด

• ศูนย์ความไว้วางใจ: การนำหลักการของสถาปัตยกรรม Zero Trust มาใช้ (เช่น การแบ่งส่วนข้อมูลขนาดเล็ก การตรวจยืนยันอย่างต่อเนื่อง การตรวจสอบสุขภาพอุปกรณ์) ยังคงดำเนินต่อไป โดยตั้งเป้าว่าจะแล้วเสร็จภายในไตรมาสที่ 1 ปี 2026 สำหรับเครือข่ายที่สำคัญ

4.5 การรักษาความปลอดภัยปลายทางที่เป็นของบริษัท

• การป้องกัน:จุดสิ้นสุดทั้งหมดที่เป็นของบริษัท (เดสก์ท็อป แล็ปท็อป มือถือ) ต้องมีซอฟต์แวร์การตรวจจับและตอบสนองจุดสิ้นสุด (EDR) ที่บริษัทจัดการหรือป้องกันไวรัสที่ได้รับอนุมัติ ทำงานและอัปเดต

• การแก้ไข: ระบบปฏิบัติการและแอปพลิเคชันต้องได้รับการอัปเดตผ่านกระบวนการจัดการแพตช์ของบริษัท แพตช์ที่สำคัญจะต้องใช้ภายในระยะเวลาที่กำหนด [Rheonics เพื่อกำหนดระยะเวลา เช่น 72 ชั่วโมงสำหรับระบบปฏิบัติการที่สำคัญ]

• การเข้ารหัสลับ: การเข้ารหัสดิสก์ทั้งหมด (เช่น BitLocker, FileVault) เป็นสิ่งจำเป็นสำหรับแล็ปท็อปและอุปกรณ์พกพา

4.6 นำอุปกรณ์ของคุณเองมาใช้ (BYOD)

• การอนุมัติและมาตรฐาน: การใช้อุปกรณ์ส่วนตัว (BYOD) เพื่อเข้าถึงข้อมูลที่ไม่เป็นสาธารณะ Rheonics ข้อมูลต้องได้รับการอนุมัติอย่างชัดเจนและปฏิบัติตามมาตรฐานขั้นต่ำ (ดูภาคผนวก D)

• ข้อกำหนดด้านความปลอดภัย: รวมถึงการลงทะเบียน MDM เวอร์ชันระบบปฏิบัติการที่รองรับ ซอฟต์แวร์ความปลอดภัย การเข้ารหัส รหัสผ่าน ความสามารถในการลบข้อมูลจากระยะไกล และการแยก/บรรจุข้อมูล

• คำออกตัว: Rheonics ขอสงวนสิทธิ์ในการจัดการ/ลบข้อมูลบริษัทจากอุปกรณ์ BYOD Rheonics จะไม่รับผิดชอบต่อการสูญหายของข้อมูลส่วนบุคคลระหว่างการดำเนินการรักษาความปลอดภัย

4.7 ความปลอดภัยและการจัดการซอฟต์แวร์

• ซอฟต์แวร์ที่ได้รับอนุญาต: สามารถติดตั้งได้เฉพาะซอฟต์แวร์ที่มีลิขสิทธิ์และได้รับการอนุมัติจากฝ่ายไอทีเท่านั้น ผู้ใช้ไม่สามารถติดตั้งแอปพลิเคชันที่ไม่ได้รับอนุญาต

• การจัดการแพตช์: ใช้ได้กับซอฟต์แวร์ทั้งหมด (ระบบปฏิบัติการ, แอปพลิเคชัน, เฟิร์มแวร์) บนทุกระบบ (เซิร์ฟเวอร์, จุดสิ้นสุด, อุปกรณ์เครือข่าย)

• การจัดการช่องโหว่: ดำเนินการสแกนช่องโหว่เป็นประจำ ช่องโหว่ที่สำคัญต้องได้รับการแก้ไขภายในระยะเวลาที่กำหนด [Rheonics [เพื่อกำหนด] การทดสอบเจาะระบบที่ดำเนินการเป็นระยะๆ บนระบบที่สำคัญ

• การพัฒนาที่ปลอดภัย: (ถ้ามี) ทีมพัฒนาต้องปฏิบัติตามแนวทางการเขียนโค้ดที่ปลอดภัย (เช่น OWASP Top 10) ดำเนินการตรวจสอบโค้ด และใช้เครื่องมือทดสอบความปลอดภัย (SAST/DAST)

• การวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA): ส่วนประกอบโอเพนซอร์สจะต้องมีการจัดทำรายการและสแกนหาช่องโหว่ ห้ามใช้ซอฟต์แวร์/ส่วนประกอบที่หมดอายุใช้งาน (EOL) เว้นแต่จะได้รับการยอมรับความเสี่ยงอย่างชัดเจนจากฝ่ายบริหาร/ฝ่ายความปลอดภัยไอที

4.8 ความปลอดภัยทางกายภาพ

• การควบคุมการเข้าถึง: การเข้าถึง Rheonics สิ่งอำนวยความสะดวก ห้องเซิร์ฟเวอร์ และห้องปฏิบัติการวิจัยและพัฒนาถูกจำกัดด้วยการควบคุมทางกายภาพ (ป้าย กุญแจ ข้อมูลชีวภาพ) บันทึกการเข้าถึงถูกเก็บรักษาไว้สำหรับพื้นที่ที่มีความอ่อนไหว

• การจัดการผู้เยี่ยมชม: ผู้มาเยี่ยมชมจะต้องลงชื่อเข้าใช้ รับบัตรประจำตัวชั่วคราว และอยู่ในบริเวณที่ไม่เปิดเผยสู่สาธารณะ

• ความปลอดภัยของเวิร์กสเตชัน: ผู้ใช้จะต้องล็อคเวิร์กสเตชันเมื่อไม่มีใครดูแล (Windows+L / Ctrl+Cmd+Q)

• โต๊ะ/หน้าจอใส: ข้อมูลที่ละเอียดอ่อน (เอกสารทางกายภาพ หน้าจอ) ควรได้รับการปกป้องไม่ให้ถูกเปิดดูโดยไม่ได้รับอนุญาต โดยเฉพาะในพื้นที่เปิดโล่งหรือเมื่อวางโต๊ะทิ้งไว้โดยไม่มีใครดูแล ควรใช้ถังขยะที่ปลอดภัย

4.9 ความปลอดภัยบนคลาวด์

• บริการที่ได้รับการอนุมัติ: การใช้บริการคลาวด์ (SaaS, IaaS, PaaS) สำหรับ Rheonics ข้อมูลจะต้องได้รับการอนุมัติจากฝ่ายไอที/ความปลอดภัย

• การกำหนดค่าและการตรวจสอบoring: จะต้องกำหนดค่าบริการอย่างปลอดภัยโดยสอดคล้องกับมาตรฐาน CIS (AWS/GCP/Azure) หากมีการใช้ข้อกำหนดการเข้าถึง (เช่น ตำแหน่งทางภูมิศาสตร์ การปฏิบัติตามข้อกำหนดของอุปกรณ์) จะต้องมีการเปิดใช้งานและตรวจสอบการบันทึกกิจกรรมของ API และกิจกรรมของผู้ใช้

• การป้องกันข้อมูล: ทำให้แน่ใจว่าผู้ให้บริการคลาวด์ปฏิบัติตาม Rheonicsข้อกำหนดด้านความปลอดภัยของข้อมูล การเข้ารหัส การสำรองข้อมูล และถิ่นที่อยู่ผ่านสัญญาและการประเมิน

4.10 การจัดการบุคคลที่สาม/ผู้ขาย

• การประเมินความเสี่ยง: การประเมินความปลอดภัยดำเนินการก่อนที่จะว่าจ้างผู้ขายที่เข้าถึง ประมวลผล จัดเก็บ Rheonics ข้อมูลหรือเชื่อมต่อกับเครือข่าย ระดับความเสี่ยงจะกำหนดระดับการประเมิน

• ข้อกำหนดตามสัญญา: สัญญาจะต้องมีข้อกำหนดที่ครอบคลุมถึงความลับ การคุ้มครองข้อมูล (รวมถึง DPA หากประมวลผลข้อมูลส่วนบุคคลภายใต้ GDPR/FADP) การควบคุมความปลอดภัย การแจ้งเหตุการณ์ และสิทธิในการตรวจสอบ

• การตรวจสอบอย่างต่อเนื่องoring: การตรวจสอบสถานะความปลอดภัยของผู้ขายที่สำคัญเป็นระยะๆ

4.11 การตอบสนองต่อเหตุการณ์

• รายงาน: เหตุการณ์ที่ต้องสงสัยต้องได้รับการรายงานทันที (เป้าหมายภายใน 1 ชั่วโมงหลังจากพบ) ผ่าน () หรือ (ช่องทางทีมภายในบริษัท 24 ชั่วโมงทุกวัน)

• แผนการตอบสนอง: Rheonics บำรุงรักษาแผนการตอบสนองต่อเหตุการณ์ (IRP) ดูขั้นตอนพื้นฐานในภาคผนวก C

• เหตุการณ์วิกฤต: (เช่น แรนซัมแวร์ การละเมิดข้อมูลที่ได้รับการยืนยัน) กระตุ้นการดำเนินการยกระดับและควบคุม (เป้าหมายภายใน 4 ชั่วโมง) การแจ้งเตือนทางกฎหมาย/ฝ่ายบริหารจะปฏิบัติตามกรอบเวลาที่กำหนดโดยระเบียบข้อบังคับ (เช่น การแจ้งเตือนการละเมิด GDPR/FADP 72 ชั่วโมง หากมี)

• ความร่วมมือ: ผู้ใช้ทุกคนจะต้องให้ความร่วมมืออย่างเต็มที่ในการสอบสวนการตอบสนองต่อเหตุการณ์

5. การบังคับใช้

การละเมิดจะได้รับการแก้ไขตามความรุนแรงและเจตนา โดยเป็นไปตามกฎหมายจ้างงานท้องถิ่น

6. การบำรุงรักษานโยบาย

• รีวิวจังหวะ: ทบทวนอย่างน้อยปีละครั้งโดยเจ้าของนโยบาย (หัวหน้าฝ่ายไอที) และผู้มีส่วนได้ส่วนเสีย
• การตรวจสอบทริกเกอร์: การตรวจสอบเฉพาะกิจที่เกิดจาก: เหตุการณ์ด้านความปลอดภัยที่สำคัญ การเปลี่ยนแปลงกฎระเบียบที่สำคัญ (เช่น กฎหมายความเป็นส่วนตัวของข้อมูลใหม่) การเปลี่ยนแปลงด้านเทคโนโลยี/โครงสร้างพื้นฐานที่สำคัญ (เช่น การโยกย้ายระบบคลาวด์ขนาดใหญ่) ผลการตรวจสอบ
• การปรับปรุง: การเปลี่ยนแปลงที่ได้รับอนุมัติจะแจ้งให้ผู้ใช้งานทุกคนทราบ

7. ภาคผนวก

7.1 ภาคผนวก ก: การจำแนกข้อมูล

7.2 ภาคผนวก ข: ข้อกำหนดรหัสผ่าน

• ความยาวขั้นต่ำ:
  • บัญชีผู้ใช้: 12 ตัวอักษร
  • บัญชีผู้ดูแลระบบ/บริการ: 16 ตัวอักษร

• ความซับซ้อน
  • อย่างน้อย 3 ใน 4: ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก ตัวเลข สัญลักษณ์ (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?) ไม่สามารถมีชื่อผู้ใช้หรือคำศัพท์ทั่วไปในพจนานุกรมได้

• การหมุน
  • สูงสุด 90 วัน (เว้นแต่จะใช้วิธีการตรวจสอบต่อเนื่องที่ได้รับอนุมัติ)

• ประวัติขององค์กร
  • รหัสผ่าน 5 อันก่อนหน้าไม่สามารถนำมาใช้ซ้ำได้

• การจัดเก็บ:
  • ห้ามเขียนลงว่าไม่มีการป้องกัน ใช้ตัวจัดการรหัสผ่านที่ได้รับการอนุมัติจากบริษัท (เช่น Bitwarden, 1Password) สำหรับ storing รหัสผ่านที่ซับซ้อนไม่ซ้ำใคร ห้ามแชร์รหัสผ่าน ห้ามข้าม MFA

7.3 ภาคผนวก C: กระแสการตอบสนองเหตุการณ์

• การตรวจจับและการวิเคราะห์: ระบุเหตุการณ์ที่อาจเกิดขึ้น
• รายงาน: รายงานไปยังฝ่ายไอที/ฝ่ายรักษาความปลอดภัยทันที (ภายในเป้าหมาย 1 ชั่วโมง) ผ่านช่องทางที่กำหนด
• การคัดแยกและการประเมิน: ฝ่ายไอที/ความปลอดภัยประเมินความรุนแรงและผลกระทบ
• บรรจุ: แยกระบบ/บัญชีที่ได้รับผลกระทบ (ภายใน 4 ชั่วโมง เป้าหมายสำหรับเหตุการณ์วิกฤต)
• การกำจัด: กำจัดภัยคุกคาม/ความเสี่ยง
• การฟื้นตัว:กู้คืนระบบ/ข้อมูลอย่างปลอดภัย
• การตรวจสอบหลังเกิดเหตุการณ์: บทเรียนที่ได้รับ การปรับปรุงกระบวนการ
  • การแจ้งเตือน: การแจ้งเตือนทางกฎหมาย/ระเบียบข้อบังคับ/ลูกค้า ดำเนินการตามที่จำเป็นตามการประเมิน (เช่น ภายใน 72 ชั่วโมงสำหรับการละเมิดข้อมูลส่วนบุคคล GDPR/FADP)

7.4. ภาคผนวก D: มาตรฐานขั้นต่ำ BYOD

• การอนุมัติ: จำเป็นต้องมีก่อนเข้าถึงข้อมูลที่ไม่เปิดเผยต่อสาธารณะ
• ข้อกำหนดของอุปกรณ์:
  • เวอร์ชันระบบปฏิบัติการ: จะต้องใช้งานเวอร์ชันที่ผู้จำหน่ายรองรับในปัจจุบัน (เช่น Windows 11+, macOS 14+, iOS 16+, Android 13+)

• • การรักษาความปลอดภัย: เปิดการใช้งานการล็อคหน้าจอ/ข้อมูลชีวมาตร; เปิดการใช้งานการเข้ารหัสอุปกรณ์; อาจต้องใช้ซอฟต์แวร์ความปลอดภัยที่ได้รับการอนุมัติ (AV/ป้องกันมัลแวร์) อุปกรณ์ไม่ได้ถูกเจลเบรก/รูท

• • MDM: การลงทะเบียนเข้า Rheonics' โซลูชั่นการจัดการอุปกรณ์เคลื่อนที่ (MDM) เป็นสิ่งจำเป็น

• • การล้างข้อมูลจากระยะไกล: จะต้องเปิดใช้งานความสามารถสำหรับข้อมูล/โปรไฟล์บริษัท

• การแยกข้อมูล: ข้อมูลบริษัทที่เข้าถึง/จัดเก็บผ่านแอปพลิเคชันที่ได้รับการอนุมัติภายในโปรไฟล์หรือคอนเทนเนอร์ที่จัดการ (เช่น Microsoft Intune MAM, Android Work Profile) ไม่มีการคัดลอกข้อมูลบริษัทไปยังแอป/พื้นที่เก็บข้อมูลส่วนตัว
• เครือข่ายเชื่อมต่อผ่าน Wi-Fi ที่ปลอดภัย หลีกเลี่ยง Wi-Fi สาธารณะที่ไม่น่าเชื่อถือสำหรับการทำงาน

8. การติดต่อและการรับทราบ

• คำถาม/ข้อกังวลด้านความปลอดภัย: ติดต่อ () หรือทีมไอที/ความปลอดภัยผ่านช่องทางภายใน
• รายงานเหตุการณ์: ใช้วิธีการเร่งด่วน : () และ (ช่องทางทีมภายในบริษัทตลอด 24 ชั่วโมงทุกวัน)
• การรับทราบ: ผู้ใช้ทุกคนจะต้องอ่าน ทำความเข้าใจ และยืนยันการรับนโยบายนี้ทางอิเล็กทรอนิกส์ผ่าน (พอร์ทัลทรัพยากรบุคคล ระบบการฝึกอบรม) เมื่อเริ่มงานและหลังจากการอัปเดตที่สำคัญ การไม่ยืนยันไม่ได้หมายความว่านโยบายนี้จะไม่สามารถใช้บังคับได้