นโยบายการควบคุมการปฏิบัติงานและการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ
วัตถุประสงค์เพื่อให้ผู้ใช้งานและบุคคลที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ รวมทั้งได้รับทราบเกี่ยวกับหน้าที่และความรับผิดชอบ และแนวทางปฏิบัติในการควบคุมความเสี่ยงด้านต่างๆ
- ควบคุมการเข้าออกศูนย์คอมพิวเตอร์และการป้องกันความเสียหาย (Physical Security) เพื่อป้องกันมิให้ บุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้องเข้าถึงล่วงรู้ (Access Risk) แก้ไขเปลี่ยนแปลง (Integrity Risk) หรือก่อให้เกิดความเสียหายต่อข้อมูลและระบบคอมพิวเตอร์ (Availability Risk)
- ควบคุมการพัฒนา หรือแก้ไขเปลี่ยนแปลงระบบงานคอมพิวเตอร์ (Change Management) เพื่อให้ระบบงานคอมพิวเตอร์ที่ได้รับการพัฒนา หรือแก้ไขเปลี่ยนแปลงมีการประมวลผลถูกต้องครบถ้วนและเป็นไปตามความต้องการของผู้ใช้งาน ซึ่งเป็นการลดความเสี่ยงด้าน (Integrity Risk)
- สำรองข้อมูลและระบบคอมพิวเตอร์ บำรุงรักษาคอมพิวเตอร์ และการเตรียมพร้อมกรณี ฉุกเฉิน (Backup and IT Continuity Plan) เมื่อมีความต้องการ (Availability Risk) เพื่อให้ระบบกลับมาใช้งานได้ตามปกติ
- ควบคุมการปฏิบัติงานประจำด้านคอมพิวเตอร์ (Computer Operation) เพื่อให้มีการใช้งานระบบคอมพิวเตอร์ได้อย่างถูกต้องต่อเนื่องและมีประสิทธิภาพ รวมถึงการฝึกอบรมให้กับผู้ใช้งาน
- ควบคุมการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ใช้บริการรายอื่น (IT Outsourcing) อาจก่อให้เกิดความเสี่ยงต่อบริษัทเกี่ยวกับการเข้าถึงข้อมูล (Access Risk) ความเสี่ยงเกี่ยวกับ ความถูกต้องครบถ้วนของข้อมูลและการประมวลผลของระบบงาน (Integrity Risk)
- ควบคุมการใช้ Computer Software และ License ให้ถูกต้องตามกฎหมาย
- ควบคุมและปฏิบัติตามกฎหมายอินเตอร์เน็ต (Internet Laws) ของผู้ใช้งานว่าด้วยการสื่อสารและเทคโนโลยีสารสนเทศ