27 ส.ค. 2022 เวลา 08:06 • ธุรกิจ
ความสำคัญและความแตกต่างระหว่าง Information Security และ Privacy
ตอนที่ 3
เมื่อตอนที่แล้ว (ตอนที่ 2) เราได้พูดถึงเรื่องของ Data privacy คืออะไร? แล้วมันมีความสำคัญกับเราอย่างไรบ้าง? ทุกท่านสามารถย้อนกลับไปอ่านในบทความตอนที่แล้วได้ในเพจนี้
วันนี้เรามาทำความรู้จักมาตรการรักษาความปลอดภัย ตามกฎหมาย PDPA ต้องทำอะไรบ้าง? หรือในกรณีเรามีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องมีมาตรการรักษาความมั่นคงปลอดภัยอะไรบ้าง?
พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 37 (1) ให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด
โดยที่คณะกรรมการได้มีประกาศฉบับล่าสุด “มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕ “ ซึ่งมีความสำคัญหลักๆ ดังนี้
การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน(Intergrity) และสภาพพร้อมใช้งาน( Availability) หรือเรียกสั้นว่า CIA ท่านสามารถย้อนกลับอ่านได้ในบทความตอนที่ 1
ในคำประกาศได้พูดถึง การควบคุมการเข้าถึง (Access Control) ด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard)
วันนี้ผมจะมาอธิบาย Access Control ด้านเทคนิค (technical safeguard) ตามหลักการแล้วจะประกอบด้วย IAAA (ไอทริปเปิ้ลเอ)
I = Identity การระบุตัวบุคคล
A= Authentication การยืนยันตัวตน
A= Authorization การกำหนดสิทธิ์การเข้าถึง
A= Accountability ความรับผิดชอบ หรือ Audit การตรวจสอบ
ในกรณีมีการเก็บข้อมูลส่วนบุคคลบนระบบของหน่วยงานหรือองค์กรทั้งภายในและภายนอก ต้องมีมาตรการการเข้าถึงทางเทคนิค ดังนี้
- การมี User name เพื่อสามารถระบุ Identity
- การมี Password หรือ Scan ลายนิ้วมือ เพื่อยืนยันตัวตน Authentication ในการเข้าถึง
- การกำหนดสิทธิ์การเข้าถึงข้อมูล Authorization เช่น ในแต่ละสิทธิ์สามารถกระทำอะไรกับข้อมูลได้บ้าง เช่น Read, Write, Edit, Delete เป็นต้น
- การตรวจสอบหรือสอบทานในการเข้าถึงข้อมูล (Access Righ Review)
สรุปมาตรการการควบคุมการเข้าถึง Access Control ด้านเทคนิค
ต้องประกอบด้วย IAAA การระบุตัวบุคคล การยืนยันตัวตน การกำหนดสิทธิ์การเข้าถึง และความรับผิดชอบหรือสามารถสอบทานได้
โปรดติดตามบทความ “ความสำคัญและความแตกต่างระหว่าง Information Security และ Privacy” ในตอนต่อไป
โฆษณา