[SmartPDPA] ความสำคัญและความแตกต่างระหว่าง Information Security และ Privacy ตอนที่ 3 เมื่อตอนที่แล้ว (ตอนที่ 2) เราได้พูดถึงเรื่องของ Data privacy คืออะไร? แล้วมันมีความสำคัญกับเราอย่างไรบ้าง? ทุกท่านสามารถย้อนกล

สำรวจ
ลงทุน
คำถาม

มีบัญชีอยู่แล้ว?หรือ

•

27 ส.ค. 2022 เวลา 08:06 • ธุรกิจ

ความสำคัญและความแตกต่างระหว่าง Information Security และ Privacy

ตอนที่ 3

เมื่อตอนที่แล้ว (ตอนที่ 2) เราได้พูดถึงเรื่องของ Data privacy คืออะไร? แล้วมันมีความสำคัญกับเราอย่างไรบ้าง? ทุกท่านสามารถย้อนกลับไปอ่านในบทความตอนที่แล้วได้ในเพจนี้

วันนี้เรามาทำความรู้จักมาตรการรักษาความปลอดภัย ตามกฎหมาย PDPA ต้องทำอะไรบ้าง? หรือในกรณีเรามีการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจะต้องมีมาตรการรักษาความมั่นคงปลอดภัยอะไรบ้าง?

พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล ตามมาตรา 37 (1) ให้มีมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม ทั้งนี้ให้เป็นไปตามมาตรฐานขั้นต่ำที่คณะกรรมการประกาศกำหนด

โดยที่คณะกรรมการได้มีประกาศฉบับล่าสุด “มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๕ “ ซึ่งมีความสำคัญหลักๆ ดังนี้

การธำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน(Intergrity) และสภาพพร้อมใช้งาน( Availability) หรือเรียกสั้นว่า CIA ท่านสามารถย้อนกลับอ่านได้ในบทความตอนที่ 1

ในคำประกาศได้พูดถึง การควบคุมการเข้าถึง (Access Control) ด้านการบริหารจัดการ (administrative safeguard) มาตรการป้องกันด้านเทคนิค (technical safeguard) และมาตรการป้องกันทางกายภาพ (physical safeguard)

วันนี้ผมจะมาอธิบาย Access Control ด้านเทคนิค (technical safeguard) ตามหลักการแล้วจะประกอบด้วย IAAA (ไอทริปเปิ้ลเอ)

I = Identity การระบุตัวบุคคล

A= Authentication การยืนยันตัวตน

A= Authorization การกำหนดสิทธิ์การเข้าถึง

A= Accountability ความรับผิดชอบ หรือ Audit การตรวจสอบ

ในกรณีมีการเก็บข้อมูลส่วนบุคคลบนระบบของหน่วยงานหรือองค์กรทั้งภายในและภายนอก ต้องมีมาตรการการเข้าถึงทางเทคนิค ดังนี้

- การมี User name เพื่อสามารถระบุ Identity

- การมี Password หรือ Scan ลายนิ้วมือ เพื่อยืนยันตัวตน Authentication ในการเข้าถึง

- การกำหนดสิทธิ์การเข้าถึงข้อมูล Authorization เช่น ในแต่ละสิทธิ์สามารถกระทำอะไรกับข้อมูลได้บ้าง เช่น Read, Write, Edit, Delete เป็นต้น

- การตรวจสอบหรือสอบทานในการเข้าถึงข้อมูล (Access Righ Review)

สรุปมาตรการการควบคุมการเข้าถึง Access Control ด้านเทคนิค

ต้องประกอบด้วย IAAA การระบุตัวบุคคล การยืนยันตัวตน การกำหนดสิทธิ์การเข้าถึง และความรับผิดชอบหรือสามารถสอบทานได้

โปรดติดตามบทความ “ความสำคัญและความแตกต่างระหว่าง Information Security และ Privacy” ในตอนต่อไป

References:

https://securityvaultsystems.com/access-control-system/

โฆษณา

ดาวน์โหลดแอปพลิเคชัน

ดาวน์โหลดแอปพลิเคชัน