ISO 27001:2013 - การทำสัญญาจ้างและความรับผิดชอบ (Terms and Conditions of Employment : A7 Human Resource Security)
Posted by
pryn
on
วันพุธที่ 4 กุมภาพันธ์ พ.ศ. 2558
0
ISO 27001:2013 - การทำสัญญาจ้างและความรับผิดชอบ (Terms and Conditions of Employment : A7 Human Resource Security)
ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)
Email : mr.pryn@gmail.com
การควบคุมดูแลพนักงานให้ปฏิบัติตามนโยบายความมั่นคงปลอดภัยของสารสนเทศเราใช้การออกนโยบายฯและระเบียบปฏิบัติ แล้วไปอิงกับกฎระเบียบขององค์กร ถ้าพนักงานละเมิดนโยบายฯก็ดำเนินการตามขั้นตอน เช่น สอบสวนหาข้อเท็จจริง ทำการตักเตือนหรือลงโทษทางวินัยอะไรยังไงก็ว่ากันไปพิจารณาตามเกณฑ์ที่องค์กรกำหนดไว้
แนวทางการดำเนินการสำหรับพนักงาน (Employees)
1. จัดทำเอกสารข้อตกลงไม่เปิดเผยความลับขององค์กร (NDA : Non Disclosure Agreement) และให้พนักงานลงนามรับทราบ2. จัดทำเอกสารระบุความรับผิดชอบที่พนักงานต้องปฏิบัติตามกฏหมาย เช่น ความรับผิดชอบในกรณีนำข้อมูลที่เป็นเท็จหรือข้อความหมิ่นประมาทไปโพสในเวบ เป็นต้น
3. ชี้แจงให้ทราบว่า พนักงานมีสิทธิอะไรบ้างตามกฏหมาย เช่น สิทธิในการเรียกร้องให้องค์กรปกป้องข้อมูลส่วนบุคคลของพนักงานให้มั่นคงปลอดภัย เป็นต้น
4. กำหนดแนวปฏิบัติในการสอบสวนหาข้อเท็จจริง กรณีพบว่าพนักงานละเมิดนโยบายความมั่นคงปลอดภัยของสารสนเทศ และมาตรการจัดการที่เหมาะสม เช่น ชี้แจงทำความเข้าใจ อบรมสร้างจิตสำนึก ตักเตือนทางวาจา ลงโทษทางวินัย ขึ้นอยู่กับข้อเท็จจริงที่ได้จากการสอบสวน หากเป็นกรณีที่ผิดกฏหมาย ก็ต้องดำเนินคดีตามกฏหมายด้วย
แนวทางการดำเนินการสำหรับผู้รับเหมา/รับจ้างช่วง (Contractors)
กรณีของผู้รับเหมา/รับจ้างช่วงนั้นเราต้องใช้กลไกทางกฏหมาย ซึ่งต้องมีระบุไว้ในสัญญาเป็นลายลักษณ์อักษรเพื่อให้มีผลบังคับสมบูรณ์1. จัดทำเอกสารข้อตกลงไม่เปิดเผยความลับขององค์กร (NDA : Non Disclosure Agreement) และให้ผู้รับเหมาลงนามรับทราบ
2. จัดทำเอกสารระบุความรับผิดชอบที่ผู้รับเหมาต้องปฏิบัติตามกฏหมาย เช่น ความรับผิดชอบในกรณีใช้คอมพิวเตอร์ขององค์กร หรือเครือข่ายขององค์กร แล้วนำข้อมูลที่เป็นเท็จหรือข้อความหมิ่นประมาทไปโพสในเวบ เป็นต้น
3. กำหนดแนวปฏิบัติในการสอบสวนหาข้อเท็จจริง กรณีพบว่าผู้รับเหมาละเมิดนโยบายความมั่นคงปลอดภัยของสารสนเทศ กำหนดมาตรการจัดการที่เหมาะสม เช่น ชี้แจงทำความเข้าใจ หรือมาตรการอื่นๆที่เหมาะสม รวมถึงการดำเนินคดีตามกฏหมาย
เจตนารมณ์ของมาตรการนี้คือ การแจ้งให้ทราบถึงกฏระเบียบ นโยบายต่างๆ ให้พนักงานและผู้รับเหมาทราบอย่างเป็นทางการ และเพื่อให้มีหลักฐานว่ารับทราบแล้ว จึงให้ลงนามไว้เป็นลายลักษณ์อักษร จะมาทำเนียนว่าไม่ทราบไม่ได้ และเมื่อรับทราบแล้วหากละเมิดก็ต้องรับผลตามที่กำหนดไว้
ผู้เขียน : ปริญญ์ เสรีพงศ์, CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001
Tagged as:
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.
Share This Post
Related posts
0 ความคิดเห็น :