ISO 27001:2013 - การทำสัญญาจ้างและความรับผิดชอบ (Terms and Conditions of Employment : A7 Human Resource Security)

Posted by pryn on วันพุธที่ 4 กุมภาพันธ์ พ.ศ. 2558 0

ISO 27001:2013 - การทำสัญญาจ้างและความรับผิดชอบ (Terms and Conditions of Employment : A7 Human Resource Security)

มาตรการนี้มีวัตถุประสงค์เพื่อกำหนดแนวปฏิบัติให้มั่นใจว่าพนักงาน(Employees) หรือผู้รับเหมา/รับจ้างช่วง(Contractors) เข้าใจหน้าที่ความรับผิดชอบของตนเองในด้านความมั่นคงปลอดภัยของสารสนเทศ

การควบคุมดูแลพนักงานให้ปฏิบัติตามนโยบายความมั่นคงปลอดภัยของสารสนเทศเราใช้การออกนโยบายฯและระเบียบปฏิบัติ แล้วไปอิงกับกฎระเบียบขององค์กร  ถ้าพนักงานละเมิดนโยบายฯก็ดำเนินการตามขั้นตอน เช่น สอบสวนหาข้อเท็จจริง  ทำการตักเตือนหรือลงโทษทางวินัยอะไรยังไงก็ว่ากันไปพิจารณาตามเกณฑ์ที่องค์กรกำหนดไว้

แนวทางการดำเนินการสำหรับพนักงาน (Employees)

1. จัดทำเอกสารข้อตกลงไม่เปิดเผยความลับขององค์กร (NDA : Non Disclosure Agreement) และให้พนักงานลงนามรับทราบ
2. จัดทำเอกสารระบุความรับผิดชอบที่พนักงานต้องปฏิบัติตามกฏหมาย  เช่น ความรับผิดชอบในกรณีนำข้อมูลที่เป็นเท็จหรือข้อความหมิ่นประมาทไปโพสในเวบ เป็นต้น
3. ชี้แจงให้ทราบว่า พนักงานมีสิทธิอะไรบ้างตามกฏหมาย เช่น สิทธิในการเรียกร้องให้องค์กรปกป้องข้อมูลส่วนบุคคลของพนักงานให้มั่นคงปลอดภัย เป็นต้น
4. กำหนดแนวปฏิบัติในการสอบสวนหาข้อเท็จจริง กรณีพบว่าพนักงานละเมิดนโยบายความมั่นคงปลอดภัยของสารสนเทศ และมาตรการจัดการที่เหมาะสม เช่น ชี้แจงทำความเข้าใจ อบรมสร้างจิตสำนึก ตักเตือนทางวาจา ลงโทษทางวินัย ขึ้นอยู่กับข้อเท็จจริงที่ได้จากการสอบสวน   หากเป็นกรณีที่ผิดกฏหมาย ก็ต้องดำเนินคดีตามกฏหมายด้วย

แนวทางการดำเนินการสำหรับผู้รับเหมา/รับจ้างช่วง (Contractors)

กรณีของผู้รับเหมา/รับจ้างช่วงนั้นเราต้องใช้กลไกทางกฏหมาย ซึ่งต้องมีระบุไว้ในสัญญาเป็นลายลักษณ์อักษรเพื่อให้มีผลบังคับสมบูรณ์

1. จัดทำเอกสารข้อตกลงไม่เปิดเผยความลับขององค์กร (NDA : Non Disclosure Agreement) และให้ผู้รับเหมาลงนามรับทราบ
2. จัดทำเอกสารระบุความรับผิดชอบที่ผู้รับเหมาต้องปฏิบัติตามกฏหมาย  เช่น ความรับผิดชอบในกรณีใช้คอมพิวเตอร์ขององค์กร หรือเครือข่ายขององค์กร แล้วนำข้อมูลที่เป็นเท็จหรือข้อความหมิ่นประมาทไปโพสในเวบ เป็นต้น
3. กำหนดแนวปฏิบัติในการสอบสวนหาข้อเท็จจริง กรณีพบว่าผู้รับเหมาละเมิดนโยบายความมั่นคงปลอดภัยของสารสนเทศ  กำหนดมาตรการจัดการที่เหมาะสม เช่น ชี้แจงทำความเข้าใจ หรือมาตรการอื่นๆที่เหมาะสม รวมถึงการดำเนินคดีตามกฏหมาย

เจตนารมณ์ของมาตรการนี้คือ การแจ้งให้ทราบถึงกฏระเบียบ นโยบายต่างๆ ให้พนักงานและผู้รับเหมาทราบอย่างเป็นทางการ และเพื่อให้มีหลักฐานว่ารับทราบแล้ว จึงให้ลงนามไว้เป็นลายลักษณ์อักษร   จะมาทำเนียนว่าไม่ทราบไม่ได้  และเมื่อรับทราบแล้วหากละเมิดก็ต้องรับผลตามที่กำหนดไว้



ผู้เขียน : ปริญญ์  เสรีพงศ์, CISA, CEH, ISMS(IRCA)
ISO 27001 Consultant    สถาบันเพิ่มผลผลิตแห่งชาติ
pryn@ftpi.or.th
www.facebook.com/club27001


Tagged as:
About the Author

Write admin description here..

Get Updates

Subscribe to our e-mail newsletter to receive updates.

Enter your email address:

Delivered by FeedBurner

Share This Post

Related posts

0 ความคิดเห็น :

back to top