นโยบายการใช้อุปกรณ์ส่วนตัวในการทำงาน
ของมูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง
ปรับปรุงล่าสุด : 31 พฤษภาคม 2565
นโยบายนี้ใช้บังคับเป็นการทั่วไปกับพนักงานทุกระดับ และเป็นส่วนหนึ่งของนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร
นโยบายนี้ไม่ถือเป็นส่วนหนึ่งของสัญญาจ้าง แต่เป็นการกำหนดแนวทางการทำงานที่พนักงานต้องปฏิบัติ การไม่ดำเนินการตามนโยบายนี้จะมีผลทางวินัยพนักงาน
นโยบายนี้จะได้รับการทบทวนและปรับปรุงอยู่ตลอด ซึ่งจะได้แจ้งให้พนักงานทุกคนทราบทุกครั้ง
การประเมินความเสี่ยงของการใช้อุปกรณ์ส่วนตัวในการทำงาน
การนำอุปกรณ์ส่วนตัวมาใช้ในการทำงาน เช่น คอมพิวเตอร์แบบพกพา สื่อบันทึกอิเล็กทรอนิกส์แบบพกพา (USB) โทรศัพท์มือถือ แท็บเล็ต iPad เป็นต้น ให้ประเมินหรือคำนึงถึงระดับความเสี่ยงที่ข้อมูลส่วนบุคคลจะรั่วไหลจากการใช้อุปกรณ์ส่วนตัว ดังนี้
อ่านต่อ ↓
ระดับความ เสี่ยงต่ำตัวอย่างเช่น ⁃ การใช้งานมีข้อมูลที่ใช้ระบุตัวบุคคลได้ เช่น อีเมล์ หรือแอพพลิเคชั่นอื่น แต่ไม่ได้อ่อนไหวมากจนจัดอยู่ในระดับที่ถ้ามีการเปิดเผย หรือนำไปใช้ในทางที่ผิดแล้ว จะส่งผลเสียต่อเจ้าของข้อมูลหรือ องค์กร ⁃ การใช้งานมีข้อมูลอันเป็นที่เปิดเผยแก่สาธารณะ หรือสามารถค้นหาได้จากแหล่งข้อมูลอื่นโดยง่าย ระดับความ เสี่ยงสูงตัวอย่างเช่น ⁃ ข้อมูลของพนักงานตั้งแต่ 10 คนขึ้นไปที่เกี่ยวกับการประเมินผลการทำงาน การพัฒนาการศักยภาพในการทำงาน หรือข้อมูลที่เกี่ยวกับชีวิตส่วนตัว หรือครอบครัวของพนักงาน ⁃ บันทึกข้อมูลสุขภาพที่ใช้ระบุตัวบุคคลได้ ⁃ กลุ่มข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลมากกว่า 10 คนขึ้นไปที่สามารถระบุตัวได้ และสามารถนำข้อมูลกลุ่มนี้ไปปลอมแปลงหรือแอบอ้าง ตัวอย่างเช่น ข้อมูลบัญชีหรือบัตรเครดิต หมายเลขประกันสังคม ข้อมูลติดต่อ วันเกิด เงินเดือน เป็นต้น
การดำเนินการป้องกันความเสี่ยงจากการใช้อุปกรณ์ส่วนตัวในการทำงาน
เมื่อพนักงานที่ใช้อุปกรณ์ส่วนตัวในการทำงานได้ประเมินระดับความเสี่ยงตามตัวอย่างข้างต้นแล้ว ในการปฏิบัติงานด้วยอุปกรณ์ส่วนตัวดังกล่าว นอกจากจะต้องปฏิบัติตามนโยบายขององค์กรที่เกี่ยวข้องกับการใช้งานเทคโนโลยีสารสนเทศที่เกี่ยวข้องกับการใช้งานเครื่องคอมพิวเตอร์แบบพกพาหรือสื่อบันทึกพกพา และอุปกรณ์เคลื่อนที่ประเภทต่าง ๆ แล้ว ให้ดำเนินการดังต่อไปนี้เป็นการเพิ่มเติม
การปฏิบัติงานที่มีระดับความเสี่ยงต่ำ ⁃ ตั้งรหัสผ่าน (เช่น PIN หรือ password) เพื่อใช้อุปกรณ์ และไม่เปิดเผยรหัสดังกล่าวกับผู้อื่น ⁃ ตั้งค่าให้อุปกรณ์ล็อคอัตโนมัติเมื่อไม่มีการใช้งานเป็นเวลาหลายนาที ⁃ เฝ้าระวังอุปกรณ์อย่างเหมาะสม ไม่ทิ้งอุปกรณ์ไว้โดยไม่ดูแล ⁃ อัพเดตโปรแกรมสม่ำเสมอ ⁃ ตั้งค่าไม่ให้อุปกรณ์เชื่อมต่อโดยอัตโนมัติกับสัญญาณไร้สายที่มีความเสี่ยง และควรพิจารณาก่อนจะตัดสินใจเชื่อมต่อสัญญาณ ⁃ ให้ติดตั้งระบบล้างข้อมูลที่สามารถสั่งได้จากระยะไกล ในกรณีที่สูญหาย ⁃ ถ้าอุปกรณ์ของเป็นอุปกรณ์มือสอง ให้ตั้งค่าให้อุปกรณ์กลับไปที่สภาพเครื่องจากโรงงานก่อนเริ่มใช้ การปฏิบัติงานที่มีระดับความเสี่ยงสูง ⁃ ให้ดำเนินการตามแนวทางการปฏิบัติงานที่อยู่ในระดับความเสี่ยงต่ำทุกข้อ ⁃ ในกรณีที่คนในครอบครัวใช้อุปกรณ์ที่ลงทะเบียนไว้กับองค์กรด้วย พนักงานต้องไม่ให้คนในครอบครัวเข้าถึงข้อมูลขององค์กรได้ เช่น ให้มีรหัสผ่านป้องกัน account ของตนเพิ่มขึ้นมา (ทั้งนี้ องค์กรขอความร่วมมือไม่ให้แบ่งปันอุปกรณ์ส่วนตัวที่ลงทะเบียนไว้กับองค์กรให้ผู้อื่นใช้) ⁃ จัดการและตรวจสอบข้อมูลภายในเครื่องอยู่เสมอ ทำลายข้อมูลที่ไม่จำเป็น ⁃ เมื่อพนักงานไม่ใช้อุปกรณ์นี้ต่อไปแล้ว (เช่น กรณีที่นำเครื่องอื่นมาใช้แทน) หรือเมื่อลาออกจากการเป็นพนักงาน ให้ทำการลบข้อมูลในอุปกรณ์ของผู้ใช้ออกให้หมด ⁃ เข้ารหัสอุปกรณ์ (เพื่อป้องกันการเข้าถึงข้อมูล แม้หน่วยเก็บข้อมูล (storage chips) หรือดิสก์จะถูกถอดออกไปใส่ในอุปกรณ์อื่น) ⁃ ให้ติดตั้งระบบติดตามไว้กับอุปกรณ์ในกรณีที่สูญหายหรือถูกขโมย ให้ติดตั้งระบบล้างข้อมูลที่สามารถสั่งได้จากระยะไกลให้ล้างข้อมูลภายใน 36 ชม. หรือเร็วกว่านั้น ⁃ ต้องแจ้งหากเกิดการรั่วไหลของข้อมูล ให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลทราบทันที ⁃ ปรับและตั้งค่าอุปกรณ์ให้มีระบบการป้องกันที่มีประสิทธิภาพสูงสุด ใช้เวลาศึกษาและทำความเข้าใจการตั้งค่าต่าง ๆ ⁃ ถ้ามีการเข้าถึงข้อมูลขององค์กรจากสถานที่อื่น ให้ทำการออกจากระบบและหยุดการเชื่อมต่อสัญญาณทุกครั้งหลักเลิกใช้ ⁃ เปิดใช้งานโหมดสูญหาย เช่น ระบบตามหาพิกัด หรือระบบสั่งล้างข้อมูลทางไกล ⁃ ดาวน์โหลดแอพลิเคชั่นจากแหล่งที่มีความน่าเชื่อถือเท่านั้น ⁃ ในกรณีของ iPhone หรือ iPad อุปกรณ์จะถูกเข้ารหัส (encrypt) เอาไว้ โดยให้กำหนดการป้องกันโดยการตั้ง PIN ⁃ ในกรณีของแอนดรอยด์ สามารถเลือกได้ให้อุปกรณ์เข้ารหัสในลักษณะ whole-device ได้ที่ “การตั้งค่า” ของอุปกรณ์ อุปกรณ์ประเภทอื่น ๆ อาจสามารถหรือไม่สามารถตั้งค่า ให้ทำการเข้ารหัสได้
การนำอุปกรณ์ส่วนตัว (คอมพิวเตอร์แบบพกพา สื่อบันทึกอิเล็กทรอนิกส์แบบพกพา (USB) โทรศัพท์มือถือ แท็บเล็ต iPad ฯลฯ) ออกไปใช้นอกสถานที่ให้ทำได้เท่าที่จำเป็น และต้องดำเนินการตามนโยบายนี้อย่างเคร่งครัด
ประกาศ ณ วันที่ 1 มิถุนายน 2565
(ดร. จุฑาทอง จารุมิลินท)
ผู้อำนวยการสถาบันวิจัยนโยบายเศรษฐกิจการคลัง
กรรมการและเลขานุการมูลนิธิสถาบันวิจัยนโยบายเศรษฐกิจการคลัง