แนวนโยบายและแนวปฏิบัติด้านการบริหารจัดการความเป็นส่วนตัวและข้อมูลส่วนบุคคล

นโยบายความมั่นคงปลอดภัยด้านสารสนเทศ

1. บทนำ

นโยบายความมั่นคงปลอดภัยด้านสารสนเทศนี้ได้แสดงให้เห็นถึงความมุ่งมั่นของแมนูไลฟ์ไฟแนนเชียลคอร์ปอเรชั่น (“แมนูไลฟ์ฯ”) ในการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยของสารสนเทศและการปกป้องข้อมูลสารสนเทศในระดับโลก นโยบายฉบับนี้สะท้อนให้เห็นถึงความมุ่งมั่นของแมนูไลฟ์ฯต่อคุณค่าทางจริยธรรมและความเป็นมืออาชีพของเราดังที่แสดงไว้ในประมวลจรรยาบรรณและจริยธรรมทางธุรกิจของแมนูไลฟ์ไฟแนนเชียล นโยบายการบริหารความเสี่ยงในข้อมูลสารสนเทศส่วนบุคคลในระดับโลก และนโยบายการคุ้มครองข้อมูลสารสนเทศส่วนบุคคลในระดับส่วนงานต่างๆ โดยแมนูไลฟ์ฯจะดำเนินการทุกประการที่เหมาะสมเพื่อให้บริการแก่ลูกค้าของเรา เพื่อติดต่อสื่อสารกับคู่ค้าทางธุรกิจของเรา และเพื่อรักษาความเชื่อมั่นที่เราได้รับจากผู้ถือหุ้นของเรา โดยใช้มาตรการที่ปลอดภัย

เพื่อให้มั่นใจได้ว่าวัตถุประสงค์เชิงกลยุทธ์ดังกล่าวจะประสบความสำเร็จ โครงสร้างพื้นฐานด้านข้อมูลสารสนเทศซึ่งเป็นตัวผลักดันธุรกิจของเรา จึงจำเป็นจะต้องได้รับการปกป้องคุ้มครอง ดังนั้นนโยบายความมั่นคงปลอดภัยด้านสารสนเทศนี้จึงได้อธิบายถึงความตั้งใจและแสดงให้เห็นถึงความมุ่งมั่นของผู้บริหารของเราในการบริหารความเสี่ยงและการปกป้องข้อมูลสารสนเทศของแมนูไลฟ์ฯ

2. วัตถุประสงค์

นโยบายฉบับนี้ได้อธิบายถึงความมุ่งมั่นของผู้บริหารของเราในด้านต่าง ๆ ดังนี้:

  • การปกป้องข้อมูลสารสนเทศทางธุรกิจขององค์กรและข้อมูลสารสนเทศทั้งหมดของลูกค้าหรือคู่ค้าทุกรายที่อยู่ในความครอบครองของเรา
  • การสร้างหลักพื้นฐานขั้นต่ำที่สุดหรือมาตรการปกป้องเพื่อคุ้มครองทรัพยากรด้านสารสนเทศขององค์กรจากการสูญหาย การโจรกรรม การทำลาย การแก้ไขโดยไม่ได้รับอนุญาต การเปิดเผยโดยไม่ได้รับอนุญาต หรือการไม่สามารถใช้งานได้ และ
  • การสร้างภาระหน้าที่และความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยด้านสารสนเทศในองค์กร

3. ขอบเขต

นโยบายฉบับนี้ยังใช้บังคับกับทุกระบบสารสนเทศที่แมนูไลฟ์ฯเป็นเจ้าของโดย และ/หรือ บริหารจัดการ ซึ่งรวมทั้ง เครื่องคอมพิวเตอร์ทุกเครื่อง โครงสร้างพื้นฐานทางเทคนิค อุปกรณ์เครือข่าย แอพพลิเคชั่นและฐานข้อมูลสารสนเทศการใช้งานต่าง ๆ ทั้งหมด

บุคคลภายนอกและคู่ค้าทางธุรกิจที่ให้บริการต่างๆ แก่แมนูไลฟ์ฯ ซึ่งรวมถึงการให้บริการประมวลผลหรือการจัดเก็บข้อมูลสารสนเทศต่างๆ ของแมนูไลฟ์ฯ จำเป็นต้องอ่านและปฏิบัติตามบทบัญญัติต่างๆ ที่กำหนดไว้ในนโยบายฉบับนี้ ตลอดจนมาตรฐานเกี่ยวเนื่องต่างๆ ที่ใช้บังคับกับความสัมพันธ์ทางธุรกิจนั้น

4. หลักการด้านต่างๆ

หลักการพื้นฐานสำหรับการปกป้องข้อมูลสารสนเทศของแมนูไลฟ์ฯ ได้ถูกกำหนดไว้ในข้อต่างๆ ด้านล่างนี้ โดยมาตรฐานสนับสนุนต่างๆ จะถูกอ้างถึงในส่วนที่เกี่ยวข้อง และผู้ใช้งานฯทุกคนควรจะต้องอ่านและทำความเข้าใจมาตรฐานนั้นร่วมกันกับนโยบายฉบับนี้

  • 4.1 การใช้งานทรัพย์สินสารสนเทศของแมนูไลฟ์ฯ ที่ยอมรับได้

    ระบบสารสนเทศของแมนูไลฟ์ฯมีไว้สำหรับการใช้งานทางธุรกิจตามที่ได้รับอนุญาตไว้เท่านั้น ข้อมูลสารสนเทศทั้งหมดที่จัดเก็บไว้ ส่งผ่าน ได้รับหรือมีอยู่ในระบบสารสนเทศของแมนูไลฟ์ฯ ถือเป็นทรัพย์สินของแมนูไลฟ์ฯ จึงตกอยู่ภายใต้การติดตามและการตรวจสอบโดยบริษัท กิจกรรมต่าง ๆ ที่ผิดกฎหมาย ผิดจริยธรรม หรือฝ่าฝืนต่อบทบัญญัติใดในนโยบายฉบับนี้ ฝ่าฝืนประมวลจรรยาบรรณและจริยธรรมทางธุรกิจของแมนูไลฟ์ไฟแนนเชียล หรือนโยบายอื่น ๆ ของแมนูไลฟ์ฯ จึงต้องห้ามดำเนินการ ตัวอย่างของการใช้งานที่ต้องห้าม ให้รวมถึงแต่ไม่จำกัดเพียง กรณีดังต่อไปนี้

    • การเข้าถึง การจัดเก็บ หรือการส่งเนื้อหางานที่เป็นการหมิ่นประมาท การดูหมิ่น อนาจาร หยาบคาย เบี่ยงเบนทางเพศ ข่มขู่ หรือเหยียดเชื้อชาติ
    • การเก็บรวบรวมและ/หรือการส่งเนื้อหางานที่เป็นการฝ่าฝืนต่อกฎหมายหรือกฎระเบียบใดๆ ที่ประกาศใช้ในสถานที่ ภูมิภาคหรือประเทศที่แมนูไลฟ์ฯได้ประกอบกิจการหรือดำเนินการทางธุรกิจ
    • การใช้งานหรือการทำซ้ำซอฟต์แวร์ที่มีลิขสิทธิ์ หรือชิ้นงานอื่น ๆ ที่มีลิขสิทธิ์โดยไม่ได้รับอนุญาตจากเจ้าของตามกฎหมายหรือรับอนุญาตจากผู้พัฒนางานนั้น
    • การเข้าถึง การปิดใช้งาน หรือการก่อกวนระบบสารสนเทศใดๆ ของแมนูไลฟ์ฯ โดยตั้งใจและไม่ได้รับอนุญาต
    • การพยายามที่จะปิดการใช้งาน การทำลาย หรือการหลีกเลี่ยงมาตรการปกป้องด้านความปลอดภัยใดๆ โดยตั้งใจและไม่ได้รับอนุญาต

    นอกจากนี้ เมื่อมีการใช้งานคอมพิวเตอร์พกพาของแมนูไลฟ์ฯ เพื่อวัตถุประสงค์ในการใช้งานอินเทอร์เน็ต ควรที่จะต้องทำการเชื่อมต่อผ่านเครือข่ายส่วนตัวเสมือน (VPN) หรือเชื่อมต่อโดยตรงจากเครือข่ายในองค์กรแมนูไลฟ์ฯ ทุกครั้ง

    ทรัพย์สินสารสนเทศของแมนูไลฟ์ฯ (ซึ่งรวมถึงแต่ไม่จำกัดเพียงระบบสารสนเทศต่างๆ ระบบการสื่อสาร เอกสารฉบับพิมพ์หรือฉบับอิเล็กทรอนิกส์ สื่อจัดเก็บข้อมูลสารสนเทศต่างๆ) ถือเป็นทรัพย์สินของบริษัท ทรัพยากรเหล่านี้มีไว้เพื่ออำนวยความสะดวกในทางธุรกิจและการดำเนินงานของแมนูไลฟ์ฯ การใช้งานทรัพย์สินสารสนเทศของบริษัทเพื่อวัตถุประสงค์ส่วนบุคคล เป็นครั้งคราว อย่างจำกัด และตามที่เหมาะสม จะได้รับอนุญาตเมื่อการใช้งานนั้น

    • ไม่เป็นการ กระทบกับผลการปฏิบัติงานของผู้ใช้งานฯ
    • ไม่เป็นการทำให้บุคคลอื่น ๆ เสียสมาธิจากความรับผิดชอบในงานของพวกเขา
    • ไม่เป็นการส่งผลกระทบต่อการดำเนินงาน ผลการดำเนินงาน และความสมบูรณ์ของระบบหรือกระบวนการต่างๆ ของบริษัทเกินสมควร หรือ
    • ไม่เป็นการฝ่าฝืนต่อบทบัญญัติใดๆ ในประมวลจรรยาบรรณและจริยธรรมทางธุรกิจของแมนูไลฟ์ไฟแนนเชียล หรือนโยบายอื่นใดของบริษัท
  • 4.2 ข้อมูลสารสนเทศ - การจำแนกประเภท การบริหารความเสี่ยง และการปกป้อง

    อ้างถึงมาตรฐาน ISS-02 เรื่องการจำแนกประเภทและการจัดการข้อมูลสารสนเทศ ซึ่งเป็นแนวทางการจำแนกประเภทข้อมูลสารสนเทศและข้อกำหนดด้านความมั่นคงปลอดภัยขั้นต่ำสำหรับการจัดการข้อมูลสารสนเทศตามแต่ละประเภทของข้อมูลสารสนเทศดังกล่าว

    ข้อมูลสารสนเทศต่าง ๆ จะต้องถูกจำแนกประเภทออกเป็น ข้อมูลสารสนเทศสาธารณะ ข้อมูลสารสนเทศภายใน ข้อมูลสารสนเทศที่ถูกจำกัดหรือถูกควบคุมโดยเจ้าของข้อมูลสารสนเทศที่กำหนด ผู้เป็นเจ้าของข้อมูลสารสนเทศมีหน้าที่รับผิดชอบต่อข้อมูลสารสนเทศนับตั้งแต่เวลาที่ถูกสร้างขึ้น ได้รับมา หรือถูกส่งมายังแมนูไลฟ์ฯ จากบุคคลภายนอก จนกว่าข้อมูลสารสนเทศนั้นจะถูกกำจัดไปอย่างเหมาะสม

    ข้อมูลสารสนเทศของแมนูไลฟ์ฯทั้งหมดจะต้องได้รับการคุ้มครองที่เพียงพอตามแต่ละประเภทของข้อมูลสารสนเทศนั้น ผู้ใช้งานฯทุกคนจึงมีหน้าที่ในการปกป้องข้อมูลสารสนเทศในทุกรูปแบบ นับตั้งแต่เมื่อข้อมูลสารสนเทศนั้นถูกสร้างขึ้น ตลอดอายุการใช้งาน จนกว่าจะได้รับการกำจัดสิ้นไปโดยได้รับอนุญาต

  • 4.3 หลักการให้สิทธิเข้าถึงขั้นต่ำที่สุด

    ผู้ใช้งานแต่ละคน ส่วนประกอบของระบบแต่ละชิ้น หรือกระบวนการแต่ละกระบวนการ ควรได้รับอนุญาตสิทธิเข้าใช้งานขั้นต่ำที่สุดเท่าที่จำเป็นในการปฏิบัติหน้าที่ของตน (อ้างถึงเอกสาร ISS-04 เรื่องการควบคุมการเข้าถึงระบบทางตรรกะ)

  • 4.4 การแบ่งแยกหน้าที่

    การแบ่งแยกหน้าที่จะต้องถูกนำมาปรับใช้ตามที่เหมาะสมเพื่อลดความเสี่ยงของการใช้งานระบบในทางที่ผิดทั้งจากการประมาทเลินเล่อหรือด้วยเจตนา โดยตัวพนักงาน ผู้ให้บริการ หรือผู้ใช้งานภายนอกต่าง ๆ หลักการแบ่งแยกหน้าที่นี้ถือเป็นหลักการที่สำคัญด้านการควบคุมภายในที่ต้องมีการแบ่งแยกของหน้าที่ในการควบคุม เช่น การแยกหน้าที่ของผู้ทำรายการธุรกรรมออกจากการอนุมัติ และการแบ่งแยกหน้าที่การดูแล/การจัดเก็บรักษาออกจากการประนีประนอมไกล่เกลี่ย (อ้างถึงเอกสาร ISS-04 เรื่องการควบคุมการเข้าถึงระบบทางตรรกะ)

  • 4.5 รหัสประจำตัวผู้ใช้งาน รหัสผ่าน และสิทธิการเข้าถึง

    การเข้าถึงทรัพยากรคอมพิวเตอร์ของแมนูไลฟ์ฯจะถูกควบคุมด้วยการใช้กลไกการระบุตัวตนและการตรวจสอบตัวตนที่เหมาะสม และด้วยการควบคุมการเข้าถึงระบบทางตรรกะ (Logical Access Control) ดังนี้ รหัสประจำตัวผู้ใช้งานและรหัสผ่านจะต้องถูกใช้และได้รับการเก็บรักษาอย่างเหมาะสม ผู้ใช้งานฯแต่ละคนจะต้องรับผิดชอบต่อการใช้รหัสประจำตัวผู้ใช้งานและรหัสผ่านของตน และจะต้องไม่เปิดเผยให้กับบุคคลอื่น ๆ ผู้ใช้งานฯทุกคนจะต้องปฏิบัติตามมาตรฐานของบริษัทที่กำหนดสำหรับการเลือกและการใช้งานรหัสประจำตัวผู้ใช้งานและรหัสผ่าน อ้างถึงเอกสาร ISS-03 เรื่องตัวตนและการระบุตัวตน

    สิทธิในการเข้าถึงข้อมูลสารสนเทศของผู้ใช้งานจะต้องเป็นไปตามมาตรฐานการเข้าถึงระบบทางตรรกะที่กำหนดขึ้นเพื่อการอนุญาตสิทธิให้เข้าถึง การปรับเปลี่ยนสิทธิการเข้าถึง การตรวจสอบสิทธิการเข้าถึงอย่างเป็นระยะ ๆ และการเพิกถอนสิทธิการเข้าถึง อ้างถึงเอกสาร ISS-04 เรื่องการควบคุมการเข้าถึงระบบทางตรรกะ

  • 4.6 การควบคุมสินทรัพย์สารสนเทศและการใช้งานระบบคอมพิวเตอร์

    ผู้ใช้งานฯจะต้องปฏิบัติตามข้อกำหนดที่เกี่ยวกับเอกสารฉบับพิมพ์และหน้าจอคอมพิวเตอร์ดังต่อไปนี้

    ผู้ใช้งานฯจะต้องเก็บรักษาข้อมูลสารสนเทศที่มีความอ่อนไหวหรือที่ถูกจำกัด ซึ่งอยู่ในรูปแบบสิ่งพิมพ์ด้วยการล็อคหน้าจอ เมื่อไม่ได้ใช้งาน หรือเมื่อไม่ได้อยู่ด้วยเป็นระยะเวลาหนึ่ง (เช่น เมื่อออกไปประชุม ในเวลาพักกลางวัน หรือระหว่างกลางคืน) และ

    นำเอกสารดังกล่าวออกจากเครื่องพิมพ์ เครื่องถ่ายเอกสาร หรือเครื่องโทรสารทันที ป้องกันการใช้งานคอมพิวเตอร์เมื่อไม่ได้อยู่ที่เครื่อง (เช่น การกดปุ่ม Ctrl-Alt-Del แล้วกด Enter)

  • 4.7 การติดตั้ง แก้ไข และถอนการติดตั้งฮาร์ดแวร์และซอฟต์แวร์

    ผู้ที่สามารถติดตั้ง ถอนการติดตั้ง หรือแก้ไขฮาร์ดแวร์หรือซอฟต์แวร์ใด ๆ ภายในแมนูไลฟ์ฯจะต้องเป็นบุคลากรที่ได้รับอนุญาตเท่านั้น เพื่อให้มั่นใจได้ว่าอุปกรณ์ฮาร์ดแวร์ทุกชิ้นได้รับการอนุมัติใช้งาน และซอฟต์แวร์ทั้งหมดนั้นปราศจากไวรัส ถูกลงทะเบียน และได้รับอนุญาตให้แมนูไลฟ์ฯใช้งานด้วยการคุ้มครองทางด้านลิขสิทธิ์ทั้งหมดแล้ว อ้างถึงเอกสาร ISS-04 เรื่องการควบคุมการเข้าถึงระบบทางตรรกะ เอกสาร ISS-10 เรื่องลิขสิทธิ์ เอกสาร ISS-11 เรื่องการป้องกันจากรหัสที่เป็นอันตราย และเอกสาร ISS-12 เรื่อง ชุดการแก้ไขความปลอดภัยและชุดการให้บริการ (Hot Fixes and Service Packs)

    อุปกรณ์จัดเก็บข้อมูลสารสนเทศส่วนบุคคล ซึ่งรวมถึงแต่ไม่จำกัดเพียง อุปกรณ์เก็บข้อมูลสารสนเทศพกพา อุปกรณ์ยูเอสบีพกพา ผู้ช่วยส่วนบุคคลแบบดิจิตอล อุปกรณ์ไอพ็อด เป็นต้น จะต้องไม่นำมาใช้ในการจัดเก็บข้อมูลสารสนเทศที่มีความอ่อนไหว หรือที่ถูกจำกัด เฉพาะอุปกรณ์ที่ได้รับอนุญาต ได้รับการอนุมัติล่วงหน้า แมนูไลฟ์ฯเป็นผู้จัดหาให้และเป็นเจ้าของเท่านั้นที่สามารถนำมาใช้งานได้ อ้างถึงเอกสาร ISS-02 เรื่องการจำแนกประเภทและการจัดการข้อมูลสารสนเทศ

    ผู้ใช้งานฯมีหน้าที่ในการตรวจสอบว่าคอมพิวเตอร์พกพาและอุปกรณ์จัดเก็บข้อมูลสารสนเทศพกพาที่ได้รับอนุญาตซึ่งมีข้อมูลสารสนเทศทางธุรกิจนั้นมีการป้องกันการสูญหาย การโจรกรรม การทำลาย และการเปิดเผยข้อมูลสารสนเทศโดยไม่ได้รับอนุญาต และมีการรักษาความปลอดภัยทางด้านกายภาพในลักษณะที่เหมาะสมตลอดเวลา อ้างถึงเอกสาร ISS-05 เรื่องการควบคุมการเข้าถึงทางกายภาพ

  • 4.8 การป้องกันจากรหัสที่เป็นอันตราย

    ผู้ใช้งานฯมีหน้าที่ปกป้องคอมพิวเตอร์ทำงานของตนจากรหัสที่เป็นอันตราย และมีหน้าที่ในการรายงานการติดเชื้อหรือเหตุการณ์ที่น่าสงสัยไปยังผู้ที่เกี่ยวข้อง อ้างถึงเอกสาร ISS-11 เรื่องการป้องกันจากรหัสที่เป็นอันตราย

  • 4.9 การบริหารสถานการณ์ด้านความมั่นคงปลอดภัย

    เหตุการณ์ด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศ (รวมถึงสถานการณ์ในกรณีที่ผู้ใช้งานฯพบว่าพวกเขาสามารถที่จะหลบเลี่ยงมาตรการรักษาความปลอดภัยได้) หรือสถานการณ์ที่เกิดขึ้น จะถูกรายงาน บันทึก สอบสวน และได้รับการแก้ไข ผู้ใช้งานฯจะต้องรายงานการละเมิดการรักษาความปลอดภัยใด ๆ หรือสถานการณ์ที่เกิดขึ้นไปยังผู้จัดการของตน และไปยังพนักงานด้านความปลอดภัยของหน่วยงาน พนักงานบริหารความเสี่ยงและการรักษาความปลอดภัยประจำส่วนงาน หรือ เจ้าหน้าที่ผู้ให้ความช่วยเหลือในท้องถิ่น โดยทันที

5. หน้าที่และความรับผิดชอบในความมั่นคงปลอดภัยด้านสารสนเทศ

บทบาทและความรับผิดชอบสำคัญในความมั่นคงปลอดภัยด้านสารสนเทศของแมนูไลฟ์ฯมีรายละเอียดดังนี้

  • 5.1 ฝ่ายบริหารระดับสูง

    ฝ่ายบริหารระดับสูงมีหน้าที่สูงสุดในการนำการควบคุมและแนวปฏิบัติด้านความมั่นคงปลอดภัยด้านสารสนเทศไปปรับใช้ภายในหน่วยงานและพื้นที่ของตน หน่วยงานและส่วนงานในแต่ละพื้นที่มีหน้าที่กำหนดความเสี่ยงด้านความมั่นคงปลอดภัยด้านสารสนเทศและบริหารจัดการความเสี่ยงเหล่านั้นอย่างมีประสิทธิภาพตามนโยบายความมั่นคงปลอดภัยด้านสารสนเทศฉบับนี้และมาตรฐานและแนวปฏิบัติต่าง ๆ ที่เกี่ยวเนื่อง นอกจากนี้หน่วยงานและส่วนงานในแต่ละพื้นที่ยังมีหน้าที่ในการจัดสรรทรัพยากรที่ช่วยสนับสนุนการรับรู้ถึงปัญหาด้านความมั่นคงปลอดภัยให้เพียงพอ และควบคุมให้มีการปฏิบัติตามกฎเกณฑ์ต่าง ๆ ภายในส่วนงานของตน ประธานเจ้าหน้าที่สารสนเทศในพื้นที่ส่วนงานจะต้องรับทราบอย่างเป็นทางการในสถานการณ์สำคัญใด ๆ ที่มีการรายงาน หรือการไม่ปฏิบัติตามกฎเกณฑ์ใดในนโยบายความต่อเนื่องทางธุรกิจและการกู้คืนภัยพิบัติในระดับโลก หรือนโยบายความมั่นคงปลอดภัยด้านสารสนเทศ เป็นประจำทุกไตรมาส และประธานเจ้าหน้าที่สารสนเทศจะต้องจัดทำแบบฟอร์มการรับรองการปฏิบัติตามนโยบายให้เสร็จสมบูรณ์ เป็นประจำทุกปี

  • 5.2 ประธานเจ้าหน้าที่สารสนเทศระดับโลก

    ประธานเจ้าหน้าที่สารสนเทศระดับโลกมีฐานะเป็นเจ้าของนโยบายความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งมีภาระหน้าที่ดูแลการดำเนินงานของโครงการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศโดยรวม เพื่อให้มั่นใจว่าประสิทธิภาพของโครงการดังกล่าวได้รับการติดตาม และยังคงเป็นไปตามข้อกำหนดของแมนูไลฟ์ฯ

  • 5.3 ประธานเจ้าหน้าที่ด้านความเสี่ยงสารสนเทศ

    ประธานเจ้าหน้าที่ด้านความเสี่ยงสารสนเทศมีหน้าที่ในการกำกับดูแลและการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศของแมนูไลฟ์ฯ ซึ่งรวมถึงการพัฒนาและการนำโครงการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศและรูปแบบการกำกับดูแลไปปรับใช้ เพื่อให้เกิดการปฏิบัติทางธุรกิจตามนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและมาตรฐานต่าง ๆ ที่เกี่ยวข้อง

  • 5.4 ศูนย์กลางผู้เชี่ยวชาญการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศ

    ศูนย์กลางผู้เชี่ยวชาญการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศได้จัดให้มีผู้นำและการกำกับดูแลเพื่อให้เกิดประสิทธิภาพและประสิทธิผลจากการปรับใช้นโยบายและการปฏิบัติด้านความมั่นคงปลอดภัยด้านสารสนเทศทั่วทั้งองค์กร ศูนย์กลางผู้เชี่ยวชาญการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศยังทำการตรวจสอบผลการดำเนินงาน คุณค่า การปฏิบัติตาม ส่งเสริมให้เกิดความสอดคล้องและทำให้เกิดการปรับตามเป้าหมายและวัตถุประสงค์ขององค์กรแมนูไลฟ์ฯ

  • 5.5 ประธานเจ้าหน้าที่ฝ่ายกำกับดูแลกิจการประจำส่วนงานและฝ่ายกฎหมายของหน่วยธุรกิจ

    มีหน้าที่ในการให้ความเชี่ยวชาญในเรื่องที่เกี่ยวข้องกับกฎหมายและกฎระเบียบต่างๆ ที่อาจเกี่ยวข้องกับเรื่องความมั่นคงปลอดภัยด้านสารสนเทศ ประธานเจ้าหน้าที่ฝ่ายกำกับดูแลกิจการประจำส่วนงานและฝ่ายกฎหมายของหน่วยธุรกิจจะทำงานร่วมกันกับเจ้าหน้าที่ความมั่นคงปลอดภัยของหน่วยธุรกิจเพื่อประเมินความเสี่ยงของกิจกรรมการรักษาความมั่นคงปลอดภัยด้านสารสนเทศและควรได้รับการปรึกษาหารือล่วงหน้าก่อนการริเริ่มด้านความมั่นคงปลอดภัยสารสนเทศต่างๆ ที่อาจมีผลทางกฎหมายตามมาได้

  • 5.6 เจ้าหน้าที่ความเสี่ยงด้านสารสนเทศประจำส่วนงาน

    เจ้าหน้าที่ความเสี่ยงด้านสารสนเทศประจำส่วนงานมีหน้าที่รับผิดชอบในการกำกับดูแลและการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศของแมนูไลฟ์ฯ ภายในหน่วยงานประจำส่วนงานของตน

  • 5.7 เจ้าหน้าที่ความมั่นคงปลอดภัยของหน่วยธุรกิจ

    เจ้าหน้าที่ความมั่นคงปลอดภัยของหน่วยธุรกิจ จะบริหารและติดตามกิจกรรมการจัดการความมั่นคงปลอดภัยด้านสารสนเทศต่างๆ ภายในหน่วยธุรกิจของตน ในนามของเจ้าหน้าที่ความเสี่ยงด้านสารสนเทศประจำส่วนงาน เจ้าหน้าที่ความมั่นคงปลอดภัยของหน่วยธุรกิจยังทำงานร่วมกันกับประธานเจ้าหน้าที่ฝ่ายกำกับดูแลกิจการประจำส่วนงานและฝ่ายกฎหมายของหน่วยธุรกิจเพื่อดำเนินการประเมินความเสี่ยงของการริเริ่มด้านความมั่นคงปลอดภัยสารสนเทศต่างๆ ที่เกี่ยวข้อง เมื่อจำเป็น

  • 5.8 เจ้าของสารสนเทศ

    เจ้าของสารสนเทศ เป็นเจ้าของและมีหน้าที่ทุกประการในการปกป้องข้อมูลสารสนเทศ นับตั้งแต่เวลาที่ได้รับมา พัฒนาขึ้น ตลอดเวลาที่รักษาข้อมูลสารสนเทศไว้ เจ้าของสารสนเทศ คือ ตำแหน่งผู้จัดการทุกระดับ (เช่น ผู้จัดการ ผู้อำนวยการ ประจำส่วนงานหรือของหน่วยธุรกิจ และผู้ได้รับมอบหมายจากบุคคลดังกล่าว) ที่อยู่ภายในองค์กรแมนูไลฟ์ฯ เจ้าของสารสนเทศมีหน้าที่ในการจำแนกประเภทของข้อมูลสารสนเทศ และการปรับใช้การควบคุมที่จำเป็นเพื่อปกป้องข้อมูลสารสนเทศจากการสร้าง การได้รับมา การจัดเก็บ และการกำจัดหรือทำลายในขั้นสุดท้าย ทั้งนี้ขึ้นอยู่กับนโยบายฉบับนี้และมาตรฐานด้านความมั่นคงปลอดภัยต่างๆ ที่เกี่ยวข้อง

  • 5.9 ผู้เก็บรักษาสารสนเทศ

    ผู้เก็บรักษาสารสนเทศ คือ บุคคลหรือกลุ่มบุคคลที่เป็นตัวแทนหรือได้รับการแต่งตั้งจากเจ้าของสารสนเทศให้เป็นผู้เก็บรักษาข้อมูลสารสนเทศ ซึ่งรวมถึงผู้เก็บรักษาข้อมูลสารสนเทศภายในองค์กร เช่น ผู้ดูแลระบบและฐานข้อมูลสารสนเทศ ตลอดจนผู้ให้บริการภายนอกที่ทำหน้าที่บริหารจัดการข้อมูลสารสนเทศหรือระบบให้แก่แมนูไลฟ์ฯ ผู้เก็บรักษาสารสนเทศมีหน้าที่ในการปกป้องข้อมูลสารสนเทศที่อยู่ในการดูแลของตนตามอำนาจที่ตนได้รับมอบหมายมา และตามที่เจ้าของสารสนเทศได้กำหนดทิศทางไว้โดยเฉพาะเจาะจง

  • 5.10 ผู้ใช้งานฯ

    ผู้ใช้งานฯ คือ บุคคลหรือกลุ่มบุคคลที่เข้าถึงข้อมูลสารสนเทศแมนูไลฟ์ฯได้ ซึ่งผู้ใช้งานฯอาจเป็นพนักงานของแมนูไลฟ์ฯ ผู้รับจ้าง ผู้ให้บริการภายนอก และคู่ค้าทางธุรกิจก็ได้ ผู้ใช้งานฯจะต้องได้รับความรู้ การฝึกอบรม และการรับรู้ถึงนโยบายความมั่นคงปลอดภัยด้านสารสนเทศของแมนูไลฟ์ฯ ตลอดจนมาตรฐานความปลอดภัยต่าง ๆ ที่เกี่ยวข้อง ผู้ใช้งานฯ มีความรับผิดชอบในการปกป้องข้อมูลสารสนเทศของแมนูไลฟ์ฯ ตามระดับการควบคุมที่ถูกกำหนดไว้โดยเจ้าของสารสนเทศ และจะต้องใช้ข้อมูลสารสนเทศตามวัตถุประสงค์ที่กำหนดไว้เท่านั้น

  • 5.11 การตรวจสอบภายใน

    ผู้ให้บริการตรวจสอบเป็นผู้รับผิดชอบในการสอบทานประสิทธิภาพของแต่ละส่วนงานในการปฏิบัติตามนโยบายต่าง ๆ ด้านความเสี่ยงทั่วโลก และโครงการการบริหารความเสี่ยงต่าง ๆ ที่เกี่ยวข้อง เป็นประจำตามรอบระยะเวลาการตรวจสอบ

6. การกำกับดูแลกิจการและการรายงาน

  • 6.1 การกำกับดูแลกิจการ

    การปฏิบัติตามนโยบายฉบับนี้และมาตรฐานต่าง ๆ ที่เกี่ยวข้องเป็นสิ่งจำเป็น และนโยบายฉบับนี้มีผลบังคับใช้ผู้ใช้งานทุกคนตามที่กำหนดไว้ในขอบเขตข้างต้น ตามข้อรับรองหรือข้อรับรองซ้ำประจำปีที่จัดทำขึ้นให้สอดคล้องกับประมวลจรรยาบรรณและจริยธรรมทางธุรกิจของแมนูไลฟ์ไฟแนนเชียล พนักงานในทุกระดับชั้นมีหน้าที่ความรับผิดชอบในการปกป้องข้อมูลสารสนเทศอย่างต่อเนื่อง หน่วยธุรกิจที่ทำสัญญากับบุคคลภายนอกจะต้องมั่นใจว่าการปฏิบัติตามสามารถพิสูจน์ได้ในระดับที่เทียบเท่ากันหรือสูงกว่า (อ้างถึงเอกสาร ISS-09 เรื่องการจัดการบริการของบุคคลภายนอก)

  • 6.2 การรายงาน

    การรายงานการปฏิบัติตามนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและมาตรฐานต่าง ๆ ที่เกี่ยวข้องไม่ว่าทั้งหมดหรือบางส่วน จะต้องดำเนินการโดยผู้ที่มีหน้าที่รับผิดชอบภายในแมนูไลฟ์ฯ เช่น ผู้ให้บริการตรวจสอบภายใน และสำนักงานกำกับดูแลกิจการทั่วโลก และรายงานต่าง ๆ จะต้องส่งไปยังผู้บริหารระดับสูงและคณะกรรมการบริษัทด้วย นอกจากนี้ประเด็นที่เกี่ยวข้องกับนโยบายอาจถูกรวมเป็นส่วนหนึ่งของโครงการกำกับดูแลกิจการของสำนักงานกำกับดูแลกิจการทั่วโลกและ และถูกรายงานไปยังคณะกรรมการตรวจสอบและบริหารความเสี่ยง ประธานเจ้าหน้าที่สารสนเทศในพื้นที่ส่วนงานถูกกำหนดให้รับทราบถึงสถานการณ์สำคัญใด ๆ ที่มีการรายงาน หรือการไม่ปฏิบัติตามกฎเกณฑ์ใดในนโยบายความมั่นคงปลอดภัยด้านสารสนเทศ อย่างเป็นทางการ เป็นประจำทุกไตรมาส

  • 6.3 ความบกพร่องในการปฏิบัติตาม

    ความบกพร่องในการปฏิบัติตามเจตนารมณ์แห่งนโยบายฉบับนี้อาจส่งผลให้เกิดการดำเนินการต่าง ๆ จากแมนูไลฟ์ฯ ซึ่งรวมถึงแต่ไม่จำกัดเพียง มาตรการดังต่อไปนี้

    • การถูกปฏิเสธการเข้าถึงสารสนเทศและระบบของแมนูไลฟ์ฯ
    • การลงโทษทางวินัย ซึ่งรวมถึงแต่ไม่จำกัดเพียง หนังสือเตือน การพักงานทั้งที่ได้รับหรือไม่ได้รับค่าจ้าง และ/หรือการเลิกจ้างงานที่มีผลโดยทันที
    • การดำเนินคดีทางแพ่งหรือทางอาญาตามกฎหมาย

7. การทบทวนและการปรับปรุงนโยบาย

นโยบายฉบับนี้ได้รับการอนุมัติจากคณะกรรมการบริษัท และมีการประเมินและแก้ไขปรับปรุงเป็นระยะ ทั้งนี้ไม่น้อยกว่าทุก ๆ สามปี แมนูไลฟ์ฯขอสงวนสิทธิ์ในการแก้ไขหรือปรับเปลี่ยนนโยบายฉบับนี้ในเวลาใด ๆ ภายใต้กฎหมายทั้งหมดที่บังคับใช้ การเปลี่ยนแปลงนโยบายฉบับนี้ในส่วนที่ไม่เป็นสาระสำคัญไม่จำต้องได้รับการอนุมัติจากคณะกรรมการบริษัท

8. ประวัติการเปลี่ยนแปลง

วันที่ (วัน / เดือน / ปี) รายละเอียดของการเปลี่ยนแปลง อนุมัติโดย
27 / 11 / 2555 นโยบายถูกกำหนดขึ้นและได้รับการทบทวนอย่างเป็นทางการในระดับส่วนงานทั้งนโยบาย

9. นโยบายการแก้ปัญหาข้อร้องเรียน

มาตรการคุ้มครองและรักษาความลับของผู้ร้องเรียน

เพื่อเป็นการคุ้มครองสิทธิของผู้ร้องเรียนและผู้ให้ข้อมูลที่กระทำโดยเจตนาสุจริตทำ www.manulife.co.th จะปกปิดชื่อ ที่อยู่ หรือข้อมูลใด ๆ ที่สามารถระบุตัวผู้ร้องเรียนหรือผู้ให้ข้อมูลได้ และเก็บรักษาข้อมูลของผู้ร้องเรียนและผู้ให้ข้อมูลไว้เป็นความลับ โดยจำกัดเฉพาะผู้รับผิดชอบในการดำเนินการตรวจสอบเรื่องร้องเรียนเท่านั้นที่จะเข้าถึงข้อมูลดังกล่าวได้ ทั้งนี้ ผู้ได้รับข้อมูลปฏิบัติหน้าที่ที่เกี่ยวข้องกับเรื่องร้องเรียน มีหน้าที่เก็บรักษาข้อมูล ข้อร้องเรียน และเอกสารหลักฐานของผู้ร้องเรียนและผู้ให้ข้อมูลไว้เป็นความลับ ห้ามเปิดเผยข้อมูลแก่บุคคลอื่นที่ไม่มีหน้าที่เกี่ยวข้อง เว้นแต่เป็นการเปิดเผยตามหน้าที่ที่กฎหมายกำหนด

การดำเนินการเมื่อได้รับเรื่องร้องเรียน

www.manulife.co.th จะเป็นผู้พิจารณาเรื่องร้องเรียนที่ได้รับทันที และแจ้งให้หน่วยงานที่เกี่ยวข้องดำเนินการสอบสวนข้อเท็จจริงเกี่ยวกับเรื่องที่ได้รับ การร้องเรียนและดำเนินการแก้ไขอย่างเหมาะสม www.manulife.co.th จะติดตามผลความคืบหน้าเป็นระยะ ซึ่งหน่วยงานที่เกี่ยวข้องจะแจ้งผลการดำเนินงานภายในระยะเวลาที่เหมาะสมให้แก่ผู้ร้องเรียนทราบ โดยไม่มีค่าใช้จ่าย ช่องทางการรับเรื่องร้องเรียน

ผู้ร้องเรียนจะต้องระบุรายละเอียดของเรื่องที่จะร้องเรียน พร้อมชื่อ ที่อยู่ และหมายเลขโทรศัพท์ที่สามารถติดต่อได้ และส่งมายัง www.manulife.co.th ได้ 3 ช่องทาง คือ

ช่องทางการระงับข้อพิพาทโดยกลไกภายนอก

หากกระบวนการแก้ไขข้อพิพาทโดยผู้ประกอบการไม่เป็นที่พอใจของลูกค้า ลูกค้าสามารถใช้ช่องทางภายนอกที่ลูกค้าสามารถดำเนินการระงับข้อพิพาทได้ โดยติดต่อมายัง หน่วยงานที่เกี่ยวข้องกับธุรกิจของท่าน