นโยบายความมั่นคงปลอดภัยไซเบอร์

ศูนย์ไกล่เกลี่ยข้อพิพาท (ศกช.) ดำเนินมาตรการตามพระราชบัญญัติการรักษาความมั่นคง ปลอดภัยไซเบอร์ พ.ศ. 2562 และแนวปฏิบัติของสำนักงานคณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ (สกมช.)

1. การควบคุมการเข้าถึง

• Role-Based Access Control (RBAC) สำหรับเจ้าหน้าที่ทุกระดับ
• Row-Level Security (RLS) ในฐานข้อมูลทุกตาราง
• หลักการ Least Privilege และ Need-to-know
• การยืนยันตัวตนหลายปัจจัย (MFA) สำหรับผู้ดูแลระบบ

2. การเข้ารหัสข้อมูล

• การส่งข้อมูล: HTTPS/TLS 1.2 ขึ้นไป
• ข้อมูลในฐานข้อมูล: encryption at rest
• เอกสารหลักฐาน: snapshot hash + immutable lock

3. การบันทึกและตรวจสอบ

• Audit log แบบ append-only ทุกการเข้าถึงข้อมูลสำคัญ
• เก็บ log การ login, ดู, แก้ไข, ลบ พร้อม IP และ user agent
• ทบทวน log โดยทีมความปลอดภัยเป็นระยะ

4. การจัดการช่องโหว่

• การ scan dependency vulnerability เป็นระยะ
• การ patch ระบบและไลบรารีตามรอบการอัปเดต
• การทดสอบเจาะระบบ (penetration test) ตามรอบ

5. การสำรองข้อมูลและกู้คืน

• สำรองข้อมูลรายวัน (daily backup)
• Point-in-time recovery (PITR)
• แผน Disaster Recovery และทดสอบเป็นระยะ

6. การจัดการเหตุการณ์ผิดปกติ

• ทีม Incident Response พร้อมตอบสนอง 24/7
• แจ้ง สกมช. ตามเกณฑ์ที่กำหนด
• รายงานเหตุละเมิดข้อมูลส่วนบุคคลต่อ สคส. ภายใน 72 ชั่วโมง

7. การฝึกอบรมเจ้าหน้าที่

เจ้าหน้าที่ทุกคนต้องผ่านการอบรม Cyber Hygiene และ PDPA Awareness ก่อนได้รับสิทธิ์เข้าถึงข้อมูล

8. การแจ้งช่องโหว่ (Vulnerability Disclosure)

หากพบช่องโหว่ โปรดแจ้งผ่านช่องทางติดต่อหลักของศูนย์ฯ เราจะตอบกลับและประเมินภายใน 7 วันทำการ