သတင်းအချက်အလက် လုံခြုံရေးမူဝါဒ
EITCA Academy သတင်းအချက်အလက် လုံခြုံရေးမူဝါဒ
ဤစာတမ်းသည် ၎င်း၏ ထိရောက်မှုနှင့် ဆီလျော်မှုရှိစေရန် ပုံမှန်ပြန်လည်သုံးသပ်ပြီး အပ်ဒိတ်လုပ်ထားသည့် ဥရောပ IT အသိအမှတ်ပြုဌာန၏ သတင်းအချက်အလက် လုံခြုံရေးမူဝါဒ (ISP) ကို သတ်မှတ်ထားပါသည်။ EITCI သတင်းအချက်အလက်လုံခြုံရေးမူဝါဒအတွက် နောက်ဆုံးအပ်ဒိတ်ကို 7 ခုနှစ် ဇန်နဝါရီလ 2023 ရက်နေ့တွင် ပြုလုပ်ခဲ့ပါသည်။
အပိုင်း ၁။ နိဒါန်းနှင့် သတင်းအချက်အလက် လုံခြုံရေးမူဝါဒ ထုတ်ပြန်ချက်
1.1 ။ နိဒါန်း
ဥရောပ အိုင်တီ အသိအမှတ်ပြု အင်စတီကျု သည် လျှို့ဝှက်မှု၊ ခိုင်မာမှု၊ နှင့် သတင်းအချက်အလက် ရရှိမှုနှင့် ကျွန်ုပ်တို့၏ သက်ဆိုင်သူများ၏ ယုံကြည်မှုကို ထိန်းသိမ်းရာတွင် သတင်းအချက်အလက် လုံခြုံရေး၏ အရေးပါမှုကို အသိအမှတ်ပြုပါသည်။ ကျွန်ုပ်တို့သည် ကိုယ်ရေးကိုယ်တာအချက်အလက်များအပါအဝင် အရေးကြီးသောအချက်အလက်များ၊ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း၊ ထုတ်ဖော်ခြင်း၊ ပြောင်းလဲခြင်းနှင့် ဖျက်ဆီးခြင်းမှ ကာကွယ်ပေးရန် ကျွန်ုပ်တို့ကတိပြုပါသည်။ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ဖောက်သည်များအား ယုံကြည်စိတ်ချရပြီး ဘက်မလိုက်သော အသိအမှတ်ပြုလက်မှတ်ဝန်ဆောင်မှုများပေးဆောင်ရန် ကျွန်ုပ်တို့၏မစ်ရှင်ကို ပံ့ပိုးပေးရန်အတွက် ထိရောက်သောသတင်းအချက်အလက်လုံခြုံရေးမူဝါဒကို ထိန်းသိမ်းထားပါသည်။ သတင်းအချက်အလက် လုံခြုံရေးမူဝါဒတွင် ကျွန်ုပ်တို့၏ ကတိကဝတ်များကို သတင်းအချက်အလက် ပိုင်ဆိုင်မှုများကို ကာကွယ်ရန်နှင့် ကျွန်ုပ်တို့၏ ဥပဒေ၊ စည်းမျဉ်းစည်းကမ်းနှင့် စာချုပ်ဆိုင်ရာ တာဝန်များကို ဖြည့်ဆည်းပေးပါသည်။ ကျွန်ုပ်တို့၏မူဝါဒသည် သတင်းအချက်အလက်လုံခြုံရေးစီမံခန့်ခွဲမှုနှင့် အသိအမှတ်ပြုလက်မှတ်အဖွဲ့များ၏ လုပ်ငန်းဆောင်ရွက်မှုစံနှုန်းများအတွက် ဦးဆောင်နိုင်ငံတကာစံနှုန်းများဖြစ်သည့် ISO 27001 နှင့် ISO 17024 တို့၏ အခြေခံမူများအပေါ် အခြေခံထားသည်။
၁.၂။ မူဝါဒထုတ်ပြန်ချက်
ဥရောပ အိုင်တီအသိအမှတ်ပြု အင်စတီကျုမှ ကတိကဝတ်ပြုထားသည်-
- လျှို့ဝှက်ထားမှု၊ ခိုင်မာမှုနှင့် သတင်းအချက်အလက် ပိုင်ဆိုင်မှုများကို အကာအကွယ်ပေးခြင်း၊
- သတင်းအချက်အလက် လုံခြုံရေးနှင့် သက်ဆိုင်သည့် ဥပဒေ၊ စည်းမျဥ်းစည်းကမ်းများနှင့် စာချုပ်ပါ တာဝန်များကို လိုက်နာဆောင်ရွက်ခြင်း၊
- ၎င်း၏ သတင်းအချက်အလက် လုံခြုံရေးမူဝါဒနှင့် ဆက်နွှယ်သော စီမံခန့်ခွဲမှုစနစ် တိုးတက်ကောင်းမွန်ရေး၊
- ဝန်ထမ်းများ၊ ကန်ထရိုက်တာများနှင့် သင်တန်းသားများအား လုံလောက်သော လေ့ကျင့်မှုနှင့် အသိပညာပေးခြင်း၊
- သတင်းအချက်အလက်လုံခြုံရေးမူဝါဒနှင့် ဆက်စပ်အချက်အလက်များ လုံခြုံရေးစီမံခန့်ခွဲမှုစနစ်အား အကောင်အထည်ဖော်ခြင်းနှင့် ထိန်းသိမ်းခြင်းတွင် ဝန်ထမ်းများနှင့် ကန်ထရိုက်တာများအားလုံး ပါဝင်ခြင်း။
၁
ဤမူဝါဒသည် European IT Certification Institute မှ ပိုင်ဆိုင်သော၊ ထိန်းချုပ်ထားသော သို့မဟုတ် လုပ်ဆောင်သည့် အချက်အလက်အားလုံးနှင့် သက်ဆိုင်ပါသည်။ ၎င်းတွင် စနစ်များ၊ ကွန်ရက်များ၊ ဆော့ဖ်ဝဲလ်၊ ဒေတာနှင့် စာရွက်စာတမ်းများကဲ့သို့သော ဒစ်ဂျစ်တယ်နှင့် ရုပ်ပိုင်းဆိုင်ရာ အချက်အလက်ပိုင်ဆိုင်မှုအားလုံး ပါဝင်သည်။ ဤမူဝါဒသည် ကျွန်ုပ်တို့၏ အချက်အလက်ပိုင်ဆိုင်မှုများကို ဝင်ရောက်ကြည့်ရှုသည့် ဝန်ထမ်းများ၊ ကန်ထရိုက်တာများနှင့် ပြင်ပမှ ဝန်ဆောင်မှုပေးသူများအားလုံးနှင့်လည်း သက်ဆိုင်ပါသည်။
1.4 ။ လိုက်နာခြင်း
European IT အသိအမှတ်ပြုဌာနသည် ISO 27001 နှင့် ISO 17024 အပါအဝင် သက်ဆိုင်ရာ သတင်းအချက်အလက် လုံခြုံရေးစံနှုန်းများကို လိုက်နာရန် ကတိပြုပါသည်။ ကျွန်ုပ်တို့သည် ဤမူဝါဒကို စဉ်ဆက်မပြတ် ဆက်စပ်မှုနှင့် လိုက်လျောညီထွေမှုရှိစေရန်အတွက် ဤမူဝါဒကို ပုံမှန်သုံးသပ်ပြီး အပ်ဒိတ်လုပ်ပါသည်။
အပိုင်း ၂။ အဖွဲ့အစည်းလုံခြုံရေး
၂.၁။ အဖွဲ့အစည်းလုံခြုံရေးပန်းတိုင်များ
အဖွဲ့အစည်း၏ လုံခြုံရေးအစီအမံများကို အကောင်အထည်ဖော်ခြင်းဖြင့်၊ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ သတင်းအချက်အလက်ပိုင်ဆိုင်မှုများနှင့် ဒေတာလုပ်ဆောင်ခြင်းဆိုင်ရာ အလေ့အကျင့်များနှင့် လုပ်ထုံးလုပ်နည်းများကို အမြင့်ဆုံးအဆင့်၏ လုံခြုံရေးနှင့် သမာဓိရှိပြီး၊ သက်ဆိုင်ရာ ဥပဒေစည်းမျဉ်းများနှင့် စံနှုန်းများကို လိုက်နာကြောင်း သေချာစေရန် ရည်ရွယ်ပါသည်။
၂.၂။ သတင်းအချက်အလက် လုံခြုံရေး အခန်းကဏ္ဍနှင့် တာဝန်များ
European IT Certification Institute သည် အဖွဲ့အစည်းတစ်ဝှမ်းရှိ သတင်းအချက်အလက်လုံခြုံရေးအတွက် အခန်းကဏ္ဍများနှင့် တာဝန်များကို သတ်မှတ်သတ်မှတ်ပြီး ဆက်သွယ်ပေးပါသည်။ ၎င်းတွင် သတင်းအချက်အလက်လုံခြုံရေးနှင့်စပ်လျဉ်းသော အချက်အလက်ပိုင်ဆိုင်မှုများအတွက် ရှင်းလင်းသောပိုင်ဆိုင်မှုများကို ပေးအပ်ခြင်း၊ အုပ်ချုပ်မှုဖွဲ့စည်းပုံတည်ဆောက်ခြင်းနှင့် အဖွဲ့အစည်းတစ်ဝှမ်းရှိ ကဏ္ဍများနှင့် ဌာနအသီးသီးအတွက် သီးခြားတာဝန်များသတ်မှတ်ခြင်း ပါဝင်သည်။
၄.၃.၃ ။ အန္တရာယ်စီမံခန့်ခွဲမှု
ကျွန်ုပ်တို့သည် ကိုယ်ရေးကိုယ်တာဒေတာလုပ်ဆောင်ခြင်းဆိုင်ရာ အန္တရာယ်များအပါအဝင် အဖွဲ့အစည်းအတွက် သတင်းအချက်အလက်လုံခြုံရေးအန္တရာယ်များကို ခွဲခြားသတ်မှတ်ပြီး ဦးစားပေးလုပ်ဆောင်ရန် ပုံမှန်အန္တရာယ်အကဲဖြတ်မှုများကို လုပ်ဆောင်ပါသည်။ ကျွန်ုပ်တို့သည် ဤအန္တရာယ်များကို လျော့ပါးသက်သာစေရန် သင့်လျော်သောထိန်းချုပ်မှုများကို ချမှတ်ပြီး လုပ်ငန်းပတ်ဝန်းကျင်နှင့် ခြိမ်းခြောက်မှုအခင်းအကျင်းတွင် အပြောင်းအလဲများကို အခြေခံ၍ ကျွန်ုပ်တို့၏အန္တရာယ်စီမံခန့်ခွဲမှုချဉ်းကပ်မှုကို ပုံမှန်သုံးသပ်ပြီး အပ်ဒိတ်လုပ်ပါသည်။
၂.၄။ သတင်းအချက်အလက် လုံခြုံရေးမူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများ
ကျွန်ုပ်တို့သည် လုပ်ငန်း၏အကောင်းဆုံးအလေ့အကျင့်များကိုအခြေခံကာ သက်ဆိုင်ရာစည်းမျဉ်းများနှင့် စံချိန်စံညွှန်းများကိုလိုက်နာသည့် သတင်းအချက်အလက်လုံခြုံရေးမူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို တည်ထောင်ထိန်းသိမ်းပါသည်။ ဤမူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများသည် ကိုယ်ရေးကိုယ်တာဒေတာလုပ်ဆောင်ခြင်းအပါအဝင် သတင်းအချက်အလက်လုံခြုံရေးဆိုင်ရာ ကဏ္ဍပေါင်းစုံကို အကျုံးဝင်ပြီး ၎င်းတို့၏ ထိရောက်မှုသေချာစေရန် ပုံမှန်ပြန်လည်သုံးသပ်ပြီး မွမ်းမံပြင်ဆင်ထားပါသည်။
၂.၅။ လုံခြုံရေး အသိပညာပေးရေး
ကျွန်ုပ်တို့သည် ဝန်ထမ်းများ၊ ကန်ထရိုက်တာများနှင့် ကိုယ်ရေးကိုယ်တာအချက်အလက်များ သို့မဟုတ် အခြားအရေးကြီးသောအချက်အလက်များကို ရယူသုံးစွဲနိုင်သည့် ဝန်ထမ်းများ၊ ကန်ထရိုက်တာများနှင့် ပြင်ပလုပ်ဖော်ကိုင်ဖက်များအားလုံးကို ပုံမှန်လုံခြုံရေးဆိုင်ရာ အသိပညာနှင့် လေ့ကျင့်ရေးအစီအစဉ်များကို ပေးဆောင်ပါသည်။ ဤသင်တန်းသည် phishing၊ လူမှုရေးအင်ဂျင်နီယာ၊ စကားဝှက်တစ်ကိုယ်ရေသန့်ရှင်းရေးနှင့် အခြားအချက်အလက်လုံခြုံရေး အကောင်းဆုံးအလေ့အကျင့်များကဲ့သို့သော အကြောင်းအရာများကို အကျုံးဝင်ပါသည်။
၂.၆။ ရုပ်ပိုင်းဆိုင်ရာနှင့် ပတ်ဝန်းကျင်လုံခြုံရေး
ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ အဆောက်အဦနှင့် သတင်းအချက်အလက်စနစ်များကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း၊ ပျက်စီးခြင်း သို့မဟုတ် အနှောင့်အယှက်ပေးခြင်းမှ ကာကွယ်ရန် သင့်လျော်သော ရုပ်ပိုင်းဆိုင်ရာနှင့် ပတ်ဝန်းကျင်လုံခြုံရေး ထိန်းချုပ်မှုများကို အကောင်အထည်ဖော်ပါသည်။ ၎င်းတွင် ဝင်ရောက်ထိန်းချုပ်မှု၊ စောင့်ကြည့်မှု၊ စောင့်ကြည့်မှု၊ နှင့် အရန်ပါဝါနှင့် အအေးပေးစနစ်များကဲ့သို့သော အတိုင်းအတာများ ပါဝင်သည်။
၂.၇။ သတင်းအချက်အလက် လုံခြုံရေး အဖြစ်အပျက် စီမံခန့်ခွဲမှု
ကျွန်ုပ်တို့သည် ဖြစ်ပေါ်လာနိုင်သည့် သတင်းအချက်အလက် လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်များကို လျင်မြန်ထိရောက်စွာ တုံ့ပြန်နိုင်စေမည့် အဖြစ်အပျက်စီမံခန့်ခွဲမှု လုပ်ငန်းစဉ်ကို တည်ထောင်ထားပါသည်။ ၎င်းတွင် အစီရင်ခံခြင်း၊ တိုးလာခြင်း၊ စုံစမ်းစစ်ဆေးခြင်းနှင့် အဖြစ်အပျက်များကို ဖြေရှင်းခြင်းအတွက် လုပ်ထုံးလုပ်နည်းများအပြင် ထပ်တလဲလဲ ဖြစ်ပွားခြင်းကို ကာကွယ်ရန်နှင့် ကျွန်ုပ်တို့၏ အဖြစ်အပျက်တုံ့ပြန်နိုင်မှုစွမ်းရည်ကို မြှင့်တင်ရန်အတွက် လုပ်ဆောင်ချက်များ ပါဝင်သည်။
၂.၈။ လည်ပတ်မှု အဆက်မပြတ် နှင့် သဘာဝဘေးအန္တရာယ် ပြန်လည်ထူထောင်ရေး
ကျွန်ုပ်တို့သည် အနှောင့်အယှက် သို့မဟုတ် ဘေးဥပဒ်ဖြစ်သောအခါတွင် ကျွန်ုပ်တို့၏ အရေးကြီးသော လုပ်ငန်းဆောင်တာများနှင့် ဝန်ဆောင်မှုများကို ဆက်လက်ထိန်းသိမ်းထားနိုင်စေမည့် လည်ပတ်မှုအဆက်ပြတ်မှုနှင့် ဘေးအန္တရာယ်ပြန်လည်ရယူရေးအစီအစဉ်များကို တည်ထောင်ပြီး စမ်းသပ်ထားပါသည်။ ဤအစီအစဥ်များတွင် ဒေတာနှင့် စနစ်များကို အရန်ကူးခြင်းနှင့် ပြန်လည်ရယူခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းများ နှင့် ကိုယ်ရေးကိုယ်တာဒေတာများ ရရှိမှုနှင့် မှန်ကန်မှုတို့ကို သေချာစေရန်အတွက် အစီအမံများ ပါဝင်သည်။
၂.၉။ Third-Party စီမံခန့်ခွဲမှု
ကျွန်ုပ်တို့သည် ကိုယ်ရေးကိုယ်တာဒေတာ သို့မဟုတ် အခြားအထိခိုက်မခံသောအချက်အလက်များကို ရယူသုံးစွဲနိုင်သည့် ပြင်ပလုပ်ဖော်ကိုင်ဖက်များနှင့် ဆက်စပ်အန္တရာယ်များကို စီမံခန့်ခွဲရန်အတွက် သင့်လျော်သောထိန်းချုပ်မှုများကို တည်ထောင်ထိန်းသိမ်းထားပါသည်။ ၎င်းတွင် လုံ့လဝီရိယရှိမှု၊ စာချုပ်ဆိုင်ရာတာဝန်များ၊ စောင့်ကြည့်စစ်ဆေးခြင်းနှင့် စာရင်းစစ်ခြင်းကဲ့သို့သော အတိုင်းအတာများအပြင် လိုအပ်သည့်အခါတွင် မိတ်ဖက်များကို ရပ်စဲခြင်းအတွက် အစီအမံများ ပါဝင်သည်။
အပိုင်း ၃။ လူသားအရင်းအမြစ် လုံခြုံရေး
၃.၁။ အလုပ်အကိုင်စစ်ဆေးခြင်း။
ဥရောပ IT အသိအမှတ်ပြုလက်မှတ်ဌာနသည် ထိလွယ်ရှလွယ်သော အချက်အလက်များကို ရယူနိုင်သည့် ပုဂ္ဂိုလ်များသည် ယုံကြည်စိတ်ချရပြီး လိုအပ်သော ကျွမ်းကျင်မှုနှင့် အရည်အချင်းများရှိကြောင်း သေချာစေရန်အတွက် အလုပ်အကိုင် စိစစ်မှုလုပ်ငန်းစဉ်ကို ထူထောင်ထားသည်။
၃.၂။ အသုံးပြုခွင့်ကိုထိန်းချုပ်မယ်
ဝန်ထမ်းများသည် ၎င်းတို့၏ အလုပ်တာဝန်များအတွက် လိုအပ်သော အချက်အလက်များကိုသာ ဝင်ရောက်ကြည့်ရှုနိုင်စေရန် သေချာစေရန် ဝင်ရောက်ထိန်းချုပ်ရေး မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။ ဝန်ထမ်းများသည် ၎င်းတို့လိုအပ်သော အချက်အလက်များကိုသာ ရယူသုံးစွဲနိုင်စေရန် သေချာစေရန်အတွက် အသုံးပြုခွင့်အခွင့်အရေးများကို ပုံမှန်ပြန်လည်သုံးသပ်ပြီး အပ်ဒိတ်လုပ်ပါသည်။
၃.၃။ သတင်းအချက်အလက် လုံခြုံရေး အသိပညာပေးရေး
ကျွန်ုပ်တို့သည် ဝန်ထမ်းများအားလုံးကို သတင်းအချက်အလက်လုံခြုံရေးဆိုင်ရာ အသိပညာပေးသင်တန်းကို ပုံမှန်ပေးပါသည်။ ဤသင်တန်းသည် စကားဝှက်လုံခြုံရေး၊ ဖြားယောင်းသောတိုက်ခိုက်မှုများ၊ လူမှုအင်ဂျင်နီယာနှင့် ဆိုက်ဘာလုံခြုံရေးဆိုင်ရာ အခြားကဏ္ဍများကဲ့သို့သော အကြောင်းအရာများ ပါဝင်ပါသည်။
3.4. လက်ခံနိုင်သော အသုံးပြုမှု
အလုပ်ရည်ရွယ်ချက်အတွက်အသုံးပြုသော ကိုယ်ရေးကိုယ်တာစက်ပစ္စည်းများအပါအဝင် လက်ခံနိုင်သောအသုံးပြုမှုဆိုင်ရာ မူဝါဒနှင့် အရင်းအမြစ်များကို ဖော်ပြသည့် လက်ခံနိုင်သောအသုံးပြုမှုမူဝါဒကို ကျွန်ုပ်တို့ချမှတ်ထားပါသည်။
၃.၅။ မိုဘိုင်းကိရိယာ လုံခြုံရေး
ကျွန်ုပ်တို့သည် လျှို့ဝှက်ကုဒ်များ၊ ကုဒ်ဝှက်ခြင်းနှင့် အဝေးမှ ဖျက်ခြင်းစွမ်းရည်များအပါအဝင် မိုဘိုင်းစက်ပစ္စည်းများ၏ လုံခြုံစွာအသုံးပြုမှုအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၃.၆။ Termination လုပ်ထုံးလုပ်နည်းများ
ဥရောပ IT အသိအမှတ်ပြုလက်မှတ်ဌာနသည် အရေးကြီးသောအချက်အလက်များကို ရယူသုံးစွဲခွင့်ကို ဆောလျင်စွာနှင့် လုံခြုံစွာ ရုပ်သိမ်းကြောင်း သေချာစေရန် အလုပ်ရပ်စဲခြင်း သို့မဟုတ် စာချုပ်အတွက် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၃.၇။ Third-Party ဝန်ထမ်း
ထိလွယ်ရှလွယ် သတင်းအချက်အလက်များကို ရယူနိုင်သည့် ပြင်ပပုဂ္ဂိုလ်များ၏ စီမံခန့်ခွဲမှုအတွက် ကျွန်ုပ်တို့တွင် လုပ်ထုံးလုပ်နည်းများ ချမှတ်ထားပါသည်။ ဤမူဝါဒများတွင် စိစစ်ခြင်း၊ ဝင်ရောက်ထိန်းချုပ်ခြင်းနှင့် သတင်းအချက်အလက် လုံခြုံရေးဆိုင်ရာ အသိပညာပေးခြင်း သင်တန်းများ ပါဝင်သည်။
၃.၈။ အဖြစ်အပျက်များကို သတင်းပို့ခြင်း။
ကျွန်ုပ်တို့သည် သင့်လျော်သော ပုဂ္ဂိုလ်များ သို့မဟုတ် အာဏာပိုင်များထံ သတင်းအချက်အလက် လုံခြုံရေး အဖြစ်အပျက်များ သို့မဟုတ် စိုးရိမ်ပူပန်မှုများကို အစီရင်ခံရန်အတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၃.၉။ လျှို့ဝှက်ရေးသဘောတူညီချက်များ
European IT Certification Institute သည် ဝန်ထမ်းများနှင့် ကန်ထရိုက်တာများအား ခွင့်ပြုချက်မရှိဘဲ ထုတ်ဖော်ခြင်းမှ အရေးကြီးသော အချက်အလက်များကို ကာကွယ်ရန်အတွက် လျှို့ဝှက်ရေးသဘောတူညီချက်များကို လက်မှတ်ရေးထိုးရန် လိုအပ်ပါသည်။
3.10. စည်းကမ်းပိုင်းဆိုင်ရာ အရေးယူမှုများ
European IT Certification Institute သည် ဝန်ထမ်းများ သို့မဟုတ် ကန်ထရိုက်တာများမှ အချက်အလက်များ လုံခြုံရေးမူဝါဒချိုးဖောက်မှုများအတွက် စည်းကမ်းပိုင်းဆိုင်ရာ မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
အပိုင်း ၄။ စွန့်စားအကဲဖြတ်ခြင်းနှင့် စီမံခန့်ခွဲမှု
4.1 ။ အန္တရာယ်အကဲဖြတ်
ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ အချက်အလက်ပိုင်ဆိုင်မှုအတွက် ဖြစ်နိုင်ချေရှိသော ခြိမ်းခြောက်မှုများနှင့် အားနည်းချက်များကို ခွဲခြားသတ်မှတ်ရန် အချိန်အခါအလိုက် အန္တရာယ်အကဲဖြတ်မှုများကို လုပ်ဆောင်ပါသည်။ ကျွန်ုပ်တို့သည် ၎င်းတို့၏ဖြစ်နိုင်ခြေနှင့် ဖြစ်နိုင်ခြေသက်ရောက်မှုများအပေါ် အခြေခံ၍ အန္တရာယ်များကို ခွဲခြားသတ်မှတ်ရန်၊ ခွဲခြမ်းစိတ်ဖြာရန်၊ အကဲဖြတ်ရန်နှင့် ဦးစားပေးလုပ်ဆောင်ရန် ဖွဲ့စည်းပုံနည်းလမ်းတစ်ခုကို အသုံးပြုပါသည်။ ကျွန်ုပ်တို့သည် စနစ်များ၊ ကွန်ရက်များ၊ ဆော့ဖ်ဝဲ၊ ဒေတာနှင့် စာရွက်စာတမ်းများအပါအဝင် ကျွန်ုပ်တို့၏ အချက်အလက်ပိုင်ဆိုင်မှုများနှင့် ဆက်စပ်နေသော အန္တရာယ်များကို အကဲဖြတ်ပါသည်။
၄.၂။ အန္တရာယ်ကုသမှု
ကျွန်ုပ်တို့သည် ဘေးအန္တရာယ်များကို လက်ခံနိုင်သောအဆင့်အထိ အန္တရာယ်များကို လျော့ပါးစေရန် သို့မဟုတ် လျှော့ချရန်အတွက် စွန့်စားကုသမှုလုပ်ငန်းစဉ်ကို အသုံးပြုပါသည်။ စွန့်စားကုသမှုလုပ်ငန်းစဉ်တွင် သင့်လျော်သော ထိန်းချုပ်မှုများကို ရွေးချယ်ခြင်း၊ ထိန်းချုပ်မှုများကို အကောင်အထည်ဖော်ခြင်းနှင့် ထိန်းချုပ်မှုများ၏ ထိရောက်မှုကို စောင့်ကြည့်ခြင်းတို့ ပါဝင်သည်။ ကျွန်ုပ်တို့သည် အန္တရာယ်အဆင့်၊ ရရှိနိုင်သောအရင်းအမြစ်များနှင့် လုပ်ငန်းဦးစားပေးများအပေါ်အခြေခံ၍ ထိန်းချုပ်မှုများကို ဦးစားပေးလုပ်ဆောင်ပါသည်။
၄.၃။ စွန့်စားစောင့်ကြည့်ခြင်းနှင့် ပြန်လည်သုံးသပ်ခြင်း။
ကျွန်ုပ်တို့သည် သက်ဆိုင်ရာနှင့် ထိရောက်မှုရှိနေဆဲဖြစ်ကြောင်း သေချာစေရန် ကျွန်ုပ်တို့၏အန္တရာယ်စီမံခန့်ခွဲမှုလုပ်ငန်းစဉ်၏ ထိရောက်မှုကို ပုံမှန်စောင့်ကြည့်သုံးသပ်ပါသည်။ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ အန္တရာယ်စီမံခန့်ခွဲမှု လုပ်ငန်းစဉ်၏ စွမ်းဆောင်ရည်ကို တိုင်းတာရန်နှင့် တိုးတက်မှုအတွက် အခွင့်အလမ်းများကို ရှာဖွေဖော်ထုတ်ရန် မက်ထရစ်များနှင့် အညွှန်းများကို အသုံးပြုပါသည်။ ကျွန်ုပ်တို့၏ ဘေးအန္တရာယ်ဆိုင်ရာ စီမံခန့်ခွဲမှုလုပ်ငန်းစဉ်ကို ဆက်လက်လုပ်ဆောင်ရန် သင့်လျော်မှု၊ လုံလောက်မှုနှင့် ထိရောက်မှုတို့ကို သေချာစေရန်အတွက် ကျွန်ုပ်တို့၏ အချိန်အပိုင်းအခြားအလိုက် စီမံခန့်ခွဲမှု ပြန်လည်သုံးသပ်ချက်များ၏ တစ်စိတ်တစ်ပိုင်းအနေဖြင့်လည်း ပြန်လည်သုံးသပ်ပါသည်။
၄.၄။ စွန့်စားတုံ့ပြန်မှုစီမံချက်
သတ်မှတ်ထားသော အန္တရာယ်များကို ကျွန်ုပ်တို့ ထိထိရောက်ရောက် တုံ့ပြန်နိုင်စေရန် သေချာစေရန် ကျွန်ုပ်တို့တွင် စွန့်စားတုံ့ပြန်မှု အစီအစဉ်တစ်ခုရှိသည်။ ဤအစီအစဥ်တွင် အန္တရာယ်များကို ခွဲခြားသတ်မှတ်ခြင်းနှင့် အစီရင်ခံခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းများအပြင် အန္တရာယ်တစ်ခုစီ၏ ဖြစ်နိုင်ခြေရှိသော သက်ရောက်မှုများကို အကဲဖြတ်ခြင်းနှင့် သင့်လျော်သော တုံ့ပြန်ဆောင်ရွက်မှုများကို ဆုံးဖြတ်ခြင်းဆိုင်ရာ လုပ်ငန်းစဉ်များ ပါဝင်သည်။ သိသာထင်ရှားသော စွန့်စားရမှုဖြစ်ရပ်မျိုးတွင် လုပ်ငန်းဆက်လက်တည်မြဲစေရန်အတွက် ကျွန်ုပ်တို့တွင် အရေးပေါ်အစီအစဉ်များရှိပါသည်။
၄.၅။ စစ်ဆင်ရေးဆိုင်ရာ အကျိုးသက်ရောက်မှုကို ဆန်းစစ်ခြင်း။
ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏လုပ်ငန်းလည်ပတ်မှုအပေါ် အနှောင့်အယှက်ဖြစ်နိုင်ချေရှိသော အကျိုးသက်ရောက်မှုကို ခွဲခြားသတ်မှတ်ရန် အချိန်အခါအလိုက် လုပ်ငန်းဆိုင်ရာ အကျိုးသက်ရောက်မှုများကို ခွဲခြမ်းစိတ်ဖြာမှုများ ပြုလုပ်ပါသည်။ ဤခွဲခြမ်းစိတ်ဖြာချက်တွင် ကျွန်ုပ်တို့၏လုပ်ငန်းဆောင်တာများ၊ စနစ်များနှင့် ဒေတာများ၏ ဝေဖန်အကဲဖြတ်မှုအပြင် ကျွန်ုပ်တို့၏ဖောက်သည်များ၊ ဝန်ထမ်းများနှင့် အခြားသက်ဆိုင်သူများအပေါ် အနှောင့်အယှက်ဖြစ်နိုင်ချေရှိသော အကျိုးသက်ရောက်မှုများကို အကဲဖြတ်ခြင်းလည်း ပါဝင်သည်။
၄.၆။ Third-Party Risk Management
ကျွန်ုပ်တို့၏ ရောင်းချသူများနှင့် အခြားသော ပြင်ပဝန်ဆောင်မှုပေးသူများသည် ဘေးအန္တရာယ်များကို သင့်လျော်စွာ စီမံခန့်ခွဲကြောင်း သေချာစေရန်အတွက် ကျွန်ုပ်တို့တွင် ပြင်ပအဖွဲ့အစည်း စွန့်စားစီမံခန့်ခွဲမှု အစီအစဉ်တစ်ခုရှိသည်။ ဤပရိုဂရမ်တွင် ပြင်ပအဖွဲ့အစည်းများနှင့် မဆက်ဆံမီ လုံ့လဝီရိယရှိမှု စစ်ဆေးမှုများ၊ ပြင်ပအဖွဲ့အစည်း၏ လှုပ်ရှားမှုများကို ဆက်လက်စောင့်ကြည့်ခြင်းနှင့် ပြင်ပအဖွဲ့အစည်း၏ အန္တရာယ်စီမံခန့်ခွဲမှုဆိုင်ရာ အလေ့အကျင့်များကို အချိန်ပိုင်းအကဲဖြတ်ခြင်းများ ပါဝင်သည်။
၄.၇။ ဆူပူမှုတုံ့ပြန်မှုနှင့် စီမံခန့်ခွဲမှု
လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်များကို ထိထိရောက်ရောက် တုံ့ပြန်နိုင်စေရန်အတွက် ကျွန်ုပ်တို့တွင် အဖြစ်အပျက်တုံ့ပြန်မှုနှင့် စီမံခန့်ခွဲမှုအစီအစဉ်တစ်ခုရှိသည်။ ဤအစီအစဥ်တွင် အဖြစ်အပျက်များကို ဖော်ထုတ်ခြင်းနှင့် အစီရင်ခံခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းများအပြင် အဖြစ်အပျက်တစ်ခုစီ၏ အကျိုးသက်ရောက်မှုကို အကဲဖြတ်ခြင်းနှင့် သင့်လျော်သော တုံ့ပြန်ဆောင်ရွက်မှုများကို ဆုံးဖြတ်ခြင်းတို့အတွက် လုပ်ငန်းစဉ်များ ပါဝင်သည်။ အရေးပါသော လုပ်ငန်းဆောင်တာများကို ထူးထူးခြားခြား အဖြစ်အပျက်တစ်ခုဖြစ်လာသောအခါတွင် အရေးကြီးသော လုပ်ငန်းဆောင်တာများကို ဆက်လက်ဆောင်ရွက်နိုင်ကြောင်း သေချာစေရန်အတွက် ကျွန်ုပ်တို့တွင် စီးပွားရေးဆိုင်ရာ စဉ်ဆက်မပြတ် အစီအစဉ်တစ်ခုလည်း ရှိပါသည်။
အပိုင်း ၅။ ရုပ်ပိုင်းဆိုင်ရာနှင့် ပတ်ဝန်းကျင်လုံခြုံရေး
၅.၁။ ရုပ်ပိုင်းဆိုင်ရာ လုံခြုံရေး ပတ်၀န်းကျင်
ရုပ်ပိုင်းဆိုင်ရာ အဆောက်အအုံများနှင့် အရေးကြီးသော အချက်အလက်များကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းမှ ကာကွယ်ရန် ရုပ်ပိုင်းဆိုင်ရာ လုံခြုံရေး အစီအမံများကို ချမှတ်ထားပါသည်။
၃.၂။ အသုံးပြုခွင့်ကိုထိန်းချုပ်မယ်
အခွင့်အာဏာရှိပုဂ္ဂိုလ်များသာ အရေးကြီးသောအချက်အလက်များကို ဝင်ရောက်ကြည့်ရှုနိုင်စေရန် သေချာစေရန် ရုပ်ပိုင်းဆိုင်ရာပရဝုဏ်များအတွက် ဝင်ရောက်ထိန်းချုပ်မှုဆိုင်ရာ မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၅.၃။ စက်ပစ္စည်းလုံခြုံရေး
ထိလွယ်ရှလွယ်သတင်းအချက်အလက်များပါရှိသော စက်ကိရိယာအားလုံးသည် ရုပ်ပိုင်းဆိုင်ရာအရ လုံခြုံကြောင်း သေချာစေရန်နှင့် ဤစက်ပစ္စည်းကို အသုံးပြုခွင့်ကို အခွင့်အာဏာရှိ ပုဂ္ဂိုလ်များသာ ကန့်သတ်ထားပါသည်။
၅.၄။ လုံခြုံအောင် စွန့်ပစ်ပါ။
စာရွက်စာရွက်စာတမ်းများ၊ အီလက်ထရွန်းနစ်မီဒီယာနှင့် ဟာ့ဒ်ဝဲများအပါအဝင် အရေးကြီးသော အချက်အလက်များကို လုံခြုံစွာ စွန့်ပစ်ရန်အတွက် ကျွန်ုပ်တို့တွင် လုပ်ထုံးလုပ်နည်းများ ချမှတ်ထားပါသည်။
5.5. ရုပ်ပိုင်းဆိုင်ရာပတ်ဝန်းကျင်
အပူချိန်၊ စိုထိုင်းဆ နှင့် အလင်းရောင် အပါအဝင် ဝုဏ်အတွင်း ရုပ်ပိုင်းဆိုင်ရာ ပတ်ဝန်းကျင်သည် ထိလွယ်ရှလွယ် သတင်းအချက်အလက်များကို ကာကွယ်ရန်အတွက် သင့်လျော်ကြောင်း သေချာပါသည်။
၅
အဆောက်အဦများသို့ ပါဝါထောက်ပံ့မှုသည် ယုံကြည်စိတ်ချရပြီး ဓာတ်အားပြတ်တောက်ခြင်း သို့မဟုတ် လှိုင်းတက်ခြင်းမှ ကာကွယ်ပေးကြောင်း သေချာပါသည်။
5.7. မီးဘေးကာကွယ်ရေး
မီးရှာဖွေခြင်းနှင့် နှိမ်နင်းခြင်းစနစ်များ တပ်ဆင်ခြင်းနှင့် ထိန်းသိမ်းခြင်းအပါအဝင် မီးဘေးကာကွယ်ရေးမူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၅.၈။ ရေပျက်စီးမှုကာကွယ်ရေး
ရေလွှမ်းမိုးမှုသိရှိနိုင်မှုနှင့် ကြိုတင်ကာကွယ်ရေးစနစ်များ တပ်ဆင်ခြင်းနှင့် ထိန်းသိမ်းခြင်းအပါအဝင် အရေးကြီးသောအချက်အလက်များကို ရေပျက်စီးမှုမှ ကာကွယ်ရန်အတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
5.9. စက်ပစ္စည်းထိန်းသိမ်းခြင်း။
ခိုးယူဝင်ရောက်ခြင်း သို့မဟုတ် ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း၏ လက္ခဏာရပ်များအတွက် စက်ကိရိယာများကို စစ်ဆေးခြင်းအပါအဝင် စက်ပစ္စည်းများ ထိန်းသိမ်းခြင်းအတွက် လုပ်ထုံးလုပ်နည်းများ ချမှတ်ထားပါသည်။
5.10. လက်ခံနိုင်သော အသုံးပြုမှု
ရုပ်ပိုင်းဆိုင်ရာ အရင်းအမြစ်များနှင့် အဆောက်အဦများ၏ လက်ခံနိုင်သော အသုံးပြုမှုကို ဖော်ပြသည့် လက်ခံနိုင်သော အသုံးပြုမှုမူဝါဒကို ကျွန်ုပ်တို့ ချမှတ်ထားပါသည်။
၆
လုံခြုံသောချိတ်ဆက်မှုများနှင့် ကုဒ်ဝှက်ခြင်းအသုံးပြုခြင်းအပါအဝင် အရေးကြီးသောအချက်အလက်များကို အဝေးမှဝင်ရောက်ခွင့်အတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၅.၁၂။ စောင့်ကြည့်လေ့လာရေး
ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း သို့မဟုတ် ခိုးယူဝင်ရောက်မှုများကို ရှာဖွေပြီး တားဆီးရန် ကျွန်ုပ်တို့သည် ရုပ်ပိုင်းဆိုင်ရာ အဆောက်အအုံနှင့် စက်ကိရိယာများကို စောင့်ကြည့်ခြင်းနှင့် စောင့်ကြည့်ခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
အပိုင်း။ 6. ဆက်သွယ်ရေးနှင့် လုပ်ငန်းဆောင်ရွက်မှု လုံခြုံရေး
၆.၁။ ကွန်ရက်လုံခြုံရေးစီမံခန့်ခွဲမှု
Firewalls များအသုံးပြုခြင်း၊ ကျူးကျော်ဝင်ရောက်မှုရှာဖွေခြင်းနှင့် ကာကွယ်ရေးစနစ်များနှင့် ပုံမှန်လုံခြုံရေးစစ်ဆေးမှုများအပါအဝင် ကွန်ရက်လုံခြုံရေးစီမံခန့်ခွဲမှုအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၆.၂။ သတင်းအချက်အလက်လွှဲပြောင်း
ကုဒ်ဝှက်ခြင်းနှင့် လုံခြုံသောဖိုင်လွှဲပြောင်းခြင်းဆိုင်ရာ ပရိုတိုကောများအသုံးပြုခြင်းအပါအဝင် အရေးကြီးသောအချက်အလက်များကို လုံခြုံစွာလွှဲပြောင်းခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၆.၃။ Third-Party ဆက်သွယ်ရေး
လုံခြုံသောချိတ်ဆက်မှုများနှင့် ကုဒ်ဝှက်စနစ်ကိုအသုံးပြုခြင်းအပါအဝင် ပြင်ပအဖွဲ့အစည်းများနှင့် လုံခြုံသောသတင်းအချက်အလက်ဖလှယ်မှုအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၆.၄။ မီဒီယာ ကိုင်တွယ်ခြင်း။
စာရွက်စာတန်းများ၊ အီလက်ထရွန်းနစ်မီဒီယာနှင့် သယ်ဆောင်ရလွယ်ကူသော သိုလှောင်မှုကိရိယာများအပါအဝင် မီဒီယာပုံစံအမျိုးမျိုးတွင် အရေးကြီးသောအချက်အလက်များကို ကိုင်တွယ်ခြင်းအတွက် လုပ်ထုံးလုပ်နည်းများ ချမှတ်ထားပါသည်။
၆.၅။ သတင်းအချက်အလက်စနစ်များ ဖွံ့ဖြိုးတိုးတက်ရေးနှင့် ပြုပြင်ထိန်းသိမ်းရေး
လုံခြုံသောကုဒ်လုပ်ထုံးလုပ်နည်းများကိုအသုံးပြုခြင်း၊ ပုံမှန်ဆော့ဖ်ဝဲလ်အပ်ဒိတ်များနှင့် ပက်ခ်စီမံခန့်ခွဲမှုများအပါအဝင် သတင်းအချက်အလက်စနစ်များ ဖွံ့ဖြိုးတိုးတက်ရေးနှင့် ထိန်းသိမ်းခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၆.၆။ Malware နှင့် Viruses ကာကွယ်ရေး
ကျွန်ုပ်တို့သည် ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲနှင့် ပုံမှန်လုံခြုံရေးအပ်ဒိတ်များကို အသုံးပြုခြင်းအပါအဝင် malware နှင့် ဗိုင်းရပ်စ်များမှ သတင်းအချက်အလက်စနစ်များကို ကာကွယ်ရန်အတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၆.၇။ အရန်သိမ်းခြင်းနှင့် ပြန်လည်ထူထောင်ခြင်း။
ဒေတာဆုံးရှုံးခြင်း သို့မဟုတ် အကျင့်ပျက်ခြစားမှုတို့ကို ကာကွယ်ရန် အရေးကြီးသော အချက်အလက်များကို အရန်သိမ်းဆည်းခြင်းနှင့် ပြန်လည်ရယူခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ကျွန်ုပ်တို့ ချမှတ်ထားပါသည်။
6.8 ။ အဖြစ်အပျက်စီမံခန့်ခွဲမှု
လုံခြုံရေးဆိုင်ရာ ဖြစ်ရပ်များနှင့် ဖြစ်ရပ်များကို ဖော်ထုတ်ခြင်း၊ စုံစမ်းစစ်ဆေးခြင်းနှင့် ဖြေရှင်းခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ကျွန်ုပ်တို့ ချမှတ်ထားပါသည်။
၆.၉။ အားနည်းချက်စီမံခန့်ခွဲမှု
ကျွန်ုပ်တို့သည် ပုံမှန်အားနည်းချက်အကဲဖြတ်မှုများနှင့် patch စီမံခန့်ခွဲမှုတို့ကို အသုံးပြုခြင်းအပါအဝင် သတင်းအချက်အလက်စနစ် အားနည်းချက်များကို စီမံခန့်ခွဲရန်အတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၃.၂။ အသုံးပြုခွင့်ကိုထိန်းချုပ်မယ်
အသုံးပြုသူဝင်ရောက်ခွင့် ထိန်းချုပ်မှုများ၊ အသုံးပြုသူ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းနှင့် ပုံမှန်ဝင်ရောက်ကြည့်ရှုသုံးသပ်ခြင်းများအပါအဝင် အသုံးပြုသူဝင်ရောက်ခွင့်ဆိုင်ရာ စနစ်များကို စီမံခန့်ခွဲရန်အတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၆.၁၁။ စောင့်ကြည့်စစ်ဆေးခြင်းနှင့် မှတ်တမ်းရယူခြင်း။
စာရင်းစစ်လမ်းကြောင်းများအသုံးပြုခြင်းနှင့် လုံခြုံရေးဖြစ်ရပ်မှတ်တမ်းများအသုံးပြုခြင်းအပါအဝင် သတင်းအချက်အလက်စနစ်ဆိုင်ရာ လုပ်ဆောင်ချက်များကို စောင့်ကြည့်စစ်ဆေးခြင်းနှင့် မှတ်တမ်းရယူခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
အပိုင်း ၇။ သတင်းအချက်အလက်စနစ်များ ရယူမှု၊ ဖွံ့ဖြိုးတိုးတက်မှုနှင့် ထိန်းသိမ်းမှု
၁။ လိုအပ်ချက်များ
လုပ်ငန်းလိုအပ်ချက်များ၊ ဥပဒေနှင့် စည်းကမ်းသတ်မှတ်ချက်များနှင့် လုံခြုံရေးလိုအပ်ချက်များအပါအဝင် သတင်းအချက်အလက်စနစ်လိုအပ်ချက်များကို ဖော်ထုတ်ခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၂။ ပေးသွင်းသူဆက်ဆံရေး
ကျွန်ုပ်တို့သည် ပေးသွင်းသူများ၏ လုံခြုံရေးအလေ့အကျင့်များကို အကဲဖြတ်ခြင်းအပါအဝင် သတင်းအချက်အလက်စနစ်များနှင့် ဝန်ဆောင်မှုများ၏ ပြင်ပမှပေးသွင်းသူများနှင့် ဆက်ဆံရေးစီမံခန့်ခွဲမှုအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၃။ စနစ်ဖွံ့ဖြိုးတိုးတက်ရေး
လုံခြုံသောကုဒ်လုပ်ထုံးလုပ်နည်းများကိုအသုံးပြုခြင်း၊ ပုံမှန်စမ်းသပ်ခြင်းနှင့် အရည်အသွေးအာမခံခြင်းအပါအဝင် လုံခြုံသောသတင်းအချက်အလက်စနစ်များဖွံ့ဖြိုးတိုးတက်မှုအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၄။ စနစ်စမ်းသပ်ခြင်း။
လုပ်ဆောင်နိုင်စွမ်းစမ်းသပ်ခြင်း၊ စွမ်းဆောင်ရည်စမ်းသပ်ခြင်းနှင့် လုံခြုံရေးစမ်းသပ်ခြင်းအပါအဝင် သတင်းအချက်အလက်စနစ်များကို စမ်းသပ်ခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၅။ စနစ်လက်ခံခြင်း။
စမ်းသပ်မှုရလဒ်များ၊ လုံခြုံရေးအကဲဖြတ်မှုများနှင့် အသုံးပြုသူလက်ခံမှုစမ်းသပ်ခြင်းအပါအဝင် သတင်းအချက်အလက်စနစ်များလက်ခံမှုအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
7.6. စနစ်ထိန်းသိမ်းမှု
ကျွန်ုပ်တို့တွင် ပုံမှန်မွမ်းမံမှုများ၊ လုံခြုံရေးပြင်ဆင်မှုများနှင့် စနစ်အရန်သိမ်းဆည်းမှုများ အပါအဝင် သတင်းအချက်အလက်စနစ်များ ထိန်းသိမ်းမှုအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၇။ စနစ်အငြိမ်းစား
ဟာ့ဒ်ဝဲနှင့် ဒေတာများကို လုံခြုံစွာ စွန့်ပစ်ခြင်း အပါအဝင် သတင်းအချက်အလက်စနစ်များ၏ အငြိမ်းစားယူမှုအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၈။ ဒေတာထိန်းသိမ်းမှု
ကျွန်ုပ်တို့သည် လုံခြုံသောသိုလှောင်မှုနှင့် အရေးကြီးသောဒေတာများကို စွန့်ပစ်ခြင်းအပါအဝင် ဥပဒေနှင့် စည်းမျဉ်းစည်းကမ်းသတ်မှတ်ချက်များနှင့် လိုက်လျောညီထွေရှိသော ဒေတာသိမ်းဆည်းခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၉။ သတင်းအချက်အလက်စနစ်များအတွက် လုံခြုံရေးလိုအပ်ချက်များ
ဝင်ရောက်ထိန်းချုပ်မှု၊ ကုဒ်ဝှက်ခြင်းနှင့် ဒေတာကာကွယ်ခြင်းအပါအဝင် သတင်းအချက်အလက်စနစ်များအတွက် လုံခြုံရေးလိုအပ်ချက်များကို ဖော်ထုတ်ခြင်းနှင့် အကောင်အထည်ဖော်ခြင်းအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၁၀။ လုံခြုံသောဖွံ့ဖြိုးတိုးတက်ရေးပတ်ဝန်းကျင်
လုံခြုံသောဖွံ့ဖြိုးတိုးတက်မှုအလေ့အကျင့်များကိုအသုံးပြုခြင်း၊ ဝင်ရောက်ထိန်းချုပ်မှုများနှင့် လုံခြုံသောကွန်ရက်ဖွဲ့စည်းပုံများအပါအဝင် သတင်းအချက်အလက်စနစ်များအတွက် လုံခြုံသောဖွံ့ဖြိုးတိုးတက်မှုပတ်ဝန်းကျင်များအတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၁၁။ စမ်းသပ်မှုပတ်ဝန်းကျင်ကာကွယ်ရေး
လုံခြုံသောဖွဲ့စည်းပုံများ၊ ဝင်ရောက်ထိန်းချုပ်မှုများနှင့် ပုံမှန်လုံခြုံရေးစမ်းသပ်ခြင်းတို့ကို အသုံးပြုခြင်းအပါအဝင် သတင်းအချက်အလက်စနစ်များအတွက် စမ်းသပ်ပတ်ဝန်းကျင်များကို ကာကွယ်ရန်အတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၁၂။ လုံခြုံသော စနစ်အင်ဂျင်နီယာအခြေခံမူများ
လုံခြုံရေးဗိသုကာများကိုအသုံးပြုခြင်း၊ ခြိမ်းခြောက်မှုပုံစံထုတ်ခြင်းနှင့် လုံခြုံသောကုဒ်လုပ်ထုံးလုပ်နည်းများအပါအဝင် သတင်းအချက်အလက်စနစ်များအတွက် လုံခြုံသောစနစ်အင်ဂျင်နီယာမူများကို အကောင်အထည်ဖော်ရန်အတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
၇.၁၃။ လုံခြုံသော Coding လမ်းညွှန်ချက်များ
ကျွန်ုပ်တို့သည် ကုဒ်စံနှုန်းများ၊ ကုဒ်ပြန်လည်သုံးသပ်ခြင်းနှင့် အလိုအလျောက်စမ်းသပ်ခြင်းအပါအဝင် အချက်အလက်စနစ်များအတွက် လုံခြုံသောကုဒ်နံပါတ်လမ်းညွှန်ချက်များကို အကောင်အထည်ဖော်ရန်အတွက် မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။
အပိုင်း ၈။ ဟာ့ဒ်ဝဲ သိမ်းဆည်းမှု
၈.၁။ စံနှုန်းများကို လိုက်နာခြင်း။
ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏လုံခြုံရေးလိုအပ်ချက်များနှင့်အညီ ဟာ့ဒ်ဝဲပစ္စည်းများကို ဝယ်ယူရရှိကြောင်းသေချာစေရန် သတင်းအချက်အလက်လုံခြုံရေးစီမံခန့်ခွဲမှုစနစ် (ISMS) အတွက် ISO 27001 စံနှုန်းကို လိုက်နာပါသည်။
8.2 ။ အန္တရာယ်အကဲဖြတ်
ကျွန်ုပ်တို့သည် ဖြစ်နိုင်ချေရှိသော လုံခြုံရေးအန္တရာယ်များကို ခွဲခြားသတ်မှတ်ရန်နှင့် ရွေးချယ်ထားသော ဟာ့ဒ်ဝဲသည် လုံခြုံရေးလိုအပ်ချက်များနှင့် ကိုက်ညီကြောင်း သေချာစေရန် ဟာ့ဒ်ဝဲပိုင်ဆိုင်မှုများကို မဝယ်ယူမီ စွန့်စားအကဲဖြတ်ခြင်းကို လုပ်ဆောင်ပါသည်။
၈.၃။ စျေးသည်များရွေးချယ်ရေး
ကျွန်ုပ်တို့သည် လုံခြုံသောထုတ်ကုန်များပေးပို့ခြင်းဆိုင်ရာ သက်သေပြထားသော မှတ်တမ်းတစ်ခုရှိသည့် ယုံကြည်စိတ်ချရသော ရောင်းချသူများထံမှသာ ဟာ့ဒ်ဝဲပိုင်ဆိုင်မှုများကို ရယူပါသည်။ ကျွန်ုပ်တို့သည် ရောင်းချသူ၏ လုံခြုံရေးမူဝါဒများနှင့် အလေ့အကျင့်များကို ပြန်လည်သုံးသပ်ပြီး ၎င်းတို့၏ထုတ်ကုန်များသည် ကျွန်ုပ်တို့၏လုံခြုံရေးလိုအပ်ချက်များနှင့် ကိုက်ညီကြောင်း အာမခံချက်ပေးရန် ၎င်းတို့ကို တောင်းဆိုထားသည်။
၈.၄။ လုံခြုံသောသယ်ယူပို့ဆောင်ရေး
သယ်ယူပို့ဆောင်ရေးကာလအတွင်း ခိုးယူမှု၊ ပျက်စီးမှု၊ သို့မဟုတ် ခိုးယူမှုတို့ကို တားဆီးရန် ဟာ့ဒ်ဝဲပစ္စည်းများကို ကျွန်ုပ်တို့၏ ဥပစာသို့ လုံခြုံစွာ ပို့ဆောင်ထားကြောင်း သေချာပါသည်။
၈.၅။ စစ်မှန်ကြောင်း အတည်ပြုခြင်း။
၎င်းတို့သည် အတုအပ သို့မဟုတ် နှောက်ယှက်ခြင်းမဟုတ်ကြောင်း သေချာစေရန် ပေးပို့ချိန်တွင် ဟာ့ဒ်ဝဲပစ္စည်းများ၏ စစ်မှန်မှုကို ကျွန်ုပ်တို့စစ်ဆေးပါသည်။
၈.၆။ ရုပ်ပိုင်းဆိုင်ရာနှင့် ပတ်ဝန်းကျင်ထိန်းချုပ်မှုများ
ကျွန်ုပ်တို့သည် ဟာ့ဒ်ဝဲပိုင်ဆိုင်မှုများကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း၊ ခိုးယူခြင်း သို့မဟုတ် ပျက်စီးခြင်းမှ ကာကွယ်ရန် သင့်လျော်သော ရုပ်ပိုင်းဆိုင်ရာနှင့် ပတ်ဝန်းကျင်ဆိုင်ရာ ထိန်းချုပ်မှုများကို လုပ်ဆောင်ပါသည်။
၃။ Hardware Installation
ကျွန်ုပ်တို့သည် သတ်မှတ်ထားသော လုံခြုံရေးစံနှုန်းများနှင့် လမ်းညွှန်ချက်များနှင့်အညီ ဟာ့ဒ်ဝဲပိုင်ဆိုင်မှုအားလုံးကို ပြင်ဆင်ပြီး ထည့်သွင်းထားကြောင်း သေချာစေပါသည်။
၈.၈။ ဟာ့ဒ်ဝဲသုံးသပ်ချက်များ
ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏လုံခြုံရေးလိုအပ်ချက်များနှင့် ကိုက်ညီပြီး နောက်ဆုံးပေါ် လုံခြုံရေးပြင်ဆင်မှုများနှင့် အပ်ဒိတ်များနှင့်အတူ နောက်ဆုံးပေါ်လုံခြုံရေးဆိုင်ရာ ပြင်ဆင်မှုများနှင့် အပ်ဒိတ်များကို ဆက်လက်ရရှိကြောင်း သေချာစေရန်အတွက် ဟာ့ဒ်ဝဲပိုင်ဆိုင်မှုများကို အချိန်အခါအလိုက် ပြန်လည်သုံးသပ်မှုများ ပြုလုပ်ပါသည်။
၈.၉။ ဟာ့ဒ်ဝဲ စွန့်ပစ်ခြင်း။
ထိလွယ်ရှလွယ်သော အချက်အလက်များကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်းမှ တားဆီးရန် ဟာ့ဒ်ဝဲပစ္စည်းများကို လုံခြုံသောနည်းလမ်းဖြင့် စွန့်ပစ်ပါ။
အပိုင်း ၉။ Malware နှင့် Viruses Protection
၉.၁။ ဆော့ဖ်ဝဲလ်မွမ်းမံခြင်းမူဝါဒ
ဆာဗာများ၊ အလုပ်ရုံများ၊ လက်ပ်တော့များနှင့် မိုဘိုင်းစက်ပစ္စည်းများအပါအဝင် ဥရောပ IT အသိအမှတ်ပြုဌာနမှ အသုံးပြုသည့် အချက်အလက်စနစ်များအားလုံးတွင် နောက်ဆုံးပေါ် ဗိုင်းရပ်စ်နှင့် မဲလ်ဝဲကာကွယ်ရေးဆော့ဖ်ဝဲကို ကျွန်ုပ်တို့ ထိန်းသိမ်းထားပါသည်။ ဗိုင်းရပ်စ်တိုက်ဖျက်ရေးနှင့် မဲလ်ဝဲကာကွယ်ရေးဆော့ဖ်ဝဲကို ၎င်း၏ဗိုင်းရပ်စ်သတ်သတ်မှတ်မှတ်ဖိုင်များနှင့် ဆော့ဖ်ဝဲလ်ဗားရှင်းများကို ပုံမှန်အတိုင်းအလိုအလျောက် အပ်ဒိတ်လုပ်ရန် စီစဉ်ထားကြောင်းနှင့် ဤလုပ်ငန်းစဉ်ကို ပုံမှန်စစ်ဆေးကြောင်း ကျွန်ုပ်တို့သေချာပါသည်။
၉.၂။ Anti-Virus နှင့် Malware စကင်န်ဖတ်ခြင်း။
ကျွန်ုပ်တို့သည် ဆာဗာများ၊ အလုပ်ရုံများ၊ လက်ပ်တော့များနှင့် မိုဘိုင်းလ်စက်ပစ္စည်းများအပါအဝင် ဗိုင်းရပ်စ်များ သို့မဟုတ် မဲလ်ဝဲများကို ရှာဖွေပြီး ဖယ်ရှားရန်အတွက် ပုံမှန်စကင်န်ဖတ်ခြင်းများ လုပ်ဆောင်ပါသည်။
၉.၃။ မပိတ်ရန် နှင့် ပြောင်းလဲခြင်းမရှိသော မူဝါဒ
ကျွန်ုပ်တို့သည် အချက်အလက်စနစ်တစ်ခုခုရှိ ဗိုင်းရပ်စ်ဆန့်ကျင်ရေးနှင့် မဲလ်ဝဲကာကွယ်ရေးဆော့ဖ်ဝဲကို ပိတ်ရန် သို့မဟုတ် ပြောင်းလဲခြင်းမှ သုံးစွဲသူများအား တားမြစ်ထားသော မူဝါဒများကို ကျင့်သုံးပါသည်။
9.4 ။ စောင့်ကြည့်ခြင်း
ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ ဗိုင်းရပ်စ် ဆန့်ကျင်ရေးနှင့် မဲလ်ဝဲ ကာကွယ်ရေး ဆော့ဖ်ဝဲလ် သတိပေးချက်များနှင့် မှတ်တမ်းများကို စောင့်ကြည့်ကာ ဗိုင်းရပ်စ် သို့မဟုတ် မဲလ်ဝဲ ကူးစက်မှုများ၏ အဖြစ်အပျက်များကို ဖော်ထုတ်ရန်နှင့် ထိုကဲ့သို့သော အဖြစ်အပျက်များကို အချိန်နှင့် တပြေးညီ တုံ့ပြန်ပါသည်။
၉.၅။ မှတ်တမ်းထိန်းသိမ်းခြင်း။
ကျွန်ုပ်တို့သည် ဗိုင်းရပ်စ်တိုက်ဖျက်ရေးနှင့် မဲလ်ဝဲကာကွယ်ရေးဆော့ဖ်ဝဲလ်ဖွဲ့စည်းပုံ၊ အပ်ဒိတ်များနှင့် စကင်ဖတ်စစ်ဆေးခြင်းများ၊ စစ်ဆေးခြင်းရည်ရွယ်ချက်များအတွက် ဗိုင်းရပ်စ် သို့မဟုတ် မဲလ်ဝဲကူးစက်မှုဆိုင်ရာ မှတ်တမ်းများကို ထိန်းသိမ်းပါသည်။
၉.၆။ ဆော့ဖ်ဝဲသုံးသပ်ချက်များ
ကျွန်ုပ်တို့သည် လက်ရှိစက်မှုလုပ်ငန်းစံနှုန်းများနှင့် ကိုက်ညီပြီး ကျွန်ုပ်တို့၏လိုအပ်ချက်များအတွက် လုံလောက်ကြောင်း သေချာစေရန် ကျွန်ုပ်တို့၏ဗိုင်းရပ်စ်ဆန့်ကျင်ရေးနှင့် မဲလ်ဝဲကာကွယ်ရေးဆော့ဖ်ဝဲကို အချိန်အခါအလိုက် ပြန်လည်သုံးသပ်မှုများ ပြုလုပ်ပါသည်။
၉.၇။ လေ့ကျင့်ရေးနှင့် အမြင်ကျယ်ခြင်း။
ကျွန်ုပ်တို့သည် ဝန်ထမ်းများအားလုံးကို ဗိုင်းရပ်စ်နှင့် မဲလ်ဝဲကာကွယ်ရေး၏အရေးကြီးမှုနှင့် သံသယဖြစ်ဖွယ်လှုပ်ရှားမှုများ သို့မဟုတ် အဖြစ်အပျက်များကို မည်ကဲ့သို့အသိအမှတ်ပြုရန်နှင့် သတင်းပို့ရမည်ကို ဝန်ထမ်းများအားလုံးကို ပညာပေးရန်အတွက် ကျွန်ုပ်တို့သည် လေ့ကျင့်ရေးနှင့် အသိပညာပေးအစီအစဉ်များကို ပံ့ပိုးပေးပါသည်။
အပိုင်း 10. သတင်းအချက်အလက် ပိုင်ဆိုင်မှုစီမံခန့်ခွဲမှု
၁၀.၁။ အချက်အလက် ပိုင်ဆိုင်မှုစာရင်း
European IT Certification Institute သည် စနစ်များ၊ ကွန်ရက်များ၊ ဆော့ဖ်ဝဲလ်များ၊ ဒေတာနှင့် စာရွက်စာတမ်းများကဲ့သို့ ဒစ်ဂျစ်တယ်နှင့် ရုပ်ပိုင်းဆိုင်ရာ အချက်အလက်ပိုင်ဆိုင်မှုအားလုံးပါဝင်သည့် အချက်အလက်ပိုင်ဆိုင်မှုစာရင်းကို ထိန်းသိမ်းထားသည်။ ကျွန်ုပ်တို့သည် သင့်လျော်သောကာကွယ်မှုအစီအမံများကို အကောင်အထည်ဖော်ကြောင်းသေချာစေရန် ၎င်းတို့၏ဝေဖန်မှုနှင့် ထိလွယ်ရှလွယ်မှုအပေါ်အခြေခံ၍ အချက်အလက်ပိုင်ဆိုင်မှုများကို အမျိုးအစားခွဲခြားပါသည်။
၁၀.၂။ အချက်အလက် ပိုင်ဆိုင်မှု ကိုင်တွယ်ခြင်း။
လျှို့ဝှက်မှု၊ ခိုင်မာမှုနှင့် ရရှိနိုင်မှုတို့အပါအဝင် ၎င်းတို့၏ အမျိုးအစားခွဲခြားမှုအပေါ် အခြေခံ၍ အချက်အလက်ပိုင်ဆိုင်မှုများကို ကာကွယ်ရန် သင့်လျော်သောအစီအမံများကို ကျွန်ုပ်တို့ အကောင်အထည်ဖော်ဆောင်ရွက်ပါသည်။ အချက်အလက်ပိုင်ဆိုင်မှုအားလုံးကို တည်ဆဲဥပဒေများ၊ စည်းမျဉ်းများ၊ နှင့် စာချုပ်ဆိုင်ရာလိုအပ်ချက်များနှင့်အညီ ကိုင်တွယ်ဆောင်ရွက်ကြောင်း သေချာပါသည်။ အချက်အလက်များ ပိုင်ဆိုင်မှုအားလုံးကို စနစ်တကျ သိမ်းဆည်းထားရန်၊ ကာကွယ်ထားကာ မလိုအပ်တော့သည့်အခါ စွန့်ပစ်ခြင်းကိုလည်း အာမခံပါသည်။
၁၀.၃။ အချက်အလက်ပိုင်ဆိုင်မှု ပိုင်ဆိုင်မှု
ကျွန်ုပ်တို့သည် အချက်အလက်ပိုင်ဆိုင်မှုများကို စီမံခန့်ခွဲရန်နှင့် ကာကွယ်ရန် တာဝန်ရှိသော လူတစ်ဦးချင်းစီ သို့မဟုတ် ဌာနများသို့ သတင်းအချက်အလက်ပိုင်ဆိုင်မှုပိုင်ဆိုင်မှုကို ပေးအပ်သည်။ သတင်းအချက်အလက် ပိုင်ဆိုင်မှုပိုင်ရှင်များသည် သတင်းအချက်အလက် ပိုင်ဆိုင်မှုများကို ကာကွယ်ရန်အတွက် ၎င်းတို့၏ တာဝန်နှင့် တာဝန်ခံမှုများကို နားလည်ကြောင်းလည်း ကျွန်ုပ်တို့ အာမခံပါသည်။
၁၀.၄။ သတင်းအချက်အလက် ပိုင်ဆိုင်မှုကာကွယ်ရေး
ကျွန်ုပ်တို့သည် ရုပ်ပိုင်းဆိုင်ရာထိန်းချုပ်မှုများ၊ ဝင်ရောက်ထိန်းချုပ်မှုများ၊ ကုဒ်ဝှက်ခြင်းနှင့် မိတ္တူကူးခြင်းနှင့် ပြန်လည်ရယူခြင်းလုပ်ငန်းစဉ်များအပါအဝင် အချက်အလက်ပိုင်ဆိုင်မှုများကို ကာကွယ်ရန် အကာအကွယ်အစီအမံအမျိုးမျိုးကို ကျွန်ုပ်တို့အသုံးပြုပါသည်။ အချက်အလက်ပိုင်ဆိုင်မှုအားလုံးကို ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း၊ ပြုပြင်မွမ်းမံခြင်း သို့မဟုတ် ဖျက်ဆီးခြင်းမှ အကာအကွယ်ပေးထားကြောင်းလည်း ကျွန်ုပ်တို့ အာမခံပါသည်။
အပိုင်း ၁၁။ Access Control
၁၁.၁။ ဝင်ရောက်ထိန်းချုပ်ရေးမူဝါဒ
ဥရောပ IT အသိအမှတ်ပြုလက်မှတ်ဌာနတွင် အချက်အလက်ပိုင်ဆိုင်မှုများအား ပေးအပ်ခြင်း၊ ပြင်ဆင်ခြင်းနှင့် ရုပ်သိမ်းခြင်းဆိုင်ရာ လိုအပ်ချက်များကို ဖော်ပြထားသည့် Access Control Policy တစ်ခုရှိသည်။ Access Control သည် ကျွန်ုပ်တို့၏ သတင်းအချက်အလက် လုံခြုံရေး စီမံခန့်ခွဲမှုစနစ်၏ အရေးကြီးသော အစိတ်အပိုင်းတစ်ခုဖြစ်ပြီး အခွင့်အာဏာရှိသူ တစ်ဦးချင်းစီသာလျှင် ကျွန်ုပ်တို့၏ အချက်အလက်ပိုင်ဆိုင်မှုများကို ဝင်ရောက်ကြည့်ရှုနိုင်စေရန် သေချာစေရန် ၎င်းကို အကောင်အထည်ဖော်ပါသည်။
၁၁.၂။ Access Control အကောင်အထည်ဖော်ခြင်း။
ကျွန်ုပ်တို့သည် အခွင့်ထူးအနည်းဆုံးနိယာမကိုအခြေခံ၍ ဝင်ရောက်ထိန်းချုပ်မှုအစီအမံများကို အကောင်အထည်ဖော်သည်၊ ဆိုလိုသည်မှာ လူတစ်ဦးချင်းစီသည် ၎င်းတို့၏အလုပ်တာဝန်များကိုလုပ်ဆောင်ရန် လိုအပ်သောအချက်အလက်ပိုင်ဆိုင်မှုများကိုသာ ဝင်ရောက်ကြည့်ရှုနိုင်မည်ဖြစ်သည်။ ကျွန်ုပ်တို့သည် အထောက်အထားစိစစ်ခြင်း၊ ခွင့်ပြုချက်နှင့် စာရင်းကိုင်ခြင်း (AAA) အပါအဝင် ဝင်ရောက်ထိန်းချုပ်မှုဆိုင်ရာ အစီအမံအမျိုးမျိုးကို အသုံးပြုပါသည်။ ကျွန်ုပ်တို့သည် သတင်းအချက်အလက်ပိုင်ဆိုင်မှုများသို့ ဝင်ရောက်ခွင့်ကို ထိန်းချုပ်ရန် ဝင်ရောက်ထိန်းချုပ်မှုစာရင်းများ (ACLs) နှင့် ခွင့်ပြုချက်များကိုလည်း အသုံးပြုပါသည်။
၁၁.၃။ စကားဝှက်မူဝါဒ
European IT Certification Institute တွင် စကားဝှက်များ ဖန်တီးခြင်းနှင့် စီမံခန့်ခွဲခြင်းဆိုင်ရာ လိုအပ်ချက်များကို ဖော်ပြသည့် စကားဝှက်မူဝါဒတစ်ခု ရှိသည်။ စာလုံးအကြီးနှင့် အသေး၊ နံပါတ်များနှင့် အထူးအက္ခရာများ ပေါင်းစပ်ထားသော အနည်းဆုံး စာလုံး 8 လုံး ရှည်သော ခိုင်မာသော စကားဝှက်များ လိုအပ်ပါသည်။ ကျွန်ုပ်တို့သည်လည်း အချိန်အခါအလိုက် စကားဝှက်ပြောင်းလဲမှုများ လိုအပ်ပြီး ယခင်စကားဝှက်များကို ပြန်လည်အသုံးပြုခြင်းကို တားမြစ်ပါသည်။
၅.၂ ။ အသုံးပြုသူစီမံခန့်ခွဲမှု
ကျွန်ုပ်တို့တွင် အသုံးပြုသူအကောင့်များ ဖန်တီးခြင်း၊ ပြင်ဆင်ခြင်းနှင့် ဖျက်ခြင်း အပါအဝင် အသုံးပြုသူစီမံခန့်ခွဲမှုလုပ်ငန်းစဉ်တစ်ခုရှိသည်။ အသုံးပြုသူအကောင့်များကို အခွင့်ထူးအနည်းဆုံးနိယာမအပေါ်အခြေခံ၍ ဖန်တီးထားပြီး တစ်ဦးချင်း၏အလုပ်တာဝန်များကိုလုပ်ဆောင်ရန် လိုအပ်သောအချက်အလက်ပိုင်ဆိုင်မှုများကိုသာ ဝင်ရောက်ခွင့်ပြုသည်။ ကျွန်ုပ်တို့သည် သုံးစွဲသူအကောင့်များကို ပုံမှန်စစ်ဆေးပြီး မလိုအပ်တော့သော အကောင့်များကို ဖယ်ရှားပါသည်။
အပိုင်း 12။ သတင်းအချက်အလက် လုံခြုံရေး အဖြစ်အပျက် စီမံခန့်ခွဲမှု
၁၂.၁။ အဖြစ်အပျက်စီမံခန့်ခွဲမှုမူဝါဒ
European IT Certification Institute တွင် လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်များကို ရှာဖွေခြင်း၊ အစီရင်ခံခြင်း၊ အကဲဖြတ်ခြင်းနှင့် တုံ့ပြန်ခြင်းအတွက် လိုအပ်ချက်များကို အလေးပေးဖော်ပြထားသော အဖြစ်အပျက်စီမံခန့်ခွဲမှုမူဝါဒတစ်ခု ရှိပါသည်။ လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်များကို လျှို့ဝှက်မှု၊ ခိုင်မာမှု၊ သို့မဟုတ် သတင်းအချက်အလက် ပိုင်ဆိုင်မှု သို့မဟုတ် စနစ်များ ရရှိနိုင်မှုကို ထိခိုက်စေသည့် မည်သည့်ဖြစ်ရပ်အဖြစ်မဆို ကျွန်ုပ်တို့ သတ်မှတ်ပါသည်။
၁၂.၂။ အဖြစ်အပျက်ကို ထောက်လှမ်းခြင်းနှင့် အစီရင်ခံခြင်း။
ကျွန်ုပ်တို့သည် လုံခြုံရေး အဖြစ်အပျက်များကို ဆောလျင်စွာ ရှာဖွေပြီး သတင်းပို့ရန် အစီအမံများကို ဆောင်ရွက်ပါသည်။ ကျွန်ုပ်တို့သည် ကျူးကျော်ဝင်ရောက်မှု ထောက်လှမ်းခြင်းစနစ် (IDS)၊ ဗိုင်းရပ်စ်နှိမ်နင်းရေးဆော့ဖ်ဝဲနှင့် အသုံးပြုသူအစီရင်ခံခြင်းအပါအဝင် လုံခြုံရေးဆိုင်ရာ ဖြစ်ရပ်များကို ရှာဖွေရန် နည်းလမ်းအမျိုးမျိုးကို အသုံးပြုပါသည်။ လုံခြုံရေး အဖြစ်အပျက်များကို သတင်းပို့ခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းများကို ဝန်ထမ်းများအားလုံး သိရှိနားလည်ပြီး သံသယဖြစ်ဖွယ်ဖြစ်ရပ်များအားလုံးကို အစီရင်ခံတင်ပြရန် တွန်းအားပေးပါသည်။
၁၂.၃။ အဖြစ်အပျက် အကဲဖြတ်ခြင်းနှင့် တုံ့ပြန်မှု
လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်များကို ၎င်းတို့၏ ပြင်းထန်မှုနှင့် သက်ရောက်မှုအပေါ် အခြေခံ၍ အကဲဖြတ်ရန်နှင့် တုံ့ပြန်ရန် လုပ်ငန်းစဉ်တစ်ခုရှိသည်။ ကျွန်ုပ်တို့သည် သတင်းအချက်အလက် ပိုင်ဆိုင်မှု သို့မဟုတ် စနစ်များအပေါ် ၎င်းတို့၏ ဖြစ်နိုင်ခြေရှိသော အကျိုးသက်ရောက်မှုများအပေါ် အခြေခံ၍ အဖြစ်အပျက်များကို ဦးစားပေးပြီး ၎င်းတို့ကို တုံ့ပြန်ရန် သင့်လျော်သော အရင်းအမြစ်များကို ခွဲဝေပေးပါသည်။ လုံခြုံရေးဖြစ်ရပ်များမှ ဖော်ထုတ်ခြင်း၊ ပါဝင်ခြင်း၊ ခွဲခြမ်းစိပ်ဖြာခြင်းနှင့် ပြန်လည်ရယူခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းများ ပါ၀င်သည့် တုံ့ပြန်မှု အစီအစဉ်တစ်ခုလည်း ရှိပြီး သက်ဆိုင်ရာ အဖွဲ့အစည်းများထံ အကြောင်းကြားခြင်း၊ အခင်းဖြစ်ပွားပြီးနောက် ပြန်လည်သုံးသပ်ခြင်းများ လုပ်ဆောင်ခြင်း ကျွန်ုပ်တို့၏ အဖြစ်အပျက်တုံ့ပြန်မှု လုပ်ငန်းစဉ်များသည် လျင်မြန်ပြီး ထိရောက်သော တုံ့ပြန်မှုကို သေချာစေရန် ဒီဇိုင်းထုတ်ထားပါသည်။ လုံခြုံရေး အဖြစ်အပျက်များဆီသို့။ လုပ်ထုံးလုပ်နည်းများကို ၎င်းတို့၏ ထိရောက်မှုနှင့် ဆီလျော်မှုရှိစေရန် ပုံမှန်ပြန်လည်သုံးသပ်ပြီး မွမ်းမံပြင်ဆင်ထားသည်။
၁၂.၄။ ဆူပူမှုတုံ့ပြန်ရေးအဖွဲ့
ကျွန်ုပ်တို့တွင် လုံခြုံရေးဖြစ်ရပ်များကို တုံ့ပြန်ရန် တာဝန်ရှိသော Incident Response Team (IRT) တစ်ခုရှိသည်။ IRT ကို ယူနစ်အမျိုးမျိုးမှ ကိုယ်စားလှယ်များဖြင့် ဖွဲ့စည်းထားပြီး သတင်းအချက်အလက် လုံခြုံရေးအရာရှိ (ISO) မှ ဦးဆောင်သည်။ IRT သည် အဖြစ်အပျက်များ၏ ပြင်းထန်မှုကို အကဲဖြတ်ရန်၊ အဖြစ်အပျက်ပါ၀င်ပြီး သင့်လျော်သော တုံ့ပြန်မှုလုပ်ငန်းစဉ်များကို စတင်လုပ်ဆောင်ရန် တာဝန်ရှိသည်။
၁၂.၅။ အဖြစ်အပျက် အစီရင်ခံခြင်းနှင့် သုံးသပ်ချက်
ကျွန်ုပ်တို့သည် ဖောက်သည်များ၊ စည်းမျဉ်းအာဏာပိုင်များနှင့် ဥပဒေစိုးမိုးရေးအေဂျင်စီများအပါအဝင် သက်ဆိုင်ရာပါတီများသို့ လုံခြုံရေးဖြစ်ရပ်များကို အစီရင်ခံရန်အတွက် လုပ်ထုံးလုပ်နည်းများ ချမှတ်ထားပါသည်။ ကျွန်ုပ်တို့သည် အဖြစ်အပျက်တုံ့ပြန်မှု လုပ်ငန်းစဉ်တစ်လျှောက်တွင် ထိခိုက်သည့်ပါတီများနှင့် ဆက်သွယ်ရေးကို ထိန်းသိမ်းထားပြီး၊ အဖြစ်အပျက်၏အခြေအနေနှင့် ၎င်း၏အကျိုးသက်ရောက်မှုကို လျော့ပါးစေရန် လုပ်ဆောင်မှုမှန်သမျှကို အချိန်နှင့်တစ်ပြေးညီ အပ်ဒိတ်များပေးပါသည်။ မူလအကြောင်းရင်းကို ဖော်ထုတ်ရန်နှင့် နောင်တွင် အလားတူဖြစ်ရပ်များ မဖြစ်ပွားစေရန် ကာကွယ်ရန်အတွက် လုံခြုံရေးဆိုင်ရာ ဖြစ်ရပ်များအားလုံးကို ပြန်လည်သုံးသပ်ခြင်းကိုလည်း လုပ်ဆောင်ပါသည်။
အပိုင်း 13။ လုပ်ငန်းအဆက်မပြတ်စီမံခန့်ခွဲမှုနှင့် ဘေးအန္တရာယ်ပြန်လည်ထူထောင်ရေး
၁၃.၁။ Business Continuity Planning
European IT Certification Institute သည် အကျိုးအမြတ်မယူသော အဖွဲ့အစည်းတစ်ခုဖြစ်သော်လည်း၊ အနှောင့်အယှက်ဖြစ်စေသော အဖြစ်အပျက်မျိုးတွင် ၎င်း၏လုပ်ငန်းဆောင်ရွက်မှုများ စဉ်ဆက်မပြတ်ရှိစေရန်အတွက် လုပ်ထုံးလုပ်နည်းများကို ဖော်ပြသည့် Business Continuity Plan (BCP) ရှိသည်။ BCP သည် အရေးကြီးသော လည်ပတ်မှု လုပ်ငန်းစဉ်များအားလုံးကို အကျုံးဝင်ပြီး အနှောင့်အယှက်ဖြစ်စေသော ဖြစ်စဉ်တစ်ခုအတွင်းနှင့် အပြီးတွင် လည်ပတ်မှုများကို ထိန်းသိမ်းရန် လိုအပ်သော အရင်းအမြစ်များကို ခွဲခြားသတ်မှတ်သည်။ အနှောင့်အယှက် သို့မဟုတ် ဘေးအန္တရာယ်တစ်ခုအတွင်း လုပ်ငန်းလည်ပတ်မှုကို ထိန်းသိမ်းရန် လုပ်ထုံးလုပ်နည်းများ၊ အနှောင့်အယှက်များ၏ အကျိုးသက်ရောက်မှုကို အကဲဖြတ်ခြင်း၊ အနှောင့်အယှက်ဖြစ်စေသော အဖြစ်အပျက်တစ်ခု၏ အခြေအနေတွင် အရေးကြီးသော လည်ပတ်မှုလုပ်ငန်းစဉ်အများစုကို ခွဲခြားသတ်မှတ်ခြင်းနှင့် တုံ့ပြန်မှုနှင့် ပြန်လည်ထူထောင်ရေးဆိုင်ရာ လုပ်ထုံးလုပ်နည်းများကို ဖော်ဆောင်ခြင်း။
၁၃.၂။ သဘာဝဘေးပြန်လည်ထူထောင်ရေးစီမံကိန်း
ဥရောပ IT အသိအမှတ်ပြုဌာနတွင် အနှောင့်အယှက် သို့မဟုတ် ဘေးအန္တရာယ်တစ်ခုကြုံလာသောအခါ ကျွန်ုပ်တို့၏အချက်အလက်စနစ်များကို ပြန်လည်ရယူရန်အတွက် လုပ်ထုံးလုပ်နည်းများကို အကျဉ်းချုပ်ဖော်ပြသော Disaster Recovery Plan (DRP) တစ်ခုရှိသည်။ DRP တွင် ဒေတာအရန်ကူးခြင်း၊ ဒေတာပြန်လည်ရယူခြင်းနှင့် စနစ်ပြန်လည်ရယူခြင်းအတွက် လုပ်ထုံးလုပ်နည်းများ ပါဝင်သည်။ ၎င်း၏ထိရောက်မှုကိုသေချာစေရန် DRP ကို ပုံမှန်စမ်းသပ်ပြီး မွမ်းမံထားသည်။
၁၃.၃။ လုပ်ငန်းထိခိုက်မှု ခွဲခြမ်းစိတ်ဖြာခြင်း။
ကျွန်ုပ်တို့သည် အရေးကြီးသော လုပ်ငန်းဆောင်ရွက်မှု လုပ်ငန်းစဉ်များနှင့် ၎င်းတို့ကို ထိန်းသိမ်းရန် လိုအပ်သော အရင်းအမြစ်များကို ခွဲခြားသတ်မှတ်ရန် စီးပွားရေးဆိုင်ရာ သက်ရောက်မှု ခွဲခြမ်းစိတ်ဖြာမှု (BIA) ကို လုပ်ဆောင်ပါသည်။ BIA သည် ကျွန်ုပ်တို့၏ ပြန်လည်ထူထောင်ရေးကြိုးပမ်းမှုများကို ဦးစားပေးလုပ်ဆောင်ပြီး အရင်းအမြစ်များကို လျော်ညီစွာခွဲဝေပေးပါသည်။
၁၃.၄။ Business Continuity Strategy
BIA ၏ရလဒ်များအပေါ်အခြေခံ၍ ကျွန်ုပ်တို့သည် အနှောင့်အယှက်ဖြစ်စေသော အဖြစ်အပျက်တစ်ခုကို တုံ့ပြန်ရန်အတွက် လုပ်ထုံးလုပ်နည်းများကို အလေးပေးဖော်ပြသော Business Continuity Strategy ကို ဖော်ဆောင်ပါသည်။ မဟာဗျူဟာတွင် BCP ကို အသက်သွင်းရန်၊ အရေးကြီးသော လုပ်ဆောင်မှု လုပ်ငန်းစဉ်များ ပြန်လည်ထူထောင်ရန်နှင့် သက်ဆိုင်ရာ သက်ဆိုင်သူများနှင့် ဆက်သွယ်ရန် လုပ်ထုံးလုပ်နည်းများ ပါဝင်သည်။
၁၃.၅။ စမ်းသပ်ခြင်းနှင့် ပြုပြင်ထိန်းသိမ်းခြင်း။
ကျွန်ုပ်တို့သည် ၎င်းတို့၏ BCP နှင့် DRP တို့၏ ထိရောက်မှုနှင့် ဆက်စပ်မှုကို သေချာစေရန် ကျွန်ုပ်တို့ ပုံမှန်စမ်းသပ်ထိန်းသိမ်းပါသည်။ ကျွန်ုပ်တို့သည် BCP/DRP ကိုအတည်ပြုရန်နှင့် တိုးတက်မှုအတွက် နယ်ပယ်များကိုခွဲခြားသတ်မှတ်ရန် ပုံမှန်စစ်ဆေးမှုများပြုလုပ်ပါသည်။ ကျွန်ုပ်တို့၏လုပ်ဆောင်မှုများ သို့မဟုတ် ခြိမ်းခြောက်မှုအခင်းအကျင်းတွင် အပြောင်းအလဲများကို ထင်ဟပ်ရန် လိုအပ်သလို ကျွန်ုပ်တို့သည် BCP နှင့် DRP ကို အပ်ဒိတ်လုပ်ပါသည်။ စမ်းသပ်ခြင်းတွင် tabletop လေ့ကျင့်ခန်းများ၊ သရုပ်ဖော်ပုံများနှင့် လုပ်ထုံးလုပ်နည်းများကို တိုက်ရိုက်စမ်းသပ်ခြင်း ပါဝင်သည်။ ကျွန်ုပ်တို့သည် စမ်းသပ်မှုရလဒ်များနှင့် သင်ခန်းစာများပေါ်မူတည်၍ ကျွန်ုပ်တို့၏အစီအစဉ်များကို ပြန်လည်သုံးသပ်ပြီး အပ်ဒိတ်လုပ်ပါသည်။
၁၃.၆။ အလှည့်ကျ လုပ်ဆောင်နေသည့် ဆိုက်များ
အနှောင့်အယှက် သို့မဟုတ် ဘေးဥပဒ်ဖြစ်စေသည့်ကိစ္စများတွင် လုပ်ငန်းလည်ပတ်မှုများကို ဆက်လက်လုပ်ဆောင်ရန် အသုံးပြုနိုင်သည့် အခြားအွန်လိုင်းလုပ်ဆောင်ခြင်းဆိုက်များကို ကျွန်ုပ်တို့ ထိန်းသိမ်းထားပါသည်။ အလှည့်ကျလုပ်ဆောင်နေသည့်နေရာများသည် လိုအပ်သောအခြေခံအဆောက်အအုံများနှင့် စနစ်များတပ်ဆင်ထားပြီး အရေးကြီးသောစီးပွားရေးလုပ်ငန်းစဉ်များကိုပံ့ပိုးရန်အတွက်အသုံးပြုနိုင်ပါသည်။
အပိုင်း 14. လိုက်နာမှုနှင့် စာရင်းစစ်
14.1. ဥပဒေများနှင့် စည်းမျဥ်းစည်းကမ်းများကို လိုက်နာခြင်း။
ဥရောပ IT အသိအမှတ်ပြုလက်မှတ်ဌာနသည် ဒေတာကာကွယ်ရေးဥပဒေများ၊ လုပ်ငန်းစံနှုန်းများနှင့် စာချုပ်ဆိုင်ရာ တာဝန်များအပါအဝင် အချက်အလက်လုံခြုံရေးနှင့် ကိုယ်ရေးကိုယ်တာဆိုင်ရာ သက်ဆိုင်သည့် ဥပဒေများနှင့် စည်းမျဉ်းများအားလုံးကို လိုက်နာရန် ကတိပြုပါသည်။ သက်ဆိုင်ရာလိုအပ်ချက်များနှင့် စံနှုန်းများအားလုံးကို လိုက်လျောညီထွေရှိစေရန် ကျွန်ုပ်တို့၏မူဝါဒများ၊ လုပ်ထုံးလုပ်နည်းများနှင့် ထိန်းချုပ်မှုများကို ပုံမှန်သုံးသပ်ပြီး အပ်ဒိတ်လုပ်ပါသည်။ သတင်းအချက်အလက်လုံခြုံရေးဆိုင်ရာ အကြောင်းအရာများတွင် ကျွန်ုပ်တို့လိုက်နာရမည့် အဓိကစံနှုန်းများနှင့် မူဘောင်များ ပါဝင်သည်-
- ISO/IEC 27001 စံနှုန်းသည် အချက်အလက်လုံခြုံရေးစီမံခန့်ခွဲမှုစနစ် (ISMS) ၏ အကောင်အထည်ဖော်မှုနှင့် စီမံခန့်ခွဲမှုအတွက် လမ်းညွှန်ချက်များကို ပံ့ပိုးပေးသည့် အားနည်းချက် စီမံခန့်ခွဲမှု၏ အဓိကအစိတ်အပိုင်းတစ်ခုဖြစ်သည်။ ၎င်းသည် ကျွန်ုပ်တို့၏ သတင်းအချက်အလက် လုံခြုံရေးစီမံခန့်ခွဲမှုစနစ် (ISMS) ကို အကောင်အထည်ဖော်ရန်နှင့် ထိန်းသိမ်းရန်အတွက် ရည်ညွှန်းမူဘောင်တစ်ခု ပံ့ပိုးပေးပါသည်။ ဤစံသတ်မှတ်ချက်များနှင့်အညီ ကျွန်ုပ်တို့သည် အားနည်းချက်များအပါအဝင် သတင်းအချက်အလက်လုံခြုံရေးအန္တရာယ်များကို ရှာဖွေဖော်ထုတ်၊ အကဲဖြတ်ကာ စီမံခန့်ခွဲပါသည်။
- US National Institute of Standards and Technology (NIST) Cybersecurity Framework သည် အားနည်းချက်စီမံခန့်ခွဲမှုအပါအဝင် ဆိုက်ဘာလုံခြုံရေးအန္တရာယ်များကို ခွဲခြားသတ်မှတ်ခြင်း၊ အကဲဖြတ်ခြင်းနှင့် စီမံခန့်ခွဲခြင်းအတွက် လမ်းညွှန်ချက်များပေးပါသည်။
- National Institute of Standards and Technology (NIST) Cybersecurity Framework သည် ကျွန်ုပ်တို့၏ ဆိုက်ဘာလုံခြုံရေး အန္တရာယ်များကို စီမံခန့်ခွဲရန် လိုက်နာရမည့် အားနည်းချက် စီမံခန့်ခွဲမှု အပါအဝင် အဓိက လုပ်ဆောင်ချက်များ အစုံအလင်ဖြင့် ဆိုက်ဘာလုံခြုံရေး ဘေးအန္တရာယ် စီမံခန့်ခွဲမှုကို ပိုမိုကောင်းမွန်စေရန်အတွက်။
- SANS Critical Security Controls တွင် ဆိုက်ဘာလုံခြုံရေးကို မြှင့်တင်ရန် လုံခြုံရေးထိန်းချုပ်မှု 20 ခုပါရှိသော၊ အားနည်းချက်စီမံခန့်ခွဲမှု၊ အားနည်းချက်ရှာဖွေခြင်း၊ patch စီမံခန့်ခွဲမှုနှင့် အားနည်းချက်စီမံခန့်ခွဲမှုဆိုင်ရာ အခြားကဏ္ဍများအပါအဝင် နယ်ပယ်များစွာကို လွှမ်းခြုံထားသည်။
- ဤအခြေအနေတွင် အားနည်းချက်စီမံခန့်ခွဲမှုနှင့်ပတ်သက်၍ အကြွေးဝယ်ကတ်အချက်အလက်ကို ကိုင်တွယ်ရန် လိုအပ်သော ငွေပေးချေကတ်လုပ်ငန်းဒေတာလုံခြုံရေးစံနှုန်း (PCI DSS)။
- ကျွန်ုပ်တို့၏ အချက်အလက်စနစ်များ၏ လုံခြုံသောပုံစံများကို သေချာစေရန်အတွက် အဓိကထိန်းချုပ်မှုများထဲမှတစ်ခုအဖြစ် အားနည်းချက်စီမံခန့်ခွဲမှုအပါအဝင် အင်တာနက်လုံခြုံရေးထိန်းချုပ်မှုစင်တာ (CIS)။
- ထိုးနှက်တိုက်ခိုက်မှုများ၊ ကျိုးကြောင်းသက်သေပြခြင်းနှင့် ဆက်ရှင်စီမံခန့်ခွဲမှု၊ cross-site scripting (XSS) စသည်တို့အပါအဝင် အားနည်းချက်များကို အကဲဖြတ်ခြင်းအပါအဝင် အပြင်းထန်ဆုံး ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးဆိုင်ရာ ထိပ်တန်း 10 စာရင်းနှင့်အတူ Open Web Application Security Project (OWASP)၊ OWASP ထိပ်တန်း 10 သည် ကျွန်ုပ်တို့၏ အားနည်းချက် စီမံခန့်ခွဲမှု ကြိုးပမ်းချက်များကို ဦးစားပေးပြီး ကျွန်ုပ်တို့၏ ဝဘ်စနစ်များနှင့် ပတ်သက်၍ အလွန်အရေးကြီးသော အန္တရာယ်များကို အာရုံစိုက်ရန်။
၁၄.၂။ ပြည်တွင်းစာရင်းစစ်
ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ သတင်းအချက်အလက်လုံခြုံရေးစီမံခန့်ခွဲမှုစနစ် (ISMS) ၏ထိရောက်မှုကို အကဲဖြတ်ရန်နှင့် ကျွန်ုပ်တို့၏မူဝါဒများ၊ လုပ်ထုံးလုပ်နည်းများနှင့် ထိန်းချုပ်မှုများကို လိုက်နာကြောင်း သေချာစေရန်အတွက် ပုံမှန်ပြည်တွင်းစစ်ဆေးမှုများကို လုပ်ဆောင်ပါသည်။ ဌာနတွင်းစာရင်းစစ်လုပ်ငန်းစဉ်တွင် မကိုက်ညီမှုများကို ဖော်ထုတ်ခြင်း၊ မှန်ကန်သောလုပ်ဆောင်ချက်များ ဖော်ဆောင်ခြင်းနှင့် ပြန်လည်ပြင်ဆင်ခြင်းဆိုင်ရာ ကြိုးပမ်းမှုများကို ခြေရာခံခြင်းတို့ ပါဝင်သည်။
၁၄.၃။ ပြင်ပစာရင်းစစ်
ကျွန်ုပ်တို့သည် တည်ဆဲဥပဒေများ၊ စည်းမျဉ်းများနှင့် စက်မှုလုပ်ငန်းစံနှုန်းများနှင့်အညီ ကျွန်ုပ်တို့၏လိုက်နာမှုကို သက်သေပြရန်အတွက် ပြင်ပစာရင်းစစ်များနှင့် အခါအားလျော်စွာ ထိတွေ့ဆက်ဆံပါသည်။ ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ လိုက်နာမှုကို တရားဝင်ကြောင်း အတည်ပြုရန် လိုအပ်သည့်အတိုင်း စာရင်းစစ်များအား ကျွန်ုပ်တို့၏ အဆောက်အဦများ၊ စနစ်များနှင့် စာရွက်စာတမ်းများကို ဝင်ရောက်ခွင့် ပေးပါသည်။ စာရင်းစစ်လုပ်ငန်းစဉ်အတွင်း တွေ့ရှိချက်များ သို့မဟုတ် အကြံပြုချက်များကို ဖြေရှင်းရန် ပြင်ပစာရင်းစစ်များနှင့်လည်း လုပ်ဆောင်ပါသည်။
၁၄.၄။ လိုက်နာမှု စောင့်ကြည့်လေ့လာရေး
ကျွန်ုပ်တို့သည် တည်ဆဲဥပဒေများ၊ စည်းမျဥ်းစည်းကမ်းများနှင့် လုပ်ငန်းဆိုင်ရာ စံချိန်စံညွှန်းများနှင့်အညီ ကျွန်ုပ်တို့၏ လိုက်နာမှုကို ဆက်လက်စောင့်ကြည့်ပါသည်။ ကျွန်ုပ်တို့သည် အချိန်အခါအလိုက် အကဲဖြတ်မှုများ၊ စာရင်းစစ်များနှင့် ပြင်ပမှပံ့ပိုးပေးသူများ၏ သုံးသပ်ချက်များအပါအဝင် လိုက်နာမှုကို စောင့်ကြည့်ရန် နည်းလမ်းအမျိုးမျိုးကို အသုံးပြုပါသည်။ သက်ဆိုင်ရာ လိုအပ်ချက်များအားလုံးကို ဆက်လက်လိုက်နာကြောင်း သေချာစေရန် ကျွန်ုပ်တို့၏ မူဝါဒများ၊ လုပ်ထုံးလုပ်နည်းများနှင့် ထိန်းချုပ်မှုများကို ပုံမှန်သုံးသပ်ပြီး အပ်ဒိတ်လုပ်ပါသည်။
အပိုင်း 15။ Third-Party စီမံခန့်ခွဲမှု
၁၅.၁။ Third-Party စီမံခန့်ခွဲမှုမူဝါဒ
ဥရောပ IT အသိအမှတ်ပြုလက်မှတ်ဌာနတွင် ကျွန်ုပ်တို့၏ အချက်အလက်ပိုင်ဆိုင်မှု သို့မဟုတ် စနစ်များသို့ ဝင်ရောက်နိုင်သည့် ပြင်ပမှပံ့ပိုးပေးသူများကို ရွေးချယ်ခြင်း၊ အကဲဖြတ်ခြင်းနှင့် စောင့်ကြည့်ခြင်းအတွက် လိုအပ်ချက်များကို ဖော်ပြထားသည့် Third-Party Management Policy ရှိသည်။ မူဝါဒသည် cloud ဝန်ဆောင်မှုပေးသူများ၊ ရောင်းချသူများနှင့် ကန်ထရိုက်တာများအပါအဝင် ပြင်ပကုမ္ပဏီပေးသူများအားလုံးနှင့် သက်ဆိုင်ပါသည်။
၁၅.၂။ Third-Party ရွေးချယ်မှုနှင့် အကဲဖြတ်ခြင်း။
ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏အချက်အလက်ပိုင်ဆိုင်မှုများ သို့မဟုတ် စနစ်များကိုကာကွယ်ရန်အတွက် လုံလောက်သောလုံခြုံရေးထိန်းချုပ်မှုများရှိစေရန်အတွက် ပြင်ပမှပံ့ပိုးပေးသူများနှင့် မဆက်ဆံမီ လုံ့လဝီရိယရှိရှိလုပ်ဆောင်ပါသည်။ သတင်းအချက်အလက် လုံခြုံရေးနှင့် ကိုယ်ရေးကိုယ်တာဆိုင်ရာ သက်ဆိုင်သည့် ဥပဒေများနှင့် စည်းမျဉ်းများနှင့်အညီ ပြင်ပမှပံ့ပိုးပေးသူများ၏ လိုက်နာမှုကိုလည်း အကဲဖြတ်ပါသည်။
၁၅.၃။ Third-Party စောင့်ကြည့်ရေး
ကျွန်ုပ်တို့သည် သတင်းအချက်အလက်လုံခြုံရေးနှင့် ကိုယ်ရေးကိုယ်တာဆိုင်ရာ လိုအပ်ချက်များကို ဆက်လက်ဖြည့်ဆည်းပေးနိုင်ရန် ပြင်ပကုမ္ပဏီဝန်ဆောင်မှုပေးသူများကို ဆက်လက်စောင့်ကြည့်နေပါသည်။ ကျွန်ုပ်တို့သည် အချိန်အခါအလိုက် အကဲဖြတ်မှုများ၊ စာရင်းစစ်များနှင့် လုံခြုံရေးဖြစ်ရပ်အစီရင်ခံစာများ ပြန်လည်သုံးသပ်ခြင်းအပါအဝင် ပြင်ပမှပံ့ပိုးပေးသူများကို စောင့်ကြည့်ရန် နည်းလမ်းအမျိုးမျိုးကို အသုံးပြုပါသည်။
၁၅.၄။ စာချုပ်ဆိုင်ရာလိုအပ်ချက်များ
ပြင်ပကုမ္ပဏီဝန်ဆောင်မှုပေးသူများနှင့် စာချုပ်များအားလုံးတွင် အချက်အလက်လုံခြုံရေးနှင့် ကိုယ်ရေးကိုယ်တာဆိုင်ရာ ဆက်စပ်စာချုပ်ဆိုင်ရာ လိုအပ်ချက်များ ပါဝင်သည်။ ဤလိုအပ်ချက်များတွင် ဒေတာကာကွယ်ရေး၊ လုံခြုံရေးထိန်းချုပ်မှုများ၊ အဖြစ်အပျက်စီမံခန့်ခွဲမှုနှင့် လိုက်နာမှု စောင့်ကြည့်ခြင်းအတွက် ပြဋ္ဌာန်းချက်များ ပါဝင်သည်။ လုံခြုံရေးဆိုင်ရာ ဖြစ်ရပ်တစ်ခု သို့မဟုတ် မလိုက်နာပါက စာချုပ်များကို ရပ်စဲခြင်းဆိုင်ရာ ပြဋ္ဌာန်းချက်များလည်း ပါဝင်သည်။
အပိုင်း 16။ အသိအမှတ်ပြုခြင်းလုပ်ငန်းစဉ်များတွင် သတင်းအချက်အလက်လုံခြုံရေး
16.1 အသိအမှတ်ပြုခြင်းလုပ်ငန်းစဉ်များ၏ လုံခြုံရေး
ကျွန်ုပ်တို့သည် အသိအမှတ်ပြုလက်မှတ်ရှာဖွေနေသူများ၏ ကိုယ်ရေးကိုယ်တာအချက်အလက်များအပါအဝင် ကျွန်ုပ်တို့၏ လက်မှတ်လုပ်ငန်းစဉ်များနှင့် သက်ဆိုင်သည့် အချက်အလက်အားလုံး၏ လုံခြုံရေးကို သေချာစေရန် လုံလောက်ပြီး စနစ်ကျသော အစီအမံများကို လုပ်ဆောင်ပါသည်။ ၎င်းတွင် ဝင်ရောက်ခွင့်၊ သိုလှောင်မှုနှင့် အသိအမှတ်ပြုလက်မှတ်ဆိုင်ရာ အချက်အလက်အားလုံး၏ ထုတ်လွှင့်ခြင်းအတွက် ထိန်းချုပ်မှုများ ပါဝင်သည်။ ဤအစီအမံများကို အကောင်အထည်ဖော်ခြင်းဖြင့်၊ ကျွန်ုပ်တို့သည် အသိအမှတ်ပြုလက်မှတ်လုပ်ငန်းစဉ်များကို အမြင့်ဆုံးအဆင့်လုံခြုံရေးနှင့် ခိုင်မာမှုရှိစေရန်နှင့် အသိအမှတ်ပြုလက်မှတ်ရှာဖွေနေသူများ၏ ကိုယ်ရေးကိုယ်တာအချက်အလက်များကို သက်ဆိုင်ရာစည်းမျဉ်းများနှင့် စံချိန်စံညွှန်းများနှင့်အညီ အကာအကွယ်ပေးထားကြောင်း သေချာစေရန် ရည်ရွယ်ပါသည်။
၁၆.၂။ အထောက်အထားပြခြင်းနှင့် ခွင့်ပြုချက်
အခွင့်အာဏာရှိပုဂ္ဂိုလ်များသာ အသိအမှတ်ပြုလက်မှတ်အချက်အလက်ကို ရယူသုံးစွဲနိုင်စေရန် ကျွန်ုပ်တို့သည် စစ်မှန်ကြောင်းအထောက်အထားနှင့် ခွင့်ပြုချက်ထိန်းချုပ်မှုများကို အသုံးပြုပါသည်။ ဝန်ထမ်းများ၏ အခန်းကဏ္ဍနှင့် တာဝန်ဝတ္တရားများ အပြောင်းအလဲများအပေါ် အခြေခံ၍ ဝင်ရောက်ထိန်းချုပ်မှုများကို ပုံမှန်ပြန်လည်သုံးသပ်ပြီး အပ်ဒိတ်လုပ်ပါသည်။
16.3 ။ အချက်အလက်များအားကာကွယ်ခြင်း
ကျွန်ုပ်တို့သည် လျှို့ဝှက်မှု၊ ခိုင်မာမှုနှင့် ဒေတာရရှိနိုင်မှုတို့ကို သေချာစေရန် သင့်လျော်သော နည်းပညာပိုင်းဆိုင်ရာနှင့် အဖွဲ့အစည်းဆိုင်ရာ အစီအမံများကို အကောင်အထည်ဖော်ခြင်းဖြင့် အသိအမှတ်ပြုခြင်းလုပ်ငန်းစဉ်တစ်လျှောက် ကိုယ်ရေးကိုယ်တာဒေတာကို ကာကွယ်ပေးပါသည်။ ၎င်းတွင် ကုဒ်ဝှက်ခြင်း၊ ဝင်ရောက်ထိန်းချုပ်မှုများနှင့် ပုံမှန်အရန်သိမ်းဆည်းမှုများကဲ့သို့သော အတိုင်းအတာများ ပါဝင်သည်။
၁၆.၄။ စာမေးပွဲလုပ်ငန်းစဉ်များ၏ လုံခြုံရေး
လိမ်လည်လှည့်ဖြားမှု၊ စောင့်ကြည့်မှုနှင့် စာမေးပွဲပတ်ဝန်းကျင်ကို ထိန်းချုပ်ရန် သင့်လျော်သောအစီအမံများကို အကောင်အထည်ဖော်ခြင်းဖြင့် စာမေးပွဲလုပ်ငန်းစဉ်များ၏ လုံခြုံရေးကို ကျွန်ုပ်တို့အာမခံပါသည်။ လုံခြုံသောသိုလှောင်မှုလုပ်ထုံးလုပ်နည်းများမှတစ်ဆင့် စစ်ဆေးရေးပစ္စည်းများ၏ ခိုင်မာမှုနှင့် လျှို့ဝှက်မှုကိုလည်း ထိန်းသိမ်းထားသည်။
၁၆.၅။ စာမေးပွဲအကြောင်းအရာ လုံခြုံရေး
ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း၊ ပြောင်းလဲခြင်း သို့မဟုတ် ထုတ်ဖော်ခြင်းမှ ကာကွယ်ရန် သင့်လျော်သော အစီအမံများကို အကောင်အထည်ဖော်ခြင်းဖြင့် စာမေးပွဲအကြောင်းအရာ၏ လုံခြုံရေးကို ကျွန်ုပ်တို့ အာမခံပါသည်။ ၎င်းတွင် လုံခြုံသောသိုလှောင်မှုအသုံးပြုမှု၊ ကုဒ်ဝှက်ခြင်းနှင့် စစ်ဆေးမှုအကြောင်းအရာအတွက် ဝင်ရောက်ထိန်းချုပ်မှုများအပြင် ခွင့်ပြုချက်မရှိဘဲ ဖြန့်ဖြူးမှု သို့မဟုတ် စစ်ဆေးမှုအကြောင်းအရာကို ဖြန့်ဝေခြင်းတို့ကို တားဆီးရန်အတွက် ထိန်းချုပ်မှုများလည်း ပါဝင်သည်။
၁၆.၆။ စာမေးပွဲပေးပို့မှု လုံခြုံရေး
စာမေးပွဲပတ်ဝန်းကျင်သို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း သို့မဟုတ် ခြယ်လှယ်ခြင်းမှ ကာကွယ်ရန် သင့်လျော်သောအစီအမံများကို အကောင်အထည်ဖော်ခြင်းဖြင့် စာမေးပွဲပေးပို့ခြင်း၏ လုံခြုံရေးကို ကျွန်ုပ်တို့အာမခံပါသည်။ ၎င်းတွင် လှည့်ဖြားခြင်း သို့မဟုတ် အခြားလုံခြုံရေးချိုးဖောက်မှုများကို တားဆီးရန် စစ်ဆေးမှုပတ်ဝန်းကျင်နှင့် သီးခြားစစ်ဆေးမှုနည်းလမ်းများကဲ့သို့သော အစီအမံများ ပါဝင်သည်။
၁၆.၇။ စာမေးပွဲရလဒ်လုံခြုံရေး
ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခြင်း၊ ပြောင်းလဲခြင်း သို့မဟုတ် ရလဒ်များကို ထုတ်ပြန်ခြင်းမှ ကာကွယ်ရန် သင့်လျော်သော အစီအမံများကို အကောင်အထည်ဖော်ခြင်းဖြင့် စာမေးပွဲရလဒ်များ၏ လုံခြုံရေးကို ကျွန်ုပ်တို့ အာမခံပါသည်။ ၎င်းတွင် စစ်ဆေးမှုရလဒ်များအတွက် လုံခြုံသောသိုလှောင်မှု၊ ကုဒ်ဝှက်ခြင်းနှင့် ဝင်ရောက်အသုံးပြုမှု ထိန်းချုပ်မှုများအပြင် ခွင့်ပြုချက်မရှိဘဲ ဖြန့်ဖြူးခြင်း သို့မဟုတ် စာမေးပွဲရလဒ်များ ဖြန့်ဝေခြင်းတို့ကို တားဆီးရန်အတွက် ထိန်းချုပ်မှုများလည်း ပါဝင်သည်။
၁၆.၈။ လက်မှတ်များထုတ်ပေးခြင်း လုံခြုံရေး
လိမ်လည်မှုနှင့် ခွင့်ပြုချက်မရှိဘဲ လက်မှတ်များထုတ်ပေးခြင်းတို့ကို တားဆီးရန် သင့်လျော်သောအစီအမံများကို အကောင်အထည်ဖော်ခြင်းဖြင့် လက်မှတ်ထုတ်ပေးခြင်း၏ လုံခြုံရေးကို ကျွန်ုပ်တို့အာမခံပါသည်။ ၎င်းတွင် လက်မှတ်များလက်ခံရရှိသူ တစ်ဦးချင်းစီ၏ အထောက်အထားကို အတည်ပြုခြင်းနှင့် လုံခြုံသော သိမ်းဆည်းခြင်းနှင့် ထုတ်ပေးခြင်းဆိုင်ရာ လုပ်ထုံးလုပ်နည်းများ ပါဝင်သည်။
၁၆.၉။ တိုင်ကြားစာများနှင့် အယူခံများ
အသိအမှတ်ပြုခြင်းလုပ်ငန်းစဉ်နှင့် သက်ဆိုင်သည့် တိုင်ကြားမှုများနှင့် အယူခံဝင်မှုများကို စီမံခန့်ခွဲရန်အတွက် လုပ်ထုံးလုပ်နည်းများ ချမှတ်ထားပါသည်။ ဤလုပ်ထုံးလုပ်နည်းများတွင် လုပ်ငန်းစဉ်၏ လျှို့ဝှက်ထားမှုနှင့် သမာသမတ်ကျမှုရှိစေရန် အစီအမံများနှင့် တိုင်ကြားမှုများနှင့် အယူခံဝင်မှုများနှင့် ပတ်သက်သည့် အချက်အလက်များ၏ လုံခြုံရေးတို့ ပါဝင်သည်။
၁၆.၁၀။ အသိအမှတ်ပြုခြင်းလုပ်ငန်းစဉ်များ အရည်အသွေးစီမံခန့်ခွဲမှု
ကျွန်ုပ်တို့သည် လုပ်ငန်းစဉ်များ၏ ထိရောက်မှု၊ ထိရောက်မှု၊ နှင့် လုံခြုံရေးတို့ကို သေချာစေရန် အစီအမံများပါဝင်သည့် အသိအမှတ်ပြုခြင်းလုပ်ငန်းစဉ်များအတွက် အရည်အသွေးစီမံခန့်ခွဲမှုစနစ် (QMS) ကို တည်ထောင်ထားပါသည်။ QMS တွင် ပုံမှန်စစ်ဆေးမှုများနှင့် လုပ်ငန်းစဉ်များကို ပြန်လည်သုံးသပ်ခြင်းနှင့် ၎င်းတို့၏လုံခြုံရေးထိန်းချုပ်မှုများ ပါဝင်သည်။
၁၆.၁၁. အသိအမှတ်ပြုလက်မှတ် လုပ်ငန်းစဉ်များ လုံခြုံရေးကို စဉ်ဆက်မပြတ် မြှင့်တင်ခြင်း။
ကျွန်ုပ်တို့၏ အသိအမှတ်ပြုခြင်းလုပ်ငန်းစဉ်များနှင့် ၎င်းတို့၏လုံခြုံရေးထိန်းချုပ်မှုများကို စဉ်ဆက်မပြတ်တိုးတက်စေရန် ကျွန်ုပ်တို့ကတိပြုပါသည်။ ၎င်းတွင် လုပ်ငန်းပတ်ဝန်းကျင်ပြောင်းလဲမှုများ၊ စည်းမျဉ်းစည်းကမ်းသတ်မှတ်ချက်များနှင့် သတင်းအချက်အလက်လုံခြုံရေးစီမံခန့်ခွဲမှုဆိုင်ရာ အကောင်းဆုံးအလေ့အကျင့်များပေါ်မူတည်၍ အသိအမှတ်ပြုလက်မှတ်ဆိုင်ရာ မူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများဆိုင်ရာ လုံခြုံရေးဆိုင်ရာ ပုံမှန်သုံးသပ်ချက်များနှင့် အပ်ဒိတ်များ ပါ၀င်သည် 27001 အသိအမှတ်ပြုလက်မှတ်ကောင်များ၏လည်ပတ်စံ။
အပိုင်း 17။ ပြဋ္ဌာန်းချက်များ ပိတ်ခြင်း။
၁၇.၁။ မူဝါဒသုံးသပ်ခြင်းနှင့် အပ်ဒိတ်
ဤအချက်အလက်လုံခြုံရေးမူဝါဒသည် ကျွန်ုပ်တို့၏လုပ်ငန်းလည်ပတ်မှုဆိုင်ရာလိုအပ်ချက်များ၊ စည်းမျဉ်းစည်းကမ်းသတ်မှတ်ချက်များ သို့မဟုတ် သတင်းအချက်အလက်လုံခြုံရေးစီမံခန့်ခွဲမှုဆိုင်ရာ အကောင်းဆုံးအလေ့အကျင့်များဆိုင်ရာ အပြောင်းအလဲများအပေါ် အခြေခံ၍ ပြန်လည်သုံးသပ်ခြင်းနှင့် အပ်ဒိတ်များကို ဆက်လက်လုပ်ဆောင်နေသည့် သက်ရှိစာရွက်စာတမ်းတစ်ခုဖြစ်သည်။
၁၄.၄။ လိုက်နာမှု စောင့်ကြည့်လေ့လာရေး
ကျွန်ုပ်တို့သည် ဤအချက်အလက်လုံခြုံရေးမူဝါဒနှင့် ဆက်စပ်လုံခြုံရေးထိန်းချုပ်မှုများကို လိုက်နာမှုအား စောင့်ကြည့်ရန်အတွက် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။ လိုက်နာမှုစောင့်ကြပ်ကြည့်ရှုရာတွင် ပုံမှန်စစ်ဆေးမှုများ၊ အကဲဖြတ်မှုများနှင့် လုံခြုံရေးထိန်းချုပ်မှုများကို ပြန်လည်သုံးသပ်ခြင်းနှင့် ဤမူဝါဒ၏ရည်ရွယ်ချက်များအောင်မြင်စေရန် ၎င်းတို့၏ထိရောက်မှုတို့ပါဝင်သည်။
၁၇.၃။ လုံခြုံရေး အဖြစ်အပျက်များကို သတင်းပို့ခြင်း။
ကျွန်ုပ်တို့သည် လူတစ်ဦးချင်းစီ၏ ကိုယ်ရေးကိုယ်တာအချက်အလက်များအပါအဝင် ကျွန်ုပ်တို့၏အချက်အလက်စနစ်များနှင့်ပတ်သက်သည့် လုံခြုံရေးဖြစ်ရပ်များကို အစီရင်ခံရန်အတွက် လုပ်ထုံးလုပ်နည်းများကို ချမှတ်ထားပါသည်။ ဝန်ထမ်းများ၊ ကန်ထရိုက်တာများနှင့် အခြားပါဝင်ပတ်သက်သူများသည် လုံခြုံရေးဆိုင်ရာ အဖြစ်အပျက်များ သို့မဟုတ် သံသယဖြစ်ဖွယ်ဖြစ်ရပ်များကို သတ်မှတ်ထားသော လုံခြုံရေးအဖွဲ့ထံ အမြန်ဆုံး သတင်းပို့ရန် တိုက်တွန်းအပ်ပါသည်။
၉.၇။ လေ့ကျင့်ရေးနှင့် အမြင်ကျယ်ခြင်း။
ကျွန်ုပ်တို့သည် ဝန်ထမ်းများ၊ ကန်ထရိုက်တာများနှင့် အခြားသော သက်ဆိုင်သူများ သတင်းအချက်အလက် လုံခြုံရေးနှင့် ပတ်သက်သော ၎င်းတို့၏ တာဝန်ဝတ္တရားများကို သိရှိကြောင်း သေချာစေရန် ကျွန်ုပ်တို့သည် ပုံမှန်လေ့ကျင့်ရေးနှင့် အသိပညာပေး အစီအစဉ်များကို ပံ့ပိုးပေးပါသည်။ ၎င်းတွင် လုံခြုံရေးမူဝါဒများနှင့် လုပ်ထုံးလုပ်နည်းများဆိုင်ရာ သင်တန်းများ နှင့် လူတစ်ဦးချင်းစီ၏ ကိုယ်ရေးကိုယ်တာ အချက်အလက်များကို ကာကွယ်ရန်အတွက် အစီအမံများ ပါဝင်သည်။
၃။ တာဝန်ယူမှုနှင့်တာဝန်ခံမှု
ကျွန်ုပ်တို့သည် ဝန်ထမ်းများ၊ ကန်ထရိုက်တာများနှင့် အခြားသက်ဆိုင်သူများအားလုံးကို ဤအချက်အလက်လုံခြုံရေးမူဝါဒနှင့် ဆက်စပ်လုံခြုံရေးထိန်းချုပ်မှုများကို လိုက်နာရန် တာဝန်ရှိပြီး တာဝန်ခံမှုရှိသည်။ ထိရောက်သော သတင်းအချက်အလက် လုံခြုံရေး ထိန်းချုပ်မှုများကို အကောင်အထည်ဖော်ရန်နှင့် ထိန်းသိမ်းရန်အတွက် သင့်လျော်သော အရင်းအမြစ်များကို ခွဲဝေချထားကြောင်း သေချာစေရန်အတွက် စီမံခန့်ခွဲမှုတွင် တာဝန်ရှိပါသည်။
ဤအချက်အလက်လုံခြုံရေးမူဝါဒသည် Euroepan IT Certification Institute ၏အချက်အလက်လုံခြုံရေးစီမံခန့်ခွဲမှုမူဘောင်၏ အရေးကြီးသောအစိတ်အပိုင်းတစ်ခုဖြစ်ပြီး သတင်းအချက်အလက်ပိုင်ဆိုင်မှုများနှင့် စီမံဆောင်ရွက်ထားသောဒေတာများကိုကာကွယ်ရန်၊ လျှို့ဝှက်မှု၊ လျှို့ဝှက်မှု၊ ခိုင်မာမှုနှင့် သတင်းအချက်အလက်ရရှိနိုင်မှုတို့ကို အာမခံရန်နှင့် စည်းမျဉ်းစည်းကမ်းနှင့် စာချုပ်ဆိုင်ရာလိုအပ်ချက်များကို လိုက်နာရန် ကျွန်ုပ်တို့၏ကတိကဝတ်ကိုပြသသည်။