Thaiadmin

ตาม พรบ.2550 บริษัทสามารถเข้าไปถึงข้อมูลและเครื่องของพนักงานได้หรือไม่

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ได้รับคำถามจาก User ในบริษัทถามมา แล้วเป็นประเภทที่อยากรู้อยากให้อธิบายเหตุผล
แต่ไม่รู้จะตอบแบบไหนให้เค้าเข้าใจดี เนืองจากเราเองก็ยังไม่ชัว เลยอยากขอความเห็นเพื่อนๆหน่อยครับ

1- ตาม พรบ.2550 บริษัทสามารถเข้าไปถึงข้อมูลและเครื่องของพนักงานได้หรือไม่ ??
2- ทำไมต้องเปลี่ยน Password ทุกๆ 60วัน ??
ถ้าเราเก็บไว้ดีๆ ไม่ให้ใครรู้ เก็บสัก 100วัน ต่างไรกับ60วัน แล้วถ้าเก็บไว้ไม่ดี 10วันก็ไม่ปลอดภัยแล้ว #ก็อปมาทุกคำเลยที่เค้าถาม แบบนี้เด๊ะ

ออฟไลน์ Keigo

  • *****
  • 1,844
  • 29
  • เพศ: ชาย
  • TH@min Membership
1. ผมว่าได้นะ เพราะมันเป็นสินทรัพย์ของบริษัท ทางบริษัทมีอำนาจที่จะแต่งตั้งให้ใครก็ได้สามารถเข้าไปตรวจสอบ จริงๆเราไม่ควรที่จะเอาของส่วนตัวเข้าไปใส่ในเครื่องของบริษัทอยู่แล้วครับ mail บริษัทไม่ควรใช้ในการส่วนตัว
2. ผมคงต้องอธิบายเรื่องเกี่ยวกับ compliance อ่ะครับ ผมไม่รู้ว่าระบบคุณจะต้องถูกต้องตาม compliance อะไรบ้าง แต่แต่ละอัน จะมีพูดถึง password policy ครับ เช่น ใช้มีทั้งตัวเลขอักษรตัวเล็กใหญ่และอักขรพิเศษอย่างน้อย 1 ตัว, ห้ามใช้ซ้ำกัน 10 ครั้งล่าสุด, password expiry ทุกกี่วัน, ฯลฯ อย่าง PCI DSS password expiry ต้อง 60-90 วัน เกินกว่านี้ audit ปรับตก
<b>When we wake up in the morning, we have two simple choices. Go back to sleep and dream, or wake up and chase those dreams.</b>

1. ผมว่าได้นะ เพราะมันเป็นสินทรัพย์ของบริษัท ทางบริษัทมีอำนาจที่จะแต่งตั้งให้ใครก็ได้สามารถเข้าไปตรวจสอบ จริงๆเราไม่ควรที่จะเอาของส่วนตัวเข้าไปใส่ในเครื่องของบริษัทอยู่แล้วครับ mail บริษัทไม่ควรใช้ในการส่วนตัว
2. ผมคงต้องอธิบายเรื่องเกี่ยวกับ compliance อ่ะครับ ผมไม่รู้ว่าระบบคุณจะต้องถูกต้องตาม compliance อะไรบ้าง แต่แต่ละอัน จะมีพูดถึง password policy ครับ เช่น ใช้มีทั้งตัวเลขอักษรตัวเล็กใหญ่และอักขรพิเศษอย่างน้อย 1 ตัว, ห้ามใช้ซ้ำกัน 10 ครั้งล่าสุด, password expiry ทุกกี่วัน, ฯลฯ อย่าง PCI DSS password expiry ต้อง 60-90 วัน เกินกว่านี้ audit ปรับตก


ขอบคุณมากเลยคับ...  O0

ตามความคิดผมที่ตอบไปคือ

ข้อ 1
ตาม พรบ.2550 เครื่องคอมพิวเตอร์เป็นทรัพย์สินบริษัท ไฟล์ข้อมูลที่เกี่ยวกับงานทั้งหมด ถือเป็นทรัพย์สินขององค์กร  องค์กรสามารถเข้าถึงได้
แต่ไฟล์ข้อมูลส่วนตัวหรือพวกรูปภาพส่วนตัวองค์กรไม่มีสิทธิเข้าถึงข้อมูลพวกนั้น คุณสามารถฟ้องร้องได้
แต่การนำข้อมูลส่วนตัวมาใส่ในเครื่องขององค์กรเป็นเรื่องของกฎระเบียบการทำงาน อันนี้เป็นเครื่องของบริษัทกับพนักงาน ไม่เกี่ยวกับกฎหมาย

ข้อ 2
ตอบไปว่าตามมาตรฐานความปลอดภัยระบบสารมสเทศสากล

ตามที่ตอบไปทั้ง2ข้อ User ก็ทำหน้าแบบงงๆ ไม่ค่อยเคลียเท่าไหร่

เพื่อนๆเห็นว่าไงบ้างคับ ?? ผมตอบในส่วนไหนผิดหรือมีข้อแนะนำอะไรเพิ่มเติมป่าวคับ ??