🛡️ นโยบายความปลอดภัย

ISPVM.COM - Security Policy & Framework
อัปเดตล่าสุด: 7 มิถุนายน 2025

🛡️ ระดับความปลอดภัย: ENTERPRISE GRADE

ได้รับการรับรองมาตรฐาน ISO27001 และปฏิบัติตามกรอบการทำงาน Zero Trust Security

🔍 สารบัญ

  1. ภาพรวมนโยบายความปลอดภัย
  2. กรอบการทำงานด้านความปลอดภัย
  3. การรักษาความปลอดภัยทางกายภาพ
  4. การรักษาความปลอดภัยเครือข่าย
  5. การเข้ารหัสและคุ้มครองข้อมูล
  6. การควบคุมการเข้าถึง
  7. การติดตามและตรวจจับภัยคุกคาม
  8. การจัดการเหตุการณ์ความปลอดภัย
  9. การปฏิบัติตามมาตรฐาน
  10. การรักษาความปลอดภัยโดยพนักงาน
  11. การสำรองและกู้คืนข้อมูล
  12. การตรวจสอบและประเมินความเสี่ยง
  13. ช่องทางแจ้งปัญหาความปลอดภัย

1. ภาพรวมนโยบายความปลอดภัย

ISPVM.COM มุ่งมั่นที่จะให้บริการคลาวด์ที่มีความปลอดภัยสูงสุดสำหรับลูกค้าองค์กร นโยบายความปลอดภัยของเราครอบคลุมทุกมิติของการคุ้มครองข้อมูลและระบบ ตั้งแต่โครงสร้างพื้นฐานไปจนถึงการจัดการเหตุการณ์

🎯 วัตถุประสงค์หลัก

🔒 คุ้มครองข้อมูล

คุ้มครองข้อมูลลูกค้าและความลับทางธุรกิจ

⚡ High Availability

รักษาความพร้อมใช้งานของบริการ

🚫 ป้องกันการเข้าถึง

ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

📋 ปฏิบัติตามมาตรฐาน

ปฏิบัติตามข้อกำหนดทางกฎหมายและมาตรฐานสากล

✅ สร้างความมั่นใจ

สร้างความมั่นใจในการใช้บริการคลาวด์

2. กรอบการทำงานด้านความปลอดภัย

🏗️ Zero Trust Security Architecture

เราใช้หลักการ "Never Trust, Always Verify" ในการออกแบบระบบความปลอดภัย:

  • Identity Verification: ตรวจสอบตัตนทุกครั้งที่เข้าถึง
  • Device Security: ควบคุมอุปกรณ์ที่ได้รับอนุญาต
  • Network Segmentation: แบ่งแยกเครือข่ายตามความสำคัญ
  • Least Privilege Access: ให้สิทธิ์เฉพาะที่จำเป็น
  • Continuous Monitoring: ติดตามกิจกรรมแบบ Real-time

Security Layers Matrix

Layer Technology Protection Level
Application WAF, API Security High
Network Firewall, IPS/IDS Critical
Infrastructure Physical Security Maximum

3. การรักษาความปลอดภัยทางกายภาพ

🏢 ศูนย์ข้อมูล (Data Center)

🔐 การควบคุมการเข้าถึง

Biometric Authentication และ Smart Card

👮‍♂️ การรักษาความปลอดภัย 24/7

เจ้าหน้าที่รักษาความปลอดภัยตลอดเวลา

📹 ระบบกล้องวงจรปิด

การบันทึกและติดตาม 360 องศา

🚨 ระบบแจ้งเตือน

Motion Detection และ Environmental Monitoring

🌡️ การควบคุมสิ่งแวดล้อม

อุณหภูมิ ความชื้น และการระบายอากาศ

⚡ ระบบไฟฟ้าและสำรอง

  • ระบบ UPS (Uninterruptible Power Supply) สำรองหลายชั้น
  • เครื่องปั่นไฟฟ้าฉุกเฉิน (Emergency Generator)
  • ระบบควบคุมอัตโนมัติ (Automatic Transfer Switch)
  • การบำรุงรักษาตามแผนอย่างสม่ำเสมอ

4. การรักษาความปลอดภัยเครือข่าย

🔥 Firewall และ Network Security

Next-Generation Firewall

การกรองขั้นสูงและ Deep Packet Inspection

Intrusion Detection System

ตรวจจับการบุกรุกแบบ Real-time

Intrusion Prevention System

ป้องกันและหยุดการโจมตี

Web Application Firewall

ปกป้องแอปพลิเคชันเว็บ

DDoS Protection

ป้องกันการโจมตี Distributed Denial of Service

🌐 Network Segmentation

  • แบ่งแยกเครือข่ายตามระดับความสำคัญ (DMZ, Internal, Secure)
  • การควบคุมการเข้าถึงระหว่าง Network Segment
  • Virtual Private Network (VPN) สำหรับการเข้าถึงระยะไกล
  • Micro-segmentation สำหรับการแยกระบบย่อย

⚠️ การติดตามเครือข่าย

ระบบเครือข่ายทุกการเชื่อมต่อมีการติดตามและบันทึก Log อย่างต่อเนื่อง เพื่อการตรวจจับและวิเคราะห์ภัยคุกคาม

5. การเข้ารหัสและคุ้มครองข้อมูล

🔐 การเข้ารหัสข้อมูล

Encryption in Transit

TLS 1.3 สำหรับการส่งข้อมูล

Encryption at Rest

AES-256 สำหรับการเก็บข้อมูล

Database Encryption

Transparent Data Encryption (TDE)

Backup Encryption

การเข้ารหัสข้อมูลสำรองทั้งหมด

Key Management

Hardware Security Module (HSM)

🗝️ การจัดการกุญแจเข้ารหัส

  • Key Rotation อัตโนมัติตามกำหนดเวลา
  • การแยกเก็บกุญแจและข้อมูล (Key Separation)
  • Multi-factor Authentication สำหรับการเข้าถึงกุญแจ
  • Audit Trail สำหรับการใช้งานกุญแจทุกครั้ง

📊 มาตรฐานการเข้ารหัส

เราใช้อัลกอริธึมการเข้ารหัสที่ได้รับการรับรองจาก NIST และปฏิบัติตามมาตรฐาน FIPS 140-2 Level 3

6. การควบคุมการเข้าถึง

👤 Identity and Access Management (IAM)

Multi-Factor Authentication

บังคับใช้สำหรับบัญชีทั้งหมด

Single Sign-On

รองรับ SAML 2.0 และ OAuth 2.0

Role-Based Access Control

การกำหนดสิทธิ์ตามบทบาท

Privileged Access Management

ควบคุมการเข้าถึงระดับผู้ดูแลระบบ

Just-in-Time Access

การให้สิทธิ์ชั่วคราวตามความจำเป็น

🔑 การจัดการบัญชีผู้ใช้

  • การสร้างบัญชีต้องผ่านการอนุมัติ
  • การทบทวนสิทธิ์การเข้าถึงเป็นประจำ (Quarterly Review)
  • การปิดบัญชีอัตโนมัติเมื่อไม่ใช้งาน
  • Password Policy ที่เข้มงวดและการหมดอายุ
  • การติดตามและบันทึกกิจกรรมของผู้ใช้

🚨 Privileged Account Security

บัญชีผู้ดูแลระบบมีการควบคุมพิเศษ รวมถึงการ Recording Session, การใช้ Bastion Host, และการ Approve ทุกการเข้าถึงระบบสำคัญ

7. การติดตามและตรวจจับภัยคุกคาม

👁️ Security Operations Center (SOC)

24/7 Monitoring

ทีมผู้เชี่ยวชาญเฝ้าระวังตลอด 24 ชั่วโมง

SIEM

รวบรวมและวิเคราะห์ Log

Threat Intelligence

ข้อมูลภัยคุกคามจากแหล่งต่างๆ

Behavioral Analytics

การวิเคราะห์พฤติกรรมที่ผิดปกติ

Automated Response

การตอบสนองอัตโนมัติต่อภัยคุกคาม

🔍 การตรวจจับและวิเคราะห์

  • Machine Learning สำหรับการตรวจจับ Anomaly
  • Real-time Alert และการแจ้งเตือน
  • Correlation Analysis จากหลายแหล่งข้อมูล
  • Threat Hunting เชิงรุกเพื่อค้นหาภัยคุกคาม
  • การวิเคราะห์ Forensics เมื่อเกิดเหตุการณ์

📊 Key Security Metrics

MTTD
Mean Time to Detection
MTTR
Mean Time to Response
FPR
False Positive Rate
SIL
Security Incident Level

8. การจัดการเหตุการณ์ความปลอดภัย

🚨 Security Incident Response Plan

  1. Detection: ตรวจจับและระบุเหตุการณ์
  2. Classification: จำแนกระดับความรุนแรง
  3. Containment: ควบคุมและหยุดการแพร่กระจาย
  4. Investigation: สืบสวนสาเหตุและผลกระทบ
  5. Recovery: กู้คืนระบบและข้อมูล
  6. Lessons Learned: ประเมินผลและปรับปรุง

⏰ Response Time SLA

Severity Level Response Time Notification
Critical 15 นาที แจ้งลูกค้าภายใน 1 ชั่วโมง
High 1 ชั่วโมง แจ้งลูกค้าภายใน 4 ชั่วโมง
Medium 4 ชั่วโมง แจ้งลูกค้าภายใน 8 ชั่วโมง
Low 8 ชั่วโมง แจ้งลูกค้าภายใน 24 ชั่วโมง

📢 การสื่อสารเหตุการณ์

เราจะสื่อสารอย่างโปร่งใสกับลูกค้าเกี่ยวกับเหตุการณ์ความปลอดภัยที่อาจส่งผลกระทบ รวมถึงการให้ข้อมูลอัปเดตเป็นระยะและรายงานหลังเหตุการณ์

9. การปฏิบัติตามมาตรฐาน

🛡️
ISO 27001
Information Security Management System
🔒
PDPA
Personal Data Protection Act (Thailand)
🏛️
SOC 2 Type II
Service Organization Control 2
🌐
NIST Framework
Cybersecurity Framework

📋 การตรวจสอบและรับรอง

  • การตรวจสอบภายนอกโดยผู้ตรวจสอบที่ได้รับการรับรอง
  • การทบทวนนโยบายและขั้นตอนเป็นประจำ
  • การฝึกอบรมพนักงานเรื่องการปฏิบัติตามมาตรฐาน
  • การรายงานผลการปฏิบัติงานต่อผู้บริหาร

10. การรักษาความปลอดภัยโดยพนักงาน

👥 Human Resource Security

Background Check

การตรวจสอบประวัติก่อนจ้างงาน

Security Training

การฝึกอบรมด้านความปลอดภัยสำหรับพนักงานใหม่

Awareness Program

โปรแกรมสร้างความตระหนักเป็นประจำ

Code of Conduct

หลักการและจรรยาบรรณด้านความปลอดภัย

Incident Reporting

ช่องทางการรายงานเหตุการณ์ที่น่าสงสัย

🎓 การฝึกอบรมและพัฒนา

  • Security Awareness Training ทุก 6 เดือน
  • Phishing Simulation และการทดสอบ
  • การอบรมเฉพาะทางสำหรับทีม IT Security
  • การรับรองมาตรฐานวิชาชีพด้านความปลอดภัย

11. การสำรองและกู้คืนข้อมูล

💾 Backup Strategy

3-2-1 Backup Rule

3 สำเนา, 2 สื่อ, 1 ออฟไซต์

Automated Backup

การสำรองอัตโนมัติตามกำหนดเวลา

Incremental Backup

การสำรองแบบเพิ่มเติมเพื่อประหยัดเวลา

Cross-Region Backup

การสำรองข้ามภูมิภาค

Encrypted Backup

การเข้ารหัสข้อมูลสำรองทั้งหมด

🔄 Disaster Recovery Plan

  • RTO (Recovery Time Objective): เป้าหมายเวลากู้คืน
  • RPO (Recovery Point Objective): เป้าหมายจุดกู้คืนข้อมูล
  • Hot Site: ศูนย์ข้อมูลสำรองพร้อมใช้งาน
  • Failover Testing: การทดสอบการสลับระบบเป็นประจำ
  • Business Continuity: แผนความต่อเนื่องทางธุรกิจ

⏱️ Recovery Time Objectives

Service RTO RPO
Database Services 15 นาที 5 นาที
OCR Services 30 นาที 15 นาที
Backup Services 1 ชั่วโมง 30 นาที

12. การตรวจสอบและประเมินความเสี่ยง

🔍 Security Audit

Internal Audit

การตรวจสอบภายในทุกไตรมาส

External Audit

การตรวจสอบโดยบุคคลที่สามปีละครั้ง

Penetration Testing

การทดสอบการเจาะระบบปีละ 2 ครั้ง

Vulnerability Assessment

การประเมินช่องโหว่เป็นประจำ

Code Review

การตรวจสอบโค้ดด้านความปลอดภัย

⚖️ Risk Assessment

  • การระบุและประเมินความเสี่ยงอย่างสม่ำเสมอ
  • การจัดลำดับความสำคัญของความเสี่ยง
  • การวางแผนและดำเนินการลดความเสี่ยง
  • การติดตามและทบทวนผลการจัดการความเสี่ยง

📊 Security Metrics และ KPI

  • จำนวนและระดับความรุนแรงของเหตุการณ์ความปลอดภัย
  • เวลาในการตรวจจับและตอบสนองต่อภัยคุกคาม
  • ผลการทดสอบการเจาะระบบและการแก้ไข
  • อัตราการปฏิบัติตามนโยบายความปลอดภัย

🚨 ช่องทางแจ้งปัญหาความปลอดภัย

หากท่านพบปัญหาหรือต้องสงสัยเกี่ยวกับความปลอดภัย กรุณาติดต่อทีม Security ของเราทันที:

📧 Security Team
security@ispvm.com
🚨 Emergency Hotline
+66 2-XXX-XXXX (24/7)
🔒 Vulnerability Report
vulnerability@ispvm.com
📱 SOC Direct Line
+66 8X-XXX-XXXX
🌐 Security Portal
security.ispvm.com

🔐 Responsible Disclosure

เราสนับสนุนการแจ้งช่องโหว่อย่างมีความรับผิดชอบ หากท่านพบปัญหาความปลอดภัย กรุณาแจ้งให้เราทราบก่อนการเปิดเผยต่อสาธารณะ เราจะให้ข้อมูลอัปเดตและแก้ไขอย่างรวดเร็ว

📜 การปรับปรุงนโยบาย

นโยบายความปลอดภัยนี้จะได้รับการทบทวนและปรับปรุงอย่างสม่ำเสมอเพื่อให้สอดคล้องกับภัยคุกคามใหม่และมาตรฐานสากล การเปลี่ยนแปลงที่สำคัญจะแจ้งให้ลูกค้าทราบล่วงหน้า