| 1. Data Collection |
- Is consent taken for data collection? (ได้รับความยินยอมในการเก็บข้อมูลแล้วหรือไม่?)
- Will data be used for lawful purpose? (ข้อมูลจะถูกนำไปใช้ตามกฎหมายหรือไม่?)
- Is data classification & labelling done? (มีการจัดประเภทและติดฉลากข้อมูลหรือไม่?)
- Are you collecting more data than necessary? (เก็บข้อมูลมากเกินความจำเป็นหรือไม่?)
- If new data creation, are you following regulatory protocols? (หากมีการสร้างข้อมูลใหม่ ได้ปฏิบัติตามข้อกำหนดหรือไม่?)
- Are access rights defined? (ได้กำหนดสิทธิ์การเข้าถึงแล้วหรือไม่?)
|
| 2. Data Use |
- Are RBAC / Identity management controls in place? (มีการควบคุมสิทธิ์ตามบทบาทหรือไม่?)
- Is data encrypted? (ข้อมูลถูกเข้ารหัสหรือไม่?)
- Is the principle of least privilege followed? (ใช้หลักสิทธิ์ขั้นต่ำหรือไม่?)
- Are you monitoring and logging data? (มีการบันทึกการใช้งานข้อมูลหรือไม่?)
- Are logical controls in place? (มีการควบคุมเชิงตรรกะหรือไม่?)
- Are application controls in place? (มีการควบคุมระดับแอปพลิเคชันหรือไม่?)
|
| 3. Data Storage |
- Is data encrypted? (ข้อมูลถูกเข้ารหัสหรือไม่?)
- Is data stored in a secured environment? (ข้อมูลอยู่ในระบบที่ปลอดภัยหรือไม่?)
- Adequate access controls in place? (มีการควบคุมการเข้าถึงเพียงพอหรือไม่?)
- Is data availability addressed using backups? (มีระบบสำรองข้อมูลหรือไม่?)
- Are you protecting assets that store data? (ปกป้องทรัพยากรที่เก็บข้อมูลไว้หรือไม่?)
- Are data leakage controls in place? (มีการควบคุมการรั่วไหลหรือไม่?)
|
| 4. Data Sharing |
- Is data shared with authorised party? (แบ่งปันข้อมูลกับผู้ที่ได้รับอนุญาตหรือไม่?)
- Who is accountable for data security? (ใครรับผิดชอบความปลอดภัยข้อมูล?)
- Are data leakage controls in place? (มีการควบคุมการรั่วไหลหรือไม่?)
- Is data encrypted to maintain integrity? (เข้ารหัสเพื่อรักษาความครบถ้วนหรือไม่?)
- Are regulatory concerns addressed such as cross-border data transfer? (พิจารณาการโอนข้ามประเทศหรือไม่?)
- In cloud setups, are all adequate controls deployed? (มีมาตรการเพียงพอสำหรับคลาวด์หรือไม่?)
|
| 5. Data Archival |
- Is the criteria for data archival clearly defined? (มีเกณฑ์การเก็บถาวรชัดเจนหรือไม่?)
- Is data retention policy ready? (มีนโยบายการเก็บรักษาหรือไม่?)
- Does archival storage have adequate controls? (มีการควบคุมข้อมูลถาวรหรือไม่?)
- Are access controls defined to protect archived data? (ควบคุมสิทธิ์ข้อมูลถาวรหรือไม่?)
- Is backup necessary? (จำเป็นต้องสำรองหรือไม่?)
- Is data encryption implemented? (มีการเข้ารหัสหรือไม่?)
- Are access controls in place? (มีการควบคุมการเข้าถึงหรือไม่?)
|
| 6. Data Disposal |
- Is data disposal policy clearly defined? (มีนโยบายทำลายข้อมูลหรือไม่?)
- Are there tools for securely and permanently removing data? (มีเครื่องมือทำลายข้อมูลถาวรหรือไม่?)
- Are data leakage controls in place? (มีการควบคุมการรั่วไหลหรือไม่?)
- Are you adhering all compliance standards? (ปฏิบัติตามมาตรฐานหรือไม่?)
- Do you maintain artefacts of data destruction? (มีหลักฐานการทำลายข้อมูลหรือไม่?)
|
