PDPA — Breach playbook
แนวทางแจ้งเหตุละเมิดข้อมูลส่วนบุคคล
สำหรับทีม SOC Analyst / DPO — อ้างอิง COBIT DSS02, CIS Control 17, กรอบ สกมช.
1. ตรวจจับและรายงานเบื้องต้น
- บันทึกเวลา พบเหตุ ผู้รายงาน และระบบที่ได้รับผลกระทบ
- แยกประเภท: ข้อมูลบัญชีผู้ใช้ / log SIEM / เคส / export รายงาน
- แจ้งหัวหน้างาน SOC และ DPO: natapisud@rtaf.mi.th
2. ระงับและลดผลกระทบ
- ปิดการเข้าถึงบัญชีที่เสี่ยง, หมุน secret/API key ที่เกี่ยวข้อง
- เก็บหลักฐาน audit (SIRP, case draft, consent events) ไม่ลบก่อนสอบสวน
- ประเมินว่าข้อมูลรั่วไหลไปภายนอกหรืออยู่ภายในองค์กร
3. ประเมินความเสี่ยงต่อเจ้าของข้อมูล
- ประเภทข้อมูล (ข้อมูลทหาร, ติดต่อ, รูป, log)
- จำนวนผู้ได้รับผลกระทบโดยประมาณ
- ความรุนแรงและความเป็นไปได้ที่จะเกิดอันตราย
4. การแจ้งตาม PDPA
- ประสาน DPO เพื่อพิจารณาแจ้งสำนักงานคณะกรรมการคุ้มครองข้อมูล (ภายใน 72 ชม. หากเข้าเกณฑ์)
- แจ้งเจ้าของข้อมูลเมื่อมีความเสี่ยงสูงต่อสิทธิและเสรีภาพ
- บันทึก timeline และมาตรการแก้ไขที่ดำเนินการแล้ว
5. บทเรียนและปรับปรุง
- post-incident review — อัปเดต ROPA และ checklist ใน docs/pdpa-ropa.md
- ปรับ control ตาม CIS (access, logging, backup) และ COBIT MEA03