ไปที่หน้าหลัก
EN TH
เมนู
ความปลอดภัยของข้อมูลและเทคโนโลโลยีสารสนเทศ

ความปลอดภัยของข้อมูลและเทคโนโลโลยีสารสนเทศ

ความสำคัญและพันธกิจ

ปัจจุบันมีการปรับตัวเข้าสู่สังคมการเปลี่ยนผ่านด้านเทคโนโลยีสารสนเทศ และการเข้าสู่ยุคเศรษฐกิจดิจิทัลที่มีการขับเคลื่อนการดำเนินงานที่มีประสิทธิภาพด้วยการใช้เทคโนโลยีมากขึ้น ซึ่งนอกจากความสะดวกและรวดเร็วแล้ว บริษัทฯ ยังคงต้องเผชิญกับความเสี่ยงของภัยคุกคามทางไซเบอร์ต่อข้อมูลที่มีความสำคัญต่างๆ รวมถึงระบบการดำเนินงานด้วย และที่สำคัญการรั่วไหลของข้อมูลหรือการสูญหายของข้อมูล ไม่ว่าจะเป็นข้อมูลเชิงธุรกิจ ส่วนบุคคล หรือผู้มีส่วนเกี่ยวข้องทุกกลุ่มที่เกิดจากความประมาทหรือถูกโจมตีทางไซเบอร์ ย่อมกระทบต่อความมั่นคงของการทำงาน จนกระทั่งชื่อเสียงและภาพลักษณ์ของบริษัทฯ ได้ หากข้อมูลนั้นถูกนำไปใช้อย่างไม่ถูกต้อง ซึ่งอาจก่อให้เกิดความเสียหายอย่างรุนแรงต่อเจ้าของข้อมูล ดังนั้นการบริหารจัดการข้อมูลที่มีประสิทธิภาพ ย่อมนำมาซึ่งความโปร่งใสและสร้างความเชื่อมั่นและมั่นใจในการร่วมงานกับองค์กร

เป้าหมายและผลการดำเนินงาน

เป้าหมาย

  • ไม่มีข้อร้องเรียนเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล
  • ไม่มีกรณีการถูกละเมิดหรือข้อมูลทางธุรกิจรั่วไหล 0 เรื่อง

ผลการดำเนินงานที่สำคัญ

ข้อมูลการดำเนินงาน

ไม่มีข้อร้องเรียนเกี่ยวกับการละเมิดข้อมูลส่วนบุคคล

ไม่มีเหตุการณ์ข้อมูลรั่วไหลหรือถูกนำไปเปิดเผย/ใช้โดยไม่รับอนุญาต

ข้อมูลการดำเนินงาน

แนวทางการบริหารจัดการ

บริษัทฯ มีนโยบายการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ เพื่อสนับสนุนและส่งเสริมการดำเนินธุรกิจ และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ไม่ว่าจะเป็น ระบบคอมพิวเตอร์ เครือข่าย ซอฟแวร์ และระบบที่สำคัญอื่นๆ พร้อมทั้งระบบข้อมูลจากภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น เพื่อให้การดำเนินงานระบบสารสนเทศ และการสื่อสารที่มีความมั่นคงปลอดภัย และสามารถใช้งานได้อย่างต่อเนื่องและมีประสิทธิภาพ โดยอ้างอิงตามข้อกำหนดและมาตรฐานของการรักษาความปลอดภัยทางไซเบอร์ที่ได้รับการยอมรับตลอดจนการดำเนินการวางระบบบป้องกันความเสียหายต่อระบบบบเทศโลยีสารสนเทศ การตอบสนองกรณีเกิดเหตุการณ์หรือเหตุถูกเฉินเพื่อป้องกันผลกระพบต่อการดำเนินงานและทางการเงินที่จะเกิดขึ้นกับบริษัทฯ พร้อมทั้งสื่อสารเพื่อสร้างความตระหนักรู้ และเข้าใจแก่กรรมการบริษัท ผู้บริหาร และพนักงานทุกระดับ โดยนโยบายดังกล่าวมีการทบทวนอย่างน้อยปีละ 1 ครั้ง

การบริหารจัดการความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ

บริษัทฯ ตระหนักถึงการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และการใช้งานระบบสารสนเทศและการสื่อสารของบริษัทฯ โดยมีเป้าหมายที่ดำรงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของระบบสารสนเทศ รวมถึงคุณสมบัติอื่นๆ ได้แก่ ความถูกต้องแท้จริง (Authenticity) ความรับผิดชอบ (Accountability) การห้ามปฏิเสธความรับผิดชอบ (Non - Repudiation) และความน่าเชื่อถือ (Reliability) โดยที่บริษัทฯ ได้จัดให้มีแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ที่ใช้เป็นกรอบในการบริหารจัดการเทคโนโลยีสารสนเทศและไซเบอร์ที่จะช่วยปกป้ององค์กรให้สามารถดำเนินงานไปได้อย่างมั่นคง โดยองค์ประกอบของแนวปฏิบัติในการรักษาความมั่นคงของบริษัทฯ มีทั้งสิ้น 9 หมวด ตามรายละเอียดดังนี้

  1. การรักษาความมั่นคงปลอดภัยของการเข้าถึงและการควบคุมการใช้งานสารสนเทศและระบบเทคโนโลยีสารสนเทศและการสื่อสาร
  2. การบริหารจัดการศูนย์สารสนเทศ โดยมีการควบคุมการเข้า - ออก (Physical entry controls) ศูนย์สารสนเทศ
  3. การรักษาความมั่นคงปลอดภัยการใช้งานเครื่องคอมพิวเตอร์
  4. การรักษาความมั่นคงปลอดภัยการใช้งานอินเตอร์เน็ตและจดหมายอิเล็กทรอนิกส์
  5. การรักษาความมั่นคงปลอดภัยการบริหารจัดการสินทรัพย์และเครือข่าย
  6. การควบคุมความมั่นคงปลอดภัยสำหรับการปฏิบัติงาน
  7. การรักษาความมั่นคงปลอดภัยการสำรองข้อมูลและการกู้คืนข้อมูล
  8. การประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศและการสื่อสาร
  9. การสร้างความตระหนักในเรื่องของการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

มาตรการการรับมือต่อเหตุฉุกเฉินของการคุกคามทางไซเบอร์

บริษัทฯ ได้กำหนดให้มีมาตรการและกระบวนการเพื่อป้องกันการถูกจู่โจมหรือการคุกคามทางเทคโนโลยีสารสนเทศ และความมั่นคงปลอดภัยทางไซเบอร์ ไว้ในแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ โดยมีรายละเอียด ดังนี้

  1. มีระบบจัดเก็บและสำรองข้อมูลตามประเภทของข้อมูล ได้แก่ โปรแกรมระบบปฏิบัติการ โปรแกรมประยุกต์หรือแอปพลิเคชัน (Application Software) ชุดคำสั่งและข้อมูลอย่างน้อย 1 ชุด แยกสถานที่จัดเก็บแยกจากกันเพื่อความมั่นคงปลอดภัยและใช้งานได้อย่างต่อเนื่อง
  2. กำหนดผู้รับผิดชอบในการสำรองข้อมูล ตรวจสอบอย่างถูกต้อง ครบถ้วนของข้อมูลอย่างน้อยปีละ 1 ครั้ง
  3. กำหนดความถี่ในการสำรองข้อมูล และทำการสำรองข้อมูลตามความถี่อย่างน้อยปีละ 1 ครั้ง
  4. จัดทำแผนเตรียมความพร้อมกรณีเหตุฉุกเฉินให้สามารถกู้คืนระบบได้ภายในระยะเวลาที่กำหนด โดยจัดทำแผนกู้คืนเพื่อรับมือภัยพิบัติที่อาจเกิดขึ้นได้ตามองค์ประกอบที่กำหนดไว้ในแนวปฏิบัติการรักษาความมั่นคงปลอดภัยต้านสารสนเทศ และทำการทบทวนแผนกู้คืนอย่างน้อยปีละ 1 ครั้ง
  5. จัดทำแผนเตรียมความพร้อมกรณีเกิดเหตุฉุกเฉินที่ไม่สามารถดำเนินการด้วยวิธีอิเล็กทรอนิกส์ เพื่อให้ปฏิบัติการได้อย่างต่อเนื่อง

การสื่อสารภายในองค์กรเพื่อสร้างความตระหนักรู้

บริษัทฯ ได้จัดให้มีการสร้างความตระหนักรู้ในเรื่องของการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ โดยกำหนดให้มีการเผยแพร่ประชาสัมพันธ์และฝึกอบรมให้แก่พนักงานภายในบริษัทฯ ให้มีความเข้าใจและไม่กระทำผิดต่อพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ และกฎระเบียบต่างๆ ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ รวมทั้งให้สร้างความตระหนักรู้ต่อการมีความรับผิดชอบในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ โดยที่บริษัทฯ ได้จัดให้มีการสร้างหลักสูตรด้านเทคโนโลยีสารสนเทศไว้ในระบบ Intranet ที่ประกอบด้วยหลักสูตร Cyber Security for IT และ IT Policy and Cyber Security งานสามารถเข้าไปศึกษาได้ โดยมีเนื้อหาครอบคลุมรายละเอียดดังนี้

  • ทำความรู้จัก Cyber Security
  • พื้นฐานของ Cyber Security
  • รูปแบบภัยคุกคามของ Cyber Security
  • นโยบายความปลอดภัยด้านเทคโนโลยีสารสนเทศ
  • ความตระหนักรู้ด้าน Cyber Security

การคุ้มครองข้อมูลส่วนบุคคลของผู้มีส่วนได้เสีย

บริษัทฯ ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล ตามพระราชบัญญัติคุ้มครองข้อมูล ส่วนบุคคล พ.ศ. 2562 ไม่ว่าเจ้าของข้อมูลส่วนบุคคลจะอยู่ในฐานะ ลูกค้า คู่ค้า ผู้รับจ้าง ผู้รับเหมา ผู้ให้ บริการ ผู้สมัครงาน พนักงาน นักศึกษาฝึกงาน ผู้มาติดต่อ กรรมการ นักลงทุน บริษัทฯ จึงได้จัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคลภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อใช้เป็นแนวทางในการปฏิบัติงานสำหรับหน่วยงานและพนักงานที่มีส่วนเกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล เพื่อให้พนักงานปฏิบัติได้อย่างถูกต้องภายใต้ข้อกำหนดของกฎหมาย อีกทั้งบริษัทฯ ตระหนักถึงผลกระทบของการละเมิดข้อมูลส่วนบุคคล จึงได้มีการกำหนดมาตรการ ต่างๆ ในการคุ้มครองเจ้าของข้อมูลส่วนบุคคล (Data Subject) เพื่อทำให้มั่นใจได้ว่าข้อมูลส่วนบุคคลนั้นๆ จะได้รับการปฏิบัติอย่างถูกต้องตั้งแต่ขั้นตอนการเก็บ รวบรวม การจัดเก็บ การใช้ หรือเปิดเผย รวมถึงการทำลายข้อมูลส่วนบุคคล ภายใต้ขอบเขตวัตถุประสงค์ในการดำเนินธุรกิจของบริษัทฯ

บริษัทฯ ได้จัดให้มีคณะทำงานด้านการกำกับดูแลกิจการที่ดี “ด้านการคุ้มครองข้อมูลส่วนบุคคล” ทำหน้าที่ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูล ส่วนบุคคล รวมถึงมีการตรวจสอบการดำเนินงานเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล พร้อมประสานงานให้ความร่วมมือกับในกรณีที่มีปัญหา เกี่ยวกับเก็บรวบรวม ใช้หรือเปิดเผยข้อมูลส่วนบุคคล และที่สำคัญมีหน้าที่ในการรักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้ หรือได้มาเนื่องจากการปฏิบัติหน้าที่ตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล นอกจากนั้น บริษัทฯ ยังได้มีการจัดให้มีการทบทวนเนื้อหาพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เป็นประจำทุกปี

เอกสารที่เกี่ยวข้อง

นโยบายการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ (ฉบับปรับปรุง ครั้งที่ 2)

นโยบายคุ้มครองข้อมูลส่วนบุคคล

แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (ฉบับปรับปรุง ครั้งที่ 2)