SCG

การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน

เป้าหมายที่ 11:
เมืองและชุมชนที่ยั่งยืน

เป้าหมายและผลการดำเนินงาน

เป้าหมายระยะยาว
พนักงานร้อยละ 80% ได้รับการฝึกอบรมเพื่อสร้างความรู้ความเข้าใจและความตระหนักรู้ในเรื่องการรักษาความปลอดภัย และความเป็นส่วนตัวของข้อมูล โดยมีแผนอบรมภายในประจำปีของทุกๆปี (IT Security Awareness)
เป้าหมาย
จัดทำระบบจัดการสิทธิพิเศษการเข้าถึง Privileged Access Management (PAM)
ผลการดำเนินงาน
ระบบการจัดการสิทธิพิเศษการเข้าถึง Privileged Access Management (PAM) ผลการดำเนินงานแล้วเสร็จตามแผน % ส่งผลเพิ่มความปลอดภัยในการเข้าถึงระบบภายในขององค์กรจากผู้ให้บริการภายนอก
เป้าหมาย
จัดทำระบบการตรวจจับและตอบสนองเครือข่ายขั้นสูง (Network Detection and Response)
ผลการดำเนินงาน
การตรวจจับและตอบสนองเครือข่ายขั้นสูง (Network Detection and Response) ผลการดำเนินงานแล้วเสร็จตามแผน % เพื่อช่วยตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์ในระบบเครือข่ายองค์กรแบบเรียลไทม์
เป้าหมาย
ดำเนินการทดสอบการเจาะระบบ (VA Scan)
ผลการดำเนินงาน
ทดสอบเจาะระบบ Vulnerability Assessment (VA Scan) ดำเนินการได้ตามแผน % เพื่อลดโอกาสเกิดช่องโหว่สำหรับเซิฟเวอร์เสมือนภายในองค์กร

ความท้าทายและโอกาสทางธุรกิจ

กลุ่มราชพัฒนา มีการกำหนดนโยบายเพื่อสร้างความมั่นคงปลอดภัยของข้อมูลสารสนเทศขององค์กร เพื่อให้สามารถป้องกัน รับมือ และจำกัดความเสี่ยงจากภัยคุกคามทางไซเบอร์ และเพื่อให้มั่นใจว่า ราชพัฒนา เอ็นเนอร์ยี มีการบริหารจัดการความเสี่ยงเรื่องความมั่นคงปลอดภัยทางไซเบอร์อย่างเหมาะสม

นอกจากนี้ ยังเป็นการป้องกันอาชญากรรม การโจมตี การบ่อนทำลาย การจารกรรม และความผิดพลาดต่าง ๆ รวมถึงเพื่อให้สอดคล้องกับประกาศราชกิจจานุเบกษา พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ปี 2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลปี 2562

โดยคำนึงถึงองค์ประกอบพื้นฐานของความปลอดภัยของข้อมูล 3 ประการ ได้แก่

C
Confidentiality
การรักษาความลับของข้อมูล
I
Integrity
การรักษาความคงสภาพของข้อมูลหรือความสมบูรณ์ของข้อมูล
A
Availability
ความพร้อมใช้งานของข้อมูล

และ ราชพัฒนา เอ็นเนอร์ยี ได้นำเฟรมเวิร์กด้านความมั่นคงปลอดภัยทางไซเบอร์ของ NIST มาปรับใช้เพื่อเพิ่มพื้นฐานด้านความปลอดภัยโดยมี 5 ส่วนสำคัญ ได้แก่

แนวทางการบริหารจัดการและการสร้างคุณค่า

บริษัทตระหนักและให้ความสำคัญกับการยกระดับเพื่อสร้างความมั่นคง ปลอดภัยในการดำเนินงานอย่างต่อเนื่องและมีประสิทธิภาพ โดยกำหนดมาตรการในการป้องกันปัญหาอันอาจเกิดจากภัยคุกคามต่างๆ จากการใช้งานระบบเทคโนโลยีสาระสนเทศในลักษณะที่ไม่พึงประสงค์ ซึ่งอาจก่อให้เกิดความเสียหายให้แก่บริษัทในภาพรวมและเป็นการป้องกันการกระทำความผิดตามกฎฏหมายและระเบียบๆอื่นๆที่เกี่ยวข้อง บริษัทจึงได้กำหนดนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และนโยบายคุ้มครองข้อมูลส่วนบุคคล ดังนี้

นโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

บริษัทให้ความสำคัญกับความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและใช้มาตรฐาน NIST Cybersecurity Framework ร่วมกับกรอบ พรบ. ไซเบอร์ พรบ.คุ้มครองข้อมูลส่วนบุคคล มาเพื่อป้องกันความเสียหายที่อาจเกิดจากภัยคุกคามไซเบอร์ และดำเนินงานให้สอดคล้องกับกฎหมายและระเบียบที่เกี่ยวข้อง โดยมีแนวนโยบายและมาตรการสำคัญ ดังนี้

  • ควบคุมการเข้าถึงระบบและข้อมูล

    • จำกัดสิทธิ์การเข้าถึงระบบสารสนเทศให้เหมาะสมกับหน้าที่และความรับผิดชอบของผู้ใช้งาน
    • บังคับใช้การพิสูจน์ตัวตนก่อนการใช้งานระบบทุกครั้ง
    • แบ่งพื้นที่ระบบเครือข่ายและจำกัดการเข้าถึงระบบที่สำคัญ
  • การบริหารจัดการระบบและอุปกรณ์

    • ควบคุมการเข้าถึงอุปกรณ์คอมพิวเตอร์และระบบเครือข่าย
    • ป้องกันการใช้งานโดยบุคคลที่ไม่ได้รับอนุญาต และบริหารจัดการความปลอดภัยของข้อมูลอย่างเข้มงวด
    • ติดตั้งอุปกรณ์รักษาความปลอดภัย เช่น Firewall , Antivirus, NDR,PAM,DLP เป็นต้น
  • การสำรองข้อมูลและแผนฉุกเฉิน

    • จัดทำระบบสำรองข้อมูลและแผนฟื้นฟูระบบในกรณีฉุกเฉิน เพื่อให้บริการได้อย่างต่อเนื่องตามมาตรฐาน 3-2-1
  • การตรวจสอบและประเมินความเสี่ยง

    • ดำเนินการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ อย่างน้อยปีละ 1 ครั้ง
  • การปรับปรุงนโยบายและแนวปฏิบัติ

    • ทบทวนและปรับปรุงนโยบายให้ทันสมัยสอดคล้องกับการเปลี่ยนแปลงของระบบและภัยคุกคามอย่างน้อยปีละ 1 ครั้ง
    • จัดตั้งคณะทำงานพรบ. ไซเบอร์ พรบ.คุ้มครองข้อมูลส่วนบุคคล เพื่อกำกับดูแล
  • การรับผิดชอบต่อความเสียหาย

    • กำหนดความรับผิดชอบของผู้จัดการส่วนเทคโนโลยีสารสนเทศ และผู้ดูแลระบบในกรณีเกิดความเสียหายจากการละเมิดหรือฝ่าฝืนนโยบาย

นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)

บริษัทและบริษัทย่อยให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นสิทธิขั้นพื้นฐานในด้านความเป็นส่วนตัวที่ต้องได้รับการปกป้องตามรัฐธรรมนูญแห่งราชอาณาจักรไทย และหลักปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights) บริษัทสนับสนุนการคุ้มครองสิทธิมนุษยชนตามหลักการของข้อตกลงโลกแห่งสหประชาชาติ (UN Global Compact) รวมถึงการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้องเพื่อให้เกิดการคุ้มครองข้อมูลส่วนบุคคลในระดับสูงสุด โดยมีแนวนโยบายและมาตรการสำคัญ ดังนี้

  • ขอบเขตการใช้ข้อมูล

    • บริษัทเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเฉพาะกรณีที่จำเป็นและสอดคล้องกับวัตถุประสงค์ที่ระบุไว้ โดยต้องได้รับความยินยอมจากเจ้าของข้อมูล
  • มาตรการคุ้มครองข้อมูลส่วนบุคคล

    • กำหนดสิทธิในการเข้าถึงและประมวลผลข้อมูลอย่างเคร่งครัด
    • การส่งข้อมูลไปยังต่างประเทศต้องปฏิบัติตามมาตรการที่มีความปลอดภัยเทียบเท่าหรือสูงกว่า
    • แจ้งเจ้าของข้อมูลทันทีในกรณีเกิดการละเมิดหรือข้อมูลรั่วไหล พร้อมแผนเยียวยาความเสียหาย
  • สิทธิของเจ้าของข้อมูล

    • เจ้าของข้อมูลมีสิทธิเข้าถึง แก้ไข ลบ หรือถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล รวมถึงสิทธิคัดค้านและจำกัดการประมวลผลข้อมูล
  • บทกำหนดโทษและความรับผิดชอบ

    • พนักงานที่ละเมิดนโยบายต้องรับโทษทางวินัย และอาจถูกดำเนินคดีตามกฎหมาย
    • บริษัทไม่รับผิดชอบต่อความเสียหายที่เกิดจากการกระทำของเจ้าของข้อมูลหรือบุคคลที่ได้รับอนุญาตจากเจ้าของข้อมูล
  • ระยะเวลาในการเก็บข้อมูล

    • เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์และข้อกำหนดของกฎหมาย

การอบรมด้านความปลอดภัยทางไซเบอร์และการใช้ข้อมูลส่วนบุคคล

ในปี 2567 บริษัทได้จัดการอบรมด้านความปลอดภัยทางไซเบอร์และการใช้ข้อมูลส่วนบุคคลให้กับพนักงาน โดยร่วมมือกับสำนักงานคณะกรรมการการรักษาความมั่งคงปลอดภัยไซเบอร์แห่งชาติ (NCSA) จัดอบรมในหัวข้อ "ตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์" (IT Awareness) เมื่อวันที่ 9 ตุลาคม 2567 ณ บมจ.ราชพัฒนา เอ็นเนอร์ยี รวมถึงการอบรมในรูปแบบออนไลน์สำหรับบริษัทย่อย มีพนักงานเข้ารับการอบรมร้อยละ 93

ผลการดำเนินงานด้านความปลอดภัยทางไซเบอร์และการป้องกันข้อมูลส่วนบุคคล ในปี 2567
หัวข้อ จำนวน (ครั้ง)
บริษัทถูกโจมตีทางไซเบอร์ 0
ข้อมูลส่วนบุคคลรั่วไหล 0

ผู้มีส่วนได้เสียที่เกี่ยวข้อง

พนักงาน
ลูกค้า
คู่ค้า
ผู้ถือหุ้น
ภาครัฐ และหน่วยงานกำกับดูแลที่เกี่ยวข้อง

การดำเนินการด้านความยั่งยืน