ความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล


การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน
เป้าหมายที่ 11:
เป้าหมายและผลการดำเนินงาน
เป้าหมายระยะยาว
เป้าหมาย
ผลการดำเนินงาน
เป้าหมาย
ผลการดำเนินงาน
เป้าหมาย
ผลการดำเนินงาน
ความท้าทายและโอกาสทางธุรกิจ
กลุ่มราชพัฒนา มีการกำหนดนโยบายเพื่อสร้างความมั่นคงปลอดภัยของข้อมูลสารสนเทศขององค์กร เพื่อให้สามารถป้องกัน รับมือ และจำกัดความเสี่ยงจากภัยคุกคามทางไซเบอร์ และเพื่อให้มั่นใจว่า ราชพัฒนา เอ็นเนอร์ยี มีการบริหารจัดการความเสี่ยงเรื่องความมั่นคงปลอดภัยทางไซเบอร์อย่างเหมาะสม
นอกจากนี้ ยังเป็นการป้องกันอาชญากรรม การโจมตี การบ่อนทำลาย การจารกรรม และความผิดพลาดต่าง ๆ รวมถึงเพื่อให้สอดคล้องกับประกาศราชกิจจานุเบกษา พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ปี 2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลปี 2562

โดยคำนึงถึงองค์ประกอบพื้นฐานของความปลอดภัยของข้อมูล 3 ประการ ได้แก่
Confidentiality
Integrity
Availability
และ ราชพัฒนา เอ็นเนอร์ยี ได้นำเฟรมเวิร์กด้านความมั่นคงปลอดภัยทางไซเบอร์ของ NIST มาปรับใช้เพื่อเพิ่มพื้นฐานด้านความปลอดภัยโดยมี 5 ส่วนสำคัญ ได้แก่
แนวทางการบริหารจัดการและการสร้างคุณค่า
บริษัทตระหนักและให้ความสำคัญกับการยกระดับเพื่อสร้างความมั่นคง ปลอดภัยในการดำเนินงานอย่างต่อเนื่องและมีประสิทธิภาพ โดยกำหนดมาตรการในการป้องกันปัญหาอันอาจเกิดจากภัยคุกคามต่างๆ จากการใช้งานระบบเทคโนโลยีสาระสนเทศในลักษณะที่ไม่พึงประสงค์ ซึ่งอาจก่อให้เกิดความเสียหายให้แก่บริษัทในภาพรวมและเป็นการป้องกันการกระทำความผิดตามกฎฏหมายและระเบียบๆอื่นๆที่เกี่ยวข้อง บริษัทจึงได้กำหนดนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และนโยบายคุ้มครองข้อมูลส่วนบุคคล ดังนี้
นโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
บริษัทให้ความสำคัญกับความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและใช้มาตรฐาน NIST Cybersecurity Framework ร่วมกับกรอบ พรบ. ไซเบอร์ พรบ.คุ้มครองข้อมูลส่วนบุคคล มาเพื่อป้องกันความเสียหายที่อาจเกิดจากภัยคุกคามไซเบอร์ และดำเนินงานให้สอดคล้องกับกฎหมายและระเบียบที่เกี่ยวข้อง โดยมีแนวนโยบายและมาตรการสำคัญ ดังนี้
-
ควบคุมการเข้าถึงระบบและข้อมูล
- จำกัดสิทธิ์การเข้าถึงระบบสารสนเทศให้เหมาะสมกับหน้าที่และความรับผิดชอบของผู้ใช้งาน
- บังคับใช้การพิสูจน์ตัวตนก่อนการใช้งานระบบทุกครั้ง
- แบ่งพื้นที่ระบบเครือข่ายและจำกัดการเข้าถึงระบบที่สำคัญ
-
การบริหารจัดการระบบและอุปกรณ์
- ควบคุมการเข้าถึงอุปกรณ์คอมพิวเตอร์และระบบเครือข่าย
- ป้องกันการใช้งานโดยบุคคลที่ไม่ได้รับอนุญาต และบริหารจัดการความปลอดภัยของข้อมูลอย่างเข้มงวด
- ติดตั้งอุปกรณ์รักษาความปลอดภัย เช่น Firewall , Antivirus, NDR,PAM,DLP เป็นต้น
-
การสำรองข้อมูลและแผนฉุกเฉิน
- จัดทำระบบสำรองข้อมูลและแผนฟื้นฟูระบบในกรณีฉุกเฉิน เพื่อให้บริการได้อย่างต่อเนื่องตามมาตรฐาน 3-2-1
-
การตรวจสอบและประเมินความเสี่ยง
- ดำเนินการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ อย่างน้อยปีละ 1 ครั้ง
-
การปรับปรุงนโยบายและแนวปฏิบัติ
- ทบทวนและปรับปรุงนโยบายให้ทันสมัยสอดคล้องกับการเปลี่ยนแปลงของระบบและภัยคุกคามอย่างน้อยปีละ 1 ครั้ง
- จัดตั้งคณะทำงานพรบ. ไซเบอร์ พรบ.คุ้มครองข้อมูลส่วนบุคคล เพื่อกำกับดูแล
-
การรับผิดชอบต่อความเสียหาย
- กำหนดความรับผิดชอบของผู้จัดการส่วนเทคโนโลยีสารสนเทศ และผู้ดูแลระบบในกรณีเกิดความเสียหายจากการละเมิดหรือฝ่าฝืนนโยบาย
นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy)
บริษัทและบริษัทย่อยให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นสิทธิขั้นพื้นฐานในด้านความเป็นส่วนตัวที่ต้องได้รับการปกป้องตามรัฐธรรมนูญแห่งราชอาณาจักรไทย และหลักปฏิญญาสากลว่าด้วยสิทธิมนุษยชน (Universal Declaration of Human Rights) บริษัทสนับสนุนการคุ้มครองสิทธิมนุษยชนตามหลักการของข้อตกลงโลกแห่งสหประชาชาติ (UN Global Compact) รวมถึงการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้องเพื่อให้เกิดการคุ้มครองข้อมูลส่วนบุคคลในระดับสูงสุด โดยมีแนวนโยบายและมาตรการสำคัญ ดังนี้
-
ขอบเขตการใช้ข้อมูล
- บริษัทเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลเฉพาะกรณีที่จำเป็นและสอดคล้องกับวัตถุประสงค์ที่ระบุไว้ โดยต้องได้รับความยินยอมจากเจ้าของข้อมูล
-
มาตรการคุ้มครองข้อมูลส่วนบุคคล
- กำหนดสิทธิในการเข้าถึงและประมวลผลข้อมูลอย่างเคร่งครัด
- การส่งข้อมูลไปยังต่างประเทศต้องปฏิบัติตามมาตรการที่มีความปลอดภัยเทียบเท่าหรือสูงกว่า
- แจ้งเจ้าของข้อมูลทันทีในกรณีเกิดการละเมิดหรือข้อมูลรั่วไหล พร้อมแผนเยียวยาความเสียหาย
-
สิทธิของเจ้าของข้อมูล
- เจ้าของข้อมูลมีสิทธิเข้าถึง แก้ไข ลบ หรือถอนความยินยอมในการประมวลผลข้อมูลส่วนบุคคล รวมถึงสิทธิคัดค้านและจำกัดการประมวลผลข้อมูล
-
บทกำหนดโทษและความรับผิดชอบ
- พนักงานที่ละเมิดนโยบายต้องรับโทษทางวินัย และอาจถูกดำเนินคดีตามกฎหมาย
- บริษัทไม่รับผิดชอบต่อความเสียหายที่เกิดจากการกระทำของเจ้าของข้อมูลหรือบุคคลที่ได้รับอนุญาตจากเจ้าของข้อมูล
-
ระยะเวลาในการเก็บข้อมูล
- เก็บข้อมูลส่วนบุคคลเท่าที่จำเป็นตามวัตถุประสงค์และข้อกำหนดของกฎหมาย
การอบรมด้านความปลอดภัยทางไซเบอร์และการใช้ข้อมูลส่วนบุคคล
ในปี 2567 บริษัทได้จัดการอบรมด้านความปลอดภัยทางไซเบอร์และการใช้ข้อมูลส่วนบุคคลให้กับพนักงาน โดยร่วมมือกับสำนักงานคณะกรรมการการรักษาความมั่งคงปลอดภัยไซเบอร์แห่งชาติ (NCSA) จัดอบรมในหัวข้อ "ตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์" (IT Awareness) เมื่อวันที่ 9 ตุลาคม 2567 ณ บมจ.ราชพัฒนา เอ็นเนอร์ยี รวมถึงการอบรมในรูปแบบออนไลน์สำหรับบริษัทย่อย มีพนักงานเข้ารับการอบรมร้อยละ 93


ผลการดำเนินงานด้านความปลอดภัยทางไซเบอร์และการป้องกันข้อมูลส่วนบุคคล ในปี 2567
หัวข้อ | จำนวน (ครั้ง) |
---|---|
บริษัทถูกโจมตีทางไซเบอร์ | 0 |
ข้อมูลส่วนบุคคลรั่วไหล | 0 |