ความมั่นคงปลอดภัยทางไซเบอร์
บริษัทฯ มีความตระหนักถึงความสำคัญในการรักษาความปลอดภัยข้อมูล เพื่อรักษาความไว้วางใจของลูกค้าและเป็นไปตามกฎระเบียบโดยใช้มาตรการและเครื่องมือรักษาความปลอดภัยทางไซเบอร์ เพื่อปกป้องข้อมูลที่ละเอียดอ่อนไม่ให้ถูกเข้าถึงโดยไม่ได้รับอนุญาต ตลอดจนป้องกันการหยุดชะงักของการดำเนินธุรกิจที่เป็นผลจากกิจกรรมในเครือข่ายที่ไม่พึงประสงค์ รวมทั้ง ได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล มีวัตถุประสงค์เพื่อให้มั่นใจว่าข้อมูล ส่วนบุคคลของพนักงาน ลูกค้า และผู้มีส่วนได้เสียอื่นๆ ได้รับการคุ้มครองอย่างเหมาะสมตามกฎหมายและมาตรฐานสากล
เพื่อป้องกันผลกระทบต่อการดำเนินธุรกิจบริษัทฯ และผลกระทบต่อผู้มีส่วนได้เสีย บริษัทฯ ได้กำหนดแนวทางการรักษาความปลอดภัยทางไซเบอร์ โดยมีเป้าหมายให้จำนวนกรณีข้อมูลลูกค้ารั่วไหลจากการโจมตีทางไซเบอร์เป็นศูนย์ และการสร้างความตระหนักถึงความสำคัญด้านความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานทุกคน
เป้าหมายและผลการดำเนินงานของความมั่นคงปลอดภัยทางไซเบอร์
ในปี 2567 ไม่พบเหตุการณ์การละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคล และไม่พบกรณีการโจมตีทางไซเบอร์ที่ส่งผลกระทบกับการดำเนินงานภายในของบริษัท สำหรับการสร้างความตระหนักรู้ถึงภัยไซเบอร์ และการปฏิบัติตามความคุ้มครองข้อมูลส่วนบุคคล บริษัทฯ ได้จัดการอบรมหลักสูตร PDPA & Cybersecurity Awareness ให้กับ ตัวแทนพนักงาน ซึ่งคิดเป็น 10% จากจำนวนพนักงานทั้งหมดเป็นกลุ่มแรกซึ่งเป็นตัวแทนหน่วยงานที่ฝ่าย Information Technology (IT) ประเมินแล้วว่ามีหน้าที่รับผิดชอบที่สำคัญกับความปลอดภัยทางไซเบอร์และการรักษาความปลอดภัยของ ข้อมูลส่วนบุคคล อย่างไรก็ตาม บริษัทฯ ได้ตั้งเป้าหมายในการอบรมเรื่องความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลกับพนักงานทุกคน ภายในปี 2570
นโยบายและแนวทางการบริหารจัดการด้านความมั่นคงความปลอดภัยทางไซเบอร์
บริษัทฯ กำหนดนโยบายความมั่นคงปลอดภัยสารสนเทศ โดยมีวัตถุประสงค์เพื่อให้มั่นใจว่าระบบเทคโนโลยีสารสนเทศของบริษัทฯ มีการควบคุมดูแลด้านการบริหารจัดการและการใช้งานอย่างเหมาะสมและปลอดภัย ครอบคลุมด้านการรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) เพื่อให้ภารกิจของบริษัทสามารถดำเนินไปได้อย่างมีประสิทธิผลและต่อเนื่อง นโยบายความมั่นคงปลอดภัยสารสนเทศ อ้างอิงมาตรฐานสากล เช่น ISO/IEC 27001:2022และพระราชบัญญัติว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 โดยให้ทุกหน่วยงานและพนักงานของบริษัทฯ ถือปฏิบัติในส่วนที่เกี่ยวข้องตามนโยบายอย่างเคร่งครัด ทั้งนี้ นโยบายครอบคลุมการบริหารจัดการด้านสารสนเทศอย่างรอบด้าน อาทิ
- การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
- การรักษาความมั่นคงปลอดภัยของอุปกรณ์คอมพิวเตอร์แบบพกพาและการปฏิบัติงานจากระยะไกล
- การใช้ระบบประมวลผลบน Cloud การบริหารจัดการทรัพย์สิน
- การควบคุมการเข้าถึง การเข้ารหัสข้อมูลความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม
- ความมั่นคงปลอดภัยสำหรับการดำเนินงานการสื่อสารข้อมูล การจัดหา การพัฒนา และการบำรุงรักษาระบบ การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ
นอกจากนี้ บริษัทฯ ยังมีการใช้งานระบบปัญญาประดิษฐ์ (AI) เพื่อเพิ่มประสิทธิภาพในการดำเนินงานและการรักษาความปลอดภัยของข้อมูล รวมถึงการกำหนดมาตรการการลงโทษหากมีการกระทำการฝ่าฝืนนโยบายที่กำหนดไว้
ข้อมูลเพิ่มเติมดูรายละเอียดได้ที่
การจัดการและการรับมือภัยคุกคามทางไซเบอร์
บริษัทฯ ได้กำหนดกระบวนการจัดการและการรับมือภัยคุกคามทางไซเบอร์เพื่อป้องกัน ลดผลกระทบ และฟื้นฟูระบบหลังจากถูกโจมตี โดยมีการกำหนดการตรวจสอบและแจ้งเหตุ รวมไปถึงวิเคราะห์หาสาเหตุพร้อมแก้ไขปัญหาเพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง โดยมีกรอบการบริหารจัดการ และการรับมือภัยคุกคามทางไซเบอร์ของบริษัทฯ ดังนี้
การคุ้มครองข้อมูลส่วนบุคคล
บริษัทฯ ได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลโดยตระหนักถึงความสำคัญของการรักษาข้อมูลส่วนบุคคลของบริษัทฯ คู่ค้า และผู้มีส่วนได้เสียกับบริษัทฯ ซึ่งเป็นข้อมูลที่สำคัญ ต่อการดำเนินงานและแสดงถึงความน่าเชื่อถือของบริษัทฯและเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนตัวและสิทธิมนุษยชน ดังนั้น บริษัทฯ จึงมุ่งมั่นในการดำเนินธุรกิจด้วยความรับผิดชอบ ต่อการจัดการข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียของบริษัทฯตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) เพื่อรักษาความปลอดภัยและความเป็นส่วนตัวในทุกกิจกรรมของบริษัทฯ
บริษัทฯ กำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับ ข้อมูลส่วนบุคคลต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือการจัดการข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด และเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครอง ส่วนบุคคล และบริษัทฯ ได้เป้าหมายที่จะไม่ให้เกิดการรั่วไหลของ ข้อมูลส่วนบุคคลของลูกค้า นอกจากนี้ มีการกำหนดมาตรการ รักษาปลอดภัยสำหรับข้อมูลส่วนบุคคล กระบวนการทบทวนและประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัยรวมทั้งกระบวนการจัดการในกรณีที่เกิดการละเมิดข้อมูลส่วน บุคคล โดยให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะดำเนินการแจ้งให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้ เว้นแต่การละเมิดดังกล่าวนั้นไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคลจะดำเนินการแจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า
นอกจากนี้ บริษัทฯ ได้กำหนดแนวปฏิบัติเกี่ยวกับการเก็บ รักษาข้อมูลความลับของลูกค้า ในจริยธรรมและจรรยาบรรณในการดำเนินธุรกิจ ให้พนักงานได้ปฏิบัติตามอย่างเคร่งครัดและมีการกำหนดบทลงโทษทางวินัย เพื่อให้มั่นใจว่าจะต้องไม่นำ ข้อมูลความลับไปใช้เพื่อประโยชน์ส่วนตัวของบุคคลใดบุคคลหนึ่ง และการนำข้อมูลความลับของลูกค้ามาใช้งานต้องเป็นไปตามวัตถุประสงค์ที่บริษัทฯกำหนดไว้เท่านั้น
ข้อมูลเพิ่มเติมดูรายละเอียดได้ที่
ข้อมูลการดำเนินงานด้านความยั่งยืน ปี 2567 - สรุปผลการดำเนินงานด้านบรรษัทภิบาลและเศรษฐกิจ