การคุ้มครองข้อมูลและระบบสารสนเทศ
การคุ้มครองข้อมูลและระบบสารสนเทศ
ความสำคัญและความมุ่งมั่นขององค์กร
เทคโนโลยีสารสนเทศมีบทบาทสำคัญในการช่วยอำนวยความสะดวกในการจัดเก็บข้อมูลบนคลาวด์ (Cloud) ในทางกลับกันความเสี่ยงต่อภัยคุกคามด้านความปลอดภัยทางไซเบอร์จะสูงขึ้นอย่างมีนัยสำคัญ การหยุดชะงักของระบบเทคโนโลยีสารสนเทศ รวมถึงการรั่วไหลของข้อมูลโดยเฉพาะอย่างยิ่งข้อมูลที่เกี่ยวข้องกับลูกค้าอาจสร้างความเสียหายให้กับบริษัทฯ ในด้านการเงิน ชื่อเสียง และความไว้วางใจของลูกค้า ดังนั้น บริษัทฯ จึงให้ความสำคัญกับนโยบายคุ้มครองข้อมูลและระบบสารสนเทศเพื่อให้ธุรกิจมีความต่อเนื่อง
แนวทางการบริหารจัดการ
บริษัทฯ ประกาศนโยบายสารสนเทศและความปลอดภัยทางไซเบอร์ โดยยึดหลักปฏิบัติตามกรอบการดำเนินงานของ ISO/IEC 27001 Information Security Management บริษัทฯ ผนวกการบริหารจัดการด้านความปลอดภัยทางไซเบอร์เป็นส่วนหนึ่งในระบบการบริหารจัดการความเสี่ยงขององค์กรภายใต้การกำกับดูแลของคณะกรรมการตรวจสอบ โดยการรั่วไหลของข้อมูลและการโจมตีทางไซเบอร์เป็นหนึ่งในความเสี่ยงที่เกิดขึ้นใหม่ขององค์กร นอกจากนี้ บริษัทฯ มีการฝึกซ้อมแผนกู้คืนระบบจัดเก็บข้อมูลที่สำคัญ (Disaster Recovery Plan: DRP) เช่น ข้อมูลการเงินและเอกสารของบริษัทฯ เป็นประจำทุกปี โดยการฝึกซ้อมดังกล่าวได้รับการประเมินโดยหน่วยงานภายนอกภายใต้การขอการรับรองระบบการบริหารจัดการความต่อเนื่องทางธุรกิจ
ทั้งนี้เพื่อให้เกิดความโปร่งใส ความเป็นส่วนตัว และการปกป้องข้อมูลทั้งหมด บริษัทฯ ได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล โดยมีการระบุวัตถุประสงค์ในการจัดเก็บและการเปิดเผยข้อมูล รวมถึงแนวทางในการคุ้มครองข้อมูลส่วนบุคคล เพื่อสร้างความมั่นใจให้แก่ผู้มีส่วนได้เสีย โดยเฉพาะอย่างยิ่งลูกค้าและคู่ค้าว่าข้อมูลที่เปิดเผยให้กับบริษัทฯ จะได้รับการปกป้องความเป็นส่วนตัวและมีความปลอดภัย นอกจากนี้ บริษัทฯ ยังสร้างความตระหนักรู้ให้แก่พนักงาน โดยผนวกประเด็นด้านความปลอดภัยทางไซเบอร์และบทบาทของพนักงานในการปกป้องทรัพย์สินข้อมูลที่จัดเก็บไว้ในเครื่องคอมพิวเตอร์ของบริษัทฯ เข้าเป็นส่วนหนึ่งในหลักสูตรปฐมนิเทศพนักงานใหม่ อีกทั้งมีการประชาสัมพันธ์เกี่ยวกับความปลอดภัยทางไซเบอร์ให้กับพนักงานอย่างสม่ำเสมอผ่านทางจดหมายอิเล็กทรอนิกส์
ภาพรวมการดำเนินงานในรอบปี
ในปี 2566 บริษัทฯ ดำเนินการยกระดับการกำกับดูแลความปลอดภัยทางไซเบอร์ ภายใต้แผนงานสำคัญ อาทิ Cyber-Physical System (CPS) Strengthening ของธุรกิจโรงไฟฟ้า ซึ่งเป็นการตรวจประเมินความปลอดภัยทางไซเบอร์โดยผู้เชี่ยวชาญจากภายนอก เพื่อให้สอดคล้องกับแนวทางความปลอดภัยทั้งส่วนเทคโนโลยีสารสนเทศและเทคโนโลยีเชิงปฏิบัติงาน โดยผลที่ได้จะนำไปใช้ดำเนินการพัฒนาในด้านคน (People) ระบบ (Process) และเทคโนโลยี (Technology)
นอกจากนี้ บริษัทฯ ยังได้ยกระดับดำเนินการ Self-Hacking by White Hackers ซึ่งเป็นกระบวนการใหม่ในการหาช่องโหว่ (Vulnerability) ของแอปพลิเคชันที่บริษัทฯ ใช้งานทั้งหมดให้เป็นแบบต่อเนื่อง เพื่อให้สามารถดำเนินการแก้ไขได้ทันเวลา โดยผลลัพธ์ที่ได้จะนำไปยกระดับกระบวนการประกันคุณภาพ หรือ Quality Assurance ของบริษัทฯ ให้ครอบคลุมทุกมิติ เพื่อให้สอดรับกับการทำงานของโลกยุคใหม่
Thai 
English