ความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล
สนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน (SDGs)
เป้าหมายและผลการดำเนินงาน
เหตุการณ์การละเมิดข้อมูลส่วนบุคคลที่มีนัยสำคัญซึ่งเกี่ยวข้องกับลูกค้าหรือพนักงาน และส่งผลให้เกิดการบังคับใช้กฎหมายในรอบระยะเวลารายงาน
เหตุการณ์ละเมิดข้อมูลส่วนบุคคลที่ได้รับการยืนยัน (substantiated incidents) ต้องได้รับการสอบสวนและดำเนินการแก้ไขภายในระยะเวลาที่กำหนด
ส่งเสริมความตระหนักรู้และการสื่อสารด้านการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์อย่างต่อเนื่อง ผ่านการมีส่วนร่วมและแนวปฏิบัติภายในองค์กร
ไม่พบกรณีข้อร้องเรียนที่ได้รับการยืนยันเกี่ยวกับการละเมิดความเป็นส่วนตัวของลูกค้า โดยมีรายละเอียดดังนี้
ผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง
ลูกค้า
พนักงาน
ผู้ถือหุ้น
หน่วยงานรัฐ
ความมุ่งมั่น ความท้าทาย และโอกาส
มิสเตอร์ ดี.ไอ.วาย มุ่งมั่นในการยกระดับมาตรการด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้การดำเนินธุรกิจในยุคดิจิทัลเป็นไปอย่างปลอดภัย โปร่งใส และสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) บริษัทฯ จัดทำนโยบายและแนวทางการบริหารจัดการข้อมูลที่รัดกุม เพื่อป้องกันการรั่วไหลของข้อมูล การเข้าถึงโดยไม่ได้รับอนุญาต และลดความเสี่ยงจากภัยคุกคามทางเทคโนโลยี เพื่อเสริมสร้างความไว้วางใจของลูกค้าและผู้มีส่วนได้เสียต่อการบริหารจัดการข้อมูลอย่างปลอดภัยและมีความรับผิดชอบ
ในขณะเดียวกัน บริษัทฯ ตระหนักถึงความท้าทายจากภัยคุกคามทางไซเบอร์ที่พัฒนาอย่างต่อเนื่อง จึงให้ความสำคัญกับการเฝ้าระวัง ปรับปรุงระบบรักษาความปลอดภัย และสร้างความตระหนักรู้ให้แก่พนักงานอย่างสม่ำเสมอ มาตรการเหล่านี้ไม่เพียงช่วยลดความเสี่ยงทางธุรกิจ เพื่อเสริมสร้างความพร้อมในการรับมือกับความเสี่ยงทางไซเบอร์ และสนับสนุนการดำเนินธุรกิจในยุคดิจิทัลอย่างยั่งยืน
แนวทางการจัดการและแนวปฏิบัติ
โครงสร้างการกำกับ
มิสเตอร์.ดี.ไอ.วาย มีการบริหารจัดการด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างเป็นระบบ ภายใต้การกำกับดูแลของคณะกรรมการตรวจสอบและบริหารความเสี่ยง ซึ่งมีหน้าที่กำกับและติดตามความเสี่ยงด้านไซเบอร์ในระดับองค์กร ขณะที่ประธานเจ้าหน้าที่บริหาร (CEO) ฝ่ายเทคโนโลยีสารสนเทศ และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) รับผิดชอบในการดำเนินการตามนโยบายและมาตรการด้านความปลอดภัยของข้อมูล เพื่อป้องกันและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์อย่างต่อเนื่อง
คณะกรรมการตรวจสอบและบริหารความเสี่ยง
- สอบทานและประเมินผลกระทบจากความเสี่ยงด้านไซเบอร์ของบริษัท
ประธานเจ้าหน้าที่บริหาร
- กำหนดทิศทางและนโยบายระดับองค์กร พร้อมติดตามผลการดำเนินงาน
ฝ่ายเทคโนโลยีสารสนเทศ
- กำหนดแนวทางและดำเนินมาตรการด้านความมั่นคงปลอดภัยสารสนเทศ
- ตรวจสอบและประเมินการปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัยภายในองค์กรอย่างสม่ำเสมอ
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
- ให้คำแนะนำ กำกับดูแล และติดตามการบริหารจัดการข้อมูลส่วนบุคคลให้เป็นไปตามกฎหมายที่เกี่ยวข้อง
- รายงานผลการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลต่อประธานเจ้าหน้าที่บริหารเป็นระยะ
กระบวนการบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์
1. มาตรการด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
มิสเตอร์.ดี.ไอ.วาย ได้บูรณาการการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์เข้ากับกระบวนการบริหารความเสี่ยงองค์กร (Enterprise Risk Management: ERM) เพื่อให้สามารถระบุ ประเมิน และติดตามความเสี่ยงที่อาจส่งผลกระทบต่อการดำเนินธุรกิจได้อย่างเป็นระบบ
บริษัทฯ ได้กำหนดนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ รวมถึงขั้นตอนการปฏิบัติงานมาตรฐาน (Standard Operating Procedures: SOP) เพื่อเป็นกรอบในการกำกับดูแลและบริหารจัดการความมั่นคงปลอดภัยของระบบสารสนเทศอย่างเป็นระบบและมีประสิทธิภาพ ครอบคลุมมาตรการสำคัญ ดังนี้
การควบคุมการเข้าถึงระบบและข้อมูล
บริษัทฯ กำหนดให้มีการพิสูจน์ตัวตนของผู้ใช้งานก่อนเข้าถึงระบบสารสนเทศ พร้อมกำหนดสิทธิ์การเข้าถึงข้อมูลและระบบตามบทบาทหน้าที่และความจำเป็นในการปฏิบัติงาน โดยยึดหลักการให้สิทธิ์เท่าที่จำเป็น (Least Privilege)
การรักษาความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
บริษัทฯ จำกัดการเข้าถึงพื้นที่ที่เกี่ยวข้องกับระบบสารสนเทศและโครงสร้างพื้นฐานสำคัญเฉพาะบุคคลที่ได้รับอนุญาต รวมถึงกำหนดมาตรการป้องกันความเสี่ยงจากปัจจัยด้านสภาพแวดล้อม เช่น อัคคีภัยหรือไฟฟ้าขัดข้อง
การกำกับดูแลการใช้งานระบบเทคโนโลยีสารสนเทศ
บริษัทฯ กำกับดูแลการใช้งานระบบสารสนเทศให้เป็นไปตามวัตถุประสงค์ทางธุรกิจ พร้อมมีการตรวจสอบและติดตามการใช้งานระบบอย่างเหมาะสม เพื่อลดความเสี่ยงจากการใช้งานระบบหรือข้อมูลโดยไม่เหมาะสม
การจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ
บริษัทฯ จัดให้มีกระบวนการรายงานและบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยของระบบสารสนเทศ เพื่อให้สามารถตรวจสอบ วิเคราะห์ และดำเนินการแก้ไขได้อย่างทันท่วงที รวมถึงทบทวนเหตุการณ์เพื่อปรับปรุงมาตรการควบคุมอย่างต่อเนื่อง
การบริหารจัดการทรัพย์สินด้านเทคโนโลยีสารสนเทศ
บริษัทฯ กำหนดให้มีการระบุและดูแลทรัพย์สินด้านเทคโนโลยีสารสนเทศที่สำคัญอย่างเหมาะสม เพื่อให้ระบบและอุปกรณ์อยู่ในสภาพพร้อมใช้งานและสนับสนุนการดำเนินธุรกิจขององค์กร
2. การบริหารจัดการความมั่นคงปลอดภัยของคู่ค้าด้านเทคโนโลยีสารสนเทศ
มิสเตอร์.ดี.ไอ.วาย กำหนดแนวทางในการกำกับดูแลความมั่นคงปลอดภัยของข้อมูลและระบบสารสนเทศที่เกี่ยวข้องกับคู่ค้า ผู้ให้บริการ และบุคคลภายนอกที่มีการเข้าถึงระบบหรือข้อมูลของบริษัท เพื่อป้องกันความเสี่ยงที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของข้อมูลและการดำเนินธุรกิจ โดยมีแนวทางสำคัญ เช่น
การคุ้มครองข้อมูลส่วนบุคคล
มิสเตอร์.ดี.ไอ.วาย ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และได้กำหนดนโยบายและมาตรการรักษาความปลอดภัยของข้อมูลให้เหมาะสม สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายที่เกี่ยวข้อง โดยบริษัทฯ กำกับดูแลให้พนักงานทุกระดับปฏิบัติตามแนวทางและมาตรการด้านการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด เพื่อป้องกันความเสี่ยงจากการเข้าถึง การใช้ หรือการเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต
บริษัทฯ ได้ประกาศ นโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ผ่านเว็บไซต์ของบริษัท เพื่อให้ผู้มีส่วนได้เสียสามารถเข้าถึงข้อมูลได้อย่างโปร่งใส และรับทราบสิทธิของตนเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล
นโยบายดังกล่าวครอบคลุมประเด็นสำคัญต่าง ๆ อาทิ โครงสร้างการกำกับดูแล การประมวลผลและการรักษาความมั่นคงปลอดภัยของข้อมูล การใช้สิทธิของเจ้าของข้อมูล ตลอดจนการติดตามและทบทวนความสอดคล้องกับกฎหมาย เพื่อให้การบริหารจัดการข้อมูลส่วนบุคคลเป็นไปอย่างโปร่งใส ปลอดภัย และเป็นธรรม โดยมีแนวทางสำคัญ ได้แก่
นอกจากนี้ บริษัทฯ ยังจัดให้มีช่องทางสำหรับการยื่นเรื่องร้องเรียน สอบถามข้อมูล หรือใช้สิทธิเกี่ยวกับข้อมูลส่วนบุคคล เพื่อให้การบริหารจัดการข้อมูลส่วนบุคคลเป็นไปอย่างโปร่งใสและตรวจสอบได้ โดยสามารถติดต่อได้ที่
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
การสร้างวัฒนธรรมความมั่นคงปลอดภัยทางไซเบอร์และการจัดการข้อมูลส่วนบุคคล
เพื่อให้การดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์และการจัดการข้อมูลส่วนบุคคลของบริษัทฯ เป็นไปอย่างมีประสิทธิภาพ บริษัทฯ ให้ความสำคัญกับการสร้างความตระหนักรู้และเสริมสร้างวัฒนธรรมด้านความปลอดภัยข้อมูลภายในองค์กร เพื่อให้พนักงานและบุคลากรที่เกี่ยวข้องมีความเข้าใจและสามารถปฏิบัติตามมาตรการด้านความปลอดภัยได้อย่างถูกต้องและต่อเนื่อง โดยมีมาตรการสำคัญ ดังนี้
การเสริมสร้างความรู้ด้านไซเบอร์
ฝ่ายเทคโนโลยีสารสนเทศมีการจัดทำ Infographic และสื่อให้ความรู้ด้านความปลอดภัยไซเบอร์ เผยแพร่ให้แก่พนักงานเป็นประจำทุกเดือน เพื่อให้พนักงานรับทราบถึงภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น แนวทางป้องกันความเสี่ยง และแนวปฏิบัติที่เหมาะสมในการใช้งานระบบสารสนเทศของบริษัท
การอบรมและเสริมสร้างความรู้ด้านข้อมูลส่วนบุคคล
บริษัทฯ มีการสื่อสารและเผยแพร่ความรู้เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลแก่พนักงานอย่างต่อเนื่อง ผ่านกิจกรรม “PDPA Alert” ซึ่งเป็นการสื่อสารข้อมูลและแนวปฏิบัติที่เกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคลในรูปแบบสื่อความรู้เป็นประจำทุกเดือน เพื่อส่งเสริมความเข้าใจเกี่ยวกับข้อกำหนดของกฎหมาย PDPA และลดความเสี่ยงจากการใช้หรือเปิดเผยข้อมูลส่วนบุคคลโดยไม่เหมาะสม
การฝึกซ้อมแผนรับมือภัยคุกคามทางไซเบอร์
บริษัทฯ กำหนดให้มีการฝึกซ้อมแผนรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างน้อยปีละ 1 ครั้ง เพื่อเตรียมความพร้อมของหน่วยงานที่เกี่ยวข้องในการรับมือและจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อระบบสารสนเทศและข้อมูลของบริษัท โดยการฝึกซ้อมดังกล่าวมุ่งเน้นให้บุคลากรมีความเข้าใจในขั้นตอนการปฏิบัติ และสามารถตอบสนองต่อเหตุการณ์ได้อย่างเหมาะสมและทันท่วงที
