โอกาสและความท้าทาย

ข้อมูลสารสนเทศขององค์กรถือเป็นสินทรัพย์ทางธุรกิจที่ต้องได้รับการดูแลรักษาอย่างมีประสิทธิภาพ เอ็กโก กรุ๊ป จึงมีการกำหนดนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security Policy) เพื่อสร้างความมั่นคงปลอดภัยของข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ เพื่อให้สามารถป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ เพื่อให้มั่นใจว่าบริษัทมีการบริหารจัดการความเสี่ยงเรื่องความมั่นคงปลอดภัยทางไซเบอร์อย่างเหมาะสม และหลีกเลี่ยงความเสียหายที่มีผลต่อความปลอดภัยของข้อมูลข่าวสารในทุกรูปแบบ รวมถึงการป้องกันอาชญากรรม การโจมตี การบ่อนทำลาย การจารกรรม และความผิดพลาดต่าง ๆ รวมถึงเพื่อให้สอดคล้องกับประกาศราชกิจจานุเบกษา พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยคำนึงถึงองค์ประกอบพื้นฐานของความปลอดภัยของข้อมูล 3 ประการ ได้แก่

C
CONFIDENTIALITY

การรักษาความลับของข้อมูล

I
INTEGRITY

การรักษาความคงสภาพของข้อมูลหรือ ความสมบูรณ์ของข้อมูล

A
AVAILABILITY

ความพร้อมใช้งานของข้อมูล

นอกจากนี้ เอ็กโก กรุ๊ป ยังได้จัดอบรมพนักงานและผู้บริหารให้รู้เท่าทันภัยไซเบอร์ ลดความเสี่ยงข้อมูลธุรกิจรั่วไหลจากภัยคุกคาม (Security Awareness Training) เป็นประจำทุกปี และจัดตั้งคณะทำงานจัดทำนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลกำกับ เพื่อกำกับ ติดตามและประเมินผลให้บริษัทและบริษัทในกลุ่มดำเนินการต่าง ๆ ให้มีการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างรอบคอบและอยู่ในกรอบของกฎหมาย

ผลกระทบต่อผู้มีส่วนได้เสียในประเด็นสำคัญด้านความยั่งยืน

พนักงาน

ชุมชน

แนวทางการบริหารจัดการ

เป้าหมายการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์

เป้าหมายระยะยาว
  • พัฒนาระบบการจัดการความปลอดภัยของข้อมูลในองค์กรให้เป็นไปตามมาตรฐาน ISO 27001

  • พนักงานร้อยละ 80% ได้รับการฝึกอบรมเพื่อสร้างความรู้ความเข้าใจในเรื่องการรักษาความปลอดภัย และความเป็นส่วนตัวของข้อมูลให้กับผู้เกี่ยวข้องที่มีความเสี่ยงสูงและผู้มีส่วนได้เสียที่เกี่ยวข้อง

เป้าหมายปี 2565
  • พัฒนาระบบการจัดการความปลอดภัยของข้อมูลในโรงไฟฟ้าขนอม โรงไฟฟ้าบ้านโป่ง และโรงไฟฟ้าคลองหลวง ให้เป็นไปตามมาตรฐาน ISO 27001

  • ปรับปรุงระบบการบริหารจัดการเทคโนโลยีสารสนเทศ Log Management Replacement และ Software Monitor Replacement

  • จัดโครงการฝึกอบรมพนักงานและผู้บริหารให้รู้เท่าทันภัยทาง ไซเบอร์ ลดความเสี่ยงข้อมูลธุรกิจรั่วไหลจากภัยคุกคาม (IT Security Awareness Training)

  • ดำเนินการทดสอบการเจาะระบบและแผนความต่อเนื่องทางธุรกิจ (Penetration Testing & Business Continuity Plan Testing)

ผลการดำเนินงานปี 2565
  • ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013

  • จัดโครงการฝึกอบรมเพื่อเตรียมพร้อมสำหรับการดําเนินการให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

  • ปรับปรุงระบบการบริหารจัดการเทคโนโลยีสารสนเทศ Log Management Replacement และ Software Monitor Replacement

  • ติดตั้งระบบตรวจสอบและป้องกันการบุกรุกของข้อมูล (Distributed Denial-of-Service - DDoS)

  • ร่วมกับที่ปรึกษาทำการทดสอบเจาะระบบและหาช่องโหว่ (Penetration Testing & Vulnerability Assessment) โดยทำการแก้ไขเรียบร้อยแล้ว เพื่อให้มั่นใจว่าระบบการรักษาความมั่นคงปลอดภัยสารสนเทศของบริษัทได้มาตรฐานตามที่กำหนด

การกำกับดูแลข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์

คณะกรรมการบริหารความเสี่ยง กำหนดนโยบายการตรวจสอบภายในเกี่ยวกับกิจกรรมการบริหารความเสี่ยง และตรวจสอบกระบวนการที่เกี่ยวข้องกับการพัฒนาเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ

อ่านเพิ่มเติม
การควบคุมความมั่นคงปลอดภัยทางไซเบอร์

เอ็กโก กรุ๊ป จัดทำและเปิดเผยนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ และการรักษาความมั่นคงปลอดภัยทาง ไซเบอร์ให้แก่พนักงานทุกคน ครอบคลุมถึงบุคคลภายนอกที่ปฏิบัติงานให้ เอ็กโก กรุ๊ป เพื่อเป็นแนวทางในการปฏิบัติงานที่เกี่ยวกับระบบเทคโนโลยีสารสนเทศขององค์กรให้เป็นไปอย่างเหมาะสม

อ่านเพิ่มเติม
ระบบความมั่นคงปลอดภัยทางไซเบอร์

ระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศได้รับการรับรองตามมาตรฐาน ISO/IEC 27001:2013 ซึ่งครอบคลุมกระบวนการต่าง ๆ ได้แก่ กระบวนการจัดการเหตุละเมิด กระบวนการบริหารการเปลี่ยนแปลง การบริการควบคุมเอกสาร การเฝ้าระวังติดตามการใช้ทรัพยากร

อ่านเพิ่มเติม
ระบบการจัดการความปลอดภัยของข้อมูล

เอ็กโก กรุ๊ป ให้ความสำคัญกับการปกป้องข้อมูลสารสนเทศขององค์กร และความเป็นส่วนตัวของพนักงาน ลูกค้า คู่ค้า และผู้มีส่วนได้เสียทุกฝ่าย ตลอดจนได้กำหนดแนวทางป้องกันการใช้ข้อมูลภายในอย่างเคร่งครัด โดยได้จัดทำและเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคลให้บุคคลทั่วไปรับทราบ

อ่านเพิ่มเติม

เอกสารที่เกี่ยวข้อง

นโยบาย ข้อกำหนด และผลการดำเนินงาน

  • คู่มือการบริหารจัดการความยั่งยืน
  • นโยบายคุ้มครองข้อมูลส่วนบุคคล
  • ถ้อยแถลงเรื่องการคุ้มครองข้อมูลส่วนบุคคล
  • คู่มือแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
  • คณะกรรมการและคณะทำงานป้องกันความปลอดภัยทางไซเบอร์
  • ประกาศความเป็นส่วนตัว
  • แบบคำขอความยินยอมสำหรับบุคคลภายนอก
  • แบบคำร้องการขอใช้สิทธิของเจ้าของข้อมูล
  • แบบการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล

ข้อมูลการดำเนินงานด้านความยั่งยืน

ปรับปรุง ณ เดือนมีนาคม ปี 2566

เนื้อหาข้างต้นจัดทำตามมาตรฐาน The Global Reporting Initiative (GRI Standards) ได้รับการตรวจสอบความถูกต้องโดยหน่วยงานภายนอกและให้ความเชื่อมั่นข้อมูลการรายงานในระดับจำกัด (Limited Assurance) ภายใต้รายงานประจำปี 2565