ภาพรวมการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์

โอกาสและความท้าทาย

ปัจจุบันนี้ ธุรกิจภาคพลังงานและสาธารณูปโภคเผชิญกับความท้าทายที่เพิ่มขึ้นในเรื่องมาตรการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยทางไซเบอร์ซึ่งจำเป็นต่อการสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสีย เนื่องจากบริษัทในอุตสาหกรรมพลังงานและสาธารณูปโภคยังคงแสวงหาการเปลี่ยนแปลงทางดิจิทัลและเทคโนโลยีเพื่อพัฒนาธุรกิจให้ทันสมัยตามนวัตกรรมใหม่ จึงมีโอกาสสูงที่จะตกเป็นเป้าหมายของการถูกคุกคามทางไซเบอร์ เอ็กโก กรุ๊ป มีการกำหนดนโยบายเพื่อสร้างความมั่นคงปลอดภัยของข้อมูลสารสนเทศขององค์กร เพื่อให้สามารถป้องกัน รับมือ และจำกัดความเสี่ยงจากภัยคุกคามทางไซเบอร์ และเพื่อให้มั่นใจว่า เอ็กโก กรุ๊ป มีการบริหารจัดการความเสี่ยงเรื่องความมั่นคงปลอดภัยทางไซเบอร์อย่างเหมาะสม นอกจากนี้ ยังเป็นการป้องกันอาชญากรรม การโจมตี การบ่อนทำลาย การจารกรรม และความผิดพลาดต่าง ๆ รวมถึงเพื่อให้สอดคล้องกับประกาศราชกิจจานุเบกษา พระราชบัญญัติการรักษาความปลอดภัยมั่นคงไซเบอร์ปี 2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลปี 2562 โดยคำนึงถึงองค์ประกอบพื้นฐานของความปลอดภัยของข้อมูล 3 ประการ ได้แก่

C
CONFIDENTIALITY

การรักษาความลับของข้อมูล

I
INTEGRITY

การรักษาความคงสภาพของข้อมูลหรือ ความสมบูรณ์ของข้อมูล

A
AVAILABILITY

ความพร้อมใช้งานของข้อมูล

นอกจากนี้ เอ็กโก กรุ๊ป ยังได้จัดอบรมพนักงานและผู้บริหารให้รู้เท่าทันภัยไซเบอร์ ลดความเสี่ยงข้อมูลธุรกิจรั่วไหลจากภัยคุกคาม (Security Awareness Training) เป็นประจำทุกปี และจัดตั้งคณะทำงานจัดทำนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลกำกับ เพื่อกำกับ ติดตามและประเมินผลให้บริษัทและบริษัทในกลุ่มดำเนินการต่าง ๆ ให้มีการดำเนินงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลอย่างรอบคอบและอยู่ในกรอบของกฎหมาย

ประเด็นสำคัญด้านความยั่งยืน: การคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์

ผลกระทบต่อผู้มีส่วนได้เสียในประเด็นสำคัญด้านความยั่งยืน

คู่ค้าและคู่ค้าทางธุรกิจ

แนวทางการบริหารจัดการ

เป้าหมายการคุ้มครองข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์

เป้าหมายระยะยาว

  • พัฒนาระบบการจัดการความปลอดภัยของข้อมูลในองค์กรให้เป็นไปตามมาตรฐาน ISO 27001

  • พนักงานร้อยละ 80% ได้รับการฝึกอบรมเพื่อสร้างความรู้ความเข้าใจในเรื่องการรักษาความปลอดภัย และความเป็นส่วนตัวของข้อมูลให้กับผู้เกี่ยวข้องที่มีความเสี่ยงสูงและผู้มีส่วนได้เสียที่เกี่ยวข้อง

เป้าหมายปี 2566

  • พัฒนาระบบการจัดการความปลอดภัยของข้อมูลในโรงไฟฟ้าขนอม โรงไฟฟ้าบ้านโป่ง และโรงไฟฟ้าคลองหลวง ให้เป็นไปตามมาตรฐาน ISO 27001

  • ปรับปรุงระบบการบริหารจัดการเทคโนโลยีสารสนเทศ Log Management Replacement และ Software Monitor Replacement

  • จัดโครงการฝึกอบรมพนักงานและผู้บริหารให้รู้เท่าทันภัยทาง ไซเบอร์ ลดความเสี่ยงข้อมูลธุรกิจรั่วไหลจากภัยคุกคาม (IT Security Awareness Training)

  • ดำเนินการทดสอบการเจาะระบบและแผนความต่อเนื่องทางธุรกิจ (Penetration Testing & Business Continuity Plan Testing)

ผลการดำเนินงานปี 2566

  • ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013

  • จัดโครงการฝึกอบรมเพื่อเตรียมพร้อมสำหรับการดําเนินการให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

  • ปรับปรุงระบบการบริหารจัดการเทคโนโลยีสารสนเทศ Log Management Replacement และ Software Monitor Replacement

  • ปรับปรุงระบบ Firewall

  • จัดการอบรมสร้างความตระหนักรู้ด้าน Cyber Security ให้กับพนักงานภายในองค์กร 2 ครั้ง แบบ Hybrid และ E-Learning

  • ทดสอบโจมตีด้วย Phishing Mail ทดสอบแผนกู้คืนทุกระบบ 2 ครั้ง/ปี

  • ร่วมกับที่ปรึกษาทำการทดสอบเจาะระบบและหาช่องโหว่ (Penetration Testing & Vulnerability Assessment) โดยทำการแก้ไขเรียบร้อยแล้ว เพื่อให้มั่นใจว่าระบบการรักษาความมั่นคงปลอดภัยสารสนเทศของบริษัทได้มาตรฐานตามที่กำหนด

การกำกับดูแลข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยทางไซเบอร์

คณะกรรมการบริหารความเสี่ยง กำหนดนโยบายการตรวจสอบภายในเกี่ยวกับกิจกรรมการบริหารความเสี่ยง และตรวจสอบกระบวนการที่เกี่ยวข้องกับการพัฒนาเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ

อ่านเพิ่มเติม
การควบคุมความมั่นคงปลอดภัยทางไซเบอร์

เอ็กโก กรุ๊ป จัดทำและเปิดเผยนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ และการรักษาความมั่นคงปลอดภัยทาง ไซเบอร์ให้แก่พนักงานทุกคน ครอบคลุมถึงบุคคลภายนอกที่ปฏิบัติงานให้ เอ็กโก กรุ๊ป เพื่อเป็นแนวทางในการปฏิบัติงานที่เกี่ยวกับระบบเทคโนโลยีสารสนเทศขององค์กรให้เป็นไปอย่างเหมาะสม

อ่านเพิ่มเติม
ระบบความมั่นคงปลอดภัยทางไซเบอร์

ระบบบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศได้รับการรับรองตามมาตรฐาน ISO/IEC 27001:2013 ซึ่งครอบคลุมกระบวนการต่าง ๆ ได้แก่ กระบวนการจัดการเหตุละเมิด กระบวนการบริหารการเปลี่ยนแปลง การบริการควบคุมเอกสาร การเฝ้าระวังติดตามการใช้ทรัพยากร

อ่านเพิ่มเติม
ระบบการจัดการความปลอดภัยของข้อมูล

เอ็กโก กรุ๊ป ให้ความสำคัญกับการปกป้องข้อมูลสารสนเทศขององค์กร และความเป็นส่วนตัวของพนักงาน ลูกค้า คู่ค้า และผู้มีส่วนได้เสียทุกฝ่าย ตลอดจนได้กำหนดแนวทางป้องกันการใช้ข้อมูลภายในอย่างเคร่งครัด โดยได้จัดทำและเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคลให้บุคคลทั่วไปรับทราบ

อ่านเพิ่มเติม

เอกสารที่เกี่ยวข้อง

นโยบาย ข้อกำหนด และผลการดำเนินงาน

  • คู่มือการบริหารจัดการความยั่งยืน
    ดาวน์โหลด
  • นโยบายคุ้มครองข้อมูลส่วนบุคคล
    ดาวน์โหลด
  • ถ้อยแถลงเรื่องการคุ้มครองข้อมูลส่วนบุคคล
    ดาวน์โหลด
  • คู่มือแนวปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
    ดาวน์โหลด
  • คณะกรรมการและคณะทำงานป้องกันความปลอดภัยทางไซเบอร์
    ดาวน์โหลด
  • ประกาศความเป็นส่วนตัว
    ดาวน์โหลด
  • แบบคำขอความยินยอมสำหรับบุคคลภายนอก
    ดาวน์โหลด
  • แบบคำร้องการขอใช้สิทธิของเจ้าของข้อมูล
    ดาวน์โหลด
  • แบบการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล
    ดาวน์โหลด

ข้อมูลการดำเนินงานด้านความยั่งยืน

ด้านการกำกับดูแลกิจการ
ด้านเศรษฐกิจ

ปรับปรุง ณ เดือนเมษายน ปี 2567

เนื้อหาข้างต้นจัดทำตามมาตรฐาน The Global Reporting Initiative (GRI Standards) ได้รับการตรวจสอบความถูกต้องโดยหน่วยงานภายนอกและให้ความเชื่อมั่นข้อมูลการรายงานในระดับจำกัด (Limited Assurance) ภายใต้รายงานประจำปี 2566