โอกาสและความท้าทาย
ปัจจุบันเทคโนโลยีสารสนเทศได้พัฒนาอย่างรวดเร็วและได้เข้ามามีบทบาทสำคัญในการดำเนินธุรกิจ ขณะที่ภัยคุกคามไซเบอร์นับเป็นประเด็นที่สำคัญ และท้าทายขององค์กรทั่วโลกทั้งในระดับประเทศ และระดับสากล การละเลยด้านความปลอดภัยด้านไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคลไม่เพียงแต่จะอาจส่งผลกระทบต่อผู้มีส่วนได้เสีย และความเชื่อมั่นต่อบริษัท แต่อาจกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ ทั้งนี้ บี.กริม เพาเวอร์ ตระหนักถึงความสำคัญของการรักษาความปลอดภัยไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล จึงได้วางแนวทาง และกรอบการดำเนินงานที่เป็นไปตามมาตรฐานสากล และสอดคล้องกับกฎหมายที่เกี่ยวข้อง รวมถึงตรวจทานประเด็นดังกล่าวอย่างสม่ำเสมอ พร้อมส่งเสริมวัฒนธรรมความปลอดภัยไซเบอร์ทั่วองค์กร (Cyber Security Culture) ให้สามารถเตรียมตัว และตอบสนองต่อภัยคุกคามทางไซเบอร์ และทางสารสนเทศในรูปแบบต่าง ๆ ตลอดจนกู้คืนระบบให้กลับมาดำเนินการตามปกติได้อย่างยั่งยืน
การบริหารจัดการและกลยุทธ์
ความปลอดภัยด้านไซเบอร์
นโยบายและความมุ่งมั่น
บี.กริม เพาเวอร์ มุ่งมั่นในการปกป้องความปลอดภัยของเทคโนโลยีสารสนเทศและเทคโนโลยีปฏิบัติการ เพื่อให้มั่นใจว่าบริษัทมีความพร้อมในการรับมือ และตอบสนองต่อภัยคุกคามไซเบอร์ที่อาจเกิดขึ้นอย่างเหมาะสม และทันท่วงที รวมถึงกำหนดนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งสอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยครอบคลุมเนื้อหา ได้แก่
1) กลยุทธ์ นโยบาย แผนงานและแนวทางการดำเนินงานที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์
2) หน้าที่ ความรับผิดชอบ และเครื่องมือการจัดการของหน่วยงานความมั่นคงปลอดภัยไซเบอร์ (Cyber Security Incident Response Team : CSIRT)
3) การพัฒนาแนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์ ตามแนวทางสากล
กลยุทธ์
บี. กริม เพาเวอร์ กำหนดนโยบาย ระเบียบปฏิบัติ วางโครงสร้างของระบบสารสนเทศ และกรอบการดำเนินงาน สอดคล้องกับมาตรฐานสากล ได้แก่ กรอบการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ โดยสถาบันมาตรฐาน และเทคโนโลยีแห่งสหรัฐอเมริกา (the U.S. National Institute of Standards and Technology : NIST) และมาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27001: 2022) รวมถึงเป็นไปตามกฎหมายและข้อบังคับที่เกี่ยวข้อง รวมถึงกำหนดกระบวนการ และมีการเฝ้าระวัง และรับมือกับภัยคุกคามไซเบอร์แบบ 24/7 เพื่อให้สามารถตอบสนองต่อเหตุการณ์ได้อย่างเหมาะสม และทันท่วงที โดยจัดตั้งศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัยไซเบอร์ (Cyber Security Operations Center: CSOC) รับเรื่องผ่านทางสายด่วน +66 (0) 2821 6900 หรืออีเมล csirt@bgrimmpower.com เมื่อศูนย์ปฏิบัติการเฝ้าระวังความมั่นคงปลอดภัย ไซเบอร์ ได้รับแจ้งหรือตรวจพบเหตุการณ์ผิดปกติเกี่ยวกับความปลอดภัยด้านไซเบอร์ จะดำเนินการสืบสวน ประเมินระดับความรุนแรง ควบคุมความเสียหาย เยียวยา ตลอดจนออกมาตรการป้องกันความเสียหาย (กรณีที่พบเหตุการณ์ในระดับความวิกฤติจะต้องรายงานต่อ B.GRIMM CSIRT Steering Committee เพื่อกำกับดูแลและตัดสินใจแนวทางแก้ไขปัญหา) จากนั้นฝ่ายสื่อสารองค์กรจึงดำเนินการชี้แจงเหตุการณ์ต่อพนักงานและผู้เกี่ยวข้อง)
กรอบการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์
แหล่งที่มา: The U.S. National Institute of Standards and Technology
หลักในการดำเนินงานด้านความปลอดภัยไซเบอร์
การสนับสนุนความพร้อม
ของการปฏิบัติการ
ภายใต้หลักการดังนี้ การพัฒนาขีดความสามารถของบุคคลากร การรักษาข้อมูลความลับ ความพร้อมของระบบ ความโปร่งใสและความสอดคล้องกับข้อกฎหมาย และตอบสนองต่อเหตุการณ์ผิดปกติอย่างเหมาะสมและทันท่วงที
การบริหารความเสี่ยง
ประเมินและวางแผนการจัดการความเสี่ยงด้านความปลอดภัยไซเบอร์ ครอบคลุมทั้งด้านโครงสร้างพื้นฐาน อุปกรณ์โครงข่ายและซอฟต์แวร์
ส่งเสริมวัฒนธรรมความปลอดภัย
ด้านไซเบอร์
สร้างความตระหนักและความเข้าใจต่อการรักษาความปลอดภัยไซเบอร์ให้แก่บุคคลากรทั่วทั้งองค์กร
การพัฒนานวัตกรรม
ร่วมมือกับพันธมิตรเพื่อวิจัยและพัฒนาโซลูชั่น เพื่อส่งเสริมขีดความสามารถของระบบในการรับมือต่อสถานการณ์ต่างๆ (Resilience) ตลอดจนสร้างคุณค่าและโอกาสในเชิงธุรกิจ
การคุ้มครองข้อมูลส่วนบุคคล
นโยบายและความมุ่งมั่น
โครงสร้างการกำกับดูแล
แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) มีหน้าที่จัดทำนโยบาย และระเบียบปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับข้อกำหนด และกฎหมาย ดูแลการบริหารความเสี่ยงเกี่ยวกับข้อมูลส่วนบุคคล ร่วมมือกับหน่วยงานภายในต่าง ๆ เพื่อปกป้องความเป็นส่วนตัวของข้อมูล และการรับมือต่อเหตุการณ์ที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล รวมถึงกำหนดให้หน่วยงานตรวจสอบภายใน มีหน้าที่ตรวจสอบ และประเมินการดำเนินงานเพื่อให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลเป็นประจำทุกปี โดยมุ่งเน้นการตรวจสอบในกิจกรรมที่อาจมีความเสี่ยงจากการจัดการข้อมูลส่วนบุคคล ให้ความเห็นต่อกลยุทธ์ด้านการรักษาความเป็นส่วนตัวของข้อมูล และการดำเนินการส่งเสริมความตระหนักของพนักงานในข้อกฎหมายที่เกี่ยวข้อง
กลยุทธ์
ในเชิงปฏิบัติการ บี. กริม เพาเวอร์ กำหนดนโยบายการจัดลำดับชั้นข้อมูลของบริษัท (Data Classification) ระบุนิยาม ระเบียบปฏิบัติ หน้าที่ความรับผิดชอบ ตลอดจนสิทธิ์การเข้าถึงตามประเภทของข้อมูล ซึ่งแบ่งเป็น 4 ประเภท ได้แก่ ข้อมูลสาธารณะ ข้อมูลใช้ภายใน ข้อมูลลับ และข้อมูลหวงห้ามเฉพาะ นอกจากนี้ ยังกำหนดให้มีการบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลในกระบวนการออกแบบสินค้า และบริการ การพัฒนาระบบ และแอพพลิเคชัน การอัพเกรดซอฟต์แวร์ และโครงการใด ๆ ที่มีส่วนเกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล ดังนี้
1) การประยุกต์ใช้หลักการ Privacy by Design และหลักการ Privacy by Default เพื่อให้สามารถระบุประเด็นความเสี่ยงที่เกี่ยวกับข้อมูลส่วนบุคคล ตลอดจนระบุแนวทางการป้องกันหรือลดความเสี่ยงในประเด็นดังกล่าว
2) การกำหนดให้มีการตรวจสอบการรักษาความเป็นส่วนตัวของข้อมูล (Privacy Impact Assessment : PIA) เพื่อระบุความเสี่ยง และผลกระทบที่อาจเกิดขึ้นต่อข้อมูลส่วนบุคคลและวางมาตรการควบคุมที่เกี่ยวข้อง
3) การประเมินความสอดคล้องและเป็นไปตามกฎหมายและข้อบังคับที่เกี่ยวข้อง พร้อมกำหนดช่องทางรับแจ้งข้อร้องเรียนด้านข้อมูลส่วนบุคคลผ่านเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่ dpo@bgrimmpower.com โดยมีกระบวนการในการตอบสนองต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ดังนี้
ได้รับแจ้งข้อร้องเรียนหรือตรวจพบเหตุการณ์ผิดปกติ
เกี่ยวกับความเป็นส่วยตัวของข้อมูลจากช่องทางต่างๆ เช่น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
หน่วยงานความมั่นคงปลอดภัยไซเบอร์
สืบสวน ประเมินระดับความรุนแรง ควบคุมความเสียหาย ตลอดจนออกมาตราการป้องกันความเสียหาย และรายงานต่อ เจ้าหน้าที่คุ้มครองข้อมูล
ส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
รายงานเหตุต่อคณะกรรมการบริษัท และ คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง
ฝ่ายสื่อสารองค์กร
ชี้แจ้งเหตุการณ์ ต่อพนักงาน
และผู้เกี่ยวข้อง
เรามุ่งส่งเสริมความตระหนัก และสร้างวัฒนธรรมองค์กรด้านความปลอดภัยไซเบอร์ และการรักษาข้อมูลส่วนบุคคล โดยกำหนดให้พนักงานทุกคนต้องอบรม และผ่านการทดสอบในด้านดังกล่าวเป็นประจำทุกปี พนักงานจะต้องทำความเข้าใจนโยบาย ระเบียบ ข้อบังคับ และแนวปฏิบัติด้านการรักษาความปลอดภัยไซเบอร์ และการปกป้องข้อมูลส่วนบุคคลอย่างเคร่งครัด ทั้งนี้ หากมีการกระทำผิด บริษัทจะเป็นผู้พิจารณาลงโทษทางวินัยตามแต่ลักษณะของความผิดหรือความหนักเบาของการกระทำความผิดหรือตามความร้ายแรงที่เกิดขึ้น และอาจถูกดำเนินการและได้รับโทษทางกฎหมาย
ผลการดำเนินงานปี 2566
ด้านกฎหมายและข้อบังคับ
ตรวจทานกรอบการดำเนินงาน นโยบาย รวมถึงแนวทางปฏิบัติเพื่อให้สอดคล้องกับกฎหมาย และข้อบังคับที่เกี่ยวข้อง เช่น พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และ พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เพื่อให้มั่นใจว่าบริษัทได้ดำเนินการกฎหมาย และข้อบังคับที่เกี่ยวข้อง ตลอดจนเตรียมความพร้อมต่อข้อบังคับใหม่ ๆ
ด้านการอบรมและส่งเสริมวัฒนธรรมองค์กร
- จัดหลักสูตรอบรมด้านการรักษาความปลอดภัยไซเบอร์และข้อมูลส่วนบุคคล เพื่อให้พนักงานมีความรู้เท่าทันและตระหนักถึงภัยคุกคามไซเบอร์ในรูปแบบต่างๆ สามารถใช้สารสนเทศและระบบเครือข่ายขององค์กรอย่างถูกต้องเหมาะสม สอดคล้องกับนโยบายและระเบียบปฏิบัติขององค์กร รวมถึงให้ความรู้ด้านกฎหมายและข้อบังคับที่เกี่ยวข้อง ตลอดจนจัดทดสอบเพื่อประเมินความเข้าใจ โดยในปี 2566 มีพนักงานเข้าร่วมอบรม 850 คน คิดเป็นร้อยละ 70 ของพนักงานทั้งหมด ซึ่งกว่าร้อยละ 88 ของผู้เข้าร่วมอบรมได้ผ่านการทดสอบดังกล่าว
- สร้างความตระหนักต่อภัยไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล ให้แก่พนักงานผ่านช่องทางสื่อสารภายในองค์กร เช่น อีเมล์ โปสเตอร์ เป็นประจำทุกเดือน เช่น การป้องกันการขโมยข้อมูลจากเครื่องให้บริการชาร์จโทรศัพท์มือถือสาธารณะ การเก็บรหัสผ่านและการป้อนอัตโนมัติของเว็บบราวเซอร์ ข้อควรระวังการใช้งาน ChatGPT ในองค์กร การหลอกเอาข้อมูลด้วยเสียงผ่านทางโทรศัพท์ เป็นต้น จัดทดสอบการโจมตีแบบฟิชชิ่งแบบเสมือนจริง (Phishing Simulation) โดยจำลองและส่งออกอีเมล์ฟิชชิ่งให้แก่พนักงาน เพื่อวัดความตระหนักของพนักงานต่อภัยคุกคามไซเบอร์ และให้พนักงานได้เห็นภาพของภัยคุกคามได้ชัดเจนยิ่งขึ้น ตลอดจนนำไปวางแผนการอบรมเพิ่มเติม และปรับปรุงมาตรการที่เกี่ยวข้อง รวมถึงจัดกิจกรรมจำลองสถานการณ์ Hacking simulation การโจรกรรมบัตรพนักงานผ่าน RFID และข้อมูลหลังบัตรเครดิต เป็นต้น เพื่อให้พนักงานตระหนัก และปฏิบัติอย่างเหมาะสมด้านการจัดการ และปกป้องข้อมูลส่วนบุคคล
ด้านการส่งเสริมความมั่นคงปลอดภัยของโครงสร้างเทคโนโลยีสารสนเทศ และระบบคลาวด์
- ซักซ้อมแผนรับมือต่อภัยคุกคามด้านไซเบอร์ (cyber drill) รวม 2 ครั้ง ในปี 2566 โดยเน้นด้านการตอบสนองต่อการรั่วไหลของข้อมูลส่วนบุคคลต่อเนื่องจากปีก่อนหน้า ได้แก่ การตอบสนองต่อเหตุภัยคุกคามจากการที่ผู้ไม่ประสงค์ดีทำการโจมตีไปยังผู้ใช้งานผ่านระบบที่ไม่ได้มีการเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย และการตอบสนองต่อภัยคุกคามทางไซเบอร์ในกรณีที่ข้อมูลที่ใช้รับรองตัวตน (credential) ของพนักงาน เช่น ชื่อผู้ใช้และรหัสผ่าน ถูกประกาศขายอยู่ใน Dark Web และ/หรือ Deep Web
- จัดประเมินความเสี่ยงด้วยการตรวจสอบช่องโหว่ (Vulnerability Assessment) และ Penetration test (Pentest) เป็นประจำทุกปี เพื่อค้นหาช่องโหว่ในการเข้าถึงระบบและปรับปรุงช่องโหว่ดังกล่าวเพื่อป้องกันการโจมตีได้อย่างรัดกุมยิ่งขึ้นรวม ทั้งจากทีมงานภายในและผู้เชี่ยวชาญภายนอก โดยในปี 2566 มีการทดสอบรวมกว่า 40 โครงการ
- การตรวจสอบช่องโหว่ (Vulnerability Assessment) เพื่อประเมินและระบุความเสี่ยงจากช่องโหว่ที่ค้นพบในระบบปฏิบัติการ ซอฟต์แวร์ หรืออุปกรณ์โครงข่าย อาทิ ระบบ Computerize Operation Monitoring systems (COMs) ระบบ Black/Gray Box Pentest ระบบ Server fault locator (SEFL) ระบบ Common Power Plant Information (PI) รวมถึงระบบ Oracle EBS on Cloud
- การทดสอบเจาะระบบ (Penetration test หรือ Pentest) ได้แก่ การทดสอบภาพรวมของโครงข่ายระบบสารสนเทศภายในองค์กร (Infrastructure Penetration Testing) และทดสอบเจาะระบบของโปรแกรม (Application Penetration Testing)
- ขยายการใช้ Multi-Factor Authentication (MFA) หรือการรับรองความถูกต้องโดยใช้หลายปัจจัย เพื่อตรวจสอบและยืนยันตัวบุคคล กำหนดการอนุญาตเข้าใช้งานระบบ ซอฟต์แวร์ หรือการเข้าถึงข้อมูลต่างๆ ให้ครอบคลุมถึงระบบที่ขึ้นใหม่ในปี 2566
- ตรวจสอบด้านความปลอดภัยไซเบอร์ (cyber security audit) ของผู้ให้บริการระบบคลาวด์เพื่อให้มั่นใจว่ามีความมั่นคงปลอดภัย ตลอดจนทดสอบด้านความปลอดภัยของการใช้ข้อมูลและแอปพลิเคชันที่ใช้อยู่บนคลาวด์อย่างสม่ำเสมอต่อเนื่องเป็นประจำทุกปี
- การประเมินความมั่นคงปลอดภัยของเว็บไซต์องค์กร จากมุมมองภายนอก โดย SecurityScorecard กระบวนการตรวจสอบครอบคลุมในหลากหลายด้าน เช่น ความปลอดภัยเครือข่าย การรั่วไหลของข้อมูล ความปลอดภัยของแอปพลิเคชัน ความสมบูรณ์ของระบบบริหารจัดการชื่อโดเมน (Domain Name Server: DNS) ซึ่งทำให้เห็นภาพรวมด้านความปลอดภัยและนำไปวางแผนปรับปรุงต่อไป
- บี.กริม เพาเวอร์ได้กำหนดระเบียบและแนวทางปฏิบัติเพื่อรองรับการปฏิบัติงานจากที่บ้าน (Work from home) และ Work from Anywhere เพื่อรักษาความปลอดภัยไซเบอร์และความปลอดภัยของข้อมูลส่วนบุคคลอย่างรัดกุม ขณะที่ส่งเสริมให้พนักงานมีความคล่องตัวและประสิทธิภาพในการทำงานจากนอกสำนักงาน ซึ่งรวมถึงการบริหารจัดการเครื่องคอมพิวเตอร์ภายในองค์กร (end point) เช่น ลงโปรแกรมป้องกันไวรัสบนคอมพิวเตอร์ทุกเครื่อง และกำหนดสิทธิ์การเข้าถึงระบบภายในองค์กร ในปี 2566 เรานำระบบ Endpoint Detection and Response (EDR) เป็นระบบตรวจจับความผิดปกติทางด้านไซเบอร์ ในระบบคอมพิวเตอร์ในองค์กร โดยมีการเก็บรวบรวม วิเคราะห์ข้อมูล และค้นหาภัยคุกคาม เพื่อทำการตรวจจับและป้องกันการละเมิดความปลอดภัยที่อาจเกิดขึ้นได้อย่างทันท่วงที และสามารถเข้าดำเนินการแก้ไขได้ทันท่วงที
- บี.กริม เพาเวอร์ ดำเนินงานตามมาตรฐานที่ได้กำหนดไว้ ทั้งในด้านการปฏิบัติการด้านโครงสร้างพื้นฐาน และการบริหารจัดการระบบความปลอดภัยของเทคโนโลยีสารสนเทศ สำหรับโรงไฟฟ้าที่สร้างใหม่หรือควบรวมกิจการ เช่น BGPAT2-3 ในปี 2566 จึงมั่นใจได้ว่ามีโครงสร้างระบบและกรอบการดำเนินงานทัดเทียมกับมาตรฐานเบื้องต้นของ บี.กริม เพาเวอร์
ด้านการตรวจสอบ
บี.กริม เพาเวอร์ จัดให้มีการสอบทานด้านความปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ ในปี 2566 ได้รับการตรวจรับรองตามมาตรฐานสากลระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC27001:2022 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศโดยผู้ตรวจสอบภายนอก นอกจากนี้ยังจัดประเมินความเสี่ยงตามกรอบการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ โดยสถาบันมาตรฐานและเทคโนโลยีแห่งสหรัฐอเมริกา (US National Institute of Standards and Technology : NIST) โดยผู้เชี่ยวชาญภายนอก เพื่อให้แน่ใจว่าองค์กรสามารถรักษาความมั่นคงปลอดภัยไซเบอร์ได้อย่างรัดกุมและสามารถตอบสนองเหตุการณ์ได้อย่างทันท่วงที รวมถึงตรวจสอบนโยบายคุ้มครองข้อมูลส่วนบุคคลต่อเนื่องจากปีก่อนหน้า ที่มุ่งเน้นการสอบทานความครบถ้วนของข้อกำหนดในนโยบายให้เป็นไปตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล โดยในปี 2566 ฝ่ายตรวจสอบภายในได้เน้นตรวจสอบด้านกระบวนการปฏิบัติงานให้เป็นไปตามนโยบายครอบคลุมการปฏิบัติงานของพนักงาน บี.กริม เพาเวอร์ และบริษัทในเครือ โดยรวม บี.กริม เพาเวอร์ ไม่พบข้อร้องเรียนที่เข้าข่ายการละเมิดข้อมูลส่วนบุคคล และไม่มีเหตุการณ์ภัยคุกคามต่อโครงสร้างระบบสารสนเทศหรือการละเมิดความปลอดภัยไซเบอร์ ซึ่งมีนัยสำคัญที่ก่อให้เกิดความเสียหาย ค่าปรับหรือการฟ้องร้องต่อองค์กร ในปี 2566
บี.กริม เพาเวอร์ ได้รับรางวัลจากโครงการวัดระดับความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Resilience Survey 2023) ปี 2566 สำหรับกลุ่มบริษัทจดทะเบียน จัดโดยตลาดหลักทรัพย์แห่งประเทศไทย โดยได้รับคะแนนประเมิน 4.81 จาก 5.00 สูงกว่าคะแนนเฉลี่ยน NIST Function Average Rating สำหรับกลุ่มทรัพยากร ที่ 2.40 คะแนน และสูงกว่าคะแนนเฉลี่ยของบริษัทที่เข้าร่วมโครงการที่ 2.11 คะแนน
| หน่วย | 2563 | 2564 | 2565 | 2566 | |
|---|---|---|---|---|---|
| ด้านความปลอดภัยไซเบอร์ | |||||
| การละเมิดความปลอดภัยไซเบอร์หรือภัยคุกคามไซเบอร์อื่น ๆ | กรณี | 0 | 0 | 0 | 0 |
| การเกิดข้อมูลรั่วไหล | กรณี | 0 | 0 | 0 | 0 |
| ลูกค้าและพนักงานที่ได้รับผลกระทบจากข้อมูลรั่วไหล | ราย | 0 | 0 | 0 | 0 |
| ด้านการคุ้มครองข้อมูลส่วนบุคคล | |||||
| คำร้องเรียนที่เข้าข่ายการละเมิดข้อมูลส่วนบุคคล จากบุคคลหรือหน่วยงานทั่วไป | กรณี | 0 | 0 | 0 | 0 |
| คำร้องเรียนที่เข้าข่ายการละเมิดข้อมูลส่วนบุคคล จากหน่วยงานกำกับดูแลต่าง ๆ | บาท | 0 | 0 | 0 | 0 |
