โอกาสและความท้าทาย
ในปัจจุบัน เทคโนโลยีสารสนเทศมีบทบาทสำคัญต่อการดำเนินงานของ บี.กริม เพาเวอร์ ขณะเดียวกันการนำแพลตฟอร์มดิจิทัลและเทคโนโลยีปัญญาประดิษฐ์ (AI) มาใช้อย่างแพร่หลายยังสร้างโอกาสในการยกระดับประสิทธิภาพและความน่าเชื่อถือในการดำเนินธุรกิจ อย่างไรก็ตามการพึ่งพาระบบดิจิทัลมากขึ้นย่อมนำมาซึ่งภัยคุกคามทางไซเบอร์และความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคลที่สูงขึ้น รวมถึงความท้าทายจากการพึ่งพาผู้ให้บริการด้านเทคโนโลยีภายนอกและภัยคุกคามทางไซเบอร์ที่อาศัย AI เป็นเครื่องมือ ซึ่งหากไม่สามารถปกป้องระบบดิจิทัลและข้อมูลสำคัญได้อย่างมีประสิทธิภาพ อาจส่งผลกระทบต่อความเชื่อมั่นของผู้มีส่วนได้เสีย ชื่อเสียงขององค์กร และความต่อเนื่องทางธุรกิจ ดังนั้น การเสริมสร้างความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลจึงมีความสำคัญอย่างยิ่งต่อการสนับสนุนการเติบโตของธุรกิจอย่างปลอดภัยและยั่งยืน
การบริหารจัดการและกลยุทธ์
ความปลอดภัยด้านไซเบอร์
นโยบายและความมุ่งมั่น
บี.กริม เพาเวอร์ ให้ความสำคัญกับความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและเทคโนโลยีปฏิบัติการ เพื่อให้สามารถรับมือกับภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงทีและมีประสิทธิภาพ เราจึงจัดทำนโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ ที่สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และมาตรฐาน ISO/IEC 27001 พร้อมจัดทำแนวปฏิบัติและนโยบายย่อยประกอบอย่างเป็นระบบ โดยสามารถศึกษารายละเอียดเพิ่มเติมได้ในเอกสารสรุป นโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ
โครงสร้างการกำกับดูแล
บี.กริม เพาเวอร์ กำหนดโครงสร้างการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจนทั่วองค์กร เพื่อให้เกิดความรับผิดชอบ การกำกับติดตาม และการรายงานผลที่มีประสิทธิภาพในทุกระดับ ได้แก่
ระดับคณะกรรมการ
คณะกรรมการพัฒนายุทธศาสตร์ดิจิทัล ซึ่งเป็นคณะกรรมการย่อยของคณะกรรมการบริษัท ทำหน้าที่กำกับดูแลทิศทางและวาระด้านดิจิทัลของ องค์กรให้สอดคล้องกับกลยุทธ์และวิสัยทัศน์ระยะยาว รวมถึงให้คำแนะนำ กำกับดูแล และประเมินกลยุทธ์ด้านดิจิทัล เพื่อยกระดับประสิทธิภาพการดำเนินงาน เสริมสร้างนวัตกรรม ความยั่งยืน และขีดความสามารถในการแข่งขัน ควบคู่ไปกับการสร้างความมั่นใจว่าการบริหารจัดการด้านความปลอดภัยไซเบอร์ การคุ้มครองข้อมูลส่วนบุคคล และความเสี่ยงทางดิจิทัล จะได้รับการจัดการอย่างมีประสิทธิภาพทั่วทั้งองค์กร ทั้งนี้ คณะกรรมการพัฒนายุทธศาสตร์ดิจิทัลจะรายงานผลการดำเนินงานต่อคณะกรรมการบริษัทเป็นประจำทุกปี
ระดับผู้บริหาร
ในระดับบริหาร บี.กริม เพาเวอร์ แต่งตั้งหัวหน้าฝ่ายป้องกันภัยทางไซเบอร์ในบทบาทผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง (CISO) ทำหน้าที่กำกับและขับเคลื่อนงานด้านความมั่นคงปลอดภัยไซเบอร์ขององค์กร พร้อมกำหนดกลยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ ประเมินความเสี่ยง และผลักดันให้การดำเนินงานสอดคล้องกับนโยบายและมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศและทั่วถึงในระดับองค์กร โดยรายงานตรงต่อประธานเจ้าหน้าที่บริหาร ธุรกิจในประเทศไทย มาเลเซีย และโซลูชั่นธุรกิจอุตสาหกรรม
ระดับปฏิบัติงานป้องกันทางภัยไซเบอร์
บี.กริม เพาเวอร์ ได้จัดตั้งโครงสร้างการป้องกันภัยทางไซเบอร์โดยเฉพาะ ซึ่งประกอบด้วยหน้าที่หลักดังนี้:
- ด้านความมั่นคงปลอดภัยไซเบอร์ ครอบคลุมฝ่ายปฏิบัติการป้องกันภัยทางไซเบอร์ (Cyber Defense Operations) และหน่วยงานโครงสร้างพื้นฐานด้านความปลอดภัยไซเบอร์ (Security Infrastructure) รับผิดชอบการติดตาม ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ รวมถึงเสริมสร้างความสามารถในการรับมือและความยืดหยุ่นขององค์กรโดยรวม
- ด้านการตอบสนองเหตุการณ์ รับผิดชอบการตรวจจับ ตอบสนอง และฟื้นฟูจากเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์อย่างทันท่วงที
- ด้านการกำกับดูแล ความเสี่ยง และการปฏิบัติตามกฎระเบียบด้านไซเบอร์ รับผิดชอบการพัฒนานโยบาย การประเมินความเสี่ยง และการปฏิบัติตามกฎหมาย กฎระเบียบ และมาตรฐานที่เกี่ยวข้อง
โครงสร้างดังกล่าวช่วยเสริมความชัดเจนด้านความรับผิดชอบ และสนับสนุนความสามารถของ บี.กริม เพาเวอร์ ในการบริหารจัดการความเสี่ยง ไซเบอร์ที่มีการเปลี่ยนแปลงอย่างต่อเนื่องได้อย่างมีประสิทธิภาพ
กลยุทธ์
กลยุทธ์ด้านความปลอดภัยไซเบอร์ของ บี.กริม เพาเวอร์ มุ่งเน้นการปกป้องโครงสร้างพื้นฐานที่สำคัญ ข้อมูลที่มีความอ่อนไหว และเสริมสร้างความยืดหยุ่นและพร้อมรับมือทางดิจิทัลขององค์กร โดยบูรณาการการทำงานตามมาตรฐานสากลที่ได้รับการยอมรับ ได้แก่ กรอบการบริหารความมั่นคงปลอดภัยไซเบอร์ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา (NIST Cyber Security Framework: CSF) เวอร์ชัน 2.0 และมาตรฐาน ISO/IEC 27001:2022 เพื่อยกระดับความปลอดภัยไซเบอร์ให้เป็นวาระสำคัญหลักของธุรกิจ กรอบการทำงานดังกล่าวขับเคลื่อนด้วยการบริหารความเสี่ยงและการกำกับดูแลกิจการที่ดี ซึ่งเชื่อมโยงการทำงานเข้ากับการกำกับดูแลของฝ่ายบริหาร วัตถุประสงค์ทางธุรกิจ และผลลัพธ์ที่วัดผลได้ ตลอดจนช่วยเพิ่มความพร้อมในการรับมือกับความเสี่ยงจากเทคโนโลยีอุบัติใหม่ (Emerging Technology) อาทิ ปัญญาประดิษฐ์ (AI) เพื่อให้การป้องกันเป็นไปอย่างรัดกุมและต่อเนื่อง เราได้จัดตั้งฝ่ายปฏิบัติการป้องกันภัยทางไซเบอร์ที่ทำหน้าที่เฝ้าระวังและตอบสนองต่อเหตุการณ์ตลอด 24 ชั่วโมง พร้อมระบบรายงานกรณีวิกฤตไปยังหน่วยงานระดับบริหารที่เกี่ยวข้องเพื่อการแก้ไขอย่างทันท่วงที แนวทางทั้งหมดนี้สะท้อนจุดยืนของ บี.กริม เพาเวอร์ ที่กำหนดให้ความปลอดภัยด้านไซเบอร์เป็นปัจจัยขับเคลื่อนเชิงกลยุทธ์ (Strategic Enabler) ในการรักษาความไว้วางใจ สนับสนุนความเป็นเลิศในการดำเนินงาน และสร้างการเติบโตอย่างยั่งยืนในระยะยาวให้แก่ลูกค้าและพันธมิตรของเรา
กรอบการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์
แหล่งที่มา: National Institute of Standards and Technology (NIST) Cybersecurity Framework 2.0
บี.กริม เพาเวอร์ ดำเนินงานภายใต้หลักการสำคัญ 4 ประการ ได้แก่ สนับสนุนความพร้อมของการปฏิบัติการ บริหารความเสี่ยง ส่งเสริมวัฒนธรรมความปลอดภัยด้านไซเบอร์และพัฒนานวัตกรรม ซึ่งเป็นกรอบการดำเนินงานที่เสริมสร้างความสามารถขององค์กรในการป้องกัน ตรวจจับ ตอบสนอง และฟื้นฟูจากความเสี่ยงด้านไซเบอร์ได้อย่างมีประสิทธิภาพ
หลักการดำเนินงานด้านการป้องกันภัยไซเบอร์
สนับสนุนความพร้อม
ของการปฏิบัติการ
ภายใต้หลักการดังนี้ การพัฒนาขีดความสามารถของบุคคลากร การรักษาข้อมูลความลับ ความพร้อมของระบบ ความโปร่งใสและความสอดคล้องกับข้อกฎหมาย และตอบสนองต่อเหตุการณ์ผิดปกติอย่างเหมาะสมและทันท่วงที
บริหารความเสี่ยง
ประเมินและวางแผนการจัดการความเสี่ยงด้านความปลอดภัยไซเบอร์ ครอบคลุมทั้งด้านโครงสร้างพื้นฐาน อุปกรณ์โครงข่ายและซอฟต์แวร์
ส่งเสริมวัฒนธรรมความปลอดภัย
ด้านไซเบอร์
สร้างความตระหนักและความเข้าใจต่อการรักษาความปลอดภัยไซเบอร์ให้แก่บุคคลากรทั่วทั้งองค์กร
การพัฒนานวัตกรรม
ร่วมมือกับพันธมิตรเพื่อวิจัยและพัฒนาโซลูชั่น เพื่อส่งเสริมขีดความสามารถของระบบในการรับมือต่อสถานการณ์ต่าง ๆ (Resilience) ตลอดจนสร้างคุณค่าและโอกาสในเชิงธุรกิจ
การคุ้มครองข้อมูลส่วนบุคคล
นโยบายและความมุ่งมั่น
โครงสร้างการกำกับดูแล
แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) มีหน้าที่จัดทำนโยบายและระเบียบปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับข้อกำหนดและกฎหมาย ดูแลการบริหารความเสี่ยงเกี่ยวกับข้อมูลส่วนบุคคล ร่วมมือกับหน่วยงานภายในต่าง ๆ เพื่อปกป้องความเป็นส่วนตัวของข้อมูล และการรับมือต่อเหตุการณ์ที่เกี่ยวข้องกับการละเมิดข้อมูลส่วนบุคคล
นอกจากนี้ เราได้จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เพื่อกำกับดูแล การบริหาร จัดการ ตรวจสอบ และติดตามผลด้านการคุ้มครองข้อมูล โดยมีสายงานตรวจสอบภายในเป็นส่วนหนึ่งของคณะกรรมการ ทำหน้าที่สอบทานและประเมินการควบคุมภายในด้านความปลอดภัยของข้อมูลส่วนบุคคลประจำปี เพื่อให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมุ่งเน้นการตรวจสอบกิจกรรมที่มีความเสี่ยงด้านข้อมูลส่วนบุคคล ให้ความเห็นเชิงกลยุทธ์ และส่งเสริมความตระหนักของพนักงานในข้อกฎหมายที่เกี่ยวข้อง
กลยุทธ์
ในเชิงปฏิบัติการ บี. กริม เพาเวอร์ กำหนดนโยบายการจัดลำดับชั้นข้อมูลของบริษัท (Data Classification) ระบุนิยาม ระเบียบปฏิบัติ หน้าที่ความรับผิดชอบ ตลอดจนสิทธิ์การเข้าถึงตามประเภทของข้อมูล ซึ่งแบ่งเป็น 4 ประเภท ได้แก่ ข้อมูลสาธารณะ ข้อมูลใช้ภายใน ข้อมูลลับ และข้อมูลหวงห้ามเฉพาะ นอกจากนี้ ยังกำหนดให้มีการบริหารจัดการความเสี่ยงที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคลในกระบวนการออกแบบสินค้าและบริการ การพัฒนาระบบและแอปพลิเคชัน การอัพเกรดซอฟต์แวร์ และโครงการใด ๆ ที่มีส่วนเกี่ยวข้องกับการจัดการข้อมูลส่วนบุคคล ดังนี้
- การประยุกต์ใช้หลักการ Privacy by Design และหลักการ Privacy by Default เพื่อให้สามารถระบุประเด็นความเสี่ยงที่เกี่ยวกับข้อมูลส่วนบุคคล ตลอดจนระบุแนวทางการป้องกันหรือลดความเสี่ยงในประเด็นดังกล่าว
- การกำหนดให้มีการตรวจสอบการรักษาความเป็นส่วนตัวของข้อมูล (Privacy Impact Assessment: PIA) เพื่อระบุความเสี่ยง และผลกระทบที่อาจเกิดขึ้นต่อข้อมูลส่วนบุคคลและวางมาตรการควบคุมที่เกี่ยวข้อง
- การประเมินความสอดคล้องและเป็นไปตามกฎหมายและข้อบังคับที่เกี่ยวข้อง พร้อมกำหนดช่องทางรับแจ้งข้อร้องเรียนด้านข้อมูลส่วนบุคคลผ่านเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ที่ dpo@bgrimmpower.com โดยมีกระบวนการในการตอบสนองต่อเหตุการณ์ละเมิดข้อมูลส่วนบุคคล ดังนี้
ฝ่ายปฏิบัติการป้องกันภัยทางไซเบอร์ ได้รับแจ้งข้อร้องเรียนหรือตรวจพบเหตุการณ์ผิดปกติ
เกี่ยวกับความเป็นส่วนตัวของข้อมูลจากช่องทางต่าง ๆ เช่น เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
ฝ่ายปฏิบัติการป้องกันภัยทางไซเบอร์ สืบสวน ประเมินระดับความรุนแรง ควบคุมความเสียหาย
ตลอดจนออกมาตราการป้องกันความเสียหาย และรายงานต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล
รายงานเหตุต่อคณะกรรมการบริษัทและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ภายใน 72 ชั่วโมง
สายงาน/ฝ่ายที่รับผิดชอบการสื่อสารในกรณีเกิดเหตุการณ์
- สายงานทรัพยากรบุคคล ทำหน้าที่สื่อสารกับผู้มีส่วนได้เสียภายในองค์กร
- ฝ่ายสื่อสารองค์กร ดูแลการสื่อสารกับผู้มีส่วนได้เสียภายนอกและหน่วยงานที่เกี่ยวข้อง
เรามุ่งส่งเสริมความตระหนักและสร้างวัฒนธรรมองค์กรด้านความปลอดภัยไซเบอร์และการรักษาข้อมูลส่วนบุคคล โดยกำหนดให้พนักงานทุกคนต้องอบรมและผ่านการทดสอบในด้านดังกล่าวเป็นประจำทุกปี พนักงานจะต้องทำความเข้าใจนโยบาย ระเบียบ ข้อบังคับ และแนวปฏิบัติด้านการรักษาความปลอดภัยไซเบอร์และการปกป้องข้อมูลส่วนบุคคลอย่างเคร่งครัด ทั้งนี้ หากมีการกระทำผิด บริษัทจะเป็นผู้พิจารณาลงโทษทางวินัยตามแต่ลักษณะของความผิดหรือความหนักเบาของการกระทำความผิดหรือตามความร้ายแรงที่เกิดขึ้น และอาจถูกดำเนินการและได้รับโทษทางกฎหมาย
ผลการดำเนินงานปี 2568
ด้านการปฏิบัติตามนโยบาย กฎหมาย และการกำกับดูแล
เราได้ทบทวนและยกระดับกรอบการดำเนินงาน นโยบาย และแนวปฏิบัติ เพื่อให้มั่นใจว่าการดำเนินธุรกิจเป็นไปตามกฎหมายและข้อบังคับที่เกี่ยวข้อง อาทิ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ตลอดจนเตรียมความพร้อมรองรับกฎระเบียบใหม่ในอนาคต โดยได้ทบทวนและปรับปรุงนโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศภายในองค์กรอย่างรอบด้าน เพื่อเสริมสร้างความแข็งแกร่งในการกำกับดูแลด้านความปลอดภัยไซเบอร์ การคุ้มครองข้อมูล และความสามารถในการรับมือกับความเสี่ยงด้านดิจิทัลและกฎระเบียบที่เกิดขึ้นใหม่อย่างเหมาะสม
ด้านการอบรมและส่งเสริมวัฒนธรรมองค์กร
เรามุ่งเสริมสร้างวัฒนธรรมองค์กรด้านความปลอดภัยไซเบอร์ ผ่านการฝึกอบรมที่เป็นระบบและการสร้างความตระหนักรู้อย่างต่อเนื่อง โดยแพลตฟอร์มการเรียนรู้ออนไลน์รูปแบบใหม่มาใช้ เพื่อให้ความรู้เชิงปฏิบัติเกี่ยวกับความเสี่ยงทางไซเบอร์และเทคโนโลยี AI เช่น ดีปเฟก (Deepfakes) ภัยจากแก๊งคอลเซ็นเตอร์ และการใช้เครื่องมือ Generative AI (Large Language Models: LLMs) อย่างรับผิดชอบ โดยมีอัตราการเรียนจบหลักสูตรถึงร้อยละ 89 และอัตราการผ่านการประเมินมากกว่า ร้อยละ 89 โดยจัดทำหลักสูตรในหลายภาษา ครอบคลุมทุกประเทศที่ดำเนินธุรกิจ นอกจากนี้ ยังสื่อสารเพื่อสร้างความตระหนักเกี่ยวกับภัยคุกคามใหม่เป็นประจำ อาทิ การโจมตีแบบฟิชชิ่ง (Phishing) และภัยไซเบอร์ที่มุ่งเป้าข้อมูลบัญชีผู้ใช้งานและข้อมูลสำคัญ
ด้านการส่งเสริมความมั่นคงปลอดภัยของโครงสร้างเทคโนโลยีสารสนเทศ และระบบคลาวด์
- การเตรียมความพร้อมและการตรวจจับภัยคุกคามทางไซเบอร์
เราได้ซ้อมแผนรับมือภัยคุกคามทางไซเบอร์ (Cyber Drills) จำนวน 2 ครั้ง โดยเน้นสถานการณ์การโจมตีแบบฟิชชิ่งที่ใช้เทคโนโลยี AI (AI-driven Phishing) ซึ่งมุ่งเป้าไปที่อุปกรณ์ปลายทางของผู้ใช้งาน (User Endpoints) และแพลตฟอร์มการทำงานร่วมกันบนคลาวด์ เช่น SharePoint พร้อมทั้งนำระบบข่าวกรองภัยคุกคาม (Threat Intelligence) ระดับอุตสาหกรรมมาใช้ เพื่อติดตามเฝ้าระวังความเคลื่อนไหวในตลาดมืด เว็บไซต์ฝากข้อมูล บล็อก กระดานสนทนา คลังมัลแวร์ และแหล่งข้อมูลอื่น ๆ อย่างต่อเนื่อง เพื่อช่วยคาดการณ์การโจมตี รวมถึงตรวจจับการรั่วไหลของข้อมูลและข้อมูลประจำตัว (Credentials) ที่ยังไม่เคยถูกเปิดเผยมาก่อน โครงการเหล่านี้ช่วยยกระดับความพร้อมของพนักงาน เพิ่มประสิทธิภาพในการตรวจจับภัยคุกคามได้ตั้งแต่ระยะเริ่มต้น และลดความเสี่ยงจากการขโมยข้อมูลประจำตัว การรั่วไหลของข้อมูล และการแอบอ้างชื่อแบรนด์ - การตอบสนองต่อเหตุการณ์และการเสริมสร้างความยืดหยุ่นด้านไซเบอร์
เรายกระดับกระบวนการตอบสนองต่อเหตุการณ์ด้านไซเบอร์ ผ่านระบบการจัดการ การทำงานอัตโนมัติ และการตอบสนองด้านความปลอดภัย (Security Orchestration, Automation and Response: SOAR) มาใช้ ซึ่งช่วยให้กระบวนการทำงานเป็นไปโดยอัตโนมัติ ลดระยะเวลาการตอบสนอง และจัดการกับเหตุการณ์ทางไซเบอร์ได้อย่างเป็นมาตรฐานเดียวกัน พร้อมลดภาระงานของทีมป้องกันภัยทางไซเบอร์ นอกจากนี้ ยังดำเนินการประเมินช่องโหว่ (Vulnerability Assessments) และทดสอบการเจาะระบบ (Penetration Tests) เป็นประจำทุกปี ครอบคลุมระบบธุรกิจสำคัญ เครือข่ายโรงไฟฟ้า และระบบคลาวด์ โดยในปี 2568 ได้ดำเนินการทดสอบการเจาะระบบแล้วเสร็จ 12 โครงการ เพื่อยกระดับความพร้อมรับมือทางดิจิทัล (Cyber Resilience) ให้แข็งแกร่งยิ่งขึ้น - การรักษาความปลอดภัยในการเข้าถึงระบบ อุปกรณ์ปลายทาง และเครือข่าย
เรานำระบบการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA) มาใช้กับแล็ปท็อปและอุปกรณ์ปลายทางต่าง ๆ ขององค์กรเพื่อเสริมสร้างความปลอดภัยของอุปกรณ์ปลายทางและเครือข่าย โดยช่วยลดความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างมีนัยสำคัญ นอกจากนี้ ยังนำระบบแนวคิดการออกแบบโครงสร้างด้านเครือข่ายและความปลอดภัยบนคลาวด์ (Secure Access Service Edge: SASE) มาใช้ เพื่อยกระดับความปลอดภัยในการเข้าถึงระบบ การปกป้องอุปกรณ์ปลายทาง และความมั่นคงปลอดภัยของเครือข่ายที่ครอบคลุมทั้งผู้ใช้งานและหน่วยงานในทุกพื้นที่ปฏิบัติงาน - การป้องกันหลายชั้นสำหรับโครงสร้างพื้นฐานที่สำคัญ
เราประยุกต์ใช้แนวทางการป้องกันหลายชั้นและแนวคิด Zero Trust หรือการควบคุมการเข้าถึงแบบตรวจสอบทุกครั้ง ครอบคลุมทั้งระบบเทคโนโลยีสารสนเทศ (IT) ระบบเทคโนโลยีปฏิบัติการ (OT) และระบบคลาวด์ในโรงไฟฟ้าพลังความร้อนร่วมเพื่อให้การดำเนินงานมีความปลอดภัยและมีความยืดหยุ่น
ด้านการตรวจสอบ
เราจัดให้มีการสอบทานด้านความปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ โดยมีการตรวจรับรองตามมาตรฐานสากลระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001:2022 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศโดยผู้ตรวจสอบภายในและภายนอก นอกจากนี้ ยังจัดประเมินความเสี่ยงตามกรอบการบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์ โดย NIST โดยผู้เชี่ยวชาญภายนอก เพื่อให้แน่ใจว่าองค์กรสามารถรักษาความมั่นคงปลอดภัยไซเบอร์ได้อย่างรัดกุมและสามารถตอบสนองเหตุการณ์ได้อย่างทันท่วงที
ในปี 2568 หน่วยงานตรวจสอบภายในได้ตรวจสอบเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูลอย่างครอบคลุม เพื่อประเมินความเพียงพอและประสิทธิผลของระบบการควบคุม ซึ่งครอบคลุมถึงการบริหารจัดการการเข้าถึง (Access Management) ความปลอดภัยของโครงสร้างพื้นฐาน การกำกับดูแลข้อมูลและระบบ การดูแลผู้ให้บริการภายนอก และการบริหารจัดการสินทรัพย์ด้านไอที
| 2565 | 2566 | 2567 | 2568 | |
|---|---|---|---|---|
| ด้านความปลอดภัยไซเบอร์ | ||||
| การละเมิดความปลอดภัยไซเบอร์หรือภัยคุกคามไซเบอร์อื่น ๆ1 (กรณี) | 0 | 0 | 0 | 0 |
| ด้านการคุ้มครองข้อมูลส่วนบุคคล | ||||
| ข้อร้องเรียนเกี่ยวกับการละเมิดความเป็นส่วนตัวของลูกค้า2 (กรณี) | 0 | 0 | 0 | 0 |
1 การเข้าถึงข้อมูล แอปพลิเคชัน เครือข่าย อุปกรณ์ หรือระบบที่ได้รับการป้องกันโดยไม่ได้รับอนุญาต ซึ่งมักเกิดจากอาชญากรทางไซเบอร์หรือแอปพลิเคชันที่เป็นอันตรายที่สามารถเจาะผ่านระบบความปลอดภัยเพื่อเข้าถึงข้อมูลที่ถูกจำกัด
2 ข้อร้องเรียนที่เป็นลายลักษณ์อักษรจากหน่วยงานกำกับดูแลหรือหน่วยงานที่เกี่ยวข้อง ที่ส่งถึงองค์กร ระบุถึงการละเมิดความเป็นส่วนตัวของลูกค้า รวมถึงข้อร้องเรียนที่ยื่นต่อองค์กรและได้รับการพิสูจน์ว่ามีมูล รวมถึงข้อร้องเรียนที่ได้รับการยืนยันจากบุคคลทั่วไป หน่วยงานราชการ หรือหน่วยงานกำกับดูแล