แนวทางบริหารจัดการ
บริษัทฯ ตระหนักถึงความสำคัญต่อการปกป้องความเป็นส่วนตัวและความปลอดภัยของข้อมูล จึงได้กำหนด “นโยบายการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ” “นโยบายการคุ้มครองข้อมูลส่วนบุคคล” และคู่มือระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้กรรมการ ผู้บริหาร และพนักงานทุกระดับ ปฏิบัติตามแนวทางการเก็บรักษา การเข้าถึงข้อมูล และการใช้ข้อมูลอย่างถูกต้อง โดยเฉพาะข้อมูลที่มีความอ่อนไหวต่อบริษัทฯ หรือผู้มีส่วนได้เสีย เป็นไปตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562
บริษัทฯ มีโครงสร้างการกำกับดูแลด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ที่สอดคล้องตามมาตรฐานสากล ISO/IEC:27001 โดยฝ่ายเทคโนโลยีสารสนเทศมีหน้าที่ รับผิดชอบในการดูแล ควบคุมและบริหารจัดการ ติดตามผลการดำเนินงาน รายงานความคืบหน้าและผลการปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ต่อประธานเจ้าหน้าที่บริหารเป็น ประจำทุกเดือน ก่อนนำเสนอต่อคณะกรรมการบริหาร และคณะกรรมการบริหารความเสี่ยงต่อไป
ส่วนการกำกับดูแลความปลอดภัยของข้อมูลส่วนบุคคล บริษัทฯ จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยมีประธานเจ้าหน้าที่บริหารเป็นประธาน มีหน้าที่ในการกำหนด มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานของบริษัทฯ และผู้มีส่วนได้เสียที่เกี่ยวข้อง รวมถึง การสื่อสารและติดตามการปฏิบัติงานให้เป็นไปตามเป้าหมาย
กลยุทธ์การรักษาความปลอดภัยของข้อมูล
บริษัทฯ จึงกำหนดกลยุทธ์ในการดำเนินงานเพื่อควบคุมความเสี่ยงของการรั่วไหลของข้อมูลและการถูกโจมตีทางไซเบอร์ โดยมุ่งเน้นการลดโอกาสในการเกิด (Likelihood) และลดความรุนแรงของผลกระทบ (Impact) ดังนี้
การป้องกันการโจมตีทางไซเบอร์
บริษัทฯ มีการระบุและประเมินความเสี่ยงที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ (Cyber Security) เพื่อกำหนดมาตรการจัดการความเสี่ยงที่เหมาะสม เช่น การจัดการสิทธิ์การ เข้าถึง (Access Control Management) การเข้ารหัสข้อมูล (Encryption) การยืนยันตัวตนแบบหลายปัจจัย (Multifactor Authentication: MFA) และมีการติดตั้งซอฟต์แวร์ป้อง ไวรัส (Endpoints) เพื่อป้องการโจมตีทางไซเบอร์บนคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์ทั้งหมดภายในองค์กร นอกจากนี้ บริษัทฯ ได้ทำการจัดเก็บข้อมูลสำรอง (Backup data) และจัดให้มีกระบวนการตรวจสอบความพร้อมในการใช้งานข้อมูลสำรอง (Backup data) เป็นประจำทุกไตรมาส เพื่อรับมือในกรณีเกิดการโจมตีทางไซเบอร์หรือจากบุคคลที่ไม่ ประสงค์ดี ซึ่งเหตุการณ์การถูกโจมตีทางไซเบอร์อาจทำให้กระบวนการทำงานหยุดชะงักได้ บริษัทฯ จึงได้จัดทำแผนความต่อเนื่องของธุรกิจ (Business Continuity Plan: BCP) และแผนฟื้นฟูหลังเกิดภาวะวิกฤต (Recovery Plan) เพื่อเตรียมความพร้อมด้วยอีกทางหนึ่ง
นอกจากบริษัทฯ ได้จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากลโดยอ้างอิงมาตรฐาน ISO/IEC:27001 และ NIST Security Frame Work ของ National Institute of Standards and Technology (NIST) และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่เกี่ยวข้องแล้ว บริษัทฯ ยังมีการพัฒนาโครงสร้างพื้นฐาน และระบบความปลอดภัยทางเทคโนโลยีสารสนเทศอย่างต่อเนื่อง มีการติดตามและเฝ้าระวังภัยคุกคามที่เกิดขึ้นใหม่จากการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยี ทั้งในส่วน สำนักงานและระบบโรงงาน เพื่อให้สามารถวางแผนป้องกันเชิงรุกก่อนที่จะถูกโจมตี พร้อมทั้งมีการตรวจสอบระบบการรับมือกับภัยคุกคามการโจมตีด้านไซเบอร์ และซ้อมแผนการ กู้คืนระบบสารสนเทศเป็นประจำ
นอกจากนี้ การสร้างความตระหนักรู้แก่ผู้บริหารและพนักงานในด้านความปลอดภัยไซเบอร์ให้ทันกับสถานการณ์และรูปแบบการโจมตีใหม่เป็นสิ่งที่จำเป็นเช่นเดียวกัน เนื่องจากข้อมูล อาจมีการรั่วไหลจากการปฏิบัติงานของพนักงานหรือความไม่รู้เท่าทันภัยคุกคาม บริษัทฯ จึงจัดให้มีการอบรมให้ความรู้เกี่ยวกับลักษณะการโจมตี วิธีการปฏิบัติ การป้องกัน และกฎหมายเทคโนโลยีสารสนเทศที่เกี่ยวข้องอย่างต่อเนื่อง เพื่อปลูกฝังให้พนักงานมีความระมัดระวังในการใช้อุปกรณ์และเทคโนโลยีสารสนเทศและตระหนักถึงความเสี่ยงและผล กระทบที่จะเกิดขึ้น
การจัดการข้อมูลและการเข้าถึงข้อมูล
บริษัทฯ กำหนดมาตรการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนดและสอดคล้องกับมาตรฐานการดำเนินงานที่เป็นสากล โดยแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ให้มีบทบาทหน้าที่สำคัญในการดูแลตรวจสอบกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในองค์กร เพื่อให้เป็นไป ตามหลักเกณฑ์ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และให้คำปรึกษา กำกับดูแล ประสานงานทั้งภายในและภายนอกองค์กร เพื่อให้การจัดการข้อมูลส่วนบุคคลเป็นไปอย่าง ถูกต้อง นอกจากการนำเทคโนโลยีที่ทันสมัยมาใช้ในการปกป้องข้อมูลจากการโจมตีทางไซเบอร์หรือผู้บุกรุกโดยไม่ได้รับอนุญาตแล้ว บริษัทฯ ยังจัดให้มีระบบการจัดการข้อมูลและ เอกสารสำคัญ รวมถึงควบคุมดูแลการเข้าถึงข้อมูลภายในองค์กร เพื่อรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลให้เกิดประสิทธิภาพสูงสุด ดังนี้
การจัดการข้อร้องเรียนด้านการรั่วไหลของข้อมูล
บริษัทฯ จัดให้มีช่องทางให้ผู้มีส่วนได้เสียสามารถแจ้งเหตุการณ์กรณีข้อมูลความลับหรือข้อมูลส่วนบุคคลรั่วไหล และมีกระบวนการในการตรวจสอบข้อเท็จจริง หากเป็นกรณีร้องเรียน เกี่ยวกับข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้พิจารณาและรายงานต่อผู้บริหารตามลำดับต่อไป
ช่องทางการร้องเรียน
ฝ่ายบริหารทรัพยากรมนุษย์
บริษัท นอร์ทอีส รับเบอร์ จำกัด (มหาชน) เลขที่ 398 หมู่ 4 ต.โคกม้า อ.ประโคนชัย จ.บุรีรัมย์ 31140
- 044- 666-928
- 044-666-929
การรักษาความปลอดภัยของข้อมูล
จากการดำเนินงานด้านการรักษาความปลอดภัยของข้อมูลเป้าหมายและสรุปผลการดำเนินงานที่สำคัญแสดงดังตาราง
| เป้าหมายระยะยาว ปี 2571 |
เป้าหมาย ปี 2567 |
ผลการดำเนินงาน ปี 2567 |
|
|---|---|---|---|
| จำนวนข้อร้องเรียนเกี่ยวกับการรั่วไหลของข้อมูลส่วนตัวและความลับทางธุรกิจ | 0 | 0 | 0 |
| เหตุการณ์ที่มีความเสียหายจากการถูกโจมตี ทางไซเบอร์ | 0 | 0 | 0 |
| *สัดส่วนพนักงานระดับหัวหน้างานขึ้นไป ที่ผ่านการฝึกอบรมเรื่องความปลอดภัยของข้อมูล | ร้อยละ 100 | ร้อยละ 100 | ร้อยละ 100 |
| *สัดส่วนพนักงานระดับปฏิบัติการ ที่ผ่านการฝึกอบรมเรื่องความปลอดภัยของข้อมูล | ร้อยละ 100 | ร้อยละ 100 | ร้อยละ 81.98 |
* เฉพาะพนักงานระดับหัวหน้างานและระดับปฏิบัติการที่สามารถใช้งานระบบสารสนเทศของบริษัทได้