แนวทางบริหารจัดการ

บริษัทฯ ตระหนักถึงความสำคัญต่อการปกป้องความเป็นส่วนตัวและความปลอดภัยของข้อมูล จึงได้กำหนด “นโยบายการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ” “นโยบายการคุ้มครองข้อมูลส่วนบุคคล” และคู่มือระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้กรรมการ ผู้บริหาร และพนักงานทุกระดับ ปฏิบัติตามแนวทางการเก็บรักษา การเข้าถึงข้อมูล และการใช้ข้อมูลอย่างถูกต้อง โดยเฉพาะข้อมูลที่มีความอ่อนไหวต่อบริษัทฯ หรือผู้มีส่วนได้เสีย เป็นไปตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562

บริษัทฯ มีโครงสร้างการกำกับดูแลด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ที่สอดคล้องตามมาตรฐานสากล ISO/IEC:27001 โดยฝ่ายเทคโนโลยีสารสนเทศมีหน้าที่รับผิดชอบในการดูแล ควบคุมและบริหารจัดการ ติดตามผลการดำเนินงาน รายงานความคืบหน้าและผลการปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ต่อประธานเจ้าหน้าที่บริหารเป็นประจำทุกเดือน ก่อนนำเสนอต่อคณะกรรมการบริหาร และคณะกรรมการบริหารความเสี่ยงต่อไป

ส่วนการกำกับดูแลความปลอดภัยของข้อมูลส่วนบุคคล บริษัทฯ จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยมีประธานเจ้าหน้าที่บริหารเป็นประธาน มีหน้าที่ในการกำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานของบริษัทฯ และผู้มีส่วนได้เสียที่เกี่ยวข้อง รวมถึงการสื่อสารและติดตามการปฏิบัติงานให้เป็นไปตามเป้าหมาย

ศึกษานโยบายการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ เพิ่มเติมได้ที่ www.nerubber.com หรือสแกน QR Code

ศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคล เพิ่มเติมได้ที่ www.nerubber.com หรือสแกน QR Code

กลยุทธ์การรักษาความปลอดภัยของข้อมูล

บริษัทฯ จึงกำหนดกลยุทธ์ในการดำเนินงานเพื่อควบคุมความเสี่ยงของการรั่วไหลของข้อมูลและการถูกโจมตีทางไซเบอร์ โดยมุ่งเน้นการลดโอกาสในการเกิด (Likelihood) และลดความรุนแรงของผลกระทบ (Impact) ดังนี้

การป้องกันการโจมตีทางไซเบอร์

บริษัทฯ มีการระบุและประเมินความเสี่ยงที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ (Cyber Security) เพื่อกำหนดมาตรการจัดการความเสี่ยงที่เหมาะสม เช่น การจัดการสิทธิ์การเข้าถึง (Access Control Management) การเข้ารหัสข้อมูล (Encryption) การยืนยันตัวตนแบบหลายปัจจัย (Multifactor Authentication: MFA) และมีการติดตั้งซอฟต์แวร์ป้องไวรัส (Endpoints) เพื่อป้องการโจมตีทางไซเบอร์บนคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์ทั้งหมดภายในองค์กร นอกจากนี้ บริษัทฯ ได้ทำการจัดเก็บข้อมูลสำรอง (Backup data) และจัดให้มีกระบวนการตรวจสอบความพร้อมในการใช้งานข้อมูลสำรอง (Backup data) เป็นประจำทุกไตรมาส เพื่อรับมือในกรณีเกิดการโจมตีทางไซเบอร์หรือจากบุคคลที่ไม่ประสงค์ดี ซึ่งเหตุการณ์การถูกโจมตีทางไซเบอร์อาจทำให้กระบวนการทำงานหยุดชะงักได้ บริษัทฯ จึงได้จัดทำแผนความต่อเนื่องของธุรกิจ (Business Continuity Plan: BCP) และแผนฟื้นฟูหลังเกิดภาวะวิกฤต (Recovery Plan) เพื่อเตรียมความพร้อมด้วยอีกทางหนึ่ง

นอกจากบริษัทฯ ได้จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากลโดยอ้างอิงมาตรฐาน ISO/IEC:27001 และ NIST Security Frame Work ของ National Institute of Standards and Technology (NIST) และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่เกี่ยวข้องแล้ว บริษัทฯ ยังมีการพัฒนาโครงสร้างพื้นฐานและระบบความปลอดภัยทางเทคโนโลยีสารสนเทศอย่างต่อเนื่อง มีการติดตามและเฝ้าระวังภัยคุกคามที่เกิดขึ้นใหม่จากการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยี ทั้งในส่วนสำนักงานและระบบโรงงาน เพื่อให้สามารถวางแผนป้องกันเชิงรุกก่อนที่จะถูกโจมตี พร้อมทั้งมีการตรวจสอบระบบการรับมือกับภัยคุกคามการโจมตีด้านไซเบอร์ และซ้อมแผนการกู้คืนระบบสารสนเทศเป็นประจำ

นอกจากนี้ การสร้างความตระหนักรู้แก่ผู้บริหารและพนักงานในด้านความปลอดภัยไซเบอร์ให้ทันกับสถานการณ์และรูปแบบการโจมตีใหม่เป็นสิ่งที่จำเป็นเช่นเดียวกัน เนื่องจากข้อมูลอาจมีการรั่วไหลจากการปฏิบัติงานของพนักงานหรือความไม่รู้เท่าทันภัยคุกคาม บริษัทฯ จึงจัดให้มีการอบรมให้ความรู้เกี่ยวกับลักษณะการโจมตี วิธีการปฏิบัติ การป้องกัน และกฎหมายเทคโนโลยีสารสนเทศที่เกี่ยวข้องอย่างต่อเนื่อง เพื่อปลูกฝังให้พนักงานมีความระมัดระวังในการใช้อุปกรณ์และเทคโนโลยีสารสนเทศและตระหนักถึงความเสี่ยงและผลกระทบที่จะเกิดขึ้น

การจัดการข้อมูลและการเข้าถึงข้อมูล

บริษัทฯ กำหนดมาตรการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนดและสอดคล้องกับมาตรฐานการดำเนินงานที่เป็นสากล โดยแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ให้มีบทบาทหน้าที่สำคัญในการดูแลตรวจสอบกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในองค์กร เพื่อให้เป็นไปตามหลักเกณฑ์ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และให้คำปรึกษา กำกับดูแล ประสานงานทั้งภายในและภายนอกองค์กร เพื่อให้การจัดการข้อมูลส่วนบุคคลเป็นไปอย่างถูกต้อง นอกจากการนำเทคโนโลยีที่ทันสมัยมาใช้ในการปกป้องข้อมูลจากการโจมตีทางไซเบอร์หรือผู้บุกรุกโดยไม่ได้รับอนุญาตแล้ว บริษัทฯ ยังจัดให้มีระบบการจัดการข้อมูลและเอกสารสำคัญ รวมถึงควบคุมดูแลการเข้าถึงข้อมูลภายในองค์กร เพื่อรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลให้เกิดประสิทธิภาพสูงสุด ดังนี้

การจัดการข้อร้องเรียนด้านการรั่วไหลของข้อมูล

บริษัทฯ จัดให้มีช่องทางให้ผู้มีส่วนได้เสียสามารถแจ้งเหตุการณ์กรณีข้อมูลความลับหรือข้อมูลส่วนบุคคลรั่วไหล และมีกระบวนการในการตรวจสอบข้อเท็จจริง หากเป็นกรณีร้องเรียนเกี่ยวกับข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้พิจารณาและรายงานต่อผู้บริหารตามลำดับต่อไป

การรักษาความปลอดภัยของข้อมูล

จากการดำเนินงานด้านการรักษาความปลอดภัยของข้อมูลเป้าหมายและสรุปผลการดำเนินงานที่สำคัญแสดงดังตาราง