แนวทางบริหารจัดการ

บริษัทฯ ตระหนักถึงความสำคัญต่อการปกป้องความเป็นส่วนตัวและความปลอดภัยของข้อมูล จึงได้กำหนด “นโยบายการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ” “นโยบายการคุ้มครองข้อมูลส่วนบุคคล” และคู่มือระบบบริหารจัดการคุ้มครองข้อมูลส่วนบุคคล เพื่อให้กรรมการ ผู้บริหาร และพนักงานทุกระดับ ปฏิบัติตามแนวทางการเก็บรักษา การเข้าถึงข้อมูล และการใช้ข้อมูลอย่างถูกต้อง โดยเฉพาะข้อมูลที่มีความอ่อนไหวต่อบริษัทฯ หรือผู้มีส่วนได้เสีย เป็นไปตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 บริษัทฯ กำหนดให้การบริหารจัดการความเป็นส่วนตัวและความปลอดภัยของข้อมูลครอบคลุมข้อมูลส่วนบุคคลและข้อมูลความลับทางธุรกิจที่เกี่ยวข้องกับพนักงาน ลูกค้า คู่ค้า ผู้สมัครงาน ผู้มาติดต่อ และผู้มีส่วนได้เสียอื่นที่เกี่ยวข้อง ตลอดจนระบบสารสนเทศสำคัญของบริษัทฯ ทั้งในส่วนสำนักงาน โรงงาน ระบบ ERP อีเมล อุปกรณ์ปลายทาง และข้อมูลที่จัดเก็บหรือประมวลผลผ่านผู้ให้บริการภายนอกที่เกี่ยวข้อง

บริษัทฯ มีโครงสร้างการกำกับดูแลด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ที่สอดคล้องตามมาตรฐานสากล ISO/IEC:27001 โดยมอบหมายให้ฝ่ายเทคโนโลยีสารสนเทศมีหน้าที่รับผิดชอบในการดูแล ควบคุมและบริหารจัดการ และติดตามผลการดำเนินงานด้านความปลอดภัยทางไซเบอร์ ตลอดจนประเมินความเสี่ยงที่เกี่ยวข้องกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลอย่างต่อเนื่อง ประเด็นดังกล่าวได้รับการบูรณาการอยู่ในกระบวนการบริหารความเสี่ยงขององค์กร เพื่อให้สามารถเฝ้าระวังและจัดการความเสี่ยงได้อย่างเป็นระบบ ทั้งนี้ ฝ่ายเทคโนโลยีสารสนเทศจะรายงานความคืบหน้า สถานะความเสี่ยง เหตุการณ์สำคัญ ผลการทดสอบระบบ และความคืบหน้าของแผนปรับปรุง ต่อประธานเจ้าหน้าที่บริหารเป็นประจำทุกเดือน และนำเสนอต่อคณะกรรมการบริหาร และคณะกรรมการบริหารความเสี่ยงตามลำดับ

ส่วนการกำกับดูแลความปลอดภัยของข้อมูลส่วนบุคคล บริษัทฯ จัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลโดยมีประธานเจ้าหน้าที่บริหารเป็นประธาน มีหน้าที่ในการกำหนดมาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานของบริษัทฯ และผู้มีส่วนได้เสียที่เกี่ยวข้อง รวมถึงการสื่อสารและติดตามการปฏิบัติงานให้เป็นไปตามเป้าหมาย

ศึกษานโยบายการกำกับดูแล และบริหารจัดการด้านเทคโนโลยีสารสนเทศ เพิ่มเติมได้ที่ www.nerubber.com หรือ สแกน QR Code
ศึกษานโยบายการคุ้มครองข้อมูลส่วนบุคคล เพิ่มเติมได้ที่ www.nerubber.com หรือ สแกน QR Code
กลยุทธ์การรักษาความปลอดภัยของข้อมูล

บริษัทฯ จึงกำหนดกลยุทธ์ในการดำเนินงานเพื่อควบคุมความเสี่ยงของการรั่วไหลของข้อมูลและการถูกโจมตีทางไซเบอร์ โดยมุ่งเน้นการลดโอกาสในการเกิด (Likelihood) และลดความรุนแรงของผลกระทบ (Impact) ดังนี้

การป้องกันการโจมตีทางไซเบอร์

บริษัทฯ มีการระบุและประเมินความเสี่ยงที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ (Cyber Security) เพื่อกำหนดมาตรการจัดการความเสี่ยงที่เหมาะสม เช่น การจัดการสิทธิ์การ เข้าถึง (Access Control Management) การเข้ารหัสข้อมูล (Encryption) การยืนยันตัวตนแบบหลายปัจจัย (Multifactor Authentication: MFA) และมีการติดตั้งซอฟต์แวร์ป้อง ไวรัส (Endpoints) เพื่อป้องการโจมตีทางไซเบอร์บนคอมพิวเตอร์และอุปกรณ์อิเล็กทรอนิกส์ทั้งหมดภายในองค์กร นอกจากนี้ บริษัทฯ ได้ทำการจัดเก็บข้อมูลสำรอง (Backup data) และจัดให้มีกระบวนการตรวจสอบความพร้อมในการใช้งานข้อมูลสำรอง (Backup data) เป็นประจำทุกไตรมาส เพื่อรับมือในกรณีเกิดการโจมตีทางไซเบอร์หรือจากบุคคลที่ไม่ ประสงค์ดี ซึ่งเหตุการณ์การถูกโจมตีทางไซเบอร์อาจทำให้กระบวนการทำงานหยุดชะงักได้ บริษัทฯ จึงได้จัดทำแผนความต่อเนื่องของธุรกิจ (Business Continuity Plan: BCP) และแผนฟื้นฟูหลังเกิดภาวะวิกฤต (Recovery Plan) เพื่อเตรียมความพร้อมด้วยอีกทางหนึ่ง

นอกจากบริษัทฯ ได้จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากลโดยอ้างอิงมาตรฐาน ISO/IEC:27001 และ NIST Security Frame Work ของ National Institute of Standards and Technology (NIST) และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่เกี่ยวข้องแล้ว บริษัทฯ ยังมีการพัฒนาโครงสร้างพื้นฐาน และระบบความปลอดภัยทางเทคโนโลยีสารสนเทศอย่างต่อเนื่อง มีการติดตามและเฝ้าระวังภัยคุกคามที่เกิดขึ้นใหม่จากการเปลี่ยนแปลงอย่างรวดเร็วของเทคโนโลยี ทั้งในส่วน สำนักงานและระบบโรงงาน เพื่อให้สามารถวางแผนป้องกันเชิงรุกก่อนที่จะถูกโจมตี พร้อมทั้งมีการตรวจสอบระบบการรับมือกับภัยคุกคามการโจมตีด้านไซเบอร์ และซ้อมแผนการ กู้คืนระบบสารสนเทศเป็นประจำ

นอกจากนี้ การสร้างความตระหนักรู้แก่ผู้บริหารและพนักงานในด้านความปลอดภัยไซเบอร์ให้ทันกับสถานการณ์และรูปแบบการโจมตีใหม่เป็นสิ่งที่จำเป็นเช่นเดียวกัน เนื่องจากข้อมูล อาจมีการรั่วไหลจากการปฏิบัติงานของพนักงานหรือความไม่รู้เท่าทันภัยคุกคาม บริษัทฯ จึงจัดให้มีการอบรมให้ความรู้เกี่ยวกับลักษณะการโจมตี วิธีการปฏิบัติ การป้องกัน และกฎหมายเทคโนโลยีสารสนเทศที่เกี่ยวข้องอย่างต่อเนื่อง เพื่อปลูกฝังให้พนักงานมีความระมัดระวังในการใช้อุปกรณ์และเทคโนโลยีสารสนเทศและตระหนักถึงความเสี่ยงและผล กระทบที่จะเกิดขึ้น

การจัดการข้อมูลและการเข้าถึงข้อมูล

บริษัทฯ กำหนดมาตรการด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลให้เป็นไปตามที่กฎหมายกำหนดและสอดคล้องกับมาตรฐานการดำเนินงานที่เป็นสากล โดยแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ให้มีบทบาทหน้าที่สำคัญในการดูแลตรวจสอบกิจกรรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคลในองค์กร เพื่อให้เป็นไปตามหลักเกณฑ์ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และให้คำปรึกษา กำกับดูแล ประสานงานทั้งภายในและภายนอกองค์กร เพื่อให้การจัดการข้อมูลส่วนบุคคลเป็นไปตามหลักเกณฑ์ของพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล รวมถึงสนับสนุนการคุ้มครองความเป็นส่วนตัวและความปลอดภัยของข้อมูลอย่างเหมาะสม

บริษัทฯ จัดให้มีกระบวนการบริหารจัดการข้อมูลอย่างเป็นระบบ ครอบคลุมการจำแนกชั้นข้อมูล การกำหนดสิทธิ์เข้าถึงตามหน้าที่และความจำเป็นในการใช้งาน การทบทวนสิทธิ์เข้าถึงเป็นระยะ การจัดเก็บและทำลายข้อมูลตามระยะเวลาที่กำหนด ตลอดจนการประเมินความเสี่ยงของระบบใหม่และผู้ให้บริการภายนอกที่เกี่ยวข้องกับข้อมูล นอกจากนี้ บริษัทฯ ยังกำหนดกระบวนการรับมือเหตุการณ์ การสอบสวนหาสาเหตุ และการกำหนดมาตรการแก้ไขและป้องกันไม่ให้เกิดซ้ำ เพื่อสนับสนุนการคุ้มครองข้อมูลและลดความเสี่ยงจากการรั่วไหลหรือการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต โดยมีแนวทางดำเนินงานที่สำคัญ ดังนี้

การจัดการข้อร้องเรียนด้านการรั่วไหลของข้อมูล

บริษัทฯ จัดให้มีช่องทางให้ผู้มีส่วนได้เสียสามารถแจ้งเหตุการณ์กรณีข้อมูลความลับหรือข้อมูลส่วนบุคคลรั่วไหล และมีกระบวนการในการตรวจสอบข้อเท็จจริง หากเป็นกรณีร้องเรียน เกี่ยวกับข้อมูลส่วนบุคคล เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลจะเป็นผู้พิจารณาและรายงานต่อผู้บริหารตามลำดับต่อไป

ช่องทางการร้องเรียน
จดหมายทางไปรษณีย์
จ่าหน้าซองถึง
ฝ่ายบริหารทรัพยากรมนุษย์
บริษัท นอร์ทอีส รับเบอร์ จำกัด (มหาชน) เลขที่ 398 หมู่ 4 ต.โคกม้า อ.ประโคนชัย จ.บุรีรัมย์ 31140
โทรศัพท์
  • 044- 666-928
  • 044-666-929
จดหมายอิเล็กทรอนิกส์
เว็บไซต์ของบริษัท
การรักษาความปลอดภัยของข้อมูล

จากการดำเนินงานด้านการรักษาความปลอดภัยของข้อมูลเป้าหมายและสรุปผลการดำเนินงานที่สำคัญแสดงดังตาราง

เป้าหมายระยะยาว
ปี 2573
เป้าหมาย
ปี 2568
ผลการดำเนินงาน
ปี 2568
จำนวนข้อร้องเรียนเกี่ยวกับการรั่วไหลของข้อมูลส่วนตัวและความลับทางธุรกิจ 0 0 0
เหตุการณ์ที่มีความเสียหายจากการถูกโจมตี ทางไซเบอร์ 0 0 0
*สัดส่วนพนักงานระดับหัวหน้างานขึ้นไป ที่ผ่านการฝึกอบรมเรื่องความปลอดภัยของข้อมูล ร้อยละ 100 ร้อยละ 100 ร้อยละ 100
*สัดส่วนพนักงานระดับปฏิบัติการ ที่ผ่านการฝึกอบรมเรื่องความปลอดภัยของข้อมูล ร้อยละ 100 ร้อยละ 100 ร้อยละ 100

* เฉพาะพนักงานระดับหัวหน้างานและระดับปฏิบัติการที่สามารถใช้งานระบบสารสนเทศของบริษัทได้

นโยบายที่เกี่ยวข้อง
นโยบายการกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศ
นโยบายการคุ้มครองข้อมูลส่วนบุคคล
คู่มือระบบบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคล