1. BEM
  2. ความปลอดภัยของเทคโนโลยีสารสนเทศ และความเป็นส่วนตัวของข้อมูล

ความปลอดภัยของเทคโนโลยีสารสนเทศ และความเป็นส่วนตัวของข้อมูล

 
|
แนวทางการจัดการ และแนวปฏิบัติ
 
บริษัทได้แต่งตั้งคณะทำงานกำกับดูแลการรักษาความปลอดภัยด้านข้อมูลสารสนเทศ (Information Security Management Committee) เพื่อทำหน้าที่ดูแลและบริหารจัดการในด้านความปลอดภัยของเทคโนโลยีสารสนเทศ โดยมีผู้บริหารในตำแหน่งผู้อำนวยการ ฝ่ายเทคโนโลยีสารสนเทศและพัฒนาระบบ ซึ่งเป็นผู้แทนฝ่ายบริหารด้านความปลอดภัยข้อมูลสารสนเทศ เป็นประธานคณะทำงานฯ   คณะทำงานกำกับดูแลการรักษาความปลอดภัยด้านข้อมูลสารสนเทศ จะมีการนำเสนอผลการดำเนินงานผ่านผู้แทนฝ่ายบริหารด้านความปลอดภัยข้อมูลสารสนเทศไปยัง (1) คณะกรรมการระบบบริหารคุณภาพ ซึ่งมีผู้บริหารระดับสูงของบริษัท (C-Level) ประกอบด้วย กรรมการ ผู้จัดการและรองกรรมการผู้จัดการ ปฏิบัติการและวิศวกรรมระบบราง รองกรรมการผู้จัดการ พัฒนาธุรกิจและปฏิบัติการทางพิเศษ รองกรรมการผู้จัดการ บริหาร เป็นประธานคณะกรรมการและกรรมการ ตามลำดับ และ (2) คณะกรรมการด้านความปลอดภัย ซึ่งมีผู้บริหารในตำแหน่งผู้ช่วยกรรมการผู้จัดการที่เกี่ยวข้องเป็นสมาชิก ทั้งนี้ คณะกรรมการระบบบริหารคุณภาพจะมีการทบทวนและรายงานประเด็นสำคัญที่เกี่ยวข้องกับการรักษาความปลอดภัยด้านข้อมูลสารสนเทศไปยังคณะกรรมการบรรษัทภิบาล บริหารความเสี่ยง และการพัฒนาอย่างยั่งยืน เป็นประจำทุกปี
 

ผลกระทบต่อธุรกิจและผู้มีส่วนได้เสีย

เทคโนโลยีได้ถูกใช้ในการขับเคลื่อนธุรกิจเพิ่มมากขึ้น ซึ่งตามมาด้วยความเสี่ยงจากภัยคุกคามต่อระบบสารสนเทศที่สูงขึ้น ดังนั้น การโจมตีระบบสารสนเทศจากภายนอกอาจส่งผลให้ระบบการให้บริการของบริษัทหยุดชะงักจนสร้างความเสียหายต่อการดำเนินธุรกิจ ชื่อเสียงและความน่าเชื่อถือ นอกจากนี้ กรณีการรั่วไหลของข้อมูลสำคัญ หรือข้อมูลส่วนบุคคลของลูกค้า คู่ค้า และพนักงานอาจเป็นการละเมิดสิทธิขั้นพื้นฐานความเป็นส่วนตัว (Privacy Rights) จนทำลายความเชื่อมั่นของผู้มีส่วนได้เสีย รวมถึงอาจนำไปสู่การฟ้องร้องต่อหน่วยงานกำกับดูแล และอาจส่งผลกระทบต่อความเชื่อมั่นของนักลงทุนในระยะยาวอีกด้วย


ความมุ่งมั่น ความท้าทาย และโอกาส

บริษัทให้ความสำคัญกับการกำกับดูแลเทคโนโลยีสารสนเทศและความเป็นส่วนตัวของข้อมูลเพื่อสนับสนุนการปฏิบัติงานภายในบริษัทและการขยายบริการผ่านระบบดิจิทัล โดยบริษัทได้พัฒนาระบบเทคโนโลยีสารสนเทศให้มีความปลอดภัยและสอดคล้องตามมาตรฐานสากล ISO/IEC 27001 และได้ลงทุนเพื่อพัฒนาโครงสร้างพื้นฐานของระบบให้มีประสิทธิภาพมากยิ่งขึ้น เพื่อรองรับการใช้งานระบบที่จะเพิ่มขึ้นในอนาคต อีกทั้งจัดทำแผนรับมือการถูกโจมตีทางไซเบอร์ (Cyber Attack) ด้วยการควบคุมการเข้ารหัสข้อมูล (Cryptographic Control) และการทดสอบระบบต่างๆ เพื่อยกระดับความปลอดภัยด้านเทคโนโลยีสารสนเทศ ระบบเทคโนโลยีสารสนเทศที่ปลอดภัยและมั่นคงยังช่วยคุ้มครองความเป็นส่วนตัวของผู้มีส่วนได้เสียจากการรั่วไหลของข้อมูลส่วนบุคคลอีกด้วย ที่สำคัญบริษัทได้กำหนดแนวปฏิบัติในการปฏิบัติงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลให้สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

 

ด้านความปลอดภัยของเทคโนโลยีสารสนเทศ

นโยบาย และแนวปฏิบัติด้านความมั่นคงปลอดภัยระบบสารสนเทศ
 
บริษัทประกาศนโยบายความมั่นคงปลอดภัยระบบสารสนเทศและจัดทำคู่มือการรักษาความปลอดภัยของเทคโนโลยีสารสนเทศ เพื่อเป็นแนวทางปฏิบัติให้กับพนักงาน ผู้ดูแลระบบ และบุคคลภายนอกที่ปฏิบัติงานภายใต้การดำเนินงานของบริษัท ทั้งนี้บริษัทจัดให้มีการดำเนินการตรวจสอบและทบทวนนโยบายอย่างน้อย 1 ครั้งต่อปี
 
อ่านรายละเอียดเพิ่มเติมเกี่ยวกับนโยบายความมั่นคงปลอดภัยระบบสารสนเทศ https://www.bemplc.co.th/CorporatePolicy
 
 

การดำเนินงานด้านความปลอดภัยของเทคโนโลยีสารสนเทศ

บริษัทได้กำหนดกลยุทธ์ที่เน้นการยกระดับความปลอดภัยด้านเทคโนโลยีสารสนเทศ (Cybersecurity Uplift) ผ่านการปรับปรุงระบบอุปกรณ์ และการเชื่อมต่อกับอินเตอร์เน็ตให้มีความปลอดภัยมากยิ่งขึ้น
 
  • การยกระดับความปลอดภัยด้านเทคโนโลยีสารสนเทศ
บริษัทมีการติดตั้งเทคโนโลยีด้านความปลอดภัยไซเบอร์ Endpoint Detection and Response (EDR) ในเครื่อง Server และ Client ขององค์กร เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ และสามารถตรวจสอบเหตุการณ์ที่เกิดขึ้นอย่างละเอียด พร้อมทั้งได้มีการติดตั้ง Window Application Firewall (WAF) ในเว็บไซต์บริษัท เพื่อให้มั่นใจถึงความปลอดภัยและการปกป้องข้อมูลที่สำคัญ โดยได้มีการเพิ่มศักยภาพของโครงสร้างพื้นฐานของระบบเทคโนโลยีสารสนเทศให้สามารถรองรับการใช้งานที่จะเพิ่มขึ้นในอนาคต ทั้งนี้ บริษัทได้ดำเนินการติดตั้ง EDR และ WAF เรียบร้อยแล้ว 100% ตามเป้าหมายที่กำหนด
 
  • มาตรการควบคุมการเข้าถึงข้อมูลและระบบ
บริษัทได้กำหนดมาตรการจำกัดการเข้าถึงระบบและข้อมูลตามระดับสิทธิ (Access Control) การเข้ารหัสข้อมูลอย่างเหมาะสม (Cryptographic Control) การเข้าถึงระบบเทคโนโลยีสารสนเทศ การเข้า-ออกพื้นที่ห้องเชิร์ฟเวอร์ และการประมวลผลข้อมูลส่วนบุคคลจะถูกจำกัดเฉพาะพนักงานที่มีสิทธิ หรือที่ได้รับอนุญาตเท่านั้น โดยบุคคลดังกล่าวต้องผ่านกระบวนการพิสูจน์ตัวตนก่อนเข้าถึงระบบ ทุกครั้ง เพื่อให้การบริหารจัดการระบบเทคโนโลยีมีประสิทธิภาพและปลอดภัย
 
  • การวิเคราะห์ช่องโหว่ด้านความปลอดภัยของเทคโนโลยีสารสนเทศ
บริษัทมีการทดสอบและวิเคราะห์ช่องโหว่ (Vulnerability Analysis) ที่มุ่งเน้นการวิเคราะห์ระบบปฏิบัติงานด้านเทคโนโลยีสารสนเทศของบริษัทเป็นประจำทุกปี เพื่อให้มั่นใจว่าระบบรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของบริษัทมีประสิทธิภาพอย่างสม่ำเสมอ
 
  • การทดสอบความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศ
บริษัทดำเนินการทดสอบ Mail Phishing ด้วยการจำลองสถานการณ์ที่เกี่ยวข้องกับการโจมตีฟิชชิงผ่านอีเมลในองค์กร โดยมีวัตถุประสงค์ในการทดสอบและเสริมสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยสารสนเทศ (Cyber Security Awareness) รวมถึงความพร้อมของพนักงานในการรับมือกับการโจมตีทางไซเบอร์ในรูปแบบของฟิชชิง เพื่อนำผลการดำเนินงานไปปรับปรุง ลดความเสี่ยง และเพิ่มความสามารถในการจัดการกับอีเมลฟิชชิง
 
  • การฝึกซ้อมจัดการเหตุการณ์การโจมตีทางไซเบอร์บนระบบงานของบริษัท
บริษัทกำหนดระเบียบปฏิบัติงานเรื่องการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของเทคโนโลยีสารสนเทศเพื่อระบุถึงขั้นตอนและลำดับเหตุการณ์ที่จะเกิดขึ้น และมีการจัดฝึกซ้อมจัดการเหตุการณ์การโจมตีทางไซเบอร์บนระบบงานของบริษัท (Cybersecurity Incident Response on Cll System) แบบ Tabletop เพื่อให้หน่วยงานมีความพร้อมต่อการรับมือเหตุการณ์ภัยคุกคามทางไซเบอร์ในอนาคต

ด้านความเป็นส่วนตัวของข้อมูล

นโยบาย และแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคล 

บริษัทแต่งตั้งคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee) อยู่ภายใต้กำกับดูแลของรองกรรมการผู้จัดการ บริหาร ซึ่งได้รับการแต่งตั้งให้เป็นประธานคณะทำงานด้านการคุ้มครองข้อมูลส่วนบุคคล และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer : DPO) เพื่อทำหน้าที่หลักในการกำหนดหรือทบทวนนโยบายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคล และติดตามผลการดำเนินงานอย่างต่อเนื่อง

บริษัทจัดทำนโยบายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้การดำเนินงานเป็นไปตามพระราชบัญญัติคุ้มครอง ข้อมูลส่วนบุคคล พ.ศ. 2562 และได้สื่อสารนโยบายและแนวปฏิบัตินี้ให้กับพนักงานทุกคนเพื่อรับทราบและปฏิบัติตามอย่างเคร่งครัด อีกทั้งได้เผยแพร่สู่ผู้มีส่วนได้เสียภายนอกองค์กรผ่านศูนย์ข้อมูลส่วนบุคคล (Privacy Data Center) บนเว็บไซต์ของบริษัท ในกรณีที่พบการละเมิดนโยบายและแนวปฏิบัติดังกล่าวของพนักงาน นอกจากผู้ละเมิดจะได้รับโทษตามกฎหมายแล้ว บริษัทอาจดำเนินมาตรการทางวินัยตามระเบียบข้อบังคับของบริษัท อาทิ การเตือนด้วยวาจาหรือแบบเป็นลายลักษณ์อักษรจนถึงการไล่ออก การปลดออก หรือการเลิกจ้างโดยไม่ต้องจ่ายค่าชดเชยตามที่ระบุไว้ในข้อกฎหมาย

อ่านรายละเอียดเพิ่มเติมเกี่ยวกับนโยบายคุ้มครองข้อมูลส่วนบุคคล, แนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคล และประกาศความเป็นส่วนตัว https://www.bemplc.co.th/CorporatePolicy
อ่านรายละเอียดเพิ่มเติมเกี่ยวกับศูนย์ข้อมูลส่วนบุคคล https://www.bemplc.co.th/privacycenter


บริษัทได้กำหนดกลยุทธ์ที่เน้นการยกระดับความปลอดภัยด้านเทคโนโลยีสารสนเทศ (Cybersecurity Uplift) ผ่านการปรับปรุงระบบ อุปกรณ์ และการเชื่อมต่อกับอินเตอร์เน็ตให้มีความปลอดภัยมากยิ่งขึ้น การเพิ่มศักยภาพของโครงสร้างพื้นฐานของระบบเทคโนโลยีสารสนเทศให้สามารถรองรับการใช้งานที่จะเพิ่มขึ้นในอนาคต และการส่งเสริมให้พนักงานมีความรู้และมีความตระหนักเกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศ

 

ตรวจสอบสภาพจราจร
บนทางพิเศษ 24 ชม.



ศูนย์บริการข้อมูลรถไฟฟ้า MRT

  • 0-2624-5200

    วันจันทร์-ศุกร์ ตั้งแต่เวลา 07.00-20.00 น.
    วันเสาร์-อาทิตย์และวันหยุดนักขัตฤกษ์ ตั้งแต่เวลา 08.00-17.00 น.

การพัฒนาความยั่งยืน BEM

BEM

รายงานความยั่งยืนและการเปิดเผยข้อมูล

การเงินเพื่อความยั่งยืน

กิจกรรมความยั่งยืน

สงวนลิขสิทธิ์ © พ.ศ.2561 บริษัท ทางด่วนและรถไฟฟ้ากรุงเทพ จำกัด (มหาชน)

Member of  , APTA and COMET

เราใช้คุ้กกี้เพื่อมอบประสบการณ์การใช้งานเว็บไซต์ bemplc.co.th ของท่านที่ดีกว่าเดิม ในการใช้งานเว็บไซต์ของเรา ถือว่าท่านยอมรับการใช้คุ้กกี้ตามที่ระบุใน นโยบายคุ้กกี้