ประกาศนโยบายคุ้มครองข้อมูลส่วน บุคคล ตัวอย่าง นโยบายคุ้มครองข้อมูลส่วน บุคคล นโยบายคุ้มครองข้อมูลส่วนบุคคล 2565 นโยบายการคุ้มครองข้อมูลส่วนบุคคล กระทรวงสาธารณสุข นโยบายคุ้มครองข้อมูลส่วนบุคคล โรงพยาบาล นโยบายคุ้มครองข้อมูลส่วนบุคคล ปตท สัญญาจ้าง คุ้มครองข้อมูลส่วน บุคคล นโยบายคุ้มครองข้อมูลส่วนบุคคล true

นโยบายคุ้มครองข้อมูลส่วนบุคคล scg

เอสซีจีให้ความสำคัญกับการรักษาความปลอดภัยทางไซเบอร์เพื่อป้องกันความเสี่ยงที่เกิดจากการสูญหายของข้อมูล ที่สำคัญซึ่งจะส่งผลกระทบทางลบต่อความน่าเชื่อถือและการดำเนินธุุรกิจและมีนโยบายการคุ้ม ครองข้อมูลส่วนบุุคคล เอสซีจี เพื่อเป็นกรอบการบริหารจัดการข้อมูลส่วนบุุคคล ให้เกิดความมั่นใจว่าลูกค้า ผู้ถือหุ้น พนักงานและผู้มีส่วนได้เสียอื่น ๆ จะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

เอสซีจีมุ่งมั่นในการรักษาความปลอดภัยทางไซเบอร์และคุ้มครองข้อมูลส่วนบุคคล โดยมีการกำหนดกรอบการดำเนินงานที่เกี่ยวข้องไว้ใน กรอบการพัฒนาอย่างยั่งยืน เอสซีจี เพื่อสร้างมาตรฐานการดำเนินงานและแนวปฏิบัติให้ทุกบริษัทในเอสซีจี

การกำกับดูแลและนโยบายด้านความมั่นคงปลอดภัยของข้อมูลและไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

เอสซีจีมีคณะกรรมการและผู้บริหารระดับสูงที่มีประสบการณ์ ทำหน้าที่กำกับดูแลระดับกลยุทธ์ กระบวนการทำงาน การควบคุม โดยบูรณาการเข้ากับการบริหารความเสี่ยงทั่วทั่งองค์กร รวมทั้งแต่งตั้งคณะกรรมการและคณะทำงานที่เกี่ยวข้องในการดำเนินงานด้านความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่่วนบุคคล ดังต่อไปนี้

  • คณะกรรมการ SCG IT Governance ทำหน้าที่กำหนดนโยบายและระเบียบการใช้เทคโนโลยีสารสนเทศและการสื่อสารของเอสซีจี (SCG e-Policy) ซึ่งจัดทำตามกรอบมาตรฐาน ISO/IEC27001 รวมถึงติดตามการปฏิบัติตามเพื่อให้พนักงานเอสซีจีทุุกคนถือปฏิบัติในทิศทางเดียวกัน ในปี 2564 มีการดำเนินการเพิ่มเติม ดังนี้
    • จัดทำมาตรฐาน/กระบวนการ/แนวทางปฏิบัติเพิ่มเติม 3 เรื่อง ได้แก่ IoT Security แนวทางการใช้ Social Media Application และ Online Communication Tools
    • ปรับปรุงนโยบาย 2 เรื่อง ได้แก่ นโยบายการใช้งานอุปกรณ์คอมพิวเตอร์พกพา และการใช้อุปกรณ์คอมพิวเตอร์ส่วนตัวในการปฏิบัติงาน (Mobile Device and BYOD Policy) และนโยบายการเข้าถึงระบบเทคโนโลยีสารสนเทศ (System Access Control Policy) เพิ่มเติมจากที่ประกาศใช้ในปี 2563 เพื่อรองรับสถานการณ์การแพร่ระบาดของโควิด 19 และการปฏิบัติงานจากบ้าน (Work from Home)
  • คณะทำงาน Cybersecurity Governance เพื่อกำกับดูแลความปลอดภัยทางเทคโนโลสารสนเทศของเอสซีจี ให้สอดคล้องกับแนวทางการดำเนินธุุรกิจและป้องกันภัยคุกคามจากไซเบอร์ให้มีประสิทธิภาพ
  • คณะจัดการบริหารความเสี่ยง เอสซีจี ทำหน้าที่เป็นคณะกรรมการคุ้มครองข้อมูลส่่วนบุุคคลกำกับดูแลและประกาศนโยบายการคุ้มครองข้อมูลส่วนบุุคคลของเอสซีจี (SCG Privacy Policy) เพื่อเป็นกรอบการบริหารจัดการข้อมูลส่วนบุุคคล โดยปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุุคคล (Personal Data Protection) เช่น การประมวลผลข้อมูลจะต้องมีฐานทางกฎหมายรองรับ (Legal Basis) แจ้งนโยบายความเป็นส่วนตัว (Privacy Notice) จัดทำบันทึกการประมวลผลข้อมููลส่วนบุุคคล จัดทำช่องทางการใช้และการติดต่อของเจ้าของข้อมูลส่วนบุุคคล (Data Subject Rights Management) นอกจากนี้ได้จัดให้้มีระบบการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐาน

การสร้างระบบงานเชิงป้องกันผ่านการการฝึกอบรมและพัฒนาพนักงานเกี่ยวกับความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมููลส่วนบุุคคลอย่างต่อเนื่อง

เอสซีจีมีการขยายการลงทุนทั้งในและต่างประเทศปัจจัยสำคัญที่ทำให้องค์์กรบรรลุุเป้าหมายและอยู่ได้อย่าง ยั่งยืนคือ พนักงานและคู่ธุรกิจต้องมีคุุณธรรม จริยธรรมในการปฏิบัติงาน เพื่อเป็นการสร้างความรู้ความเข้าใจและทดสอบจริยธรรมให้กับพนักงานทุกระดับและคู่ธุรกิจ เอสซีจีได้ดำเนินกิจกรรมซึ่งเป็นส่วนหนึ่งในเครื่องมือระบบเชิงป้องกัน (Proactive and Preventive System) ที่ทำต่อเนื่องมาโดยตลอดดังนี้

  • การสร้างความตระหนักรู้ในเรื่องความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมููลส่วนบุุคคล ให้กับพนักงานและคู่ธุรกิจอย่างต่อเนื่องผ่่านการจัดอบรมและกิจกรรมต่าง ๆ เช่น Cybersecurity Awareness Month เพื่อให้พนักงานมีความรู้ ความเข้าใจในการใช้งานเทคโนโลยีอย่างถูกต้องและความปลอดภัยจากการถูกคุกคามทางไซเบอร์ รวมถึงจัดให้มีการจำลองการส่งอีเมลหลอกลวง (Self-Phishing Email Simulation Drill) เพื่อทดสอบความตระหนักรู้ของพนักงานและช่วยให้ทราบถึงหัวข้ออบรมด้านไซเบอร์ที่ต้องมีการเพิ่มความเข้าใจให้กับพนักงานซึ่งช่วยให้การสื่อสารตรงกลุ่มเป้าหมายได้ดียิ่งขึ้น
  • การทดสอบจริยธรรมเพื่อการประเมิน การตรวจสอบ และการสร้างความรู้ความเข้าใจให้แก่พนักงานทุกระดับเป็นประจำทุกปี ผ่านแบบทดสอบ “Ethics e-Testing และ e-Policy e-Testing” เพื่อให้สามารถนำเรื่องคุณธรรม อุดมการณ์ 4 จรรยาบรรณ นโยบายต่อต้านคอร์รัปชัน การใช้เทคโนโลยีอย่างมีประสิทธิภาพเพื่อปกป้องธุรกิจจากภัยคุกคามทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล (PDPA) มาปฏิบัติและประยุกต์ใช้ได้อย่างถูกต้องเหมาะสมให้เกิดผลได้จริง โดยในปี 2564 ได้จัดต่อเนื่องมาเป็นปีที่ 7 และ SCG e-Policy e-Testing ต่อเนื่องเป็นปีที่ 5 ซึ่งพนักงานของเอสซีจีทุกคนผ่านการทดสอบ นอกจากนี้ได้มีการวิเคราะห์การตอบแบบทดสอบของพนักงาน และสื่อสารให้พนักงานทุกระดับเกิดความเข้าใจที่ถูกต้อง แบบทดสอบจะมีการทบทวนทุกปีเพื่อให้สอดคล้องกับความเสี่ยงที่เกิดขึ้น

กำหนดให้พนักงานเอสซีจีต้องทดสอบวัดความรู้ในเรื่อง Ethics e-Testing และ e-Policy e-Testing ต้องผ่านการทดสอบด้วยเกณฑ์ร้อยละ 100 เพื่อให้้พนักงานรับทราบ ตระหนัก และเกิดความเข้าใจสามารถนำไป ปฏิบัติได้ถูกต้อง

ปี 2564 พนักงานเอสซีจีทำแบบทดสอบจริยธรรมผ่านเกณฑ์ 100% และได้วิเคราะห์การตอบแบบทดสอบเพื่อนำประเด็นที่สำคัญกลับมาสื่อสารให้พนักงานเกิดความเข้าใจที่ถูกต้อง

บริหารความเสี่ยงด้านภัยคุุกคามทางไซเบอร์และการคุ้มครองข้อมููลส่วนบุุคคลแบบบูรณาการ

ในปัจจุบันเอสซีจีทำธุุรกิจที่มีการพึ่งพาเทคโนโลยีมากขึ้นและวิวัฒนาการด้านภัยคุกคามทางไซเบอร์ที่ซับซ้อนขึ้น เอสซีจี จึงเผชิญกับความเสี่ยงจากภัยคุกคามทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุุคคลที่เพิ่มขึ้นอย่างหลีกเลี่ยงไม่ได้

ความเสี่ยงดังกล่าวอาจส่งผลกระทบที่มีความรุนแรงและเป็นวงกว้าง เช่น การดำเนินงานที่อาจหยุดชะงักเนื่องจากบริษัทไม่สามารถรักษาความปลอดภัยด้านไซเบอร์ของกระบวนการทำงานหรือโครงสร้างพื้นฐานที่ใช้ในกระบวนการผลิตที่ต้องพึ่งพาเทคโนโลยีดิจิทัล และการสูญหายหรือการรั่วไหลของข้อมูลที่สำคัญของบริิษััท ซึ่งรวมถึึงข้อมูลการพัฒนาสินค้าและบริการ ข้อมูลทางการค้าและข้อมูลส่วนบุคคลของลูกค้า คู่ค้า และพนักงาน โดยความเสียหายเหล่านี้อาจส่งผลทางลบต่อชื่อเสียงและความน่าเชื่อถือของบริษัท และอาจยังมีผลกระทบที่เป็นตััวเงินที่มาจากการถููกเรียกค่าไถ่ ค่าปรับจากการถูกกฟ้องร้อง หรือการสูญเสียรายได้หรือกำไร

เอสซีจีบริหารความเสี่ยด้านความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมููลส่วนบุุคคล โดยบูรณาการเข้ากับการบริหารความเสี่ยงทั่วทั้งองค์กร ตั้งแต่ การระบุุความเสี่ยงหรือโอกาสในการดำเนินธุุรกิิจ การประเมินและจัดลำดับความสำคัญ การกำหนดมาตรการจัดการ การติดตามและรายงาน และเป็นไปตามหลักการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ดังนี้

  • ติดตั้ง WEB Application Firewall เพื่อเพิ่มความปลอดภัยของข้อมูลให้มากขึ้น และลดความเสี่ยงในการถูกโจมตีทางไซเบอร์
  • ประเมินความเสี่ยงทางไซเบอร์กับระบบคอมพิวเตอร์ที่ใช้ควบคุมกระบวนการผลิต การให้บริการและกระบวนการทำงานต่าง ๆ และจัดทำแผนบริิหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่ครอบคลุุมการใช้งานที่สำคัญสำหรับเอสซีจีี ทั้งในและต่างประเทศ โดยหน่วยงานภายในและภายนอก (3rd Party) เช่น แยกเครือข่ายของระบบการควบคุมกระบวนการผลิต และระบบที่สำคัญอื่น ๆ ออกจากกันและการควบคุมการเชื่อมต่อระหว่างระบบผ่านการใช้สภาพแวดล้อมที่กำหนดไว้ (Landing Zones) เลือกใช้บริการ Cloud Service จากผู้ให้บริการที่หลากหลาย และติดตั้งศูนย์ปฏิบัติการที่เฝ้าระวังภัยคุกคามขององค์กร (Security Operation Center หรือ SOC) สำหรับระบบควบคุมที่ใช้ในการผลิิตทางอุุตสาหกรรม (Industrial Control System) รวมถึงติดตั้งระบบการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication) เพื่อบริหารจัดการการเข้าถึงข้อมูลที่มีความสำคัญกับองค์กรและวางแผนติดตั้ง SOC สำหรับ Cloud Computing
  • จัดทำแผนกู้คืนระบบ (Disaster Recovery Plan) เพื่อเตรียมรองรับสถานการณ์ฉุุกเฉิน โดยผู้ใช้งานยังสามารถปฏิบัติงานได้ผ่าน Backup Site รวมถึงจัดทำแผนการรับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์์ (Cyber Incident Response Plan) และฝึกซ้อมแผนอย่างสม่ำเสมอเพื่อป้องกันธุุรกิจหยุุดชะงักจากการถููกโจมตีทางไซเบอร์
  • จัดทำเอกสารแนวทางการตรวจสอบการควบคุมภายใน/การรักษาความปลอดภัย เช่น แนวทางการตรวจสอบระบบงาน ERP หลักที่่บริษัทใช้งาน แนวทางการตรวจสอบการรักษาความปลอดภัย IoT แนวทางการตรวจสอบการรักษาความปลอดภัย Web Application แนวทางการตรวจสอบ Cloud Development แนวทางการตรวจสอบ Data Governance
  • ประเมินจุดควบคุมภายในด้าน Information Security โดยอ้างอิง ISO27001 เพื่อสอบทานความเพียงพอของระบบการควบคุมภายในว่ามีความเหมาะสมกับการดำเนินธุุรกิจของบริษัท แนะนำแนวการปฏิบัติที่่ดี สร้างระบบ Proactive and Preventive System เพื่่อลดความเสี่่ยงในการดำเนิินธุุรกิจ
  • ทบทวนและปรับกลยุทธ์การปฏิบัติงานตรวจสอบให้สอดคล้องกับสถานการณ์โควิด 19 และความเสี่ยงในยุค New Normal โดยใช้ Machine Learning (ML), Robotics Process Automation (RPA), Data Analytics (DA) วิเคราะห์ความเสี่่ยงให้มีประสิทธิภาพมากยิ่งขึ้น ลง Fieldwork เท่าที่จำเป็น
  • พัฒนาการตรวจสอบด้านเทคโนโลยีสารสนเทศโดยแบ่งเป็นการตรวจสอบด้าน IT System IT Process และ IT Security และออกแบบกระบวนการตรวจสอบให้เหมาะสมในแต่ละด้าน ซึ่งช่วยให้การตรวจสอบมีประสิทธิภาพเพิ่มมากขึ้น
  • จัดตั้ง SCG Data Protection Officer และ Data Protection Office เพื่อตรวจสอบการดำเนินงานของหน่วยงานในเอสซีจี และจัดทำข้อเสนอแนะให้เป็นไปตามกฎหมาย รวมถึงจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลของเอสซีจีและดำเนิินการนำเครื่องมือเกี่ยวกับ Data Protection มาปฏิิบัติ เช่่น จัดทำเอกสารทางกฎหมายที่เกี่ยวข้องและนำ Privacy Management Software มาใช้เป็นต้น

เอกสารดาวน์โหลด

กรอบการพัฒนาอย่างยั่งยืน เอสซีจี
นโยบายการคุ้มครองข้อมูลส่วนบุุคคลของเอสซีจี

Sustainability Development

กระทู้ที่เกี่ยวข้อง

สมัครงาน เจ้าหน้าที่ บุคคล hr สระบุรี ป ตรี

Toplist

โพสต์ล่าสุด

แท็ก