Energy Absolute | พลังงานบริสุทธิ์ มิติสังคม

นโยบาย ความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

เพื่อกำหนดแนวทางในการใช้งานข้อมูลและระบบเทคโนโลยีสารสนเทศของบริษัท พลังงานบริสุทธิ์ จำกัด (มหาชน) และบริษัทเครือที่ใช้งานร่วมกันให้เป็นไปอย่างเหมาะสม มีความมั่นคงปลอดภัยและสามารถสนับสนุนการดำเนินงานของบริษัทได้อย่างต่อเนื่อง มีการใช้งานระบบในลักษณะที่ถูกต้องสอดคล้องกับข้อกำหนดของกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และกฎหมายอื่นที่เกี่ยวข้อง รวมทั้งเป็นการป้องกันภัยคุกคามที่อาจก่อให้เกิดความเสียหายแก่บริษัท บริษัทฯ จึงกำหนดนโยบายความมั่นคงปลอดภัยด้านเทคโนสารสนเทศ ดังนี้

คํานิยาม

คํานิยามในส่วนนี้เป็นการให้คําจํากัดความสําหรับศัพท์ที่ใช้งานในนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านเทคโนโลยีสารสนเทศฉบับนี้ เพื่อให้มีความหมายที่ชัดเจนและเข้าใจตรงกัน

1. “บริษัท” หมายความว่า พลังงานบริสุทธิ์ จำกัด (มหาชน) บริษัทย่อย และบริษัทในเครือ ที่ใช้ระบบสารสนเทศ และระบบเครือข่ายและคอมพิวเตอร์ร่วมกัน
2. “ส่วนงานเทคโนโลยีสารสนเทศ” หมายความว่า ส่วนงานเทคโนโลยีสารสนเทศ ของ บริษัทฯ
3. “ผู้ใช้งาน” หมายความว่า กรรมการบริษัท ผู้บริหาร ผู้ปฏิบัติงาน ผู้ใช้งานที่เกี่ยวข้อง และผู้ใช้งานภายนอก ที่ได้รับอนุญาตให้สามารถเข้าใช้งานระบบเครือข่ายของบริษัท
4. “ผู้ใช้งานที่เกี่ยวข้อง” หมายความว่า บุคคล หรือนิติบุคคลที่เป็นคู่สัญญาของบริษัท ที่เข้ามาดําเนินกิจกรรมภายในบริษัท
5. “ผู้ใช้งานภายนอก” หมายความว่า บุคคล หรือนิติบุคคลนอกเหนือจากข้อ (3) และข้อ (4)
6. “ผู้ดูแลระบบ” หมายความว่า ผู้จัดการส่วนเทคโนโลยีสารสนเทศ หรือผู้ปฏิบัติงานอื่น ที่ได้รับมอบหมายจากผู้บังคับบัญชาระดับผู้อํานวยการฝ่ายขึ้นไป ให้มีหน้าที่รับผิดชอบในการพัฒนา แก้ไข ปรับปรุง และดูแล รักษาระบบสารสนเทศ และระบบเครือข่าย ที่ใช้งานอยู่ในบริษัท หรือหน่วยงานที่มีหน้าที่ และรับผิดชอบในการดูแลระบบสารสนเทศ และระบบเครือข่าย โดยตรง
7. “ข้อมูลสารสนเทศ” หมายความว่า ข้อเท็จจริงที่ได้จากข้อมูลนํามาผ่านการประมวลผลการจัดระเบียบให้ข้อมูล ซึ่งอาจอยู่ในรูปของตัวเลข ข้อความ เอกสาร แผนผัง แผนที่ ภาพถ่าย ฟิล์ม การบันทึกภาพ การบันทึกเสียง การบันทึกโดยเครื่องคอมพิวเตอร์ หรือภาพกราฟิกให้เป็นระบบที่ผู้ใช้สามารถเข้าใจได้ง่าย และสามารถนําไปใช้ประโยชน์ในการบริหาร การวางแผน การตัดสินใจ และอื่น ๆ
8. “ระบบสารสนเทศ” หมายความว่า ระบบงานของบริษัท ที่ใช้จัดเก็บ ประมวลผลข้อมูล และเผยแพร่สารสนเทศซึ่งทํางานประสานกันระหว่างฮาร์ดแวร์ ซอฟต์แวร์ ข้อมูล ผู้ใช้งาน และกระบวนการประมวลผล ให้เกิดเป็นข้อมูลสารสนเทศที่สามารถนําไปใช้ประโยชน์ในการวางแผน การบริหาร และการสนับสนุนกลไกการทํางานของบริษัท
9. “ระบบเครือข่าย” หมายความว่า ระบบที่สามารถใช้ในการติดต่อสื่อสาร หรือการส่งข้อมูลและสารสนเทศระหว่างระบบเทคโนโลยีสารสนเทศต่าง ๆ ของบริษัท ได้ เช่น ระบบเครือข่ายภายใน ระบบ Wireless ระบบ Intranet ระบบ Internet และระบบการสื่อสารอื่นๆ
10. “สินทรัพย์” หมายความว่า ทรัพย์สินหรือสิ่งใดก็ตามทั้งที่มีตัวตนและไม่มีตัวตนอันมีมูลค่าหรือคุณค่าสําหรับบริษัท ได้แก่ ข้อมูล ระบบข้อมูล และสินทรัพย์ด้านเทคโนโลยีสารสนเทศและการสื่อสาร อาทิ บุคลากร ฮาร์ดแวร์ ซอฟต์แวร์ คอมพิวเตอร์ เครื่องคอมพิวเตอร์แม่ข่าย ระบบสารสนเทศ ระบบเครือข่าย อุปกรณ์ระบบเครือข่าย เลขไอพี หรือซอฟต์แวร์ที่มีลิขสิทธิ์ หรือสิ่งใดก็ตามที่มีคุณค่าต่อบริษัท
11. “ความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ” หมายความว่า ความมั่นคงและความปลอดภัยสําหรับระบบเทคโนโลยีสารสนเทศ ระบบเครือข่ายของบริษัท โดยธํารงไว้ซึ่งความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพพร้อมใช้งาน (Availability) ของสารสนเทศ รวมทั้งคุณสมบัติอื่น ได้แก่ ความถูกต้องแท้จริง (Authenticity) ความรับผิดชอบ (Accountability) การห้าม ปฏิเสธความรับผิดชอบ (Non-Repudiation) และความน่าเชื่อถือ (Reliability)
12. “การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ” หมายความว่า การอนุญาต การกําหนดสิทธิ์ หรือการมอบอํานาจให้ผู้ใช้งาน เข้าถึงหรือใช้งานระบบเครือข่าย หรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกส์และทางกายภาพ ตลอดจนกําหนดข้อปฏิบัติเกี่ยวกับการเข้าถึงโดยมิชอบ
13. “บัญชีผู้ใช้งาน” หมายความว่า บัญชีรายชื่อ (Username) และรหัสผ่าน (Password) สําหรับผู้ปฏิบัติงานผู้ใช้งานที่เกี่ยวข้อง และผู้ใช้งานภายนอก
14. “การเข้ารหัส (Encryption)” หมายความว่า การนําข้อมูลมาเข้ารหัสเพื่อป้องกันการลักลอบเข้ามาใช้ ข้อมูลผู้ที่สามารถเปิดไฟล์ข้อมูลที่เข้ารหัสไว้ จะต้องมี โปรแกรมถอดรหัสเพื่อให้ข้อมูลกลับมาใช้งานได้ตามปกติ
15. “การยืนยันตัวตน (Authentication)” หมายความว่า ขั้นตอนการรักษาความปลอดภัยในการเข้าใช้ระบบเป็นขั้นตอนในการพิสูจน์ตัวตนของผู้ใช้บริการระบบทั่วไปแล้ว เป็นการพิสูจน์โดยใช้ชื่อผู้ใช้และรหัสผ่าน

การกำกับดูแลและบริหารจัดการด้านเทคโนโลยีสารสนเทศระดับองค์กรที่ดี (Governance of Enterprise IT)

เพื่อทำให้แน่ใจว่า บริษัทสามารถบรรลุเป้าหมายที่กำหนดไว้ โดยนำเทคโนโลยีสารสนเทศมาใช้เป็นเครื่องมือในการสนับสนุน และสามารถบริหารจัดการความเสี่ยงที่อาจเกิดขึ้น จากการนำเทคโนโลยีสารสนเทศมาใช้งานได้อย่างมีประสิทธิภาพ การบริหารงานด้านเทคโนโลยีสารสนเทศ ทรัพยากรและข้อมูลที่มีประสิทธิ์ภาพเพื่อสนับสนุนนโยบาย กลยุทธ์ เป้าหมายขององค์กรและการบริหารความเสี่ยงที่เหมาะสม

รวมทั้งมีการรายงานและติดตามการดำเนินงาน เพื่อให้มั่นใจว่าสามารถช่วยสนับสนุนกลยุทธ์และบรรลุวัตถุประสงค์ในเชิงธุรกิจและสร้างศักยภาพในการแข่งขัน รวมทั้งเพิ่มมูลค่าให้กับบริษัท โดยบริษัทต้องพิจารณาดำเนินการอย่างน้อยดังต่อไปนี้

1. นโยบายการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management)

บริษัทต้องมีการกำหนดหน้าที่และความรับผิดชอบในการบริหารและจัดการความเสี่ยง ในเรื่องความปลอดภัยด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ ผู้อำนวยการฝ่ายเทคโนโลยีสารสนเทศและพัฒนาระบบมีหน้าที่รับผิดชอบในการศึกษา จัดหาวิธีการหรือแนวทางด้านเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงหรือจัดการความเสี่ยงที่มีอยู่ แล้วนำเสนอให้กับผู้บริหารเพื่อพิจารณาในการจัดการความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศตามโครงสร้าง

โครงสร้างการบริหารความปลอดภัยด้านเทคโนโลยีสารสนเทศ

* หมายเหตุ : Vice President IT and System Development Department, this position is similar to Chief Information Officer (CIO), Responsible to Oversee all information security, security awareness and information technology issues, threats, vulnerabilities and regulatory changes affecting the organization, perform independent research as needed and review process.
Risk Management Committee responsible to annually reviews the Company’s IT Security / Cyber security strategy.

บริษัทต้องมีการกำหนดแนวทางการจัดการ (Management Approach) และบริหารความเสี่ยงในเรื่องความปลอดภัยของเทคโนโลยีสารสนเทศ รวมถึงความปลอดภัยด้านข้อมูลทางไซเบอร์ ให้สอดคล้องกับ NIST Cybersecurity Framework ซึ่งเป็นมาตราฐานสากลซึ่งมี 5 ขั้นตอนสำคัญคือ

1. การประเมิน (Identify) และเข้าใจสภาพแวดล้อม ทรัพย์สิน เพื่อบริหารความเสี่ยงของระบบ
2. การป้องกัน (Protect) วางมาตรฐานควบคุมเพื่อปกป้องระบบ และข้อมูล
3. การตรวจจับ (Detect) และเฝ้าระวังภัยคุกคามที่อาจจะเกิดขึ้น
4. การตอบสนอง (Response) เมื่อพบภัยคุกคาม เพื่อลดผลกระทบหรือจำกัดความเสียหาย
5. การกู้คืน (Recover) ระบบขึ้นมาให้บริการตามปกติได้อย่างรวดเร็ว

2. นโยบายการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT Security Policy)

บริษัทต้องจัดให้มีหน้าที่ดูแลให้มีการกำหนดนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศเป็นลายลักษณ์อักษร และบริษัทต้องทำการสื่อสารนโยบายดังกล่าวเพื่อสร้างความเข้าใจและสามารถปฏิบัติตามได้อย่างถูกต้อง โดยเฉพาะอย่างยิ่งระหว่างหน่วยงานด้านเทคโนโลยีสารสนเทศและหน่วยงานด้านอื่นภายในบริษัท เพื่อให้มีการประสานงานและสามารถดำเนินธุรกิจได้ตามเป้าหมายที่ตั้งไว้
บริษัทต้องจัดให้มีการทบทวนนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีผลกระทบต่อการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของบริษัท

เเผนผังเว็บไซต์

หน้าหลัก

เกี่ยวกับเรา

ธุรกิจของเรา

ธุรกิจไบโอดีเซล

ธุรกิจโรงไฟฟ้า

ธุรกิจพัฒนา เเละผลิตแบตเตอรี

ธุรกิจยานยนต์ไฟฟ้า

ธุรกิจสถานีอัดประจุไฟฟ้า

การพัฒนาที่ยั่งยืน

นักลงทุนสัมพันธ์

การกำกับดูแลกิจการ

ข่าวสารและกิจกรรม