บริษัทฯ มุ่งใช้เทคโนโลยีดิจิทัลอย่างมีความรับผิดชอบ เสริมความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูล เพื่อขับเคลื่อนธุรกิจอย่างโปร่งใสและยั่งยืน
ผู้มีส่วนได้เสียหลักที่ได้รับผลกระทบ
ผลกระทบต่อผู้มีส่วนได้เสีย
ผลกระทบต่อผู้มีส่วนได้เสีย
ผลการดำเนินงานเทียบกับเป้าหมาย
กรณีการโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อการดำเนินธุรกิจอย่างมีนัยสำคัญ
ปี 2570
ปี 2568
ปี 2568
หมายเหตุ : ร้อยละของการโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อการดำเนินธุรกิจอย่างมีนัยสำคัญ หมายถึง ส่งผลกระทบต่อการดำเนินธุรกิจอย่างมีนัยสำคัญ หมายถึง ส่งผลกระทบด้านการเงิน (กำไร) และผลกระทบที่ไม่ใช่การเงิน (ภาพลักษณ์) ระดับสูงขึ้นไป และเป็นการโจมตีที่บริษัทฯไม่สามารถป้องกันได้
แนวทางการบริหารจัดการ
โครงสร้างการกำกับดูแลความปลอดภัยสารสนเทศ และความปลอดภัยทางไซเบอร์
บริษัทฯ มีโครงสร้างการกำกับดูแลที่ชัดเจน โดยกำหนดบทบาทหน้าที่ของคณะกรรมการแต่ละชุดในการกำกับดูแลและบริหารจัดการด้านสารสนเทศและเทคโนโลยีสารสนเทศอย่างเป็นระบบ พร้อมแต่งตั้งผู้บริหารที่รับผิดชอบโดยตรง ได้แก่ Chief Information Officer (CIO) ทำหน้าที่กำหนดกลยุทธ์ บริหารจัดการ และควบคุมการดำเนินงานด้านเทคโนโลยีให้สอดคล้องกับเป้าหมายองค์กร โดยมีการกำกับดูแลความปลอดภัยสารสนเทศ โดยแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับการกำกับดูแล ระดับบริหาร และระดับปฏิบัติการ
แนวทางและกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
ปัจจุบันบริษัท พีทีจี เอ็นเนอยี จำกัด (มหาชน) ได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศที่สอดคล้องตามระเบียบข้อบังคับของหน่วยงานที่เกี่ยวข้องกับการกำกับดูแลกิจการ กฎหมายไทย และมาตรฐานสากล โดยอ้างอิงตามมาตรฐาน ISO/IEC 27001 ซึ่งได้รับการตรวจสอบและให้ความเชื่อมั่นอย่างต่อเนื่องจากหน่วยงานตรวจสอบภายใน และบริษัทผู้ตรวจสอบภายนอก ตามมาตรฐานในระดับสากล นอกจากนี้ บริษัทฯ ยังได้กำหนดนโยบายหรือแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ซึ่งเป็นส่วนหนึ่งของนโยบายเทคโนโลยีสารสนเทศ เพื่อให้บุคลากรในองค์กร ผู้ที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และได้รับทราบถึงหน้าที่ความรับผิดชอบและแนวทางปฏิบัติในการควบคุมความเสี่ยงต่างๆ ที่อาจเกิดขึ้น โดยได้ดำเนินงาน ติดตาม ควบคุม และดูแลความปลอดภัยด้านเทคโนโลยีสารสนเทศให้ปฏิบัติตามนโยบายดังกล่าวข้างต้นอย่างสม่ำเสมอ เช่น การทดสอบการบุกรุกระบบ (Penetration Test) เป็นต้น
บริษัทฯ กำหนดแนวทางและกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัย สารสนเทศและไซเบอร์อย่างเป็นระบบ ครอบคลุมการป้องกัน ตรวจสอบ และรับมือกับความเสี่ยง เพื่อคุ้มครองข้อมูลและระบบสารสนเทศให้มีความมั่นคงและสอดคล้องกับมาตรฐานที่เกี่ยวข้อง รวมถึงมีการจัดการทดสอบ Cyber Drill ในรูปแบบ Table top เพื่อเป็นการทบทวนขั้นตอนการบริหารจัดการภัยคุกคามทางไซเบอร์ให้กับพนักงานที่มีส่วนเกี่ยวข้องอย่างเป็นประจำ
มาตรการรักษาความปลอดภัยทางไซเบอร์ การตอบสนองต่อภัยคุกคามทางไซเบอร์
บริษัทฯ ให้ความสำคัญกับการปกป้องระบบสารสนเทศและข้อมูลขององค์กร รวมถึงข้อมูลส่วนบุคคลของผู้มีส่วนได้ส่วนเสีย ด้วยมาตรการดังนี้:
- นโยบายและแนวปฏิบัติด้านความปลอดภัยสารสนเทศ กำหนดแนวทางการใช้ระบบสารสนเทศอย่างปลอดภัยและเป็นไปตามกฎหมายที่เกี่ยวข้อง
- การบริหารความเสี่ยงและการกำกับดูแล บูรณาการความเสี่ยงไซเบอร์ไว้ในกระบวนการบริหารความเสี่ยงองค์กร พร้อมมีคณะกรรมการหรือผู้บริหารรับผิดชอบด้านความปลอดภัยทางไซเบอร์
- การควบคุมและตรวจสอบระบบ ใช้มาตรการทางเทคนิค เช่น การเข้ารหัสข้อมูล การจำกัดสิทธิ์การเข้าถึง และการตรวจสอบระบบอย่างสม่ำเสมอ
- การสร้างความตระหนักรู้และพัฒนาศักยภาพพนักงาน จัดอบรม Cybersecurity Awareness และเสริมทักษะด้านความปลอดภัยไซเบอร์ให้พนักงานทุกระดับ
- แผนรับมือเหตุการณ์ไซเบอร์ (Incident Response Plan) มีขั้นตอนชัดเจนในการตอบสนองต่อเหตุการณ์ด้านไซเบอร์ เพื่อลดผลกระทบและป้องกันการเกิดซ้ำ
การซ้อมแผนฉุกเฉิน และการบริหารความต่อเนื่องทางธุรกิจ
บริษัท พีทีจี เอ็นเนอยี จำกัด (มหาชน) กำหนดให้มีการทดสอบแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) อย่างน้อยปีละ 1 ครั้ง โดยในปี 2568 บริษัทฯ ได้มีการทดสอบกับหน่วยงานที่เกี่ยวข้อง ได้แก่ ฝ่ายเทคโนโลยีสารสนเทศ ฝ่ายปฏิบัติการ ฝ่ายการขาย ฝ่ายบัญชีและการเงิน และบริษัทในเครือ โดยสถานการณ์การทดสอบ คือ เซิร์ฟเวอร์ระบบหลักที่สำนักงานใหญ่ถูกโจมตีทางไซเบอร์จากภายนอก ทำให้ระบบหลักไม่สามารถใช้งานได้ กรณีที่ไม่สามารถใช้งานบนระบบหลักได้ทางหน่วยงานที่เกี่ยวข้องปฏิบัติตามแผนงานการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง และฝ่ายเทคโนโลยีสารสนเทศดำเนินการตามแผนกู้คืนระบบเทคโนโลยีสารสนเทศ (IT Disaster Recovery Plan) โดยทางบริษัทฯ มุ่งเน้นในการขยายผลการทดสอบเพิ่มเติมเพื่อให้ครอบคลุมระบบที่สำคัญ
จากการทดสอบ พบว่า ฝ่ายเทคโนโลยีสารสนเทศได้ดำเนินการแก้ไขเหตเซิร์ฟเวอร์ที่ถูกโจมตีทางไซเบอร์ตามขั้นตอนเรียบร้อยแล้ว โดยสามารถกู้คืนข้อมูลกลับมาได้ และตรวจสอบข้อมูลในระบบถูกต้องครบถ้วน ทุกหน่วยงานกลับมาปฏิบัติงานได้ตามปกติ
การประเมินและทดสอบความมั่นคงปลอดภัยสารสนเทศ (Information Security Assessment & Testing)
บริษัทฯ ดำเนินการประเมินและทดสอบความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอ เพื่อระบุช่องโหว่ ประเมินความเสี่ยง และยกระดับความปลอดภัยของระบบให้สอดคล้องกับมาตรฐานและแนวปฏิบัติที่เกี่ยวข้อง โดยมีแนวทางสำคัญ ดังนี้
- การประเมินความเสี่ยง (Risk Assessment) ประเมินช่องโหว่และความเสี่ยงในระบบ IT และข้อมูลสำคัญขององค์กรอย่างต่อเนื่อง เพื่อระบุจุดอ่อนและจัดลำดับความสำคัญของมาตรการป้องกัน
- การทดสอบความมั่นคงปลอดภัย (Security Testing / Penetration Testing) ดำเนินการทดสอบเจาะระบบ (Penetration Test) และทดสอบมาตรการป้องกันเพื่อตรวจหาช่องโหว่ที่อาจเกิดขึ้น
- การตรวจสอบและติดตาม (Monitoring & Audit) ติดตามการดำเนินงานและผลการประเมิน เพื่อให้มั่นใจว่ามาตรการความมั่นคงปลอดภัยสารสนเทศสามารถป้องกันภัยคุกคามใหม่ ๆ ได้อย่างมีประสิทธิภาพ
- การปรับปรุงอย่างต่อเนื่อง (Continuous Improvement) นำผลการประเมินและทดสอบมาปรับปรุงมาตรการควบคุมและกระบวนการปฏิบัติงานให้สอดคล้องกับมาตรฐานสากล เช่น ISO/IEC 27001
การสร้างวัฒนธรรมองค์กรและความตระหนักรู้เท่าทันต่อภัยไซเบอร์
บริษัทฯ ให้ความสำคัญในการสื่อสารนโยบาย บทบาทหน้าที่และความรับผิดชอบของทุกภาคส่วนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ตั้งแต่ระดับผู้บริหารจนถึงพนักงาน ทั้งที่เพิ่งเริ่มงานใหม่ และที่ทำงานในปัจจุบันอย่างต่อเนื่อง ซึ่งจัดทำโดยฝ่ายเทคโนโลยีสารสนเทศ เพื่อให้พนักงานทุกท่านเกิดความตระหนักรู้ ร่วมกันเฝ้าระวัง และทราบถึงแนวทางปฏิบัติเมื่อประสบเหตุการณ์ที่มีความเสี่ยงเกี่ยวกับด้านไซเบอร์ ดังนี้
| ประเภทการสื่อสาร | รายละเอียด |
|---|---|
| การทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Test) | ทดสอบความตระหนักรู้ความปลอดภัยด้านเทคโนโลยีสารสนเทศกับบุคลากรภายในองค์กรของกลุ่มบริษัท โดยในปี 2568 บริษัทฯ ได้ทำการทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ โดยมีขอบเขต คือ กลุ่มพนักงานของบริษัทฯ และบริษัทในเครือ ซึ่งจะทำการทดสอบอย่างสม่ำเสมอ ปีละ 1 ครั้ง |
| หลักสูตรอบรมสร้างความตระหนักรู้ด้านความปลอดภัยเทคโนโลยีสารสนเทศภายในบริษัทฯ ให้กับพนักงานในกลุ่มบริษัท | บริษัทฯ ได้มีการจัดอบรมสร้างความตระหนักรู้ด้านความปลอดภัยเทคโนโลยีสารสนเทศภายในบริษัท พีทีจี เอ็นเนอยี จำกัด (มหาชน) และบริษัทในเครือ ในรูปแบบ Online โดยมีพนักงาน เข้าร่วมจำนวน 752 คน เพื่อให้บุคลากรได้ตระหนักรู้ในด้านความปลอดภัยทางไซเบอร์ และเป็นส่วนสำคัญที่จะช่วยป้องกันภัยไซเบอร์ให้กับองค์กรได้ |
| อินโฟกราฟิกส์ (Infographics) | - ส่งข้อมูลข่าวสารเพื่อสร้างความตระหนักรู้ให้แก่พนักงานภายในบริษัท พีทีจี เอ็นเนอยี จำกัด (มหาชน) และบริษัทในเครือ ผ่านช่องทางการสื่อสาร ขององค์กร และประเมินความรู้และความเข้าใจของพนักงานผ่านการทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Simulation) |
| PTG Technology Day | - บริษัทฯ จัดงานสัมมนา “PTG Technology Day” โดยจะพบกับการให้ความรู้จากวิทยากรชั้นนำในเรื่อง “Update Technology and Cybersecurity awareness” และบูธกิจกรรมที่ทางผู้ให้บริการชั้นนำได้นำมาร่วมโชว์ในงาน ซึ่งงานในครั้งนี้จัดเพื่อ Update Technology Trends และให้ความรู้กับพนักงานในด้าน Cybersecurity awareness โดยในปี 2568 ได้จัดขึ้นจำนวน 2 ครั้ง จำนวนผู้เข้าร่วม 550 คน |
ประมวลภาพ PTG Technology Day 2025
การคุ้มครองข้อมูลส่วนบุคคล
ในปี 2568 บริษัทฯ ได้ดำเนินการทบทวน และปรับปรุงประกาศความเป็นส่วนตัว (Privacy Notice) นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) รวมถึงเอกสารกำกับดูแลข้อมูลส่วนบุคคลอื่น ๆ ให้สอดคล้องกับบริบทด้านการคุ้มครองข้อมูลส่วนบุคคลที่เปลี่ยนแปลงอยู่เสมอ ตลอดจนเสริมสร้างมาตรการด้านความมั่นคงปลอดภัยข้อมูล เพื่อป้องกัน ควบคุม ตรวจสอบ และเฝ้าระวังความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลส่วนบุคคล นอกจากนี้ บริษัทฯ ได้กำหนดแนวทางปฏิบัติในกรณีเกิดเหตุการณ์ข้อมูลรั่วไหล การตอบสนองต่อเหตุการณ์ และการแจ้งเตือนผู้เกี่ยวข้องอย่างเหมาะสม ตลอดจนส่งเสริมความตระหนักรู้แก่พนักงานเกี่ยวกับสิทธิของเจ้าของข้อมูล มาตรการรักษาความลับ และการปฏิบัติตามกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด อีกทั้งได้จัดให้มีการอบรมพนักงานอย่างสม่ำเสมอ พร้อมทั้งดำเนินการติดตามและตรวจสอบโดยหน่วยงานอิสระเพื่อประเมินระบบควบคุมภายในและการบริหารความเสี่ยง โดยหน่วยงานที่เกี่ยวข้องต้องดำเนินการปรับปรุงตามข้อเสนอแนะและรายงานผลต่อคณะกรรมการที่เกี่ยวข้องเป็นรายไตรมาส
บริษัทฯ ยังคงดำเนินงานตามแผนบริหารจัดการความเสี่ยงและแผนสื่อสารด้านข้อมูลส่วนบุคคลอย่างต่อเนื่อง โดยในปีที่ผ่านมาไม่พบเหตุการณ์ละเมิดหรือรั่วไหลของข้อมูลส่วนบุคคล ซึ่งสะท้อนถึงประสิทธิภาพด้านการกำกับดูแล ทั้งนี้ บริษัทฯจะติดตามและพัฒนามาตรการด้านข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อให้การคุ้มครองข้อมูลเป็นไปอย่างมีประสิทธิภาพและสอดคล้องกับกฎหมายที่เกี่ยวข้องต่อไป
การดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
บริษัทฯ มีแนวปฏิบัติในการจัดการเหตุการณ์รั่วไหลของข้อมูลและการละเมิดข้อมูลส่วนบุคคลอย่างเป็นระบบ โดยแบ่งเป็น 3 ระยะ ได้แก่ ระยะที่ 1 เมื่อเกิดเหตุการณ์รั่วไหลของข้อมูล หรือมีเหตุอันควรสงสัย พนักงานต้องรายงานต่อสำนักคุ้มครองข้อมูลส่วนบุคคลทันทีภายใน 24 ชั่วโมง ระยะที่ 2 สำนักคุ้มครองข้อมูลส่วนบุคคลจะประเมินเหตุการณ์โดยเร่งด่วน และหากเข้าข่ายการละเมิดข้อมูลตามกฎหมาย จะดำเนินการรายงานต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง พร้อมทั้งใช้มาตรการควบคุมและลดความเสียหายที่อาจเกิดขึ้น และในระยะที่ 3 สำนักคุ้มครองข้อมูลส่วนบุคคลจะจัดทำบันทึกเหตุการณ์และประสานงานกับสายงานกฎหมายและกลุ่มงานเทคโนโลยีสารสนเทศเพื่อกำหนดมาตรการป้องกันในระยะยาว นอกจากนี้ สำนักคุ้มครองข้อมูลส่วนบุคคลยังมีการสื่อสารแนวปฏิบัติและขั้นตอนการจัดการเหตุการณ์รั่วไหลของข้อมูลให้แก่พนักงานเป็นประจำทุกปี เพื่อสร้างความมั่นใจว่าพนักงานทุกคนมีความรู้ ความเข้าใจ และสามารถปฏิบัติตามได้อย่างถูกต้อง
การส่งเสริมและสร้างความตระหนักในการคุ้มครองข้อมูลส่วนบุคคล
อบรม PDPA Management ให้แก่คณะกรรมการบริษัท ผู้บริหาร และตัวแทนของแต่ละหน่วยธุรกิจ
บริษัทให้ความสำคัญกับการเสริมสร้างความรู้ ความเข้าใจ และความตระหนักด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA) ให้แก่ผู้บริหารและพนักงานทุกระดับ สำหรับพนักงานใหม่ในขั้นตอนการปฐมนิเทศ (Orientation) ทุกท่าน และได้จัดอบรม PDPA Management ให้แก่คณะกรรมการบริษัท ผู้บริหาร และตัวแทนของแต่ละหน่วยธุรกิจ
Observe PDPA
ตรวจสอบและสอบทานการปฏิบัติงานด้านการคุ้มครองข้อมูลส่วนบุคคลของสาขาและร้านค้าในกลุ่มบริษัทเป็นประจำทุกไตรมาส ไตรมาสละ 1 ครั้ง ครั้งละ 2 สาขา เพื่อประเมินความสอดคล้องกับกฎหมายและแนวปฏิบัติที่กำหนด พร้อมทั้งให้คำแนะนำแก่พนักงานอย่างต่อเนื่อง การดำเนินงานดังกล่าวช่วยยกระดับความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลของพนักงาน และสนับสนุนให้การดำเนินธุรกิจเป็นไปตามกฎหมายและแนวปฏิบัติที่ดีอย่างยั่งยืน
จัดทำสื่อประชาสัมพันธ์และเผยแพร่ความรู้เกี่ยวกับ PDPA ภายในองค์กร
บริษัทฯ ได้จัดทำและเผยแพร่สื่อประชาสัมพันธ์ด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA) ภายในองค์กรอย่างต่อเนื่อง เพื่อเสริมสร้างความรู้ ความเข้าใจ และความตระหนักให้พนักงานสามารถเก็บรวบรวม ใช้ เปิดเผย และทำลายข้อมูลส่วนบุคคลได้อย่างถูกต้องตามกฎหมายและระเบียบของกลุ่มบริษัท โดยสื่อที่จัดทำครอบคลุมประเด็นสำคัญ อาทิ การรับสมัครสมาชิกบัตร Max Card สำหรับผู้มีอายุ 13 ปีขึ้นไป แนวทางการรักษาข้อมูลส่วนบุคคลของลูกค้า การรับมือกรณีข้อมูลรั่วไหล แนวปฏิบัติด้านวินัยกรณีฝ่าฝืน PDPA ข่าวสารและกรณีศึกษาการบังคับใช้กฎหมาย รวมถึงแนวคิด PDPA กับการตลาดดิจิทัลที่เคารพสิทธิของลูกค้า ทั้งนี้ บริษัทได้เผยแพร่สื่อดังกล่าวเป็นประจำทุกสัปดาห์ เพื่อสนับสนุนให้พนักงานสามารถนำความรู้ไปประยุกต์ใช้ในการปฏิบัติงานได้อย่างเหมาะสม
