ปัจจุบันภัยคุกคามทางไซเบอร์มีความซับซ้อนและรุนแรงมากขึ้น ขณะที่โครงข่ายดิจิทัลมีบทบาทเป็นโครงสร้างพื้นฐานสำคัญของประเทศ ความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลจึงเป็นรากฐานของความเชื่อมั่นในการใช้บริการดิจิทัล ด้วยเหตุนี้ เอไอเอสจึงยกระดับมาตรฐานความปลอดภัยอย่างต่อเนื่อง ผ่านการลงทุนในเทคโนโลยีป้องกันและรับมือภัยคุกคามขั้นสูง การพัฒนากระบวนการกำกับดูแลที่รัดกุม และการเสริมสร้างศักยภาพบุคลากร ควบคู่กับการปฏิบัติตามกฎหมายอย่างเคร่งครัด เพื่อให้บริษัทสามารถรักษาความต่อเนื่องและเสถียรภาพของโครงข่าย ปกป้องข้อมูลลูกค้าได้อย่างมีประสิทธิภาพ พร้อมต่อยอดสู่การพัฒนาโซลูชันด้านความปลอดภัยที่สร้างความเชื่อมั่นให้กับลูกค้า และเสริมความสามารถในการแข่งขันอย่างยั่งยืน
ผลการดำเนินงาน ปี 2568
เป้าหมายการดำเนินงาน
แนวทางการดำเนินงาน
เอไอเอสจัดทำนโยบายด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ นโยบายการคุ้มครองข้อมูลส่วนบุคคล นโยบายการกำกับดูแลข้อมูลและปัญญาประดิษฐ์ ตลอดจนประกาศการคุ้มครองข้อมูลส่วนบุคคล ครอบคลุมทุกหน่วยงานภายในองค์กร รวมถึงองค์กรภายนอกที่เกี่ยวข้อง เพื่อเสริมสร้างความเชื่อมั่นให้ลูกค้าว่าเอไอเอสดำเนินงานด้านการปกป้องระบบสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลอย่างโปร่งใสและมีประสิทธิภาพ ทั้งนี้ บริษัทได้กำหนดโครงสร้างการบริหารจัดการด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลอย่างชัดเจน พร้อมมีหน่วยงานและคณะกรรมการที่ทำหน้าที่กำกับดูแลและติดตามการดำเนินงานอย่างเป็นระบบโดยเฉพาะ
การรักษาความปลอดภัยทางไซเบอร์
เอไอเอสดำเนินการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์อย่างเป็นระบบ ครอบคลุมการกำหนดมาตรการป้องกัน การทดสอบ และการเฝ้าระวังภัยคุกคามอย่างต่อเนื่อง พร้อมทบทวนและปรับปรุงนโยบายให้สอดคล้องกับมาตรฐานสากลและข้อกำหนดที่เกี่ยวข้องอยู่เสมอ บริษัทบูรณาการกรอบแนวปฏิบัติที่ได้รับการยอมรับในระดับสากล เช่น NIST, หลักการ Zero Trust และมาตรฐาน ISO/IEC 27001 ควบคู่กับการพัฒนาแนวทางที่เหมาะสมกับบริบทขององค์กร ครอบคลุมทั้งด้านเทคโนโลยี (Technology) กระบวนการทำงาน (Process) และบุคลากร (People) เพื่อให้สามารถบริหารจัดการความเสี่ยงด้านไซเบอร์ได้อย่างรอบด้าน มีประสิทธิภาพ และรองรับการเปลี่ยนแปลงของภัยคุกคามในยุคดิจิทัล
กรอบการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์แบบองค์รวม
เทคโนโลยี (Technology)
นำเทคโนโลยีด้านความมั่นคงปลอดภัยมาใช้ครอบคลุมทั้งอุปกรณ์ โครงข่าย ระบบ และข้อมูล อาทิ ระบบป้องกันและตรวจจับการบุกรุก การเข้ารหัสข้อมูล และระบบรักษาความปลอดภัยบนคลาวด์ เพื่อเสริมศักยภาพในการป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์อย่างมีประสิทธิภาพ
กระบวนการ (Process)
กำหนดมาตรฐานและกระบวนการควบคุมด้านความมั่นคงปลอดภัยอย่างเป็นระบบ ครอบคลุมการบริหารจัดการสิทธิการเข้าถึง การประเมินและลดความเสี่ยงจากจุดอ่อนของระบบ และการรับมือเหตุการณ์ด้านไซเบอร์ ให้สอดคล้องกับกฎหมายและมาตรฐานสากล
บุคลากร (People)
กำหนดบทบาทด้านความมั่นคงปลอดภัยไซเบอร์อย่างชัดเจน พร้อมพัฒนาศักยภาพและส่งเสริมวัฒนธรรมความปลอดภัยให้พนักงานและคู่ค้า เพื่อให้การใช้ระบบและข้อมูลเป็นไปอย่างปลอดภัยและมีความรับผิดชอบ
แนวทางและกระบวนการด้านการรักษาความปลอดภัยไซเบอร์
กำหนดนโยบายด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สอดคล้องตามกรอบการดำเนินงานและมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามหลักสากลของ National Institute of Standards and Technology (NIST)
ปรับปรุงด้านความปลอดภัยด้วยแนวทาง Zero Trust ซึ่งเน้นความน่าเชื่อถือขององค์ประกอบต่างๆ ในระบบคอมพิวเตอร์
จัดหลักสูตรเรียนออนไลน์ให้พนักงานสามารถทำได้ทุกที่ทุกเวลา
ร่วมมือกับหน่วยงานกำกับดูแลและหน่วยงานโครงสร้างพื้นฐานสำคัญสารสนเทศในการตอบสนองต่อเหตุภัยคุกคามไซเบอร์
รับมือกับภัยคุกคามทางไซเบอร์และกระบวนการยกระดับการบริหารจัดการ
กรอบการบริหารจัดการและการรับมือกับภัยคุกคามทางไซเบอร์
เอไอเอสจัดตั้งศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์ (Cyber Security Operation Center: CSOC) ทำงานตลอด 24 ชั่วโมง เพื่อเฝ้าระวัง ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นในองค์กร โดยใช้ระบบแจ้งเตือนแบบเรียลไทม์ร่วมกับการวิเคราะห์พฤติกรรมการใช้งาน (User and Entity Behavior Analytics: UEBA) เพื่อยกระดับประสิทธิภาพในการตรวจจับความผิดปกติและประเมินภัยคุกคามได้อย่างทันท่วงที
การคุ้มครองข้อมูลส่วนบุคคลของลูกค้า
เอไอเอสกำหนดนโยบายและแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายและข้อบังคับที่เกี่ยวข้อง ครอบคลุมทั้งบริษัทในเครือ คู่ค้า และพันธมิตรที่เกี่ยวข้องกับการประมวลผลข้อมูลลูกค้า พร้อมกำหนดมาตรการกำกับดูแลตลอดวงจรข้อมูล ตั้งแต่การเก็บ ใช้ เปิดเผย จัดเก็บ และทำลายข้อมูล ตามมาตรฐานสากล
แนวทางและกระบวนการด้านการรักษาข้อมูลส่วนบุคคล
การกำกับดูแลข้อมูล
- กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลของกลุ่มบริษัทเอไอเอส
- จัดทำประกาศคุ้มครองข้อมูลส่วนบุคคล (Privacy Notice) ของกลุ่มบริษัทเอไอเอส
- ทบทวนและ/หรือปรับปรุงนโยบาย มาตรฐาน และแนวทางปฏิบัติต่าง ๆ อย่างน้อยปีละ 1 ครั้ง
- กำหนดการจัดระดับชั้นความลับของข้อมูล รวมทั้งกำหนดสิทธิการเข้าถึงข้อมูลที่สำคัญ (Sensitive Information) และนำเครื่องมือ/เทคนิคที่หลากหลายมาใช้ปกป้องข้อมูล
- จัดทำข้อกำหนดการเชื่อมตอ่ข้อมูลในระบบ (Data flow) อย่างเป็นขั้นตอน
- กำหนดมาตรฐานการคุ้มครองข้อมูลส่วนบุคคลของลูกค้าผ่านกระบวนการจัดการข้อมูล (Data Life Cycle Management) ครอบคลุมการปฏิบัติงานของพนักงานและบุคคลภายนอกที่เกี่ยวข้องตลอดวงจรการจัดการข้อมูล
การสร้างความตระหนักและการฝึกอบรม
- สร้างความตระหนัก ความรู้ ความเข้าใจในการปกป้องข้อมูลส่วนบุคคลตามวงจร (Data Life Cycle Management)
- ส่งเสริมแนวคิด Privacy by design และ Privacy by default ในการออกแบบบริการและผลิตภัณฑ์อย่างมีความรับผิดชอบ
การติดตามและประเมินความเสี่ยง
- กำหนดกระบวนการประเมินผลกระทบต่อข้อมูลส่วนบุคคลตามมาตรฐานสากล (Data Protection Impact Assessment: DPIA) โดย
- ประเมินความเสี่ยง
- จัดทำสัญญามาตรฐานกับหน่วยงานที่เกี่ยวข้อง
- จัดทำบันทึกรายการการประมวลผลข้อมูลส่วนบุคคล
- ตรวจสอบภายในต่อเนื่องทั้งปี
การป้องกันและรับมือกับการละเมิดข้อมูลส่วนบุคคล
- กำหนดขั้นตอนการทางวินัยกับพนักงานที่เกี่ยวข้องในกรณีที่เกิดเหตุข้อมูลส่วนบุคคลรั่วไหล
- จัดตั้งหน่วยงาน Incident Center เพื่อรับมือและตอบสนองต่อการละเมิดข้อมูลส่วนบุคคลและภัยคุกคามไซเบอร์
กระบวนการตอบสนองต่อกรณีข้อมูลส่วนบุคคลรั่วไหล
รับเรื่องร้องเรียนจากช่องทางต่าง ๆ ทั้งภายในและนอกองค์กร เช่น CSOC, Call Center, AIS Shop, Complaint Center เป็นต้น
กำหนดระดับความรุนแรงและประสานงานและดำเนินการร่วมกับหน่วยงานต่าง ๆ ที่เกี่ยวข้อง (DPO)
หน่วยงานที่เกี่ยวข้องดำเนินการตรวจสอบ และรายงานผลต่อ Incident Center
ตอบผลการตรวจสอบ/แก้ไขกลับไปยังผู้แจ้งปัญหา (Voice of Customer/PR)
สื่อสารข้อมูลและสร้างความเข้าใจทั้งภายในและภายนอกองค์กร (PR / Crisis Communication Team) พร้อมทั้งทบทวนสาเหตุของเหตุการณ์ และกำหนดมาตรการป้องกันไม่ให้เกิดเหตุซ้ำ (DPO)
กระบวนการร้องขอสิทธิต่าง ๆ ของลูกค้า
ประกาศนียบัตรและใบรับรองด้านความปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล
ระดับพื้นฐาน
ระดับกลาง
ระดับสูง
การรับรองมาตรฐานสากลด้านความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลลูกค้า
ตารางสรุปผลการดำเนินงาน
| หัวข้อ | หน่วย | 2565 | 2566 | 2567 | 2568 |
|---|---|---|---|---|---|
| ด้านการคุ้มครองข้อมูลส่วนบุคคล | |||||
| จำนวนคำร้องเรียนที่ได้รับในการละเมิดความเป็นส่วนตัวและข้อมูลสูญหาย | |||||
|
คำร้องเรียนจากบุคคล หรือหน่วยงานทั่วไป
|
กรณี | 7 | 4 | 3 | 2 |
|
คําร้องเรียนจากหน่วยงานกำกับดูแลต่าง ๆ
|
กรณี | 11 | 4 | 7 | 3 |
| กรณีข้อมูลรั่วไหล ถูกขโมยหรือสูญหาย | กรณี | 2 | 1 | 0 | 0 |
| จำนวนคำร้องขอข้อมูลส่วนบุคคลของผู้ใช้บริการที่ได้รับจากหน่วยงานภาครัฐที่มีอำนาจตามกฏหมาย 1 | กรณี | 19,454 | 19,255 | 19,854 | 24,653 |
|
ร้อยละของจำนวนคำร้องขอทั้งหมด
|
ร้อยละ | 92 | 92 | 93 | 96 |
| ด้านระบบเครือข่าย | |||||
|
ความถี่เฉลี่ยกรณีระบบเครือข่ายขัดข้อง
|
หน่วย | 0.07 | 0.09 | 0.07 | 0.15 |
|
ระยะเวลาเฉลี่ยสำหรับกรณีระบบเครือข่ายขัดข้อง 2
|
นาที | 38 | 37 | 72 | 223 |
หมายเหตุ :
1 บริษัทมีการให้ข้อมูลการใช้บริการของผู้ใช้บริการแก่หน่วยงานของรัฐต่าง ๆ ตามอำนาจหน้าที่ที่กฎหมายกำหนดไว้ ได้แก่ ศาลยุติธรรม สำนักงานตำรวจแห่งชาติ และสำนักงานคณะกรรมการป้องกันและปราบปรามการฟอกเงิน เป็นต้น
2 ในปี 2568 ระยะเวลาเฉลี่ยการขัดข้องของระบบเครือข่ายเพิ่มขึ้น จากเหตุอุทกภัยและน้ำท่วมที่เกิดขึ้นต่อเนื่องในหลายพื้นที่ ส่งผลให้เกิดไฟฟ้าดับเป็นเวลานาน ทำให้ระบบโครงข่ายโทรคมนาคมขาดแหล่งพลังงาน และการกู้คืนระบบใช้เวลานานกว่าปกติ
เอกสารที่เกี่ยวข้อง
สามารถอ่านรายละเอียดเพิ่มเติมรวมถึงโครงการอื่น ๆ ได้ที่หัวข้อ การปกป้องระบบสารสนเทศและคุ้มครองข้อมูลส่วนบุคคลของลูกค้า ในรายงานการพัฒนาธุรกิจอย่างยั่งยืนประจำปี 2568
