ในยุคปัจจุบัน เทคโนโลยีสารสนเทศได้พัฒนาไปอย่างรวดเร็ว ปรับเปลี่ยนวิถีการติดต่อสื่อสารทั้งในการใช้้งานส่วนบุคคลและในเชิงธุรกิจก่อให้้เกิดการแลกเปลี่ยนข้อมูลการทำธุรกรรมต่าง ๆ บนโลกออนไลน์อย่างมหาศาลและเชื่อมโยงกันทั่วโลก ส่งผลให้้ผู้ใช้้บริการมีความเสี่ยงต่ออาชญากรรมในโลกไซเบอร์เพิ่มขึ้น หน่วยงานกำกับดูแลทั่วโลกต่างก็ให้ความสำคัญกับความปลอดภัยของระบบข้อมูลข่าวสารและการปกป้องข้อมูลส่วนบุคคล
ในฐานะที่เอไอเอสเป็นผู้ให้บริการดิจิทัล บริษัทมีหน้าที่บริหารจัดการระบบข้อมูลสารสนเทศจำนวนมหาศาล ทั้งข้อมูลจากกระบวนการดำเนินธุรกิจและข้อมูลส่วนบุคคลของผู้ใช้บริการ เอไอเอสตระหนักว่าการปกป้องระบบสารสนเทศและคุ้มครองข้อมูลส่วนบุคคลของลูกค้าให้ปลอดภัย และการกำกับดูแลการดำเนินการงานให้สอดคล้องกับกฎหมายที่เกี่ยวข้องจะช่วยป้องกันผลกระทบต่อผู้ใช้บริการจากการรั่วไหลของข้อมูลส่วนบุคคลรวมถึงลดความเสี่ยงต่อบริษัทในด้านการเงินและด้านชื่อเสีียง นอกจากนี้ เอไอเอสยังเล็งเห็นโอกาสที่จะคิดค้นและพัฒนาบริการด้านการรักษาความปลอดภัยไซเบอร์์อย่างครบวงจร เพื่อตอบโจทย์การใช้้งานและส่งเสริมศักยภาพในการดำเนินธุรกิจให้้แก่ลูกค้าองค์์กร
เราตอบสนองต่อประเด็นนี้อย่างไร
เอไอเอสกำกับดูแล กำหนดนโยบาย กระบวนการ และระบบการบริหารจัดการสำหรับทุกหน่วยงานตลอดทั้งองค์กร เพื่อให้ลูกค้าสามารถไว้วางใจว่า เอไอเอสมีการดำเนินการอย่างโปร่งใสในด้านการปกป้องระบบสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า รวมถึงระบุให้หัวข้อการปกป้องระบบสารสนเทศและคุ้มครองข้อมูลส่วนบุคคลของลูกค้าไว้้ในการจัดการความเสี่ยงขององค์กร โดยมีคณะกรรมการตรวจสอบและกำกับความเสี่ยงเป็นผู้กำกับดูแลความเสี่ยง เอไอเอสยังบังคับใช้นโยบายความปลอดภัยทางไซเบอร์และนโยบายความเป็นส่วนตัวของข้อมูลสำหรับสำนักงานทุกแห่ง และขยายไปยังองค์กรภายนอกที่เกี่ยวข้องด้วย บริษัทดำเนินการตรวจสอบภายในอย่างเป็นระบบอย่างสม่ำเสมอเพื่อให้มั่นใจว่าการจัดการความเป็นส่วนตัวของข้อมูลและความปลอดภัยทางไซเบอร์และการดำเนินการที่เกี่ยวข้องเป็นไปตามนโยบาย มาตรฐาน และกรอบการทำงาน
เพื่อแสดงให้เห็นถึงความมุ่งมั่นของเราในการปกป้องความเป็นส่วนตัวของข้อมูลและความปลอดภัยของข้อมูลของลูกค้า เราตั้งเป้าหมายต่อไปนี้ในปี 2567:
- ดำเนินธุรกิจเพื่อให้้สอดคล้องและเป็นไปตามข้อบังคับของกฎหมายที่เกี่ยวข้อง
- ส่งเสริมศักยภาพในการรักษาความปลอดภัยด้านไซเบอร์์เพื่อปกป้องโครงสร้างพื้นฐาน ระบบ และการบริการใหม่่ ๆ ทั้งในด้านกระบวนการเทคโนโลยีและความพร้อมของบุุคลากรอย่างต่อเนื่อง
- เพิ่มประสิทธิิภาพและศักยภาพในการดำเนินงานด้วยเทคโนโลยี Machine Learning และ Artificial Intelligent สำหรับกระบวนการเฝ้าระวัง วิเคราะห์์ ประเมินภัยคุกคาม พร้อมปรับกระบวนการดำเนินการให้้กระชับ รวดเร็วด้วยเทคโนโลยี Automation
- ก้าวเป็นหนึ่งในผู้นำ ในการให้บริการ CSOC สำหรับลูกค้าองค์์กร เพิ่มศักยภาพการให้บริการ พัฒนาบริการให้้คำปรึกษาด้านการคุ้มครองข้อมูลส่วนบุคคล
การดำเนินการเพื่อให้แน่ใจว่าการปกป้องข้อมูลของลูกค้ามีตั้งแต่การกำหนดมาตรการสำหรับการปกป้องความเป็นส่วนตัวของข้อมูลลูกค้าไปจนถึงการจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อน เอไอเอสยังรวมเอาหลัก Privacy by Design และ Privacy by Default ไว้ในบริการและผลิตภัณฑ์ตามความเหมาะสม การตั้งค่าข้อกำหนดสำหรับกระบวนการรับส่งข้อมูล ตลอดจนส่งเสริมความตระหนัก ความรู้ และความเข้าใจเกี่ยวกับการปกป้องข้อมูลของลูกค้าแก่บุคลากรและพันธมิตรทั้งหมด นอกจากนั้น เรายังสร้างระบบและเพิ่มประสิทธิภาพของกระบวนการตามคำขอของลูกค้าตามกระบวนการดังต่อไปนี้
สำหรับการจัดการคำขอข้อมูล บริษัทให้ข้อมูลลูกค้าแก่หน่วยงานราชการตามกฎหมายและเป็นธรรม โดยคำนึงถึงหลักสิทธิมนุษยชนของเจ้าของข้อมูลตามเงื่อนไขทางกฎหมาย ขั้นตอนการประเมิน และตอบสนองต่อการบังคับใช้กฎหมายหรือคำขอข้อมูลของรัฐบาล โดยมีกระบวนการดังนี้ :
เอไอเอสมีโครงสร้างพื้นฐาน ระบบ และกำหนดข้อปฏิบัติเพื่อบริหารจัดการทดสอบรวมถึงเฝ้าระวังในการรักษาความมั่นคงความปลอดภัยไซเบอร์ โดยมีการจัดทำและปรับปรุงนโยบายรวมถึงแนวทางการปฏิบัติอย่างสม่ำเสมอ เพื่อให้สอดคล้องกับแนวทางการปฏิบัติสากลรวมถึงข้อบังคับที่เกี่ยวข้อง
เอไอเอสนำกรอบการดำเนินงานด้านการรักษาความมั่นคงและปลอดภัยทางไซเบอร์ (National Institute of Standards and Technology: NIST) มาประยุกต์ใช้ในการออกแบบกระบวนการในการป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ ประกอบด้วยขั้นตอน ดังนี้
แหล่งที่มา: National Institute of standards and Technology
สำหรับการรับมือกับภัยคุกคามทางไซเบอร์และกระบวนการยกระดับการบริหารจัดการ (escalation process) เอไอเอสได้ประยุกต์ใช้ Cyber Incident Response Framework โดย NIST ในการปฏิบัติงานประจำวัน มีขั้นตอนดังนี้
แหล่งที่มา : Computer Security Incident Handling Guide โดย National Institute of Standards and Technology
การดำเนินงานขององค์กร
เอไอเอสได้ร่วมมือกับพันธมิตรที่หลากหลาย รวมทั้งได้รับการรับรองมาตรฐานต่างๆ เป็นการตอกย้ำความมุ่งมั่นในการรักษาความปลอดภัยของบริการและข้อมูลของลูกค้า ได้แก่
การประสานงานกับหน่วยงานกำกับดูแลและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ เอไอเอสลงนามในบันทึกความเข้าใจ (MoU) เพื่อร่วมศึกษาและจัดตั้งศูนย์ประสานงานด้านไซเบอร์ของภาคธุรกิจโทรคมนาคม (Thai Telecommunication Computer Emergency Response Team: TTC CERT) ที่มีจุดประสงค์เพื่อส่งเสริมการประสานงาน การแบ่งปันข้อมูล การบริหารและจัดการเมื่อเกิดเหตุภัยคุกคามทางไซเบอร์ ระหว่างหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและหน่วยงานกำกับดูแล สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์
- มาตรฐาน ISO27001 Information Security Management System (ISMS) ด้านระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตั้งแต่ ปี 2558 และขยายขอบเขต มาตรฐาน ISO27001 ให้ครอบคลุมบริการเฝ้าระวังและแจ้งเตือนภัยคุกคามทางไซเบอร์ (CSOC as a service) ในปี 2563
- มาตรฐาน CSA STAR (Cloud Security Alliance) Self-Assessment ด้านมาตรฐานความปลอดภัยสำหรับระบบคลาวด์ ตั้งแต่ปี 2559
- มาตรฐาน PCI DSS (Payment Card Industry Data Security Standard) ด้านมาตรฐานความปลอดภัยด้านข้อมูลของอุตสาหกรรมบัตรชำระเงิน ตั้งแต่ปี 2560 ครอบคลุมถึงร้านค้าและอยู่ระหว่างการขยายขอบเขตให้ครอบคลุมไปยังผู้ให้บริการรับชำระเงิน
- ปรับปรุงกระบวนการ : นำเครื่องมือการปกป้องข้อมูลในองค์กรจาก Microsoft Office 365 มาใช้และยกระดับมาตรฐานการรักษาความปลอดภัยการเข้าใช้งานระบบเทคโนโลยีสารสนเทศผ่านช่องทางจากภายนอกสำนักงาน และประยุกต์ใช้ระบบอัตโนมัติ (Automation) ในขั้นตอนการทำตรวจจับและตอบสนองต่อภัยคุกคาม พร้อมปรับปรุงกระบวนการเพื่อรับมือการโจมตีในรูปแบบใหม่ ๆ
- เสริมความปลอดภัยของการปกป้องข้อมูล : ประยุกต์ใช้เทคโนโลยีใหม่ อัพเกรดระบบและพัฒนากระบวนการปฏิบัติการ โดยประยุกต์ใช้ปัญญาประดิษฐ์ (Artificial Intelligence และ Machine Learning) มาช่วยตรวจจับภัยคุกคามในเชิงรุกได้อย่างรวดเร็วและแม่นยำมากยิ่งขึ้น
- ศูนย์ปฏิบัติการรับมือและเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ 24 x 7 (Cyber Security Operation Center: CSOC) : ในปี 2564 นี้ เอไอเอสได้ขยายบริการของศูนย์ปฏิบัติการดังกล่าวเพื่อให้บริการด้านการเฝ้าระวังภัยคุกคามต่อระบบและเทคโนโลยีสารสนเทศให้แก่ลูกค้าองค์กร โดยขยายขอบเขตการรับรองมาตรฐาน ISO 27001 ที่มีอยู่ให้ครอบคลุมขอบเขตการให้บริการของ CSOC อีกด้วย
นอกจากนี้ พนักงานของ AIS ที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์และฟังก์ชั่นที่เกี่ยวข้องกับความเป็นส่วนตัวของข้อมูลได้รับการฝึกอบรมและได้รับประกาศนียบัตรในด้านต่างๆ เพื่อให้ปฏิบัติงานได้ตามมาตรฐาน เช่น ด้าน Ethical hacking และ Penetration test การบริหารจัดการเมื่อเกิดเหตุการณ์ผิดปกติ (incident management) และ forensic รวมถึงการอบรมในด้านการบริหารความมั่นคงและความปลอดภัยของระบบเทคโนโลยีสารสนเทศ เป็นต้น
ตารางสรุปผลการดำเนินงาน
หัวข้อหน่วย2561256225632564ด้านการคุ้มครองข้อมูลส่วนบุคคลจำนวนคำร้องเรียนที่ได้รับ ในการละเมิดความเป็นส่วนตัวและข้อมูลสูญหายคำร้องเรียนจากบุคคล หรือหน่วยงานทั่วไป 1กรณี1311245607คำร้องเรียนจากหน่วยยงานกำกับดูแลต่างๆกรณี47472320กรณีข้อมูลรั่วไหล ถูกขโมยหรือสูญหายกรณี0000ตำนวนคำร้องขอข้อมูลส่วนบุคคลของผู้ใช้บริการที่ได้รับจากหน่วยงานภาครัฐที่มีอำนาจตามกฏหมาย 2กรณี28,27028,33424,45325,442ร้อยละของจำนวนคำร้องขอทั้งหมดร้อยละ--92%70%
1 ข้อมูลจํานวนคําร้องเรียนที่ได้รับในปี 2564 มีการจําแนกประเภทข้อมูลที่ละเอียดมากขึ้น จึงรายงานคําร้องเรียนที่ได้รับการตรวจสอบว่าสมเหตุสมผลเท่านั้น
2 บริษัทมีการให้ข้อมูลการใช้บริการของผู้ใช้บริการแก่หน่วยงานของรัฐต่าง ๆ ตามอํานาจหน้าที่ที่กฎหมายกําหนดไว้ ได้แก่ ศาลยุติธรรม สํานักงานตํารวจแห่งชาติ สํานักงานคณะกรรมการป้องกันและปราบปรามการฟอกเงิน เป็นต้น
นโยบายที่เกี่ยวข้อง
นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์
นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ ชี้แจงรายละเอียดเกี่ยวกับหน้าที่และความรับผิดชอบขององค์กรเกี่ยวกับความปลอดภัยข้อมูลสารสนเทศ
นโยบายการคุ้มครองข้อมูลส่วนบุคคล
นโยบายการคุ้มครองข้อมูลส่วนบุคคล ชี้แจงรายละเอียดเกี่ยวกับการเก็บรวบรวม การเก็บรักษา การเปิดเผยและการประมวลผลข้อมูลของลูกค้า
เอไอเอสได้กำหนดมาตรการคุ้มครองข้อมูลผู้ใช้บริการ เพื่อชี้แจงให้ผู้ใช้บริการเข้าใจถึงระเบียบและข้อปฏิบัติของบริษัทที่เกี่ยวข้องกับการคุ้มครองข้อมูลส่วนบุคคล เช่น จุดประสงค์ของการเก็บและการใช้งานข้อมูล เป็นต้น