การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล
ธนาคารจัดโครงสร้างองค์กรเพื่อกำกับดูแลการบริหารงานด้านเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูล โดยแบ่งแยกหน้าที่ออกเป็น หน่วยงานผู้ปฏิบัติงานในแต่ละส่วน (First Line of Defense) หน่วยงานที่ทำหน้าที่ในการบริหารความเสี่ยง (Second Line of Defense) และหน่วยงานที่ทำหน้าที่ตรวจสอบ (Third Line of Defense) ตามแนวทางการป้องกันความเสี่ยง 3 ระดับ (3 Lines of Defense) อีกทั้งยังกำหนดตัววัดเกี่ยวกับเหตุการณ์ความเสี่ยงทางไซเบอร์ทั้งจำนวนและระยะเวลาในการบริหารจัดการเป็นหนึ่งในเป้าหมายหลักในการดำเนินงานเพื่อประเมินประสิทธิภาพการดำเนินงานของธนาคาร รวมทั้งนำประเด็นความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูลที่เกิดขึ้นในองค์กรต่าง ๆ มาพิจารณาเพื่อยกระดับการบริหารความเสี่ยงแบบรวมศูนย์ของธนาคาร (Group-Wide Risk Management)
คณะกรรมการธนาคารอนุมัติกลยุทธ์และนโยบายต่างๆ ที่เกี่ยวข้องเพื่อรักษาและส่งเสริมความปลอดภัยของข้อมูล เช่น นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และนโยบายการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและบุคคลภายนอก ซึ่งคำนึงถึงความปลอดภัยของข้อมูลลูกค้า พนักงาน และผู้มีส่วนได้เสียทุกกลุ่ม ความมั่นคงของระบบของธนาคาร และพฤติกรรมของผู้ใช้บริการทางการเงินที่เปลี่ยนแปลง
ธนาคารจัดทำแผนพัฒนาระบบการควบคุมความเสี่ยงด้านไซเบอร์ เพื่อให้เกิดผลในทางปฏิบัติตามเป้าหมาย โดยมุ่งเน้นการควบคุมความเสี่ยงทั้งในเชิงการป้องกัน การตรวจจับและการตอบสนองที่ครอบคลุมทุกกระบวนการทางธุรกิจและระบบงานที่สำคัญของธนาคาร มีมาตรการรองรับในกรณีที่มีข้อร้องเรียนหรือเหตุการณ์ความเสียหายเกี่ยวกับภัยคุกคามทางไซเบอร์ เพื่อสร้างเสถียรภาพของระบบเทคโนโลยีสารสนเทศทางการเงินของธนาคารและภูมิทัศน์ทางการเงินไทยทั้งในปัจจุบันและอนาคต
ธนาคารพัฒนาทั้งระบบการปฏิบัติงานเทคโนโลยีและนวัตกรรม ตลอดจนศักยภาพของบุคลากร และเพิ่มมาตรการป้องกันเพื่อรองรับภัยคุกคามทางไซเบอร์ในทุกมิติ ได้แก่ การป้องกัน การติดตาม การตรวจจับ การรับมือ และการเยียวยาฟื้นฟู เพื่อสร้างความมั่นใจให้แก่ผู้ใช้บริการของธนาคาร ดังนี้
การดำเนินงานด้านมาตรการปกป้องรักษาความเป็นส่วนตัวของข้อมูลตามหลักธรรมาภิบาล
- จัดตั้งคณะอนุกรรมการกำกับการจัดการข้อมูล เพื่อให้การบริหารจัดการข้อมูลมีประสิทธิภาพและรักษาความปลอดภัยข้อมูลสำคัญของธนาคาร และปรับโครงสร้างองค์กร เพื่อให้มีการกำกับดูแลการจัดการข้อมูลได้ดียิ่งขึ้น
- กำหนดนโยบายและระเบียบปฏิบัติงานที่เกี่ยวกับการบริหารจัดการข้อมูลและการรักษาความปลอดภัยของข้อมูล โดยมีผลบังคับใช้ครอบคลุมทั้งกลุ่มธุรกิจทางการเงิน รวมทั้งการบริหารคู่ค้า ซึ่งทุกสายงานต้องปฏิบัติตามนโยบายและระเบียบปฏิบัติดังกล่าวเพื่อลดความเสี่ยงของเหตุการณ์ไม่พึงประสงค์ กรณีตรวจพบว่า มีการละเมิดข้อมูลส่วนบุคคล การฝ่าฝืนหรือไม่ปฏิบัติตามนโยบายการคุ้มครองข้อมูลส่วนบุคคล ธนาคารจะดำเนินการทางวินัย ตามสมควรแต่กรณี
- กำหนดนโยบาย กระบวนการทำงาน ตลอดจนระบบงาน ที่สอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล และรายงานความคืบหน้าต่อผู้บริหารระดับสูงของธนาคารอย่างสม่ำเสมอ
- สร้างความรู้ความเข้าใจเกี่ยวกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ตลอดจนนโยบายและวิธีปฏิบัติงานที่เกี่ยวข้องให้กับพนักงานทั่วทั้งองค์กร
- ทบทวนปรับปรุงนโยบายและระเบียบปฏิบัติงานอย่างสม่ำเสมอ
- กำหนดแนวทางดำเนินการกรณีมีเหตุการณ์ที่ไม่พึงประสงค์ ครอบคลุมการวิเคราะห์ข้อมูล การประเมินความรุนแรง การระงับเหตุการณ์ การแก้ไขและกู้คืนระบบ รวมทั้งการแจ้งลูกค้าหรือผู้มีส่วนได้เสียที่เกี่ยวข้อง
- จัดให้มีการตรวจสอบความสอดคล้องของการปฏิบัติงานและนโยบายของธนาคารโดยหน่วยงานตรวจสอบภายในเป็นประจำทุกปี
อ่านข้อมูลเพิ่มเติมใน รายงานการพัฒนาเพื่อความยั่งยืน 2567 บทการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล
เอกสารที่เกี่ยวข้อง
ประกาศแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล
การคุ้มครองข้อมูลส่วนบุคคล สำหรับการประชุมผู้ถือหุ้น
ประกาศแจ้งนโยบายการคุ้มครองข้อมูลส่วนบุคคล สำหรับผู้สมัครงานและบุคลากร
การรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูล