บริษัท ซีออยล์ จำกัด (มหาชน) และบริษัทย่อย ตระหนักถึงความสำคัญของความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ซึ่งเป็นปัจจัยสำคัญต่อความต่อเนื่องทางธุรกิจ ความเชื่อมั่นของลูกค้า คู่ค้า ผู้ถือหุ้น และผู้มีส่วนได้ส่วนเสียทุกกลุ่ม
ท่ามกลางการเปลี่ยนแปลงทางเทคโนโลยีและภัยคุกคามทางไซเบอร์ที่มีความซับซ้อนเพิ่มขึ้นอย่างต่อเนื่อง บริษัทฯ จึงกำหนดนโยบาย มาตรการ และกระบวนการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและข้อมูลส่วนบุคคลอย่างเป็นระบบ เพื่อป้องกันการสูญหาย การรั่วไหล การเข้าถึงโดยไม่ได้รับอนุญาต และการหยุดชะงักของระบบสารสนเทศ พร้อมส่งเสริมวัฒนธรรมองค์กรด้านความปลอดภัยสารสนเทศและการใช้ข้อมูลอย่างมีความรับผิดชอบ
เป้าหมายและผลการดำเนินงาน
เป้าหมาย
- พนักงานได้รับการอบรมและผ่านการประเมินหลักสูตร IT Security Awareness ร้อยละ 100
- พนักงานได้รับการอบรมและผ่านการประเมินหลักสูตรพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ร้อยละ 100
- จำนวนข้อร้องเรียนด้านข้อมูลส่วนบุคคล (PDPA) จำนวน 0 กรณี
ผลการดำเนินงานในปี 2568
- พนักงานได้รับการอบรมและผ่านการประเมินหลักสูตร IT Security Awareness ร้อยละ 100
- พนักงานได้รับการอบรมและผ่านการประเมินหลักสูตรพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ร้อยละ 100
- จำนวนข้อร้องเรียนด้านข้อมูลส่วนบุคคล (PDPA) จำนวน 0 กรณี
คณะกรรมการบริษัท
กำหนดนโยบายและกำกับดูแลการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล รวมถึงติดตามให้มีการดำเนินงานที่สอดคล้องกับกฎหมายและแนวปฏิบัติที่เกี่ยวข้อง
คณะกรรมการตรวจสอบและบริหารความเสี่ยง
กำกับดูแล ติดตาม และสอบทานความเพียงพอของระบบควบคุมภายใน กระบวนการบริหารความเสี่ยงด้าน ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) และ การคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ตลอดจนติดตามการเตรียมความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์และเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ และรายงานผลการปฏิบัติงานต่อคณะกรรมการบริษัททุกไตรมาส
ฝ่ายเทคโนโลยีสารสนเทศ
รับผิดชอบในการดำเนินการตามนโยบายและมาตรการด้านความมั่นคงปลอดภัยทางไซเบอร์ การบริหารจัดการโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ การเฝ้าระวังเหตุการณ์ด้านความปลอดภัย การบริหารจัดการสิทธิการเข้าถึงข้อมูล การสำรองข้อมูล และการกู้คืนระบบเมื่อเกิดเหตุการณ์ฉุกเฉิน และรายงานต่อคณะกรรมการตรวจสอบทุกไตรมาส
ผู้ตรวจสอบภายใน (Internal Audit)
รับผิดชอบดำเนินการตรวจสอบตามแผน Risk-Based Internal Audit Plan ประเมินความเพียงพอและประสิทธิผลของมาตรการควบคุมด้าน Cybersecurity และ Data Privacy และติดตามการแก้ไขประเด็นที่ตรวจพบและรายงานผลต่อคณะกรรมการตรวจสอบ
คณะทำงาน PDPA
มีหน้าที่ขับเคลื่อนการดำเนินงานให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ทบทวนและปรับปรุงนโยบาย แนวปฏิบัติ และเอกสารที่เกี่ยวข้องกับข้อมูลส่วนบุคคล ติดตามการปฏิบัติตามกฎหมายและข้อกำหนดด้าน Data Privacy ส่งเสริมการสื่อสารและสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลแก่พนักงาน
นโยบายและแนวปฏิบัติความมั่นคงปลอดภัยทางไซเบอร์
คณะกรรมการบริษัท ซีออยล์ จำกัด (มหาชน) ตระหนักถึงความสำคัญของ การบริหารจัดการ และการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศขององค์กร เพื่อให้ระบบเทคโนโลยีสารสนเทศของบริษัท มีการควบคุมภายในที่ดี ข้อมูลมีความถูกต้อง เชื่อถือได้ และปลอดภัย สามารถดำเนินงานได้อย่างมีประสิทธิภาพ และต่อเนื่อง คณะกรรมการจึงได้กำหนดเป็นนโยบายเพื่อเผยแพร่ให้กับ กรรมการ ผู้บริหาร เจ้าหน้าที่ และผู้ที่เกี่ยวข้องรับทราบและนำไปปฏิบัติ ตลอดจนกำหนดให้มีการทบทวน นโยบายและหลักเกณฑ์การรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศอย่างสม่ำเสมอทุกปี เพื่อให้ผู้ใช้งานเข้าถึงระบบเทคโนโลยีสารสนเทศด้วยความปลอดภัย
บริษัทฯ มีการกำหนดโครงสร้างทางด้านความมั่นคงปลอดภัยสำหรับองค์กร (Organization of information security) ทั้งภายในองค์กร และที่เกี่ยวข้องกับลูกค้าหรือหน่วยงานภายนอก ระบุผู้รับผิดชอบและตัดสินใจในด้านต่างๆ ที่เกี่ยวข้องกับความปลอดภัยด้านสารสนเทศ รวมถึงการระบุถึงการไม่เปิดเผยความลับของบริษัทฯ และการเข้าถึงข้อมูลของลูกค้าหรือหน่วยงานภายนอก
สามารถพิจารณารายละเอียดเพิ่มเติมได้ที่เว็บไซต์บริษัท
นโยบายและแนวปฏิบัติการคุ้มครองข้อมูลส่วนบุคคล
บริษัท ซีออยล์ จำกัด (มหาชน) และบริษัทย่อย (กลุ่มบริษัทฯ) ตระหนักถึงความสำคัญของการคุ้มครองข้อมูลส่วนบุคคล และเคารพสิทธิในความเป็นส่วนบุคคลของเจ้าของข้อมูล จึงได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลขึ้น เพื่อใช้เป็นแนวทางในการกำกับดูแล การคุ้มครองสิทธิส่วนบุคคล และการบริหารจัดการข้อมูลส่วนบุคคล ให้สอดคล้องกับกฎหมาย พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และกฎหมายที่เกี่ยวข้อง
สามารถพิจารณารายละเอียดเพิ่มเติมได้ที่เว็บไซต์บริษัท
บริษัทฯ กำหนดให้ความเสี่ยงด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์เป็นหนึ่งในความเสี่ยงสำคัญขององค์กร โดยบูรณาการเข้ากับกระบวนการบริหารความเสี่ยงองค์กร (Enterprise Risk Management: ERM)
มีการประเมินและติดตามความเสี่ยงจากการเปลี่ยนแปลงทางเทคโนโลยีและภัยคุกคามทางไซเบอร์อย่างต่อเนื่อง รวมถึงการกำหนดมาตรการควบคุมและแผนรองรับที่เหมาะสม เพื่อลดความเสี่ยงที่อาจส่งผลกระทบต่อการดำเนินธุรกิจ ความน่าเชื่อถือขององค์กร และข้อมูลของผู้มีส่วนได้ส่วนเสีย
โดยมีแผนการจัดการและรับมือกับความเสี่ยงดังนี้
- การประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศประจำปี
- การทดสอบเจาะระบบ (Penetration Test) โดยผู้เชี่ยวชาญภายนอก
- การประเมินประสิทธิภาพของระบบป้องกันภัยคุกคามทางไซเบอร์
- การเฝ้าระวังและติดตามเหตุการณ์ด้านความปลอดภัยสารสนเทศ
- การทบทวนมาตรการควบคุมและการบริหารจัดการความเสี่ยงอย่างสม่ำเสมอ
สามารถพิจารณารายละเอียดเพิ่มเติมได้ที่ แบบ 56-1 One Report ประจำปี 2568 หัวข้อ "การบริหารจัดการความเสี่ยง"
บริษัทฯ จัดให้มีแผนตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ (Cyber Incident Response Plan) และแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) เพื่อรองรับเหตุการณ์ที่อาจส่งผลกระทบต่อระบบสารสนเทศหรือการดำเนินธุรกิจ
มีการกำหนดกระบวนการแจ้งเหตุ การตอบสนอง การกู้คืนระบบ และการสื่อสารในภาวะวิกฤต รวมถึงมีการทดสอบแผนและทบทวนประสิทธิผลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าสามารถฟื้นฟูการดำเนินงานได้อย่างรวดเร็วและลดผลกระทบที่อาจเกิดขึ้น
บริษัทฯ จัดให้มี Privacy Center เพื่อเป็นศูนย์กลางในการเผยแพร่นโยบายคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) ประกาศความเป็นส่วนตัว (Privacy Notice) สำหรับผู้มีส่วนได้ส่วนเสียแต่ละกลุ่ม และช่องทางการใช้สิทธิของเจ้าของข้อมูลส่วนบุคคลตามกฎหมาย
เจ้าของข้อมูลสามารถใช้สิทธิตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) อาทิ การเข้าถึง แก้ไข ลบ คัดค้าน หรือเพิกถอนความยินยอมในการประมวลผลข้อมูล ผ่านช่องทางที่บริษัทฯ กำหนด เพื่อส่งเสริมความโปร่งใสและสร้างความเชื่อมั่นในการบริหารจัดการข้อมูลส่วนบุคคลขององค์กร
สามารถพิจารณารายละเอียดเพิ่มเติมได้ที่เว็บไซต์บริษัท https://www.seaoilthailand.com/th/privacy-center
ในปี 2568 บริษัทไม่ได้รับข้อร้องเรียนเกี่ยวกับการละเมิดสิทธิส่วนบุคคล และไม่ได้รับข้อร้องเรียนใดๆ ด้าน PDPA
หลักสูตรความปลอดภัยในการใช้งานระบบสารสนเทศ (IT Security)
เพื่อให้สอดคล้องกับนโยบายด้านความมั่นคงปลอดภัยของข้อมูลสารสนเทศ และเพื่อสร้างความตระหนักรู้ถึงความสำคัญของการใช้งานระบบ IT อย่างถูกต้อง ปลอดภัย และมีความรับผิดชอบ บริษัทฯ ได้จัดให้มี หลักสูตรความปลอดภัยในการใช้งานระบบสารสนเทศขึ้น เป็นประจำทุกปี โดยมีวัตถุประสงค์เพื่อให้พนักงานทุกคนตระหนักถึงภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น และมีความเข้าใจเกี่ยวกับแนวทางปฏิบัติที่เหมาะสมในการใช้งานเทคโนโลยีสารสนเทศภายในองค์กร และนำความรู้ที่ได้รับไปปรับใช้ในการทำงานประจำวัน เพื่อร่วมกันสร้างสภาพแวดล้อมการทำงานที่ปลอดภัย ยั่งยืน และสอดคล้องกับมาตรฐานด้านความปลอดภัยระดับสากล
ในปี 2568 พนักงานได้รับการอบรมและผ่านการประเมินหลักสูตร IT Security Awareness ร้อยละ 100
หลักสูตร พรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA)
บริษัทฯ จัดให้มีการอบรมทบทวนเป็นประจำทุกปี ในหลักสูตรพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) เพื่อเสริมสร้างความรู้ ความเข้าใจ และความตระหนักแก่พนักงานเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) รวมถึงบทบาทและความรับผิดชอบของพนักงานในการเก็บรวบรวม ใช้ เปิดเผย และจัดเก็บข้อมูลส่วนบุคคลอย่างถูกต้องตามกฎหมาย มาตรฐานของบริษัท และหลักปฏิบัติที่ดี อันจะช่วยลดความเสี่ยงจากการละเมิดข้อมูลส่วนบุคคล สร้างความเชื่อมั่นให้แก่ลูกค้า คู่ค้า พนักงาน และผู้มีส่วนได้ส่วนเสีย ตลอดจนสนับสนุนการดำเนินธุรกิจอย่างมีธรรมาภิบาลและยั่งยืน
ในปี 2568 พนักงานได้รับการอบรมและผ่านการประเมินหลักสูตร หลักสูตรพรบ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ร้อยละ 100
บริษัทฯ จัดให้มีกระบวนการติดตาม ทบทวน และประเมินประสิทธิผลของมาตรการควบคุมด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลอย่างสม่ำเสมอ เพื่อให้มั่นใจว่าการดำเนินงานเป็นไปตามนโยบาย กฎหมาย และมาตรฐานที่เกี่ยวข้อง รวมถึงสามารถรองรับความเสี่ยงและภัยคุกคามทางไซเบอร์ที่มีการเปลี่ยนแปลงอย่างต่อเนื่อง
บริษัทฯ กำหนดให้มีการประเมินและติดตามความเสี่ยงด้านเทคโนโลยีสารสนเทศ การทดสอบและทบทวนมาตรการควบคุมที่สำคัญ การติดตามผลการดำเนินงานด้าน Cybersecurity และ Data Privacy ตลอดจนการรายงานประเด็นความเสี่ยงที่สำคัญต่อฝ่ายบริหารและคณะกรรมการตรวจสอบและบริหารความเสี่ยงอย่างสม่ำเสมอ
นอกจากนี้ บริษัทฯ ได้บรรจุกระบวนการที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยสารสนเทศ และการคุ้มครองข้อมูลส่วนบุคคลไว้ในแผนการตรวจสอบภายใน (Risk-Based Internal Audit Plan) ระยะ 2 ปี (2568 – 2569) เพื่อประเมินความเพียงพอและประสิทธิผลของมาตรการควบคุมภายใน รวมถึงติดตามการแก้ไขประเด็นที่ตรวจพบอย่างต่อเนื่อง
ภายใต้แผนดังกล่าว บริษัทฯ ได้ดำเนินการตรวจสอบกระบวนการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection) ในปี 2568 เพื่อประเมินความสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) นโยบายภายในองค์กร และมาตรการควบคุมที่เกี่ยวข้องกับการเก็บรวบรวม ใช้ เปิดเผย และรักษาความปลอดภัยของข้อมูลส่วนบุคคล
สำหรับปี 2569 บริษัทฯ กำหนดแผนการตรวจสอบด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) เพื่อประเมินประสิทธิผลของการบริหารจัดการความเสี่ยงด้านไซเบอร์ มาตรการป้องกันภัยคุกคามทางไซเบอร์ การควบคุมการเข้าถึงระบบสารสนเทศ การบริหารจัดการสิทธิผู้ใช้งาน การสำรองและกู้คืนข้อมูล ตลอดจนความพร้อมในการตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ
นอกเหนือจากนี้ บริษัทฯ ได้เลือกใช้ผู้ให้บริการด้านเทคโนโลยีสารสนเทศที่ได้รับการรับรองมาตรฐาน ISO/IEC 27001 ซึ่งเป็นมาตรฐานสากลด้านระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) เพื่อสนับสนุนการรักษาความปลอดภัยของระบบและข้อมูลสารสนเทศขององค์กร
ผลการติดตาม การตรวจสอบ และข้อเสนอแนะที่ได้รับจากกระบวนการประเมินต่าง ๆ จะถูกนำมาใช้ในการปรับปรุงมาตรการควบคุม พัฒนากระบวนการดำเนินงาน และยกระดับความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลอย่างต่อเนื่อง เพื่อสร้างความเชื่อมั่นให้แก่ลูกค้า คู่ค้า ผู้ถือหุ้น และผู้มีส่วนได้ส่วนเสียทุกกลุ่ม
