การดูแลความมั่นคงปลอดภัยทางไซเบอร์และคุ้มครองข้อมูลของลูกค้า
ความมุ่งมั่น
การใช้เทคโนโลยีทันสมัยและพนักงานที่มีศักยภาพเพื่อเสริมสร้างความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ซึ่งจะเพิ่มประสิทธิภาพการทำงาน ความมั่นใจในการปฏิบัติตามข้อบังคับทางการ และความเชื่อมั่นให้กับผู้มีส่วนได้เสียทุกกลุ่ม
ความสำคัญ
การเปลี่ยนผ่านสู่ยุคดิจิทัลของภาคการธนาคารส่งผลให้ข้อมูลกลายเป็นทรัพยากรที่มีค่ามาก ปริมาณข้อมูลและความสามารถในการวิเคราะห์ข้อมูลกลายเป็นปัจจัยหลักที่ช่วยให้ธนาคารเข้าใจลูกค้ามากขึ้น สามารถตอบโจทย์ความต้องการของลูกค้าได้ดีขึ้น ทำให้มีความได้เปรียบเหนือคู่แข่ง อย่างไรก็ดี การเปลี่ยนผ่านสู่ยุคดิจิทัลก็ทำให้ความเสี่ยงด้านภัยคุกคามทางไซเบอร์และการละเมิดข้อมูลส่วนบุคคลเพิ่มขึ้นอย่างมีนัยสำคัญ ทำให้การดูแลความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลกลายเป็นภารกิจสำคัญของธนาคารในการสร้างความเชื่อมั่นให้แก่ลูกค้า คู่ค้า และผู้มีส่วนได้เสียอื่น ๆ ตลอดจนส่งเสริมภาพลักษณ์ที่ดีของธนาคาร ธนาคารให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ ความปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล โดยจัดให้มีการจัดการด้านความปลอดภัยทางไซเบอร์ที่มีมาตรฐาน กระบวนการกำกับดูแลข้อมูลที่รัดกุม มาตรการปกป้องคุ้มครองข้อมูลส่วนบุคคลที่มีประสิทธิผล ตลอดจนการเสริมสร้างศักยภาพของพนักงานในการรับมือกับภัยคุกคามทางไซเบอร์และปฏิบัติตามแนวทางการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของธนาคาร ทั้งนี้เพื่อลดความเสี่ยงของการรั่วไหล ถูกโจรกรรม หรือสูญหายของข้อมูล รวมทั้งเพื่อป้องกันการละเมิดข้อมูลส่วนบุคคล อันจะนำมาซึ่งผลกระทบเชิงลบต่อทั้งเจ้าของข้อมูลและธนาคารเอง
การดูแลความปลอดภัยทางไซเบอร์
ธนาคารกำหนดให้ความเสี่ยงด้านเทคโนโลยีสารสนเทศอันรวมถึงความเสี่ยงจากภัยคุกคามทางไซเบอร์เป็นประเด็นความเสี่ยงหลักที่ต้องมีการบริหารจัดการอย่างรัดกุม พร้อมทั้งกำหนดกรอบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ที่เทียบเท่ากับมาตรฐานสากล นอกจากนี้ ธนาคารได้นำเทคโนโลยีสมัยใหม่มาใช้ในการเฝ้าระวังและตรวจจับสถานการณ์หรือเหตุผิดปกติที่อาจสร้างความเสียหายต่อข้อมูลและระบบสารสนเทศของธนาคาร รวมทั้งมีการกำหนดมาตรฐานด้านความมั่นคงปลอดภัยของข้อมูลในการให้บริการธนาคารทั้งระบบและมีการตรวจประเมินมาตรฐานดังกล่าวอย่างสม่ำเสมอทั้งก่อนและหลังการให้บริการ ความมุ่งมั่นตั้งใจในการดูแลความปลอดภัยทางไซเบอร์ได้ส่งผลให้ธนาคารได้รับรางวัลจากกิจกรรม “Prime Minister Awards: Thailand Cybersecurity Excellence Awards 2023” ที่จัดโดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ จำนวน 4 รางวัล ได้แก่ 1. รางวัล Cybersecurity Performance Excellence Awards 2023 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) 2. รางวัล Best Cybersecurity Performance Awards 2023 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ด้านการเงินการธนาคาร (Banking and Finance) 3. รางวัล Best Cybersecurity Performance Awards 2023 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ สาขาการดำเนินการด้านความร่วมมือความมั่นคงปลอดภัยไซเบอร์ (Cooperation) และ 4. รางวัล Best Cybersecurity Performance Awards 2023 หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ สาขาการดำเนินการด้านการพัฒนาศักยภาพ
การกำกับดูแลด้านความปลอดภัยทางไซเบอร์
เพื่อให้การจัดการด้านความปลอดภัยของเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์มีประสิทธิผล และสอดคล้องตามนโยบายและหลักการที่ธนาคารวางไว้ ธนาคารได้กำหนดขอบเขตความรับผิดชอบของผู้เกี่ยวข้องตั้งแต่ระดับคณะกรรมการจนถึงระดับจัดการ ดังนี้
นโยบายและมาตรการดูแลด้านความปลอดภัยทางไซเบอร์
ธนาคารจัดทำนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ที่สอดคล้องกับมาตรฐานสากล ISO/IEC 27002 เพื่อเป็นแนวทางในการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและรับมือกับการโจมตีทางไซเบอร์ พร้อมทั้งจัดทำคู่มือการรักษาความปลอดภัยสารสนเทศและความปลอดภัยทางไซเบอร์ (Information Security and Cybersecurity Handbook) เพื่อเป็นแนวทางสำหรับพนักงานในการปฏิบัติงานให้สอดคล้องกับนโยบายของธนาคาร ธนาคารกำหนดให้มีการพิจารณาทบทวนความเหมาะสมของนโยบายเป็นประจำทุกปี เพื่อให้นโยบายครอบคลุมถึงเทคโนโลยีและภัยคุกคามทางไซเบอร์ใหม่ ๆ ในปี 2566 ธนาคารได้ปรับปรุงนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ โดยเพิ่มเติมประเด็นการนำเทคโนโลยีปัญญาประดิษฐ์มาใช้งาน และการรวบรวมข้อมูลเกี่ยวกับภัยคุกคาม นอกจากนี้ ธนาคารได้รับการรับรองมาตรฐานสากลของระบบการให้บริการทางการเงิน ISO/IEC 27001 : 2013 สำหรับระบบการโอนเงินทางอิเล็กทรอนิกส์ระหว่างสถาบันการเงิน (BATHNET) และระบบการหักบัญชีเช็คด้วยภาพและการจัดเก็บภาพเช็ค (ICAS) และกำลังอยู่ระหว่างการขอรับรองมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน (PCI/DSS) เพื่ออำนวยให้การปฏิบัติงานของพนักงานมีความยืดหยุ่นมากขึ้น ตอบรับกับการทำงานรูปแบบใหม่ที่สามารถทำจากที่ใดก็ได้ ธนาคารได้กำหนดระเบียบการใช้งานอุปกรณ์เคลื่อนที่ การเข้าถึงข้อมูลจากภายนอก และการจัดการจดหมายอิเล็กทรอนิกส์ ให้สอดคล้องกับนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยไซเบอร์และนโยบายอื่น ๆ ที่เกี่ยวข้องของธนาคาร และยังได้ติดตั้งระบบความปลอดภัยให้แก่อุปกรณ์ฮาร์ดแวร์ของธนาคารทั้งหมดเพื่อยกระดับความมั่นคงปลอดภัยทางไซเบอร์และความปลอดภัยของข้อมูลส่วนบุคคลให้มีประสิทธิภาพ อีกทั้งมีการตรวจจับมัลแวร์บนอุปกรณ์อย่างสม่ำเสมอ ในปี 2566 ธนาคารได้ดำเนินการตรวจสอบข้อมูลรั่วไหลจากแหล่งต่าง ๆ เช่น DarkWeb, GitHub, Pastebin พร้อมทั้งนำข้อมูลมาวิเคราะห์และแจ้งเตือนเจ้าของข้อมูลเพื่อให้เกิดการดำเนินการป้องกันเชิงรุก
การติดตามเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
ธนาคารกำหนดแนวปฏิบัติที่ชัดเจนในการเฝ้าระวังเหตุการณ์ทางไซเบอร์ที่อาจกระทบต่อความมั่นคงปลอดภัยของข้อมูล พร้อมทั้งกำหนดระยะเวลาในการยกระดับเหตุการณ์และแจ้งเหตุให้ผู้เกี่ยวข้องรับทราบ เพื่อให้มีการติดตามและจัดการเหตุได้อย่างทันท่วงทีก่อนที่ความเสียหายจะลุกลาม นอกจากนี้ ธนาคารยังมุ่งมั่นพัฒนาทักษะความรู้ของพนักงานในหน่วยงานที่เกี่ยวข้องอย่างต่อเนื่อง เพื่อให้มีความพร้อมในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์อยู่เสมอ ในปี 2566 ธนาคารจัดให้มีการอบรมเพื่อเพิ่มพูนทักษะความรู้ด้านต่าง ๆ เช่น Secure Software Development, Threat hunting , PCI Professional Training รวมทั้งส่งพนักงานเข้าร่วมการแข่งขันด้านความปลอดภัยทางไซเบอร์ในเวทีระดับสากลและระดับภาคการธนาคาร เพื่อพัฒนาการวิเคราะห์เชิงเทคนิคในสถานการณ์จำลอง พนักงานที่พบเหตุการณ์ต้องสงสัยด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์สามารถรายงานเหตุการณ์ผ่านหน่วยงาน Service Desk ตามช่องทางที่ธนาคารกำหนดไว้ ในปี 2566 ธนาคารไม่พบกรณีการละเมิดความปลอดภัยข้อมูลสารสนเทศหรือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
การยกระดับความพร้อมในการรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
หน่วยงานจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศจัดให้มีการทดสอบและซ้อมแผนรับมือภัยคุกคามทางไซเบอร์เป็นประจำทุกปี อย่างน้อยปีละ 1 ครั้ง โดยมีการปรับเปลี่ยนสถานการณ์ที่ใช้ในการซ้อมทุกปี เพื่อเตรียมความพร้อมของบุคลากรและเทคโนโลยีที่เกี่ยวข้อง นอกจากนี้ ธนาคารยังได้เข้าร่วมการซักซ้อมแผนรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์กับธนาคารอื่นที่อยู่ภายใต้ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) อย่างต่อเนื่อง โดยผลลัพธ์ที่ได้จากการซักซ้อมดังกล่าวจะถูกนำไปใช้ปรับปรุงกระบวนการรับมือภัยคุกคามทางไซเบอร์ของธนาคารให้มีประสิทธิผลยิ่งขึ้น ในปี 2566 ธนาคารจัดซ้อมแผนรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์จำนวน 2 ครั้ง แบ่งออกเป็น การซักซ้อมสถานการณ์ภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับผู้ให้บริการภายนอกและมีผลกระทบต่อการให้บริการของธนาคาร และการซักซ้อมในระดับภาคการธนาคารเกี่ยวกับเหตุการณ์การโจมตีระบบจัดเก็บข้อมูลอ่อนไหวที่เป็นข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าระบบเทคโนโลยีสารสนเทศของธนาคารได้รับการปกป้องเป็นอย่างดี และสามารถป้องกันภัยคุกคามที่อาจเกิดขึ้นได้อย่างทันท่วงที ธนาคารจัดให้มีการตรวจสอบกระบวนการจัดการด้านความปลอดภัยของเทคโนโลยีสารสนเทศปีละ 2 ครั้ง โดยหน่วยงานรับรองอิสระภายนอก การตรวจสอบดังกล่าวครอบคลุมการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ และการควบคุมเฉพาะระบบงาน ในขณะเดียวกัน ธนาคารกำหนดกระบวนการจัดการช่องโหว่ พร้อมทั้งจัดให้มีการประเมินช่องโหว่ของระบบงานที่สำคัญ และการทดสอบเจาะระบบจากผู้เชี่ยวชาญทั้งภายในและภายนอกเป็นประจำทุกปี นอกจากนี้ ธนาคารจัดให้มีการสร้างสถานการณ์จำลอง โดยการจัดส่ง Phishing Email ให้แก่กรรมการ ผู้บริหาร และพนักงานเป็นประจำทุกปี เพื่อทดสอบการตอบสนองของผู้ได้รับอีเมล และนำผลการทดสอบดังกล่าวมาใช้ในการสื่อสารเพื่อเพิ่มความตระหนักรู้และสร้างความเข้าใจเกี่ยวกับวิธีการสังเกตและรับมือกับ Phishing Email ในปี 2566 ธนาคารได้มีการทดสอบจัดส่ง Phishing Email ที่มีหัวข้อและเนื้อหาแตกต่างกันตลอดทั้งปี พบว่ามีพนักงานที่ถูกหลอกลวงน้อยลง และมีการรายงานการพบหรือสงสัยว่าเป็น Phishing Email มากขึ้น
ความร่วมมือกับหน่วยงานภายนอกเพื่อสร้างความปลอดภัยทางไซเบอร์
ธนาคารสร้างความร่วมมือกับหน่วยงานภายนอกทั้งในระดับประเทศและระดับสากล ได้แก่ ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) และศูนย์บริการการเงิน การแบ่งปัน และวิเคราะห์ข้อมูล (FS-ISAC) เพื่อแลกเปลี่ยนข้อมูลด้านความมั่นคงปลอดภัยสารสนเทศและภัยคุกคามทางไซเบอร์ ตลอดจนพัฒนาขีดความสามารถของภาคการธนาคารในการเฝ้าระวังและตอบสนองต่อภัยคุกคามทางไซเบอร์ ในปี 2566 ธนาคารได้เข้าร่วมหารือถึงแนวทางป้องกันหรือลดความเสี่ยงจากการหลอกลวงผ่านแพลตฟอร์ม Facebook และ Google พร้อมทั้งได้ร่วมพัฒนากระบวนการแจ้งเหตุไปยัง Facebook เพื่อเสริมศักยภาพในการจัดการกับเพจปลอมของ Facebook และได้ทำการทดสอบ Safe Browsing ร่วมกับ Google
การกำกับดูแลด้านความปลอดภัยทางไซเบอร์
เพื่อให้การจัดการด้านความปลอดภัยของเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์มีประสิทธิผล และสอดคล้องตามนโยบายและหลักการที่ธนาคารวางไว้ ธนาคารได้กำหนดขอบเขตความรับผิดชอบของผู้เกี่ยวข้องตั้งแต่ระดับคณะกรรมการจนถึงระดับจัดการ ดังนี้
นโยบายและมาตรการดูแลด้านความปลอดภัยทางไซเบอร์
ธนาคารจัดทำนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ที่สอดคล้องกับมาตรฐานสากล ISO/IEC 27002 เพื่อเป็นแนวทางในการบริหารจัดการด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและรับมือกับการโจมตีทางไซเบอร์ พร้อมทั้งจัดทำคู่มือการรักษาความปลอดภัยสารสนเทศและความปลอดภัยทางไซเบอร์ (Information Security and Cybersecurity Handbook) เพื่อเป็นแนวทางสำหรับพนักงานในการปฏิบัติงานให้สอดคล้องกับนโยบายของธนาคาร ธนาคารกำหนดให้มีการพิจารณาทบทวนความเหมาะสมของนโยบายเป็นประจำทุกปี เพื่อให้นโยบายครอบคลุมถึงเทคโนโลยีและภัยคุกคามทางไซเบอร์ใหม่ ๆ ในปี 2566 ธนาคารได้ปรับปรุงนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ โดยเพิ่มเติมประเด็นการนำเทคโนโลยีปัญญาประดิษฐ์มาใช้งาน และการรวบรวมข้อมูลเกี่ยวกับภัยคุกคาม นอกจากนี้ ธนาคารได้รับการรับรองมาตรฐานสากลของระบบการให้บริการทางการเงิน ISO/IEC 27001 : 2013 สำหรับระบบการโอนเงินทางอิเล็กทรอนิกส์ระหว่างสถาบันการเงิน (BATHNET) และระบบการหักบัญชีเช็คด้วยภาพและการจัดเก็บภาพเช็ค (ICAS) และกำลังอยู่ระหว่างการขอรับรองมาตรฐานความปลอดภัยข้อมูลบัตรชำระเงิน (PCI/DSS) เพื่ออำนวยให้การปฏิบัติงานของพนักงานมีความยืดหยุ่นมากขึ้น ตอบรับกับการทำงานรูปแบบใหม่ที่สามารถทำจากที่ใดก็ได้ ธนาคารได้กำหนดระเบียบการใช้งานอุปกรณ์เคลื่อนที่ การเข้าถึงข้อมูลจากภายนอก และการจัดการจดหมายอิเล็กทรอนิกส์ ให้สอดคล้องกับนโยบายความมั่นคงปลอดภัยด้านสารสนเทศและความมั่นคงปลอดภัยไซเบอร์และนโยบายอื่น ๆ ที่เกี่ยวข้องของธนาคาร และยังได้ติดตั้งระบบความปลอดภัยให้แก่อุปกรณ์ฮาร์ดแวร์ของธนาคารทั้งหมดเพื่อยกระดับความมั่นคงปลอดภัยทางไซเบอร์และความปลอดภัยของข้อมูลส่วนบุคคลให้มีประสิทธิภาพ อีกทั้งมีการตรวจจับมัลแวร์บนอุปกรณ์อย่างสม่ำเสมอ ในปี 2566 ธนาคารได้ดำเนินการตรวจสอบข้อมูลรั่วไหลจากแหล่งต่าง ๆ เช่น DarkWeb, GitHub, Pastebin พร้อมทั้งนำข้อมูลมาวิเคราะห์และแจ้งเตือนเจ้าของข้อมูลเพื่อให้เกิดการดำเนินการป้องกันเชิงรุก
การติดตามเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
ธนาคารกำหนดแนวปฏิบัติที่ชัดเจนในการเฝ้าระวังเหตุการณ์ทางไซเบอร์ที่อาจกระทบต่อความมั่นคงปลอดภัยของข้อมูล พร้อมทั้งกำหนดระยะเวลาในการยกระดับเหตุการณ์และแจ้งเหตุให้ผู้เกี่ยวข้องรับทราบ เพื่อให้มีการติดตามและจัดการเหตุได้อย่างทันท่วงทีก่อนที่ความเสียหายจะลุกลาม นอกจากนี้ ธนาคารยังมุ่งมั่นพัฒนาทักษะความรู้ของพนักงานในหน่วยงานที่เกี่ยวข้องอย่างต่อเนื่อง เพื่อให้มีความพร้อมในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์อยู่เสมอ ในปี 2566 ธนาคารจัดให้มีการอบรมเพื่อเพิ่มพูนทักษะความรู้ด้านต่าง ๆ เช่น Secure Software Development, Threat hunting , PCI Professional Training รวมทั้งส่งพนักงานเข้าร่วมการแข่งขันด้านความปลอดภัยทางไซเบอร์ในเวทีระดับสากลและระดับภาคการธนาคาร เพื่อพัฒนาการวิเคราะห์เชิงเทคนิคในสถานการณ์จำลอง พนักงานที่พบเหตุการณ์ต้องสงสัยด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์สามารถรายงานเหตุการณ์ผ่านหน่วยงาน Service Desk ตามช่องทางที่ธนาคารกำหนดไว้ ในปี 2566 ธนาคารไม่พบกรณีการละเมิดความปลอดภัยข้อมูลสารสนเทศหรือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
การยกระดับความพร้อมในการรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
หน่วยงานจัดการความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศจัดให้มีการทดสอบและซ้อมแผนรับมือภัยคุกคามทางไซเบอร์เป็นประจำทุกปี อย่างน้อยปีละ 1 ครั้ง โดยมีการปรับเปลี่ยนสถานการณ์ที่ใช้ในการซ้อมทุกปี เพื่อเตรียมความพร้อมของบุคลากรและเทคโนโลยีที่เกี่ยวข้อง นอกจากนี้ ธนาคารยังได้เข้าร่วมการซักซ้อมแผนรับมือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์กับธนาคารอื่นที่อยู่ภายใต้ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) อย่างต่อเนื่อง โดยผลลัพธ์ที่ได้จากการซักซ้อมดังกล่าวจะถูกนำไปใช้ปรับปรุงกระบวนการรับมือภัยคุกคามทางไซเบอร์ของธนาคารให้มีประสิทธิผลยิ่งขึ้น ในปี 2566 ธนาคารจัดซ้อมแผนรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์จำนวน 2 ครั้ง แบ่งออกเป็น การซักซ้อมสถานการณ์ภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับผู้ให้บริการภายนอกและมีผลกระทบต่อการให้บริการของธนาคาร และการซักซ้อมในระดับภาคการธนาคารเกี่ยวกับเหตุการณ์การโจมตีระบบจัดเก็บข้อมูลอ่อนไหวที่เป็นข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าระบบเทคโนโลยีสารสนเทศของธนาคารได้รับการปกป้องเป็นอย่างดี และสามารถป้องกันภัยคุกคามที่อาจเกิดขึ้นได้อย่างทันท่วงที ธนาคารจัดให้มีการตรวจสอบกระบวนการจัดการด้านความปลอดภัยของเทคโนโลยีสารสนเทศปีละ 2 ครั้ง โดยหน่วยงานรับรองอิสระภายนอก การตรวจสอบดังกล่าวครอบคลุมการควบคุมทั่วไปด้านเทคโนโลยีสารสนเทศ และการควบคุมเฉพาะระบบงาน ในขณะเดียวกัน ธนาคารกำหนดกระบวนการจัดการช่องโหว่ พร้อมทั้งจัดให้มีการประเมินช่องโหว่ของระบบงานที่สำคัญ และการทดสอบเจาะระบบจากผู้เชี่ยวชาญทั้งภายในและภายนอกเป็นประจำทุกปี นอกจากนี้ ธนาคารจัดให้มีการสร้างสถานการณ์จำลอง โดยการจัดส่ง Phishing Email ให้แก่กรรมการ ผู้บริหาร และพนักงานเป็นประจำทุกปี เพื่อทดสอบการตอบสนองของผู้ได้รับอีเมล และนำผลการทดสอบดังกล่าวมาใช้ในการสื่อสารเพื่อเพิ่มความตระหนักรู้และสร้างความเข้าใจเกี่ยวกับวิธีการสังเกตและรับมือกับ Phishing Email ในปี 2566 ธนาคารได้มีการทดสอบจัดส่ง Phishing Email ที่มีหัวข้อและเนื้อหาแตกต่างกันตลอดทั้งปี พบว่ามีพนักงานที่ถูกหลอกลวงน้อยลง และมีการรายงานการพบหรือสงสัยว่าเป็น Phishing Email มากขึ้น
ความร่วมมือกับหน่วยงานภายนอกเพื่อสร้างความปลอดภัยทางไซเบอร์
ธนาคารสร้างความร่วมมือกับหน่วยงานภายนอกทั้งในระดับประเทศและระดับสากล ได้แก่ ศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) และศูนย์บริการการเงิน การแบ่งปัน และวิเคราะห์ข้อมูล (FS-ISAC) เพื่อแลกเปลี่ยนข้อมูลด้านความมั่นคงปลอดภัยสารสนเทศและภัยคุกคามทางไซเบอร์ ตลอดจนพัฒนาขีดความสามารถของภาคการธนาคารในการเฝ้าระวังและตอบสนองต่อภัยคุกคามทางไซเบอร์ ในปี 2566 ธนาคารได้เข้าร่วมหารือถึงแนวทางป้องกันหรือลดความเสี่ยงจากการหลอกลวงผ่านแพลตฟอร์ม Facebook และ Google พร้อมทั้งได้ร่วมพัฒนากระบวนการแจ้งเหตุไปยัง Facebook เพื่อเสริมศักยภาพในการจัดการกับเพจปลอมของ Facebook และได้ทำการทดสอบ Safe Browsing ร่วมกับ Google
การคุ้มครองข้อมูลส่วนบุคคล
ธนาคารกำหนดหลักการและแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ที่สอดคล้องกับข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล รวมทั้งกฎหมายและกฎเกณฑ์อื่น ๆ ของทางการที่เกี่ยวข้อง พร้อมทั้งกำหนดผู้รับผิดชอบในการตรวจสอบและดูแลข้อมูล ให้สิทธิการเข้าถึงข้อมูล จำแนกและจัดชั้นความลับของข้อมูล และกำหนดระดับการรักษาความมั่นคงปลอดภัยของข้อมูลให้สอดคล้องกับระดับความเสี่ยงและผลกระทบของการละเมิดข้อมูลส่วนบุคคล เพื่อป้องกันการสูญหาย เข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยข้อมูลโดยมิชอบ ธนาคารได้กำหนดให้ความเสี่ยงด้านข้อมูลส่วนบุคคลเป็นความเสี่ยงสำคัญของธนาคาร พร้อมทั้งมอบหมายให้หน่วยงานคุ้มครองข้อมูลส่วนบุคคลและเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลเข้าไปมีส่วนร่วมในกระบวนการบริหารความเสี่ยง ซึ่งครอบคลุมตั้งแต่การระบุความเสี่ยงด้านข้อมูลส่วนบุคคล การจัดการความเสี่ยง ไปจนถึงการควบคุมความเสี่ยง ธนาคารมีการควบคุมความเสี่ยงตามแนวป้องกัน 3 ชั้น โดยจัดให้มีการตรวจสอบการปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลโดยสายตรวจสอบและควบคุม ซึ่งทำหน้าที่เป็นอิสระจากหน่วยงานที่มีการเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคล
การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิผล รัดกุม สอดคล้องกับกฎหมายที่เกี่ยวข้อง ตลอดจนนโยบายและแนวทางปฏิบัติของธนาคาร ธนาคารได้จัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล สังกัดหน่วยงานกำกับดูแล และได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อทำหน้าที่ดูแลงานด้านการคุ้มครองข้อมูลส่วนบุคคล
นโยบายและมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคล
ธนาคารกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลและมาตรฐานคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมีผลบังคับใช้ครอบคลุมกลุ่มธุรกิจของธนาคาร รวมถึงพันธมิตรทางธุรกิจและผู้ให้บริการภายนอก พร้อมทั้งได้จัดทำคู่มือปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลในกระบวนการทำงานของหน่วยงานต่าง ๆ เพื่อให้ผู้ปฏิบัติงานมีความเข้าใจและสามารถปฏิบัติตามได้อย่างถูกต้อง พนักงานทุกคนต้องรับทราบและปฏิบัติตามข้อกำหนดที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคล การฝ่าฝืนหรือไม่ปฏิบัติตามอาจส่งผลให้ถูกลงโทษทางวินัยจนถึงถูกเลิกจ้าง รวมทั้งอาจมีความผิดทางอาญาหรือมีโทษตามกฎหมายที่เกี่ยวข้อง
ธนาคารได้เผยแพร่หนังสือแจ้งการคุ้มครองข้อมูลส่วนบุคคล ผ่านทางเว็บไซต์ สาขา และช่องทางการให้บริการธนาคารดิจิทัล เพื่อให้เจ้าของข้อมูลรับทราบถึงการคุ้มครองข้อมูลและสิทธิของเจ้าของข้อมูล เจ้าของข้อมูลสามารถสอบถามข้อมูลเพิ่มเติมและขอใช้สิทธิของเจ้าของข้อมูลได้ที่สาขาหรือช่องทางบริการอื่น ๆ ของธนาคาร หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของธนาคาร
การดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
เพื่อให้เกิดความชัดเจนและเป็นระบบระเบียบ ธนาคารกำหนดแนวทาง ขั้นตอน และผู้รับผิดชอบการดำเนินการเพื่อตอบสนองต่อเหตุละเมิดข้อมูลส่วนบุคคล ที่สอดคล้องกับกฎเกณฑ์ของทางการและนโยบายคุ้มครองข้อมูลส่วนบุคคลของธนาคาร พร้อมทั้งจัดทำแบบฟอร์มการรายงานเหตุละเมิดข้อมูลส่วนบุคคลซึ่งครอบคลุมรายละเอียดสำคัญต่าง ๆ เพื่อให้หน่วยงานที่เผชิญเหตุใช้รายงานต่อผู้รับผิดชอบของหน่วยงานและจัดส่งให้ DPO ต่อไป ในกรณีที่พบการละเมิดข้อมูลส่วนบุคคล ลูกค้าสามารถแจ้งเรื่องร้องเรียนผ่านช่องทางการร้องเรียนของธนาคาร หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคล โดยธนาคารจะตรวจสอบข้อเท็จจริงอย่างโปร่งใสและเป็นธรรม หากพบว่ามีการละเมิดจริง ธนาคารจะดำเนินการกับผู้กระทำผิดตามบทลงโทษที่กำหนดไว้ และเยียวยาผู้เสียหายอย่างเหมาะสม
การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคล
เพื่อให้การกำกับดูแลด้านการคุ้มครองข้อมูลส่วนบุคคลเป็นไปอย่างมีประสิทธิผล รัดกุม สอดคล้องกับกฎหมายที่เกี่ยวข้อง ตลอดจนนโยบายและแนวทางปฏิบัติของธนาคาร ธนาคารได้จัดตั้งหน่วยงานคุ้มครองข้อมูลส่วนบุคคล สังกัดหน่วยงานกำกับดูแล และได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) เพื่อทำหน้าที่ดูแลงานด้านการคุ้มครองข้อมูลส่วนบุคคล
นโยบายและมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคล
ธนาคารกำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลและมาตรฐานคุ้มครองข้อมูลส่วนบุคคลที่สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมีผลบังคับใช้ครอบคลุมกลุ่มธุรกิจของธนาคาร รวมถึงพันธมิตรทางธุรกิจและผู้ให้บริการภายนอก พร้อมทั้งได้จัดทำคู่มือปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลในกระบวนการทำงานของหน่วยงานต่าง ๆ เพื่อให้ผู้ปฏิบัติงานมีความเข้าใจและสามารถปฏิบัติตามได้อย่างถูกต้อง พนักงานทุกคนต้องรับทราบและปฏิบัติตามข้อกำหนดที่ระบุไว้ในนโยบายคุ้มครองข้อมูลส่วนบุคคล การฝ่าฝืนหรือไม่ปฏิบัติตามอาจส่งผลให้ถูกลงโทษทางวินัยจนถึงถูกเลิกจ้าง รวมทั้งอาจมีความผิดทางอาญาหรือมีโทษตามกฎหมายที่เกี่ยวข้อง
ธนาคารได้เผยแพร่หนังสือแจ้งการคุ้มครองข้อมูลส่วนบุคคล ผ่านทางเว็บไซต์ สาขา และช่องทางการให้บริการธนาคารดิจิทัล เพื่อให้เจ้าของข้อมูลรับทราบถึงการคุ้มครองข้อมูลและสิทธิของเจ้าของข้อมูล เจ้าของข้อมูลสามารถสอบถามข้อมูลเพิ่มเติมและขอใช้สิทธิของเจ้าของข้อมูลได้ที่สาขาหรือช่องทางบริการอื่น ๆ ของธนาคาร หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลหรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคลของธนาคาร
การดำเนินการเมื่อเกิดเหตุละเมิดข้อมูลส่วนบุคคล
เพื่อให้เกิดความชัดเจนและเป็นระบบระเบียบ ธนาคารกำหนดแนวทาง ขั้นตอน และผู้รับผิดชอบการดำเนินการเพื่อตอบสนองต่อเหตุละเมิดข้อมูลส่วนบุคคล ที่สอดคล้องกับกฎเกณฑ์ของทางการและนโยบายคุ้มครองข้อมูลส่วนบุคคลของธนาคาร พร้อมทั้งจัดทำแบบฟอร์มการรายงานเหตุละเมิดข้อมูลส่วนบุคคลซึ่งครอบคลุมรายละเอียดสำคัญต่าง ๆ เพื่อให้หน่วยงานที่เผชิญเหตุใช้รายงานต่อผู้รับผิดชอบของหน่วยงานและจัดส่งให้ DPO ต่อไป ในกรณีที่พบการละเมิดข้อมูลส่วนบุคคล ลูกค้าสามารถแจ้งเรื่องร้องเรียนผ่านช่องทางการร้องเรียนของธนาคาร หรือติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล หรือหน่วยงานคุ้มครองข้อมูลส่วนบุคคล โดยธนาคารจะตรวจสอบข้อเท็จจริงอย่างโปร่งใสและเป็นธรรม หากพบว่ามีการละเมิดจริง ธนาคารจะดำเนินการกับผู้กระทำผิดตามบทลงโทษที่กำหนดไว้ และเยียวยาผู้เสียหายอย่างเหมาะสม
การสร้างวัฒนธรรมด้านความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ ความปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคล
ธนาคารเชื่อมั่นว่าความรู้ความเข้าใจที่ถูกต้องของทุกคนในองค์กรเป็นพื้นฐานสำคัญของวัฒนธรรมความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล จึงได้มีการดำเนินการต่างๆ ดังนี้
- กำหนดให้คณะกรรมการธนาคารเข้าร่วมอบรมหลักสูตรที่เกี่ยวข้องการบริหารจัดการความมั่นคงปลอดภัยด้านสารสนเทศและความปลอดภัยทางไซเบอร์ที่จัดขึ้นโดยหน่วยงานภายในและหน่วยงานภายนอกเป็นประจำทุกปี
- กำหนดให้หลักสูตรการคุ้มครองข้อมูลส่วนบุคคล หลักสูตรความตระหนักรู้เกี่ยวกับการโจรกรรมข้อมูลในรูปแบบฟิชชิง (Phishing Awareness) และหลักสูตรความมั่นคงปลอดภัยด้านสารสนเทศและความปลอดภัยทางไซเบอร์ (Information Security and Cybersecurity : ISCS) เป็นหลักสูตรภาคบังคับสำหรับผู้บริหารและพนักงานทุกคน
- กำหนดให้พนักงานในหน่วยงานที่เกี่ยวข้องต้องเข้ารับการอบรมหลักสูตรตามบทบาทเฉพาะ (Role Specific) เรื่องการคุ้มครองข้อมูลส่วนบุคคล
- จัดโครงการ PDPA Awareness Campaign เพื่อสร้างความรู้ความเข้าใจเกี่ยวกับการปฏิบัติงานอย่างถูกต้องภายใต้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ผ่านชุดข้อมูลความรู้ในรูปแบบบทความ จดหมายข่าว อินโฟกราฟฟิค และวีดีทัศน์ พร้อมทั้งเปิดช่องทางสำหรับส่งคำถามถึง DPO
- สื่อสารความรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ผ่านช่องทางการสื่อสารภายในอย่างต่อเนื่อง เช่น “เตือนภัยเมลฟิชชิงในรูปแบบ QR Code” “ความรู้ด้านความปลอดภัยทางไซเบอร์สำคัญอย่างไร?” “Bing Chat Enterprise ใช้งานอย่างไรให้ปลอดภัย” เป็นต้น
- พัฒนาหลักสูตรการเรียนรู้เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์อย่างต่อเนื่อง โดยในปี 2566 ธนาคารเพิ่มหลักสูตรใหม่ในแพลตฟอร์มการเรียนรู้ออนไลน์ของธนาคาร ได้แก่ “การสร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศ ISMS” และ “Bangkok Bank Security Roundup 2022-2023” นอกจากนี้ ธนาคารยังได้จัดกิจกรรม Knowledge Day Forum 2023 หัวข้อ “CISO GPT” เพื่อให้ความรู้แก่ผู้บริหารและพนักงานเกี่ยวกับการรับมือกับภัยทางไซเบอร์รูปแบบใหม่
- จัดกิจกรรมแลกเปลี่ยนเรียนรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลกับธนาคารพีทีเพอร์มาตา ทีบีเค ซึ่งเป็นบริษัทย่อยของธนาคารในประเทศอินโดนีเซีย เพื่อให้ผู้ปฏิบัติงานมีความรู้ความเข้าใจเกี่ยวกับกฎหมายด้านการคุ้มครองข้อมูลส่วนบุคคลของประเทศไทยและอินโดนีเซีย โครงสร้างการกำกับดูแลและกระบวนการคุ้มครองข้อมูลส่วนบุคคลของธนาคาร และการเสริมสร้างความตระหนักในการป้องกันและตอบสนองต่อประเด็นปัญหาด้านการคุ้มครองข้อมูลส่วนบุคคล
เครื่องมือช่วยเหลือ
ธนาคารพร้อมให้คำปรึกษาและดูแลคุณ
ในทุกธุรกรรมทางการเงิน
เครื่องมือช่วยเหลือ
ธนาคารพร้อมให้คำปรึกษาและดูแลคุณในทุกธุรกรรมทางการเงิน
เว็บไซต์นี้ใช้คุกกี้ เพื่อมอบประสบการณ์การใช้งานที่ดีให้กับท่าน และเพื่อพัฒนาคุณภาพการให้บริการเว็บไซต์ที่ตรงต่อความต้องการของท่านมากยิ่งขึ้น ท่านสามารถทราบรายละเอียดเกี่ยวกับคุกกี้ได้ที่
นโยบายการใช้คุกกี้
