หน้าแรก / การพัฒนาที่ยั่งยืนของไทยเบฟ
ความปลอดภัยของข้อมูล และความเป็นส่วนตัว
การปกป้องเทคโนโลยีสารสนเทศช่วยป้องกันไม่ให้เกิดการโจมตี ทางไซเบอร์ที่อาจส่งผลกระทบต่อการดำเนินงานขององค์กรและ ผู้มีส่วนได้ส่วนเสียทั้งหมด ไทยเบฟให้ความสำคัญกับความปลอดภัยทางไซเบอร์และข้อมูลส่วนบุคคล จึงกำหนดให้ประเด็นดังกล่าวเป็นหนึ่งในสิบประเด็นสำคัญขององค์กรตั้งแต่ปี 2563 นอกจากนี้ยังมีการจัดตั้ง คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์ให้ปฏิบัติหน้าที่

ในการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์โดยเฉพาะ โดยมีผู้บริหารสูงสุดกลุ่มงานดิจิทัลและเทคโนโลยีรักษาการในตำแหน่ง Chief Information and Security Officer (CI&SO) มีหน้าที่รับผิดชอบจัดการความเสี่ยงที่อาจเกิดขึ้นเพื่อป้องกันผลกระทบทั้งทางตรงและ ทางอ้อมต่อการดำเนินธุรกิจขององค์กรรวมถึงการกำหนดกฎเกณฑ์ด้านความปลอดภัยของข้อมูลให้สอดคล้องกับเป้าหมายเชิงกลยุทธ์ขององค์กร นอกจากนี้ยังทำหน้าที่ดูแลการปฏิบัติตามมาตรฐาน ความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวในระดับสากลต่าง ๆ อาทิ มาตรฐาน ISO 27001 และกรอบการทำงาน NIST เพื่อรักษาระดับความปลอดภัยทางไซเบอร์ และปกป้องความเป็นส่วนตัวของข้อมูล ให้อยู่ในระดับสูงสุด
แนวทางการบริหารจัดการ
ไทยเบฟมีกรอบการทำงานและกระบวนการที่ออกแบบมาให้ครอบคลุมการบ่งชี้ ประเมิน ติดตาม และจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ภายในองค์กร นอกจากนี้ยังปรับใช้การวางแผนเชิงกลยุทธ์ นโยบาย ขั้นตอน และมาตรการทางเทคโนโลยีเพื่อปกป้องข้อมูลขององค์กรจากภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น กรอบการทำงานนี้ยังสอดคล้องกับแนวทางมาตรฐานสากล เช่น IS0 27001 และกรอบการทำงานความปลอดภัยทางไซเบอร์ของ NIST ซึ่งเป็นหลักปฏิบัติที่ดีในการบริหารความเสี่ยงทางไซเบอร์ นำไปสู่การปรับปรุงความปลอดภัยขององค์กรและช่วยให้การป้องกัน การตรวจจับ และการตอบสนองต่อการโจมตีมีประสิทธิภาพ ส่งผลให้องค์กรสามารถดำเนินงานต่อไปได้โดยปราศจากอุปสรรค นอกจากนี้ ไทยเบฟตระหนักดีว่าข้อมูลส่วนบุคคลอาจรั่วไหลไปสู่บุคคลภายนอก การใช้ข้อมูลอย่างผิดกฎหมาย หรือการโจมตี ทางไซเบอร์อาจส่งผลให้เกิดการดำเนินคดีทางกฎหมาย รวมถึง การจ่ายเงินชดเชยแก่ผู้เสียหาย ตลอดจนส่งผลต่อภาพลักษณ์ และความเชื่อมั่นของผู้มีส่วนได้ส่วนเสียรวมทั้งลูกค้าขององค์กร

ดังนั้น องค์กรจึงจัดการข้อมูลส่วนบุคคลของผู้มีส่วนได้ส่วนเสียทั้งหมดด้วยความระมัดระวังโดยให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) และนโยบายของบริษัท เพื่อหลีกเลี่ยงการละเมิดสิทธิมนุษยชน บทลงโทษทางกฎหมาย และความเสี่ยงต่อชื่อเสียงขององค์กร
คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์ของไทยเบฟ
ไทยเบฟมีโครงสร้างการกำกับดูแลและกำหนดกลยุทธ์ความปลอดภัยด้านเทคโนโลยีสารสนเทศ โดยกรรมการผู้อำนวยการใหญ่เป็นผู้นำ ในการวางแผนกลยุทธ์ระยะสั้นและระยะยาวเพื่อเสนอต่อ คณะกรรมการบริษัท ส่วนกรรมการบริหารผู้ดำรงตำแหน่ง Chief Information and Security Officer (CI&SO) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) มีหน้าที่รับผิดชอบ ในเรื่องความพร้อมในการใช้ข้อมูลอย่างปลอดภัย ความถูกต้อง ครบถ้วนของข้อมูล รวมถึงการรักษาข้อมูลที่เป็นความลับของลูกค้า คู่ค้าทางธุรกิจ พนักงานและองค์กรเพื่อป้องกันการทำงานผิดพลาดของระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์ที่ร้ายแรง

คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์ที่นำโดยกรรมการ ผู้อำนวยการใหญ่ของไทยเบฟก่อตั้งขึ้นเพื่อกำกับดูแลการปฏิบัติงานด้านการรักษาความปลอดภัยทางไซเบอร์ภายในองค์กรและสื่อสาร กับคณะกรรมการบริหารความยั่งยืนและความเสี่ยง (SRMC) อย่างสม่ำเสมอเนื่องจากองค์กรถือว่าภัยคุกคามด้านความปลอดภัยทางไซเบอร์เป็นหนึ่งในความเสี่ยงเชิงกลยุทธ์ขององค์กร

คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์มีหน้าที่จับตาดู ภัยคุกคามความปลอดภัยทางไซเบอร์ รวมถึงพัฒนาแผน กลยุทธ์ และแนวปฏิบัติในการจัดการภัยคุกคามเหล่านั้น โดยจะต้องปฏิบัติ ตามนโยบายการบริหารความเสี่ยงของกลุ่มไทยเบฟซึ่งอยู่ภายใต้ การกำกับดูแลของ SRMC เพื่อรับประกันว่าภัยคุกคามทางไซเบอร์ ทุกเหตุการณ์จะถูกดำเนินการติดตาม ตรวจสอบ บรรเทาและเยียวยาอย่างเหมาะสม นอกจากนั้น คณะกรรมการรักษาความมั่นคง ความปลอดภัยไซเบอร์ยังต้องรายงานผลการดำเนินงานและ ความคืบหน้าต่อ SRMC และคณะกรรมการบริหารอย่างสม่ำเสมอ อีกด้วย

นโยบายความปลอดภัยด้านเทคโนโลยีสารสนเทศ
ไทยเบฟกำหนดนโยบายความปลอดภัยด้านเทคโนโลยีสารสนเทศ มาตั้งแต่ปี 2563 เพื่อกำหนดทิศทาง หลักการ และกรอบการทำงานด้านการบริหารจัดการความปลอดภัยของเทคโนโลยีสารสนเทศ รวมถึงสร้างความรู้ความเข้าใจในเชิงรุก เพื่อส่งเสริมให้พนักงานปฏิบัติตามนโยบาย ขั้นตอนการปฏิบัติงานรวมถึงกฎหมายที่เกี่ยวข้องกับความปลอดภัยของเทคโนโลยีสารสนเทศ
นโยบายความปลอดภัยด้านเทคโนโลยีสารสนเทศ
นโยบายคุ้มครองข้อมูลส่วนบุคคล
ไทยเบฟตระหนักและเคารพในสิทธิความเป็นส่วนตัวและพยายามอย่างเต็มที่เพื่อปกป้องข้อมูลส่วนบุคคลของพนักงานไทยเบฟและ ผู้มีส่วนได้ส่วนเสียทั้งหมดรวมถึงผู้จัดหาสินค้าและวัตถุดิบ ผู้บริโภค และลูกค้า ในปี 2565 ไทยเบฟกำหนดนโยบายการคุ้มครองข้อมูล ส่วนบุคคลเพื่อป้องกันการใช้ข้อมูลอย่างไม่เหมาะสมและเพื่อให้มั่นใจว่าข้อมูลของผู้มีส่วนได้ส่วนเสียได้รับการคุ้มครองความปลอดภัย ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทุกประเทศที่บริษัทในกลุ่มไทยเบฟดำเนินธุรกิจอยู่ ตลอดจนมาตรฐานสากลในด้านการคุ้มครองข้อมูลส่วนบุคคลอื่น ๆ ที่เกี่ยวข้อง
นโยบายคุ้มครองข้อมูลส่วนบุคคลy
แผนความปลอดภัยทางไซเบอร์ เพื่อก้าวสู่ปี 2568
  • ติดตามกระแสเทคโนโลยีรักษาความปลอดภัยทางไซเบอร์ล่าสุด เช่น AI และ Machine Learning เพื่อพัฒนาความปลอดภัย ทางไซเบอร์และเทคโนโลยีสารสนเทศ รวมถึงการปกป้อง ข้อมูลส่วนบุคคลของไทยเบฟให้ดียิ่งขึ้น
  • พัฒนาระบบป้องกันภัยคุกคามทางไซเบอร์ทางด้านเทคโนโลยี การปฏิบัติงาน (Operational Technology: OT) ที่เชื่อถือได้เพื่อใช้ในโครงสร้างพื้นฐานที่สำคัญ รวมถึงระบบควบคุมอุตสาหกรรมในโรงงานผลิตและระบบต่าง ๆ ของไทยเบฟ โดยมุ่งเน้นที่ความพร้อมใช้งาน ความถูกต้องสมบูรณ์ของข้อมูล และการรักษาความลับ เพื่อหลีกเลี่ยงไม่ให้เกิดการหยุดชะงักระหว่างดำเนินการผลิต
  • เพิ่มขีดความสามารถการป้องกันความปลอดภัยทางไซเบอร์ในห่วงโซ่อุปทานของไทยเบฟด้วยการประเมินและยกระดับมาตรฐานความปลอดภัยทางไซเบอร์ของคู่ค้าและพันธมิตรทางการค้า
  • ตรวจสอบให้มั่นใจว่าระบบรักษาความปลอดภัยทางไซเบอร์และ การปกป้องข้อมูลส่วนบุคคลของกลุ่มไทยเบฟเป็นไปตามมาตรฐานกฎระเบียบในระดับสากลและระดับท้องถิ่น รวมถึงการ ได้รับการรับรองจากบุคคลที่สามอย่างสม่ำเสมอ
  • ตระหนักถึงการรักษาความปลอดภัยที่ยึดตัวคนเป็นศูนย์กลาง (Human-Centric Security) และให้ความสำคัญกับความเสี่ยง อันเกิดจากมนุษย์ที่ส่งผลกระทบต่อความปลอดภัยทางไซเบอร์ โดยการลงทุนในโครงการฝึกอบรม รวมถึงการสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูลส่วนบุคคล เพื่อให้ความรู้แก่พนักงานเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยและภัยคุกคามที่อาจเกิดขึ้น รวมถึงลดความเสี่ยงที่เกิดจากความผิดพลาดของมนุษย์
  • ปกป้องและตรวจสอบอุปกรณ์ที่เกี่ยวข้องกับระบบเครือข่าย Internet of Things (IoT) เป็นประจำ และจัดให้มีการควบคุม ความปลอดภัยที่มีประสิทธิภาพ
เป้าหมาย
คำอธิบาย การดำเนินงาน ปี 2566 เป้าหมายระยะยาว ปี 2568
จำนวนการถูกละเมิด ความปลอดภัยของข้อมูล 0 0
จำนวนลูกค้า และพนักงานทั้งหมด ที่ได้รับผลกระทบจากการละเมิด 0 0
ความมุ่งมั่นและความสำเร็จ
ในปี 2566 ติดไวรัสคอมพิวเตอร์
0%
การละเมิดข้อมูลส่วนบุคคล
เป็นศูนย์
โครงการสำคัญ
การทำงานด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่องถือเป็น กระบวนการสำคัญที่องค์กรในยุคที่เทคโนโลยีและการใช้เครือข่ายออนไลน์มีบทบาทสำคัญในการทำธุรกิจทุกด้าน การควบคุมและปกป้องอุปกรณ์และข้อมูลทางไซเบอร์มีส่วนช่วยปกป้องความลับ และความปลอดภัยขององค์กร สิ่งสำคัญคือต้องขับเคลื่อนความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ด้วยการฝึกอบรมเพื่อให้พนักงานทุกคนเข้าใจถึงความสำคัญของความปลอดภัยทางไซเบอร์และดำเนินการร่วมกันเพื่อรักษาความปลอดภัยของข้อมูลและระบบขององค์กร ตลอดปีงบประมาณ 2566 ทีมงานรักษาความปลอดภัยด้านไอทีทำงานอย่างเต็มกำลังในการเสริมสร้างความปลอดภัยให้กับระบบเทคโนโลยีสารสนเทศและเครือข่ายทั้งหมดของไทยเบฟ
การรับรองมาตรฐาน ISO 27001
ไทยเบฟขยายขอบเขตการรับรองมาตรฐาน ISO/IEC 27001 เพื่อเสริมสร้างระบบรักษาความปลอดภัยให้ที่ทำงานทุกแห่งที่ให้บริการเครือข่ายคอมพิวเตอร์และศูนย์บริการข้อมูลของไทยเบฟ
Zero Trust ด้วยสถาปัตยกรรม 2FA
ไทยเบฟใช้กลยุทธ์การรักษาความปลอดภัยของ Zero Trust โดยถือว่าความพยายามในการเข้าถึงเครือข่ายหรือโครงสร้างพื้นฐานด้านไอทีทุกครั้งเป็นภัยคุกคามและไม่ไว้วางใจใครก็ตามไม่ว่าจะเป็นบุคลากรภายในหรือภายนอกเครือข่ายเว้นแต่จะได้รับการตรวจสอบยืนยันตัวตนด้วยการรับรองความถูกต้อง ทั้งนี้องค์กรใช้วิธี ตรวจสอบสิทธิ์แบบสองปัจจัยหรือ 2FA การตรวจสอบสิทธิ์ในการ เข้าถึงข้อมูลอีกด้วย
การจำลองการโจมตีทางไซเบอร์ (Phishing Simulations)
ในปีงบประมาณ 2566 ไทยเบฟเริ่มต้นการจำลองสถานการณ์ การโจมตีทางไซเบอร์กับพนักงานในองค์กรเป็นประจำเพื่อประเมิน และปรับปรุงความเข้าใจของพนักงานเกี่ยวกับภัยคุกคามที่หลอกลวงผ่านช่องทางการใช้งานอินเทอร์เน็ตของพนักงานเนื่องจากการจำลองสถานการณ์ที่สมจริงช่วยประเมินได้ว่าพนักงานสามารถระบุและ ตอบสนองต่อความพยายามโจมตีทางไซเบอร์ได้ดีเพียงใด

โดยไทยเบฟมั่นใจว่าจะสามารถลดความเสี่ยงในการตกเป็นเหยื่อ การโจมตีทางไซเบอร์ของพนักงานได้
หลักสูตรการฝึกอบรมด้านความปลอดภัยทางไซเบอร์ และความเป็นส่วนตัวของข้อมูล
ในปีงบประมาณ 2566 ไทยเบฟดำเนินโครงการฝึกอบรมพนักงาน ภาคบังคับ ซึ่งเป็นส่วนหนึ่งของแนวทางเชิงรุก โดยมีวัตถุประสงค์เพื่อให้มั่นใจว่าพนักงานมีความรู้ความเข้าใจแนวทางปฏิบัติด้าน ความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล รวมถึงความพร้อมที่จะจัดการลดความเสี่ยงที่อาจเกิดขึ้น โดยพนักงาน ต้องสอบผ่านด้วยคะแนนไม่ต่ำกว่า 90% ทั้งนี้ในปีงบประมาณ 2566 ไทยเบฟเข้าถึงกลุ่มเป้าหมายครบ 100% โดยมีบุคลากรกว่า 15,000 คนที่ได้รับการฝึกอบรมด้านการป้องกันความปลอดภัย ทางไซเบอร์และความเป็นส่วนตัวของข้อมูล
การประเมินความเสี่ยงประจำปีผ่านการตรวจสอบ และรับรองจากหน่วยงานภายนอก
ไทยเบฟได้พัฒนากลยุทธ์ในการรักษาความมั่นคงปลอดภัย ทางไซเบอร์ที่แข็งแกร่งมาใช้ในองค์กร ซึ่งไม่เพียงแต่สามารถระบุ และจัดการกับจุดอ่อนเท่านั้น แต่ยังช่วยเสริมสร้างความแข็งแกร่ง ในการรักษาความปลอดภัยต่อภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่อง องค์กรยังใช้การประเมินช่องโหว่ของระบบเซิร์ฟเวอร์และเครือข่ายโดยบุคคลที่สามที่เป็นอีกหนึ่งในวิธีการระบุและแก้ไขข้อบกพร่อง ด้านความปลอดภัยในระบบเครือข่ายและแอปพลิเคชันที่มีประสิทธิภาพสูงสุด รวมถึงการเสริมสร้างความแข็งแกร่งให้กับกระบวนการป้องกันด้วยการประเมินความเสี่ยงโดยการทดสอบ การเจาะระบบเพื่อค้นหาจุดอ่อนที่เข้าถึงระบบขององค์กรอย่างสม่ำเสมอ ซึ่งกระบวนการประเมินและความพยายามในการแก้ไขเชิงรุกเหล่านี้ ถือเป็นองค์ประกอบที่สำคัญของการรักษาความปลอดภัย ทางไซเบอร์ที่ครอบคลุม นอกจากนี้องค์กรยังจัดให้มีการตรวจสอบระบบเทคโนโลยีสารสนเทศและเครือข่ายจากผู้ตรวจสอบภายนอก และผู้ตรวจสอบภายในอย่างสม่ำเสมอเพื่อให้เกิดความมั่นใจใน ความปลอดภัยและความสามารถกลับคืนสู่สภาพการดำเนินงานปกติได้ในระดับสูงสุด
การตรวจสอบข้อความ ระบบ และเครือข่ายอย่างต่อเนื่อง
ไทยเบฟติดตั้งระบบเฝ้าระวังเครือข่ายเชิงรุกสำหรับอาคารสำนักงานเพื่อให้มั่นใจว่าระบบทั้งหมดสามารถทำงานได้อย่างต่อเนื่อง การบริการมีความปลอดภัย และสามารถตรวจพบปัญหาก่อน จะส่งผลกระทบต่อผู้ใช้ นอกจากนี้ บริษัทยังดูแลรักษาและปรับปรุงข้อมูลเฟิร์มแวร์ของอุปกรณ์ทั้งหมดในเครือข่ายให้ทันสมัยอย่างสม่ำเสมอ รวมถึงการใช้ Web Application Firewall (WAF) ซึ่งเป็นหนึ่งในเทคโนโลยีความปลอดภัยที่มีประสิทธิภาพที่ถูกนำมาใช้เพื่อปกป้องเว็บแอปพลิเคชันจากภัยคุกคามบนระบบออนไลน์ และเพื่อป้องกันการหาประโยชน์จากจุดอ่อนและการโจมตีทางไซเบอร์
คู่มือการปกป้องความเป็นส่วนตัวของข้อมูลส่วนบุคคล ของไทยเบฟ
การปกป้องความเป็นส่วนตัวของข้อมูลส่วนบุคคลของผู้มีส่วนได้ ส่วนเสียเป็นสิ่งสำคัญในการรักษาความไว้วางใจและการปฏิบัติตาม กฎระเบียบขององค์กรด้านความเป็นส่วนตัว ดังนั้นในปีงบประมาณ 2566 ฝ่ายกฎหมายของไทยเบฟจึงจัดทำคู่มือเพื่อช่วยสร้างความมั่นใจ ว่านโยบายและกฎระเบียบด้านการคุ้มครองความเป็นส่วนตัวของข้อมูลจะถูกรับรู้และปฏิบัติตามอย่างสม่ำเสมอครอบคลุมกับทุกบริษัทในเครือไทยเบฟ ภาษาที่ใช้ในคู่มือเป็นภาษาที่เข้าใจง่ายทำให้ผู้อ่านสามารถนำนโยบายไปปฏิบัติตรงกันทั่วทั้งองค์กร ท้้งนี้ คู่มือนี้ปรากฏ ในเว็บไซต์ภายในของบริษัทที่พนักงานไทยเบฟสามารถเข้าไป เรียนรู้ได้ตลอดเวลา
การตรวจสอบกระบวนการยกระดับความเป็นส่วนตัว ของข้อมูลส่วนบุคคล
ไทยเบฟจัดให้มีช่องทางการสื่อสารเรื่องความเป็นส่วนตัวของข้อมูลส่วนบุคคลสำหรับการสอบถามและร้องเรียนของผู้มีส่วนได้ส่วนเสีย โดยต้องมีการติดตามและสรุปผลจากฝ่ายบริหารระดับสูงทุกกรณี
รายงานสรุปจำนวนข้อร้องเรียนความเป็นส่วนตัว ข้อมูลส่วนบุคคลของไทยเบฟ ปีงบประมาณ 2566

การละเมิดข้อมูลส่วนบุคคล 0 0%
การขอแก้ไขข้อมูลส่วนบุคคล (แก้ไข/ลบ) 822 88%
กรณีที่ไม่เกี่ยวข้องกับข้อมูล ส่วนบุคคล 111 12%
สรุป 933 100%
เทคโนโลยีการรักษาความปลอดภัยทางไซเบอร์ ที่เป็นมิตรต่อสิ่งแวดล้อม
ไทยเบฟใช้บริการโครงสร้างพื้นฐานและเครือข่ายของศูนย์ข้อมูล STT BANGKOK ซึ่งเป็นระบบที่ผ่านการรับรองมาตรฐาน LEED ในระดับ Gold จากสภา U.S. Green Building Council แห่งสหรัฐอเมริกา โดยที่การรับรองตามมาตรฐาน LEED เป็นระบบ การให้คะแนนที่ได้รับการยอมรับทั่วโลกเรื่องการออกแบบ การก่อสร้าง การดำเนินงาน และการบำรุงรักษาอาคารและชุมชน ที่เป็นมิตรกับสิ่งแวดล้อม