ความปลอดภัยด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัว

ความสำคัญ

การใช้เทคโนโลยีดิจิทัลในการสนับสนุนให้บริการ การบริหารจัดการองค์กร และการปฏิบัติการของท่าอากาศยานที่เพิ่มสูงขึ้นในปัจจุบัน ทำให้ความปลอดภัยด้านเทคโนโลยีสารสนเทศ การรักษาเสถียรภาพในการใช้งาน และการปกป้องความเป็นส่วนตัวทวีความสำคัญมากขึ้น เนื่องจากหากเกิดปัญหาข้อมูลรั่วไหล ระบบหยุดชะงัก หรือการโจมตีทางไซเบอร์ อาจทำให้ผู้มีส่วนได้เสียได้รับความเสียหายและสูญเสียความเชื่อมั่นต่อ ทอท. รวมถึงยังอาจเป็นการละเมิดสิทธิมนุษยชนเกี่ยวกับสิทธิในความเป็นส่วนตัวอีกด้วย

นโยบายและแนวทางการจัดการ

ทอท. กำหนดนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. (AOT ICT Security Policy) นโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท. (AOT Cyber Security Policy) นโยบายการคุ้มครองข้อมูลส่วนบุคคล (AOT Personal Data Protection Policy) และนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท. (AOT Data Privacy Policy) สอดคล้องตามกฎหมายที่เกี่ยวข้อง พร้อมเผยแพร่นโยบายดังกล่าวให้แก่พนักงาน ทอท. และบุคคลภายนอกที่ปฏิบัติงานให้ ทอท. ได้รับทราบและตระหนักถึงความสำคัญในการรักษาความมั่นคงปลอดภัยเกี่ยวกับการใช้งานระบบเทคโนโลยีสารสนเทศและความเป็นส่วนตัว นอกจากนี้ ทอท. ได้ดำเนินการประเมินความเสี่ยงและทดสอบความปลอดภัยของระบบอย่างสม่ำเสมอ และได้รับการรับรองระบบการจัดการด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสาร ISO/IEC 27001:2013

1.

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท.
(AOT ICT Security Policy )

CIA

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. มุ่งเน้นให้ระบบเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. มีความมั่นคงปลอดภัยในการรักษาความลับ ความถูกต้องครบถ้วน และมีสภาพพร้อมใช้งาน โดยครอบคลุมถึงการเข้าถึงระบบสารสนเทศ ระบบเครือข่าย ระบบปฏิบัติการ และโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศ ซึ่งกำหนดให้ต้องมีการตรวจสอบและประเมินความเสี่ยง พร้อมจัดทำแผนฉุกเฉินเพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง พนักงานทุกระดับและบุคคลภายนอกที่ปฏิบัติงานร่วมกับ ทอท. ต้องรับทราบและปฏิบัติตามนโยบายนี้ นอกจากนี้ ทอท. มีกรรมการผู้อํานวยการใหญ่ของ ทอท. หรือผู้บริหารระดับสูงที่ได้รับมอบหมายเป็นผู้กำหนดนโยบายสนับสนุนแนวทางการปฏิบัติงาน ตลอดจนกำกับดูแล ควบคุม ตรวจสอบ และให้คำปรึกษา นโยบายดังกล่าวได้รับการทบทวนเป็นประจำอย่างน้อยปีละครั้งหรือเมื่อมีความจำเป็น ทั้งนี้ กรรมการผู้อํานวยการใหญ่ของ ทอท. เป็นผู้รับผิดชอบต่อความเสี่ยงและความเสียหายที่เกิดขึ้น กรณีที่ระบบเทคโนโลยีสารสนเทศและการสื่อสาร หรือสินทรัพย์สารสนเทศของ ทอท. เกิดความเสียหายใด ๆ แก่องค์กรหรือบุคคลใดบุคคลหนึ่ง อันเนื่องมาจากความบกพร่องของการปฏิบัติตามนโยบายดังกล่าว

ดูรายละเอียดเพิ่มเติม

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท

2.

นโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท.
(AOT Cyber Security Policy )

AOT ICT Security Policy

ในปี 2564 ทอท. กำหนดนโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท. เพื่อให้สามารถดำเนินการรักษาความมั่นคงปลอดภัยทางไซเบอร์ในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและนอกประเทศ ที่อาจก่อให้เกิดผลกระทบต่อการดำเนินงานหรือการให้บริการของ ทอท. ซึ่งส่งผลต่อความมั่นคงของรัฐ และความมั่นคงทางเศรษฐกิจ โดยสอดคล้องตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ของคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกำหนด

ดูรายละเอียดเพิ่มเติม

นโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท.

3.

นโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท.
(AOT Data Privacy Policy )

ทอท. กำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท. เพื่อให้ข้อมูลส่วนบุคคลของผู้ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์มีความมั่นคงและปลอดภัย ซึ่งครอบคลุมข้อมูลของพนักงาน ทอท. บุคคลภายนอกที่ปฏิบัติงานร่วมกับ ทอท. และผู้ใช้บริการ นโยบายดังกล่าวได้รับการทบทวนเป็นประจำอย่างน้อยปีละครั้งหรือเมื่อมีความจำเป็น โดยมีกรรมการผู้อํานวยการใหญ่ของ ทอท. หรือผู้บริหารระดับสูงที่ได้รับมอบหมายเป็นผู้กำหนดนโยบายสนับสนุนแนวทางการปฏิบัติงาน ตลอดจนกำกับดูแล ควบคุม ตรวจสอบ และให้คำปรึกษา การละเมิดหรือฝ่าฝืนนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท. ถือเป็นความผิดทางวินัยตามระเบียบข้อบังคับของ ทอท.
นโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท. มีความสอดคล้องกับ “พระราชกฤษฎีกากำหนดหลักเกณฑ์ และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ของภาครัฐ พ.ศ. 2549” “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่องแนวนโยบายและแนวปฏิบัติการในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานภาครัฐ พ.ศ. 2553” “หลักสากลว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขององค์การความร่วมมือและการพัฒนาทางเศรษฐกิจ (Organization for Economic Co-operation and Development: OECD)” และ “แนวปฏิบัติสากลด้านการคุ้มครอง ข้อมูลส่วนบุคคลและการส่งผ่านข้อมูลส่วนบุคคลระหว่างประเทศ (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)”

ดูรายละเอียดเพิ่มเติม

นโยบายในการคุ้มครองข้อมูลส่วนบุคคล

นโยบายข้อมูล

4.

นโยบายการคุ้มครองข้อมูลส่วนบุคคล
(AOT Personal Data Protection Policy )

ทอท. กำหนดให้ฝ่ายกลยุทธ์เทคโนโลยีสารสนเทศและการสื่อสารสายงานเทคโนโลยีสารสนเทศและการสื่อสาร ทำหน้าที่บริหารจัดการด้านเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูล รวมทั้งจัดกิจกรรมเพื่อตอบสนองต่อนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. นโยบายในการคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสาร โดยมีฝ่ายกลยุทธ์ฯ ทำหน้าที่ทบทวนแผนการดําเนินงานเป็นประจำทุกปี และรายงานผลต่อคณะกรรมการบริหารเทคโนโลยีสารสนเทศและการสื่อสาร ซึ่งมีกรรมการผู้อํานวยการใหญ่เป็นประธาน

ดูรายละเอียดเพิ่มเติม

นโยบายการคุ้มครองข้อมูลส่วนบุคคล ทบทวน ปีงบประมาณ 2567

ระบบการจัดการด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัว

(Information Security and Privacy Management System)

ทอท. กำหนดให้ฝ่ายกลยุทธ์เทคโนโลยีสารสนเทศและการสื่อสารสายงานเทคโนโลยีสารสนเทศและการสื่อสาร ทำหน้าที่บริหารจัดการด้านเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูล รวมทั้งจัดกิจกรรมเพื่อตอบสนองต่อนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. นโยบายในการคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสาร โดยมีฝ่ายกลยุทธ์ฯ ทำหน้าที่ทบทวนแผนการดําเนินงานเป็นประจำทุกปี และรายงานผลต่อคณะกรรมการบริหารเทคโนโลยีสารสนเทศและการสื่อสาร ซึ่งมีกรรมการผู้อํานวยการใหญ่เป็นประธาน รวมถึงกำหนดให้ความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารเป็นส่วนหนึ่งของการประเมินพนักงานภายในองค์กร

ดูรายละเอียดเพิ่มเติม

ISO/IEC 27001:2013 Certification

 AOT BCM Certificate of Registration

AOT BSI Certificate of Registration

กิจกรรมเด่น

ให้ความรู้ผ่านสื่อประชาสัมพันธ์ผ่านระบบ AOT STAFF

PDPA

ทอท. จัดทำสื่อประชาสัมพันธ์เกี่ยวกับความปลอดภัยด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัวผ่านระบบ AOT STAFF เพื่อเพิ่มความตระหนักรู้ของบุคลากร ทอท. ในเรื่องความปลอดภัยด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัว หัวข้อ สื่อประชาสัมพันธ์ที่ได้ทำการเผยแพร่ อาทิ

  • 10 เรื่องที่ประชาชนต้องรู้เกี่ยวกับ PDPA
  • พ.ร.บ. คุ้นครองข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิอะไรบ้าง
  • ใครเป็นใครใน PDPA
  • ข้อควรรู้เกี่ยวกับ Data Privacy
  • การประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับการจ้างงาน

การฝึกอบรมด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัว

กิจกรรมเตรียมความพร้อมเพื่อรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ปี 2566 ทอท.มีการดำเนินงานเพื่อเตรียมความพร้อมรองรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้

  • จัดฝึกอบรมการสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 แก่ผู้บริหารและพนักงาน ทอท. ใน 6 ท่าอากาศยานรวมสำนักงานใหญ่ เพื่อให้ความรู้และความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล การปฏิบัติตามให้สอดคล้องกับความต้องการของกฎหมาย มาตรการทั่วไปที่จำเป็นและมาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่องค์กรต้องนำมาปรับใช้งาน

การอบรมเพื่อเตรียมความพร้อมและให้ความรู้ในการพัฒนาระบบ ISMS

จัดฝึกอบรมเพื่อเตรียมความพร้อมและให้ความรู้ในการพัฒนาระบบ ISMS ของ ทอท. รวมถึงการสร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ตามโครงการจ้างที่ปรึกษาจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารของบริษัท ท่าอากาศยานไทย จำกัด (มหาชน) สำหรับโครงสร้างพื้นฐานสำคัญและกระบวนการที่รองรับการทำงานระบบบริหารทรัพยากรองค์กรตามมาตรฐาน ISO/IEC 27001 จำนวน 7 หลักสูตร ดังนี้

  1. การพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศและข้อกำหนดตามมาตรฐาน ISO/IEC 27001
  2. บทบาทของผู้เกี่ยวข้องในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศและข้อกำหนดตามมาตรฐาน ISO/IEC 27001
  3. การบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Management)
  4. การจัดทำระบบความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Information Security Lead Implementer)
  5. การดำเนินการตรวจสอบตามมาตรฐาน ISO/IEC 27001 (Information Security Management System Auditor/Lead Auditor)
  6. การสร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศสำหรับผู้บริหารและพนักงาน ทอท. ทั้ง 7 แห่ง ได้แก่ สนญ. ทดม. ทชม. ทภก. ทหญ. ทชร. และ ทสภ.
  7. การสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

เพื่อให้ความรู้เกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดการระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ตามที่ระบุไว้ในมาตรฐาน ISO/IEC 27001:2013 รวมถึงกฎหมาย กฎระเบียบ และนโยบายและแนวปฏิบัติความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสาร เพื่อให้พนักงาน ทอท.สามารถปฏิบัติตามได้อย่างถูกต้องเหมาะสม และได้ทราบประเด็นด้านกฎหมายที่เกี่ยวข้องด้านความมั่นคงปลอดภัยสารสนเทศ พร้อมทั้งมาตรการและแนวทางป้องกัน

การประเมินผลการจัดการ

ทอท. กำหนดให้มีการตรวจประเมินด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารตามมาตรฐาน ISO/IEC 27001:2013 โดยองค์กรอิสระภายนอก และติดตามจำนวนข้อร้องเรียนที่ได้รับจากผู้ใช้บริการ หน่วยงานภาครัฐ และหน่วยงานภายนอก รวมถึงกรณีการรั่วไหลหรือสูญหายของข้อมูลอย่างต่อเนื่อง เพื่อรายงานต่อคณะกรรมการบริหารเทคโนโลยีสารสนเทศและการสื่อสารเป็นประจำทุกไตรมาส ซึ่งมีกรรมการผู้อํานวยการใหญ่เป็นประธาน นอกจากนี้ ทอท. ยังได้พิจารณาออกมาตรการเพื่อลดความเสี่ยงและรักษาความเชื่อมั่นด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัวของผู้ใช้บริการ พร้อมเปิดเผยสถิติผลการดําเนินงานในรายงานการพัฒนาอย่างยั่งยืนเป็นประจำทุกปี

Home

ทบทวนล่าสุด ณ วันที่ 16 พฤษภาคม พ.ศ.2567