goal 09
Reduced Inequalities
GOAL 11 Sustainable Cities and Communities

ความปลอดภัยด้านเทคโนโลยีสารสนเทศ

และความเป็นส่วนตัว

icon stakeholder

ลูกค้า

icon stakeholder

พันธมิตรทางธุรกิจ

icon stakeholder

หน่วยงานกำกับดูแล

icon stakeholder

บุคลากรของ ทอท.

icon stakeholder

ผู้ถือหุ้น นักลงทุน และนักวิเคราะห์หลักทรัพย์

icon stakeholder

ชุมชนและสังคม

icon stakeholder

สื่อมวลชน และสื่อออนไลน์อื่น ๆ

ความสำคัญ

การใช้เทคโนโลยีดิจิทัลในการสนับสนุนให้บริการ การบริหารจัดการองค์กร และการปฏิบัติการของท่าอากาศยานที่เพิ่มสูงขึ้นในปัจจุบัน ทำให้ความปลอดภัยด้านเทคโนโลยีสารสนเทศ การรักษาเสถียรภาพในการใช้งาน และการปกป้องความเป็นส่วนตัวทวีความสำคัญมากขึ้น เนื่องจากหากเกิดปัญหาข้อมูลรั่วไหล ระบบหยุดชะงัก หรือการโจมตีทางไซเบอร์ อาจทำให้ผู้มีส่วนได้เสียได้รับความเสียหายและสูญเสียความเชื่อมั่นต่อ ทอท. รวมถึงยังอาจเป็นการละเมิดสิทธิมนุษยชนเกี่ยวกับสิทธิในความเป็นส่วนตัวอีกด้วย

นโยบายและแนวทางการจัดการ

ทอท. กําหนดนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. (AOT ICT Security Policy) นโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท. (AOT Cyber Security Policy) และนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท. (AOT Data Privacy Policy) สอดคล้องตามกฎหมายที่เกี่ยวข้อง พร้อมเผยแพร่นโยบายดังกล่าวให้กับพนักงาน ทอท. และบุคคลภายนอกที่ปฏิบัติงานให้ ทอท. ได้รับทราบและตระหนักถึงความสําคัญในการรักษาความมั่นคงปลอดภัยเกี่ยวกับการใช้งานระบบเทคโนโลยีสารสนเทศและความเป็นส่วนตัว นอกจากนี้ ทอท. ได้ดำเนินการประเมินความเสี่ยงและทดสอบความปลอดภัยของระบบอย่างสม่ำเสมอ และได้รับการรับรองระบบการจัดการด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสาร ISO/IEC 27001:2013

1.

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท.

(AOT ICT Security Policy)

CIA

        นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. มุ่งเน้นให้ระบบเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. มีความมั่นคงปลอดภัยในการรักษาความลับ ความถูกต้องครบถ้วน และมีสภาพพร้อมใช้งาน โดยครอบคลุมถึงการเข้าถึงระบบสารสนเทศ ระบบเครือข่าย ระบบปฏิบัติการ และโปรแกรมประยุกต์หรือแอปพลิเคชันและสารสนเทศ ซึ่งกำหนดให้ต้องมีการตรวจสอบและประเมินความเสี่ยง พร้อมจัดทำแผนฉุกเฉินเพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง
        พนักงานทุกระดับและบุคคลภายนอกที่ปฏิบัติงานร่วมกับ ทอท. ต้องรับทราบและปฏิบัติตามนโยบายนี้ นอกจากนี้ ทอท. มีกรรมการผู้อํานวยการใหญ่ของ ทอท. หรือผู้บริหารระดับสูงที่ได้รับมอบหมายเป็นผู้กําหนดนโยบายสนับสนุนแนวทางการปฏิบัติงาน ตลอดจนกํากับดูแล ควบคุม ตรวจสอบ และให้คําปรึกษา นโยบายดังกล่าวได้รับการทบทวนเป็นประจําอย่างน้อยปีละครั้งหรือเมื่อมีความจําเป็น ทั้งนี้ กรรมการผู้อํานวยการใหญ่ของ ทอท. เป็นผู้รับผิดชอบต่อความเสี่ยงและความเสียหายที่เกิดขึ้น กรณีที่ระบบเทคโนโลยีสารสนเทศและการสื่อสาร หรือสินทรัพย์สารสนเทศของ ทอท. เกิดความเสียหายใด ๆ แก่องค์กรหรือบุคคลใดบุคคลหนึ่ง อันเนื่องมาจากความบกพร่องของการปฏิบัติตามนโยบายดังกล่าว

เป้าหมายของนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีและสารสนเทศและการสื่อสารของ ทอท.

AOT ICT Security Policy

ดูรายละเอียดเพิ่มเติม

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท.

2.

นโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท.

(AOT Cyber Security Policy)

ในปี 2564 ทอท. กำหนดนโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท. เพื่อให้สามารถดำเนินการรักษาความมั่นคงปลอดภัยทางไซเบอร์ในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอกประเทศ ที่อาจก่อให้เกิดผลกระทบต่อการดำเนินงานหรือการให้บริการของ ทอท. ซึ่งส่งผลต่อความมั่นคงของรัฐ และความมั่นคงทางเศรษฐกิจ โดยสอดคล้องตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ของคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติกำหนด

ดูรายละเอียดเพิ่มเติม

นโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท.

3.

นโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท.

(AOT Data Privacy Policy)

ทอท. กําหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท. เพื่อให้ข้อมูลส่วนบุคคลของผู้ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์มีความมั่นคงและปลอดภัย ซึ่งครอบคลุมข้อมูลของพนักงาน บุคคลภายนอกที่ปฏิบัติงานร่วมกับ ทอท. และผู้ใช้บริการ โดยนโยบายดังกล่าวได้รับการทบทวนเป็นประจําอย่างน้อยปีละครั้งหรือเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ โดยมีกรรมการผู้อํานวยการใหญ่ของ ทอท. หรือผู้บริหารระดับสูงที่ได้รับมอบหมายเป็นผู้กําหนดนโยบายสนับสนุนแนวทางการปฏิบัติงาน ตลอดจนกํากับดูแล ควบคุม ตรวจสอบ และให้คําปรึกษา การละเมิดหรือฝ่าฝืนนโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท. ถือเป็นความผิดทางวินัยตามระเบียบข้อบังคับของ ทอท.

นโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท. มีความสอดคล้องกับ “พระราชกฤษฎีกากําหนดหลักเกณฑ์ และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ของภาครัฐ พ.ศ. 2549” “ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติการในการคุ้มครองข้อมูลส่วนบุคคลของหน่วยงานภาครัฐ พ.ศ. 2553” “หลักสากลว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลขององค์การความร่วมมือและการพัฒนาทางเศรษฐกิจ (Organization for Economic Co-operation and Development: OECD)” และแนวปฏิบัติด้านการ “คุ้มครองความเป็นส่วนตัวและการโอนข้อมูลส่วนบุคคลระหว่างประเทศ (Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Data)” เรียกโดยย่อว่า OECD Guidelines

ดูรายละเอียดเพิ่มเติม

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

(AOT Personal Data Protection Policy)

ในปี 2565 ทอท. ได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคลเพื่อให้มั่นใจได้ว่า ทอท. จะธำรงไว้ซึ่งความลับ ความถูกต้องครบถ้วน และสภาพพร้อมใช้งานของข้อมูลส่วนบุคคล และเกิดความสอดคล้องตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีเนื้อหาครอบคลุมหัวข้อต่าง ๆ เช่น ขอบเขตการบังคับใช้ นิยาม การเก็บรวบรวมข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูลส่วนบุคคล ระยะเวลาในการเก็บข้อมูล การให้บริการโดยบุคคลที่สามหรือผู้ให้บริการช่วง และการรักษาความปลอดภัยส่วนบุคคล พร้อมกำหนดช่องทางการติดต่อเพื่อแสดงความคิดเห็น สอบถามข้อมูลเพิ่มเติม หรือใช้สิทธิตามกฎหมาย นอกจากนี้ยังได้จัดทำแนวปฏิบัติสำหรับการดำเนินการของผู้ควบคุมข้อมูลส่วนบุคคลของ ทอท. เพื่อสื่อสารให้แก่พนักงานที่เกี่ยวข้อง รวมถึงประกาศความเป็นส่วนตัว และแบบฟอร์มที่เกี่ยวข้องในการคุ้มครองข้อมูลส่วนบุคคล เพื่อใช้ในการสื่อสารต่อสาธารณะอีกด้วย

ดูรายละเอียดเพิ่มเติม

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

ระบบการจัดการด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัว

ทอท. กําหนดให้ฝ่ายกลยุทธ์เทคโนโลยีสารสนเทศและการสื่อสารสายงานเทคโนโลยีสารสนเทศและการสื่อสาร ทําหน้าที่บริหารจัดการด้านเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูล รวมทั้งจัดกิจกรรมเพื่อตอบสนองต่อนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. นโยบายในการคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสาร โดยมีฝ่ายกลยุทธ์ฯ ทำหน้าที่ทบทวนแผนการดําเนินงานเป็นประจําทุกปี และรายงานผลต่อคณะกรรมการบริหารเทคโนโลยีสารสนเทศและการสื่อสาร ซึ่งมีกรรมการผู้อํานวยการใหญ่เป็นประธาน

ดูรายละเอียดเพิ่มเติม

ISO/IEC 27001:2013 Certification

AOT BCM Certificate of Registration

AOT BSI Certificate of Registration

กิจกรรมเด่น

สื่อประชาสัมพันธ์ผ่านระบบ AOT STAFF

ทอท. จัดทำสื่อประชาสัมพันธ์เกี่ยวกับความปลอดภัยด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัวผ่านระบบ AOT STAFF เพื่อเพิ่มความตระหนักรู้ของบุคลากร ทอท. ในเรื่องความปลอดภัยด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัว หัวข้อ
สื่อประชาสัมพันธ์ที่ได้ทำการเผยแพร่ เช่น

  • 10 เรื่องที่ประชาชนต้องรู้เกี่ยวกับ PDPA
  • พ.ร.บ. คุ้นครองข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิอะไรบ้าง
  • ใครเป็นใครใน PDPA
  • ข้อควรรู้เกี่ยวกับ Data Privacy
  • การประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับการจ้างงาน
สมส.ฝกท.-วันที่ 9 มิ.ย.65

การฝึกอบรมด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัว

กิจกรรมเตรียมความพร้อมเพื่อรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ปี 2565 ทอท.มีการดำเนินงานเพื่อเตรียมความพร้อมรองรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ดังนี้

  • จัดฝึกอบรมการสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคล ตาม พ.ร.บ. คุ้มครองข้อมูลล่วนบุคคล พ.ศ. 2562 แก่ผู้บริหารและพนักงาน ทอท. ใน 6 ท่าอากาศยานรวมสำนักงานใหญ่ เพื่อให้ความรู้และความเข้าใจเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล การปฏิบัติตามให้สอดคล้องกับความต้องการของกฎหมาย มาตรการทั่วไปที่จำเป็นและมาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่องค์กรต้องนำมาปรับใช้งาน

การอบรมเพื่อเตรียมความพร้อมและให้ความรู้ในการพัฒนาระบบ ISMS

      จัดฝึกอบรมเพื่อเตรียมความพร้อมและให้ความรู้ในการพัฒนาระบบ ISMS ของ ทอท. รวมถึงการสร้างความตระหนักด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ตามโครงการจ้างที่ปรึกษาจัดทำระบบบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารของบริษัท ท่าอากาศยานไทย จำกัด (มหาชน) สำหรับโครงสร้างพื้นฐานสำคัญและกระบวนการที่รองรับการทำงานระบบบริหารทรัพยากรองค์กรตามมาตรฐาน ISO/IEC 27001 จำนวน 7 หลักสูตร ดังนี้

  1. การพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศและข้อกำหนดตามมาตรฐาน ISO/IEC 27001
  2. บทบาทของผู้เกี่ยวข้องในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศและข้อกำหนดตามมาตรฐาน ISO/IEC 27001
  3. การบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Risk Management)
  4. การจัดทำระบบความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO/IEC 27001 (Information Security Lead Implementer)
  5. การดำเนินการตรวจสอบตามมาตรฐาน ISO/IEC 27001 (Information Security Management System Auditor/Lead Auditor)
  6. การสร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศสำหรับผู้บริหารและพนักงาน ทอท. ทั้ง 7 แห่ง ได้แก่ สนญ. ทดม. ทชม. ทภก. ทหญ. ทชร. และ ทสภ.
  7. การสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

      เพื่อให้ความรู้เกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดการระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ตามที่ระบุไว้ในมาตรฐาน ISO/IEC 27001:2013 รวมถึงกฎหมาย กฎระเบียบ และนโยบายและแนวปฏิบัติความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสาร เพื่อให้พนักงาน ทอท.สามารถปฏิบัติตามได้อย่างถูกต้องเหมาะสม และได้ทราบประเด็นด้านกฎหมายที่เกี่ยวข้องด้านความมั่นคงปลอดภัยสารสนเทศ พร้อมทั้งมาตรการและแนวทางป้องกัน

การประเมินผลการจัดการ

ทอท. กําหนดให้มีการตรวจประเมินด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารตามมาตรฐาน ISO/IEC 27001:2013 โดยองค์กรอิสระภายนอก และติดตามจํานวนข้อร้องเรียนที่ได้รับจากผู้ใช้บริการ หน่วยงานภาครัฐ และหน่วยงานภายนอก รวมถึงกรณีการรั่วไหลหรือสูญหายของข้อมูลอย่างต่อเนื่อง เพื่อรายงานต่อคณะกรรมการบริหารเทคโนโลยีสารสนเทศและการสื่อสารเป็นประจําทุกไตรมาส ซึ่งมีกรรมการผู้อํานวยการใหญ่เป็นประธาน นอกจากนี้ ทอท. ยังได้พิจารณาออกมาตรการเพื่อลดความเสี่ยงและรักษาความเชื่อมั่นด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัวของผู้ใช้บริการ พร้อมเปิดเผยสถิติผลการดําเนินงานในรายงานการพัฒนาอย่างยั่งยืนเป็นประจําทุกปี

หน้าหลัก

ทบทวนล่าสุด ณ วันที่ 25 สิงหาคม พ.ศ.2566