การบริหารจัดการความเสี่ยงและวิกฤติ และความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล

ผลกระทบต่อธุรกิจ (GRI3-3)

การบริหารจัดการความเสี่ยงและวิกฤต รวมถึงความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล เป็นประเด็นสาระสำคัญที่ส่งผลกระทบโดยตรงต่อการดำเนินธุรกิจของบริษัท ความน่าเชื่อถือขององค์กร และความเชื่อมั่นของผู้มีส่วนได้เสียตลอดห่วงโซ่คุณค่า
หากการบริหารจัดการความเสี่ยงขาดประสิทธิภาพ อาจก่อให้เกิดความเสียหายด้านการดำเนินงาน การเงิน ชื่อเสียง และความเชื่อถือจากนักลงทุน ลูกค้า คู่ค้า พนักงาน และหน่วยงานกำกับดูแล ในทางกลับกัน การบริหารความเสี่ยงอย่างเป็นระบบช่วยลดความรุนแรงและความถี่ของเหตุการณ์ที่อาจส่งผลกระทบต่อโครงการพลังงานหมุนเวียน สนับสนุนความต่อเนื่องทางธุรกิจ และเพิ่มขีดความสามารถในการปรับตัวต่อความไม่แน่นอนด้านนโยบาย เทคโนโลยี และสภาพแวดล้อมทางธุรกิจ
บริษัทจึงการให้ความสำคัญกับความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล เพื่อช่วยสร้างความมั่นใจแก่ผู้มีส่วนได้เสียว่าข้อมูลสำคัญได้รับการดูแลอย่างเหมาะสม เสริมสร้างความไว้วางใจ ความน่าเชื่อถือ และความสัมพันธ์ในระยะยาว ซึ่งเป็นปัจจัยสำคัญในการรักษาความสามารถในการแข่งขัน สนับสนุนการเติบโตอย่างยั่งยืน และเพิ่มมูลค่าให้กับธุรกิจในระยะยาว

ความท้าทายและโอกาส (GRI3-3)

ความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลมีแนวโน้มทวีความซับซ้อนมากขึ้นตามการใช้เทคโนโลยีดิจิทัล ซึ่งอาจส่งผลต่อความต่อเนื่องทางธุรกิจ ความน่าเชื่อถือของระบบสารสนเทศ และความเชื่อมั่นของผู้มีส่วนได้เสีย

อย่างไรก็ตาม ความท้าทายดังกล่าวเป็นโอกาสสำคัญในการยกระดับระบบบริหารจัดการความเสี่ยงและการรับมือกับวิกฤตให้มีความเข้มแข็งและเป็นระบบมากยิ่งขึ้น บริษัทจึงมุ่งเน้นการติดตามภัยคุกคามอย่างใกล้ชิด การปรับใช้มาตรการด้านความมั่นคงปลอดภัยที่สอดคล้องกับมาตรฐานสากล และการเสริมสร้างวัฒนธรรมองค์กรด้านความปลอดภัยของข้อมูล เพื่อสนับสนุนความยืดหยุ่นและความสามารถในการแข่งขันในระยะยาว

ความมุ่งมั่น (GRI3-3)

บริษัทมุ่งมั่นบริหารจัดการความเสี่ยงและความมั่นคงปลอดภัยทางไซเบอร์อย่างเป็นระบบและบูรณาการ ครอบคลุมตั้งแต่การกำหนดนโยบาย โครงสร้างการกำกับดูแล กระบวนการบริหารความเสี่ยง การติดตามผล และการบริหารความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risks) เพื่อสนับสนุนเสถียรภาพและความต่อเนื่องของการดำเนินธุรกิจ

บริษัทให้ความสำคัญกับการเสริมสร้างวัฒนธรรมองค์กรด้านการบริหารความเสี่ยงและความปลอดภัยของข้อมูล ผ่านการสื่อสาร การเรียนรู้ และการยกระดับศักยภาพของพนักงานในทุกระดับ เพื่อสนับสนุนการตัดสินใจอย่างรอบคอบและการเติบโตอย่างยั่งยืน

แนวทางการบริหารจัดการ (GRI3-3, 201-2)

การบริหารความเสี่ยง

บริษัทได้ดำเนินการบริหารจัดการความเสี่ยงทั่วทั้งองค์กร (Enterprise Risk Management: ERM) โดยยึดถือแนวปฏิบัติตามมาตรฐานสากล COSO (The Committee of Sponsoring Organizations of the Treadway Commission) หรือ COSO-ERM 2017 Framework ซึ่งเป็นกรอบที่ช่วยในการจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ (Risk Appetite / Risk Tolerance) บริษัทได้จัดทำนโยบายและจัดตั้งคณะทำงานบริหารความเสี่ยง ประกอบด้วยผู้บริหารจากทุกสายงาน อาทิ สายงานวางแผนธุรกิจ สายงานวิศวกรรม ฝ่ายเดินเครื่องและบำรุงรักษา ผู้จัดการโรงไฟฟ้า เป็นผู้ได้รับมอบหมายในการจัดทำแผนการบริหารความเสี่ยงรายปี เพื่อให้การจัดการความเสี่ยงนั้นครอบคลุมมิติความเสี่ยงด้านกลยุทธ์ ด้านการดำเนินงาน ด้านการเงิน ด้านกฎหมายและกฎระเบียบ รวมถึงความเสี่ยงด้านสิ่งแวดล้อม สังคม และการกำกับดูแล (ESG Risk) และความเสี่ยงที่เกิดขึ้นใหม่ (Emerging Risks) ของบริษัท ตลอดจนกำหนดให้มีการรายงานผลการบริหารความเสี่ยงทุกๆ 3 เดือนหรือทุกไตรมาส เพื่อประเมินและติดตามมาตรการจัดการความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ เพื่อเตรียมความพร้อมและตอบสนองต่อการเปลี่ยนแปลงต่าง ๆ ที่อาจส่งผลต่อการดำเนินธุรกิจได้อย่างเหมาะสมและทันท่วงทีโดยมีการจัดประชุมคณะกรรมการบรรษัทภิบาลบริหารความเสี่ยงและการพัฒนาอย่างยั่งยืนจำนวน 4 ครั้งต่อปี เพื่อพิจารณาระเบียบวาระสำคัญและกำกับดูแลบริหารความเสี่ยงอย่างรอบด้าน

นโยบายการบริหารความเสี่ยง
ดาวน์โหลด
บริษัทประเมินความเสี่ยง 4 ด้าน
1
ความเสี่ยงด้านกลยุทธ์
2
ความเสี่ยงด้านการดำเนินงาน
3
ความเสี่ยงด้านการเงิน
4
ความเสี่ยงด้านกฏหมาย
และกฏระเบียบข้อบังคับ
โครงสร้างการบริหารความเสี่ยง (GRI2-12)

บริษัทได้จัดโครงสร้างการบริหารความเสี่ยง โดยคณะกรรมการบริษัทได้มีการแต่งตั้งคณะกรรมการบรรษัทภิบาล บริหารความเสี่ยงและการพัฒนาอย่างยั่งยืน เพื่อทำหน้าที่สำคัญในการพิจารณาและอนุมัติการบริหารความเสี่ยงของบริษัทและบริษัทในเครือ ทั้งในด้านการกำหนดนโยบาย การให้คำแนะนำ และทวนสอบการบริหารความเสี่ยงให้มีประสิทธิภาพ นอกจากนี้ บริษัทมอบหมายให้ แผนกตรวจสอบภายใน ซึ่งมีความเป็นอิสระจากคณะทำงานบริหารความเสี่ยง ทำหน้าที่ติดตามและสอบทานกระบวนการบริหารความเสี่ยงของบริษัทอีกชั้นหนึ่ง เพื่อเสริมสร้างความมั่นใจในความเหมาะสมและประสิทธิภาพของบริหารความเสี่ยงขององค์กร โครงสร้างดังกล่าวสะท้อนถึงความมุ่งมันของบริษัทในการจัดการความเสี่ยงอย่างเป็นระบบ โปร่งใส และสอดคล่องกับทางการการกำกับดูแลกิจการที่ดี (Good Corporate Governance)

กระบวนการจัดการความเสี่ยง (Risk Management Process) (GRI201-2)

บริษัทได้นำ กระบวนการบริหารความเสี่ยง มาเป็นเครื่องมือในการระบุ วิเคราะห์ และจัดการกับความเสี่ยงที่จะอาจส่งผลกระทบต่อการดำเนินธุรกิจ เพื่อให้การบริหารความเสี่ยงเป็นไปอย่างมีประสิทธิภาพ บริษัทมีการแบ่งกระบวนการบริหารความเสี่ยงออกเป็น 6 ขั้นตอน ดังต่อไปนี้

1
การเตรียมข้อมูล (Preparation):
การรวบรวมและจัดเตรียมข้อมูลพื้นฐานที่เกี่ยวข้องกับความเสี่ยง
2
ระบุความเสี่ยง (Risk Identification):
การค้นหาและระบุความเสี่ยงที่อาจเกิดขึ้นจากกิจกรรมและกระบวนการของธุรกิจ
3
ประเมินความเสี่ยง (Risk Assessment):
การวิเคราะห์และประเมินระดับความรุนแรงและความน่าจะเป็นของความเสี่ยง
4
ระบุการควบคุม (Control Identification):
การพิจารณามาตรการแนวทางในการควบคุมและลดกระทบจากความเสี่ยง
5
แผนภาพความเสี่ยง (Risk Profile):
การจัดทำภาพรวมของความเสี่ยงและลำดับความสำคัญของแต่ละประเด็นความเสี่ยง
6
การติดตามการบริหารความเสี่ยง (Risk Monitoring):
การจัดทำภาพรวมของความเสี่ยงและลำดับความสำคัญของแต่ละประเด็นความเสี่ยง

กระบวนการบริหารภาวะวิกฤตและความต่อเนื่องทางธุรกิจ

เพื่อสร้างความมั่นใจให้กับผู้มีส่วนได้เสียในทุกขั้นตอนของห่วงโซ่คุณค่า และสนับสนุนการดำเนินธุรกิจอย่างต่อเนื่องภายใต้การกำกับดูแลกิจการที่ดี บริษัทได้จัดทำนโยบายการบริหารจัดการความต่อเนื่องทางธุรกิจ พร้อมทั้งพัฒนา แผนบริหารจัดการความต่อเนื่องทางธุรกิจ (Business Continuous Plan : BCP) ควบคู่ไปกับ แผนฉุกเฉิน (Emergency Response Plan) และแผนบริหารจัดการภาวะวิกฤต (Crisis Management Plan) เพื่อรองรับความเสี่ยงที่อาจทำให้ธุรกิจหยุดชะงัก

บริษัทให้ความสำคัญกับการเตรียมความพร้อมผ่านการจัดการฝึกอบรมและการฝึกซ้อมแผนต่างๆ เป็นประจำทุกปี เพื่อเพิ่มขีดความสามารถในการตอบสนองต่อสถานการณ์ฉุกเฉินหรือวิกฤตได้อย่างมีประสิทธิภาพ กระบวนการบริหารจัดการเหล่านี้ครอบคลุมความเสี่ยงรอบด้าน ทั้งด้านการผลิตและการจำหน่ายไฟฟ้าจากแหล่งพลังงานประเภทต่างๆ โดยมุ่งมั่นดำเนินการตามมาตรฐานสากล เพื่อให้การดำเนินธุรกิจเป็นไปอย่างต่อเนื่องและมีเสถียรภาพพร้อมตอบสนองต่อความต้องการของผู้มีส่วนได้เสียอย่างมั่นคงและยั่งยืน

ผลการดำเนินงานความเสี่ยงในปี 2568

บริษัท พบว่า ความเสี่ยงส่วนใหญ่อยู่ในระดับปานกลาง อย่างไรก็ตาม มี 3 ประเด็นความเสี่ยงระดับสูงมาก ได้แก่ ความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ ความเสี่ยงจากเหตุขัดข้องของระบบไอที ความเสี่ยงด้านอุปกรณ์และเครื่องจักรไม่พร้อมใช้งาน

สำหรับประเด็นความเสี่ยงนี้ บริษัทได้จัดทำ แผนการบริหารความเสี่ยง (Mitigation Plan) อย่างรอบคอบ โดยกำหนดผู้รับผิดชอบในการบริหารจัดการความเสี่ยงที่ชัดเจน พร้อมทั้งระบุระยะเวลาและกระบวนการติดตามผลการจัดการความเสี่ยงในแต่ละด้าน เพื่อให้มั่นใจว่าทุกสถานการณ์ความเสี่ยงจะได้รับการจัดการอย่างมีประสิทธิภาพและลดผลกระทบต่อธุรกิจให้น้อยที่สุด

ความเสี่ยงที่เกิดขึ้นใหม่ ปี 2568

บริษัทให้ความสำคัญอย่างยิ่งต่อการระบุและจัดการความเสี่ยงที่เกิดขึ้นใหม่ ซึ่งอาจส่งผลกระทบต่อการดำเนินธุรกิจทั้งในระยะสั้น ระยะกลาง และระยะยาว ความเสี่ยงเหล่านี้สามารถส่งผลต่อความต่อเนื่องของธุรกิจ ความสามารถในการแข่งขัน และความยั่งยืนขององค์กร ทั้งในมิติของความท้าทายที่ต้องรับมือและโอกาสที่อาจเกิดขึ้นจากการบริหารจัดการความเสี่ยงอย่างมีประสิทธิภาพ

จากการประเมินและวิเคราะห์ความเสี่ยงที่ครอบคลุม บริษัทได้ระบุความเสี่ยงที่เกิดขึ้นใหม่ที่สำคัญ ซึ่งจำเป็นต้องได้รับการติดตามและดำเนินการอย่างเหมาะสมเพื่อสนับสนุนการเติบโตและเสริมสร้างความยั่งยืนให้กับองค์กรในระยะยาว ดังนี้

ประเด็นความเสี่ยง กรอบเวลาที่เกิดผลกระทบ คำอธิบายของความเสี่ยง ผลกระทบที่อาจเกิดขึ้นต่อธุรกิจ แนวทางการจัดการ/โอกาส
การเปลี่ยนแปลงทางเทคโนโลยีด้านพลังงาน ระยะสั้น-ระยะยาว การเปลี่ยนแปลงทางเทคโนโลยีด้านพลังงานมีแนวโน้มตอบสนองต่อพฤติกรรมการใช้พลังงานที่เปลี่ยนแปลง รวมถึงนวัตกรรมใหม่ เช่น พลังงานทดแทน ระบบกักเก็บพลังงาน ไฮโดรเจนสีเขียว และแอมโมเนียสีเขียว ซึ่งอาจส่งผลกระทบต่อการลงทุนและโอกาสการแข่งขันในอนาคต ความล่าช้าในการปรับตัวต่อเทคโนโลยีใหม่ อาจทำให้บริษัทสูญเสียโอกาสในการแข่งขัน และมีต้นทุนที่สูงขึ้นในการพัฒนาเทคโนโลยีหรือปรับปรุงระบบที่ล้าสมัย
  • จัดตั้งทีมงาน เพื่อศึกษานวัตกรรมพลังงานใหม่และกฎระเบียบที่เกี่ยวข้อง พร้อมทั้งพิจารณาการพัฒนาโรงไฟฟ้าพลังงานน้ำแบบสูบกลับ (Pump-Storage) และรองรับโอกาสทางธุรกิจจากความต้องการ Energy Storage System ขนาดใหญ่ในอนาคต
  • ศึกษากฎระเบียบ ข้อบังคับ และกฎหมายที่อาจจะเกี่ยวข้องทั้งของประเทศไทย และภูมิภาคอาเซียน เพื่อแสวงหาโอกาสใหม่ รวมถึงลดข้อจำกัดต่าง ๆ ที่อาจเกิดขึ้นระหว่างการดำเนินธุรกิจ
  • กำหนดประเด็นความยืดหยุ่นในการดำเนินธุรกิจ (Business Model Resilience) เป็นหนึ่งในประเด็นสำคัญในการดำเนินธุรกิจอย่างยั่งยืน และได้มีการจัดทำกลยุทธ์พร้อมทั้งกำหนดแนวทางและกรอบการดำเนินงานในระยะ 5 ปี (2565-2659) เพื่อให้เกิดการดำเนินงานอย่างเป็นรูปธรรม พร้อมทั้งมีหน่วยงานรับผิดชอบเพื่อขับเคลื่อนการและติดตามดำเนินงานที่ชัดเจน
ความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล ระยะสั้น-ระยะยาว ภัยคุกคามทางไซเบอร์ที่อาจทำให้ข้อมูลสำคัญของบริษัท เช่น ข้อมูลทางการเงินและข้อมูลที่มีความละเอียดอ่อน รั่วไหลหรือสูญหาย ซึ่งอาจนำมาซึ่งค่าใช้จ่ายในการกู้ข้อมูลและความเสียหายต่อชื่อเสียง ค่าใช้จ่ายที่เพิ่มขึ้นจากการกู้ข้อมูลที่ถูกขโมย ความเสียหายต่อชื่อเสียง และผลกระทบต่อความเชื่อมั่นของผู้มีส่วนได้เสีย
  • จัดทำนโยบายและแนวปฏิบัติด้านระบบสารสนเทศและความมั่นคงปลอดภัยอย่างครบถ้วน ครอบคลุมนโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศ การอนุญาตให้ใช้งานเทคโนโลยีสารสนเทศ คู่มือระบบบริหารจัดการความมั่นคงปลอดภัย และแนวปฏิบัติด้านเทคโนโลยีสารสนเทศ
  • นำมาตรฐาน ISO/IEC 27001:2022 และ NIST Cybersecurity Framework 2.0 มาใช้ พร้อมรับการตรวจประเมินประจำปีโดยผู้ตรวจประเมินทั้งภายในและภายนอก (ระดับ Tier 3)
  • เสริมสร้างความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลแก่ผู้บริหารและพนักงาน ผ่านการอบรมและการสื่อสารอย่างต่อเนื่อง
  • ดำเนินการทดสอบ Phishing Email เป็นประจำ และนำผลไปปรับปรุงมาตรการควบคุมและพัฒนาศักยภาพพนักงานอย่างต่อเนื่อง
การสร้างวัฒนธรรมความเสี่ยงในองค์กร

บริษัทให้ความสำคัญต่อการส่งเสริมวัฒนธรรมการบริหารความเสี่ยงที่ดีทั่วทั้งองค์กร โดยได้กำหนดนโยบายและแนวทางในการดำเนินงานที่ชัดเจน พร้อมทั้งใช้ ดัชนีชี้วัดผลการดำเนินงาน (Key Performance Index: KPI) ซึ่งประกอบด้วย ตัวชี้วัดนํา (Leading Indicators) และตัวชี้วัดตาม (Lagging Indicators) มาใช้ในการประเมินและติดตามผลของการบริหารความเสี่ยง เพื่อสร้างแรงจูงใจและความมั่นใจในความความสำเร็จขององค์สู่เป้าหมายด้วยการบริหารความเสี่ยงที่มีประสิทธิภาพ นอกจากนี้บริษัทได้สนับสนุนการสร้างวัฒนธรรมการบริหารความเสี่ยงทั่วทั้งองค์กร โดยการสร้างความตระหนักรู้ให้แก่พนังงาน ผ่านกิจกรรมการจัดอบรมและการบรรยาย

ในปี 2568 บริษัทมีกิจกรรมเพื่อส่งเสริมวัฒนธรรมการบริหารความเสี่ยง ดังนี้

  1. การจัดการอบรมและบรรยาย
    • บริษัทได้จัดอบรมในหัวข้อ Sustainability Trends and ESG Risks 2025 โดย บริษัท อีอาร์เอ็ม (สยาม) จำกัด (ERM) ให้กรรมการบริษัท โดยในการอบรมครั้งนี้มีเป้าหมายเพื่อเสริมความเข้าใจเกี่ยวกับแนวโน้มพร้อมทั้งเน้นการตระหนักรู้ถึงความเสี่ยงด้านความยั่งยืนซึ่งเป็นความเสี่ยงเชิงกลยุทธ์สำคัญของบริษัท และรวมถึงสร้างความเข้าใจถึงข้อกำหนดการเปิดเผยข้อมูลที่เปลี่ยนแปลงอยู่ตลอด พร้อมนำเสนอข้อมูลเกี่ยวกับภาพรวมและแนวโน้มความเสี่ยงด้านความยั่งยืน รวมถึงมุ่งเน้นเรื่องมาตรฐานการเปิดเผยข้อมูลทางการเงินที่เกี่ยวข้องกับความยั่งยืน (IFRS S1) มาตรฐานการเปิดเผยข้อมูลที่เกี่ยวข้องกับสภาพภูมิอากาศ (IFRS S2) การนำนโยบายสู่การปฎิบัติผ่านการดำเนินงานอย่างยั่งยืน ในเรื่องแผนการมีส่วนร่วมของผู้มีส่วนได้เสีย เป็นต้น การอบรมดังกล่าวถือเป็นส่วนหนึ่งของความพยายามในการสร้างความตระหนักรู้และเตรียมความพร้อมให้แก่กรรมการทุกท่าน เพื่อสนับสนุนการบริหารความเสี่ยงอย่างมีประสิทธิภาพและสอดคล้องกับแนวทางการพัฒนาที่ยั่งยืนของบริษัทในระยะยาว

      การอบรมหัวข้อ : Sustainability Trends and ESG Risks 2025

    • บริษัทมีการจัดอบรมในหัวข้อ การบริหารความเสี่ยงด้านการละเมิดข้อมูลส่วนบุคคล ให้แก่ผู้บริหารและพนักงาน โดยบริษัท ดีบีซี กรุ๊ป จำกัด เพื่อเสริมสร้างวัฒนธรรมองค์กรด้านการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยของข้อมูล การอบรมมุ่งเน้นการสร้างความรู้ความเข้าใจพื้นฐานเกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) บทบาทและหน้าที่ของผู้บริหารและพนักงานในการปฏิบัติตามกฎหมาย การประเมินความเสี่ยงด้านข้อมูลส่วนบุคคลในกระบวนการทำงานของแต่ละหน่วยงาน ตลอดจนแนวทางการป้องกัน การจัดการ และการตอบสนองเมื่อเกิดเหตุการณ์ละเมิดข้อมูล เพื่อยกระดับความตระหนักรู้และความสามารถในการบริหารความเสี่ยงด้านข้อมูลส่วนบุคคลอย่างเหมาะสม

      การอบรมหัวข้อ : การบริหารความเสี่ยงด้านการละเมิดข้อมูลส่วนบุคคล

  2. การสื่อสาร ผ่านช่องทางต่างๆ
    • วารสารการกำกับดูแลกิจการที่ดี (Compliance Journal)
      บริษัทเผยแพร่ข้อมูลด้านการบริหารความเสี่ยงและหลักการกำกับดูแลกิจการที่ดีผ่านช่องทางการสื่อสารภายในอย่างต่อเนื่อง โดยในปี 2568 บริษัทได้จัดทำวารสารการกำกับดูแลกิจการที่ดี (Compliance Journal) เพื่อสร้างความตระหนักรู้ในประเด็นสำคัญ อาทิ การป้องกันการทุจริตคอร์รัปชัน หลักการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยงด้านการละเมิดข้อมูลส่วนบุคคล และกฎหมายที่เกี่ยวข้องกับการดำเนินธุรกิจ เนื้อหาถูกนำเสนอในรูปแบบที่เข้าใจง่าย พร้อมตัวอย่างกรณีศึกษาที่สำคัญ รวมถึงกิจกรรมตอบคำถามและเกม เพื่อส่งเสริมการมีส่วนร่วมและประเมินระดับความเข้าใจของกรรมการ ผู้บริหาร และพนักงานทั่วทั้งองค์กร
    • หลักสูตรการเรียนรู้แบบ E-Learning
      บริษัทได้พัฒนาหลักสูตรการเรียนรู้แบบ E-Learning สำหรับพนักงานทุกระดับ เพื่อส่งเสริมการเรียนรู้ด้วยตนเองในหัวข้อสำคัญ เช่น
      1. การจัดการความเสี่ยงทางกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA)
      2. ความเสี่ยงในการละเมิดกฎหมาย
      3. วิธีการปฏิบัติเพื่อลดความเสี่ยง
      4. ความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์
      5. แนวทางในการป้องกันตัวเองจากภัยคุกคามทางไซเบอร์
      6. ความเสี่ยงจากการเปลี่ยนแปลงสภาพภูมิอากาศ

การเรียนรู้ผ่านระบบ E-Learning ช่วยให้พนักงานทุกระดับสามารถเข้าถึงข้อมูลและความรู้ในประเด็นความเสี่ยงที่ครอบคลุม ตระหนักถึงความสำคัญของการปฏิบัติตามกฎหมายและแนวปฏิบัติที่ดี รวมถึงสามารถนำความรู้ไปประยุกต์ใช้เพื่อลดความเสี่ยงในการทำงานได้อย่างมีประสิทธิภาพ

ความพยายามในการสร้างวัฒนธรรมการบริหารความเสี่ยงที่เข้มแข็งของบริษัทช่วยเสริมสร้างความพร้อมในการรับมือกับความเปลี่ยนแปลงและความท้าทายต่าง ๆ ได้อย่างเหมาะสม ตลอดจนสนับสนุนการเติบโตขององค์กรในระยะยาว ด้วยการส่งเสริมให้พนักงานทุกคนมีบทบาทในการขับเคลื่อนธุรกิจสู่ความยั่งยืนในทุกมิติ.

ความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

นโยบายความมั่นคงปลอดภัยด้านไซเบอร์

บริษัทกำหนดนโยบายเทคโนโลยีสารสนเทศที่สอดคล้องกับนโยบายการกำกับดูแลกิจการ ตลอดจนแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยที่สะท้อนถึงการเคารพสิทธิในทรัพย์สินทางปัญญาหรือลิขสิทธิ์อย่างเคร่งครัด รวมทั้งกำหนดแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศบริษัท (Information Technology Security Guideline) เพื่อเพิ่มประสิทธิภาพในการรักษาความมั่นคงปลอดภัยของการเข้าถึงและการควบคุมการใช้งานสารสนเทศและระบบเทคโนโลยีสารสนเทศและการสื่อสารของบริษัท โดยเผยแพร่ผ่านทางเว็บไซต์ของบริษัท

บริษัทส่งเสริมการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศให้แก่ กรรมการ ผู้บริหารและพนักงาน อย่างต่อเนื่อง ผ่านการฝึกอบรมและการสื่อสาร เพื่อให้มีความรู้ความเข้าใจและปฏิบัติตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 รวมถึงกฎหมายและข้อกำหนดอื่น ๆ ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ ทั้งนี้ บริษัทมีการทบทวนและปรับปรุงนโยบายและแนวปฏิบัติด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ เพื่อให้มีความทันสมัยและเป็นไปตามมาตรฐานที่ได้รับการยอมรับในระดับสากล

บริษัทนำกรอบการดำเนินงาน NIST Cybersecurity Framework (CSF) 2.0 มาใช้ เพื่อเสริมสร้างประสิทธิภาพในการป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามทางไซเบอร์ โดยสอดคล้องกับมาตรฐาน ISO/IEC 27001:2022 ซึ่งบริษัทได้รับการรับรองแล้ว

นโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
ดาวน์โหลด
กระบวนการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

บริษัทดำเนินการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลอย่างเป็นระบบ โดยเริ่มจากการระบุและประเมินความเสี่ยง เพื่อพิจารณาความจำเป็นและระดับความสำคัญในการจัดการความเสี่ยงในแต่ละด้าน จากนั้นจึงกำหนดแนวทางการจัดการความเสี่ยงที่เหมาะสม โดยคำนึงถึงบริบทการดำเนินธุรกิจและผลกระทบที่อาจเกิดขึ้นต่อองค์กร

กระบวนการตัดสินใจครอบคลุมทั้งการลดความเสี่ยง การควบคุมความเสี่ยง และการยอมรับความเสี่ยงอย่างมีเหตุผล ความเสี่ยงที่อยู่ในระดับที่ยอมรับได้จะถูกบันทึกและจัดทำเอกสารอย่างโปร่งใส ขณะที่ความเสี่ยงที่ต้องได้รับการจัดการจะถูกรวบรวมเป็น แผนการจัดการความเสี่ยง (Risk Treatment Plan) ซึ่งต้องผ่านการพิจารณาและอนุมัติจากฝ่ายบริหาร เพื่อสะท้อนบทบาทการกำกับดูแลที่ชัดเจน ก่อนนำไปสู่การดำเนินงาน การติดตามผล และการทบทวนอย่างต่อเนื่อง ทั้งนี้ เพื่อสนับสนุนความมั่นคง เสถียรภาพ และความยั่งยืนของการดำเนินธุรกิจในระยะยาว

การกำกับดูแลและบริหารความมั่นคงปลอดภัยสารสนเทศ

บริษัทให้ความสำคัญกับการเตรียมความพร้อมรับมือกับความเสี่ยงจากภัยคุกคามไซเบอร์ ที่อาจส่งผลกระทบต่อการสูญเสียข้อมูลสําคัญของบริษัท โดยบริษัทบริหารจัดการความเสี่ยงด้านไซเบอร์ถูกกำหนดให้สอดคล้องกับนโยบายการบริหารความเสี่ยงองค์กรและถูกรวมเป็นส่วนหนึ่งของการบริหารความต่อเนื่องทางธุรกิจ เพื่อให้ระบบสารสนเทศมีความพร้อมใช้งานอยู่เสมอ ทั้งนี้ยังดำเนินการตามกฎหมาย ข้อบังคับ และมาตรฐานที่เกี่ยวข้อง เช่น มาตรฐาน ISO/IEC 27001

เพื่อเพิ่มความแข็งแกร่งให้กับระบบความปลอดภัยของข้อมูล ลดความเสี่ยง และปกป้องข้อมูลจากการถูกโจรกรรม บริษัทได้กำหนดกระบวนการและขั้นตอนเฝ้าระวัง รวมถึงมาตรการควบคุมเพื่อป้องกันเหตุการณ์ที่อาจกระทบต่อระบบสารสนเทศ โดยมีการดำหนดกระบวนการรับมือที่ชัดเจนในกรณีเกิดเหตุการณ์ พร้อมระบุผู้มีหน้าที่รับผิดชอบและช่องทางการรายงานเหตุการณ์อย่างรวดเร็วและทันต่อเหตุการณ์ เพื่อให้สามารถจัดการปัญหาหรือช่องโหว่ได้อย่างถูกต้องและมีประสิทธิภาพในเวลาที่เหมาะสม มีการจัดทำรายงานผลการดำเนินงานด้านความมั่นคงปลอดภัยและรายงานเหตุการณ์ (Incident Report) เสนอคณะกรรมการกำกับดูแล (Steering Committee) อย่างสม่ำเสมอ เพื่อใช้ในการพิจารณาและปรับปรุงมาตรการรักษาความมั่นคงปลอดภัย กรอบการบริหารจัดการดังนี้

การสื่อสาร ผ่านช่องทางต่างๆ

  1. การระบุและประเมินความเสี่ยง (Identify)
    จัดทำและทบทวนการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เป็นประจำ ระบุสินทรัพย์สารสนเทศ กระบวนการทางธุรกิจ และความเสี่ยงที่เกี่ยวข้อง เพื่อใช้ในการจัดลำดับความสำคัญของการป้องกัน
  2. การป้องกัน (Protect)
    นำมาตรการควบคุมด้านเทคนิคและการบริหารมาใช้ เช่น Access Control, Patch Management, Data Protection ติดตั้งและใช้งานระบบ Endpoint Security / EDR / XDR / MDR เพื่อป้องกันภัยคุกคามและตรวจสอบพฤติกรรมที่ผิดปกติ มีการอบรมและสร้างความตระหนักรู้ด้านความปลอดภัยสารสนเทศให้แก่พนักงาน
  3. การตรวจจับ (Detect)
    จัดให้มีระบบตรวจจับภัยคุกคามแบบเรียลไทม์ผ่าน EDR/XDR และ MDR Service จ้างผู้ให้บริการภายนอกดำเนินการ Vulnerability Assessment (VA) เพื่อตรวจสอบช่องโหว่ของระบบเป็นประจำมีการติดตามและตรวจสอบบันทึกเหตุการณ์ (Log Monitoring) เพื่อระบุเหตุการณ์ที่อาจส่งผลต่อความมั่นคงปลอดภัย
  4. การตอบสนองต่อเหตุการณ์ (Response)
    จัดทำ Incident Response Plan (IRP) และกำหนดขั้นตอนการจัดการเหตุการณ์ความมั่นคงปลอดภัย มีทีมตอบสนองเหตุการณ์ (Incident Response Team) ร่วมกับผู้ให้บริการ MDR เพื่อแก้ไขและจำกัดผลกระทบจากเหตุการณ์ มีการรายงานและทบทวนเหตุการณ์เพื่อหาสาเหตุและป้องกันการเกิดซ้ำ
  5. การฟื้นฟูและปรับปรุง (Recover)
    จัดทำและทดสอบแผน Backup และ Disaster Recovery (DR Plan) อย่างสม่ำเสมอ มีการวิเคราะห์เหตุการณ์หลังเกิด (Post-Incident Review) เพื่อปรับปรุงกระบวนการรักษาความมั่นคงปลอดภัย ใช้ผลการประเมินและบทเรียนจากเหตุการณ์เพื่อปรับปรุงระบบและกระบวนการ ISMS อย่างต่อเนื่อง (Continuous Improvement)

ด้านความคุ้มครองความเป็นส่วนตัวของข้อมูล

นโยบายการคุ้มครองข้อมูลส่วนบุคคล

บริษัทให้ความสำคัญกับการคุ้มครองข้อมูลส่วนบุคคล โดยจัดทํานโยบายคุ้มครองข้อมูลส่วนบุคคลภายนอกองค์กร ตามบทบัญญัติของ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และกฎหมายอื่นที่เกี่ยวข้อง เพื่อสร้างความมั่นในในความปลอดภัยของข้อมูลส่วนบุคคล โดยนโยบายดังกล่าวครอบคลุมถึง การกำหนดนิยามของข้อมูลส่วนบุคคล ประเภทของข้อมูลส่วนบุคคล วัตถุประสงค์ในเก็บรวมรวม การใช้และการเปิดเผยข้อมูลส่วนบุคคล หน่วยงานหรือบุคคลที่บริษัทอาจเปิดเผยข้อมูล ระยะเวลาในการจัดเก็บข้อมูลต่างๆ รูปแบบการจัดเก็บข้อมูลส่วนบุคคล สิทธิของเจ้าของข้อมูล ทั้งนี้ บริษัทได้มีการกำหนดเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) เพื่อดูแลและดำเนินการให้สอดคล้องกับกฎหมายและข้อกำหนด พร้อมกำหนด ขั้นตอนการรับข้อร้องเรียนและกระบวนการจัดการข้อร้องเรียนที่เกี่ยวข้องกับการประมวลผลข้อมูลของบริษัท พร้อมทั้งจัดทำแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านข้อมูล ส่วนบุคคล เพื่อป้องกันมิให้ข้อมูลส่วนบุคคลสูญหาย หรือถูกเข้าถึง ใช้ เปลี่ยนแปลง แก้ไข หรือเปิดเผยโดยปราศจากอํานาจ หรือโดยมิชอบด้วยกฎหมาย

การบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคล

บริษัทให้ความสำคัญกับบริหารจัดการการคุ้มครองข้อมูลส่วนบุคคล โดยกำหนดสิทธิในการเข้าถึงข้อมูลส่วนบุคคล ข้อมูลสารสนเทศ ระบบประมวลผลสารสนเทศ และสินทรัพย์ด้านเทคโนโลยีสารสนเทศอื่นๆ ตามวัตถุประสงค์ทางธุรกิจ และตามหลักความจำเป็นต้องรู้ (need-to-know) (Need-to-Know) และ “ความจำเป็นต้องใช้งาน” (Need-to-Use) เพื่อให้มั่นใจว่าการเข้าถึงข้อมูลดังกล่าวมีความสอดคล้องกับวัตถุประสงค์ทางธุรกิจ และดำเนินการภายใต้กรอบที่ปลอดภัย

บริษัทได้จัดให้มี การจัดลำดับชั้นของสิทธิในการเข้าถึงข้อมูล (Hierarchical Access Rights) ซึ่งผู้บริหารและพนักงานทุกคนต้องปฏิบัติตามอย่างเคร่งครัด ทั้งนี้เพื่อป้องกันไม่ให้ข้อมูลที่สำคัญ ทั้งข้อมูลส่วนบุคคลและข้อมูลสารสนเทศใดๆ รั่วไหลออกสู่บุคคลภายนอก แนวทางการปฏิบัติดังกล่าวถูกกำหนดไว้อย่างชัดเจนใน จรรยาบรรณในการดำเนินธุรกิจของบริษัท ที่กำหนดให้ผู้บริหารและพนักงานทุกคนพึงปฏิบัติ พร้อมทั้งห้ามเปิดเผยข้อมูลอันเป็นความลับที่ได้รับรู้จากการปฏิบัติหน้าที่เพื่อนำไปแสวงหาผลประโยชน์ส่วนตัวหรืออื่นใด มาตรการเหล่านี้สะท้อนถึงความมุ่งมั่นของบริษัทในการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและข้อมูลสารสนเทศ เพื่อปกป้องข้อมูลจากการเข้าถึงโดยไม่ได้รับอนุญาต และสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสียทุกกลุ่มอย่างยั่งยืน.

นโยบายคุ้มครองข้อมูลส่วนบุคคลภายนอกองค์กร
ดาวน์โหลด
ด้านการตรวจสอบความมั่นคงปลอดภัยด้านไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

การตรวจสอบระบบ ISMS (Information Security Management System):

บริษัทดำเนินการตรวจสอบระบบ Information Security Management System (ISMS) เป็นประจำทุกปี โดยมีการตรวจสอบภายในเพื่อตรวจสอบว่า วัตถุประสงค์การควบคุม มาตรการการควบคุม กระบวนการ และระเบียบปฏิบัติของระบบ มีความสอดคล้องกับข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ นอกจากนี้ ยังมีการประเมินและบำรุงรักษาอย่างต่อเนื่อง เพื่อให้มั่นใจว่าระบบสามารถบรรลุผลตามเป้าหมาย และเป็นไปตามข้อกำหนดของมาตรฐาน ISO/IEC 27001 รวมถึงกฎหมายที่เกี่ยวข้อง

การรับรองและการตรวจประเมินภายนอก:

บริษัทได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 จาก BSI (British Standards Institution) ในปี 2022 และยังคงได้รับการตรวจประเมินจากหน่วยงานภายนอกเป็นประจำ เพื่อวิเคราะห์ช่องโหว่ เสริมสร้างความมั่นคงปลอดภัยของระบบสารสนเทศให้สอดคล้องกับมาตรฐานสากล และกฎหมายที่เกี่ยวข้อง

นโยบายด้านการคุ้มครองข้อมูลส่วนบุคคล:

บริษัทให้ความสำคัญกับการเคารพความเป็นส่วนตัวของข้อมูลส่วนบุคคล และดำเนินการจัดการข้อมูลอย่างเหมาะสมตามกฎหมายที่เกี่ยวข้อง โดยจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งสอดคล้องกับแนวทางของบริษัทจดทะเบียนที่กำหนดโดยตลาดหลักทรัพย์แห่งประเทศไทย นอกจากนี้ บริษัทได้ส่งเสริมการใช้ระบบเทคโนโลยีสารสนเทศที่มีการติดตามและบริหารจัดการความเสี่ยงด้านความปลอดภัยไซเบอร์อย่างเป็นระบบ

การอบรมและส่งเสริมความรู้ด้าน ISMS:

บริษัทได้กำหนดหน้าที่และความรับผิดชอบในการรักษาความมั่นคงปลอดภัยของทรัพย์สินสารสนเทศ เพื่อป้องกันข้อมูลและระบบสารสนเทศที่สำคัญอย่างเหมาะสม นอกจากนี้ ยังมีการจัดอบรมพนักงานในหัวข้อ ISMS Intensive Training และ ISMS Security Awareness Training เพื่อเพิ่มพูนความรู้และสร้างความตระหนักถึงความปลอดภัยด้านเทคโนโลยีสารสนเทศ พนักงานสามารถเข้าถึงหลักสูตรได้ผ่านทาง Email และ CKPower Mobile Applications ซึ่งช่วยให้การเรียนรู้เป็นไปอย่างสะดวกและครอบคลุมทุกระดับ

การประเมินประสิทธิภาพของระบบ:

บริษัทจัดให้มีการประเมินประสิทธิภาพของระบบการรักษาความมั่นคงปลอดภัยสารสนเทศ และระบบการเดินเครื่องของโรงไฟฟ้าอย่างสม่ำเสมอ เพื่อรับรองความมั่นคงปลอดภัยของระบบสารสนเทศและการดำเนินงานโรงไฟฟ้า ซึ่งช่วยสร้างความมั่นใจในการดำเนินธุรกิจให้กับผู้มีส่วนได้เสียทุกกลุ่ม

มาตรการเหล่านี้สะท้อนถึงความมุ่งมั่นของบริษัทในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลอย่างยั่งยืน พร้อมสนับสนุนการดำเนินธุรกิจที่โปร่งใสและมั่นคงในระยะยาว.

Cybersecurity Awareness 2025 Training

ISO/IEC 27001:2022

แผนการจัดการความปลอดภัยไซเบอร์หรือภัยคุกคามไซเบอร์อื่น ๆ

ในปี 2568 บริษัทเผชิญกับเหตุโจมตีทางไซเบอร์จำนวน 1 ครั้ง แต่สามารถป้องกันและควบคุมสถานการณ์ได้อย่างมีประสิทธิภาพและรวดเร็ว โดยไม่มีการรั่วไหลของข้อมูลส่วนบุคคลแต่อย่างใด บริษัทได้ดำเนินการตรวจจับและตอบสนองต่อภัยคุกคามอย่างมีระบบ พร้อมทั้งเพิ่มความเข้มงวดด้านความปลอดภัยทางไซเบอร์ และปรับปรุงแผนการจัดการความเสี่ยงอย่างต่อเนื่อง เพื่อป้องกันเหตุการณ์ที่อาจเกิดขึ้นในอนาคต

แนวทางการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลของบริษัทในปี 2568 ประกอบด้วย:

  • การจัดทำนโยบายความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อกำหนดกรอบแนวทางการดำเนินงานที่สอดคล้องกับมาตรฐานสากล
  • การนำมาตรฐาน ISO/IEC 27001:2022 และ NIST CSF 2.0 มาใช้ในระบบความปลอดภัยของสารสนเทศ พร้อมทั้งจัดการตรวจประเมินเป็นประจำทุกปี โดยผู้ตรวจประเมินทั้งภายในและภายนอก
  • การจัดอบรม Cyber Security Awareness Training ให้พนักงานทุกระดับอย่างน้อยปีละ 1 ครั้ง เพื่อเพิ่มความตระหนักรู้และเสริมสร้างความพร้อมในการรับมือกับภัยคุกคาม
  • การพัฒนาและปรับปรุงแผนการตอบสนองต่อภัยคุกคามทางไซเบอร์อย่างต่อเนื่อง เพื่อให้ทันต่อการเปลี่ยนแปลงของภัยคุกคามในโลกไซเบอร์

มาตรการเหล่านี้ไม่เพียงสร้างความมั่นใจให้กับผู้มีส่วนได้เสียทุกภาคส่วน แต่ยังช่วยเสริมความแข็งแกร่งด้านความปลอดภัยของข้อมูลองค์กร และสร้างพื้นฐานที่มั่นคงสำหรับการดำเนินธุรกิจในระยะยาว.

เป้าหมายระยะยาว เป้าหมายปี 2568 และผลการดำเนินงานปี 2568 (GRI3-3)

การบริหารจัดการความเสี่ยง
การบริหารจัดการความเสี่ยงและภาวะวิกฤติ
และความมั่นคงปลอดภัยทางไซเบอร์ และความเป็นส่วนตัวของข้อมูล
การบริหารจัดการความเสี่ยง
(GRI 201, GRI 308, GRI 414, GRI 418)
เป้าหมายระยะยาว
สร้างวัฒนธรรมการบริหารความเสี่ยง
ทั่วทั้งบริษัทและบริษัทในเครือ
100%
เป้าหมายปี 2568 ผลการดำเนินงานปี 2568
100%
 คณะกรรมการบริษัทเข้ารับการอบรมเรื่องแนวโน้มด้านความยั่งยืนและความเสี่ยงด้าน ESG
100%
100%
 ของผู้บริหารและพนักงานได้รับ
การสื่อสารด้านความเสี่ยง
100%
100%
 ผู้บริหารและพนักงานมีความตระหนักรู้และความเข้าใจในหลักการกำกับดูแลกิจการที่ดี
100%
SDGs
ความมั่นคงปลอดภัยด้านไซเบอร์ (GRI418-1)
การบริหารจัดการความเสี่ยงและภาวะวิกฤติ และความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล
ความมั่นคงปลอดภัยด้านไซเบอร์
(GRI 103, GRI 418)
เป้าหมายระยะยาว
สร้างวัฒนธรรมด้านความมั่นคงปลอดภัยด้านไซเบอร์ทั่วทั้งบริษัทและบริษัทในเครือ
100%
เป้าหมายปี 2568 ผลการดำเนินงานปี 2568
ไม่มี
กรณี
 การละเมิดความปลอดภัยไซเบอร์ หรือภัยคุกคามไซเบอร์อื่น ๆ
1
กรณี
ไม่มี
กรณี
 การเกิดข้อมูลรั่วไหล การโจรกรรม หรือการสูญหาย
ไม่มี
กรณี
ไม่มี
 ลูกค้าและพนักงานที่ได้รับผลกระทบ จากข้อมูลรั่วไหล
ไม่มี
0
บาท
 ค่าปรับจากเหตุการณ์ละเมิดความปลอดภัยของข้อมูลหรือภัยคุกคามไซเบอร์
0
บาท
ด้านความคุ้มครองความเป็นส่วนตัวของข้อมูล (GRI418-1)
การบริหารจัดการความเสี่ยงและภาวะวิกฤติ
และความมั่นคงปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล
ด้านความคุ้มครองความเป็นส่วนตัวของข้อมูล
(GRI 418)
เป้าหมายระยะยาว
สร้างวัฒนธรรมด้านความคุ้มครองความเป็นส่วนตัวของข้อมูลทั่วทั้งบริษัทและบริษัทในเครือ
100%
เป้าหมายปี 2568 ผลการดำเนินงานปี 2568
ไม่มี
กรณี
 ข้อร้องเรียนที่เข้าข่ายการละเมิดข้อมูลส่วนบุคคล จากบุคคลหรือหน่วยงานทั่วไป
0
กรณี
85%
 ผู้บริหารและพนักงานของ CKP และบริษัทในเครือ ในประเทศไทย เข้ารับการอบรมที่เกี่ยวข้องกับข้อมูลส่วนบุคคล
87.85%
ไม่มี
กรณี
 ข้อร้องเรียนที่เข้าข่ายการละเมิดข้อมูลส่วนบุคคล จากหน่วยงานกำกับดูแลต่าง ๆ
0
กรณี

รายงานความยั่งยืน ปี 2568