ความปลอดภัยด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัว

การนำเทคโนโลยีดิจิทัลมาใช้ในงานบริการ บริหารจัดการ และปฏิบัติการของท่าอากาศยานเพิ่มมากขึ้น ส่งผลให้ประเด็นด้านความปลอดภัยของเทคโนโลยีสารสนเทศ การใช้งานที่เสถียร และการคุ้มครองความเป็นส่วนตัวกลายเป็นเรื่องสำคัญยิ่ง

หากเกิดปัญหา เช่น

ข้อมูลรั่วไหล
ระบบล่ม
การถูกโจมตีทางไซเบอร์

อาจก่อให้เกิดความเสียหายต่อผู้มีส่วนได้เสีย สูญเสียความเชื่อมั่นต่อ ทอท. และอาจเข้าข่ายละเมิดสิทธิมนุษยชนด้านความเป็นส่วนตัวด้วย

ทอท. ได้กำหนดนโยบายด้านความมั่นคงปลอดภัยทางเทคโนโลยี & การคุ้มครองข้อมูลหลายด้าน ได้แก่

นโยบายความมั่นคงปลอดภัย ICT
นโยบายความมั่นคงปลอดภัยไซเบอร์
นโยบายคุ้มครองข้อมูลส่วนบุคคล
นโยบายความเป็นส่วนตัว

โดยทั้งหมดสอดคล้องกับกฎหมายที่เกี่ยวข้อง & มีการเผยแพร่ให้พนักงานรวมถึงบุคคลภายนอกที่เกี่ยวข้องรับทราบ เพื่อสร้างความตระหนักรู้ด้านความปลอดภัยของระบบสารสนเทศ & ข้อมูลส่วนบุคคล นอกจากนี้ ทอท. ยังมีการประเมินความเสี่ยง & ทดสอบระบบอย่างต่อเนื่อง ซึ่งได้รับการรับรองมาตรฐาน ISO/IEC 27001:2013 ในด้านการจัดการความมั่นคงปลอดภัยสารสนเทศ

AOT ICT Security

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศ & การสื่อสารของ ทอท.

(AOT ICT Security Policy )

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. มุ่งเน้นให้ระบบสารสนเทศขององค์กรมีความมั่นคงปลอดภัยด้านความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งาน โดยครอบคลุมทั้งการเข้าถึงระบบเครือข่าย ระบบปฏิบัติการ แอปพลิเคชัน และข้อมูลสารสนเทศ พร้อมกำหนดให้มีการตรวจสอบ ประเมินความเสี่ยง และจัดทำแผนฉุกเฉินเพื่อให้สามารถดำเนินงานได้อย่างต่อเนื่อง

พนักงานทุกระดับและบุคคลภายนอกที่เกี่ยวข้องต้องรับทราบและปฏิบัติตามนโยบายนี้ โดยมีกรรมการผู้อำนวยการใหญ่ของ ทอท. หรือผู้บริหารที่ได้รับมอบหมายเป็นผู้กำหนดนโยบาย กำกับดูแล และให้คำปรึกษา พร้อมทั้งรับผิดชอบต่อความเสี่ยงหรือความเสียหายที่อาจเกิดขึ้นจากการไม่ปฏิบัติตามนโยบาย ทั้งนี้ นโยบายจะได้รับการทบทวนอย่างน้อยปีละหนึ่งครั้ง หรือเมื่อมีความจำเป็น

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท

ข้อมูลส่วนบุคคลของผู้ใช้บริการมีความมั่นคงปลอดภัย & ได้รับความคุ้มครองตามบทบัญญัติของกฎหมาย

ผู้ใช้บริการรับทราบถึงรายการข้อมูลส่วนบุคคลที่จัดเก็บวัตถุประสงค์ & สิทธิเกี่ยวกับข้อมูลส่วนบุคคลของผู้ใช้บริการ

ผู้ปฏิบัติงานที่เกี่ยวข้องรับทราบ & ปฏิบัติตามนโยบาย & แนวทางการคุ้มครองข้อมูลส่วนบุคคลของ ทอท.อย่างเคร่งครัด

นโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท.

(AOT Cyber Security Policy )

ในปี 2564 ทอท. ได้กำหนดนโยบายความมั่นคงปลอดภัยไซเบอร์ เพื่อเสริมสร้างความสามารถในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งภายในและภายนอกประเทศ ซึ่งอาจส่งผลกระทบต่อการดำเนินงานหรือการให้บริการขององค์กร และอาจกระทบต่อความมั่นคงของรัฐและเศรษฐกิจ โดยนโยบายดังกล่าวสอดคล้องกับนโยบายและแผนการรักษาความมั่นคงปลอดภัยไซเบอร์ที่กำหนดโดยคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

นโยบายความมั่นคงปลอดภัยไซเบอร์ของ ทอท.

นโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท.

(AOT Data Privacy Policy )

ทอท. ได้กำหนดนโยบายในการคุ้มครองข้อมูลส่วนบุคคลเพื่อรักษาความมั่นคงปลอดภัยของข้อมูลผู้ใช้บริการธุรกรรมทางอิเล็กทรอนิกส์ ครอบคลุมข้อมูลของพนักงาน บุคคลภายนอกที่ปฏิบัติงานกับ ทอท. และผู้ใช้บริการ โดยมีการทบทวนนโยบายอย่างน้อยปีละครั้งหรือเมื่อมีความจำเป็น ทั้งนี้ กรรมการผู้อำนวยการใหญ่หรือผู้บริหารที่ได้รับมอบหมายมีหน้าที่กำหนดแนวทาง กำกับดูแล และให้คำปรึกษา หากมีการฝ่าฝืนนโยบายดังกล่าวจะถือเป็นความผิดทางวินัยตามระเบียบของ ทอท.

นโยบายดังกล่าวยังสอดคล้องกับกฎหมายและแนวทางที่เกี่ยวข้อง ได้แก่

พระราชกฤษฎีกาการทำธุรกรรมทางอิเล็กทรอนิกส์ของภาครัฐ พ.ศ. 2549
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553
หลักการสากลของ OECD ว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล
แนวปฏิบัติด้านการคุ้มครองและการส่งผ่านข้อมูลส่วนบุคคลระหว่างประเทศของ OECD

นโยบายในการคุ้มครองข้อมูลส่วนบุคคล

นโยบายข้อมูล

นโยบายในการคุ้มครองข้อมูลส่วนบุคคลของ ทอท.

(AOT Personal Data Protection Policy)

ทอท. มอบหมายให้ฝ่ายกลยุทธ์เทคโนโลยีสารสนเทศและการสื่อสาร ภายใต้สายงานเทคโนโลยีสารสนเทศและการสื่อสาร เป็นหน่วยงานหลักในการบริหารจัดการด้านเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูล รวมถึงดำเนินกิจกรรมต่าง ๆ เพื่อสนับสนุนนโยบายด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสาร นโยบายคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติที่เกี่ยวข้อง โดยฝ่ายกลยุทธ์ฯ จะทำการทบทวนแผนการดำเนินงานเป็นประจำทุกปี และจัดทำรายงานผลต่อคณะกรรมการบริหารเทคโนโลยีสารสนเทศและการสื่อสาร ซึ่งมีกรรมการผู้อำนวยการใหญ่ของ ทอท. ทำหน้าที่เป็นประธานคณะกรรมการ

นโยบายการคุ้มครองข้อมูลส่วนบุคคล ทบทวน ปีงบประมาณ 2567

ระบบการจัดการด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัว

ทอท. กำหนดให้ฝ่ายกลยุทธ์เทคโนโลยีสารสนเทศและการสื่อสารสายงานเทคโนโลยีสารสนเทศและการสื่อสาร ทำหน้าที่บริหารจัดการด้านเทคโนโลยีสารสนเทศและความปลอดภัยของข้อมูล รวมทั้งจัดกิจกรรมเพื่อตอบสนองต่อนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศและการสื่อสารของ ทอท. นโยบายในการคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสาร โดยมีฝ่ายกลยุทธ์ฯ ทำหน้าที่ทบทวนแผนการดําเนินงานเป็นประจำทุกปี และรายงานผลต่อคณะกรรมการบริหารเทคโนโลยีสารสนเทศและการสื่อสาร ซึ่งมีกรรมการผู้อํานวยการใหญ่เป็นประธาน รวมถึงกำหนดให้ความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารเป็นส่วนหนึ่งของการประเมินพนักงานภายในองค์กร

ISO/IEC 27001:2013 Certification

AOT BCM Certificate of Registration

AOT BSI Certificate of Registration

กิจกรรมเด่น

ให้ความรู้ผ่านสื่อประชาสัมพันธ์ผ่านระบบ AOT STAFF

ทอท. จัดทำสื่อประชาสัมพันธ์เกี่ยวกับความปลอดภัยด้านเทคโนโลยีสารสนเทศ & ความเป็นส่วนตัวผ่านระบบ AOT STAFF เพื่อเพิ่มความตระหนักรู้ของบุคลากร ทอท. ในเรื่องความปลอดภัยด้านเทคโนโลยีสารสนเทศ & ความเป็นส่วนตัว ในหัวข้อ “สื่อประชาสัมพันธ์ที่ได้ทำการเผยแพร่” เช่น

10 เรื่องที่ประชาชนต้องรู้เกี่ยวกับ PDPA
พ.ร.บ. คุ้นครองข้อมูลส่วนบุคคล เจ้าของข้อมูลมีสิทธิอะไรบ้าง
ใครเป็นใครใน PDPA
ข้อควรรู้เกี่ยวกับ Data Privacy
การประมวลผลข้อมูลส่วนบุคคลที่เกี่ยวกับการจ้างงาน

การฝึกอบรมด้านเทคโนโลยีสารสนเทศและความเป็นส่วนตัว

กิจกรรมเตรียมความพร้อมเพื่อรองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ในปี 2566 ทอท. ได้ดำเนินการเตรียมความพร้อมเพื่อรองรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยจัดการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลให้แก่ผู้บริหารและพนักงานใน 6 ท่าอากาศยาน รวมถึงสำนักงานใหญ่ โดยมีวัตถุประสงค์เพื่อให้บุคลากรมีความรู้และความเข้าใจเกี่ยวกับข้อกำหนดของกฎหมาย แนวทางปฏิบัติให้สอดคล้องตามกฎหมาย รวมถึงมาตรการทั่วไปและมาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่องค์กรต้องนำมาประยุกต์ใช้ในการดำเนินงานอย่างเหมาะสม

การอบรมเพื่อเตรียมความพร้อมและให้ความรู้ในการพัฒนาระบบ ISMS

ทอท. ได้ดำเนินการจัดฝึกอบรมเพื่อเตรียมความพร้อมและให้ความรู้เกี่ยวกับการพัฒนาระบบการจัดการความมั่นคงปลอดภัยของข้อมูล (ISMS) รวมถึงการสร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศ ภายใต้โครงการว่าจ้างที่ปรึกษาจัดทำระบบ ISMS สำหรับโครงสร้างพื้นฐานสำคัญ และกระบวนการที่เกี่ยวข้องกับระบบบริหารทรัพยากรองค์กร ตามมาตรฐาน ISO/IEC 27001 โดยจัดอบรมทั้งหมด 7 หลักสูตร ดังนี้

การพัฒนาระบบ ISMS และข้อกำหนดตามมาตรฐาน ISO/IEC 27001
บทบาทของผู้เกี่ยวข้องในการพัฒนา ISMS และข้อกำหนด ISO/IEC 27001
การบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
การจัดทำระบบ ISMS (Information Security Lead Implementer)

การอบรมเพื่อเตรียมความพร้อมและให้ความรู้ในการพัฒนาระบบ ISMS

การตรวจสอบระบบ ISMS (ISMS Auditor/Lead Auditor)
การสร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศสำหรับผู้บริหารและพนักงานทั้ง 7 แห่ง ได้แก่ สนญ., ทดม., ทชม., ทภก., ทหญ., ทชร., และ ทสภ.
การสร้างความตระหนักรู้ด้านการคุ้มครองข้อมูลส่วนบุคคลตาม พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

การฝึกอบรมนี้มีวัตถุประสงค์เพื่อเสริมสร้างความเข้าใจเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการจัดการ ISMS ตามมาตรฐาน ISO/IEC 27001:2013 ตลอดจนกฎหมาย กฎระเบียบ นโยบาย และแนวปฏิบัติด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ เพื่อให้บุคลากร ทอท. สามารถปฏิบัติงานได้อย่างถูกต้อง ครอบคลุม และตระหนักถึงความสำคัญของการป้องกันความเสี่ยงด้านสารสนเทศอย่างเหมาะสม

การประเมินผลการจัดการ

ทอท. กำหนดให้มีการตรวจประเมินด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ & การสื่อสารตามมาตรฐาน ISO/IEC 27001:2013 โดยองค์กรอิสระภายนอก & ติดตามจำนวนข้อร้องเรียนที่ได้รับจากผู้ใช้บริการ หน่วยงานภาครัฐ และหน่วยงานภายนอก รวมถึงกรณีการรั่วไหลหรือสูญหายของข้อมูลอย่างต่อเนื่อง เพื่อรายงานต่อคณะกรรมการบริหารเทคโนโลยีสารสนเทศ & การสื่อสารเป็นประจำทุกไตรมาส ซึ่งมีกรรมการผู้อํานวยการใหญ่เป็นประธาน

นอกจากนี้ ทอท. ได้พิจารณาออกมาตรการ เพื่อลดความเสี่ยง & รักษาความเชื่อมั่นด้านความปลอดภัยของข้อมูล & ความเป็นส่วนตัวของผู้ใช้บริการ พร้อมเปิดเผยสถิติผลการดําเนินงานในรายงานการพัฒนาอย่างยั่งยืนเป็นประจำทุกปี