การดำาเนินงานที่สำาคัญ



                   การดำาเนินการบริหารความเสี่ยงด้านไซเบอร์ภายใต้    การแต่งตั้งทีมงานจัดการเหตุด้านภัยไซเบอร์  (Cyber
                   ระเบียบธนาคารออมสิน  ฉบับที่  595  ว่าด้วยนโยบาย  Incident Response Team : CIRT) เพื่อดำาเนินการ
                   ความมั่นคงปลอดภัยสารสนเทศ (Information Security   กำากับ ดูแล และกระบวนการบริหารความต่อเนื่องทางธุรกิจ
                   Policy) และอยู่ระหว่างจัดทำานโยบายความมั่นคงปลอดภัย   ที่เกี่ยวข้องกับการเตรียมความพร้อมการจัดการเหตุภัย
                   ไซเบอร์ (Cybersecurity Policy) ฉบับใหม่           ด้านไซเบอร์

                   การดำาเนินงานตามกรอบการทำางานด้านความมั่นคง       การทดสอบแผนแบบบูรณาการเชื่อมโยงแผนตอบสนองเหตุ
                   ปลอดภัยไซเบอร์ (NIST Cybersecurity Framework) เพื่อ  ขัดข้อง
                   ยกระดับความมั่นคงปลอดภัยของทุกระดับ เป็นวงจร Plan
                   Do Check Act รวมไปถึงช่วยให้องค์กรสามารถวางแผน    การจัดกลุ่มธุรกรรมที่ได้จากกระบวนการวิเคราะห์ผลกระทบ
                   ป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่าง    ทางธุรกิจและระบุธุรกรรมงานที่สำาคัญให้มีความชัดเจน
                   รวดเร็ว และเป็นระบบ
                                                                     การจัดทำาแผนตอบสนองต่อเหตุด้านภัยไซเบอร์เพิ่ม ได้แก่
                                                                     แผน DDoS, insider attack และ Data breach เป็นต้น



                   103-1, 103-2
                          นอกจากนี้ ธนาคารยังให้ความสำาคัญต่อการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลลูกค้า โดยมี
               การดำาเนินการภายใต้ระเบียบธนาคารออมสิน ฉบับที่ 670 ว่าด้วยนโยบายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection
               Policy) ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อให้การปฏิบัติงานของธนาคารเป็นไปตามกฎหมาย
               มาตรฐานสากลในการคุ้มครองข้อมูลส่วนบุคคล และสอดคล้องกับหลักการกำากับดูแลกิจการที่ดี โดยจัดให้มีการรักษาความมั่นคง
               ปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม เพื่อป้องกันการสูญหาย การเข้าถึง การใช้ การเปลี่ยนแปลง การแก้ไข หรือการเปิด
               เผยข้อมูลส่วนบุคคล โดยไม่มีอำานาจหรือขัดต่อกฎหมาย และในกรณีที่ธนาคารให้หน่วยงานหรือบุคคลภายนอกดำาเนินการเกี่ยวกับ
               การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของเจ้าของข้อมูลส่วนบุคคลแทนธนาคาร ต้องกำาหนดให้หน่วยงานหรือ
               บุคคลภายนอก เก็บรักษาข้อมูลส่วนบุคคลไว้เป็นความลับและรักษาความปลอดภัยของข้อมูลส่วนบุคคลดังกล่าว รวมถึงป้องกัน
               ไม่ให้นำาข้อมูลส่วนบุคคลไปเก็บรวบรวม ใช้ หรือเปิดเผยเพื่อการอื่นใดโดยไม่มีอำานาจ หรือขัดต่อกฎหมาย


                 ทั้งนี้ ธนาคารได้มีการแต่งตั้งคณะทำางานย่อยด้าน Data Classification โครงการเตรียมความพร้อมในการปฏิบัติตาม
               พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 เพื่อกำาหนดความสำาคัญของข้อมูล (Classification Guidelines) ให้ครอบคลุม
               ชุดข้อมูลส่วนบุคคล (ข้อมูลลูกค้า) ของระบบงานต่าง ๆ

























                                                                        รายงานการพัฒนาอย่างยั่งยืนประจำาปี 2563 175