ความปลอดภัยทางไซเบอร์และข้อมูล

กฟผ. ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์และข้อมูล โดยมีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามที่มีความซับซ้อนและเปลี่ยนแปลงอย่างรวดเร็ว อันอาจส่งกระทบต่อการดำเนินงานขององค์การ ผู้มีส่วนได้ส่วนเสีย และความมั่นคงของระบบไฟฟ้าของประเทศ

เป้าหมายปี 2568

ผลการดำเนินงาน

● ประสิทธิผลของการจัดการผลกระทบจากภัยคุกคามทางไซเบอร์ต่อภารกิจหลัก ระดับ 5
ซึ่งหมายถึง ระบบเทคโนโลยีที่จำเป็นสำหรับสินทรัพย์ ดำเนินงานได้ในระดับปกติ
เนื่องจากสามารถป้องกันเหตุทางไซเบอร์ได้ทั้งหมดหรือสามารถจัดการเหตุทางไซเบอร์
ได้ในระดับที่ไม่ส่งผลต่อการดำเนินงานของระบบเทคโนโลยี

นโยบายและความมุ่งมั่น

กฟผ. มีนโยบายความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ ซึ่งกำหนดให้หน่วยงานสำคัญที่ปฏิบัติภารกิจหลักของ กฟผ. และหน่วยงานโครงสร้างพื้นฐานด้านเทคโนโลยีทำหน้าที่ควบคุมและกำกับดูแลความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศโดยการระบุความเสี่ยง ป้องกันความเสี่ยง ตรวจสอบและเฝ้าระวังภัยคุกคาม เผชิญเหตุ รวมถึงรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์และสารสนเทศ นอกจากนี้ ยังมีนโยบายและประกาศความเป็นส่วนตัวด้านการคุ้มครองข้อมูลส่วนบุคคล อาทิ นโยบายการคุ้มครองข้อมูลส่วนบุคคล มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และประกาศความเป็นส่วนตัว (Privacy Notice) สำหรับกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

โครงสร้างการดำเนินงาน

กฟผ. มีการแต่งตั้งผู้รับผิดชอบงานด้านความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ ดังนี้

คณะทำงานปฏิบัติการด้านความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ ทำหน้าที่ระบุความเสี่ยง กำหนดมาตรการและดำเนินการป้องกันความเสี่ยง ตรวจสอบและเฝ้าระวัง รับมือ รักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์
คณะทำงานบริหารความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ ทำหน้าที่กำหนดนโยบาย มาตรฐาน และแนวทางการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีปฏิบัติการและเทคโนโลยีดิจิทัล และการรับมือภัยคุกคามทางไซเบอร์ รวมทั้งดูแลให้มีการปฏิบัติตามนโยบาย มาตรฐานและแนวทางที่กำหนด
ผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง ทำหน้าที่รายงานเหตุการณ์ที่มีนัยสำคัญด้านความมั่นคงปลอดภัยด้านเทคโนโลยีปฏิบัติการและเทคโนโลยีดิจิทัล และด้านภัยคุกคามทางไซเบอร์
ต่อผู้ว่าการ และคณะกรรมการที่เกี่ยวข้องโดยตรง รวมถึงให้ความเห็นด้านภัยคุกคามทางไซเบอร์และการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยด้านเทคโนโลยีปฏิบัติการและเทคโนโลยีดิจิทัลต่อคณะกรรมการที่เกี่ยวข้อง
สำนักงานตรวจสอบภายใน ทำหน้าที่ตรวจสอบด้านความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศตามแผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์และสารเทศ ในหน่วยงานที่มีระบบคอมพิวเตอร์หรือโครงสร้างสำคัญทางสารสนเทศ ซึ่งเกี่ยวข้องกับบริการผลิตไฟฟ้า บริการสายส่งไฟฟ้า และบริการควบคุมไฟฟ้า ตามแผนการตรวจสอบประจำปี และรายงานผลการตรวจประเมินเสนอต่อคณะกรรมการตรวจสอบ กฟผ.

นอกจากนี้ กฟผ. ยังมีหน่วยงานที่รับผิดชอบการดำเนินงานเกี่ยวกับประเด็นความปลอดภัยทางไซเบอร์และสารสนเทศ อาทิ กองบริหารความเสี่ยงและกำกับการปฏิบัติตามกฎหมายดิจิทัล กองปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ กองเทคโนโลยีศูนย์ควบคุม ฝ่ายระบบควบคุมและป้องกัน และแผนกความมั่นคงปลอดภัยโครงข่ายปฏิบัติการ

การบริหารจัดการ

กฟผ. มีการดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศที่สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 และมาตรฐาน ISO 27001 รวมถึงแนวปฏิบัติ NIST Cybersecurity Framework ซึ่งเป็นกรอบทำงานด้านความมั่นคงปลอดภัยไซเบอร์ระดับสากลด้านสาธารณูปโภคด้านการผลิต ส่ง และจำหน่ายไฟฟ้า และมาตรฐาน NERC CIP (Critical Infrastructure Protection) ซึ่งเป็นมาตรฐานการรักษาความปลอดภัยของระบบไฟฟ้าในงานปฏิบัติการระบบส่งไฟฟ้าและควบคุมระบบกำลังไฟฟ้า พร้อมทั้งมีการสอบทานการดำเนินงานโดยหน่วยงานภายในและภายนอก และการสำรวจและวิเคราะห์สถานภาพการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อดำเนินการปรับปรุงทั้งด้านบุคคลากร กระบวนการ และเทคโนโลยีอย่างต่อเนื่อง

นอกจากนี้ ยังมีการจัดทำเอกสารและบันทึกข้อตกลงในการดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลให้คู่ค้ารับทราบและปฏิบัติตามนโยบายและแนวปฏิบัติของ กฟผ. มีการประชุมหารือและ/หรือชี้แจงให้คู่ค้าได้รับทราบเกี่ยวกับการปรับปรุงการดำเนินงานของ กฟผ. ซึ่งอาจเกี่ยวข้องหรือกระทบกับกระบวนการดำเนินงานของคู่ค้า และจัดให้มีการสอบทานกระบวนการดำเนินงานอันนำไปสู่การปรับปรุงเทคโนโลยีในการตรวจสอบการดำเนินงานต่าง ๆ ที่คู่ค้าหรือผู้มีส่วนได้ส่วนเสียอื่นเกี่ยวข้อง เพื่อป้องกันมิให้เกิดเหตุละเมิดด้านความมั่นคงปลอดภัย ตลอดจน
มีการสร้างความร่วมมือและแบ่งปันข้อมูลภัยคุกคามทางไซเบอร์กับหน่วยงานอื่น ๆ อาทิ กระทรวงพลังงาน การไฟฟ้าส่วนภูมิภาค การไฟฟ้านครหลวง และบริษัท ปตท. จำกัด (มหาชน) พร้อมเดินหน้าขยายเครือข่ายความร่วมมือกับพันธมิตรทั้งในและต่างประเทศ เพื่อยกระดับความปลอดภัยของโครงสร้างพื้นฐานสำคัญของชาติอย่างยั่งยืน

ในปี 2568 กฟผ. มีการดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศที่สำคัญ อาทิ

การพัฒนาบุคลากร โดยการจัดอบรมหลักสูตรความตระหนักทางด้านความมั่นคงปลอดภัยไซเบอร์ในชีวิตประจำวัน ประจำปี 2568 แก่พนักงานทั่วไป และการสนับสนุนให้บุคลากรด้านความมั่นคงปลอดภัยทางไซเบอร์เข้ารับการอบรมเพื่อเพิ่มความรู้ความสามารถ ซึ่งรวมถึงการร่วมการอบรมเชิงปฏิบัติการสำหรับเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) ภายใต้โครงการแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Government Platform for PDPA Compliance: GPPC) ซึ่งเป็นโครงการความร่วมมือระหว่างสำนักงาน
คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) และสำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ (สดช.) เพื่อส่งเสริมให้เกิดการขับเคลื่อนการดำเนินงานการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
การนำระบบดิจิทัลและนวัตกรรมมาใช้ในกระบวนการบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ เพื่อยกระดับขีดความสามารถด้านการบริหารจัดการ การป้องกัน และการ
ตอบสนองให้มีประสิทธิภาพมากขึ้น และนำผลลัพธ์ที่สำคัญของกระบวนการไปเป็นปัจจัยนำเข้าของการจัดทำแผน
การจัดทำแผนงาน Endpoint Management ซึ่งเป็นการบริหารจัดการการใช้งานอุปกรณ์คอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์พกพาขององค์การให้เป็นไปอย่างมีประสิทธิภาพ และแผนงานสิทธิ
การเข้าใช้งานระบบตรวจจับและตอบสนองภัยคุกคามแบบขยาย (Extended Detection and Response: XDR)

การละเมิดความเป็นส่วนตัวและข้อมูลความเป็นส่วนตัวของลูกค้า

ประเภท	ปี 2568		ปี 2567		ปี 2566
ประเภท	จากบุคคลภายนอก	จากหน่วยงานกำกับดูแล	จากบุคคลภายนอก	จากหน่วยงานกำกับดูแล	จากบุคคลภายนอก	จากหน่วยงานกำกับดูแล
จำนวนข้อร้องเรียนที่ได้รับการยืนยันเกี่ยวกับการละเมิดความเป็นส่วนตัวของลูกค้าหรือการทำข้อมูลลูกค้าสูญหาย	0	0	0	0	0	0
จำนวนครั้งที่มีการรั่วไหล การโจรกรรมข้อมูล หรือการทำข้อมูลลูกค้าสูญหาย	0	0	0	0	0	0
รวม	0	0	0	0	0	0

Cookie	Duration	Description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
คุกกี้ของบุคคลที่สาม	11 months	เว็บไซต์นี้ใช้ Google Analytics ซึ่งเป็นหนึ่งในผู้ให้บริการวิเคราะห์เว็บไซต์ที่แพร่หลายและได้รับความไว้วางใจเป็นอย่างมากรายหนึ่ง ในการช่วยให้ กฟผ. เข้าใจว่าผู้เข้าชมหรือผู้ใช้เว็บไซต์มีการใช้งานเว็บไซต์ของ กฟผ. อย่างไร และเข้าใจแนวทางในการปรับปรุงประสบการณ์การท่องเว็บของผู้เข้าชมหรือผู้ใช้เว็บไซต์ให้ดียิ่งขึ้น คุกกี้เหล่านี้อาจมีการติดตามข้อมูลต่าง ๆ เช่น ระยะเวลาที่ผู้เข้าชมหรือผู้ใช้เว็บไซต์ใช้ในการเข้าชมเว็บไซต์หรือหน้าเพจของ กฟผ. ซึ่งจะส่งผลให้ กฟผ. สามารถจัดทำเนื้อหาที่น่าสนใจต่อไปได้
คุกกี้ที่มีความจำเป็น (Necessary Cookies)	11 months	คุกกี้ประเภทนี้มีความจำเป็นอย่างยิ่งต่อการทำงานของเว็บไซต์เพื่อทำให้มั่นใจเรื่องความปลอดภัย ความง่ายในการใช้งานและความสมบูรณ์ของฟังก์ชันการใช้งาน ได้แก่ คุกกี้ที่ทำให้เว็บไซต์สามารถทำหน้าที่ขั้นพื้นฐาน เช่น การเลื่อนสำรวจหน้าเว็บไซต์ หรือทำให้ผู้เข้าชมและ/หรือผู้ใช้เว็บไซต์เข้าสู่ระบบและสามารถเข้าถึงส่วนของเว็บไซต์ที่ถูกสงวนไว้ให้ใช้ได้เฉพาะสมาชิกเท่านั้น เว็บไซต์จะไม่สามารถทำงานอย่างถูกต้องได้เลยหากไม่มีการเก็บรวบรวมคุกกี้เหล่านี้ ทั้งนี้ การจัดวางคุกกี้ประเภทนี้ลงในอุปกรณ์ของท่านจะไม่มี การจัดเก็บข้อมูลซึ่งสามารถระบุตัวตนของท่านได้อย่างเฉพาะเจาะจงแต่อย่างใด
คุกกี้ประสิทธิภาพ (Performance Cookies)	11 months	คุกกี้ประเภทนี้ทำให้ กฟผ. สามารถนับจำนวนผู้เข้าชมเว็บไซต์ และแหล่งที่มาของผู้เข้าชมเหล่านั้น คุกกี้ประเภทนี้ยังทำให้ กฟผ. สามารถเข้าใจว่าผู้เข้าชมและ/หรือผู้ใช้เว็บไซต์มีการปฏิสัมพันธ์กับเว็บไซต์อย่างไรบ้าง และหน้าเว็บไซต์ใดที่ได้รับความนิยมมากที่สุดหรือน้อยที่สุด โดยการเก็บรวบรวมและรายงานข้อมูลโดย ไม่ระบุตัวบุคคลแก่ กฟผ. และช่วยให้ กฟผ. สามารถพัฒนาประสบการณ์การใช้งานเว็บไซต์ของผู้ใช้ หากท่านไม่อนุญาตให้ใช้คุกกี้ประเภทนี้ กฟผ. จะไม่อาจทราบได้ว่าท่านเคยมาเข้าชมเว็บไซต์ของ กฟผ. เมื่อใด และ ไม่สามารถติดตามประสิทธิภาพการประมวลผลของหน้าเว็บไซต์ได้
คุกกี้เพื่อการทำงาน (Functionality Cookies)	11 months	คุกกี้ประเภทนี้อาจถูกติดตั้งไว้โดย กฟผ. หรือผู้ให้บริการซึ่งเป็นบุคคลที่สาม โดยเป็นคุกกี้ประเภทที่ ทำให้เว็บไซต์สามารถปฏิบัติการตามความพึงพอใจของท่าน ยกตัวอย่างเช่น ทำให้เว็บไซต์สามารถจดจำชื่อ ผู้ใช้และรหัสผ่านได้ และจดจำว่าท่านเคยปรับแต่งการใช้หน้าเว็บอย่างไรบ้าง เพื่อการแสดงผลหน้าเว็บ ในครั้งต่อไป หากท่านไม่อนุญาตให้ใช้คุกกี้ประเภทนี้ การให้บริการบางอย่างหรือทั้งหมดของเว็บไซต์อาจ ไม่สามารถทำงานได้อย่างถูกต้อง