ความปลอดภัยทางไซเบอร์

กฟผ. เป็นหนึ่งในหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ด้านพลังงานและสาธารณูปโภค จึงมีความจำเป็นต้องดำเนินงานให้มีความมั่นคงปลอดภัย
ทางไซเบอร์และสารสนเทศ เพื่อป้องกันมิให้เกิดผลกระทบต่อการดำเนินงานและต่อผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้อง

เป้าหมายปี 2567 ผลการดำเนินงาน
● จำนวนการละเมิดกฎหมายดิจิทัลระดับรุนแรง 0 ครั้ง● จำนวนการละเมิดกฎหมายดิจิทัลระดับรุนแรง 0 ครั้ง

นโยบายและความมุ่งมั่น

ในปี 2567 กฟผ. มีการปรับปรุงนโยบายความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ ซึ่งกำหนดให้หน่วยงานสำคัญซึ่งปฏิบัติภารกิจหลักของ กฟผ. และหน่วยงานโครงสร้างพื้นฐานด้านเทคโนโลยี
ทำหน้าที่ควบคุมและกำกับดูแลความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศโดยการระบุความเสี่ยง ป้องกันความเสี่ยง ตรวจสอบและเฝ้าระวังภัยคุกคาม เผชิญเหตุ รวมถึงรักษาและฟื้นฟูความเสียหาย
ที่เกิดจากภัยคุกคามทางไซเบอร์และสารสนเทศ

นอกจากนี้ กฟผ. ยังมีนโยบายและมาตรการอื่น ๆ ที่เกี่ยวข้อง อาทิ นโยบายการคุ้มครองข้อมูลส่วนบุคคล มาตรการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และประกาศความเป็นส่วนตัว (Privacy Notice) สำหรับกิจกรรมต่าง ๆ ที่เกี่ยวข้องกับข้อมูลส่วนบุคคล

นโยบายและประกาศความเป็นส่วนตัวด้านการคุ้มครองข้อมูลส่วนบุคคล

โครงสร้างการดำเนินงาน

เพื่อให้การดำเนินงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ กฟผ. เป็นไปอย่างมีประสิทธิผล และบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศ
ได้สอดคล้องเหมาะสมกับภารกิจขององค์กร กฟผ. จึงแต่งตั้งคณะกรรมการและคณะทำงานที่เกี่ยวข้อง ได้แก่ คณะกรรมการดิจิทัล กฟผ. คณะทำงานบริหารความมั่นคงปลอดภัยไซเบอร์ กฟผ.
คณะทำงานย่อยงานบริหารความเสี่ยงและกำกับการปฏิบัติด้านความมั่นคงปลอดภัยไซเบอร์ และคณะทำงานย่อยงานปฏิบัติการด้านความมั่นคงปลอดภัยไซเบอร์

การบริหารจัดการ

กฟผ. มีแผนงานระยะสั้น ระยะปานกลาง และระยะยาว ในการส่งเสริมความรู้ความสามารถของทรัพยากรมนุษย์ ปรับปรุงกระบวนการทำงาน และจัดหาและบริหารจัดการเทคโนโลยีอย่างเหมาะสม โดยมีการจัดอบรมหลักสูตรต่าง ๆ ด้านความมั่นคงปลอดภัยทางไซเบอร์และหลักสูตรการคุ้มครองข้อมูลส่วนบุคคลให้กับพนักงานที่เกี่ยวข้อง รวมถึงมีการจัดทำเอกสารและบันทึกข้อตกลงในการดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลให้กับคู่ค้าได้รับทราบ เพื่อส่งเสริมการปฏิบัติตามนโยบายและแนวปฏิบัติของ กฟผ. มีการประชุมหารือและ/หรือชี้แจงให้คู่ค้าได้รับทราบเกี่ยวกับการปรับปรุงการดำเนินงานของ กฟผ. ซึ่งอาจเกี่ยวข้องหรือกระทบกับกระบวนการดำเนินงานของคู่ค้า และจัดให้มีการสอบทานกระบวนการดำเนินงานอันนำไปสู่การปรับปรุงเทคโนโลยีในการ
ตรวจสอบการดำเนินงานต่าง ๆ ที่คู่ค้าหรือผู้มีส่วนได้ส่วนเสียอื่น ๆ เกี่ยวข้อง เพื่อป้องกันมิให้เกิดเหตุละเมิดด้านความมั่นคงปลอดภัยฯ

ในปี 2567 กฟผ. มีการดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศที่สำคัญ อาทิ

  • การปรับปรุงกระบวนการและแนวปฏิบัติต่าง ๆ ให้สอดคล้องกับพระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
    เพื่อสร้างความเชื่อมั่นให้กับผู้มีส่วนได้ส่วนเสีย
  • การจัดทำรายงานผลการประเมินความเสี่ยง และแผนบริหารความเสี่ยงทางไซเบอร์และสารสนเทศ นำเสนอต่อคณะทำงานบริหารความมั่นคงปลอดภัยไซเบอร์ กฟผ. คณะทำงานดิจิทัล กฟผ.
    และผู้ว่าการ กฟผ. เห็นชอบ และนำส่งให้แก่สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
  • การดำเนินงานตามแผนบริหารจัดการความมั่นคงปลอดภัยฯ และแผนสื่อสารฯ ได้ตามเป้าหมาย โดยไม่มีเหตุการณ์ความมั่นคงปลอดภัยทางไซเบอร์และสารสนเทศที่เกิดขึ้นจริงและส่งผลกระทบรุนแรงกับองค์การ รวมถึงไม่พบเหตุการณ์ละเมิดพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
  • การสอบทานการดำเนินงาน โดยผู้ตรวจสอบภายนอก ตามมาตรฐาน ISO 27001 ภายใต้ขอบเขตการให้บริการโครงสร้างพื้นฐานทางดิจิทัล และโดยผู้ทวนสอบภายใน ได้แก่ สำนักงานตรวจสอบ
    ภายใน ตามกระบวนการตรวจสอบการปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ 2562
  • การสำรวจและวิเคราะห์สถานภาพการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อปรับปรุงทั้งในด้านบุคลากร กระบวนการ และเทคโนโลยีที่ใช้ รวมถึงติดตามผลการดำเนินงานปรับปรุง
    ดังกล่าว และรายงานให้ผู้บริหารระดับสูงรับทราบ
  • การเข้าร่วมโครงการแพลตฟอร์มภาครัฐเพื่อรองรับการปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Government Platform for PDPA Compliance: GPPC) ซึ่งเป็นโครงการความร่วมมือระหว่างสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลและสำนักงานคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติ เพื่อส่งเสริมให้เกิดการดำเนินงานการขับเคลื่อนตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล โดยจัดให้มีการอบรมหลักสูตรความรู้เกี่ยวกับกฎหมายคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้ปฏิบัติงาน ซึ่งมีพนักงาน กฟผ. เข้าร่วมและผ่านการสอบวัดผล จำนวน 5 คน

การละเมิดความเป็นส่วนตัวและข้อมูลความเป็นส่วนตัวของลูกค้า
ประเภทปี 2567ปี 2566ปี 2565
จากบุคคลภายนอกจากหน่วยงานกำกับดูแลจากบุคคลภายนอกจากหน่วยงานกำกับดูแลจากบุคคลภายนอกจากหน่วยงานกำกับดูแล
จำนวนข้อร้องเรียนที่ได้รับการยืนยันเกี่ยวกับการละเมิดความเป็นส่วนตัวของลูกค้าหรือการทำข้อมูลลูกค้าสูญหาย000000
จำนวนครั้งที่มีการรั่วไหล การโจรกรรมข้อมูล หรือการทำข้อมูลลูกค้าสูญหาย000000
รวม000000