นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ

ประกาศบริษัท ราช กรุ๊ป จำกัด (มหาชน)

ที่ 5/2568

เรื่อง นโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และปัญญาประดิษฐ์

บริษัท ราช กรุ๊ป จำกัด (มหาชน) (บริษัทฯ) ตระหนักถึงความสำคัญของเทคโนโลยีสารสนเทศ ระบบเครือข่าย และปัญญาประดิษฐ์ ที่นำมาใช้เป็นเครื่องมือเพื่อเสริมสร้างประสิทธิภาพและประสิทธิผลการดำเนินงานขององค์กรให้ไปสู่ความเป็นเลิศ อีกทั้ง ยังมุ่งมั่นที่จะขับเคลื่อนธุรกิจในยุคดิจิทัลเพื่อสร้างนวัตกรรมและคุณค่าแก่ผู้มีส่วนได้เสีย รวมทั้งการเติบโตขององค์กรอย่างยั่งยืน โดยยึดมั่นในการปกป้องข้อมูล ระบบ และการใช้ปัญญาประดิษฐ์ (Artificial Intelligence : AI) อย่างมั่นคงปลอดภัย มีธรรมาภิบาล และรับผิดชอบ

บริษัทฯ จึงได้กำหนดนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทาง ไซเบอร์ และปัญญาประดิษฐ์ ที่สอดคล้องกับหลักกฎหมายและมาตรฐานสากลที่เกี่ยวข้อง เพื่อให้มั่นใจว่าการใช้ และการบริหารจัดการเทคโนโลยีดังกล่าวมีความมั่นคง ปลอดภัย โปร่งใส และเชื่อถือได้ พร้อมทั้งให้ยกเลิก ประกาศบริษัท ราช กรุ๊ป จำกัด (มหาชน) ที่ 2/2562 เรื่อง นโยบายการใช้งานระบบเครือข่ายและคอมพิวเตอร์ ลงวันที่ 17 เมษายน 2562 และประกาศบริษัท ราช กรุ๊ป จำกัด (มหาชน) ที่ 2/2564 เรื่อง นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ลงวันที่ 15 มกราคม 2564

1. เพื่อกำหนดกรอบการดำเนินการด้านการบริหารจัดการเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) เพื่อคุ้มครองความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูลหรือสารสนเทศของบริษัทฯ
2. เพื่อป้องกันและรับมือภัยคุกคามทางไซเบอร์ทุกรูปแบบ ลดความเสี่ยงและผลกระทบต่อสารสนเทศของบริษัทฯ ให้มีความปลอดภัย สามารถดำเนินธุรกิจตอบสนองยุทธศาสตร์และเป้าหมายของบริษัทฯ ได้อย่างต่อเนื่อง
3. เพื่อกำกับดูแลการบริหารจัดการเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) ให้สอดคล้องกับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และฉบับแก้ไขเพิ่มเติม พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.2562 และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงกฎหมายอื่น ๆ ที่เกี่ยวข้อง
4. เพื่อให้แนวทางการบริหารจัดการเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) สอดคล้องกับมาตรฐานสากล ได้แก่ NIST Cybersecurity Framework, OECD AI Principles เป็นต้น รวมถึงแนวปฏิบัติสากลอื่น ๆ ที่เกี่ยวข้อง
5. เพื่อให้การดำเนินงานดังกล่าว สอดคล้องกับระเบียบ นโยบาย ประกาศ คำสั่ง ของบริษัทที่เกี่ยวข้อง โดยมีการนำเทคโนโลยีสารสนเทศและไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) มาใช้ในการสนับสนุนการดำเนินธุรกิจ และบริหารความเสี่ยงอย่างเหมาะสม สอดคล้องกับการกำกับดูแลกิจการที่ดี

1. นโยบายนี้มีผลบังคับใช้กับ คณะกรรมการบริษัทฯ ผู้บริหาร ผู้ปฏิบัติงานของบริษัทฯ กิจการที่บริษัทฯมีอำนาจบริหาร ตลอดจนบุคคลในห่วงโซ่อุปทานที่เกี่ยวข้องกับทรัพย์สินและระบบทั้งหมดขององค์กร ประกอบด้วย ระบบเทคโนโลยีสารสนเทศทั้งหมด ข้อมูลและทรัพย์สินดิจิทัลขององค์กร อุปกรณ์ที่เชื่อมต่อกับเครือข่ายองค์กร โดยไม่จำกัดสถานที่หรือเวลาในการใช้งาน
2. บริษัทฯ ส่งเสริมและสนับสนุนการสร้างความตระหนักรู้เกี่ยวกับความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) แก่กลุ่มบุคคลดังกล่าว ด้วย บรรดาประกาศ หลักเกณฑ์ คำสั่ง หรือแนวปฏิบัติอื่นใด หรือซึ่งขัดหรือแย้งกับประกาศนี้ ให้ใช้ประกาศนี้แทน

1. “บริษัทฯ/องค์กร” หมายความว่า บริษัท ราช กรุ๊ป จำกัด (มหาชน)
2. “นโยบาย” หมายความว่า หลักการเกี่ยวกับการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศความมั่นคงปลอดภัยทางไซเบอร์ และปัญญาประดิษฐ์ (AI) ที่บริษัทฯ กำหนดขึ้น โดยได้รับความเห็นชอบจากกรรมการผู้จัดการใหญ่ และลงนามประกาศบังคับใช้
3. “แนวปฏิบัติ” หมายความว่า ข้อปฏิบัติเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) ที่บริษัทฯ กำหนดขึ้นและประกาศใช้งานเพื่อให้ผู้ใช้งานปฏิบัติตามโดยเคร่งครัด
4. “กิจการที่บริษัทฯ มีอำนาจบริหาร” หมายความว่า กิจการที่บริษัทฯ สามารถควบคุมและสั่งการได้ ไม่ว่าจะเป็นการถือหุ้นที่มีสิทธิออกเสียงเกินกว่าร้อยละ 50 หรือการมีอำนาจควบคุมคะแนนเสียงส่วนใหญ่ในที่ประชุมผู้ถือหุ้น อำนาจบริหารนี้รวมถึงการตัดสินใจและดูแลการดำเนินงานของบริษัทฯ และมีการใช้ระบบเทคโนโลยีสารสนเทศ และ/หรือระบบเครือข่ายและคอมพิวเตอร์ การใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) ร่วมกัน
5. “ห่วงโซ่อุปทาน” หมายความว่า เครือข่ายความสัมพันธ์ระหว่างบริษัทฯ คู่ค้าของบริษัทฯ ผู้รับจ้างของ คู่ค้าที่เกี่ยวข้องกับการดำเนินงานบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และปัญญาประดิษฐ์ (AI) ของบริษัทฯ และกิจการที่บริษัทฯ มีอำนาจบริหารที่เกี่ยวข้อง
6. “สารสนเทศ” หมายความว่า ข้อมูล ข่าวสาร บันทึก ประวัติ ข้อความในเอกสาร โปรแกรมคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ รูปภาพ เสียง เครื่องหมาย และสัญลักษณ์ต่าง ๆ ไม่ว่าจะเก็บไว้ในรูปแบบที่สามารถสื่อความหมายให้บุคคลสามารถเข้าใจได้โดยตรง หรือผ่านคอมพิวเตอร์ หรือวิธีอื่นใดที่ทำให้สิ่งที่บันทึกไว้ปรากฎได้
7. “ระบบสารสนเทศ” หมายความว่า ระบบที่รวบรวม จัดเก็บ ประมวลผล และแจกจ่ายข้อมูล เพื่อให้เกิดสารสนเทศที่เป็นประโยชน์ต่อการตัดสินใจและการดำเนินงานของบุคคลหรือองค์กร ระบบนี้ประกอบด้วยองค์ประกอบสำคัญหลายอย่าง ได้แก่ ฮาร์ดแวร์, ซอฟต์แวร์, ข้อมูล, บุคคล, กระบวนการ, และเครือข่าย หน้าที่หลักคือการแปลงข้อมูลดิบให้เป็นสารสนเทศที่มีความหมาย เพื่อช่วยในการบริหารจัดการและบรรลุเป้าหมายขององค์กร
8. “เทคโนโลยีสารสนเทศ” หมายความว่า เทคโนโลยีที่นำมาใช้ในการดำเนินธุรกิจ ซึ่งครอบคลุมถึงข้อมูลหรือสารสนเทศ (DATA/Information) ระบบปฏิบัติการ (Operating System) ระบบงาน (Application System) ระบบฐานข้อมูล (Database System) อุปกรณ์คอมพิวเตอร์และเครือข่าย (Hardware) และระบบเครือข่ายสื่อสาร (Communication System) เป็นต้น
9. “ความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ” หมายความว่า การปกป้องระบบสารสนเทศและข้อมูลให้มีความลับ (Confidentiality) ถูกต้องครบถ้วน (Integrity) และพร้อมใช้งาน (Availability) อยู่เสมอ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปลี่ยนแปลง หรือการทำลายข้อมูล โดยอาศัยมาตรการต่าง ๆ ทั้งด้านการบริหาร เทคนิค และกายภาพ เพื่อรับมือกับภัยคุกคามต่าง ๆ
10. “ไซเบอร์” หมายความว่า ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการบริการปกติของดาวเทียมและระบบเครือข่ายที่คล้ายคลึงกันที่เชื่อมต่อกันเป็นการทั่วไป
11. “ความมั่นคงปลอดภัยทางไซเบอร์” หมายความว่า มาตรการหรือการดำเนินการที่กำหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทุกรูปแบบทั้งจากภายในและภายนอกบริษัทฯ ที่ส่งผลกระทบต่อการดำเนินธุรกิจของบริษัทฯ ความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ
12. “ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทำหรือการดำเนินการใด ๆ โดยมิชอบ โดยใช้คอมพิวเตอร์ หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่งหมายให้เกิดความเสียหายหรือผิดปกติต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ส่งผลกระทบต่อการทำงานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง
13. “ปัญญาประดิษฐ์ (Artificial Intelligence : AI)” หมายความว่า เทคโนโลยีที่ถูกพัฒนาขึ้นเพื่อให้ระบบประมวลผลของคอมพิวเตอร์ หุ่นยนต์ เครื่องจักร หรืออุปกรณ์อิเล็กทรอนิกส์ต่าง ๆ มีคุณสมบัติหรือพฤติกรรมใกล้เคียงมนุษย์ตามวัตถุประสงค์ที่มนุษย์กำหนด เช่น การเรียนรู้ การรับรู้และตอบสนองต่อสภาพแวดล้อม การให้เหตุผล และการแก้ไขปัญหา เป็นต้น

1. บริษัทฯ จะดำเนินการบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้ปัญญาประดิษฐ์ ให้สอดคล้องกับหลักการชี้แนะของกฎหมายและระเบียบข้อบังคับของทางราชการ นโยบายของบริษัทฯ ที่เกี่ยวข้อง รวมทั้งมาตรฐานที่สากลยอมรับ เช่น ISO/IEC 27001, NIST Cybersecurity Framework, OECD AI Principles เป็นต้น
2. บริษัทฯ กำหนดให้มีแนวปฏิบัติเกี่ยวกับความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) เพื่อให้ผู้ที่เกี่ยวข้องยึดถือปฏิบัติในการดำเนินงานป้องกันภัยคุกคาม ลดความเสี่ยงจากผู้บุกรุก ในการใช้งานเทคโนโลยีสารสนเทศ ไซเบอร์ และเทคโนโลยีปัญญาประดิษฐ์ (AI) ของบริษัทฯ
3. บริษัทฯ กำหนดให้มีแนวปฏิบัติเกี่ยวกับความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) มาใช้ในการสนับสนุน พัฒนาธุรกิจ และบริหารความเสี่ยงอย่างเหมาะสมและครอบคลุม ดังนี้
   1. จัดให้มีโครงสร้างการบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) อย่างเป็นระบบ โดยระบุบทบาท ความรับผิดชอบ และหน้าที่ของผู้เกี่ยวข้องทุกระดับไว้อย่างชัดเจน เพื่อให้การกำกับดูแลด้านเทคโนโลยีสารสนเทศ ไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) เป็นไปอย่างมีประสิทธิภาพ
   2. จัดให้มีการระบุความเสี่ยง การประเมินความเสี่ยง และการกำหนดระดับความเสี่ยงที่ยอมรับได้ รวมถึงการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) โดยการสำรวจและจัดทำบัญชีรายการทรัพย์สินที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ พร้อมทั้งประเมินความเสี่ยงที่อาจส่งผลกระทบต่อความมั่นคงของระบบและข้อมูล เพื่อให้สามารถวางแผนการป้องกันที่เหมาะสมกับระดับความเสี่ยง และรับมือต่อภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นในอนาคต
   3. มุ่งเน้นการใช้มาตรการควบคุมเพื่อป้องกันไม่ให้เกิดการเข้าถึงหรือใช้ข้อมูลโดยไม่ได้รับอนุญาต รวมถึงการป้องกันการสูญหายหรือถูกทำลายของข้อมูล ด้วยการนำเทคโนโลยีที่เหมาะสมมาปรับใช้ เช่น ระบบควบคุมสิทธิ์ (Access Control), ระบบป้องกันภัยคุกคามทางไซเบอร์ (Endpoint Protection), การเข้ารหัสข้อมูล ตลอดจนมีการฝึกอบรมให้พนักงานมีความตระหนักรู้ด้านเทคโนโลยีสารสนเทศ ไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) อย่างต่อเนื่อง
   4. จัดให้มีระบบและกระบวนการในการตรวจสอบและตรวจจับเหตุการณ์ผิดปกติ การจัดการเหตุละเมิดความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ หรือภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นภายในระบบเทคโนโลยีสารสนเทศแบบเรียลไทม์ โดยใช้เครื่องมือที่สามารถวิเคราะห์ภัยคุกคามทางไซเบอร์และแจ้งเตือนล่วงหน้าได้ เพื่อให้สามารถตอบสนองและจัดการความเสี่ยงได้อย่างทันท่วงที และลดผลกระทบที่อาจเกิดกับองค์กร รวมทั้งปรับปรุงกระบวนการให้มีประสิทธิภาพอย่างสม่ำเสมอ สามารถจำกัดขอบเขต แก้ไข บรรเทาผลกระทบและเยียวยา รวมถึงการกู้คืนการดำเนินธุรกิจและทรัพย์สินสารสนเทศอย่างทันท่วงที
   5. กำหนดให้มีแนวทางและแผนรับมือภัยคุกคามทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) ที่ครอบคลุมถึงระดับภัยคุกคามทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) กระบวนการรับแจ้ง การตรวจสอบ การจำกัดผลกระทบ ตลอดจนการฟื้นฟูระบบ พร้อมแต่งตั้งทีมรับมือเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Incident Response Team หรือ CIRT) เพื่อให้สามารถดำเนินการแก้ไขและควบคุมสถานการณ์ได้อย่างเป็นระบบ และลดความเสียหายให้เหลือน้อยที่สุด
   6. กำหนดให้มีการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan หรือ BCP) และแผนฟื้นฟูระบบเทคโนโลยีสารสนเทศ (Disaster Recovery Plan หรือ DRP) เพื่อให้องค์กรสามารถกลับมาดำเนินงานได้อย่างรวดเร็วและต่อเนื่องภายหลังจากภัยคุกคามทางไซเบอร์ โดยมีกระบวนการทบทวนและปรับปรุงแผนฟื้นฟูอย่างสม่ำเสมอ พร้อมนำบทเรียนจากเหตุการณ์ที่ผ่านมาไปปรับปรุงแนวทางการบริหารจัดการอย่างเป็นระบบ
4. บริษัทฯ กำหนดหลักเกณฑ์การใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) ให้สอดคล้องกับหลักจริยธรรม กฎหมาย และแนวทางที่เหมาะสม สามารถตรวจสอบได้ ตามหลักการของ OECD AI Principles
5. บริษัทฯ กำหนดให้มีกระบวนการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการใช้งานเทคโนโลยีปัญญาประดิษฐ์ (AI) อย่างรับผิดชอบ แก่ คณะกรรมการบริษัทฯ ผู้บริหาร ผู้ปฏิบัติงานของบริษัทฯ กิจการที่บริษัทฯ มีอำนาจบริหาร ตลอดจนผู้ที่เกี่ยวข้องในห่วงโซ่อุปทานอย่างสม่ำเสมอ

1. คณะทำงานบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ มีหน้าที่ตามคำสั่ง บริษัท ราช กรุ๊ป จำกัด (มหาชน) ที่ ค.13/2568 เพื่อให้มีการกำกับดูแลให้เป็นไปตามนโยบาย
2. กำหนดให้มีการทบทวนนโยบาย และแนวปฏิบัติอย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าหลักการของนโยบายนี้สอดคล้องกับบริบทของบริษัทฯ และธุรกิจในขณะนั้น หรือเมื่อมีการเปลี่ยนแปลงด้านกฎหมาย เทคโนโลยี หรือภัยคุกคามที่เกี่ยวข้อง

บุคคลใดกระทำการ ที่เป็นการละเมิด ฝ่าฝืน หรือไม่ปฏิบัติตามนโยบายฉบับนี้ บริษัทฯ จะพิจารณาดำเนินการทางวินัยตามข้อบังคับเกี่ยวกับการทำงาน และหากการกระทำนั้นเข้าข่ายเป็นความผิดทางกฎหมายอาจจะต้องได้รับโทษทางกฎหมายด้วย

จึงประกาศมาเพื่อทราบและถือปฏิบัติโดยทั่วกัน

ประกาศ ณ วันที่ 17 ตุลาคม 2568

กรรมการผู้จัดการใหญ่