นโยบายการบริหารจัดการและความมั่นคงปลอดภัยของข้อมูล

   บริษัท กรุงเทพโทรทัศน์และวิทยุ จำกัด (“บริษัท”) ให้ความสำคัญกับการบริหารจัดการข้อมูลและความมั่นคงปลอดภัยของข้อมูลที่บริษัทจัดเก็บ รวบรวม และใช้งานในระบบสารสนเทศของบริษัท บริษัทจึงมีนโยบายในด้านการบริหารจัดการและความมั่นคงปลอดภัยของข้อมูล ให้สามารถควบคุมความเสี่ยงต่างๆ ที่อาจเกิดขึ้นจากภัยคุกคามไซเบอร์รูปแบบใหม่ๆ ลดความเสียหายที่อาจเกิดขึ้นกับข้อมูลที่บริษัทจัดเก็บ
   ทั้งนี้ระบบสารสนเทศและเทคโนโลยีของบริษัท อาจมีการเปลี่ยนแปลง เพื่อเพิ่มประสิทธิภาพในการทำงาน การควบคุมความมั่นคงปลอดภัย การต่อต้านภัยคุกคามต่างๆ ซึ่งอาจส่งผลต่อนโยบายที่อาจมีการเปลี่ยนแปลงเป็นครั้งคราว บริษัทจึงขอแนะนำให้ท่านตรวจสอบนโยบายของบริษัทอย่างสม่ำเสมอ เพื่อประโยชน์ในการรักษาข้อมูล

ข้อ 1. ข้อมูลที่บริษัทจัดเก็บ

• บริษัทมีการจัดเก็บ รวบรวมข้อมูลซึ่งรวมถึงข้อมูลส่วนบุคคล (“หมายถึงข้อมูลที่สามารถระบุตัวตนของบุคคลได้ ไม่ว่าทางตรงหรือทางอ้อม”) ที่เกี่ยวข้องเพื่อใช้สำหรับการประกอบธุรกิจสื่อมวลชน ซึ่งได้แก่ การให้บริการสื่อวิทยุ โทรทัศน์ เว็บไซต์ แอปพลิเคชัน สื่อสังคมออนไลน์ (Social Media) รวมถึงช่องทางการสื่อสารอื่นใดที่จะเกิดขึ้นในอนาคต และเพื่อใช้สำหรับการดำเนินธุรกิจด้านอื่นๆ ของบริษัท โดยข้อมูลที่บริษัทจัดเก็บ รวบรวม และใช้งานในระบบสารสนเทศของบริษัท บริษัทจะจัดเก็บรวบรวมข้อมูลเท่าที่จำเป็น ถูกต้องตามความเป็นจริง และมีมาตรฐานการเก็บรักษาข้อมูลเป็นไปตามมาตรฐานที่กฎหมายกำหนด

ข้อ 2. การบริหารจัดการข้อมูลที่จัดเก็บในระบบสารสนเทศของบริษัท

• การบริหารจัดการข้อมูล
• บริษัทจัดให้มีการพิจารณาถึงประเภทข้อมูลและปริมาณข้อมูลที่อยู่ในระบบสารสนเทศของบริษัททั้งหมด ทั้งเป็นข้อมูลส่วนบุคคลทั่วไปและข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน และจัดทำแบบฟอร์มบันทึกกิจกรรมการประมวลผลข้อมูลทั้งหมดของบริษัท เพื่อใช้สำหรับการกำหนดแนวทางปฏิบัติและมาตรการกำกับดูแลให้การใช้ข้อมูลส่วนบุคคลเป็นไปตามวัตถุประสงค์ในการใช้งานที่ได้แจ้งไว้กับเจ้าของข้อมูลได้รับทราบ สะดวกแก่การใช้งานและเพื่อการป้องการนำไปใช้หรือนำไปเปิดเผยโดยไม่ได้รับอนุญาต เกินวัตถุประสงค์หรือมีการละเมิดโดยมิชอบทางกฎหมาย


• การบริหารจัดการความเสี่ยง
• บริษัทจัดให้มีมาตรการการบริหารความเสี่ยงในการใช้ข้อมูลส่วนบุคคลอย่างรอบคอบและรัดกุม เพื่อให้การใช้ข้อมูลอย่างถูกต้องตามวัตถุประสงค์ มีมาตรการการบริหารความเสี่ยง เพื่อใช้ในการวางแผนการพัฒนาระบบสารสนเทศเพื่อให้เกิดความคุ้มครองของข้อมูลส่วนบุคคลให้มีประสิทธิภาพมากยิ่งขึ้น ป้องกันการรั่วไหลของข้อมูล มาตรการรักษาความมั่นคงปลอดภัยที่มีมาตรฐานและได้รับการปรับปรุงให้ทันสมัย มีความเพียงพอและเหมาะสม


• การบริหารจัดการและการควบคุมผู้ประมวลผลข้อมูล
• บริษัทอาจจัดให้มีการว่าจ้างบริษัทภายนอกหรือหน่วยงานภายนอกมาดำเนินการแทน หรือดำเนินการในนามของบริษัท โดยการดำเนินการดังกล่าวเกี่ยวข้องกับการประมวลผล การเก็บรักษา หรือการนำข้อมูลส่วนบุคคลที่อยู่ในความควบคุมของบริษัท บริษัทจะดำเนินการป้องกันเพื่อมิให้ผู้ประมวลผลข้อมูล นำข้อมูลไปใช้โดยมิชอบ หรือต่ำกว่ามาตรฐานในการคุ้มครองข้อมูลส่วนบุคคลของบริษัท โดยบริษัทอาจทำสัญญาหรือบันทึกข้อตกลงเพื่อควบคุม กำหนดหน้าที่และความรับผิดชอบกับผู้ประมวลผลข้อมูลภายนอก เพื่อป้องกันการละเมิดข้อมูลส่วนบุคคลดังกล่าว


• มาตรการในกรณีเกิดเหตุการณ์ละเมิดข้อมูลส่วนบุคคล
• บริษัทกำหนดให้มีมาตรการและแนวทางในการรับมือกับการละเมิดข้อมูลส่วนบุคคลจากช่องทางต่างๆ โดยจัดให้มีช่องทางการรับแจ้งเหตุ แนวทางการแก้ไขปัญหา การกำหนดผู้รับผิดชอบภายใน ช่องทางการติดต่อประสานงาน การแจ้งเตือนเจ้าของข้อมูลส่วนบุคคลและหน่วยงานที่เกี่ยวข้องทั้งภายในและภายนอกเพื่อป้องกัน ลดผลกระทบและความเสียหายที่อาจเกิดขึ้นให้น้อยที่สุด


• การสร้างความตระหนักในเรื่องการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
• บริษัทจัดให้มีหลักสูตรการฝึกอบรมเกี่ยวกับการสร้างความตระหนักเรื่องความมั่นคงปลอดภัยสารสนเทศ มีการฝึกอบรม ให้ความรู้ความเข้าใจกับผู้ใช้ข้อมูลและผู้ควบคุมข้อมูล เพื่อให้เกิดความตระหนัก ความเข้าใจถึงภัยและผลกระทบ จากการใช้งานระบบสารสนเทศโดยไม่ระมัดระวังหรือรู้เท่าไม่ถึงการณ์ รวมถึงกำหนด ให้มีมาตรการเชิงป้องกันตามความเหมาะสม

ข้อ 3. การรักษาความมั่นคงปลอดภัยของข้อมูล

• บริษัทจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลที่จัดเก็บในระบบสารสนเทศของบริษัท อย่างเหมาะสมเพื่อป้องกันการเข้าถึง การทำลาย การใช้ การแปลง การแก้ไข หรือการเปิดเผยข้อมูลโดยมิชอบหรือไม่ได้รับอนุญาต โดยครอบคลุมถึง
• 1) การสำรองและทดสอบข้อมูล เพื่อป้องกันมิให้ข้อมูลส่วนบุคคลสูญหาย โดยการจัดระบบสำรองข้อมูล การจัดทำแผนการสำรองข้อมูล กำหนดความถี่ในการสำรองข้อมูล สื่อที่ใช้ สถานที่เก็บรักษา วิธีการเก็บรักษาและการขออนุญาตนำไปใช้งาน จัดให้มีการเข้ารหัสข้อมูลในการสำรองข้อมูล (Encrypted) หากมีข้อมูลที่มีความละเอียดอ่อนหรือมีความสำคัญต่อธุรกิจ และจัดทำแผนรองรับ สถานการณ์ฉุกเฉินจากภัยพิบัติที่อาจเกิดกับระบบสารสนเทศ
• 2) การป้องกันโปรแกรมประสงค์ร้ายจากภายนอก เพื่อป้องกันการโจมตีจากภัยคุกคามไซเบอร์ที่พัฒนาขึ้นตามความก้าวหน้าของเทคโนโลยี
• 3) การจัดระดับชั้นความลับของข้อมูล วิธีปฏิบัติในการจัดเก็บข้อมูล และวิธีปฏิบัติในการควบคุมการเข้าถึงข้อมูลแต่ละประเภทชั้นความลับ ทั้งการเข้าถึงโดยตรงและการเข้าถึงผ่านระบบงาน กำหนดบุคคลที่เข้าถึง เพื่อป้องกันการเข้าถึงข้อมูลส่วนบุคคลโดยมิชอบจากทั้งภายในและภายนอกบริษัท
• 4) การกำหนดวิธีการรับส่ง การประมวลผล การจัดเก็บข้อมูลตามระดับชั้นความลับ ตามหน่วยงานและบุคคลที่รับผิดชอบ และการรับส่งข้อมูลสำคัญผ่านเครือข่ายสาธารณะจะต้องได้รับการเข้ารหัส (Encryption) ที่เป็นมาตรฐานสากล
• 5) การแยกระบบที่มีข้อมูลส่วนบุคคลที่สำคัญ ข้อมูลที่มีความละเอียดอ่อน จัดให้มีการจัดเก็บเฉพาะหน่วยงาน ที่ต้องใช้ข้อมูลและบุคคลที่เกี่ยวข้องกับการรับผิดชอบในกิจกรรมเฉพาะตามวัตถุประสงค์ของการจัดเก็บ รวบรวมและใช้ข้อมูล โดยได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคลแล้วเท่านั้น
• 6) จัดให้มีมาตรฐานในการควบคุมการเข้าถึงโดยแยกออกเป็นระดับ แอปพลิเคชัน ระบบปฏิบัติการ ระบบเครือข่าย และศูนย์คอมพิวเตอร์
• 7) การเข้าถึงระบบเครือข่าย จัดให้มีการออกแบบระบบเครือข่ายตามกลุ่มของบริการระบบสารสนเทศที่มีการใช้งาน กลุ่มของผู้ใช้งาน และกลุ่มของระบบสารสนเทศ (Zoning) เพื่อทำให้การควบคุมและป้องกันการบุกรุกได้อย่างเป็นระบบ มีการตั้งค่าการรักษาความปลอดภัยของแต่ละอุปกรณ์เครือข่าย กำหนดวิธีการจำกัดสิทธิ์การใช้งาน เพื่อควบคุมผู้ใช้งานให้สามารถใช้งานเฉพาะเครือข่ายที่ได้รับอนุญาตเท่านั้น
• 8) กำหนดมาตรการในการทำลายข้อมูลและสื่อบันทึกข้อมูลทั้งชนิดถาวรและนำกลับมาใช้ใหม่ ตามประเภทของข้อมูลและระดับชั้นความลับ กำหนดรอบความถี่การทำลายตามระยะเวลาการใช้ข้อมูลของแต่ละกิจกรรม วิธีการทำลาย และผู้รับผิดชอบ เพื่อให้มั่นใจว่าทำลายข้อมูลได้อย่างปลอดภัยและไม่สามารถนำกลับมาใช้ได้อีก
• 9) กำหนดให้มีขั้นตอนการลงทะเบียนเข้าใช้งานหรือเข้าถึงข้อมูลที่จัดเก็บ การยืนยันตัวบุคคลตามรหัสผ่านที่ได้รับอนุญาตและมีมาตรฐานในการกำหนดรหัสผ่านเพื่อความปลอดภัย รวมถึงเพื่อการควบคุมสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลที่จำเป็นเฉพาะกิจกรรมและบุคคลที่เกี่ยวข้องเท่านั้น รวมถึงการบันทึกประวัติการเข้าถึงข้อมูลส่วนบุคคลผ่านระบบสารสนเทศต่างๆ และห้องศูนย์คอมพิวเตอร์เพื่อการตรวจสอบภายหลัง
• 10) กำหนดระดับชั้นการอนุญาตหรือสิทธิ์ในการเข้าถึงข้อมูลและระบบข้อมูล ให้เหมาะสมกับหน้าที่ความรับผิดชอบของผู้ใช้งาน และการบันทึกหรือเปลี่ยนแปลงหรือแก้ไขข้อมูลส่วนบุคคลจะกระทำได้ตามสิทธิ์เฉพาะบุคคลที่มีหน้าที่รับผิดชอบในข้อมูลส่วนบุคคลของแต่ละกิจกรรมเท่านั้น โดยให้มีการทบทวนสิทธิ์การเข้าถึงอย่างสมํ่าเสมอ และมีการติดตั้งระบบบันทึกและติดตามการใช้งานระบบสารสนเทศของบริษัทและตรวจตราการละเมิดความปลอดภัยที่มีต่อระบบข้อมูลสำคัญ (logger)
• 11) กำหนดมาตรการในการแลกเปลี่ยนข้อมูลของหน่วยงานภายในและหน่วยงานภายนอก และกำหนดสัญญาในการรักษาความลับของข้อมูลเพื่อป้องกันการเปิดเผยข้อมูลโดยมิชอบ
• 12) การกำหนดมาตรฐานการอนุญาตให้บุคคลภายนอกเข้าถึงระบบและเครือข่ายภายในของบริษัท เฉพาะพนักงานของบริษัทในเครือ บริษัทคู่ค้าและพันธมิตรของบริษัท ทั้งการระบุตัวตน การพิสูจน์ตัวตน และการกำหนดสิทธิ์เข้าถึงระบบสารสนเทศ ตามความจำเป็นโดยต้องได้รับการอนุญาตจากผู้ควบคุมข้อมูลของแต่ละหน่วยงานเท่านั้น
• 13) การเข้าถึงระบบสารสนเทศจากระยะไกล จัดให้มีการระบุตัวตน การพิสูจน์ตัวตน และการกำหนดสิทธิ์เข้าถึงระบบสารสนเทศและดำเนินการตามความจำเป็นโดยต้องได้รับการอนุญาตจากผู้ควบคุมข้อมูลของแต่ละหน่วยงานเท่านั้น
• 14) จัดให้มีการตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ ที่อาจเกิดขึ้นกับระบบสารสนเทศ อย่างน้อยปีละ 1 ครั้ง โดยกำหนดวิธีการในการประเมินความเสี่ยง และความรุนแรงของผลกระทบที่เกิดจากความเสี่ยง

ข้อ 4. ข้อมูลเกี่ยวกับบริษัทและช่องทางติดต่อ

• หากท่านมีข้อสงสัยเกี่ยวกับนโยบาย ท่านสามารถติดต่อบริษัทได้ที่


• e-mail: data-privacy@ch7.com
• หมายเลขโทรศัพท์ 0 2495 7777
• บริษัท กรุงเทพโทรทัศน์และวิทยุ จำกัด (ช่อง 7HD)
• เลขที่ 998/1 ซอยร่วมศิริมิตร (พหลโยธิน 18/1) ถ.พหลโยธิน แขวงจอมพล เขตจตุจักร กทม. 10900


• บริษัทอาจมีการเปลี่ยนแปลงนโยบายการบริหารจัดการและความมั่นคงปลอดภัยของข้อมูล โดยบริษัทจะมีการประกาศการแก้ไขเปลี่ยนแปลงบนเว็บไซต์ของบริษัท


• มีผลตั้งแต่ วันที่ 1 มิถุนายน พ.ศ. 2564
• บริษัท กรุงเทพโทรทัศน์และวิทยุ จำกัด