EN | TH

ความปลอดภัยทางไซเบอร์และการปกป้องข้อมูล

จากสถานการณ์ในปัจจุบัน การประยุกต์เทคโนโลยี ถือเป็นหนึ่งกลไกสำคัญเพื่อนำองค์กรธุรกิจสู่ความยั่งยืน โดยเฉพาะอย่างยิ่งการปรับเปลี่ยนโครงสร้างสู่ดิจิตอล และการปรับใช้ปัญญาประดิษฐ์อย่างเหมาะสม เพื่อศักยภาพการดำเนินธุรกิจ ซึ่งปัจจัยที่สำคัญในการประยุกต์ใช้เทคโนโลยีอย่างมีประสิทธิภาพ ได้แก่ การบริหารฐานข้อมูล และการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธิภาพ อย่างไรก็ดี จากสถิติในปัจจุบันอาชญากรรมดิจิตอล และภัยการคุกคามทางไซเบอร์ ยังคงมีการโจมตีที่เพิ่มมีจำนวนมากขึ้นแบบมีนัยสำคัญ ซึ่งส่งผลเสียต่อองค์กรทั้งทางตรงและทางอ้อม 

ดังนั้น BDMS ได้เล็งเห็นความสำคัญในการบริหารจัดการระบบเทคโนโลยีและสารสนเทศขององค์กรให้มีความคล่องตัว และยืดหยุ่น รวมถึงการประเมิน และจัดการความเสี่ยงจากคุกคามทางไซเบอร์ เพื่อให้การปรับโครงสร้างองค์กรสู่ความเป็นดิจิตอล ที่มีศักยภาพส่งเสริมธุรกิจ และสอดคล้องกับแนวโน้มเทคโนโลยีและปัญญาประดิษฐ์ ที่ปรับเปลี่ยนอย่างรวดเร็ว

แนวทางการจัดการ

BDMS กำหนดโครงสร้างการกำกับดูแลความมั่นคงปลอดภัยด้านสารสนเทศ รวมทั้งกำหนดนโยบาย แนวปฏิบัติ และมาตรฐานการทำงานสำหรับบริษัทในเครือ เพื่อการใช้งานสารสนเทศและระบบสารสนเทศอย่างเหมาะสมและช่วยป้องกันความเสี่ยงที่อาจเกิดขึ้น 

ความปลอดภัยของผู้ป่วยและมาตรฐานการให้บริการคือ สิ่งที่ BDMS ยึดถือและดำเนินการมาโดยตลอด ซึ่งการจะบรรลุวัตถุประสงค์ดังกล่าว มีปัจจัยและองค์ประกอบที่เกี่ยวข้องมากมาย โดยหนึ่งในองค์ประกอบสำคัญคือ ระบบความมั่นคงปลอดภัยของสารสนเทศที่ BDMS และบริษัทในเครือหลายแห่งได้รับการรับรองมาตรฐาน ISO 27001 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และ ISO 27799 ระบบบริหารจัดการความมั่นคงปลอดภัยของข้อมูลสุขภาพ ตั้งแต่ปี 2563 โดยมีหลักการสำคัญ 3 ประการ ได้แก่ 

แนวทางการบริหารจัดการด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลของ BDMS มีดังนี้: 

• ดำเนินการตามหลักการและมาตรฐานสากล เช่น ISO 27001 และ ISO 27799 เป็นกรอบในการบริหารจัดการความมั่นคงปลอดภัยของข้อมูลด้านสุขภาพ ความมั่นคงปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูล 
• กำกับดูแลการดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์ผ่านคณะกรรมการนโยบายการบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศ 
• จัดอบรมเป็นประจำในด้านความมั่นคงปลอดภัยทางไซเบอร์ เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูลสำหรับบุคลากรทุกระดับ 

ข้อมูลการดำเนินงานที่สำคัญ  

0 กรณี จำนวนข้อร้องเรียนเรื่องความปลอดภัยของข้อมูล 

0 กรณี ที่ได้รับการยืนยันด้านข้อมูลผู้ใช้บริการรั่วไหล ถูกโจรกรรม หรือสูญหาย 

0 กรณี ที่ข้อมูลลูกค้าถูกใช้เพื่อวัตถุประสงค์อื่น 

BDMS ให้ความสำคัญกับความเป็นส่วนตัวของข้อมูลลูกค้า โดยมีการติดตามและประเมินสัดส่วนของผู้ใช้ที่ข้อมูลของพวกเขาถูกนำไปใช้ในวัตถุประสงค์ทุติยภูมิ (Secondary Purposes) 

การกำกับดูแลความมั่นคงปลอดภัยด้านสารสนเทศ 

ด้วยความเข้าใจถึงความสำคัญของการบริหารจัดการระบบสารสนเทศอย่างมีประสิทธิภาพ BDMS จึงให้ความสำคัญกับการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ในฐานะปัจจัยสำคัญที่ส่งผลต่อความยั่งยืนของธุรกิจองค์กร ดังนั้น BDMS จึงได้กำหนดโครงสร้างธรรมาภิบาลด้านความมั่นคงปลอดภัยของข้อมูล รวมถึงกำหนดนโยบาย แนวทางปฏิบัติ และมาตรฐานการดำเนินงานให้กับบริษัทในเครือ เพื่อให้เกิดการใช้งานเทคโนโลยีสารสนเทศและระบบต่าง ๆ อย่างเหมาะสม และเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้น 

ระดับคณะกรรมการ (Board Level) 
BDMS ได้จัดตั้งคณะกรรมการเฉพาะด้านความมั่นคงปลอดภัยของข้อมูล คือ “คณะกรรมการธรรมาภิบาลเทคโนโลยีสารสนเทศ BDMS (BDMS IT Governance Committee)” ซึ่งทำหน้าที่ในระดับคณะกรรมการบริษัท เพื่อกำกับดูแลประเด็นด้านความมั่นคงปลอดภัยของข้อมูล โดยมีหน้าที่หลักในการกำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศ และติดตามการดำเนินการภายในเครือข่ายโรงพยาบาลและธุรกิจอื่น ๆ ที่เกี่ยวข้อง นอกจากนี้ คณะกรรมการยังมีหน้าที่รวบรวมข้อมูล และรายงานผลการบริหารจัดการเทคโนโลยีสารสนเทศต่อคณะกรรมการบริหารความเสี่ยงอย่างสม่ำเสมอ เพื่อให้การบริหารจัดการข้อมูลมีประสิทธิภาพและปลอดภัยสูงสุด คณะกรรมการยังมีหน้าที่บริหารระบบสารสนเทศ ปกป้องความมั่นคงปลอดภัยของข้อมูล และสร้างเครือข่ายการสื่อสารเพื่อให้เป็นไปตามมาตรฐานสากลและข้อกฎหมายทั้งในประเทศไทยและต่างประเทศ ทั้งนี้ มีเป้าหมายเพื่อประเมินขีดความสามารถในการบริหารจัดการด้านไอทีขององค์กร 

ระดับบริหาร (Executive Level) 
คณะกรรมการบริหารจัดการความมั่นคงปลอดภัยของข้อมูล (Information Security Management Committee – ISMC) มี นพ.ชัยรัตน์ ปัณฑุรอัมพร ในฐานะประธาน ได้รับอำนาจเทียบเท่าประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ (Chief Operations Officer: COO) ในการดูแลและติดตามการทำงานของคณะกรรมการ ISMC ซึ่งมีบทบาทและหน้าที่ดังนี้  

• กำหนดและอนุมัติเกณฑ์ระดับความเสี่ยงและความเสี่ยงที่ยอมรับได้ 
• พิจารณาผลการประเมินความเสี่ยงและมาตรการแก้ไขความเสี่ยงที่สำคัญขององค์กร 
• พิจารณาบทลงโทษที่เหมาะสมสำหรับบุคคลที่ละเมิดนโยบายการบริหารจัดการความปลอดภัยด้านสารสนเทศ 
• สนับสนุนทรัพยากรที่จำเป็นในการดำเนินงาน  

BDMS Computer Emergency Response Team (BDMS CERT) มีบทบาทและหน้าที่หลัก ดังนี้  

• ตอบสนองและจัดการกับเหตุการณ์ความมั่นคงปลอดภัยด้านสารสนเทศ (Incident Response)  
• ให้คำแนะนำและแก้ไขภัยคุกคามที่เกี่ยวข้องกับความมั่นคงปลอดภัยด้านสารสนเทศ (Cyber Security Advisor)  
• ติดตาม และเผยแพร่ข่าวสารเหตุการณ์เกี่ยวกับความมั่นคงปลอดภัยด้านสารสนเทศแก่บุคคลที่เกี่ยวข้องในองค์กร 
• ศึกษา และปรับปรุงเครื่องมือและแนวทางการปฏิบัติให้ทันสมัยเพื่อเพิ่มความมั่นคงปลอดภัยด้านสารสนเทศขององค์กร 

 หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับนโยบายและโครงสร้างการกำกับดูแลด้านความมั่นคงสารสนเทศ กรุณาดูเอกสารแนบเรื่อง ‘นโยบายการกำกับดูแลความมั่นคงสารสนเทศ 

โปรแกรมการจัดการความมั่นคงปลอดภัยสารสนเทศ 

BDMS ได้ดำเนินการจัดทำกรอบการทำงานที่ครอบคลุมสำหรับการประเมินและพัฒนาประสิทธิภาพของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System - ISMS) โดยมุ่งเน้นการปกป้องข้อมูลสำคัญอย่างมั่นคง และสนับสนุนการพัฒนาคุณภาพการให้บริการอย่างต่อเนื่อง องค์ประกอบสำคัญของโปรแกรมประกอบด้วย การวิเคราะห์ช่องโหว่ การตรวจสอบภายในและภายนอก และกระบวนการแจ้งเหตุการณ์ด้านความปลอดภัยของพนักงาน 

การวิเคราะห์ช่องโหว่ด้านความมั่นคงปลอดภัยของสารสนเทศ 

BDMS ดำเนินการวิเคราะห์ช่องโหว่ด้านความมั่นคงปลอดภัยของสารสนเทศเป็นประจำ เพื่อตรวจสอบและลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ โดยรวมถึงการทดสอบการโจมตีจำลอง เช่น การทดสอบฟิชชิง (Phishing Test) เพื่อประเมินความพร้อมของระบบ

การตรวจสอบภายในระบบโครงสร้างพื้นฐาน IT และระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ 

BDMS จัดทำแผนการตรวจสอบภายในเพื่อตรวจประเมินระบบ ISMS โดยมีการทบทวนและปรับแผนตรวจสอบตามความเหมาะสมและความเสี่ยงที่อาจเกิดขึ้น ในปี พ.ศ. 2567 ทีมตรวจสอบภายในได้ประเมินประสิทธิภาพของระบบควบคุมภายในในหลายโมดูลของการดำเนินงาน โดยเฉพาะในด้านที่เกี่ยวข้องกับ IT ได้มีการตรวจสอบให้มั่นใจถึงการปฏิบัติตามข้อกำหนดพื้นฐานด้านความมั่นคงปลอดภัยของข้อมูล และการจัดการข้อมูลส่วนบุคคล ครอบคลุม 17 มาตรการตามที่คณะกรรมการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMC) กำหนดไว้ 

การตรวจสอบภายนอกโดยองค์กรอิสระของโครงสร้างพื้นฐานด้านไอทีและ/หรือระบบการจัดการความปลอดภัยของข้อมูล 

BDMS ดำเนินการตรวจสอบโครงสร้างพื้นฐานด้าน IT โดยองค์กรภายนอกที่ได้การรับรองตามมาตรฐานสากล ในปี พ.ศ. 2567 BDMS ได้รับการรับรองมาตรฐานดังนี้: 

ISO 27001 – ระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ 

ISO 27799 – ระบบการจัดการความมั่นคงปลอดภัยสำหรับข้อมูลด้านสุขภาพ 

นอกจากนี้ BDMS ยังมีข้อกำหนดให้ผู้ให้บริการภายนอกที่มีหน้าที่เกี่ยวข้องกับระบบ ISMS ต้องได้รับการรับรองมาตรฐานสากลทั้งสองฉบับข้างต้นเช่นกัน 

กระบวนการแจ้งเหตุการณ์สำหรับพนักงาน 

BDMS ได้กำหนดขั้นตอนการแจ้งเหตุการณ์ที่ชัดเจนสำหรับพนักงาน ในกรณีที่พบเหตุการณ์ด้านความมั่นคงปลอดภัย ช่องโหว่ หรือกิจกรรมต้องสงสัย โดยระบุไว้ในเอกสาร “Security Incident Management Procedure” ซึ่งระบุหน้าที่ของหน่วยงานที่เกี่ยวข้อง ได้แก่ แผนกบริการความมั่นคงปลอดภัยสารสนเทศ และทีม BDMS CERT ที่จะทำหน้าที่รับเรื่องและจัดการเหตุการณ์ 

พนักงานมีหน้าที่ประสานงานและรายงานเหตุการณ์ด้านความมั่นคงปลอดภัยไปยังแผนกบริการความมั่นคงปลอดภัยสารสนเทศโดยทันที เพื่อให้สามารถแจ้งไปยังทีม BDMS CERT ได้อย่างทันท่วงทีเมื่อพบเหตุการณ์ผิดปกติหรือข้อบกพร่องด้านความปลอดภัย 

นโยบายคุ้มครองข้อมูลส่วนบุคคลของ BDMS

BDMS ประกาศใช้นโยบายในการดำเนินงานให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 (Policy on Personal Data Protection Act B.E. 2562 Compliance) เพื่อเป็นหลักการและวิธีปฏิบัติในการจัดการข้อมูลให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของประเทศไทย พ.ศ.2562 ครอบคลุมคณะกรรมการบริษัท ผู้บริหารสูงสุด พนักงาน ผู้รับจ้าง และผู้ที่ดำเนินธุรกิจกับ BDMS ซึ่งเป็นการแสดงความรับผิดชอบในการดูแลข้อมูลและระบบสารสนเทศและปกป้ององค์กรจากความเสี่ยงของการละเมิดข้อมูลส่วนบุคคล โดยกำหนดให้หน่วยงานธุรกิจทั้งหมดรับผิดชอบในการจัดการข้อมูลและดำเนินการตามนโยบายที่ได้รับการทบทวนหากมีกฎหมายใหม่หรือมีการเปลี่ยนแปลงข้อกำหนด โดยคณะกรรมการ ISMC (Information Security Management Committee) แต่งตั้งจากคณะกรรมการบริษัท BDMS ซึ่งคณะกรรมการ ISMC มีความรับผิดชอบโดยตรงในการกำกับดูแลตามนโยบายนี้ และมอบหมายความรับผิดชอบแก่ทุกหน่วยงานธุรกิจในเครือ BDMS เพื่อการปฏิบัติตาม 

คณะทำงานด้านข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยสารสนเทศ

BDMS ได้ตั้งคณะทำงานด้านข้อมูลส่วนบุคคลและความมั่นคงปลอดภัยสารสนเทศซึ่งมีหน้าที่ ดังนี้ 

1. กำหนดแนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้านสารสนเทศเพื่อเสนอคณะกรรมการ ISMC (Information Security Management Committee) อนุมัติ 

2. ให้ความเห็นเพื่อพัฒนาและปรับปรุงการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้านสารสนเทศของ BDMS และเครือข่าย BDMS ให้ได้มาตรฐานสากล 

3. ติดตามการดำเนินงานด้านการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้านสารสนเทศของแต่ละบริษัทให้เป็นไปตามนโยบายของ BDMS และกฎหมายที่เกี่ยวข้อง 

4. เป็นตัวแทนในการสื่อสารเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลและความปลอดภัยด้านสารสนเทศของ BDMS ให้ผู้บริหารระดับสูงของแต่ละบริษัทรับทราบ 

5. ให้คำแนะนำเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลและเหตุการณ์ด้านความปลอดภัยทางสารสนเทศ 

6. ประเมินผลกระทบและรายงานเหตุการณ์ข้อมูลส่วนบุคคลและการละเมิดความปลอดภัยด้านสารสนเทศของแต่ละบริษัทให้คณะกรรมการ ISMC รับทราบทันที 

7. ดำเนินการตามมติของคณะทำงานตามความเหมาะสมเพื่อระงับเหตุหรือสนับสนุนให้การดำเนินงานเป็นไปโดยราบรื่นและเกิดประโยชน์สูงสุดต่อบริษัท พร้อมทั้งรายงานเรื่องให้คณะกรรมการ ISMC รับทราบ 

นโยบายความเป็นส่วนตัวของผู้รับบริการตรวจและรักษาโรค (Patient Privacy Notice) 

BDMS จะประมวลผลข้อมูลส่วนบุคคลของผู้ใช้บริการตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยอาศัยหลักความจำเป็นเท่าที่ชอบด้วยกฎหมาย (Lawful Basis of Processing) หรือเมื่อได้รับความยินยอมจากผู้ใช้บริการทุกคน ในการเปิดเผยข้อมูลส่วนบุคคลด้านสุขภาพแก่คณะแพทย์ พยาบาล และ/หรือ บุคลากรอื่น ๆ ในสถานพยาบาลโดยมีระยะเวลาในการเก็บรักษาข้อมูลส่วนบุคคลตามข้อกำหนดที่เกี่ยวข้องไม่เกิน 10 ปีนับจากวันที่รับการรักษาพยาบาลครั้งสุดท้าย ก่อนทำลายข้อมูลทั้งหมดทั้งในรูปแบบกระดาษและรูปแบบอิเล็กทรอนิกส์ทิ้ง ยกเว้นกรณีข้อพิพาทที่จำเป็นต้องเก็บข้อมูลไว้หรือเป็นไปตามคำสั่งของหน่วยงานภาครัฐ 

สิทธิเจ้าของข้อมูลส่วนบุคคลตาม PDPA (BDMS Data Subject Rights According to PDPA)

เจ้าของข้อมูลส่วนบุคคลสามารถยื่นคำร้องขอดำเนินการข้อมูลส่วนบุคคลตามสิทธิของเจ้าของข้อมูลส่วนบุคคลที่กำหนดในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ผ่านช่องทางที่เป็นลายลักษณ์อักษร โทรศัพท์ หรืออีเมล ซึ่งต้องดำเนินการแล้วเสร็จภายใน 30 วัน ตามรายละเอียดดังนี้ 

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO) 

ใน พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มีการระบุบทบาทและหน้าที่ของผู้ที่มีส่วนเกี่ยวข้องต่อข้อมูลส่วนบุคคลอยู่หลายตำแหน่ง หนึ่งในนั้นคือ เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) หรือที่มักเรียกย่อว่า DPO โดยเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล คือ บุคคลผู้ได้รับมอบหมายเพื่อทำหน้าที่ดูแล ให้คำแนะนำ หรือตรวจสอบการคุ้มครองข้อมูลส่วนบุคคลในองค์กร ให้เป็นไปตามกฎหมายที่ได้กำหนดไว้ 

โดย BDMS เองได้มีการแต่งตั้งเจ้าหน้าที่ DPO ให้เป็นไปตามมาตรา 42 ที่กฎหมายกำหนดไว้ ตลอดจนเจ้าหน้าที่ DPO สามารถเข้าถึงผู้บริหารได้โดยตรงเพื่อรายงานให้ทราบเมื่อเกิดปัญหาข้อมูลส่วนบุคคลรั่วไหล หรือเห็นช่องโหว่ของการดูแลรักษาข้อมูลส่วนบุคคลที่สุ่มเสี่ยงหรือผิดไปจากข้อกำหนดของกฎหมายก็สามารถรายงานต่อผู้บริหารที่มีอำนาจโดยตรงได้ เพื่อให้ผลักดันนำไปสู่การเพิ่มเติมนโยบายการดูแลคุ้มครองข้อมูลส่วนบุคคลภายในองค์กรที่รัดกุมต่อไป 

มาตรา 42 เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลมีหน้าที่ ดังต่อไปนี้ 

(1) ให้คำแนะนำแก่ผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้ง ลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับการปฏิบัติ ตามพระราชบัญญัตินี้  

(2) ตรวจสอบการดำเนินงานของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลเกี่ยวกับ การเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลเพื่อให้เป็นไปตามพระราชบัญญัตินี้  

(3) ประสานงานและให้ความร่วมมือกับสำนักงานในกรณีที่มีปัญหาเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคล รวมทั้งลูกจ้างหรือผู้รับจ้างของผู้ควบคุมข้อมูลส่วนบุคคลหรือผู้ประมวลผลข้อมูลส่วนบุคคลในการปฏิบัติ ตามพระราชบัญญัตินี้  

(4) รักษาความลับของข้อมูลส่วนบุคคลที่ตนล่วงรู้หรือได้มาเนื่องจากการปฏิบัติหน้าที่ ตามพระราชบัญญัตินี้ 

นโยบายการเปิดเผยข้อมูลและสารสนเทศของบริษัท  

นโยบายการเปิดเผยข้อมูลนี้เป็นส่วนหนึ่งของนโยบายการกำกับดูแลกิจการที่ดีของ บริษัท กรุงเทพดุสิตเวชการ จำกัด (มหาชน) บริษัทมุ่งมั่นในการให้ข้อมูลอย่างเท่าเทียมกันแก่ผู้ถือหุ้น สถาบันการเงิน นักลงทุน รวมไปถึงผู้ที่ต้องการใช้ข้อมูลทางการเงิน และสาธารณชนทั่วไป โดยให้ความสำคัญอย่างที่สุดในการสื่อสารอย่างเปิดเผยครบถ้วน ถูกต้อง ตรงเวลาและสม่ำเสมอ เกี่ยวกับข้อมูลในอดีตและการสร้างมูลค่าในอนาคต ไม่เลือกปฏิบัติต่อข้อมูลทั้งในด้านบวกหรือด้านลบ แต่บริษัทยังคงตระหนักถึงความจำเป็นในการเก็บความลับทางธุรกิจเกี่ยวกับข้อมูลทางธุรกิจที่สำคัญและ     กลยุทธ์ในการดำเนินงาน

ทั้งนี้นโยบายนี้จะสอดคล้องกับหลักเกณฑ์และข้อกำหนดการเปิดเผยข้อมูลของตลาดหลักทรัพย์แห่งประเทศไทย สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ และกฎระเบียบต่างๆ ที่เกี่ยวข้อง บริษัทฯ ได้ประกาศนโยบายการเปิดเผยข้อมูลและสารสนเทศของบริษัท ไว้ดังต่อไปนี้

นโยบายการเปิดเผยข้อมูลและสารสนเทศของบริษัท

การควบคุมผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เพื่อให้ข้อมูลมีความปลอดภัย 

เนื่องด้วย BDMS มีการว่าจ้างบริษัทคู่ค้าต่างๆ เพื่อวัตถุประสงค์ทางธุรกิจของบริษัท ดังนั้น BDMS ในฐานะที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) จึงมีความตระหนักในการที่จะควบคุมข้อมูลส่วนบุคคลกับบริษัทคู่ค้าซึ่งอยู่ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เพื่อให้เกิดความปลอดภัยทางด้านข้อมูลสูงสุด ซึ่งต้องไม่ขัดหรือแย้งกับที่กฎหมายกำหนด 

BDMS กำหนดให้มีข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) กับผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) โดยข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement) จะต้องกำหนดหน้าที่ให้ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ดำเนินการอย่างน้อยดังนี้ 

การประเมินการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล 

BDMS จัดการประเมินการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูลใน 5 โดเมน (ความเสี่ยงในการกำหนดค่าความปลอดภัย ความเสี่ยงในการควบคุมการเข้าถึง ความเสี่ยงในการเก็บรักษาและกำจัด แนวทางปฏิบัติที่ดีที่สุดสำหรับความเสี่ยงในการรวบรวมและถ่ายโอนข้อมูล และความเสี่ยงด้านความปลอดภัยของข้อมูล) และดำเนินการประเมินเป็นประจำทุกปี ผลการประเมินเป็นไปตามมาตรการการประเมินความปลอดภัยของข้อมูล 100% ซึ่งเป็นไปตามข้อกำหนดด้านความปลอดภัยของข้อมูลทั้งหมดของ BDMS