บริษัทฯ กำหนดนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ เพื่อใช้เป็นแนวปฏิบัติในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ

และมีกระบวนการควบคุมด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศตามมาตรฐาน ISO27001 – Information Security Management และControl Objectives for Information and Related Technologies (COBIT) ครอบคุมถึงวิธีการปฏิบัติ (Procedure) ในการใช้งานด้านสารสนเทศ เพื่อบริหารจัดการการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตลอดจนป้องกันและลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

มาตราการป้องกันความเสี่ยง (mitigation actions) จากการคุกคามทางไซเบอร์ และการรั่วไหลของข้อมูลสารสนเทศ
ทบทวนนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างต่อเนื่อง
ซ้อมแผนรับมือภัยคุกคามจากการโจมตีด้านไซเบอร์และแผนการกู้คืนระบบสารสนเทศในบริษัทฯ และร่วมมือกับกลุ่ม GC ในการจัดระบบการบริหารความเสี่ยงตามมาตรฐาน ISO 27001 โดยจัดให้มีการทบทวน และประเมินประสิทธิภาพของแผนการดำเนินงานด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ
จัดตั้งคณะทำงาน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีหน้าที่ในการกำหนดแผนและขั้นตอนการดำเนินงาน รวมถึงการประเมินผลการดำเนินงานของบริษัทฯ ให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
สร้างความตระหนักรู้และเตรียมความพร้อมด้านความปลอดภัยไซเบอร์ให้พนักงานอย่างต่อเนื่อง โดยการจัดการอบรมเกี่ยวกับความเสี่ยงจากการจู่โจมทางไซเบอร์ การรั่วไหลของข้อมูลสารสนเทศ และความรู้ด้าน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตามคู่มือปฏิบัติของบริษัทฯ

กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์
(Process and Infrastructure)

บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์ และทำการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอกเป็นประจำทุกปี ซึ่งจากการตรวจสอบและสอบทานในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบเหตุบกพร่องใด ๆ

นอกจากนี้ บริษัทฯ ได้ดำเนินการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ (Vulnerability Assessment: VA) และการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan) อย่างน้อยปีละ 2 ครั้ง โดยในปี 2563 บริษัทฯ มีการซ้อมแผนฉุกเฉินประจำปี (Cyber Incident Response Tabletop Exercise) เพื่อทดสอบระบบการรักษาความมั่นคงความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของบริษัทฯ โดยได้จำลองสถานการณ์การเกิด Cyber Attack จากการถูกเจาะเข้าระบบปฏิบัติการสารสนเทศของบริษัทฯ โดยบุคคลภายนอก ทำให้ข้อมูลของบริษัทฯ รั่วไหล

อีกทั้ง บริษัทฯ ยังทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอกทุก ๆ 6 เดือน เพื่อเตรียมแผนการป้องกันและแก้ไขจากภัยคุกคาม โดยบริษัทฯ ได้แบ่งระดับความรุนแรง (Vulnerability Severity Levels) ออกเป็น 3 ระดับ ได้แก่ ความรุนแรงระดับสูง (High) คามรุนแรงระดับกลาง (Medium) ความรุนแรงระดับต่ำ (Low)