การกำกับดูแลและเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
บริษัทฯ กำหนดนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ เพื่อใช้เป็นแนวปฏิบัติในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ
และมีกระบวนการควบคุมด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศตามมาตรฐาน ISO27001 – Information Security Management และControl Objectives for Information and Related Technologies (COBIT) ครอบคุมถึงวิธีการปฏิบัติ (Procedure) ในการใช้งานด้านสารสนเทศ เพื่อบริหารจัดการการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตลอดจนป้องกันและลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น
กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์
(Process and Infrastructure)
บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์ และทำการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอกเป็นประจำทุกปี ซึ่งจากการตรวจสอบและสอบทานในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบเหตุบกพร่องใด ๆ
นอกจากนี้ บริษัทฯ ได้ดำเนินการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ (Vulnerability Assessment: VA) และการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan) อย่างน้อยปีละ 2 ครั้ง โดยในปี 2563 บริษัทฯ มีการซ้อมแผนฉุกเฉินประจำปี (Cyber Incident Response Tabletop Exercise) เพื่อทดสอบระบบการรักษาความมั่นคงความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของบริษัทฯ โดยได้จำลองสถานการณ์การเกิด Cyber Attack จากการถูกเจาะเข้าระบบปฏิบัติการสารสนเทศของบริษัทฯ โดยบุคคลภายนอก ทำให้ข้อมูลของบริษัทฯ รั่วไหล
อีกทั้ง บริษัทฯ ยังทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอกทุก ๆ 6 เดือน เพื่อเตรียมแผนการป้องกันและแก้ไขจากภัยคุกคาม โดยบริษัทฯ ได้แบ่งระดับความรุนแรง (Vulnerability Severity Levels) ออกเป็น 3 ระดับ ได้แก่ ความรุนแรงระดับสูง (High) คามรุนแรงระดับกลาง (Medium) ความรุนแรงระดับต่ำ (Low)