การกำกับดูแลและเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
ความท้าทายและความมุ่งมั่น
ปัจจุบันเทคโนโลยีสารสนเทศมีแนวโน้มพัฒนาและเติบโตอย่างรวดเร็ว รวมถึงเข้ามามีบทบาทสำคัญในการดำเนินธุรกิจขององค์กรทั่วโลก ส่งผลให้ประเด็นภัยคุกคามไซเบอร์ถือเป็นความเสี่ยงที่สำคัญ และถือเป็นความท้าทายสำหรับองค์กรทั่วโลกในการเตรียมความพร้อมรับมือ ทั้งนี้ บริษัทฯ ตระหนักถึงความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ไม่ว่าจะเป็นอุปสรรคที่เกิดจากการจู่โจมทางระบบเทคโนโลยีสารสนเทศจากภายนอก หรือการรั่วไหลของข้อมูลส่วนบุคคลและข้อมูลบริษัทฯ จากภายใน ความเสี่ยงดังกล่าวสามารถส่งผลกระทบต่อการดำเนินงานของบริษัทฯ และความปลอดภัยทางข้อมูลส่วนบุคคลของพนักงาน ลูกค้า และคู่ค้า ดังนั้น บริษัทฯ จึงมุ่งพัฒนาระบบเพื่อสร้างเกราะกำบังทางระบบสารสนเทศ ผ่านโครงสร้างการกำกับดูแลที่มั่นคง การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล การจัดอบรมเพื่อสร้างความมั่นใจ และความรู้ความเข้าใจให้แก่พนักงาน
ผู้มีส่วนได้เสียหลัก
พนักงาน
ลูกค้า
ภาครัฐ
คู่ค้า และคู่ค้าทางธุรกิจ
เป้าหมายการดำเนินงาน
คิดเป็นศูนย์
ไม่มีข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล และไม่มีพนักงาน และผู้มีส่วนได้เสียของบริษัทฯ ตกเป็นเหยื่อของการจู่โจมทางสารสนเทศและไซเบอร์
แนวทางการบริหารจัดการ
การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
บริษัทฯ กำหนดนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ เพื่อใช้เป็นแนวปฏิบัติในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ และมีกระบวนการควบคุมด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศตามมาตรฐาน ISO27001 – Information Security Management และ Control Objectives for Information and Related Technologies (COBIT) ครอบคลุมถึงวิธีการปฏิบัติ (Procedure) ในการใช้งานด้านสารสนเทศ เพื่อบริหารจัดการการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตลอดจนป้องกันและลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น
นอกจากนี้ บริษัทฯ ได้กำหนดโครงสร้างการกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ซึ่งถือเป็นกระบวนการหลักในการสร้างความมั่นคงปลอดภัยสารสนเทศ และการป้องกันการคุกคามทางไซเบอร์ ซึ่งในคณะทำงานแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับคณะกรรมการบริหาร ระดับผู้บริหาร และระดับคณะทำงาน
ระดับการกำกับดูแล | หน้าที่ความรับผิดชอบ |
---|---|
คณะกรรมการตรวจสอบ |
|
คณะกรรมการกำกับนโยบายด้านดิจิทัลและเทคโนโลยีสารสนเทศ กลุ่มบริษัทฯ |
|
คณะกรรมการบริหารจัดการ ความมั่นคงและความปลอดภัย สารสนเทศ |
|
คณะกรรมการบริหารจัดการ |
|
ผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง |
|
ระดับผู้บริหาร |
|
ระดับปฏิบัติการ |
|
การตรวจสอบโครงสร้างพื้นฐานไอทีและ/หรือระบบการจัดการความปลอดภัยสารสนเทศโดยอิสระจากภายนอก (Independent External Audit of the IT Infrastructure and/or information security management system inspections)
บริษัทฯ ร่วมมือกับ PTTGC ซึ่งเป็นบริษัทแม่ ดำเนินการประเมินตามมาตรฐาน ISO/IEC 27001:2013 เพื่อให้มั่นใจว่าระบบการจัดการความปลอดภัยสารสนเทศ (ISMS) ของ GGC สามารถทำงานได้และสอดคล้องกับมาตรฐานสากล ขอบเขตของการตรวจสอบภายนอกประกอบด้วย โครงสร้างพื้นฐานแบบบริการ (Infrastructure as a Service), โครงสร้างพื้นฐานแบบบริการบนคลาวด์ (Infrastructure as a Service on Cloud), การจัดการโซนเกตเวย์อินเทอร์เน็ต (Internet Gateway Zone Management) และการจัดการแอปพลิเคชัน (Application Management) ซึ่งสนับสนุนกระบวนการสรรหาบุคลากรจากภายนอก
การจัดการความปลอดภัยสารสนเทศและไซเบอร์ (Information and Cyber Security Management Program)
บริษัทฯ ได้ดำเนินมาตรการเพื่อยกระดับความปลอดภัยสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ ผ่านการพัฒนาแผนการตรวจสอบความปลอดภัยและการพัฒนาเทคโนโลยีความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง เพื่อให้ก้าวทันภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป GGC ได้จัดทำแผนปฏิบัติการด้านไอที 5 ปี ครอบคลุมระยะเวลาตั้งแต่ปี พ.ศ. 2566 ถึง พ.ศ. 2570 โดยกำหนดให้ความมั่นคงปลอดภัยไซเบอร์เป็นประเด็นสำคัญที่มุ่งเน้น พร้อมกำหนดแนวทางปฏิบัติที่ชัดเจน
วัตถุประสงค์หลักคือเพื่อให้มั่นใจว่าโปรแกรมความมั่นคงปลอดภัยไซเบอร์ได้รับการปรับปรุงและบำรุงรักษาอย่างสม่ำเสมอ ให้สอดคล้องกับแนวปฏิบัติที่ดีที่สุดและมาตรฐานสากล เพื่อสนับสนุนเป้าหมายและวัตถุประสงค์ทางธุรกิจของบริษัทฯ ได้อย่างมีประสิทธิภาพ ส่วนความมั่นคงปลอดภัยไซเบอร์ของแผนปฏิบัติการด้านไอที ประกอบด้วยกิจกรรมดังต่อไปนี้:
- การประเมินกระบวนการและโครงสร้างพื้นฐาน
- การปรับปรุงระบบเพื่อปิดช่องโหว่ การสแกนการประเมินความเสี่ยง
- การทดสอบ Phishing และโปรแกรมที่ออกแบบเฉพาะสำหรับฟังก์ชันเฉพาะ
- การกำกับดูแลข้อมูลสำหรับบริษัทฯ (การปกป้องข้อมูล การจำแนกประเภทข้อมูล)
กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ (Process and Infrastructure)
บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์ และทำการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอกเป็นประจำทุกปี ซึ่งจากการตรวจสอบและสอบทานในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบเหตุบกพร่องใด ๆ
ในฐานะบริษัทในเครือของบริษัท PTTGC บริษัทฯ ได้นำขั้นตอนการฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์ (Cyber Drill Procedure) ของ PTTGC มาใช้เป็นหลักปฏิบัติมาตรฐาน ซึ่งถือเป็นแนวทางปฏิบัติที่ครอบคลุมสำหรับบุคลากรฝ่ายไอทีทุกคน เพื่อให้มั่นใจว่ามีการตอบสนองต่อเหตุการณ์ที่อาจส่งผลกระทบต่อระบบไอทีหรือระบบความมั่นคงปลอดภัยทางไซเบอร์ของบริษัทได้อย่างมีประสิทธิภาพและปลอดภัย นอกจากนี้ ยังช่วยลดความเสียหายที่อาจเกิดขึ้นจากภัยคุกคามทางไซเบอร์ด้วยการกำหนดมาตรการป้องกันและขั้นตอนปฏิบัติที่ชัดเจน บริษัทฯ ดำเนินการฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์อย่างน้อยหนึ่งครั้งในช่วงเดือนมกราคม-มิถุนายน และอีกครั้งในช่วงเดือนกรกฎาคม-ธันวาคม
นอกจากนี้ บรษัทฯ ยังได้จัดทำแผนกู้คืนภัยพิบัติด้านความปลอดภัยไอที/ความมั่นคงปลอดภัยไซเบอร์ ซึ่งระบุขั้นตอนที่ต้องปฏิบัติตามในกรณีที่เกิดภัยพิบัติที่ส่งผลกระทบต่อศูนย์ข้อมูลหลัก วัตถุประสงค์ของแผนนี้คือการลดความเสียหายและการหยุดชะงักที่อาจเกิดขึ้นกับองค์กร แผนดังกล่าวมีขั้นตอนการทำงานโดยละเอียดซึ่งเป็นแนวทางสำคัญสำหรับบุคลากรไอทีทุกคนในการดำเนินการตามแผนกู้คืนภัยพิบัติ นอกจากนี้ยังระบุระยะเวลาที่คาดว่าจะกู้คืนข้อมูลไอทีประเภทต่างๆ และขั้นตอนที่จำเป็นในการกลับมาดำเนินธุรกิจตามปกติ ในฐานะส่วนหนึ่งของกระบวนการกู้คืนภัยพิบัติด้านความปลอดภัย/ความมั่นคงปลอดภัยไซเบอร์ บริษํทฯ ดำเนินการฝึกซ้อมรับมือเหตุการณ์และทดสอบอย่างน้อยหนึ่งครั้งในช่วงเดือนมกราคม-มิถุนายน และอีกครั้งในช่วงเดือนกรกฎาคม-ธันวาคม
การประเมินช่องโหว่ (Vulnerability Assessment)
บริษัทฯ ดำเนินการวิเคราะห์ช่องโหว่จากบุคคลที่สามอย่างน้อยปีละสองครั้ง บริษัทได้นำแผนความต่อเนื่องทางธุรกิจมาใช้ ในปี 2567 GGC ได้ดำเนินการฝึกซ้อมแผนรับมือเหตุการณ์ทางไซเบอร์ประจำปี (Cyber Incident Response Tabletop Exercise) เพื่อทดสอบเสถียรภาพของความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศ มีการจำลองสถานการณ์การโจมตีทางไซเบอร์โดยผู้บุกรุกจากภายนอก ซึ่งพยายามเจาะระบบความปลอดภัยไอทีของบริษัทฯ เพื่อรวบรวมข้อมูลของบริษัท ซึ่งนำไปสู่การรั่วไหลของข้อมูล การประเมินช่องโหว่ (VA) แต่ละฉบับจะประกอบด้วยประเด็นสำคัญต่อไปนี้สำหรับการตรวจสอบ
- Clickjacking
- คุกกี้ไม่ได้ทำเครื่องหมายเป็น HTTP เท่านั้น
- คุกกี้ที่มีคุณสมบัติขาดหายไป ไม่สอดคล้อง หรือขัดแย้งกัน
- ข้อความแสดงข้อผิดพลาดในการเขียนโปรแกรม
- การเปิดเผยเวอร์ชัน
- การกำหนดค่านโยบายความปลอดภัยของเนื้อหาไม่ถูกต้อง
- ส่วนหัวของนโยบายสิทธิ์การใช้งานไม่ได้ถูกนำไปใช้งาน
อีกทั้ง บริษัทฯ ยังทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอกทุก ๆ 6 เดือน เพื่อเตรียมแผนการป้องกันและแก้ไขจากภัยคุกคาม โดยบริษัทฯ ได้แบ่งระดับความรุนแรง (Vulnerability Severity Levels) ออกเป็น 3 ระดับ ได้แก่ ความรุนแรงระดับสูง (High) คามรุนแรงระดับกลาง (Medium) ความรุนแรงระดับต่ำ (Low)
การสร้างความพร้อมด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Information Security and Cybersecurity Awareness)
บริษัทฯ เสริมสร้างความตระหนักและเตรียมความพร้อมด้านความปลอดภัยทางไซเบอร์ให้แก่พนักงานทุกระดับ ตลอดจน ผ่านการสื่อการเรียนรู้ออนไลน์ (E-Learning) Cyber Security Online ทั้งหมด 3 บทเรียน พร้อมทั้งประเมินความเข้าใจ โดยการทำแบบทดสอบท้ายบทเรียน เพื่อให้พนักงาน นำไปประยุกต์ใช้ในการปฏิบัติงาน
1. AI in Cybersecurity |
![]() ด้วยการบูรณาการเครื่องมือ AI เข้ากับโปรแกรมการฝึกอบรม องค์กรต่างๆ จะสามารถเตรียมพนักงานของตนให้พร้อมรับมือกับความท้าทายด้านความปลอดภัยที่ซับซ้อน และสร้างระบบป้องกันดิจิทัลที่ยืดหยุ่นมากขึ้นได้ดีขึ้น |
2. Cybersecurity Third Party Risk Management. |
![]() การฝึกอบรมนี้มุ่งเน้นที่การทำให้มั่นใจว่าบุคคลที่สามปฏิบัติตามมาตรฐานความปลอดภัย ปฏิบัติตามกฎระเบียบ และหลีกเลี่ยงการนำช่องโหว่เข้าสู่ระบบความมั่นคงปลอดภัยไซเบอร์ขององค์กร การบริหารจัดการความเสี่ยงจากบุคคลที่สามด้านความมั่นคงปลอดภัยไซเบอร์ที่มีประสิทธิภาพช่วยปกป้องข้อมูลสำคัญและรักษาความต่อเนื่องทางธุรกิจในภูมิทัศน์ดิจิทัลที่เชื่อมโยงกันมากขึ้น |
3. 10 ทักษะที่สำคัญทางด้าน Cyber security ในปี 2024 ที่คุณควรต้องมี |
![]() การฝึกอบรมนี้มอบทักษะที่เกี่ยวข้อง 10 ประการให้แก่พนักงานทุกคน เพื่อใช้ในการเฝ้าระวังและระบุภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นระหว่างการทำงานประจำวัน นอกจากนี้ การฝึกอบรมยังส่งเสริมความรับผิดชอบด้านความปลอดภัยของข้อมูลสำหรับพนักงานทุกคนอีกด้วย |
4. การกำกับดูแลข้อมูล (Data Governance) |
![]() การฝึกอบรมการกำกับดูแลข้อมูล ช่วยให้พนักงานมีความรู้และเครื่องมือในการจัดการข้อมูลอย่างมีประสิทธิภาพ มั่นใจได้ว่าข้อมูลมีความถูกต้อง สอดคล้อง ปลอดภัย และนำไปใช้อย่างมีความรับผิดชอบทั่วทั้งองค์กร การฝึกอบรมครอบคลุมหลักการสำคัญต่างๆ เช่น ความเป็นเจ้าของข้อมูล คุณภาพ ความเป็นส่วนตัว การปฏิบัติตามกฎระเบียบ และการจัดการวงจรชีวิตข้อมูล การฝึกอบรมการกำกับดูแลข้อมูลจะช่วยส่งเสริมการตัดสินใจที่ดีขึ้น การปฏิบัติตามกฎระเบียบ และความน่าเชื่อถือในข้อมูลขององค์กร โดยการกำหนดบทบาท นโยบาย และแนวปฏิบัติที่ชัดเจน |
5. Cyber Vision |
![]() บริษัทฯ ได้จัดอบรมวิสัยทัศน์ไซเบอร์สำหรับผู้บริหาร การอบรมนี้ครอบคลุมถึงแนวโน้มเทคโนโลยีปัจจุบัน โดยในปีนี้จะเน้นเทคโนโลยี AI โดยเฉพาะการรับมือกับการโจมตีทางไซเบอร์ที่เกิดจาก AI โดยมุ่งหวังที่จะเสริมสร้างความรู้และทักษะให้กับพนักงานในการรับมือกับภัยคุกคามทางไซเบอร์ในรูปแบบต่างๆ ได้อย่างมีประสิทธิภาพ |
6. Digital Thailand 2024 |
![]() บริษัทฯ ได้จัดอบรมหลักสูตร Digital Thailand สำหรับผู้บริหาร การอบรมครั้งนี้จะเสริมสร้างความรู้เกี่ยวกับแนวโน้มการใช้งานอุปกรณ์และบริการดิจิทัลในประเทศไทย โดยให้ข้อมูลเชิงลึกเกี่ยวกับการวิเคราะห์เชิงเปรียบเทียบ การติดตามการเติบโตของผู้ใช้อินเทอร์เน็ตในประเทศไทย และการเข้าถึงทรัพยากรในประเทศไทย และการเปรียบเทียบกับแพลตฟอร์มระดับโลก |
กระบวนการรายงานฟิชชิงและการทดสอบฟิชชิงในปี 2567
บริษัทฯ ได้กำหนดวิธีการรายงานเหตุการณ์ ช่องโหว่ หรือกิจกรรมที่น่าสงสัย รวมถึงการรายงานอีเมลฟิชชิง กระบวนการรายงานกิจกรรมที่น่าสงสัยจะเริ่มต้นเมื่อผู้ใช้หรือพนักงานพบเหตุการณ์ดังกล่าว การตอบสนองจะดำเนินการตามกระบวนการที่ระบุไว้ด้านล่าง
รายงานพนักงานเกี่ยวกับ phishing email
- ผู้ใช้พบ phishing email และรายงานไปยังฝ่ายบริการ
ทีม SOC ตรวจสอบเหตุการณ์
- Service Desk ส่งต่อรายงานไปยังทีม SOC
- ทีม SOC พิจารณาระดับความรุนแรง: ความรุนแรงต่ำ และ ความรุนแรงสูง (ส่งต่อไปยังผู้จัดการ SOC และทีมรักษาความปลอดภัย TF-IT)
ทีม SOC ประสานงานการบรรเทาผลกระทบ
- ทีม SOC จัดทำแผนบรรเทาผลกระทบ
- ผู้จัดการ SOC แจ้งทีมสื่อสารว่าเกิดกิจกรรม Phishing
ผลลัพธ์การตรวจสอบความปลอดภัย TF-IT
- หลังจากการลดผลกระทบเสร็จสิ้น TF-IT จะประเมินผลลัพธ์และยืนยันความเสถียรของระบบ
รายงานสรุปขั้นสุดท้ายของ SOC + TF-IT
- เมื่อสถานการณ์กลับสู่ภาวะปกติ ทีมรักษาความปลอดภัย SOC และ TF-IT จะจัดทำรายงาน
- ทีมสื่อสารแจ้งองค์กรว่าปัญหาได้รับการแก้ไขแล้ว
ในปี 2567 พบว่าจากพนักงานทั้งหมด 282 คนที่เข้าร่วมการทดสอบ มีพนักงานที่ผ่านการทดสอบ 217 คน คิดเป็น 77.2% ของผู้เข้าร่วมทั้งหมด นอกจากนี้ ยังมีพนักงาน 0 คนที่ตกเป็นเหยื่อของอีเมลฟิชชิง คิดเป็น 0% ของจำนวนพนักงานทั้งหมด เมื่อเทียบกับการทดสอบครั้งก่อน จำนวนพนักงานที่รายงานเหตุการณ์ฟิชชิงได้อย่างถูกต้องเพิ่มขึ้นจาก 49 คนในปี 2566 เป็น 52.8% ในปี 2567



