TH
EN

การกำกับดูแลและเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

ความท้าทายและความมุ่งมั่น

ปัจจุบันเทคโนโลยีสารสนเทศมีแนวโน้มพัฒนาและเติบโตอย่างรวดเร็ว รวมถึงเข้ามามีบทบาทสำคัญในการดำเนินธุรกิจขององค์กรทั่วโลก ส่งผลให้ประเด็นภัยคุกคามไซเบอร์ถือเป็นความเสี่ยงที่สำคัญ และถือเป็นความท้าทายสำหรับองค์กรทั่วโลกในการเตรียมความพร้อมรับมือ ทั้งนี้ บริษัทฯ ตระหนักถึงความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ไม่ว่าจะเป็นอุปสรรคที่เกิดจากการจู่โจมทางระบบเทคโนโลยีสารสนเทศจากภายนอก หรือการรั่วไหลของข้อมูลส่วนบุคคลและข้อมูลบริษัทฯ จากภายใน ความเสี่ยงดังกล่าวสามารถส่งผลกระทบต่อการดำเนินงานของบริษัทฯ และความปลอดภัยทางข้อมูลส่วนบุคคลของพนักงาน ลูกค้า และคู่ค้า ดังนั้น บริษัทฯ จึงมุ่งพัฒนาระบบเพื่อสร้างเกราะกำบังทางระบบสารสนเทศ ผ่านโครงสร้างการกำกับดูแลที่มั่นคง การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล การจัดอบรมเพื่อสร้างความมั่นใจ และความรู้ความเข้าใจให้แก่พนักงาน

ผู้มีส่วนได้เสียหลัก

พนักงาน
ลูกค้า
ภาครัฐ
คู่ค้า และคู่ค้าทางธุรกิจ

เป้าหมายการดำเนินงาน

การรั่วไหลของข้อมูลส่วนบุคคล
คิดเป็นศูนย์
ไม่มีข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล และไม่มีพนักงาน และผู้มีส่วนได้เสียของบริษัทฯ ตกเป็นเหยื่อของการจู่โจมทางสารสนเทศและไซเบอร์

แนวทางการบริหารจัดการ

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

บริษัทฯ กำหนดนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ เพื่อใช้เป็นแนวปฏิบัติในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ และมีกระบวนการควบคุมด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศตามมาตรฐาน ISO27001 – Information Security Management และ Control Objectives for Information and Related Technologies (COBIT) ครอบคลุมถึงวิธีการปฏิบัติ (Procedure) ในการใช้งานด้านสารสนเทศ เพื่อบริหารจัดการการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตลอดจนป้องกันและลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศ
โครงสร้างการกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

นอกจากนี้ บริษัทฯ ได้กำหนดโครงสร้างการกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ซึ่งถือเป็นกระบวนการหลักในการสร้างความมั่นคงปลอดภัยสารสนเทศ และการป้องกันการคุกคามทางไซเบอร์ ซึ่งในคณะทำงานแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับคณะกรรมการบริหาร ระดับผู้บริหาร และระดับคณะทำงาน

ระดับการกำกับดูแล หน้าที่ความรับผิดชอบ
คณะกรรมการตรวจสอบ
  • มีขอบเขตอำนาจหน้าที่ สนับสนุนด้านกำกับดูแลกิจการที่มุ่งเน้นการพัฒนาอย่างยั่งยืน โดยเฉพาะในด้านการควบคุมภายใน การบริหารความเสี่ยงซึ่งรวมถึงความเสี่ยงด้านความมั่นคงและความปลอดภัย สารสนเทศและไซเบอร์ (Information Security and Cyber Security) โดยมีกรรมการบริษัทฯ เป็นประธาน
คณะกรรมการกำกับนโยบายด้านดิจิทัลและเทคโนโลยีสารสนเทศ กลุ่มบริษัทฯ
  • ทำหน้าที่กำหนดทิศทางนโยบาย เป้าหมายดิจิทัลและเทคโนโลยีสารสนเทศของบริษัทฯ ให้สอดคล้องเป็นไปในทางเดียวกัน และมั่นใจว่าเป็นไปตามมาตรฐานสากล สามารถเทียบเคียงได้กับบริษัทสากลชั้นนำที่อยู่ในธุรกิจเดียวกัน โดยมีประธานเจ้าหน้าที่บริหารและกรรมการผู้จัดการใหญ่ เป็นประธานกรรมการ
คณะกรรมการบริหารจัดการ ความมั่นคงและความปลอดภัย สารสนเทศ
  • ทำหน้าที่กำกับดูแลการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security) ด้านไซเบอร์ (Cyber Security) และคลาวด์ (Cloud Security) ให้สอดคล้องกับมาตรฐานสากล
คณะกรรมการบริหารจัดการ
  • ทำหน้าที่พิจารณาการบริหารจัดการโครงสร้างด้านเทคโนโลยีขององค์กรให้สอดรับกับความต้องการใช้งาน และมีความทันสมัยเป็นมาตรฐานสากล เพื่อให้เกิดประโยชน์สูงสุดในการนำไปใช้งาน
ผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง
  • ทำหน้าที่กำหนดเป้าหมาย และนโยบายด้านการรักษาความมั่นคงปลอดภัย ที่สอดคล้องกับแผนยุทธศาสตร์ของบริษัทฯ พัฒนานโยบายด้านการรักษาความปลอดภัยสารสนเทศ มาตรฐานขั้นตอน และแนวปฏิบัติ เพื่อให้บริษัทฯ ได้มาซึ่งการรักษาความลับของข้อมูล (Confidentiality) การรักษาความถูกต้องของข้อมูล (Integrity) และเสถียรภาพความมั่นคงของระบบสารสนเทศ (Availability) ตลอดจนประสานควบงานควบคุม และรายงานเหตุภัยคุกคามทางด้านไซเบอร์ไปยังผู้บริหารระดับสูง และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
ระดับผู้บริหาร
  • กำหนดนโยบายการบริหารจัดการข้อมูลและสารสนเทศ เช่น ด้าน Information Security (IS) ด้าน Cyber Security Policy ด้าน Cloud Security Policy ด้าน Service Level Agreement (SLA) ด้าน Secure System Development Life Cycle (SSDLC) และด้าน Data Protection เป็นต้น
  • นำระบบ ISO Series (ISO 27001 ISO 27701 ISO 22301) และ NIST Cybersecurity Framework มาใช้เป็นกรอบในการปฏิบัติและควบคุมการปฏิบัติงานของผู้ใช้งาน เพื่อให้ข้อมูลและสารสนเทศมีความถูกต้อง แม่นยำ และพร้อมใช้งาน รวมทั้งนำระบบการตรวจติดตามทั้งภายในและภายนอกมาตรวจติดตามทวนสอบกระบวนการต่าง ๆ เพื่อให้ข้อมูลและสารสนเทศนั้นมีความถูกต้อง น่าเชื่อถือ และคงสภาพ
ระดับปฏิบัติการ
  • กำหนดระบบ วิธีปฏิบัติ และระบบการบริการต่าง ๆ เกี่ยวกับระบบอินทราเน็ต และจัดให้มีการอบรมแก่พนักงานในบริษัทฯ เพื่อใช้ในการสื่อสารและสร้างความตระหนักถึงความสำคัญและความเสี่ยงด้านสารสนเทศและไซเบอร์ ตามแนวทางการจัดการความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ที่เกี่ยวกับระบบอินทราเน็ต
  • ติดตามผลการทำงาน และนำผลการติดตามมาปรับปรุงการบริหารจัดการและการให้บริการด้านไอที และดูแลปรับปรุงความมั่นคงปลอดภัยทางด้านเทคโนโลยีให้ทันสมัย รวมถึงรายงานต่อผู้บริหารและคณะกรรมการที่ดูแลรับผิดชอบ อย่างสม่ำเสมอ
  • ประเมินความเสี่ยงของทรัพยากรด้านไอทีทุกปี เพื่อให้มั่นใจว่าทรัพยากรที่มีอยู่เพียงพอต่อการดูแลปกป้องข้อมูลและสารสนเทศให้มีความแม่นยำ เชื่อถือได้ และเป็นปัจจุบัน
  • ลงมือปฏิบัติงานตามแผนการดำเนินงานให้เป็นไปตามมาตรฐาน ISO 27001
มาตราการป้องกันความเสี่ยง (mitigation actions) จากการคุกคามทางไซเบอร์ และการรั่วไหลของข้อมูลสารสนเทศ
ทบทวนนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างต่อเนื่อง
ซ้อมแผนรับมือภัยคุกคามจากการโจมตีด้านไซเบอร์และแผนการกู้คืนระบบสารสนเทศในบริษัทฯ และร่วมมือกับกลุ่ม GC ในการจัดระบบการบริหารความเสี่ยงตามมาตรฐาน ISO 27001 โดยจัดให้มีการทบทวน และประเมินประสิทธิภาพของแผนการดำเนินงานด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ
จัดตั้งคณะทำงาน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีหน้าที่ในการกำหนดแผนและขั้นตอนการดำเนินงาน รวมถึงการประเมินผลการดำเนินงานของบริษัทฯ ให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
สร้างความตระหนักรู้และเตรียมความพร้อมด้านความปลอดภัยไซเบอร์ให้พนักงานทุกระดับ ตลอดจน คู่ค้า อย่างต่อเนื่อง โดยการจัดการอบรมเกี่ยวกับความเสี่ยงจากการจู่โจมทางไซเบอร์ การรั่วไหลของข้อมูลสารสนเทศ และความรู้ด้าน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตามคู่มือปฏิบัติของบริษัทฯ

การสร้างความพร้อมด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

บริษัทฯ เสริมสร้างความตระหนักและเตรียมความพร้อมด้านความปลอดภัยทางไซเบอร์ให้แก่พนักงานทุกระดับ ผ่านการทดสอบความรู้ ความเข้าใจ และความตระหนักถึงภัยคุกคามทางอีเมล (Phishing Test) และการสื่อการเรียนรู้ออนไลน์ (E-Learning) Cyber Security Online ทั้งหมด 3 บทเรียน พร้อมทั้งประเมินความเข้าใจ โดยการทำแบบทดสอบท้ายบทเรียน เพื่อให้พนักงาน นำไปประยุกต์ใช้ในการปฏิบัติงาน

1. Cybersecurity Case Study: การหลอกลวงทางอีเมล

2. การรักษาความปลอดภัยบนอุปกรณ์ส่วนตัว

3. การคุ้มครองข้อมูลส่วนบุคคล

ผลการทดสอบ Phishing Test ประจำปี 2566

ในปี 2566 พบว่า จากพนักงานที่เข้าร่วมการทดสอบทั้งหมด 265 คน พบว่าจำนวนพนักงานกดรายงาน Phishing report ได้อย่างถูกต้องมีจำนวน 121 คน คิดเป็น ร้อยละ 46 จากพนักงานที่เข้าร่วมทั้งหมด และตกเป็นเหยื่อจำนวน 1 คน คิดเป็น ร้อยละ 0 ทั้งนี้ เมื่อเปรียบเทียบกับการทดสอบครั้งก่อนหน้า พบว่า จำนวนพนักงานกดรายงาน Phishing report ได้อย่างถูกต้องเพิ่มขึ้นจาก ร้อยละ 36 เป็น 46 และจำนวนตกเป็นเหยื่อลดลงจากร้อยละ 2 เป็น 0

กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์

บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์ และทำการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอกเป็นประจำทุกปี ซึ่งจากการตรวจสอบและสอบทานในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบเหตุบกพร่องใด ๆ

นอกจากนี้ บริษัทฯ ได้ดำเนินการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ (Vulnerability Assessment: VA) อย่างน้อยปีละ 2 ครั้ง และการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan) เป็นประจำ โดยในปี 2566 บริษัทฯ มีการซ้อมแผนฉุกเฉินประจำปี (Cyber Incident Response Tabletop Exercise) เพื่อทดสอบระบบการรักษาความมั่นคงความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของบริษัทฯ โดยได้จำลองสถานการณ์การเกิด Cyber Attack จากการถูกเจาะเข้าระบบปฏิบัติการสารสนเทศของบริษัทฯ โดยบุคคลภายนอก ทำให้ข้อมูลของบริษัทฯ รั่วไหล

อีกทั้ง บริษัทฯ ยังทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอกทุก ๆ 6 เดือน เพื่อเตรียมแผนการป้องกันและแก้ไขจากภัยคุกคาม โดยบริษัทฯ ได้แบ่งระดับความรุนแรง (Vulnerability Severity Levels) ออกเป็น 3 ระดับ ได้แก่ ความรุนแรงระดับสูง (High) คามรุนแรงระดับกลาง (Medium) ความรุนแรงระดับต่ำ (Low)