TH
EN

การกำกับดูแลและเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

ความท้าทายและความมุ่งมั่น

ปัจจุบันเทคโนโลยีสารสนเทศมีแนวโน้มพัฒนาและเติบโตอย่างรวดเร็ว รวมถึงเข้ามามีบทบาทสำคัญในการดำเนินธุรกิจขององค์กรทั่วโลก ส่งผลให้ประเด็นภัยคุกคามไซเบอร์ถือเป็นความเสี่ยงที่สำคัญ และถือเป็นความท้าทายสำหรับองค์กรทั่วโลกในการเตรียมความพร้อมรับมือ ทั้งนี้ บริษัทฯ ตระหนักถึงความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ไม่ว่าจะเป็นอุปสรรคที่เกิดจากการจู่โจมทางระบบเทคโนโลยีสารสนเทศจากภายนอก หรือการรั่วไหลของข้อมูลส่วนบุคคลและข้อมูลบริษัทฯ จากภายใน ความเสี่ยงดังกล่าวสามารถส่งผลกระทบต่อการดำเนินงานของบริษัทฯ และความปลอดภัยทางข้อมูลส่วนบุคคลของพนักงาน ลูกค้า และคู่ค้า ดังนั้น บริษัทฯ จึงมุ่งพัฒนาระบบเพื่อสร้างเกราะกำบังทางระบบสารสนเทศ ผ่านโครงสร้างการกำกับดูแลที่มั่นคง การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล การจัดอบรมเพื่อสร้างความมั่นใจ และความรู้ความเข้าใจให้แก่พนักงาน

ผู้มีส่วนได้เสียหลัก

พนักงาน
ลูกค้า
ภาครัฐ
คู่ค้า และคู่ค้าทางธุรกิจ

เป้าหมายการดำเนินงาน

การรั่วไหลของข้อมูลส่วนบุคคล
คิดเป็นศูนย์
ไม่มีข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล และไม่มีพนักงาน และผู้มีส่วนได้เสียของบริษัทฯ ตกเป็นเหยื่อของการจู่โจมทางสารสนเทศและไซเบอร์

แนวทางการบริหารจัดการ

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

บริษัทฯ กำหนดนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ เพื่อใช้เป็นแนวปฏิบัติในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ และมีกระบวนการควบคุมด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศตามมาตรฐาน ISO27001 – Information Security Management และ Control Objectives for Information and Related Technologies (COBIT) ครอบคลุมถึงวิธีการปฏิบัติ (Procedure) ในการใช้งานด้านสารสนเทศ เพื่อบริหารจัดการการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตลอดจนป้องกันและลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

นโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศ
โครงสร้างการกำกับดูแลข้อมูลและความปลอดภัยทางไซเบอร์

นอกจากนี้ บริษัทฯ ได้กำหนดโครงสร้างการกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ซึ่งถือเป็นกระบวนการหลักในการสร้างความมั่นคงปลอดภัยสารสนเทศ และการป้องกันการคุกคามทางไซเบอร์ ซึ่งในคณะทำงานแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับคณะกรรมการบริหาร ระดับผู้บริหาร และระดับคณะทำงาน

ระดับการกำกับดูแล หน้าที่ความรับผิดชอบ
คณะกรรมการตรวจสอบ
  • มีขอบเขตอำนาจหน้าที่ สนับสนุนด้านกำกับดูแลกิจการที่มุ่งเน้นการพัฒนาอย่างยั่งยืน โดยเฉพาะในด้านการควบคุมภายใน การบริหารความเสี่ยงซึ่งรวมถึงความเสี่ยงด้านความมั่นคงและความปลอดภัย สารสนเทศและไซเบอร์ (Information Security and Cyber Security) โดยมีกรรมการบริษัทฯ เป็นประธาน
คณะกรรมการกำกับนโยบายด้านดิจิทัลและเทคโนโลยีสารสนเทศ กลุ่มบริษัทฯ
  • ทำหน้าที่กำหนดทิศทางนโยบาย เป้าหมายดิจิทัลและเทคโนโลยีสารสนเทศของบริษัทฯ ให้สอดคล้องเป็นไปในทางเดียวกัน และมั่นใจว่าเป็นไปตามมาตรฐานสากล สามารถเทียบเคียงได้กับบริษัทสากลชั้นนำที่อยู่ในธุรกิจเดียวกัน โดยมีประธานเจ้าหน้าที่บริหารและกรรมการผู้จัดการใหญ่ เป็นประธานกรรมการ
คณะกรรมการบริหารจัดการ ความมั่นคงและความปลอดภัย สารสนเทศ
  • ทำหน้าที่กำกับดูแลการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security) ด้านไซเบอร์ (Cyber Security) และคลาวด์ (Cloud Security) ให้สอดคล้องกับมาตรฐานสากล
คณะกรรมการบริหารจัดการ
  • ทำหน้าที่พิจารณาการบริหารจัดการโครงสร้างด้านเทคโนโลยีขององค์กรให้สอดรับกับความต้องการใช้งาน และมีความทันสมัยเป็นมาตรฐานสากล เพื่อให้เกิดประโยชน์สูงสุดในการนำไปใช้งาน
ผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง
  • ทำหน้าที่กำหนดเป้าหมาย และนโยบายด้านการรักษาความมั่นคงปลอดภัย ที่สอดคล้องกับแผนยุทธศาสตร์ของบริษัทฯ พัฒนานโยบายด้านการรักษาความปลอดภัยสารสนเทศ มาตรฐานขั้นตอน และแนวปฏิบัติ เพื่อให้บริษัทฯ ได้มาซึ่งการรักษาความลับของข้อมูล (Confidentiality) การรักษาความถูกต้องของข้อมูล (Integrity) และเสถียรภาพความมั่นคงของระบบสารสนเทศ (Availability) ตลอดจนประสานควบงานควบคุม และรายงานเหตุภัยคุกคามทางด้านไซเบอร์ไปยังผู้บริหารระดับสูง และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
ระดับผู้บริหาร
  • กำหนดนโยบายการบริหารจัดการข้อมูลและสารสนเทศ เช่น ด้าน Information Security (IS) ด้าน Cyber Security Policy ด้าน Cloud Security Policy ด้าน Service Level Agreement (SLA) ด้าน Secure System Development Life Cycle (SSDLC) และด้าน Data Protection เป็นต้น
  • นำระบบ ISO Series (ISO 27001 ISO 27701 ISO 22301) และ NIST Cybersecurity Framework มาใช้เป็นกรอบในการปฏิบัติและควบคุมการปฏิบัติงานของผู้ใช้งาน เพื่อให้ข้อมูลและสารสนเทศมีความถูกต้อง แม่นยำ และพร้อมใช้งาน รวมทั้งนำระบบการตรวจติดตามทั้งภายในและภายนอกมาตรวจติดตามทวนสอบกระบวนการต่าง ๆ เพื่อให้ข้อมูลและสารสนเทศนั้นมีความถูกต้อง น่าเชื่อถือ และคงสภาพ
ระดับปฏิบัติการ
  • กำหนดระบบ วิธีปฏิบัติ และระบบการบริการต่าง ๆ เกี่ยวกับระบบอินทราเน็ต และจัดให้มีการอบรมแก่พนักงานในบริษัทฯ เพื่อใช้ในการสื่อสารและสร้างความตระหนักถึงความสำคัญและความเสี่ยงด้านสารสนเทศและไซเบอร์ ตามแนวทางการจัดการความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ที่เกี่ยวกับระบบอินทราเน็ต
  • ติดตามผลการทำงาน และนำผลการติดตามมาปรับปรุงการบริหารจัดการและการให้บริการด้านไอที และดูแลปรับปรุงความมั่นคงปลอดภัยทางด้านเทคโนโลยีให้ทันสมัย รวมถึงรายงานต่อผู้บริหารและคณะกรรมการที่ดูแลรับผิดชอบ อย่างสม่ำเสมอ
  • ประเมินความเสี่ยงของทรัพยากรด้านไอทีทุกปี เพื่อให้มั่นใจว่าทรัพยากรที่มีอยู่เพียงพอต่อการดูแลปกป้องข้อมูลและสารสนเทศให้มีความแม่นยำ เชื่อถือได้ และเป็นปัจจุบัน
  • ลงมือปฏิบัติงานตามแผนการดำเนินงานให้เป็นไปตามมาตรฐาน ISO 27001
มาตราการป้องกันความเสี่ยง (mitigation actions) จากการคุกคามทางไซเบอร์ และการรั่วไหลของข้อมูลสารสนเทศ
ทบทวนนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างต่อเนื่อง
ซ้อมแผนรับมือภัยคุกคามจากการโจมตีด้านไซเบอร์และแผนการกู้คืนระบบสารสนเทศในบริษัทฯ และร่วมมือกับกลุ่ม GC ในการจัดระบบการบริหารความเสี่ยงตามมาตรฐาน ISO 27001 โดยจัดให้มีการทบทวน และประเมินประสิทธิภาพของแผนการดำเนินงานด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ
จัดตั้งคณะทำงาน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีหน้าที่ในการกำหนดแผนและขั้นตอนการดำเนินงาน รวมถึงการประเมินผลการดำเนินงานของบริษัทฯ ให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
สร้างความตระหนักรู้และเตรียมความพร้อมด้านความปลอดภัยไซเบอร์ให้พนักงานทุกระดับ ตลอดจน คู่ค้า อย่างต่อเนื่อง โดยการจัดการอบรมเกี่ยวกับความเสี่ยงจากการจู่โจมทางไซเบอร์ การรั่วไหลของข้อมูลสารสนเทศ และความรู้ด้าน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตามคู่มือปฏิบัติของบริษัทฯ

การตรวจสอบโครงสร้างพื้นฐานไอทีและ/หรือระบบการจัดการความปลอดภัยสารสนเทศโดยอิสระจากภายนอก (Independent External Audit of the IT Infrastructure and/or information security management system inspections)

บริษัทฯ ร่วมมือกับ PTTGC ซึ่งเป็นบริษัทแม่ ดำเนินการประเมินตามมาตรฐาน ISO/IEC 27001:2013 เพื่อให้มั่นใจว่าระบบการจัดการความปลอดภัยสารสนเทศ (ISMS) ของ GGC สามารถทำงานได้และสอดคล้องกับมาตรฐานสากล ขอบเขตของการตรวจสอบภายนอกประกอบด้วย โครงสร้างพื้นฐานแบบบริการ (Infrastructure as a Service), โครงสร้างพื้นฐานแบบบริการบนคลาวด์ (Infrastructure as a Service on Cloud), การจัดการโซนเกตเวย์อินเทอร์เน็ต (Internet Gateway Zone Management) และการจัดการแอปพลิเคชัน (Application Management) ซึ่งสนับสนุนกระบวนการสรรหาบุคลากรจากภายนอก

ISO/IEC 27001:2013 Certificate

การจัดการความปลอดภัยสารสนเทศและไซเบอร์ (Information and Cyber Security Management Program)

บริษัทฯ ได้ดำเนินมาตรการเพื่อยกระดับความปลอดภัยสารสนเทศและความมั่นคงปลอดภัยไซเบอร์ ผ่านการพัฒนาแผนการตรวจสอบความปลอดภัยและการพัฒนาเทคโนโลยีความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง เพื่อให้ก้าวทันภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป GGC ได้จัดทำแผนปฏิบัติการด้านไอที 5 ปี ครอบคลุมระยะเวลาตั้งแต่ปี พ.ศ. 2566 ถึง พ.ศ. 2570 โดยกำหนดให้ความมั่นคงปลอดภัยไซเบอร์เป็นประเด็นสำคัญที่มุ่งเน้น พร้อมกำหนดแนวทางปฏิบัติที่ชัดเจน

วัตถุประสงค์หลักคือเพื่อให้มั่นใจว่าโปรแกรมความมั่นคงปลอดภัยไซเบอร์ได้รับการปรับปรุงและบำรุงรักษาอย่างสม่ำเสมอ ให้สอดคล้องกับแนวปฏิบัติที่ดีที่สุดและมาตรฐานสากล เพื่อสนับสนุนเป้าหมายและวัตถุประสงค์ทางธุรกิจของบริษัทฯ ได้อย่างมีประสิทธิภาพ ส่วนความมั่นคงปลอดภัยไซเบอร์ของแผนปฏิบัติการด้านไอที ประกอบด้วยกิจกรรมดังต่อไปนี้:

  • การประเมินกระบวนการและโครงสร้างพื้นฐาน
  • การปรับปรุงระบบเพื่อปิดช่องโหว่ การสแกนการประเมินความเสี่ยง
  • การทดสอบ Phishing และโปรแกรมที่ออกแบบเฉพาะสำหรับฟังก์ชันเฉพาะ
  • การกำกับดูแลข้อมูลสำหรับบริษัทฯ (การปกป้องข้อมูล การจำแนกประเภทข้อมูล)

กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ (Process and Infrastructure)

บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์ และทำการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอกเป็นประจำทุกปี ซึ่งจากการตรวจสอบและสอบทานในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบเหตุบกพร่องใด ๆ

ในฐานะบริษัทในเครือของบริษัท PTTGC บริษัทฯ ได้นำขั้นตอนการฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์ (Cyber Drill Procedure) ของ PTTGC มาใช้เป็นหลักปฏิบัติมาตรฐาน ซึ่งถือเป็นแนวทางปฏิบัติที่ครอบคลุมสำหรับบุคลากรฝ่ายไอทีทุกคน เพื่อให้มั่นใจว่ามีการตอบสนองต่อเหตุการณ์ที่อาจส่งผลกระทบต่อระบบไอทีหรือระบบความมั่นคงปลอดภัยทางไซเบอร์ของบริษัทได้อย่างมีประสิทธิภาพและปลอดภัย นอกจากนี้ ยังช่วยลดความเสียหายที่อาจเกิดขึ้นจากภัยคุกคามทางไซเบอร์ด้วยการกำหนดมาตรการป้องกันและขั้นตอนปฏิบัติที่ชัดเจน บริษัทฯ ดำเนินการฝึกซ้อมรับมือภัยคุกคามทางไซเบอร์อย่างน้อยหนึ่งครั้งในช่วงเดือนมกราคม-มิถุนายน และอีกครั้งในช่วงเดือนกรกฎาคม-ธันวาคม

นอกจากนี้ บรษัทฯ ยังได้จัดทำแผนกู้คืนภัยพิบัติด้านความปลอดภัยไอที/ความมั่นคงปลอดภัยไซเบอร์ ซึ่งระบุขั้นตอนที่ต้องปฏิบัติตามในกรณีที่เกิดภัยพิบัติที่ส่งผลกระทบต่อศูนย์ข้อมูลหลัก วัตถุประสงค์ของแผนนี้คือการลดความเสียหายและการหยุดชะงักที่อาจเกิดขึ้นกับองค์กร แผนดังกล่าวมีขั้นตอนการทำงานโดยละเอียดซึ่งเป็นแนวทางสำคัญสำหรับบุคลากรไอทีทุกคนในการดำเนินการตามแผนกู้คืนภัยพิบัติ นอกจากนี้ยังระบุระยะเวลาที่คาดว่าจะกู้คืนข้อมูลไอทีประเภทต่างๆ และขั้นตอนที่จำเป็นในการกลับมาดำเนินธุรกิจตามปกติ ในฐานะส่วนหนึ่งของกระบวนการกู้คืนภัยพิบัติด้านความปลอดภัย/ความมั่นคงปลอดภัยไซเบอร์ บริษํทฯ ดำเนินการฝึกซ้อมรับมือเหตุการณ์และทดสอบอย่างน้อยหนึ่งครั้งในช่วงเดือนมกราคม-มิถุนายน และอีกครั้งในช่วงเดือนกรกฎาคม-ธันวาคม

การประเมินช่องโหว่ (Vulnerability Assessment)

บริษัทฯ ดำเนินการวิเคราะห์ช่องโหว่จากบุคคลที่สามอย่างน้อยปีละสองครั้ง บริษัทได้นำแผนความต่อเนื่องทางธุรกิจมาใช้ ในปี 2567 GGC ได้ดำเนินการฝึกซ้อมแผนรับมือเหตุการณ์ทางไซเบอร์ประจำปี (Cyber Incident Response Tabletop Exercise) เพื่อทดสอบเสถียรภาพของความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศ มีการจำลองสถานการณ์การโจมตีทางไซเบอร์โดยผู้บุกรุกจากภายนอก ซึ่งพยายามเจาะระบบความปลอดภัยไอทีของบริษัทฯ เพื่อรวบรวมข้อมูลของบริษัท ซึ่งนำไปสู่การรั่วไหลของข้อมูล การประเมินช่องโหว่ (VA) แต่ละฉบับจะประกอบด้วยประเด็นสำคัญต่อไปนี้สำหรับการตรวจสอบ

  • Clickjacking
  • คุกกี้ไม่ได้ทำเครื่องหมายเป็น HTTP เท่านั้น
  • คุกกี้ที่มีคุณสมบัติขาดหายไป ไม่สอดคล้อง หรือขัดแย้งกัน
  • ข้อความแสดงข้อผิดพลาดในการเขียนโปรแกรม
  • การเปิดเผยเวอร์ชัน
  • การกำหนดค่านโยบายความปลอดภัยของเนื้อหาไม่ถูกต้อง
  • ส่วนหัวของนโยบายสิทธิ์การใช้งานไม่ได้ถูกนำไปใช้งาน

อีกทั้ง บริษัทฯ ยังทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอกทุก ๆ 6 เดือน เพื่อเตรียมแผนการป้องกันและแก้ไขจากภัยคุกคาม โดยบริษัทฯ ได้แบ่งระดับความรุนแรง (Vulnerability Severity Levels) ออกเป็น 3 ระดับ ได้แก่ ความรุนแรงระดับสูง (High) คามรุนแรงระดับกลาง (Medium) ความรุนแรงระดับต่ำ (Low)

การสร้างความพร้อมด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Information Security and Cybersecurity Awareness)

บริษัทฯ เสริมสร้างความตระหนักและเตรียมความพร้อมด้านความปลอดภัยทางไซเบอร์ให้แก่พนักงานทุกระดับ ตลอดจน ผ่านการสื่อการเรียนรู้ออนไลน์ (E-Learning) Cyber Security Online ทั้งหมด 3 บทเรียน พร้อมทั้งประเมินความเข้าใจ โดยการทำแบบทดสอบท้ายบทเรียน เพื่อให้พนักงาน นำไปประยุกต์ใช้ในการปฏิบัติงาน

1. AI in Cybersecurity

ด้วยการบูรณาการเครื่องมือ AI เข้ากับโปรแกรมการฝึกอบรม องค์กรต่างๆ จะสามารถเตรียมพนักงานของตนให้พร้อมรับมือกับความท้าทายด้านความปลอดภัยที่ซับซ้อน และสร้างระบบป้องกันดิจิทัลที่ยืดหยุ่นมากขึ้นได้ดีขึ้น
2. Cybersecurity Third Party Risk Management.

การฝึกอบรมนี้มุ่งเน้นที่การทำให้มั่นใจว่าบุคคลที่สามปฏิบัติตามมาตรฐานความปลอดภัย ปฏิบัติตามกฎระเบียบ และหลีกเลี่ยงการนำช่องโหว่เข้าสู่ระบบความมั่นคงปลอดภัยไซเบอร์ขององค์กร การบริหารจัดการความเสี่ยงจากบุคคลที่สามด้านความมั่นคงปลอดภัยไซเบอร์ที่มีประสิทธิภาพช่วยปกป้องข้อมูลสำคัญและรักษาความต่อเนื่องทางธุรกิจในภูมิทัศน์ดิจิทัลที่เชื่อมโยงกันมากขึ้น
3. 10 ทักษะที่สำคัญทางด้าน Cyber security ในปี 2024 ที่คุณควรต้องมี

การฝึกอบรมนี้มอบทักษะที่เกี่ยวข้อง 10 ประการให้แก่พนักงานทุกคน เพื่อใช้ในการเฝ้าระวังและระบุภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นระหว่างการทำงานประจำวัน นอกจากนี้ การฝึกอบรมยังส่งเสริมความรับผิดชอบด้านความปลอดภัยของข้อมูลสำหรับพนักงานทุกคนอีกด้วย
4. การกำกับดูแลข้อมูล (Data Governance)

การฝึกอบรมการกำกับดูแลข้อมูล ช่วยให้พนักงานมีความรู้และเครื่องมือในการจัดการข้อมูลอย่างมีประสิทธิภาพ มั่นใจได้ว่าข้อมูลมีความถูกต้อง สอดคล้อง ปลอดภัย และนำไปใช้อย่างมีความรับผิดชอบทั่วทั้งองค์กร การฝึกอบรมครอบคลุมหลักการสำคัญต่างๆ เช่น ความเป็นเจ้าของข้อมูล คุณภาพ ความเป็นส่วนตัว การปฏิบัติตามกฎระเบียบ และการจัดการวงจรชีวิตข้อมูล การฝึกอบรมการกำกับดูแลข้อมูลจะช่วยส่งเสริมการตัดสินใจที่ดีขึ้น การปฏิบัติตามกฎระเบียบ และความน่าเชื่อถือในข้อมูลขององค์กร โดยการกำหนดบทบาท นโยบาย และแนวปฏิบัติที่ชัดเจน
5. Cyber Vision

บริษัทฯ ได้จัดอบรมวิสัยทัศน์ไซเบอร์สำหรับผู้บริหาร การอบรมนี้ครอบคลุมถึงแนวโน้มเทคโนโลยีปัจจุบัน โดยในปีนี้จะเน้นเทคโนโลยี AI โดยเฉพาะการรับมือกับการโจมตีทางไซเบอร์ที่เกิดจาก AI โดยมุ่งหวังที่จะเสริมสร้างความรู้และทักษะให้กับพนักงานในการรับมือกับภัยคุกคามทางไซเบอร์ในรูปแบบต่างๆ ได้อย่างมีประสิทธิภาพ
6. Digital Thailand 2024

บริษัทฯ ได้จัดอบรมหลักสูตร Digital Thailand สำหรับผู้บริหาร การอบรมครั้งนี้จะเสริมสร้างความรู้เกี่ยวกับแนวโน้มการใช้งานอุปกรณ์และบริการดิจิทัลในประเทศไทย โดยให้ข้อมูลเชิงลึกเกี่ยวกับการวิเคราะห์เชิงเปรียบเทียบ การติดตามการเติบโตของผู้ใช้อินเทอร์เน็ตในประเทศไทย และการเข้าถึงทรัพยากรในประเทศไทย และการเปรียบเทียบกับแพลตฟอร์มระดับโลก

กระบวนการรายงานฟิชชิงและการทดสอบฟิชชิงในปี 2567

บริษัทฯ ได้กำหนดวิธีการรายงานเหตุการณ์ ช่องโหว่ หรือกิจกรรมที่น่าสงสัย รวมถึงการรายงานอีเมลฟิชชิง กระบวนการรายงานกิจกรรมที่น่าสงสัยจะเริ่มต้นเมื่อผู้ใช้หรือพนักงานพบเหตุการณ์ดังกล่าว การตอบสนองจะดำเนินการตามกระบวนการที่ระบุไว้ด้านล่าง

รายงานพนักงานเกี่ยวกับ phishing email

  • ผู้ใช้พบ phishing email และรายงานไปยังฝ่ายบริการ

ทีม SOC ตรวจสอบเหตุการณ์

  • Service Desk ส่งต่อรายงานไปยังทีม SOC
  • ทีม SOC พิจารณาระดับความรุนแรง: ความรุนแรงต่ำ และ ความรุนแรงสูง (ส่งต่อไปยังผู้จัดการ SOC และทีมรักษาความปลอดภัย TF-IT)

ทีม SOC ประสานงานการบรรเทาผลกระทบ

  • ทีม SOC จัดทำแผนบรรเทาผลกระทบ
  • ผู้จัดการ SOC แจ้งทีมสื่อสารว่าเกิดกิจกรรม Phishing

ผลลัพธ์การตรวจสอบความปลอดภัย TF-IT

  • หลังจากการลดผลกระทบเสร็จสิ้น TF-IT จะประเมินผลลัพธ์และยืนยันความเสถียรของระบบ

รายงานสรุปขั้นสุดท้ายของ SOC + TF-IT

  • เมื่อสถานการณ์กลับสู่ภาวะปกติ ทีมรักษาความปลอดภัย SOC และ TF-IT จะจัดทำรายงาน
  • ทีมสื่อสารแจ้งองค์กรว่าปัญหาได้รับการแก้ไขแล้ว

ในปี 2567 พบว่าจากพนักงานทั้งหมด 282 คนที่เข้าร่วมการทดสอบ มีพนักงานที่ผ่านการทดสอบ 217 คน คิดเป็น 77.2% ของผู้เข้าร่วมทั้งหมด นอกจากนี้ ยังมีพนักงาน 0 คนที่ตกเป็นเหยื่อของอีเมลฟิชชิง คิดเป็น 0% ของจำนวนพนักงานทั้งหมด เมื่อเทียบกับการทดสอบครั้งก่อน จำนวนพนักงานที่รายงานเหตุการณ์ฟิชชิงได้อย่างถูกต้องเพิ่มขึ้นจาก 49 คนในปี 2566 เป็น 52.8% ในปี 2567