การกำกับดูแลและเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

เลื่อนลง

ประเด็นสำคัญด้านความยั่งยืน

การกำกับดูแลความมั่นคงปลอดภัยทางไซเบอร์

ระดับผลกระทบ

Impact Materiality : สูงมาก

Financial Materiality : ปานกลาง

ผู้มีส่วนได้เสีย

ผู้ถือหุ้น

หุ้นส่วนธุรกิจ

ลูกค้า

พนักงาน

นักลงทุน

ภาครัฐ

เป้าหมาย

ไม่มีผู้ตกเป็นเหยื่อในการโจมตีหรือการทดสอบการโจมตีหลังจากผ่านการอบรมความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity)
ลดระยะเวลาในการตรวจจับการโจมตีให้ได้เร็วที่สุด*

*หมายเหตุ: ค่าเฉลี่ยของอุตสาหกรรมอยู่ที่ 11 วัน (ที่มา: FireEye Mandiant: M-Trends Report 2024)

ความท้าทายและโอกาสทางธุรกิจ (Challenges and Opportunities)

ปัจจุบันการดำเนินธุรกิจมีการประยุกต์ใช้เทคโนโลยีดิจิทัลมากขึ้น ทั้งระบบการผลิตและโครงข่ายปฏิบัติงานที่ต้องเชื่อมโยงกับโครงข่ายอินเทอร์เน็ต รวมถึงการปรับตัวในการทำงานของพนักงานที่มีการทำงานแบบ Work from Anywhere ซึ่งอาจนำมาสู่ปัจจัยความเสี่ยงด้านภัยคุกคามทางไซเบอร์ (Cyber Threat) อาทิ การถูกโจรกรรมข้อมูลสำคัญต่างๆ หรือการหยุดชะงักของระบบเทคโนโลยีสารสนเทศที่สำคัญ ซึ่งจะกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ ความน่าเชื่อถือ ภาพลักษณ์ และชื่อเสียงของบริษัทฯ

เพื่อเตรียมความพร้อมระบบงานและเพิ่มมาตรการความปลอดภัยด้านเทคโนโลยีสารสนเทศ บริษัทฯ จึงดำเนินการป้องกัน ตรวจจับ และวิเคราะห์โอกาสการถูกโจมตีจากช่องทางให้บริการของบริษัทฯ ครอบคลุมทั้ง On-Premise และ Cloud รวมถึงมีการตรวจประเมินช่องโหว่ของระบบ พร้อมทั้งกำหนดกระบวนการบริหารจัดการความปลอดภัยของระบบเทคโนโลยีสารสนเทศ ที่สอดคล้องต่อนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศและการจัดการข้อมูลส่วนบุคคล และยังเสริมสร้างความรู้ ความเข้าใจ และความตระหนักให้แก่พนักงานทุกระดับ ผ่านการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้พนักงานสามารถปฏิบัติตนได้อย่างเหมาะสมเมื่อเผชิญเหตุภัยคุกคามทางด้านไซเบอร์

แนวทางการบริหารจัดการ (Management Approach) ^{GRI 3-3 (2021)}

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Governance)

เพื่อกำหนดทิศทางการทำงานให้ชัดเจน และสร้างความโปร่งใสแก่การบริหารงานเชิงนโยบายตลอดจนระดับปฏิบัติการ บริษัทฯ จึงได้กำกับและบริหารระบบความมั่นคงปลอดภัยด้านสารสนเทศและการจัดการข้อมูลส่วนบุคคลที่สอดคล้องกับแผนยุทธศาสตร์ของบริษัทฯ โดยอ้างอิงตามมาตรฐาน ISO/IEC 27001:2022, ISO/IEC 27701:2019 และกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) ซึ่งครอบคลุมการดำเนินงานทั้ง 6 ด้าน อันได้แก่ การ Govern การ Identify การ Protect การ Detect การ Respond การ Recover

แนวทางและกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตาม NIST Cyber Security Framework

โดยสามารถแบ่งลำดับขั้นการบริหารได้ทั้งหมด 3 ขั้น อันประกอบด้วย (1) ระดับกำกับดูแล (2) ระดับบริหารจัดการ และ (3) ระดับปฏิบัติการ บริษัทฯ ได้จัดตั้งหน่วยงาน Cybersecurity เพื่อเพิ่มประสิทธิภาพในการจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

	บทบาท	คณะกรรมการ / หน่วยงาน ที่เกี่ยวข้อง
ระดับกำกับดูแล	กำหนดทิศทางกลยุทธ์และเป้าหมาย กำกับ ดูแล บริหารการดำเนินงาน	คณะกรรมการตรวจสอบ คณะกรรมการกำกับดูแลงานด้านดิจิทัลและเทคโนโลยีสารสนเทศกลุ่มบริษัทฯ คณะกรรมการบริหารการลงทุนด้านดิจิทัลและเทคโนโลยีสารสนเทศ คณะกรรมการบริหารความเสี่ยงระดับองค์กร คณะกรรมการบริหารความมั่นคงปลอดภัยสารสนเทศ
ระดับบริหารจัดการ	บริหารจัดการโครงสร้างด้านเทคโนโลยีให้สอดรับกับความต้องการใช้งาน และมีความทันสมัยเป็นมาตรฐานสากล จัดการข้อมูลสารสนเทศและข้อมูลส่วนบุคคลตามมาตรฐาน ISO ติดตามตรวจสอบความถูกต้องและแม่นยำ	คณะกรรมการ Enterprise Architecture หน่วยงาน Cybersecurity
ระดับปฏิบัติการ	กำหนดระบบ วิธีปฏิบัติ และบริการ ให้แก่ผู้ใช้งานปฏิบัติตาม ประเมินการติดตามผลงานและรายงานความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงระดับองค์กร	หน่วยงาน Cybersecurity

นอกจากนี้ บริษัทฯ ได้แต่งตั้งผู้ช่วยกรรมการผู้จัดการใหญ่สายงานปฏิรูปธุรกิจสู่ความเป็นเลิศ ให้ดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง ซึ่งมีหน้าที่ดังต่อไปนี้

แถลงการณ์การกำกับดูแลและแนวปฏิบัติด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ

เป้าหมาย

ความท้าทายและโอกาสทางธุรกิจ (Challenges and Opportunities)

แนวทางการบริหารจัดการ (Management Approach) GRI 3-3 (2021)

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Governance)

แนวทางการบริหารจัดการ (Management Approach) ^{GRI 3-3 (2021)}