การจัดการความยั่งยืน สิ่งแวดล้อม สังคม Net Zero การปรับตัวทางธุรกิจ รายงาน การดำเนินการด้านความยั่งยืน รางวัลและเกียรติประวัติ
การกำกับดูแลกิจการที่ดี จรรยาบรรณทางธุรกิจและการปฏิบัติตามกฎหมาย กฎระเบียบที่เกี่ยวข้อง การบริหารจัดการความเสี่ยงและวิกฤตการณ์ การสนับสนุนต่อภาคส่วนต่างๆ กลยุทธ์ด้านภาษี การบริหารจัดการนวัตกรรม การบริหารจัดการห่วงโซ่อุปทาน การประเมินมูลค่าความยั่งยืน
กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์

การกำกับดูแลและเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

ประเด็นความยั่งยืน
การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
ระดับผลกระทบ
Impact Materiality : ต่ำ
Financial Materiality : ต่ำ
Double Materiality : ต่ำ
ผู้มีส่วนได้เสียที่เกี่ยวข้อง
ผู้ถือหุ้น
คู่ค้าและหุ้นส่วนทางธุรกิจ
ลูกค้า
พนักงาน

เป้าหมาย

  • ไม่มีผู้ตกเป็นเหยื่อในการโจมตีหรือการทดสอบการโจมตีหลังจากผ่านการอบรมความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity)
  • ลดระยะเวลาในการตรวจจับการโจมตีให้ได้เร็วที่สุด*

*หมายเหตุ: ค่าเฉลี่ยของอุตสาหกรรมอยู่ที่ 16 วัน (ที่มา: FireEye Mandiant: M-Trends Report 2022)

ความท้าทายและโอกาส

ปัจจุบันการดำเนินธุรกิจมีการประยุกต์ใช้เทคโนโลยีดิจิทัลมากขึ้น ทั้งระบบการผลิตและโครงข่ายปฏิบัติงานที่ต้องเชื่อมโยงกับโครงข่ายอินเทอร์เน็ต รวมถึงการปรับตัวในการทำงานของพนักงานที่มีการทำงานแบบ Work from Anywhere ซึ่งอาจนำมาสู่ปัจจัยความเสี่ยงด้านภัยคุกคามทางไซเบอร์ (Cyber Threat) อาทิ การถูกโจรกรรมข้อมูลสำคัญต่างๆ หรือการหยุดชะงักของระบบเทคโนโลยีสารสนเทศที่สำคัญ ซึ่งจะกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ ความน่าเชื่อถือ ภาพลักษณ์ และชื่อเสียงของบริษัทฯ

บริษัทฯ จึงกำหนดกระบวนการบริหารจัดการความปลอดภัยของระบบเทคโนโลยีสารสนเทศ ที่สอดคล้องต่อนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ และยังเสริมสร้างความรู้ ความเข้าใจ และความตระหนักให้แก่พนักงานทุกระดับ ผ่านการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้พนักงานสามารถปฏิบัติตนได้อย่างเหมาะสมเมื่อเผชิญเหตุภัยคุกคามทางด้านไซเบอร์

แนวทางการบริหารจัดการ (Management Approach) GRI 3-3 (2021)

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Governance)

เพื่อกำหนดทิศทางการทำงานให้ชัดเจน และสร้างความโปร่งใสแก่การบริหารงานเชิงนโยบายตลอดจนระดับปฎิบัติการ บริษัทฯ จึงได้กำกับและบริหารระบบความมั่นคงปลอดภัยด้านสารสนเทศ ที่สอดคล้องตามมาตรฐาน ISO/IEC 27001:2022, ISO/IEC 27701:2019 และกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) ซึ่งการกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ของบริษัทฯ จะประกอบด้วยนโยบาย มาตรฐานอ้างอิง คู่มือขั้นตอนการดำเนินงาน และ Software ที่ครอบคลุมการดำเนินงานทั้ง 5 ด้านอันได้แก่ การ Identify การ Protect การ Detect การ Respond และการ Recover

แนวทางและกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตาม NIST Cyber Security Framework

โดยสามารถแบ่งลำดับขั้นการบริหารได้ทั้งหมด 3 ขั้น อันประกอบด้วย (1) ระดับกำกับดูแล (2) ระดับบริหารจัดการ และ (3) ระดับปฏิบัติการ บริษัทฯ ได้จัดตั้งหน่วยงาน Cybersecurity เพื่อเพิ่มประสิทธิภาพในการจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

บทบาท คณะกรรมการ / หน่วยงาน ที่เกี่ยวข้อง
ระดับกำกับดูแล
  • กำหนดทิศทางกลยุทธ์และเป้าหมาย (Develop and review of information security and cybersecurity strategies)
  • กำกับ ดูแล บริหารการดำเนินงาน
  • คณะกรรมการตรวจสอบ (Board Level Audit Committee)
  • คณะกรรมการกำกับดูแลงานด้านดิจิทัลและเทคโนโลยี สารสนเทศ
  • คณะกรรมการบริหารการลงทุนด้านดิจิทัลและเทคโนโลยีสารสนเทศ
  • คณะกรรมการบริหารความเสี่ยงระดับองค์กร
  • คณะกรรมการบริหารความมั่นคงปลอดภัยสารสนเทศ
ระดับบริหารจัดการ
  • บริหารจัดการโครงสร้างด้านเทคโนโลยีให้สอดรับกับความต้องการใช้งาน และมีความทันสมัยเป็นมาตรฐานสากล
  • จัดการข้อมูลสารสนเทศตามมาตรฐาน ISO
  • ติดตามตรววจสอบความถูกต้องและแม่นยำ
  • คณะกรรมการ Enterprise Architecture
  • หน่วยงาน Cybersecurity
ระดับปฏิบัติการ
  • กำหนดระบบ วิธีปฏิบัติ และบริการ ให้แก่ผู้ใช้งานปฎิบัติตาม
  • ประเมินการติดตามผลงานและรายงานความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงระดับองค์กร
  • หน่วยงาน Cybersecurity

นอกจากนี้ บริษัทฯ ได้แต่งตั้งผู้ช่วยกรรมการผู้จัดการใหญ่สายงานปฏิรูปธุรกิจสู่ความเป็นเลิศ ให้ดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง (Chief Information Security Officer: CISO) ซึ่งมีหน้าที่ดังต่อไปนี้