การกำกับดูแลและเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
เป้าหมาย
- ไม่มีผู้ตกเป็นเหยื่อในการโจมตีหรือการทดสอบการโจมตีหลังจากผ่านการอบรมความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity)
- ลดระยะเวลาในการตรวจจับการโจมตีให้ได้เร็วที่สุด*
*หมายเหตุ: ปัจจุบันบริษัทฯ สามารถตรวจจับการโจมตีได้ภายใน 3 วัน ซึ่งค่าเฉลี่ยของอุตสาหกรรมอยู่ที่ 24 วัน (ที่มา: FireEye Mandiant: M-Trends Report 2021)
ความท้าทายและโอกาส
ปัจจุบัน การดำเนินธุรกิจมีการประยุกต์ใช้เทคโนโลยีดิจิทัลมากขึ้น ทั้งระบบการผลิตและโครงข่ายปฏิบัติงานที่ต้องเชื่อมโยงกับโครงข่ายอินเทอร์เน็ต รวมถึงการปรับตัวในการทำงานของพนักงานในช่วงวิกฤตโควิด 19 ที่หันมาใช้เทคโนโลยีดิจิทัลมากขึ้น ซึ่งอาจนำมาสู่ปัจจัยความเสี่ยงด้านภัยคุกคามทางไซเบอร์ (Cyber Threat) อาทิ การถูกโจรกรรมข้อมูลสำคัญต่าง ๆ หรืออาจทำให้ระบบการผลิตเกิดการหยุดชะงักได้ ซึ่งจะกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ ความน่าเชื่อถือ ภาพลักษณ์และชื่อเสียงของบริษัทฯ
บริษัทฯ จึงกำหนดกระบวนการบริหารจัดการความปลอดภัยของระบบเทคโนโลยีสารสนเทศ ที่สอดคล้องต่อนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ และยังเสริมสร้างความรู้ ความเข้าใจ และความตระหนักให้แก่พนักงานทุกระดับ ผ่านการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้พนักงานสามารถปฏิบัติตนได้อย่างเหมาะสมเมื่อเผชิญเหตุภัยคุกคามทางด้านไซเบอร์
การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Governance)
บริษัทฯ จึงได้กำกับและบริหารระบบความมั่นคงปลอดภัยด้านสารสนเทศ ที่สอดคล้องตามมาตรฐาน ISO/IEC 27001:2013 และกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) เพื่อกำหนดทิศทางการทำงานให้ชัดเจน และสร้างความโปร่งใสแก่การบริหารงานเชิงนโยบายตลอดจนระดับปฎิบัติการ โดยสามารถแบ่งลำดับขั้นการบริหารได้ทั้งหมด 3 ขั้น อันประกอบด้วย (1) ระดับกำกับดูแล (2) ระดับบริหารจัดการ และ (3) ระดับปฏิบัติการ ทั้งนี้ในปี 2565 ได้มีการปรับโครงสร้างองค์กรโดยจัดตั้งหน่วยงาน Cybersecurityเพื่อเพิ่มประสิทธิภาพในการจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
บทบาท | คณะกรรมการ / หน่วยงาน ที่เกี่ยวข้อง | |
---|---|---|
ระดับกำกับดูแล |
|
|
ระดับบริหารจัดการ |
|
|
ระดับปฏิบัติการ |
|
|
นอกจากนี้ การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและ ไซเบอร์ของบริษัทฯ จะครอบคลุมการบริหารจัดการทั้งหมด 5 ด้าน ดังนี้
แนวทางและกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตาม NIST Cybersecurity Framework
นอกจากนี้ บริษัทฯ ได้แต่งตั้งผู้ช่วยกรรมการผู้จัดการใหญ่สายงานปฏิรูปธุรกิจสู่ความเป็นเลิศ ให้ดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง (Chief Information Security Officer: CISO) ซึ่งมีหน้าที่ดังต่อไปนี้