บริษัทฯ กำหนดนโยบายและมาตรการด้านความปลอดภัยสารสนเทศและไซเบอร์ตามมาตรฐานสากล ISO27001 พร้อมทั้งสร้างความตระหนักให้กับพนักงาน เพื่อเสริมสร้างความมั่นคงและเสถียรภาพของระบบบริหารจัดการความปลอดภัยสารสนเทศและไซเบอร์ และป้องกันมิให้เกิดการใช้งานที่ถือเป็นการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

ทั้งนี้ ในปี 2564 บริษัทฯ ได้ขยายขอบเขตการขอรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO27001 ให้ครอบคลุมถึงกลุ่มข้อมูลที่ถูกจัดเก็บบนคลาวด์ (Cloud Storage) และจุดเชื่อมต่อเครือข่ายสู่อินเทอร์เน็ต (Internet Gateway) รวมถึงการพัฒนาระบบความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศในส่วนของข้อมูลส่วนบุคคลที่เกี่ยวกับกระบวนการรับสมัครพนักงานใหม่ ซึ่งสามารถจำแนกเป็น 3 ส่วนหลักที่เพิ่มเติม ดังนี้

ลำดับ ส่วนขยายขอบเขตการขอรับรองระบบบริหารความมั่นคงและสารสนเทศ ISO27001
1 การบริหารจัดการระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศบนระบบคลาวด์ (Cloud Infrastructure as a Service)
2 ระบบเครือข่ายเชื่อมต่อสาธารณะ (Cyber Zone / Internet Zone Network)
3 ระบบสารสนเทศที่สนับสนุนกระบวนการสรรหา และคัดเลือกบุคลากรภายนอก (Application Supporting Recruitment Process) อันได้แก่ระบบ SAP HCM, Success Factor เป็นต้น

นอกจากนี้ บริษัทฯ ได้ดำเนินการเตรียมความพร้อมและลดความเสี่ยงการถูกคุกคามทางไซเบอร์ และโจรกรรม โดยการสร้าง และติดตามตัวบ่งชี้ความเสี่ยงที่สำคัญ (Key Risk Indicator: KRI) ทั้ง 3 มิติ ได้แก่ บุคคล ธุรกิจ และเทคโนโลยี

ผลการติดตามตัวบ่งชี้ความเสี่ยง (Key Risk Indicator: KRI) ประจำปี 2564

กลุ่มเป้าหมาย การดำเนินงาน ตัวบ่งชี้ความเสี่ยง (KRI) เป้าหมาย (%) ผลลัพธ์ 2564
บุคคล (People) ทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Test) อัตราการรายงาน Phishing (Quarterly) >= 20 % 48.84 %
พนักงานผ่าน Phishing Test (Quarterly) >= 95 % 95.68 %
ธุรกิจ(Business) การตรวจประเมินช่องโหว่ (Vulnerability Assessment) พร้อมนำไปปรับปรุงและแก้ไขให้ระบบมีความปลอดภัยที่สูงขึ้น จำนวนช่องโหว่ในระดับสูง ที่แก้ไขแล้ว (Vulnerability Fixed) 100 % 100 %
เทคโนโลยี (Technology) การอัปเดตและปรับปรุงระบบป้องกันการถูกคุกคามและโจรกรรมทางไซเบอร์ เพื่อยกระดับความปลอดภัยของข้อมูล อัปเดตระบบป้องกันให้ทันสมัย (Update Firmware and Signature on Firewall) 100 % 100 %

นอกจากนี้ บริษัทฯ ยังสร้างเสริมความรู้ในการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย ควบคู่กับการสร้างความตระหนักด้านประเด็นความเสี่ยงในการถูกคุกคามและโจรกรรมทางไซเบอร์ ผ่านการสื่อสารด้วยอินโฟกราฟิกส์ (Infographics) และสื่อการเรียนรู้ออนไลน์ (E-Learning) เพื่อให้พนักงานสามารถนำไปประยุกต์ใช้ในการปฎิบัติงานและชีวิตประจำวัน

รายละเอียดการสร้างความพร้อมของความรู้ด้านการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัยแก่พนักงาน

ประเภทการสื่อสาร รายละเอียด ตัวอย่างเนื้อหา
อินโฟกราฟิกส์ (Infographics) ส่งข้อมูลข่าวสารเพื่อสร้างความตระหนักให้แก่พนักงานในรูปแบบภาพอินโฟกราฟิกส์ผ่านทางอีเมล และประเมินความรู้และความเข้าใจของพนักงานผ่าน Microsoft Form
  • รณรงค์ให้ผู้ใช้งานเปลี่ยนรหัสผ่าน (Password) เพื่อปลอดภัยจาก Ransomware
  • ข้อควรระวังและวิธีป้องกันสำหรับการผูกบัญชีไว้กับแอพพลิเคชั่นออนไลน์
สื่อการเรียนรู้ออนไลน์ (E-Lerning) สร้างแหล่งความรู้ออนไลน์ที่พนักงานสามารถเข้าถึงได้ด้วยตนเอง โดยเน้นพื้นฐานความตระหนักในประเด็นไซเบอร์ และลงรายละเอียดถึงภัยคุกคามต่าง ๆ เพื่อสร้างความรู้และความเข้าใจของพนักงาน
  • ภัยคุกคามด้านอีเมล (Business Email Compromise: BEC)
  • วิธีการรับมือภัยคุกคามไซเบอร์ (Report Suspicious)
  • ป้องกันภัยจากซอฟแวร์อันตราย (Defending Against Malware)
  • ความเชื่อมโยง Physical Security กับ Cybersecurity
  • ผลลัพธ์ – คะแนนเฉลี่ยจากการทดสอบความรู้ความเข้าใจในด้านไซเบอร์ = 87.6%