กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์
บริษัทฯ กำหนดนโยบายและมาตรการด้านความปลอดภัยสารสนเทศและไซเบอร์ตามมาตรฐานสากล ISO27001 พร้อมทั้งสร้างความตระหนักให้กับพนักงาน ผู้รับเหมา คู่ค้า ลูกค้า และหน่วยงานหรือบุคคลที่ดำเนินงานในนามของบริษัทฯ ตลอดห่วงโซ่อุปทาน เพื่อเสริมสร้างความมั่นคงและเสถียรภาพของระบบบริหารจัดการความปลอดภัยสารสนเทศและไซเบอร์ และป้องกันมิให้เกิดการใช้งานที่ถือเป็นการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ทั้งนี้ ในปี 2565 บริษัทฯ ได้ขอการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ และระบบจัดการข้อมูลส่วนบุคคล ตามมาตรฐาน ISO/IEC27001:2013 และ ISO/IEC 27701:2019 ตามลำดับ โดยมีขอบเขตการรับรองดังนี้
| ลำดับ | ขอบเขตการขอการรับรอง ISO/IEC27001:2013 และ ISO/IEC 27701:2019 |
|---|---|
| 1 | การให้บริการระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ (Infrastructure as a Service) |
| 2 | การบริหารจัดการระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศบนระบบคลาวด์ (Cloud Infrastructure as a Service) |
| 3 | ระบบเครือข่ายเชื่อมต่อสาธารณะ (Cyber Zone / Internet Zone Network) |
| 4 | กระบวนการสรรหา และคัดเลือกบุคลากรภายนอก (External Recruitment Process) และระบบสารสนเทศที่สนับสนุนกระบวนการสรรหาและคัดเลือกบุคลากรภายนอก (Application Supporting Recruitment Process) |
นอกจากนี้ บริษัทฯ ได้ดำเนินการเตรียมความพร้อมและลดความเสี่ยงการถูกคุกคามทางไซเบอร์ และโจรกรรม โดยการสร้าง และติดตามตัวบ่งชี้ความเสี่ยงที่สำคัญ (Key Risk Indicator: KRI) ทั้ง 3 มิติ ได้แก่ บุคคล ธุรกิจ และเทคโนโลยี
ผลการติดตามตัวบ่งชี้ความเสี่ยง (Key Risk Indicator: KRI) ประจำปี 2565
| กลุ่มเป้าหมาย | การดำเนินงาน | ตัวบ่งชี้ความเสี่ยง (KRI) | เป้าหมาย (ร้อยละ) | ผลลัพธ์ 2565 (ร้อยละ) |
|---|---|---|---|---|
| บุคคล (People) | ทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Test) | อัตราการรายงาน Phishing (Quarterly) | >= 20 % | 49.09% |
| พนักงานผ่าน Phishing Test (Quarterly) | >= 95 % | 97.70% | ||
| ธุรกิจ (Business) | การตรวจประเมินช่องโหว่ (Vulnerability Assessment) พร้อมนำไปปรับปรุงและแก้ไขให้ระบบมีความปลอดภัยที่สูงขึ้น | จำนวนช่องโหว่ในระดับสูง ที่แก้ไขแล้ว (Vulnerability Fixed) | 100 % | 99.97% |
| เทคโนโลยี (Technology) | การอัปเดตและปรับปรุงระบบป้องกันการถูกคุกคามและโจรกรรมทางไซเบอร์ เพื่อยกระดับความปลอดภัยของข้อมูล | อัปเดตระบบป้องกันให้ทันสมัย (Update Firmware and Signature on Firewall) | 100 % | 100 % |
นอกจากนี้ บริษัทฯ ยังสร้างเสริมความรู้ในการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย ควบคู่กับการสร้างความตระหนักด้านประเด็นความเสี่ยงในการถูกคุกคามและโจรกรรมทางไซเบอร์ (Information security/cybersecurity awareness training)การคุ้มครองข้อมูลส่วนบุคคล (Data Priacy) ผ่านการสื่อสารด้วยอินโฟกราฟิกส์ (Infographics) และสื่อการเรียนรู้ออนไลน์ (E-Lerning) เพื่อให้พนักงาน ผู้รับเหมา คู่ค้าทางธุรกิจ (ทั้งกลุ่มจัดหาวัตถุดิบ (Feedstock) และกลุ่มคู่ค้าที่ให้บริการอื่น ๆ (Non-feedstock)) ลูกค้า และหน่วยงานหรือบุคคลที่ดำเนินงานในนามของบริษัทฯ ตลอดห่วงโซ่อุปทาน สามารถนำไปประยุกต์ใช้ในการปฎิบัติงานและชีวิตประจำวัน
รายละเอียดการสร้างความพร้อมของความรู้ด้านการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัยแก่พนักงาน
| ประเภทการสื่อสาร | รายละเอียด | ตัวอย่างเนื้อหา |
|---|---|---|
| อินโฟกราฟิกส์ (Infographics) | ส่งข้อมูลข่าวสารเพื่อสร้างความตระหนักให้แก่พนักงานในรูปแบบภาพอินโฟกราฟิกส์ผ่านทางอีเมล และประเมินความรู้และความเข้าใจของพนักงานผ่าน Microsoft Form |
|
| สื่อการเรียนรู้ออนไลน์ (E-Lerning) | สร้างแหล่งความรู้ออนไลน์ที่พนักงานสามารถเข้าถึงได้ด้วยตนเอง โดยเน้นพื้นฐานความตระหนักในประเด็นไซเบอร์ และลงรายละเอียดถึงภัยคุกคามต่างๆ เพื่อสร้างความรู้และความเข้าใจของพนักงาน |
|
ผลลัพธ์
- คะแนนจากการทดสอบความรู้ความเข้าใจในด้านไซเบอร์ของพนักงาน = 100%
- ผู้รับเหมาและคู่ค้าทางธุรกิจจะต้องได้รับการเรียนออนไลน์ เพื่อยอมรับนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ก่อนเข้าถึงระบบสารสนเทศของบริษัท ฯ = 100%