บริษัทฯ กำหนดนโยบายและมาตรการด้านความปลอดภัยสารสนเทศและไซเบอร์ตามมาตรฐานสากล ISO27001 พร้อมทั้งสร้างความตระหนักให้กับพนักงาน ผู้รับเหมา คู่ค้า ลูกค้า และหน่วยงานหรือบุคคลที่ดำเนินงานในนามของบริษัทฯ ตลอดห่วงโซ่อุปทาน เพื่อเสริมสร้างความมั่นคงและเสถียรภาพของระบบบริหารจัดการความปลอดภัยสารสนเทศและไซเบอร์ และป้องกันมิให้เกิดการใช้งานที่ถือเป็นการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์

ทั้งนี้ ในปี 2565 บริษัทฯ ได้ขอการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ และระบบจัดการข้อมูลส่วนบุคคล ตามมาตรฐาน ISO/IEC27001:2013 และ ISO/IEC 27701:2019 ตามลำดับ โดยมีขอบเขตการรับรองดังนี้

ลำดับ ขอบเขตการขอการรับรอง ISO/IEC27001:2013 และ ISO/IEC 27701:2019
1 การให้บริการระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ (Infrastructure as a Service)
2 การบริหารจัดการระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศบนระบบคลาวด์ (Cloud Infrastructure as a Service)
3 ระบบเครือข่ายเชื่อมต่อสาธารณะ (Cyber Zone / Internet Zone Network)
4 กระบวนการสรรหา และคัดเลือกบุคลากรภายนอก (External Recruitment Process) และระบบสารสนเทศที่สนับสนุนกระบวนการสรรหาและคัดเลือกบุคลากรภายนอก (Application Supporting Recruitment Process)

นอกจากนี้ บริษัทฯ ได้ดำเนินการเตรียมความพร้อมและลดความเสี่ยงการถูกคุกคามทางไซเบอร์ และโจรกรรม โดยการสร้าง และติดตามตัวบ่งชี้ความเสี่ยงที่สำคัญ (Key Risk Indicator: KRI) ทั้ง 3 มิติ ได้แก่ บุคคล ธุรกิจ และเทคโนโลยี

ผลการติดตามตัวบ่งชี้ความเสี่ยง (Key Risk Indicator: KRI) ประจำปี 2565

กลุ่มเป้าหมาย การดำเนินงาน ตัวบ่งชี้ความเสี่ยง (KRI) เป้าหมาย (ร้อยละ) ผลลัพธ์ 2565 (ร้อยละ)
บุคคล (People) ทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Test) อัตราการรายงาน Phishing (Quarterly) >= 20 % 49.09%
พนักงานผ่าน Phishing Test (Quarterly) >= 95 % 97.70%
ธุรกิจ (Business) การตรวจประเมินช่องโหว่ (Vulnerability Assessment) พร้อมนำไปปรับปรุงและแก้ไขให้ระบบมีความปลอดภัยที่สูงขึ้น จำนวนช่องโหว่ในระดับสูง ที่แก้ไขแล้ว (Vulnerability Fixed) 100 % 99.97%
เทคโนโลยี (Technology) การอัปเดตและปรับปรุงระบบป้องกันการถูกคุกคามและโจรกรรมทางไซเบอร์ เพื่อยกระดับความปลอดภัยของข้อมูล อัปเดตระบบป้องกันให้ทันสมัย (Update Firmware and Signature on Firewall) 100 % 100 %

นอกจากนี้ บริษัทฯ ยังสร้างเสริมความรู้ในการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย ควบคู่กับการสร้างความตระหนักด้านประเด็นความเสี่ยงในการถูกคุกคามและโจรกรรมทางไซเบอร์ (Information security/cybersecurity awareness training)การคุ้มครองข้อมูลส่วนบุคคล (Data Priacy) ผ่านการสื่อสารด้วยอินโฟกราฟิกส์ (Infographics) และสื่อการเรียนรู้ออนไลน์ (E-Lerning) เพื่อให้พนักงาน ผู้รับเหมา คู่ค้าทางธุรกิจ (ทั้งกลุ่มจัดหาวัตถุดิบ (Feedstock) และกลุ่มคู่ค้าที่ให้บริการอื่น ๆ (Non-feedstock)) ลูกค้า และหน่วยงานหรือบุคคลที่ดำเนินงานในนามของบริษัทฯ ตลอดห่วงโซ่อุปทาน สามารถนำไปประยุกต์ใช้ในการปฎิบัติงานและชีวิตประจำวัน

รายละเอียดการสร้างความพร้อมของความรู้ด้านการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัยแก่พนักงาน

ประเภทการสื่อสาร รายละเอียด ตัวอย่างเนื้อหา
อินโฟกราฟิกส์ (Infographics) ส่งข้อมูลข่าวสารเพื่อสร้างความตระหนักให้แก่พนักงานในรูปแบบภาพอินโฟกราฟิกส์ผ่านทางอีเมล และประเมินความรู้และความเข้าใจของพนักงานผ่าน Microsoft Form
  • รณรงค์ให้ผู้ใช้งานเปลี่ยนรหัสผ่าน (Password) เพื่อปลอดภัยจาก Ransomware
  • ข้อควรระวังและวิธีป้องกันสำหรับการผูกบัญชีไว้กับแอพพลิเคชั่นออนไลน์
สื่อการเรียนรู้ออนไลน์ (E-Lerning) สร้างแหล่งความรู้ออนไลน์ที่พนักงานสามารถเข้าถึงได้ด้วยตนเอง โดยเน้นพื้นฐานความตระหนักในประเด็นไซเบอร์ และลงรายละเอียดถึงภัยคุกคามต่างๆ เพื่อสร้างความรู้และความเข้าใจของพนักงาน
  • ภัยคุกคามด้านอีเมล (Business Email Compromise: BEC)
  • วิธีการรับมือภัยคุกคามไซเบอร์ (Report Suspicious)
  • ป้องกันภัยจากซอฟแวร์อันตราย (Defending Against Malware)
  • ความเชื่อมโยง Physical Security กับ Cybersecurity

ผลลัพธ์

  • คะแนนจากการทดสอบความรู้ความเข้าใจในด้านไซเบอร์ของพนักงาน = 100%
  • ผู้รับเหมาและคู่ค้าทางธุรกิจจะต้องได้รับการเรียนออนไลน์ เพื่อยอมรับนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ก่อนเข้าถึงระบบสารสนเทศของบริษัท ฯ = 100%