กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์
บริษัทฯ กำหนดนโยบายและมาตรการด้านความปลอดภัยสารสนเทศและไซเบอร์ รวมถึงการจัดการข้อมูลส่วนบุคคล ตามมาตรฐานสากล ISO/IEC:27001 และ ISO/IEC: 27701 ตลอดจนลงทุนในการปรับปรุงระบบให้มีประสิทธิภาพอย่างต่อเนื่อง เพื่อสร้างความมั่นคงและเสถียรภาพของระบบบริหารความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ และป้องกันมิให้เกิดการใช้งานที่ถือเป็นการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
ทั้งนี้ ในปี 2567 บริษัทฯ ได้ขยายขอบเขตการรับรองการบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO27001:2022 และการบริหารความมั่นคงปลอดภัยข้อมูลส่วนบุคคล ISO27701:2019 โดยมีขอบเขตการรับรองดังนี้
ลำดับ | ขอบเขตการขอการรับรอง ISO/IEC27001:2022 และ ISO/IEC 27701:2019 |
---|---|
1 | การให้บริการระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ (Infrastructure as a Service) On-Premise |
2 | การให้บริการโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ (Infrastructure as a Service) - Cloud |
3 | การให้บริการแพลตฟอร์มเทคโนโลยีสารสนเทศ (Platform as a Service) - Cloud |
4 | ระบบเครือข่ายเชื่อมต่อสาธารณะ (Cyber Zone / Internet Zone Network) |
5 | ระบบสารสนเทศที่สนับสนุนกระบวนการสรรหา คัดเลือก และจ้างงานบุคลากร (Application Supporting Recruitment Process) อันได้แก่ระบบ SAP HCM และ Success Factor |
6 | กระบวนการการสรรหา และคัดเลือกบุคลากรภายนอก (External Recruitment Process) |
7 | กระบวนการจ้างงานบุคลากร (Hiring process) |
บริษัทฯ กำหนดแผนความต่อเนื่องทางธุรกิจที่เกี่ยวข้องกับความปลอดภัยของข้อมูล อีกทั้ง ยังมีการดำเนินการเตรียมความพร้อมโดยมีการจัดซ้อมแผนการจัดการเหตุคุกคามทางด้านไซเบอร์ มีการประเมินความเสี่ยงด้านการโจมตีทางไซเบอร์เพื่อให้มีการติดตามความเสี่ยง และเป็นสัญญาณเตือนการดำเนินงาน ตลอดจนจัดตั้งกระบวนการรับแจ้งเหตุเพื่อให้พนักงานสามารถรายงานเหตุการณ์ หรือกิจกรรมที่น่าสงสัยเกี่ยวกับการโจมตีทางไซเบอร์
ขั้นตอนการรายงานเหตุการณ์ หรือกิจกรรมที่น่าสงสัยเกี่ยวกับการโจมตีทางไซเบอร์
บริษัทฯ ได้กำหนดตัวบ่งชี้ความเสี่ยงที่สำคัญ (Key Risk Indicator: KRI) ทั้ง 3 มิติ ได้แก่ บุคคล ธุรกิจ และเทคโนโลยี เพื่อติดตามการดำเนินงานด้านความปลอดภัยสารสนเทศและไซเบอร์
ผลการติดตามตัวบ่งชี้ความเสี่ยง (Key Risk Indicator: KRI) ประจำปี 2567
กลุ่มเป้าหมาย | การดำเนินงาน | ตัวบ่งชี้ความเสี่ยง (KRI) | เป้าหมาย (ร้อยละ) | ผลลัพธ์ 2567 (ร้อยละ) |
---|---|---|---|---|
บุคคล (People) | ทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Test) | อัตราการรายงาน Phishing (Quarterly) | >= 45 | 55.18 |
อัตราการตกเป็นเหยื่อ Phishing (Quarterly) | < 5 | 1.43 | ||
ธุรกิจ (Business) | การตรวจประเมินช่องโหว่ (Vulnerability Assessment) พร้อมนำไปปรับปรุงและแก้ไขให้ระบบมีความปลอดภัยที่สูงขึ้น | จำนวนช่องโหว่ในระดับสูง ที่แก้ไขแล้ว (Vulnerability Fixed) | 100 | 100 |
เทคโนโลยี (Technology) | การอัปเดตและปรับปรุงระบบป้องกันการถูกคุกคามและโจรกรรมทางไซเบอร์ เพื่อยกระดับความปลอดภัยของข้อมูล | อัปเดตระบบป้องกันให้ทันสมัย (Update Firmware and Signature on Firewall) | 100 | 100 |
นอกจากนี้ บริษัทฯ ยังส่งเสริมให้พนักงานทุกคนมีความตระหนักและรับผิดชอบในการรักษาความปลอดภัยของข้อมูล ผ่านการสร้างแนวทางและนโยบายที่ชัดเจน ตลอดจนสร้างข้อกำหนดที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูลสำหรับบุคคลภายนอกในการเข้าถึงข้อมูลหรือระบบขององค์กร เพื่อให้มั่นใจว่าผู้มีส่วนเกี่ยวข้องทั้งหมดปฏิบัติตามมาตรฐานการรักษาความปลอดภัยเดียวกัน อีกทั้ง บริษัทฯ ได้สร้างเสริมความรู้ในการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย ควบคู่กับการสร้างความตระหนักด้านประเด็นความเสี่ยงในการถูกคุกคามและโจรกรรมทางไซเบอร์ การคุ้มครองข้อมูลส่วนบุคคล ผ่านการสื่อสารด้วยอินโฟกราฟิกส์ (Infographics) และสื่อการเรียนรู้ออนไลน์ (E-Lerning) เพื่อให้พนักงาน ผู้รับเหมา คู่ค้าทางธุรกิจ (ทั้งกลุ่มจัดหาวัตถุดิบ (Feedstock) และกลุ่มคู่ค้าที่ให้บริการอื่นๆ (Non-feedstock)) ลูกค้า และหน่วยงานหรือบุคคลที่ดำเนินงานในนามของบริษัทฯ ตลอดห่วงโซ่อุปทาน สามารถนำไปประยุกต์ใช้ในการปฏิบัติงานและชีวิตประจำวัน
รายละเอียดการสร้างความพร้อมของความรู้ด้านการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัยแก่พนักงาน
ประเภทการสื่อสาร | รายละเอียด | ตัวอย่างเนื้อหา |
---|---|---|
อินโฟกราฟิกส์ (Infographics) | ส่งข้อมูลข่าวสารเพื่อสร้างความตระหนักให้แก่พนักงานในรูปแบบภาพอินโฟกราฟิกส์ผ่านทางอีเมล |
|
สื่อการเรียนรู้ออนไลน์ (E-Lerning) | สร้างแหล่งความรู้ออนไลน์ที่พนักงานสามารถเข้าถึงได้ด้วยตนเอง โดยเน้นพื้นฐานความตระหนักในประเด็นไซเบอร์ และลงรายละเอียดถึงภัยคุกคามต่างๆ เพื่อสร้างความรู้และความเข้าใจของพนักงาน |
|
ผลลัพธ์
- คะแนนจากการทดสอบความรู้ความเข้าใจในด้านไซเบอร์ของพนักงาน = ร้อยละ 100
- ผู้รับเหมาและคู่ค้าทางธุรกิจจะต้องได้รับการเรียนออนไลน์ เพื่อยอมรับนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ก่อนเข้าถึงระบบสารสนเทศของบริษัทฯ = ร้อยละ 100