บริษัทฯ กำหนดกระบวนการควบคุมด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศ ซึ่งเป็นไปตามมาตรฐาน ISO27001 – Information Security Management และControl Objectives for Information and Related Technologies (COBIT) เพื่อเป็นกรอบแนวทางปฏิบัติที่เน้นการรักษาความลับ (Confidentiality) ความน่าเชื่อถือ (Integrity) และความพร้อมใช้งานของข้อมูล (Availability)

ซึ่งนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศนี้เปรียบเสมือนข้อกำหนดและแนวปฏิบัติในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ อาทิ นโยบายความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศ และนโยบายการรักษาความมั่นคงปลอดภัยทางกายภาพสำหรับห้องคอมพิวเตอร์ เป็นต้น

นโนบายดังกล่าวยังครอบคลุมถึงการกำหนดวิธีการปฏิบัติ (Procedure) เพื่อให้สอดคล้องและรองรับการพัฒนาระบบบริหารความมั่นคงปลอดภัย เช่น กระบวนการขอสิทธิ์เข้าใช้งานระบบสำคัญ กระบวนการควบคุมการเข้า-ออกห้องคอมพิวเตอร์ และกระบวนการบริหารจัดการความเสี่ยงทรัพย์สินสารสนเทศ อีกทั้งยังครอบคลุมมาตรการที่สำคัญ อาทิ ระบบป้องกันการแพร่ระบาดของ Virus Computer ระบบป้องกันข้อมูลสำคัญรั่วไหลออกนอกองค์กร และระบบยืนยันตัวตนแบบ 2 ขั้นตอน (2 Factor Authentication: 2FA) เมื่อต้องมีการเข้าถึงระบบงานที่สำคัญอีกด้วย รวมทั้งมีการประกาศยกเลิกการใช้งาน USB Drive ในการเก็บหรือถ่ายโอนข้อมูลโดยให้ทำ ผ่านระบบ Cloud หรือระบบอินทราเน็ตของบริษัทฯ ทั้งนี้กฏระเบียบ ข้อบังคับ นโยบาย และกระบวนการจัดการต่าง ๆ จะถูกนำไประยุกต์ใช้กับพนักงานทุกระดับเพื่อเป็นการยกระดับมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศขององค์กร โดยในปีที่ผ่านมาพบว่าร้อยละ 99.32 ของพนักงาน รับทราบในการยึดมั่นถึงนโยบายตามที่บริษัทฯ กำหนด

นอกจากนี้ บริษัทฯ ได้จัดกิจกรรมฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ให้แก่พนักงานทุกระดับผ่านช่องทางออนไลน์และออฟไลน์ เพื่อให้พนักงานสามารถรับมือต่อเหตุการณ์ไม่คาดคิดทางไซเบอร์ได้อย่างทันท่วงที โดยในปี 2563

บริษัทฯ จัดโครงการพัฒนาความรู้ความสามารถด้านความมั่นคงปลอดภัยทางไซเบอร์ทั้งหมด

โครงการ

พนักงานเข้าร่วมทั้งหมด

คน

การทดสอบการหลอกลวงทางอินเทอร์เน็ต
(Phishing Test)

บริษัทฯ ให้ความรู้แก่พนักงานทั้งหมด 7,500 คน เกี่ยวกับรูปแบบการโจมตีทางไซเบอร์และอันตรายจากวิธีการหลอกลวงทางอินเตอร์เน็ต (Phishing) เช่น การแพร่ระบาดของไวรัสคอมพิวเตอร์ การหลอกให้เปิดเผยข้อมูลส่วนตัวหรือข้อมูลทางการเงิน เป็นต้น ผ่านการจัดทำอีเมลสื่อความ และมีการทดสอบพนักงานผ่านการจำลองเหตุการณ์การหลอกลวงทางอินเทอร์เน็ต ซึ่งผลจากการทดสอบพบว่าร้อยละ 96.17 ของพนักงานทั้งหมดผ่านการทดสอบ และมีตระหนักถึงอันตรายจากภัยคุกคามทางไซเบอร์ รวมถึงมีความระมัดระวังในการใช้งานระบบเทคโนโลยีสารสนเทศมากขึ้น

นอกจากนี้ บริษัทฯ ยังจัดหลักสูตรฝึกอบรมผ่านช่องทางออนไลน์โดยผู้เชี่ยวชาญเกี่ยวกับการใช้งานระบบควบคุมและป้องกันการหลอกลวงทางอินเทอร์เน็ต อาทิ Advanced Persistent Threat (APT) และระบบลายเซ็นดิจิทัล (Digital Signature) เพื่อให้พนักงานสามารถบริหารจัดการกับภัยคุกคามทางไซเบอร์ต่าง ๆ ที่เกิดขึ้นในการปฏิบัติงานได้

บริษัทฯ ได้กำหนดตัวชี้วัด (KPIs) และดัชนีวัดความเสี่ยงที่สำคัญ (KRIs) เพื่อวัดประสิทธิภาพของพนักงานในหน่วยงานที่เกี่ยวข้อง โดยได้กำหนดว่าพนักงานที่เกี่ยวข้องต้องรับทราบและศึกษานโยบายความปลอดภัยสารสนเทศและไซเบอร์ไม่น้อยกว่าร้อยละ 80 ของพนักงานในหน่วยงานที่เกี่ยวข้องทั้งหมด และมีพนักงานผ่านหลักสูตรฝึกอบรมด้านความปลอดภัยสารสนเทศและไซเบอร์ไม่น้อยกว่าร้อยละ 80 ของพนักงานในหน่วยงานที่เกี่ยวข้องทั้งหมด

ยิ่งไปกว่านั้นบริษัทฯ ยังกำหนดดัชนีชี้วัดความเสี่ยงที่สำคัญ (KRIs) เพื่อให้มั่นใจว่าพนักงานมีความสามารถในการรับมือเพื่อตอบสนองกรณีเกิดภัยคุกคามทางไซเบอร์ รวมถึงการดำเนินงานให้สอดคล้องกับ พรบ. หรือกฎหมาย หรือกฎระเบียบที่เกี่ยวข้อง เช่น การตั้งเป้าหมายของการรับทราบและศึกษานโยบายความปลอดภัยสารสนเทศและไซเบอร์ของพนักงานที่เกี่ยวข้องไม่น้อยไปกว่าร้อยละ 90 ตลอดจนการผ่านหลักสูตรฝึกอบรมด้านความปลอดภัยสารสนเทศและไซเบอร์ของพนักงานไม่น้อยกว่าร้อยละ 90