กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์
บริษัทฯ กำหนดนโยบายและมาตรการด้านความปลอดภัยสารสนเทศและไซเบอร์ตามมาตรฐานสากล ISO27001 พร้อมทั้งสร้างความตระหนักให้กับพนักงาน เพื่อเสริมสร้างความมั่นคงและเสถียรภาพของระบบบริหารจัดการความปลอดภัยสารสนเทศและไซเบอร์ และป้องกันมิให้เกิดการใช้งานที่ถือเป็นการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ทั้งนี้ ในปี 2564 บริษัทฯ ได้ขยายขอบเขตการขอรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ISO27001 ให้ครอบคลุมถึงกลุ่มข้อมูลที่ถูกจัดเก็บบนคลาวด์ (Cloud Storage) และจุดเชื่อมต่อเครือข่ายสู่อินเทอร์เน็ต (Internet Gateway) รวมถึงการพัฒนาระบบความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศในส่วนของข้อมูลส่วนบุคคลที่เกี่ยวกับกระบวนการรับสมัครพนักงานใหม่ ซึ่งสามารถจำแนกเป็น 3 ส่วนหลักที่เพิ่มเติม ดังนี้
ลำดับ | ส่วนขยายขอบเขตการขอรับรองระบบบริหารความมั่นคงและสารสนเทศ ISO27001 |
---|---|
1 | การบริหารจัดการระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศบนระบบคลาวด์ (Cloud Infrastructure as a Service) |
2 | ระบบเครือข่ายเชื่อมต่อสาธารณะ (Cyber Zone / Internet Zone Network) |
3 | ระบบสารสนเทศที่สนับสนุนกระบวนการสรรหา และคัดเลือกบุคลากรภายนอก (Application Supporting Recruitment Process) อันได้แก่ระบบ SAP HCM, Success Factor เป็นต้น |
นอกจากนี้ บริษัทฯ ได้ดำเนินการเตรียมความพร้อมและลดความเสี่ยงการถูกคุกคามทางไซเบอร์ และโจรกรรม โดยการสร้าง และติดตามตัวบ่งชี้ความเสี่ยงที่สำคัญ (Key Risk Indicator: KRI) ทั้ง 3 มิติ ได้แก่ บุคคล ธุรกิจ และเทคโนโลยี
ผลการติดตามตัวบ่งชี้ความเสี่ยง (Key Risk Indicator: KRI) ประจำปี 2564
กลุ่มเป้าหมาย | การดำเนินงาน | ตัวบ่งชี้ความเสี่ยง (KRI) | เป้าหมาย (%) | ผลลัพธ์ 2564 |
---|---|---|---|---|
บุคคล (People) | ทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Test) | อัตราการรายงาน Phishing (Quarterly) | >= 20 % | 48.84 % |
พนักงานผ่าน Phishing Test (Quarterly) | >= 95 % | 95.68 % | ||
ธุรกิจ(Business) | การตรวจประเมินช่องโหว่ (Vulnerability Assessment) พร้อมนำไปปรับปรุงและแก้ไขให้ระบบมีความปลอดภัยที่สูงขึ้น | จำนวนช่องโหว่ในระดับสูง ที่แก้ไขแล้ว (Vulnerability Fixed) | 100 % | 100 % |
เทคโนโลยี (Technology) | การอัปเดตและปรับปรุงระบบป้องกันการถูกคุกคามและโจรกรรมทางไซเบอร์ เพื่อยกระดับความปลอดภัยของข้อมูล | อัปเดตระบบป้องกันให้ทันสมัย (Update Firmware and Signature on Firewall) | 100 % | 100 % |
นอกจากนี้ บริษัทฯ ยังสร้างเสริมความรู้ในการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย ควบคู่กับการสร้างความตระหนักด้านประเด็นความเสี่ยงในการถูกคุกคามและโจรกรรมทางไซเบอร์ ผ่านการสื่อสารด้วยอินโฟกราฟิกส์ (Infographics) และสื่อการเรียนรู้ออนไลน์ (E-Learning) เพื่อให้พนักงานสามารถนำไปประยุกต์ใช้ในการปฎิบัติงานและชีวิตประจำวัน
รายละเอียดการสร้างความพร้อมของความรู้ด้านการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัยแก่พนักงาน
ประเภทการสื่อสาร | รายละเอียด | ตัวอย่างเนื้อหา |
---|---|---|
อินโฟกราฟิกส์ (Infographics) | ส่งข้อมูลข่าวสารเพื่อสร้างความตระหนักให้แก่พนักงานในรูปแบบภาพอินโฟกราฟิกส์ผ่านทางอีเมล และประเมินความรู้และความเข้าใจของพนักงานผ่าน Microsoft Form |
|
สื่อการเรียนรู้ออนไลน์ (E-Lerning) | สร้างแหล่งความรู้ออนไลน์ที่พนักงานสามารถเข้าถึงได้ด้วยตนเอง โดยเน้นพื้นฐานความตระหนักในประเด็นไซเบอร์ และลงรายละเอียดถึงภัยคุกคามต่าง ๆ เพื่อสร้างความรู้และความเข้าใจของพนักงาน |
|
- ผลลัพธ์ – คะแนนเฉลี่ยจากการทดสอบความรู้ความเข้าใจในด้านไซเบอร์ = 87.6%