บริษัทฯ กำหนดนโยบายและมาตรการด้านความปลอดภัยสารสนเทศและไซเบอร์ รวมถึงการจัดการข้อมูลส่วนบุคคล ตามมาตรฐานสากล ISO/IEC:27001 และ ISO/IEC: 27701 ตลอดจนลงทุนในการปรับปรุงระบบให้มีประสิทธิภาพอย่างต่อเนื่อง เพื่อสร้างความมั่นคงและเสถียรภาพของระบบบริหารความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ และป้องกันมิให้เกิดการใช้งานที่ถือเป็นการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล

ทั้งนี้ ในปี 2567 บริษัทฯ ได้ขยายขอบเขตการรับรองการบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐาน ISO27001:2022 และการบริหารความมั่นคงปลอดภัยข้อมูลส่วนบุคคล ISO27701:2019 โดยมีขอบเขตการรับรองดังนี้

ลำดับ ขอบเขตการขอการรับรอง ISO/IEC27001:2022 และ ISO/IEC 27701:2019
1 การให้บริการระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ (Infrastructure as a Service) On-Premise
2 การให้บริการโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ (Infrastructure as a Service) - Cloud
3 การให้บริการแพลตฟอร์มเทคโนโลยีสารสนเทศ (Platform as a Service) - Cloud
4 ระบบเครือข่ายเชื่อมต่อสาธารณะ (Cyber Zone / Internet Zone Network)
5 ระบบสารสนเทศที่สนับสนุนกระบวนการสรรหา คัดเลือก และจ้างงานบุคลากร (Application Supporting Recruitment Process) อันได้แก่ระบบ SAP HCM และ Success Factor
6 กระบวนการการสรรหา และคัดเลือกบุคลากรภายนอก (External Recruitment Process)
7 กระบวนการจ้างงานบุคลากร (Hiring process)

บริษัทฯ กำหนดแผนความต่อเนื่องทางธุรกิจที่เกี่ยวข้องกับความปลอดภัยของข้อมูล อีกทั้ง ยังมีการดำเนินการเตรียมความพร้อมโดยมีการจัดซ้อมแผนการจัดการเหตุคุกคามทางด้านไซเบอร์ มีการประเมินความเสี่ยงด้านการโจมตีทางไซเบอร์เพื่อให้มีการติดตามความเสี่ยง และเป็นสัญญาณเตือนการดำเนินงาน ตลอดจนจัดตั้งกระบวนการรับแจ้งเหตุเพื่อให้พนักงานสามารถรายงานเหตุการณ์ หรือกิจกรรมที่น่าสงสัยเกี่ยวกับการโจมตีทางไซเบอร์

ขั้นตอนการรายงานเหตุการณ์ หรือกิจกรรมที่น่าสงสัยเกี่ยวกับการโจมตีทางไซเบอร์

บริษัทฯ ได้กำหนดตัวบ่งชี้ความเสี่ยงที่สำคัญ (Key Risk Indicator: KRI) ทั้ง 3 มิติ ได้แก่ บุคคล ธุรกิจ และเทคโนโลยี เพื่อติดตามการดำเนินงานด้านความปลอดภัยสารสนเทศและไซเบอร์

ผลการติดตามตัวบ่งชี้ความเสี่ยง (Key Risk Indicator: KRI) ประจำปี 2567

กลุ่มเป้าหมาย การดำเนินงาน ตัวบ่งชี้ความเสี่ยง (KRI) เป้าหมาย (ร้อยละ) ผลลัพธ์ 2567 (ร้อยละ)
บุคคล (People) ทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Test) อัตราการรายงาน Phishing (Quarterly) >= 45 55.18
อัตราการตกเป็นเหยื่อ Phishing (Quarterly) < 5 1.43
ธุรกิจ (Business) การตรวจประเมินช่องโหว่ (Vulnerability Assessment) พร้อมนำไปปรับปรุงและแก้ไขให้ระบบมีความปลอดภัยที่สูงขึ้น จำนวนช่องโหว่ในระดับสูง ที่แก้ไขแล้ว (Vulnerability Fixed) 100 100
เทคโนโลยี (Technology) การอัปเดตและปรับปรุงระบบป้องกันการถูกคุกคามและโจรกรรมทางไซเบอร์ เพื่อยกระดับความปลอดภัยของข้อมูล อัปเดตระบบป้องกันให้ทันสมัย (Update Firmware and Signature on Firewall) 100 100

นอกจากนี้ บริษัทฯ ยังส่งเสริมให้พนักงานทุกคนมีความตระหนักและรับผิดชอบในการรักษาความปลอดภัยของข้อมูล ผ่านการสร้างแนวทางและนโยบายที่ชัดเจน ตลอดจนสร้างข้อกำหนดที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูลสำหรับบุคคลภายนอกในการเข้าถึงข้อมูลหรือระบบขององค์กร เพื่อให้มั่นใจว่าผู้มีส่วนเกี่ยวข้องทั้งหมดปฏิบัติตามมาตรฐานการรักษาความปลอดภัยเดียวกัน อีกทั้ง บริษัทฯ ได้สร้างเสริมความรู้ในการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย ควบคู่กับการสร้างความตระหนักด้านประเด็นความเสี่ยงในการถูกคุกคามและโจรกรรมทางไซเบอร์ การคุ้มครองข้อมูลส่วนบุคคล ผ่านการสื่อสารด้วยอินโฟกราฟิกส์ (Infographics) และสื่อการเรียนรู้ออนไลน์ (E-Lerning) เพื่อให้พนักงาน ผู้รับเหมา คู่ค้าทางธุรกิจ (ทั้งกลุ่มจัดหาวัตถุดิบ (Feedstock) และกลุ่มคู่ค้าที่ให้บริการอื่นๆ (Non-feedstock)) ลูกค้า และหน่วยงานหรือบุคคลที่ดำเนินงานในนามของบริษัทฯ ตลอดห่วงโซ่อุปทาน สามารถนำไปประยุกต์ใช้ในการปฏิบัติงานและชีวิตประจำวัน

รายละเอียดการสร้างความพร้อมของความรู้ด้านการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัยแก่พนักงาน

ประเภทการสื่อสาร รายละเอียด ตัวอย่างเนื้อหา
อินโฟกราฟิกส์ (Infographics) ส่งข้อมูลข่าวสารเพื่อสร้างความตระหนักให้แก่พนักงานในรูปแบบภาพอินโฟกราฟิกส์ผ่านทางอีเมล
  • ข้อควรระวังและวิธีป้องกันสำหรับการโดนหลอกลวงจาก Phishing ในรูปแบบต่างๆ เช่น อีเมล, SMS, QR code เป็นต้น
  • ข้อควรระวังและความเสี่ยงของการลงแอปพลิเคชันบนมือถือและแล็ปท็อป
  • ข้อควรระวังและความเสี่ยงจากการใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์
  • ข้อควรระวังและความเสี่ยงข้อมูลรั่วไหลจากการใช้ AI
สื่อการเรียนรู้ออนไลน์ (E-Lerning) สร้างแหล่งความรู้ออนไลน์ที่พนักงานสามารถเข้าถึงได้ด้วยตนเอง โดยเน้นพื้นฐานความตระหนักในประเด็นไซเบอร์ และลงรายละเอียดถึงภัยคุกคามต่างๆ เพื่อสร้างความรู้และความเข้าใจของพนักงาน
  • ใช้งาน AI ให้ปลอดภัย ไม่ตกเป็นเหยื่อภัยไซเบอร์
  • ดูแลปกป้องข้อมูลบริษัทให้ปลอดภัย รับมือภัยคุกคามยุคดิจิทัล
  • ใช้ซอฟต์แวร์ถูกลิขสิทธิ์ เพื่อให้ถูกต้องตามกฎหมาย และป้องกันภัยคุกคามด้านไซเบอร์

ผลลัพธ์

  • คะแนนจากการทดสอบความรู้ความเข้าใจในด้านไซเบอร์ของพนักงาน = ร้อยละ 100
  • ผู้รับเหมาและคู่ค้าทางธุรกิจจะต้องได้รับการเรียนออนไลน์ เพื่อยอมรับนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ก่อนเข้าถึงระบบสารสนเทศของบริษัทฯ = ร้อยละ 100