กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์
บริษัทฯ กำหนดนโยบายและมาตรการด้านความปลอดภัยสารสนเทศและไซเบอร์ รวมถึงการจัดการข้อมูลส่วนบุคคล ตามมาตรฐานสากล ISO/IEC:27001 และ ISO/IEC: 27701 เพื่อสร้างความมั่นคงและเสถียรภาพของระบบบริหารความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ และป้องกันมิให้เกิดการใช้งานที่ถือเป็นการกระทำความผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ทั้งนี้ ในปี 2566 บริษัทฯ ได้ขอปรับเปลี่ยนการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001:2013 เป็น ISO/IEC 27001:2022 และรักษาระบบบริหารความมั่นคงปลอดภัยข้อมูลส่วนบุคคลให้ได้ตามมาตรฐาน ISO/IEC 27701:2019 โดยมีขอบเขตการรับรองดังนี้
ทั้งนี้ ในปี 2565 บริษัทฯ ได้ขอการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ และระบบจัดการข้อมูลส่วนบุคคล ตามมาตรฐาน ISO/IEC27001:2022 และ ISO/IEC 27701:2019 ตามลำดับ โดยมีขอบเขตการรับรองดังนี้
| ลำดับ | ขอบเขตการขอการรับรอง ISO/IEC27001:2022 และ ISO/IEC 27701:2019 |
|---|---|
| 1 | การให้บริการระบบโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ (Infrastructure as a Service) On-Premise |
| 2 | การให้บริการโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศบน (Infrastructure as a Service) – On Cloud |
| 3 | ระบบเครือข่ายเชื่อมต่อสาธารณะ (Cyber Zone / Internet Zone Network) |
| 4 | ระบบสารสนเทศที่สนับสนุนกระบวนการสรรหา และคัดเลือกบุคลากรภายนอก (Application Supporting Recruitment Process) อันได้แก่ระบบ SAP HCM และ Success Factor |
| 5 | กระบวนการการสรรหา และคัดเลือกบุคลากรภายนอก (External Recruitment Process) |
บริษัทฯ ยังมีการดำเนินการเตรียมความพร้อมโดยมีการจัดซ้อมแผนการจัดการเหตุคุกคามทางด้านไซเบอร์ มีการประเมินความเสี่ยงด้านการโจมตีทางไซเบอร์เพื่อให้มีการติดตามความเสี่ยง และเป็นสัญญาณเตือนการดำเนินงาน บริษัทฯจึงสร้างตัวบ่งชี้ความเสี่ยงที่สำคัญ (Key Risk Indicator: KRI) ทั้ง 3 มิติ ได้แก่ บุคคล ธุรกิจ และเทคโนโลยี
ผลการติดตามตัวบ่งชี้ความเสี่ยง (Key Risk Indicator: KRI) ประจำปี 2566
| กลุ่มเป้าหมาย | การดำเนินงาน | ตัวบ่งชี้ความเสี่ยง (KRI) | เป้าหมาย (ร้อยละ) | ผลลัพธ์ 2566 (ร้อยละ) |
|---|---|---|---|---|
| บุคคล (People) | ทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Test) | อัตราการรายงาน Phishing (Quarterly) | >= 20 | 53.30 |
| พนักงานผ่าน Phishing Test (Quarterly) | >= 95 | 98.26 | ||
| ธุรกิจ (Business) | การตรวจประเมินช่องโหว่ (Vulnerability Assessment) พร้อมนำไปปรับปรุงและแก้ไขให้ระบบมีความปลอดภัยที่สูงขึ้น | จำนวนช่องโหว่ในระดับสูง ที่แก้ไขแล้ว (Vulnerability Fixed) | 100 | 99.17 |
| เทคโนโลยี (Technology) | การอัปเดตและปรับปรุงระบบป้องกันการถูกคุกคามและโจรกรรมทางไซเบอร์ เพื่อยกระดับความปลอดภัยของข้อมูล | อัปเดตระบบป้องกันให้ทันสมัย (Update Firmware and Signature on Firewall) | 100 | 100 |
นอกจากนี้ บริษัทฯ ยังสร้างเสริมความรู้ในการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัย ควบคู่กับการสร้างความตระหนักด้านประเด็นความเสี่ยงในการถูกคุกคามและโจรกรรมทางไซเบอร์ (Information security/cybersecurity awareness training)การคุ้มครองข้อมูลส่วนบุคคล (Data Priacy) ผ่านการสื่อสารด้วยอินโฟกราฟิกส์ (Infographics) และสื่อการเรียนรู้ออนไลน์ (E-Learning) เพื่อให้พนักงาน ผู้รับเหมา คู่ค้าทางธุรกิจ (ทั้งกลุ่มจัดหาวัตถุดิบ (Feedstock) และกลุ่มคู่ค้าที่ให้บริการอื่น ๆ (Non-feedstock)) ลูกค้า และหน่วยงานหรือบุคคลที่ดำเนินงานในนามของบริษัทฯ ตลอดห่วงโซ่อุปทาน สามารถนำไปประยุกต์ใช้ในการปฎิบัติงานและชีวิตประจำวัน
รายละเอียดการสร้างความพร้อมของความรู้ด้านการใช้เทคโนโลยีสารสนเทศอย่างปลอดภัยแก่พนักงาน
| ประเภทการสื่อสาร | รายละเอียด | ตัวอย่างเนื้อหา |
|---|---|---|
| อินโฟกราฟิกส์ (Infographics) | ส่งข้อมูลข่าวสารเพื่อสร้างความตระหนักให้แก่พนักงานในรูปแบบภาพอินโฟกราฟิกส์ผ่านทางอีเมล และประเมินความรู้และความเข้าใจของพนักงานผ่าน Microsoft Form |
|
| สื่อการเรียนรู้ออนไลน์ (E-Lerning) | สร้างแหล่งความรู้ออนไลน์ที่พนักงานสามารถเข้าถึงได้ด้วยตนเอง โดยเน้นพื้นฐานความตระหนักในประเด็นไซเบอร์ และลงรายละเอียดถึงภัยคุกคามต่างๆ เพื่อสร้างความรู้และความเข้าใจของพนักงาน |
|
ผลลัพธ์
- คะแนนจากการทดสอบความรู้ความเข้าใจในด้านไซเบอร์ของพนักงาน = ร้อยละ 100
- ผู้รับเหมาและคู่ค้าทางธุรกิจจะต้องได้รับการเรียนออนไลน์ เพื่อยอมรับนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ก่อนเข้าถึงระบบสารสนเทศของบริษัท ฯ = ร้อยละ 100