บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์โดยเฉพาะ ISO/IEC 27001:2013 ซึ่งในปี 2565 บริษัทฯ ได้ดำเนินการยื่นขอการรับรองมาตรฐานความปลอดภัยด้านสารสนเทศ ที่เป็นส่วนขยายเพิ่มเติม หรือ ISO/IEC 27701:2019 โดยมาตรฐานส่วนเสริมนี้ จะครอบคลุมการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ในส่วนของกระบวนการสมัครงานภายนอก

ซึ่งเป็นการสร้างความมั่นใจในความปลอดภัย และการปกป้องสิทธิส่วนบุคคล ให้กับผู้สมัครงาน บริษัทฯ ยังดำเนินการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอก (Bureau Veritas) เป็นประจำทุกปี โดยการประเมินดังกล่าวจะครอบคลุมทั้งระบบและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ ซึ่งจากการประเมินในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบสิ่งที่ไม่สอดคล้องกับข้อกำหนดใดๆ

นอกจากนี้ บริษัทฯ ยังบริหารจัดการความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework เพื่อเป็นการยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ โดยกรอบการดำเนินงานดังกล่าว แบ่งออกเป็น 5 ด้าน และมีตัวอย่างโครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่น ในปี 2565 ดังนี้

กรอบการดำเนินงาน NIST Framework และโครงการที่โดดเด่นในปี 2565

ลำดับ กระบวนการ โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2565
1. การระบุประเด็นความเสี่ยง (Identify)

บริษัทฯ ประเมินระบบความปลอดภัยเทคโนโลยีสารสนเทศ เทียบกับมาตรฐานสากล (Cybersecurity Gap Analysis) ตามมาตรฐาน NIST ประจำปี 2565 โดยผลการประเมินสรุปเป็นประเด็นหลัก ดังนี้

  • พัฒนาพนักงาน ด้านความมั่นคงปลอดภัย สารสนเทศและไซเบอร์อย่างเร่งด่วน
  • ติดตาม และพัฒนาระบบความมั่นคงปลอดภัยทางไซเบอร์ รวมถึง ประยุกต์ใช้เทคโนโลยีที่ทันสมัยเพื่อรองรับภัยคุกคามรูปแบบใหม่อย่างต่อเนื่อง
2. การป้องกัน ระบบขององค์กร (Protect)

บริษัทฯ พัฒนา Data Protection Solution เพื่อเพิ่มความปลอดภัย ลดความเสี่ยง ในการถูกโจรกรรมข้อมูล การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีการดำเนินงานดังนี้

  • ประเมินศักยภาพเทคโนโลยีในระบบความปลอดภัย
  • ปรับปรุงนโยบายการกำหนดระดับชั้นความลับของข้อมูล
  • จัดทำคู่มือด้านการจัดการข้อมูลขององค์กรและข้อมูลส่วนบุคคล
3. การตรวจจับสถานการณ์ที่ผิดปกติ (Detect) บริษัทฯ ดำเนินโครงการ Compromise Assessment & Detection เพื่อตรวจสอบช่องโหว่และร่องรอยการถูกโจรกรรมข้อมูล ที่เกิดขึ้นภายในระบบเทคโนโลยีสารสนเทศของบริษัทฯ อย่างรอบด้าน
4. การรับมือสถานการณ์ที่ผิดปกติ (Respond) บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดยได้ดำเนินการซ้อมแผนรับมือ การจำลองเหตุการณ์การโจมตีระบบ OT Security เพื่อเรียกค่าไถ่
5. การฟื้นฟูระบบ (Recover) บริษัทฯ จัดให้มีการทดสอบกู้ข้อมูลระบบ Backup & Recovery ปีละ 2 ครั้งและสามารถกู้คืนได้ตามเป้าหมาย

ผลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

ปี เป้าหมาย
2562 2563 2564 2565 2565
จำนวนกรณีที่เกิดภัยคุกคามทางไซเบอร์ 0 0 0 0 0
ข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล 0 0 0 0 0
จำนวนเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ 0 0 0 0 0
จำนวนพนักงานและลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ 0 0 0 0 0