กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์
บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ รวมถึงความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งผ่านการรับรอง ตามมาตรฐาน ISO/IEC 27001:2022 และ ISO/IEC 27701:2019
บริษัทฯ ดำเนินการสอบทาน ตรวจสอบระบบ รวมถึงแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศและการจัดการข้อมูลส่วนบุคคล โดยหน่วยงานภายใน อย่างน้อยปีละ 4 ครั้ง และหน่วยงานภายนอกองค์กร เป็นประจำทุกปี ซึ่งจากการประเมินในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานและไม่พบสิ่งที่ไม่สอดคล้องกับข้อกำหนดใด นอกจากนี้บริษัทฯ ยังมีการทดสอบช่องโหว่ด้านความปลอดภัยของข้อมูล อย่างน้อยเดือนละ 1 ครั้ง และ Penetration Testing ปีละอย่างน้อย 1 ครั้ง
นอกจากนี้ บริษัทฯ บริหารจัดการความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework เพื่อเป็นการยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ โดยกรอบการดำเนินงานดังกล่าว แบ่งออกเป็น 6 ด้าน และมีตัวอย่างโครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่น ในปี 2567 ดังนี้
กรอบการดำเนินงาน NIST Framework และโครงการที่โดดเด่นในปี 2567
ลำดับ | กระบวนการ | โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2567 |
---|---|---|
1. | การกำกับดูแล (Govern) |
|
2. | การระบุประเด็นความเสี่ยง (Identify) | บริษัทฯ จัดทำการตรวจประเมินกรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านการจัดการผู้ให้บริการภายนอก (Third-Party Management) เพื่อประเมินกรอบมาตรฐานการกำกับดูแลผู้ให้บริการภายนอกที่เกี่ยวข้องกับการใช้บริการ การเชื่อมต่อ หรือการเข้าถึงข้อมูลด้านระบบสารสนเทศของบริษัทฯ เทียบกับแนวการจัดการผู้ให้บริการภายนอก (Third-Party Management) (ฉบับร่าง) ของ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) |
3. | การป้องกัน ระบบขององค์กร (Protect) |
|
4. | การตรวจจับสถานการณ์ที่ผิดปกติ (Detect) |
|
5. | การรับมือสถานการณ์ที่ผิดปกติ (Respond) | บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดยการซ้อมแผนบริหารภาวะวิกฤตและความต่อเนื่องทางธุรกิจ จำลองเหตุการณ์การโจมตีระบบ Information Technology (IT) & Operational Technology (OT) Security ในระดับ Corporate Crisis รวมถึงมีการทบทวนและปรับปรุงแผนจัดการเหตุคุกคามทางด้านไซเบอร์ (Cybersecurity Incident Response Plan) เพื่อตอบสนองและบรรเทาเหตุการณ์ที่อาจจะเกิดขึ้น |
6. | การฟื้นฟูระบบ (Recover) |
|
ผลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
ปี | เป้าหมาย | |||||
---|---|---|---|---|---|---|
2564 | 2565 | 2566 | 2567 | 2567 | ||
จำนวนกรณีที่เกิดภัยคุกคามทางไซเบอร์ (No. of cybersecurity incidents) | 0 | 0 | 0 | 0 | 0 | |
ข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล (No. of complaints about information insecurity) | 0 | 0 | 0 | 0 | 0 | |
จำนวนเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ | 0 | 0 | 0 | 0 | 0 | |
จำนวนพนักงานและลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ | 0 | 0 | 0 | 0 | 0 |