บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ซึ่งผ่านการรับรอง (Audited and certified) ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์โดยเฉพาะ ISO/IEC 27001:2022 และ ISO/IEC 27701:2019 โดยมาตรฐานส่วนเสริมนี้ จะครอบคลุมการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ในส่วนของกระบวนการสมัครงานภายนอก ซึ่งเป็นการสร้างความมั่นใจในความปลอดภัย และการปกป้องสิทธิส่วนบุคคล ให้กับผู้สมัครงาน

บริษัทฯ ยังดำเนินการสอบทานและตรวจสอบระบบ และแนวปฎิบัติด้านความมั่นคงปลอดภัยสารสนเทศและการจัดการข้อมูลส่วนบุคคล โดยหน่วยงานภายนอกเป็นประจำทุกปี ซึ่งจากการประเมินในปีที่ผ่านมาพบว่า กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานและไม่พบสิ่งที่ไม่สอดคล้องกับข้อกำหนดใดๆ

นอกจากนี้ บริษัทฯ ยังบริหารจัดการความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework เพื่อเป็นการยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ โดยกรอบการดำเนินงานดังกล่าว แบ่งออกเป็น 5 ด้าน และมีตัวอย่างโครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่น ในปี 2566 ดังนี้

กรอบการดำเนินงาน NIST Framework และโครงการที่โดดเด่นในปี 2566

ลำดับ กระบวนการ โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2566
1. การระบุประเด็นความเสี่ยง (Identify)

บริษัทฯ ดำเนินการประเมินการควบคุมความมั่นคงปลอดภัยไซเบอร์ตามแนวปฎิบัติ Zero Trust Security ร่วมกับทาง Microsoft โดยใช้กรอบ CIS Control Framework และ Microsoft Security SOM Model โดยได้คะแนน CIS Maturity อยู่ที่ 3.2 จากคะแนนเต็ม 4 โดยค่าเฉลี่ยคะแนนของกลุ่มอุตสาหกรรมทั่วไปอยู่ที่ 3 และกลุ่มโรงงานอยู่ที่ 2

2. การป้องกัน ระบบขององค์กร (Protect)
  • บริษัทฯ ดำเนินการติดตั้งระบบ Web Application Firewall (WAF) เพื่อเพิ่มความปลอดภัย ลดความเสี่ยง ในการถูกโจมตีจากผู้ไม่ประสงค์ดี โดยมีการป้องกันครอบคลุมทั้ง On-Premise และ Cloud
  • บริษัทฯ พัฒนาบทเรียน Cybersecurity E-learning เพื่อสนับสนุน และรณรงค์ให้พนักงานเกิดการเรียนรู้ด้านความปลอดภัยทางไซเบอร์ โดยมีพนักงานกว่าร้อยละ 99 สามารถเรียนจบภายในระยะเวลา 2 เดือน
  • บริษัทฯ พัฒนา Phishing Test Campaign เพื่อทดสอบความตระหนักรู้และความรู้ในการรับมือภัยคุกคามทางไซเบอร์ในรูปแบบ Phishing Email โดยมีการทดสอบทั้งสิ้น 10 ครั้ง โดยเมื่อเปรียบเทียบกับปี 2565 อัตราการตกเป็นเหยื่อลดลงที่ร้อยละ 0.56 ในขณะที่อัตราการรายงานเมื่อพบ Phishing Email เพิ่มขึ้นที่ร้อยละ 4.21
3. การตรวจจับสถานการณ์ที่ผิดปกติ (Detect) บริษัทฯ ดำเนินการติดตั้งระบบ Attack Surface Management เพื่อตรวจจับและวิเคราะห์ โอกาสการถูกโจมตีจากช่องทางที่ให้บริการของ GC ผ่านช่องทางที่สามารถเข้าถึงได้จากอินเตอร์เน็ต
4. การรับมือสถานการณ์ที่ผิดปกติ (Respond) บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดยได้ดำเนินการซ้อมแผนรับมือ การจำลองเหตุการณ์การโจมตีระบบ OT Security เพื่อเรียกค่าไถ่
5. การฟื้นฟูระบบ (Recover)
  • บริษัทฯ จัดให้มีการทดสอบกู้ข้อมูลระบบ Backup & Recovery ปีละ 2 ครั้งและสามารถกู้คืนได้ตามเป้าหมาย
  • บริษัทฯ ได้มีการเตรียมความพร้อมและเริ่มกระบวนการการทำ Cybersecurity Insurance

ผลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

ปี เป้าหมาย
2563 2564 2565 2566 2566
จำนวนกรณีที่เกิดภัยคุกคามทางไซเบอร์ 0 0 0 0 0
ข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล 0 0 0 0 0
จำนวนเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ 0 0 0 0 0
จำนวนพนักงานและลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ 0 0 0 0 0