การจัดการความยั่งยืน สิ่งแวดล้อม สังคม รายงาน การดำเนินการด้านความยั่งยืน รางวัลและเกียรติประวัติ
การกำกับดูแลกิจการที่ดี จรรยาบรรณทางธุรกิจและการปฏิบัติตามกฎหมาย กฎระเบียบที่เกี่ยวข้อง การบริหารจัดการความเสี่ยงและวิกฤตการณ์ การสนับสนุนต่อภาคส่วนต่างๆ กลยุทธ์ด้านภาษี การบริหารจัดการนวัตกรรม การบริหารจัดการห่วงโซ่อุปทาน
การกำกับดูแลและเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์

กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์

บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ รวมถึงความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งผ่านการรับรอง ตามมาตรฐาน ISO/IEC 27001:2022 และ ISO/IEC 27701:2019

บริษัทฯ ดำเนินการสอบทาน ตรวจสอบระบบ รวมถึงแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศและการจัดการข้อมูลส่วนบุคคล โดยหน่วยงานภายใน อย่างน้อยปีละ 4 ครั้ง และหน่วยงานภายนอกองค์กร เป็นประจำทุกปี ซึ่งจากการประเมินในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานและไม่พบสิ่งที่ไม่สอดคล้องกับข้อกำหนดใด นอกจากนี้บริษัทฯ ยังมีการทดสอบช่องโหว่ด้านความปลอดภัยของข้อมูล อย่างน้อยเดือนละ 1 ครั้ง และ Penetration Testing ปีละอย่างน้อย 1 ครั้ง

นอกจากนี้ บริษัทฯ บริหารจัดการความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework เพื่อเป็นการยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ โดยกรอบการดำเนินงานดังกล่าว แบ่งออกเป็น 6 ด้าน และมีตัวอย่างโครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่น ในปี 2568 ดังนี้

กรอบการดำเนินงาน NIST Framework และโครงการที่โดดเด่นในปี 2568

ลำดับ กระบวนการ โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2568
1. การกำกับดูแล (Govern)
  • บริษัทฯ ทบทวน ปรับปรุงนโนบาย กรอบการดำเนินงาน และ/หรือแนวปฏิบัติการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศให้สอดคล้องกับมาตรฐานสากล กฎหมาย และข้อกำหนดต่างๆ ที่เกี่ยวข้อง เป็นประจำทุกปี
  • บริษัทฯ จัดทำแนวทางปฏิบัติสำหรับการใช้และการพัฒนา Generative AI เพื่อให้แน่ใจว่าการนำเทคโนโลยี Generative AI มาใช้จะได้รับการจัดการและการป้องกันอย่างมีประสิทธิภาพ
  • บริษัทฯ ระบุความเสี่ยงภัยคุกคามด้านไซเบอร์ โดยพิจารณาจากปัจจัยเสี่ยงทั้งภายในและภายนอก รวมทั้งทบทวนแผนตอบสนองความเสี่ยง และกำหนดดัชนีชี้วัดความเสี่ยง (Key Risk Indicator, KRI) เพื่อเฝ้าระวังและติดตามความเสี่ยงอย่างต่อเนื่อง เป็นประจำทุกปี
  • บริษัทฯ จัดสื่อความ Governance Risk and Compliance (GRC) Roadshow เพื่อสร้างความตระหนักให้กับพนักงานทราบถึงความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ และแนวทางการใช้งานเทคโนโลยีสารสนเทศอย่างปลอดภัย
2. การระบุประเด็นความเสี่ยง (Identify) บริษัทฯ จัดทำการประเมินการดำเนินงานด้านความมั่นคงปลอดภัย ไซเบอร์ เทียบกับกรอบการดำเนินงาน NIST Cybersecurity Framework version 2.0 เพื่อปรับปรุงการดำเนินงานด้านความมั่นคงปลอดภัย ไซเบอร์
3. การป้องกัน ระบบขององค์กร (Protect)
  • บริษัทฯ ติดตั้งระบบ Web Application Firewall (WAF) เพื่อเพิ่มความปลอดภัย ลดความเสี่ยง ในการถูกโจมตีจากผู้ไม่ประสงค์ดี โดยมีการป้องกันครอบคลุมทั้ง On-Premise และ Cloud
  • บริษัทฯ ติดตั้งระบบ Email Protection เพื่อเพิ่มความปลอดภัย และลดความเสี่ยงในการถูกโจมตีจาก Phishing, Business Email Compromise (BEC)
  • บริษัทฯ พัฒนาบทเรียน Cybersecurity E-learning เพื่อสนับสนุน และรณรงค์ให้พนักงานเกิดการเรียนรู้ด้านความปลอดภัยทางไซเบอร์ โดยมีพนักงานกว่าร้อยละ 99 สามารถเรียนจบภายในระยะเวลา 2 เดือน
  • บริษัทฯ พัฒนา Phishing Test Campaign เพื่อทดสอบความตระหนักรู้และความรู้ในการรับมือภัยคุกคามทางไซเบอร์ในรูปแบบ Phishing Email โดยมีการทดสอบทั้งสิ้น 6 ครั้ง ผลการทดสอบพบว่า อัตราการรายงานเมื่อพบ Phishing Email เพิ่มขึ้นร้อยละ 5.63 เมื่อเทียบกับปี 2567 สะท้อนถึงการพัฒนาความตระหนักรู้ด้าน ความมั่นคงปลอดภัยไซเบอร์ของพนักงานอย่างต่อเนื่อง
4. การตรวจจับสถานการณ์ที่ผิดปกติ (Detect)
  • บริษัทฯ ติดตั้งระบบ Endpoint detection and Response เพื่อตรวจจับและวิเคราะห์ การถูกโจมตีผ่านเครื่อง Computer ของบริษัท
  • บริษัทฯ ติดตั้ง Network Detection and Response เพื่อตรวจสอบ และวิเคราะห์การรับส่งข้อมูลในเครือข่ายของบริษัท
  • บริษัทฯ ติดตั้งระบบ Security Operations Center / Security Information and Event Management (SOC/SIEM) เพื่อรวบรวม วิเคราะห์ และเชื่อมโยงเหตุการณ์ด้านความมั่นคงปลอดภัยจากระบบต่าง ๆ แบบศูนย์กลาง (Centralized Monitoring) พร้อมทั้งแจ้งเตือนเหตุการณ์ที่มีความเสี่ยง
5. การรับมือสถานการณ์ที่ผิดปกติ (Respond) บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดย การซ้อมแผนรับมือเหตุภัยคุกคามทางไซเบอร์ จำลองเหตุการณ์โจมตีระบบ Information Technology (IT) รวมถึงมีการทบทวนและปรับปรุงแผนจัดการเหตุคุกคามทางด้านไซเบอร์ (Cybersecurity Incident Response Plan) เพื่อตอบสนองและบรรเทาเหตุการณ์ที่อาจจะเกิดขึ้น
6. การฟื้นฟูระบบ (Recover)
  • บริษัทฯ จัดให้ มีการซ้อมขั้นตอนการปฏิบัติงาน การกู้คืนระบบและข้อมูลจากศูนย์ข้อมูลสำรอง (DR Site) รองรับในกรณีเกิดเหตุฉุกเฉินที่กระทบกับระบบข้อมูลสารสนเทศหลักที่สำคัญ ปีละ 2 ครั้งและสามารถกู้คืนได้ตามเป้าหมาย
  • บริษัทฯ ได้มีทำ Cybersecurity Insurance เพื่อรองรับความเสียหายและค่าใช้จ่ายที่อาจเกิดขึ้นจากเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์

ผลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

ปี เป้าหมาย
2565 2566 2567 2568 2568
จำนวนกรณีที่เกิดภัยคุกคามทางไซเบอร์ 0 0 0 0 0
ข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล 0 0 0 0 0
จำนวนเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ 0 0 0 0 0
จำนวนพนักงานและลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ 0 0 0 0 0
มาตรฐาน ISO 27001