การจัดการความยั่งยืน สิ่งแวดล้อม สังคม Net Zero การปรับตัวทางธุรกิจ รายงาน การดำเนินการด้านความยั่งยืน รางวัลและเกียรติประวัติ
การกำกับดูแลกิจการที่ดี จรรยาบรรณทางธุรกิจและการปฏิบัติตามกฎหมาย กฎระเบียบที่เกี่ยวข้อง การบริหารจัดการความเสี่ยงและวิกฤตการณ์ การสนับสนุนต่อภาคส่วนต่างๆ กลยุทธ์ด้านภาษี การบริหารจัดการนวัตกรรม การบริหารจัดการห่วงโซ่อุปทาน การประเมินมูลค่าความยั่งยืน
การกำกับดูแลและเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์

กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์

บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์โดยเฉพาะ ISO/IEC 27001:2013 ซึ่งในปี 2564 บริษัทฯ ได้ดำเนินการยื่นขอการรับรองมาตรฐานความปลอดภัยด้านสารสนเทศ ที่เป็นส่วนขยายเพิ่มเติม หรือ ISO/IEC 27701:2019 โดยมาตรฐานส่วนเสริมนี้ จะครอบคลุมการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ในส่วนของกระบวนการสมัครงานภายนอก

ซึ่งเป็นการสร้างความมั่นใจในความปลอดภัย และการปกป้องสิทธิส่วนบุคคล ให้กับผู้สมัครงาน บริษัทฯ ยังดำเนินการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอก (Bureau Veritas) เป็นประจำทุกปี โดยการประเมินดังกล่าวจะครอบคลุมทั้งระบบและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ ซึ่งจากการประเมินในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบสิ่งที่ไม่สอดคล้องกับข้อกำหนดใด ๆ

นอกจากนี้ บริษัทฯ ยังบริหารจัดการความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework เพื่อเป็นการยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ โดยกรอบการดำเนินงานดังกล่าว แบ่งออกเป็น 5 ด้าน และมีตัวอย่างโครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่น ในปี 2564 ดังนี้

กรอบการดำเนินงาน NIST Framework และโครงการที่โดดเด่นในปี 2564

ลำดับ กระบวนการ โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2564
1. การระบุประเด็นความเสี่ยง (Identify)

บริษัทฯ ประเมินระบบความปลอดภัยเทคโนโลยีสารสนเทศของบริษัทฯ เทียบกับมาตรฐานสากล (Cybersecurity Gap Analysis) ตามมาตรฐาน NIST ประจำปี 2564 โดยผลการประเมินสรุปเป็นประเด็นหลัก 3 ข้อ ดังนี้

  • พัฒนาพนักงาน ด้านความมั่นคงปลอดภัย สารสนเทศและไซเบอร์อย่างเร่งด่วน
  • ติดตามและพัฒนาระบบความมั่นคงปลอดภัยทางไซเบอร์อย่างต่อเนื่อง
  • ประยุกต์ใช้เทคโนโลยีที่ทันสมัยเพื่อรองรับภัยคุกคามรูปใหม่
2. การป้องกัน ระบบขององค์กร (Protect)

บริษัทฯ พัฒนา Data Protection Solution เพื่อเพิ่มความปลอดภัย ลดความเสี่ยง ในการถูกโจรกรรมข้อมูล การบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีการดำเนินงานดังนี้

  • ประเมินศักยภาพเทคโนโลยีในระบบความปลอดภัย
  • ปรับปรุงนโยบายการกำหนดระดับชั้นความลับของข้อมูล
  • จัดทำคู่มือด้านการจัดการข้อมูล
  • กำหนดระดับชั้นความลับของข้อมูลส่วนบุคคล
3. การตรวจจับสถานการณ์ที่ผิดปกติ (Detect) บริษัทฯ ดำเนินโครงการ Compromise Assessment & Detection เพื่อตรวจสอบช่องโหว่และร่องรอยการถูกโจรกรรมข้อมูล ที่เกิดขึ้นภายในระบบเทคโนโลยีสารสนเทศของบริษัทฯ อย่างรอบด้าน
4. การรับมือสถานการณ์ที่ผิดปกติ (Respond) บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดยได้ดำเนินการซ้อมแผนรับมือ การจำลองเหตุการณ์เจาะระบบโรงกลั่นน้ำมันเพื่อเรียกค่าไถ่
5. การฟื้นฟูระบบ (Recover) บริษัทฯ ขยายขอบเขตของระบบ Backup & Recovery ที่เดิมที ครอบคลุมเพียงกลุ่มความเสี่ยงสูงให้ครอบคลุมเพิ่มเติมถึง กลุ่มความเสี่ยงกลาง และความเสี่ยงต่ำเพื่อที่จะกู้ข้อมูลที่เสียหาย ให้กลับมาปกติมากที่สุด และมีการซ้อม Disaster Recovery Exercise ซึ่งพบว่าไม่มีข้อมูลที่สูญหาย

ผลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

ปี เป้าหมาย
2561 2562 2563 2564 2564
จำนวนกรณีที่เกิดภัยคุกคามทางไซเบอร์ 0 0 0 0 0
ข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล 0 0 0 0 0