บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ รวมถึงความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล ซึ่งผ่านการรับรอง ตามมาตรฐาน ISO/IEC 27001:2022 และ ISO/IEC 27701:2019

บริษัทฯ ดำเนินการสอบทาน ตรวจสอบระบบ รวมถึงแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศและการจัดการข้อมูลส่วนบุคคล โดยหน่วยงานภายใน อย่างน้อยปีละ 4 ครั้ง และหน่วยงานภายนอกองค์กร เป็นประจำทุกปี ซึ่งจากการประเมินในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานและไม่พบสิ่งที่ไม่สอดคล้องกับข้อกำหนดใด นอกจากนี้บริษัทฯ ยังมีการทดสอบช่องโหว่ด้านความปลอดภัยของข้อมูล อย่างน้อยเดือนละ 1 ครั้ง และ Penetration Testing ปีละอย่างน้อย 1 ครั้ง

นอกจากนี้ บริษัทฯ บริหารจัดการความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework เพื่อเป็นการยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ โดยกรอบการดำเนินงานดังกล่าว แบ่งออกเป็น 6 ด้าน และมีตัวอย่างโครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่น ในปี 2567 ดังนี้

กรอบการดำเนินงาน NIST Framework และโครงการที่โดดเด่นในปี 2567

ลำดับ กระบวนการ โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2567
1. การกำกับดูแล (Govern)
  • บริษัทฯ ทบทวน ปรับปรุงนโนบาย กรอบการดำเนินงาน และ/หรือแนวปฏิบัติการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศให้สอดคล้องกับมาตรฐานสากล กฎหมาย และข้อกำหนดต่างๆ ที่เกี่ยวข้อง เป็นประจำทุกปี
  • บริษัทฯ ระบุความเสี่ยงภัยคุกคามด้านไซเบอร์ โดยพิจารณาจากปัจจัยเสี่ยงทั้งภายในและภายนอก รวมทั้งทบทวนแผนตอบสนองความเสี่ยง และกำหนดดัชนีชี้วัดความเสี่ยง (Key Risk Indicator, KRI) เพื่อเฝ้าระวังและติดตามความเสี่ยงอย่างต่อเนื่อง เป็นประจำทุกปี
  • บริษัทฯ จัดสื่อความ Governance Risk and Compliance (GRC) Roadshow เพื่อสร้างความตระหนักให้กับพนักงานทราบถึงความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ และแนวทางการใช้งานเทคโนโลยีสารสนเทศอย่างปลอดภัย
2. การระบุประเด็นความเสี่ยง (Identify) บริษัทฯ จัดทำการตรวจประเมินกรอบมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านการจัดการผู้ให้บริการภายนอก (Third-Party Management) เพื่อประเมินกรอบมาตรฐานการกำกับดูแลผู้ให้บริการภายนอกที่เกี่ยวข้องกับการใช้บริการ การเชื่อมต่อ หรือการเข้าถึงข้อมูลด้านระบบสารสนเทศของบริษัทฯ เทียบกับแนวการจัดการผู้ให้บริการภายนอก (Third-Party Management) (ฉบับร่าง) ของ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)
3. การป้องกัน ระบบขององค์กร (Protect)
  • บริษัทฯ ติดตั้งระบบ Web Application Firewall (WAF) เพื่อเพิ่มความปลอดภัย ลดความเสี่ยง ในการถูกโจมตีจากผู้ไม่ประสงค์ดี โดยมีการป้องกันครอบคลุมทั้ง On-Premise และ Cloud
  • บริษัทฯ ติดตั้งระบบ Email Protection เพื่อเพิ่มความปลอดภัย และลดความเสี่ยงในการถูกโจมตีจาก Phishing, Business Email Compromise (BEC)
  • บริษัทฯ พัฒนาบทเรียน Cybersecurity E-learning เพื่อสนับสนุน และรณรงค์ให้พนักงานเกิดการเรียนรู้ด้านความปลอดภัยทางไซเบอร์ โดยมีพนักงานกว่าร้อยละ 99 สามารถเรียนจบภายในระยะเวลา 2 เดือน
  • บริษัทฯ พัฒนา Phishing Test Campaign เพื่อทดสอบความตระหนักรู้และความรู้ในการรับมือภัยคุกคามทางไซเบอร์ในรูปแบบ Phishing Email โดยมีการทดสอบทั้งสิ้น 10 ครั้ง โดยเมื่อเปรียบเทียบกับปี 2566 อัตราการตกเป็นเหยื่อลดลงที่ร้อยละ 0.57 ในขณะที่อัตราการรายงานเมื่อพบ Phishing Email เพิ่มขึ้นที่ร้อยละ 7.48
4. การตรวจจับสถานการณ์ที่ผิดปกติ (Detect)
  • บริษัทฯ ติดตั้งระบบ Attack Surface Management เพื่อตรวจจับและวิเคราะห์ โอกาสการถูกโจมตีจากช่องทางที่ให้บริการของบริษัทฯ ผ่านช่องทางที่สามารถเข้าถึงได้จากอินเตอร์เน็ต
  • บริษัทฯ ติดตั้ง Network Detection and Response เพื่อตรวจสอบ และวิเคราะห์การรับส่งข้อมูลในเครือข่าย
5. การรับมือสถานการณ์ที่ผิดปกติ (Respond) บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดยการซ้อมแผนบริหารภาวะวิกฤตและความต่อเนื่องทางธุรกิจ จำลองเหตุการณ์การโจมตีระบบ Information Technology (IT) & Operational Technology (OT) Security ในระดับ Corporate Crisis รวมถึงมีการทบทวนและปรับปรุงแผนจัดการเหตุคุกคามทางด้านไซเบอร์ (Cybersecurity Incident Response Plan) เพื่อตอบสนองและบรรเทาเหตุการณ์ที่อาจจะเกิดขึ้น
6. การฟื้นฟูระบบ (Recover)
  • บริษัทฯ จัดให้ มีการซ้อมขั้นตอนการปฏิบัติงาน การกู้คืนระบบและข้อมูลจากศูนย์ข้อมูลสำรอง (DR Site) รองรับในกรณีเกิดเหตุฉุกเฉินที่กระทบกับระบบข้อมูลสารสนเทศหลักที่สำคัญ ปีละ 2 ครั้งและสามารถกู้คืนได้ตามเป้าหมาย
  • บริษัทฯ ได้มีทำ Cybersecurity Insurance

ผลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

ปี เป้าหมาย
2564 2565 2566 2567 2567
จำนวนกรณีที่เกิดภัยคุกคามทางไซเบอร์ (No. of cybersecurity incidents) 0 0 0 0 0
ข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล (No. of complaints about information insecurity) 0 0 0 0 0
จำนวนเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ 0 0 0 0 0
จำนวนพนักงานและลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ 0 0 0 0 0