นโยบายและกรอบการบริหาร
บริษัทฯ ตระหนักถึงความสำคัญของเทคโนโลยีสารสนเทศ ระบบเครือข่าย และปัญญาประดิษฐ์ ที่นำมาใช้เป็นเครื่องมือ เพื่อเสริมสร้างประสิทธิภาพและประสิทธิผลการดำเนินงานขององค์กรให้ไปสู่ความเป็นเลิศ ด้วยความมุ่งมั่นที่จะขับเคลื่อนธุรกิจในยุคดิจิทัลเพื่อสร้างนวัตกรรมและคุณค่าแก่ผู้มีส่วนได้เสีย และการเติบโตขององค์กรอย่างยั่งยืน โดยยึดมั่นในการปกป้องข้อมูล ระบบ และการใช้ปัญญาประดิษฐ์ (AI) อย่างปลอดภัย มีธรรมาภิบาล และรับผิดชอบ บริษัทฯ ได้ทบทวนและประกาศใช้นโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และปัญญาประดิษฐ์ ฉบับใหม่ ที่สอดคล้องกับหลักกฎหมายและมาตรฐานสากลที่เกี่ยวข้องมากยิ่งขึ้น เพื่อให้มั่นใจว่าการใช้และการบริหารจัดการเทคโนโลยีดังกล่าวมีความมั่นคง ปลอดภัย โปร่งใส และเชื่อถือได้
ข้อมูลเพิ่มเติม:
แนวปฏิบัติในการใช้งานเทคโนโลยี Generative AI
บริษัทฯ จัดทำแนวทางปฏิบัติพร้อมสร้างความรู้ความเข้าใจต่อบุคลากรในการใช้เทคโนโลยี Generative AI อย่างมีความรับผิดชอบ รอบคอบ ถูกต้องเหมาะสมและมีประสิทธิภาพ เป็นไปตามกฎหมาย กฎระเบียบ ประกาศ และข้อบังคับต่าง ๆ ที่เกี่ยวข้อง ตลอดจนป้องกันความเสี่ยงต่อข้อมูลที่ถูกเข้าถึงหรือบันทึก และนำไปใช้ในการทำงานของเทคโนโลยี Generative AI ที่เกิดจากข้อมูลรั่วไหลหรือการใช้งานผิดวัตถุประสงค์ที่จะทำให้เกิดผลกระทบกับบุคคล บริษัทฯ สังคม และประเทศชาติ
การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและไซเบอร์
ขอบเขตและประเภทของความเสี่ยงด้านเทคโนโลยี
บริษัทฯ ได้กำหนดประเภทความเสี่ยงด้านเทคโนโลยีสารสนเทศ ไซเบอร์ และปัญญาประดิษฐ์ ไว้ 4 ประเภท
กระบวนการบริหารจัดการความเสี่ยง
องค์ประกอบที่สำคัญในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ไซเบอร์ และปัญญาประดิษฐ์ ประกอบด้วย
การระบุและจัดการความเสี่ยง
บริษัทฯ ได้ดำเนินการระบุ ประเมิน และจัดลำดับความสำคัญของความเสี่ยงด้านเทคโนโลยี โดยพิจารณาผลกระทบต่อความมั่นคง ความปลอดภัย และความต่อเนื่องของการดำเนินงาน พร้อมกำหนดมาตรการควบคุมที่เหมาะสม ดังนี้
| ประเภท/ประเด็นความเสี่ยง | แนวทางป้องกันและควบคุม |
|---|---|
| ความเสี่ยงด้านกายภาพและสภาพแวดล้อม การเชื่อมต่ออุปกรณ์เคลื่อนที่ที่ไม่ปลอดภัยกับ ระบบเครือข่ายของบริษัทฯ |
|
| ความเสี่ยงด้านการใช้งานโปรแกรมคอมพิวเตอร์ ช่องโหว่ในระบบที่เกิดจากการสิ้นสุดอายุ การใช้งาน (End-of-Life Software :EOL) ของโปรแกรม |
|
| ความเสี่ยงด้านการใช้งานระบบเครือข่ายคอมพิวเตอร์ การลักลอบขโมย/โจมตีระบบ และการใช้งานระบบ Virtual Private Network (VPN) ของบริษัทฯ |
|
การบริหารความเสี่ยงจากบุคคลที่สามและผู้ให้บริการเทคโนโลยี
บริษัทฯ กำหนดมาตรการในการบริหารจัดการความเสี่ยงที่อาจเกิดจากคู่ค้าในห่วงโซ่อุปทาน ดังนี้
| ผู้ให้บริการเทคโนโลยี |
|
| คู่ค้าที่ให้บริการอื่น ๆ |
|
การป้องกันความเสี่ยงด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศ
มาตรการป้องกันความเสี่ยง
การยกระดับมาตรการด้านการป้องกัน
| มาตรการ | วิธีการ |
|---|---|
| 1. ศูนย์ปฏิบัติการความปลอดภัย (Security Operations Center: SOC) |
|
| 2. การอัปเดตหรืออัปเกรดเวอร์ชัน ของระบบ Server หรือระบบอุปกรณ์ |
|
| 3. ให้ความรู้แก่พนักงานเพื่อสร้างความตระหนัก ด้านเทคโนโลยีสารสนเทศ ไซเบอร์ หรือ ปัญญาประดิษฐ์ |
|
| 4. การทดสอบเจาะระบบ (Penetration Testing: Pentest) โดยหน่วยงานภายนอก |
|
| 5. ตรวจสอบช่องโหว่ทางความปลอดภัย (Vulnerability Assessment Scan : VA Scan) ของแอปพลิเคชันและระบบเซิร์ฟเวอร์ |
|
การบริหารจัดการระบบความปลอดภัยทางไซเบอร์
บทบาทหน้าที่
| คณะทำงานบริหารความเสี่ยง | ติดตามมาตรการป้องกันความปลอดภัยระบบเทคโนโลยีสารสนเทศและไซเบอร์ ปีละ 2 ครั้ง |
| ฝ่ายตรวจสอบภายใน | 1. การสอบทานเกี่ยวกับการปฏิบัติตามนโยบาย/ระเบียบปฏิบัติต่าง ๆ ดังนี้
|
| ฝ่ายพัฒนาระบบธุรกิจ และศูนย์การดำเนินการรักษาความปลอดภัย | ติดตาม ตรวจหา วิเคราะห์ ป้องกัน และตอบสนองต่อภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น ทั้งจากภายในและภายนอกองค์กรอย่างต่อเนื่อง รวมทั้งการรายงานภัยรายงานต่าง ๆ เช่น ระบบป้องกันผู้บุกรุกระบบไฟร์วอลล์ และระบบป้องกันภัยคุกคามทางอินเทอร์เน็ต เป็นต้น |
| ผู้ตรวจสอบภายนอก | สอบทานการควบคุมของระบบเทคโนโลยีสารสนเทศ การเข้าถึงโปรแกรมและข้อมูล เช่น การบริหารจัดการแฟ้มผู้ใช้งานจัดการแก้ไข/ลบข้อมูลผู้ใช้งานเพื่อประกอบในการสอบทานงบการเงินของบริษัทฯ โดยดำเนินการเป็นประจำทุกปี |
แผนการรับมือภัยคุกคามทางไซเบอร์
บริษัทฯ ได้มีการจัดทำและประกาศใช้มาตรการรับมือภัยคุกคามทางไซเบอร์ เพื่อให้ผู้ที่เกี่ยวข้องสามารถตอบสนองและรับมือกับภัยคุกคามให้ได้อย่างรวดเร็วและเหมาะสม ด้วยการประเมินสถานการณ์ กำหนดแผนดำเนินการ การจำกัดความเสียหาย และการสื่อสารภายในและภายนอก เพื่อให้ควบคุมสถานการณ์ ลดผลกระทบและกู้คืนระบบได้อย่างรวดเร็ว รวมถึงจัดให้มีการฝึกซ้อมแผนรับมือ (Cybersecurity Incident Response Plan) และถอดบทเรียนจากเหตุการณ์ที่เกิดขึ้น ซึ่งจะช่วยเสริมสร้างความแข็งแกร่ง ความยืดหยุ่น และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้ในอนาคต
มาตรการรักษา และฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์
เพื่อป้องกันการหยุดชะงักในการดำเนินงานของบริษัทฯ อันเกิดจากภัยคุกคามทางไซเบอร์ วิกฤตหรือภัยพิบัติต่าง ๆ บริษัทฯ มุ่งเน้นการรักษาความต่อเนื่องทางธุรกิจ (Business Continuity) และความสามารถในการฟื้นฟูระบบเทคโนโลยีสารสนเทศ ให้กลับมาใช้งานได้อย่างรวดเร็วและมีประสิทธิภาพ ด้วยการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) และแผนฟื้นฟูระบบเทคโนโลยีสารสนเทศ (IT Disaster Recovery Plan: DRP) ดำเนินการตรวจสอบและประเมินความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศและไซเบอร์ที่อาจเกิดขึ้น ทบทวนและทดสอบตามแผน BCP และ DRP อย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าสามารถนำไปใช้งานได้จริงเมื่อเกิดเหตุฉุกเฉิน รวมถึงการตรวจสอบสภาพความพร้อมใช้งานของระบบเทคโนโลยีสารสนเทศสำรอง ความสามารถในการฟื้นฟูระบบให้กลับมาใช้งานได้อย่างรวดเร็ว อย่างน้อยปีละ 1 ครั้ง เพื่อเสริมสร้างความพร้อมใช้งานของอุปกรณ์และความยืดหยุ่นในการบริหารจัดการความเสี่ยงอย่างเป็นระบบ
การตอบสนองเหตุภัยพิบัติและเหตุฉุกเฉินระบบงานสารสนเทศและความปลอดภัยทางไซเบอร์
บริษัทฯ ได้จัดตั้งศูนย์คอมพิวเตอร์สำรองและจัดทำแผนการรองรับเหตุภัยพิบัติและเหตุฉุกเฉินระบบงานเทคโนโลยีสารสนเทศ โดยมีกระบวนการทำงาน ดังนี้
การติดตามอุบัติการณ์ด้านสารสนเทศและไซเบอร์
การตรวจสอบการละเมิดและอุบัติการณ์ด้านสารสนเทศและไซเบอร์
บริษัทฯ มีกระบวนการตรวจติดตาม เฝ้าระวังการละเมิด และอุบัติการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ รวมถึงระบบเทคโนโลยีสารสนเทศ โดยรายงานผลต่อฝ่ายบริหาร คณะทำงานบริหารความเสี่ยง และรายงานผลต่อคณะกรรมการบริหารความเสี่ยง คณะกรรมการธรรมาภิบาลและความยั่งยืน และคณะกรรมการบริษัทฯ ทราบเป็นประจำทุกไตรมาส ซึ่งในปี 2568 หน่วยงานตรวจสอบและผู้เชี่ยวชาญภายนอก ไม่พบการละเมิดด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ และอุบัติการณ์ในระบบเทคโนโลยีสารสนเทศ
| รายการตรวจสอบ | หน่วย | ปี | ||
|---|---|---|---|---|
| 2568 | 2567 | 2566 | ||
| การละเมิดหรือการไม่ปฏิบัติตามมาตรการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ | ||||
| จำนวนการละเมิดความมั่นคงสารสนเทศหรืออุบัติการณ์ด้านความปลอดภัยทางไซเบอร์ | ครั้ง | 0 | 0 | 0 |
| จำนวนลูกค้าและพนักงานที่ได้รับผลกระทบจากการละเมิดข้อมูล | ราย | 0 | 0 | 0 |
| จำนวนค่าปรับ/บทปรับจากการละเมิดความปลอดภัยของข้อมูลหรืออุบัติการณ์ ด้านความปลอดภัยทางไซเบอร์ | บาท | 0 | 0 | 0 |
| การเกิดอุบัติการณ์ด้านโครงสร้างระบบเทคโนโลยีสารสนเทศ | ||||
| จำนวนอุบัติการณ์ด้านโครงสร้างของระบบ | ครั้ง | 0 | 0 | 0 |
| ผลกระทบทางการเงินจากการเกิดอุบัติการณ์ | บาท | 0 | 0 | 0 |
การสร้างความตระหนักรู้แก่พนักงาน
บริษัทฯ ให้ความสำคัญกับการเสริมสร้างความรู้ ความเข้าใจ และความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์แก่พนักงานทุกระดับ ผ่านกิจกรรมการแลกเปลี่ยนความรู้ (Knowledge Sharing) และการฝึกอบรมอย่างต่อเนื่อง เพื่อให้พนักงานตระหนักถึงความสำคัญของภัยคุกคามไซเบอร์ในบริบทธุรกิจปัจจุบัน บทบาทของแต่ละบุคคลในการเป็นแนวป้องกันด่านแรกขององค์กร รวมถึงแนวทางการปฏิบัติที่ถูกต้องในการปกป้องข้อมูลและระบบสารสนเทศ อันเป็นรากฐานสำคัญของการเสริมสร้างความมั่นคงปลอดภัยไซเบอร์และความพร้อมในการรับมือกับความเสี่ยงขององค์กรอย่างยั่งยืน


| หัวข้อกิจกรรม | Cybersecurity เพื่อความปลอดภัยขององค์กร |
| วัตถุประสงค์ |
|
| จำนวนผู้เข้าร่วม (คน) | 40 |
| ร้อยละของผู้เข้าร่วมกิจกรรมที่นำความรู้ไปใช้ประโยชน์ในระดับปานกลาง-มาก | 100 |
| ประโยชน์ที่ได้รับ |
|
ช่องทางการรายงานเหตุการณ์
บริษัทฯ ได้จัดให้มีช่องทางการรายงานเหตุการณ์สำหรับผู้มีส่วนได้เสีย เพื่อแจ้งเบาะแสหรือร้องเรียนเมื่อพบเหตุการณ์ ที่เกี่ยวข้องกับการฝ่าฝืนหรือไม่ปฏิบัติตามจรรยาบรรณ การละเมิดหรือการรั่วไหลของข้อมูล เหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Cybersecurity Incident) ตลอดจนการกระทำหรือกิจกรรมที่อาจก่อให้เกิดความเสี่ยงทางไซเบอร์ ส่อถึงการทุจริต การกระทำที่ผิดกฎหมาย หรือสร้างความเสียหายต่อระบบสารสนเทศและชื่อเสียงของบริษัทฯ ทั้งนี้ บริษัทฯ ให้ความสำคัญกับการรักษาความลับของผู้แจ้งข้อมูล และมีมาตรการในการรับเรื่อง ตรวจสอบ และตอบสนองต่อเหตุการณ์อย่างเหมาะสม โดยผู้มีส่วนได้เสียสามารถสอบถามหรือส่งข้อร้องเรียนผ่านช่องทางที่บริษัทฯ กำหนดได้