นโยบายและกรอบการบริหาร

บริษัทฯ ตระหนักถึงความสำคัญของเทคโนโลยีสารสนเทศ ระบบเครือข่าย และปัญญาประดิษฐ์ ที่นำมาใช้เป็นเครื่องมือ เพื่อเสริมสร้างประสิทธิภาพและประสิทธิผลการดำเนินงานขององค์กรให้ไปสู่ความเป็นเลิศ ด้วยความมุ่งมั่นที่จะขับเคลื่อนธุรกิจในยุคดิจิทัลเพื่อสร้างนวัตกรรมและคุณค่าแก่ผู้มีส่วนได้เสีย และการเติบโตขององค์กรอย่างยั่งยืน โดยยึดมั่นในการปกป้องข้อมูล ระบบ และการใช้ปัญญาประดิษฐ์ (AI) อย่างปลอดภัย มีธรรมาภิบาล และรับผิดชอบ บริษัทฯ ได้ทบทวนและประกาศใช้นโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และปัญญาประดิษฐ์ ฉบับใหม่ ที่สอดคล้องกับหลักกฎหมายและมาตรฐานสากลที่เกี่ยวข้องมากยิ่งขึ้น เพื่อให้มั่นใจว่าการใช้และการบริหารจัดการเทคโนโลยีดังกล่าวมีความมั่นคง ปลอดภัย โปร่งใส และเชื่อถือได้

Policy and Management Framework

แนวปฏิบัติในการใช้งานเทคโนโลยี Generative AI

บริษัทฯ จัดทำแนวทางปฏิบัติพร้อมสร้างความรู้ความเข้าใจต่อบุคลากรในการใช้เทคโนโลยี Generative AI อย่างมีความรับผิดชอบ รอบคอบ ถูกต้องเหมาะสมและมีประสิทธิภาพ เป็นไปตามกฎหมาย กฎระเบียบ ประกาศ และข้อบังคับต่าง ๆ ที่เกี่ยวข้อง ตลอดจนป้องกันความเสี่ยงต่อข้อมูลที่ถูกเข้าถึงหรือบันทึก และนำไปใช้ในการทำงานของเทคโนโลยี Generative AI ที่เกิดจากข้อมูลรั่วไหลหรือการใช้งานผิดวัตถุประสงค์ที่จะทำให้เกิดผลกระทบกับบุคคล บริษัทฯ สังคม และประเทศชาติ

1
ต้องศึกษาข้อมูลเทคโนโลยี Generative AI ก่อนนำมาใช้งาน
2
ต้องใช้เทคโนโลยี Generative AI อย่างมีธรรมาภิบาล คุณธรรม จริยธรรม ศีลธรรม เหมาะสม สุจริต และสอดคล้องกับกฎหมาย ข้อบังคับ ระเบียบ ประกาศ หรือคำสั่งของบริษัทฯ
3
ห้ามใช้หรือเปิดเผยข้อมูลที่เป็นความลับของบริษัทฯ รวมถึงข้อมูลภายในเอกสารสำคัญ หรือข้อมูลที่อาจส่งผลกระทบต่อการดำเนินธุรกิจของบริษัทฯ
4
ห้ามใช้แทนการตัดสินใจของผู้ใช้งานในกรณีที่มีความเสี่ยงสูง
5
ห้ามใช้เพื่อสร้างข้อมูลอันเป็นเท็จ หรือสร้างเนื้อหาที่อาจก่อให้เกิดความเสียหายต่อบุคคล บริษัทฯ หรือสังคม
6
ห้ามใช้ข้อมูลส่วนบุคคลที่ไม่ได้รับความยินยอมจากเจ้าของข้อมูลส่วนบุคคล หรือใช้ข้อมูลที่อาจเป็นความผิดตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือกฎหมายอื่นที่เกี่ยวข้อง
7
ห้ามใช้เพื่อสร้างเนื้อหาที่ละเมิดลิขสิทธิ์เครื่องหมายการค้า หรือสิทธิในทรัพย์สินทางปัญญา รวมถึงการทำซ้ำ คัดลอก หรือดัดแปลงหรือใช้ประโยชน์ซึ่งเนื้อหาที่เป็นของบุคคลหรือหน่วยงานอื่นโดยไม่ได้รับอนุญาต
8
ห้ามนำข้อมูลภายในของบริษัทฯ และข้อมูลที่มีชั้นความลับ ไปใช้งานร่วมกับเทคโนโลยี Generative AI ที่ไม่ได้รับอนุญาตจากบริษัทฯ
9
ในกรณีที่ต้องใช้เทคโนโลยี Generative AI ร่วมกับข้อมูลภายในของบริษัทฯ เช่น ข้อมูลที่มีชั้นความลับ ข้อมูลส่วนบุคคล หรือ ข้อมูลส่วนบุคคลที่อ่อนไหว ผู้ใช้งานจะต้องใช้เทคโนโลยี Generative AI ที่บริษัทฯ กำหนดให้ใช้เท่านั้น และผู้ใช้งานต้องได้รับอนุมัติจากผู้บังคับบัญชาก่อนนำมาใช้งานทุกกรณี
10
ห้ามนำข้อมูลที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ไปใช้งานร่วมกับเทคโนโลยี Generative AI
11
ผู้ใช้งานต้องตรวจสอบซอร์สโค้ดที่สร้างโดยเทคโนโลยี Generative AI ก่อนนำมาใช้งาน โดยพิจารณาถึงความถูกต้องและการตรวจสอบช่องโหว่อย่างถี่ถ้วน
12
หากพบเหตุการณ์ละเมิดความมั่นคงปลอดภัยที่เกิดจากการประยุกต์ใช้เทคโนโลยี Generative AI ผู้ใช้งานต้องแจ้งให้ผู้บังคับบัญชาทราบตามลำดับขั้นตอน และต้องปฏิบัติตามขั้นตอนการปฏิบัติงานเกี่ยวกับการบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยโดยทันที
13
บริษัทฯ มีการดำเนินการและตรวจสอบการใช้เทคโนโลยี Generative AI ของผู้ใช้งานอย่างต่อเนื่องเพื่อเป็นการรักษาความมั่นคงปลอดภัยไซเบอร์ ระบบเทคโนโลยีสารสนเทศ และข้อมูลของบริษัทฯ
14
ผู้ใช้งานต้องตรวจสอบเนื้อหาที่สร้างโดยเทคโนโลยี Generative AI ก่อนนำไปใช้งาน หรือเผยแพร่ต่อสาธารณะ เพื่อลดหรือหลีกเลี่ยงการเกิดอคติหรือการเลือกปฏิบัติอย่างไม่เป็นธรรมหรือผลกระทบต่อสิทธิของบุคคลหรือกลุ่มบุคคล หรือมีผลกระทบต่อหลักความเสมอภาค และมาตรฐานด้านสิทธิมนุษยชน
15
การนำเนื้อหาที่สร้างโดยเทคโนโลยี Generative AI ไปใช้งานหรือเผยแพร่ต่อสาธารณะ ผู้ใช้งานต้องใช้แอปพลิเคชันหรือเทคโนโลยี Generative AI ที่บริษัทฯ กำหนดให้ใช้งานเท่านั้น
16
ผู้ใช้งานและบุคคลที่เกี่ยวข้องกับการประยุกต์ใช้เทคโนโลยี Generative AI ต้องแจ้งผู้บังคับบัญชาเกี่ยวกับวัตถุประสงค์ ขอบเขตและลักษณะของการทำงานร่วมกัน ผู้ใช้งานต้องติดตาม ทบทวน และประเมินประสิทธิภาพ ประสิทธิผลของการใช้งานอย่างต่อเนื่อง เพื่อเลือกใช้เทคโนโลยี Generative AI ที่เหมาะสมกับการปฏิบัติงาน
17
การนำเนื้อหาที่สร้างจากเทคโนโลยี Generative AI มาใช้งาน ต้องมีการระบุว่า “เนื้อหานี้จัดทำขึ้นโดยได้รับความช่วยเหลือจากเทคโนโลยี Generative AI” ตามความเหมาะสม เพื่อให้เกิดความโปร่งใส และป้องกันความเข้าใจผิดของผู้รับข้อมูล
18
แอปพลิเคชันหรือเทคโนโลยี Generative AI ที่บริษัทฯ กำหนดให้ใช้งานต้องเป็นประเภทสำหรับธุรกิจ (For Business) เท่านั้น โดยจะต้องใช้จดหมายอิเล็กทรอนิกส์ของบริษัทฯ และต้องผ่านความเห็นชอบจากฝ่ายวิเคราะห์ข้อมูลและปัญญาประดิษฐ์ ในกรณีที่มีข้อสงสัยเกี่ยวกับการรักษาความมั่นคงปลอดภัยของข้อมูล ผู้ใช้งานต้องปรึกษาหารือกับผู้บังคับบัญชาหรือเจ้าหน้าที่ที่เกี่ยวข้องก่อนดำเนินการใด ๆ

โครงสร้างการกำกับดููแลด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

Structure of IT security and cybersecurity oversight

การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและไซเบอร์

ขอบเขตและประเภทของความเสี่ยงด้านเทคโนโลยี

บริษัทฯ ได้กำหนดประเภทความเสี่ยงด้านเทคโนโลยีสารสนเทศ ไซเบอร์ และปัญญาประดิษฐ์ ไว้ 4 ประเภท

Scope and categories of IT risks

กระบวนการบริหารจัดการความเสี่ยง

องค์ประกอบที่สำคัญในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ไซเบอร์ และปัญญาประดิษฐ์ ประกอบด้วย

Scope and categories of IT risks

การระบุและจัดการความเสี่ยง

บริษัทฯ ได้ดำเนินการระบุ ประเมิน และจัดลำดับความสำคัญของความเสี่ยงด้านเทคโนโลยี โดยพิจารณาผลกระทบต่อความมั่นคง ความปลอดภัย และความต่อเนื่องของการดำเนินงาน พร้อมกำหนดมาตรการควบคุมที่เหมาะสม ดังนี้

ประเภท/ประเด็นความเสี่ยง แนวทางป้องกันและควบคุม
ความเสี่ยงด้านกายภาพและสภาพแวดล้อม

การเชื่อมต่ออุปกรณ์เคลื่อนที่ที่ไม่ปลอดภัยกับ ระบบเครือข่ายของบริษัทฯ
  • กำหนดนโยบายและแนวปฏิบัติสำหรับการใช้งานคอมพิวเตอร์และมีระบบเก็บ Log เพื่อบันทึกข้อมูลการใช้งาน
  • จัดทำ Virtual Local Area Network (VLAN) สำหรับการใช้งานเชื่อมต่อกับระบบเครือข่าย ของบริษัทฯ โดยแยกประเภทกลุ่มผู้ใช้งานภายในและภายนอก
  • ตรวจสอบ ควบคุมการใช้งานเครื่องคอมพิวเตอร์ โทรศัพท์เคลื่อนที่ หรืออุปกรณ์ต่าง ๆ ของบุคคลภายนอก
  • จัดทำแผนระบบเชื่อมต่อและตรวจสอบการเข้าใช้งานจากอุปกรณ์ BYOD เพื่อให้สามารถ ยืนยันตัวตนและมีความปลอดภัย
ความเสี่ยงด้านการใช้งานโปรแกรมคอมพิวเตอร์

ช่องโหว่ในระบบที่เกิดจากการสิ้นสุดอายุ การใช้งาน (End-of-Life Software :EOL) ของโปรแกรม
  • อัปเกรดโปรแกรม Software หรือ Application เป็นเวอร์ชันใหม่ก่อนถึงสถานะ EOL
  • ติดตามตรวจสอบสถานะของ Software และ Application ที่ใช้งาน เพื่อให้อัปเดต และอัปเกรดให้เป็นเวอร์ชันที่ทันสมัยอยู่เสมอ
ความเสี่ยงด้านการใช้งานระบบเครือข่ายคอมพิวเตอร์

การลักลอบขโมย/โจมตีระบบ และการใช้งานระบบ Virtual Private Network (VPN) ของบริษัทฯ
  • กำหนดวิธีการใช้งานระบบ VPN โดยต้องใช้วิธีการยืนยันตัวตนในการเข้าใช้งาน
  • จัดทำระบบยืนยันตัวตน 2 ขั้นในการใช้งานระบบ VPN ของบริษัทฯ

การบริหารความเสี่ยงจากบุคคลที่สามและผู้ให้บริการเทคโนโลยี

บริษัทฯ กำหนดมาตรการในการบริหารจัดการความเสี่ยงที่อาจเกิดจากคู่ค้าในห่วงโซ่อุปทาน ดังนี้

ผู้ให้บริการเทคโนโลยี
  • กำหนดหลักเกณฑ์การพิจารณาคัดเลือกคู่ค้าที่ได้รับใบรับรองมาตรฐานด้านความมั่นคงปลอดภัยทางไซเบอร์ ประวัติการถูกโจมตีทางไซเบอร์
  • กำหนดแนวทางการทำงานไว้ในสัญญา ครอบคลุมตั้งแต่ การเข้ารหัสข้อมูล ระบบแจ้งเตือนเมื่อมีข้อมูลรั่วไหล การจัดเตรียมแผนรับมือเหตุฉุกเฉินในกรณีที่ระบบของคู่ค้าขัดข้องหรือเสียหายโดยบริษัทฯ ต้องสามารถเปลี่ยนไปใช้บริการคู่ค้าอื่นแทนได้ หรือกรณีข้อมูลรั่วไหลจากคู่ค้าจะมีขั้นตอนการแจ้งเตือนบริษัทฯ รวมทั้งการแก้ไขฟื้นฟู ตลอดจนถึงการติดตามและตรวจสอบประสิทธิภาพการทำงานของคู่ค้า
คู่ค้าที่ให้บริการอื่น ๆ
  • กำหนดให้มีกระบวนการคัดเลือกคู่ค้าที่มีคุณสมบัติเหมาะสม มีการลงนามสัญญาจ้างที่เป็นไปตามนโยบายและแนวปฏิบัติ ด้านข้อมูลส่วนบุคคล สัญญารักษาความลับ (Non-Disclosure Agreement: NDA) สัญญาเกี่ยวกับการประมวลผล ข้อมูลส่วนบุคคล (Data Processing Agreement: DPA) และข้อตกลงระดับการให้บริการ (Service Level Agreement: SLA) หรือหากมีการเปลี่ยนแปลงข้อตกลงการให้บริการสำหรับระบบที่สำคัญ บริษัทฯ จะทำการประเมินความเสี่ยง ด้านความมั่นคงปลอดภัย และเงื่อนไขของสัญญาจ้างให้สอดคล้องกับกรณีที่มีข้อกำหนดทางกฎหมายหรือข้อบังคับใหม่
  • กำหนดหน้าที่และความรับผิดชอบทางด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และปัญญาประดิษฐ์ สำหรับบุคลากรของหน่วยงานภายนอกที่ปฏิบัติงานแทนบริษัทฯ ให้สอดคล้องกับนโยบายความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศฯ การคุ้มครองข้อมูลส่วนบุคคล ธรรมาภิบาลข้อมูลของบริษัทฯ พร้อมทั้งให้มีการลงนามรับทราบและยึดถือปฏิบัติอย่างเคร่งครัดตลอดอายุสัญญา

การป้องกันความเสี่ยงด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศ

มาตรการป้องกันความเสี่ยง

Risk prevention measures

การยกระดับมาตรการด้านการป้องกัน

มาตรการ วิธีการ
1. ศูนย์ปฏิบัติการความปลอดภัย (Security Operations Center: SOC)
  • เพิ่มทีมผู้เชี่ยวชาญจากภายนอกเพื่อสนับสนุนการเฝ้าระวัง ตรวจจับ วิเคราะห์ และตอบสนอง ต่อภัยคุกคามทางไซเบอร์ รวมทั้งปกป้องระบบและข้อมูลของบริษัทฯ ตลอด 24 ชั่วโมง
2. การอัปเดตหรืออัปเกรดเวอร์ชัน ของระบบ Server หรือระบบอุปกรณ์
  • อัปเดต patch อัปเกรดเวอร์ชันของระบบ Server หรือระบบอุปกรณ์ต่าง ๆ
  • บำรุงรักษาระบบและอุปกรณ์สำคัญต่าง ๆ อย่างต่อเนื่องทุกเดือนหรือ ทุกไตรมาส หรือ ทุก 6 เดือน
3. ให้ความรู้แก่พนักงานเพื่อสร้างความตระหนัก ด้านเทคโนโลยีสารสนเทศ ไซเบอร์ หรือ ปัญญาประดิษฐ์
  • สื่อสาร/ประชาสัมพันธ์ข้อมูลความรู้ ข่าวสารหรือเหตุการณ์ที่เกี่ยวข้องกับการทำงาน เช่น การระมัดระวัง Phishing Email ที่แฝงไวรัสหรือมัลแวร์ เพื่อป้องกันการถูกหลอกลวง หรือเกิดความเสียหายต่อข้อมูล การอัปเดต patch ต่าง ๆ เพื่อปิดช่องโหว่ของ OS, Application หรือโปรแกรมที่ใช้งาน เป็นต้น โดยดำเนินการเป็นประจำทุกวันที่ 1 และวันที่ 16 ของเดือน
4. การทดสอบเจาะระบบ (Penetration Testing: Pentest) โดยหน่วยงานภายนอก
  • ดำเนินการทดสอบระบบที่มีการเชื่อมต่อโดยตรงกับ Internet เพื่อค้นหาช่องโหว่ ด้านความปลอดภัยก่อนที่ผู้ไม่หวังดีจะใช้ช่องโหว่ที่มีอยู่เป็นช่องทางในการเข้าโจมตี
  • ทดสอบการจำลองอีเมลหลอกลวง (Phishing Simulation) เพื่อประเมินและปรับปรุง ความตระหนักรู้ของพนักงานในการรับมือกับภัยคุกคามทางไซเบอร์ โดยจะเก็บสถิติ การตอบสนองของพนักงาน
5. ตรวจสอบช่องโหว่ทางความปลอดภัย (Vulnerability Assessment Scan : VA Scan) ของแอปพลิเคชันและระบบเซิร์ฟเวอร์
  • ดำเนินการเป็นประจำทุกปี เพื่อติดตามตรวจสอบประสิทธิภาพของมาตรการแก้ไข ประเด็นความเสี่ยงสูง ซึ่งผลการตรวจสอบไม่พบช่องโหว่ในประเด็นดังกล่าว และไม่พบข้อบกพร่องที่ต้องแก้ไขเพิ่มเติม

การบริหารจัดการระบบความปลอดภัยทางไซเบอร์

Cybersecurity Management

บทบาทหน้าที่

คณะทำงานบริหารความเสี่ยง ติดตามมาตรการป้องกันความปลอดภัยระบบเทคโนโลยีสารสนเทศและไซเบอร์ ปีละ 2 ครั้ง
ฝ่ายตรวจสอบภายใน 1. การสอบทานเกี่ยวกับการปฏิบัติตามนโยบาย/ระเบียบปฏิบัติต่าง ๆ ดังนี้
  • นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ
  • ประสิทธิภาพและความเพียงพอในการจัดการความเสี่ยงด้านสารสนเทศและระบบรักษาความปลอดภัยของระบบสารสนเทศและข้อมูล
  • แผนฉุกเฉินสำหรับป้องกันความปลอดภัยของระบบสารสนเทศเมื่อมีภัยคุกคาม
  • การซักซ้อมแผนฉุกเฉินตามแผนการบริหารความต่อเนื่องทางธุรกิจของบริษัทฯ
  • มาตรการป้องกันการบริหารความปลอดภัยของอุปกรณ์คอมพิวเตอร์
  • การประเมินความเสี่ยงด้านความปลอดภัยของระบบเทคโนโลยีและสารสนเทศ
2. รายงานด้านการเฝ้าระวังอุกคามผ่านระบบเครือข่ายคอมพิวเตอร์ เป็นประจำทุกปี
ฝ่ายพัฒนาระบบธุรกิจ และศูนย์การดำเนินการรักษาความปลอดภัย ติดตาม ตรวจหา วิเคราะห์ ป้องกัน และตอบสนองต่อภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น ทั้งจากภายในและภายนอกองค์กรอย่างต่อเนื่อง รวมทั้งการรายงานภัยรายงานต่าง ๆ เช่น ระบบป้องกันผู้บุกรุกระบบไฟร์วอลล์ และระบบป้องกันภัยคุกคามทางอินเทอร์เน็ต เป็นต้น
ผู้ตรวจสอบภายนอก สอบทานการควบคุมของระบบเทคโนโลยีสารสนเทศ การเข้าถึงโปรแกรมและข้อมูล เช่น การบริหารจัดการแฟ้มผู้ใช้งานจัดการแก้ไข/ลบข้อมูลผู้ใช้งานเพื่อประกอบในการสอบทานงบการเงินของบริษัทฯ โดยดำเนินการเป็นประจำทุกปี

แผนการรับมือภัยคุกคามทางไซเบอร์

บริษัทฯ ได้มีการจัดทำและประกาศใช้มาตรการรับมือภัยคุกคามทางไซเบอร์ เพื่อให้ผู้ที่เกี่ยวข้องสามารถตอบสนองและรับมือกับภัยคุกคามให้ได้อย่างรวดเร็วและเหมาะสม ด้วยการประเมินสถานการณ์ กำหนดแผนดำเนินการ การจำกัดความเสียหาย และการสื่อสารภายในและภายนอก เพื่อให้ควบคุมสถานการณ์ ลดผลกระทบและกู้คืนระบบได้อย่างรวดเร็ว รวมถึงจัดให้มีการฝึกซ้อมแผนรับมือ (Cybersecurity Incident Response Plan) และถอดบทเรียนจากเหตุการณ์ที่เกิดขึ้น ซึ่งจะช่วยเสริมสร้างความแข็งแกร่ง ความยืดหยุ่น และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้ในอนาคต

Cyberattack response plan

มาตรการรักษา และฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์

เพื่อป้องกันการหยุดชะงักในการดำเนินงานของบริษัทฯ อันเกิดจากภัยคุกคามทางไซเบอร์ วิกฤตหรือภัยพิบัติต่าง ๆ บริษัทฯ มุ่งเน้นการรักษาความต่อเนื่องทางธุรกิจ (Business Continuity) และความสามารถในการฟื้นฟูระบบเทคโนโลยีสารสนเทศ ให้กลับมาใช้งานได้อย่างรวดเร็วและมีประสิทธิภาพ ด้วยการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) และแผนฟื้นฟูระบบเทคโนโลยีสารสนเทศ (IT Disaster Recovery Plan: DRP) ดำเนินการตรวจสอบและประเมินความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศและไซเบอร์ที่อาจเกิดขึ้น ทบทวนและทดสอบตามแผน BCP และ DRP อย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจว่าสามารถนำไปใช้งานได้จริงเมื่อเกิดเหตุฉุกเฉิน รวมถึงการตรวจสอบสภาพความพร้อมใช้งานของระบบเทคโนโลยีสารสนเทศสำรอง ความสามารถในการฟื้นฟูระบบให้กลับมาใช้งานได้อย่างรวดเร็ว อย่างน้อยปีละ 1 ครั้ง เพื่อเสริมสร้างความพร้อมใช้งานของอุปกรณ์และความยืดหยุ่นในการบริหารจัดการความเสี่ยงอย่างเป็นระบบ

การตอบสนองเหตุภัยพิบัติและเหตุฉุกเฉินระบบงานสารสนเทศและความปลอดภัยทางไซเบอร์

บริษัทฯ ได้จัดตั้งศูนย์คอมพิวเตอร์สำรองและจัดทำแผนการรองรับเหตุภัยพิบัติและเหตุฉุกเฉินระบบงานเทคโนโลยีสารสนเทศ โดยมีกระบวนการทำงาน ดังนี้

Response to IT and Cybersecurity Disasters and Emergency Incidents

การติดตามอุบัติการณ์ด้านสารสนเทศและไซเบอร์

การตรวจสอบการละเมิดและอุบัติการณ์ด้านสารสนเทศและไซเบอร์

บริษัทฯ มีกระบวนการตรวจติดตาม เฝ้าระวังการละเมิด และอุบัติการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ รวมถึงระบบเทคโนโลยีสารสนเทศ โดยรายงานผลต่อฝ่ายบริหาร คณะทำงานบริหารความเสี่ยง และรายงานผลต่อคณะกรรมการบริหารความเสี่ยง คณะกรรมการธรรมาภิบาลและความยั่งยืน และคณะกรรมการบริษัทฯ ทราบเป็นประจำทุกไตรมาส ซึ่งในปี 2568 หน่วยงานตรวจสอบและผู้เชี่ยวชาญภายนอก ไม่พบการละเมิดด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ และอุบัติการณ์ในระบบเทคโนโลยีสารสนเทศ

รายการตรวจสอบ หน่วย ปี
2568 2567 2566
การละเมิดหรือการไม่ปฏิบัติตามมาตรการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์
จำนวนการละเมิดความมั่นคงสารสนเทศหรืออุบัติการณ์ด้านความปลอดภัยทางไซเบอร์ ครั้ง 0 0 0
จำนวนลูกค้าและพนักงานที่ได้รับผลกระทบจากการละเมิดข้อมูล ราย 0 0 0
จำนวนค่าปรับ/บทปรับจากการละเมิดความปลอดภัยของข้อมูลหรืออุบัติการณ์ ด้านความปลอดภัยทางไซเบอร์ บาท 0 0 0
การเกิดอุบัติการณ์ด้านโครงสร้างระบบเทคโนโลยีสารสนเทศ
จำนวนอุบัติการณ์ด้านโครงสร้างของระบบ ครั้ง 0 0 0
ผลกระทบทางการเงินจากการเกิดอุบัติการณ์ บาท 0 0 0

การสร้างความตระหนักรู้แก่พนักงาน

บริษัทฯ ให้ความสำคัญกับการเสริมสร้างความรู้ ความเข้าใจ และความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์แก่พนักงานทุกระดับ ผ่านกิจกรรมการแลกเปลี่ยนความรู้ (Knowledge Sharing) และการฝึกอบรมอย่างต่อเนื่อง เพื่อให้พนักงานตระหนักถึงความสำคัญของภัยคุกคามไซเบอร์ในบริบทธุรกิจปัจจุบัน บทบาทของแต่ละบุคคลในการเป็นแนวป้องกันด่านแรกขององค์กร รวมถึงแนวทางการปฏิบัติที่ถูกต้องในการปกป้องข้อมูลและระบบสารสนเทศ อันเป็นรากฐานสำคัญของการเสริมสร้างความมั่นคงปลอดภัยไซเบอร์และความพร้อมในการรับมือกับความเสี่ยงขององค์กรอย่างยั่งยืน

หัวข้อกิจกรรม Cybersecurity เพื่อความปลอดภัยขององค์กร
วัตถุประสงค์
  • สร้างความตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ยุคใหม่ที่องค์กรต้องเผชิญ
  • นโยบายและทิศทางการดำเนินงานขององค์กรในอนาคต
จำนวนผู้เข้าร่วม (คน) 40
ร้อยละของผู้เข้าร่วมกิจกรรมที่นำความรู้ไปใช้ประโยชน์ในระดับปานกลาง-มาก 100
ประโยชน์ที่ได้รับ
  • เกิดความเข้าใจและตระหนักถึงการใช้งานอุปกรณ์ IT ให้เกิดความปลอดภัยเพิ่มขึ้น
  • เข้าใจวิธีบริหารจัดการกรณีที่บริษัทฯ ถูกโจมตีทางไซเบอร์

ช่องทางการรายงานเหตุการณ์

บริษัทฯ ได้จัดให้มีช่องทางการรายงานเหตุการณ์สำหรับผู้มีส่วนได้เสีย เพื่อแจ้งเบาะแสหรือร้องเรียนเมื่อพบเหตุการณ์ ที่เกี่ยวข้องกับการฝ่าฝืนหรือไม่ปฏิบัติตามจรรยาบรรณ การละเมิดหรือการรั่วไหลของข้อมูล เหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Cybersecurity Incident) ตลอดจนการกระทำหรือกิจกรรมที่อาจก่อให้เกิดความเสี่ยงทางไซเบอร์ ส่อถึงการทุจริต การกระทำที่ผิดกฎหมาย หรือสร้างความเสียหายต่อระบบสารสนเทศและชื่อเสียงของบริษัทฯ ทั้งนี้ บริษัทฯ ให้ความสำคัญกับการรักษาความลับของผู้แจ้งข้อมูล และมีมาตรการในการรับเรื่อง ตรวจสอบ และตอบสนองต่อเหตุการณ์อย่างเหมาะสม โดยผู้มีส่วนได้เสียสามารถสอบถามหรือส่งข้อร้องเรียนผ่านช่องทางที่บริษัทฯ กำหนดได้

ข้อมูลเพิ่มเติม: