ความท้าทายและความมุ่งมั่น

บริษัทฯ ตระหนักถึงความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ไม่ว่าจะเป็นอุปสรรคที่เกิดจากการจู่โจมทางระบบเทคโนโลยีสารสนเทศจากภายนอก หรือการรั่วไหลของข้อมูลส่วนบุคคลและข้อมูลบริษัทฯ จากภายใน ความเสี่ยงดังกล่าวสามารถส่งผลกระทบต่อการดำเนินงานของบริษัทฯ และความปลอดภัยทางข้อมูลส่วนบุคคลของพนักงาน ลูกค้า และคู่ค้า ดังนั้น บริษัทฯ จึงมุ่งพัฒนาระบบเพื่อสร้างเกราะกำบังทางระบบสารสนเทศ ผ่านโครงสร้างการกำกับดูแลที่มั่นคง การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล การจัดอบรมเพื่อสร้างความมั่นใจ และความรู้ความเข้าใจให้แก่พนักงาน

ผู้มีส่วนได้เสียหลัก

พนักงาน
ลูกค้า
ภาครัฐ
คู่ค้า และคู่ค้าทางธุรกิจ

เป้าหมายการดำเนินงาน

การรั่วไหลของข้อมูลส่วนบุคคล
คิดเป็นศูนย์
ไม่มีข้อร้องเรียนเกี่ยวกับความไม่ปลอดภัยของข้อมูล และไม่มีพนักงาน และผู้มีส่วนได้เสียของบริษัทฯ ตกเป็นเหยื่อของการจู่โจมทางสารสนเทศและไซเบอร์

แนวทางการบริหารจัดการ (Management Approach)

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Governance)

บริษัทฯ กำหนดนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ เพื่อใช้เป็นแนวปฏิบัติในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ

และมีกระบวนการควบคุมด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศตามมาตรฐาน ISO27001 – Information Security Management และ Control Objectives for Information and Related Technologies (COBIT) ครอบคุมถึงวิธีการปฏิบัติ (Procedure) ในการใช้งานด้านสารสนเทศ เพื่อบริหารจัดการการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตลอดจนป้องกันและลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น

โครงสร้างการกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

นอกจากนี้ บริษัทฯ ได้กำหนดโครงสร้างการกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ซึ่งถือเป็นกระบวนการหลักในการสร้างความมั่นคงปลอดภัยสารสนเทศ และการป้องกันการคุกคามทางไซเบอร์ ซึ่งในคณะทำงานแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับคณะกรรมการบริหาร ระดับผู้บริหาร และระดับคณะทำงาน

ระดับการกำกับดูแล (Level) หน้าที่ความรับผิดชอบ (Role)
คณะกรรมการตรวจสอบ (Board Level Audit Committee)
  • มีขอบเขตอำนาจหน้าที่ สนับสนุนด้านกำกับดูแลกิจการที่มุ่งเน้นการพัฒนาอย่างยั่งยืน โดยเฉพาะในด้านการควบคุมภายใน การบริหารความเสี่ยงซึ่งรวมถึงความเสี่ยงด้านความมั่นคงและความปลอดภัย สารสนเทศและไซเบอร์ (Information Security and Cyber Security)โดยมีกรรมการบริษัทฯ เป็นประธาน
คณะกรรมการกำกับนโยบายด้านดิจิทัลและเทคโนโลยีสารสนเทศ กลุ่มบริษัทฯ (GC Group’ s Digital & IT Steering Committee: DISC)
  • ทำหน้าที่กำหนดทิศทางนโยบาย เป้าหมายดิจิทัลและเทคโนโลยีสารสนเทศของบริษัทฯ ให้สอดคล้องเป็นไปในทางเดียวกัน และมั่นใจว่าเป็นไปตามมาตรฐานสากล สามารถเทียบเคียงได้กับบริษัทสากลชั้นนำที่อยู่ในธุรกิจเดียวกัน โดยมีประธานเจ้าหน้าที่บริหารและกรรมการผู้จัดการใหญ่ เป็นประธานกรรมการ
คณะกรรมการบริหารจัดการ ความมั่นคงและความปลอดภัย สารสนเทศ (ISMS Committee)
  • ทำหน้าที่กำกับดูแลการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security) ด้านไซเบอร์ (Cyber Security) และคลาวด์ (Cloud Security) ให้สอดคล้องกับมาตรฐานสากล
คณะกรรมการบริหารจัดการ (Enterprise Architecture: EA Committee)
  • ทำหน้าที่พิจารณาการบริหารจัดการโครงสร้างด้านเทคโนโลยีขององค์กรให้สอดรับกับความต้องการใช้งาน และมีความทันสมัยเป็นมาตรฐานสากล เพื่อให้เกิดประโยชน์สูงสุดในการนำไปใช้งาน
ผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง (Chief Information Security Officer: CISO)
  • ทำหน้าที่กำหนดเป้าหมาย และนโยบายด้านการรักษาความมั่นคงปลอดภัย ที่สอดคล้องกับแผนยุทธศาสตร์ของบริษัทฯ พัฒนานโยบายด้านการรักษาความปลอดภัยสารสนเทศ มาตรฐานขั้นตอน และแนวปฏิบัติ เพื่อให้บริษัทฯ ได้มาซึ่งการรักษาความลับของข้อมูล (Confidentiality) การรักษาความถูกต้องของข้อมูล (Integrity) และเสถียรภาพความมั่นคงของระบบสารสนเทศ (Availability) ตลอดจนประสานควบงานควบคุม และรายงานเหตุภัยคุกคามทางด้านไซเบอร์ไปยังผู้บริหารระดับสูง และสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
ระดับผู้บริหาร (Management Level)
  • กำหนดนโยบายการบริหารจัดการข้อมูลและสารสนเทศ เช่น ด้าน Information Security (IS) ด้าน Cyber Security Policy ด้าน Cloud Security Policy ด้าน Service Level Agreement (SLA) ด้าน Secure System Development Life Cycle (SSDLC) และด้าน Data Protection เป็นต้น
  • นำระบบ ISO Series (ISO 27001 ISO 27701 ISO 22301) และ NIST Cybersecurity Framework มาใช้เป็นกรอบในการปฏิบัติและควบคุมการปฏิบัติงานของผู้ใช้งาน เพื่อให้ข้อมูลและสารสนเทศมีความถูกต้อง แม่นยำ และพร้อมใช้งาน รวมทั้งนำระบบการตรวจติดตามทั้งภายในและภายนอกมาตรวจติดตามทวนสอบกระบวนการต่าง ๆ เพื่อให้ข้อมูลและสารสนเทศนั้นมีความถูกต้อง น่าเชื่อถือ และคงสภาพ
ระดับปฏิบัติการ (Operation Level)
  • กำหนดระบบ วิธีปฏิบัติ และระบบการบริการต่าง ๆ เกี่ยวกับระบบอินทราเน็ต และจัดให้มีการอบรมแก่พนักงานในบริษัทฯ เพื่อใช้ในการสื่อสารและสร้างความตระหนักถึงความสำคัญและความเสี่ยงด้านสารสนเทศและไซเบอร์ ตามแนวทางการจัดการความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ที่เกี่ยวกับระบบอินทราเน็ต
  • ติดตามผลการทำงาน และนำผลการติดตามมาปรับปรุงการบริหารจัดการและการให้บริการด้านไอที และดูแลปรับปรุงความมั่นคงปลอดภัยทางด้านเทคโนโลยีให้ทันสมัย รวมถึงรายงานต่อผู้บริหารและคณะกรรมการที่ดูแลรับผิดชอบ อย่างสม่ำเสมอ
  • ประเมินความเสี่ยงของทรัพยากรด้านไอทีทุกปี เพื่อให้มั่นใจว่าทรัพยากรที่มีอยู่เพียงพอต่อการดูแลปกป้องข้อมูลและสารสนเทศให้มีความแม่นยำ เชื่อถือได้ และเป็นปัจจุบัน
  • ลงมือปฏิบัติงานตามแผนการดำเนินงานให้เป็นไปตามมาตรฐาน ISO 27001
มาตราการป้องกันความเสี่ยง (mitigation actions) จากการคุกคามทางไซเบอร์ และการรั่วไหลของข้อมูลสารสนเทศ
ทบทวนนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างต่อเนื่อง
ซ้อมแผนรับมือภัยคุกคามจากการโจมตีด้านไซเบอร์และแผนการกู้คืนระบบสารสนเทศในบริษัทฯ และร่วมมือกับกลุ่ม GC ในการจัดระบบการบริหารความเสี่ยงตามมาตรฐาน ISO 27001 โดยจัดให้มีการทบทวน และประเมินประสิทธิภาพของแผนการดำเนินงานด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ
จัดตั้งคณะทำงาน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ที่มีหน้าที่ในการกำหนดแผนและขั้นตอนการดำเนินงาน รวมถึงการประเมินผลการดำเนินงานของบริษัทฯ ให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
สร้างความตระหนักรู้และเตรียมความพร้อมด้านความปลอดภัยไซเบอร์ให้พนักงานทุกระดับ ตลอดจน คู่ค้า อย่างต่อเนื่อง โดยการจัดการอบรมเกี่ยวกับความเสี่ยงจากการจู่โจมทางไซเบอร์ การรั่วไหลของข้อมูลสารสนเทศ และความรู้ด้าน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ตามคู่มือปฏิบัติของบริษัทฯ

การสร้างความพร้อมด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Information Security and Cybersecurity Awareness)

บริษัทฯ เสริมสร้างความตระหนักและเตรียมความพร้อมด้านความปลอดภัยทางไซเบอร์ให้แก่พนักงานทุกระดับ ตลอดจน ผ่านการสื่อการเรียนรู้ออนไลน์ (E-Learning) Cyber Security Online ทั้งหมด 4 บทเรียน พร้อมทั้งประเมินความเข้าใจ โดยการทำแบบทดสอบท้ายบทเรียน เพื่อให้พนักงาน นำไปประยุกต์ใช้ในการปฏิบัติงาน

1. Let’s Secure Your Behaviors

2. Let’s Secure Your Data Behaviors

3. Beware of Social Engineering Attacks

4. Cyber Security Reminder (Password)

กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์
(Process and Infrastructure)

บริษัทฯ จัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่สอดคล้องกับไซเบอร์ และทำการตรวจสอบและสอบทานระบบโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์โดยหน่วยงานภายนอกเป็นประจำทุกปี ซึ่งจากการตรวจสอบและสอบทานในปีที่ผ่านมาพบว่ากระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์ของบริษัทฯ เป็นไปตามมาตรฐานสากล และไม่พบเหตุบกพร่องใด ๆ

นอกจากนี้ บริษัทฯ ได้ดำเนินการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ (Vulnerability Assessment: VA) และการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan) อย่างน้อยปีละ 2 ครั้ง โดยในปี 2564 บริษัทฯ มีการซ้อมแผนฉุกเฉินประจำปี (Cyber Incident Response Tabletop Exercise) เพื่อทดสอบระบบการรักษาความมั่นคงความปลอดภัยของข้อมูลและระบบเทคโนโลยีสารสนเทศของบริษัทฯ โดยได้จำลองสถานการณ์การเกิด Cyber Attack จากการถูกเจาะเข้าระบบปฏิบัติการสารสนเทศของบริษัทฯ โดยบุคคลภายนอก ทำให้ข้อมูลของบริษัทฯ รั่วไหล

อีกทั้ง บริษัทฯ ยังทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ทั้งภายในและภายนอกทุก ๆ 6 เดือน เพื่อเตรียมแผนการป้องกันและแก้ไขจากภัยคุกคาม โดยบริษัทฯ ได้แบ่งระดับความรุนแรง (Vulnerability Severity Levels) ออกเป็น 3 ระดับ ได้แก่ ความรุนแรงระดับสูง (High) คามรุนแรงระดับกลาง (Medium) ความรุนแรงระดับต่ำ (Low)