การรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ

แนวทางการดำเนินงาน

โครงสร้างคณะกรรมการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์

บริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย (“บริษัทฯ”) ให้ความสำคัญกับการพัฒนาและสร้างความเข้มแข็งให้แก่ธุรกิจอย่างต่อเนื่องมีการนำเทคโนโลยีสารสนเทศและไซเบอร์มาใช้อย่างกว้างขวาง เพื่อเพิ่มประสิทธิผลและประสิทธิภาพของสินค้า บริการ รวมถึงการปรับปรุงระบบงานภายใน ตั้งแต่โครงสร้างพื้นฐานการสื่อสารทั้งภายในและภายนอกองค์กร การเก็บ และรวบรวมข้อมูลตลอดสายโซ่ธุรกิจการวางแผนการผลิตและการขนส่ง การเพิ่มผลผลิตในโรงงาน การควบคุมคุณภาพของกระบวนการผลิตการเพิ่มคุณภาพการให้บริการทั้งก่อนและหลังการขาย การซ่อมบำรุง เป็นต้น พนักงานจะมี User Account เฉพาะของตนเองเพื่อใช้ในการเข้าถึงระบบและบริการขององค์กรตามสิทธิและความจำเป็นที่เกี่ยวข้องกับการปฏิบัติงานและเพื่อให้การใช้งานเทคโนโลยีสารสนเทศและไซเบอร์เกิดความปลอดภัย องค์กรมีการออกนโยบายเกี่ยวกับเทคโนโลยีสารสนเทศ (IT Policy) เพื่อเป็นแนวทางในการใช้งานข้อมูล การปฏิบัติงาน การพัฒนา และการบำรุงรักษาระบบเทคโนโลยีสารสนเทศให้เป็นไปอย่างเหมาะสม สอดคล้องกับกฎหมาย ตลอดจนข้อกำหนดด้านการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้อง สำหรับทั้งพนักงาน และคู่ค้าธุรกิจ รวมทั้งได้มีการนำมาตรฐานและผ่านการรับรองด้านการให้บริการเทคโนโลยีสารสนเทศอย่างมีคุณภาพคือ ISO 20000 และการนำมาตรฐานผ่านการรับรองด้านการให้บริหารจัดการเทคโนโลยีสารสนเทศอย่างปลอดภัยคือ ISO 27001 มาใช้เป็นกรอบในการดำเนินการในส่วนของการบริหารงานด้านเทคโนโลยีสารสนเทศและไซเบอร์ และมาตรฐานความปลอดภัยเกี่ยวกับธุรกรรมการเงินคือ PCI/DSS V.3

บริษัทฯ มีการจัดโครงสร้างการบริหารเพื่อให้เกิดบูรณาการจากส่วนกลาง และกลุ่มธุรกิจ โดยมีหน่วยงานกลางรับผิดชอบและให้การสนับสนุน คณะทำงานประกอบด้วย IT Governance Committee รับผิดชอบกำหนดนโยบาย และแนวทางการใช้งานระบบ การติดตามโครงการลงทุนด้านเทคโนโลยีสารสนเทศและไซเบอร์ให้เป็นไปในแนวทางเดียวกันและสอดคล้องกับกลยุทธ์ทางธุรกิจ

การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและไซเบอร์

บริษัทฯ มีการนำหลักการการบริหารความเสี่ยงเข้ามาใช้ โดยมีคณะกรรมการตรวจสอบกำกับดูแลความเสี่ยงและคณะจัดการบริหารความเสี่ยงในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและ   ไซเบอร์ นอกจากการประเมินความเสี่ยงจากกิจกรรมของบริษัทฯ แล้ว บริษัทฯ ยังได้สำรวจภัยคุกคาม   ไซเบอร์ที่เกิดขึ้นกับองค์กรอื่นทั้งที่อยู่ในอุตสาหกรรมแบบเดียวกัน และอุตสาหกรรมที่แตกต่าง เพื่อเรียนรู้และประเมินโอกาสเสี่ยงที่สามารถเกิดกับองค์กร และยังสามารถสร้างผลเสียหายต่อลูกค้า ผู้มีส่วนได้ส่วนเสีย และคู่ธุรกิจได้

มาตรการบริหารจัดการความปลอดภัยข้อมูลและไซเบอร์

บริษัทฯ มีความมุ่งมั่นในการพัฒนาและนำระบบเทคโนโลยีสารสนเทศมาใช้งานโดยให้มีความมั่นคงปลอดภัยคงไว้ซึ่งการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของสารสนเทศทั้งหมด บริษัทฯ ได้กำหนดมาตรการจัดการด้านความปลอดภัยทางไซเบอร์ ดังนี้

หลักการ

มาตรการจัดการด้านความปลอดภัยกลุ่มธุรกิจ ซีพี ออลล์

กรอบการสร้างวัฒนธรรมองค์กรมีสุขอนามัยที่ปลอดภัย

ซีพี ออลล์ ให้ความสำคัญอย่างยิ่งในการสร้างวัฒนธรรมองค์กรและควาามตระหนักรู้เท่าทันต่อภัยไซเบอร์ โดยแบ่งกลุ่มเป้าหมายเป็น 4 กลุ่ม ได้แก่

คณะกรรมการและผู้บริหารระดับสูง

พนักงาน

ลูกค้า

คู่ค้า

มีการบริหารจัดการทั้งระดับบุคลากรให้มีความรู้ความเข้าใจ รู้จักภัยคุกคาม และใช้งานที่ถูกต้องปลอดภัย กำหนดกระบวนการทำงาน ประเมินตรวจทานที่ได้มาตรฐานปลอดภัยสากล และนำเครื่องมือเทคโนโลยีที่เหมาะสมมาใช้ในสภาพแวดล้อมปัจจุบันทั้งการป้องกัน ตรวจจับ และยับยั้งที่รวดเร็ว

บริษัทได้นำ NIST Cybersecurity Framework เป็นกรอบทำงานด้านความปลอดภัยทางไซเบอร์ และทำการประเมินความเสี่ยง เพื่อป้องกัน ตรวจับ ตอบสนอง และแก้ไขฟื้นฟู เพื่อให้ข้อมูลและสารสนเทศมีความปลอดภัย และพร้อมให้บริการอย่างต่อเนื่อง

นโยบาย

บริษัทฯ บริหารจัดการด้านความความปลอดภัยทางไซเบอร์ ภายใต้นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านระบบสารสนเทศ ซึ่งมีผลบังคับใช้กับบริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย รวมถึงกรรมการผู้บริหาร  พนักงาน และผู้ให้บริการบุคคลภายนอกที่ได้รับอนุญาติให้เข้าถึงข้อมูลสารสนเทศในแต่ละระดับชั้นความลับทุกคน

กระบวนการ

บริษัทฯ ได้จัดตั้งหน่วยงานปฏิบัติการ และมีผู้บริหารระดับสูงรับผิดชอบด้านการบริหาร โดยบริการด้านระบบข้อมูลและความปลอดภัยสารสนเทศได้รับการรับรองในมาตรฐานสากล ดังนี้ มาตรฐานการให้บริการไอที ISO20000 สำหรับหน่วยงานผู้ให้บริการไอที (IT Service) มาตรฐานด้านความปลอดภัยข้อมูลสารสนเทศ ISO27001 ศูนย์คอมพิวเตอร์ (Data Center) ระบบรับชำระ (Bill System) และระบบข้อมูลสมาชิก (All Member) มาตรฐานการจัดการข้อมูลส่วนบุคคล ISO27701 ระบบข้อมูลสมาชิก (All Member) และมาตรฐานความปลอดภัยของข้อมูลการชำระเงิน PCI/DSS V3.0 ระบบ Payment Gateway

เทคโนโลยี

บริษัทฯ มีการลงทุนศูนย์คอมพิวเตอร์ที่ได้มาตรฐานระดับสากล พร้อมศูนย์คอมพิวเตอร์สำรองที่พร้อมทำงานได้แบบทันที และกำหนดให้มีการจัดเก็บข้อมูลลูกค้าและสารสนเทศที่สำคัญไว้ภายในศูนย์คอมพิวเตอร์ดังกล่าวภายใต้การออกแบบแบ่งโซน และการควบคุมการเข้าถึงสำหรับผู้ได้รับอนุญาตเท่านั้น สำหรับการบริหารความเสี่ยงด้านภัยคุกคามทางไซเบอร์ บริษัทฯ ได้ติดตั้งเทคโนโลยีที่เหมาะสมเพื่อทำหน้าที่ ป้องกัน ตรวจจับ ยับยั้งและแจ้งเตือน ดังนี้ Firewall, Intrusion Prevention System, Anti-Malware, Web & Mail Security, Threats Detect & Prevention System, Active Directory, Two-Factor Authentication, Privileged Access Management , Patch Management, Security Information and Event Management (SIEM) รวมทั้งมีการทำ Vulnerability Assessment and Penetration Testing ในระบบสำคัญ ทั้งก่อนให้บริการ หรือเมื่อมีการเปลี่ยนแปลงสำคัญ และประจำปี

บุคลากร

มีการฝึกอบรม ทดสอบเพื่อสร้างความตระหนัก และระวังภัยคุกคามทางไซเบอร์ ผ่านการทำ Cyber Security Awareness และ Cyber Drill ให้กับพนักงาน และผู้บริหารทุกระดับ บริษัทฯ ให้ความสำคัญกับทีมงานผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยด้วยการสนับสนุน และส่งเสริมให้มีการอบรม สอบ และผ่านการรับรองมาตรฐานสากล เช่น CISSP, CISA, CDPSE, C|HE (Certified Ethical Hacker) CompTIA Security+ เป็นต้น รวมทั้งการมีกลุ่มผู้ปฏิบัติงานทางไซเบอร์ ผู้เชี่ยวชาญที่ให้คำปรึกษา และคู่ค้าทั้งจากภายใน และต่างประเทศที่ร่วมในการทำงานและดูแลระบบในเชิงเทคนิคที่เกี่ยวข้อง

การบริหารด้านความปลอดภัยทางไซเบอร์กลุ่มธุรกิจ ซีพี ออลล์

การปฏิบัติงานประจำวัน และการติดตาม

บริษัทฯ มีทีมงาน IT Operation ที่พร้อมปฏิบัติงานตลอด 24 ชั่วโมง ซึ่งประจำที่ศูนย์คอมพิวเตอร์หลัก ทำหน้าที่เฝ้าระวังและดูแลระบบงานตลอดเวลา และผู้ใช้งานสามารถแจ้งเหตุการณ์การละเมิคความปลอดภัย (Security Incident) หรืออื่น ๆ ได้ผ่านทางเจ้าหน้า Call Center 1500 ได้ตลอดเวลาเช่นกัน การปฏิบัติงานของทีมงานด้านความมั่นคงปลอดภัย จะทำงานผ่านกระบวนการเรียกว่า Incident Management ซึ่งเป็น process หนึ่งในกระบวนการทำงาน ISO20000 โดยมีกำหนดระดับความสำคัญ และการแก้ไข ทั้งนี้จะมีการแจ้งเตือนการบุกรุก หรือการละเมิดแนวปฏิบัติด้านความปลอดภัย ผ่านทางระบบที่กำหนดไว้ ทั้งยับยั้งโดยอัตโนมัติ และแจ้งเตือนให้ผู้ดูแลระบบเข้าไปดำเนินการตรวจสอบ และแก้ไขตามขั้นตอนที่กำหนด

ข้อมูลแสดงรายงานภัยคุกคามทางไซเบอร์ (Cyber Attack) ในรอบ 6 ปี (2560 – 2565)

ซึ่งเป็นการถูกบุกรุกจากภายนอกที่หลุดจากการตรวจสอบโดยอัตโนมัติเข้ามาภายในระบบ โดยพยายามที่จะเข้าถึงระบบ และข้อมูลสำคัญผ่านเทคนิคที่หลากหลายรูปแบบ ได้แก่ Phishing, Ransomware, Brute Force, Malicious Code, DDoS เป็นต้น แต่ในระดับการป้องกันชั้นถัดมาผู้ดูแลระบบได้รับการแจ้งเตือนที่ผิดปกติก็สามารถเข้าไปตรวจสอบ แก้ไขในเคสที่ได้ทำให้ระบบเสียหายได้อย่างรวดเร็ว แต่อยู่ในการควบคุมที่ไม่ส่งผลกระทบต่อระบบอื่น ๆ และข้อมูลสำคัญ ซึ่งกรณีแบบนี้ถือว่ามีโอกาสที่เกิดขึ้นได้ ตรวจจับได้ และแก้ไขได้ทัน ไม่ส่งผลกระทบใดๆ ต่อการให้บริการปกติ

ข้อมูลแสดงรายงานการรับแจ้งจากผู้ใช้งาน (User Security Incident) ในรอบ 6 ปี (2560 – 2565) ซึ่งเป็นการแจ้งเข้ามายังผู้ให้บริการ (Call Service 1500) ตามขั้นตอน Incident Management และสามารถแก้ไขได้ในระยะเวลาที่กำหนด (SLA) ซึ่งเป็นเหตุการณ์ที่ไม่ปกติจากการใช้งานของผู้ใช้บริการ เช่น การลืมรหัสผ่าน การทำเครื่องสูญหาย การพยายามใช้ด้วยรหัสที่ผิด และการติดไวรัสที่เครื่องผู้ใช้งาน

ข้อมูลแสดงรายงานในรอบ 12 เดือน (01 ม.ค. 2565 – 01 ม.ค. 2566) การตรวจจับภัยคุกคามต่อระบบเมล (Email System) โดยอัตโนมัติสามารถยับยั้งและป้องกันความเสียหายได้ก่อน

Threats for all my domains – Last 12 Months

ข้อมูลแสดงรายงานในรอบ 12 เดือน (01 ม.ค. 2565 – 01 ม.ค. 2566) การตรวจจับภัยคุกคามที่พยายามบุกรุกต่อระบบเครือข่าย (Network System) โดยอัตโนมัติ ระบบสามารถยับยั้งและป้องกันความเสียหายได้ก่อน