การรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ

แนวทางการดำเนินงาน


โครงสร้างคณะกรรมการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์

บริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย (“บริษัทฯ”) ให้ความสำคัญกับการพัฒนาและสร้างความเข้มแข็งให้แก่ธุรกิจอย่างต่อเนื่องมีการนำเทคโนโลยีสารสนเทศ และเทคโนโลยีความปลอดภัยทางไซเบอร์มาใช้อย่างเหมาะสมเพื่อเพิ่มประสิทธิผลและประสิทธิภาพของสินค้า บริการ รวมถึงการปรับปรุงระบบงานภายใน ตั้งแต่โครงสร้างพื้นฐานการสื่อสารทั้งภายในและภายนอกองค์กร การเก็บ และรวบรวมข้อมูลตลอดสายโซ่ธุรกิจการวางแผนการผลิตและการขนส่ง การเพิ่มผลผลิตในโรงงาน การควบคุมคุณภาพของกระบวนการผลิตการเพิ่มคุณภาพการให้บริการทั้งก่อนและหลังการขาย การซ่อมบำรุง เป็นต้น พนักงานจะมี User Account เฉพาะของตนเองเพื่อใช้ในการเข้าถึงระบบและบริการขององค์กรตามสิทธิและความจำเป็นที่เกี่ยวข้องกับการปฏิบัติงานและเพื่อให้การใช้งานเทคโนโลยีสารสนเทศและไซเบอร์เกิดความปลอดภัย องค์กรมีการออกนโยบายเกี่ยวกับเทคโนโลยีสารสนเทศ (Information Technology Policy) เพื่อเป็นแนวทางในการใช้งานข้อมูล การปฏิบัติงาน การพัฒนา และการบำรุงรักษาระบบเทคโนโลยีสารสนเทศให้เป็นไปอย่างเหมาะสม สอดคล้องกับกฎหมาย ตลอดจนข้อกำหนดด้านการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องทั้งพนักงาน คู่ค้า และลูกค้าบริษัทผ่านการรับรองมาตรฐานสากลต่างๆ เช่น ISO/IEC 20000 ด้านการให้บริการเทคโนโลยีสารสนเทศอย่างมีคุณภาพ ISO/IEC 27001 ด้านการบริหารจัดการเทคโนโลยีสารสนเทศอย่างมั่นคงปลอดภัย  ISO/IEC 27701 ด้านการจัดการข้อมูลส่วนบุคคล และ PCI/DSS V3.1 ด้านความปลอดภัยข้อมูลการชำระเงิน เป็นต้น

บริษัทฯ มีการจัดโครงสร้างการบริหารเพื่อให้เกิดบูรณาการจากส่วนกลาง และกลุ่มธุรกิจ โดยมีหน่วยงานกลางรับผิดชอบและให้การสนับสนุน คณะทำงานประกอบด้วย IT Governance Committee รับผิดชอบกำหนดนโยบาย และแนวทางการใช้งานระบบ การติดตามโครงการลงทุนด้านเทคโนโลยีสารสนเทศและไซเบอร์ให้เป็นไปในแนวทางเดียวกันและสอดคล้องกับกลยุทธ์ทางธุรกิจ

การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและไซเบอร์

บริษัทฯ มีการกำกับดูแลผ่านคณะกรรมการบริหารความเสี่ยงระดับองค์กร (Enterprise Risk Management) ซึ่งรับผิดชอบในการบริหารจัดการจัดการความเสี่ยงทั้งระบบ โดยมีการจัดการผ่านคณะทำงานจัดการความเสี่ยง (Risk Champion & Risk Manager) และมีหน่วยงาน Digital Governance  ทำหน้าที่บริหารจัดการ และประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศ และนำสู่การปฏิบัติการลดความเสี่ยงดังกล่าวโดยหน่วยงานที่เกี่ยวข้องต่อไป ทั้งนี้ภัยคุกคามทางไซเบอร์ถือเป็นภัยคุกคามหนึ่งที่มีโอกาสให้เกิดผลกระทบหรือมีความเสี่ยงต่อข้อมูลและระบบเทคโนโลยีสารสนเทศ บริษัทฯ ยังได้ประเมิน ติดตาม แลกเปลี่ยนภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับองค์กรอื่น ทั้งที่อยู่ในอุตสาหกรรมแบบเดียวกัน และอุตสาหกรรมที่แตกต่าง เพื่อเรียนรู้และประเมินโอกาสเสี่ยงที่สามารถเกิดกับบริษัทฯ และมีโอกาสที่จะสร้างผลเสียหายต่อลูกค้า ผู้มีส่วนได้ส่วนเสีย และคู่ค้าธุรกิจได้

เป้าหมายการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์

บริษัทฯ มีความมุ่งมั่นในการพัฒนาและนำระบบเทคโนโลยีสารสนเทศมาใช้งานโดยให้มีความมั่นคงปลอดภัยคงไว้ซึ่งการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของสารสนเทศทั้งหมด และการปฏิบัติที่สอดคล้องกับข้อกำหนดทางกฎหมายไอทีที่สำคัญ เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 เป็นต้นโดยดำเนินการด้วยหลักการ และแนวปฏิบัติการบริหารจัดการดังนี้

หลักการ

ด้านมาตรการจัดการด้านความมั่นคงปลอดภัยไซเบอร์กลุ่มธุรกิจ ซีพี ออลล์

บริษัทฯ ได้นำ NIST Cybersecurity Framework เป็นกรอบทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ระดับสากล และทำการประเมินความเสี่ยงเพื่อนำสู่มาตรการป้องกัน ตรวจจับ ตอบสนอง แก้ไขฟื้นฟู เพื่อให้ข้อมูลและสารสนเทศมีความมั่นคงปลอดภัย และพร้อมให้บริการอย่างต่อเนื่อง

Identify

  • Asset Management
  • Identify Crown Jewels
  • Cyber Risk Assessment

Protect

  • Security by Designm
  • Secured Assess
  • Cyber Defense
  • Data Security
  • Policy & Procedures
  • Standards Certifications
  • Awareness & Trining

Detect

  • Continuous Security Monitoring
  • Vulnerability Management
  • Detection Technology
  • Incident Management

Respond

  • Cyber Incident Response (IR Plan)
  • Cyber Investigations
  • Cyber Improvements
  • Business Continuity Management

Recover

  • Cyber Communication
  • Recovery Testing
  • Disaster Recovery
  • Cyber Insurance

ด้านบุคลากรการสร้างวัฒนธรรมองค์กรให้มีสุขอนามัยไซเบอร์ที่ปลอดภัย

บริษัทฯ ให้ความสำคัญอย่างยิ่งในการสร้างวัฒนธรรมองค์กรและความตระหนักรู้เท่าทันต่อภัยไซเบอร์ โดยแบ่งกลุ่มเป้าหมายเป็น 4 กลุ่ม ได้แก่

การให้ความสำคัญและติดตามจากผู้บริหารระดับสูง

การฝึกอบรมและการสร้างความตระหนักเรื่องความปลอดภัยข้อมูลและไซเบอร์

การสร้างแรงจูงใจด้วยรางวัลและบทลงโทษที่ชัดเจน

การวัดผลปรับปรุงมาตรการและส่งเสริมการมีวัฒนธรรมความปลอดภัยสม่ำเสมอ

  • การรายงานภัยคุกคามใหม่ๆ ให้แก่คณะกรรมการบริหาร และคณะกรรมการกำกับความเสี่ยงทุกไตรมาส โดยนำเสนอข้อมูลข่าวสารความรู้เกี่ยวกับภัยทางไซเบอร์และมาตรการป้องกันของ ซีพี ออลล์ เพื่อเป็นการให้ความรู้ และรับความคิดเห็นเกี่ยวกับแนวทางกำกับดูแลที่คณะกรรมการอาจมีเพิ่มเติม
  • จัดให้มีการจำลองสถานการณ์การโจมตีด้วยภัยคุกคามทางไซเบอร์ให้กับผู้บริหารระดับสูงของ ซีพี ออลล์ เพื่อให้เกิดความคุ้นเคยและสร้างกระบวนการตอบสนองต่อภัยคุกคามทางไซเบอร์
  • จัดทำสื่อการสอนหลักสูตรพื้นฐานการเรียนรู้องค์กร (On-Boarding Program) โดยมีหัวข้อเกี่ยวกับความปลอดภัยข้อมูลและไซเบอร์ ในรูปแบบ e-Learning กำหนดให้พนักงานเข้าใหม่ได้เรียนรู้และผ่านหลักสูตรนี้ทุกคน เพื่อเป็นพื้นฐานในการดูแล และใช้ข้อมูลอย่างปลอดภัย รวมถึงการรู้จักระวังภัยคุกคามทางไซเบอร์ หรือการหลอกลวงจากมิจฉาชีพที่สำคัญ
  • จัดทำสื่อ และทำการประชาสัมพันธ์ในช่องทางต่างๆ เพื่อให้ความรู้ด้านภัยไซเบอร์ช่วงระหว่างการปฏิบัติงาน ในรูปแบบและเนื้อหาที่แตกต่างกันออกไปในแต่ละเดือน อาทิ การณรงค์เรื่องการใช้รหัสผ่านที่ปลอดภัย การใช้และดูแลข้อมูลที่ปลอดภัย หรือกลลวง กลโกง จากมิจฉาชีพที่ต้องระวัง เป็นต้น ทั้งในรูปแบบสื่อ Infographic และการสื่อสารผ่านอีเมล หรือช่องทางอื่นๆ
  • จัดกิจกรรมสัมมนา และเกมส์ออนไลน์เพื่อให้พนักงาน หรือผู้สนใจทั่วไปได้ร่วมกิจกรรมอย่างสนุกสนามและได้ความรู้ไปพร้อมกัน โดยมีการเชิญผู้เชี่ยวชาญภายนอกมาร่วมแบ่งปันถึงภัยไซเบอร์ปัจจุบัน และกรณีศึกษาที่สำคัญ
  • จัดทำ Security Tips, Security Alert และข้อมูลอื่นๆ ที่เป็นประโยชน์เกี่ยวกับความปลอดภัยข้อมูลและไซเบอร์ ในรูปแบบที่เป็นเว็บไซต์ ชื่อว่า ALLSECURE Portal ให้พนักงานเข้าใจ เข้าถึงได้ง่าย และรู้เท่าทันภัยไซเบอร์ รวมถึงการแจ้งเตือนผ่านช่องทางอีเมล, CPALL Connect และ Call Service 1500
  • จัดทดสอบ Phishing Drill โดยส่งอีเมลปลอมให้พนักงานของ ซีพี ออลล์ เพื่อทดสอบและสร้างความตระหนัก ตลอดจนเป็นการฝึกวิธีการรับมือเมื่อพนักงานได้รับอีเมลปลอมในสถานการณ์จริงอย่างสม่ำเสมอ โดยผลจากการทดสอบพบว่าพนักงานตระหนักและระมัดระวังในการสังเกต Phishing Mail มากขึ้น
  • จัดทำแนวปฏิบัติการมีสุขอนามัยไซเบอร์ที่ปลอดภัย (Cyber Hygiene) ทั้งระดับผู้ปฏิบัติงาน และผู้บริหารระบบ โดยมุ่งเน้นที่ให้มีการออกแบบ จัดทำ ดูแลระบบที่มีความปลอดภัยตั้งแต่เริ่ม และรวมถึงผู้ปฏิบัติใช้งานก็มีความระมัดระวังใช้ระบบงานอย่างถูกต้อง แจ้งเตือนเมื่อพบสิ่งผิดปกติโดยทันที
  • จัดทบทวนและทดสอบความตระหนักรู้ภัยไซเบอร์ และการใช้ข้อมูลที่ปลอดภัย ผ่านกิจกรรมการทดสอบ CG ประจำปี ที่พนักงาน ผู้บริหารจะต้องผ่านการทบทวน และทดสอบนี้ครบทั้งหมดร้อยละ 100 ซึ่งจะทำให้ทุกคนได้มีความตระหนักรู้ภัย และเข้าใจถึงความสำคัญของการใช้ข้อมูลอย่างปลอดภัยทั้งองค์กร
  • ให้ความรู้ แจ้งเตือนภัยที่สำคัญเกี่ยวกับการใช้บริการออนไลน์อย่างปลอดภัย และการป้องกันภัยไซเบอร์ เช่น ภัยจากฟิชชิ่ง มิจฉาชีพทางสื่อสังคมออนไลน์ แก่ลูกค้าผ่านช่องทางสื่อโซเชียลมีเดีย เป็นต้น
  • วางกรอบแนวปฏิบัติในการบริหารความเสี่ยงด้านไซเบอร์ และสื่อสารให้กับผู้ให้บริการ หรือคู่ค้าทางธุรกิจของ ซีพี ออลล์ เพื่อเน้นย้ำว่า ซีพี ออลล์ให้ความสำคัญในเรื่องความปลอดภัยไซเบอร์ และการบริหารความเสี่ยงดังกล่าวรวมทั้งการให้ความรู้กับผู้ให้บริการ และคู่ค้าของ ซีพี ออลล์ ถึงแนวปฏิบัติที่ดีด้วย

แนวปฏิบัติการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์

บริษัทฯ มีการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์โดยมีเป้าหมายตามที่กำหนดข้างต้น โดยกำหนดแนวปฏิบัติที่สำคัญ และดำเนินการผ่านทั้งด้านการส่งเสริมให้บุคลากรทุกระดับมีสุขอนามัยไซเบอร์ที่ปลอดภัย การประเมินควบคุมให้ระบบงานสำคัญได้ตามมาตรฐานความปลอดภัยที่กำหนด และมีปฏิบัติการโดยทีมผู้ดูแลระบบทั้งเชิงป้องกัน เฝ้าระวัง ยับยั้ง ด้วยเทคโนโลยีที่เหมาะสม รองรับกับสภาพแวดล้อมทางธุรกิจ และภัยคุกคามทางไซเบอร์ ที่เปลี่ยนแปลงตลอดเวลา

งานสร้างวัฒนธรรมองค์กรมีสุขอนามัยไซเบอร์ที่ปลอดภัย

Cyber Hygiene Culture

งานควบคุมมาตรฐานความปลอดภัยไซเบอร์

Cyber Assurance

งานปฏิบัติการ เฝ้าระวัง และแก้ไขภัยไซเบอร์

Cyber Operation

โดยดำเนินการกิจกรรมข้างต้นผ่านทางบุคลากร (People) กระบวนการ (Process) และเทคโนโลยี (Technology) ดังนี้

บุคลากร

  • กำหนดความรับผิดชอบของผู้บริหารระดับสูง CSO (Cyber Security Officer) บริหารจัดการรายงานต่อคณะกรรมการ เจ้าหน้าที่ผู้บริหารระดับสูง (Executive Committee) หรือ CIO
  • กำหนดหน่วยงานด้านการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศและหน่วยงานด้านปฏิบัติการความมั่นคงปลอดภัยทางไซเบอร์
  • กำหนดการอบรม ทดสอบบุคลากรทุกระดับเพื่อสร้างความตระหนักต่อภัยคุกคามไซเบอร์ เช่น Phishing Simulation Test & Cyber Awareness & Cyber War Game

กระบวนการ

  • กำหนดนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของระบบเครือข่ายซีพี ออลล์
  • กำหนดหน่วยงานผู้ให้บริการระบบสารสนเทศในกลุ่มเครือข่าย ซีพี ออลล์ บริหารให้บริการด้วยกระบวนการและมาตรฐานที่ได้รับการรับรองจาก ISO20000, ISO27001
  • กำหนดแผนการตอบสนองและจัดการกับเหตุการณ์ความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Incident Response Plan)

เทคโนโลยี

  • ติดตั้งระบบเทคโนโลยีที่ทำงานเชิงป้องกัน และสอดคล้องตามแนวปฏิบัติด้านความปลอดภัยระดับสากล คือ NIST Framework
  • ระบบข้อมูลถูกติดตั้งในโซนที่กำหนด จัดเก็บในศูนย์คอมพิวเตอร์ หรือเครือข่ายที่เป็น Private ของบริษัท โดยมีการควบคุม เฝ้าระวัง บริหารจัดการอุปกรณ์ระบบและการเข้าถึงข้อมูลตามที่กำหนด
  • มีการแลกเปลี่ยนเทคโนโลยีภัยคุกคามกับผู้บริหารเครือฯ ปรับปรุงที่เหมาะสมกับเครือข่ายและภัยคุกคามใหม่ๆ

นโยบาย

บริษัทฯ บริหารจัดการด้านความความมั่นคงปลอดภัยทางไซเบอร์ ภายใต้นโยบายการรักษาความปลอดภัยเทคโนโลยีสารสนเทศ และมาตรฐานแนวปฏิบัติที่กำหนด ซึ่งมีผลบังคับใช้กับบริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย รวมถึงกรรมการผู้บริหาร  พนักงาน และผู้ให้บริการบุคคลภายนอกที่ได้รับอนุญาติให้เข้าถึงข้อมูลสารสนเทศในแต่ละระดับชั้นความลับทุกคน

กระบวนการ

บริษัทฯ ได้จัดตั้งหน่วยงานด้านปฏิบัติการและดูแลระบบความปลอดภัยข้อมูลและไซเบอร์ โดยมีผู้บริหารระดับสูงความปลอดภัยไซเบอร์ (Chief Security Officer) และผู้บริหารเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) รับผิดชอบโดยตรง โดยบริการด้านระบบข้อมูลและความปลอดภัยสารสนเทศได้รับการรับรองในมาตรฐานสากล

ดังนี้ มาตรฐานด้านการให้บริการเทคโนโลยีสารสนเทศ ISO/IEC 20000 มาตรฐานด้านการบริหารความมั่นคงปลอดภัยข้อมูลสารสนเทศ ISO/IEC 27001 มาตรฐานด้านการจัดการข้อมูลส่วนบุคคล ISO/IEC27701 และมาตรฐานด้านความปลอดภัยการชำระเงิน PCI/DSS V3.1 เป็นต้น

เทคโนโลยี

บริษัทฯ มีการลงทุนศูนย์คอมพิวเตอร์ที่ได้มาตรฐานระดับสากล พร้อมศูนย์คอมพิวเตอร์สำรองที่พร้อมทำงานได้แบบทันที และกำหนดให้มีการจัดเก็บข้อมูลลูกค้าและสารสนเทศที่สำคัญไว้ภายในศูนย์คอมพิวเตอร์ดังกล่าวภายใต้การออกแบบแบ่งโซน และการควบคุมการเข้าถึงสำหรับผู้ได้รับอนุญาตเท่านั้น สำหรับการบริหารความเสี่ยงด้านภัยคุกคามทางไซเบอร์ บริษัทฯ ได้ติดตั้งเทคโนโลยีที่เหมาะสมเพื่อทำหน้าที่ ป้องกัน ตรวจจับ ยับยั้งและแจ้งเตือนดังนี้ Firewall, Intrusion Prevention System, Anti-Malware, Web & Mail Security, Threats Detect & Prevention System, Active Directory, Two-Factor Authentication, Privileged Access Management , Patch Management, Security Information and Event Management (SIEM) รวมทั้งมีการทำ Vulnerability Assessment and Penetration Testing ในระบบสำคัญ ทั้งก่อนให้บริการ หรือเมื่อมีการเปลี่ยนแปลงสำคัญ และทบทวนประจำปี

บุคลากร

บริษัทฯ มีการฝึกอบรม พร้อมทดสอบเพื่อสร้างความตระหนักและระวังภัยคุกคามทางไซเบอร์ ผ่านการทำ Cyber Security Awareness และ Cyber Drill ให้กับพนักงาน และผู้บริหารทุกระดับ บริษัทฯ ให้ความสำคัญกับทีมงานผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยด้วยการสนับสนุน และส่งเสริมให้มีการอบรม สอบ และผ่านการรับรองมาตรฐานสากล เช่น CISSP, CISA, CDPSE, C|HE (Certified Ethical Hacker) CompTIA Security+, CC , CSX เป็นต้น รวมทั้งการมีกลุ่มผู้ปฏิบัติงานทางไซเบอร์ ผู้เชี่ยวชาญที่ให้คำปรึกษา และคู่ค้าทั้งจากภายใน และต่างประเทศที่ร่วมในการทำงานและดูแลระบบในเชิงเทคนิคที่เกี่ยวข้อง

การควบคุมและการปฏิบัติด้านความปลอดภัยของข้อมูล

  • แผนความต่อเนื่องทางธุรกิจกรณีภัยคุกคามทางไซเบอร์

บริษัท ซีพี ออลล์ จำกัด (มหาชน) ให้ความสำคัญกับการบริหารความเสี่ยงด้านไซเบอร์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่องแม้ในสถานการณ์ที่เกิดภัยคุกคามหรือการโจมตีทางไซเบอร์ โดยบริษัทมีการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) ที่ครอบคลุม และเชื่อมโยงกับแผนฟื้นฟูระบบไอที (Disaster Recovery Plan: DRP) และ แผนตอบสนองเหตุการณ์ด้านไซเบอร์ (Incident Response Plan: IRP)

แผนทั้งหมดถูกออกแบบให้สามารถทำงานร่วมกันภายใต้กระบวนการบริหารเหตุการณ์ (Incident Management Process) เพื่อรับมือและลดผลกระทบจากการโจมตีระบบหรือเหตุขัดข้องทางไอที พร้อมทั้งมีการซ้อมตามแผน DRP อย่างน้อยปีละ 1 ครั้ง และทบทวนปรับปรุง BCP & IRP อย่างต่อเนื่อง

นอกจากนี้ บริษัทยังมีมาตรการด้านความมั่นคงปลอดภัยและการควบคุมความเสี่ยงที่เข้มงวด เพื่อให้การดำเนินธุรกิจมีความต่อเนื่อง และสอดคล้องกับข้อกำหนดของกฎหมายที่เกี่ยวข้อง เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) และแนวทางตามมาตรฐานสากลด้านความมั่นคงปลอดภัยไซเบอร์ (NIST CSF)

บริษัท ซีพี ออลล์ จำกัด (มหาชน) ให้ความสำคัญอย่างยิ่งต่อความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง แม้ในสถานการณ์ที่ไม่คาดคิด โดยได้จัดทำแผนความต่อเนื่องทางธุรกิจ (BCP) ที่ครอบคลุมถึงเหตุการณ์สำคัญต่าง ๆ ที่อาจกระทบต่อการดำเนินงานและความมั่นคงปลอดภัยของข้อมูล ทั้งในด้านกายภาพและทางไซเบอร์ ดังนี้:

1) กรณีเกิดเหตุไฟดับหรือไฟไหม้ (Blackout หรือ Fire Incident)

บริษัทมีแนวทางและกระบวนการปฏิบัติที่ชัดเจน เพื่อรองรับเหตุการณ์ฉุกเฉิน เช่น ไฟฟ้าดับหรือไฟไหม้ ซึ่งอาจส่งผลต่อการให้บริการหรือระบบที่สำคัญขององค์กร โดยมีมาตรการดังต่อไปนี้:

  • การสลับระบบไปยังแหล่งพลังงานสำรอง หรือระบบไฟฟ้าฉุกเฉินในศูนย์ข้อมูล
  • การใช้งาน ศูนย์ข้อมูลสำรอง (Disaster Recovery Site) โดยอัตโนมัติเมื่อระบบหลักไม่สามารถให้บริการได้
  • แนวทางการอพยพบุคลากรออกจากพื้นที่ที่เกิดเหตุอย่างปลอดภัย
  • การประสานงานกับผู้ดูแลอาคารและหน่วยงานฉุกเฉินภายนอก
  • การจัดฝึกซ้อมแผนอพยพ และตรวจสอบความพร้อมด้านความปลอดภัยอย่างสม่ำเสมอ

แนวทางเหล่านี้ถูกออกแบบเพื่อให้สามารถจำกัดผลกระทบ ปกป้องชีวิตและทรัพย์สิน และดำเนินธุรกิจได้อย่างต่อเนื่อง

2) กรณีเกิดภัยคุกคามด้านความมั่นคงปลอดภัยของข้อมูล (Information Security Threats)

บริษัทมีการจัดทำแผนตอบสนองเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ (Incident Response Plan: IRP) ซึ่งบูรณาการเข้ากับแผน BCP และ DRP อย่างเป็นระบบ เพื่อรับมือกับภัยคุกคามที่เกี่ยวข้องกับระบบสารสนเทศ เช่น การโจมตีด้วย Ransomware, การรั่วไหลของข้อมูล, การเข้าถึงโดยไม่ได้รับอนุญาต หรือการหยุดชะงักของบริการ โดยมีแนวปฏิบัติดังนี้:

  • การบริหารเหตุการณ์ผ่านศูนย์ SOC (Security Operations Center) ร่วมกับทีมไอทีและหน่วยงานที่เกี่ยวข้อง
  • การตรวจจับ ควบคุมความเสียหาย และฟื้นฟูระบบที่ได้รับผลกระทบอย่างรวดเร็ว
  • การสื่อสารภายในเพื่อประสานงาน และการแจ้งเตือนผู้มีส่วนได้ส่วนเสียตามแผนที่กำหนด
  • การปฏิบัติตามกฎหมายและข้อบังคับ เช่น การแจ้งเหตุรั่วไหลตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)
  • การทบทวนเหตุการณ์ และปรับปรุงแผน IRP / BCP อย่างต่อเนื่อง

แนวปฏิบัติเหล่านี้ สะท้อนถึงความมุ่งมั่นของบริษัทในการรักษาความมั่นคงปลอดภัยของข้อมูล เสริมสร้างความเชื่อมั่น และปฏิบัติตามข้อกำหนดทางกฎหมายอย่างเคร่งครัด

  • การวิเคราะห์ช่องโหว่ด้านความมั่นคงปลอดภัยของข้อมูล

ซีพี ออลล์ ดำเนินการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของข้อมูลอย่างต่อเนื่องในหลากหลายมิติ เพื่อป้องกันภัยคุกคามทางไซเบอร์และเสริมสร้างความมั่นใจในการให้บริการ โดยมีแนวทางปฏิบัติที่ครอบคลุมทั้งระบบทั่วไป ระบบธุรกิจสำคัญ และระบบที่เปิดให้ใช้งานผ่านอินเทอร์เน็ต ดังนี้

1. การประเมินช่องโหว่ระบบงานทั่วไป (Vulnerability Assessment)

ดำเนินการสแกนและประเมินช่องโหว่ในระบบงานทั้งหมดแบบอัตโนมัติและต่อเนื่อง โดยในปี 2024 ผลการประเมินภาพรวมอยู่ในระดับ เกรด “C” (จากระดับ A ถึง F) หน่วยงานที่เกี่ยวข้องมีการติดตาม เฝ้าระวัง และดำเนินการแก้ไขช่องโหว่ที่มีความเสี่ยงสูง เพื่อให้ระบบมีความปลอดภัยและให้บริการอย่างต่อเนื่อง

2. การทดสอบความมั่นคงปลอดภัยของระบบงานสำคัญ (Penetration Testing)

ระบบงานธุรกิจสำคัญจะต้องผ่านการทดสอบความมั่นคงปลอดภัยก่อนเปิดให้บริการ โดยดำเนินการร่วมกับผู้เชี่ยวชาญภายนอก (Third-Party Service) เพื่อค้นหาและปิดช่องโหว่ที่อาจถูกใช้โจมตี ในปี 2024 บริษัทได้ดำเนินการทดสอบระบบ (Application Pentest) รวมจำนวน 20 ระบบงานสำคัญต่อทางธุรกิจ

3. การจัดอันดับความมั่นคงปลอดภัยของเว็บไซต์ (Security Rating)

เว็บไซต์ข้อมูลและบริการบนเครือข่ายอินเตอร์เน็ตของบริษัทได้รับการประเมินโดยผู้ให้บริการอิสระ คือ Bitsight Service ผ่านการตรวจหาช่องโหว่ วิเคราะห์ช่องโหว่ และประเมินถึงความเสี่ยงจากภัยคุกคามทางไซเบอร์รวมกว่า 250 หมายเลขไอพี ครอบคลุมทั้งองค์กร ผลการประเมินปี 2024 ได้รับคะแนน 780 คะแนน (ระดับ A) ซึ่งสูงกว่าค่าเฉลี่ยสากลที่อยู่ที่ 730 คะแนน สะท้อนถึงสถานะความมั่นคงปลอดภัยที่อยู่ในระดับดี และอยู่ภายใต้การควบคุมอย่างมีประสิทธิภาพ

  • การตรวจสอบโดยหน่วยงานภายนอกอิสระ

บริษัท ซีพี ออลล์ จำกัด (มหาชน) ให้ความสำคัญต่อการบริหารจัดการด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูลในทุกกระบวนการที่เกี่ยวข้อง โดยดำเนินการตามมาตรฐานสากลที่ได้รับการยอมรับ เพื่อเสริมสร้างความมั่นใจในการให้บริการทั้งภายในและภายนอกองค์กร

บริษัทได้มอบหมายให้ที่ปรึกษาผู้เชี่ยวชาญและหน่วยงานผู้ตรวจประเมินจากภายนอกเข้ามาดำเนินการตรวจสอบ ทบทวน และให้ข้อเสนอแนะในการปรับปรุงอย่างต่อเนื่อง จนนำไปสู่การผ่านการรับรองมาตรฐานที่เกี่ยวข้อง ดังนี้:

ISO/IEC 20000: มาตรฐานการบริหารจัดการบริการด้านเทคโนโลยีสารสนเทศ (IT Service Management)

ครอบคลุมหน่วยงานให้บริการด้าน IT ภายในองค์กร โดยมีการประเมินและต่ออายุการรับรองเป็นประจำทุกปี เพื่อให้มั่นใจว่าการให้บริการด้านเทคโนโลยีสารสนเทศมีประสิทธิภาพ รองรับการดำเนินธุรกิจที่ต่อเนื่องและตอบสนองต่อความต้องการของผู้ใช้งานอย่างมืออาชีพ

ISO/IEC 27000: มาตรฐานระบบการจัดการความมั่นคงปลอดภัยของข้อมูล (Information Security Management Systems)

ครอบคลุมระบบงานสำคัญขององค์กร เช่น ศูนย์ปฏิบัติการคอมพิวเตอร์ (IT Operation & Computer Center), ระบบจองและรับชำระเงิน (Bill & Payment), ระบบข้อมูลลูกค้าและสมาชิก (All Member), ระบบขายออนไลน์ (24Shopping), ระบบงานทรัพยากรบุคคล (HRIS) ทั้งนี้เพื่อให้มั่นใจว่ามาตรการควบคุมความปลอดภัยครอบคลุมและมีประสิทธิภาพในระดับองค์กร

ISO/IEC 27701: มาตรฐานระบบการจัดการข้อมูลส่วนบุคคล (Privacy Information Management Systems)

ครอบคลุมระบบงานที่เกี่ยวข้องกับการจัดเก็บ ประมวลผล และบริหารข้อมูลส่วนบุคคลของลูกค้าและพนักงาน เช่น ระบบจองและรับชำระเงิน (Bill & Payment), ระบบข้อมูลลูกค้าและสมาชิก (All Member), ระบบการขายออนไลน์ (24Shopping), ระบบทรัพยากรบุคคล (HRIS) โดยมีการควบคุมและดำเนินการตามหลักการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด และสอดคล้องกับกฎหมายที่เกี่ยวข้อง เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)

  • กระบวนการรายงานและส่งต่อเหตุการณ์

พนักงานและผู้ใช้งานสามารถแจ้งเหตุการณ์ที่น่าสงสัยหรือปัญหาด้านความมั่นคงปลอดภัยสารสนเทศ ผ่านช่องทางที่บริษัทกำหนด ได้แก่ Hotline Call 02 071-1500, 02-826-7733 หรืออีเมลถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคค privacy@cpall.co.th หรือผู้ดูแลระบบความปลอดภัยไซเบอร์ itsecurity@gosoft.co.th

ข้อมูลที่ได้รับจะถูกบันทึกในระบบจัดการเหตุการณ์ (Incident Management System) และส่งต่อให้หน่วยงานที่รับผิดชอบ รวมถึงทีมบริหารความมั่นคงปลอดภัยสารสนเทศ เพื่อดำเนินการตรวจสอบ วิเคราะห์ และแก้ไขปัญหาอย่างเร่งด่วน

เมื่อเหตุการณ์ได้รับการจัดการเรียบร้อยแล้ว จะดำเนินการตามขั้นตอนหลังเหตุการณ์ตามแผนที่กำหนด เช่น จัดทำรายงานติดตามผล และประชุมถอดบทเรียนเพื่อป้องกันการเกิดซ้ำ

ผลการดำเนินการด้านบริหารความมั่นคงปลอดภัยไซเบอร์ประจำปี 2567

  • ด้านบุคลากร
หัวข้อ เป้าหมาย จำนวนกลุ่มเป้าหมาย คิดเป็น
การอบรม Cybersecurity Awareness พนักงานร้าน สำนักงาน 116,179 ราย ร้อยละ 100
การอบรม Cybersecurity Engineer ผู้ดูแลระบบความปลอดภัย 31 ราย ร้อยละ 100
การทำสอบ Cyber Drill สำนักงาน 10,388 ราย ร้อยละ 100
การซ้อมแผน Incident Response Plan ผู้บริหาร CMC, BIRT, CSIRT Team ร้อยละ 100
  • ด้านกระบวนการ
หัวข้อ ค่าเฉลี่ยอุตสาหกรรม ค่าประเมินที่ได้
การประเมินโดย Cybersecurity Self-Assessment By CPG ร้อยละ 88 ร้อยละ 91
การประเมินโดย Cybersecurity Resilience Survey By SET 1.71 (1.0 – 5.0) 3.52
การประเมินโดย Security Rating By BitSight Service 730 (100 – 900) 780
  • ด้านเทคโนโลยีและข้อปรับปรุงตาม NIST Cybersecurity Framework

บริษัทฯ ได้ดำเนินการประเมินความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework และดำเนินการเพื่อปรับปรุงยกระดับความมั่นคงปลอดภัยทางไซเบอร์ ที่โดดเด่น ในปี 2567 ดังนี้

ลำดับ กระบวนการ โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2567
1 การระบุประเด็นความเสี่ยง (Identify) บริษัทฯ ประเมินระบบความปลอดภัยเทคโนโลยีสารสนเทศ เทียบกับมาตรฐานสากล (Cybersecurity Gap Analysis) ตามมาตรฐาน NIST ประจำปี 2567 โดยผลการประเมินสรุปเป็นประเด็นหลัก ดังนี้
  • ดำเนินการปรับปรุง และประกาศใช้นโยบายการบริหารจัดการและรักษาความมั่งคงปลอดภัยสารสนเทศ ประจำปี 2567
  • ดำเนินการประเมินความมั่นคงปลอดภัยคู่ค้า และรวมถึงการให้ให้ความตระหนักรู้และแนวปฏิบัติต่อคู่ค้าเมื่อต้องมาปฏิบัติงาน หรือใช้ข้อมูลสารสนเทศของบริษัท
  • ดำเนินการประเมินความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่สำคัญ ได้แก่ Phishing, Ransomware, DDoS, 3rd Party Data Loss และนำสู่ Cybersecurity Roadmap สำหรับดำเนินการที่เหมาะสม และสอดคล้องกลยุทธ์ทางธุรกิจ
  • ดำเนินการติดตามเหตุการณ์ต่างๆ ที่เกี่ยวกับภัยคุกคามทางไซเบอร์จากเครือข่ายผู้ปฏิบัติงานไซเบอร์ ข่าวสารทั้งจากที่เผยแพร่สาธารณะ และที่เป็นเฉพาะกลุ่ม นำมาประเมิน แจ้งเตือน ให้กับผู้เกี่ยวข้องพิจารณา และปรับปรุงในระบบที่รับผิดชอบตามขั้นตอนที่กำหนด
2 การป้องกันระบบขององค์กร (Protect) บริษัทฯ มีการยกระดับกระบวนการพัฒนาซอฟต์แวร์ให้มีความปลอดภัยตั้งแต่เริ่ม และมีการนำเทคโนโลยีมาช่วยในการลดความเสี่ยงจากช่องโหว่ใหม่ๆ ที่อาจเป็นภัยคุกคามทางไซเบอร์ ซึ่งมีโอกาสเกิดขึ้นได้ ดังนี้
  • ยกระดับกระบวนการพัฒนาซอฟต์แวร์ด้วยหลักปฏิบัติ DevSecOps โดยบูรณาการความปลอดภัยเข้าไปในทุกขั้นตอนของการพัฒนาซอฟต์แวร์ (Development, Security, and Operations) โดยมีเป้าหมายเพื่อสร้างระบบที่ปลอดภัย รวดเร็ว และสามารถปรับขนาดได้อย่างมีประสิทธิภาพ
  • ยกระดับโดยการนำเทคโนโลยี WAF (Web Application Firewall) มาใช้สำหรับระบบสำคัญที่อยู่บนเครือข่ายอินเตอร์เน็ต โดย WAF จะทำหน้าที่ตรวจสอบและกรองข้อมูล ที่เข้า-ออกเว็บแอปพลิเคชัน เพื่อช่วยลดความเสี่ยง และป้องกันภัยคุกคามต่างๆ ได้โดยทันที
  • การสื่อสาร การอบรมพนักงานที่ครอบคลุมทุกระดับ และรวมถึงคู่ค้า ลูกค้า โดยให้ความตระหนักรู้การใช้ข้อมูลและความปลอดภัยไซเบอร์ และรวมถึงการป้องกันการเป็นเหยื่อจากมิจฉาชีพออนไลน์ในทุกรูปแบบ
3 การตรวจจับสถานการณ์ที่ผิดปกติ (Detect) บริษัทฯ ขยายผลด้านศูนย์เฝ้าระวังความปลอดภัยไซเบอร์ (Security Operation Center) โดยนำเทคโนโลยี AI มาช่วยในการวิเคราะห์เหตุการณ์การละเมิดความมั่นคงปลอดภัยไซเบอร์ และการติดตามการรั่วไหลของข้อมูล (Data Leak Monitoring) โดยเป็นการเฝ้าระวังข้อมูลที่รั่วไหลหรือถูกเปิดเผยโดยไม่ได้รับอนุญาต ซึ่งอาจเกิดขึ้นได้ทั้งจากการโจมตีทางไซเบอร์ หรือการละเลยด้านความปลอดภัยภายในองค์กร
4 การรับมือสถานการณ์ที่ผิดปกติ (Respond) บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดยได้ดำเนินการซ้อมแผนรับมือ การจำลองเหตุการณ์การโจมตีระบบไอทีที่สำคัญ กรณีเรียกค่าไถ่ และละเมิดข้อมูลส่วนบุคคล การสื่อสาร รวมถึงการทดสอบพนักงานเกี่ยวกับการตอบสนองต่อเมลหลอกหลวง (Phishing Simulations Test) ซึ่งมีการดำเนินการต่อเนื่องตลอดปี
5 การฟื้นฟูระบบ (Recover) บริษัทฯ เตรียมความพร้อมในระบบสำรองที่ครอบคลุมถึงระบบสำคัญทางธุรกิจ โดยมีการทดสอบความพร้อมของระบบและทีมปฏิบัติการที่เกี่ยวข้องตามแผนงานที่กำหนด

จำนวนการร้องเรียนที่ได้รับเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลและการสูญหายของข้อมูล

หัวข้อ เป้าหมาย 2567
จำนวนการละเมิดความปลอดภัยข้อมูลทั้งหมด 0 0
จำนวนลูกค้า ผู้ใช้งาน และพนักงานทั้งหมดที่ได้รับผลกระทบจากการละเมิด 0 0

นโยบายและแนวปฏิบัติที่เกี่ยวข้อง

นโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ ดาวน์โหลด

เว็บไซต์ cpall.co.th มีการเก็บคุกกี้ซึ่งเป็นการจัดการข้อมูลส่วนบุคคลและช่วยเพิ่มประสิทธิภาพการใช้งานเว็บไซต์ คุณสามารถอ่านข้อมูลเพิ่มเติมได้ที่หน้า นโยบายการใช้คุกกี้

ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • คุกกี้ที่จำเป็น
    เปิดใช้งานตลอด

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

  • คุกกี้ในส่วนวิเคราะห์

    คุกกี้ประเภทนี้จะทำการเก็บข้อมูลการใช้งานเว็บไซต์ของคุณ เพื่อเป็นประโยชน์ในการวัดผล ปรับปรุง และพัฒนาประสบการณ์ที่ดีในการใช้งานเว็บไซต์ ถ้าหากท่านไม่ยินยอมให้เราใช้คุกกี้นี้ เราจะไม่สามารถวัดผล ปรับปรุงและพัฒนาเว็บไซต์ได้

บันทึกการตั้งค่า