การรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ

แนวทางการดำเนินงาน


โครงสร้างคณะกรรมการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์

บริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย (“บริษัทฯ”) ให้ความสำคัญกับการพัฒนาและสร้างความเข้มแข็งให้แก่ธุรกิจอย่างต่อเนื่องมีการนำเทคโนโลยีสารสนเทศ และเทคโนโลยีความปลอดภัยทางไซเบอร์มาใช้อย่างเหมาะสมเพื่อเพิ่มประสิทธิผลและประสิทธิภาพของสินค้า บริการ รวมถึงการปรับปรุงระบบงานภายใน ตั้งแต่โครงสร้างพื้นฐานการสื่อสารทั้งภายในและภายนอกองค์กร การเก็บ และรวบรวมข้อมูลตลอดสายโซ่ธุรกิจการวางแผนการผลิตและการขนส่ง การเพิ่มผลผลิตในโรงงาน การควบคุมคุณภาพของกระบวนการผลิตการเพิ่มคุณภาพการให้บริการทั้งก่อนและหลังการขาย การซ่อมบำรุง เป็นต้น พนักงานจะมี User Account เฉพาะของตนเองเพื่อใช้ในการเข้าถึงระบบและบริการขององค์กรตามสิทธิและความจำเป็นที่เกี่ยวข้องกับการปฏิบัติงานและเพื่อให้การใช้งานเทคโนโลยีสารสนเทศและไซเบอร์เกิดความปลอดภัย องค์กรมีการออกนโยบายเกี่ยวกับเทคโนโลยีสารสนเทศ (Information Technology Policy) เพื่อเป็นแนวทางในการใช้งานข้อมูล การปฏิบัติงาน การพัฒนา และการบำรุงรักษาระบบเทคโนโลยีสารสนเทศให้เป็นไปอย่างเหมาะสม สอดคล้องกับกฎหมาย ตลอดจนข้อกำหนดด้านการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องทั้งพนักงาน คู่ค้า และลูกค้าบริษัทผ่านการรับรองมาตรฐานสากลต่างๆ เช่น ISO/IEC 20000 ด้านการให้บริการเทคโนโลยีสารสนเทศอย่างมีคุณภาพ ISO/IEC 27001 ด้านการบริหารจัดการเทคโนโลยีสารสนเทศอย่างมั่นคงปลอดภัย  ISO/IEC 27701 ด้านการจัดการข้อมูลส่วนบุคคล และ PCI/DSS V3.1 ด้านความปลอดภัยข้อมูลการชำระเงิน เป็นต้น

บริษัทฯ มีการจัดโครงสร้างการบริหารเพื่อให้เกิดบูรณาการจากส่วนกลาง และกลุ่มธุรกิจ โดยมีหน่วยงานกลางรับผิดชอบและให้การสนับสนุน คณะทำงานประกอบด้วย IT Governance Committee รับผิดชอบกำหนดนโยบาย และแนวทางการใช้งานระบบ การติดตามโครงการลงทุนด้านเทคโนโลยีสารสนเทศและไซเบอร์ให้เป็นไปในแนวทางเดียวกันและสอดคล้องกับกลยุทธ์ทางธุรกิจ

การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและไซเบอร์

บริษัทฯ มีการกำกับดูแลผ่านคณะกรรมการบริหารความเสี่ยงระดับองค์กร (Enterprise Risk Management) ซึ่งรับผิดชอบในการบริหารจัดการจัดการความเสี่ยงทั้งระบบ โดยมีการจัดการผ่านคณะทำงานจัดการความเสี่ยง (Risk Champion & Risk Manager) และมีหน่วยงาน Digital Governance  ทำหน้าที่บริหารจัดการ และประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศ และนำสู่การปฏิบัติการลดความเสี่ยงดังกล่าวโดยหน่วยงานที่เกี่ยวข้องต่อไป ทั้งนี้ภัยคุกคามทางไซเบอร์ถือเป็นภัยคุกคามหนึ่งที่มีโอกาสให้เกิดผลกระทบหรือมีความเสี่ยงต่อข้อมูลและระบบเทคโนโลยีสารสนเทศ บริษัทฯ ยังได้ประเมิน ติดตาม แลกเปลี่ยนภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับองค์กรอื่น ทั้งที่อยู่ในอุตสาหกรรมแบบเดียวกัน และอุตสาหกรรมที่แตกต่าง เพื่อเรียนรู้และประเมินโอกาสเสี่ยงที่สามารถเกิดกับบริษัทฯ และมีโอกาสที่จะสร้างผลเสียหายต่อลูกค้า ผู้มีส่วนได้ส่วนเสีย และคู่ค้าธุรกิจได้

เป้าหมายการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์

บริษัทฯ มีความมุ่งมั่นในการพัฒนาและนำระบบเทคโนโลยีสารสนเทศมาใช้งานโดยให้มีความมั่นคงปลอดภัยคงไว้ซึ่งการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของสารสนเทศทั้งหมด และการปฏิบัติที่สอดคล้องกับข้อกำหนดทางกฎหมายไอทีที่สำคัญ เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 เป็นต้นโดยดำเนินการด้วยหลักการ และแนวปฏิบัติการบริหารจัดการดังนี้

หลักการ

ด้านมาตรการจัดการด้านความมั่นคงปลอดภัยไซเบอร์กลุ่มธุรกิจ ซีพี ออลล์

บริษัทฯ ได้นำ NIST Cybersecurity Framework เป็นกรอบทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ระดับสากล และทำการประเมินความเสี่ยงเพื่อนำสู่มาตรการป้องกัน ตรวจับ ตอบสนอง แก้ไขฟื้นฟู เพื่อให้ข้อมูลและสารสนเทศมีความมั่นคงปลอดภัย และพร้อมให้บริการอย่างต่อเนื่อง

Identify

  • Asset Management
  • Identify Crown Jewels
  • Cyber Risk Assessment

Protect

  • Security by Designm
  • Secured Assess
  • Cyber Defense
  • Data Security
  • Policy & Procedures
  • Standards Certifications
  • Awareness & Trining

Detect

  • Continuous Security Monitoring
  • Vulnerability Management
  • Detection Technology
  • Incident Management

Respond

  • Cyber Incident Response (IR Plan)
  • Cyber Investigations
  • Cyber Improvements
  • Business Continuity Management

Recover

  • Cyber Communication
  • Recovery Testing
  • Disaster Recovery
  • Cyber Insurance

ด้านบุคลากรการสร้างวัฒนธรรมองค์กรให้มีสุขอนามัยไซเบอร์ที่ปลอดภัย

บริษัทฯ ให้ความสำคัญอย่างยิ่งในการสร้างวัฒนธรรมองค์กรและความตระหนักรู้เท่าทันต่อภัยไซเบอร์ โดยแบ่งกลุ่มเป้าหมายเป็น 4 กลุ่ม ได้แก่

การให้ความสำคัญและติดตามจากผู้บริหารระดับสูง

การฝึกอบรมและการสร้างความตระหนักเรื่องความปลอดภัยข้อมูลและไซเบอร์

การสร้างแรงจูงใจด้วยรางวัลและบทลงโทษที่ชัดเจน

การวัดผลปรับปรุงมาตรการและส่งเสริมการมีวัฒนธรรมความปลอดภัยสม่ำเสมอ

  • การรายงานภัยคุกคามใหม่ๆ ให้แก่คณะกรรมการบริหาร และคณะกรรมการกำกับความเสี่ยงทุกไตรมาส โดยนำเสนอข้อมูลข่าวสารความรู้เกี่ยวกับภัยทางไซเบอร์และมาตรการป้องกันของ ซีพี ออลล์ เพื่อเป็นการให้ความรู้ และรับความคิดเห็นเกี่ยวกับแนวทางกำกับดูแลที่คณะกรรมการอาจมีเพิ่มเติม
  • จัดให้มีการจำลองสถานการณ์การโจมตีด้วยภัยคุกคามทางไซเบอร์ให้กับผู้บริหารระดับสูงของ ซีพี ออลล์ เพื่อให้เกิดความคุ้นเคยและสร้างกระบวนการตอบสนองต่อภัยคุกคามทางไซเบอร์
  • จัดทำสื่อการสอนหลักสูตรพื้นฐานการเรียนรู้องค์กร (On-Boarding Program) โดยมีหัวข้อเกี่ยวกับความปลอดภัยข้อมูลและไซเบอร์ ในรูปแบบ e-Learning กำหนดให้พนักงานเข้าใหม่ได้เรียนรู้และผ่านหลักสูตรนี้ทุกคน เพื่อเป็นพื้นฐานในการดูแล และใช้ข้อมูลอย่างปลอดภัย รวมถึงการรู้จักระวังภัยคุกคามทางไซเบอร์ หรือการหลอกลวงจากมิจฉาชีพที่สำคัญ
  • จัดทำสื่อ และทำการประชาสัมพันธ์ในช่องทางต่างๆ เพื่อให้ความรู้ด้านภัยไซเบอร์ช่วงระหว่างการปฏิบัติงาน ในรูปแบบและเนื้อหาที่แตกต่างกันออกไปในแต่ละเดือน อาทิ การณรงค์เรื่องการใช้รหัสผ่านที่ปลอดภัย การใช้และดูแลข้อมูลที่ปลอดภัย หรือกลลวง กลโกง จากมิจฉาชีพที่ต้องระวัง เป็นต้น ทั้งในรูปแบบสื่อ Infographic และการสื่อสารผ่านอีเมล หรือช่องทางอื่นๆ
  • จัดกิจกรรมสัมมนา และเกมส์ออนไลน์เพื่อให้พนักงาน หรือผู้สนใจทั่วไปได้ร่วมกิจกรรมอย่างสนุกสนามและได้ความรู้ไปพร้อมกัน โดยมีการเชิญผู้เชี่ยวชาญภายนอกมาร่วมแบ่งปันถึงภัยไซเบอร์ปัจจุบัน และกรณีศึกษาที่สำคัญ
  • จัดทำ Security Tips, Security Alert และข้อมูลอื่นๆ ที่เป็นประโยชน์เกี่ยวกับความปลอดภัยข้อมูลและไซเบอร์ ในรูปแบบที่เป็นเว็บไซต์ ชื่อว่า ALLSECURE Portal ให้พนักงานเข้าใจ เข้าถึงได้ง่าย และรู้เท่าทันภัยไซเบอร์ รวมถึงการแจ้งเตือนผ่านช่องทางอีเมล, CPALL Connect และ Call Service 1500
  • จัดทดสอบ Phishing Drill โดยส่งอีเมลปลอมให้พนักงานของ ซีพี ออลล์ เพื่อทดสอบและสร้างความตระหนัก ตลอดจนเป็นการฝึกวิธีการรับมือเมื่อพนักงานได้รับอีเมลปลอมในสถานการณ์จริงอย่างสม่ำเสมอ โดยผลจากการทดสอบพบว่าพนักงานตระหนักและระมัดระวังในการสังเกต Phishing Mail มากขึ้น
  • จัดทำแนวปฏิบัติการมีสุขอนามัยไซเบอร์ที่ปลอดภัย (Cyber Hygiene) ทั้งระดับผู้ปฏิบัติงาน และผู้บริหารระบบ โดยมุ่งเน้นที่ให้มีการออกแบบ จัดทำ ดูแลระบบที่มีความปลอดภัยตั้งแต่เริ่ม และรวมถึงผู้ปฏิบัติใช้งานก็มีความระมัดระวังใช้ระบบงานอย่างถูกต้อง แจ้งเตือนเมื่อพบสิ่งผิดปกติโดยทันที
  • จัดทบทวนและทดสอบความตระหนักรู้ภัยไซเบอร์ และการใช้ข้อมูลที่ปลอดภัย ผ่านกิจกรรมการทดสอบ CG ประจำปี ที่พนักงาน ผู้บริหารจะต้องผ่านการทบทวน และทดสอบนี้ครบทั้งหมดร้อยละ 100 ซึ่งจะทำให้ทุกคนได้มีความตระหนักรู้ภัย และเข้าใจถึงความสำคัญของการใช้ข้อมูลอย่างปลอดภัยทั้งองค์กร
  • ให้ความรู้ แจ้งเตือนภัยที่สำคัญเกี่ยวกับการใช้บริการออนไลน์อย่างปลอดภัย และการป้องกันภัยไซเบอร์ เช่น ภัยจากฟิชชิ่ง มิจฉาชีพทางสื่อสังคมออนไลน์ แก่ลูกค้าผ่านช่องทางสื่อโซเชียลมีเดีย เป็นต้น
  • วางกรอบแนวปฏิบัติในการบริหารความเสี่ยงด้านไซเบอร์ และสื่อสารให้กับผู้ให้บริการ หรือคู่ค้าทางธุรกิจของ ซีพี ออลล์ เพื่อเน้นย้ำว่า ซีพี ออลล์ให้ความสำคัญในเรื่องความปลอดภัยไซเบอร์ และการบริหารความเสี่ยงดังกล่าวรวมทั้งการให้ความรู้กับผู้ให้บริการ และคู่ค้าของ ซีพี ออลล์ ถึงแนวปฏิบัติที่ดีด้วย

แนวปฏิบัติการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์

บริษัทฯ มีการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์โดยมีเป้าหมายตามที่กำหนดข้างต้น โดยกำหนดแนวปฏิบัติที่สำคัญ และดำเนินการผ่านทั้งด้านการส่งเสริมให้บุคลากรทุกระดับมีสุขอนามัยไซเบอร์ที่ปลอดภัย การประเมินควบคุมให้ระบบงานสำคัญได้ตามมาตรฐานความปลอดภัยที่กำหนด และมีปฏิบัติการโดยทีมผู้ดูแลระบบทั้งเชิงป้องกัน เฝ้าระวัง ยับยั้ง ด้วยเทคโนโลยีที่เหมาะสม รองรับกับสภาพแวดล้อมทางธุรกิจ และภัยคุกคามทางไซเบอร์ ที่เปลี่ยนแปลงตลอดเวลา

งานสร้างวัฒนธรรมองค์กรมีสุขอนามัยไซเบอร์ที่ปลอดภัย

Cyber Hygiene Culture

งานควบคุมมาตรฐานความปลอดภัยไซเบอร์

Cyber Assurance

งานปฏิบัติการ เฝ้าระวัง และแก้ไขภัยไซเบอร์

Cyber Operation

โดยดำเนินการกิจกรรมข้างต้นผ่านทางบุคลากร (People) กระบวนการ (Process) และเทคโนโลยี (Technology) ดังนี้

บุคลากร

  • กำหนดความรับผิดชอบของผู้บริหารระดับสูง CSO (Cyber Security Officer) บริหารจัดการรายงานต่อคณะกรรมการ เจ้าหน้าที่ผู้บริหารระดับสูง (Executive Committee) หรือ CIO
  • กำหนดหน่วยงานด้านการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศและหน่วยงานด้านปฏิบัติการความมั่นคงปลอดภัยทางไซเบอร์
  • กำหนดการอบรม ทดสอบบุคลากรทุกระดับเพื่อสร้างความตระหนักต่อภัยคุกคามไซเบอร์ เช่น Phishing Simulation Test & Cyber Awareness & Cyber War Game

กระบวนการ

  • กำหนดนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของระบบเครือข่ายซีพี ออลล์
  • กำหนดหน่วยงานผู้ให้บริการระบบสารสนเทศในกลุ่มเครือข่าย ซีพี ออลล์ บริหารให้บริการด้วยกระบวนการและมาตรฐานที่ได้รับการรับรองจาก ISO20000, ISO27001
  • กำหนดแผนการตอบสนองและจัดการกับเหตุการณ์ความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Incident Response Plan)

เทคโนโลยี

  • ติดตั้งระบบเทคโนโลยีที่ทำงานเชิงป้องกัน และสอดคล้องตามแนวปฏิบัติด้านความปลอดภัยระดับสากล คือ NIST Framework
  • ระบบข้อมูลถูกติดตั้งในโซนที่กำหนด จัดเก็บในศูนย์คอมพิวเตอร์ หรือเครือข่ายที่เป็น Private ของบริษัท โดยมีการควบคุม เฝ้าระวัง บริหารจัดการอุปกรณ์ระบบและการเข้าถึงข้อมูลตามที่กำหนด
  • มีการแลกเปลี่ยนเทคโนโลยีภัยคุกคามกับผู้บริหารเครือฯ ปรับปรุงที่เหมาะสมกับเครือข่ายและภัยคุกคามใหม่ๆ

นโยบาย

บริษัทฯ บริหารจัดการด้านความความมั่นคงปลอดภัยทางไซเบอร์ ภายใต้นโยบายการรักษาความปลอดภัยเทคโนโลยีสารสนเทศ และมาตรฐานแนวปฏิบัติที่กำหนด ซึ่งมีผลบังคับใช้กับบริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย รวมถึงกรรมการผู้บริหาร  พนักงาน และผู้ให้บริการบุคคลภายนอกที่ได้รับอนุญาติให้เข้าถึงข้อมูลสารสนเทศในแต่ละระดับชั้นความลับทุกคน

กระบวนการ

บริษัทฯ ได้จัดตั้งหน่วยงานด้านปฏิบัติการและดูแลระบบความปลอดภัยข้อมูลและไซเบอร์ โดยมีผู้บริหารระดับสูงความปลอดภัยไซเบอร์ (Chief Security Officer) และผู้บริหารเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) รับผิดชอบโดยตรง โดยบริการด้านระบบข้อมูลและความปลอดภัยสารสนเทศได้รับการรับรองในมาตรฐานสากล

ดังนี้ มาตรฐานด้านการให้บริการเทคโนโลยีสารสนเทศ ISO/IEC 20000 มาตรฐานด้านการบริหารความมั่นคงปลอดภัยข้อมูลสารสนเทศ ISO/IEC 27001 มาตรฐานด้านการจัดการข้อมูลส่วนบุคคล ISO/IEC27701 และมาตรฐานด้านความปลอดภัยการชำระเงิน PCI/DSS V3.1 เป็นต้น

เทคโนโลยี

บริษัทฯ มีการลงทุนศูนย์คอมพิวเตอร์ที่ได้มาตรฐานระดับสากล พร้อมศูนย์คอมพิวเตอร์สำรองที่พร้อมทำงานได้แบบทันที และกำหนดให้มีการจัดเก็บข้อมูลลูกค้าและสารสนเทศที่สำคัญไว้ภายในศูนย์คอมพิวเตอร์ดังกล่าวภายใต้การออกแบบแบ่งโซน และการควบคุมการเข้าถึงสำหรับผู้ได้รับอนุญาตเท่านั้น สำหรับการบริหารความเสี่ยงด้านภัยคุกคามทางไซเบอร์ บริษัทฯ ได้ติดตั้งเทคโนโลยีที่เหมาะสมเพื่อทำหน้าที่ ป้องกัน ตรวจจับ ยับยั้งและแจ้งเตือนดังนี้ Firewall, Intrusion Prevention System, Anti-Malware, Web & Mail Security, Threats Detect & Prevention System, Active Directory, Two-Factor Authentication, Privileged Access Management , Patch Management, Security Information and Event Management (SIEM) รวมทั้งมีการทำ Vulnerability Assessment and Penetration Testing ในระบบสำคัญ ทั้งก่อนให้บริการ หรือเมื่อมีการเปลี่ยนแปลงสำคัญ และทบทวนประจำปี

บุคลากร

บริษัทฯ มีการฝึกอบรม พร้อมทดสอบเพื่อสร้างความตระหนักและระวังภัยคุกคามทางไซเบอร์ ผ่านการทำ Cyber Security Awareness และ Cyber Drill ให้กับพนักงาน และผู้บริหารทุกระดับ บริษัทฯ ให้ความสำคัญกับทีมงานผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยด้วยการสนับสนุน และส่งเสริมให้มีการอบรม สอบ และผ่านการรับรองมาตรฐานสากล เช่น CISSP, CISA, CDPSE, C|HE (Certified Ethical Hacker) CompTIA Security+, CC , CSX เป็นต้น รวมทั้งการมีกลุ่มผู้ปฏิบัติงานทางไซเบอร์ ผู้เชี่ยวชาญที่ให้คำปรึกษา และคู่ค้าทั้งจากภายใน และต่างประเทศที่ร่วมในการทำงานและดูแลระบบในเชิงเทคนิคที่เกี่ยวข้อง

ผลการดำเนินการด้านบริหารความมั่นคงปลอดภัยไซเบอร์ประจำปี 2566

  • ด้านบุคลากร
หัวข้อ เป้าหมาย จำนวนกลุ่มเป้าหมาย คิดเป็น
การอบรม Cybersecurity Awareness พนักงานร้าน สำนักงาน 94,934 ราย ร้อยละ 100
การอบรม Cybersecurity Engineer ผู้ดูแลระบบความปลอดภัย 31 ราย ร้อยละ 100
การทำสอบ Cyber Drill สำนักงาน 14,484 ราย ร้อยละ 100
การซ้อมแผน Incident Response Plan ผู้บริหาร CMC, BIRT, CSIRT Team ร้อยละ 100
  • ด้านกระบวนการ
หัวข้อ ค่าเฉลี่ยอุตสาหกรรม ค่าประเมินที่ได้
การประเมินโดย Cybersecurity Self-Assessment By CPG ร้อยละ 88 ร้อยละ 89
การประเมินโดย Cybersecurity Resilience Survey By SET 2.01 (1.0 – 5.0) 4.43
การประเมินโดย Security Rating By BitSight Service 730 (100 – 900) 800
  • ด้านเทคโนโลยีและข้อปรับปรุงตาม NIST Cybersecurity Framework

บริษัทฯ ได้ดำเนินการประเมินความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework และดำเนินการเพื่อปรับปรุงยกระดับความมั่นคงปลอดภัยทางไซเบอร์ ที่โดดเด่น ในปี 2566 ดังนี้

ลำดับ กระบวนการ โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2566
1 การระบุประเด็นความเสี่ยง (Identify) บริษัทฯ ประเมินระบบความปลอดภัยเทคโนโลยีสารสนเทศ เทียบกับมาตรฐานสากล (Cybersecurity Gap Analysis) ตามมาตรฐาน NIST ประจำปี 2566 โดยผลการประเมินสรุปเป็นประเด็นหลัก ดังนี้
  • ยกระดับการประเมินความมั่นคงปลอดภัยคู่ค้า และรวมถึงการให้ให้ความตระหนักรู้และแนวปฏิบัติต่อคู่ค้าเมื่อต้องมาปฏิบัติงาน หรือใช้ข้อมูลสารสนเทศของบริษัท
  • ประเมินความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่สำคัญ ได้แก่ Phishing, Ransomware, DDoS, 3rd Party Data Loss และนำสู่ Cybersecurity Roadmap สำหรับดำเนินการที่เหมาะสม และสอดคล้องกลยุทธ์ทางธุรกิจ
  • ติดตาม และพัฒนาระบบความมั่นคงปลอดภัยทางไซเบอร์ รวมถึง ประยุกต์ใช้เทคโนโลยีที่ทันสมัยเพื่อรองรับภัยคุกคามรูปแบบใหม่อย่างต่อเนื่อง
2 การป้องกันระบบขององค์กร (Protect) บริษัทฯ มีการปรับปรุงกระบวนการเข้าถึงระบบงานสำคัญ โดยนำเทคโนโลยีการพิสูจน์ตัวบุคคล (Privilege Assessment Management & 2FA) รวมถึงการเข้ารหัสที่ระดับเครื่องผู้ใช้งาน (Disk Encryption) มายกระดับเพื่อเพิ่มความปลอดภัย ลดความเสี่ยง ในการถูกโจรกรรมข้อมูล และสอดคล้องกับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีการดำเนินงานดังนี้
  • ประเมินศักยภาพเทคโนโลยีในระบบความปลอดภัยการเข้าถึงระบบสำคัญสูง
  • ปรับปรุงนโยบายการกำหนดระดับชั้นความลับของข้อมูล
  • สื่อสาร จัดทำแนวปฏิบัติด้านการจัดการข้อมูลขององค์กรและข้อมูลส่วนบุคคล
  • ติดตั้งระบบ Privilege Assessment Management
  • ติดตั้งระบบการยืนยันแบบ 2 ขั้นตอน (2-Factor Authentication) สำหรับระบบอีเมล ระบบการพิสูจน์ตัวตน และระบบสำคัญขององค์กร
3 การตรวจจับสถานการณ์ที่ผิดปกติ (Detect) บริษัทฯ ดำเนินยกระดับศูนย์เฝ้าระวังความปลอดภัยไซเบอร์ (Security Operation Center) โดยการปรับปรุงการเฝ้าระวัง การจัดเก็บ การวิเคราะห์เหตุการณ์การละเมิดความมั่นคงปลอดภัย ที่ทำงานบนเทคโนโลยีแบบรวมศูนย์ข้อมูล และมีทีมเฝ้าระวังตลอดเวลา
4 การรับมือสถานการณ์ที่ผิดปกติ (Respond) บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดยได้ดำเนินการซ้อมแผนรับมือ การจำลองเหตุการณ์การโจมตีระบบไอทีที่สำคัญ กรณีเรียกค่าไถ่ และละเมิดข้อมูลส่วนบุคคล รวมถึงการทดสอบพนักงานเกี่ยวกับการตอบสนองต่อเมลหลอกหลวง (Phishing Simulations Test)
5 การฟื้นฟูระบบ (Recover) บริษัทฯ จัดให้มีการทดสอบกู้ข้อมูลระบบ Backup & Recovery ปีละ 2 ครั้งและสามารถกู้คืนได้ตามเป้าหมาย

นโยบายและแนวปฏิบัติที่เกี่ยวข้อง

นโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ ดาวน์โหลด

เว็บไซต์ cpall.co.th มีการเก็บคุกกี้ซึ่งเป็นการจัดการข้อมูลส่วนบุคคลและช่วยเพิ่มประสิทธิภาพการใช้งานเว็บไซต์ คุณสามารถอ่านข้อมูลเพิ่มเติมได้ที่หน้า นโยบายการใช้คุกกี้

ตั้งค่าความเป็นส่วนตัว

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

ยอมรับทั้งหมด
จัดการความเป็นส่วนตัว
  • คุกกี้ที่จำเป็น
    เปิดใช้งานตลอด

    ประเภทของคุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

  • คุกกี้ในส่วนวิเคราะห์

    คุกกี้ประเภทนี้จะทำการเก็บข้อมูลการใช้งานเว็บไซต์ของคุณ เพื่อเป็นประโยชน์ในการวัดผล ปรับปรุง และพัฒนาประสบการณ์ที่ดีในการใช้งานเว็บไซต์ ถ้าหากท่านไม่ยินยอมให้เราใช้คุกกี้นี้ เราจะไม่สามารถวัดผล ปรับปรุงและพัฒนาเว็บไซต์ได้

บันทึกการตั้งค่า