แนวทางการดำเนินงาน
โครงสร้างคณะกรรมการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์
![](https://www.cpall.co.th/wp-content/uploads/2024/07/CP-ALL-SR-2566-144.jpg)
บริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย (“บริษัทฯ”) ให้ความสำคัญกับการพัฒนาและสร้างความเข้มแข็งให้แก่ธุรกิจอย่างต่อเนื่องมีการนำเทคโนโลยีสารสนเทศ และเทคโนโลยีความปลอดภัยทางไซเบอร์มาใช้อย่างเหมาะสมเพื่อเพิ่มประสิทธิผลและประสิทธิภาพของสินค้า บริการ รวมถึงการปรับปรุงระบบงานภายใน ตั้งแต่โครงสร้างพื้นฐานการสื่อสารทั้งภายในและภายนอกองค์กร การเก็บ และรวบรวมข้อมูลตลอดสายโซ่ธุรกิจการวางแผนการผลิตและการขนส่ง การเพิ่มผลผลิตในโรงงาน การควบคุมคุณภาพของกระบวนการผลิตการเพิ่มคุณภาพการให้บริการทั้งก่อนและหลังการขาย การซ่อมบำรุง เป็นต้น พนักงานจะมี User Account เฉพาะของตนเองเพื่อใช้ในการเข้าถึงระบบและบริการขององค์กรตามสิทธิและความจำเป็นที่เกี่ยวข้องกับการปฏิบัติงานและเพื่อให้การใช้งานเทคโนโลยีสารสนเทศและไซเบอร์เกิดความปลอดภัย องค์กรมีการออกนโยบายเกี่ยวกับเทคโนโลยีสารสนเทศ (Information Technology Policy) เพื่อเป็นแนวทางในการใช้งานข้อมูล การปฏิบัติงาน การพัฒนา และการบำรุงรักษาระบบเทคโนโลยีสารสนเทศให้เป็นไปอย่างเหมาะสม สอดคล้องกับกฎหมาย ตลอดจนข้อกำหนดด้านการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องทั้งพนักงาน คู่ค้า และลูกค้าบริษัทผ่านการรับรองมาตรฐานสากลต่างๆ เช่น ISO/IEC 20000 ด้านการให้บริการเทคโนโลยีสารสนเทศอย่างมีคุณภาพ ISO/IEC 27001 ด้านการบริหารจัดการเทคโนโลยีสารสนเทศอย่างมั่นคงปลอดภัย ISO/IEC 27701 ด้านการจัดการข้อมูลส่วนบุคคล และ PCI/DSS V3.1 ด้านความปลอดภัยข้อมูลการชำระเงิน เป็นต้น
บริษัทฯ มีการจัดโครงสร้างการบริหารเพื่อให้เกิดบูรณาการจากส่วนกลาง และกลุ่มธุรกิจ โดยมีหน่วยงานกลางรับผิดชอบและให้การสนับสนุน คณะทำงานประกอบด้วย IT Governance Committee รับผิดชอบกำหนดนโยบาย และแนวทางการใช้งานระบบ การติดตามโครงการลงทุนด้านเทคโนโลยีสารสนเทศและไซเบอร์ให้เป็นไปในแนวทางเดียวกันและสอดคล้องกับกลยุทธ์ทางธุรกิจ
การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและไซเบอร์
บริษัทฯ มีการกำกับดูแลผ่านคณะกรรมการบริหารความเสี่ยงระดับองค์กร (Enterprise Risk Management) ซึ่งรับผิดชอบในการบริหารจัดการจัดการความเสี่ยงทั้งระบบ โดยมีการจัดการผ่านคณะทำงานจัดการความเสี่ยง (Risk Champion & Risk Manager) และมีหน่วยงาน Digital Governance ทำหน้าที่บริหารจัดการ และประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศ และนำสู่การปฏิบัติการลดความเสี่ยงดังกล่าวโดยหน่วยงานที่เกี่ยวข้องต่อไป ทั้งนี้ภัยคุกคามทางไซเบอร์ถือเป็นภัยคุกคามหนึ่งที่มีโอกาสให้เกิดผลกระทบหรือมีความเสี่ยงต่อข้อมูลและระบบเทคโนโลยีสารสนเทศ บริษัทฯ ยังได้ประเมิน ติดตาม แลกเปลี่ยนภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับองค์กรอื่น ทั้งที่อยู่ในอุตสาหกรรมแบบเดียวกัน และอุตสาหกรรมที่แตกต่าง เพื่อเรียนรู้และประเมินโอกาสเสี่ยงที่สามารถเกิดกับบริษัทฯ และมีโอกาสที่จะสร้างผลเสียหายต่อลูกค้า ผู้มีส่วนได้ส่วนเสีย และคู่ค้าธุรกิจได้
เป้าหมายการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์
บริษัทฯ มีความมุ่งมั่นในการพัฒนาและนำระบบเทคโนโลยีสารสนเทศมาใช้งานโดยให้มีความมั่นคงปลอดภัยคงไว้ซึ่งการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของสารสนเทศทั้งหมด และการปฏิบัติที่สอดคล้องกับข้อกำหนดทางกฎหมายไอทีที่สำคัญ เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 เป็นต้นโดยดำเนินการด้วยหลักการ และแนวปฏิบัติการบริหารจัดการดังนี้
หลักการ
ด้านมาตรการจัดการด้านความมั่นคงปลอดภัยไซเบอร์กลุ่มธุรกิจ ซีพี ออลล์
บริษัทฯ ได้นำ NIST Cybersecurity Framework เป็นกรอบทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ระดับสากล และทำการประเมินความเสี่ยงเพื่อนำสู่มาตรการป้องกัน ตรวจจับ ตอบสนอง แก้ไขฟื้นฟู เพื่อให้ข้อมูลและสารสนเทศมีความมั่นคงปลอดภัย และพร้อมให้บริการอย่างต่อเนื่อง
![](http://www.cpall.co.th/wp-content/uploads/2022/05/identify.png)
Identify
![](http://www.cpall.co.th/wp-content/uploads/2022/05/protect.png)
Protect
![](http://www.cpall.co.th/wp-content/uploads/2022/05/detect.png)
Detect
![](http://www.cpall.co.th/wp-content/uploads/2022/05/respon.png)
Respond
![](http://www.cpall.co.th/wp-content/uploads/2022/05/recovery.png)
Recover
ด้านบุคลากรการสร้างวัฒนธรรมองค์กรให้มีสุขอนามัยไซเบอร์ที่ปลอดภัย
บริษัทฯ ให้ความสำคัญอย่างยิ่งในการสร้างวัฒนธรรมองค์กรและความตระหนักรู้เท่าทันต่อภัยไซเบอร์ โดยแบ่งกลุ่มเป้าหมายเป็น 4 กลุ่ม ได้แก่
การให้ความสำคัญและติดตามจากผู้บริหารระดับสูง
การฝึกอบรมและการสร้างความตระหนักเรื่องความปลอดภัยข้อมูลและไซเบอร์
การสร้างแรงจูงใจด้วยรางวัลและบทลงโทษที่ชัดเจน
การวัดผลปรับปรุงมาตรการและส่งเสริมการมีวัฒนธรรมความปลอดภัยสม่ำเสมอ
แนวปฏิบัติการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์
บริษัทฯ มีการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์โดยมีเป้าหมายตามที่กำหนดข้างต้น โดยกำหนดแนวปฏิบัติที่สำคัญ และดำเนินการผ่านทั้งด้านการส่งเสริมให้บุคลากรทุกระดับมีสุขอนามัยไซเบอร์ที่ปลอดภัย การประเมินควบคุมให้ระบบงานสำคัญได้ตามมาตรฐานความปลอดภัยที่กำหนด และมีปฏิบัติการโดยทีมผู้ดูแลระบบทั้งเชิงป้องกัน เฝ้าระวัง ยับยั้ง ด้วยเทคโนโลยีที่เหมาะสม รองรับกับสภาพแวดล้อมทางธุรกิจ และภัยคุกคามทางไซเบอร์ ที่เปลี่ยนแปลงตลอดเวลา
![](https://www.cpall.co.th/wp-content/uploads/2022/04/system.png)
งานสร้างวัฒนธรรมองค์กรมีสุขอนามัยไซเบอร์ที่ปลอดภัย
Cyber Hygiene Culture
![](https://www.cpall.co.th/wp-content/uploads/2022/04/cyber-security.png)
งานควบคุมมาตรฐานความปลอดภัยไซเบอร์
Cyber Assurance
![](https://www.cpall.co.th/wp-content/uploads/2022/04/vulnerability.png)
งานปฏิบัติการ เฝ้าระวัง และแก้ไขภัยไซเบอร์
Cyber Operation
โดยดำเนินการกิจกรรมข้างต้นผ่านทางบุคลากร (People) กระบวนการ (Process) และเทคโนโลยี (Technology) ดังนี้
![](http://www.cpall.co.th/wp-content/uploads/2022/04/team.png)
บุคลากร
![](http://www.cpall.co.th/wp-content/uploads/2024/04/flow-chart_01_0.png)
กระบวนการ
![](http://www.cpall.co.th/wp-content/uploads/2024/04/platform_01_0.png)
เทคโนโลยี
นโยบาย
บริษัทฯ บริหารจัดการด้านความความมั่นคงปลอดภัยทางไซเบอร์ ภายใต้นโยบายการรักษาความปลอดภัยเทคโนโลยีสารสนเทศ และมาตรฐานแนวปฏิบัติที่กำหนด ซึ่งมีผลบังคับใช้กับบริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย รวมถึงกรรมการผู้บริหาร พนักงาน และผู้ให้บริการบุคคลภายนอกที่ได้รับอนุญาติให้เข้าถึงข้อมูลสารสนเทศในแต่ละระดับชั้นความลับทุกคน
กระบวนการ
บริษัทฯ ได้จัดตั้งหน่วยงานด้านปฏิบัติการและดูแลระบบความปลอดภัยข้อมูลและไซเบอร์ โดยมีผู้บริหารระดับสูงความปลอดภัยไซเบอร์ (Chief Security Officer) และผู้บริหารเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) รับผิดชอบโดยตรง โดยบริการด้านระบบข้อมูลและความปลอดภัยสารสนเทศได้รับการรับรองในมาตรฐานสากล
ดังนี้ มาตรฐานด้านการให้บริการเทคโนโลยีสารสนเทศ ISO/IEC 20000 มาตรฐานด้านการบริหารความมั่นคงปลอดภัยข้อมูลสารสนเทศ ISO/IEC 27001 มาตรฐานด้านการจัดการข้อมูลส่วนบุคคล ISO/IEC27701 และมาตรฐานด้านความปลอดภัยการชำระเงิน PCI/DSS V3.1 เป็นต้น
เทคโนโลยี
บริษัทฯ มีการลงทุนศูนย์คอมพิวเตอร์ที่ได้มาตรฐานระดับสากล พร้อมศูนย์คอมพิวเตอร์สำรองที่พร้อมทำงานได้แบบทันที และกำหนดให้มีการจัดเก็บข้อมูลลูกค้าและสารสนเทศที่สำคัญไว้ภายในศูนย์คอมพิวเตอร์ดังกล่าวภายใต้การออกแบบแบ่งโซน และการควบคุมการเข้าถึงสำหรับผู้ได้รับอนุญาตเท่านั้น สำหรับการบริหารความเสี่ยงด้านภัยคุกคามทางไซเบอร์ บริษัทฯ ได้ติดตั้งเทคโนโลยีที่เหมาะสมเพื่อทำหน้าที่ ป้องกัน ตรวจจับ ยับยั้งและแจ้งเตือนดังนี้ Firewall, Intrusion Prevention System, Anti-Malware, Web & Mail Security, Threats Detect & Prevention System, Active Directory, Two-Factor Authentication, Privileged Access Management , Patch Management, Security Information and Event Management (SIEM) รวมทั้งมีการทำ Vulnerability Assessment and Penetration Testing ในระบบสำคัญ ทั้งก่อนให้บริการ หรือเมื่อมีการเปลี่ยนแปลงสำคัญ และทบทวนประจำปี
บุคลากร
บริษัทฯ มีการฝึกอบรม พร้อมทดสอบเพื่อสร้างความตระหนักและระวังภัยคุกคามทางไซเบอร์ ผ่านการทำ Cyber Security Awareness และ Cyber Drill ให้กับพนักงาน และผู้บริหารทุกระดับ บริษัทฯ ให้ความสำคัญกับทีมงานผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยด้วยการสนับสนุน และส่งเสริมให้มีการอบรม สอบ และผ่านการรับรองมาตรฐานสากล เช่น CISSP, CISA, CDPSE, C|HE (Certified Ethical Hacker) CompTIA Security+, CC , CSX เป็นต้น รวมทั้งการมีกลุ่มผู้ปฏิบัติงานทางไซเบอร์ ผู้เชี่ยวชาญที่ให้คำปรึกษา และคู่ค้าทั้งจากภายใน และต่างประเทศที่ร่วมในการทำงานและดูแลระบบในเชิงเทคนิคที่เกี่ยวข้อง
ผลการดำเนินการด้านบริหารความมั่นคงปลอดภัยไซเบอร์ประจำปี 2566
หัวข้อ | เป้าหมาย | จำนวนกลุ่มเป้าหมาย | คิดเป็น |
---|---|---|---|
การอบรม Cybersecurity Awareness | พนักงานร้าน สำนักงาน | 94,934 ราย | ร้อยละ 100 |
การอบรม Cybersecurity Engineer | ผู้ดูแลระบบความปลอดภัย | 31 ราย | ร้อยละ 100 |
การทำสอบ Cyber Drill | สำนักงาน | 14,484 ราย | ร้อยละ 100 |
การซ้อมแผน Incident Response Plan | ผู้บริหาร | CMC, BIRT, CSIRT Team | ร้อยละ 100 |
หัวข้อ | ค่าเฉลี่ยอุตสาหกรรม | ค่าประเมินที่ได้ |
---|---|---|
การประเมินโดย Cybersecurity Self-Assessment By CPG | ร้อยละ 88 | ร้อยละ 89 |
การประเมินโดย Cybersecurity Resilience Survey By SET | 2.01 (1.0 – 5.0) | 4.43 |
การประเมินโดย Security Rating By BitSight Service | 730 (100 – 900) | 800 |
บริษัทฯ ได้ดำเนินการประเมินความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework และดำเนินการเพื่อปรับปรุงยกระดับความมั่นคงปลอดภัยทางไซเบอร์ ที่โดดเด่น ในปี 2566 ดังนี้
ลำดับ | กระบวนการ | โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2566 |
---|---|---|
1 | การระบุประเด็นความเสี่ยง (Identify) | บริษัทฯ ประเมินระบบความปลอดภัยเทคโนโลยีสารสนเทศ เทียบกับมาตรฐานสากล (Cybersecurity Gap Analysis) ตามมาตรฐาน NIST ประจำปี 2566 โดยผลการประเมินสรุปเป็นประเด็นหลัก ดังนี้
|
2 | การป้องกันระบบขององค์กร (Protect) | บริษัทฯ มีการปรับปรุงกระบวนการเข้าถึงระบบงานสำคัญ โดยนำเทคโนโลยีการพิสูจน์ตัวบุคคล (Privilege Assessment Management & 2FA) รวมถึงการเข้ารหัสที่ระดับเครื่องผู้ใช้งาน (Disk Encryption) มายกระดับเพื่อเพิ่มความปลอดภัย ลดความเสี่ยง ในการถูกโจรกรรมข้อมูล และสอดคล้องกับการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 โดยมีการดำเนินงานดังนี้
|
3 | การตรวจจับสถานการณ์ที่ผิดปกติ (Detect) | บริษัทฯ ดำเนินยกระดับศูนย์เฝ้าระวังความปลอดภัยไซเบอร์ (Security Operation Center) โดยการปรับปรุงการเฝ้าระวัง การจัดเก็บ การวิเคราะห์เหตุการณ์การละเมิดความมั่นคงปลอดภัย ที่ทำงานบนเทคโนโลยีแบบรวมศูนย์ข้อมูล และมีทีมเฝ้าระวังตลอดเวลา |
4 | การรับมือสถานการณ์ที่ผิดปกติ (Respond) | บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดยได้ดำเนินการซ้อมแผนรับมือ การจำลองเหตุการณ์การโจมตีระบบไอทีที่สำคัญ กรณีเรียกค่าไถ่ และละเมิดข้อมูลส่วนบุคคล รวมถึงการทดสอบพนักงานเกี่ยวกับการตอบสนองต่อเมลหลอกหลวง (Phishing Simulations Test) |
5 | การฟื้นฟูระบบ (Recover) | บริษัทฯ จัดให้มีการทดสอบกู้ข้อมูลระบบ Backup & Recovery ปีละ 2 ครั้งและสามารถกู้คืนได้ตามเป้าหมาย |
นโยบายและแนวปฏิบัติที่เกี่ยวข้อง
นโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ | ดาวน์โหลด |