การรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ
โครงสร้างคณะกรรมการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์
บริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย (“บริษัทฯ”) ให้ความสำคัญกับการพัฒนาและสร้างความเข้มแข็งให้แก่ธุรกิจอย่างต่อเนื่องมีการนำเทคโนโลยีสารสนเทศและไซเบอร์มาใช้อย่างกว้างขวาง เพื่อเพิ่มประสิทธิผลและประสิทธิภาพของสินค้า บริการ รวมถึงการปรับปรุงระบบงานภายใน ตั้งแต่โครงสร้างพื้นฐานการสื่อสารทั้งภายในและภายนอกองค์กร การเก็บ และรวบรวมข้อมูลตลอดสายโซ่ธุรกิจการวางแผนการผลิตและการขนส่ง การเพิ่มผลผลิตในโรงงาน การควบคุมคุณภาพของกระบวนการผลิตการเพิ่มคุณภาพการให้บริการทั้งก่อนและหลังการขาย การซ่อมบำรุง เป็นต้น พนักงานจะมี User Account เฉพาะของตนเองเพื่อใช้ในการเข้าถึงระบบและบริการขององค์กรตามสิทธิและความจำเป็นที่เกี่ยวข้องกับการปฏิบัติงานและเพื่อให้การใช้งานเทคโนโลยีสารสนเทศและไซเบอร์เกิดความปลอดภัย องค์กรมีการออกนโยบายเกี่ยวกับเทคโนโลยีสารสนเทศ (IT Policy) เพื่อเป็นแนวทางในการใช้งานข้อมูล การปฏิบัติงาน การพัฒนา และการบำรุงรักษาระบบเทคโนโลยีสารสนเทศให้เป็นไปอย่างเหมาะสม สอดคล้องกับกฎหมาย ตลอดจนข้อกำหนดด้านการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้อง สำหรับทั้งพนักงาน และคู่ค้าธุรกิจ รวมทั้งได้มีการนำมาตรฐานและผ่านการรับรองด้านการให้บริการเทคโนโลยีสารสนเทศอย่างมีคุณภาพคือ ISO 20000 และการนำมาตรฐานผ่านการรับรองด้านการให้บริหารจัดการเทคโนโลยีสารสนเทศอย่างปลอดภัยคือ ISO 27001 มาใช้เป็นกรอบในการดำเนินการในส่วนของการบริหารงานด้านเทคโนโลยีสารสนเทศและไซเบอร์ และมาตรฐานความปลอดภัยเกี่ยวกับธุรกรรมการเงินคือ PCI/DSS V.3
บริษัทฯ มีการจัดโครงสร้างการบริหารเพื่อให้เกิดบูรณาการจากส่วนกลาง และกลุ่มธุรกิจ โดยมีหน่วยงานกลางรับผิดชอบและให้การสนับสนุน คณะทำงานประกอบด้วย IT Governance Committee รับผิดชอบกำหนดนโยบาย และแนวทางการใช้งานระบบ การติดตามโครงการลงทุนด้านเทคโนโลยีสารสนเทศและไซเบอร์ให้เป็นไปในแนวทางเดียวกันและสอดคล้องกับกลยุทธ์ทางธุรกิจ
การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและไซเบอร์
บริษัทฯ มีการนำหลักการการบริหารความเสี่ยงเข้ามาใช้ โดยมีคณะกรรมการตรวจสอบกำกับดูแลความเสี่ยงและคณะจัดการบริหารความเสี่ยงในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและ ไซเบอร์ นอกจากการประเมินความเสี่ยงจากกิจกรรมของบริษัทฯ แล้ว บริษัทฯ ยังได้สำรวจภัยคุกคาม ไซเบอร์ที่เกิดขึ้นกับองค์กรอื่นทั้งที่อยู่ในอุตสาหกรรมแบบเดียวกัน และอุตสาหกรรมที่แตกต่าง เพื่อเรียนรู้และประเมินโอกาสเสี่ยงที่สามารถเกิดกับองค์กร และยังสามารถสร้างผลเสียหายต่อลูกค้า ผู้มีส่วนได้ส่วนเสีย และคู่ธุรกิจได้
มาตรการบริหารจัดการความปลอดภัยข้อมูลและไซเบอร์
บริษัทฯ มีความมุ่งมั่นในการพัฒนาและนำระบบเทคโนโลยีสารสนเทศมาใช้งานโดยให้มีความมั่นคงปลอดภัยคงไว้ซึ่งการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของสารสนเทศทั้งหมด บริษัทฯ ได้กำหนดมาตรการจัดการด้านความปลอดภัยทางไซเบอร์ ดังนี้
หลักการ
บริษัทได้นำ NIST Cybersecurity Framework เป็นกรอบทำงานด้านความปลอดภัยทางไซเบอร์ และทำการประเมินความเสี่ยง เพื่อป้องกัน ตรวจับ ตอบสนอง และแก้ไขฟื้นฟู เพื่อให้ข้อมูลและสารสนเทศมีความปลอดภัย และพร้อมให้บริการอย่างต่อเนื่อง
นโยบาย
บริษัทฯ บริหารจัดการด้านความความปลอดภัยทางไซเบอร์ ภายใต้นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านระบบสารสนเทศ ซึ่งมีผลบังคับใช้กับบริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย รวมถึงกรรมการผู้บริหาร พนักงาน และผู้ให้บริการบุคคลภายนอกที่ได้รับอนุญาติให้เข้าถึงข้อมูลสารสนเทศในแต่ละระดับชั้นความลับทุกคน
กระบวนการ
บริษัทฯ ได้จัดตั้งหน่วยงานด้านการบริหารจัดการสารสนเทศ ทำหน้าที่การบริหารให้บริการด้านระบบข้อมูลและความปลอดภัยสารสนเทศ ผ่านมาตรฐานการให้บริการด้านไอทีด้วย ISO20000 และมาตรฐานด้านความปลอดภัยด้านศูนย์คอมพิวเตอร์ และระบบรับชำระด้วย ISO27001 และ PCI/DSS V3.0
เทคโนโลยี
บริษัทฯ มีการลงทุนศูนย์คอมพิวเตอร์ที่ได้มาตรฐานระดับสากล พร้อมศูนย์คอมพิวเตอร์สำรองที่พร้อมทำงานได้แบบทันที และกำหนดให้มีการจัดเก็บข้อมูลลูกค้าและสารสนเทศที่สำคัญไว้ภายในศูนย์คอมพิวเตอร์ดังกล่าวภายใต้การออกแบบแบ่งโซน และการควบคุมการเข้าถึงสำหรับผู้ได้รับอนุญาตเท่านั้น สำหรับการบริหารความเสี่ยงด้านภัยคุกคามทางไซเบอร์ บริษัทฯ ได้ติดตั้งเทคโนโลยีที่เหมาะสมเพื่อทำหน้าที่ ป้องกัน ตรวจจับ ยับยั้งและแจ้งเตือน ดังนี้ Firewall, Intrusion Prevention System, Anti-Malware, Web & Mail Security, Threats Detect & Prevention System, Active Directory, Two-Factor Authentication, Privileged Access Management , Patch Management, Security Information and Event Management (SIEM) รวมทั้งมีการทำ Vulnerability Assessment and Penetration Testing ในระบบสำคัญ ทั้งก่อนให้บริการ หรือเมื่อมีการเปลี่ยนแปลงสำคัญ และประจำปี
บุคลากร
มีการฝึกอบรม ทดสอบเพื่อสร้างความตระหนัก และระวังภัยคุกคามทางไซเบอร์ ผ่านการทำ Cyber Security Awareness และ Cyber Drill ให้กับพนักงาน และผู้บริหารทุกระดับ บริษัทฯ ให้ความสำคัญกับทีมงานผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยด้วยการสนับสนุน และส่งเสริมให้มีการอบรม สอบ และผ่านการรับรองมาตรฐานสากล เช่น CISSP, CISA, C|HE (Certified Ethical Hacker) CompTIA Security+ เป็นต้น รวมทั้งการมีกลุ่มผู้ปฏิบัติงานทางไซเบอร์ ผู้เชี่ยวชาญที่ให้คำปรึกษา และคู่ค้าทั้งจากภายใน และต่างประเทศที่ร่วมในการทำงานและดูแลระบบในเชิงเทคนิคที่เกี่ยวข้อง
การปฏิบัติงานประจำวัน และการติดตาม
บริษัทฯ มีทีมงาน IT Operation ที่พร้อมปฏิบัติงานตลอด 24 ชั่วโมง ซึ่งประจำที่ศูนย์คอมพิวเตอร์หลัก ทำหน้าที่เฝ้าระวังและดูแลระบบงานตลอดเวลา และผู้ใช้งานสามารถแจ้งเหตุการณ์การละเมิคความปลอดภัย (Security Incident) หรืออื่น ๆ ได้ผ่านทางเจ้าหน้า Call Center 1500 ได้ตลอดเวลาเช่นกัน การปฏิบัติงานของทีมงานด้านความมั่นคงปลอดภัย จะทำงานผ่านกระบวนการเรียกว่า Incident Management ซึ่งเป็น process หนึ่งในกระบวนการทำงาน ISO20000 โดยมีกำหนดระดับความสำคัญ และการแก้ไข ทั้งนี้จะมีการแจ้งเตือนการบุกรุก หรือการละเมิดแนวปฏิบัติด้านความปลอดภัย ผ่านทางระบบที่กำหนดไว้ ทั้งยับยั้งโดยอัตโนมัติ และแจ้งเตือนให้ผู้ดูแลระบบเข้าไปดำเนินการตรวจสอบ และแก้ไขตามขั้นตอนที่กำหนด
ข้อมูลแสดงรายงานภัยคุกคามทางไซเบอร์ (Cyber Attack) ในรอบ 3 ปี (2017 – 2019)
ซึ่งเป็นการถูกบุกรุกจากภายนอกที่หลุดจากการตรวจสอบโดยอัตโนมัติเข้ามาภายในระบบ โดยพยายามที่จะเข้าถึงระบบ และข้อมูลสำคัญผ่านเทคนิคที่หลากหลายรูปแบบ ได้แก่ Phishing, Ransomware, Brute Force, Malicious Code, DDoS เป็นต้น แต่ในระดับการป้องกันชั้นถัดมาผู้ดูแลระบบได้รับการแจ้งเตือนที่ผิดปกติก็สามารถเข้าไปตรวจสอบ แก้ไขในเคสที่ได้ทำให้ระบบเสียหายได้อย่างรวดเร็ว แต่อยู่ในการควบคุมที่ไม่ส่งผลกระทบต่อระบบอื่น ๆ และข้อมูลสำคัญ ซึ่งกรณีแบบนี้ถือว่ามีโอกาสที่เกิดขึ้นได้ ตรวจจับได้ และแก้ไขได้ทัน ไม่ส่งผลกระทบใด ๆ ต่อการให้บริการปกติ
ข้อมูลจากหน่วยงานผู้ดูแลระบบ วันที่ 20-05-2020 หมายเหตุ: นิยามของประเภทภัยคุกคาม เป็นข้อมูลมาตรฐานจาก ThaiCERT
ข้อมูลแสดงรายงานการรับแจ้งจากผู้ใช้งาน(User Security Incident) ในรอบ 3 ปี (2017 – 2019) ซึ่งเป็นการแจ้งเข้ามายังผู้ให้บริการ (Call Service 1500) ตามขั้นตอน Incident Management และสามารถแก้ไขได้ในระยะเวลาที่กำหนด (SLA) ซึ่งเป็นเหตุการณ์ที่ไม่ปกติจากการใช้งานของผู้ใช้บริการ เช่น การลืมรหัสผ่าน การทำเครื่องสูญหาย การพยายามใช้ด้วยรหัสที่ผิด และการติดไวรัสที่เครื่องผู้ใช้งาน
ข้อมูลจากหน่วยงานผู้ดูแลระบบ และอ้างอิงจากรายงาน Call Service วันที่ 20-05-2020
ข้อมูลแสดงรายงานในรอบ 12 เดือน (17/052019 – 18/05/2020) การตรวจจับภัยคุกคามทางไซเบอร์อัตโนมัติที่พยายามขโมยข้อมูลระบบเครือข่ายบริษัท ที่ระบบสามารถยับยั้งและป้องกันความเสียหายต่อข้อมูลได้ก่อน
ข้อมูลจากหน่วยงานผู้ดูแลระบบ วันที่ 18-05-2020
ข้อมูลแสดงรายงานในรอบ 12 เดือน (17/052019 – 18/05/2020) การตรวจจับภัยคุกคามทางไซเบอร์อัตโนมัติที่พยายามบุกรุกเข้ามาในระบบเครือข่ายบริษัท ที่ระบบสามารถยับยั้งและป้องกันความเสียหายต่อเครือข่ายได้ก่อน
ข้อมูลจากหน่วยงานผู้ดูแลระบบ วันที่ 18-05-2020