แนวทางการดำเนินงาน
โครงสร้างคณะกรรมการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์

บริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย (“บริษัทฯ”) ให้ความสำคัญกับการพัฒนาและสร้างความเข้มแข็งให้แก่ธุรกิจอย่างต่อเนื่องมีการนำเทคโนโลยีสารสนเทศ และเทคโนโลยีความปลอดภัยทางไซเบอร์มาใช้อย่างเหมาะสมเพื่อเพิ่มประสิทธิผลและประสิทธิภาพของสินค้า บริการ รวมถึงการปรับปรุงระบบงานภายใน ตั้งแต่โครงสร้างพื้นฐานการสื่อสารทั้งภายในและภายนอกองค์กร การเก็บ และรวบรวมข้อมูลตลอดสายโซ่ธุรกิจการวางแผนการผลิตและการขนส่ง การเพิ่มผลผลิตในโรงงาน การควบคุมคุณภาพของกระบวนการผลิตการเพิ่มคุณภาพการให้บริการทั้งก่อนและหลังการขาย การซ่อมบำรุง เป็นต้น พนักงานจะมี User Account เฉพาะของตนเองเพื่อใช้ในการเข้าถึงระบบและบริการขององค์กรตามสิทธิและความจำเป็นที่เกี่ยวข้องกับการปฏิบัติงานและเพื่อให้การใช้งานเทคโนโลยีสารสนเทศและไซเบอร์เกิดความปลอดภัย องค์กรมีการออกนโยบายเกี่ยวกับเทคโนโลยีสารสนเทศ (Information Technology Policy) เพื่อเป็นแนวทางในการใช้งานข้อมูล การปฏิบัติงาน การพัฒนา และการบำรุงรักษาระบบเทคโนโลยีสารสนเทศให้เป็นไปอย่างเหมาะสม สอดคล้องกับกฎหมาย ตลอดจนข้อกำหนดด้านการรักษาความมั่นคงปลอดภัยที่เกี่ยวข้องทั้งพนักงาน คู่ค้า และลูกค้าบริษัทผ่านการรับรองมาตรฐานสากลต่างๆ เช่น ISO/IEC 20000 ด้านการให้บริการเทคโนโลยีสารสนเทศอย่างมีคุณภาพ ISO/IEC 27001 ด้านการบริหารจัดการเทคโนโลยีสารสนเทศอย่างมั่นคงปลอดภัย ISO/IEC 27701 ด้านการจัดการข้อมูลส่วนบุคคล และ PCI/DSS V3.1 ด้านความปลอดภัยข้อมูลการชำระเงิน เป็นต้น
บริษัทฯ มีการจัดโครงสร้างการบริหารเพื่อให้เกิดบูรณาการจากส่วนกลาง และกลุ่มธุรกิจ โดยมีหน่วยงานกลางรับผิดชอบและให้การสนับสนุน คณะทำงานประกอบด้วย IT Governance Committee รับผิดชอบกำหนดนโยบาย และแนวทางการใช้งานระบบ การติดตามโครงการลงทุนด้านเทคโนโลยีสารสนเทศและไซเบอร์ให้เป็นไปในแนวทางเดียวกันและสอดคล้องกับกลยุทธ์ทางธุรกิจ
การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและไซเบอร์
บริษัทฯ มีการกำกับดูแลผ่านคณะกรรมการบริหารความเสี่ยงระดับองค์กร (Enterprise Risk Management) ซึ่งรับผิดชอบในการบริหารจัดการจัดการความเสี่ยงทั้งระบบ โดยมีการจัดการผ่านคณะทำงานจัดการความเสี่ยง (Risk Champion & Risk Manager) และมีหน่วยงาน Digital Governance ทำหน้าที่บริหารจัดการ และประเมินความเสี่ยงด้านเทคโนโลยีสารสนเทศ และนำสู่การปฏิบัติการลดความเสี่ยงดังกล่าวโดยหน่วยงานที่เกี่ยวข้องต่อไป ทั้งนี้ภัยคุกคามทางไซเบอร์ถือเป็นภัยคุกคามหนึ่งที่มีโอกาสให้เกิดผลกระทบหรือมีความเสี่ยงต่อข้อมูลและระบบเทคโนโลยีสารสนเทศ บริษัทฯ ยังได้ประเมิน ติดตาม แลกเปลี่ยนภัยคุกคามทางไซเบอร์ที่เกิดขึ้นกับองค์กรอื่น ทั้งที่อยู่ในอุตสาหกรรมแบบเดียวกัน และอุตสาหกรรมที่แตกต่าง เพื่อเรียนรู้และประเมินโอกาสเสี่ยงที่สามารถเกิดกับบริษัทฯ และมีโอกาสที่จะสร้างผลเสียหายต่อลูกค้า ผู้มีส่วนได้ส่วนเสีย และคู่ค้าธุรกิจได้
เป้าหมายการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์
บริษัทฯ มีความมุ่งมั่นในการพัฒนาและนำระบบเทคโนโลยีสารสนเทศมาใช้งานโดยให้มีความมั่นคงปลอดภัยคงไว้ซึ่งการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของสารสนเทศทั้งหมด และการปฏิบัติที่สอดคล้องกับข้อกำหนดทางกฎหมายไอทีที่สำคัญ เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ 2562 เป็นต้นโดยดำเนินการด้วยหลักการ และแนวปฏิบัติการบริหารจัดการดังนี้
หลักการ
ด้านมาตรการจัดการด้านความมั่นคงปลอดภัยไซเบอร์กลุ่มธุรกิจ ซีพี ออลล์
บริษัทฯ ได้นำ NIST Cybersecurity Framework เป็นกรอบทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ระดับสากล และทำการประเมินความเสี่ยงเพื่อนำสู่มาตรการป้องกัน ตรวจจับ ตอบสนอง แก้ไขฟื้นฟู เพื่อให้ข้อมูลและสารสนเทศมีความมั่นคงปลอดภัย และพร้อมให้บริการอย่างต่อเนื่อง

Identify

Protect

Detect

Respond

Recover
ด้านบุคลากรการสร้างวัฒนธรรมองค์กรให้มีสุขอนามัยไซเบอร์ที่ปลอดภัย
บริษัทฯ ให้ความสำคัญอย่างยิ่งในการสร้างวัฒนธรรมองค์กรและความตระหนักรู้เท่าทันต่อภัยไซเบอร์ โดยแบ่งกลุ่มเป้าหมายเป็น 4 กลุ่ม ได้แก่
การให้ความสำคัญและติดตามจากผู้บริหารระดับสูง
การฝึกอบรมและการสร้างความตระหนักเรื่องความปลอดภัยข้อมูลและไซเบอร์
การสร้างแรงจูงใจด้วยรางวัลและบทลงโทษที่ชัดเจน
การวัดผลปรับปรุงมาตรการและส่งเสริมการมีวัฒนธรรมความปลอดภัยสม่ำเสมอ
แนวปฏิบัติการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์
บริษัทฯ มีการบริหารจัดการความมั่นคงปลอดภัยไซเบอร์โดยมีเป้าหมายตามที่กำหนดข้างต้น โดยกำหนดแนวปฏิบัติที่สำคัญ และดำเนินการผ่านทั้งด้านการส่งเสริมให้บุคลากรทุกระดับมีสุขอนามัยไซเบอร์ที่ปลอดภัย การประเมินควบคุมให้ระบบงานสำคัญได้ตามมาตรฐานความปลอดภัยที่กำหนด และมีปฏิบัติการโดยทีมผู้ดูแลระบบทั้งเชิงป้องกัน เฝ้าระวัง ยับยั้ง ด้วยเทคโนโลยีที่เหมาะสม รองรับกับสภาพแวดล้อมทางธุรกิจ และภัยคุกคามทางไซเบอร์ ที่เปลี่ยนแปลงตลอดเวลา

งานสร้างวัฒนธรรมองค์กรมีสุขอนามัยไซเบอร์ที่ปลอดภัย
Cyber Hygiene Culture

งานควบคุมมาตรฐานความปลอดภัยไซเบอร์
Cyber Assurance

งานปฏิบัติการ เฝ้าระวัง และแก้ไขภัยไซเบอร์
Cyber Operation
โดยดำเนินการกิจกรรมข้างต้นผ่านทางบุคลากร (People) กระบวนการ (Process) และเทคโนโลยี (Technology) ดังนี้

บุคลากร

กระบวนการ

เทคโนโลยี
นโยบาย
บริษัทฯ บริหารจัดการด้านความความมั่นคงปลอดภัยทางไซเบอร์ ภายใต้นโยบายการรักษาความปลอดภัยเทคโนโลยีสารสนเทศ และมาตรฐานแนวปฏิบัติที่กำหนด ซึ่งมีผลบังคับใช้กับบริษัท ซีพี ออลล์ จำกัด (มหาชน) และบริษัทย่อย รวมถึงกรรมการผู้บริหาร พนักงาน และผู้ให้บริการบุคคลภายนอกที่ได้รับอนุญาติให้เข้าถึงข้อมูลสารสนเทศในแต่ละระดับชั้นความลับทุกคน
กระบวนการ
บริษัทฯ ได้จัดตั้งหน่วยงานด้านปฏิบัติการและดูแลระบบความปลอดภัยข้อมูลและไซเบอร์ โดยมีผู้บริหารระดับสูงความปลอดภัยไซเบอร์ (Chief Security Officer) และผู้บริหารเจ้าหน้าที่คุ้มครองข้อมูล (Data Protection Officer) รับผิดชอบโดยตรง โดยบริการด้านระบบข้อมูลและความปลอดภัยสารสนเทศได้รับการรับรองในมาตรฐานสากล
ดังนี้ มาตรฐานด้านการให้บริการเทคโนโลยีสารสนเทศ ISO/IEC 20000 มาตรฐานด้านการบริหารความมั่นคงปลอดภัยข้อมูลสารสนเทศ ISO/IEC 27001 มาตรฐานด้านการจัดการข้อมูลส่วนบุคคล ISO/IEC27701 และมาตรฐานด้านความปลอดภัยการชำระเงิน PCI/DSS V3.1 เป็นต้น
เทคโนโลยี
บริษัทฯ มีการลงทุนศูนย์คอมพิวเตอร์ที่ได้มาตรฐานระดับสากล พร้อมศูนย์คอมพิวเตอร์สำรองที่พร้อมทำงานได้แบบทันที และกำหนดให้มีการจัดเก็บข้อมูลลูกค้าและสารสนเทศที่สำคัญไว้ภายในศูนย์คอมพิวเตอร์ดังกล่าวภายใต้การออกแบบแบ่งโซน และการควบคุมการเข้าถึงสำหรับผู้ได้รับอนุญาตเท่านั้น สำหรับการบริหารความเสี่ยงด้านภัยคุกคามทางไซเบอร์ บริษัทฯ ได้ติดตั้งเทคโนโลยีที่เหมาะสมเพื่อทำหน้าที่ ป้องกัน ตรวจจับ ยับยั้งและแจ้งเตือนดังนี้ Firewall, Intrusion Prevention System, Anti-Malware, Web & Mail Security, Threats Detect & Prevention System, Active Directory, Two-Factor Authentication, Privileged Access Management , Patch Management, Security Information and Event Management (SIEM) รวมทั้งมีการทำ Vulnerability Assessment and Penetration Testing ในระบบสำคัญ ทั้งก่อนให้บริการ หรือเมื่อมีการเปลี่ยนแปลงสำคัญ และทบทวนประจำปี
บุคลากร
บริษัทฯ มีการฝึกอบรม พร้อมทดสอบเพื่อสร้างความตระหนักและระวังภัยคุกคามทางไซเบอร์ ผ่านการทำ Cyber Security Awareness และ Cyber Drill ให้กับพนักงาน และผู้บริหารทุกระดับ บริษัทฯ ให้ความสำคัญกับทีมงานผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยด้วยการสนับสนุน และส่งเสริมให้มีการอบรม สอบ และผ่านการรับรองมาตรฐานสากล เช่น CISSP, CISA, CDPSE, C|HE (Certified Ethical Hacker) CompTIA Security+, CC , CSX เป็นต้น รวมทั้งการมีกลุ่มผู้ปฏิบัติงานทางไซเบอร์ ผู้เชี่ยวชาญที่ให้คำปรึกษา และคู่ค้าทั้งจากภายใน และต่างประเทศที่ร่วมในการทำงานและดูแลระบบในเชิงเทคนิคที่เกี่ยวข้อง
การควบคุมและการปฏิบัติด้านความปลอดภัยของข้อมูล
บริษัท ซีพี ออลล์ จำกัด (มหาชน) ให้ความสำคัญกับการบริหารความเสี่ยงด้านไซเบอร์เพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่องแม้ในสถานการณ์ที่เกิดภัยคุกคามหรือการโจมตีทางไซเบอร์ โดยบริษัทมีการจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) ที่ครอบคลุม และเชื่อมโยงกับแผนฟื้นฟูระบบไอที (Disaster Recovery Plan: DRP) และ แผนตอบสนองเหตุการณ์ด้านไซเบอร์ (Incident Response Plan: IRP)
แผนทั้งหมดถูกออกแบบให้สามารถทำงานร่วมกันภายใต้กระบวนการบริหารเหตุการณ์ (Incident Management Process) เพื่อรับมือและลดผลกระทบจากการโจมตีระบบหรือเหตุขัดข้องทางไอที พร้อมทั้งมีการซ้อมตามแผน DRP อย่างน้อยปีละ 1 ครั้ง และทบทวนปรับปรุง BCP & IRP อย่างต่อเนื่อง
นอกจากนี้ บริษัทยังมีมาตรการด้านความมั่นคงปลอดภัยและการควบคุมความเสี่ยงที่เข้มงวด เพื่อให้การดำเนินธุรกิจมีความต่อเนื่อง และสอดคล้องกับข้อกำหนดของกฎหมายที่เกี่ยวข้อง เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) และแนวทางตามมาตรฐานสากลด้านความมั่นคงปลอดภัยไซเบอร์ (NIST CSF)
บริษัท ซีพี ออลล์ จำกัด (มหาชน) ให้ความสำคัญอย่างยิ่งต่อความสามารถในการดำเนินธุรกิจอย่างต่อเนื่อง แม้ในสถานการณ์ที่ไม่คาดคิด โดยได้จัดทำแผนความต่อเนื่องทางธุรกิจ (BCP) ที่ครอบคลุมถึงเหตุการณ์สำคัญต่าง ๆ ที่อาจกระทบต่อการดำเนินงานและความมั่นคงปลอดภัยของข้อมูล ทั้งในด้านกายภาพและทางไซเบอร์ ดังนี้:
1) กรณีเกิดเหตุไฟดับหรือไฟไหม้ (Blackout หรือ Fire Incident)
บริษัทมีแนวทางและกระบวนการปฏิบัติที่ชัดเจน เพื่อรองรับเหตุการณ์ฉุกเฉิน เช่น ไฟฟ้าดับหรือไฟไหม้ ซึ่งอาจส่งผลต่อการให้บริการหรือระบบที่สำคัญขององค์กร โดยมีมาตรการดังต่อไปนี้:
แนวทางเหล่านี้ถูกออกแบบเพื่อให้สามารถจำกัดผลกระทบ ปกป้องชีวิตและทรัพย์สิน และดำเนินธุรกิจได้อย่างต่อเนื่อง
2) กรณีเกิดภัยคุกคามด้านความมั่นคงปลอดภัยของข้อมูล (Information Security Threats)
บริษัทมีการจัดทำแผนตอบสนองเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ (Incident Response Plan: IRP) ซึ่งบูรณาการเข้ากับแผน BCP และ DRP อย่างเป็นระบบ เพื่อรับมือกับภัยคุกคามที่เกี่ยวข้องกับระบบสารสนเทศ เช่น การโจมตีด้วย Ransomware, การรั่วไหลของข้อมูล, การเข้าถึงโดยไม่ได้รับอนุญาต หรือการหยุดชะงักของบริการ โดยมีแนวปฏิบัติดังนี้:
แนวปฏิบัติเหล่านี้ สะท้อนถึงความมุ่งมั่นของบริษัทในการรักษาความมั่นคงปลอดภัยของข้อมูล เสริมสร้างความเชื่อมั่น และปฏิบัติตามข้อกำหนดทางกฎหมายอย่างเคร่งครัด
ซีพี ออลล์ ดำเนินการตรวจสอบและประเมินความเสี่ยงด้านความมั่นคงปลอดภัยของข้อมูลอย่างต่อเนื่องในหลากหลายมิติ เพื่อป้องกันภัยคุกคามทางไซเบอร์และเสริมสร้างความมั่นใจในการให้บริการ โดยมีแนวทางปฏิบัติที่ครอบคลุมทั้งระบบทั่วไป ระบบธุรกิจสำคัญ และระบบที่เปิดให้ใช้งานผ่านอินเทอร์เน็ต ดังนี้
1. การประเมินช่องโหว่ระบบงานทั่วไป (Vulnerability Assessment)
ดำเนินการสแกนและประเมินช่องโหว่ในระบบงานทั้งหมดแบบอัตโนมัติและต่อเนื่อง โดยในปี 2024 ผลการประเมินภาพรวมอยู่ในระดับ เกรด “C” (จากระดับ A ถึง F) หน่วยงานที่เกี่ยวข้องมีการติดตาม เฝ้าระวัง และดำเนินการแก้ไขช่องโหว่ที่มีความเสี่ยงสูง เพื่อให้ระบบมีความปลอดภัยและให้บริการอย่างต่อเนื่อง
2. การทดสอบความมั่นคงปลอดภัยของระบบงานสำคัญ (Penetration Testing)
ระบบงานธุรกิจสำคัญจะต้องผ่านการทดสอบความมั่นคงปลอดภัยก่อนเปิดให้บริการ โดยดำเนินการร่วมกับผู้เชี่ยวชาญภายนอก (Third-Party Service) เพื่อค้นหาและปิดช่องโหว่ที่อาจถูกใช้โจมตี ในปี 2024 บริษัทได้ดำเนินการทดสอบระบบ (Application Pentest) รวมจำนวน 20 ระบบงานสำคัญต่อทางธุรกิจ
3. การจัดอันดับความมั่นคงปลอดภัยของเว็บไซต์ (Security Rating)
เว็บไซต์ข้อมูลและบริการบนเครือข่ายอินเตอร์เน็ตของบริษัทได้รับการประเมินโดยผู้ให้บริการอิสระ คือ Bitsight Service ผ่านการตรวจหาช่องโหว่ วิเคราะห์ช่องโหว่ และประเมินถึงความเสี่ยงจากภัยคุกคามทางไซเบอร์รวมกว่า 250 หมายเลขไอพี ครอบคลุมทั้งองค์กร ผลการประเมินปี 2024 ได้รับคะแนน 780 คะแนน (ระดับ A) ซึ่งสูงกว่าค่าเฉลี่ยสากลที่อยู่ที่ 730 คะแนน สะท้อนถึงสถานะความมั่นคงปลอดภัยที่อยู่ในระดับดี และอยู่ภายใต้การควบคุมอย่างมีประสิทธิภาพ
บริษัท ซีพี ออลล์ จำกัด (มหาชน) ให้ความสำคัญต่อการบริหารจัดการด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยของข้อมูลในทุกกระบวนการที่เกี่ยวข้อง โดยดำเนินการตามมาตรฐานสากลที่ได้รับการยอมรับ เพื่อเสริมสร้างความมั่นใจในการให้บริการทั้งภายในและภายนอกองค์กร
บริษัทได้มอบหมายให้ที่ปรึกษาผู้เชี่ยวชาญและหน่วยงานผู้ตรวจประเมินจากภายนอกเข้ามาดำเนินการตรวจสอบ ทบทวน และให้ข้อเสนอแนะในการปรับปรุงอย่างต่อเนื่อง จนนำไปสู่การผ่านการรับรองมาตรฐานที่เกี่ยวข้อง ดังนี้:
ISO/IEC 20000: มาตรฐานการบริหารจัดการบริการด้านเทคโนโลยีสารสนเทศ (IT Service Management)
ครอบคลุมหน่วยงานให้บริการด้าน IT ภายในองค์กร โดยมีการประเมินและต่ออายุการรับรองเป็นประจำทุกปี เพื่อให้มั่นใจว่าการให้บริการด้านเทคโนโลยีสารสนเทศมีประสิทธิภาพ รองรับการดำเนินธุรกิจที่ต่อเนื่องและตอบสนองต่อความต้องการของผู้ใช้งานอย่างมืออาชีพ
ISO/IEC 27000: มาตรฐานระบบการจัดการความมั่นคงปลอดภัยของข้อมูล (Information Security Management Systems)
ครอบคลุมระบบงานสำคัญขององค์กร เช่น ศูนย์ปฏิบัติการคอมพิวเตอร์ (IT Operation & Computer Center), ระบบจองและรับชำระเงิน (Bill & Payment), ระบบข้อมูลลูกค้าและสมาชิก (All Member), ระบบขายออนไลน์ (24Shopping), ระบบงานทรัพยากรบุคคล (HRIS) ทั้งนี้เพื่อให้มั่นใจว่ามาตรการควบคุมความปลอดภัยครอบคลุมและมีประสิทธิภาพในระดับองค์กร
ISO/IEC 27701: มาตรฐานระบบการจัดการข้อมูลส่วนบุคคล (Privacy Information Management Systems)
ครอบคลุมระบบงานที่เกี่ยวข้องกับการจัดเก็บ ประมวลผล และบริหารข้อมูลส่วนบุคคลของลูกค้าและพนักงาน เช่น ระบบจองและรับชำระเงิน (Bill & Payment), ระบบข้อมูลลูกค้าและสมาชิก (All Member), ระบบการขายออนไลน์ (24Shopping), ระบบทรัพยากรบุคคล (HRIS) โดยมีการควบคุมและดำเนินการตามหลักการคุ้มครองข้อมูลส่วนบุคคลอย่างเคร่งครัด และสอดคล้องกับกฎหมายที่เกี่ยวข้อง เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA)
พนักงานและผู้ใช้งานสามารถแจ้งเหตุการณ์ที่น่าสงสัยหรือปัญหาด้านความมั่นคงปลอดภัยสารสนเทศ ผ่านช่องทางที่บริษัทกำหนด ได้แก่ Hotline Call 02 071-1500, 02-826-7733 หรืออีเมลถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคค privacy@cpall.co.th หรือผู้ดูแลระบบความปลอดภัยไซเบอร์ itsecurity@gosoft.co.th
ข้อมูลที่ได้รับจะถูกบันทึกในระบบจัดการเหตุการณ์ (Incident Management System) และส่งต่อให้หน่วยงานที่รับผิดชอบ รวมถึงทีมบริหารความมั่นคงปลอดภัยสารสนเทศ เพื่อดำเนินการตรวจสอบ วิเคราะห์ และแก้ไขปัญหาอย่างเร่งด่วน
เมื่อเหตุการณ์ได้รับการจัดการเรียบร้อยแล้ว จะดำเนินการตามขั้นตอนหลังเหตุการณ์ตามแผนที่กำหนด เช่น จัดทำรายงานติดตามผล และประชุมถอดบทเรียนเพื่อป้องกันการเกิดซ้ำ
ผลการดำเนินการด้านบริหารความมั่นคงปลอดภัยไซเบอร์ประจำปี 2567
หัวข้อ | เป้าหมาย | จำนวนกลุ่มเป้าหมาย | คิดเป็น |
---|---|---|---|
การอบรม Cybersecurity Awareness | พนักงานร้าน สำนักงาน | 116,179 ราย | ร้อยละ 100 |
การอบรม Cybersecurity Engineer | ผู้ดูแลระบบความปลอดภัย | 31 ราย | ร้อยละ 100 |
การทำสอบ Cyber Drill | สำนักงาน | 10,388 ราย | ร้อยละ 100 |
การซ้อมแผน Incident Response Plan | ผู้บริหาร | CMC, BIRT, CSIRT Team | ร้อยละ 100 |
หัวข้อ | ค่าเฉลี่ยอุตสาหกรรม | ค่าประเมินที่ได้ |
---|---|---|
การประเมินโดย Cybersecurity Self-Assessment By CPG | ร้อยละ 88 | ร้อยละ 91 |
การประเมินโดย Cybersecurity Resilience Survey By SET | 1.71 (1.0 – 5.0) | 3.52 |
การประเมินโดย Security Rating By BitSight Service | 730 (100 – 900) | 780 |
บริษัทฯ ได้ดำเนินการประเมินความเสี่ยงทางด้านไซเบอร์ตามกรอบการดำเนินงาน NIST Framework และดำเนินการเพื่อปรับปรุงยกระดับความมั่นคงปลอดภัยทางไซเบอร์ ที่โดดเด่น ในปี 2567 ดังนี้
ลำดับ | กระบวนการ | โครงการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ที่โดดเด่นในปี 2567 |
---|---|---|
1 | การระบุประเด็นความเสี่ยง (Identify) | บริษัทฯ ประเมินระบบความปลอดภัยเทคโนโลยีสารสนเทศ เทียบกับมาตรฐานสากล (Cybersecurity Gap Analysis) ตามมาตรฐาน NIST ประจำปี 2567 โดยผลการประเมินสรุปเป็นประเด็นหลัก ดังนี้
|
2 | การป้องกันระบบขององค์กร (Protect) | บริษัทฯ มีการยกระดับกระบวนการพัฒนาซอฟต์แวร์ให้มีความปลอดภัยตั้งแต่เริ่ม และมีการนำเทคโนโลยีมาช่วยในการลดความเสี่ยงจากช่องโหว่ใหม่ๆ ที่อาจเป็นภัยคุกคามทางไซเบอร์ ซึ่งมีโอกาสเกิดขึ้นได้ ดังนี้
|
3 | การตรวจจับสถานการณ์ที่ผิดปกติ (Detect) | บริษัทฯ ขยายผลด้านศูนย์เฝ้าระวังความปลอดภัยไซเบอร์ (Security Operation Center) โดยนำเทคโนโลยี AI มาช่วยในการวิเคราะห์เหตุการณ์การละเมิดความมั่นคงปลอดภัยไซเบอร์ และการติดตามการรั่วไหลของข้อมูล (Data Leak Monitoring) โดยเป็นการเฝ้าระวังข้อมูลที่รั่วไหลหรือถูกเปิดเผยโดยไม่ได้รับอนุญาต ซึ่งอาจเกิดขึ้นได้ทั้งจากการโจมตีทางไซเบอร์ หรือการละเลยด้านความปลอดภัยภายในองค์กร |
4 | การรับมือสถานการณ์ที่ผิดปกติ (Respond) | บริษัทฯ เตรียมความพร้อมรับมือสถานการณ์ที่ผิดปกติอย่างต่อเนื่อง โดยได้ดำเนินการซ้อมแผนรับมือ การจำลองเหตุการณ์การโจมตีระบบไอทีที่สำคัญ กรณีเรียกค่าไถ่ และละเมิดข้อมูลส่วนบุคคล การสื่อสาร รวมถึงการทดสอบพนักงานเกี่ยวกับการตอบสนองต่อเมลหลอกหลวง (Phishing Simulations Test) ซึ่งมีการดำเนินการต่อเนื่องตลอดปี |
5 | การฟื้นฟูระบบ (Recover) | บริษัทฯ เตรียมความพร้อมในระบบสำรองที่ครอบคลุมถึงระบบสำคัญทางธุรกิจ โดยมีการทดสอบความพร้อมของระบบและทีมปฏิบัติการที่เกี่ยวข้องตามแผนงานที่กำหนด |
จำนวนการร้องเรียนที่ได้รับเกี่ยวกับการละเมิดข้อมูลส่วนบุคคลและการสูญหายของข้อมูล
หัวข้อ | เป้าหมาย | 2567 |
---|---|---|
จำนวนการละเมิดความปลอดภัยข้อมูลทั้งหมด | 0 | 0 |
จำนวนลูกค้า ผู้ใช้งาน และพนักงานทั้งหมดที่ได้รับผลกระทบจากการละเมิด | 0 | 0 |
นโยบายและแนวปฏิบัติที่เกี่ยวข้อง
นโยบายการรักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ | ดาวน์โหลด |