1. การถ่ายทอดเนื้อหาของ GCMS (Deployment) โดยการ สื่อสารและการฝึกอบรม เพื่อสร้างความเข้าใจให้แก่ ผู้บริหารและพนักงานทุกระดับ 2. การประเมินขั้นต้น (Baseline Assessment) โดยใช้ GCMS Scoring Toolkit เพื่อวิเคราะห์และก� ำหนดแผนการ ปรับปรุงกระบวนการและผลการด� ำเนินงาน (Gap Closure Plan) ให้เป็นไปตามข้อก� ำหนดของ GCMS 3. การด� ำเนินงานตาม Gap Closure Plan เพื่อปรับปรุง กระบวนการและผลการด� ำเนินงาน 4. การวัดผลการด� ำเนินงาน (Performance Measures) เป็นการติดตามวัดผลตามตัวชี้วัดหรือ KPI ที่ก� ำหนดไว้ใน GCMS เพื่อเพิ่มประสิทธิผลของกระบวนการต่างๆ อย่าง ต่อเนื่อง ทั้งนี้ ตามแผนงานหลัก บริษัทฯ จะใช้ GCMS เป็นกรอบในการ ตรวจประเมินระบบบริหารจัดการภายในองค์กร (Internal Assessment) ในปี พ.ศ. 2565 และจะเริ่มขยายไปยัง บริษัทในกลุ่ม (Subsidiaries) ตั้งแต่ปี 2566 เป็นต้นไป (3) การก� ำกับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศ (IT Governance) บริษัทฯ ได้ใช้กรอบการบริหารจัดการ GCMS ซึ่งเป็น Integrated Management System ของบริษัทฯ และใช้กรอบมาตรฐาน COBIT 5 (IT Framework), TQA (Thailand Quality Award) และ GC Way of Conduct มาก� ำหนดมาตรฐานด้านเทคโนโลยี สารสนเทศ ซึ่งต้องให้ความส� ำคัญต่อระบบสารสนเทศในด้าน ต่างๆ ได้แก่ คุณภาพของข้อมูลและสารสนเทศ ความปลอดภัย ของข้อมูลและสารสนเทศ ความพร้อมใช้งานของข้อมูลและ สารสนเทศ คุณลักษณะของฮาร์ดแวร์และซอฟต์แวร์ การรักษา ความปลอดภัยบนโลกไซเบอร์ และความพร้อมใช้งานใน ภาวะฉุกเฉิน โดยแบ่งการบริหารเป็น 3 ระดับ ดังนี้ ระดับ Governance คณะกรรมการก� ำกับนโยบายด้านดิจิทัลและเทคโนโลยี สารสนเทศ กลุ่มบริษัทฯ (GC Group’s Digital & IT Steering Committee: DISC) ท� ำหน้าที่ก� ำหนดทิศทาง นโยบาย เป้าหมายด้านดิจิทัลและเทคโนโลยีสารสนเทศ ของกลุ่มบริษัทฯ ให้สอดคล้องเป็นไปในทางเดียวกันและ มั่นใจว่าเป็นไปตามมาตรฐานสากล สามารถเทียบเคียงได้ กับบริษัทสากลชั้นน� ำที่อยู่ในธุรกิจเดียวกัน โดยมีประธาน เจ้าหน้าที่บริหารและกรรมการผู้จัดการใหญ่ เป็นประธาน กรรมการ คณะกรรมการบริหารการลงทุนด้านดิจิทัลและเทคโนโลยี สารสนเทศ (Digital & IT Investment Management Committee: DIM) ซึ่งประกอบด้วยคณะกรรมการ DIM1 มีหน้าที่ไตร่ตรองการลงทุนมูลค่ามากกว่า 10 ล้านบาท แต่ ไม่เกิน 300 ล้านบาท และคณะกรรมการ DIM2 ไตร่ตรอง การลงทุนมูลค่าไม่เกิน 10 ล้านบาท คณะกรรมการบริหารจัดการความมั่นคงและความปลอดภัย สารสนเทศ (ISMS Committee) มีหน้าที่ก� ำกับดูแลการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security) ด้านไซเบอร์ (Cyber security) และคลาวด์ (Cloud Security) ให้สอดคล้องกับมาตรฐานสากล คณะกรรมการบริหารจัดการ Enterprise Architecture (EA committee) ท� ำหน้าที่พิจารณาการบริหารจัดการ โครงสร้างด้านเทคโนโลยีขององค์กรให้สอดรับกับความ ต้องการใช้งาน และมีความทันสมัยเป็นมาตรฐานสากล เพื่อให้เกิดประโยชน์สูงสุดในการน� ำไปใช้งาน ผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง (Chief Information Security Officer: CISO) ท� ำหน้าที่ก� ำหนด เป้าหมาย และนโยบายด้านการรักษาความมั่นคงปลอดภัย ที่สอดคล้องกับแผนยุทธศาสตร์ของบริษัทฯ พัฒนานโยบาย ด้านการรักษาความปลอดภัยสารสนเทศ มาตรฐานขั้นตอน และแนวปฏิบัติ เพื่อให้บริษัทฯ ได้มาซึ่งการรักษาความลับ ของข้อมูล (Confidentiality) การรักษาความถูกต้องของ ข้อมูล (Integrity) และเสถียรภาพความมั่นคงของระบบ สารสนเทศ (Availability) และประสานงานควมคุมและ รายงานเหตุภัยคุกคามทางด้านไซเบอร์ไปยังผู้บริหารระดับสูง และส� ำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ ระดับ Management ก� ำหนดนโยบายการบริหารจัดการข้อมูลและสารสนเทศ เช่น ด้าน Information Security (IS) ด้าน Cyber security Policy ด้าน Cloud Security Policy ด้าน Service Level Agreement (SLA) ด้าน Secure System Development Life Cycle (SSDLC) และด้าน Data Protection เป็นต้น น� ำระบบ ISO Series (ISO 27001, ISO 27701 และ ISO 22301) มาใช้เป็นกรอบปฏิบัติและควบคุมการปฏิบัติการ ของผู้ใช้งาน เพื่อให้ข้อมูลและสารสนเทศมีความถูกต้อง แม่นย� ำ และพร้อมใช้ รวมทั้งน� ำระบบการตรวจติดตามทั้ง ภายในและภายนอกมาตรวจติดตามทวนสอบกระบวนการ ต่างๆ เพื่อให้ข้อมูลและสารสนเทศนั้นมีความถูกต้อง น่าเชื่อถือ และคงสภาพ ระดับ Operation ก� ำหนดระบบ วิธีปฏิบัติ และการบริการต่างๆ ให้ผู้ใช้งาน ได้ปฏิบัติตาม พร้อมทั้งได้ประกาศและจัดเก็บในระบบ อินเทอร์เน็ตเพื่อให้ผู้ใช้งานได้ศึกษาเพิ่มเติม พร้อมกับมี การแจ้งข่าวสารด้านไอทีทางอีเมลเป็นประจ� ำทุก 2 สัปดาห์ ยกเว้นมีเหตุฉุกเฉินจะแจ้งให้ทราบทันที ติดตามผลการท� ำงานและน� ำผลการตรวจติดตามมา ปรับปรุงการบริหารจัดการและการให้บริการด้านไอที และ ดูแลปรับปรุงความมั่นคงปลอดภัยทางด้านเทคโนโลยี ให้ทันสมัย รวมถึงรายงานต่อผู้บริหารและคณะกรรมการ ที่ดูแลรับผิดชอบอย่างสม�่ ำเสมอ 181 การประกอบธุรกิจ และผลการดำ �เนินงาน การกำ �กับดูแลกิจการ งบการเงิน ภาคผนวก
RkJQdWJsaXNoZXIy ODg4NTI=