การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

ปัจจุบันการดำเนินธุรกิจมีการประยุกต์ใช้เทคโนโลยีดิจิทัลมากขึ้น ทั้งระบบการผลิตและโครงข่ายปฏิบัติงานที่ต้องเชื่อมโยงกับโครงข่ายอินเทอร์เน็ต ซึ่งอาจนำมาสู่ปัจจัยความเสี่ยงด้านภัยคุกคามทางไซเบอร์ (Cyber Threat) อาทิ การถูกโจรกรรมข้อมูลสำคัญต่าง ๆ หรืออาจทำให้ระบบการผลิตเกิดการหยุดชะงักได้ ซึ่งจะกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ ความน่าเชื่อถือ ภาพลักษณ์และชื่อเสียงของบริษัทฯ ดังนั้น บริษัทฯ จึงจัดทำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ และแนวปฏิบัติด้านความปลอดภัยของสินทรัพย์ตามมาตรฐานสากลที่เกี่ยวข้องกับไซเบอร์โดยเฉพาะ

ทั้งนี้ บริษัทฯ เชื่อมั่นว่าการบริหารจัดการความเสี่ยงเป็นเครื่องมือสำคัญในการรับมือกับภัยคุกคามไซเบอร์ รวมถึงสถานการณ์ความไม่แน่นอนและปัจจัยเสี่ยงใหม่ ๆ ที่มีแนวโน้มซับซ้อนและทวีความรุนแรงมากขึ้นกว่าในอดีต บริษัทฯ จึงกำหนดบทบาทหน้าที่ของคณะกรรมการบริหารความเสี่ยงให้ครอบคลุมการพิจารณาทบทวน ให้ความเห็นชอบการปรับปรุงนโยบาย วัตถุประสงค์ และกรอบการบริหารความเสี่ยง (Risk Management Committee) การติดตามการบริหารความเสี่ยงองค์กรอย่างต่อเนื่อง ตลอดจนการให้ข้อคิดเห็นและข้อเสนอแนะในการบริหารจัดการความเสี่ยงให้สอดคล้องและเหมาะสมกับการดำเนินธุรกิจของบริษัทฯ นอกจากนี้ยังรวมถึงการกำกับดูแลกลยุทธ์ หรือให้ข้อคิดเห็นและข้อเสนอแนะแนวทางการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ ของบริษัทฯ อีกด้วย

นอกจากนี้ บริษัทฯ ยังคำนึงถึงระบบการกำกับดูแลและการจัดการเทคโนโลยีสารสนเทศ (Information Technology: IT) ที่ดี ด้วยการจัดตั้ง
1) คณะกรรมการกำกับดูแลระบบดิจิทัลและไอที (Digital and IT Steering (DISC) Committee) เพื่อกำหนดทิศทางของไอทีเป้าหมายและกลยุทธ์ และ
2) คณะกรรมการความปลอดภัยและความมั่นคงสารสนเทศ (Information Safety and Security (ISMS) Committee) เพื่อดูแลความปลอดภัยของข้อมูลที่สำคัญของกลุ่มบริษัท ฯ [กรุณายืนยันชื่อไทยของหน่วยงาน]

ยิ่งไปกว่านั้นบริษัทฯ ได้จัดตั้งสายงาน Transformation Excellence Function ภายใต้การกำกับของประธานเจ้าหน้าที่ปฏิบัติการ ด้านการปฏิรูปธุรกิจสู่ความเป็นเลิศ (Chief Operating Officer – Center of Excellence: COE) (เทียบเท่า Chief Technology Officer) โดยมีหน้าที่รับผิดชอบการกำหนดทิศทางกลยุทธ์สำหรับการเปลี่ยนแปลงทางธุรกิจการแปลงดิจิทัลและเทคโนโลยีสารสนเทศ ตลอดจนรักษาความได้เปรียบในการแข่งขันของบริษัทฯ ทั้งนี้ บริษัทฯ มีการดำเนินงานด้านการกำกับดูแลความปลอดภัยสารสนเทศ และความปลอดภัยทางไซเบอร์ โดยจัดตั้งระบบการตรวจสอบ (Check & Balance System) เพื่อทำการพัฒนา ปรับใช้ และรักษาความยืดหยุ่นของระบบตามระเบียบข้อบังคับทั้งในระดับประเทศและระดับมาตรฐานสากล อาทิ ISO 27001 – การจัดการความปลอดภัยของข้อมูล (ISO 27001– Information Security Management) เป็นต้น

Organization

นอกจากนี้ บริษัทฯ ยังประยุกต์ใช้เทคโนโลยีสารสนเทศเพื่อเพิ่มโอกาสทางธุรกิจ พัฒนาการดำเนินงาน และบริหารความเสี่ยง พร้อมทั้งได้กำหนดแนวปฏิบัติในการกำกับดูแลด้านเทคโนโลยีสารสนเทศในด้านต่าง ๆ และจัดทำกระบวนการการบริหารจัดการข้อมูลและสารสนเทศ เพื่อให้มั่นใจได้ถึง 1) คุณภาพของข้อมูลและข้อมูล 2) ความปลอดภัยของข้อมูลและการปกป้องข้อมูลส่วนบุคคล 3) ความพร้อมใช้ของข้อมูล 4) มาตรฐานฮาร์ดแวร์และซอฟต์แวร์ของบริษัทฯ 5) ความพร้อมใช้ของข้อมูลในกรณีฉุกเฉินและ 6) การกำกับดูแลข้อมูลที่ดี


โดยแบ่งการบริหารจัดการออกเป็น 3 ระดับ ได้แก่
Generic placeholder image
1) ระดับการกำกับดูแล

บริษัทฯ จัดตั้งคณะกรรมการกำกับนโยบายด้านดิจิทัลและเทคโนโลยีสารสนเทศ (GC Group’s Digital & IT Steering (DISC) Committee) เพื่อทำหน้าที่กำหนดทิศทางเป้าหมายและกลยุทธ์ด้านเทคโนโลยีให้สอดคล้องกับนโยบาย ทิศทาง และกลยุทธ์ธุรกิจของกลุ่มบริษัทฯ และจัดตั้งคณะกรรมการบริหารจัดการความมั่นคงและความปลอดภัยสารสนเทศ (Information Safety and Security (ISMS) Committee) ในปี 2558 โดยมี Head of Information Technology Function เป็นประธานกรรมการกำกับดูแล และมีสมาชิกประกอบด้วยผู้เชี่ยวชาญจากหน่วยงานบริหารความเสี่ยงองค์กรและระบบการควบคุมภายใน หน่วยงาน Quality Management หน่วยงานเทคโนโลยีสารสนเทศ และหน่วยงานบริหารทรัพยากรมนุษย์ เพื่อดูแลและมั่นใจว่าการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ เป็นไปตามมาตรฐาน ISO/IEC 27001 และสอดคล้องกับกฎหมายที่เกี่ยวข้อง
โดยคณะกรรมการ ISMS ทำการแต่งตั้ง “คณะทำงานการพัฒนาระบบการบริหารจัดการการรักษาความมั่นคงและความปลอดภัยสารสนเทศ (ISMS Operation Team)” กำกับ ดูแล และสนับสนุนการปฏิบัติงานของคณะทำงานและการดำเนินงานการรักษาความปลอดภัยด้านไซเบอร์ ตลอดจนสร้างความตระหนักถึงวิธีป้องกันและลดความเสี่ยงจากภัยคุกคามด้านไซเบอร์ทั่วทั้งกลุ่มบริษัทฯ โดยคณะกรรมการฯ จะรายงานผลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศ และความปลอดภัยด้านไซเบอร์ ต่อรองกรรมการผู้จัดการใหญ่เป็นครั้งคราวตามความเหมาะสม

Generic placeholder image
2) ระดับบริหาร

บริษัทฯ กำหนดรูปแบบและวิธีการบริหาร จัดการข้อมูลและสารสนเทศ และนำระบบ ISO Series มาใช้เป็นกรอบปฏิบัติและควบคุมการปฏิบัติการของผู้ใช้งาน เพื่อให้ข้อมูลและสารสนเทศมีความถูกต้องแม่นยำ และพร้อมใช้รวมถึงมีระบบการติดตามตรวจสอบทั้งภายในและภายนอก เพื่อให้ข้อมูลสารสนเทศมีความถูกต้อง แม่นยำ และน่าเชื่อถือ

Generic placeholder image
3) ระดับปฏิบัติการ
หน่วยงานเทคโนโลยีสารสนเทศมีการดำเนินการ ดังนี้
  • กำหนดระบบ วิธีปฏิบัติ และการบริการต่าง ๆ ให้ผู้ใช้งานได้ปฏิบัติตาม พร้อมทั้งได้ประกาศและจัดเก็บในระบบอินทราเน็ต เพื่อให้ผู้ใช้งานได้ศึกษาเพิ่มเติม
  • จัดตั้งระบบช่องทางการสื่อสาร พร้อมกับแจ้งข่าวสารด้านเทคโนโลยีสารสนเทศทางอีเมลเป็นประจำ
  • ติดตามผลการทำงานและนำผลการตรวจติดตาม มาปรับปรุงการบริหารจัดการและการให้บริการ และ ความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และรายงานให้คณะกรรมการ DISC และ คณะกรรมการ ISMS เพื่อขอคำแนะนำ
  • ประเมินความเสี่ยงของทรัพยากรด้านเทคโนโลยีสารสนเทศเป็นประจำทุกปี เพื่อให้มั่นใจว่าทรัพยากรที่มีอยู่เพียงพอต่อการดูแลและปกป้องข้อมูลสารสนเทศ ให้มีความแม่นยำ ถูกต้อง เชื่อถือได้ และเป็นปัจจุบัน