กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์

กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์

บริษัทฯ กำหนดกระบวนการควบคุมด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศ ซึ่งเป็นไปตามมาตรฐาน ISO27001 – Information Security Management และControl Objectives for Information and Related Technologies (COBIT) เพื่อเป็นกรอบแนวทางปฏิบัติที่เน้นการรักษาความลับ (Confidentiality) ความน่าเชื่อถือ (Integrity) และความพร้อมใช้งานของข้อมูล (Availability) ซึ่งนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศนี้เปรียบเสมือนข้อกำหนดและแนวปฏิบัติในการพัฒนาระบบบริหารความมั่นคงปลอดภัยสารสนเทศ อาทิ นโยบายความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศ และนโยบายการรักษาความมั่นคงปลอดภัยทางกายภาพสำหรับห้องคอมพิวเตอร์

ยิ่งไปกว่า บริษัทฯ ได้ปรับปรุงนโยบายความปลอดภัยสารสนเทศให้ทันสมัยอยู่เสมอ เพื่อเสริมสร้างมาตรฐานความปลอดภัยด้านสารสนเทศอย่างต่อเนื่อง โดยในปี 2562 บริษัทฯ ได้ทบทวนประเด็นของนโยบายเกี่ยวกับการจัดการสื่อบันทึกข้อมูลที่ถอดแยกได้ และการสร้างความตระหนักรวมทั้งการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ นอกจากนี้ ในปี 2563 บริษัทฯ ยังมีแผนที่จะทบทวนประเด็นด้านการรักษาความมั่นคงปลอดภัยด้านไซเบอร์ การรักษาความมั่นคงปลอดภัยระบบคลาวด์ การพัฒนาระบบสารสนเทศให้มีความมั่นคงปลอดภัย การรักษาความปลอดภัยขั้นสูง และการใช้งานอุปกรณ์สื่อสารพกพาส่วนบุคคล เป็นต้น

นอกจากนี้นโนบายดังกล่าวยังครอบคุลมถึงการกำหนดวิธีการปฏิบัติ (Procedure) เพื่อให้สอดคล้องและรองรับการพัฒนาระบบบริหารความมั่นคงปลอดภัย เช่น กระบวนการขอสิทธิ์เข้าใช้งานระบบสำคัญ กระบวนการควบคุมการเข้า-ออกห้องคอมพิวเตอร์ และกระบวนการบริหารจัดการความเสี่ยงทรัพย์สินสารสนเทศ ยิ่งไปกว่านั้นยังครอบคลุมมาตรการที่สำคัญ อาทิ ระบบป้องกันการแพร่ระบาดของไวรัสคอมพิวเตอร์ ระบบป้องกันข้อมูลสำคัญรั่วไหลออกนอกองค์กร และระบบยืนยันตัวตนแบบ 2 ขั้นตอน (2 Factor Authentication: 2FA) เมื่อต้องมีการเข้าถึงระบบงานที่สำคัญ ตลอดจนการแทนที่การใช้งาน USB Drive ด้วยระบบคลาวด์และอินทราเนต เมื่อมีการจัดเก็บหรือถ่ายโอนข้อมูลเพื่อป้องกันการรั่วไหลของข้อมูลสำคัญอีกด้วย ทั้งนี้กฎ ระเบียบ ข้อบังคับ นโยบาย และกระบวนการจัดการต่าง ๆ จะถูกนำไประยุกต์ใช้กับพนักงานทุกระดับ เพื่อเป็นการยกระดับมาตรฐานความปลอดภัยด้านเทคโนโลยีสารสนเทศขององค์กร

บริษัทฯ ได้จัดกิจกรรมฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ที่หลากหลายแก่พนักงานทุกระดับ ยกตัวอย่างเช่น ในปี 2562 บริษัทฯ จัดโครงการอบรมเรื่อง “Know Your Cyber Risk” แก่คณะกรรมการบริษัทฯ และผู้บริหาร โดยบริษัทฯ ได้เชิญผู้เชี่ยวชาญจากองค์กรชั้นนำามาบรรยายเนื้อหาซึ่งครอบคลุมปัจจัยความเสี่ยงเรื่องกฎหมาย กฎ ระเบียบที่เกี่ยวข้องกับด้านเทคโนโลยีที่สำคัญ

มากไปกว่านั้น บริษัทฯ ยังได้จัดกิจกรรมฝึกอบรมอีกหลากหลายโครงการเพื่อเสริมสร้างความตระหนักให้แก่พนักงานที่เกี่ยวข้อง อาทิ โครงการ IT Clinic 2019 and Cybersecurity ซึ่งเป็นการอบรมแบบลงพื้นที่ให้แก่พนักงานที่เกี่ยวข้องทั้งหมดใน 12 โรงงาน และสำนักงานใหญ่ โครงการฝึกอบรม Class Room Training Program สำหรับพนักงานที่เกี่ยวข้องในพื้นที่จังหวัดระยอง และโครงการ Onboarding Program สำหรับพนักงงานใหม่ทุกคน และการจัดช่องทางสำหรับการสื่อสารภายในองค์กรหลายช่องทาง เช่น การสื่อสารจากผู้บริหารระดับสูงถึงพนักงานผ่านกิจกรรม Town Hall การสื่อสารผ่านอินทราเน็ตของบริษัทฯ และระบบ E-Learning เป็นต้น นอกจากนี้ บริษัทฯ ยังจัดอบรมและสื่อสารให้ความรู้กับพนักงานในแต่ละหน่วยงานถึงความเสี่ยงและการป้องกันภัยคุกคามด้านเทคโนโลยีสารสนเทศใหม่ ๆ ผ่านจดหมายข่าว โปสเตอร์ ทั้งนี้ บริษัทฯ มีการทำทดสอบการหลอกลวงทางอินเทอร์เน็ต (Phishing Test)เพื่อขอข้อมูลที่สำคัญเป็นประจำเพื่อปลูกฝังให้พนักงานมีความระมัดระวังการใช้ระบบสารสนเทศมากขึ้น ซึ่งในปีที่ผ่านมาพบว่า ร้อยละ 97.71 ของพนักงานผ่านการทดสอบการหลอกลวงทางอินเทอร์เน็ต และมีความระมัดระวังการใช้ระบบสารสนเทศมากขึ้น

นอกจากนี้ บริษัทฯ ได้ว่าจ้าง บริษัท พีทีที ดิจิตอล โซลูชั่น จำกัด ทำการดำเนินระบบ Advance Security Operation Center (SOC) ในการเฝ้าระวังภัยคุกคามทางด้านไซเบอร์ เพื่อให้สามารถตอบสนองเหตุการณ์ด้านภัยคุกคามไซเบอร์ได้อย่างทันท่วงที และลดผลกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ อีกทั้งบริษัทฯ ยังได้ทำการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยทางเทคโนโลยีในพื้นที่ปฏิบัติงานของบริษัทฯ (Operational Technology (OT) Security High-Level Risk Assessment) เพื่อวางแผนและดำเนินการปรับปรุงความมั่นคงปลอดภัยทางเทคโนโลยีในพื้นที่ปฏิบัติงาน ให้มีความมั่นคงปลอดภัยมากยิ่งขึ้น ตลอดจน บริษัทฯ ได้พัฒนา Incident Management System (IMS) Mobile Application ขึ้นเพื่อเป็นแพลตฟอร์มในการอำนวยความสะดวกในการรายงานเหตุการณ์วิกฤตทางไซเบอร์แก่เบุคคลที่เกี่ยวข้องอย่างทันท่วงที จากการดำเนินกิจกรรมดังกล่าวส่งผลให้ บริษัทฯ สามารถจัดการกับสถานการณ์ รวมถึงรักษาความปลอดภัยของระบบสารสนเทศที่ตอบสนองต่อเหตุการณ์ด้านไซเบอร์ได้อย่างทันท่วงที

นอกจากนี้ บริษัทฯ ยังได้กำหนดตัวชี้วัด (KPIs) ด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity) เพื่อวัดประสิทธิภาพของพนักงานในระดับผู้ช่วยกรรมการผู้จัดการใหญ่ (Senior Vice Presidents: SVP) ในหน่วยงาน XX [กรุณาระบุชื่อหน่วยงานภาษาไทย](Transformation Excellence :TFE) โดยได้กำหนดว่าร้อยละ 80 ของพนักงานในหน่วยงานที่เกี่ยวข้องทั้งหมด จะต้องรับทราบ และศึกษานโยบายความปลอดภัยสารสนเทศและไซเบอร์ รวมถึงผ่านหลักสูตรฝึกอบรมด้านความปลอดภัยสารสนเทศและไซเบอร์ ตลอดจนปรับใช้กับผู้ใต้บังคับบัญชาตามลำดับ ซึ่งตัวชี้วัดดังกล่าวคิดเป็นร้อยละ 5 ของน้ำหนักตัวชี้วัดทั้งหมด

นอกจากนี้ บริษัทฯ ยังได้กำหนดดัชนีชี้วัดความเสี่ยงที่สำคัญ (KRIs) เพื่อให้มั่นใจว่าพนักงานสามารถรับมือเพื่อตอบสนองในกรณีที่เกิดภัยคุกคามทางไซเบอร์ รวมถึงมีการดำเนินงานที่สอดคล้องกับ พรบ. กฎหมาย หรือกฎระเบียบที่เกี่ยวข้อง ทั้งนี้ดัชนีชี้วัดความเสี่ยงที่สำคัญด้านความมั่นคงปลอดภัยไซเบอร์ ได้แก่ การกำหนดเป้าหมายของของพนักงานที่ผ่านการทดสอบ Phishing Test การกำหนดร้อยละของจำนวนช่องโหว่ที่ต้องแก้ไขแล้วเสร็จ (Vulnerability Fixed) และจำนวน Firmware และ Firewall ที่ต้องอัพเดท เป็นต้น