ความปลอดภัยทางไซเบอร์

แผนการพัฒนาศักยภาพและความสามารถด้าน Cyber Security ในปี 2565 ทั้งในเชิงเป้าหมาย กลยุทธ์การดำเนินการ โครงการที่เกี่ยวข้อง และรายละเอียดขั้นตอนการดำเนินงาน ได้ถูกพิจารณาและอนุมัติโดยคณะผู้บริหารระดับสูง และคณะกรรมการบริษัท เช่น โครงการ Uplift Cyber Security โครงการ Security Operations Center (SOC) และ โครงการทดสอบ Email Phishing สำหรับพนักงาน เป็นต้น โดยจะมีการสื่อสาร และเผยแพร่ต่อสาธารณะชนผ่านช่องทางที่เหมาะสมในอนาคต เพื่อให้ผู้มีส่วนได้เสียทุกฝ่ายเกิดความเชื่อมั่น และเห็นถึงความมุ่งมั่นที่จะดูแลรักษาและป้องกันภัยทางด้าน Cyber Security อย่างเป็นรูปธรรมของบริษัท รวมทั้งเพื่อแสดงถึงการได้รับการสนับสนุนทั้งทางด้านงบประมาณ และนโยบายจากฝ่ายบริหาร รวมถึงคณะกรรมการบริษัทอย่างเป็นสาระสำคัญ พีทีจี มีการกำกับดูแลความปลอดภัยสารสนเทศ โดยแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับการกำกับดูแล ระดับบริหาร และระดับปฏิบัติการ

โครงสร้างการกำกับดูแลความปลอดภัยสารสนเทศ และความปลอดภัยทางไซเบอร์

พีทีจี มีการกำกับดูแลความปลอดภัยสารสนเทศ โดยแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับการกำกับดูแล ระดับบริหาร และระดับปฏิบัติการ


ดาวน์โหลดข้อมูลผู้รับผิดชอบทางด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์

กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์

ปัจจุบันนโยบายด้านเทคโนโลยีสารสนเทศของพีทีจีที่สอดคล้องตามระเบียบข้อบังคับของหน่วยงานที่เกี่ยวข้องกับการกำกับดูแลกิจการ กฎหมายไทย และมาตรฐานสากล คือ ISO27001:2013 ซึ่งได้รับการตรวจสอบและให้ความเชื่อมั่นอย่างต่อเนื่องจากหน่วยงานตรวจสอบภายใน และบริษัทผู้ตรวจสอบภายนอก ตามมาตรฐานในระดับสากล นอกจากนี้ บริษัทยังได้กำหนดนโยบายหรือแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งเป็นส่วนหนึ่งของนโยบายเทคโนโลยีสารสนเทศ เพื่อให้บุคลากรในองค์กร ผู้ที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ และได้รับทราบถึงหน้าที่ความรับผิดชอบและแนวทางปฏิบัติในการควบคุมความเสี่ยงต่างๆที่อาจเกิดขึ้น ีสารสนเทศ

อีกทั้งมีการดำเนินงาน การติดตาม การควบคุม และการดูแลความปลอดภัยด้านเทคโนโลยีสารสนเทศในทางปฏิบัติตามนโยบายด้านเทคโนโลยีสารสนเทศที่มีผลบังคับใช้บนระบบการทำงานภายใต้สภาพแวดล้อมด้านเทคโนโลยีสารสนเทศ โดยฝ่ายเทคโนโลยีสารสนเทศ ส่วนงานโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ เช่น การทดสอบการบุกรุกระบบ (Penetration Test) และการตรวจหาช่องโหว่ของระบบสารสนเทศ (Vulnerability Assessment) เป็นต้น เป็นต้น

นนอกจากนี้ เพื่อเป็นการเตรียมแผนการรับมือและแก้ไขภัยคุกคามด้าน Cyber Attacks ที่อาจจะเกิดขึ้น จึงมีการกำหนดและแบ่งระดับความเสียหายจากช่องโหว่ด้านเทคโนโลยีสารสนเทศ (Vulnerability Severity Levels) ออกเป็น 4 ระดับ คือ ระดับวิกฤต (Critical) ระดับสูง (High) ระดับกลาง (Medium) และระดับต่ำ (Low) โดยมีการกำหนดแผนงาน ขั้นตอนการปฏิบัติ ผู้ที่มีหน้าที่ความรับผิดชอบ รวมทั้งวิธีการสื่อสารและรายงานให้ผู้ที่เกี่ยวข้องได้รับทราบ สอดคล้องกับระดับความรุนแรงที่เกิดขึ้น หากเกิดเหตุการณ์จริง กิดเหตุการณ์จริง

มาตรการรักษาความปลอดภัยทางไซเบอร์ การตอบสนองต่อภัยคุกคามทางไซเบอร์

นอกจากมาตรการต่าง ๆ ที่กล่าวมาแล้วข้างต้น พนักงานของบริษัทสามารถสอบถามรายงานความผิดปกติ และแจ้งความเสียหายที่เกิดขึ้นจากการโจมตีใด ๆ ที่เกี่ยวข้องกับ Cyber Security ผ่านระบบการให้บริการ “IT Service center” ซึ่งอาจจะเกิดขึ้นได้ในการปฏิบัติงาน โดยจะมีเจ้าหน้าที่ฝ่ายเทคโนโลยีสารสนเทศรับเรื่องไปดำเนินการตามกระบวนการและขั้นตอนการดำเนินงานที่ออกแบบไว้โดยเร็วที่สุด (Incident report and escalation process) ทั้งนี้ การสื่อสารและรายงานให้ผู้ที่เกี่ยวข้องรับไปดำเนินการ ตั้งแต่ระดับเจ้าหน้าที่ปฏิบัติการ ถึง ผู้บริหารระดับสูงที่เกี่ยวข้อง รวมทั้งมีการติดตามผลจนกว่าจะแก้ไขประเด็นปัญหาจบสิ้น

การซ้อมแผนฉุกเฉิน และการบริหารความต่อเนื่องทางธุรกิจ

พีทีจี กำหนดให้มีการทดสอบแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) เกี่ยวกับด้านระบบสารสนเทศและความปลอดภัยทางไซเบอร์ อย่างน้อยปีละ 1 ครั้ง โดยในปี 2565 บริษัทได้มีการขยายผลการทดสอบกับหน่วยงานที่เกี่ยวข้อง ได้แก่ ฝ่ายเทคโนโลยีสารสนเทศ ฝ่ายปฏิบัติการ (10 พื้นที่) ฝ่ายการขาย ฝ่ายบัญชีและการเงิน และบริษัทในเครือ จากการทดสอบเหตุเซิฟเวอร์หลักที่สำนักงานใหญ่ถูกโจมตีทางไซเบอร์ จากภายนอก ทำให้ระบบ SAP ไม่สามารถใช้งานได้ โดยฝ่ายเทคโนโลยีสารสนเทศจะดำเนินการ Cross Site Data Center ไปที่พื้นที่สำรอง ซึ่งหน่วยงานที่เกี่ยวข้องดำเนินการตามแผนแผนงานการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง และ แผนกู้คืนระบบเทคโนโลยีสารสนเทศ (IT Disaster Recovery Plan) ทั้งนี้ กรณีที่ไม่สามารถใช้งานบนระบบได้ให้ปฏิบัติงานแบบ manual ตามแผนงานการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง จาการทดสอบ พบว่า ฝ่ายเทคโนโลยีสารสนเทศได้ดำเนินการแก้ไขเหตุเซิฟเวอร์ที่ถูกโจมตีทางไซเบอร์เรียบร้อยแล้ว โดยสามารถกู้คืนข้อมูลกลับมาได้ทั้งหมด และตรวจสอบแล้วว่า ข้อมูลในระบบถูกต้องครบถ้วนทุกหน่วยงานกลับมาปฏิบัติงานได้ตามปกติ

โครงการพัฒนาความรู้เรื่องความมั่นคงปลอดภัยสารสนเทศ และความมั่นคงปลอดภัยทางไซเบอร์

บริษัท ให้ความสำคัญในการสื่อสารนโยบาย บทบาทหน้าที่และความรับผิดชอบของทุกภาคส่วนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ตั้งแต่ระดับผู้บริหารจนถึงพนักงาน ทั้งที่พึ่งเริ่มงานใหม่ และที่ทำงานในปัจจุบันอย่างต่อเนื่อง ซึ่งจัดทำโดยฝ่ายเทคโนโลยีสารสนเทศ โดยได้รับความร่วมมือด้านการสื่อสารประชาสัมพันธ์จากฝ่ายบริหารทรัพยากรบุคคล เพื่อให้พนักงานทุกท่านเกิดความตระหนักรู้ ร่วมกันเฝ้าระวัง และทราบถึงทางปฏิบัติเมื่อประสบเหตุการณ์เกี่ยวกับด้านไซเบอร์ที่มีความเสี่ยง อาทิเช่นสนเทศ อาทิเช่น

• การทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ (Phishing Test)
เพื่อทดสอบความตระหนักรู้ความปลอดภัยด้านเทคโนโลยีสารสนเทศกับบุคลากรภายในองค์กรของกลุ่มบริษัท ในปี 2565 บริษัทได้ทำการทดสอบการหลอกลวงทางจดหมายอิเล็กทรอนิกส์ จำนวน 2 ครั้ง โดยมีขอบเขต คือ พนักงานสำนักงานใหญ่ สาขา และบริษัทในเครือ


• การอบรมความรู้ด้าน Cyber security ให้กับพนักงานใหม่

วันแรกของการเริ่มงาน พนักงานใหม่ทุกตำแหน่งภายในบริษัท พีทีจี เอ็นเนอยี จำกัด(มหาชน) และบริษัทในเครือ จะได้รับการอบรมหลักสูตรการปรับพื้นฐานความรู้ความเข้าใจเกี่ยวกับบริษัท ตลอดจนกฏระเบียบบริษัทต่าง ๆ รวมทั้งการให้ความรู้และการทำแบบทดสอบที่เกี่ยวข้องกับ Cyber Security ได้แก่ Physical Access Control, Information and Data Security และ Logical Security ผลการดำเนินงาน ดังนี้


กรณีการรั่วไหลของข้อมูลอย่างมีนัยสำคัญ

กรณีการรั่วไหลของข้อมูล 2562 2563 2564 2565
จำนวนเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ
0 0 0 0
จำนวนพนักงานและลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัยสารสนเทศ
0 0 0 0


จำนวนการจัดอบรมพนักงานเรื่องความมั่นคงปลอดภัยสารสนเทศ และความมั่นคงปลอดภัยทางไซเบอร์



การประเมินผลการปฏิบัติงานของพนักงาน

บริษัทได้กำหนดให้การดำเนินงานด้านความปลอดภัยของเทคโนโลยีสารสนเทศเป็นตัวชี้วัดความเสี่ยงระดับองค์กร (Key Risk indicator : KRI) เช่นเหตุการณ์ที่ส่งผลกระทบให้ระบบสำคัญขัดข้องและไม่สามารถใช้งานได้ชั่วคราว และเป็นตัวชี้วัดผลการดำเนินงานของฝ่ายเทคโนโลยีสารสนเทศ ซึ่งมีการรายงานความก้าวหน้าตามที่กำหนดต่อคณะกรรมการบริหารความเสี่ยงเป็นประจำทุกไตรมาส

10076

10074

Loading...