การรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ

การรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ

บริษัทฯ ตระหนักดีว่าในปัจจุบันระบบเทคโนโลยีสารสนเทศได้เข้ามามีบทบาทสำคัญกับการดำเนินงานของบริษัทฯ มากขึ้น ซึ่งสอดคล้องกับการเติบโตและการขยายธุรกิจอย่างต่อเนื่องของบริษัทฯ เพื่อเป็นการป้องกันการเข้าถึงข้อมูล หรือการนำข้อมูลและระบบไปใช้งานในลักษณะที่ไม่ถูกต้องจากผู้ใช้งานและภัยคุกคามในรูปแบบต่าง ๆ บริษัทฯ มีแนวทางปฏิบัติในการควบคุมด้านการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ จัดทำเป็นแผนการดำเนินงานการประกาศใช้นโยบาย และการมีกระบวนการทำงานที่ชัดเจน มีการสื่อสารกับหน่วยงานที่เกี่ยวข้องทั้งจากภายในและภายนอกให้รับทราบถึงการบริหารจัดการความปลอดภัยของระบบเทคโนโลยีสารสนเทศให้สอดคล้องกับกฎหมายและข้อปฏิบัติต่าง ๆ ที่เกี่ยวข้อง รวมถึงการดำเนินงานที่เป็นไปตามมาตรฐานสากล เพื่อให้มั่นใจว่าจะสามารถปกป้องข้อมูลของบริษัทฯ ตลอดจนสร้างความเชื่อมั่นและความไว้วางใจให้กับผู้มีส่วนได้ส่วนเสียทุกฝ่าย

บริษัทฯ ได้มีการจัดตั้งคณะทำงานด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศ ซึ่งประกอบไปด้วย ประธานกรรมการบริหารและผู้บริหารจากหน่วยงานต่าง ๆ ที่เกี่ยวข้อง ซึ่งมีโครงสร้าง ดังนี้

บทบาทหน้าที่ของคณะทำงาน

  1. คณะกรรมการบริษัทฯมีหน้าที่อนุมัตินโยบายและมาตรการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและให้ความสำคัญในการป้องกันปัญหาที่อาจจะเกิดขึ้นจากการใช้งานเครือข่ายระบบเทคโนโลยีสารสนเทศในลักษณะที่ไม่ถูกต้องจากผู้ใช้งานและภัยคุกคามต่างๆ
  2. คณะทำงานด้านความปลอดภัยของระบบเทคโนโลยีสารสนเทศ นำโดยประธานกรรมการบริหารมีหน้าที่กำกับดูแลการปฏิบัติงานด้านการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศให้ถูกต้องตามกฎหมาย และกฎเกณฑ์ทางการอื่น ๆโดยมีการประเมินความเสี่ยงด้านสารสนเทศภายใต้การกำกับบริหารความเสี่ยง
  3. พนักงานมีหน้าที่ต้องปฏิบัติตามนโยบาย ระเบียบปฏิบัติ คำสั่งและคู่มือปฏิบัติงานเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

โดยคณะทำงานดังกล่าวมีหน้าที่กำกับดูแลการปฏิบัติงานด้านความมั่นคงปลอดภัยทางระบบสารสนเทศให้สอดคล้องกับมาตรฐานและกฏหมายที่เกี่ยวข้องรวมถึงดำเนินการกำหนดมาตรการแก้ไขป้องกัน ควบคู่ไปกับการเพิ่มประสิทธิภาพของกระบวนการปฏิบัติงานทั้งนี้บริษัทฯจัดให้มีการรายงานผลการดำเนินงานต่อคณะกรรมการตรวจสอบและคณะกรรมการบริหารความเสี่ยงอย่างน้อยปีละ 1 ครั้ง

แนวทางการรักษาความมั่นคงปลอดภัยทางระบบสารสนเทศ

  1. จัดให้มีการติดตั้งระบบป้องกันการรั่วไหลของข้อมูล จากการโจมตีจากภายนอกหรือภัยจากไวรัสคอมพิวเตอร์ ด้วยการติดตั้งซอฟแวร์รักษาความปลอดภัยเน็ตเวิร์ค (Firewall)
  2. กำหนดให้มีการปรับปรุงอำนาจการเข้าถึงข้อมูลเพื่อป้องกันการรั่วไหลของข้อมูล
  3. กำหนดให้มีแผนการสำรองข้อมูล พร้อมทั้งมีการตรวจสอบการสำรองข้อมูลให้ถูกต้องตามนโยบายและมาตการรักษาความปลอดภัยทางระบบสารสนเทศ (Information Security Policy)
  4. จัดให้มีการสื่อสารภายในเพื่อสร้างความตระหนักรู้และปลูกฝังจิตสำนึกในเรื่องการใช้เทคโนโลยีให้ถูกวิธีและถูกวิธีและถูกต้องให้แก่พนักงาน อาทิ ไม่ดาวน์โหลดโปรแกรมที่ไม่ได้รับอนุญาต ไม่เปิดอีเมลที่ไม่ทราบที่มา
  5. การจัดทำคู่มือการปกป้องข้อมูลส่วนบุคคล และความมั่นคงปลอดภัยสารสนเทศ รวมถึงกำหนดแผนบริหารความต่อเนื่องทางธุรกิจ (BCP) เพื่อป้องกันและรับมือกับการหยุดชะงักของการดำเนินธุรกิจอันมีเหตุมาจากภัยคุกคามต่อการทำงานของระบบเทคโนโลยีสารสนเทศ
  6. การว่าจ้างผู้เชี่ยวชาญจากภายนอกมาเป็นผู้ตรวจสอบระบบเทคโนโลยีสารสนเทศ (IT Auditor) ซึ่งมีหน้าที่รับผิดชอบในการประเมินความเพียงพอของการควบคุมภายในและการจัดการความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศ โดยจัดให้มีการรายงานผลการตรวจสอบโดยตรงต่อคณะกรรมการตรวจสอบ และคณะกรรมการบริหารความเสี่ยง

การดำเนินงานในรอบปี

บริษัทฯ ทำการซ้อมแผนการกอบกู้ระบบงานด้านสารสนเทศ 2 ครั้ง เพื่อเป็นการทดสอบแผนรองรับเหตุการณ์ฉุกเฉิน มีสอบทานการควบคุมด้านระบบเทคโนโลยีสารสนเทศโดยหน่วยงานภายนอก ซึ่งภายหลังจากการทวนสอบ ได้นำผลการสอบทานและข้อเสนอแนะหารือต่อผู้บริหาร โดยมีการทบทวนนโยบายถึงขั้นตอนการบริหารจัดการสิทธิ์การเข้าถึงต่าง ๆ เพื่อปรับปรุงกระบวนการทำงานของบริษัทฯ ให้มีความรัดกุมและมีประสิทธิภาพยิ่งขึ้น นอกจากนี้ ยังส่งเสริมให้พนักงานมีความรู้ด้าน Cyber security ผ่านการอบรมโดยหน่วยงานภายนอก สนับสนุนให้พนักงานศึกษาและติดตามข่าวสารด้านเทคโนโลยี ภัยคุกคามทางไซเบอร์ ตลอดจนสื่อสารผ่านระบบอินทราเน็ตภายในองค์กร เพื่อให้รู้เท่าทันและเตรียมรับมือได้ ในปี 2567 บริษัทฯ ไม่พบเหตุการณ์ด้านความไม่ปลอดภัยของเทคโนโลยีสารสนเทศ