แผนการพัฒนาศักยภาพและความสามารถด้าน Cyber Security ในปี 2567 ทั้งในเชิงเป้าหมาย กลยุทธ์การดำเนินการ โครงการที่เกี่ยวข้อง และรายละเอียดขั้นตอนการดำเนินงาน ได้ถูกพิจารณาและอนุมัติโดยคณะผู้บริหารระดับสูง และคณะกรรมการบริษัท เช่น โครงการทดสอบปิดการใช้งานตัว External Storage ผ่าน Post USB,  โครงการตรวจจับและป้องกันภัยคุกคามThreat detection and prevention และ โครงการทดสอบ Email Phishing สำหรับพนักงาน เป็นต้น  จากแผนงานดังกล่าวข้างต้น จะมีการสื่อสาร และเผยแพร่ต่อสาธารณะชนผ่านช่องทางที่เหมาะสมในอนาคต เพื่อให้ผู้มีส่วนได้เสียทุกฝ่ายเกิดความเชื่อมั่น และเห็นถึงความมุ่งมั่นที่จะดูแลรักษาและป้องกันภัยทางด้าน Cyber Security อย่างเป็นรูปธรรมของบริษัท รวมทั้งเพื่อแสดงถึงการได้รับการสนับสนุนทั้งทางด้านงบประมาณ และนโยบายจากฝ่ายบริหาร รวมถึงคณะกรรมการบริษัทอย่างเป็นสาระสำคัญ 

บริษัท พีทีจี เอ็นเนอยี จำกัด(มหาชน) มีการกำกับดูแลความปลอดภัยสารสนเทศ โดยแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับการกำกับดูแล ระดับบริหาร และระดับปฏิบัติการ

พีทีจี มีการกำกับดูแลความปลอดภัยสารสนเทศ โดยแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับการกำกับดูแล ระดับบริหาร และระดับปฏิบัติการ

ปัจจุบันบริษัทฯได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศที่สอดคล้องตามระเบียบข้อบังคับของหน่วยงานที่เกี่ยวข้องกับการกำกับดูแลกิจการ กฎหมายไทย และมาตราฐานสากล คือ ISO27001:2013 ซึ่งได้รับการตรวจสอบและให้ความเชื่อมั่นอย่างต่อเนื่องจากหน่วยงานตรวจสอบภายใน และบริษัทผู้ตรวจสอบภายนอกตามมาตรฐานในระดับสากล

นอกจากนี้บริษัทฯยังได้กำหนดนโยบายหรือแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ซึ่งเป็นส่วนหนึ่งของนโยบายเทคโนโลยีสารสนเทศ เพื่อให้บุคลากรในองค์กร ผู้ที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ และได้รับทราบถึงหน้าที่ความรับผิดชอบและแนวทางปฏิบัติในการควบคุมความเสี่ยงต่างๆ  ที่อาจเกิดขึ้น โดยได้ดำเนินงาน ติดตาม ควบคุม และดูแลความปลอดภัยด้านเทคโนโลยีสารสนเทศให้ปฏิบัติตามนโยบายดังกล่าวข้างต้นอย่างสม่ำเสมอ เช่น การทดสอบการบุกรุกระบบ (Penetration Test) เป็นต้น

อีกทั้ง เพื่อเป็นการเตรียมแผนการรับมือและแก้ไขภัยคุกคามด้าน Cyber Attacks ที่อาจจะเกิดขึ้น จึงมีการแบ่งระดับความเสียหายจากช่องโหว่ด้านเทคโนโลยีสารสนเทศ (Vulnerability Severity Levels) ออกเป็น 4 ระดับ คือ ระดับวิกฤต (Critical) ระดับสูง (High) ระดับกลาง (Medium) และระดับต่ำ (Low) และมีการกำหนดแผนงาน ขั้นตอนการปฏิบัติ ผู้ที่มีหน้าที่ความรับผิดชอบ รวมทั้งวิธีการสื่อสารและรายงานให้ผู้ที่เกี่ยวข้องได้รับทราบ ให้สอดคล้องกับระดับความรุนแรงที่เกิดขึ้น หากเกิดเหตุการณ์จริง

นอกจากมาตรการต่างๆ ที่กล่าวมาแล้วข้างต้น พนักงานของบริษัทฯสามารถสอบถามรายงานความผิดปกติ และแจ้งความเสียหายที่เกิดขึ้นจากการโจมตีใดๆ ที่เกี่ยวข้องกับ Cyber Security ซึ่งอาจจะเกิดขึ้นได้ในการปฏิบัติงานผ่านระบบการให้บริการ “IT Service center” โดยจะมีเจ้าหน้าที่ฝ่ายเทคโนโลยีสารสนเทศรับเรื่องไปดำเนินการตามกระบวนการและขั้นตอนการดำเนินงานที่ออกแบบไว้โดยเร็วที่สุด(Incident report and escalation process) รวมทั้งการสื่อสารและรายงานให้ผู้ที่เกี่ยวข้องรับไปดำเนินการ ตั้งแต่ระดับเจ้าหน้าที่ปฏิบัติการถึงผู้บริหารระดับสูงที่เกี่ยวข้อง รวมทั้งมีการติดตามผลจนกว่าจะแก้ไขประเด็นปัญหาจบสิ้น

การซ้อมแผนฉุกเฉิน และการบริหารความต่อเนื่องทางธุรกิจ

บริษัทฯ กำหนดให้มีการทดสอบแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) อย่างน้อยปีละ 1 ครั้ง โดยในปี 2567 บริษัทฯได้มีการทดสอบกับหน่วยงานที่เกี่ยวข้อง ได้แก่ ฝ่ายเทคโนโลยีสารสนเทศ ฝ่ายปฏิบัติการ ฝ่ายการขาย ฝ่ายบัญชีและการเงิน และบริษัทในเครือ โดย สถานการณ์การทดสอบ คือ เซิฟเวอร์ระบบหลักที่สำนักงานใหญ่ถูกโจมตีทางไซเบอร์จากภายนอก ทำให้ระบบหลักไม่สามารถใช้งานได้ กรณีที่ไม่สามารถใช้งานบนระบบหลักได้ทางหน่วยงานที่เกี่ยวข้องปฏิบัติตามแผนงานการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง และฝ่ายเทคโนโลยีสารสนเทศดำเนินการตามแผนกู้คืนระบบเทคโนโลยีสารสนเทศ (IT Disaster Recovery Plan)