แผนการพัฒนาศักยภาพและความสามารถด้าน Cyber Security ในปี 2565 ทั้งในเชิงเป้าหมาย กลยุทธ์การดำเนินการ โครงการที่เกี่ยวข้อง และรายละเอียดขั้นตอนการดำเนินงาน ได้ถูกพิจารณาและอนุมัติโดยคณะผู้บริหารระดับสูง และคณะกรรมการบริษัท เช่น โครงการ Uplift Cyber Security โครงการ Security Operations Center (SOC) และ โครงการทดสอบ Email Phishing สำหรับพนักงาน เป็นต้น โดยจะมีการสื่อสาร และเผยแพร่ต่อสาธารณะชนผ่านช่องทางที่เหมาะสมในอนาคต เพื่อให้ผู้มีส่วนได้เสียทุกฝ่ายเกิดความเชื่อมั่น และเห็นถึงความมุ่งมั่นที่จะดูแลรักษาและป้องกันภัยทางด้าน Cyber Security อย่างเป็นรูปธรรมของบริษัท รวมทั้งเพื่อแสดงถึงการได้รับการสนับสนุนทั้งทางด้านงบประมาณ และนโยบายจากฝ่ายบริหาร รวมถึงคณะกรรมการบริษัทอย่างเป็นสาระสำคัญ พีทีจี มีการกำกับดูแลความปลอดภัยสารสนเทศ โดยแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับการกำกับดูแล ระดับบริหาร และระดับปฏิบัติการ

พีทีจี มีการกำกับดูแลความปลอดภัยสารสนเทศ โดยแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับการกำกับดูแล ระดับบริหาร และระดับปฏิบัติการ

ปัจจุบันนโยบายด้านเทคโนโลยีสารสนเทศของพีทีจีที่สอดคล้องตามระเบียบข้อบังคับของหน่วยงานที่เกี่ยวข้องกับการกำกับดูแลกิจการ กฎหมายไทย และมาตรฐานสากล คือ ISO27001:2013 ซึ่งได้รับการตรวจสอบและให้ความเชื่อมั่นอย่างต่อเนื่องจากหน่วยงานตรวจสอบภายใน และบริษัทผู้ตรวจสอบภายนอก ตามมาตรฐานในระดับสากล นอกจากนี้ บริษัทยังได้กำหนดนโยบายหรือแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ซึ่งเป็นส่วนหนึ่งของนโยบายเทคโนโลยีสารสนเทศ เพื่อให้บุคลากรในองค์กร ผู้ที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ และได้รับทราบถึงหน้าที่ความรับผิดชอบและแนวทางปฏิบัติในการควบคุมความเสี่ยงต่างๆที่อาจเกิดขึ้น ีสารสนเทศ

อีกทั้งมีการดำเนินงาน การติดตาม การควบคุม และการดูแลความปลอดภัยด้านเทคโนโลยีสารสนเทศในทางปฏิบัติตามนโยบายด้านเทคโนโลยีสารสนเทศที่มีผลบังคับใช้บนระบบการทำงานภายใต้สภาพแวดล้อมด้านเทคโนโลยีสารสนเทศ โดยฝ่ายเทคโนโลยีสารสนเทศ ส่วนงานโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ เช่น การทดสอบการบุกรุกระบบ (Penetration Test) และการตรวจหาช่องโหว่ของระบบสารสนเทศ (Vulnerability Assessment) เป็นต้น เป็นต้น

นนอกจากนี้ เพื่อเป็นการเตรียมแผนการรับมือและแก้ไขภัยคุกคามด้าน Cyber Attacks ที่อาจจะเกิดขึ้น จึงมีการกำหนดและแบ่งระดับความเสียหายจากช่องโหว่ด้านเทคโนโลยีสารสนเทศ (Vulnerability Severity Levels) ออกเป็น 4 ระดับ คือ ระดับวิกฤต (Critical) ระดับสูง (High) ระดับกลาง (Medium) และระดับต่ำ (Low) โดยมีการกำหนดแผนงาน ขั้นตอนการปฏิบัติ ผู้ที่มีหน้าที่ความรับผิดชอบ รวมทั้งวิธีการสื่อสารและรายงานให้ผู้ที่เกี่ยวข้องได้รับทราบ สอดคล้องกับระดับความรุนแรงที่เกิดขึ้น หากเกิดเหตุการณ์จริง กิดเหตุการณ์จริง

นอกจากมาตรการต่าง ๆ ที่กล่าวมาแล้วข้างต้น พนักงานของบริษัทสามารถสอบถามรายงานความผิดปกติ และแจ้งความเสียหายที่เกิดขึ้นจากการโจมตีใด ๆ ที่เกี่ยวข้องกับ Cyber Security ผ่านระบบการให้บริการ “IT Service center” ซึ่งอาจจะเกิดขึ้นได้ในการปฏิบัติงาน โดยจะมีเจ้าหน้าที่ฝ่ายเทคโนโลยีสารสนเทศรับเรื่องไปดำเนินการตามกระบวนการและขั้นตอนการดำเนินงานที่ออกแบบไว้โดยเร็วที่สุด (Incident report and escalation process) ทั้งนี้ การสื่อสารและรายงานให้ผู้ที่เกี่ยวข้องรับไปดำเนินการ ตั้งแต่ระดับเจ้าหน้าที่ปฏิบัติการ ถึง ผู้บริหารระดับสูงที่เกี่ยวข้อง รวมทั้งมีการติดตามผลจนกว่าจะแก้ไขประเด็นปัญหาจบสิ้น

การซ้อมแผนฉุกเฉิน และการบริหารความต่อเนื่องทางธุรกิจ

พีทีจี กำหนดให้มีการทดสอบแผนรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) เกี่ยวกับด้านระบบสารสนเทศและความปลอดภัยทางไซเบอร์ อย่างน้อยปีละ 1 ครั้ง โดยในปี 2565 บริษัทได้มีการขยายผลการทดสอบกับหน่วยงานที่เกี่ยวข้อง ได้แก่ ฝ่ายเทคโนโลยีสารสนเทศ ฝ่ายปฏิบัติการ (10 พื้นที่) ฝ่ายการขาย ฝ่ายบัญชีและการเงิน และบริษัทในเครือ จากการทดสอบเหตุเซิฟเวอร์หลักที่สำนักงานใหญ่ถูกโจมตีทางไซเบอร์ จากภายนอก ทำให้ระบบ SAP ไม่สามารถใช้งานได้ โดยฝ่ายเทคโนโลยีสารสนเทศจะดำเนินการ Cross Site Data Center ไปที่พื้นที่สำรอง ซึ่งหน่วยงานที่เกี่ยวข้องดำเนินการตามแผนแผนงานการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง และ แผนกู้คืนระบบเทคโนโลยีสารสนเทศ (IT Disaster Recovery Plan) ทั้งนี้ กรณีที่ไม่สามารถใช้งานบนระบบได้ให้ปฏิบัติงานแบบ manual ตามแผนงานการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง จาการทดสอบ พบว่า ฝ่ายเทคโนโลยีสารสนเทศได้ดำเนินการแก้ไขเหตุเซิฟเวอร์ที่ถูกโจมตีทางไซเบอร์เรียบร้อยแล้ว โดยสามารถกู้คืนข้อมูลกลับมาได้ทั้งหมด และตรวจสอบแล้วว่า ข้อมูลในระบบถูกต้องครบถ้วนทุกหน่วยงานกลับมาปฏิบัติงานได้ตามปกติ