ความปลอดภัยทางไซเบอร์

แผนการพัฒนาศักยภาพและความสามารถด้าน Cyber Security ทั้งในเชิงเป้าหมาย กลยุทธ์การดำเนินการ โครงการที่เกี่ยวข้อง และรายละเอียดขั้นตอนการดำเนินงาน ได้ถูกพิจารณาและอนุมัติโดยคณะผู้บริหารระดับสูง และคณะกรรมการบริษัท เช่น โครงการ Uplift Cyber Security โครงการ Security Operations Center (SOC) และ โครงการทดสอบ Email Phishing สำหรับพนักงาน เป็นต้น โดยจะมีการสื่อสาร และเผยแพร่ต่อสาธารณะชนผ่านช่องทางที่เหมาะสมในอนาคต เพื่อให้ผู้มีส่วนได้เสียทุกฝ่ายเกิดความเชื่อมั่น เห็นถึงความมุ่งมั่นที่จะดูแลรักษาและป้องกันภัยทางด้าน Cyber Security อย่างเป็นรูปธรรมของบริษัท รวมทั้งแสดงถึงการได้รับการสนับสนุนทั้งทางด้านงบประมาณ และนโยบายจากฝ่ายบริหาร รวมถึงคณะกรรมการบริษัทอย่างเป็นสาระสำคัญ

โครงสร้างการกำกับดูแลความปลอดภัยสารสนเทศ และความปลอดภัยทางไซเบอร์

พีทีจี มีการกำกับดูแลความปลอดภัยสารสนเทศ โดยแบ่งออกเป็น 3 ระดับ ได้แก่ ระดับการกำกับดูแล ระดับบริหาร และระดับปฏิบัติการ

ดาวน์โหลดข้อมูลผู้รับผิดชอบทางด้านเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์

กระบวนการและโครงสร้างพื้นฐานของสารสนเทศและไซเบอร์

ปัจจุบันนโยบายด้านเทคโนโลยีสารสนเทศของพีทีจีที่สอดคล้องตามระเบียบข้อบังคับของหน่วยงานที่เกี่ยวข้องกับการกำกับดูแลกิจการ กฎหมายไทย และมาตรฐานสากล คือ ISO27001:2013 ซึ่งได้รับการตรวจสอบและให้ความเชื่อมั่นอย่างต่อเนื่องจากหน่วยงานตรวจสอบภายใน และบริษัทผู้ตรวจสอบภายนอก ตามมาตรฐานในระดับสากล ซึ่งเนื้อหาของนโยบายดังกล่าวจะจัดให้มีการทบทวน และสอบทานให้ทันสมัยเป็นประจำทุกปีโดยฝ่ายเทคโนโลยีสารสนเทศ ส่วนงานกลยุทธ์และกำกับดูแลด้านเทคโนโลยีสารสนเทศ

อีกทั้งมีการดำเนินงาน การติดตาม การควบคุม และการดูแลความปลอดภัยด้านเทคโนโลยีสารสนเทศในทางปฏิบัติตามนโยบายด้านเทคโนโลยีสารสนเทศที่มีผลบังคับใช้บนระบบการทำงานภายใต้สภาพแวดล้อมด้านเทคโนโลยีสารสนเทศ โดยฝ่ายเทคโนโลยีสารสนเทศ ส่วนงานโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ เช่น การทดสอบการบุกรุกระบบ (Penetration Test) และการตรวจหาช่องโหว่ของระบบสารสนเทศ (Vulnerability Assessment) เป็นต้น

นอกจากนี้ เพื่อเป็นการเตรียมแผนการรับมือและแก้ไขภัยคุกคามด้าน Cyber Attacks ที่อาจจะเกิดขึ้น จึงมีการกำหนดและแบ่งระดับความเสียหายจากช่องโหว่ด้านเทคโนโลยีสารสนเทศ (Vulnerability Severity Levels) ออกเป็น 4 ระดับ คือ ระดับวิกฤต (Critical) ระดับสูง (High) ระดับกลาง (Medium) และระดับต่ำ (Low) โดยมีการกำหนดแผนงาน ขั้นตอนการปฏิบัติ ผู้ที่มีหน้าที่ความรับผิดชอบ รวมทั้งวิธีการสื่อสารและรายงานให้ผู้ที่เกี่ยวข้องได้รับทราบ สอดคล้องกับระดับความรุนแรงที่เกิดขึ้น หากเกิดเหตุการณ์จริง

มาตรการรักษาความปลอดภัยทางไซเบอร์ การตอบสนองต่อภัยคุกคามทางไซเบอร์ การซ้อมแผนฉุกเฉิน และการบริหารความต่อเนื่องทางธุรกิจ

นอกจากมาตรการต่าง ๆ ที่กล่าวมาแล้วข้างต้น พนักงานของบริษัทสามารถสอบถามรายงานความผิดปกติ และแจ้งความเสียหายที่เกิดขึ้นจากการโจมตีใด ๆ ที่เกี่ยวข้องกับ Cyber Security ผ่านระบบการให้บริการ “IT Service center” ซึ่งอาจจะเกิดขึ้นได้ในการปฏิบัติงาน โดยจะมีเจ้าหน้าที่ฝ่ายเทคโนโลยีสารสนเทศรับเรื่องไปดำเนินการตามกระบวนการและขั้นตอนการดำเนินงานที่ออกแบบไว้โดยเร็วที่สุด (Incident report and escalation process) ทั้งนี้ การสื่อสารและรายงานให้ผู้ที่เกี่ยวข้องรับไปดำเนินการ ตั้งแต่ระดับเจ้าหน้าที่ปฏิบัติการ ถึง ผู้บริหารระดับสูงที่เกี่ยวข้อง รวมทั้งมีการติดตามผลจนกว่าจะแก้ไขประเด็นปัญหาจบสิ้น

สำหรับการทดสอบแผนงานการรองรับการดำเนินธุรกิจอย่างต่อเนื่อง (BCP) ประจำปี 2564 ได้กำหนดแผนการทดสอบเพื่อรองรับสถานการณ์ฉุกเฉินอันเนื่องมาจากการถูกโจมตีระบบงานสำคัญต่อการดำเนินธุรกิจของบริษัท บนสภาพแวดล้อมด้านเทคโนโลยีสารสนเทศจริง ซึ่งถือเป็นการเตรียมความพร้อม และสร้างความพร้อมในการปฏิบัติงานหากเกิดเหตุการณ์ขึ้นจริงให้แก่เจ้าหน้าที่ฝ่ายงานธุรกิจต่าง ๆ ที่เกี่ยวข้อง เจ้าหน้าที่ฝ่ายงานสนับสนุนต่าง ๆ และเจ้าหน้าที่ฝ่ายเทคโนโลยีสารสนเทศทั้งหมด รวมทั้งเพื่อทดสอบความสามารถของเครื่องมือทางเทคโนโลยีสารสนเทศต่าง ๆ ที่ใช้บนสภาพแวดล้อมด้านเทคโนโลยีสารสนเทศจริงของบริษัทในการกู้ระบบงานและข้อมูลกลับคืนมา

โครงการพัฒนาความรู้เรื่องความมั่นคงปลอดภัยสารสนเทศ และความมั่นคงปลอดภัยทางไซเบอร์

พีทีจี ให้ความสำคัญในการสื่อสารนโยบาย รวมทั้งบทบาทหน้าที่และความรับผิดชอบของทุกภาคส่วนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ตั้งแต่ระดับผู้บริหารจนถึงพนักงาน ทั้งที่พึ่งเริ่มงานใหม่ และที่ทำงานในปัจจุบันอย่างต่อเนื่อง ซึ่งจัดทำโดยฝ่ายเทคโนโลยีสารสนเทศ และได้รับความอนุเคราะห์ด้านการสื่อสารโดยฝ่ายบริหารทรัพยากรบุคคล เพื่อให้ทุกท่านเกิดความตระหนักรู้ ร่วมกันเฝ้าระวัง และทราบถึงแนวทางปฏิบัติเมื่อพบเหตุการณ์ที่มีความเสี่ยง หรือเกิดความเสียหายต่าง ๆ ที่เกี่ยวข้องกับความปลอดภัยด้านเทคโนโลยีสารสนเทศ อาทิเช่น

• การอบรมความรู้ด้าน Cyber security ให้กับพนักงานใหม่
วันแรกของการเริ่มงาน พนักงานใหม่ทุกตำแหน่งจะได้รับการอบรมหลักสูตรการปรับพื้นฐานความรู้ความเข้าใจเกี่ยวกับบริษัท ตลอดจนกฏระเบียบบริษัทต่าง ๆ รวมทั้งการให้ความรู้และการทำแบบทดสอบที่เกี่ยวข้องกับ Cyber Security ได้แก่ Physical Access Control, Information and Data Security และ Logical Security ในรูปแบบ Online ในช่วงการแพร่ระบาดของเชื้อไวรัสโควิด-19 หรือแบบพบปะกันในห้องประชุมเมื่อสถานการณ์กลับเข้าสู่สภาวะปกติ เพื่อเกิดความเชื่อมั่นว่า พนักงานใหม่ทุก ๆ ท่านจะมีความเข้าใจในหลักการพื้นฐาน และได้รับการศึกษากรณีตัวอย่าง ให้สามารถนำไปปรับใช้จริงได้

• การสื่อสารความรู้ด้าน Cyber Security ทั่วทั้งองค์กร
พนักงานทุกท่านที่อยู่ในกลุ่มบริษัท พีทีจี เอ็นเนอยี ทั่วประเทศ ซึ่งครอบคลุมที่สังกัดสำนักงานใหญ่ สำนักงานในภูมิภาคต่าง ๆ และประจำสาขาต่าง ๆ ทั่วประเทศ จะได้รับจดหมายอิเล็กทรอนิกส์ (E-mail) สื่อสารการให้ความรู้ด้าน Cyber Security รวมทั้งกฎหมายต่าง ๆ ที่เกี่ยวข้อง และกรณีศึกษาใหม่ ๆ อย่างสม่ำเสมอ


กรณีการรั่วไหลของข้อมูลอย่างมีนัยสำคัญ

จำนวนการจัดอบรมพนักงานเรื่องความมั่นคงปลอดภัยสารสนเทศ และความมั่นคงปลอดภัยทางไซเบอร์

Loading...