ความมั่นคงปลอดภัยทางไซเบอร์

จากบริบทของภัยคุกคามทางไซเบอร์ในปัจจุบันซึ่งมีความซับซ้อนและทวีความรุนแรงมากขึ้น บริษัทฯ ตระหนักถึงความเสี่ยงจากรูปแบบการโจมตีที่สำคัญ อาทิ Ransomware, Phishing และการรั่วไหลของข้อมูล (Data Breach) รวมถึงภัยคุกคามจากเทคโนโลยีปัญญาประดิษฐ์ (Artificial intelligence: AI) ที่ถูกนำมาใช้ในการสร้างอีเมล ข้อความ หรือเสียงปลอมเพื่อหลอกลวง ตลอดจนความเสี่ยงจากการขาดความรู้และการใช้งานเทคโนโลยี โดยไม่เหมาะสมของพนักงาน ซึ่งอาจทำให้ข้อมูลสำคัญของบริษัทฯ ถูกส่งออกไปยังแพลตฟอร์มภายนอกโดยไม่ตั้งใจและก่อให้เกิดความเสียหายต่อธุรกิจ

บริษัทฯ จึงให้ความสำคัญอย่างยิ่งต่อการรักษาความมั่นคงปลอดภัยของข้อมูลและระบบสารสนเทศ เพื่อป้องกันผลกระทบต่อการดำเนินธุรกิจและผู้มีส่วนได้เสีย รวมถึงเพื่อรักษาความเชื่อมั่นของลูกค้าและการปฏิบัติตามกฎหมายและกฎระเบียบที่เกี่ยวข้อง โดยบริษัทฯ ได้นำมาตรการและเครื่องมือด้านความปลอดภัยทางไซเบอร์มาใช้ในการปกป้องข้อมูลที่มีความอ่อนไหวไม่ให้ถูกเข้าถึง ใช้งาน หรือเปิดเผยโดยไม่ได้รับอนุญาต ตลอดจนลดความเสี่ยงจากการหยุดชะงักของการดำเนินงานอันเกิดจากกิจกรรมทางไซเบอร์ที่ไม่พึงประสงค์ นอกจากนี้ บริษัทฯ ได้กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคล เพื่อให้มั่นใจว่าข้อมูลของพนักงาน ลูกค้า และผู้มีส่วนได้เสียอื่นๆ ได้รับการจัดการอย่างเหมาะสม สอดคล้องกับกฎหมายและมาตรฐานสากลด้านการคุ้มครองข้อมูล

นอกจากนี้ บริษัทฯ ได้กำหนดแนวทางด้านความมั่นคงปลอดภัยทางไซเบอร์ โดยมีเป้าหมายให้จำนวนกรณีการรั่วไหลของข้อมูลลูกค้าจากการโจมตีทางไซเบอร์เป็นศูนย์ พร้อมทั้งเสริมสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลให้แก่พนักงานทุกระดับ เพื่อให้สามารถป้องกัน ตรวจพบ และรับมือกับภัยคุกคามรูปแบบใหม่ได้อย่างมีประสิทธิภาพ

นโยบายและแนวทางการบริหารจัดการ

ความมั่นคงปลอดภัยทางไซเบอร์

เพื่อให้การกำกับดูแลเป็นไปอย่างมีประสิทธิภาพ บริษัทฯ กำหนดให้คณะกรรมการเทคโนโลยีสารสนเทศ (IT Committee) ทำหน้าที่กำหนดทิศทาง กำกับดูแล และติดตามการบริหารจัดการเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์ และการลงทุนด้านดิจิทัล ให้สอดคล้องกับกลยุทธ์องค์กร ข้อกำหนดทางกฎหมาย และกรอบการบริหารความเสี่ยงด้านเทคโนโลยีของบริษัทฯ อย่างสม่ำเสมอ และมีการกำหนดหน้าที่ความรับผิดชอบของเจ้าหน้าที่ในการดำเนินงานทางด้านความมั่นคงปลอดภัยสารสนเทศ และแต่งตั้งคณะทำงานเพื่อการบริหารและจัดการความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ

บริษัทฯ ได้กำหนด นโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy) เพื่อให้มั่นใจว่าระบบเทคโนโลยีสารสนเทศและข้อมูลของบริษัทฯ ได้รับการคุ้มครองอย่างเหมาะสม ครอบคลุมหลักการสำคัญ 3 ประการ ได้แก่ การรักษาความลับ (Confidentiality) ความถูกต้องครบถ้วนของข้อมูล (Integrity) และความพร้อมใช้งาน (Availability) เพื่อสนับสนุนการดำเนินธุรกิจให้มีประสิทธิภาพ ต่อเนื่อง และเป็นไปตามกฎหมายและมาตรฐานที่เกี่ยวข้อง

บริษัทฯ มีการทบทวนและปรับปรุงนโยบายความมั่นคงปลอดภัยสารสนเทศและแนวปฏิบัติที่เกี่ยวข้องเป็นประจำ ให้สอดคล้องกับมาตรฐานสากล ISO/IEC 27001:2022 รวมถึงกฎหมายที่เกี่ยวข้อง เช่น พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 และกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยกำหนดให้ผู้บริหาร พนักงาน และหน่วยงานที่เกี่ยวข้องถือปฏิบัติตามอย่างเคร่งครัด

นโยบายความมั่นคงปลอดภัยสารสนเทศของบริษัทฯ ครอบคลุมการบริหารจัดการด้านสารสนเทศอย่างรอบด้าน รวมถึงแต่ไม่จำกัดเพียง

• การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
• การประเมินความเสี่ยงด้านความปลอดภัยไซเบอร์
• การรักษาความปลอดภัยของอุปกรณ์คอมพิวเตอร์แบบพกพาและการปฏิบัติงานจากระยะไกล (Remote Working)
• การใช้ระบบประมวลผลบนคลาวด์ (Cloud Computing)
• การบริหารจัดการทรัพย์สินสารสนเทศ
• การควบคุมสิทธิ์การเข้าถึง การยืนยันตัวตน และการเข้ารหัสข้อมูล
• ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม
• ความมั่นคงปลอดภัยสำหรับการดำเนินงานและโครงสร้างพื้นฐานด้านไอที
• การบริหารจัดการด้านบุคลากร
• การสื่อสารข้อมูล การจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ
• การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Incident Management)

แนวทางดังกล่าวช่วยให้บริษัทฯ สามารถลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ป้องกันการรั่วไหลของข้อมูล การหยุดชะงักของระบบ และความเสียหายต่อธุรกิจ ตลอดจนเสริมสร้างความเชื่อมั่นให้แก่ลูกค้า คู่ค้า และผู้มีส่วนได้เสียต่อการบริหารจัดการข้อมูลและระบบสารสนเทศของบริษัทฯ อย่างยั่งยืน

ข้อมูลเพิ่มเติมดูรายละเอียดได้ที่

การคุ้มครองข้อมูลส่วนบุคคล

บริษัทฯ ได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล โดยตระหนักถึงความสำคัญของการรักษาข้อมูลส่วนบุคคลของบริษัทฯ คู่ค้า และผู้มีส่วนได้เสียกับบริษัทฯ ซึ่งเป็นข้อมูลที่สำคัญต่อการดำเนินงานและแสดงถึงความน่าเชื่อถือของบริษัทฯ และเป็นสิทธิขั้นพื้นฐานสำคัญในความเป็นส่วนตัวและสิทธิมนุษยชน ดังนั้น บริษัทฯ จึงมุ่งมั่นในการดำเนินธุรกิจด้วยความรับผิดชอบต่อการจัดการข้อมูลส่วนบุคคลของผู้มีส่วนได้เสียของบริษัทฯ ตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) เพื่อรักษาความปลอดภัยและความเป็นส่วนตัวในทุกกิจกรรมของบริษัทฯ

บริษัทฯ กำหนดให้พนักงานหรือหน่วยงานที่เกี่ยวข้องกับข้อมูลส่วนบุคคลต้องให้ความสำคัญและรับผิดชอบในการเก็บรวบรวม ใช้ หรือการจัดการข้อมูลส่วนบุคคลตามนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ อย่างเคร่งครัด และเป็นไปตามนโยบายและกฎหมายว่าด้วยการคุ้มครองส่วนบุคคล และบริษัทฯ ได้เป้าหมายที่จะไม่ให้เกิดการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้า นอกจากนี้ มีการกำหนดมาตรการรักษาปลอดภัยสำหรับข้อมูลส่วนบุคคล กระบวนการทบทวนและประเมินประสิทธิภาพของมาตรการรักษาความปลอดภัย รวมทั้งกระบวนการจัดการในกรณีที่เกิดการละเมิดข้อมูลส่วนบุคคล โดยให้เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลของบริษัทฯ ดำเนินการแจ้งให้สำนักงานคณะกรรมการข้อมูลส่วนบุคคลทราบภายใน 72 ชั่วโมงนับแต่ทราบเหตุเท่าที่จะสามารถทำได้ เว้นแต่การละเมิดดังกล่าวนั้นไม่มีความเสี่ยงที่จะมีผลกระทบต่อสิทธิเสรีภาพของเจ้าของข้อมูลส่วนบุคคล ในกรณีที่การละเมิดมีความเสี่ยงสูงที่จะมีผลกระทบต่อสิทธิและเสรีภาพของบุคคล จะดำเนินการแจ้งเหตุการละเมิดให้เจ้าของข้อมูลส่วนบุคคลทราบพร้อมกับแนวทางการเยียวยาโดยไม่ชักช้า

นอกจากนี้ บริษัทฯ ได้กำหนดแนวปฏิบัติเกี่ยวกับการเก็บรักษาข้อมูลความลับของลูกค้า ในจริยธรรมและจรรยาบรรณในการดำเนินธุรกิจ ให้พนักงานได้ปฏิบัติตามอย่างเคร่งครัด และมีการกำหนดบทลงโทษทางวินัย เพื่อให้มั่นใจว่าจะต้องไม่นำข้อมูลความลับไปใช้เพื่อประโยชน์ส่วนตัวของบุคคลใดบุคคลหนึ่ง และการนำข้อมูลความลับของลูกค้ามาใช้งานต้องเป็นไปตามวัตถุประสงค์ที่บริษัทฯ กำหนดไว้เท่านั้น

ข้อมูลเพิ่มเติมดูรายละเอียดได้ที่

การจัดการและการรับมือภัยคุกคามทางไซเบอร์

บริษัทฯ ได้กำหนดกระบวนการจัดการและการรับมือภัยคุกคามทางไซเบอร์เพื่อป้องกัน ลดผลกระทบ และฟื้นฟูระบบหลังจากถูกโจมตี โดยมีการกำหนดการตรวจสอบและแจ้งเหตุ รวมไปถึงวิเคราะห์หาสาเหตุพร้อมแก้ไขปัญหาเพื่อให้ธุรกิจสามารถดำเนินการได้อย่างต่อเนื่อง โดยมีกรอบการบริหารจัดการ และการรับมือภัยคุกคามทางไซเบอร์ของบริษัทฯ ดังนี้  

กระบวนการรับมือภัยคุกคามทางไซเบอร์

ผลการดำเนินงาน

• ยกระบบการจัดการความมั่นคงปลอดภัยของข้อมูลสู่มาตรฐานสากล

  ในปี 2568 บริษัทฯ ได้พัฒนาปรับปรุงและดำเนินการขึ้นทะเบียน ISO27001:2022 ซึ่งเป็นมาตรฐานสากลสำหรับระบบการจัดการความมั่นคงปลอดภัยของข้อมูล (ISMS) โดยมาตรฐานนี้ครอบคลุมในส่วนโครงสร้างพื้นฐานด้านไอทีของบริษัทฯ และได้ดำเนินการทดสอบการกู้คืนข้อมูลและจัดทำแผนบริหารความต่อเนื่องทางธุรกิจ (Disaster Recovery Plan: DR Plan) เพื่อให้มั่นใจว่ากระบวนการทำงานของบริษัทฯ จะดำเนินไปอย่างต่อเนื่อง ไม่เกิดการสะดุดในกรณีที่เกิดเหตุการณ์ไม่คาดคิดหรือภัยพิบัติ ทั้งนี้เพื่อเสริมสร้างความมั่นใจให้กับลูกค้าและผู้มีส่วนได้เสียว่าข้อมูลและระบบสำคัญของบริษัทฯ ได้รับการดูแลอย่างรัดกุมและพร้อมรับมือกับทุกสถานการณ์ สำหรับการสร้างความตระหนักรู้ถึงภัยไซเบอร์และการปฏิบัติตามความคุ้มครองข้อมูลส่วนบุคคล

• กำหนดโครงสร้างการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

  เพื่อความคล่องตัวในการดำเนินงาน คณะกรรมการ IT ได้มอบหมายให้ CEO แต่งตั้งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ คณะทำงานและคณะผู้ตรวจประเมินภายใน ตามแนวทางของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO27001:2022) รวมทั้งกำหนดบทบาทหน้าที่รับผิดชอบในการดำเนินงานระบบบริหารจัดการด้านความมั่นคงปลอดภัย กำหนดแนวทางและวิธีการประเมินความเสี่ยง เกณฑ์ในการยอมรับความเสี่ยง และระดับความเสี่ยงที่สามารถยอมรับได้ พิจารณาผลการประเมินความเสี่ยง (Information Security Risk Assessment Result) ติดตามและประเมินผลการตำเนินงานของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงสนับสนุนทรัพยากรที่จำเป็นและสั่งการ เพื่อให้สามารถดำเนินงานตามมาตรการควบคุม และแผนจัดการความมั่นคงปลอดภัยสารสนเทศได้ตามกรอบที่กำหนด

โครงสร้างคณะกรรมการระบบการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS management Committee)

ในด้านของการตรวสอบประเมินระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ บริษัทฯ มีการกำหนดการตรวจสอบเป็น 2 ส่วน ได้แก่

• การตรวจสอบภายใน บริษัทฯ ได้แต่งตั้งคณะผู้ตรวจสอบประเมินภายในความมั่นคงปลอดภัยสารสนเทศ (ISMS Internal Audit Team) ซึ่งทำหน้าที่ในการทบทวนกระบวนการทำงาน และตรวจสอบภายในเกี่ยวกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ตามรอบระยะเวลาที่กำหนด หรือตามคำสั่งฝ่ายบริหารหรือตัวแทนฝ่ายบริหาร รายงานผลการตรวจสอบต่อฝ่ายบริหารหรือตัวแทนฝ่ายบริหารและผู้รับการตรวจสอบ และติดตามผลการดำเนินการแก้ไขและป้องกันจากผลการตรวจสอบภายในเพื่อไม่ให้เกิดปัญหาซ้ำ
• การตรวจสอบจากหน่วยงานภายนอก ซึ่งบริษัทฯ จะได้รับการตรวจสอบจากผู้ประเมินภายนอกที่สอดคล้องมาตรฐาน ISO27001:2022 ซึ่งจะมีการทวนสอบเป็นประจำทุกปี และมีการต่ออายุทุก ๆ 3 ปี

• แผนยกระดับการกำกับดูแลการใช้ปัญญาประดิษฐ์

  ปัจจุบัน บริษัทฯ มีการใช้งานระบบปัญญาประดิษฐ์ (Artificial Intelligence: AI) เพื่อเพิ่มประสิทธิภาพในการดำเนินงานของฝ่าย IT และการรักษาความปลอดภัยของข้อมูล ในปี 2568 บริษัทฯ ตระหนักถึงความสำคัญในการกำกับดูแลการใช้เทคโนโลยีดิจิตัล และ AI ที่กำลังมีบทบาทในการดำเนินธุรกิจ จึงได้บรรจุแผนยกระดับการกำกับดูแลการใช้ปัญญาประดิษฐ์ อยู่ในแผนด้านกำกับดูแลของบริษัทฯ (Governance Plan) ภายใต้โครงการ JUMP+ ของตลาดหลักทรัพย์แห่งประเทศไทย โดยมีการดำเนินการและแผนงาน ดังนี้

  • กำหนดบทบาทและปรับปรุงกฎบัตรสำหรับคณะกรรมการเทคโนโลยีสารสนเทศ ให้ครอบคลุมการกำกับดูแลในการกำกับดูแลการบริหารจัดการเทคโนโลยีสารสนเทศ ความมั่นคงปลอดภัยไซเบอร์และการกำกับดูแลการใช้เทคโนโลยีปัญญาประดิษฐ์ (AI)
  • กำหนดบทบาทและปรับปรุงกฎบัตรของคณะกรรมการกำกับดูแลกิจการที่ดีและพัฒนาอย่างยั่งยืนให้มีหน้าที่กำกับดูแลให้มีนโยบาย แนวปฏิบัติ และการติดตามประเมินผลที่เหมาะสมในการใช้เทคโนโลยีปัญญาประดิษฐ์ (AI) ภายในองค์กร
  • มีแผนในกำหนดนโยบาย แนวปฏิบัติและผู้รับผิดชอบที่ชัดเจนในการนำ AI มาใช้ในองค์กร รวมทั้งการตรวจสอบและรายงานผลการใช้ปัญญาประดิษฐ์อย่างรับผิดชอบ ภายในปี 2571
  • มีแผนในการฝึกอบรมและสื่อสารเรื่อง AI Governance และตรวจสอบและรายงานผลการใช้ปัญญาประดิษฐ์อย่างรับผิดชอบ
• การสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ให้กับพนักงาน

  บริษัทฯ ได้จัดการอบรมหลักสูตร PDPA & Cybersecurity Awareness ให้กับพนักงานเข้าไปอบรมและประเมินความรู้ด้านการรักษาความปลอดภัยของข้อมูลส่วนบุคคลและความปลอดภัยไซเบอร์หลังการอบรบ โดยมีพนักงานที่ผ่านการอบรบและการทดสอบตามเกณฑ์ของบริษัทฯ คิดเป็น 82% จากจำนวนพนักงานทั้งหมดที่ใช้งานระบบเทคโนโลยีสารสนเทศของบริษัทฯ ซึ่งมีหน้าที่รับผิดชอบที่สำคัญกับความปลอดภัยทางไซเบอร์และการรักษาความปลอดภัยของข้อมูลส่วนบุคคล สูงกว่าเป้าหมาย 80% ที่ตั้งไว้ ทั้งนี้ บริษัทฯ ได้ตั้งเป้าหมายในการอบรมเรื่องความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลกับพนักงานทุกคน ภายในปี 2570 พร้อมจัดเตรียมการทบทวนความรู้ให้สำหรับพนักงานที่เคยอบรมไปแล้วอย่างต่อเนื่อง