การรักษาความปลอดภัยของข้อมูลสารสนเทศและข้อมูลส่วนบุคคล

1. ควบคุมการเข้าถึงและกำหนดสิทธิการเข้าใช้งานระบบสารสนเทศแบ่งตามหน้าที่รับผิดชอบในการใช้งาน
2. กำหนดหน้าที่ความรับผิดชอบของผู้บริหาร ผู้ใช้งาน ผู้ดูแลระบบและมารยาทในการใช้งานระบบสารสนเทศของผู้ใช้งาน
3. กำหนดให้อุปกรณ์เครือข่ายได้รับการตั้งค่าอย่างเหมาะสมกับพื้นที่ สภาพแวดล้อมที่เหมาะสมทางกายภาพและได้รับอนุญาตจากผู้ดูแลระบบ
4. กำหนดวิธีการแลกเปลี่ยนข้อมูลที่เป็นความลับต้องทำการเข้ารหัสข้อมูลเพื่อความปลอดภัย
5. ติดตั้งอุปกรณ์เซิร์ฟเวอร์อยู่ในพื้นที่ที่เหมาะสมและให้สิทธิเฉพาะผู้มีหน้าที่เกี่ยวข้อง
6. จัดเตรียมอุปกรณ์ที่จำเป็นสำหรับการป้องกันการหยุดชะงักของระบบอย่างเหมาะสมและเพียงพอต่อการดำเนินงาน สามารถกู้คืนระบบได้ภายในระยะเวลาที่เหมาะสม
7. จัดเตรียมระบบให้สามารถเก็บบันทึกประวัติการใช้งาน ระบบแจ้งเตือนสถานะการทำงาน และคู่มือการใช้งานเพื่อให้ผู้เกี่ยวข้องสามารถปฏิบัติและบำรุงรักษาอุปกรณ์ที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ

นอกจากนี้ บริษัทจัดให้มีการทดสอบความรู้ความเข้าใจตามนโยบายการใช้งานระบบสารสนเทศและระบบเครือข่ายสื่อสารข้อมูล และระเบียบ ว่าด้วยวิธีปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อให้พนักงานทุกคนตระหนักและเกิดความเข้าใจในการใช้งานผ่านระบบให้มากขึ้น และทุกครั้งที่มีการรับพนักงานเข้าใหม่ จะมีการอบรมปฐมนิเทศที่มีหัวข้อการใช้งานระบบสารสนเทศและความปลอดภัยไซเบอร์ด้วย

1. ผู้ดูแลระบบตรวจสอบความถูกต้องของการตั้งค่าความปลอดภัยของอุปกรณ์ป้องกันเครือข่าย (Firewall) หลังจากมีการปรับปรุงรุ่นของฐานข้อมูลความปลอดภัย (Firmware) ทุกครั้ง และบันทึกผลการตรวจสอบลงในทะเบียนคุมการปรับปรุงเวอร์ชันฐานข้อมูลความปลอดภัย (Firmware) ของอุปกรณ์ป้องกันเครือข่าย (Firewall)
2. ผู้ดูแลระบบจัดทำรายงานบันทึกผลการทดสอบการติดตั้งแพตช์ (Patch) ของระบบที่สำคัญ เช่น ระบบปฏิบัติการ (Operation System) ระบบงาน (Application System) ระบบฐานข้อมูล (Database System) อุปกรณ์เครือข่าย (Network) อย่างเป็นลายลักษณ์อักษร ลงในทะเบียนคุมการปรับปรุงเวอร์ชันของระบบปฏิบัติการ ระบบงาน ระบบฐานข้อมูล เมื่อมีการปรับปรุงแพตช์ (Patch) ใหม่ทุกครั้ง
3. ผู้ดูแลระบบตรวจสอบสถานะความพร้อมใช้งานของอุปกรณ์เครือข่ายและตรวจสอบพื้นที่ของทรัพยากรบนระบบเป็นประจำทุกวัน และจัดทำรายงานการตรวจสอบสถานะ Server เป็นประจำทุกเดือน

1. บริษัทกำหนดการใช้สื่อบันทึกข้อมูลให้มีการใช้อย่างถูกต้องเพื่อความปลอดภัยของข้อมูล หากมีการใช้งานกับเครื่องคอมพิวเตอร์ ให้ทำการสแกนอุปกรณ์ก่อนการใช้งานทุกครั้ง
2. หากตรวจสอบพบสิ่งผิดปกติหรือตรวจสอบแล้วพบ Virus, Malware, Spamware, Ransomware ให้ทำการแจ้งประสานมายังฝ่ายสารสนเทศทันที
3. ห้ามนำสื่อบันทึกข้อมูลไปเผยแพร่ หรือส่งผลให้ข้อมูลของบริษัทเกิดการรั่วไหล เพื่อควบคุมมิให้มีการนำไปใช้ภายนอกกิจการ

1. บริษัทกำหนดให้มีการทดสอบการเจาะระบบ เพื่อประเมินและปรับปรุงคุณภาพของระบบการรักษาความปลอดภัย โดยการหาข้อผิดพลาดและปัญหาที่เกิดขึ้น และทำการแก้ไขปัญหา ทั้งนี้ การทดสอบมีความสำคัญต่อการป้องกันความปลอดภัย และมีความถูกต้องสมบูรณ์ มีประสิทธิภาพ พร้อมใช้งานจริง และช่วยให้เกิดความเชื่อมั่นในการใช้ต่อผู้ใช้งานระบบ
2. บริษัทจัดทำแผนรองรับสถานการณ์ฉุกเฉินในกรณีที่เกี่ยวข้องกันกับภัยคุกคามทางไซเบอร์สำหรับระบบสำคัญของบริษัท เพื่อรองรับการดำเนินธุรกิจอย่างต่อเนื่อง กรณีที่ถูกโจมตีจากไวรัส และถูกก่อกวนจากภัยคุกคามทางไซเบอร์
3. การทดสอบแผนรองรับสถานการณ์ฉุกเฉิน (TESTING THE PLAN) ด้วยการทดสอบแผนบางส่วนหรือทั้งหมดเป็นประจำทุกปี เพื่อให้มั่นใจว่าหน่วยงานมีการเตรียมตัวและมีความสามารถในการคืนธุรกิจสำคัญภายในระยะเวลาที่กำหนดไว้ สำหรับหน่วยงานซึ่งมีการปฏิบัติงานที่สำคัญ มีการทดสอบแผนโดยการสร้างสถานการณ์จำลอง (simulation exercises) เป็นประจำทุกปี โดยมีการปรับเปลี่ยนหมุนเวียนสถานการณ์จำลอง เพื่อให้แน่ใจว่าได้มีการทดสอบความสูญเสียเสียหายของปัจจัยหลักที่เกี่ยวข้อง ทุก ๆ 2 ปี ทั้งนี้ หากมีข้อบกพร่องใด ๆ (gap) ที่เกิดจากการทดสอบแผน จะมีการติดตามให้เสร็จสิ้นภายใน 3 เดือนนับตั้งแต่วันที่ทดสอบ ถ้าไม่สามารถดำเนินการติดตามได้ตามเวลาที่กำหนด ทีมงานตอบสนองแผนกู้คืนระบบ (DRP Response Team) จะร่วมกันพิจารณาแนวทางแก้ไขข้อบกพร่องให้หมดโปโดยเร็ว และมีการทบทวนแผนการทบทวนและปรับปรุงกระบวนการรับมือเหตุการณ์ผิดปกติทางไซเบอร์อย่างน้อยปีละ 1 ครั้ง

ผลการดำเนินงานด้านระบบสารสนเทศของบริษัทในปี 2567

มีการประเมินตนเองตามแนวทางของ Cobit Framework

100% ของโครงสร้างพื้นฐานด้านไอทีได้รับการรับรองโดยมาตรฐานด้านไอทีระดับสากล

ไม่มีข้อร้องเรียนที่เกี่ยวข้องกับความปลอดภัยของข้อมูลและการโจมตีทางไซเบอร์

ไม่ได้รับผลกระทบหรือความเสียหายจากการถูกเจาะระบบ