ไปที่ หน้าหลักบางจาก

แนวทางการบริหารจัดการ

บริษัทฯ มีโครงสร้างการบริหารงานด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ที่ชัดเจน ภายใต้การกำกับดูแลในระดับคณะกรรมการและผู้บริหารระดับสูง ไปจนถึงระดับปฏิบัติการ มีนโยบายความปลอดภัยของข้อมูลทางไซเบอร์และระบบการจัดการข้อมูล มีการบริหารระบบการจัดการความปลอดภัยของข้อมูลตามมาตรฐานสากล ได้แก่ ISO/IEC 27001 : 2022, ISO/IEC 27032 : 2012, ISO/IEC 27018 : 2019 และ NIST Cybersecurity Framework

โครงสร้างการบริหารงานด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์

กลยุทธ์และการดำเนินงาน

การบริหารความเสี่ยงต่อภัยคุกคามต่อทรัพย์สินข้อมูลและระบบสารสนเทศ

โดยครอบคลุมในเรื่อง การบริหารความเสี่ยงเชิงกลยุทธ์ มาตรการป้องกันและควบคุมความปลอดภัย การจัดการข้อมูลและการรักษาความลับด้วยมาตรการรักษาความปลอดภัย การเตรียมความพร้อมและความต่อเนื่องทางธุรกิจ การบริหารความเสี่ยงจากบุคคลภายนอก การประเมินความเสี่ยงจากเทคโนโลยีใหม่ เป็นต้น

การป้องกันภัยคุกคามต่อทรัพย์สินข้อมูลและระบบสารสนเทศ

บริษัทฯ ยกระดับการรักษาความปลอดภัยทางไซเบอร์ด้วยเทคโนโลยีและมาตรการป้องกันขั้นสูงแบบรอบด้าน อาทิ การใช้ระบบยืนยันตัวตนแบบหลายเงื่อนไข (MFA) พร้อมเสริมด้วย Advanced Endpoint Protection ที่สามารถตรวจสอบ ตรวจจับ และตอบสนองต่อภัยคุกคามได้อย่างมีประสิทธิภาพ, รวมถึงประยุกต์ใช้แนวคิด Zero Trust ป้องกันการเข้าถึงเครือข่ายโดยต้องผ่านการยืนยันตัวตนที่เข้มงวด มีระบบตรวจจับและตอบสนองต่อภัยคุกคาม (Advanced SIEM) นอกจากนั้นยังมีระบบสำรองข้อมูลที่ปลอดภัย มีระบบป้องกันซอฟต์แวร์เรียกค่าไถ่ พร้อมความสามารถในการกู้คืนระบบได้อย่างรวดเร็ว

การลงทุนและวิวัฒนาการ

มีการจัดสรรงบประมาณอย่างเหมาะสม และนำเทคโนโลยีใหม่มาใช้งานเช่น ระบบตรวจจับภัยคุกคามด้วย AI โซลูชันรักษาความปลอดภัยบน Cloud โดยในอนาคต จะมีการปรับปรุงระบบป้องกันให้สอดคล้องกับแนวโน้มภัยคุกคามใหม่ และเตรียมพร้อมรับมือกับกฎระเบียบที่กำลังจะมีผลบังคับใช้

การบริหารจัดการพันธมิตรและผู้ให้บริการภายนอก

บริษัทฯ มีกระบวนการคัดเลือกและควบคุม Third Party และ IT Outsource อย่างเข้มงวด โดยใช้มาตรฐาน GTAG (Global Technology Audit Guide)

เทคโนโลยีและเครื่องมือเฝ้าระวัง

บริษัทฯ ได้นำเทคโนโลยีและเครื่องมือที่ทันสมัยมาใช้งาน ประกอบด้วย ระบบตรวจสอบการทำงานของระบบ IT แบบเรียลไทม์ ระบบตรวจจับและตอบสนองต่อภัยคุกคามที่ทำงานตลอดเวลา การรับข้อมูลเกี่ยวกับภัยคุกคามใหม่และแนวทางการจัดการจากแหล่งข้อมูลระดับสากล และการทดสอบเจาะระบบ

การเตรียมความพร้อม ซักซ้อมและการสร้าง Cyber Resilience

มีการประเมินรูปแบบของภัยคุกคามที่มีความเสี่ยงสูง จัดทำแผนและวิธีปฏิบัติสำหรับเหตุความไม่ปลอดภัย (Incident Response Plan) มีการซ้อมแผน Cyber Security Drill มากกว่า 1 ครั้ง/ปี มีระบบสนับสนุนด้าน IT Service Management System (Service Now) ในจัดการเหตุขัดข้องด้านความมั่นคงปลอดภัยสารสนเทศ และเข้าร่วมสนับสนุนการซ้อมแผน Business Continuity Management (BCM) ในกลุ่มบริษัทฯ

แผนตอบสนองต่อเหตุการณ์

มีแผนรองรับในการตอบสนองต่อเหตุการณ์ มีการทบทวนและปรับปรุงให้ทันสมัยอย่างสม่ำเสมอ อย่างน้อยปีละ 1 ครั้ง

เป้าหมายและผลการดำเนินงาน

ความมุ่งมั่นของเราในการสร้างผลกระทบอย่างยั่งยืนสะท้อนผ่านเป้าหมายและผลการดำเนินงานด้าน ESG

เป้าหมาย

พนักงานผ่านการทดสอบความตระหนัก ด้านความปลอดภัยทางไซเบอร์ อย่างน้อย
ร้อยละ
จำนวนเหตุการณ์ที่เกิดการละเมิดข้อมูลการเปิดเผยข้อมูลที่ไม่ตั้งใจและการรั่วไหลของข้อมูลเป็น
0

ผลการดำเนินงาน

ร้อยละของพนักงานที่ผ่านการทดสอบความตระหนัก ด้านความปลอดภัยทางไซเบอร์
ปี 2568
%

(หน่วย: ร้อยละ)

จำนวนเหตุการณ์ที่เกิดการละเมิดข้อมูลการเปิดเผยข้อมูลที่ไม่ตั้งใจและการรั่วไหลของข้อมูล
ปี 2568
กรณี

(หน่วย: กรณี)