มีส่วนได้เสียหลัก : ผู้ถือหุ้น / ลูกค้าและผู้บริโภค / ภาครัฐและองค์กรภาคประชาสังคม
มิตรผลได้นำเทคโนโลยีมาประยุกต์ใช้ในทุกๆ ส่วนขององค์กร เพื่อเพิ่มประสิทธิภาพในการทำงาน สนับสนุนข้อมูลเพื่อการตัดสินใจ สร้างมูลค่าเพิ่มและสร้างการเติบโตที่ยั่งยืนให้กับองค์กร ภายใต้นโยบาย Digital Transformation โดยได้นำระบบ Automation Robotic Process Automation (RPA) Machine Learning และ Artificial Intelligent มาช่วยในงานด้านต่าง ๆ เช่น การใช้เทคโนโลยีในการจัดการไร่ (Smart Farming) การเพิ่มประสิทธิภาพในกระบวนการผลิตในโรงงาน (Smart Factory) การปรับปรุงการจัดการการขนส่ง (Smart Distribution) การเสริมสร้างการตลาดอย่างไร้ขีดจำกัด (Smart Marketing) ฯลฯ อย่างไรก็ดี การนำเทคโนโลยีมาใช้งานต้องมีการระมัดระวังอย่างยิ่ง เนื่องจากเทคโนโลยียังเป็นช่องทางในการก่อให้เกิดความเสียหายให้กับธุรกิจ หากไม่มีการดำเนินการอย่างรอบคอบในการรักษาความปลอดภัยทางไซเบอร์
|
|
เป้าหมาย
|
ผลการดำเนินงาน
|
|---|---|---|
|
ระยะเวลาการตอบสนองต่อเหตุละเมิดด้านความมั่นคงปลอดภัย
|
ไม่เกิน 4 ชั่วโมง
|
ไม่เกิน 4 ชั่วโมง
|
|
ระยะเวลาการแยก Server ที่เกี่ยวข้องออกจากระบบเครือข่ายของบริษัท
|
ไม่เกิน 1 ชั่วโมง เมื่อได้รับแจ้ง
|
ไม่เกิน 1 ชั่วโมง เมื่อได้รับแจ้ง
|
|
มีการทดสอบความตระหนักรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ด้วยวิธีการ Phishing Simulation Test
|
ปีละ 2 ครั้ง
|
2 ครั้ง
|
|
มีการซ้อมแผนรับมือเหตุผิดปกติทาง
ไซเบอร์ (Cyber Drill) ให้กับผู้บริหาร
|
ปีละ 1 ครั้ง
|
1 ครั้ง
|
คณะกรรมการบริษัทให้ความสำคัญกับความปลอดภัยของข้อมูลเป็นอย่างมาก จึงได้มอบหมายให้คณะกรรมการขับเคลื่อนการเปลี่ยนผ่านสู่ดิจิทัลและความปลอดภัยทางไซเบอร์ ทำงานร่วมกับคณะกรรมการบริหารความเสี่ยง และคณะกรรมการตรวจสอบ รวมถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO) โดยมีหน่วยงานที่มีความเชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ซึ่งอยู่ภายใต้กลุ่มงาน Digital and Technology Transformation ดูแลรับผิดชอบ ด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูลโดยตรง และผู้ช่วยกรรมการผู้จัดการ กลุ่มงาน Digital and Technology Transformation เป็นผู้ดูแลรับผิดชอบและบริหารจัดการภาพรวมด้านความมั่นคงปลอดภัยที่เกี่ยวข้องทั้งหมด โดยมีบทบาทที่เกี่ยวข้องดังนี้
มีบทบาทหน้าที่ในการกำหนดนโยบาย กำกับดูแล สนับสนุนการดำเนินงาน ติดตามและประเมินผลการบริหารความเสี่ยง รวมถึงให้ข้อเสนอแนะการบริหารจัดการความเสี่ยง เพื่อสนับสนุนการดำเนินงานของกลุ่มมิตรผลให้บรรลุตามเป้าหมายธุรกิจและเกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียขององค์กร โดยความเสี่ยงด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูลถือเป็นหนึ่งในความเสี่ยงหลักขององค์กร ซึ่งได้รับการติดตามกำกับดูแลอย่างใกล้ชิดโดยคณะกรรมการบริหารความเสี่ยง
มีบทบาทหน้าที่ในการกำหนดนโยบาย กำกับดูแล และสนับสนุนการนำนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ด้านความปลอดภัยทางไซเบอร์ และความปลอดภัยของข้อมูล ไปปฏิบัติให้ครอบคลุมทุกหน่วยธุรกิจของกลุ่มมิตรผล
มีบทบาทหน้าที่ในการสอบทานการดำเนินงานขององค์กรอย่างเป็นอิสระ เพื่อให้มั่นใจได้ว่ามีการบริหารจัดการความเสี่ยงและการควบคุมภายในที่เหมาะสมและเป็นไปตามแนวปฏิบัติที่ดี ตลอดจนปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง โดยการสอบทานการดำเนินงานที่เกี่ยวข้องกับการบริหารความเสี่ยงและการควบคุมด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูล เป็นหนึ่งในขอบเขตงานที่ได้รับการติดตามและตรวจสอบโดยคณะกรรมการตรวจสอบ
ดำรงตำแหน่งโดยผู้ช่วยกรรมการผู้จัดการ กลุ่มงาน Digital and Technology Transformation มีบทบาทในการกำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศและบริหารจัดการการดำเนินงานของทุกหน่วยงานภายใต้กลุ่มงาน Digital and Technology Transformation ซึ่งประกอบด้วย งานด้านการเปลี่ยนแปลงทางดิจิทัล (Digital Transformation) งานพัฒนาระบบและ Business Solution งานโครงสร้างพื้นฐานด้านไอที (IT Infrastructures) และงานความปลอดภัยด้านไอที ความปลอดภัยทางไซเบอร์ และความปลอดภัยของข้อมูล เพื่อสนับสนุนความต้องการทางธุรกิจและการดำเนินงานของหน่วยธุรกิจให้เป็นไปตามเป้าหมายองค์กร
มีบทบาทหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงาน และสนับสนุนให้ทุกหน่วยงานภายในกลุ่มมิตรผล ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึงการจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของกลุ่มมิตรผลตามที่กฎหมายกำหนดและยกระดับให้เทียบเท่ามาตรฐานสากล
มีบทบาทหน้าที่ในการวางแผน พัฒนา และบริหารจัดการระบบเทคโนโลยี ระบบสารสนเทศ ข้อมูลสารสนเทศ (รวมถึงข้อมูลส่วนบุคคล) ของกลุ่มมิตรผล ให้มีความมั่นคงปลอดภัย โดยรักษาไว้ซึ่งการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) โดยจัดให้มีการประเมินความเสี่ยงและการควบคุมด้านความมั่นคงปลอดภัยด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูล รวมถึงจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ตลอดจนเฝ้าระวังและตรวจจับเหตุการณ์ผิดปกติ ตอบสนองและรับมือต่อเหตุการณ์ผิดปกติให้กลับสู่สภาพปกติโดยเร็วและจำกัดความเสียหายที่ส่งผลกระทบต่อธุรกิจ นอกจากนี้ยังมีบทบาทหน้าที่ในการเสริมสร้างความตระหนักรู้ให้กับบุคลากรของกลุ่มมิตรผล ผู้ให้บริการภายนอก และหน่วยงานที่เกี่ยวข้อง
มิตรผลได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศ นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ และนโยบายคุ้มครองข้อมูลส่วนบุคคลของกลุ่มมิตรผล ซึ่งประกาศใช้และถือปฏิบัติทั่วทั้งกลุ่มมิตรผล อีกทั้งยังกำหนดกรอบการบริหารความเสี่ยงด้านเทคโนโลยีดิจิทัลและความปลอดภัยของข้อมูล เพื่อให้บรรลุเป้าหมายที่สำคัญ ดังนี้
มิตรผลจัดโครงสร้างองค์กรตามแนวทางป้องกันความเสี่ยง 3 ระดับ (Three Lines of Defense) เพื่อส่งเสริมให้มีกลไกการตรวจสอบและถ่วงดุลที่เหมาะสม ซึ่งประกอบด้วย
มิตรผลให้ความสำคัญกับการพัฒนาองค์ประกอบทั้ง 3 ด้าน ได้แก่ด้านบุคลากร (People) ด้านกระบวนการ (Process) และด้านเทคโนโลยี (Technology) เพื่อลดความเสี่ยงภัยความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้สามารถรองรับภัยคุกคามทางไซเบอร์ในทุกมิติ ได้แก่
ในปี พ.ศ.2566 บริษัทไม่มีกรณีละเมิดด้านความมั่นคงปลอดภัยของข้อมูล และไม่มีลูกค้าและพนักงานได้รับผลกระทบจากการละเมิดข้อมูลส่วนบุคคล
