Mitr Phol Group Sustainability

Menu
Menu
Edit Template

มีส่วนได้เสียหลัก : ผู้ถือหุ้น / ลูกค้าและผู้บริโภค / ภาครัฐและองค์กรภาคประชาสังคม

มิตรผลได้นำเทคโนโลยีมาประยุกต์ใช้ในทุกๆ ส่วนขององค์กร เพื่อเพิ่มประสิทธิภาพในการทำงาน สนับสนุนข้อมูลเพื่อการตัดสินใจ สร้างมูลค่าเพิ่มและสร้างการเติบโตที่ยั่งยืนให้กับองค์กร ภายใต้นโยบาย Digital Transformation โดยได้นำระบบ Automation Robotic Process Automation (RPA) Machine Learning และ Artificial Intelligent มาช่วยในงานด้านต่าง ๆ เช่น การใช้เทคโนโลยีในการจัดการไร่ (Smart Farming) การเพิ่มประสิทธิภาพในกระบวนการผลิตในโรงงาน (Smart Factory) การปรับปรุงการจัดการการขนส่ง (Smart Distribution) การเสริมสร้างการตลาดอย่างไร้ขีดจำกัด (Smart Marketing) ฯลฯ อย่างไรก็ดี การนำเทคโนโลยีมาใช้งานต้องมีการระมัดระวังอย่างยิ่ง เนื่องจากเทคโนโลยียังเป็นช่องทางในการก่อให้เกิดความเสียหายให้กับธุรกิจ หากไม่มีการดำเนินการอย่างรอบคอบในการรักษาความปลอดภัยทางไซเบอร์

เป้าหมายและผลการดำเนินงานของปี 2566
เป้าหมาย
ผลการดำเนินงาน
ระยะเวลาการตอบสนองต่อเหตุละเมิดด้านความมั่นคงปลอดภัย
ไม่เกิน 4 ชั่วโมง
ไม่เกิน 4 ชั่วโมง
ระยะเวลาการแยก Server ที่เกี่ยวข้องออกจากระบบเครือข่ายของบริษัท
ไม่เกิน 1 ชั่วโมง เมื่อได้รับแจ้ง
ไม่เกิน 1 ชั่วโมง เมื่อได้รับแจ้ง
มีการทดสอบความตระหนักรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ด้วยวิธีการ Phishing Simulation Test
ปีละ 2 ครั้ง
2 ครั้ง
มีการซ้อมแผนรับมือเหตุผิดปกติทาง ไซเบอร์ (Cyber Drill) ให้กับผู้บริหาร
ปีละ 1 ครั้ง
1 ครั้ง

แนวทางการบริหารจัดการ

โครงสร้างการบริหารงานด้านความปลอดภัยของข้อมูล

คณะกรรมการบริษัทให้ความสำคัญกับความปลอดภัยของข้อมูลเป็นอย่างมาก จึงได้มอบหมายให้คณะกรรมการขับเคลื่อนการเปลี่ยนผ่านสู่ดิจิทัลและความปลอดภัยทางไซเบอร์ ทำงานร่วมกับคณะกรรมการบริหารความเสี่ยง และคณะกรรมการตรวจสอบ รวมถึงเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO) โดยมีหน่วยงานที่มีความเชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ซึ่งอยู่ภายใต้กลุ่มงาน Digital and Technology Transformation ดูแลรับผิดชอบ ด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูลโดยตรง และผู้ช่วยกรรมการผู้จัดการ กลุ่มงาน Digital and Technology Transformation เป็นผู้ดูแลรับผิดชอบและบริหารจัดการภาพรวมด้านความมั่นคงปลอดภัยที่เกี่ยวข้องทั้งหมด โดยมีบทบาทที่เกี่ยวข้องดังนี้

คณะกรรมการบริหารความเสี่ยง

มีบทบาทหน้าที่ในการกำหนดนโยบาย กำกับดูแล สนับสนุนการดำเนินงาน ติดตามและประเมินผลการบริหารความเสี่ยง รวมถึงให้ข้อเสนอแนะการบริหารจัดการความเสี่ยง เพื่อสนับสนุนการดำเนินงานของกลุ่มมิตรผลให้บรรลุตามเป้าหมายธุรกิจและเกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียขององค์กร โดยความเสี่ยงด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูลถือเป็นหนึ่งในความเสี่ยงหลักขององค์กร ซึ่งได้รับการติดตามกำกับดูแลอย่างใกล้ชิดโดยคณะกรรมการบริหารความเสี่ยง

คณะกรรมการขับเคลื่อนการเปลี่ยนผ่านสู่ดิจิทัลและความปลอดภัยทางไซเบอร์

มีบทบาทหน้าที่ในการกำหนดนโยบาย กำกับดูแล และสนับสนุนการนำนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ด้านความปลอดภัยทางไซเบอร์ และความปลอดภัยของข้อมูล ไปปฏิบัติให้ครอบคลุมทุกหน่วยธุรกิจของกลุ่มมิตรผล

คณะกรรมการตรวจสอบ

มีบทบาทหน้าที่ในการสอบทานการดำเนินงานขององค์กรอย่างเป็นอิสระ เพื่อให้มั่นใจได้ว่ามีการบริหารจัดการความเสี่ยงและการควบคุมภายในที่เหมาะสมและเป็นไปตามแนวปฏิบัติที่ดี ตลอดจนปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง โดยการสอบทานการดำเนินงานที่เกี่ยวข้องกับการบริหารความเสี่ยงและการควบคุมด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูล เป็นหนึ่งในขอบเขตงานที่ได้รับการติดตามและตรวจสอบโดยคณะกรรมการตรวจสอบ

เจ้าหน้าที่รักษาความมั่นคงปลอดภัยไซเบอร์ (Chief Information Security Officer - CISO)

ดำรงตำแหน่งโดยผู้ช่วยกรรมการผู้จัดการ กลุ่มงาน Digital and Technology Transformation มีบทบาทในการกำหนดกลยุทธ์ด้านเทคโนโลยีสารสนเทศและบริหารจัดการการดำเนินงานของทุกหน่วยงานภายใต้กลุ่มงาน Digital and Technology Transformation ซึ่งประกอบด้วย งานด้านการเปลี่ยนแปลงทางดิจิทัล (Digital Transformation) งานพัฒนาระบบและ Business Solution งานโครงสร้างพื้นฐานด้านไอที (IT Infrastructures) และงานความปลอดภัยด้านไอที ความปลอดภัยทางไซเบอร์ และความปลอดภัยของข้อมูล เพื่อสนับสนุนความต้องการทางธุรกิจและการดำเนินงานของหน่วยธุรกิจให้เป็นไปตามเป้าหมายองค์กร

เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer - DPO)

มีบทบาทหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงาน และสนับสนุนให้ทุกหน่วยงานภายในกลุ่มมิตรผล ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึงการจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของกลุ่มมิตรผลตามที่กฎหมายกำหนดและยกระดับให้เทียบเท่ามาตรฐานสากล

หน่วยงาน Cybersecurity and Information Security

มีบทบาทหน้าที่ในการวางแผน พัฒนา และบริหารจัดการระบบเทคโนโลยี ระบบสารสนเทศ ข้อมูลสารสนเทศ (รวมถึงข้อมูลส่วนบุคคล) ของกลุ่มมิตรผล ให้มีความมั่นคงปลอดภัย โดยรักษาไว้ซึ่งการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) โดยจัดให้มีการประเมินความเสี่ยงและการควบคุมด้านความมั่นคงปลอดภัยด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูล รวมถึงจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ตลอดจนเฝ้าระวังและตรวจจับเหตุการณ์ผิดปกติ ตอบสนองและรับมือต่อเหตุการณ์ผิดปกติให้กลับสู่สภาพปกติโดยเร็วและจำกัดความเสียหายที่ส่งผลกระทบต่อธุรกิจ นอกจากนี้ยังมีบทบาทหน้าที่ในการเสริมสร้างความตระหนักรู้ให้กับบุคลากรของกลุ่มมิตรผล ผู้ให้บริการภายนอก และหน่วยงานที่เกี่ยวข้อง

โครงสร้างการบริหารงานด้านความปลอดภัยของข้อมูล

กรอบการบริหารความเสี่ยงด้านภัยไซเบอร์
และความปลอดภัยของข้อมูล

มิตรผลได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศ นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ และนโยบายคุ้มครองข้อมูลส่วนบุคคลของกลุ่มมิตรผล ซึ่งประกาศใช้และถือปฏิบัติทั่วทั้งกลุ่มมิตรผล อีกทั้งยังกำหนดกรอบการบริหารความเสี่ยงด้านเทคโนโลยีดิจิทัลและความปลอดภัยของข้อมูล เพื่อให้บรรลุเป้าหมายที่สำคัญ ดังนี้

การบริหารความเสี่ยงอย่างมีประสิทธิภาพ

มิตรผลจัดโครงสร้างองค์กรตามแนวทางป้องกันความเสี่ยง 3 ระดับ (Three Lines of Defense) เพื่อส่งเสริมให้มีกลไกการตรวจสอบและถ่วงดุลที่เหมาะสม ซึ่งประกอบด้วย

การยกระดับมาตรการป้องกันภัยไซเบอร์และการสร้างวัฒนธรรมองค์กร
ด้านการป้องกันภัยไซเบอร์

มิตรผลให้ความสำคัญกับการพัฒนาองค์ประกอบทั้ง 3 ด้าน ได้แก่ด้านบุคลากร (People) ด้านกระบวนการ (Process) และด้านเทคโนโลยี (Technology) เพื่อลดความเสี่ยงภัยความมั่นคงปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล และเพื่อให้สามารถรองรับภัยคุกคามทางไซเบอร์ในทุกมิติ ได้แก่ 

ด้านบุคลากร มีการดำเนินงานที่สำคัญ ดังนี้ 

  • พนักงานทุกคนทุกระดับเข้าร่วมเรียนรู้ New Skill เรื่องภัยคุกคามทางไซเบอร์ วิธีการสังเกต การป้องกันภัย และการตอบสนองอย่างถูกวิธี ผ่านระบบ E-Learning 
  • จัดประชุมกลุ่มย่อยเพื่อแชร์ประสบการณ์ภัยไซเบอร์ที่เกิดจริงให้กับหน่วยงานที่เกี่ยวข้องโดยตรง เพื่อร่วมกันระวังภัยที่อาจเกิดขึ้นจากการปฏิบัติหน้างาน
  • ประชาสัมพันธ์ Cyber Alert!! แจ้งเตือนภัยพนักงาน และประชาสัมพันธ์ Cybersecurity Need to Know ให้ความรู้ ข่าวสารให้กับพนักงานอย่างต่อเนื่องผ่านช่องทางอีเมล
  • จัดให้มีการซ้อมขั้นตอนการปฏิบัติการเพื่อตอบสนองต่อภัยคุกคามทางไซเบอร์ และนำผลจากการเรียนรู้จากการซ้อมแผนมาปรับปรุงขั้นตอนการปฏิบัติให้มีประสิทธิภาพยิ่งขึ้น
  • ทดสอบ Phishing Simulation Test เป็นระยะ และรายงานผลการทดสอบไปยังผู้บริหารระดับสูงของแต่ละหน่วยงาน โดยกลุ่มที่มีความเสี่ยงจะต้องเข้าอบรมเฉพาะกลุ่ม (Focus Group) และทบทวนบทเรียนเพื่อลดความเสี่ยงที่อาจเกิดขึ้นกับองค์กร
  • สร้างความตระหนักรู้เกี่ยวภัยคุกคามทางไซเบอร์กับอย่างต่อเนื่อง ด้วยการจัดบรรยายพิเศษจากบทเรียนด้านความปลอดภัยทางไซเบอร์ที่เกิดขึ้นจริงภายในประเทศ

    • ด้านกระบวนการ มีการดำเนินงานที่สำคัญ ดังนี้

  • จัดทำและประกาศใช้แนวปฏิบัติ คู่มือ วิธีการปฏิบัติงานที่เกี่ยวข้อง และทำการจัดอบรมให้กับพนักงาน ผู้ปฏิบัติงาน และผู้เกี่ยวข้อง เพื่อให้สามารถนำนโยบายและเอกสารลำดับรองไปใช้เป็นแนวทางในการปฏิบัติงานได้อย่างถูกต้องและครบถ้วน
  • ทบทวนนโยบาย แนวปฏิบัติ คู่มือ วิธีการปฏิบัติงานที่เกี่ยวข้องเป็นประจำทุกปี
  • แต่งตั้งเจ้าหน้าที่รักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อกำกับดูแลให้เป็นไปตามนโยบาย มาตรฐาน และแนวปฏิบัติด้านความปลอดภัยไซเบอร์ รวมถึงการบริหารจัดการความเสี่ยงด้านความปลอดภัยไซเบอร์ให้สอดคล้องกับความเสี่ยง
  • กำหนดช่องทางการรับแจ้งเหตุผิดปกติทางไซเบอร์ (Cyber Hot Line) ช่องทางในการแจ้งเตือนภัย (Cyber Alert!!) ขั้นตอนและผู้ที่รับผิดชอบในการรับมือเหตุผิดปกติทางไซเบอร์ (Cyber Incident Response Procedure) ซึ่งเชื่อมโยงไปยังหน่วยงานที่เกี่ยวข้อง เพื่อให้สามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพ
  • จัดให้มีการซ้อมแผนรับมือเหตุผิดปกติทางไซเบอร์ (Cyber Drill) เป็นประจำทุกปี
  • จัดทำระบบบันทึกและติดตามเหตุผิดปกติทางไซเบอร์ (Cyber Incident Ticket Management) เพื่อรวบรวมสถิติและนำมาใช้ในการวิเคราะห์ความเสี่ยง วางแผนป้องกันและรับมือไม่ให้เกิดซ้ำ รวมถึงบ่งปันบทเรียนไปยังผู้ที่เกี่ยวข้องเพื่อให้เกิดการเรียนรู้และปรับปรุงอย่างต่อเนื่อง
  • ตรวจประเมินการดำเนินงานให้สอดคล้องตามมาตรฐานสากล National Institute of Standards and Technology ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐอเมริกา โดยหน่วยงานภายในและภายนอก

    • ด้านเทคโนโลยี มีการดำเนินงานที่สำคัญ ดังนี้

  • ใช้งานระบบ Multi-Factor Authentication เพื่อการยืนยันตัวตนหลายปัจจัย และเพิ่มความมั่นคงปลอดภัยในการเข้าถึงระบบงานที่สำคัญ
  • ใช้งานระบบ Cloud Management Gateway และ System Center Configuration Manager ที่สามารถควบคุมการติดตั้งและอัพเดตซอฟต์แวร์ที่คอมพิวเตอร์และระบบสำคัญได้จากศูนย์กลาง เพื่อให้ซอฟต์แวร์บนคอมพิวเตอร์และระบบสำคัญยังเป็นปัจจุบันอยู่เสมอ
  • อนุญาตให้พนักงานนำอุปกรณ์พกพาส่วนตัวมาใช้ทำงาน (Bring Your Own Devices) โดยยังคงรักษาความมั่นคงปลอดภัยของข้อมูล และยกเลิกการเชื่อมต่อจากระบบทั้งหมดของบริษัทสำหรับบุคคลที่ไม่ได้รับอนุญาต
  • ใช้งาน Data Labeling เพื่อระบุระดับความลับของเอกสารและกำหนดสิทธิ์ในการเข้าถึงได้อย่างเหมาะสม
  • ใช้งาน Data Loss Prevention เพื่อป้องกันการสูญหายหรือรั่วไหลของข้อมูลผ่านทางอีเมลและระบบแชร์ไฟล์
  • ใช้งานระบบ Network Access Control เพื่ออนุญาตให้อุปกรณ์เฉพาะที่มีสิทธิ์เท่านั้นเชื่อมต่อเข้าสู่ระบบเครือข่ายของมิตรผล
  • ใช้งาน Managed Security Service Provider และ SOC ในการรวบรวมและวิเคราะห์ข้อมูลจราจรทางคอมพิวเตอร์ เพื่อตรวจหาสิ่งผิดปกติแบบทันที
  • ใช้งาน Database Encryption เพื่อทำให้ข้อมูลในฐานข้อมูลสำคัญไม่สามารถอ่านได้โดยง่าย
  • ติดตั้ง Firewall สำหรับระบบ Industrial Control Systems เพื่อป้องกันการโจมตีจากภายนอกเข้าสู่ระบบเครือข่ายของโรงงาน
  • ติดตั้ง Software USB Blocker เพื่อป้องกันการคัดลอกข้อมูลสำคัญไปยังอุปกรณ์จัดเก็บข้อมูลภายนอกที่ไม่ได้รับอนุญาต
  • จัดให้มีการตรวจสอบค้นหาช่องโหว่และทดสอบเจาะระบบภายใน (Vulnerability Assessment and Penetration Test) เพื่อตรวจสอบและประเมินช่องโหว่ด้านความปลอดภัยของระบบ โดยมุ่งเน้นการจำลองการโจมตีจากภายนอกและการทดสอบความพร้อมของการรักษาความปลอดภัยของระบบ

    • ในปี พ.ศ.2566 บริษัทไม่มีกรณีละเมิดด้านความมั่นคงปลอดภัยของข้อมูล และไม่มีลูกค้าและพนักงานได้รับผลกระทบจากการละเมิดข้อมูลส่วนบุคคล

    นโยบายที่เกี่ยวข้อง

    นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์

    ดูออนไลน์

    นโยบายคุ้มครองข้อมูลส่วนบุคคลของกลุ่มมิตรผล

    ดูออนไลน์