มีส่วนได้เสียหลัก : ผู้ถือหุ้น / ลูกค้าและผู้บริโภค / ภาครัฐและองค์กรภาคประชาสังคม
ในยุคดิจิทัลที่ข้อมูลและเทคโนโลยีมีบทบาทสำคัญในการดำเนินธุรกิจ ทั้งเพื่อสร้างมูลค่าเพิ่มให้กับองค์กร และการเพิ่มประสิทธิภาพในการทำงาน ดังนั้นการบริหารจัดการความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลอย่างเหมาะสมจึงมีความสำคัญต่อการดำเนินธุรกิจให้เติบโตอย่างยั่งยืน ส่งเสริมให้เกิดการเข้าถึงและนำข้อมูลมาใช้อย่างถูกต้องและเกิดประสิทธิภาพ ร่วมไปถึงการส่งเสริมความมั่นคงและปลอดภัยทางไซเบอร์ นอกจากนี้ ยังเป็นการเสริมสร้างความเชื่อมั่นให้กับลูกค้าและผู้มีส่วนได้ส่วนเสีย ซึ่งเป็นปัจจัยสำคัญที่ส่งผลให้บริษัทมีความได้เปรียบในการแข่งขัน อย่างไรก็ดี การนำเทคโนโลยีมาใช้เพื่อส่งเสริมการปฏิบัติงานจำเป็นต้องมีความระมัดระวังและรอบคอบ เนื่องจากการใช้เทคโนโลยีอาจกลายเป็นช่องทางที่ก่อให้เกิดความเสียหายต่อธุรกิจ หากไม่มีการบริหารจัดการความปลอดภัยทางไซเบอร์อย่างเหมาะสม
|
|
เป้าหมาย
|
ผลการดำเนินงาน
|
|---|---|---|
|
ระยะเวลาการตอบสนองต่อเหตุละเมิดด้านความมั่นคงปลอดภัยทางไซเบอร์
|
ไม่เกิน 4 ชั่วโมง
|
ไม่มีเหตุละเมิดด้านความปลอดภัย
|
|
มีการทดสอบความตระหนักรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ด้วยวิธีการ Phishing Simulation Test
|
ปีละ 2 ครั้ง
|
2 ครั้ง
|
|
มีการซ้อมแผนรับมือเหตุผิดปกติทาง
ไซเบอร์ Cyber Drill แบบ Simulation
ร่วมกับทีมปฏิบัติงาน
|
ปีละ 1 ครั้ง
|
1 ครั้ง
|
|
มีการซ้อมแผนรับมือเหตุผิดปกติทาง
ไซเบอร์ Cyber Drill แบบ Tabletop Exercise ร่วมกับหน่วยงานที่เกี่ยวข้อง
|
ปีละ 1 ครั้ง
|
1 ครั้ง
|
ความมั่นคงปลอดภัยของข้อมูลเป็นเรื่องที่มีความสำคัญอย่างยิ่งในการดำเนินธุรกิจ คณะกรรมการบริษัทจึงได้มอบหมายให้คณะกรรมการขับเคลื่อนการเปลี่ยนผ่านสู่ดิจิทัลและความปลอดภัยทางไซเบอร์ ทำงานร่วมกับคณะกรรมการบริหารความเสี่ยง และคณะกรรมการตรวจสอบ โดยมีคณะกรรมการบริหารเป็นผู้นำนโยบายไปสู่ภาคปฏิบัติและได้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer – DPO) และหัวหน้าเจ้าหน้าที่ความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer – CISO) เพื่อให้ปฏิบัติหน้าที่โดยเฉพาะและดำเนินงานร่วมกับกลุ่มงาน Digital and Technology Transformation ดูแลรับผิดชอบด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูลโดยตรง โดยมีรายละเอียดในบทบาทหน้าที่ของแต่ละตำแหน่งที่เกี่ยวข้องดังนี้
มีบทบาทหน้าที่ในการกำหนดนโยบาย วัตถุประสงค์ แนวปฏิบัติในการบริหารจัดการความเสี่ยง สนับสนุนการดำเนินงาน ติดตามและประเมินผลการบริหารความเสี่ยง รวมถึงให้ข้อเสนอแนะการบริหารจัดการความเสี่ยง เพื่อสนับสนุนการดำเนินงานของกลุ่มมิตรผลให้บรรลุตามเป้าหมายธุรกิจและเกิดประโยชน์สูงสุดต่อผู้มีส่วนได้เสียขององค์กร โดยความเสี่ยงด้านเทคโนโลยีสารสนเทศ ความปลอดภัยทางไซเบอร์และข้อมูลถือเป็นหนึ่งในความเสี่ยงหลักขององค์กร ซึ่งได้รับการติดตามกำกับดูแลอย่างใกล้ชิดโดยคณะกรรมการบริหารความเสี่ยง
มีบทบาทหน้าที่ในการกำหนดนโยบาย และสนับสนุนการนำนโยบายการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ ด้านความปลอดภัยทางไซเบอร์ และความปลอดภัยของข้อมูล ไปปฏิบัติให้ครอบคลุมทุกหน่วยธุรกิจของกลุ่มมิตรผล รวมไปถึงการบริหารจัดการด้านการเปลี่ยนผ่านสู่ดิจิทัลของบริษัท
มีบทบาทหน้าที่ในการสอบทานการดำเนินงานขององค์กรอย่างเป็นอิสระ เพื่อให้มั่นใจได้ว่ามีการบริหารจัดการความเสี่ยงและการควบคุมภายในที่เหมาะสมและเป็นไปตามแนวปฏิบัติที่ดี ตลอดจนปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับที่เกี่ยวข้อง โดยการสอบทานการดำเนินงานที่เกี่ยวข้องกับการบริหารความเสี่ยงและการควบคุมด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูล เป็นหนึ่งในขอบเขตงานที่ได้รับการติดตามและตรวจสอบโดยคณะกรรมการตรวจสอบ
ดำรงตำแหน่งโดยผู้ช่วยกรรมการผู้จัดการ กลุ่มงาน Digital and Technology Transformation มีบทบาทในการนำนโยบายจากคณะกรรมการขับเคลื่อนการเปลี่ยนผ่านสู่ดิจิทัลและความปลอดภัยทางไซเบอร์ มากำหนดเป็นกลยุทธ์ด้านเทคโนโลยีสารสนเทศและบริหารจัดการการดำเนินงานของทุกหน่วยงานภายใต้กลุ่มงาน Digital and Technology Transformation ซึ่งประกอบด้วย งานด้านการเปลี่ยนแปลงทางดิจิทัล (Digital Transformation) งานพัฒนาระบบและ Business Solution งานโครงสร้างพื้นฐานด้านไอที (IT Infrastructures) และงานความปลอดภัยด้านไอที ความมั่นคงปลอดภัยทางไซเบอร์ และความปลอดภัยของข้อมูล เพื่อสนับสนุนความต้องการทางธุรกิจและการดำเนินงานของหน่วยธุรกิจให้เป็นไปตามเป้าหมายองค์กร พร้อมทั้งรายงานผลการดำเนินงานให้คณะกรรมการชุดนี้รับทราบ
มีบทบาทหน้าที่ให้คำแนะนำ ตรวจสอบการดำเนินงาน และสนับสนุนให้ทุกหน่วยงานภายในกลุ่มมิตรผลปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล ซึ่งรวมถึงการจัดให้มีมาตรการในการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลของกลุ่มมิตรผลตามที่กฎหมายกำหนดและยกระดับให้เทียบเท่ามาตรฐานสากล
มีบทบาทหน้าที่ในการวางแผน พัฒนา และบริหารจัดการระบบเทคโนโลยี ระบบสารสนเทศ ข้อมูลสารสนเทศ (รวมถึงข้อมูลส่วนบุคคล) ของกลุ่มมิตรผล ให้มีความมั่นคงปลอดภัย โดยรักษาไว้ซึ่งการรักษาความลับ (Confidentiality) ความถูกต้องสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) โดยจัดให้มีการประเมินความเสี่ยงและการควบคุมด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ ไซเบอร์ และข้อมูล รวมถึงจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรยอมรับได้ตลอดจนเฝ้าระวังและตรวจจับเหตุการณ์ผิดปกติ ตอบสนองและรับมือต่อเหตุการณ์ผิดปกติให้กลับสู่สภาพปกติโดยเร็วและจำกัดความเสียหายที่ส่งผลกระทบต่อธุรกิจ นอกจากนี้ยังมีบทบาทหน้าที่ในการเสริมสร้างความตระหนักรู้ให้กับบุคลากรของกลุ่มมิตรผล ผู้ให้บริการภายนอก และหน่วยงานที่เกี่ยวข้อง
มิตรผลได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศ ได้แก่ นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ นโยบายคุ้มครองข้อมูลส่วนบุคคลของกลุ่มมิตรผล นโยบายการกำกับดูแลข้อมูล และนโยบายการกำกับดูแลการประยุกต์ใช้ปัญญาประดิษฐ์ ซึ่งประกาศใช้และถือปฏิบัติทั่วทั้งกลุ่มมิตรผลและกำหนดให้มีการทบทวนให้มีความเป็นปัจจุบันทุกปี อีกทั้งยังกำหนดกรอบการบริหารความเสี่ยงด้านเทคโนโลยีดิจิทัลและความปลอดภัยของข้อมูล เพื่อให้บรรลุเป้าหมายที่สำคัญ ดังนี้
ด้วยความมุ่งหวังที่จะบรรลุซึ่งการเปลี่ยนผ่านธุรกิจสู่ยุคดิจิทัลอย่างยั่งยืน ควบคู่ไปกับการสร้างผลกระทบที่วัดผลได้และนำองค์กรสู่ความสำเร็จในระยะยาว มิตรผลจึงได้กำหนดกลยุทธ์ด้านการบริหารจัดการดิจิทัลอย่างมีประสิทธิภาพ ภายใต้ 3 เสาหลัก (3Cs) และ 7 ด้านยุทธศาสตร์สำคัญ
มิตรผลจัดโครงสร้างองค์กรตามแนวทางป้องกันความเสี่ยง 3 ระดับ (Three Lines of Defense) เพื่อส่งเสริมให้มีกลไกการตรวจสอบและถ่วงดุลที่เหมาะสม ซึ่งประกอบด้วย
มีการส่งเสริมศักยภาพและสร้างความตระหนักรู้ในด้านความมั่นคงปลอดภัยทางไซเบอร์ ให้กับพนักงานทุกระดับผ่านโปรแกรมการเรียนรู้จากช่องทางที่หลากหลาย ครอบคลุมและเข้าถึงพนักงานทุกกลุ่ม เพื่อเตรียมพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์ที่มีเปลี่ยนแปลงอย่างรวดเร็ว โดยมีการดำเนินการดังนี้
การพัฒนากระบวนการให้มีมาตรฐานและมีประสิทธิภาพ เพื่อให้สามารถจัดการกับความเสี่ยงและรับมือกับเหตุการณ์ทางไซเบอร์ได้อย่างเป็นระบบ โดยมีการดำเนินการดังนี้
การนำเทคโนโลยีที่ทันสมัยและมีประสิทธิภาพสูงมาใช้ เพื่อเสริมสร้างความมั่นคงปลอดภัย และป้องกันภัยคุกคามทางไซเบอร์ โดยมีการดำเนินการดังนี้
กิจกรรมการจำลองการรับมือภัยคุกคามทางไซเบอร์ (Cyber Drill Simulation)
มิตรผลได้จัดกิจกรรมการจำลองการรับมือภัยคุกคามทางไซเบอร์ (Cyber Drill Simulation) เพื่อทดสอบความพร้อมของทีม IT ในการตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ โดยกิจกรรมมีการจำลองสถานการณ์ภัยคุกคามไซเบอร์ที่อาจเกิดขึ้นจริง โดยให้ทีมงานดำเนินการตอบสนองตามขั้นตอนการตอบสนองต่อเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยไซเบอร์และข้อมูลส่วนบุคคล (Cybersecurity and Privacy Incident Response Procedure) ควบคู่ไปกับ Business Continuity Plan (BCP) เพื่อให้มั่นใจว่ากระบวนการบริหารจัดการเหตุการณ์สามารถสนับสนุนการดำเนินธุรกิจได้อย่างต่อเนื่อง โดยกิจกรรมนี้นับเป็นก้าวสำคัญในการเสริมสร้างความมั่นใจและความเป็นมืออาชีพของทีมงานในการเผชิญหน้ากับภัยคุกคามทางไซเบอร์ในอนาคต อีกทั้งยังเป็นการส่งเสริมวัฒนธรรมความปลอดภัยไซเบอร์ในองค์กรอย่างต่อเนื่องอีกด้วย
