ความมั่นคงและปลอดภัยทางไซเบอร์
ความมั่นคงและปลอดภัยทางไซเบอร์
ปตท.สผ. ปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 อย่างเคร่งครัด โดยได้จัดทำแนวทางการปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ การป้องกัน รับมือ และลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์
ปัจจุบัน ปตท.สผ. ยึดมาตรฐานของ National Institute of Standards and Technology (NIST) เป็นแนวทางในการจัดการเรื่องความมั่นคงปลอดภัยทางไซเบอร์ โดยมีการประเมินความเสี่ยงตามมาตรฐาน ISO 27001:2013 ในส่วนของระบบจดหมายอิเล็กทรอนิกส์และศูนย์รวมข้อมูล (Data Center Facility) ตั้งแต่ปี 2557 และกำลังดำเนินการประเมินความเสี่ยง ระบบงานต่าง ๆ ตามมาตรฐาน ISO 27001:2013 รวมถึงมีการลงทุนด้านเทคโนโลยีและใช้บริการจาก PTT Digital ในการป้องกัน และรับมือเพื่อลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์มาอย่างต่อเนื่อง ในปัจจุบัน ปตท.สผ. มีศูนย์ Security Operations Center (SOC) ที่เชื่อมต่อระบบ Security Information and Event Management (SIEM) กับ Network Firewall ครบทุกแหล่งผลิต
ในปี 2564 ปตท.สผ. ได้เพิ่มมาตรการเพื่อลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ เช่น Multi-factor Authentication (MFA) เพื่อใช้ในการยืนยันตัวตนของพนักงานอีกชั้นหนึ่งนอกเหนือจาก Username และ Password ปกติ ซึ่งช่วยในการสนับสนุนให้พนักงานสามารถเข้าถึงข้อมูลและระบบต่าง ๆ ของ ปตท.สผ. ได้จากทุกที่ทุกเวลาและเป็นการสนับสนุนความสมดุลระหว่างการใช้ชีวิตกับการทำงาน (Work-life Balance) ตามนโยบายวิถีการทำงานรูปแบบใหม่ (New Way of Working)
นอกจากนี้ ปตท.สผ. ยังได้นำระบบ Data Classification and Labelling มาใช้ในการจัดชั้นความลับของเอกสารเพื่อเพิ่มความปลอดภัยของข้อมูลด้วย Microsoft Azure Information Protection (AIP) ที่สามารถจัดการสิทธิ์ในการเข้าถึงและส่งต่อข้อมูลได้
1. หน่วยงานที่รับผิดชอบ
ปตท.สผ. มอบหมายให้คณะกรรมการบริหารความเสี่ยง ซึ่งประกอบด้วย กรรมการจำนวนรวม 5 คน โดยเป็นกรรมการอิสระ 4 คน ทำหน้าที่กำกับดูแลการบริหารความเสี่ยงของบริษัท ครอบคลุมเรื่องความมั่นคงและปลอดภัยทางไซเบอร์ (Cybersecurity) ในภาพรวมขององค์กร โดยมีคุณปิติพันธ์ เทพปฏิมากรณ์ กรรมการอิสระและประธานคณะกรรมการบริหารความเสี่ยง ซึ่งมีประสบการณ์เกี่ยวข้องจากตำแหน่งก่อนหน้าในฐานะประธานบริษัท พีทีที ไอซีที โซลูชั่นส์ จำกัด (ปัจจุบันเป็น พีทีที ดิจิทัล โซลูชั่น จำกัด) นอกจากนี้ บริษัทยังได้แต่งตั้งคณะทำงานรับมือและรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Incident Response Task Force) ซึ่งมีประธานคณะทำงานนี้ ดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer – CISO) โดยมีฝ่ายการจัดการสารสนเทศและทีมงานทำหน้าที่กำหนดทิศทาง เป้าหมาย กลยุทธ์ นโยบาย และมาตรฐานด้านเทคโนโลยีสารสนเทศ รวมถึงกำกับดูแลแผนการลงทุนด้านสารสนเทศ (IT Master Plan and Roadmap) และการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ให้อยู่ในระดับที่ยอมรับได้ ตลอดจนรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงและคณะกรรมการบริษัทอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า ปตท.สผ. จะสามารถควบคุมสถานการณ์และตอบสนองได้อย่างทันท่วงทีเมื่อมีเหตุการณ์ฉุกเฉินเกิดขึ้น
2. มาตรการควบคุม
ปตท.สผ. มีมาตรการควบคุมระบบสารสนเทศ การรักษาความมั่นคงปลอดภัยของอุปกรณ์ใช้งาน การสำรอง และการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยบริษัทได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศและประกาศบังคับใช้กับทุกหน่วยงานเพื่อให้เป็นไปตามแนวทางการกำกับดูแลกิจการที่ดีขององค์กร โดยที่ผ่านมา การดำเนินงานด้านเทคโนโลยีของ ปตท.สผ. มุ่งรองรับการดำเนินงานของบริษัทที่เน้นความปลอดภัยและความคล่องตัว เช่น การตั้งคณะทำงานจากบริษัทในกลุ่ม ปตท. สำหรับโครงการ PTT Group Cybersecurity Governance & Assurance เพื่อพัฒนาระดับการป้องกันด้านความมั่นคงและปลอดภัยทางไซเบอร์ ของกลุ่ม ปตท. ให้มีประสิทธิภาพมากยิ่งขึ้น และการนำระบบ Microsoft Office 365 มาใช้เพื่อให้เข้าถึงข้อมูลสำคัญได้ทุกที่ทุกเวลา เพิ่มประสิทธิภาพการทำงานในองค์กรและการรักษาความปลอดภัยข้อมูล เป็นต้น รวมถึงกำหนดการควบคุมโครงสร้างพื้นฐานของระบบเทคโนโลยีสารสนเทศ โดยมีนโยบายที่ชัดเจนในการนำระบบดิจิทัลเข้ามาช่วยงานด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีกระบวนการวางแผนกลยุทธ์เทคโนโลยีสารสนเทศที่สอดคล้องกับกรอบการปฏิบัติด้านการกำกับดูแลเทคโนโลยีสารสนเทศของ Control Objectives for Information and Related Technology (COBIT 5) และมาตรฐาน ISO 27001 ตลอดจนการใช้ Cloud Platform เพื่อพัฒนาระบบเทคโนโลยีสารสนเทศบนโครงสร้างที่มีความคล่องตัว โดยที่ยังคงมีระบบการควบคุมที่มีประสิทธิภาพ ตามมาตรฐานความปลอดภัยตามที่บริษัทกำหนดไว้
นอกจากนี้ ปตท.สผ. ได้กำหนดมาตรการรักษาความปลอดภัย (Security Policy) และมีการควบคุมความปลอดภัยและความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัย ป้องกันการละเมิด และสนับสนุนการสำรองและการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยแบ่งออกเป็น
1. การควบคุมทั่วไป เช่น การกำหนดแนวทางการควบคุมการทำงานและกิจกรรมทางด้านเทคโนโลยีสารสนเทศ และการจัดทำแผนการบริหารความต่อเนื่องทางธุรกิจด้านเทคโนโลยีสารสนเทศ
2. การควบคุมระดับบุคคล เช่น การกำหนดสิทธิในการเข้าถึงข้อมูลของพนักงานทุกคน การจำลองสถานการณ์ภัยคุกคาม (Cybersecurity Drill) การจัดทำหลักสูตร Digital Security Awareness e-Learning และการจัดอบรมในหัวข้อ "Cybersecurity Act" และ "Personal Data Protection Act" เพื่อให้ความรู้แก่ผู้บริหาร พนักงาน รวมถึงผู้ดูแลระบบที่เกี่ยวข้อง
3. การควบคุมระดับระบบ เช่น การเก็บบันทึกหลักฐานการใช้ระบบตามข้อกำหนดของกฎหมาย และการทดสอบการเจาะระบบจากภายนอก (External Penetration Testing) โดยบริษัทที่มีความเชี่ยวชาญ เพื่อหาช่องโหว่ในการทำให้ระบบมีความเสียหายและนำช่องโหว่นั้นมาปรับปรุงให้ระบบมีความแข็งแกร่งมากขึ้น เป็นต้น
ข้อมูลผลการดำเนินงานด้านการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และการกำกับการปฏิบัติตามกฎเกณฑ์(31 ธ.ค. 2565)