ความมั่นคงและปลอดภัยทางไซเบอร์

ความสำคัญและพันธกิจ

ปตท.สผ. ปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 อย่างเคร่งครัด โดยได้จัดทำแนวทางการปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ การป้องกัน รับมือ และลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์ ปัจจุบัน ปตท.สผ. ยึดมาตรฐานของ National Institute of Standards and Technology (NIST) เป็นแนวทางในการจัดการเรื่องความมั่นคงปลอดภัยทางไซเบอร์ โดยมีการประเมินความเสี่ยงตามมาตรฐาน ISO 27001 : 2013 ในส่วนของระบบจดหมายอิเล็กทรอนิกส์และศูนย์รวมข้อมูล (Data Center Facility) ตั้งแต่ปี 2557 และกำลังดำเนินการประเมินความเสี่ยง ระบบงานต่าง ๆ ตามมาตรฐาน ISO 27001 : 2013 รวมถึงมีการลงทุนด้านเทคโนโลยีและใช้บริการจาก PTT Digital ในการป้องกัน และรับมือเพื่อลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์มาอย่างต่อเนื่อง ในปัจจุบัน ปตท.สผ. มีศูนย์ Security Operations Center (SOC) ที่เชื่อมต่อระบบ Security Information and Event Management (SIEM) กับ Network Firewall ครบทุกแหล่งผลิต

ตั้งแต่ปี 2564 ปตท.สผ. ได้เพิ่มมาตรการเพื่อลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ เช่น Multi-factor Authentication (MFA) เพื่อใช้ในการยืนยันตัวตนของพนักงานอีกชั้นหนึ่งนอกเหนือจาก Username และ Password ปกติ ซึ่งช่วยในการสนับสนุนให้พนักงานสามารถเข้าถึงข้อมูลและระบบต่าง ๆ ของ ปตท.สผ. ได้จากทุกที่ทุกเวลาและเป็นการสนับสนุนความสมดุลระหว่างการใช้ชีวิตกับการทำงาน (Work-life Balance) ตามนโยบายวิถีการทำงานรูปแบบใหม่ (New Way of Working)

นอกจากนี้ ปตท.สผ. ยังได้นำระบบ Data Classification and Labelling มาใช้ในการจัดชั้นความลับของเอกสารเพื่อเพิ่มความปลอดภัยของข้อมูลด้วย Microsoft Azure Information Protection (AIP) ที่สามารถจัดการสิทธิ์ในการเข้าถึงและส่งต่อข้อมูลได้

ปตท.สผ. ได้ใช้บริการ Mandiant Managed Defense ซึ่งเป็นผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ระดับโลก เพื่อเสริมความแข็งแกร่งของการทำงานของศูนย์ Security Operations Center (SOC) และได้รับการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System หรือ ISMS) ในขอบเขตการกำกับดูแลศูนย์รวมข้อมูล (Data Center) และสถานที่เกี่ยวข้องกับศูนย์รวมข้อมูลของ ปตท.สผ. ณ วันที่ 2 กันยายน 2566

เป้าหมาย

ปตท.สผ. มุ่งมั่นป้องกันและรับมือภัยคุกคามทางไซเบอร์ต่าง ๆ เพื่อจำกัดความเสียหายจากสถานการณ์ภัยคุกคามทางไซเบอร์ที่อาจส่งผลกระทบต่อการดำเนินธุรกิจให้เหลือน้อยที่สุด รวมถึงเสริมสร้างประสิทธิภาพด้านความมั่นคงและปลอดภัยทางไซเบอร์ขององค์กร เพื่อไปสู่เป้าหมายดังนี้

ไม่มีการสูญเสียจากการจู่โจมทางไซเบอร์ทั้งหมด

ทดสอบการบริหารความต่อเนื่องทางธุรกิจ และอุบัติเหตุที่เกี่ยวข้องกับด้านสารสนเทศ (IT) อย่างน้อยปีละ 2 ครั้ง

โครงสร้างพื้นฐานด้านสารสนเทศทั้งหมดผ่านการรับรองตามมาตรฐานสากล

แนวทางการบริหารจัดการ

โครงสร้างการกำกับดูแล

ปตท.สผ. มอบหมายให้คณะกรรมการบริหารความเสี่ยง ทำหน้าที่กำกับดูแลการบริหารความเสี่ยงของบริษัท และคณะกรรมการตรวจสอบ ทำหน้าที่สอบทานประสิทธิภาพและประสิทธิผลของกระบวนการกำกับดูแลที่ดี กระบวนการควบคุมภายใน และกระบวนการบริหารความเสี่ยง ครอบคลุมเรื่องความมั่นคงและปลอดภัยทางไซเบอร์ (Cybersecurity) ในภาพรวมขององค์กร โดยมีคุณธงทิศ ฉายากุล กรรมการอิสระและกรรมการตรวจสอบ ซึ่งมีประสบการณ์เกี่ยวข้องจากตำแหน่งปัจจุบันในฐานะอาจารย์ประจำภาควิชาวิศวกรรมสำรวจ คณะวิศวกรรมศาสตร์ จุฬาลงกรณ์มหาวิทยาลัย นอกจากนี้ บริษัทยังได้แต่งตั้งคณะทำงานรับมือและรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Incident Response Task Force) ซึ่งมีประธานคณะทำงานนี้ ดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer – CISO) โดยมีฝ่ายการจัดการสารสนเทศและทีมงานทำหน้าที่กำหนดทิศทาง เป้าหมาย กลยุทธ์ นโยบาย และมาตรฐานด้านเทคโนโลยีสารสนเทศ รวมถึงกำกับดูแลแผนการลงทุนด้านสารสนเทศ (IT Master Plan and Roadmap) และการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ให้อยู่ในระดับที่ยอมรับได้ ตลอดจนรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงและคณะกรรมการบริษัทอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า ปตท.สผ. จะสามารถควบคุมสถานการณ์และตอบสนองได้อย่างทันท่วงทีเมื่อมีเหตุการณ์ฉุกเฉินเกิดขึ้น

มาตรการควบคุม

ปตท.สผ. มีมาตรการควบคุมระบบสารสนเทศ การรักษาความมั่นคงปลอดภัยของอุปกรณ์ใช้งาน การสำรอง และการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยบริษัทได้กำหนดนโยบายด้านเทคโนโลยีสารสนเทศและประกาศบังคับใช้กับทุกหน่วยงานเพื่อให้เป็นไปตามแนวทางการกำกับดูแลกิจการที่ดีขององค์กร โดยที่ผ่านมา การดำเนินงานด้านเทคโนโลยีของ ปตท.สผ. มุ่งรองรับการดำเนินงานของบริษัทที่เน้นความปลอดภัยและความคล่องตัว เช่น การตั้งคณะทำงานจากบริษัทในกลุ่ม ปตท. สำหรับโครงการ PTT Group Cybersecurity Governance & Assurance เพื่อพัฒนาระดับการป้องกันด้านความมั่นคงและปลอดภัยทางไซเบอร์ ของกลุ่ม ปตท. ให้มีประสิทธิภาพมากยิ่งขึ้น และการนำระบบ Microsoft Office 365 มาใช้เพื่อให้เข้าถึงข้อมูลสำคัญได้ทุกที่ทุกเวลา เพิ่มประสิทธิภาพการทำงานในองค์กรและการรักษาความปลอดภัยข้อมูล เป็นต้น รวมถึงกำหนดการควบคุมโครงสร้างพื้นฐานของระบบเทคโนโลยีสารสนเทศ โดยมีนโยบายที่ชัดเจนในการนำระบบดิจิทัลเข้ามาช่วยงานด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีกระบวนการวางแผนกลยุทธ์เทคโนโลยีสารสนเทศที่สอดคล้องกับกรอบการปฏิบัติด้านการกำกับดูแลเทคโนโลยีสารสนเทศของ Control Objectives for Information and Related Technology (COBIT 5) และมาตรฐาน ISO 27001 ตลอดจนการใช้ Cloud Platform เพื่อพัฒนาระบบเทคโนโลยีสารสนเทศบนโครงสร้างที่มีความคล่องตัว โดยที่ยังคงมีระบบการควบคุมที่มีประสิทธิภาพ ตามมาตรฐานความปลอดภัยตามที่บริษัทกำหนดไว้

นอกจากนี้ ปตท.สผ. ได้กำหนดมาตรการรักษาความปลอดภัย (Security Policy) และมีการควบคุมความปลอดภัยและความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัย ป้องกันการละเมิด และสนับสนุนการสำรองและการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยแบ่งออกเป็น

การควบคุมทั่วไป

การกำหนดแนวทางการควบคุมการทำงานและกิจกรรมทางด้านเทคโนโลยีสารสนเทศ และการจัดทำแผนการบริหารความต่อเนื่องทางธุรกิจด้านเทคโนโลยีสารสนเทศ

การควบคุมระดับบุคคล

การกำหนดสิทธิในการเข้าถึงข้อมูลของพนักงานทุกคน การจำลองสถานการณ์ภัยคุกคาม (Cybersecurity Drill) การจัดทำหลักสูตร Digital Security Awareness e–Learning และการจัดอบรมในหัวข้อ "Cybersecurity Act" และ "Personal Data Protection Act" เพื่อให้ความรู้แก่ผู้บริหาร พนักงาน รวมถึงผู้ดูแลระบบที่เกี่ยวข้อง

การควบคุมระดับระบบ

การเก็บบันทึกหลักฐานการใช้ระบบตามข้อกำหนดของกฎหมาย และการทดสอบการเจาะระบบจากภายนอก (External Penetration Testing) โดยบริษัทที่มีความเชี่ยวชาญ เพื่อหาช่องโหว่ในการทำให้ระบบมีความเสียหายและนำช่องโหว่นั้นมาปรับปรุงให้ระบบมีความแข็งแกร่งมากขึ้น เป็นต้น

เอกสารที่เกี่ยวข้อง

ข้อมูลผลการดำเนินงานด้านการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และการกำกับการปฏิบัติตามกฎเกณฑ์

เอกสาร

ประกาศแต่งตั้งคณะทำงานรับมือและรักษาความมั่นคงปลอดภัยไซเบอร์ และผู้บริหารความมั่นคงปลอดภัยสารสนเทศ

เอกสาร