ความยั่งยืนของเรา การกำกับดูแลกิจการที่ดี สิ่งแวดล้อม สังคม สื่อเผยแพร่
การกำกับดูแลกิจการที่ดีและจริยธรรมธุรกิจ การควบคุมภายในและการกำกับการปฏิบัติตามกฎเกณฑ์ การบริหารความเสี่ยงและการจัดการภาวะวิกฤต ความมั่นคงและปลอดภัยทางไซเบอร์ ความโปร่งใสด้านภาษีและการชำระเงิน การบริหารจัดการห่วงโซ่อุปทาน เทคโนโลยีและการจัดการองค์ความรู้ การเป็นองค์กรที่ขับเคลื่อนด้วยดิจิทัลเทคโนโลยี
ความมั่นคงและปลอดภัยทางไซเบอร์

ความมั่นคงและปลอดภัยทางไซเบอร์

ความสำคัญและพันธกิจ

ปตท.สผ. ปฏิบัติตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 อย่างเคร่งครัด โดยได้จัดทำแนวทางการปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ การป้องกัน รับมือ และลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์ ปัจจุบัน ปตท.สผ. ยึดมาตรฐานของ National Institute of Standards and Technology (NIST) เป็นแนวทางในการจัดการเรื่องความมั่นคงปลอดภัยทางไซเบอร์ และได้นำมาตรฐาน ISO 27001 มาใช้ในการประเมินความเสี่ยงตั้งแต่ปี 2557 ในส่วนของระบบจดหมายอิเล็กทรอนิกส์และศูนย์รวมข้อมูล (Data Center Facility) รวมถึงมีการลงทุนด้านเทคโนโลยีและใช้บริการจาก PTT Digital ในการป้องกันและรับมือเพื่อลดความเสี่ยงด้านความมั่นคงและปลอดภัยทางไซเบอร์มาอย่างต่อเนื่อง ในปัจจุบัน ปตท.สผ. มีศูนย์ Security Operations Center (SOC) ที่เชื่อมต่อระบบ Security Information and Event Management (SIEM) กับ Network Firewall ครบทุกแหล่งผลิต

เป้าหมาย

ปตท.สผ. มุ่งมั่นป้องกันและรับมือภัยคุกคามทางไซเบอร์ต่าง ๆ เพื่อจำกัดความเสียหายจากสถานการณ์ภัยคุกคามทางไซเบอร์ที่อาจส่งผลกระทบต่อการดำเนินธุรกิจให้เหลือน้อยที่สุด รวมถึงเสริมสร้างประสิทธิภาพด้านความมั่นคงและปลอดภัยทางไซเบอร์ขององค์กร เพื่อไปสู่เป้าหมายดังนี้

1
ไม่มีการสูญเสียจากการจู่โจมทางไซเบอร์ทั้งหมด
2
ทดสอบการบริหารความต่อเนื่องทางธุรกิจ และอุบัติเหตุที่เกี่ยวข้องกับด้านสารสนเทศ (IT) อย่างน้อยปีละ 2 ครั้ง
3
โครงสร้างพื้นฐานด้านสารสนเทศทั้งหมดผ่านการรับรองตามมาตรฐานสากล

แนวทางการบริหารจัดการ

โครงสร้างการกำกับดูแล

ปตท.สผ. มอบหมายให้คณะกรรมการบริหารความเสี่ยง ทำหน้าที่กำกับดูแลการบริหารความเสี่ยงของบริษัท และคณะกรรมการตรวจสอบ ทำหน้าที่สอบทานประสิทธิภาพและประสิทธิผลของกระบวนการกำกับดูแลที่ดี กระบวนการควบคุมภายใน และกระบวนการบริหารความเสี่ยง ครอบคลุมเรื่องความมั่นคงและปลอดภัยทางไซเบอร์ (Cybersecurity) ในภาพรวมขององค์กร โดยมีคุณพงศธร ทวีสิน กรรมการอิสระ ประธานกรรมการบริหารความเสี่ยงและกรรมการบรรษัทภิบาลและความยั่งยืน ซึ่งมีประสบการณ์อย่างกว้างขวางด้านความมั่นคงและปลอดภัยทางเทคโนโลยีสารสนเทศและทางไซเบอร์ ทั้งยังมีความเชี่ยวชาญในบทบาทสำคัญในระดับการบริหาร โดยเฉพาะในการขับเคลื่อนการเปลี่ยนผ่านสู่ระบบดิจิทัล (Digital Transformation) และมีประสบการณ์เกี่ยวข้องจากการเข้าร่วมหลักสูตรผู้บริหาร อาทิ Director's Guide to Legal Obligations & Duties (DLD) รุ่นที่ 2 โดยสมาคมส่งเสริมสถาบันกรรมการบริษัทไทย (IOD) และหลักสูตร The Cullinan: The Making of the Digital Board Class รุ่นที่ 3 โดยสำนักงานส่งเสริมเศรษฐกิจดิจิทัล (depa) ร่วมกับสมาคมการจัดการธุรกิจแห่งประเทศไทย (TMA) นอกจากนี้บริษัทฯ ได้แต่งตั้งคณะกรรมการขับเคลื่อนดิจิทัล (Digital Steering Committee หรือ DSC) โดยมีรองกรรมการผู้จัดการใหญ่ กลุ่มงานสนับสนุนปฏิบัติการเป็นประธาน และบริษัทฯ ยังได้แต่งตั้งคณะทำงานรับมือและรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Incident Response Task Force) ซึ่งมีประธานคณะทำงานนี้ ดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศ (Chief Information Security Officer – CISO) โดยมีฝ่ายการจัดการสารสนเทศและทีมงานทำหน้าที่กำหนดทิศทาง เป้าหมาย กลยุทธ์ นโยบาย และมาตรฐานด้านเทคโนโลยีสารสนเทศ รวมถึงกำกับดูแลแผนการลงทุนด้านสารสนเทศ (IT Master Plan and Roadmap) และการบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ (IT Risk Management) ให้อยู่ในระดับที่ยอมรับได้ ตลอดจนรายงานผลการบริหารความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงและคณะกรรมการบริษัทอย่างสม่ำเสมอ เพื่อให้มั่นใจว่า ปตท.สผ. จะสามารถควบคุมสถานการณ์และตอบสนองได้อย่างทันท่วงทีเมื่อมีเหตุการณ์ฉุกเฉินเกิดขึ้น

มาตรการควบคุม

ปตท.สผ. มีมาตรการควบคุมระบบสารสนเทศ การรักษาความมั่นคงปลอดภัยของอุปกรณ์ใช้งาน การสำรอง และการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยบริษัทฯ มีนโยบายเกี่ยวข้องกับการรักษาความปลอดภัยของข้อมูลและความปลอดภัยทางไซเบอร์ ได้แก่ นโยบายการบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ (Information Security Management System Policy) และนโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Policy) และประกาศบังคับใช้กับทุกหน่วยงานเพื่อให้เป็นไปตามแนวทางการกำกับดูแลกิจการที่ดีขององค์กร โดยที่ผ่านมา การดำเนินงานด้านเทคโนโลยีของ ปตท.สผ. มุ่งรองรับการดำเนินงานของบริษัทที่เน้นความปลอดภัยและความคล่องตัว เช่น การตั้งคณะทำงานจากบริษัทในกลุ่ม ปตท. สำหรับโครงการ PTT Group Cybersecurity Governance & Assurance เพื่อพัฒนาระดับการป้องกันด้านความมั่นคงและปลอดภัยทางไซเบอร์ ของกลุ่ม ปตท. ให้มีประสิทธิภาพมากยิ่งขึ้น และการนำระบบ Microsoft Office 365 มาใช้เพื่อให้เข้าถึงข้อมูลสำคัญได้ทุกที่ทุกเวลา เพิ่มประสิทธิภาพการทำงานในองค์กรและการรักษาความปลอดภัยข้อมูล เป็นต้น รวมถึงกำหนดการควบคุมโครงสร้างพื้นฐานของระบบเทคโนโลยีสารสนเทศ โดยมีนโยบายที่ชัดเจนในการนำระบบดิจิทัลเข้ามาช่วยงานด้านเทคโนโลยีสารสนเทศให้มีประสิทธิภาพ มีกระบวนการวางแผนกลยุทธ์เทคโนโลยีสารสนเทศที่สอดคล้องกับกรอบการปฏิบัติด้านการกำกับดูแลเทคโนโลยีสารสนเทศของ Control Objectives for Information and Related Technology (COBIT 5) และมาตรฐาน ISO 27001 ตลอดจนการใช้ Cloud Platform เพื่อพัฒนาระบบเทคโนโลยีสารสนเทศบนโครงสร้างที่มีความคล่องตัว โดยที่ยังคงมีระบบการควบคุมที่มีประสิทธิภาพ ตามมาตรฐานความปลอดภัยตามที่บริษัทกำหนดไว้

นอกจากนี้ ปตท.สผ. ได้กำหนดมาตรการรักษาความปลอดภัย (Security Policy) และมีการควบคุมความปลอดภัยและความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อรักษาความมั่นคงปลอดภัย ป้องกันการละเมิด และสนับสนุนการสำรองและการกู้ข้อมูลเพื่อความต่อเนื่องของการดำเนินธุรกิจ โดยแบ่งออกเป็น

1
การควบคุมทั่วไป

เช่น การกำหนดแนวทางการควบคุมการทำงานและกิจกรรมทางด้านเทคโนโลยีสารสนเทศ และการจัดทำแผนการบริหารความต่อเนื่องทางธุรกิจด้านเทคโนโลยีสารสนเทศ (Business Continuity Plan) แผนการรองรับเหตุภัยพิบัติ (Disaster Recovery) และแผนรองรับเหตุภัยคุกคามทางไซเบอร์ (Cybersecurity Incident Response) ที่ชัดเจน เพื่อสร้างความมั่นใจให้แก่ผู้มีส่วนได้ส่วนเสียทั้งหมดถึงความพร้อมในการรองรับเหตุการหยุดชะงักของระบบสารสนเทศและการโจมตีทางไซเบอร์ ซึ่ง ปตท.สผ. กำหนดให้มีการทดสอบความพร้อมและความเข้าใจทุก 2 ปี โดย ปตท.สผ. ดำเนินการเพื่อเตรียมตัวให้พร้อมรับมือต่อเหตุการณ์ทางไซเบอร์อยู่ตลอดเวลา ผ่านการทดสอบ 3 ครั้งต่อปี ครอบคลุมทุกหน่วยงาน และมีกระบวนการปิดช่องโหว่ที่รวดเร็วขึ้น

ในปี 2568 ปตท.สผ. มุ่งมั่นในการดำเนินงานตามกรอบการบริหารความเสี่ยงด้านไซเบอร์แบบเชิงรุกและบูรณาการ โดยการผสานความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ (IT) และเทคโนโลยีปฏิบัติการ (OT) เข้าด้วยกันอย่างเป็นระบบ ซึ่งแนวทางดังกล่าวมีเป้าหมายเพื่อเสริมสร้างความแข็งแกร่งและความมั่นคงให้กับโครงสร้างพื้นฐานและการดำเนินงานที่มีความสำคัญขององค์กร

2
การควบคุมระดับบุคคล

เช่น การกำหนดสิทธิในการเข้าถึงข้อมูลของพนักงานทุกคน การจำลองสถานการณ์ภัยคุกคาม (Cybersecurity Drill) การจัดทำหลักสูตร Digital Security Awareness e-Learning และการจัดอบรมในหัวข้อ “Cybersecurity Act” และ “Personal Data Protection Act” เพื่อให้ความรู้แก่ผู้บริหาร พนักงาน รวมถึงผู้ดูแลระบบที่เกี่ยวข้อง โดยตั้งแต่ปี 2564 ปตท.สผ. ได้เพิ่มมาตรการเพื่อลดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ เช่น Multi-factor Authentication (MFA) เพื่อใช้ในการยืนยันตัวตนของพนักงานอีกชั้นหนึ่งนอกเหนือจาก Username และ Password ปกติ ซึ่งช่วยในการสนับสนุนให้พนักงานสามารถเข้าถึงข้อมูลและระบบต่าง ๆ ของ ปตท.สผ. ได้จากทุกที่ทุกเวลาและเป็นการสนับสนุนความสมดุลระหว่างการใช้ชีวิตกับการทำงาน (Work-life Balance) ตามนโยบายวิถีการทำงานรูปแบบใหม่ (New Way of Working) นอกจากนี้ ปตท.สผ. ยังได้นำระบบ Data Classification and Labelling มาใช้ในการจัดชั้นความลับของเอกสารเพื่อเพิ่มความปลอดภัยของข้อมูลด้วย Microsoft Azure Information Protection (AIP) ที่สามารถจัดการสิทธิ์ในการเข้าถึงและส่งต่อข้อมูลได้

นอกจากนี้ ตั้งแต่ปี 2567 พนักงาน ปตท.สผ. ทุกคนต้องเข้ารับการอบรมออนไลน์ในหลักสูตรเกี่ยวกับ Cybersecurity Awareness และต้องสอบผ่านเพื่อเป็นการเน้นย้ำความเข้าใจและตระหนักรู้เกี่ยวกับภัยไซเบอร์ต่าง ๆ ในปัจจุบัน นอกจากนี้ บริษัทฯ ได้ส่งอีเมล Phishing ไปยังกลุ่มพนักงานที่ถูกสุ่มขึ้นมาทุกสัปดาห์เพื่อทดสอบการตระหนักรู้เกี่ยวกับภัยไซเบอร์ของพนักงาน นอกจากนี้ ปตท.สผ. ยังมีข้อกำหนดความมั่นคงปลอดภัยสารสนเทศสำหรับความสัมพันธ์กับผู้ให้บริการภายนอก (Information Security Standard for Supplier Relationships) ซึ่งเป็นมาตรฐานที่จัดตั้งขึ้นเพื่อลดความเสี่ยงจากการเข้าถึงระบบและข้อมูลโดยไม่ได้รับอนุญาตและการใช้งานผิดวัตถุประสงค์ของผู้ปฏิบัติงานชั่วคราว เช่น ที่ปรึกษา ผู้รับจ้าง ผู้รับจ้างต่อช่วง ผู้ให้บริการภายนอก และนักศึกษาฝึกงาน เป็นต้น

3
การควบคุมระดับระบบ

เช่น การเก็บบันทึกหลักฐานการใช้ระบบตามข้อกำหนดของกฎหมาย การดำเนินการตรวจประเมินช่องโหว่ (Vulnerability Assessment) และการทดสอบการเจาะระบบจากภายนอก (External Penetration Testing) ประจำปี โดยบริษัทที่มีความเชี่ยวชาญ เพื่อหาช่องโหว่ในการทำให้ระบบมีความเสียหายและนำช่องโหว่นั้นมาปรับปรุงให้ระบบมีความแข็งแกร่งมากขึ้น เป็นต้น นอกจากนี้ ปตท.สผ. ได้ดำเนินการตรวจสอบระบบความมั่นคงและปลอดภัยทางเทคโนโลยีสารสนเทศและทางไซเบอร์ทั้งภายในและภายนอกอย่างสม่ำเสมอ รวมถึงได้รับการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System – ISO/IEC 27001:2022 หรือ ISMS) ในขอบเขตการกำกับดูแลศูนย์รวมข้อมูล (Data Center) และสถานที่เกี่ยวข้องกับศูนย์รวมข้อมูลของ ปตท.สผ. ตั้งแต่ปี 2565

นอกจากนี้ ปตท.สผ. ได้ใช้บริการ Mandiant Managed Defense ซึ่งเป็นผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์ระดับโลก ในการรับรองระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System หรือ ISMS) ในขอบเขตการกำกับดูแลศูนย์รวมข้อมูล (Data Center) และสถานที่เกี่ยวข้องกับศูนย์รวมข้อมูล เพื่อเสริมความแข็งแกร่งของการทำงานของศูนย์ Security Operations Center (SOC) ของ ปตท.สผ. ตั้งแต่ปี 2566

เอกสารที่เกี่ยวข้อง

นโยบายการบริหารจัดการความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ
เอกสาร
นโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์
เอกสาร
ประกาศแต่งตั้งคณะทำงานรับมือและรักษาความมั่นคงปลอดภัยไซเบอร์ และผู้บริหารความมั่นคงปลอดภัยสารสนเทศ
เอกสาร
ISO/IEC 27001:2022 Certificates
เอกสาร
ข้อมูลผลการดำเนินงานด้านการกำกับดูแลกิจการที่ดี การบริหารความเสี่ยง และการกำกับการปฏิบัติตามกฎเกณฑ์
เอกสาร