เอสซีจีให้ความสำคัญกับการรักษาความปลอดภัยทางไซเบอร์เพื่อป้องกันความเสี่ยงที่เกิดจากการสูญหายของข้อมูล ที่สำคัญซึ่งจะส่งผลกระทบทางลบต่อความน่าเชื่อถือและการดำเนินธุุรกิจและมีนโยบายการคุ้ม ครองข้อมูลส่วนบุุคคล เอสซีจี เพื่อเป็นกรอบการบริหารจัดการข้อมูลส่วนบุุคคล ให้เกิดความมั่นใจว่าลูกค้า ผู้ถือหุ้น พนักงานและผู้มีส่วนได้เสียอื่น ๆ จะได้รับความคุ้มครองสิทธิอย่างครบถ้วนตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

เอสซีจีมุ่งมั่นในการรักษาความปลอดภัยทางไซเบอร์และคุ้มครองข้อมูลส่วนบุคคล โดยมีการกำหนดกรอบการดำเนินงานที่เกี่ยวข้องไว้ใน กรอบการพัฒนาอย่างยั่งยืน เอสซีจี เพื่อสร้างมาตรฐานการดำเนินงานและแนวปฏิบัติให้ทุกบริษัทในเอสซีจี

การกำกับดูแลและนโยบายด้านความมั่นคงปลอดภัยของข้อมูลและไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

เอสซีจีมีคณะกรรมการและผู้บริหารระดับสูงที่มีประสบการณ์ ทำหน้าที่กำกับดูแลระดับกลยุทธ์ กระบวนการทำงาน การควบคุม โดยบูรณาการเข้ากับการบริหารความเสี่ยงทั่วทั่งองค์กร รวมทั้งแต่งตั้งคณะกรรมการและคณะทำงานที่เกี่ยวข้องในการดำเนินงานด้านความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่่วนบุคคล ดังต่อไปนี้

  • คณะกรรมการ SCG IT Governance ทำหน้าที่กำหนดนโยบายและระเบียบการใช้เทคโนโลยีสารสนเทศและการสื่อสารของเอสซีจี (SCG e-Policy) ซึ่งจัดทำตามกรอบมาตรฐาน ISO/IEC27001 รวมถึงติดตามการปฏิบัติตามเพื่อให้พนักงานเอสซีจีทุุกคนถือปฏิบัติในทิศทางเดียวกัน โดยมี คณะทำงาน Cybersecurity Governance Committee กำกับดููแลความปลอดภัยทางเทคโนโลยี สารสนเทศให้้สอดคล้้องกับแนวทางการดำเนินธุุรกิจและเป็นไปตามนโยบายที่่กำหนด

    ในปี 2565 มีการดำเนินการเพิ่มเติม ดังนี้
    • ปรับปรุงมาตรฐาน/วิธีปฏิบัติงาน 3 เรื่อง ได้แก่ 1) Vulnerability Scanning Standard (มาตรฐานการสแกนและแก้ไขช่องโหว่) 2) Data Classification and Handling Standard (มาตรฐานปฏิบัติในการระบุชั้นความลับของข้อมูล) และ 3) Security Risk Acceptance Procedure (กระบวนการยอมรับความเสี่ยง)
    • ซักซ้อมการดำเนินการตามแนวปฏิบัติขององค์กร โดยจำลองสถานการณ์การโจมตีจากภัยคุกคามไซเบอร์ในรูปแบบต่างๆ เพื่อเตรียมความพร้อมและปรับปรุงแนวปฏิบัติให้มีประสิทธิภาพมากยิ่งขึ้น
  • คณะทำงาน Cybersecurity Governance เพื่อกำกับดูแลความปลอดภัยทางเทคโนโลสารสนเทศของเอสซีจี ให้สอดคล้องกับแนวทางการดำเนินธุุรกิจและป้องกันภัยคุกคามจากไซเบอร์ให้มีประสิทธิภาพ
  • คณะกรรมการด้านบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ส่งเสริมการรับรองมาตรฐาน ISO/EC27001 เพื่อกำกับดูแลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศและจัดทำนโยบายความมั่นคงปลอดภัยสารสนเทศในเชิงปฏิบัติ รวมถึงสนับสนุนให้ผู้เกี่ยวข้องทั้งภายในและภายนอกสามารถปฏิบัติตามนโยบายได้อย่างเหมาะสม และมีการตรวจสอบโดยหน่วยงานตรวจสอบภายใน (Internal ISMS Audit)
  • คณะจัดการบริหารความเสี่ยง เอสซีจี ทำหน้าที่เป็นคณะกรรมการคุ้มครองข้อมูลส่่วนบุุคคลกำกับดูแลและประกาศนโยบายการคุ้มครองข้อมูลส่วนบุุคคลของเอสซีจี (SCG Privacy Policy) เพื่อเป็นกรอบการบริหารจัดการข้อมูลส่วนบุุคคล โดยปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุุคคล (Personal Data Protection) เช่น การประมวลผลข้อมูลจะต้องมีฐานทางกฎหมายรองรับ (Legal Basis) แจ้งนโยบายความเป็นส่วนตัว (Privacy Notice) จัดทำบันทึกการประมวลผลข้อมููลส่วนบุุคคล จัดทำช่องทางการใช้และการติดต่อของเจ้าของข้อมูลส่วนบุุคคล (Data Subject Rights Management) นอกจากนี้ได้จัดให้้มีระบบการรักษาความมั่นคงปลอดภัยที่ได้มาตรฐาน

การสร้างระบบงานเชิงป้องกันผ่านการการฝึกอบรมและพัฒนาพนักงานเกี่ยวกับความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมููลส่วนบุุคคลอย่างต่อเนื่อง

เอสซีจีมีการขยายการลงทุนทั้งในและต่างประเทศปัจจัยสำคัญที่ทำให้องค์์กรบรรลุุเป้าหมายและอยู่ได้อย่าง ยั่งยืนคือ พนักงานและคู่ธุรกิจต้องมีคุุณธรรม จริยธรรมในการปฏิบัติงาน เพื่อเป็นการสร้างความรู้ความเข้าใจและทดสอบจริยธรรมให้กับพนักงานทุกระดับและคู่ธุรกิจ เอสซีจีได้ดำเนินกิจกรรมซึ่งเป็นส่วนหนึ่งในเครื่องมือระบบเชิงป้องกัน (Proactive and Preventive System) ที่ทำต่อเนื่องมาโดยตลอดดังนี้

  • การสร้างความตระหนักรู้ในเรื่องความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมููลส่วนบุุคคล ให้กับพนักงานและคู่ธุรกิจอย่างต่อเนื่องผ่่านการจัดอบรมและกิจกรรมต่าง ๆ เช่น Cybersecurity Awareness Month เพื่อให้พนักงานมีความรู้ ความเข้าใจในการใช้งานเทคโนโลยีอย่างถูกต้องและความปลอดภัยจากการถูกคุกคามทางไซเบอร์ รวมถึงจัดให้มีการจำลองการส่งอีเมลหลอกลวง (Self-Phishing Email Simulation Drill) เพื่อทดสอบความตระหนักรู้ของพนักงานและช่วยให้ทราบถึงหัวข้ออบรมด้านไซเบอร์ที่ต้องมีการเพิ่มความเข้าใจให้กับพนักงานซึ่งช่วยให้การสื่อสารตรงกลุ่มเป้าหมายได้ดียิ่งขึ้น
  • การทดสอบจริยธรรมเพื่อการประเมิน การตรวจสอบ และการสร้างความรู้ความเข้าใจให้แก่พนักงานทุกระดับเป็นประจำทุกปี ผ่านแบบทดสอบ “Ethics e-Testing และ e-Policy e-Testing” เพื่อให้สามารถนำเรื่องคุณธรรม อุดมการณ์ 4 จรรยาบรรณ นโยบายต่อต้านคอร์รัปชัน การใช้เทคโนโลยีอย่างมีประสิทธิภาพเพื่อปกป้องธุรกิจจากภัยคุกคามทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล (PDPA) มาปฏิบัติและประยุกต์ใช้ได้อย่างถูกต้องเหมาะสมให้เกิดผลได้จริง โดยในปี 2566 ได้จัดต่อเนื่องมาเป็นปีที่ 9 และ SCG e-Policy e-Testing ต่อเนื่องเป็นปีที่ 6 ซึ่งพนักงานของเอสซีจีทุกคนผ่านการทดสอบ นอกจากนี้ได้มีการวิเคราะห์การตอบแบบทดสอบของพนักงาน และสื่อสารให้พนักงานทุกระดับเกิดความเข้าใจที่ถูกต้อง แบบทดสอบจะมีการทบทวนทุกปีเพื่อให้สอดคล้องกับความเสี่ยงที่เกิดขึ้น

กำหนดให้พนักงานเอสซีจีต้องทดสอบวัดความรู้ในเรื่อง Ethics e-Testing และ e-Policy e-Testing ต้องผ่านการทดสอบด้วยเกณฑ์ร้อยละ 100 เพื่อให้้พนักงานรับทราบ ตระหนัก และเกิดความเข้าใจสามารถนำไป ปฏิบัติได้ถูกต้อง

ปี 2566 พนักงานเอสซีจีทำแบบทดสอบจริยธรรมผ่านเกณฑ์ 100% และได้วิเคราะห์การตอบแบบทดสอบเพื่อนำประเด็นที่สำคัญกลับมาสื่อสารให้พนักงานเกิดความเข้าใจที่ถูกต้อง

บริหารความเสี่ยงด้านภัยคุุกคามทางไซเบอร์และการคุ้มครองข้อมููลส่วนบุุคคลแบบบูรณาการ

ในปัจจุบันเอสซีจีทำธุุรกิจที่มีการพึ่งพาเทคโนโลยีมากขึ้นและวิวัฒนาการด้านภัยคุกคามทางไซเบอร์ที่ซับซ้อนขึ้น เอสซีจี จึงเผชิญกับความเสี่ยงจากภัยคุกคามทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุุคคลที่เพิ่มขึ้นอย่างหลีกเลี่ยงไม่ได้

ความเสี่ยงดังกล่าวอาจส่งผลกระทบที่มีความรุนแรงและเป็นวงกว้าง เช่น การดำเนินงานที่อาจหยุดชะงักเนื่องจากบริษัทไม่สามารถรักษาความปลอดภัยด้านไซเบอร์ของกระบวนการทำงานหรือโครงสร้างพื้นฐานที่ใช้ในกระบวนการผลิตที่ต้องพึ่งพาเทคโนโลยีดิจิทัล และการสูญหายหรือการรั่วไหลของข้อมูลที่สำคัญของบริิษััท ซึ่งรวมถึึงข้อมูลการพัฒนาสินค้าและบริการ ข้อมูลทางการค้าและข้อมูลส่วนบุคคลของลูกค้า คู่ค้า และพนักงาน โดยความเสียหายเหล่านี้อาจส่งผลทางลบต่อชื่อเสียงและความน่าเชื่อถือของบริษัท และอาจยังมีผลกระทบที่เป็นตััวเงินที่มาจากการถููกเรียกค่าไถ่ ค่าปรับจากการถูกกฟ้องร้อง หรือการสูญเสียรายได้หรือกำไร

ปี 2566 เอสซีจีได้รับการรับรองระบบบริหารจัดการรักษาความมั่นคงปลอดภัยสารสนเทศ หรือ ISO/IEC 27001:2022 จาก BSI (British Standard Institution)

เอสซีจีบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมููลส่วนบุุคคล โดยบูรณาการเข้ากับการบริหารความเสี่ยงทั่วทั้งองค์กร ตั้งแต่ การระบุุความเสี่ยงหรือโอกาสในการดำเนินธุุรกิจ การประเมินและจัดลำดับความสำคัญ การกำหนดมาตรการจัดการ การติดตามและรายงาน และเป็นไปตามหลักการกำกับดูแลกิจการที่ดี (Good Corporate Governance) ดังนี้

  • ประเมินความเสี่ยงทางไซเบอร์กับระบบคอมพิวเตอร์ใช้ควบคุมกระบวนการผลิต การให้บริการ และกระบวนการทำงานต่างๆ รวมถึงจัดทำแผนบริหารความเสี่่ยงด้านความปลอดภัยทางไซเบอร์ที่ครอบคลุมการใช้งานสำคัญสำหรับเอสซีจี ทั้งในและต่างประเทศ เช่น ติดตั้งงระบบการยืนยันตัวตนแบบหลายปัจจัย (Multi-factor Authentication) เพื่อบริหารจัดการการเข้าถึงข้อมููลที่่มีความสำคัญกับองค์กร ติดตั้งศูนย์ปฏิบัติการเฝ้าระวังภัยคุกคามขององค์กร (Security Operation Center หรือ SOC) สำหรับเฝ้าระวังภัยคุุกคามทางไซเบอร์บน Core Infrastructure (Network Devices และ Security Devices) ทั้ง On-premise และ On-cloud เพื่อให้องค์กรสามารถตอบสนองต่อภัยคุกคามได้อย่างทันท่วงทีและแบ่งแยกโซนการทำงานของระบบควบคุมที่ใช้ในการผลิตทางอุุตสาหกรรม (Industrial Control System) ออกจากเครือข่ายการทำงานของสำนักงาน
  • จัดให้มีการประเมินความเสี่ยงทางไซเบอร์โดยผู้เชี่ยวชาญด้วยการทดสอบเจาะระบบ (Penetration Test) เพื่อหาจุดอ่อนในการเข้าถึงระบบต่าง ๆ และปรับปรุงแก้ไขช่องโหว่เพื่อลดความเสี่ยงในการเกิดภัยคุกคามต่อระบบ
  • สร้างความตระหนักรู้ในการใช้เทคโนโลยีให้กับพนักงานอย่างต่่อเนื่องผ่านการจัดอบรมและกิจกรรมต่่าง ๆ เช่น Cybersecurity Awareness Month เพื่อให้้พนักงานมีความรู้ ความเข้้าใจในการใช้งานเทคโนโลยีอย่างถูกต้องและมีความปลอดภัยจากการถููกคุุกคามทางไซเบอร์รวมถึงจัดให้มีการจำลองการส่งอีเมล์หลอกลวง (Self-phishing Email Simulation Drill) เพื่อทดสอบความตระหนักรู้ของพนักงานและช่วยให้ทราบถึงหัวข้ออบรมด้านไซเบอร์ที่ต้องมีการเพิ่มความเข้าใจให้กับพนักงานซึ่งช่วยให้การสื่อสาร ตรงกลุ่มเป้าหมายได้ดียิ่งขึ้น
  • จัดทำแผนกู้คืนระบบ (Disaster Recovery Plan) เพื่อเตรียมรองรับสถานการณ์ฉุุกเฉิน โดยผู้ใช้งานยังสามารถปฏิบัติงานได้ผ่าน Backup Site รวมถึงจัดทำแผนการรับมือและตอบสนองต่อภัยคุกคามทางไซเบอร์์ (Cyber Incident Response Plan)ตามแนวทางของสำนักงานมาตรฐานความปลอดภัยทางเทคโนโลยีของสหรัฐอเมริกา (NIST Cybersecurity Framework) แผนการสื่อสาร (Cyberattack Communication Flow) และฝึกซ้อมแผนอย่างสม่ำเสมอเพื่อป้องกันธุุรกิจหยุดชะงักจากการถููกโจมตีทางไซเบอร์
  • ติดตั้ง WEB Application Firewall เพื่อเพิ่มความปลอดภัยของข้อมูลให้มากขึ้น และลดความเสี่ยงในการถูกโจมตีทางไซเบอร์
  • จัดทำเอกสารแนวทางการตรวจสอบการควบคุมภายใน/การรักษาความปลอดภัย เช่น แนวทางการตรวจสอบระบบงาน ERP หลักที่่บริษัทใช้งาน แนวทางการตรวจสอบการรักษาความปลอดภัย IoT แนวทางการตรวจสอบการรักษาความปลอดภัย Web Application แนวทางการตรวจสอบ Cloud Development แนวทางการตรวจสอบ Data Governance
  • ประเมินจุดควบคุมภายในด้าน Information Security โดยอ้างอิง ISO27001 เพื่อสอบทานความเพียงพอของระบบการควบคุมภายในว่ามีความเหมาะสมกับการดำเนินธุุรกิจของบริษัท แนะนำแนวการปฏิบัติที่ดี สร้างระบบ Proactive and Preventive System เพื่่อลดความเสี่่ยงในการดำเนินธุุรกิจ
  • ทบทวนและปรับกลยุทธ์การปฏิบัติงานตรวจสอบให้สอดคล้องกับสถานการณ์โควิด 19 และความเสี่ยงในยุค New Normal โดยใช้ Machine Learning (ML), Robotics Process Automation (RPA), Data Analytics (DA) วิเคราะห์ความเสี่ยงให้มีประสิทธิภาพมากยิ่งขึ้น ลง Fieldwork เท่าที่จำเป็น
  • พัฒนาการตรวจสอบด้านเทคโนโลยีสารสนเทศโดยแบ่งเป็นการตรวจสอบด้าน IT System IT Process และ IT Security และออกแบบกระบวนการตรวจสอบให้เหมาะสมในแต่ละด้าน ซึ่งช่วยให้การตรวจสอบมีประสิทธิภาพเพิ่มมากขึ้น
  • จัดตั้ง SCG Data Protection Officer และ Data Protection Office เพื่อตรวจสอบการดำเนินงานของหน่วยงานในเอสซีจี และจัดทำข้อเสนอแนะให้เป็นไปตามกฎหมาย รวมถึงจัดทำนโยบายการคุ้มครองข้อมูลส่วนบุคคลของเอสซีจีและดำเนินการนำเครื่องมือเกี่ยวกับ Data Protection มาปฏิบัติ เช่น จัดทำเอกสารทางกฎหมายที่เกี่ยวข้องและนำ Privacy Management Software มาใช้เป็นต้น
  • หน่วยงานบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) ได้ดำเนินการจัดทำ Cyberattack Communication Flow โดยใช้มาตรการรับมือกรณีถููกโจมตีทางไซเบอร์ตามแนวทางของสำนักงานมาตรฐานความปลอดภัยทางเทคโนโลยีของสหรัฐอเมริกา (NIST Cybersecurity Framework) มาประยุกต์ในการประเมินความเสี่ยงตามลำดับความรุนแรงเพื่อวางแผนการดำเนินงานตั้งแต่การระบุ ป้องกัน การตอบสนองได้อย่างถููกต้องและทันท่วงที และการกู้คืนระบบให้กลับมาสู่สภาพเดิมให้เร็วที่สุุด เพื่อให้เกิดผลกระทบต่อผู้ใช้งานและธุุรกิจน้อยที่สุุด มีระบบจัดเก็บบันทึกเหตุการณ์ที่เกิดขึ้นเพื่อนำข้อมููล เหล่านั้นมาวิเคราะห์หาแนวทางแก้ไขป้องกันต่อไป

เอกสารดาวน์โหลด

กรอบการพัฒนาอย่างยั่งยืน เอสซีจี
นโยบายการคุ้มครองข้อมูลส่วนบุุคคลของเอสซีจี