close

Banner SCG Chemicals

บรรษัทภิบาล
และเศรษฐกิจ

ความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

SCGC มีความมุ่งมั่นที่จะรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศและไซเบอร์ โดยกำหนดแนวทางบริหารจัดการและนโยบายทางเทคโนโลยีสารสนเทศ (e-Policy) ให้เป็นตามมาตรฐาน ISO 27001 และการกำหนดการควบคุมกระบวนการทำงานให้เป็นไปตามมาตรฐาน และเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) รวมถึงการใช้บริการด้าน IT Infrastructure กับบริษัทที่ได้รับการรับรองมาตรฐาน ISO 27001 นอกจากนี้บริษัทยังกำหนดนโยบายสำหรับระบบควบคุมการผลิตในโรงงาน (Industrial Control System Policy) ให้เป็นไปตามมาตรฐาน IEC 62443 โดยมีเป้าหมายที่จะรักษาความมั่นคงปลอดภัยทางสารสนเทศและไซเบอร์ โดย “ไม่มีเหตุการณ์ภัยคุกคามทางไซเบอร์” ที่ก่อให้ผลกระทบกับการดำเนินธุรกิจของบริษัท

SCGC มีแนวทางและกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์อย่างโปร่งใสภายใต้การกำกับของคณะกรรมการกำกับดูแลงานด้านดิจิทัลและเทคโนโลยีสารสนเทศ (IT Governance Committee) และคณะกรรมการความปลอดภัยและ ความมั่นคงสารสนเทศ ( Cybersecurity Governance Committee ) ซึ่งครอบคลุมการบริหาร 3 ระดับ ดังนี้

กระบวนการควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์
(Process and Infrastructure)

SCGC ได้กำหนดให้มีการวิเคราะห์หาช่องโหว่ของระบบ (Vulnerability Assessment: VA) ตรวจสอบสถาปัตยกรรมของระบบเครือข่าย พร้อมปรับปรุงระบบความมั่นคงปลอดภัย ของระบบ โดยสอดคล้องกับกรอบการดำเนินงานของ NIST (National Institute of Standards and Technology) โดยได้ทำการตรวจสอบช่องโหว่ของระบบคอมพิวเตอร์ จากบุคคลากรทั้งภายในและภายนอกเป็นประจำทุกปี


สำหรับการตรวจสอบการควบคุมการจัดการภายในระบบเทคโนโลยีสารสนเทศ (IT Internal Audit) บริษัทได้จัดการตรวจสอบให้ครอบคลุมด้านต่างๆ ดังนี้

  • การตรวจสอบระบบเทคโนโลยีสารสนเทศ,
  • การตรวจสอบการบริหารจัดการกิจกรรมระบบเทคโนโลยีสารสนเทศ,
  • การตรวจสอบความปลอดภัยระบบเทคโนโลยีสารสนเทศ
  • การทดสอบความแข็งแกร่งระบบเทคโนโลยีสารสนเทศ (Penetration Testing)

เทคโนโลยีที่บริษัทนำมาใช้
เพื่อเพิ่มความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

การนำเทคโนโลยี MFA (Multi-factor authentication) มาใช้ในการยืนยันตัวตน เพื่อให้มีความปลอดภัยสูง
ระบบตรวจจับและป้องกันภัยคุกคาม
ของอุปกรณ์คอมพิวเตอร์ - EDR
(Endpoint Detection and Response)
พัฒนาสถาปัตยกรรมและ
ความปลอดภัยของระบบ Internet of Things
(IoT Security Architecture)
จัดทำแผนตอบสนองภัยคุมคาม
ด้านไซเบอร์ของระบบควบคุมการผลิต
ในโรงงาน (ICS Cybersecurity
Incident Response Plan

การฝึกอบรมและทดสอบด้านความมั่นคงปลอดภัย
สารสนเทศและไซเบอร์กับพนักงาน

พนักงานใช้เวลาในการเรียนรู้ 6 ชั่วโมงต่อปี      พนักงานรับทราบและสอบผ่าน E-Policy 100%

      SCGC เสริมสร้างความรู้ ความเข้าใจ และความตระหนักให้แก่พนักงานทุกระดับ ผ่านการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศผ่านระบบ e-Learning โดยมีเนื้อหาครอบคลุมตามนโยบาย ความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ (e-Policy) และกำหนดให้มีการทดสอบความรู้ในนโยบายเทคโนโลยีสารสนเทศ (e-Policy Testing) กับพนักงานทุกระดับทั่วทั้งองค์กร โดยในปีที่ผ่านมา 100% ของพนักงานรับทราบและผ่านการทดสอบตามนโยบายการทดสอบการหลอกลวงทางไซเบอร์ (Phishing Simulation Test)


     เรายังเสริมสร้างความรู้ ความเข้าใจ และความตระหนักด้านภัยทางไซเบอร์ ให้แก่พนักงานและคู่ธุรกิจ จำนวน 7,070 คน ที่ใช้งานระบบเทคโนโลยีสารสนเทศของ บริษัทฯ เกี่ยวกับรูปแบบการโจมตีทาง ไซเบอร์และอันตรายจากวิธีการหลอกลวงทางไซเบอร์ (Phishing) เช่น การหลอกลวงผ่านช่องทางต่างๆ เช่น e-mail, SMS การหลอกให้กรอกข้อมูลส่วนตัว, การทำงานของไวรัสเรียกค่าไถ่ (Ransomware) เป็นต้น และเน้นการฝึกสังเกตในจุดต่างๆ เพื่อให้สามารถปรับใช้เมื่อพบกับสถานการณ์จริง โดยจัดให้มีการทดสอบผ่านการจำลองเหตุการณ์การหลอกลวงทางอีเมล ผลจากการทดสอบปีพบว่า ร้อยละ 98.49 ของพนักงานและและคู่ธุรกิจผ่านการทดสอบ