คณะกรรมการบริหารการลงทุนด้านดิจิทัลและเทคโนโลยี สารสนเทศ (Digital & IT Investment Management Committee: DIM) ท� ำหน้าที่ไตร่ตรองการลงทุนโครงการ ต่างๆ ในด้านวัตถุประสงค์ การเลือกใช้เทคโนโลยี และ ความคุ้มค่าการลงทุน คณะกรรมการบริหารความเสี่ยงระดับองค์กร (Enterprise Risk Management Committee: ERM) ท� ำหน้าที่ก� ำกับ ดูแลการระบุความเสี่ยงและการบริหารจัดการให้ ความเสี่ยงอยู่ในวิสัยที่องค์กรยอมรับได้ คณะกรรมการบริหารความมั่นคงและความปลอดภัย สารสนเทศ (ISMS Committee) ท� ำหน้าที่ก� ำกับดูแลการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security) ด้านไซเบอร์ (Cybersecurity) และคลาวด์ (Cloud Security) ให้สอดคล้องกับมาตรฐานสากล และ ควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ 2. ระดับ Management คณะกรรมการ Enterprise Architecture (EA committee) ท� ำหน้าที่พิจารณาการบริหารจัดการโครงสร้ างด้าน เทคโนโลยีขององค์กรให้สอดรับกับความต้องการใช้งาน และมีความทันสมัย เป็นมาตรฐานสากล เพื่อให้เกิด ประโยชน์สูงสุดในการน� ำไปใช้งาน การก� ำกับดูแลผ่านนโยบายการบริหารจัดการข้อมูลและ สารสนเทศในด้านต่างๆ เช่น Information Security, Cybersecurity, Cloud Security, Service Level Agreement (SLA), Secure System Development Life Cycle (SSDLC) และ Data Protection เป็นต้น 3. ระดับ Operation ก� ำหนดระบบ วิธีปฏิบัติ และการบริการต่างๆ ให้ผู้ใช้งาน ได้ปฏิบัติตาม พร้อมทั้งได้ประกาศและจัดเก็บในระบบ อินเทอร์เน็ต เพื่อให้ผู้ใช้งานได้ศึกษาเพิ่มเติม พร้อมกับมี การแจ้งข่าวสารด้านเทคโนโลยีสารสนเทศทางอีเมลเป็น ประจ� ำทุก 2 สัปดาห์ ยกเว้นมีเหตุฉุกเฉินจะแจ้งให้ทราบ ทันที ประเมินความเสี่ยงของทรัพยากรด้ านเทคโนโลยี สารสนเทศทุกปี เพื่อให้มั่นใจว่าทรัพยากรที่มีอยู่เพียงพอ ต่อการดูแลปกป้องข้อมูลและสารสนเทศให้มีความแม่นย� ำ ถูกต้อง คงสภาพ เชื่อถือได้ และเป็นปัจจุบัน การตรวจติดตามทั้งภายในและภายนอก เพื่อทวนสอบ กระบวนการท� ำงานต่างๆ รวมทั้งการน� ำผลการตรวจ ติดตามมาปรับปรุงการบริหารจัดการ การให้บริการ และ ปรับปรุงความมั่นคงปลอดภัยทางด้านเทคโนโลยีให้ทันสมัย รวมถึงรายงานต่อผู้บริหารและคณะกรรมการที่ดูแล รับผิดชอบอย่างสม�่ ำเสมอ กระบวนการบริหารจัดการ แบ่งออกเป็น 3 หมวด ได้แก่ 1. การก� ำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ เพื่อก� ำหนดทิศทางการท� ำงานให้ชัดเจน และสร้างความโปร่งใส แก่การบริหารงานเชิงนโยบาย ตลอดจนระดับปฏิบัติการ บริษัทฯ จึงได้ก� ำกับและบริหารระบบความมั่นคงปลอดภัยด้าน สารสนเทศและการจัดการข้อมูลส่วนบุคคล ที่สอดคล้องตาม มาตรฐาน ISO/IEC 27001:2022, ISO/IEC 27701:2019 และกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดย สถาบันมาตรฐานและเทคโนโลยีแห่ งชาติของประเทศ สหรัฐอเมริกา (National Institute of Standards and Technology: NIST) การก� ำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ของบริษัทฯ จะประกอบด้วยนโยบาย มาตรฐานอ้างอิง คู่มือขั้นตอนการด� ำเนินงาน และ Software ที่ครอบคลุมการ ด� ำเนินงานทั้ง 5 ด้าน อันได้แก่ การ Identify การ Protect การ Detect การ Respond การ Recover นอกจากนี้ บริษัทฯ ได้แต่งตั้งผู้ช่วยกรรมการผู้จัดการใหญ่ สายงานปฏิรูปธุรกิจสู่ความเป็นเลิศ ให้ด� ำรงต� ำแหน่งผู้บริหาร ความมั่นคงปลอดภัยสารสนเทศระดับสูง (Chief Information Security Officer: CISO) ประจ� ำบริษัทฯ ซึ่งมีหน้าที่ดังนี้ 1. เป็นประธานคณะกรรมการบริหารความมั่นคงปลอดภัย สารสนเทศ 2. ก� ำหนดเป้าหมาย และนโยบายด้านการรักษาความมั่นคง ปลอดภัยที่สอดคล้องกับแผนยุทธศาสตร์ของบริษัทฯ 3. พัฒนานโยบายด้านการรักษาความปลอดภัยสารสนเทศ มาตรฐาน ขั้นตอน และแนวปฏิบัติ เพื่อให้ระบบสารสนเทศ ในบริษัทฯ สามารถรักษาความลับของข้อมูล (Confidential) รักษาความถูกต้อง (Integrity) และรักษาเสถียรภาพ ความมั่นคง (Availability) 4. ประสานงาน ควบคุม และรายงานเหตุคุกคามทางด้าน ไซเบอร์ต่อผู้บริหารระดับสูง และส� ำนักงานคณะกรรมการ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ 2. การควบคุมด้านความปลอดภัยสารสนเทศและไซเบอร์ บริษัทฯ ก� ำหนดนโยบายและมาตรการด้านความปลอดภัย สารสนเทศและไซเบอร์ รวมถึงการจัดการข้อมูลส่วนบุคคล ตามมาตรฐานสากล ISO/IEC 27001 และ ISO/IEC 27701 เพื่อสร้างความมั่นคงและเสถียรภาพของระบบบริหารความ มั่นคงปลอดภัยสารสนเทศและไซเบอร์ และป้องกันมิให้เกิดการ ใช้งานที่ถือเป็นการกระท� ำความผิดตามพระราชบัญญัติว่าด้วย การกระท� ำความผิดเกี่ยวกับคอมพิวเตอร์ และพระราชบัญญัติ 200
RkJQdWJsaXNoZXIy ODg4NTI=