ความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยทางไซเบอร์
ความมุ่งมั่นของเรา
บริษัท เจมาร์ท กรุ๊ป โฮลดิ้งส์ จำกัด (มหาชน) ให้ความสำคัญอย่างยิ่งต่อการรักษาความมั่นคงปลอดภัยของข้อมูลสารสนเทศและระบบเทคโนโลยีสารสนเทศ ซึ่งถือเป็นปัจจัยสำคัญในการดำเนินธุรกิจ การให้บริการลูกค้า และการสร้างความเชื่อมั่นให้แก่ผู้มีส่วนได้เสียทุกภาคส่วน
บริษัทมุ่งมั่นพัฒนาและยกระดับมาตรการด้านความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง โดยครอบคลุมการกำหนดนโยบาย แนวปฏิบัติ การบริหารความเสี่ยง การเฝ้าระวังภัยคุกคามทางไซเบอร์ ตลอดจนการส่งเสริมความรู้ความตระหนักด้านความปลอดภัยให้แก่พนักงานทุกระดับ เพื่อป้องกันการเข้าถึง การใช้งาน การเปิดเผย การแก้ไข หรือการทำลายข้อมูลโดยไม่ได้รับอนุญาต
นอกจากนี้ บริษัทยังให้ความสำคัญกับการปฏิบัติตามกฎหมาย มาตรฐานสากล และแนวปฏิบัติที่เกี่ยวข้อง เพื่อให้มั่นใจว่าระบบสารสนเทศขององค์กรมีความปลอดภัย มีเสถียรภาพ และสามารถรองรับการดำเนินธุรกิจได้อย่างต่อเนื่อง
การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน
ส่งเสริมความยั่งยืนระดับโลกผ่านการสอดคล้องกับเป้าหมายการพัฒนาที่ยั่งยืนของสหประชาชาติ (UN SDGs)
ผู้มีส่วนได้เสียที่เกี่ยวข้อง
เป้าหมาย
- การวัดผลประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ อย่างน้อย 1 ครั้ง/ปี
- การทดสอบระบบเพื่อรองรับเหตุการณ์ฉุกเฉิน อย่างน้อย 1 ครั้ง
- จำนวนภัยคุกคามทางไซเบอร์ที่มีนัยสำคัญ 0 ครั้ง
ผลการดำเนินงาน
ในปี 2568 การวัดผลประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
ในปี 2568 การทดสอบระบบเพื่อรองรับเหตุการณ์ฉุกเฉิน
ในปี 2568 จำนวนภัยคุกคามทางไซเบอร์ที่มีนัยสำคัญ
แนวทางการบริหารจัดการ
กำหนดโครงสร้างและบทบาทในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
กลุ่มบริษัทเจมาร์ทได้แต่งตั้งคณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Steering Committee: ISMS Steering Committee) เพื่อทำหน้าที่กำกับ ดูแล และกำหนดทิศทางการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของกลุ่มบริษัทให้เป็นไปอย่างเป็นระบบและสอดคล้องกันในทุกหน่วยงาน โดยคณะกรรมการดังกล่าวมีบทบาทในการกำหนดนโยบาย แผนงาน และกรอบการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศ รวมถึงติดตามและประเมินผลการดำเนินงานให้เป็นไปตามมาตรฐาน กฎหมาย และข้อกำหนดที่เกี่ยวข้อง ตลอดจนให้การสนับสนุนทรัพยากรที่จำเป็น ทั้งด้านบุคลากร เทคโนโลยี และงบประมาณ เพื่อให้ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศของกลุ่มบริษัทมีประสิทธิภาพและสามารถรองรับความเสี่ยงด้านสารสนเทศได้อย่างเหมาะสม
บทบาทหน้าที่
-
1ประธานเจ้าหน้าที่บริหารมีบทบาทในการกำหนดทิศทาง อนุมัติ และกำกับดูแลนโยบายด้านความมั่นคงปลอดภัยสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ขององค์กร ให้สอดคล้องกับบริบททางธุรกิจ สถานการณ์ปัจจุบัน และกฎหมายที่เกี่ยวข้อง รวมถึงกำกับดูแลให้การดำเนินงานด้านความมั่นคงปลอดภัยครอบคลุมข้อมูลและทรัพย์สินสำคัญขององค์กร เพื่อสร้างความเชื่อมั่นแก่ผู้มีส่วนได้เสียทุกภาคส่วน
-
2คณะกรรมการฝ่ายบริหารและผู้ช่วยคณะกรรมการฝ่ายบริหารกำหนดทิศทางและสนับสนุนการจัดทำนโยบาย มาตรการ และแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ให้สอดคล้องกับเป้าหมายองค์กรและมาตรฐานสากล รวมถึงการบริหารจัดการความเสี่ยง การประสานงานเมื่อเกิดเหตุที่มีนัยสำคัญ ตลอดจนอนุมัติและสนับสนุนโครงการด้านความมั่นคงปลอดภัย และส่งเสริมวัฒนธรรมการตระหนักรู้ภายในองค์กร พร้อมทั้งทบทวนและสรุปผลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อนำเสนอต่อประธานเจ้าหน้าที่บริหารในการพิจารณาอนุมัติและปรับปรุงนโยบายและมาตรการที่เกี่ยวข้อง
-
3ผู้บริหารระดับสูงสุดด้านเทคโนโลยีสารสนเทศ (CIO)บริหารจัดการทรัพย์สินสารสนเทศขององค์กร พร้อมวิเคราะห์ บริหารความเสี่ยง ให้มีความมั่นคงปลอดภัย ความถูกต้องครบถ้วน และความพร้อมใช้งานที่อยู่ภายใต้การควบคุม รวมถึงกำหนดบทบาทหน้าที่ และความรับผิดชอบของบุคลากรด้านความมั่นคงปลอดภัยสารสนเทศ การตอบสนองต่อเหตุการณ์ด้านความปลอดภัยของข้อมูลที่ส่งผลกระทบต่อองค์กร พร้อมพิจารณาอนุมัติโครงการด้านเทคโนโลยีสารสนเทศ และควบคุม ติดตามให้การดำเนินงานสอดคล้องตามข้อกำหนด
-
4ผู้ดูแลระบบกำหนดและบังคับใช้สิทธิการเข้าถึงข้อมูลและทรัพย์สินสารสนเทศตามบทบาทและความจำเป็น สื่อสารการเปลี่ยนแปลงที่เกี่ยวข้องให้ผู้มีส่วนได้ส่วนเสียรับทราบ พร้อมพัฒนาและดำเนินการตามขั้นตอนการปฏิบัติงานให้มีความพร้อมในการรักษาความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งาน รวมทั้งกำกับการควบคุมการเข้าถึงและการใช้งานทรัพย์สิทที่อยู่ภายใต้การดูแล
-
5ผู้พัฒนาระบบพัฒนาและดูแลระบบสารสนเทศตามนโยบายและมาตรฐานด้านความมั่นคงปลอดภัยขององค์กรตลอดวงจรการพัฒนาระบบ โดยยึดหลักการพัฒนาอย่างมั่นคงปลอดภัย (Secure Development Life Cycle) เพื่อควบคุมความเสี่ยงจากช่องโหว่ ทดสอบความปลอดภัยของระบบ และรักษาคุณภาพและความมั่นคงปลอดภัยของระบบให้สอดคล้องกับข้อกำหนดและมาตรฐานที่เกี่ยวข้อง.
-
6ฝ่ายเทคโนโลยีสารสนเทศมีหน้าที่จัดทำและปรับปรุงนโยบาย ระเบียบปฏิบัติ และมาตรการด้านความมั่นคงปลอดภัยสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ให้สอดคล้องกับการดำเนินงานขององค์กร มาตรฐานสากล และข้อกำหนดทางกฎหมาย รวมถึงเผยแพร่ สื่อสาร ติดตาม และประเมินผลการปฏิบัติตามนโยบาย เพื่อสร้างความตระหนักและสนับสนุนการปฏิบัติตามอย่างมีประสิทธิภาพ

นโยบายด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยทางไซเบอร์
บริษัท เจมาร์ท กรุ๊ป โฮลดิ้งส์ จำกัด (มหาชน) มีเป้าหมายเพื่อสร้างกรอบแนวทางและมาตรการที่ครอบคลุมและชัดเจนในการปกป้องข้อมูล และระบบเทคโนโลยีสารสนเทศขององค์กรให้ปลอดภัยจากภัยคุกคามทางไซเบอร์ ที่อาจเกิดขึ้น ทั้งจากภัยภายนอก เช่น การโจมตีโดยแฮกเกอร์ หรือภัยภายใน เช่น การเข้าถึงโดยไม่ได้รับอนุญาตจากบุคลากรภายในองค์กร นโยบายนี้เป็นส่วนหนึ่งที่สำคัญของกลยุทธ์ในการรักษาความมั่นคงปลอดภัยทางไซเบอร์ขององค์กร ซึ่งจำเป็นสำหรับการปกป้องข้อมูลสำคัญของบริษัทและรักษาความน่าเชื่อถือขององค์กรในการดำเนินธุรกิจ โดยมุ่งเน้นการกำหนดมาตรการการป้องกัน การตรวจสอบ และการตอบสนองต่อเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ โดยจะเน้นการจัดการที่เป็นระบบและมีขั้นตอน เพื่อให้ระบบคอมพิวเตอร์และข้อมูลภายในองค์กรสามารถทำงานได้อย่างมีประสิทธิภาพ ไม่เกิดการหยุดชะงัก และปลอดภัยจากการโจมตีหรือละเมิดความเป็นส่วนตัวของข้อมูล

แนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศและความปลอดภัยทางไซเบอร์
- การลดและหลีกเลี่ยงปัญหาการละเมิดความมั่นคงปลอดภัยสารสนเทศ อันส่งผลต่อภาพลักษณ์และความเชื่อมั่นของผู้ใช้บริการ และการเป็นมืออาชีพในการให้บริการด้วยระบบเทคโนโลยีสารสนเทศที่มีความมั่นคงปลอดภัย (Information Security)
- พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยข้อมูลและระบบสารสนเทศเพื่อให้ได้รับรองมาตรฐานสากลด้านความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง
- จัดให้มีกระบวนการประเมินความเสี่ยงของระบบสารสนเทศ และวางแผนการปรับปรุงการบริหารจัดการความมั่นคงปลอดภัยข้อมูลสารสนเทศ จากความเสี่ยงที่ประเมินได้ตามเเนวทางมาตรฐาน
- พัฒนาบุคลากรขององค์กรในด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
- ข้อกำหนดด้านการกำหนดเป้าหมายและการรายงานผลการปฏิบัติงานตามตัวชี้วัด โดยการวัดผลและประเมินประสิทธิภาพของระบบบริหารจัดการจัดการความมั่นคงปลอดภัยสารสนเทศต้องดำเนินการอย่างน้อยปีละ 1 ครั้ง

มาตรการการรักษาความปลอดภัยสารสนเทศ
เจมาร์ท กรุ๊ป ให้ความสำคัญกับการคุ้มครองข้อมูลและระบบสารสนเทศของกลุ่มบริษัท โดยพัฒนาและปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) อย่างต่อเนื่องภายใต้กรอบมาตรฐานสากล ISO/IEC 27001:2022 เพื่อบริหารจัดการความเสี่ยงด้านสารสนเทศอย่างเป็นระบบ และรักษาความลับ ความถูกต้องครบถ้วน และความพร้อมใช้งานของข้อมูล (Confidentiality, Integrity, Availability) ควบคู่กับการทบทวนและปรับปรุงอย่างต่อเนื่อง เพื่อปกป้องข้อมูลของลูกค้า คู่ค้า พนักงาน และผู้มีส่วนได้เสียทุกกลุ่ม ตลอดจนสร้างความเชื่อมั่นต่อการดำเนินธุรกิจของกลุ่มบริษัท

การสร้างวัฒนธรรมความมั่นคงปลอดภัยทางไซเบอร์
- บริษัทมุ่งสร้างวัฒนธรรมความมั่นคงปลอดภัยทางไซเบอร์ให้เกิดขึ้นทั่วทั้งองค์กร โดยถือว่าการรักษาความมั่นคงปลอดภัยสารสนเทศเป็นความรับผิดชอบร่วมกันของบุคลากรทุกระดับ มิใช่หน้าที่ของหน่วยงานเทคโนโลยีสารสนเทศเพียงลำพัง และมีผู้บริหารระดับสูงให้การสนับสนุนและผลักดันอย่างจริงจัง เพื่อปลูกฝังให้บุคลากรเข้าใจถึงความสำคัญของการปกป้องข้อมูล การปฏิบัติตามนโยบาย และผลกระทบที่อาจเกิดขึ้นจากการละเมิดมาตรการหรือข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ
- ริษัทเสริมสร้างความตระหนักและความรู้อย่างต่อเนื่องผ่านหลากหลายช่องทาง ทั้งการประชาสัมพันธ์ผ่านป้ายประกาศ สื่อภายในองค์กร และอีเมล การฝึกอบรมให้ความรู้แก่บุคลากรทั้งพนักงานใหม่และพนักงานปัจจุบันให้สอดคล้องกับบทบาทหน้าที่ ตลอดจนการทดสอบและประเมินผลอย่างสม่ำเสมอ เช่น การจำลองสถานการณ์การโจมตีแบบฟิชชิง (Phishing Simulation) เพื่อให้มั่นใจว่าบุคลากรสามารถปฏิบัติตามนโยบาย ขั้นตอน และมาตรการด้านความมั่นคงปลอดภัยสารสนเทศได้อย่างถูกต้องและเหมาะสม
- ริษัทส่งเสริมให้บุคลากรสามารถสังเกต แจ้งเหตุ และตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศได้อย่างทันท่วงที พร้อมนำผลการประเมินมาปรับปรุงแนวทางการดำเนินงานอย่างต่อเนื่อง เพื่อยกระดับขีดความสามารถขององค์กรในการรับมือกับภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงอยู่ตลอดเวลา