ความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล 

เอสซีจีให้ความสำคัญอย่างยิ่งต่อการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) เพื่อป้องกันความเสี่ยงจากการสูญเสียข้อมูลสำคัญ ซึ่งอาจส่งผลกระทบต่อความน่าเชื่อถือและการดำเนินธุรกิจขององค์กร 

บริษัทจึงได้กำหนด นโยบายการคุ้มครองข้อมูลส่วนบุคคล (SCG Privacy Policy) เพื่อใช้เป็นกรอบในการบริหารจัดการข้อมูลส่วนบุคคล โดยมุ่งคุ้มครองสิทธิของลูกค้า ผู้ถือหุ้น พนักงาน และผู้มีส่วนได้เสียทุกกลุ่ม ให้เป็นไปตามกฎหมายและมาตรฐานด้านการคุ้มครองข้อมูลส่วนบุคคลที่เกี่ยวข้อง 

นอกจากนี้ ความมุ่งมั่นด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลของเอสซีจี ได้ถูกบูรณาการไว้ใน โดยมีการกำหนดกรอบการดำเนินงานที่เกี่ยวข้องไว้ใน กรอบการพัฒนาอย่างยั่งยืน เอสซีจี เพื่อสร้างมาตรฐานการดำเนินงานและแนวปฏิบัติให้ทุกบริษัทในเอสซีจี เพื่อกำหนดมาตรฐานและสร้างแนวปฏิบัติที่เป็นหนึ่งเดียวกันทั่วทั้งองค์กร 

การกำกับดูแลและนโยบายด้านความมั่นคงปลอดภัยของข้อมูลและไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล 

การกำกับดูแลในระดับคณะกรรมการ (Oversight at Board Level) 

เอสซีจีมีการกำกับดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) และการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) ในระดับคณะกรรมการอย่างเข้มแข็ง ผ่านโครงสร้างการกำกับดูแลที่ชัดเจน สอดคล้องกับมาตรฐานสากล แนวปฏิบัติที่ดี และความคาดหวังของผู้มีส่วนได้เสีย 

ในระดับคณะกรรมการ คณะกรรมการตรวจสอบ (Audit Committee) มีบทบาทสำคัญในการกำกับดูแลความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security) และความมั่นคงปลอดภัยทางไซเบอร์ โดยเป็นส่วนหนึ่งของกรอบการบริหารความเสี่ยงองค์กร (Enterprise Risk Management: ERM) 

คณะกรรมการตรวจสอบทำหน้าที่กำกับดูแลให้เอสซีจีมีระบบบริหารความเสี่ยง การควบคุมภายใน และกระบวนการติดตามตรวจสอบที่ครอบคลุมทั้งระบบเทคโนโลยีสารสนเทศ (Information Technology: IT) และเทคโนโลยีการปฏิบัติการ (Operational Technology: OT) อย่างมีประสิทธิภาพ โดยครอบคลุมถึงการรักษา 

  • ความถูกต้องครบถ้วนของข้อมูล (Integrity) 
  • ความพร้อมใช้งานของระบบ (Availability) 
  • ความลับของข้อมูล (Confidentiality) 

รวมถึงการดูแลให้ระบบเครือข่ายการสื่อสารมีความมั่นคงปลอดภัยและมีความยืดหยุ่น พร้อมรองรับความเสี่ยงตามมาตรฐานสากลที่เกี่ยวข้อง 

เอสซีจีให้ความสำคัญกับความมั่นคงปลอดภัยทางไซเบอร์ในฐานะ ความเสี่ยงเชิงกลยุทธ์ (Strategic Risk) ไม่ใช่เพียงประเด็นด้านการปฏิบัติการ โดยมีการรายงานต่อคณะกรรมการตรวจสอบอย่างสม่ำเสมอ ครอบคลุมประเด็นสำคัญ เช่น ความเสี่ยงหลัก เหตุการณ์ด้านไซเบอร์ ช่องโหว่ของระบบ และมาตรการบริหารจัดการความเสี่ยง 

นอกจากนี้ การกำกับดูแลยังครอบคลุมถึงการคุ้มครองข้อมูลส่วนบุคคลและข้อมูลสำคัญ โดยมุ่งให้การจัดการข้อมูลเป็นไปตามกฎหมายและหลักการสากลด้านการคุ้มครองข้อมูล เช่น ความโปร่งใส (Transparency) ความรับผิดชอบ (Accountability) และการบริหารจัดการข้อมูลอย่างปลอดภัย (Secure Data Management) 

ทั้งนี้ ประสิทธิภาพของการกำกับดูแลยังได้รับการสนับสนุนจาก ความเชี่ยวชาญของคณะกรรมการบริษัท ที่มีความรู้และประสบการณ์ด้านเทคโนโลยีสารสนเทศและความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งสอดคล้องกับแนวทางของ ESG ระดับสากลที่ให้ความสำคัญกับการมีความเชี่ยวชาญด้านไซเบอร์ในระดับคณะกรรมการ 

พรรณสิรี อมาตยกุล
กรรมการอิสระ, กรรมการตรวจสอบ  และกรรมการพิจารณาผลตอบแทน 
*โดยมีคุณสมบัติการเป็นกรรมการอิสระ ตั้งแต่วันที่ 27 มีนาคม 2562 

คุณพรรณศิรี อมาตยกุล กรรมการอิสระและกรรมการตรวจสอบ มีบทบาทสำคัญในการเสริมสร้างความเข้มแข็งให้กับการกำกับดูแลของบริษัท ด้วยประสบการณ์ในอุตสาหกรรมเทคโนโลยีสารสนเทศมากกว่า 30 ปี โดยเฉพาะด้านการขับเคลื่อนการเปลี่ยนผ่านสู่ดิจิทัล (Digital Transformation) และเทคโนโลยีระดับองค์กรในภูมิภาคอาเซียน มีประสบการณ์ในตำแหน่งที่สำคัญ ได้แก่ อดีตกรรมการผู้จัดการ บริษัท IBM ประเทศไทย และอดีตผู้บริหารระดับสูงด้านธุรกิจ Enterprise และ Commercial ของ IBM ASEAN ซึ่งช่วยเสริมองค์ความรู้เชิงลึกในด้าน ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Management) และการกำกับดูแลด้านดิจิทัล (Digital Governance) 

ความเชี่ยวชาญดังกล่าวช่วยเพิ่มศักยภาพให้คณะกรรมการบริษัทสามารถตั้งคำถามเชิงกลยุทธ์และท้าทายฝ่ายบริหารได้อย่างมีประสิทธิภาพ (Critical Challenge) ประเมินความเสี่ยงด้านไซเบอร์ที่เกิดขึ้นใหม่ (Emerging Cyber Risks) ได้อย่างรอบด้าน กำหนดแนวทางตอบสนองเชิงกลยุทธ์ต่อความเสี่ยงในยุคดิจิทัลที่มีการเปลี่ยนแปลงอย่างรวดเร็ว ซึ่งสอดคล้องกับแนวปฏิบัติระดับสากลที่ให้ความสำคัญกับการที่คณะกรรมการบริษัทต้องมี ความเชี่ยวชาญเฉพาะด้าน (Domain Expertise) เพียงพอในการกำกับดูแลความยืดหยุ่นด้านไซเบอร์ (Cyber Resilience) และการคุ้มครองข้อมูล (Data Protection) 

ผ่านโครงสร้างการกำกับดูแลดังกล่าว เอสซีจีสามารถเสริมสร้างความสามารถในการคาดการณ์ (Anticipate) บริหารจัดการ (Manage) และลดผลกระทบ (Mitigate) จากความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพซึ่งช่วยสนับสนุนความต่อเนื่องทางธุรกิจ (Business Continuity) การคุ้มครองข้อมูลของผู้มีส่วนได้เสีย และการเสริมสร้างความเชื่อมั่นจากนักลงทุน ลูกค้า และพันธมิตรทางธุรกิจในระยะยาว 

การกำกับดูแลในระดับฝ่ายบริหาร  

เอสซีจีได้จัดให้มีโครงสร้างการกำกับดูแลในระดับฝ่ายบริหารที่เข้มแข็ง เพื่อกำกับดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) การคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) และความเสี่ยงด้านดิจิทัลอย่างเป็นระบบ  

ในระดับฝ่ายบริหาร คณะกรรมการกำกับดูแลด้านเทคโนโลยีสารสนเทศ (SCG IT Governance Committee: ITG) ทำหน้าที่เป็นหน่วยงานหลักในการกำหนดทิศทางและกำกับดูแลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการคุ้มครองข้อมูลส่วนบุคคลทั่วทั้งองค์กร โดยมีรองกรรมการผู้จัดการใหญ่–สายงานบริหารองค์กรเป็นประธาน และประกอบด้วยผู้บริหารระดับสูง รวมถึง Chief Information Security Officer (CISO) เพื่อให้มั่นใจว่าประเด็นด้านความมั่นคงปลอดภัยและการคุ้มครองข้อมูลถูกบูรณาการเข้าสู่กระบวนการตัดสินใจในระดับองค์กร 

คณะกรรมการฯ มีบทบาทในการกำหนด ทิศทางเชิงกลยุทธ์ นโยบาย และกรอบการควบคุม (Control Framework) ด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ให้สอดคล้องกับกลยุทธ์ธุรกิจและการบริหารความเสี่ยงขององค์กร โดยครอบคลุมการจัดทำและบังคับใช้ SCG e-Policy ซึ่งใช้กับพนักงานทุกระดับ และสอดคล้องกับมาตรฐานสากล เช่น ISO/IEC 27001 เพื่อสร้างความสม่ำเสมอ ความรับผิดชอบ และการปฏิบัติตามนโยบายทั่วทั้งองค์กร 

ในมุมของการบริหารความเสี่ยง คณะกรรมการฯ กำกับดูแลให้มีการดำเนินมาตรการเพื่อ ระบุ ประเมิน และบริหารจัดการความเสี่ยงด้านไซเบอร์และข้อมูลส่วนบุคคล อย่างครอบคลุม ทั้งในส่วนของสินทรัพย์สารสนเทศที่สำคัญ โครงสร้างพื้นฐานด้าน IT และแพลตฟอร์มดิจิทัล โดยมีระบบติดตามและประเมินผลอย่างต่อเนื่อง เพื่อให้มั่นใจในการปฏิบัติตามนโยบาย ตรวจจับช่องโหว่ และเสริมสร้างความยืดหยุ่นด้านไซเบอร์ (Cyber Resilience) ขององค์กร 

บทบาทของ CISO ซึ่งเป็นส่วนหนึ่งของทีมผู้บริหาร มีความสำคัญอย่างยิ่งในการขับเคลื่อนการกำกับดูแลด้านไซเบอร์สู่การปฏิบัติ โดยรับผิดชอบดูแลด้านความมั่นคงปลอดภัยทางไซเบอร์ การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ การคุ้มครองข้อมูลส่วนบุคคล และการพัฒนาด้านดิจิทัล เพื่อให้มั่นใจว่าประเด็นด้านความปลอดภัยถูกบูรณาการในทุกขั้นตอนของการพัฒนาเทคโนโลยี การเปลี่ยนผ่านสู่ดิจิทัล และการดำเนินธุรกิจ 

บทบาทของคณะกรรมการกำกับดูแลด้านเทคโนโลยีสารสนเทศ (IT Governance Committee)  

  • กำหนดและพัฒนา วิสัยทัศน์ กลยุทธ์ และแผนดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Strategy and Roadmap) ขององค์กร เพื่อคุ้มครองสินทรัพย์สารสนเทศและสนับสนุนความต่อเนื่องทางธุรกิจ (Business Continuity) 
  • จัดทำนโยบาย มาตรฐาน และแนวปฏิบัติด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ICT Policies, Standards and Guidelines) เพื่อให้การดำเนินงานมีความปลอดภัย มีประสิทธิภาพ และสอดคล้องกันทั่วทั้งองค์กร 
  • ส่งเสริมการใช้ แพลตฟอร์มกลางขององค์กร (Enterprise-wide Platforms) เช่น ระบบ ERP โครงสร้างพื้นฐานระบบคลาวด์ และแอปพลิเคชันสำนักงาน เพื่อยกระดับความถูกต้องของข้อมูล (Data Integrity) ความมั่นคงปลอดภัย และประสิทธิภาพในการดำเนินงาน 
  • กำกับดูแลและติดตามโครงการสำคัญด้านเทคโนโลยีสารสนเทศและการเปลี่ยนผ่านสู่ดิจิทัล (Digital Transformation Projects) โดยให้มั่นใจว่าประเด็นด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลถูกบูรณาการตั้งแต่ขั้นตอนการออกแบบ (Security by Design) 
  • ให้คำแนะนำและประสานงานผ่าน SCG IT Coordinators เพื่อให้การดำเนินงานด้านเทคโนโลยีและความมั่นคงปลอดภัยมีความสอดคล้องและเป็นมาตรฐานเดียวกันทั่วทั้งกลุ่มเอสซีจี 

ผ่านโครงสร้างการกำกับดูแลในระดับฝ่ายบริหารดังกล่าว เอสซีจีสามารถบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคลได้อย่างเป็นระบบ มีการติดตามอย่างสม่ำเสมอ และพัฒนาอย่างต่อเนื่อง ซึ่งช่วยสนับสนุนการปฏิบัติตามกฎระเบียบ การคุ้มครองข้อมูลสำคัญ และการเสริมสร้างความเชื่อมั่นจากผู้มีส่วนได้เสียในบริบทของธุรกิจที่ขับเคลื่อนด้วยเทคโนโลยีดิจิทัลมากยิ่งขึ้น 

การยกระดับการกำกับดูแลด้าน Cybersecurity และ Data Privacy ในปี 2568 

ในปี 2568 เอสซีจีได้ยกระดับโครงสร้างการกำกับดูแลในระดับฝ่ายบริหารด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) และการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) อย่างต่อเนื่อง ผ่านการพัฒนานโยบาย มาตรการควบคุมการดำเนินงาน และกลไกการกำกับดูแลให้มีประสิทธิภาพยิ่งขึ้น สอดคล้องกับมาตรฐานสากล 

1. การเสริมสร้างนโยบายและกรอบการควบคุม (Policy and Control Framework) 

เอสซีจีมีการปรับปรุงสภาพแวดล้อมการควบคุมด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างต่อเนื่อง โดยในปี 2568 ได้มีการพัฒนาและปรับปรุงมาตรฐานและแนวปฏิบัติที่สำคัญ ได้แก่ 

  • มาตรฐานการสแกนช่องโหว่ (Vulnerability Scanning Standard) เพื่อระบุและแก้ไขช่องโหว่ของระบบอย่างเป็นระบบ 
  • มาตรฐานการจัดชั้นข้อมูลและการจัดการข้อมูล (Data Classification and Handling Standard) เพื่อกำหนดระดับการปกป้องข้อมูลตามความสำคัญและความอ่อนไหวของข้อมูล 
  • กระบวนการยอมรับความเสี่ยงด้านความมั่นคงปลอดภัย (Security Risk Acceptance Procedure) เพื่อรองรับการตัดสินใจบนพื้นฐานของความเสี่ยงและกำหนดความรับผิดชอบอย่างชัดเจน 

การปรับปรุงดังกล่าวสะท้อนแนวทาง การบริหารความเสี่ยงเชิงรุก (Risk-based Approach) ที่ช่วยให้มาตรการควบคุมสามารถตอบสนองต่อภัยคุกคามไซเบอร์ที่เปลี่ยนแปลงอย่างต่อเนื่อง และสอดคล้องกับทิศทางธุรกิจ 

2. การกำกับดูแลและติดตามด้าน Cybersecurity (Governance and Oversight) 

ในระดับฝ่ายบริหาร คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Governance Committee) มีบทบาทสำคัญในการกำกับดูแลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศทั่วทั้งองค์กร โดยมีผู้อำนวยการสายงาน Corporate IT & BCM เป็นประธาน 

บทบาทสำคัญประกอบด้วย: 

  • กำหนดและทบทวน กรอบการดำเนินงานและนโยบายด้าน Cybersecurity ให้สอดคล้องกับ SCG e-Policy 
  • พิจารณาและอนุมัติ แผนดำเนินงานด้าน Cybersecurity พร้อมติดตามผลการดำเนินงานอย่างใกล้ชิด 
  • ติดตามระดับความเสี่ยงผ่าน ตัวชี้วัดความเสี่ยงหลัก (Key Risk Indicators: KRIs) เพื่อการบริหารความเสี่ยงเชิงรุก 
  • ยกระดับ Cybersecurity Maturity และสร้างความตระหนักรู้ด้านความเสี่ยงในระดับองค์กร 
  • รายงานผลการดำเนินงานด้าน Cybersecurity และ Data Privacy ต่อคณะกรรมการ IT Governance ผู้บริหารระดับสูง และคณะกรรมการตรวจสอบ เพื่อให้เกิด ความโปร่งใสและความรับผิดชอบ (Accountability) 

นอกจากนี้ เอสซีจียังดำเนินการ การจำลองสถานการณ์ภัยคุกคามไซเบอร์ (Cyber Threat Simulation) อย่างสม่ำเสมอ เพื่อทดสอบความพร้อมในการตอบสนอง เพิ่มประสิทธิภาพการประสานงาน และเสริมสร้างความยืดหยุ่นในการรับมือเหตุการณ์ (Cyber Resilience) 

3. ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) 

เอสซีจีมีการจัดตั้ง คณะกรรมการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Committee) ตามมาตรฐาน ISO/IEC 27001 เพื่อกำหนดนโยบายและกำกับดูแลการดำเนินงานด้านความมั่นคงปลอดภัยสารสนเทศในระดับองค์กร ประสิทธิผลของระบบ ISMS ได้รับการประเมินอย่างสม่ำเสมอผ่าน 

  • การตรวจประเมินภายใน (Internal ISMS Audit) 
  • การติดตามการปฏิบัติตามนโยบายทั้งภายในและภายนอกองค์กร 

เพื่อให้มั่นใจว่าการดำเนินงานมีความ สอดคล้อง ตรวจสอบได้ และเป็นไปตามมาตรฐานสากล 

4. การกำกับดูแลและคุ้มครองข้อมูลส่วนบุคคล (Data Privacy Governance) 

การคุ้มครองข้อมูลส่วนบุคคลของเอสซีจีอยู่ภายใต้การกำกับดูแลของ คณะกรรมการบริหารความเสี่ยง ซึ่งทำหน้าที่เป็น คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee) 

โดยมีหน้าที่ในการกำกับดูแลให้การดำเนินงานสอดคล้องกับกฎหมายและมาตรฐานที่เกี่ยวข้อง และกำหนด นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Privacy Policy) เป็นกรอบในการบริหารจัดการข้อมูลอย่างมีความรับผิดชอบ 

แนวปฏิบัติด้าน Data Privacy ของเอสซีจีสอดคล้องกับหลักการสากล ได้แก่ 

  • การประมวลผลข้อมูลอย่างถูกต้อง เป็นธรรม และโปร่งใส (Lawful, Fair and Transparent Processing) 
  • การจำกัดวัตถุประสงค์ (Purpose Limitation) 
  • การเก็บรวบรวมข้อมูลเท่าที่จำเป็น (Data Minimization) 
  • การคุ้มครองสิทธิของเจ้าของข้อมูล (Data Subject Rights) 
  • ความโปร่งใสและความรับผิดชอบ (Transparency and Accountability) 
  • การบริหารความเสี่ยงจากบุคคลภายนอก (Third-party Risk Management) 

นอกจากนี้ ยังมีการจัดทำ บันทึกรายการประมวลผลข้อมูล (ROPA) และประกาศความเป็นส่วนตัว (Privacy Notice) รวมถึงช่องทางให้เจ้าของข้อมูลสามารถใช้สิทธิหรือร้องเรียนได้อย่างสะดวก 

  • แจ้งเหตุละเมิดข้อมูลหรือการเปลี่ยนแปลงนโยบายอย่างทันท่วงที 
  • คุ้มครองข้อมูลส่วนบุคคลตลอดวงจรชีวิตของข้อมูล (Data Lifecycle Protection) 

การพัฒนาศักยภาพและการสร้างความตระหนักรู้ด้าน Cybersecurity และ Data Privacy ของพนักงาน 

เอสซีจีดำเนินโครงการอบรมและพัฒนาความรู้ของพนักงานด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) และการคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) อย่างเป็นระบบและครอบคลุมทั่วทั้งองค์กร โดยสอดคล้องกับแนวปฏิบัติระดับสากลและความคาดหวังของผู้มีส่วนได้เสีย 

โครงการดังกล่าวได้รับการออกแบบให้เป็น มาตรการเชิงป้องกัน (Proactive and Preventative Control) เพื่อเสริมสร้างความยืดหยุ่นด้านไซเบอร์ (Cyber Resilience) ลดความเสี่ยงที่เกิดจากพฤติกรรมของบุคลากร (Human-related Risk) และสนับสนุนการปฏิบัติตามนโยบายและกฎระเบียบด้านความมั่นคงปลอดภัยและการคุ้มครองข้อมูลในระดับองค์กร 

การอบรมภาคบังคับและการครอบคลุมทั้งองค์กร (Mandatory Training and Organization-wide Coverage) 

พนักงานทุกระดับต้องเข้าร่วม การอบรมและการทดสอบภาคบังคับประจำปี ในด้าน Cybersecurity, Data Privacy และจริยธรรม ผ่านระบบ SCG e-Policy และ Ethics e-Testing ซึ่งเชื่อมโยงกับระบบบริหารการเรียนรู้ขององค์กร (Learning Management System: LMS) และผูกกับการประเมินผลการปฏิบัติงาน 

กรอบการอบรมดังกล่าวมีลักษณะสำคัญ ได้แก่: 

  • การเข้าร่วมและผ่านการอบรมของพนักงาน ครบ 100% ครอบคลุมทุกระดับขององค์กร 
  • การกำหนดให้ต้อง ผ่านการทดสอบ 100% เพื่อยืนยันความเข้าใจและความรับผิดชอบในการปฏิบัติตามนโยบาย 
  • การออกแบบหลักสูตรแบบ แบ่งระดับตามบทบาทหน้าที่ (Role-based Training) ครอบคลุมระดับปฏิบัติการ ระดับหัวหน้างาน และระดับผู้บริหาร 

เนื้อหาการอบรมครอบคลุมประเด็นสำคัญ ได้แก่

  • การสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ และแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ (Cybersecurity Awareness and Information Security Practices) 
  • การคุ้มครองข้อมูลส่วนบุคคลและการปฏิบัติตามกฎหมายที่เกี่ยวข้อง เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) 
  • การป้องกันความเสี่ยงจากความล้มเหลวของระบบ IT และเหตุการณ์ด้าน Cybersecurity (Cyber Incident Prevention) 
  • จรรยาบรรณธุรกิจของเอสซีจี (SCG Code of Conduct) การต่อต้านการทุจริตและคอร์รัปชัน (Anti-Corruption) และแนวปฏิบัติด้านจริยธรรม 

แนวทางการอบรมภาคบังคับดังกล่าวช่วยให้พนักงานไม่เพียงแค่รับทราบนโยบาย แต่สามารถ นำไปปฏิบัติได้จริงในงานประจำวัน (Effective Implementation) ซึ่งเป็นปัจจัยสำคัญในการประเมินด้าน ESG โดยเฉพาะในประเด็น Human Capital, Risk Awareness และ Policy Compliance 

การประเมินและบริหารจัดการความเสี่ยงด้าน Cybersecurity และ Data Privacy 

จากการที่ธุรกิจมีการพึ่งพาเทคโนโลยีดิจิทัลเพิ่มมากขึ้น และภัยคุกคามทางไซเบอร์มีความซับซ้อนและเปลี่ยนแปลงอย่างรวดเร็ว เอสซีจีจึงกำหนดให้ ความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) และ การคุ้มครองข้อมูลส่วนบุคคล (Data Privacy) เป็น ความเสี่ยงที่มีนัยสำคัญในระดับองค์กร (Material Enterprise Risks) ซึ่งได้รับการบริหารจัดการอย่างเป็นระบบภายใต้กรอบการบริหารความเสี่ยงองค์กร 

1. การบูรณาการกับระบบบริหารความเสี่ยงองค์กร  

เอสซีจีได้บูรณาการความเสี่ยงด้าน Cybersecurity และ Data Privacy เข้ากับกระบวนการ บริหารความเสี่ยงองค์กร (Enterprise Risk Management: ERM) อย่างครบวงจร โดยครอบคลุมขั้นตอนสำคัญ ได้แก่: 

  • การระบุและประเมินความเสี่ยง (Risk Identification and Assessment) ครอบคลุมทุกกระบวนการดำเนินงาน รวมถึงระบบควบคุมการผลิต (Industrial Control Systems: ICS) โครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศ (IT Infrastructure) และแพลตฟอร์มดิจิทัล 
  • การจัดลำดับความสำคัญของความเสี่ยง (Risk Prioritization) โดยพิจารณาจากระดับผลกระทบต่อธุรกิจและโอกาสเกิดความเสี่ยง 
  • การกำหนดและดำเนินมาตรการบริหารจัดการความเสี่ยง (Risk Mitigation Measures) อย่างเหมาะสม 
  • การติดตาม ตรวจสอบ และรายงานผล (Monitoring and Reporting) ต่อฝ่ายบริหารและคณะกรรมการที่เกี่ยวข้องอย่างต่อเนื่อง 

แนวทางดังกล่าวช่วยให้การบริหารความเสี่ยงด้านไซเบอร์และข้อมูลส่วนบุคคลเป็นไปอย่าง สอดคล้องและบูรณาการกับความเสี่ยงเชิงกลยุทธ์และการดำเนินงานอื่น ๆ ขององค์กร ตามหลักบรรษัทภิบาลที่ดี (Good Corporate Governance) 

2. การประเมินความเสี่ยงอย่างสม่ำเสมอและการรับรองโดยหน่วยงานอิสระ 

เอสซีจีดำเนินการ ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ (Regular Cybersecurity Risk Assessments) ควบคู่กับการทดสอบช่องโหว่ของระบบ (Vulnerability Testing) เพื่อระบุและจัดการจุดอ่อนที่อาจส่งผลกระทบต่อความปลอดภัยของระบบสารสนเทศและการดำเนินธุรกิจ 

การดำเนินงานครอบคลุมกิจกรรมสำคัญ ได้แก่ 

  • การทดสอบเจาะระบบ (Penetration Testing) เพื่อจำลองสถานการณ์การโจมตีจริง และระบุช่องโหว่ของระบบ 
  • การประเมินความเสี่ยงของระบบควบคุมการผลิต (Industrial Control Systems: ICS) และโครงสร้างพื้นฐานที่มีความสำคัญ (Critical Infrastructure) 
  • การประเมินประสิทธิผลของระบบควบคุมภายใน (Internal Control Assessment) โดยอ้างอิงตามมาตรฐานสากล 

ในปี 2567 เอสซีจีได้ยกระดับการกำกับดูแลด้านความมั่นคงปลอดภัยสารสนเทศ โดยได้รับการรับรองมาตรฐาน ISO/IEC 27001:2022 จาก สถาบันมาตรฐานอังกฤษ (British Standards Institution: BSI) 

การได้รับการรับรองดังกล่าวสะท้อนให้เห็นว่า ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ของเอสซีจีมีความสอดคล้องกับมาตรฐานสากล ทั้งในด้าน 

  • การบริหารความเสี่ยง (Risk Management) 
  • ประสิทธิผลของมาตรการควบคุม (Control Effectiveness) 
  • การพัฒนาอย่างต่อเนื่อง (Continuous Improvement) 

รวมถึงเป็นการให้ การรับรองโดยหน่วยงานอิสระ (Independent Assurance) ต่อความแข็งแกร่งของกรอบการบริหารจัดการด้าน Cybersecurity ขององค์กร 

3. มาตรการควบคุมเชิงป้องกันและตรวจจับ (Preventive and Detective Security Controls) 

เอสซีจีได้ดำเนินมาตรการควบคุมด้านความมั่นคงปลอดภัยทางไซเบอร์ทั้งในเชิง ป้องกัน (Preventive Controls) และ ตรวจจับ (Detective Controls) เพื่อบริหารจัดการและลดความเสี่ยงจากภัยคุกคามไซเบอร์อย่างมีประสิทธิภาพ โดยครอบคลุมมาตรการสำคัญ ได้แก่: 

  • การยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA) เพื่อควบคุมการเข้าถึงระบบและข้อมูลสำคัญ 
  • การจัดตั้ง ศูนย์ปฏิบัติการด้านความมั่นคงปลอดภัย (Security Operations Center: SOC) สำหรับเฝ้าระวังและติดตามภัยคุกคามอย่างต่อเนื่อง ทั้งในระบบภายใน (On-premise) และระบบคลาวด์ 
  • การแยกเครือข่ายระหว่างระบบควบคุมการผลิต (Industrial Control Systems: ICS) และระบบสำนักงาน (IT Systems) เพื่อลดความเสี่ยงจากการโจมตีข้ามระบบ 
  • การติดตั้ง Web Application Firewall (WAF) เพื่อปกป้องระบบแอปพลิเคชันและข้อมูลสำคัญจากการโจมตีทางไซเบอร์ 

มาตรการดังกล่าวช่วยเสริมสร้างความสามารถขององค์กรในการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต (Prevent Unauthorized Access) ตรวจจับความผิดปกติ (Detect Anomalies) และ ตอบสนองต่อภัยคุกคามได้อย่างทันท่วงที (Timely Response) 

4. การตอบสนองต่อเหตุการณ์และความต่อเนื่องทางธุรกิจ (Incident Response and Business Continuity) 

หน่วยงาน Business Continuity Management (BCM) ของเอสซีจีได้จัดทำกรอบการบริหารจัดการเหตุการณ์และความต่อเนื่องทางธุรกิจที่ครอบคลุม เพื่อรองรับเหตุการณ์ด้านไซเบอร์ที่อาจเกิดขึ้น โดยประกอบด้วย: 

  • แผนรับมือเหตุการณ์ด้านไซเบอร์ (Cyber Incident Response Plan) ที่พัฒนาสอดคล้องกับกรอบมาตรฐาน NIST Cybersecurity Framework 
  • แผนกู้คืนระบบ (Disaster Recovery Plan: DRP) เพื่อให้การดำเนินธุรกิจสามารถกลับมาดำเนินการได้อย่างต่อเนื่องในกรณีเกิดเหตุฉุกเฉิน 
  • แนวทางการสื่อสารเมื่อเกิดเหตุการณ์โจมตีทางไซเบอร์ (Cyberattack Communication Protocols) เพื่อให้สามารถรายงานและยกระดับเหตุการณ์ได้อย่างทันท่วงที 

ทั้งนี้ เอสซีจีมีการจัด การฝึกซ้อมและจำลองสถานการณ์ (Simulation Exercises) อย่างสม่ำเสมอ เพื่อทดสอบความพร้อมของระบบและบุคลากร ลดผลกระทบที่อาจเกิดขึ้น และเสริมสร้างความยืดหยุ่นขององค์กร (Resilience) 

5. การติดตาม ตรวจสอบ และพัฒนาอย่างต่อเนื่อง (Continuous Monitoring, Audit and Improvement) 

เอสซีจีมีระบบการติดตามและให้ความเชื่อมั่น (Monitoring and Assurance Framework) ที่เข้มแข็ง เพื่อสนับสนุนการบริหารความเสี่ยงด้านไซเบอร์อย่างต่อเนื่อง โดยครอบคลุม 

  • การพัฒนากระบวนการตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Audit) ให้ครอบคลุมทั้งระบบ กระบวนการ และมาตรการด้านความมั่นคงปลอดภัย 
  • การนำเทคโนโลยีขั้นสูง เช่น Machine Learning (ML)Robotic Process Automation (RPA) และ Data Analytics (DA) มาใช้ในการวิเคราะห์ความเสี่ยงและเพิ่มประสิทธิภาพในการตรวจสอบ 
  • การจัดทำแนวทางการตรวจสอบภายใน ครอบคลุมระบบสำคัญ เช่น ERP ระบบ IoT ระบบคลาวด์ ระบบแอปพลิเคชัน และการกำกับดูแลข้อมูล (Data Governance) 

ผลการตรวจสอบและการประเมินจะถูกนำมาวิเคราะห์และปรับปรุงอย่างเป็นระบบ เพื่อสนับสนุนแนวทาง การบริหารความเสี่ยงเชิงรุก (Proactive and Preventative Approach) 

6. การบริหารจัดการความเสี่ยงด้านข้อมูลส่วนบุคคล (Data Privacy Risk Management) 

เอสซีจีได้จัดให้มีโครงสร้างการกำกับดูแลและกระบวนการบริหารจัดการความเสี่ยงด้านข้อมูลส่วนบุคคลอย่างชัดเจน โดยประกอบด้วย: 

  • การแต่งตั้ง เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) และจัดตั้งหน่วยงานดูแลด้าน Data Protection โดยเฉพาะ 
  • การกำหนด นโยบายการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Policy) ให้สอดคล้องกับกฎหมายและข้อกำหนดที่เกี่ยวข้อง 
  • การนำระบบและเครื่องมือด้านการบริหารจัดการข้อมูลส่วนบุคคลมาใช้ เช่น 
    • การจัดทำบันทึกรายการประมวลผลข้อมูล (Records of Processing Activities: ROPA) 
    • ระบบบริหารจัดการสิทธิของเจ้าของข้อมูล (Data Subject Rights Management)  

มาตรการดังกล่าวช่วยให้เอสซีจีสามารถคุ้มครองข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพ ลดความเสี่ยงด้านกฎหมาย การเงิน และชื่อเสียงและเสริมสร้างความเชื่อมั่นจากผู้มีส่วนได้เสียในระยะยาว 

เอกสารดาวน์โหลด

กรอบการพัฒนาอย่างยั่งยืน เอสซีจี
นโยบายการคุ้มครองข้อมูลส่วนบุุคคลของเอสซีจี