102 ภาพรวมธุรกิจ การประกอบธุรกิจ และผลการดำเนินงาน การกำกับ ดูแลกิจการ ข อมูล ทางการเงิน ร า ย ง า น ป ร ะ จ ำ ป 2 5 6 5 การขับเคล� อนธุรกิจ เพ� อความยั่ งยืน การปฏิบัติงานของ (Cyber Security Operation and Maintenance) 1. การปฏิบัติ และดำ �เนินงาน ทาง บจ. ไทยแอร์เอเชีย ได้จัดแบ่งการดูแลทางด้าน Cyber Security โดยมีทางหน่วยงาน Group Information Security ซึ่งก่อตั้งขึ้นภายใต้ การดำ �เนินงานของกลุ่ม Capital A ซึ่งนำ �โดยประธานเจ้าหน้าที่ รักษาความปลอดภัยข้อมูล หรือ CISO เพือให้ความสำ �คัญและลำ�ดับ ความสำ �คัญในการดำ �เนินงานด้านความปลอดภัยที่สำ �คัญสำ �หรับ องค์กรและมีหน้าที่กำ �กับดูแลในด้านต่างๆ ดังต่อไปนี้: 1. การประเมินและควบคุมดูแลสำ �หรับระบบ/แอปพลิเคชัน ที่สร้างขึ้นใหม่ 2. การประเมินเทคโนโลยีความปลอดภัยที่เกิดขึ้นใหม่ 3. การตรวจสอบและติดตามความปลอดภัยของเซิร์ฟเวอร์และ เครือข่าย 4. การสอบสวนเหตุการณ์ด้านความปลอดภัยทางคอมพิวเตอร์ และควบคุมดูแลเหตุการณ์ด้านความปลอดภัยที่สำ �คัญ 5. การดูแลความปลอดภัย และปกป้องทรัพย์สินข้อมูลภายใน กลุ่มบริษัท 6. การส่งเสริมความตระหนักด้านความปลอดภัยในองค์กรผ่าน การอบรมความตระหนักด้านความปลอดภัย 7. การรับรองและควบคุมความปลอดภัยโดยการตรวจสอบ ความปลอดภัย เช่น การทดสอบการเจาะระบบและการ ประเมินช่องโหว่ ทั้งนี้ ทางด้านการให้บริการทางด้านสารสนเทศภายในยังมีการดำ �เนินงาน และให้บริการออกเป็น 3 ส่วน โดยแบ่งเป็น ICT Server, ICT Network และ ICT Desktop โดยทั้ง 3 ฝ่ายมี KPI เป็นดัชนีชี้วัดในการวัดผล การดำ �เนินงานของแต่ละส่วนงานได้แก่ 1.1. KPI System Target: ระบบต่างๆ ภายในองค์กรจะต้องพร้อม ใช้งาน และมีค่าเฉลี่ยต่อเดือนในการทำ �งานอย่างต่อเนือง (Server Availability) ไม่ต่ำ �กว่าร้อยละ 97 ในแต่ละเดือน 1.2. KPI Network Target: ระบบการเชือมต่อกับโครงข่ายจะต้อง สามารถพร้อมใช้งาน และเชือมต่อกับระบบต่างๆ ของกลุ่ม สายการบินแอร์เอเชีย เพือให้สามารถใช้งานระบบต่างๆ ในการ ปฏิบัติงานได้อย่างต่อเนือง (Network Availability) ไม่ต่ำ �กว่า ร้อยละ 97 ในแต่ละเดือน 1.3. KPI Support Target: ระบบการแก้ไขปัญหาด้าน ICT ตาม กรอบกำ �หนดตามความสำ �คัญ จะต้องถูกแก้ไขตามระยะเวลา กำ �หนดไม่ต่ำ �กว่าร้อยละ 97 ในแต่ละเดือน โดยกรอบกำ �หนด ของปัญหา และระยะเวลาการไขตามตารางด้านล่าง 2. การฝึกอบรมพนักงานด้านความมั่นคงทางไซเบอร์ ทาง บจ. ไทยแอร์เอเชีย ได้ร่วมมือกับหน่วยงาน Information Security จากทางกลุ่มสายการบินแอร์เอเชีย เพือจัดทำ �เนื้อหาในหัวข้อ “Information Security Awareness” เพือสร้างความรู้ความเข้าใจ และผลักดันให้พนักงานภายในองค์กรตระหนักถึงความสำ �คัญของความ ปลอดภัยของข้อมูล โดยพนักงานทุกคนจะต้องผ่านการอบรมครั้งแรกตั้งแต่เริ่มงาน และได้รับการแจ้งเตือนให้ทบทวนทุกๆ ปี ปีละ 1 ครั้ง พนักงานแต่ละคนจะได้รับการฝึกอบรมเป็นเวลาอย่างน้อย 1 ชั่วโมงต่อปี รวมถึงจัดตั้งแหล่งข้อมูลเพือการศึกษารายละเอียดเพิ่มเติมเกี่ยว กับความปลอดภัยของข้อมูล เพือให้พนักงานสามารถเพิ่มความเข้าใจได้มากขึ้น ในปี 2565 มีพนักงานเข้าร่วมอบรมด้านความมั่นคงทางไซเบอร์ เป็นจำ �นวนทั้งสิ้นประมาณร้อยละ 70 ของพนักงานทั้งหมด แก้ ไขปัญหาความสำ �คัญระดับ 1 ภายใน 3 ชั่วโมง แก้ ไขปัญหาความสำ �คัญระดับ 2 ภายใน 1 วัน แก้ ไขปัญหาความสำ �คัญระดับ 3 ภายใน 3 วัน แก้ ไขปัญหาความสำ �คัญระดับ 4 ภายใน 5 วัน เส นทางการฝ กอบรมด านสร างความตระหนักในเร� องความมั่นคงทางไซเบอร ในป 2565 R O A D M A P - ความปลอดภัยของข อมูลคืออะไร ? และอะไรคือ Information หรือ Data - ลักษณะความปลอดภัยของข อมูลที่ต องป องกัน - ความสําคัญของข อมูล - การดําเนินการเพ� อปกป อง Information และ Data - การดําเนินงานเพ� อให สอดคล องกับมาตรฐานของ PCI DSS แถะ ISO 27001 - ประเภทของข อมูลและระดับความอ อนไหวของข อมูล - การจําแนกประเภทข อมูล - การจัดการข อมูล - การเป ดเผยข อมูลสู ภายนอก - การใช งานในองค กร - การใช อีเมลองค กร - การใช อินเทอร เน็ตองค กร - การใช อุปกรณ ส วนตัวในการทํางาน - การใช งานรหัสผ านที่เหมาะสม - การจัดการรหัสผ าน - การจัดการข อมูลบัตรเครดิตอย างเหมาะสม - หลักการของความเป นส วนตัวของข อมูล - นโยบายการควบคุมการเข าถึงและนโยบายการกํากับดูแลข อมูล - ความรู และเข าใจในการรักษาความปลอดภัยของข อมูลที่ดี - การรายงานเหตุการณ ความปลอดภัยของข อมูล 1 2 3 4 5 6
RkJQdWJsaXNoZXIy ODEyMzQ3