Page 135 - STI annual report 2022 ver.thai
P. 135
�
(7) วางกรอบการดาเนินงานและควบคุมดูแลการบริหาร (14.2) จัดการพัฒนานโยบายด้านการรักษาความ
ั
่
ี
่
้
�
์
้
ั
ความเสยงทวทงองคกร ภายใตการนาของประธาน ปลอดภัยข้อมูล (Policy, Standard, Procedure
เจ้าหน้าท่บริหาร โดยกรณีผู้บริหารพบว่านโยบาย and Guideline) เพ่อให้องค์กรได้มาซ่ง
ี
ื
ึ
ี
การบริหารความเส่ยงท่วท้งองค์กรไม่เหมาะสมกับ การรักษาความลับของข้อมูล (Confidentiality)
ั
ั
�
สภาพการดาเนินงาน ต้องมีการนาเสนอคณะกรรมการ การรักษาความถูกต้องของข้อมูล (Integrity)
�
ของบริษัท ผ่านคณะกรรมการบริหารความเสี่ยงเพ่อ และเสถียรภาพความม่นคงของระบบ
ั
ื
ทบทวนและขออนุมัตในการปรับปรุงนโยบาย (Availability)
ิ
การบริหารความเสี่ยงทั่วทั้งองค์กร (14.3) จัดการบริหารเฝ้าระวังการโจมตีระบบและ
ึ
ี
(8) จัดให้มีระบบการบริหารความเสี่ยงเพื่อลดผลกระทบ ภัยต่างๆ ท่อาจเกิดข้นกับระบบ โดยใช้ระบบ
ี
ท่อาจมีต่อการดาเนินธุรกิจของบริษัทให้ครอบคลุม เตือนผู้บุกรุก (Intrusion Detection
�
ท่วท้งองค์กรและแนวทางการปฏิบัต รวมท้งจัดให้ม ี System), ระบบป้องกันผู้บุกรุก (Intrusion
ั
ั
ั
ิ
การประเมินความเสี่ยงเป็นประจ�า Preventive System) หรือระบบจัดการ
�
ี
ี
(9) จัดทาและอนุมัติแผนการจัดการความเส่ยงท่เหมาะสม กาจัดไวรัส (Anti-Virus Systems) ตลอดจน
�
ี
ี
ท่ประเมินปัจจัยเส่ยงท่อาจส่งผลกระทบต่อการ วางแผนเร่องความต่อเน่องในการดาเนิน
ื
�
ื
ี
�
ี
ดาเนินธุรกิจของบริษัท จัดทาแผนจัดการความเส่ยง ธุรกิจและแผนการกู้ภัยในสถานการณ์
�
ในทุกระดับ โดยการระดมความคิดเห็นจากผู้บริหาร ฉุกเฉิน (Business Continuity Plan &
และพนักงานจากหน่วยงานต่างๆ Disaster Recovery Plan)
(10) ให้ความม่นใจในความถูกต้อง ทันเวลาและสอดคล้องกัน (14.4) มีการบริหารความเส่ยง (Risk Management)
ี
ั
ั
ั
ี
ของข้อมูลของการบริหารความเส่ยงท่วท้งองค์กรต่อ และการวิเคราะห์ความเส่ยง (Risk Analysis)
ี
คณะกรรมการ และคณะกรรมการตรวจสอบ ท่อาจทาให้ระบบเกิดปัญหากระทบกับ
�
ี
(11) ส่งเสริมให้ผู้บริหาร และพนักงานตระหนักถึงความ การด�าเนินธุรกิจขององค์กร
ี
�
�
สาคัญของการจัดการความเส่ยง และบริหารความเส่ยง (14.5) นาเสนอผู้บริหารระดับสูง (ประธาน
ี
ิ
ทจะทาให้บรษทไม่สามารถดาเนนการให้บรรล ุ เจ้าหน้าท่บริหาร) ในเร่องของแผนการ
ื
่
ี
ี
�
ั
ิ
�
ั
เป้าหมาย รวมท้งผลักดันให้สร้างวัฒนธรรมการ ปฏิบัติงาน นโยบาย งบประมาณ อัตรากาลัง
�
ตระหนักต่อการบริหารความเสี่ยงในองค์กร ตลอดจนแผนการ Outsource ด้านความ
(12) ปฏิบัติหน้าท่อ่นใดตามท่คณะกรรมการบริษัทมอบหมาย ปลอดภัยข้อมูลเพ่อขอดาเนินการอนุมัต ิ
ื
ื
�
ี
ี
(13) ติดตามความคืบหน้าในการปฏิบัติตามแผนจัดการ และเพ่อให้ผู้บริหารระดับสูงมีความตระหนัก
ื
ื
ความเสี่ยงของบริษัท ให้ค�าปรึกษา แนะน�า ในการ (Awareness) ในความสาคัญเร่อง
�
ด�าเนินการบริหารความเสี่ยง Information Security
(14) หน้าท่ความรับผิดชอบในฐานะเป็นผู้ดูแลด้าน (14.6) เป็นท่ปรึกษาด้านระบบความปลอดภัยข้อมูล
ี
ี
ั
ี
ั
ื
การรกษาความปลอดภยให้กบโครงสร้างเครอข่าย ให้กับแผนกอ่นๆ ท่ต้องใช้เทคโนโลย ี
ั
ื
และความปลอดภัยข้อมูลสารสนเทศ CSO (Chief สารสนเทศในการปฏิบัติงาน
Security Officer) ซึ่งมีหน้าที่รับผิดชอบดังนี้ (14.7) ติดต่อและรักษาความสัมพันธ์กับคู่ค้า,
ี
(14.1) กาหนดเป้าหมาย นโยบายด้านการรักษา องค์กร หรือบุคคลภายนอกท่มีความเก่ยวข้อง
�
ี
ั
�
ื
ความปลอดภัยข้อมูล โดยกาหนดให้ไป กับเร่องความปลอดภัยของข้อมูล ท้งภาครัฐ
ในทิศทางเดียวกันกับแผนยุทธศาสตร์ของ และเอกชน เช่น ต�ารวจ, นักข่าว, System
องค์กร (Corporate Strategic Plan) Integration, Outsourcer, Managed Security
Services Provider, และผู้ตรวจสอบ (Auditor)
บริษัท สโตนเฮ้นจ์ อินเตอร์ จำ�กัด (มห�ชน) 133
