ผลการดำเนินงาน

การละเมิดข้อมูล
กรณี
จํานวนลูกค้า ลูกค้า และพนักงานทั้งหมด ที่ได้รับผลกระทบจากการละเมิดข้อมูล
กรณี

แนวทางการบริหารจัดการ

โอสถสภาตระหนักถึงความสําคัญของการรักษาความปลอดภัยทางไซเบอร์ และให้ความสําคัญสูงสุดสำหรับการรักษาความปลอดภัยของข้อมูลเพื่อตอบสนองความไว้วางใจแก่ผู้มีส่วนได้ส่วนเสีย โดยมีแนวทางการรักษาความปลอดภัยทางด้านข้อมูลตามมาตรฐานและกรอบการดำเนินงานระดับสากลของ ISO27001 และ NIST Cybersecurity Framework (CSF) 2.0 ในการกำกับดูแลความเสี่ยงและการบริหารจัดการ โดยแนวทางการบริหารจัดการแบ่งออกเป็น 5 ขั้นตอนสำคัญได้แก่ การประเมิน (Identify) การป้องกัน (Protect) การตรวจจับ (Detect) การตอบสนอง (Respond) และการกู้คืน (Recovery) ซึ่งทำให้มั่นใจได้ว่า บริษัทฯ มีมาตรการการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง พร้อมรับมือกับภัยคุกคามทางด้านไซเบอร์ที่อาจเกิดขึ้นในการดำเนินงานทุกรูปแบบ

โอสถสภายังดำเนินการส่งเสริมความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ให้แก่พนักงาน ด้วยการฝึกอบรม และมีนโยบายด้านการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวดอย่างต่อเนื่อง พนักงานทุกคนของโอสถสภาจึงมีความพร้อมในการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ รวมถึงการใช้เทคโนโลยีและความร่วมมือเชิงกลยุทธ์เพื่อส่งเสริมความคล่องตัวในการบริหารจัดการและช่วยในการปรับตัวต่อรูปแบบภัยคุกคามทางไซเบอร์ที่มีการพัฒนาอยู่ตลอดเวลา เพื่อแสดงถึงความมุ่งมั่นในการการดำเนินงานและรักษาความไว้วางใจของลูกค้าและพันธมิตรของโอสถสภา

Govern
The organization’s cybersecurity risk management strategy, expectations, and policy are established, communicated, and monitored.
Identify
The organization’s current cybersecurity risks are understood.
Protect
Safeguards to manage the organization’s cybersecurity risks are used.
Detect
Possible cybersecurity attacks and compromises are found and analyzed.
Respond
Actions regarding a detected cybersecurity incident are taken.
Recover
Assets and operations affected by a cybersecurity incident are restored.

Osotspa’s Digital and Cybersecurity Committee

ในการกำกับดูแลด้านความปลอดภัยทางไซเบอร์ โอสถสภาได้กำหนดโครงสร้างในการกำกับดูแล โดยประกอบด้วยการมีส่วนร่วมของคณะกรรมการและคณะกรรมการบริหารในการกำหนดทิศทางเชิงกลยุทธ์ และมีประธานเจ้าหน้าที่บริหาร (Chief Executive Officer) เป็นผู้นำในการดำเนินการตามนโยบายความปลอดภัยทางไซเบอร์ที่สอดคล้องกับวัตถุประสงค์ทางธุรกิจที่ยั่งยืนของโอสถสภา นอกจากนี้ยังมีการจัดตั้งคณะกรรมการความปลอดภัยทางดิจิทัลและไซเบอร์ โดยมีประธานเจ้าหน้าที่ฝ่ายห่วงโซ่อุปทานและดิจิทัล (Chief Supply Chain and Digital Officer) ทำหน้าที่เป็นประธานเจ้าหน้าที่ฝ่ายสารสนเทศและความปลอดภัยทางไซเบอร์ (Chief Information and Cybersecurity Officer) เพื่อให้มั่นใจว่าการจัดการการปฏิบัติงานมีประสิทธิภาพ และให้มีการสื่อสารกันอย่างสม่ำเสมอเและคณะกรรมการบริหารความเสี่ยง (Risk Management Committee) ซึ่งการรายงานสถานะความปลอดภัยทางไซเบอร์และข้อค้นพบที่เกี่ยวข้องต่อคณะกรรมการบริหารความเสี่ยงถือเป็นเรื่องสำคัญ เพราะโอสถสภาตระหนักดีว่าความปลอดภัยทางไซเบอร์เป็นความเสี่ยงที่สําคัญขององค์กรที่จําเป็นต้องมีการกํากับดูแลและบรรเทาผลกระทบอย่างระมัดระวัง

นโยบายด้านเทคโนโลยีสารสนเทศ

โอสถสภาได้ดําเนินนโยบายด้านเทคโนโลยีสารสนเทศที่ครอบคลุม เพื่อบริหารจัดการเรื่องต่างๆ ด้านความมั่นคงปลอดภัยเกี่ยวกับเทคโนโลยีสารสนเทศภายในองค์กรอย่างมีประสิทธิภาพ โดยนโยบายนี้ทําหน้าที่เป็นแนวทางในการรับรองความปลอดภัยของข้อมูล ความเชื่อถือได้ของข้อมูล ความพร้อมในการใช้งานของทรัพยากรด้านเทคโนโลยีสารสนเทศ ตลอดจนการลดความเสี่ยงและภัยคุกคามที่อาจเกิดขึ้น ซึ่งโอสถสภามีเป้าหมายที่จะรักษามาตรฐานสูงสุดของการดำเนินงานด้านด้านความมั่นคงปลอดภัยเกี่ยวกับเทคโนโลยีสารสนเทศ ซึ่งจะช่วยปกป้องข้อมูลที่ละเอียดอ่อนและป้องกันการโจมตีทางไซเบอร์

แผนงานความปลอดภัยทางไซเบอร์ของโอสถสภาสู่ปี 2025

แผนงานเชิงกลยุทธ์ในการรักษาความปลอดภัยทางไซเบอร์ครอบคลุมประเด็นสําคัญได้แก่:

โอสถสภาได้ใช้รูปแบบการยืนยันตัวตนโดยใช้หลายปัจจัย สำหรับระบบและแอปพลิเคชันที่สําคัญ ซึ่งเพิ่มความปลอดภัยอีกชั้นหนึ่งนอกเหนือจากการใช้รหัสผ่านแบบเดิม ซึ่งสามารถป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างมีประสิทธิภาพ

โครงสร้างพื้นฐานของโอสถสภามีการตรวจสอบและอัปเดตเป็นประจําเพื่อให้มั่นใจว่าเป็นไปตามแนวปฏิบัติที่ดีที่สุดของอุตสาหกรรม รวมถึงระบบตรวจจับการบุกรุก ความปลอดภัยของอีเมล และการเข้ารหัส

โอสถสภาให้ความสําคัญกับความปลอดภัยของแอปพลิเคชันแบบ Cloud-Native โดยใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งซึ่งปรับให้เหมาะกับสภาวะแวดล้อมของระบบคลาวด์ ด้วยการทดสอบ การตรวจสอบ และการควบคุมการเข้าถึงที่เข้มงวด

โอสถสภาตระหนักดีว่าความผิดพลาดของมนุษย์ยังคงเป็นความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่สําคัญ โอสถสภาจึงให้ความสําคัญกับการศึกษาและการฝึกอบรมอย่างต่อเนื่องสําหรับพนักงาน ซึ่งการสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์เป็นประจําจะช่วยให้พนักงานมีความรู้และทักษะที่จําเป็นสำหรับการรับมือกับภัยคุกคามทางด้านไซเบอร์ต่อไป

โอสถสภาได้ดําเนินการจําลองฟิชชิ่งเป็นประจําเพื่อประเมินและปรับปรุงความรู้ของพนักงานและความยืดหยุ่นต่อการโจมตีแบบฟิชชิ่ง โดยการจําลองเหล่านี้เลียนแบบสถานการณ์ฟิชชิ่งในโลกแห่งความเป็นจริงช่วยให้เราสามารถระบุช่องโหว่และให้การฝึกอบรมที่ตรงเป้าหมายเพื่อลดความเสี่ยงได้อย่างมีประสิทธิภาพ

โอสถสภาได้ดำเนินการประเมินความเสี่ยงและทดสอบเจาะระบบเป็นประจำ เพื่อระบุและแก้ไขช่องโหว่ที่อาจเกิดขึ้นในระบบรักษาความปลอดภัยของข้อมูลและเครือข่ายได้ โดยใช้การจำลองรูปแบบการเจาะระบบแบบต่างๆ ซึ่งจะช่วยให้มีความเข้าใจและสามารถเสริมสร้างการป้องกันได้ดียิ่งขึ้น ซึ่งช่วยลดความเสี่ยงจากการรุกล้ำระบบข้อมูลของโอสถสภา

โอสถสภามีแผนรับมือเหตุการณ์ที่ครอบคลุมการดำเนินงาน เพื่อลดผลกระทบจากเหตุการณ์ด้านความปลอดภัยอย่างรวดเร็วและมีประสิทธิภาพ ทีมตอบสนองของเราได้รับการจําลองและการฝึกซ้อมเป็นประจําเพื่อให้แน่ใจว่ามีความพร้อมในกรณีที่เกิดเหตุการณ์ทางไซเบอร์ลดการหยุดชะงักในการดําเนินธุรกิจ

โอสถสภามีการพัฒนาแผนการกู้คืนข้อมูลจากเหตุการณ์ภัยพิบัติที่ครอบคลุมการดำเนินงาน เพื่อให้มั่นใจถึงความต่อเนื่องทางธุรกิจในกรณีที่เกิดภัยธรรมชาติหรือการหยุดชะงักที่ไม่คาดฝันอื่นๆ แผนเหล่านี้และกลยุทธ์การสํารองข้อมูลขั้นตอนการกู้คืนข้อมูล รวมถึงกลไก failover เพื่อลดเวลาหยุดทํางานและลดผลกระทบของเหตุการณ์ไม่พึงประสงค์ลง ซึ่งมีการทดสอบแผนการกู้คืนทุกครึ่งปีเพื่อตรวจสอบประสิทธิภาพ รวมถึงระบุจุดที่ต้องปรับปรุง

ในฐานะที่เป็นส่วนหนึ่งของความมุ่งมั่นของโอสถสภาในการรักษาความปลอดภัยแบบ end-to-end โอสถสภาร่วมมืออย่างใกล้ชิดกับคู่ค้าและพันธมิตรเพื่อรักษามาตรฐานความปลอดภัยทางไซเบอร์ตลอดห่วงโซ่อุปทาน โดยมีการประเมินเป็นประจําเพื่อประเมินผู้ให้บริการบุคคลที่สามและบังคับใช้การปฏิบัติตามข้อกําหนดด้านความปลอดภัยของโอสถสภา

โอสถสภาดําเนินการประเมินความเสี่ยงประจําปีผ่านการตรวจสอบทั้งภายในและภายนอกเพื่อประเมินประสิทธิภาพของการดำเนินงาน การประเมินเหล่านี้ทำให้ทราบข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่และจุดที่ต้องปรับปรุงของระบบรักษาความปลอดภัย ซึ่งจะเป็นแนวทางในการปรับปรุงมาตรการในการดำเนินการด้านความปลอดภัยทางไซเบอร์

Company Process for Potential Information Security Incidents:

There are seven steps for identifying and managing actual or potential Information Security Incidents within the Company:

  1. The Company has a clear and documented incident management process.
  2. The Company’s IT security system is regularly assessed according to the plan.
  3. The Digitization department serves as the point of contact and is responsible for ensuring the escalation process is followed.
  4. Employees encountering actual or potential IT security threats must report to their supervisor and the Digitization department.
  5. The Digitization department collects, analyzes, and stores evidence as soon as it is reported, while the IT Services sub-function assists the employee in recovering from any damage in parallel.
  6. All actions taken throughout the process are recorded and stored in written format.
  7. The IT security incident report is included in the system and process improvement study conducted after the case is closed.

เป้าหมาย

รายละเอียด ผลการดำเนินงานปี 2566 เป้าหมายปี 2568
การละเมิดข้อมูล 0 0
จํานวนลูกค้า ลูกค้า และพนักงานทั้งหมดที่ได้รับผลกระทบจากการละเมิดข้อมูล 0 0
การป้องกันครอบคลุม
%
อุปกรณ์ได้รับการปกป้องจากภัยคุกคามไวรัสและมัลแวร์
เครื่อง
ป้องกันภัยคุกคามทางอีเมล
ล้านฉบับ