ความยั่งยืน

การประยุกต์ใช้ดิจิทัลและความมั่นคงปลอดภัยในสารสนเทศและด้านไซเบอร์

หน้าหลัก ความยั่งยืน มิติด้านเศรษฐกิจ การประยุกต์ใช้ดิจิทัลและความมั่นคงปลอดภัยในสารสนเทศและด้านไซเบอร์
ความยั่งยืน

การประยุกต์ใช้ดิจิทัลและความมั่นคงปลอดภัยในสารสนเทศและด้านไซเบอร์

การสนับสนุนเป้าหมายการพัฒนาที่ยั่งยืน
  








ผลกระทบเชิงบวกและลบ

ผลกระทบของประเด็นในช่วงเวลาต่าง ๆ
ระยะสั้น
ระยะกลาง
ระยะยาว
กลาง
กลาง
สูง

  • ข้อมูลสารสนเทศ ความมั่นคงปลอดภัยทางไซเบอร์ และการป้องกันความเป็นส่วนตัว
  • การประยุกต์ใช้เทคโนโลยีดิจิทัลมาเปลี่ยนแปลงกระบวนการดำเนินธุรกิจ และกิจกรรมต่าง ๆ ในองค์กร
มุมมองด้านการเงินขององค์กร (Financial Materiality)
มุมมองผลกระทบต่อสังคมและสิ่งแวดล้อม (Impact Materiality)
ความเสี่ยงต่อบริษัท โอกาสต่อบริษัท
- เกิดความเสียหาย ต่อการดำเนินธุรกิจ เช่น ค่าใช้จ่ายสูงขึ้น ไม่สามารถส่งมอบผลิตภัณฑ์และบริการได้ สูญเสียความไว้วางใจจากผู้มีส่วนได้ส่วนเสีย
สูญเสียข้อมูลที่ละเอียดอ่อน		 + ปกป้องข้อมูลสารสนเทศ ป้องกัน ภัยคุกคามไซเบอร์ และป้องกันความเป็นส่วนตัวได้อย่างมีประสิทธิภาพ สร้างความน่าเชื่อถือให้กับผู้มีส่วนได้ส่วนเสีย
+ ประยุกต์ใช้เทคโนโลยีดิจิทัลมาเปลี่ยนแปลงกระบวนการดำเนินธุรกิจให้มีประสิทธิภาพมากขึ้น		 ข้อมูลสำคัญขององค์กร และผู้มีส่วนได้ส่วนเสียรั่วไหลไปสู่ภายนอก

แนวทางบริหารจัดการ

การกำกับดูแลด้านดิจิทัลและความปลอดภัยทางไซเบอร์

ปตท. มีการกำกับดูแลการบริหารจัดการด้านดิจิทัลขององค์กร ครอบคลุมทั้งในด้านการบริหารจัดการทรัพยากรอย่างเหมาะสม มีการกำหนดความรับผิดชอบด้านดิจิทัลในทุกส่วนขององค์กร ตั้งแต่ คณะกรรมการ ปตท.  มีการทบทวนวิสัยทัศน์ ทิศทาง กลยุทธ์ นโยบายและแผนงานที่สำคัญของบริษัท รวมทั้งพิจารณาประเด็นความเสี่ยงที่อาจจะเกิดขึ้นเป็นประจำทุกปี ในระดับคณะกรรมการ บริษัทมีคณะกรรมการบริหารความเสี่ยงองค์กร (Enterprise Risk Management Committee: ERMC) ที่รับผิดชอบดูแลประเด็นด้านความมั่นคงปลอดภัยของข้อมูล บทบาทและหน้าที่ของคณะกรรมการบริหารความเสี่ยงองค์กร ได้แก่ การกำกับดูแลการบริหารความเสี่ยง การควบคุมภายใน และการปฏิบัติตามกฎหมายที่เกี่ยวข้องกับความมั่นคงปลอดภัยของข้อมูลและความมั่นคงปลอดภัยทางไซเบอร์ของ ปตท. นอกจากนี้ สมาชิกคณะกรรมการ ERMC ได้แก่ ดร.ณัฐพล ณัฏฐสมบูรณ์ กรรมการอิสระและรองปลัดกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ยังมีความเชี่ยวชาญที่เกี่ยวข้องกับความมั่นคงปลอดภัยของข้อมูลอีกด้วย ในระดับจัดการ มีรองกรรมการผู้จัดการใหญ่กลยุทธ์องค์กร (Senior Executive Vice President, Corporate Strategy) ซึ่งเทียบเท่ากับตำแหน่ง ประธานเจ้าหน้าที่ฝ่ายสารสนเทศ (CISO)/ ประธานเจ้าหน้าที่ฝ่ายความมั่นคงทางไซเบอร์ (CSO) เป็นประธานกรรมการ  คณะกรรมการดิจิทัล กลุ่ม ปตท. (PTT Group Digital Steering Committee) กำหนดทิศทาง นโยบาย ยุทธศาสตร์และเป้าหมายด้านดิจิทัลของ กลุ่ม ปตท. กำกับดูแล และบริหารความร่วมมือด้านดิจิทัลของบริษัทในกลุ่ม ปตท. ให้เป็นไปในทิศทางเดียวกัน ผลักดัน นโยบาย มาตรฐาน กลไกการบริหารจัดการ ระบบการบริหารจัดการด้านดิจิทัลกลุ่ม ปตท. ซึ่งครอบคลุมทั้งในส่วนการบริหารจัดการการพัฒนาโครงการ การบริหารจัดการข้อมูล การกำกับดูแลการบริหารงานด้านดิจิทัล การบริหารความมั่นคงปลอดภัยสารสนเทศ เป็นต้น ให้ไปสู่การปฏิบัติของกลุ่ม ปตท. อย่างเหมาะสม และมีประสิทธิภาพ ให้คำปรึกษาและคำแนะนำ แก่หน่วยงานต่าง ๆ ภายใต้การกำกับดูแล พิจารณากลั่นกรอง ติดตามความคืบหน้า และผลการดำเนินงานด้านดิจิทัล (Digital Initiatives) ซึ่งมีบทบาทเทียบเท่ากับ “คณะกรรมการกำกับดูแลงานด้านดิจิทัลและเทคโนโลยี สารสนเทศและความมั่นคงปลอดภัยด้านไซเบอร์ ( Cybersecurity/ Information security committee)”  โดย คณะกรรมการฯ มีการจัดประชุมพิจารณาเรื่องต่าง ๆ ที่เกี่ยวข้องกับหน้าที่ข้างต้น อย่างน้อยปีละ 2 ครั้ง หรือตามความจำเป็น และระดับปฏิบัติการ มีฝ่ายกลยุทธ์ดิจิทัล ทำหน้าที่กำหนดกลยุทธ์ของ ปตท. ให้มีความสอดคล้องกับทิศทาง นโยบาย ยุทธศาสตร์และเป้าหมายด้านดิจิทัลที่กำหนด

ปตท. มีกระบวนการเพื่อควบคุมให้การดำเนินงานมีประสิทธิภาพและมีความโปร่งใส รวมถึงควบคุมให้มีการปฏิบัติตาม กฎหมาย ระเบียบข้อบังคับ ที่เกี่ยวข้องกับการพัฒนาเทคโนโลยีดิจิทัลอย่างเคร่งครัด  โดยได้ประกาศใช้นโยบายดิจิทัล  นโยบายการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และนโยบายรักษาความมั่นคงความปลอดภัยด้านไซเบอร์ ลงนามโดย ประธานเจ้าหน้าที่บริหารและกรรมการผู้จัดการใหญ่ เพื่อให้องค์กรสามารถนำเทคโนโลยีดิจิทัลมาใช้เพิ่มประสิทธิภาพและสร้างมูลค่าเพิ่มในการดำเนินธุรกิจให้เติบโตอย่างต่อเนื่อง เกิดความคล่องตัว ฉับไว โปร่งใส และปลอดภัย  เป็นไปตามหลักธรรมาภิบาลที่ดี เพื่อมุ่งสู่องค์กรที่มีศักยภาพเป็นเลิศ  พร้อมสร้างพลังร่วมในการดำเนินธุรกิจของกลุ่ม ปตท. และสนับสนุนให้เกิดความยั่งยืนในการดำเนินธุรกิจพลังงานและปิโตรเคมีครบวงจร และนำไปสู่โอกาสในการพัฒนาธุรกิจรูปแบบใหม่ๆ ด้วยเทคโนโลยีและนวัตกรรม เพิ่มขีดความสามารถในการแข่งขัน ยกระดับคุณภาพการทำธุรกิจและทันต่อแนวโน้มของโลกที่เปลี่ยนแปลงอย่างรวดเร็ว อีกทั้งกำหนดมาตรฐานดิจิทัลขึ้น เพื่อใช้เป็นแนวทางปฏิบัติสำหรับพนักงาน ปตท. ในทุกระดับ ให้เป็นมาตรฐานและเกิดประสิทธิภาพสูงสุดในทุกด้าน ทั้งด้านอุปกรณ์สารสนเทศ Software มาตรฐานประจำเครื่อง  ระบบงานสารสนเทศ  การพัฒนาระบบงาน Infrastructure Security การฝึกอบรม ตลอดจนการกำหนดระดับการให้บริการ (Service Level Agreement) อันจะส่งผลให้เกิดประโยชน์และประสิทธิผลสูงสุดต่อองค์กร ควบคู่ไปกับการบริหารความเสี่ยงจากภัยคุกคามด้าน Cybersecurity ซึ่งถูกบรรจุให้เป็นหนึ่งในปัจจัยเสี่ยงขององค์กร (ความเสี่ยงด้านปฏิบัติการ) โดยการกำหนดมาตรการ/ แผนควบคุมเพื่อลดโอกาสเกิด (Control) มาตรการเพื่อลดผลกระทบ (Mitigation Plan) และตัวชี้วัดความเสี่ยง (Key Risk indicator: KRI) ซึ่งมีการรายงานความก้าวหน้าต่อ คณะกรรมการแผนวิสาหกิจและบริหารความเสี่ยง คณะกรรมการบริหารความเสี่ยงองค์กร และคณะกรรมการ ปตท. ตามกรอบระยะเวลาที่กำหนด

การประยุกต์ใช้ดิจิทัลในการดำเนินธุรกิจ

จากทิศทางการดำเนินธุรกิจของ ปตท. ในการยกระดับ Operation & Efficiency ด้วยการนำเทคโนโลยี ดิจิทัล และ AI มาประยุกต์ใช้ ควบคู่ไปกับการเป็น Leaning Organization ร่วมกับ Digital Transformation เพื่อจัดลำดับความสำคัญ เริ่มทำโครงการที่เห็นผลลัพธ์เร็ว ให้เกิดการยอมรับในทุกระดับ สร้างความเข้มแข็งด้าน Culture สร้างความตระหนัก ปลูกฝังให้พนักงานกล้าที่จะปรับ และพร้อมที่จะเปลี่ยนเพื่อการเติบโตอย่างยั่งยืน ปตท. ได้กำหนดทิศทางกลยุทธ์การพัฒนาและปรับปรุงกรอบยุทธศาสตร์เพื่อการพัฒนาเทคโนโลยีดิจิทัลของ ปตท.  ซึ่งมีเป้าหมายหลักเพื่อเพิ่มประสิทธิภาพในการดำเนินงาน (Productivity Improvement) จากการปรับปรุงกระบวนการและนำดิจิทัลมาประยุกต์ใช้ ผ่านกลยุทธ์การดำเนินงานด้าน Digital Transformation ได้แก่ การลดค่าใช้จ่าย เพิ่มประสิทธิภาพการดำเนินงาน ลดต้นทุน และสร้างโอกาสใหม่ทางธุรกิจให้กับองค์กรในระยะยาว ผ่านการปรับกระบวนการทำงานด้วยเทคโนโลยีดิจิทัล ควบคู่กับการปรับปรุงกระบวนการ (Reprocess)

ปตท. มีแนวทางการดำเนินงานด้าน Digital Transformation แบ่งออกเป็น 3 ด้าน ดังนี้

  1. ด้านกลยุทธ์ (Strategy)

    มุ่งเน้นการกำหนด วิสัยทัศน์และพันธกิจ ของการดำเนินงานด้าน Digital Transformation ให้สอดคล้องกับวิสัยทัศน์หลักขององค์กร เพื่อเป็นแนวทางในการดำเนินงาน ประกอบด้วย
    - Vision และ Value Creation: การขับเคลื่อนวิสัยทัศน์ในการสร้างคุณค่าผ่านการใช้ข้อมูล (Data) และเทคโนโลยี AI อย่างมีประสิทธิภาพ โดยมีการพัฒนาโครงสร้างพื้นฐาน เช่น PTT Cloud & Platform เพื่อรองรับการใช้งานดิจิทัลในทุกส่วนขององค์กร
    - Culture & Talents: การส่งเสริมวัฒนธรรมการทำงานที่เน้นการนำนวัตกรรมมาใช้ และการพัฒนาทักษะบุคลากรให้มีความเชี่ยวชาญในด้านดิจิทัลและ AI
    - Governance, Risk และ Compliance (GRC): การกำหนดมาตรการควบคุมและการกำกับดูแล เพื่อให้การดำเนินงานด้านดิจิทัลเป็นไปตามมาตรฐานและกฎระเบียบที่กำหนดไว้

  2. ด้านการเสริมศักยภาพ (Enablement) 

    มุ่งเน้นการเตรียมความพร้อมของทรัพยากรและการพัฒนาโครงสร้างพื้นฐานเพื่อสนับสนุนการดำเนินงานด้าน Digital Transformation ให้เป็นไปอย่างราบรื่น ประกอบด้วย
    - การประเมิน Fit-Gap: วิเคราะห์ช่องว่างของความสามารถในปัจจุบัน เพื่อระบุจุดที่ต้องพัฒนาเพิ่มเติม และหาแนวทางการเสริมสร้างขีดความสามารถให้ตรงตามเป้าหมายทางกลยุทธ์
    - การจัดหาและพัฒนาทรัพยากร: พัฒนาโครงสร้างพื้นฐานทางเทคโนโลยีและจัดสรรทรัพยากรบุคลากร เพื่อรองรับการเปลี่ยนแปลงสู่ดิจิทัลในทุกส่วนขององค์กร และลดความซ้ำซ้อนของกระบวนการทำงาน

  3. ด้านการทำให้เกิดผลลัพธ์ที่เป็นรูปธรรม  (Deliveries)

    มุ่งเน้นการส่งมอบผลลัพธ์ของการดำเนินงานด้าน Digital Transformation ผ่านการบูรณาการ บุคลากร กระบวนการ และโครงสร้างพื้นฐานดิจิทัล เพื่อสร้างคุณค่าและผลลัพธ์ที่จับต้องได้ โดย
    - การพัฒนา Use-Cases และ Application ที่ตอบโจทย์การทำงาน: พัฒนาโซลูชันและแอปพลิเคชันในด้านต่าง ๆ เช่น การจัดซื้อ การตลาด สายโซ่อุปทาน และการเงิน เพื่อสนับสนุนการดำเนินงานที่มีประสิทธิภาพ
    - การแบ่ง Workstream Group: จัดกลุ่มการทำงานตามความเชี่ยวชาญ เช่น PTT Digital, RAISE และ Mekha-V เพื่อให้การทำงานเป็นไปอย่างคล่องตัวและสามารถตอบสนองต่อความต้องการขององค์กรได้อย่างรวดเร็ว

ความมั่นคงปลอดภัยในสารสนเทศ

เพื่อป้องกันความเสี่ยงการเกิดอาชญากรรมทางไซเบอร์และการรั่วไหลของข้อมูล ที่ปัจจุบันมีสถิติเพิ่มขึ้นอย่างรวดเร็ว ประกอบกับ ปตท. ถูกกำหนดให้เป็น หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure: CII) ด้านพลังงานและสาธารณูปโภค ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซเบอร์ พ.ศ. 2562 มีการกำกับดูแลและบริหารระบบความมั่นคงปลอดภัยด้านสารสนเทศและไซเบอร์ตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศประกอบด้วย

  1. การสนับสนุนทุกกระบวนการทางธุรกิจเพื่อให้เกิดความยั่งยืน
    1) การระบุความเสี่ยง (Identify)
    2) มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น (Protect)
    3) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (Detect)
    4) มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์ (Response)
    5) มาตรการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์ (Recovery)
    6) การกำกับดูแลอย่างเหมาะสม (Governance)
  2. การดำเนินงานตามแผนการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
  3. การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
  4. การจัดทำแผนการรับมือภัยคุกคามทางไซเบอร์

สอดคล้องตามกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) โดยมีการประกาศนโยบายการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ และนโยบายรักษาความมั่นคงความปลอดภัยด้านไซเบอร์ ครอบคลุมทั้งในส่วนของ Information Technology (IT) และ Operation Technology (OT)  เพื่อให้ระบบสารสนเทศของ ปตท. มีการป้องกันภัยคุกคามและมีการบริหารจัดการความเสี่ยงด้านไซเบอร์อย่างมีประสิทธิภาพ และเพื่อให้การดำเนินงานมีความสอดคล้องกับกรอบการดำเนินงานและแนวปฏิบัติที่เป็นมาตรฐานสากล

ผู้ดูแลระบบของ ปตท. ทำหน้าที่เฝ้าระวังและดูแลความปลอดภัยของเครือข่ายบริษัท ร่วมกับทีม CSOC ซึ่งรวมถึงการกรองข้อมูล การตรวจจับมัลแวร์ และการจัดการระบบตรวจจับและป้องกันการบุกรุก

ปตท. ได้ประยุกต์ใช้มาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Management Systems: ISMS) หรือการขอรับการทวนสอบจากผู้ตรวจสอบอิสระภายนอกตามมาตรฐาน ISO/ IEC 27001 และระบบการจัดการข้อมูลส่วนบุคคล (Privacy Information Management System: PIMS) หรือ ISO/ IEC 27701

ระบบการจัดการความมั่นคงปลอดภัยของข้อมูลได้ถูกรวมไว้ในแผนการตรวจสอบภายในของ ปตท. เพื่อประเมินการปฏิบัติตามข้อกำหนดและการควบคุมภาวะแวดล้อม นอกจากนี้ เมื่อ ปตท. ได้รับการรับรองมาตรฐาน ISO 27001 บริษัทจะต้องดำเนินการจัดทำระบบการจัดการความมั่นคงปลอดภัยของข้อมูล ซึ่งรวมถึงการตรวจสอบภายในระบบการจัดการความมั่นคงปลอดภัยของข้อมูลเป็นประจำ

ปตท. มอบหมายให้บริษัท พีทีที ดิจิตอล โซลูชั่น จำกัด เป็นผู้ให้บริการและดำเนินงานด้าน Cybersecurity ให้กับบริษัทในกลุ่ม ปตท. โดยมีศูนย์ Cyber Security Operation Center (CSOC) ทำหน้าที่เฝ้าระวังตรวจสอบความผิดปกติจากการโจมตีทางด้านไซเบอร์ (Cyber Attack) ให้กลุ่ม ปตท. ตลอด 24 ชั่วโมง ด้วยเครื่องมือที่ใช้เทคโนโลยีทันสมัย พร้อมด้วยบุคลากรที่มีใบรับรองระดับสากล

ปตท. มีแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Management) แผนการรองรับเหตุภัยพิบัติ (Disaster Recovery) และแผนรองรับเหตุภัยคุกคามทางไซเบอร์ (Cybersecurity Incident Response) ที่ชัดเจน เพื่อสร้างความมั่นใจให้แก่ผู้มีส่วนได้ส่วนเสียทั้งหมดถึงความพร้อมในการรองรับเหตุการหยุดชะงักของระบบสารสนเทศและการโจมตีทางไซเบอร์ ซึ่ง ปตท. กำหนดให้มีการทดสอบความพร้อมและความเข้าใจอย่างน้อยปีละ 3 ครั้ง  ได้แก่ การซ้อมแผนบริหารความต่อเนื่องทางธุรกิจ ดำเนินการทดสอบความพร้อมและความเข้าใจในตอบสนองต่อเหตุฉุกเฉินและภาวะวิกฤตอย่างน้อยปีละ 1 ครั้ง ซึ่งในแต่ละปีการจำลองสถานการณ์จะแตกต่างกันออกไป การซ้อมแผนการรองรับเหตุภัยพิบัติ ดำเนินการทดสอบความพร้อมใช้ของระบบสำรองอย่างน้อยปีละ 1 ครั้ง และแผนรองรับเหตุภัยคุกคามทางไซเบอร์ ดำเนินการทดสอบความพร้อมและความเข้าใจในการตอบสนอง รวมถึงบทบาทหน้าที่เมื่อเกิดเหตุภัยคุกคามทางไซเบอร์อย่างน้อยปีละ 1 ครั้ง

ในปี 2567 ปตท. ดำเนินการทดสอบความพร้อมและความเข้าใจทั้งหมด 4 ครั้ง ได้แก่ การซ้อมแผนการรองรับเหตุภัยพิบัติ จำนวน 2 ครั้ง การซ้อมแผนรองรับเหตุภัยคุกคามทางไซเบอร์ระดับประเทศในรูปแบบ Table Top จำนวน 1 ครั้ง และการซ้อมแผนรองรับเหตุภัยคุกคามทางไซเบอร์ของ ปตท. ในรูปแบบ Table Top จำนวน 1 ครั้ง และได้นำข้อคิดเห็นและข้อเสนอแนะจากการฝึกซ้อมทดสอบความพร้อมและความเข้าใจมาใช้เพื่อปรับปรุงกระบวนการ

นอกจากนี้ ปตท.ได้มีการประสานงานร่วมกับศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) และ Community สากลอื่น ๆ เพื่อแลกเปลี่ยนข้อมูลปัจจุบันล่าสุดของเหตุการณ์ทางด้าน CyberSecurity ระหว่างกัน

ปตท. ได้ดำเนินการประเมินช่องโหว่ของระบบ (Vulnerability Assessment) อย่างสม่ำเสมอ เพื่อระบุและแก้ไขช่องโหว่ของระบบ รวมถึงดำเนินการประเมินแบบ Red Team Assessment โดยผู้เชี่ยวชาญ เพื่อค้นหาช่องโหว่และประเมินประสิทธิภาพของระบบป้องกันภายใน ทั้งในส่วนของเทคโนโลยีสารสนเทศ (IT) และเทคโนโลยีปฏิบัติการ (OT) กระบวนการนี้ยังรวมถึงการจำลองการโจมตีของแฮกเกอร์อีกด้วย

ปตท. ได้จัดให้มีการอบรมเพื่อสร้างความตระหนักรู้ด้านไซเบอร์และการทดสอบส่ง Phishing Mail ให้กับพนักงานและพนักงานสัญญาจ้าง ทุก 2 เดือน รวมทั้งกำหนดให้มีการอบรมผ่าน E-Learning เพิ่มเติม หากพนักงานไม่ผ่านการทดสอบดังกล่าว เพื่อเป็นการทบทวนความเข้าใจและตระหนักถึงผลกระทบของการโจมตีทางไซเบอร์

ปตท. ได้จัดทำขั้นตอนการรับมือเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ (PTT Cyber Security Incident Response Procedure) ซึ่งเป็นแนวทางให้พนักงานปฏิบัติเมื่อต้องรายงานเหตุการณ์ภัยคุกคามทางไซเบอร์ หรือกิจกรรมที่น่าสงสัย โดยขั้นตอนดังกล่าวได้ระบุทีมที่รับผิดชอบไว้อย่างชัดเจน เช่น พนักงานต้องรายงานเหตุการณ์หรือกิจกรรมที่น่าสงสัยต่อทีมศูนย์ปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ของ ปตท. (CSOC) ซึ่งทำหน้าที่เป็นช่องทางสื่อสารสำหรับรับรายงานเหตุการณ์ และทีมตอบสนองเหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ของ ปตท. (CSIRT) จะสนับสนุนการตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยของคอมพิวเตอร์และเครือข่าย ขั้นตอนดังกล่าวยังได้กำหนดลักษณะของเหตุการณ์ไซเบอร์ ระดับผลกระทบ ขั้นตอนการตอบสนองเพื่อจำกัดขอบเขตของผลกระทบ กระบวนการกู้คืน กระบวนการสืบสวนและติดตามผล ตลอดจนการปรับปรุงเพื่อรักษาและเสริมสร้างประสิทธิภาพของระบบความมั่นคงปลอดภัยทางไซเบอร์

เพื่อให้มั่นใจในความปลอดภัยของเครือข่ายเมื่อมีการใช้บริการ IT Outsourcing ปตท. กำหนดให้ผู้ให้บริการ IT ภายนอกต้องลงนามในข้อตกลงไม่เปิดเผยข้อมูล (NDA) จำกัดการเข้าถึงของผู้ให้บริการ กำหนดให้ผู้ให้บริการจัดทำเอกสารเกี่ยวกับกิจกรรม ปัญหา และแนวทางแก้ไขทั้งหมด รวมถึงมีการกำกับดูแลเพื่อให้มั่นใจว่าการให้บริการเป็นไปตามข้อตกลงที่กำหนดไว้

แบบแจ้งข้อมูลส่วนบุคคล

ปตท. ให้ความสำคัญเป็นอย่างยิ่งกับการคุ้มครองข้อมูลส่วนบุคคลของลูกค้า คู่ค้า และผู้มีความสัมพันธ์ทางธุรกิจ จึงได้กำหนดให้มีขั้นตอนการปฏิบัติต่อข้อมูลส่วนบุคคลโดยสอดคล้องกับกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และยังได้มีการกำหนดแบบแจ้งเกี่ยวกับข้อมูลส่วนบุคคล เพื่อแจ้งให้ผู้ที่เกี่ยวข้องทราบรายละเอียดการดำเนินการกับข้อมูลส่วนบุคคล โดยสามารถศึกษารายละเอียดได้บนเว็บไซต์ของบริษัท

แผนงาน Initiatives และการทบทวนปรับปรุงที่สำคัญ

โครงการ AI Transformation

เพื่อเพิ่มประสิทธิภาพในกระบวนการทำงาน พัฒนาผลิตภัณฑ์และบริการใหม่ ๆ เสริมสร้างความสามารถในการแข่งขัน และการให้บริการแก่ลูกค้า ให้กับหน่วยธุรกิจของ ปตท. และบริษัทในกลุ่ม ปตท. (PTT Group) ปตท. ได้นำเทคโนโลยี Generative AI มาประยุกต์ใช้กับกลุ่มงาน Operational Excellence โดยพัฒนาเป็นแพลตฟอร์มสำหรับสืบค้นองค์ความรู้ ที่เชื่อมต่อกับระบบศูนย์กลางการจัดเก็บข้อมูลขององค์กร (Enterprise Data Platform) ที่มีการกำกับดูแลเป็นมาตรฐาน แพลตฟอร์มนี้ช่วยยกระดับการเข้าถึงและวิเคราะห์ข้อมูล จากความสามารถในการเข้าใจและตีความเนื้อหาทั้งภาษาไทยและภาษาอังกฤษได้อย่างแม่นยำ โดยผ่านการยอมรับจากผู้ใช้งานมากกว่า 80% ซึ่งแพลตฟอร์มนี้สามารถให้คำตอบที่ถูกต้องและเป็นประโยชน์ต่อคำถามหรือความต้องการของผู้ใช้งานที่เกี่ยวข้องกับกลุ่มงาน Operational Excellence รวมถึงอ้างอิงข้อมูลที่เกี่ยวข้องกับคำตอบหรือเนื้อหาที่ถูกต้อง ให้ผู้ใช้งานเพื่อตรวจสอบถึงแหล่งที่มาของคำตอบหรือเนื้อหาได้

โครงการ Digital Citizen

เพื่อยกระดับความรู้และทักษะที่จำเป็นในการนำเทคโนโลยีดิจิทัลมาใช้ตามวัตถุประสงค์ของกลุ่มงาน การพัฒนา Competency ของพนักงานแต่ละระดับ และเพื่อส่งเสริมให้เกิด Digital Citizen ปตท. ได้จัดกิจกรรมที่เหมาะสม ได้แก่ หลักสูตรด้านการพัฒนาความรู้พื้นฐานด้านดิจิทัล เช่น ความรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ หลักสูตรด้านการพัฒนาทักษะการใช้เครื่องมือขั้นพื้นฐาน เช่น Collaboration tools ต่างๆ  การพัฒนาทักษะการใช้เครื่องมือขั้นสูง เช่น การวิเคราะห์ข้อมูล การทำงานให้เป็นอัตโนมัติ การสร้างโมเดลพยากรณ์ ในปี 2567 ได้เพิ่มกิจกรรมเพื่อพัฒนาความรู้ความเข้าใจและทักษะการใช้เทคโนโลยี AI/ Generative AI ให้กับพนักงาน เช่น การใช้ AI/ Generative AI/ Machine Learning เพื่อเพิ่มประสิทธิภาพการทำงาน และทักษะการใช้ AI/ Generative AI ให้มีประสิทธิภาพ ซึ่งพิจารณาจัดรูปแบบให้เหมาะสมกับเนื้อหาและรูปแบบการเรียนรู้ โดยสามารถวัดผลสำเร็จของการเรียนรู้ของพนักงานจากการทดสอบหลังการอบรม (Post-Test) ได้ถูกต้องอย่างน้อย 80% และจะมีการรวบรวมเป็นประวัติการพัฒนา/ เรียนรู้ของพนักงาน และเพื่อให้มั่นใจว่าบุคลากรขององค์กรมีการใช้ความสามารถด้านดิจิทัลอย่างมีประสิทธิภาพ โดยการสร้างความรู้ความเข้าใจและความตระหนักรู้ ผ่านกิจกรรมที่เกี่ยวข้อง ได้แก่ การทดสอบส่ง Phishing Mail, การสื่อความประชาสัมพันธ์ เป็นต้น

โครงการระบบงานหลักเพื่อรองรับองค์กรดิจิทัล (Powering Digital Organization With ERP Project: POWER)

ตามที่ระบบ Enterprise Resource Planning (ERP) ที่ ปตท. ใช้งานในปัจจุบัน ได้แก่ SAP ECC 6.0 กำลังจะสิ้นสุดการสนับสนุนจากเจ้าของผลิตภัณฑ์ ปตท. จึงจัดตั้งโครงการเพื่อดำเนินการประเมินปัจจัยต่างๆ จัดทำแผนงาน และเตรียมการสำหรับพัฒนา SAP S/ 4HANA เพื่อลดข้อจำกัดต่าง ๆ ที่มาพร้อมเทคโนโลยีอัจฉริยะในตัว เช่น AI, Machine Learning เป็นต้น รองรับ Big Data, Business Network ให้สามารถประมวลผลข้อมูลจำนวนมหาศาลและสามารถเข้าถึงข้อมูลได้รวดเร็ว ในปี 2567 โครงการสามารถดำเนินงานได้ตามเป้าหมาย มีการออกแบบและกำหนดกระบวนการ ที่ผ่านการวิเคราะห์และปรับปรุงเพื่อให้เหมาะสมกับแนวทางการดำเนินงานในอนาคตของ ปตท. ครอบคลุมทั้งการปรับโครงสร้างการดำเนินงาน การลดความซ้ำซ้อน การใช้ระบบอัตโนมัติเพื่อเพิ่มความแม่นยำ และการบูรณาการข้อมูลเพื่อสนับสนุนการตัดสินใจในระดับองค์กร จากการออกแบบกระบวนการดังกล่าว เพิ่มโอกาสในการสร้าง Productivity Improvement จากการลดเวลาและต้นทุนในกระบวนการทำงาน การลดข้อผิดพลาดจากกระบวนการทำงานเดิม และการเพิ่มประสิทธิภาพการใช้ทรัพยากรในองค์กร เช่น การวางแผนและบริหารจัดการสินทรัพย์ การจัดการห่วงโซ่อุปทาน และการบริหารจัดการทรัพยากรบุคคล โดยมีกำหนดปรับปรุงให้แล้วเสร็จในปี 2568

โครงการ Enterprise Architecture

ดำเนินการทบทวนการวิเคราะห์และจัดทำสถาปัตยกรรมองค์กรด้านเทคโนโลยีสารสนเทศ (Information Technology: IT) เพื่อมุ่งเน้นการนำเทคโนโลยีดิจิทัลมาปรับใช้กับทุกส่วนขององค์กร ทั้งในส่วนของกระบวนการทำงาน การสร้างสรรค์ผลิตภัณฑ์ การตลาด วัฒนธรรมองค์กร และการกำหนดเป้าหมายการเติบโตในอนาคต ให้เป็นไปโดยมีหลักการและมาตรฐานเดียวกัน โดยขยายขอบเขต (Scope) ของสถาปัตยกรรมองค์กรให้ครอบคลุมการพิจารณาการเปลี่ยนแปลงที่จะเกิดขึ้นกับระบบโครงสร้างพื้นฐานขององค์กร (Infrastructure) โดยมีการกำกับดูแลในลักษณะเดียวกับบทบาทของคณะกรรมการ Change Approval Board (CAB) เพื่อให้แน่ใจว่าการเปลี่ยนแปลงที่เกิดขึ้นนั้นมีการประเมินผลกระทบต่อระบบและกระบวนการที่เกี่ยวข้องอย่างรอบคอบ จากคณะทำงานสถาปัตยกรรมองค์กร ที่มีบทบาทหลักในการกำกับกระบวนการบริหารโครงการด้านเทคโนโลยีดิจิทัล โดยอ้างอิงหลักการและมาตรฐานที่ ปตท.กำหนด ช่วยสร้างความสมดุลระหว่างความต้องการในการพัฒนาเทคโนโลยีใหม่กับการรักษาความมั่นคงปลอดภัย ความน่าเชื่อถือของระบบ และการจัดการทรัพยากรที่มีอยู่ในปัจจุบัน

โครงการ IT Resource Optimization

มุ่งเน้นการทบทวนและปรับปรุงการใช้งานทรัพยากร Cloud ให้เหมาะสมกับการใช้งานจริง เพื่อเพิ่มประสิทธิภาพการใช้ทรัพยากรโครงสร้างพื้นฐานดิจิทัล โดยเพิ่มกระบวนการติดตาม (Monitor) เพื่อตรวจสอบการใช้งาน นำระบบตรวจวัดอัตโนมัติมาใช้ในการวิเคราะห์ปริมาณการใช้งานทรัพยากร พร้อมทั้งพัฒนากระบวนการแนะนำ (Recommendation Process) สำหรับเจ้าของแอปพลิเคชัน (Application Owners) โดยระบุโอกาสในการปรับปรุงการใช้ทรัพยากร เช่น การลดขนาดทรัพยากรที่ไม่ได้ใช้งานเต็มประสิทธิภาพ หรือการปิดใช้งานทรัพยากรที่ไม่มีความจำเป็น โดยทุกการเปลี่ยนแปลงจะต้องขออนุมัติจากเจ้าของแอปพลิเคชัน เพื่อให้มั่นใจว่าการปรับปรุงการใช้ทรัพยากรนั้นสอดคล้องกับเป้าหมายทางธุรกิจและไม่กระทบต่อการดำเนินงานของระบบงาน สามารถลดค่าใช้จ่ายด้าน Cloud ได้อย่างมีนัยสำคัญ พร้อมทั้งเป็นรากฐานสำคัญที่ ปตท. จะขยายผลกับการใช้งานทรัพยากรด้านอื่น ๆ ต่อไปในอนาคต

การดำเนินการเพื่อเพิ่มประสิทธิภาพความมั่นคงปลอดภัยSDGs 16.10

ปตท. นำระบบ Security Service Edge (SSE) มาใช้งานร่วมกับการยกระดับการใช้ Virtual Private Network (VPN) สำหรับเครื่องคอมพิวเตอร์ขององค์กร เพื่อเสริมสร้างความมั่นคงปลอดภัยในการเข้าถึงระบบ ทั้งจากภายในและภายนอกองค์กร ระบบ SSE ถูกออกแบบให้ตอบสนองความต้องการด้านความปลอดภัยขององค์กรในยุคดิจิทัล โดยมีการผสานรวมเทคโนโลยีขั้นสูง เช่น การป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต การตรวจสอบและควบคุมการใช้งานแอปพลิเคชันบนเครือข่าย และการตรวจจับภัยคุกคามแบบเรียลไทม์ นอกจากนี้ SSE ยังช่วยให้สามารถกำกับดูแลและควบคุมการเข้าถึงข้อมูลในระบบได้อย่างครอบคลุม แม้ในกรณีที่ผู้ใช้งานเชื่อมต่อจากเครือข่ายภายนอก การปรับปรุงดังกล่าวไม่เพียงช่วยเพิ่มความปลอดภัยให้กับระบบงานขององค์กร แต่ยังช่วยเพิ่มประสบการณ์การใช้งานที่ดีให้แก่พนักงาน โดยพนักงานไม่ต้องเชื่อมต่อ VPN ด้วยตัวเองทุกครั้งก่อนการใช้งานระบบ ช่วยลดความยุ่งยากในการตั้งค่าหรือเชื่อมต่อระบบงานในแต่ละครั้ง อีกทั้งยังลดความเสี่ยงที่เกิดจากการลืมเปิดใช้งาน VPN เมื่อทำงานจากเครือข่ายภายนอก

โครงการ Phishing Test CampaignSDGs 16.10

ปตท. ดำเนินกิจกรรมทดสอบเพื่อสร้างความตระหนักรู้ ให้กับพนักงานถึงภัยคุกคามทางด้านไซเบอร์ โดยเป็นการส่ง Email หลอกลวง เพื่อโน้มน้าวให้ User ทำการกดเปิดไฟล์ หรือ กรอกข้อมูล User/ Password ซึ่งถือว่าเป็นพฤติกรรมที่เพิ่มความเสี่ยงให้กับองค์กรเป็นอย่างมาก โดยปัจจุบัน ปตท. ทำการทดสอบทุก 2 เดือน พร้อมกับทำการเฉลยให้พนักงานได้ทราบและรับรู้ถึงภัยคุกคามทางไซเบอร์ เพื่อไม่ให้หลงเป็นเหยื่อโดยง่าย โดยหากพบ Email ต้องสงสัยว่าเป็นอีเมลหลอกลวง พนักงานสามารถรายงานปัญหาหรือแจ้งข้อสงสัยไปยัง PTT Digital Contact Center ผ่านช่องทางต่างๆ เช่น โทรศัพท์ อีเมล Line Official Account: OA   หรือสามารถกดปุ่มรายงานอัตโนมัติจาก Email Application ขององค์กรได้ทันที

ผลการดำเนินงานการทดสอบความมั่นคงปลอดภัยในสารสนเทศ

ปตท. กำหนดให้มีการทดสอบความพร้อมและความเข้าใจอย่างน้อยปีละ 3 ครั้ง  ได้แก่ การซ้อมแผนบริหารความต่อเนื่องทางธุรกิจ ดำเนินการทดสอบความพร้อมและความเข้าใจในตอบสนองต่อเหตุฉุกเฉินและภาวะวิกฤตอย่างน้อยปีละ 1 ครั้ง ซึ่งในแต่ละปีการจำลองสถานการณ์จะแตกต่างกันออกไป การซ้อมแผนการรองรับเหตุภัยพิบัติ ดำเนินการทดสอบความพร้อมใช้ของระบบสำรองอย่างน้อยปีละ 1 ครั้ง และแผนรองรับเหตุภัยคุกคามทางไซเบอร์ ดำเนินการทดสอบความพร้อมและความเข้าใจในการตอบสนอง รวมถึงบทบาทหน้าที่เมื่อเกิดเหตุภัยคุกคามทางไซเบอร์อย่างน้อยปีละ 1 ครั้ง

ในปี 2567 ปตท. ดำเนินการทดสอบความพร้อมและความเข้าใจทั้งหมด 4 ครั้ง ได้แก่ การซ้อมแผนการรองรับเหตุภัยพิบัติ จำนวน 2 ครั้ง การซ้อมแผนรองรับเหตุภัยคุกคามทางไซเบอร์ระดับประเทศในรูปแบบ Table Top จำนวน 1 ครั้ง และการซ้อมแผนรองรับเหตุภัยคุกคามทางไซเบอร์ของ ปตท. ในรูปแบบ Table Top จำนวน 1 ครั้ง และได้นำข้อคิดเห็นและข้อเสนอแนะจากการฝึกซ้อมทดสอบความพร้อมและความเข้าใจมาใช้เพื่อปรับปรุงกระบวนการ

นอกจากนี้ ปตท.ได้มีการประสานงานร่วมกับศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ThaiCERT) และ Community สากลอื่น ๆ เพื่อแลกเปลี่ยนข้อมูลปัจจุบันล่าสุดของเหตุการณ์ทางด้าน CyberSecurity ระหว่างกัน

ปตท. ได้จัดให้มีการอบรมเพื่อสร้างความตระหนักรู้ด้านไซเบอร์และการทดสอบส่ง Phishing Mail ให้กับพนักงานและพนักงานสัญญาจ้าง ทุก 2 เดือน รวมทั้งกำหนดให้มีการอบรมผ่าน E-Learning เพิ่มเติม หากพนักงานไม่ผ่านการทดสอบดังกล่าว เพื่อเป็นการทบทวนความเข้าใจและตระหนักถึงผลกระทบของการโจมตีทางไซเบอร์

ในปี 2567 ไม่มีบุคคลที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลลับและ/หรือข้อมูลสำคัญของผู้มีส่วนได้ส่วนเสียและองค์กร

รางวัลที่ได้รับ
  • ISO/IEC 27001:2022 Certificate (ต่อเนื่องเป็นปีที่ 14)
  • ISO/IEC 27701:2019 Certificate
  • ISO/IEC 38500 :2015 Certificate
  • Prime Minister Awards: Thailand Cybersecurity Excellence Award 2024 ระดับดีเลิศ ประเภทหน่วยงานที่มีความก้าวหน้าด้านความมั่นคงปลอดภัยไซเบอร์
  • Thailand Digital Excellence Awards 2024 สาขา End-to-End Digital Transformation

การดำเนินงานในอนาคต

โครงการ Digital Transformation
มีวัตถุประสงค์เพื่อดำเนินการประเมินศักยภาพการนำเทคโนโลยีดิจิทัลมาประยุกต์ใช้ใน ปตท. เพื่อหาโอกาสในการลดค่าใช้จ่ายและเพิ่มประสิทธิภาพในการทำงาน ผ่านการปรับกระบวนการทำงานด้วยเทคโนโลยีดิจิทัล ควบคู่กับการปรับปรุงกระบวนการ (Reprocess) และการปรับโครงสร้างบริษัทในกลุ่มด้านดิจิทัล (Streamline Digital Subsidiaries) เพื่อให้สามารถทำหน้าที่เป็น Enablers ที่มีประสิทธิภาพ ด้วยโมเดลธุรกิจที่เหมาะสม โดยตั้งเป้าหมายให้พนักงาน 50% มีทักษะด้านดิจิทัลภายในปี 2569 และ 100% ภายในปี 2572 นอกจากนี้ มีการกำหนดเป้าหมายเพื่อลดค่าใช้จ่ายและเพิ่มประสิทธิภาพในการทำงาน โดยดำเนินการควบคู่ไปกับโครงการอื่น ๆ เช่น OpEx และแผนลดการปล่อยคาร์บอน เพื่อให้การพัฒนามีความต่อเนื่องและสอดคล้องกับเป้าหมายองค์กร

โครงการเพิ่มประสิทธิภาพด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity)

เพื่อการเตรียมตัว และตอบสนองต่อภัยคุกคามทางไซเบอร์ รวมถึงการกู้คืนระบบให้กลับมาดำเนินการได้ตามปกติโดยเร็ว (Cyber Resilience) ทั้ง 3 มุมมอง ได้แก่ การส่งเสริมให้บุคลากรทุกระดับมีความตระหนักรู้ทางด้านความมั่นคงทางไซเบอร์อย่างต่อเนื่อง ตั้งแต่การซ้อม Tabletop ของผู้บริหาร รวมถึงการสื่อความและหลักสูตรอบรมของพนักงานครอบคลุมตั้งแต่วันแรกที่ปฏิบัติงานให้แก่ ปตท. การปรับปรุงกระบวนการกำกับดูแลความมั่นคงทางไซเบอร์ให้ดียิ่งขึ้น ตั้งแต่การจัดทำแผนการปกป้องทางไซเบอร์ให้ครอบคลุมทั้ง IT และ OT, การบริหารจัดการช่องโหว่ และการประเมินระดับความพร้อมทางด้านความมั่นคงปลอดภัยทางไซเบอร์ และการนำเทคโนโลยีที่ทันสมัยเข้ามาเสริมประสิทธิภาพ ตั้งแต่การจำลองสถานการณ์เมื่อถูกโจมตี การกำกับเครื่องคอมพิวเตอร์ส่วนตัวให้มีความปลอดภัยในการใช้งานระดับเดียวกับขององค์กร