7

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 2

สารบญั

หนา้

1 บทนา 4

2 รู้จกั เขา้ ใจ IT Security กบั Cybersecurity 5

2.1 IT Security กบั Cybersecurity คืออะไร 5

2.2 ภยั คกุ คามดา้ นเทคโนโลยสี ารสนเทศ (IT & Cyber Threat) 9

2.3 ความคลา้ ยคลึงและความแตกต่างระหวา่ ง IT Security กบั Cybersecurity 11

3 แนวทางปฏิบตั ิในการกากบั ดูแลและบริหารจดั การเทคโนโลยสี ารสนเทศ (IT Governance) 13

3.1 บทบาทหนา้ ท่ีและความรับผิดชอบสาหรับคณะกรรมการและฝ่ายจดั การต่อความมนั่ คง 15

ปลอดภยั เทคโนโลยสี ารสนเทศ (Enterprise-Wide Risk Management)

3.1.1 การบริหารจดั การความเส่ียงดา้ นไซเบอร์และเทคโนโลยสี ารสนเทศ 15

3.1.2 การรักษาความมนั่ คงปลอดภยั ไซเบอร์และเทคโนโลยสี ารสนเทศตามความเส่ียง 16

ท่ีมี (Risk Based Approach)

3.2 โครงสร้างการกากบั ดูแลและบริหารจดั การเทคโนโลยสี ารสนเทศ 19

4 การผลกั ดนั ให้เกิดการสร้างวฒั นธรรมองค์กรดา้ นความมน่ั คงปลอดภยั ไซเบอร์และเทคโนโลยี 22

สารสนเทศ

4.1 บทบาทหน้าท่ีและความรับผิดชอบของคณะกรรมการและฝ่ ายจดั การในเร่ืองความ 24

มน่ั คงปลอดภยั ไซเบอร์ ควรกาหนดใหช้ ดั เจน

4.2 ควรไดร้ ับโอกาสไดเ้ ขา้ ร่วมการซกั ซอ้ มการรับมือในสถานการณ์จาลองเสมือนจริง 24

4.3 ควรผลกั ดนั ในการสร้างวฒั นธรรมองคก์ รดา้ นความมนั่ คงปลอดภยั ไซเบอร์ และ IT 25

5 คณะกรรมการและฝ่ ายจดั การควรรู้จกั กฎหมายและกฎเกณฑข์ องผกู้ ากบั ดูแลที่เก่ียวขอ้ งกบั ความ 25

มนั่ คงปลอดภยั ไซเบอร์ และระมดั ระวงั ดูแลใหเ้ ดม็ โกป้ ฏิบตั ิตาม Duty of Care

• กฎหมายท่ีเกี่ยวของกบั ความมนั่ คงปลอดภยั ไซเบอร์

• หลกั เกณฑข์ องสานกั งาน ก.ล.ต.

6 ภาคผนวก 26

6.1 แนวทางการกากบั ดูแลและบริหารจดั การเทคโนโลยีสารสนเทศระดบั องค์กรที่ดี (IT 26

Governance Practice) : สานกั งาน ก.ล.ต.

6.2 แนวทางการบริหารและจดั การความเส่ียงทางด้านเทคโนโลยีสารสนเทศ (IT Risk 28

Management Practice) : สานกั งานก.ล.ต.

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 3

สารบญั

หนา้

6.3 แนวทางการกากบั ดูแลและบริหารจดั การการใช้ Cloud Computing (Cloud Computing 29

Practice) : สานกั งานก.ล.ต.

6.4 แบบประเมินทกั ษะความสามารถดา้ นเทคโนโลยสี ารสนเทศ 30

7 บทส่งทา้ ย 31

8 เอกสารอา้ งอิง 33

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 4

1. บทนำ

ในปัจจุบันความก้าวหน้าของเทคโนโลยีสารสนเทศ มีบทบาทอย่างมากในการขับเคลื่อนธุรกิจ แต่ใน
ขณะเดียวกนั ความซบั ซอ้ นและขยายตวั ทางดา้ นเทคโนโลยสี ารสนเทศน้ีทาใหก้ ลุ่มบริษทั เด็มโก้ อาจตอ้ งเผชิญความ
เส่ียงดา้ นต่าง ๆ ในหลายมิติมากข้นึ ไดแ้ ก่

• ความเสี่ยงอนั เนื่องมาจากการพลาดโอกาสในการใช้เทคโนโลยีสารสนเทศให้เกิดประสิทธิภาพและ
ประสิทธิผลต่อการดาเนินงาน หรือสร้างนวตั กรรมให้แก่เด็มโก้ รวมถึงความเสี่ยงอันเน่ืองมาจาก
เทคโนโลยสี ารสนเทศท่ีไมต่ อบสนองต่อการดาเนินธุรกิจ ซ่ึงส่งผลโดยตรงตอ่ ศกั ยภาพในการแข่งขนั ของ
กลมุ่ ธุรกิจเด็มโก้ (IT Benefits / Value Enhancement Risk)

• ความเส่ียงอนั เนื่องมาจากการไมส่ ามารถนาเทคโนโลยสี ารสนเทศมาใชใ้ นการพฒั นาการบริหารโครงการ
การให้บริการหรือผลิตภัณฑ์ใหม่ โดยรวมถึงความเสี่ยงท่ีไม่สามารถจัดการโครงการได้อย่างมี
ประสิทธิภาพหรือตามเป้าหมายท่ีกาหนด (IT Programmed and Project Delivery Risk)

• ความเสี่ยงอนั เน่ืองมากจากการปฏิบตั ิงานประจาวนั ทางดา้ นเทคโนโลยีสารสนเทศ เช่น ความเสี่ยงสืบ
เนื่องมาจากการควบคุมที่ไม่เพียงพอ หรือมีการดาเนินงานท่ีอาจขดั ต่อกฎหมายและระเบียบขอ้ บงั คบั ตา่ ง
ๆ (IT Operations and Services Delivery Risk)

แต่หากกลุ่มบริษทั เด็มโก้ มีการกากบั ดูแลและบริหารจดั การเทคโนโลยีสารสนเทศที่ดี (IT Governance
Practice) มีการบริหารและจดั การความเส่ียงทางดา้ นเทคโนโลยสี ารสนเทศ (IT Risk Management Practice) ที่เพียงพอ
เหมาะสมแลว้ ยอ่ มส่งผลตอ่ กลมุ่ ธุรกิจเด็มโก้ ในการสร้างความมนั่ ใจในการปรับใช้ และพฒั นาเทคโนโลยสี ารสนเทศ
ในบริการและผลิตภณั ฑใ์ หม่ รวมท้งั เสริมสร้าง พฒั นากระบวนการดาเนินธุรกิจในยุคปัจจุบนั และอนาคต นอกจากน้ี
ยงั เป็นการสร้างขอ้ ไดเ้ ปรียบทางดา้ นพฒั นาธุรกิจเพ่ือความยง่ั ยนื ใหเ้ ป็นท่ียอมรับในระดบั สากลและเตรียมความพร้อม
เขา้ สู่ระเบียบโลกแบบใหม่ (New World Order)

“ก้าวไปด้วยกันอย่างภาคภูมิและยง่ั ยืน”
คณะกรรมการกากบั ดูแลกิจการและความยงั่ ยนื

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 5

2. รู้จกั เข้ำใจ IT Security กบั Cybersecurity

ในปัจจุบนั กลุ่มบริษทั เดม็ โก้ ไดเ้ ลง็ เห็นถึงความสาคญั ของการมีระบบรักษาความมนั่ คงปลอดภยั เพอ่ื ช่วยใน
การป้องกนั ขอ้ มูลท่ีเป็ นความลบั และมีมูลค่าจากการอาจถูกโจมตีและการถูกโจรกรรม ดงั น้นั ถา้ เด็มโกต้ อ้ งการมีการ
กากบั ดูแลและบริหารจดั การความมน่ั คงปลอดภยั ไซเบอร์ และเทคโนโลยีสารสนเทศท่ีเขม้ แข็งและปลอดภยั เด็มโก้
จะตอ้ งมีท้งั IT Security และ Cybersecurity เพ่ือช่วยเพิ่มมาตรฐานในการรักษาความมน่ั คงปลอดภยั ใหก้ ลุ่มบริษทั เดม็
โก้ อย่างไรก็ตาม IT Security กับ Cybersecurity น้ันมีความคล้ายคลึงกัน ซ่ึงอาจจะทาให้กรรมการ ผูบ้ ริหาร และ
พนักงานของเด็มโกเ้ กิดความสับสน ในแนวปฏิบตั ิที่ดีดา้ น IT Governance น้ี จึงขออธิบายความแตกต่างระหว่าง IT
Security กบั Cybersecurity เพือ่ ความเขา้ ใจในการกากบั ดูแลและบริหารจดั การที่ดี

2.1 IT Security กบั Cybersecurity คืออะไร ?

IT Security Cybersecurity

IT Security หรือท่ีเรารู้จกั กนั วา่ ความปลอดภยั Cybersecurity คือ การรักษาขอ้ มูลท่ีอยู่ในรูปแบบ

ทางขอ้ มูล (Information Security) คือ การรักษาขอ้ มูล ของข้อมูลอิเล็กทรอนิกส์ หรืออยู่บนอุปกรณ์ที่มีการ

ท่ีอยู่ในรู ปแบบของ Digital Format หรื อ Digital เชื่อมต่อสัญญาณอินเทอร์เน็ต เช่น Tablet คอมพิวเตอร์

Information ใหเ้ ป็นความลบั รวมไปถึงการดูแลขอ้ มลู สานักงาน รวมไปถึงเซิร์ฟเวอร์เครือข่ายด้วย โดยมี

เหล่าน้ันให้พร้อมใช้งานอยู่เสมอ ซ่ึงก็คือ เป็ นการ จุดประสงคเ์ พ่ือรักษาขอ้ มูลอิเล็กทรอนิกส์จากการเขา้ ถึง

รักษาความมนั่ คงปลอดภัยให้กับระบบสารสนเทศ ที่ไม่ได้รับอนุญาต ซ่ึงผู้เช่ียวชาญด้าน Cybersecurity

ของกลุ่มบริษทั เด็มโกน้ นั่ เอง ส่วนใหญ่ จะมีวิธีการในการเลือกใช้ Protocol รวมไปถึง

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 6

IT Security Cybersecurity

การระบุขอ้ มูลท่ีมีความเสี่ยงต่อการถูกโจรกรรม เพ่ือ

ป้องกนั และประเมินความเสี่ยงอยตู่ ลอดเวลา

โปรโตคอล (Protocol) คือข้อกาหนดซ่ึงเป็ น

มาตรฐานใช้สา หรั บกา รส่ื อสา รระ หว่าง ค อมพิ วเ ต อ ร์

ช่วยให้ระบบคอมพิวเตอร์สองระบบซ่ึงแตกต่างกัน

สามารถสื่อสารกันอย่างเขา้ ใจได้ ท้งั วิธีการส่งและรับ

ขอ้ มูล วิธีการตรวจสอบขอ้ ผิดพลาดของการส่งและรับ

ขอ้ มูล การแสดงผลขอ้ มูลเมื่อส่งและรับระหว่างเคร่ือง

สองเคร่ือง

IT Security สามารถแบง่ ออกเป็น 5 กล่มุ ดงั ต่อไปน้ี Cybersecurity สามารถแบ่งออกเป็ น 5 กลุ่มงาน เช่นกนั

ดงั น้ี

1. Network Security เป็ นการรักษาความปลอดภัย 1. Network Security เ ป็ น ก า ร รั ก ษ า ค ว า ม มั่น ค ง

เครื อข่าย มีไว้เพื่อป้องกันไม่ให้ผู้ใช้ (User) ท่ี ปลอดภยั ของระบบอินเทอร์เน็ตเพ่ือป้องกนั การถูก

ไม่ได้รับอนุญาตหรื อเป็ นอันตรายเข้ามาใน คุกคาม ซ่ึงจาเป็ นที่จะต้องมีระบบที่พฒั นา มาเพื่อ

เครือข่ายได้ และป้องกนั ไม่ให้แฮ็กเกอร์สามารถ จดั การกบั บุคคลภายนอกท่ีเขา้ มาใชง้ านโดยไม่ไดร้ ับ

เขา้ ถึงข้อมูลในเครือข่ายอีกด้วย ซ่ึงเป็ นผลดีกับ อนุญาต อาจทาไดโ้ ดยการใช้ Machine learning บาง

เจ้าของเครื อข่าย แต่ว่าในปั จจุบัน Network ตัวเพ่ือรับส่งข้อมูลและคอยแจ้งเตือนถึงความ

Security เป็ นเร่ืองที่ค่อนข้างน่าหนักใจสาหรับ ผิดปกติ

บริ ษัทต่าง ๆ เนื่องจากแต่ละบริ ษัทมีจานวน

อุปกรณ์ปลายทาง (Endpoint) ที่มีการรักษาความ

มั่นคงปลอดภัยค่อนข้างต่า และการหลอกลวง

เหย่ือที่เป็นคนง่ายกว่าการโจมตีมายงั คอมพิวเตอร์

โดยตรง ค่อนขา้ งเยอะและยงั ยา้ ยไปสารองขอ้ มูล

ใน Public Cloud อีก ซ่ึงยากต่อการควบคุม

2. Cloud Security ในอดีตเวลาจะยา้ ย Application, 2. Cloud Security เป็นการรักษาความปลอดภยั ให้กบั

ข้อมูล หรือข้อมูลประจาตัวไปยงั ระบบคลาวด์ ขอ้ มูลท่ีเก็บในคลาวด์ แมว้ ่าในช่วงแรก ผูใ้ ชง้ านจะ

ผูใ้ ช้งานจะตอ้ งเช่ือมต่อกบั อินเทอร์เน็ตโดยตรง มองวา่ Cloud Computing มีการรักษาความปลอดภยั

และไม่ผา่ นการป้องกนั อะไรเลย แต่ในปัจจุบนั มี ต่า จึงเลือกที่จะเก็บขอ้ มูลไวใ้ นเซิร์ฟเวอร์ของทาง

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 7

IT Security Cybersecurity
Cloud Security ซ่ึงมีระบบที่สามารถช่วยรักษา
ความปลอดภยั ใหก้ บั แอปพลิเคชนั ตา่ งๆ มีตวั กลาง บริษทั หรือองคก์ รของตนเอง แต่ในปัจจุบนั การเก็บ
ท่ีคอยจัดการ การเข้าถึงระบบ มี Gateway ที่ ข้อมูลบน Cloud Computing น้ันมีความปลอดภัย
ปลอดภยั ตลอดจนการภยั คุกคามบนคลาวดอ์ ีกดว้ ย มากกว่าถา้ มี Cloud Computing ท่ีดี และขอ้ ดีคือไม่
3. Application Security เ ป็ น ก า ร รั ก ษ า ค ว า ม ตอ้ งเสียค่าใชจ้ ่ายและเสียเวลาในการดูแลเซิร์ฟเวอร์
ปลอดภยั ในการเขา้ ใชแ้ อปพลิเคชนั ต่าง ๆ โดยผใู้ ช้
จะไดร้ ับรหัสเฉพาะเพ่ือยืนยนั ตวั ตน หรือเป็ นการ 3. Application Security เป็ นการรักษาความปลอดภยั
ยืนยนั ว่าระบบจะไม่ถูกโจมตี ซ่ึงข้อดีของการมี ในระบบ Application เช่น โปรแกรม Antivirus,
Application Security ก็คือเด็มโก้สามารถประเมิน Firewall หรือโปรแกรมการเขา้ รหัส ซ่ึงจะมีการใช้
ไดว้ า่ ระบบมีช่องโหวใ่ นซอฟตแ์ วร์ตรงไหนบา้ ง ท้งั Hardware และ Software ควบคู่กนั ไปเพื่อจดั การ
กับภยั คุกคามที่เกิดข้ึน ในปัจจุบนั ภยั คุกคามมักจะ
4. Internet Security เป็ นการรักษาความปลอดภัย เกิดข้นึ ตอน Application อยใู่ นข้นั ตอนที่กาลงั พฒั นา
อินเทอร์เน็ตในดา้ นการป้องกนั ขอ้ มูลท่ีตอ้ งรับและ ดงั น้นั การมี Application Security จึงเป็นอีกทางเลือก
ส่งใน Browsers ตลอดจนการใช้งานผ่าน Web หน่ึงในการป้องกนั ขอ้ มลู ใน Application
Application ที่ถูกออกแบบมาเพื่อตรวจสอบขอ้ มูล
ที่ รั บ ส่ ง เ ข้า ม า ท า ง อิ น เ ท อ ร์ เ น็ ต แ ล ะ ต ร ว จ ส อ บ 4. Internet of Thing Security (IOT Security) เป็นการ
มัลแวร์ ซ่ึงหลายๆบริษัทใช้Firewall, โปรแกรม รักษาความปลอดภยั ใหก้ บั อปุ กรณ์ IOT เน่ืองจากพอ
Antimalware และโปรแกรม Antispyware ในการ มีเทคโนโลยี IOT เขา้ มา มีปัจจยั หลายอย่างท่ีทาให้
ป้องกนั เกิดความเส่ียงในการโดนคุกคาม เน่ืองจากอุปกรณ์
IOT มักจะสามารถส่งข้อมูลถึงกันได้ผ่านทาง
อินเทอร์เน็ต ดังน้ันจึงต้องมี IOT Security เพื่อใช้
เป็ นมาตรการในการรักษาความปลอดภยั ไซเบอร์
ใหก้ บั กลุม่ บริษทั เด็มโกด้ ว้ ย

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 8

IT Security Cybersecurity

5. Endpoint Security เป็ นการรักษาความปลอดภยั 5. Critical Infrastructure Security เป็ นการรั กษา

ใหแ้ ก่อปุ กรณ์ปลายทาง เช่น โทรศพั ทม์ ือถือ Tablet ความปลอดภัยของระบบโครงสร้างพ้ืนฐาน เช่น

Laptops หรือคอมพิวเตอร์ โดยเป็นการป้องกนั เพ่ือ ระบบในโรงพยาบาล ระบบไฟฟ้า ระบบต่าง ๆ ใน

ไม่ให้อุปกรณ์ที่ถูกใช้เหล่าน้ีเข้าถึงหน้าเว็บหรือ โรงพยาบาลหรื อศูนย์การค้า เป็ นต้น ระบบ

เครือข่ายที่เป็ นอนั ตรายซ่ึงอาจจะก่อความเสียหาย โครงสร้างพ้ืนฐานเหล่าน้ี มักจะเช่ื อมต่อกับ

ใหแ้ ก่เดม็ โกไ้ ด้ แตโ่ ดยปกติแลว้ ในบริษทั ต่างๆจะมี อินเทอร์เน็ต ซ่ึงง่ายต่อการถูกโจมตี ดังน้ันบริษทั
ซอฟตแ์ วร์ในการจดั การกบั มลั แวร์โดยเฉพาะ และองค์กร ควรจะให้ความสาคญั โดยการทาแผน

สารองไวใ้ ชเ้ มื่อเกิดเหตุฉุกเฉิน เพราะหากไม่มีแผน

สารอง อาจเกิดความเสียหายได้

Cloud Computing เป็ นรูปแบบการใช้งานระบบสารสนเทศร่วมกันบนเครือข่ายคอมพิวเตอร์เพื่อบริหาร

จดั การความตอ้ งการทรัพยากรในการประมวลผลตามความตอ้ งการของผใู้ ชง้ าน ซ่ึงอาจมีการกาหนดขอบเขตการใช้

งานทรัพยากร การประมวลผลดงั กล่าวอย่างเฉพาะเจาะจงสาหรับผูห้ น่ึงผูใ้ ด หรืออาจมีการใช้งานร่วมกนั ของกลุ่ม

ผูใ้ ช้งานและนิติบุคคล เพ่ือประสิทธิภาพในการใช้บริหารจดั การทรัพยากรและตน้ ทุนอย่างเหมาะสม การใช้งาน

ทรัพยากรร่วมกันบนเครือข่ายส่งผลให้เกิดความซับซ้อนด้านเทคโนโลยี รวมถึงความเส่ียงอันอาจจะเกิดข้ึนต่อ

สารสนเทศท่ีถกู จดั เก็บอยบู่ นเครือขา่ ยท่ีมีการบริหารจดั การโดยบุคคลภายนอก หรือผใู้ หบ้ ริการ Cloud Computing

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 9

2.2 ภัยคุกคำมในระบบสำรสนเทศ

ภยั คุกคำมในระบบสำรสนเทศ (Threat Information System)

IT Security มกั จะเจอภยั คุกคามหลายรูปแบบ แต่รูปแบบ Cybersecurity สามารถเจอกบั ภยั คกุ คามไดจ้ าก 3 สิ่งตอ่ ไปน้ี
ท่ีพบบ่อย ๆ จะเป็ นมัลแวร์หรือซอฟต์แวร์ท่ีมี การติด
อปุ กรณ์เครือข่ายที่แตกต่างกนั ไดแ้ ก่

1. Ransomware เป็นมลั แวร์ชนิดหน่ึง ไม่ไดถ้ กู ออกแบบ 1. Cybercrime หรือท่ีเราเรียกกนั วา่ อาชญากรรมไซเบอร์

มาเพ่ือใชใ้ นการขโมยขอ้ มูลเหมือนมลั แวร์ตวั อื่น ๆ แต่ ซ่ึงหมายถึง การกระทาความผิดทางกฎหมายโดยใช้

จะเป็ นการล็อกไฟล์ต่าง ๆ ไม่ว่าจะเป็ นไฟล์เอกสาร คอมพิวเตอร์หรืออปุ กรณ์อ่ืน ๆ ท่ีสามารถเช่ือมต่อเขา้ กบั

วดิ ีโอ รูปภาพ ซ่ึงเจา้ ของจะไม่สามารถใชง้ านไฟลข์ อง อินเทอร์เน็ตเป็นเคร่ืองมือในการทาลายระบบ หรือขโมย

ตนเองได้ โดย ส่ วนใหญ่แล้ว ผู้ใช้งานที่ โดน ขอ้ มูลสาคญั ต่าง ๆ ซ่ึงทาให้เกิดความเสียหายต่อบุคคล

Ransomware จะถูกทาใหไ้ ฟลต์ ่างๆ ตอ้ งเขา้ รหสั ซ่ึงถา้ บริษทั และองค์กร ตวั อย่างเช่น การเจาะเข้าไปขโมย

อยากไดร้ หัส ก็ตอ้ งจ่ายเงินตามราคาที่แฮกเกอร์ตกลง ขอ้ มูลของเหย่ือผ่านทางอีเมลโดยการส่งมลั แวร์บางตัว

นั่นเอง แต่ต่อให้ผูใ้ ช้งานจ่ายเงินไปแลว้ ก็ไม่มีอะไร ไป เม่ือเหยื่อเปิ ดอีเมล ก็จะให้ติดมลั แวร์ตวั น้ันไปด้วย

รับประกันได้ว่าจะได้รับรหัสเพ่ือเข้าใช้งานได้อยู่ดี ทาให้สามารถขโมยขอ้ มูลได้ ซ่ึงถา้ เหยื่ออยากไดข้ อ้ มูล

การป้องกนั Ransomware สามารถทาไดโ้ ดยการติดต้งั คืน อาจจะต้องจ่ายเป็ นเงินตามจานวนที่อาชญากร

Antivirus (ต้อง Update และ Scan อยู่เสมอ) หรือทา เหล่าน้นั เรียก

การสารองขอ้ มลู ท่ีสาคญั เอาไวห้ ลาย ๆ แห่ง 2. Cyber-attack เป็ นการโจมตีเพื่อขโมยขอ้ มูลชนิดหน่ึง

2. Spyware เป็ นมลั แวร์ชนิดหน่ึงท่ีสามารถขโมยข้อมูล ซ่ึง Cyber-attack ท่ีพบบอ่ ย ๆ มี 3 ประเภท คือ

จากไดรฟ์ ของผใู้ ช้ ไม่วา่ จะเป็น รหสั บตั รเครดิต ขอ้ มูล 2.1 การก่อกวนเครือข่าย เป็ นการเรียกใช้งานระบบ

บญั ชีธนาคาร การเขา้ ระบบในเวบ็ ตา่ ง ๆ รวมไปถึงการ พร้อม ๆ กัน จนทาให้ระบบรวน ไม่สามารถใช้

ขโมยไฟลข์ อ้ มูลอีกดว้ ย โดยส่วนใหญ่แลว้ ผูใ้ ชจ้ ะได้ การได้

Spyware มาจากโปรแกรมหรือไฟล์ที่ดาวน์โหลดมา 2.2 การปลอมหน้าเว็บไซต์ เป็ นการปลอมหน้า

จากอินเทอร์เน็ต การป้องกนั Spyware ทาไดโ้ ดยการ เว็บไซต์เพื่อทาให้เกิดการเข้าใจผิด ซ่ึงอาจจะ

ต้งั ค่าความเป็ นส่วนตวั ในคอมพิวเตอร์ของตนเอง ไม่ นาไปสู่การขโมยขอ้ มูลที่สาคญั ได้

เปิ ดอีเมลจากบุคคลที่ไม่รู้จกั และดาวน์โหลดไฟลจ์ าก 2.3 การติดต้ังโปรแกรมประสงค์ร้าย เป็ นการขโมย

เวบ็ ท่ีไดร้ ับการยนื ยนั แลว้ เท่าน้นั ขอ้ มูลหรือโจรกรรมเงินในบญั ชีของเหยอ่ื

3. Viruses เป็นมลั แวร์ชนิดหน่ึงที่มีความสามารถในการ 3. Cyberterrorism หรือเราเรียกกนั ว่า การก่อการร้ายทาง

ทาลายโปรแกรมหรือข้อมูลต่าง ๆ ในคอมพิวเตอร์ ไซเบอร์ ส่วนใหญ่จะเป็นการโจมตีเครือข่ายใหญ่ ๆ เช่น

หรือสร้างความราคาญใจใหแ้ ก่ผูใ้ ชง้ านโดยการแสดง ระบบคอมพิวเตอร์ หรื อ เครื อข่ายโทรคมนาคม

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 10

ภยั คุกคำมในระบบสำรสนเทศ (Threat Information System)

ข้อความวิ่งไปมาบนหน้าจอคอมพิวเตอร์ ส่วนใหญ่ นอกจากน้ียังสามารถติดตามตัวผู้กระทาผิดได้ยาก

แลว้ ผูใ้ ชง้ านจะไม่รู้ว่าคอมพิวเตอร์ติด Virus จนกว่า เนื่องจากสามารถทาที่ไหนบนโลกก็ได้ ผลลพั ธ์ท่ีมกั จะ

จะเรียกโปรแกรมหรือขอ้ มูลต่าง ๆ ข้ึนมาใช้งาน ผูใ้ ช้ เจอหลงั จากการโดน Cyberterrorism มีหลายอย่าง เช่น

สามารถป้องกันการติด Virus ได้โดยไม่ต่ออุปกรณ์ สูญเสียขอ้ มูลท่ีเป็นความลบั ทางธุรกิจ การหยดุ ชะงกั ของ

แปลก ๆ ที่ไม่ไดร้ ับการสแกนไวรัสเขา้ กบั เครื่อง ไม่วา่ ระบบ หรือ การเสียประสิทธิภาพในการป้องกันความ

จะเป็น แฟลชไดร์ฟ หรือ แผน่ ซีดีก็ตาม ปลอดภยั ดา้ นไซเบอร์ ซ่ึงกว่าจะแกป้ ัญหาได้ จะตอ้ งใช้

เวลาค่อนขา้ งนาน

6 วธิ ที ่สี ำมำรถป้องกนั ภยั คุกคำมด้ำนไซเบอร์
1. คอยอปั เดต Software และ Operating System เสมอ :

จะสามารถช่วยให้ผู้ใช้งานได้รับประโยชน์จาก
ระบบเวอร์ชนั ลา่ สุดมากที่สุด
2. ใช้ Antivirus Software : เช่นการใช้ Kaspersky Total
Security เพ่ือตรวจจับความผิดปกติและกาจัดได้
อยา่ งทนั ที
3. ต้งั รหสั พาสเวิดใหเ้ ดายาก : ผใู้ ชง้ านควรต้งั รหัสใหม้ ี
ความหลากหลาย ไม่เดาง่าย เช่น 12345 หรือวนั เกิด
ของตนเอง ควรจะมีการใชต้ วั อกั ษรพิมพใ์ หญ่ พิมพ์
เลก็ สลบั กนั ไปกบั ตวั เลข เพือ่ ใหย้ ากตอ่ การคาดเดา
4. อย่าเปิ ดอีเมลจากคนที่ไม่รู้จัก : การเปิ ดอีเมลจาก
แหล่งท่ี มาท่ี เราไม่คุ้นเคย อาจจะ ทาใ ห้ผู้ใ ช้
โดนมลั แวร์ที่ถกู ส่งมาพร้อมอีเมลเลน่ งานเอาได้
5. อยา่ กดลิ้งกท์ ่ีไมม่ ีการรับรองความปลอดภยั : การกด
เขา้ ลิงกม์ ว่ั ซว่ั เป็นช่องทางการโดนขโมยขอ้ มูลท่ีง่าย
สุด ผูใ้ ช้งานจะไม่สามารถรู้เลยว่าลิงด์ที่กดเข้าไป
เป็ นเว็บอะไร ซ่ึงกว่าจะรู้ตวั ว่าโดนมลั แวร์ก็มกั จะ
สายไปเสียแลว้

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 11

2.3 ควำมคล้ำยคลงึ ระหว่ำง IT Security และ Cybersecurity
IT Security และ Cybersecurity ค่อนขา้ งมีความคลา้ ยคลึงกนั ซ่ึงอาจจะทาให้เกิดความสับสนได้ ท้งั IT และ
Cybersecurity หมายถึง แนวทางปฏิบตั ิที่มีจุดมุ่งหมายเพื่อรักษาความปลอดภยั และป้องกนั ระบบคอมพิวเตอร์
จากการถูกละเมิดขอ้ มูล นอกจากน้ี ท้งั IT Security และ Cybersecurity ยงั มีกระบวนการทางานท่ีคลา้ ย ๆ กนั
และส่งเสริมกนั อีกดว้ ย มีความเก่ียวกนั โดยตรงไม่สามารถแยกกนั โดยอิสระ โดยสังเกตว่าการรักษาความ
มน่ั คงปลอดภยั ไซเบอร์ จะรวมทุกอยา่ งและทกุ คนที่สามารถเขา้ ถึงขอ้ มลู ไดผ้ า่ น Cyberspace

กลุ่มบริษทั เด็มโก้ จะตอ้ งมี IT Security เพื่อรักษาความปลอดภยั ให้กบั ขอ้ มูลในคอมพิวเตอร์ และจะตอ้ งมี
Cybersecurity เพอื่ รักษาความมน่ั คงปลอดภยั ใหก้ บั ขอ้ มูลอิเลก็ ทรอนิกส์ (ขอ้ มูลที่ออนไลนอ์ ยใู่ นโลกไซเบอร์) ท้งั สอง
ส่ิงน้ีเป็ นเหมือนกุญแจสาคญั ในการรักษาขอ้ มูลต่าง ๆ และทาหน้าที่รับประกนั มูลค่าของขอ้ มูลดว้ ย ยกตวั อย่าง เช่น
ผูใ้ ชง้ านมีการถือบญั ชีธนาคาร ทางองคก์ รจะตอ้ งมี IT Security และ Cybersecurity เพื่อป้องกนั ไม่ให้รหัส PIN ของ
ผใู้ ชง้ านรั่วไหล และจะตอ้ งเกบ็ ขอ้ มลู ส่วนตวั ของผใู้ ชง้ านไวเ้ ป็นความลบั เป็นตน้

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 12

สรุปควำมแตกต่ำง IT Security และ Cybersecurity

IT Security Cybersecurity
• สามารถป้องกนั ขอ้ มูลที่เป็นอิเลก็ ทรอนิกส์
• สามารถป้องกนั ขอ้ มลู ที่เป็น Digital format หรือ
Digital Information และ Physical Data เท่าน้นั
• สามารถป้องกนั ขอ้ มลู ท่ีมีคา่ และมีความเส่ียงสูง
• สามารถรักษาความปลอดภยั Information ที่เป็น
ความลบั เพ่อื ใหพ้ ร้อมใชง้ าน ที่จะถูกโจรกรรมหรือถกู แฮก็
• สามารถป้องกนั ภยั คกุ คามในโลกไซเบอร์ได้
• สามารถป้องกนั ช่องสัญญาณเพ่มิ เติมมากกวา่ โลก
ไซเบอร์ • มงุ่ เนน้ ไปท่ีการป้องกนั อินเทอร์เนต็ ช่องทาง
เซิร์ฟเวอร์และเครือข่ายท่ีอนุญาตเฉพาะผทู้ ี่
• สามารถรักษาขอ้ มูลท่ีเป็นความลบั และมุ่งเนน้ การ ไดร้ ับอนุญาตใหเ้ ขา้ ถึงได้
เขา้ ถึงและปกป้องความลบั ของขอ้ มลู

กล่าวโดยสรุป ท้งั IT Security และ Cybersecurity มีจุดประสงค์เดียวกนั คือการรักษาขอ้ มูล ต่างกนั ตรงที่วา่
IT Security มีไว้เพื่อป้องกันข้อมูลท่ีอยู่ในรูปแบบของ Digital format หรื อ Digital Information ให้กับบริ ษัท
ส่วน Cybersecurity มีไวเ้ พื่อป้องกนั ขอ้ มูลอิเลก็ ทรอนิกส์ ป้องกนั การก่ออาชญากรรมทางไซเบอร์ ไม่ว่าจะเป็นการ
แฮ็กระบบเพ่ือขโมยขอ้ มูลสาคญั ของหน่วยงานต่าง ๆ หรือการเรียกค่าไถ่ขอ้ มูล โดยมุ่งเนน้ ดา้ นปัญหาความปลอดภยั
จากอินเทอร์เน็ต เพื่อป้องกนั การก่ออาชญากรรมทางไซเบอร์ โดยมีวตั ถุประสงคด์ า้ นการเงินไม่วา่ จะเป็นท้งั Hacking
และจากการจารกรรมขอ้ มลู สาคญั ของหน่วยงานหรือบริษทั ต่าง ๆ รวมถึง Cyber War

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 13

3. แนวทำงปฏิบัติในกำรกำกบั ดูแลบริหำรจัดกำรเทคโนโลยีสำรสนเทศ (IT Governance Framework Setting and
Maintenance)
คณะกรรมการและฝ่ายจดั การ มีหนา้ ท่ีรับผดิ ชอบกากบั ดูแลและบริหารจดั การเทคโนโลยสี ารสนเทศ ตาม

หลกั กากบั ดูแลกิจการที่ดี สาหรับบริษทั จดทะเบียนปี 2560

หลกั ปฏบิ ัติ 5.4
คณะกรรมการควรจดั ให้มีกรอบการกากบั ดูแลและการบริหารจดั การเทคโนโลยสี ารสนเทศระดบั องคก์ ร ท่ี
สอดคลอ้ งกบั ความตอ้ งการของกิจการ รวมท้งั ดูแลใหม้ ีการนาเทคโนโลยสี ารสนเทศมาใชใ้ นการเพิ่มโอกาสทางธุรกิจ
และพฒั นาการดาเนินงาน การบริหารความเส่ียง เพื่อให้กิจการสามารถบรรลุวตั ถุประสงค์และเป้าหมายหลกั ของ
กิจการ

แนวปฏบิ ตั ิ

5.4.1 คณะกรรมการควรจดั ให้มีนโยบายเร่ืองการจดั สรรและการบริหารทรัพยากรดา้ นเทคโนโลยสี ารสนเทศ
ซ่ึงครอบคลุมถึงการจดั สรรทรัพยากรใหเ้ พียงพอต่อการดาเนินธุรกิจ และการกาหนดแนวทางเพ่ือรองรับในกรณีท่ีไม่
สามารถจดั สรรทรัพยากรไดอ้ ยา่ งเพียงพอตามท่ีกาหนดไว้

5.4.2 คณะกรรมการควรดูแลให้การบริหารความเสี่ยงขององค์กรครอบคลุมถึงการบริหารและจดั การความ
เส่ียงดา้ นเทคโนโลยสี ารสนเทศดว้ ย

5.4.3 คณะกรรมการควรจดั ใหม้ ีนโยบายและมาตรการรักษาความมนั่ คงปลอดภยั ของระบบสารสนเทศ

จากหลกั ปฏิบตั ิขา้ งตน้ คณะกรรมการและฝ่ ายจดั การ จึงตอ้ งกาหนดบทบาทหนา้ ที่และความรับผิดชอบ การ
กากบั ดูแลและการบริหารจดั การเทคโนโลยสี ารสนเทศ ของกลุ่มบริษทั เด็มโก้ ที่เก่ียวขอ้ งกบั

• การกาหนดขอบเขตและการวางกรอบกากบั ดูแลและบริหารจดั การเทคโนโลยีสารสนเทศ และระบุผูม้ ี
ส่วนไดเ้ สียที่เกี่ยวขอ้ ง

• การอนุมตั ินโยบายการกากบั ดูแลและบริหารจดั การเทคโนโลยสี ารสนเทศระดบั องคก์ รที่ดี และจดั ให้มี
การกาหนดข้นั ตอน วิธีปฏิบตั ิงานและกระบวนการท่ีเก่ียวขอ้ งใหเ้ ป็นไปตามนโยบายดงั กล่าว

• การสื่อสารนโยบายกากบั ดูแลและการบริหารจดั การเทคโนโลยสี ารสนเทศ รวมท้งั ข้นั ตอน วิธีปฏิบตั ิงาน
และกระบวนการท่ีเกี่ยวข้องให้กรรมการ ผูบ้ ริหาร และพนักงาน กลุ่มบริษัทเด็มโก้ รับทราบและ
สนบั สนุนใหม้ ีการปฏิบตั ิตามนโยบาย

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 14

• การดูแลและติดตามเพ่ือให้ม่ันใจว่า กิจกรรมในการกากับดูแลและการบริหารจัดการเทคโนโลยี
สารสนเทศ มีการดาเนินการอยา่ งมีประสิทธิภาพและประสิทธิผล เช่น จดั ใหม้ ีการออกแบบการควบคุม
ภายในที่เพียงพอเหมาะสม มีการดาเนินงานตามการควบคุมท่ีได้ออกแบบไว้ มีการตรวจสอบโดย
หน่วยงานท่ีเป็ นอิสระ มีการรายงานผลการดาเนินงานต่อคณะกรรมการบริษทั คณะกรรมการชุดย่อย
(Board Committee) ที่เกี่ยวขอ้ ง อย่างเพียงพอ ทนั เวลาและต่อเน่ือง รวท้งั มีการติดตามผลการปรับปรุง
แกไ้ ขขอ้ บกพร่องต่าง ๆ ใหอ้ ยใู่ นระดบั ที่ยอมรับได้

• ทบทวนหรือปรับปรุงนโยบายการกากบั ดูแลและบริหารจดั การเทคโนโลยีสารสนเทศ อยา่ งนอ้ ยปี ละหน่ึง
คร้ัง และทบทวนโดยไม่ชกั ช้าเม่ือมีเหตุการณ์ใด ๆ ซ่ึงอาจส่งผลกระทบต่อการกากบั ดูแลและบริหาร
จดั การเทคโนโลยีสารสนเทศอย่างมีนัยสาคญั และจดั ให้มีการปรับปรุงข้นั ตอนและวิธีปฏิบตั ิงานให้
สอดคลอ้ งกบั นโยบายท่ีมีการเปลี่ยนแปลงดว้ ย

นอกจากน้ีคณะกรรมการและฝ่ ายจดั การ ควรมีความรู้ ความเขา้ ใจเก่ียวกบั เทคโนโลยีสารสนเทศและ
พฒั นาการทางด้านเทคโนโลยีสารสนเทศที่เปลี่ยนแปลงไป รวมท้ังความเส่ียงท่ีเกี่ยวข้องและความเสี่ยงอนั สืบ
เนื่องมาจากการใชง้ านเทคโนโลยีสมยั ใหม่ เช่น ความเสี่ยงทางไซเบอร์ ความเสี่ยงดา้ นการใชง้ าน IoT เป็นตน้ เพ่ือให้
สามารถกาหนดทิศทางและกากบั ดูแลใหก้ ลุ่มบริษทั เด็มโก้ มีการใชเ้ ทคโนโลยสี ารสนเทศใหส้ อดรับกบั กลยทุ ธ์ในการ
ดาเนินธุรกิจ และสามารถกากบั ดูแลการบริหารจดั การเทคโนโลยสี ารสนเทศไดอ้ ยา่ งมีประสิทธิภาพ กบั คณะกรรมการ
และผบู้ ริหารระดบั สูง ควรไดร้ ับการอบรมหรือเขา้ สัมมนาเสริมความรู้เกี่ยวกบั เทคโนโลยีสารสนเทศท่ีเกี่ยวขอ้ งอยา่ ง
เพียงพอตามระยะเวลาท่ีเหมาะสมดว้ ย

เพ่ือให้การกากบั ดูแลบริหารจดั การเทคโนโลยสี ารสนเทศ มีความสอดคลอ้ งกบั วตั ถุประสงค์ของกลุ่ม
บริษทั เด็มโก้ มีประสิทธิผล มีความโปร่งใส และเป็ นไปตามกฎหมายและขอ้ บงั คบั ต่าง ๆ คณะกรรมการและฝ่ าย
จดั การไดก้ าหนดและจดั ทานโยบายการกากบั ดูแลความมน่ั คงปลอดภยั ด้านเทคโนโลยีสารสนเทศ นโยบายการใช้
ระบบเครือข่ายและคอมพิวเตอร์ และนโยบายคุม้ ครองขอ้ มูลส่วนบุคคล ซ่ึงครอบคลุมถึงการจดั การความเสี่ยงดา้ น
เทคโนโลยีสารสนเทศที่เหมาะสม การส่งมอบผลประโยชน์และการใช้ทรัพยากรสารสนเทศให้ไดป้ ระโยชน์สูงสุด
รวมถึงความโปร่งใสต่อผมู้ ีส่วนไดเ้ สีย โดยเดม็ โก้ พจิ ารณาดาเนินการดงั ตอ่ ไปน้ี

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 15

3.1 บทบำทหน้ำท่ีและควำมรับผิดชอบสำหรับคณะกรรมกำรและฝ่ ำยจัดกำรต่อควำมม่ันคงปลอดภัยเทคโนโลยี
สำรสนเทศ (Enterprise-Wide Risk Management)
ภยั คุกคามในระบบเทคโนโลยสี ารสนเทศ เป็นภยั คุกคามท่ีเติบโตเร็วที่สุดและอาจเป็นภยั ที่อนั ตรายท่ีสุด
ท่ีกลุ่มบริษทั เด็มโก้ อาจต้องเผชิญในปัจจุบัน คณะกรรมการและฝ่ ายจดั การ มีบทบาทหน้าที่และความ

รับผิดชอบร่วมกนั ต่อความมนั่ คงปลอดภยั ไซเบอร์และเทคโนโลยีสารสนเทศ จาเป็ นตอ้ งทาความเขา้ ใจกบั
ความเส่ียงดา้ น IT และ Cyber ในยุคปัจจุบนั รวมถึงมีกรอบการบริหารจดั การท่ีเหมาะสมและสอดคลอ้ งกบั
ความเสี่ยง ดงั น้ี

3.1.1 การบริหารจดั การความเส่ียงดา้ นไซเบอร์และเทคโนโลยสี ารสนเทศควรดาเนินการในระดบั องคก์ รและ

สอดคลอ้ งกบั กลยทุ ธ์การดาเนินธุรกิจ
คณะกรรมการและฝ่ ายจัดการ ควรนาความเส่ียงจากภัยคุกคามไซเบอร์และเทคโนโลยี

สารสนเทศ (IT) มาพิจารณาควบคู่กบั มุมมองดา้ นกลยุทธ์ของธุรกิจเด็มโก้ ดา้ นการปฏิบตั ิงานของทุก
สาย สายงาน หน่วยปฏิบตั ิการ และดา้ นการวดั มูลค่าทางเศรษฐกิจ (Economic Value) และควรกาหนด
ระดบั ความเส่ียงที่ยอมรับได้ (Risk Appetite) ดา้ นไซเบอร์ และดา้ นเทคโนโลยีสารสนเทศ (IT) ให้
สอดคลอ้ งกบั กลยทุ ธ์ในการดาเนินธุรกิจและความเสี่ยงของกลุ่มบริษทั เด็มโกใ้ นภาพรวม เพ่ือให้ฝ่ าย
จดั การสามารถจดั สรรทรัพยากรในการบริหารจดั การความเสี่ยงดา้ นไซเบอร์และ IT อย่างเหมาะสม
รวมไปถึงจัดให้มีการประเมินและบริหารจัดการความเส่ียงท้ังในระดับองค์กรและระดับจดั การ
เช่นเดียวกบั ความเสี่ยงสาคญั ดา้ นอื่น โดยการประเมินระดบั ความเสี่ยงด้าน IT และ Cyber ควรคานึงถึง
ภยั คุกคามท้งั ท่ีมีโอกาสเกิดข้ึนสูง และที่มีโอกาสเกิดข้ึนต่าแต่มีผลกระทบต่อเด็มโกม้ าก ตลอดจน
พิจารณาถึงมูลค่าทางเศรษฐกิจ ความเส่ียงทางดา้ นการเงินท้งั จากการลงทุนดา้ นการรักษาความมน่ั คง
ปลอดภยั ไซเบอร์และเทคโนโลยสี ารสนเทศ และมลู ค่าความเสียหายดา้ นการเงินท่ีเกิดข้ึนจากภยั คุกคาม
เพ่ือใชป้ ระมาณการงบประมาณใหส้ อดคลอ้ งกบั แผนธุรกิจของกลุ่มบริษทั เด็มโก้

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 16

3.1.2 การรักษาความมน่ั คงปลอดภยั ไซเบอร์และเทคโนโลยสี ารสนเทศ ควรดาเนินการตามความเสี่ยงที่กลุ่ม
ธุรกิจเด็มโกม้ ี (Risk-Board Approach)
โดยไม่ควรยึดถึงหลกั การ One-size-fits-all ควรปรับให้เหมาะสมและสอดคลอ้ งกบั การดาเนินธุรกิจและ

ความซับซ้อนของกลุ่มบริษทั เด็มโก้ และดูแลให้มีการบูรณาการ โดยให้หน่วยงาน สายงาน สานกั งาน และ
สายต่าง ๆ ท่ีเกี่ยวขอ้ งมีส่วนร่วม ตลอดจนมีการวางโครงสร้างการกากบั ดูแลให้มีการถ่วงดุลตามหลกั Three

Lines of Defense และการกาหนดบทบาทหนา้ ท่ีใหช้ ดั เจน

โดยหลักการรักษาความม่ันคงปลอดภัยไซเบอร์และเทคโนโลยีสารสนเทศที่เหมาะสม (Risk
Optimization) มีดงั น้ี
1. ระบคุ วามเส่ียง (Identity)

ในข้นั ตอนแรก ฝ่ ายบริหารควรระบุวา่ กลุ่มบริษทั เด็มโก้ มีกระบวนการปฏิบตั ิงานและทรัพยส์ ินดา้ น
เทคโนโลยีสารสนเทศใดบา้ งที่มีความเส่ียงสูงต่อการถูกคุกคามทางไซเบอร์ เพ่ือให้สามารถกาหนดมาตรการ
ป้องกนั ติดตามรับมือ และกูค้ นื ระบบไดอ้ ยา่ งเหมาะสมกบั ระดบั ความเสี่ยงท่ีมีอยู่

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 17

2. วางกลไกการป้องกนั (Protection)

เมื่อระบุความสาคญั หรือระดบั ความเสี่ยงของกระบวนการปฏิบตั ิงานและทรัพยส์ ินดา้ นเทคโนโลยี
สารสนเทศ ดา้ นต่าง ๆ แลว้ จะสามารถกาหนดแนวทางและดาเนินการตามมาตรการป้องกนั ไดอ้ ยา่ งเหมาะสม
ครอบคลุมถึงการติดต้ังอุปกรณ์รักษาความปลอดภัย เช่น Advance Persistence Threat (APT) , Web
Application Firewall (WAF) Intrusion Detection System / Intrusion Protection System (IDS/IPS) เป็นตน้

การควบคุมให้เขา้ ถึงและการใชง้ านระบบ การรักษาความมนั่ คงปลอดภยั ขอ้ มูลท้งั ที่จุดรับระหว่าง
การรับส่ง และท่ีจดั เก็บไวใ้ นระบบ การพฒั นาโปรแกรมที่มีความปลอดภยั ตลอดจนการจดั ใหม้ ีการฝึ กอบรม
และสร้างความตระหนกั ถึงความเส่ียงดา้ นเทคโนโลยสี ารสนเทศและดา้ นไซเบอร์ใหแ้ ก่บุคลากรทุกระดบั ใน
กลมุ่ บริษทั เดม็ โก้

3. จดั ใหม้ ีการติดตาม (Detection)

แมว้ า่ เด็มโก้ ไดว้ างแนวทางป้องกนั ไวแ้ ลว้ แต่การเป็นเป้าหมายของการถูกคุกคามและโจรกรรม จาก
Cybercrime , Cyber-attack และ มลั แวร์ Spyware Viruses ฯลฯ และการเผชิญความเสี่ยงกบั ภยั คุกคามไซเบอร์
รูปแบบใหม่ยงั คงมีอยู่อยา่ งต่อเน่ือง ดงั น้นั เด็มโก้ จาเป็นตอ้ งจดั ใหม้ ีสายงานเทคโนโลยีสารสนเทศทาหน้าที่
ติดตามเฝ้าระวงั ภยั คุกคามไซเบอร์อย่างต่อเนื่อง และมีการติดต้งั เคร่ืองมือ รวมท้งั มีกระบวนการติดตามเฝ้า
ระวงั เหตกุ ารณ์ภยั คกุ คามไซเบอร์ และแจง้ เตือนเมื่อมีสิ่งผิดปกติเขา้ มาภายในเดม็ โก้ นอกจากน้ีฝ่ายจดั การควร
ติดตามข่าวสารภัยคุกคามที่เกิดข้ึนกบั ภายนอก และแลกเปลี่ยนขอ้ มูลข่าวสาร การสร้างความร่วมมือกับ
หน่วยงานอื่น ๆ เช่น Thailand Banking Sector CERT (TB-CERT) หรือศนู ยป์ ระสานงานการรักษาความมนั่ คง
ปลอดภยั เทคโนโลยสี ารสนเทศภาคการธนาคาร เพ่อื นาขอ้ มูลมาวเิ คราะห์และปรับใชใ้ นการติดตามภยั คุกคาม
มาสู่ระบบงานของกลุ่มบริษทั เดม็ โกใ้ นเชิงรุก

4. เตรียมแนวทางการรับมือและเตรียมมาตรการกูค้ ืน (Response and Recover)

เด็มโก้ เตรียมการตอบสนองในกรณีที่ถูกคุกคามทางไซเบอร์ โดยจดั ใหม้ ีแผนและกระบวนการรับมือต่อ
เหตุการณ์ผิดปกติที่เกิดข้ึน ครอบคลุมท้งั วิธีการรับมือ การวิเคราะห์เหตุการณ์ การจากดั ความเสียหายไม่ให้
ลุกลามในวงกวา้ ง แนวทางการสื่อสารและประสานงานกบั ผทู้ ่ีเกี่ยวขอ้ ง โดยการเตรียมมาตรการและแนวทาง
ในการกูค้ ืนระบบให้สามารถกลบั มาปฏิบตั ิงานไดต้ ามปกติตามระยะเวลาท่ีกาหนดน้ัน ครอบคลุมใน 4 มิติ
ไดแ้ ก่ 1.) การแลกเปล่ียนขอ้ มูลท้งั ภยั คุกคามทางดา้ นไซเบอร์และแนวทางแกไ้ ขเป็ นไปตามแนวทางสากล
2.) สร้างมาตรฐานกลางดา้ นความมน่ั คงปลอดภยั ของการใช้เทคโนโลยใี หม่ 3.) กาหนดกระบวนการในการ
รับมือภยั คุกคามไซเบอร์ และจดั ให้มีการซักซ้อมอย่างสม่าเสมอ และ 4.) ส่งเสริมการพฒั นาบุคลากรดา้ น IT

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 18

Security และ Cybersecurity โดยครอบคลมุ ท้งั การสร้างบคุ ลากรใหม่เขา้ สู่กลุ่มธุรกิจเด็มโก้ กบั พฒั นาบุคลากร
ใหม้ ีความเขา้ ใจ และสร้างความตระหนกั ดา้ นความมน่ั คงปลอดภยั ดา้ นเทคโนโลยสี ารสนเทศ

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 19

3.2 โครงสร้ำงกำรกำกบั ดูแลและบริหำรจัดกำรเทคโนโลยีสำรสนเทศ
ในการกากบั ดูแลและบริหารจดั การเทคโนโลยีสารสนเทศ (IT Governance) ของเด็มโก้ ไดก้ าหนด

โครงสร้างองคก์ ร โดยพิจารณาตามหลกั การถ่วงดุลอานาจอยา่ งอิสระ (Check and Balance) และการแบง่ แยก
หนา้ ท่ีอยา่ งเหมาะสม (Segregation of Duties) ตามระดบั ของ Three Lines of Defence ดงั น้ี

First Line of Defence Second Line of Defence Third Line of Defence

หน่วยงานที่ทาหน้าที่ปฏิบัติงานด้าน หน่วยงานที่ทาหน้าท่ีกากับดูแลการ หน่วยงานท่ีทาหน้าท่ีตรวจสอบด้าน

เทคโนโลยสี ารสนเทศ (IT) ปฏิบตั ิงานดา้ นเทคโนโลยสี ารสนเทศ (IT) เทคโนโลยสี ารสนเทศ (IT)

• พัฒนาและสนับสนุนข้อมูลด้าน • สายงานบริหารความเส่ียง • กากบั และควบคุม

สารสนเทศ • สายงานเทคโนโลยสี ารสนเทศ • สานกั งานตรวจสอบ

• ระบบเทคโนโลยสี ารสนเทศ • สายงานกลยทุ ธอ์ งคก์ ร • ผตู้ รวจสอบอิสระ

ผบู้ ริหารและพนกั งานท่ีปฏิบตั ิงานดา้ น ผูบ้ ริหารหรือหน่วยงานท่ีมีหน้าที่ในการ หน่วยงานท่ีทาหน้าที่ตรวจสอบการ

เทคโนโลยีสารสนเทศ (IT) และ/หรือ กากับดูแลให้มีการปฏิบัติตามกฎและ ปฏิบตั ิงานของหน่วยปฏิบัติงานและ

เ ป็ น ผู้ใ ช้ ง า น ร ะ บ บ เ ท ค โ น โ ล ยี หลกั เกณฑ์ต่าง ๆ โดยบทบาทหน้าท่ีอาจ หน่วยงานกากับดูแลการปฏิบัติงาน

ส า ร ส น เ ท ศ ห รื อ ห น่ ว ย ง า น ด้ า น รวมถึงการกาหนดกรอบการบริหารความ รวมถึงหน่วยงานอ่ืน ๆ ที่เกี่ยวข้อง

เ ท ค โ น โ ล ยี ซ่ึ ง เ ป็ น ผู้ท า ห น้ า ท่ี เสี่ยงดา้ นเทคโนโลยีสารสนเทศ ส่ือสาร เ พื่ อ ใ ห้มั่น ใ จ ว่า ก า ร ป ฏิ บัติ ต า ม

(Responsible Person) ในการปฏิบตั ิงาน ปัญหาหรือความเส่ียงใหม่ ๆ ท่ีเกิดข้ึน

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 20

First Line of Defence Second Line of Defence Third Line of Defence

หน่วยงานท่ีทาหน้าที่ปฏิบัติงานด้าน หน่วยงานท่ีทาหน้าที่กากับดูแลการ หน่วยงานท่ีทาหน้าที่ตรวจสอบด้าน

เทคโนโลยสี ารสนเทศ (IT) ปฏิบตั ิงานดา้ นเทคโนโลยสี ารสนเทศ (IT) เทคโนโลยสี ารสนเทศ (IT)

ทางด้านเทคโนโลยีสารสนเทศ ซ่ึงมี ติดตามและสนับสนุนกระบวนการกากบั นโยบาย มาตรฐาน และกฎหมาย

หน้าท่ีในการปฏิบัติงานทางด้าน ดูแลและบริหารจัดการทางด้าน IT ของ ทางดา้ น IT ที่เก่ียวขอ้ ง

เทคโนโลยีสารสนเทศในขอบเขตท่ี เด็มโก้ ให้เป็ นไปในทิศทางท่ีเหมาะสม

รับผิดชอบ และปฏิบตั ิตามแนวทางการ รวมท้ังติดตามความเพียงพอเหมาะสม

ควบคุม ไดแ้ ก่ผใู้ ชง้ านในสายวศิ วกรรม ของการควบคมุ และปฏิบตั ิตามกฎระเบียบ

1, 2 สายงานบญั ชี บริหารการเงินและ ต่าง ๆ ของเด็มโก้

งบประมาณ สายงานจดั ซ้ือ คลงั สินคา้

สายงานทรัพยากรบุคคล สายงาน

การตลาด สายงานสนับสนุนและ

ติดตามโครงการ เป็นตน้

บทบำทหน้ำทดี่ ้ำนควำมมัน่ คงปลอดภัยไซเบอร์ (Cybersecurity)

กำรจัดกำรควำมเสี่ยงท่เี หมำะสม กำรกำหนดกรอบกำรกำกบั ดูแลและบริหำร กำรใช้ทรัพยำกรสำรสนเทศและควำม

(Risk Optimization) จดั กำร (Governance Framework Setting โปร่งใส (Resource Optimization and

and Maintenance) Transparency)

มีหน้าที่รับผิดชอบในการประเมินและ • บริหารความเส่ียง จัดให้มีการตรวจสอบ การบริ หาร

จัดการความเส่ี ย งด้านไซ เบอร์ ท่ี วางกรอบและกระบวนการบริหารความ จัด ก า ร แ ล ะ ก า ร ป ฏิ บัติ ง า น ข อ ง

เกี่ยวขอ้ งกบั การปฏิบตั ิงานประจาและ เสี่ยงดา้ น IT ติดตามดูแล ให้คาปรึกษา และ หน่วยงานที่ทาหน้าท่ี 1st Line และ 2nd

งานท่ีได้รับมอบหมาย รวมท้งั ติดตาม ประเมินการควบคุมความเส่ียงด้าน IT ของ Line of Defence รวมถึงงานอื่น ๆ ท่ี

จดั ทารายงานเฝ้าระวงั ภยั คุกคาม และ หน่วยงานท่ีทาหนา้ ที่เป็น 1st Line of Defence เก่ียวขอ้ ง เพื่อให้ม่นั ใจว่าเป็ นไปตาม

ศึกษาแนวโนม้ ภยั คุกคามไซเบอร์ที่อาจ รวมท้งั รวบรวมและเชื่อมโยงความเส่ียงดา้ น นโยบายมาตรฐาน และระเบียบวิธี

เกิดข้ึน และส่ งผลกระทบต่อกลุ่ม IT กับความเสี่ยงด้านอื่นของเด็มโก้ และ ปฏิบัติท่ีเกี่ยวข้องด้านเทคโนโลยี

บริษทั เด็มโก้ โดยนาเสนอรายงานต่อ นาเสนอผลการบริหารความเสี่ยงต่อคณะ สารสนเทศ (IT Best Practices) โดยให้

ส า ย ง า น บ ริ ห า ร ค ว า ม เ ส่ี ย ง แ ล ะ กรรมการบริหารความเส่ียงองคก์ ร (CRMC) ครอบคลุมความเส่ียงดา้ นไซเบอร์

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 21

กำรจัดกำรควำมเส่ียงท่เี หมำะสม กำรกำหนดกรอบกำรกำกบั ดูแลและบริหำร กำรใช้ทรัพยำกรสำรสนเทศและควำม

(Risk Optimization) จัดกำร (Governance Framework Setting โปร่งใส (Resource Optimization and

and Maintenance) Transparency)

หน่วยงานท่ีได้รับมอบหมาย รวมท้ัง • กากับการปฏิบัติตามกฎเกณฑ์และ

ผบู้ ริหารระดบั สูงที่เกี่ยวขอ้ ง หลกั เกณฑ์

ผ่านการสร้างกระบวนการกากับ

การปฏิบตั ิตามกฎหมายและหลกั เกณฑ์ และ

ติดตามดูแลให้คาปรึ กษาสอบทานและ

ร า ย ง า น ก า ร ป ฏิ บัติ ต า ม ก ฎ ห ม า ย แ ล ะ

หลกั เกณฑท์ ี่เก่ียวขอ้ งกบั งานดา้ นเทคโนโลยี

สารสนเทศ (IT) และนาเสนอคณะกรรมการ

บริหารความเส่ียงองคก์ รและคณะกรรมการ

บริ ษัท ท้ังน้ี การทาหน้าที่ดังกล่าวต้อง

ครอบคลุมความเส่ียงดา้ นไซเบอร์ดว้ ย

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 22

4. กำรผลกั ดันให้เกดิ กำรสร้ำงวฒั นธรรมองค์กรด้ำนควำมมนั่ คงปลอดภัยไซเบอร์และเทคโนโลยีสำรสนเทศ

การกากบั ดูแลและบริหารจดั การเทคโนโลยสี ารสนเทศระดบั องคก์ รที่ดี (IT Governance) หมายถึงการจดั การ
โครงสร้างองคก์ รและสาธารณูปโภคพ้ืนฐานทางดา้ นเทคโนโลยสี ารสนเทศ เพ่ือสนบั สนุนกลยทุ ธ์และเป้าหมายของ
องค์กร รวมท้งั สนบั สนุนการดาเนินงานดา้ นสารสนเทศอย่างมีประสิทธิภาพและประสิทธิผล โดยเป็ นท่ียอมรับใน
ระดบั สากลวา่ การกากบั ดูแลและบริหารจดั การเทคโนโลยสี ารสนเทศระดบั องคก์ รท่ีดี เป็นกระบวนการท่ีสาคญั ที่ช่วย
ใหก้ ลุ่มบริษทั เด็มโก้ ในเร่ือง

• การจดั สรรทรัพยากรสารสนเทศอยา่ งมีประสิทธิภาพ ประสิทธิผล สอดคลอ้ งกบั เป้าหมาย พนั ธกิจ และ
วตั ถุประสงค์ (Purpose) ของเดม็ โก้

• การบริหารความเส่ียงในกิจกรรมดา้ นเทคโนโลยีสารสนเทศในดา้ นของผลตอบแทนเปรียบเทียบความ
เสี่ยงและการจดั การกบั ความเส่ียงอยา่ งเหมาะสม

• การสร้างความมน่ั ใจถึงคุณภาพของงานเทคโนโลยีสารสนเทศ เพ่ือใช้ในการตดั สินใจทุกระดบั ท้งั การ
ตดั สินใจในเชิงกลยทุ ธ์ ไปจนถึงการตดั สินใจเพือ่ บริหารจดั การในการดาเนินธุรกิจ

• การสร้างความมน่ั ใจในความน่าเชื่อถือของระบบสารสนเทศ
• การพจิ ารณาความคมุ้ คา่ ของตน้ ทนุ ของการใชง้ าน และผลตอบแทนที่ไดร้ ับอยา่ งมีประสิทธิภาพ

• ความมน่ั ใจการปฏิบตั ิตามกฎหมาย ระเบียบขอ้ บงั คบั หรือมาตรฐานอตุ สาหกรรมท่ีเกี่ยวขอ้ ง

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 23

การจัดทาแนวปฏิบตั ิท่ีดี สาหรับการกากับดูแลและบริหารจดั การความมั่นคงปลอดภยั ไซเบอร์และ
เทคโนโลยีสารสนเทศ ของกลุ่มบริษทั เด็มโก้ เป็นส่วนหน่ึงของนโยบายคณะกรรมการบริษทั ที่ตอ้ งการผลกั ดนั ให้มี
การนาหลกั การกากบั ดูแลและบริหารจดั การเทคโนโลยสี ารสนเทศระดบั องคก์ รที่ดีมาปฏิบตั ิเพ่ือใหไ้ ดผ้ ลอย่างจริงจงั
และเป็ นรูปธรรมภายในกลุ่มบริษทั เด็มโก้ โดยคานึงถึงความตอ้ งการของผูม้ ีส่วนไดเ้ สีย (Stakeholder) ในการสร้าง
คุณค่า (Value Creation) จากการนาเทคโนโลยีสารสนเทศมาใชใ้ นการดาเนินธุรกิจของกลุ่มบริษทั เด็มโก้ ซ่ึงหมายถึง
การไดร้ ับผลประโยชนด์ ว้ ยตน้ ทนุ ทรัพยากรท่ีใหป้ ระโยชนส์ ูงสุดและความเสี่ยงท่ีเหมาะสมที่สุด

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 24

บทบำทหน้ำที่ของคณะกรรมกำรและฝ่ ำยจัดกำรในกำรผลักดันให้เกิดกำรสร้ำงวัฒนธรรมองค์กร ด้ำนควำม
มนั่ คงปลอดภัยไซเบอร์และเทคโนโลยีสำรสนเทศ สามารถดาเนินการไดด้ งั น้ี

4.1

4.2
4.3

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 25

5. คณะกรรมกำรและฝ่ ำยจดั กำรควรรู้กฎหมำยและกฎเกณฑ์ของผู้กำกบั ดแู ลทเ่ี กย่ี วข้องกบั ควำมมน่ั คงปลอดภัย
ไซเบอร์และระมัดระวังดแู ลให้องค์กรปฏิบตั ติ ำม Duty of Care

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 26

6. ภำคผนวก
6.1 แนวปฏิบตั ิท่ีดี สาหรับคณะกรรมการและฝ่ ายจดั การในการกากบั ดูแล และบริหารความเสี่ยงดา้ นเทคโนโลยี
สารสนเทศ (IT Risk Governance Framework Setting and Maintenance)
1. การกาหนดกรอบการกากบั ดูแลและบริหารจดั การความเส่ียงเทคโนโลยสี ารสนเทศ
• การบริหารและจดั การความเส่ียงดา้ นเทคโนโลยสี ารสนเทศ
• การจดั สรรและบริหารทรัพยากรดา้ นเทคโนโลยสี ารสนเทศ
• นโยบายและมาตรการรักษาความมน่ั คงปลอดภยั เทคโนโลยสี ารสนเทศ
2. การจดั การความเส่ียงที่เหมาะสม (Risk Optimization)
• การจดั ทานโยบายการบริหารและจดั การความเส่ียงดา้ นเทคโนโลยสี ารสนเทศ
• การระบุความเสี่ยงท่ีเก่ียวขอ้ งกบั เทคโนโลยสี ารสนเทศ
• การกาหนดความเส่ียงที่ยอมรับได้ (Risk Appetite)
• การประเมินความเส่ียงดา้ นเทคโนโลยีสารสนเทศ
• การบริหารจดั การเพอ่ื ตอบสนองต่อความเสี่ยงที่อยใู่ นระดบั ที่ยอมรับได้ (Risk Response)
• การกาหนดตวั ช้ีวดั ระดบั ความเส่ียง (IT Risk Indicator) และจดั ใหม้ ีการติดตามรายงานผลตวั ช้ีวดั
• การกาหนดหน้าท่ีและความรับผิดชอบของบุคลากรผูท้ าหน้าที่บริหารและจดั การความเส่ียงด้าน
เทคโนโลยสี ารสนเทศ
3. การส่งมอบผลประโยชน์ (Benefit Delivery) และการใช้ทรัพยากรสารสนเทศให้ได้ประโยชน์สูงสุด
(Resource Optimization)
• การจัดทาแผนกลยุทธ์ด้านเทคโนโลยีสารสนเทศ (แผนด้านเทคโนโลยี) และงบประมาณด้าน
เทคโนโลยสี ารสนเทศ
• การจดั ทานโยบายจดั สรรและบริหารทรัพยากรดา้ นเทคโนโลยสี ารสนเทศ และการจดั ให้มีทรัพยากร
บคุ คลอยา่ งเพียงพอตอ่ งานดา้ นเทคโนโลยสี ารสนเทศ
4. ความโปร่งใสตอ่ ผมู้ ีส่วนไดเ้ สีย (Stakeholder Transparency)
• การประเมินความตอ้ งการของผูม้ ีส่วนไดเ้ สียในการรายงานผลการดาเนินงานและบริหารจัดการ
เทคโนโลยสี ารสนเทศ
• การสื่อสารผลการดาเนินงานและบริหารจดั การเทคโนโลยสี ารสนเทศท่ีเหมาะสม
• การติดตามการสื่อสารกบั ผมู้ ีส่วนไดเ้ สีย

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 27

รายละเอียดบทบาทหนา้ ท่ี โครงสร้างและการบริหารจดั การบุคลากรในการกากบั ดูแลและบริหารจดั การ
เทคโนโลยสี ารสนเทศระดบั องคก์ รท่ีดีสามารถศึกษาเพิ่มเติมไดจ้ าก

แนวทางการกากบั ดูแลและบริหารจดั การเทคโนโลยสี ารสนเทศระดบั องคก์ รท่ีดี
(IT Governance Practices)
: สานกั งานคณะกรรมการกากับหลักทรัพย์และตลาดหลกั ทรัพย์
พฤศจิกายน 2562

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 28

6.2 แนวทางการจดั การบริหารความเสี่ยงดา้ นเทคโนโลยสี ารสนเทศ (IT Risk Management Practice)
1. แนวทางปฏิบตั ิในการบริหารและการจดั การความเส่ียงทางดา้ นเทคโนโลยสี ารสนเทศ
• การระบคุ วามเส่ียงท่ีเกี่ยวขอ้ งกบั เทคโนโลยสี ารสนเทศ (IT-Related Risk Identification)
• ความเสี่ยงท่ีสามารถยอมรับได้ (Risk Appetite)
• การประเมินความเสี่ยงทางดา้ นเทคโนโลยสี ารสนเทศ (IT Risk Assessment)
• การบริหารจดั การเพอื่ ตอบสนองต่อความเส่ียงทางดา้ นเทคโนโลยสี ารสนเทศ (Risk Response)
• การกาหนดตวั ช้ีวดั ความเสี่ยง (IT Risk Indicator) การติดตามและรายงานผลการบริหารและจดั การ
ความเสี่ยง (IT Risk Monitoring / Reporting)
2. การกาหนดหนา้ ท่ีและความรับผดิ ชอบ และผทู้ าหนา้ ที่ในการบริหารและจดั การความเส่ียงดา้ นเทคโนโลยี
สารสนเทศ
ระดับที่ 1 : หน่วยงานท่ีทาหนา้ ที่ปฏิบตั ิงานทางดา้ นเทคโนโลยสี ารสนเทศ (First line of defence)
ระดับที่ 2 : หน่วยงานที่ทาหนา้ ท่ีบริหารความเส่ียง (Second line of defence)
ระดับท่ี 3 : หน่วยงานท่ีทาหนา้ ที่ตรวจสอบดา้ นเทคโนโลยสี ารสนเทศ (Third line of defence)
3. ภำคผนวก 1 : แนวทางการกาหนดเหตกุ ารณ์ความเสี่ยง
ภำคผนวก 2 : ตวั อยา่ ง แผนภาพความเส่ียงและทะเบียนความเส่ียง
ภำคผนวก 3 : ตวั อยา่ ง ตวั ช้ีวดั ความเส่ียงหลกั

รายละเอียดแนวทางการบริหารจดั การความเส่ียงดา้ นเทคโนโลยสี ารสนเทศ (IT Risk Management Practice)
สามารถศึกษาเพมิ่ เติมไดจ้ าก

แนวทางการบริ หารความเสี่ ยงด้านเทคโนโลยีสารสนเทศ
(IT Risk Management Practice)
: สานกั งานคณะกรรมการกากบั หลกั ทรัพย์และตลาดหลักทรัพย์

พฤศจิกายน 2562

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 29

6.3 แนวทางการกากับดูแลและบริหารจัดการเทคโนโลยีสารสนเทศ Cloud Computing (Cloud Computing
Practice)
ในการประยกุ ตใ์ ชง้ านเทคโนโลยสี ารสนเทศเป็นส่วนหน่ึงในการสนบั สนุนและดาเนินกิจกรรมสาคญั ในการ

ขบั เคล่ือนธุรกิจยคุ ปัจจุบนั หน่ึงในเทคโนโลยีท่ีมีการประยุกตใ์ ชอ้ ยา่ งกวา้ งขวาง คือการใชบ้ ริ การระบบประมวลผล
ร่วมกนั ผ่านเครือข่ายตามความต้องการของผูใ้ ช้งาน (Cloud Computing) ท้งั น้ีในการเพิ่มขีดความสามารถในการ
ประมวลผล และเพ่ิมประสิทธิภาพกบั ประสิทธิผลในการบริหารจดั การตน้ ทุนดา้ นเทคโนโลยอี ยา่ งมีนยั สาคญั เพือ่ ให้
กลุ่มบริษทั เด็มโก้ มีความสามารถในการบริหารจดั การทรัพยากรดา้ นเทคโนโลยีสารสนเทศไดอ้ ยา่ งมีประสิทธิภาพ
และเสริมสร้างความสามารถในการบริหารจดั การดา้ นความมนั่ คงปลอดภยั สารสนเทศน้นั เด็มโก้ ควรดาเนินการตาม
แนวทางปฏิบตั ิและหลกั เกณฑใ์ นการรักษาความมนั่ คงปลอดภยั เทคโนโลยสี ารสนเทศท่ีเกี่ยวขอ้ งกบั การใชง้ านระบบ
(Cloud Computing Practice) ดงั น้ี

1. การกากับดูแลและบริหารจัดการ การใช้บริการ Cloud Computing (Governance of Cloud Computing
Service)
• กิจกรรมทางดา้ นสารสนเทศมีความสอดคลอ้ งกบั วตั ถุประสงคข์ องกลมุ่ บริษทั เด็มโก้ (Demco Value
Delivery)
• มีการจดั การความเส่ียงอยา่ งเหมาะสม (Risk Optimization)
• มีการจดั การทรัพยากรทางดา้ นสารสนเทศเพอื่ ใหไ้ ดป้ ระโยชนส์ ูงสุด (Resources Optimization)
• มีการจดั การดา้ นความมน่ั คงปลอดภยั สารสนเทศ (Cloud Computing)

2. การบริหารจดั การผใู้ ชบ้ ริการ Cloud Computing (Cloud Service Provider Management)
• การคดั เลือกผใู้ หบ้ ริการ (Due Diligence)
• การทาสญั ญาและการทาขอ้ ตกลงการใหบ้ ริการ (Engage)
• การใชง้ าน Cloud Computing (Operate)
• การติดตามและการประเมินผใู้ หบ้ ริการ (Monitor)
• การยกเลิกหรือสิ้นสุดการใหบ้ ริการ (Exit)

แนวทางการกากับดูแลและบริหารจัดการการใช้ Cloud Computing
(Cloud Computing Practice)
: สานักงานคณะกรรมการกากับหลักทรัพย์และตลาดหลักทรัพย์

พฤศจิกายน 2562

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏิบตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 30

6.4 แบบประเมินทกั ษะความสามารถดา้ นเทคโนโลยสี ารสนเทศ
(ระดบั พฤติกรรมตามวฒั นธรรมการเปลี่ยนแปลงและสร้างนวตั กรรม)

5.1
5.2
5.3

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 31

7. บทส่งท้ำย

“ปัจจุบนั ภยั คุกคามทางไซเบอร์เพิ่มสูงข้ึนและส่งผลกระทบทวั่ โลก แมว้ า่ ภยั ไซเบอร์อาจเป็นส่ิงท่ีหลีกเลี่ยงได้
ยาก ‘แต่เราสามารถเตรียมตัวเพ่ือรับมือกับภัยดังกล่าวอย่างมีประสิทธิผลได้ ’ โดยเฉพาะอย่างย่ิง การยกระดับ
ประสิทธิภาพองคก์ รและตลาดทุนสู่ Cyber Resilience สอดคลอ้ งกบั มาตรฐานสากลต้งั แต่การเตรียมความพร้อม การ
บริหารความเส่ียง การเฝ้าระวงั การตอบสนอง และความพร้อมในการรับมือหากเกิดภยั ไซเบอร์ รวมถึงการปฏิบตั ิตาม
พ.ร.บ. การรักษาความมน่ั คงปลอดภยั ไซเบอร์ พ.ศ. 2562 ตลอดจนประสานความร่วมมือท้งั ในระดบั อุตสาหกรรมและ
ระดบั ประเทศ เพอื่ มุง่ สู่เป้าหมาย Cyber Resilience ร่วมกนั ”

น.ส. รื่นวดี สุวรรณมงคล
เลขาธิการ สานกั งานคณะกรรมการกากบั หลกั ทรัพยแ์ ละตลาดหลกั ทรัพย์
ท่ีมา : Cyber Resilience Principles for Board of Director. ธปท, คปภ, ก.ล.ต.

หลกั การและแนวคดิ เก่ียวกบั การบริหารจดั การและกากบั ดูแลความมน่ั คงปลอดภยั ไซเบอร์ การกากบั ดูแลการ
บริหารจัดการความเสี่ยงและเตรียมความพร้อมรับมือภัยไซเบอร์ จึงเป็ นความท้าทายที่กลุ่มบริษัทเด็มโก้ ต้อง
ปรับเปลี่ยนกลยทุ ธ์ เพ่มิ ศกั ยภาพดา้ นเทคโนโลยที ่ีสามารถเขา้ ถึงขอ้ มลู และวเิ คราะห์ขอ้ มลู

ในการเสริมสร้างความรู้และความตระหนกั ดา้ นความมน่ั คงปลอดภยั ไซเบอร์แก่คณะกรรมการ ผูบ้ ริหารและ
พนักงานของกลุ่มบริษทั เด็มโก้ รวมถึงกรอบและแนวปฏิบตั ิที่เหมาะสมกับสอดคลอ้ งกับความเสี่ยงท่ีเผชิญน้ัน มี
หลกั การสาคญั 4 ประการดงั น้ี

1. ความมน่ั คงปลอดภยั ไซเบอร์ ไม่ควรพิจารณาวา่ เป็นเพยี งปัญหาเชิงเทคนิคที่ใหฝ้ ่ายเทคโนโลยสี ารสนเทศ
รับผิดชอบเท่าน้ัน แต่ควรเป็ นส่วนหน่ึงของการบริหารจดั การความเสี่ยงในระดบั องค์กร (Enterprise-
Wide Risk Management)

2. คณะกรรมการควรมีบทบาทสาคญั ในการกากบั ดูแลความมนั่ คงปลอดภยั ไซเบอร์ขององคก์ ร และผลกั ดนั
ใหเ้ กิดการสร้างวฒั นธรรมองคก์ รดา้ นความมน่ั คงปลอดภยั ไซเบอร์

3. คณะกรรมการ ควรรู้จกั กฎหมายและกฎเกณฑข์ องผกู้ ากบั ดูแลท่ีเกี่ยวขอ้ งกบั ความมนั่ คงปลอดภยั ไซเบอร์
และระมดั ระวงั ดูแลใหอ้ งคก์ รปฏิบตั ิตาม (Duty of Care)

4. คณะกรรมการควรไดข้ อ้ มลู ที่เพียงพอต่อการกากบั ดูแลความเส่ียงดา้ นความมน่ั คงปลอดภยั ไซเบอร์

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 32

ภยั ทางไซเบอร์เป็นภยั คุกคามที่เติบโตเร็วท่ีสุด และอาจเป็นภยั ท่ีอนั ตรายท่ีสุดท่ีกลุ่มบริษทั เด็มโก้ อาจตอ้ ง
เผชิญในวนั น้ีและในอนาคต คณะกรรมการ ผูบ้ ริหารและพนกั งานทุกคน จึงมีบทบาทหนา้ ที่และความรับผิดชอบต่อ
ความมนั่ คงปลอดภยั ไซเบอร์ของกลมุ่ บริษทั เดม็ โก้ จาเป็นที่ตอ้ งทาความเขา้ ใจกบั ความเสี่ยงดา้ นไซเบอร์ในยคุ ปัจจุบนั
รวมถึงมีแนวปฏิบตั ิที่ดี สาหรับการกากับดูแลความม่ันคงปลอดภยั ไซเบอร์และเทคโนโลยีสารสนเทศ ของกลุ่ม
บริษทั เดม็ โก้ ตามที่ไดก้ าหนดไวใ้ นฉบบั น้ี

“ก้าวไปด้วยกนั อย่างภาคภูมแิ ละยัง่ ยืน”
คณะกรรมการกากบั ดูแลกิจการและความยง่ั ยนื

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยืน

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 33

8. เอกสำรอ้ำงองิ 1. แนวทางการกากับดูแล และการบริการจดั การเทคโนโลยีสารสนเทศระดับของ
องค์กรที่ดี (IT Governance Practice) : สานักงานคณะกรรมการกากับหลกั ทรัพย์
เอกสารอา้ งอิง : และตลาดหลกั ทรัพย์ พฤศจิกายน 2562
(ภายนอก)
2. Cyber Resilience Principles for Board of Directors. Cyber Resilience Leadership :
Tone From the top 2020 จดั ทาโดย ธปท, คปภ และ กลต.

3. บทความ IT Security กบั Cyber Security ต่างกนั ตรงไหน : PRO ONE
4. บทความ “IT Security VS Cybersecurity” นี่คือความตา่ งระหวา่ งความปลอดภยั ไซ

เบอร์ : สถาบนั พฒั นาและทอดสอบทกั ษะดา้ นดิจิทลั โดย Digital Business Consult
5. แนวปฏิบตั ิท่ีดีสาหรับคณะกรรมการในการกากบั ดูแลดา้ นเทคโนโลยสี ารสนเทศ :

IOD

เอกสารอา้ งอิง : 1. นโยบายการกากบั ดูแลความมน่ั คงปลอดภยั ดา้ นเทคโนโลยสี ารสนเทศ
(ภายใน) 2. นโยบายการใชร้ ะบบเครือข่ายและคอมพิวเตอร์
3. นโยบายคุม้ ครองขอ้ มลู ส่วนบคุ คล
4. คู่มือการบริหารความเส่ียง
5. คมู่ ือการบริหารจดั การในภาวะวกิ ฤต

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื

แนวปฏบิ ตั ิท่ดี ี สำหรบั คณะกรรมกำร ผบู้ รหิ ำร และพนกั งำนในกำรกำกบั ดแู ลและบรหิ ำรจดั กำร IT (IT Governance) 34

คณะกรรมกำรกำกบั ดแู ลกจิ กำรและควำมย่งั ยนื