เราได้ให้ความสำคัญเป็นอย่างยิ่งต่อมาตราการในการดำเนินการ ตรวจสอบช่องโหว่หรือจุดอ่อนของเว็บไซต์หน่วยงาน ซึ่งอยู่ภายใต้นโยบายหลักด้าน ความมั่นคงและปลอดภัยทางไซเบอร์ (Cyber Security) ของบริษัทฯ อยู่อย่างสม่ำเสมอและต่อเนื่อง ดังต่อไปนี้
1. เลือกใช้ IDC ที่มี Hardware Security ระดับ Cloud Enterprise
เราเลือกใช้ Internet Data Center ที่มี Hardware Security บนเครื่องแม่ข่ายที่ได้รับมาตรฐาน Cloud Server ระดับ Cloud Enterprise ในการให้บริการแก่ลูกค้า ครอบคลุมถึง การสำรองข้อมูล การเข้าถึงข้อมูล และ การตรวจสอบช่องโหว่หรือจุดอ่อนของระบบอยู่อย่างสม่ำเสมอ เพื่อประเมินความเสี่ยงในทุกมิติ
2.พัฒนา ระบบบริหารจัดการเว็บไซต์ ขึ้นเองทั้งหมด
เราเลือกพัฒนา ระบบบริหารจัดการเว็บไซต์ ขึ้นเองทั้งหมด โดยเน้นด้านความปลอดภัยเป็นหลัก เพื่อจำกัดช่องโหว่หรือจุดอ่อนต่างๆ และ เรายังสามารถดำเนินการแก้ไขช่องโหว่หรือจุดอ่อนต่างๆ ได้ทันทีที่เราตรวจพบ
3.การกำหนดสิทธิ์ในการเข้าถึงข้อมูลในทุกระดับ
เรามีการกำหนดสิทธิ์ในการเข้าถึงข้อมูลต่างๆ ทั้งบนเครื่องแม่ข่าย ภายในเครือข่าย รวมถึง ระบบบริหารจัดการเว็บไซต์ ให้เป็นไปตามสิทธ์ที่ได้รับเท่านั้น
4.การตรวจสอบช่องโหว่หรือจุดอ่อนของระบบ
เรามีการตรวจสอบช่องโหว่หรือจุดอ่อนของระบบอยู่อย่างสม่ำเสมอและต่อเนื่อง โดยแบ่งการตรวจสอบออกเป็น 2 ส่วนหลักๆ ดังต่อไปนี้
- 4.1) การตรวจสอบช่องโหว่หรือจุดอ่อนของเครื่องแม่ข่ายและโครงข่าย โดยเจ้าหน้าที่ระบบ (System Engineer) หน้าที่หลัก คือ การดำเนินการตรวจสอบช่องโหว่หรือจุดอ่อนของบริการต่างๆ และทำการอัปเดทบริการต่างๆ ให้เป็นปัจจุบัน เพื่อลดช่องโหว่หรือจุดอ่อนของระบบ พร้อมประเมินความเสี่ยงที่อาจเกิดขึ้น
- 4.2) การตรวจสอบช่องโหว่หรือจุดอ่อนของระบบบริหารจัดการเว็บไซต์ โดยเจ้าหน้าที่ทดสอบระบบ (Software Tester) หน้าที่หลัก คือ การตรวจดูรูปแบบการโจมตีต่างๆ พร้อมประเมินความเสี่ยงที่อาจเกิดขึ้น
5.การประเมินความเสี่ยงต่อภัยคุกคามทางไซเบอร์
เรามีการประเมินความเสี่ยงต่อภัยคุกคามทางไซเบอร์ โดยแบ่งการประเมินออกเป็น 2 ส่วนหลักๆ ดังต่อไปนี้
- 5.1) การประเมินความเสี่ยงต่อภัยคุกคามทางไซเบอร์ของเครื่องแม่ข่ายและโครงข่าย ประเมินความเสี่ยงโดยเจ้าหน้าที่ระบบ (System Engineer) จะดำเนินการเป็นประจำทุกวัน พร้อมประเมินความเสี่ยงที่อาจเกิดขึ้นก่อนและหลังการอัปเดทบริการต่างๆ ของเครื่องแม่ข่ายและโครงข่าย
- 5.2) การประเมินความเสี่ยงต่อภัยคุกคามทางไซเบอร์ของระบบบริหารจัดการเว็บไซต์ ประเมินความเสี่ยงโดยเจ้าหน้าที่ทดสอบระบบ (Software Tester) รายงานตรงต่อหัวหน้าทีมพัฒนาซอฟแวร์ (Senior Software Engineer) พร้อมประเมินความเสี่ยงที่อาจเกิดขึ้นก่อนและหลังการปรับปรุงระบบบริหารจัดการเว็บไซต์
6.การบริหารจัดการความเสี่ยงต่อภัยคุกคามทางไซเบอร์
เรามีการบริหารจัดการความเสี่ยงต่อภัยคุกคามทางไซเบอร์ ดังต่อไปนี้
- 6.1) จัดให้มีการอัปเดทบริการต่างๆ ของเครื่องแม่ข่าย ให้เป็นปัจจุบัน อยู่อย่างสม่ำเสมอ
- 6.2) จัดให้มีการตรวจสอบช่องโหว่หรือจุดอ่อนของระบบบริหารจัดการเว็บไซต์ เป็นประจำอย่างสม่ำเสมอ
- 6.3) จัดให้มีการสำรองข้อมูลไว้ทั้งบนเครื่องแม่ข่าย และ เครื่องแม่ข่ายในบริษัทฯ ไว้เป็นประจำทุกสัปดาห์
- 6.4) จัดให้มีการใช้มาตรฐานการรักษาความปลอดภัยของข้อมูลที่รับส่งผ่านอินเตอร์เน็ต (SSL : Secure Sockets Layer) โดยสังเกตุได้จากตัวเว็บไซต์ของหน่วยงานจะเปลี่ยนจาก http:// เป็น https:// ตามด้วยชื่อโดเมนของหน่วยงาน
- 6.5) จัดให้มีการจัดทำระเบียนรายชื่อเจ้าหน้าที่ของหน่วยงานเอาไว้ติดต่อกับทางบริษัทฯ ในกรณีที่ต้องประสานงานให้ความช่วยเหลือและรับมือต่อภัยคุกคามต่างๆ ที่อาจเกิดขึ้น
- 6.6) จัดให้มีการให้ความรู้และตระหนักรู้ต่อภัยคุกคามทางไซเบอร์ต่อเจ้าหน้าที่ของหน่วยงาน
- 6.7) จัดให้มีการให้ความรู้และตระหนักรู้ต่อภัยคุกคามทางไซเบอร์ต่อเจ้าหน้าที่ของบริษัทฯ
- 6.8) จัดให้มีการอัปเดทระบบปฏิบัติการและซอฟแวร์แอนติไวรัสของเจ้าหน้าที่ของบริษัทฯ เป็นประจำทุกวัน
- 6.9) จัดให้มีการประเมินความเสี่ยงต่อภัยคุกคามทางไซเบอร์เพื่อกำหนดทิศทางและวางมาตราการในการบริหารจัดการความเสี่ยงต่อภัยคุกคามทางไซเบอร์ของบริษัทฯ ทุกปี