การตรวจสอบโดยหน่วยงานอิสระ (Certified Body Audit)

ระบบโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศและการจัดการความปลอดภัยของข้อมูลของ เอ็กโก กรุ๊ป ได้รับการรับรองมาตรฐาน ISO/IEC 27001:2022 จาก SGS United Kingdom Ltd. ซึ่งการรับรองนี้ครอบคลุมกระบวนการต่าง ๆ รวมถึงระบบจัดการความปลอดภัยของข้อมูล ศูนย์ข้อมูล ระบบโครงสร้างพื้นฐาน ระบบบริหารจัดการเครือข่ายของข้อมูล บริการฮาร์ดแวร์และระบบปฏิบัติการที่สอดคล้องกับ “SM-0123-0002 Rev.03 ลงวันที่ 5 กันยายน 2567” กระบวนการจัดการเหตุการณ์ กระบวนการจัดการการเปลี่ยนแปลง บริการควบคุมเอกสาร การตรวจสอบการใช้สินทรัพย์ และกระบวนการอื่นๆ ที่เกี่ยวข้องกับระบบจัดการไอทีขององค์กร บริษัทดำเนินการวิเคราะห์ช่องโหว่จากบุคคลภายนอก จำลองการโจมตีของแฮกเกอร์ การโจมตีด้วยอีเมลฟิชชิ่ง การทดสอบแผนการกู้คืนระบบทั้งหมด และการตรวจสอบภายใน ก่อนดำเนินการตรวจสอบการรับรอง

การตรวจสอบภายใน

เอ็กโก กรุ๊ป ดำเนินการตรวจสอบภายในโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศและการจัดการความปลอดภัยของข้อมูลเป็นประจำทุกปี ในเดือนสิงหาคม 2567 เอ็กโก กรุ๊ป ได้แต่งตั้งให้บริษัท แม็กซิมัส อินเตอร์เนชั่นแนล (ประเทศไทย) จำกัด ดำเนินการตรวจสอบภายในในนามของ เอ็กโก กรุ๊ป เกี่ยวกับระบบ ISMS ที่เกี่ยวข้องกับบริการปฏิบัติการศูนย์ข้อมูลของกลุ่มเอ็กโกโดยเฉพาะ กระบวนการตรวจสอบครอบคลุม 5 ด้านหลัก ได้แก่ ด้านองค์กร ด้านบุคลากร ด้านกายภาพ ด้านเทคโนโลยี และด้านการจัดการของกิจกรรมระบบ ISMS ผลการตรวจสอบสรุปได้ว่าระบบ ISMS ของบริษัทสอดคล้องกับข้อกำหนดทั้งหมดของมาตรฐาน ISO/IEC 27001:2022 อย่างไรก็ตาม บริษัทยังคงมีความมุ่งมั่นที่จะพัฒนาและปรับปรุงระบบให้ดียิ่งขึ้น

การประเมินช่องโหว่ของระบบข้อมูล

ในเดือนสิงหาคม 2567 เอ็กโก กรุ๊ป ได้ร่วมมือกับบริษัท แม็กซิมัส อินเตอร์เนชั่นแนล (ประเทศไทย) จำกัด เพื่อดำเนินการประเมินช่องโหว่ของสินทรัพย์ทั้งหมด 59 รายการที่มีที่อยู่ IP ที่กำหนด จากการประเมินดังกล่าว พบว่ามีช่องโหว่ที่แตกต่างกันทั้งหมด 4 รายการในสินทรัพย์ทั้งหมดที่ตรวจสอบ อย่างไรก็ตาม ช่องโหว่ที่ระบุทั้งหมดได้รับการบริหารจัดการเพื่อลดความเสี่ยงตามความเหมาะสม การประเมินช่องโหว่เป็นส่วนหนึ่งของโปรแกรมการจัดการความปลอดภัยทางไซเบอร์ที่กว้างขึ้นของ เอ็กโก กรุ๊ป ซึ่งรวมถึงการทดสอบการเจาะระบบและสถานการณ์จำลองการโจมตีหากจำเป็น โดย เอ็กโก กรุ๊ป กำหนดแผนที่จะดำเนินการทดสอบช่องโหว่อย่างน้อยปีละสองครั้ง

แผนความต่อเนื่องทางธุรกิจสำหรับบริการด้านเทคโนโลยีสารสนเทศ

เอ็กโก กรุ๊ป ได้จัดทำแผนความต่อเนื่องทางธุรกิจ (BCP) สำหรับบริการด้านเทคโนโลยีสารสนเทศ โดยแผนนี้มุ่งเน้นที่ประเด็นสำคัญ เช่น แนวทางการกู้คืนข้อมูล การมอบหมายความรับผิดชอบที่ชัดเจน กลยุทธ์การประสานงาน และการจัดลำดับความสำคัญของความปลอดภัย ตลอดจนความพร้อมเพื่อให้แน่ใจว่าการดำเนินธุรกิจจะดำเนินต่อไปได้ เพื่อยืนยันประสิทธิภาพของแผน บริษัทจึงกำหนดการทดสอบระบบความต่อเนื่องทางธุรกิจอย่างน้อยปีละ 6 ครั้ง การทดสอบเหล่านี้เกี่ยวข้องกับการฝึกซ้อมการทำงานของกระบวนการที่สำคัญ ซึ่งออกแบบมาเพื่อยืนยันว่าบุคลากรทุกคนเข้าใจบทบาทและความรับผิดชอบที่ได้รับมอบหมาย และเพื่อให้มั่นใจว่าการดำเนินงานที่สำคัญในกรณีที่เกิดความล้มเหลวหรือภัยพิบัติใด ๆ ในภาพรวมอยู่ภายใต้ความรับผิดชอบของผู้จัดการฝ่ายโครงสร้างพื้นฐานและความปลอดภัยของข้อมูล