กระบวนการวางแผนการสื่อสารเพื่อบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ของบริษัทปตท. จำกัด (มหาชน)

Name: กระบวนการวางแผนการสื่อสารเพื่อบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ของบริษัทปตท. จำกัด (มหาชน)
Creator: มหาวิทยาลัยธรรมศาสตร์
Published: 2024-05-28 01:10:12
License: 暂无描述

DataCite Commons2024-05-28 更新2024-07-13 收录

下载链接：

http://doi.nrct.go.th/?page=resolve_doi&resolve_doi=10.14457/TU.the.2023.172

下载链接

链接失效反馈

官方服务：

资源简介：

การวิจัยเรื่อง กระบวนการวางแผนการสื่อสารเพื่อบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ ของบริษัท ปตท. จำกัด (มหาชน) มีวัตถุประสงค์เพื่อศึกษากระบวนการวางแผนการสื่อสารเพื่อบริหารความเสี่ยง ผ่านขั้นตอนการกำหนดวัตถุประสงค์ การกำหนดกลุ่มเป้าหมาย การกำหนดรูปแบบสาร การเลือกใช้สื่อ การกำหนดตารางเวลา ตลอดจนการประเมินผลการสื่อสารเพื่อบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ของบริษัท ปตท. จำกัด (มหาชน) โดยเป็นงานวิจัยเชิงคุณภาพ (Qualitative Research) ใช้วิธีการสัมภาษณ์เชิงลึก (In - Depth Interview) แบบกึ่งมีโครงสร้าง (Semi - structured Interview) จากผู้บริหารและพนักงานฝ่ายกลยุทธ์ดิจิทัลและฝ่ายระบบบริหารองค์กร บริษัท ปตท. จำกัด (มหาชน)ผลการวิจัย พบว่า ด้านบริหารความเสี่ยง ปตท. มีการกำหนดแนวทางบริหารความเสี่ยงองค์กร ตามกรอบ COSO ERM (2017) และมาตรฐาน ISO 31000 (2018) และจัดตั้งคณะกรรมการบริหารความเสี่ยง โดยความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ ถือเป็นความเสี่ยงหลักด้านการปฏิบัติการ ปตท. มีการนำ ISO 27001 กรอบการบริหารความเสี่ยงของ NIST Cybersecurity Framework มาใช้เพื่อเป็นแนวทางการดำเนินงานอีกทั้งร่วมมือกับ PTT Digital เพื่อพัฒนาระบบและวางกระบวนการบริหารจัดการภัยคุกคามทางไซเบอร์ ส่งเสริมกิจกรรมและสร้างความตระหนักรับรู้แก่พนักงานเพื่อให้เป็นไปตามตัวชี้วัดความเสี่ยงที่องค์กรตั้งไว้อย่างมีประสิทธิภาพ ด้านการสื่อสารเพื่อบริหารความเสี่ยง ปตท. ดำเนินการสื่อสารเพื่อปรับพฤติกรรมในเรื่องการตระหนักรู้ด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security Awareness) โดยมีการวางแผนการสื่อสารตามขั้นตอนการวางแผนการสื่อสารความเสี่ยง 6 ขั้นตอน 1) การกำหนดวัตถุประสงค์ เพื่อสร้างความตระหนักรู้ กระตุ้นและรณรงค์ส่งเสริมให้พนักงานในองค์กรปฏิบัติตนอย่างเคร่งครัดเพื่อป้องกันความเสี่ยงด้านไซเบอร์ที่อาจเกิดขึ้นกับองค์กร 2) การกำหนดกลุ่มเป้าหมาย โดยกลุ่มเป้าหมายหลัก ได้แก่ กลุ่มผู้บริหาร กลุ่มพนักงานและกลุ่มลูกจ้าง ส่วนกลุ่มเป้าหมายรอง ได้แก่ กลุ่มคู่ค้าและนักศึกษาฝึกงาน 3) การกำหนดรูปแบบสารในการสื่อสารเพื่อให้พนักงานมีความตระหนักรู้ ผ่านการให้คำอธิบายของความเสี่ยง ผลกระทบจากความเสี่ยง การสื่อสารแนวทางหรือวิธีการป้องกัน และวิธีการวัดความเสี่ยงในเรื่องนั้น ๆ เช่น โครงการ Phishing Test Campaign เป็นต้น 4) การเลือกใช้สื่อมีความหลากหลายเพื่อให้เข้าถึงกลุ่มเป้าหมายที่กำหนดไว้ 5) การกำหนดตารางเวลา โดยจัดทำแผนการสื่อสารเพื่อบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์เป็นแบบรายปีและรายไตรมาส แต่ทั้งนี้แนวทางการสื่อสารอาจมีการเปลี่ยนแปลงตามความเหมาะสมของสถานการณ์ที่เปลี่ยนแปลงไป และ 6) การประเมินผลการสื่อสารเพื่อบริหารความเสี่ยง ไม่มีการกำหนด KPI ประเมินผลการสื่อสารเพื่อบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์โดยตรง แต่มีการประเมินความพึงพอใจการดำเนินงานของฝ่ายกลยุทธ์ดิจิทัลประจำทุกปี อีกทั้งมีการวัดความตระหนักรู้ผ่านการทดสอบ Phishing Mail เป็นต้น โดยการวางแผนการสื่อสารนี้เป็นส่วนหนึ่งที่ช่วยให้องค์กรสามารถบริหารความเสี่ยงด้านความมั่นคงปลอดภัยทางไซเบอร์ได้อย่างมีประสิทธิภาพ

提供机构：

มหาวิทยาลัยธรรมศาสตร์

创建时间：

2024-05-28