คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

ก.ล.ต. ร่วมกิจกรรมการจัดตั้งสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)

18 สิงหาคม 2564

นางสาวรื่นวดี สุวรรณมงคล เลขาธิการ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ในฐานะคณะกรรมการกำกับดูแลด้านความปลอดภัยไซเบอร์ (กกม.) ร่วมกิจกรรมการสร้างการรับรู้การจัดตั้งสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ในฐานะคณะกรรมการกำกับดูแลด้านความปลอดภัยไซเบอร์ (กกม.) โดยมีนายชัยวุฒิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ให้เกียรติเป็นประธานในพิธี ซึ่งในงานนี้มีผู้แทนจากหน่วยงานภาครัฐ เอกชน รวมถึงประชาชน เข้าร่วมเป็นเกียรติกว่า 500 คน ในรูปแบบ Online Event เมื่อวันที่ 18 สิงหาคม 2564

เป้าหมาย

• ไม่มีผู้ตกเป็นเหยื่อในการโจมตีหรือการทดสอบการโจมตีหลังจากผ่านการอบรมความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity)
• ลดระยะเวลาในการตรวจจับการโจมตีให้ได้เร็วที่สุด*

*หมายเหตุ: ปัจจุบันบริษัทฯ สามารถตรวจจับการโจมตีได้ภายใน 3 วัน ซึ่งค่าเฉลี่ยของอุตสาหกรรมอยู่ที่ 24 วัน (ที่มา: FireEye Mandiant: M-Trends Report 2021)

ความท้าทายและโอกาส

ปัจจุบัน การดำเนินธุรกิจมีการประยุกต์ใช้เทคโนโลยีดิจิทัลมากขึ้น ทั้งระบบการผลิตและโครงข่ายปฏิบัติงานที่ต้องเชื่อมโยงกับโครงข่ายอินเทอร์เน็ต รวมถึงการปรับตัวในการทำงานของพนักงานในช่วงวิกฤตโควิด 19 ที่หันมาใช้เทคโนโลยีดิจิทัลมากขึ้น ซึ่งอาจนำมาสู่ปัจจัยความเสี่ยงด้านภัยคุกคามทางไซเบอร์ (Cyber Threat) อาทิ การถูกโจรกรรมข้อมูลสำคัญต่าง ๆ หรืออาจทำให้ระบบการผลิตเกิดการหยุดชะงักได้ ซึ่งจะกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ ความน่าเชื่อถือ ภาพลักษณ์และชื่อเสียงของบริษัทฯ

บริษัทฯ จึงกำหนดกระบวนการบริหารจัดการความปลอดภัยของระบบเทคโนโลยีสารสนเทศ ที่สอดคล้องต่อนโยบายความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศ และยังเสริมสร้างความรู้ ความเข้าใจ และความตระหนักให้แก่พนักงานทุกระดับ ผ่านการฝึกอบรมด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้พนักงานสามารถปฏิบัติตนได้อย่างเหมาะสมเมื่อเผชิญเหตุภัยคุกคามทางด้านไซเบอร์

การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Governance)

บริษัทฯ จึงได้กำกับและบริหารระบบความมั่นคงปลอดภัยด้านสารสนเทศ ที่สอดคล้องตามมาตรฐาน ISO/IEC 27001:2013 และกรอบความมั่นคงปลอดภัยด้านไซเบอร์ที่ถูกพัฒนาโดย สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของประเทศสหรัฐอเมริกา (National Institute of Standards and Technology: NIST) เพื่อกำหนดทิศทางการทำงานให้ชัดเจน และสร้างความโปร่งใสแก่การบริหารงานเชิงนโยบายตลอดจนระดับปฎิบัติการ โดยสามารถแบ่งลำดับขั้นการบริหารได้ทั้งหมด 3 ขั้น อันประกอบด้วย (1) ระดับกำกับดูแล (2) ระดับบริหารจัดการ และ (3) ระดับปฏิบัติการ ทั้งนี้ในปี 2565 ได้มีการปรับโครงสร้างองค์กรโดยจัดตั้งหน่วยงาน Cybersecurityเพื่อเพิ่มประสิทธิภาพในการจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

นอกจากนี้ การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและ ไซเบอร์ของบริษัทฯ จะครอบคลุมการบริหารจัดการทั้งหมด 5 ด้าน ดังนี้

แนวทางและกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ตาม NIST Cybersecurity Framework

นอกจากนี้ บริษัทฯ ได้แต่งตั้งผู้ช่วยกรรมการผู้จัดการใหญ่สายงานปฏิรูปธุรกิจสู่ความเป็นเลิศ ให้ดำรงตำแหน่งผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง (Chief Information Security Officer: CISO) ซึ่งมีหน้าที่ดังต่อไปนี้

ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง การกำหนดหลักเกณฑ์ ลักษณะหน่วยงานที่มีภารกิจหรือให้บริการเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และการมอบหมายการควบคุมและกำกับดูแล พ.ศ. 2564

หน่วยงานที่ได้รับมอบหมายให้ดำเนินการควบคุมและกำกับดูแลด้านการรักษาความมั่นคงปลอดภัยไซเบอร์แก่หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ

• ด้านความมั่นคงของรัฐ – สำนักงานปลัดกระทรวงกลาโหม, สำนักงานตำรวจแห่งชาติ, สำนักงานสภาความมั่นคงแห่งชาติ
• ด้านบริการภาครัฐที่สำคัญ – กระทรวงการคลัง, กรมศุลกากร, กรมการปกครอง, สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน), กรมชลประทาน
• ด้านการเงินการธนาคาร – ธนาคารแห่งประเทศไทย, สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์
• ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม – สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ
• ด้านการขนส่งและโลจิสติกส์ – สำนักงานตำรวจแห่งชาติ, กรมการขนส่งทางราง, สำนักงานปลัดกระทรวงคมนาคม, สำนักงานการบินพลเรือนแห่งประเทศไทย
• ด้านพลังงานและสาธารณูปโภค – กระทรวงพลังงาน, การประปาส่วนภูมิภาค (เฉพาะบริการส่วนภูมิภาค)

ด้านสาธารณสุข – สำนักงานปลัดกระทรวงสาธารณสุข, สำนักงานคณะกรรมการอาหารและยา, สำนักงานปรมาณูเพื่อสันติ

ดาวน์โหลดเอกสาร

ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง ลักษณะ หน้าที่และความรับผิดชอบของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และภารกิจหรือให้บริการที่เกี่ยวข้อง พ.ศ. 2564

ให้หน่วยงานของรัฐที่มีความพร้อมหรือหน่วยงานควบคุมหรือกำกับดูแลหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศในแต่ละด้านจัดตั้งหรือดำเนินการเพื่อให้มีศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศโดยหน่วยงานควบคุมหรือกำกับดูแลอาจจัดให้มีหลักเกณฑ์ เงื่อนไขและแนวทางในการพิจารณาคุณสมบัติ และความเหมาะสมของการเป็นศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ

ดาวน์โหลดเอกสาร 

ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง การจัดตั้ง หน้าที่และอำนาจของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ พ.ศ.2564

ให้ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติจัดให้มีหลักเกณฑ์ เงื่อนไข และวิธีการในการจัดชั้นความลับของข้อมูลต่างๆ การกำหนดสิทธิในการเข้าถึงข้อมูล และการดำเนินการอื่นใดที่เกี่ยวข้อง เพื่อรักษาความลับ confidentiality) ความถูกต้อง (integrity) ตลอดจนความพร้อมในการใช้งาน (availability) ของข้อมูลที่เกี่ยวข้อง รวมทั้งให้มีการดำเนินมาตรการในด้านต่างๆ

• มาตรการเชิงรุกเพื่อป้องกันและเฝ้าระวังความเสี่ยงในการเกิดภัยคุกคามทางไซเบอร์
• มาตรการเชิงรับเมื่อมีภัยคุกคามทางไซเบอร์เกิดขึ้น
• มาตรการด้านการบริหารจัดการคุณภาพเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์

ดาวน์โหลดเอกสาร

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) เป็นศูนย์กลางในการประสานงานกับหน่วยงานของรัฐ เพื่อนำข้อเสนอแนะมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ (Website Security Standard) ไปใช้ในการดำเนินงาน โดยจะประกาศรายชื่อหน่วยงานของรัฐเพื่อเข้าร่วมโครงการระบบตรวจจับและวิเคราะห์การโจมตีผ่านเครือข่าย (ThaiCERT Government Monitoring System) เป็นระยะต่อไป และร่วมกับหน่วยงานที่เกี่ยวข้องในการจัดตั้ง Sector-based CERT ในหน่วยงานสำคัญต่าง ๆ ต่อไป รวมทั้งเป็นหน่วยงานหลักในการรวบรวมรายชื่อโดเมนที่สำคัญของประเทศไทย พร้อมเตรียมแนวทางในการดำเนินการปกป้องรายชื่อดังกล่าวในกระบวนการพิจารณาของ The Internet Corporation for Assigned Names and Numbers (ICANN)

กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเผยแพร่ข้อเสนอแนะมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ (Website Security Standard) ยกระดับมาตรฐานการเฝ้าระวัง ติดตาม และดูแลภัยคุกคามไซเบอร์ในภาคสถาบันการเงิน โดยจัดตั้ง Financial Sector CERT เพื่อให้การจัดการกับปัญหาภัยคุกคามไซเบอร์มีประสิทธิภาพมากยิ่งขึ้น

https://standard.etda.or.th/?p=6231

ดาวน์โหลดเอกสาร