Skip to content

ศูนย์อบรมฯ, ที่ปรึกษาและรับตรวจประเมิน เพื่อรับรอง ตามมาตรฐานสากล ISO (IT) และความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity)

Cybersecurity Act. 2562: สิ่งที่องค์กร CII / GOV/REG ต้องรู้

Cybersecurity Act. 2562 คืออะไร?

  • Cybersecurity Act. 2562 เป็นเรื่องสำคัญระดับประเทศ → ไทยออก พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
  • เป้าหมาย: ป้องกัน รับมือ เพื่อลดความเสี่ยงจากภัยคุกคามไซเบอร์ที่กระทบต่อความมั่นคงของรัฐ เศรษฐกิจ และประชาชน
  • องค์กรองค์กร/หน่วยงาน CII (Critical Information Infrastructure) คือ “ด่านหน้า” ที่ต้องปฏิบัติตาม ในขณะที่องค์กร/หน่วยงานกำกับดูแล (Regulator) คือ “ด่านหลัง” ที่มีหน้าที่ตเองไปตรวจสอบตามมาตรฐาน ข้อกำหนด พรบ ไซเบอร์
  • พ.ร.บ. ไซเบอร์ 2562 มีผลบังคับใช้ 28 พฤษภาคม 2562
    องค์กรที่เกี่ยวข้อง : สกมช. (สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ)
    วัตถุประสงค์ :
    1. ป้องกัน/รับมือภัยคุกคามไซเบอร์
    2. กำหนดมาตรการด้านการกำกับดูแล
    3. กำหนดบทบาทของ CII / GOV / REG

องค์กร CII คือใครบ้าง?

หมวดหมู่ที่เข้าข่าย CII ได้แก่
– ด้านความมั่นคงของรัฐ (Security)
– ด้านบริการภาครัฐที่สำคัญ (Government Services)
– ด้านการเงินการธนาคาร (Finance & Banking)
– ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม (ICT & Telecom)
– ด้านพลังงานและสาธารณูปโภค (Energy and Utilities )
– ด้านการขนส่งและโลจิสติกส์ (Transportation)
– ด้านสาธารณสุข (Healthcare)
คุณลักษณะ: เป็นระบบ/โครงสร้างพื้นฐานที่หากถูกโจมตี จะส่งผลกระทบรุนแรงต่อประเทศ

ข้อกำหนดหลักของ CII

  • แต่งตั้งผู้รับผิดชอบ (CISO และทีมงาน)
  • จัดทำ Risk Assessment และ Risk Register (Risk Strategy)
  • มี Incident Response Plan
  • เตรียมพร้อม Business Continuity (BCP/DRP)
  • จัดทำการทดสอบและซ้อม (Cybersecurity Exercise)
  • ส่งรายงาน/แจ้งเหตุให้ สกมช. ภายในเวลาที่กำหนด
  • รองรับการตรวจสอบ/ Audit จาก หน่วยงานกำกับดูแลและสกมช.

บทลงโทษหากไม่ปฏิบัติตาม

  • การไม่ปฏิบัติตาม → โทษปรับ/ทางแพ่ง/อาญา (ขึ้นกับกรณี)
  • ตัวอย่าง: หากไม่แจ้งเหตุภัยคุกคามไซเบอร์ อาจมีโทษทางปกครอง
  • ความเสียหายทางชื่อเสียง + ความเชื่อมั่นของลูกค้า

การเชื่อมโยง พ.ร.บ. ไซเบอร์ 2562 กับ ISO และมาตรฐานสากลอื่นๆ

  • ISO/IEC 27001: ISMS → Framework หลักที่สอดคล้องกับข้อกำหนด พ.ร.บ. ไซเบอร์ เช่น ประมวลแนวทางปฏิบัติ
  • ISO/IEC 22301: BCP → Cybersecurity Resilience and Recovery
  • NIST CSF 2.0: Cybersecurity Framework → กรอบมาตรฐาน

Roadmap สำหรับองค์กร CII/GOV/REG

  1. Gap Analysis – ตรวจความพร้อมกับข้อกำหนด พ.ร.บ. ไซเบอร์ 2562
  2. กำหนด CISO และทีมงาน
  3. จัดทำ Risk Assessment และ Risk Register (Risk Strategy)
  4. จัดทำ Incident Response Plan + BCP
  5. Training + Awareness
  6. ทดสอบ (Pen Test)
  7. Internal Audit + เตรียมรับตรวจจากหน่วยงานกำกับดูแล หรือ สกมช.

ประโยชน์ของการปฏิบัติตาม พรบ ไซเบอร์ 2562

  • ลดความเสี่ยงด้านไซเบอร์ที่อาจส่งผลต่อหน่วยงาน ส่งต่อถึงประเทศ
  • สร้างความเชื่อมั่นแก่คู่ค้าและลูกค้า
  • เตรียมพร้อมเข้าสู่มาตรฐานสากล เช่น ISO 27001, NIST, ฯลฯ
  • ลดความเสี่ยงด้านกฎหมายและชื่อเสียง

Conclusion (สรุป)

  • พ.ร.บ. ไซเบอร์ 2562 เป็นกฎหมายสำคัญที่องค์กร CII/GOV/REG ต้องปฏิบัติตาม
  • การเตรียมตัวล่วงหน้าจะช่วยลดความเสี่ยงและเพิ่มความมั่นใจในการทำงาน

Share the Post:

Related Posts