Information Technology Governance

กระทรวง ICT ร่วมกับผู้แทนคณะอนุกรรมการความมั่นคงปลอดภัยภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้จัดให้มีการประชุมชี้แจงเพื่อสร้างความเข้าใจเกี่ยวกับการขับเคลื่อนหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ของประเทศ ในวันที่ 2 และ 9 กันยายน 2553 เพื่อพิจารณาการดำเนินการตามมาตรา 6 ที่เกี่ยวข้องกับ

1. ประกาศกำหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ หรือหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ตามมาตรา 5 (1) ซึ่งต้องกระทำตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ระดับกลาง หรือ ระดับพื้นฐาน แล้วแต่กรณี โดยให้คำนึงถึงระบบดับความเสี่ยง ต่อความมั่นคงปลอดภัยของระบบสารสนเทศ ผลกระทบต่อมูลค่าและความเสียหายที่ผู้ใช้บริการอาจได้รับ รวมทั้งผลกระทบต่อเศรษฐกิจและสังคมของประเทศ

2. ประกาศกำหนดรายชื่อหรือประเภทของหน่วยงานหรือองค์กรหรือส่วนงานของหน่วยงานหรือองค์กร ที่ถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศ ตามมาตรา 5 (2) ซึ่งต้องกระทำตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ระดับกลาง หรือระดับพื้นฐาน แล้วแต่กรณี

และพิจารณาการดำเนินการตามมาตรา 7 ที่เกี่ยวข้องกับ กำหนดมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศที่เหมาะสมกับวิธีการแบบปลอดภัย ตามมาตรา 4 ในแต่ละระดับ

เพื่อให้สัมพันธ์กับ พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ที่ได้ประกาศลงในราชกิจจานุเบกษาแล้ว เมื่อวันศุกร์ที่ 3 กันยายน 2553 โดยมีผลใช้บังคับ เมื่อพ้นกำหนด 180 วัน นับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป โดย พระราชกฤษฎีกาฯ ดังกล่าว มีสาระสำคัญ ดังนี้

1. กำหนดคำนิยามศัพท์สำคัญหลายคำ เช่น “วิธีการแบบปลอดภัย” “ทรัพย์สินสารสนเทศ” และ “ความมั่นคงปลอดภัยของระบบสารสนเทศ” เป็นต้น

2. กำหนดระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ไว้ 3 ระดับ คือ ระดับเคร่งครัด ระดับกลาง และระดับพื้นฐาน รวมทั้งได้กำหนดขอบเขตของการใช้วิธีการแบบปลอดภัยสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์

3. กำหนดหลักเกณฑ์เกี่ยวกับมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ตามหลักเกณฑ์ที่คณะกรรมการประกาศกำหนด

4. กำหนดให้คณะกรรมการพิจารณาทบทวน หลักเกณฑ์เกี่ยวกับวิธีการแบบปลอดภัย ตามพระราชกฤษฎีกานี้ และประกาศที่ออกตามพระราชกฤษฎีกานี้ รวมทั้งกฎหมายอื่นที่เกี่ยวข้อง อย่างน้อยทุกรอบระยะเวลา 2 ปี นับแต่พระราชกฤษฎีกานี้ใช้บังคับ และจัดทำรายงานเสนอต่อคณะรัฐมนตรีเพื่อทราบ

แต่เนื่องจาก พระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ ได้กำหนดให้มีการจัดลำดับวิธีการแบบปลอดภัยไว้ 3 ลำดับ คือ ระดับเคร่งครัด ระดับกลาง และ ระดับพื้นฐาน พร้อมทั้งกำหนดให้ใช้วิธีการแบบปลอดภัย ทั้ง 3 ระดับสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์ที่มีผลกระทบต่อความมั่นคง หรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน และธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศ

ดังนั้น เพื่อเป็นการเตรียมความพร้อมให้หน่วยงานเกิดความตระหนักถึงความสำคัญของการดำเนินงานที่สอดคล้องกับข้อกำหนดของพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ และกระตุ้นให้หน่วยงานเห็นความสำคัญของการเตรียมความพร้อมต่อการรับมือกับสถานการณ์ฉุกเฉินในรูปแบบต่าง ๆ

กระทรวง ICT จึงได้จัดการประชุมชี้แจงเพื่อสร้างความเข้าใจเกี่ยวกับการขับเคลื่อนกลุ่มหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ของประเทศ เพื่อให้หน่วยงานต่าง ๆ เข้าใจถึงบทบาทของตนเอง และสามารถปฏิบัติตามพระราชกฤษฎีกาดังกล่าวได้อย่างถูกต้องและเหมาะสม โดยมีหน่วยงานภาครัฐที่ใช้ประโยชน์จากเทคโนโลยีสารสนเทศในการปฏิบัติงาน รวมทั้งหน่วยงานที่เกี่ยวข้องกับโครงสร้างพื้นฐานของประเทศ (Critical Infrastructure) มาร่วมรับฟังการอภิปราย ให้ความรู้ และแลกเปลี่ยนความคิดเห็น

ทั้งนี้ เพื่อให้คณะกรรมการและฝ่ายบริหารขององค์กรต่าง ๆ ได้ตระหนักถึงความมั่นคงปลอดภัยด้านบริหารจัดการ (Administrative Security) และวิธีการแบบปลอดภัย โดยจัดให้มีนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการใด ๆ เพื่อนำมาใช้ในกระบวนการคัดเลือก การพัฒนา การนำไปใช้ หรือการบำรุงรักษาทรัพย์สินสารสนเทศให้มีความมั่นคงปลอดภัย

ซึ่งความเข้าใจเกี่ยวกับความหมายของโครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure) ที่ใกล้เคียงกันจะมีประโยชน์ต่อการดำเนินการเกี่ยวกับวิธีการแบบปลอดภัยตามมาตราต่าง ๆ ที่เกี่ยวข้องกับ พระราชกฤษฎีกานี้ ทั้งนี้ โครงสร้างพื้นฐานสำคัญของประเทศ (Critical Infrastructure) จะหมายความว่า บรรดาหน่วยงานหรือองค์กร หรือส่วนงานหนึ่งส่วนงานใดของหน่วยงานหรือองค์กร ซึ่งธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรนั้น มีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน

สำหรับประกาศในรูปของเอกสารอิเล็กทรอนิกส์ ที่มีรายละเอียดต่าง ๆ ตามพระราชกฤษฎีกานี้ สามารถดาวน์โหลด ได้ที่
http://www.ratchakitcha.soc.go.th/DATA/PDF/2553/A/053/13.PDF

พระราชกฤษฎีกาดังกล่าวเป็นกฎหมายลูก ที่ออกตามกฎหมายหลักของพระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (แก้ไขเพิ่มเติม พ.ศ. 2551)

ดังนั้น องค์กรของท่านควรจะประเมินตนเองในลักษณะของ CSA – Control Self Assessment ว่าในกรณีที่องค์กรของท่านมีนโยบายที่จะปฏิบัติตามกฎหมาย กฎเกณฑ์ +++ และมาตรฐานที่เกี่ยวข้องโดยเคร่งครัด เพื่อสร้างความเชื่อมั่นและความเชื่อถือให้กับผู้มีผลประโยชน์ร่วม อย่างน้อยควรจะสอบถามและติดตามว่าองค์กรของท่าน จะจัดให้มีการดำเนินการเรื่องนี้เมื่อใด เนื่องจาก พระราชกฤษฎีกานี้มีผลบังคับใช้ภายใน 180 วันนับจากวันที่ 3 กันยายน 2553

ครั้งต่อไป ผมจะเล่าสู่กันฟังในเรื่องเกี่ยวกับมุมมองต่าง ๆ ของ Critical Infrastructure

This entry was posted on วันเสาร์ที่ 11 กันยายน 2010 at 1:17 pm and is filed under คุยกับผู้เขียน. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.