Page 610 - NEIC_FINAL REPORT_Appendix
P. 610
สรุปการประชุม
ท่ีปรึกษาบรรยายถึงหัวข้อดังต่อไปนี้
1. การวิเคราะห์กฎหมายที่เก่ียวข้องด้านความม่ันคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ(TOR3.6)
o กฎหมายด้านความมั่นคงปลอดภัย หรือ Cyber Security ที่ปรึกษาศึกษาปัญหาและอุปสรรค ที่เกี่ยวข้องกับการดําเนินงาน ซึ่งได้ศึกษากฎหมายที่เกี่ยวข้อง 15 ฉบับ และหน่วยงานในสังกัด กํากับ และนอกสังกัด 15 หน่วยงาน โดยแบ่งเป็น 4 เรื่อง คือ (1) การใช้ข้อมูล electronic (2) การรักษาความมั่นคงปลอดภัยและ การคุ้มครองข้อมูลส่วนบุคคล (3) การแบ่งช้ันความลับของข้อมูลข่าวสาร (4) การบํารุงรักษาระบบและบริหารความเส่ียง
o การศึกษาหน่วยงาน พบว่าบางหน่วยงานจะมีกฎหมายที่เกี่ยวข้องซึ่ง พ.ร.บ. ทั้งหมด จะเป็น พ.ร.บ. ที่เกี่ยวข้องกับหน่วยงานเป็นหลักแต่ไม่เกี่ยวกับการเชื่อมโยงข้อมูล และไม่ได้เป็นการใช้งานข้อมูล ร่วมกัน อีกทั้งมีเงื่อนไข ข้อยกเว้นตามแต่ละกิจการของตน อีกทั้งไม่สามารถเปิดเผยข้อมูลได้ หากต้องการข้อมูล ต้องขอความร่วมมือเป็นเร่ือง ๆ ไป
o ในการศึกษานี้ ที่ปรึกษาให้ข้อเสนอแนะแนวทางแก้ปัญหา ด้วยการ จัดตั้งธรรมาภิบาลข้อมูล ด้านพลังงาน ท่ีจะประกอบด้วย
1. การใช้ข้อมูลอิเล็กทรอนิกส์ในการปฏิบัติงาน ให้มีการจัดตั้งผู้ที่เกี่ยวข้อง คือ กรรมการ ธรรมาภิบาลข้อมูล ทีมบริกรข้อมูล ผู้มีส่วนได้เสียกับข้อมูล แล้วจัดตั้งกฎระเบียบต่าง ๆ เก่ียวกับธรรมาภิบาลข้อมูล (สภาพแวดล้อม นิยามข้อมูล นโยบายข้อมูล) และกระบวนการธรรมาภิบาลข้อมูล (การวางแผน การปฏิบัติ การตรวจสอบ วัดผล และรายงาน การปรับปรุงธรรมาภิบาลข้อมูล)
2. การรักษาความมั่นคงปลอดภัยและการคุ้มครองข้อมูลส่วนบุคคล โดยมี พ.ร.บ. ความปลอดภัย มั่นคงไซเบอร์ 2562 ที่สร้างมาตรการปกป้องระบบคอมพิวเตอร์และโครงข่ายที่มีมาตรฐานและแนวทาง ในการปฏิบัติที่ชัดเจน ซึ่ง พ.ร.บ. มาตรา 49 กฎหมายกําหนดว่าด้านพลังงานต้องมีความปลอดภัย ซึ่งตามมาตรา 60 ระดับภัยคุกคามทางไซเบอร์ มี 3 ระดับ ไม่ร้ายแรง-การให้บริการด้อยประสิทธิภาพ ร้ายแรง-ไม่สามารถให้บริการได้ ในบางส่วน และ วิกฤต-ล้มเหวท้ังระบบ ซ่ึงหน่วยงานมีหน้าท่ีในการต้ังนิยามให้ชัดเจน
- มาตรา13วรรค2ระบุว่าต้องมีframeworkในการIdentify,Protect,Detect, Respond และ Recover เหตุอย่างไร
- มาตรการในการรองรับCybersecurityMeasuresมีแนวปฏิบัติ(Codeofpractices) จัดซื้อจัดจ้าง หาอุปกรณ์; มี team computer emergency response team (CERTs) คือ กลุ่มที่จะแจ้งว่า เกิดปัญหาเช่นmalwareหรือvirusเกิดขึ้นเพื่อเฝ้าระวังว่ามีปัญหาเกิดขึ้น มีมาตรการว่าหากเกิดเหตุขึ้นมา ต้องตอบรับภายในเวลาเท่าไหร่; มีการกําหนด service level ในการแก้ไขปัญหา; มีการทํา Penetration Test
- การรักษาความมั่นคงปลอดภัยข้อมูลส่วนบุคคลมี2เรื่องหลักคือ(1)ต้องอธิบายได้ว่า เราเอาข้อมูลไปใช้ทําอะไร (2) การท่ีแต่ละหน่วยงานจะทําข้อมูลไปใช้น้ันใช้อย่างไร
7/4/63 - 2