Posts Tagged "แนวนโยบายและแนวปฏฺบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ"

ด่วน!. การปฏิบัติตามนโยบายในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. 2553 โดย ก. ICT

ผมได้มีโอกาสไปร่วมสัมมนา “แนวนโยบายและแนวปฏฺบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ” เมื่อวันพฤหัสบดีที่ 24 มิถุนายน 2553 ที่โรงแรมเจ้าพระยาปาร์ค ซึ่งสำนักงานธุรกรรมทางอิเล็กทรอนิกส์ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ได้ร่วมกับคณะอนุกรรมการความมั่นคงปลอดภัย ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เป็นผู้จัดขึ้น จึงมีเรื่องเล่าสู่กันฟังกับท่านผู้อ่าน โดยเฉพาะอย่างยิ่ง ผู้มีหน้าที่ในการดำเนินการและจัดการให้เป็นไปตามข้อกำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 ซึ่งได้ประกาศในและลงในหนังสือราชกิจจานุเบกษา และมีผลทางปฏิบัติแล้ว

ท่านอดีตรัฐมนตรีกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ประธานกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ร้อยตรีหญิง ระนองรักษ์ สุวรรณฉวี ได้ลงนามในประกาศ ณ วันที่ 31 พฤษภาคม 2553 ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ พ.ศ. 2553 ซึ่งเป็นไปตาม มาตรา 5 ของพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2549 ที่กำหนดไว้ว่า หน่วยงานของรัฐต้องจัดทำแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ เพื่อให้ดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐ หรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้
แนวนโยบายและแนวปฏิบัติอย่างน้อยต้องประกอบด้วยเนื้อหา ดังต่อไปนี้
(๑) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ
(๒) การจัดให้มีระบบสารสนเทศและระบบสำรองของสารสนเทศซึ่งอยู่ในสภาพพร้อมใช้งาน
และจัดทำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดำเนินการด้วยวิธีการทางอิเล็กทรอนิกส์ เพื่อให้สามารถใช้งานสารสนเทศได้ตามปกติอย่างต่อเนื่อง
(๓) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศอย่างสม่ำเสมอ

บัดนี้ หน่วยงานภาครัฐ สำนักธุรกรรมทางอิเล็กทรอนิกส์ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ร่วมกับคณะอนุกรรมการความมั่นคงปลอดภัย ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้กำหนดแนวนโยบายและแนวปฏิบัติ ตามมาตรา 5 ในเรื่องการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานของรัฐ เพื่อให้ครอบคลุมและกำหนดแนวทาง แนะนำในด้านการรักษาความมั่นคงปลอดภัยให้กับสารสนเทศที่มีความรุนแรงเพิ่มขึ้น ทั้งในประเทศและต่างประเทศ อีกทั้งยังมีแนวโน้มที่จะส่งผลกระทบต่อภาครัฐและภาคธุรกิจมากขึ้น ทำให้ผู้ประกอบการ ตลอดจนองค์กร ภาครัฐ และภาคเอกชนที่มีการดำเนินงานใด ๆ ในรูปของข้อมูลอิเล็กทรอนิกส์ผ่านระบบสารสนเทศขององค์กร ขาดความเชื่อมั่นต่อการทำธุรกรรมทางอิเล็กทรอนิกส์ในทุกรูปแบบ

ประกอบกับคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ได้ตระหนักถึงความจำเป็นที่จะส่งเสริมและผลักดันให้ประเทศสามารถยกระดับการแข่งขันกับประเทศอื่น ๆ โดยการนำระบบสารสนเทศและการสื่อสารมาประยุกต์ใช้ประกอบการทำธุรกรรมทางอิเล็กทรอนิกส์อย่างแพร่หลาย

จึงเห็นความสำคัญที่จะนำกฎหมาย ข้อบังคับต่าง ๆ มาบังคับใช้กับการทำธุรกรรมทางอิเล็กทรอนิกส์ ทั้งในส่วนที่ต้องกระทำ และในส่วนที่ต้องงดเว้นการกระทำ เพื่อช่วยให้การทำธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานของรัฐ มีความมั่นคงปลอดภัย และมีความน่าเชื่อถือ

เพื่อให้ดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐ หรือโดยหน่วยงานของรัฐ มีความมั่นคงปลอดภัยและเชื่อถือได้ และมีมาตรฐานเป็นที่ยอมรับในระดับสากล คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ จึงได้กำหนดแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ โดยอาศัยอำนาจตามความในมาตรา 5 มาตรา 7 และมาตรา 8 แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ จึงได้จัดทำประกาศฉบับดังกล่าวขึ้น เพื่อเป็นแนวทางเบื้องต้นให้หน่วยงานของรัฐใช้ในการกำหนดนโยบาย และข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ

รายละเอียดของประกาศนี้อาจติดตามได้จาก สำนักธุรกรรมทางอิเล็กทรอนิกส์ ของกระทรวง ICT ซึ่งหน่วยงานของรัฐจะต้องดำเนินการไม่ต่ำกว่าสาระสำคัญของประกาศนี้โดยทุกข้อ

ทั้งนี้ หน่วยงานของรัฐ ควรจะทำการประเมินตนเอง (Self Assesstment) ว่า หน่วยงานของตนมี
1. นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ตามมาตรา 5 ของ พรก.กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2549 แล้วหรือยัง

2. ถ้ามีแล้ว ก็ควรพิจารณาทบทวนความสอดคล้อง และแนวปฏิบัติฯ กับประกาศของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ตามข้อ 1.

3. ถ้าไม่มี หน่วยงานของรัฐก็ต้องจัดให้มีขึ้น เพื่อให้เป็นไปตามข้อ 1. และ ข้อ 2.

4. ประกาศเรื่องแนวนโยบายฯ ดังกล่าวนี้ เป็นนโยบายและข้อปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศขั้นต่ำ ซึ่งพิจารณาว่าเป็นพื้นฐานที่ทุกหน่วยงานของรัฐจะต้องดำเนินการให้ครบถ้วน

5. มาตรการในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ตามมาตรฐานสากล มี 11 หัวข้อหลัก แต่ประกาศของคณะกรรมการในครั้งนี้ ซึ่งดำเนินการตามมาตรา 5 นั้น ได้กำหนดขั้นต่ำไว้เพียง 3 หัวข้อ ดังนั้น ผมมีความเห็นส่วนตัวว่า หน่วยงานที่มีความสำคัญยิ่งยวดของหน่วยงานภาครัฐ อาจต้องเพิ่มมาตรการที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ให้เพิ่มขึ้นจากประกาศนี้ได้ และสมควรจะต้องดำเนินการด้วย

6. แม้ประกาศของคณะกรรมการฯ จะมีเพียง 3 ข้อ การปฏิบัติให้เป็นไปตามแนวนโยบายที่เป็นรูปธรรมที่แท้จริง ยังต้องการความเอาใจใส่อย่างยิ่งยวดของผู้บริหารระดับสูง ที่ต้องติดตามการบริหารงานให้เป็นไปตามนโยบาย และแนวปฏิบัตินี้อย่างเคร่งครัด

มีความเป็นไปได้ค่อนข้างมากว่า ในอนาคตหน่วยงานกำกับภาครัฐที่เกี่ยวข้อง จะมีการประสานงานกันอย่างใกล้ชิด ในเรื่องการปฏิบัติและการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ซึ่งนับวันจะมีความสำคัญเพิ่มขึ้นอย่างรวดเร็ว และมีผลกระทบต่อความเชื่อมั่น ความเชื่อถือในการบริหารการจัดการของแต่ละองค์กร และมีผลทางด้านการเพิ่มประสิทธิผล และประสิทธิภาพอย่างมีนัยสำคัญของผู้มีผลประโยชน์ร่วมทุกฝ่าย และเป็นการขับเคลื่อนวัตถุประสงค์หลัก ให้เป็นไปตามพระราชกฤษฎีกา กำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2549

อนึ่ง เมื่อหน่วยงานของรัฐ ได้จัดทำตามแนวนโยบายและแนวปฏิบัติฯ ตามที่กล่าวข้างต้นแล้ว จะต้องส่งแนวทางดังกล่าวไปให้คณะอนุกรรมการความมั่นคงปลอดภัย ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สำนักธุรกรรมทางอิเล็กทรอนิกส์ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เพื่อพิจารณาว่าแนวนโยบายที่หน่วยงานของรัฐได้ร่างเพื่อดำเนินการนั้น สอดคล้องกับการกำหนดแนวทางดังกล่าวนี้ของกระทรวง ICT ต่อไปด้วย

ผมจะได้นำรายละเอียดตามประกาศของคณะกรรมการฯ ไว้ในตอนต่อ ๆ ไป หรือท่านที่สนใจอาจจะติดตามดูรายละเอียดได้จาก สำนักธุรกรรมทางอิเล็กทรอนิกส์ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารนะครับ