ข้อบังคับด้าน Cybersecurity ที่องค์กรต้องรู้
อัพเดทล่าสุด: 31 ก.ค. 2025
5 ผู้เข้าชม
ข้อบังคับด้าน Cybersecurity ที่องค์กรต้องรู้
ในยุคที่ภัยคุกคามไซเบอร์มีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่อง การบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์จึงกลายเป็นสิ่งจำเป็นที่องค์กรต้องให้ความสำคัญ ไม่เพียงเพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับข้อมูลหรือระบบเท่านั้น แต่ยังเกี่ยวข้องโดยตรงกับข้อกำหนดทางกฎหมายและมาตรฐานที่องค์กรพึงปฏิบัติตามด้วยเนื้อหานี้สรุป ข้อบังคับและมาตรฐานสำคัญด้าน Cybersecurity ที่องค์กรต้องรู้และควรดำเนินการให้สอดคล้อง ทั้งในระดับประเทศไทยและระดับสากล ดังนี้:
- พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
Cybersecurity Act, B.E. 2562
เป็นกฎหมายหลักที่วางกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ของประเทศ โดยเฉพาะหน่วยงานรัฐและองค์กรที่ให้บริการ โครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure - CII) เช่น พลังงาน การเงิน โทรคมนาคม และขนส่ง
สาระสำคัญ: องค์กรที่เข้าข่าย CII ต้องจัดทำนโยบายความมั่นคงไซเบอร์ของตนมีระบบตรวจจับ วิเคราะห์ และตอบสนองต่อภัยคุกคามต้องแจ้งเหตุการณ์ความมั่นคงไซเบอร์ร้ายแรงแก่รัฐทันทีที่เกิดขึ้น - พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
Personal Data Protection Act (PDPA)
แม้จะเน้นไปที่การคุ้มครองข้อมูลส่วนบุคคล แต่ PDPA ก็มีข้อกำหนดเรื่องการรักษาความปลอดภัยของข้อมูลที่องค์กรต้องปฏิบัติตาม
สาระสำคัญ: ต้องมีมาตรการทางเทคนิคและการบริหารจัดการเพื่อรักษาความปลอดภัยของข้อมูลส่วนบุคคลหากมีเหตุข้อมูลรั่วไหล ต้องแจ้งต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลภายใน 72 ชั่วโมง ต้องมีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) หากดำเนินกิจกรรมที่มีความเสี่ยงสูง - พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และฉบับแก้ไข พ.ศ. 2560
Computer Crime Act เป็นกฎหมายที่ควบคุมการกระทำความผิดทางคอมพิวเตอร์ เช่น การแฮกข้อมูล ปล่อยมัลแวร์ หรือเจาะระบบ โดยองค์กรควรใช้เป็นกรอบในการดำเนินนโยบายรักษาความปลอดภัยด้านไอทีภายในองค์กร - ISO/IEC 27001 ระบบการจัดการความมั่นคงปลอดภัยของข้อมูล (ISMS)
เป็นมาตรฐานสากลที่ได้รับการยอมรับอย่างกว้างขวาง ซึ่งระบุแนวปฏิบัติที่ดีที่สุดในการจัดการความปลอดภัยของข้อมูล องค์กรสามารถขอการรับรอง (certification) เพื่อแสดงความน่าเชื่อถือในระดับสากลได้
ครอบคลุม: การวิเคราะห์ความเสี่ยง (Risk Assessment) การควบคุมการเข้าถึง (Access Control) การตอบสนองต่อเหตุการณ์ (Incident Response) การดำเนินการแก้ไขและปรับปรุง (Corrective Action) - ISO/IEC 27701 ระบบบริหารจัดการข้อมูลส่วนบุคคล (Privacy Information Management System - PIMS)
เป็นภาคเสริมของ ISO/IEC 27001 ที่เน้นเรื่องความเป็นส่วนตัว โดยเฉพาะการบริหารข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมาย เช่น GDPR และ PDPA - แนวทางและข้อบังคับเฉพาะอุตสาหกรรม
องค์กรในบางอุตสาหกรรมอาจมีข้อกำหนดเฉพาะเพิ่มเติม เช่น: ธนาคาร/การเงิน: ต้องปฏิบัติตามแนวทางจากธนาคารแห่งประเทศไทย เช่น IT Risk Management Guidelines ตลาดหลักทรัพย์: ปฏิบัติตามข้อกำหนดจากสำนักงาน ก.ล.ต. (กฎหมายหลักทรัพย์) โทรคมนาคม: อยู่ภายใต้ข้อกำกับของ กสทช. ด้านโครงสร้างพื้นฐานและข้อมูลผู้ใช้บริการ
บทความที่เกี่ยวข้อง
เพิ่มความปลอดภัยทางไซเบอร์ในชีวิตประจำวัน ที่ทุกคนสามารถนำไปใช้ได้ง่าย ๆ เพื่อป้องกันข้อมูลส่วนตัวและทรัพย์สินดิจิทัลจากการโจมตีไซเบอร์
27 ก.ค. 2025
Ransomware คือมัลแวร์ประเภทหนึ่งที่โจมตีระบบคอมพิวเตอร์ขององค์กร โดยทำการ เข้ารหัสข้อมูล (Encrypt)
27 ก.ค. 2025
