FAQ


Q1: ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ มีผลบังคับใช้กับหน่วยงานใดบ้าง ?

A1: ใช้กับหน่วยงานของรัฐ (ประกอบด้วย ราชการส่วนกลาง ราชการส่วนภูมิภาค ราชการส่วนท้องถิ่นรัฐวิสาหกิจ องค์กรฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กรอิสระ องค์การมหาชน และหน่วยงานอื่นของรัฐ) หน่วยงานควบคุมหรือกำกับดูแล (ปัจจุบันมี 19 หน่วยงาน) และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (ปัจจุบันมี 54 หน่วยงาน)


Q2: หน่วยงานของรัฐ ที่มิได้ถูกประกาศเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะต้องปฏิบัติตามประมวลแนวทางปฏิบัติและกรอบมาตรฐาน ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์หรือไม่ อย่างไรบ้าง ?

A2: หน่วยงานของรัฐ ทั้งที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และมิได้เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ จะต้องปฏิบัติตามประมวลแนวทางปฏิบัติและกรอบมาตรฐาน (ตามมาตรา 45 แห่ง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562)


Q3: การจัดตั้ง Sectoral CERT แต่ไม่สามารถปฏิบัติตามหน้าที่ที่กำหนดตามกฎหมายได้จะถูกดำเนินคดีหรือไม่ ?

A3: ตามมาตรา 50 แห่ง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงกฎหมายลำดับรองที่เกี่ยวข้อง มิได้กำหนดบทลงโทษกรณีหน่วยงานไม่ปฏิบัติตาม


Q4: สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีการสนับสนุน ด้านอัตรากำลัง งบประมาณ หรือค่าตอบแทน สำหรับบุคลากรที่เกี่ยวข้องเพิ่มเติมหรือไม่ ?

A4: สกมช. มีแผนงานโครงการสนับสนุนด้านการพัฒนาบุคลากรให้กับหน่วยงานที่เกี่ยวข้อง เช่น NCSA Cyber Clinic, การอบรมหลักสูตร Lead Auditor/Lead Implementor, Thailand National Cyber Academy, National Cyber Exercise

สามารถศึกษาเพิ่มเติมได้ที่

    • NCSA Cyber Clinic

    • Thailand National Cyber Academy

    • National Cyber Exercise


Q5. ทำไมถึงไม่มีการประกาศรายชื่อหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ลงในเว็บไซต์ NCSA ?

A5: สกมช. ได้รับข้อเสนอแนะจากหน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ว่าการประกาศรายชื่อหน่วยงานลงในเว็บไซต์จะถือว่าเป็นความเสี่ยงที่ผู้ไม่หวังดีอาจใช้รายชื่อหน่วยงานดังกล่าวเป็นเป้าหมายในการโจมตีได้ง่ายขึ้น


Q6. หน่วยงานต่าง ๆ จะทราบได้อย่างไรว่าเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ?

A6: หน่วยงานต่าง ๆ จะทราบได้จาก หน่วยงานควบคุมหรือกำกับดูแล ตามมาตรา 49 แห่ง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

สามารถศึกษาเพิ่มเติมได้ที่

    • หน่วยงานควบคุมหรือกำกับดูแล ตามมาตรา 49 แห่ง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562


Q7: หากต้องการเปลี่ยนแปลงภารกิจหรือให้บริการ รวมถึงรายชื่อหน่วยงานควบคุมหรือกำกับดูแล ตามประกาศมาตรา 49 ต้องทำอย่างไรบ้าง ?

A7: หากต้องการเปลี่ยนแปลงภารกิจหรือบริการ รวมถึงรายชื่อหน่วยงานควบคุมหรือกำกับดูแล จะต้องแจ้งมายัง สกมช. เพื่อดำเนินการรวบรวมข้อมูลและทบทวนประกาศมาตรา 49 เสนอต่อ กมช. และประกาศลงในราชกิจจานุเบกษาต่อไป


Q8: สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีการเก็บข้อมูลหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศทั้งประเทศแล้วจะมีความมั่นใจได้อย่างไรว่าจะเก็บข้อมูลได้อย่างปลอดภัย ?

A8: สกมช. มีการเก็บข้อมูลจากหน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยมีการกำหนดชั้นความลับของเอกสารตามความจำเป็น และมีการรักษาความมั่นคงปลอดภัยสารสนเทศตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของสำนักงาน


Q9: ถ้าไม่ได้รับการติดต่อจาก Regulator แต่ยังสงสัยว่าหน่วยงานมีสถานะเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศหรือไม่ ต้องทำอย่างไรบ้าง ?

A9: หากไม่ได้รับการติดต่อจาก หน่วยงานควบคุมหรือกำกับดูแล (Regulator) หน่วยงานสามารถส่งหนังสือถึง สกมช. เพื่อสอบถามสถานะของหน่วยงานได้


Q10: หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 กับหน่วยงานโครงสร้างพื้นฐานพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ต่างกันอย่างไร ?

A10: - หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) เป็นหน่วยงานที่เกิดขึ้นตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งได้แก่ หน่วยงานของรัฐ หรือหน่วยงานเอกชน ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญสารสนเทศ ปัจจุบันมีหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ จำนวนทั้งสิ้น 54 หน่วยงาน มีหน้าที่และความรับผิดชอบตามที่กำหนดไว้ในพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่สำคัญได้แก่ การจัดทำประมวลแนวทางปฏิบัติและกรอบมาตรฐาน (มาตรา 44) กำหนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์ (มาตรา 56) การป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์(มาตรา 58) เป็นต้น - หน่วยงานโครงสร้างพื้นฐานสำคัญ เป็นหน่วยงานที่เกิดขึ้นตามพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ซึ่งได้แก่ บรรดาหน่วยงานหรือองค์กร หรือส่วนงานหนึ่งส่วนงานใดของหน่วยงานหรือองค์กร ซึ่งธุรกรรมทางอิเล็กทรอนิกส์ของ หน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรนั้น มีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน โดยรายชื่อหน่วยงานจะถูกกำหนดตาม มาตรา 6 วรรค 2 ปัจจุบันกฎหมายดังกล่าวยังไม่ถูกยกเลิกดังนั้น หน่วยงานที่มีรายชื่อเป็นหน่วยงาน CI จึงยังคงต้องปฏิบัติตามกฎหมายดังกล่าวด้วย