FAQ

FAQ

 

  • กรณีศึกษาจากการดำเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานของรัฐ

    •  

    1. ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ มีผลบังคับใช้กับหน่วยงานใดบ้าง ?

    ตอบ ใช้กับหน่วยงานของรัฐ (ประกอบด้วย ราชการส่วนกลาง ราชการส่วนภูมิภาค ราชการส่วนท้องถิ่นรัฐวิสาหกิจ องค์กรฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กรอิสระ องค์การมหาชน และหน่วยงานอื่นของรัฐ)หน่วยงานควบคุมหรือกำกับดูแล (ปัจจุบันมี 19 หน่วยงาน) และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (ปัจจุบันมี 54 หน่วยงาน)

    2. หน่วยงานของรัฐ ที่มิได้ถูกประกาศเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะต้องปฏิบัติตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์หรือไม่ อย่างไรบ้าง ?

    ตอบ หน่วยงานของรัฐ ทั้งที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และมิได้เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ จะต้องปฏิบัติตามประมวลแนวทางปฏิบัติและกรอบมาตรฐา
    (ตามมาตรา 45 แห่งพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.. 2562)

    3. การจัดตั้ง Sectorial CERT แต่ไม่สามารถปฏิบัติตามหน้าที่ที่กำหนดตามกฎหมายได้จะถูกดำเนินคดีหรือไม่ ?

    ตอบ ตามมาตรา 50 แห่งพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.. 2562 รวมถึงกฎหมายลำดับรองที่เกี่ยวข้อง มิได้กำหนดบทลงโทษกรณีหน่วยงานไม่ปฏิบัติตาม

    4. สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีการสนับสนุน ด้านอัตรากำลัง งบประมาณ หรือค่าตอบแทนสำหรับบุคลากรที่เกี่ยวข้องเพิ่มเติมหรือไม่ ?

    ตอบ สกมช. มีแผนงานโครงการสนับสนุนด้านการพัฒนาบุคลากรให้กับหน่วยงานที่เกี่ยวข้อง เช่น NCSA Cyber Clinic, การอบรมหลักสูตร Lead Auditor/Lead Implementor, Thailand National Cyber Academy, National Cyber Exercise

    สามารถศึกษาเพิ่มเตมได้ที่

    NCSA Cyber Clinic : https://www.youtube.com/watch?v=2ltUKVSsO4Q&t=3s
    Thailand National Cyber Academy : https://www.youtube.com/c/THNCAbyNCSA/videos
    National Cyber Exercise : https://drive.ncsa.or.th/s/bYKQcaLLxx6MXib

    5. ทำไมถึงไม่มีการประกาศรายชื่อหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ลงในเว็บไซต์ NCSA ?

    ตอบ สกมช. ได้รับข้อเสนอแนะจากหน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ว่าการประกาศรายชื่อหน่วยงานลงในเว็บไซต์จะถือว่าเป็นความเสี่ยงที่ผู้ไม่หวังดีอาจใช้รายชื่อหน่วยงานดังกล่าวเป็นเป้าหมายในการโจมตีได้ง่ายขึ้น

    6. หน่วยงานต่าง ๆ จะทราบได้อย่างไรว่าเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ?

    ตอบ หน่วยงานต่าง ๆ จะทราบได้จาก หน่วยงานควบคุมหรือกำกับดูแล ตามมาตรา 49 แห่ง ...การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.. 2562

    ศึกษาเพิ่มเติมได้ที่ : https://drive.ncsa.or.th/s/GdiqySfXfR7c4o8

    7. หากต้องการเปลี่ยนแปลงภารกิจหรือให้บริการ รวมถึงรายชื่อหน่วยงานควบคุมหรือกำกับดูแล
    ตามประกาศมาตรา 49 ต้องทำอย่างไรบ้าง ?

    ตอบ หากต้องการเปลี่ยนแปลงภารกิจหรือบริการ รวมถึงรายชื่อหน่วยงานควบคุมหรือกำกับดูแล จะต้องแจ้งมายัง สกมช. เพื่ดำเนินการรวบรวมข้อมูลและทบทวนประกาศมาตรา 49 เสนอต่อ กมช. และประกาศลงในราชกิจจานุเบกษาต่อไป

    8. สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีการเก็บข้อมูลหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ทั้งประเทศแล้วจะมีความมั่นใจได้อย่างไรว่าจะเก็บข้อมูลได้อย่างปลอดภัย ?

    ตอบ สกมช. มีการเก็บข้อมูลจากหน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยมีการกำหนดชั้นความลับของเอกสารตามความจำเป็น และมีการรักษาความมั่นคงปลอดภัยสารสนเทศตามนโยบายและแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยสารสนเทศของสำนักงาน

    9. ถ้าไม่ได้รับการติดต่อจาก Regulator แต่ยังสงสัยว่าหน่วยงานมีสถานะเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศหรือไม่ ต้องทำอย่างไรบ้าง ?

    ตอบ หากไม่ได้รับการติดต่อจาก หน่วยงานควบคุมหรือกำกับดูแล (Regulator) หน่วยงานสามารถส่งหนังสือถึง สกมช. เพื่อสอบถามสถานะของหน่วยงานได้

    10. หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 กับหน่วยงานโครงสร้างพื้นฐาน พระราชกฤษฎีกาวาดวยวิธีการแบบปลอดภัยในการทธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ต่างกันอย่างไร ?

    ตอบ - หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) เป็นหน่วยงานที่เกิดขึ้นตามพระราชบัญญัติ
    การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งได้แก่ หน่วยงานของรัฐ หรือหน่วยงานเอกชน ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสำคัญสารสนเทศ ปัจจุบันมีหน่วยงานโครงสร้างพื้นฐานสำคัญ
    ทางสารสนเทศ จำนวนทั้งสิ้น 54 หน่วยงาน มีหน้าที่และความรับผิดชอบตามที่กำหนดไว้ในพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่สำคัญได้แก่ การจัดทำประมวลแนวทางปฏิบัติและกรอบมาตรฐาน (มาตรา 44) หนดให้มีกลไกหรือขั้นตอนเพื่อการเฝ้าระวังภัยคุกคามทางไซเบอร์ (มาตรา 56)
    การป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ (มาตรา 58) เป็นต้น

          - หน่วยงานโครงสร้างพื้นฐานสำคัญ (CI) เป็นหน่วยงานที่เกิดขึ้นตามพระราชกฤษฎีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 ซึ่งได้แก่ บรรดาหน่วยงานหรือองค์กร หรือส่วนงานหนึ่งส่วนงานใดของหน่วยงานหรือองค์กร ซึ่งธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร หรือ
    ส่วนงานของหน่วยงานหรือองค์กรนั้น มีผลเกี่ยวเนื่องสำคัญต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน โดยรายชื่อหน่วยงานจะถูกกำหนดตาม มาตรา 6 วรรค 2 ปัจจุบันกฎหมายดังกล่าว
    ยังไม่ถูกยกเลิกดังนั้น หน่วยงานที่มีรายชื่อเป็นหน่วยงาน CI ึงยังคงต้องปฏิบัติตามกฎหมายดังกล่าวด้วย