สำนักงานไซเบอร์ฯ ขีดเส้น 2 ปี หน่วยงานรัฐต้องมีมาตรฐานไซเบอร์คลาวด์
เปิดรายละเอียดมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ ขีดเส้นปี 69 มีผลบังคับใช้ รับนโยบาย Cloud First Policy
พล.อ.ต.อมร ชมเชย เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) เปิดเผยว่า รัฐบาลมีนโยบาย Cloud First Policy เพื่อให้หน่วยงานภาครัฐ ใช้บริการระบบคลาวด์กลางภาครัฐ (GDCC) เพื่อยกระดับความปลอดภัยของข้อมูลหน่วยงานรัฐที่ให้บริการประชาชน และช่วยลดค่าใช้จ่ายในการเก็บข้อมูล และการจัดซื้อจัดจ้างของหน่วยงานรัฐนั้น ทาง สกมช. ในฐานะหน่วยงานรับผิดชอบด้านความมั่นคงปลอดภัยไซเบอร์ ได้ดำเนินการจัดทำประกาศ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ(กมช.) เรื่องมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ ซึ่งได้ประกาศในราชกิจจานุเบกษา เมื่อวันที่ 3 ก.ย. 2567 ที่ผ่านมา และจะมีผลบังคับใช้เมื่อพ้นกำหนด 2 ปี นับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป
สำหรับเนื้อหาของมาตรฐานฉบับนี้ แบ่งข้อกำหนดออกเป็น 2 ส่วน ได้แก่ การกำกับดูแลด้านความมั่นคงปลอดภัยระบบคลาวด์ และ การปฏิบัติการและการรักษาความมั่นคงปลอดภัยโครงสร้างพื้นฐานระบบคลาวด์ รวมถึงการประมวลผล ประเภทของบริการคลาวด์ การให้บริการโครงสร้างพื้นฐานหลัก ความเสี่ยงจากการใช้บริการคลาวด์ เป็นต้น ซึ่งมาตรฐานดังกล่าวจะช่วยส่งเสริม การยกระดับความปลอดภัย ระบบคลาว์ดให้มีมาตรฐาน และส่งเสริมเศรษฐกิจดิจิทัลของไทยในอนาคต
พล.อ.ต.อมร กล่าวต่อว่า ในระหว่างรอกฎหมายบังคับใช้ ทาง สกมช.จะประชาสัมพันธ์ให้หน่วยงานรัฐต่างๆ ต้องรู้ถึงการปฎิบัติตามมาตรฐานของกฎหมาย โดยมีหลักการเบื้องต้นเมื่อหน่วยงานใช้คลาวด์ เพื่อให้ข้อมูลข่าวสารทางเว็บไซต์อย่างเดียว หน่ายงานก็ตรวจสอบและดำเนินการด้วยตนเองตามมาตราฐานที่กฎหมายวางไว้ในระดับต้น และหากมีการเก็บข้อมูลประชาชน ที่หากข้อมูลรั่วไหลไปจะส่งผลให้เกิดความเสียหาย จะต้องทำตามเกณฑ์และต้องมีการตรวจสอบเป็นระดับกลาง
หากเป็นการใช้คลาวด์เกี่ยวกับความมั่นคงชองชาติ เช่น ระบบของทหาร ที่หากข้อมูลรั่วแล้ว จะส่งผลต่อสาธารณะ มีผลเสียหายรุนแรงต่อชีวิตและทรัพย์สิน จะมีเกณฑ์เพิ่มขึ้นจากสองระดับแรก คือ จะต้องใช้ดาต้า เซ็นเตอร์ที่ตั้งอยู่ในประเทศไทย โดยจะให้เวลาหน่วยงานรัฐต่างๆ เตรียมตัวเป็นเวลา 2 ปี จากนั้นในปี 2569 ทาง สกมช. จะออกไปตรวจหน่วยงานต่างๆ ว่าปฎิบัติตามมาตรฐานของกฎหมายหรือไม่
ประกาศฉบับนี้เพื่อเป็นการสนับสนุนให้หน่วยงานของรัฐหน่วยงานควบคุมหรือกำกับดูแลและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศได้เตรียมความพร้อมการใช้งานคลาวด์ตามนโยบาย Cloud First Policy ได้อย่างมั่นคงปลอดภัยและเพิ่มประสิทธิภาพการให้บริการประชาชนได้ตามวัตถุประสงค์ของนโยบายดังกล่าว รวมถึงหน่วยงานผู้ให้บริการคลาวด์ที่ให้บริการได้เตรียมความพร้อมการใช้งานคลาวด์ตามนโยบายได้อย่างเหมาะสม