บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553
ประกาศในราชกิจจานุเบกษาวันที่ 3 กันยายน 2553
ใช้บังคับเมื่อพ้นกำหนด 180 วันนับจากวันที่ประกาศ หรือนับตั้งแต่วันที่ 1 มีนาคม 2554
โดย ทีมที่ปรึกษา บริษัท เอซีอินโฟเทค จำกัด
โครงสร้างของกฎหมาย
หมายเหตุ: เนื้อความในตารางไม่ใช่ข้อความในกฎหมาย แต่เป็นคำอธิบายจากการวิเคราะห์กฎหมาย
บทวิเคราะห์
กฎหมายนี้เป็นกฎหมายลำดับรองซึ่งตราขึ้นเพื่อสนับสนุนความตาม พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 โดยอาจมีผลบังคับใช้ในวงกว้าง เนื่องจากขอบข่ายของกฎหมายตามมาตรา 5 นั้น ไม่ได้จำกัดเฉพาะหน่วยงานภาครัฐ และมีนัยว่าอาจเป็นองค์กรใดก็ได้ที่ทำธุรกรรมทางอิเล็กทรอนิกส์ที่มีผลกระทบต่อความมั่นคง หรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน รวมถึงองค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของประเทศ ดังนั้นบริษัทหรือองค์กรที่ให้บริการทางอิเล็กทรอนิกส์ต่อประชาชนในวงกว้างก็อาจอยู่ในขอบข่ายที่ต้องดำเนินการตามข้อกำหนดของกฎหมายนี้เช่นกัน
มาตรา 7, 8 และ 10 สื่อให้เห็นว่าการตรากฎหมายนี้ มีพื้นฐานมาจากมาตรฐาน ISO 27001 ซึ่งเป็นมาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ดังนั้นองค์กรต่างๆ ที่มีการทำธุรกรรมอิเล็กทรอนิกส์ ควรศึกษามาตรฐานดังกล่าวและนำมาประยุกต์ใช้ในองค์กร ตามความเหมาะสม เพื่อเป็นการเตรียมความพร้อมสำหรับการบังคับใช้กฎหมายในเดือนมีนาคม 2554 และสำหรับองค์กรที่มุ่งเน้นความเป็นเลิศอาจดำเนินการเพิ่มเติมเพื่อขอการรับรองมาตรฐาน ISO 27001 ด้วยก็ได้ ซึ่งก็จะเป็นเครื่องพิสูจน์ที่สำคัญว่าสามารถปฏิบัติตามข้อกำหนดของกฎหมายได้อย่างถูกต้อง
มาตรา 1-2 | กำหนดชื่อเรียกและกำหนดการบังคับใช้กฎหมาย |
มาตรา 3 | ให้คำจำกัดความสำหรับคำสำคัญต่างๆ |
มาตรา 4 | ระบุว่าวิธีการแบบปลอดภัยมี 3 ระดับ ได้แก่ (1) ระดับเคร่งครัด (2) ระดับกลาง (3) ระดับพื้นฐานโดยยังมิได้ระบุรายละเอียดของการรักษาความมั่นคงปลอดภัยในแต่ละระดับ แต่จะมีการประกาศหลักเกณฑ์เพิ่มเติมต่อไป |
มาตรา 5 | เป็นมาตราสำคัญที่กำหนดขอบข่ายของกฎหมาย โดยระบุว่าธุรกรรมทางอิเล็กทรอนิกส์ที่ต้องได้รับการรักษาความมั่นคงปลอดภัยตามกฎหมายฉบับนี้ คือ (1) ธุรกรรมทางอิเล็กทรอนิกส์ ที่มีผลกระทบต่อความมั่นคง หรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน (2) ธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร ที่ถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศ |
มาตรา 6 | ให้คณะกรรมการประกาศกำหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ หลักเกณฑ์การประเมินผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ตาม 5(1) และ 5(2) ซึ่งต้องได้รับการรักษาความมั่นคงปลอดภัยในระดับเคร่งครัด ระดับกลาง และระดับพื้นฐาน ต่อไป |
มาตรา 7 | ระบุให้มีการประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับมาตรา 4 ในแต่ละระดับตามความเหมาะสม แต่อย่างน้อยต้องเกี่ยวข้องกับหลักเกณฑ์ซึ่งอ้างอิงมาจากมาตรฐาน ISO 27001 ดังต่อไปนี้ (1) การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ (2) การจัดการโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศ เพื่อบริหารจัดการความมั่นคงปลอดภัยทั้งภายในและภายนอกองค์กร (3) การบริหารจัดการทรัพย์สินสารสนเทศ (4) การสร้างความมั่นคงปลอดภัยด้านบุคลากร (5) การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (6) การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบสารสนเทศ (7) การควบคุมการเข้าถึงข้อมูลสารสนเทศ และระบบสารสนเทศ (8) การจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ (9) การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์ (10) การบริหารจัดการการดำเนินงานขององค์กรเพื่อให้มีความต่อเนื่อง (11) การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย และข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ |
มาตรา 8 | คณะกรรมการอาจระบุหรือแสดงตัวอย่างมาตรฐานทางเทคโนโลยีที่เป็นที่ยอมรับโดยทั่วไป ว่าเป็นมาตรฐานทางเทคโนโลยีที่เชื่อถือได้ ซึ่งอาจหมายถึงมาตรฐานสากลต่างๆ ที่ได้รับการยอมรับในวงกว้าง อาทิ ISO 27001, BS 25999, ฯลฯ |
มาตรา 9 | ระบุว่าธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทำโดยวิธีการที่ปลอดภัยตามมาตรา 7ให้ถือว่าเป็นธุรกรรมที่เชื่อถือได้ นั่นคือ มีผลตามกฎหมาย และเป็นการสนับสนุนมาตรา 25 ของ พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 |
มาตรา 10 | การทำธุรกรรมทางอิเล็กทรอนิกส์ ต้องคำนึงถึงหลัก Confidentiality, Integrityและ Availability และต้องสอดคล้องกับนโยบายและข้อกำหนดของแต่ละองค์กร |
มาตรา 11 | หากคณะกรรมการเห็นว่าองค์กรใด มีการจัดทำนโยบายและแนวปฏิบัติที่สอดคล้องกับกฎหมายฉบับนี้ คณะกรรมการอาจประกาศรายชื่อองค์กรให้สาธารณชนรับทราบ เพื่อเป็นการสร้างความเชื่อมั่น |
มาตรา 12 | หลักเกณฑ์ด้านความมั่นคงปลอดภัยที่ประกาศตามกฎหมายฉบับนี้ รวมถึงกฎหมายอื่นๆ ที่เกี่ยวข้อง ต้องได้รับการทบทวนทุกๆ 2 ปี |
มาตรา 13 | กำหนดให้นายกรัฐมนตรีเป็นผู้รักษาการตามพระราชกฤษฎีกานี้ |