บทวิเคราะห์ พรฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553
ประกาศในราชกิจจานุเบกษาวันที่ 3 กันยายน 2553
ใช้บังคับเมื่อพ้นกำหนด 180 วันนับจากวันที่ประกาศ หรือนับตั้งแต่วันที่ 1 มีนาคม 2554

โดย ทีมที่ปรึกษา บริษัท เอซีอินโฟเทค จำกัด

โครงสร้างของกฎหมาย
หมายเหตุ: เนื้อความในตารางไม่ใช่ข้อความในกฎหมาย แต่เป็นคำอธิบายจากการวิเคราะห์กฎหมาย

บทวิเคราะห์

กฎหมายนี้เป็นกฎหมายลำดับรองซึ่งตราขึ้นเพื่อสนับสนุนความตาม พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 โดยอาจมีผลบังคับใช้ในวงกว้าง เนื่องจากขอบข่ายของกฎหมายตามมาตรา 5 นั้น ไม่ได้จำกัดเฉพาะหน่วยงานภาครัฐ และมีนัยว่าอาจเป็นองค์กรใดก็ได้ที่ทำธุรกรรมทางอิเล็กทรอนิกส์ที่มีผลกระทบต่อความมั่นคง หรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน รวมถึงองค์กรที่เป็นโครงสร้างพื้นฐานสำคัญของประเทศ ดังนั้นบริษัทหรือองค์กรที่ให้บริการทางอิเล็กทรอนิกส์ต่อประชาชนในวงกว้างก็อาจอยู่ในขอบข่ายที่ต้องดำเนินการตามข้อกำหนดของกฎหมายนี้เช่นกัน

มาตรา 7, 8 และ 10 สื่อให้เห็นว่าการตรากฎหมายนี้ มีพื้นฐานมาจากมาตรฐาน ISO 27001 ซึ่งเป็นมาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ ดังนั้นองค์กรต่างๆ ที่มีการทำธุรกรรมอิเล็กทรอนิกส์ ควรศึกษามาตรฐานดังกล่าวและนำมาประยุกต์ใช้ในองค์กร ตามความเหมาะสม เพื่อเป็นการเตรียมความพร้อมสำหรับการบังคับใช้กฎหมายในเดือนมีนาคม 2554 และสำหรับองค์กรที่มุ่งเน้นความเป็นเลิศอาจดำเนินการเพิ่มเติมเพื่อขอการรับรองมาตรฐาน ISO 27001 ด้วยก็ได้ ซึ่งก็จะเป็นเครื่องพิสูจน์ที่สำคัญว่าสามารถปฏิบัติตามข้อกำหนดของกฎหมายได้อย่างถูกต้อง

มาตรา 1-2 กำหนดชื่อเรียกและกำหนดการบังคับใช้กฎหมาย
มาตรา 3 ให้คำจำกัดความสำหรับคำสำคัญต่างๆ
มาตรา 4 ระบุว่าวิธีการแบบปลอดภัยมี 3 ระดับ ได้แก่
(1)        ระดับเคร่งครัด
(2)        ระดับกลาง
(3)        ระดับพื้นฐานโดยยังมิได้ระบุรายละเอียดของการรักษาความมั่นคงปลอดภัยในแต่ละระดับ แต่จะมีการประกาศหลักเกณฑ์เพิ่มเติมต่อไป
มาตรา 5 เป็นมาตราสำคัญที่กำหนดขอบข่ายของกฎหมาย โดยระบุว่าธุรกรรมทางอิเล็กทรอนิกส์ที่ต้องได้รับการรักษาความมั่นคงปลอดภัยตามกฎหมายฉบับนี้ คือ
(1)        ธุรกรรมทางอิเล็กทรอนิกส์ ที่มีผลกระทบต่อความมั่นคง หรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน
(2)        ธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร ที่ถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศ
มาตรา 6 ให้คณะกรรมการประกาศกำหนดประเภทของธุรกรรมทางอิเล็กทรอนิกส์ หลักเกณฑ์การประเมินผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ ตาม 5(1) และ 5(2) ซึ่งต้องได้รับการรักษาความมั่นคงปลอดภัยในระดับเคร่งครัด ระดับกลาง และระดับพื้นฐาน ต่อไป
มาตรา 7 ระบุให้มีการประกาศมาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับมาตรา 4 ในแต่ละระดับตามความเหมาะสม แต่อย่างน้อยต้องเกี่ยวข้องกับหลักเกณฑ์ซึ่งอ้างอิงมาจากมาตรฐาน ISO 27001 ดังต่อไปนี้
(1)        การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ
(2)        การจัดการโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศ เพื่อบริหารจัดการความมั่นคงปลอดภัยทั้งภายในและภายนอกองค์กร
(3)        การบริหารจัดการทรัพย์สินสารสนเทศ
(4)        การสร้างความมั่นคงปลอดภัยด้านบุคลากร
(5)        การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
(6)        การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบสารสนเทศ
(7)        การควบคุมการเข้าถึงข้อมูลสารสนเทศ และระบบสารสนเทศ
(8)        การจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ
(9)        การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์
(10)    การบริหารจัดการการดำเนินงานขององค์กรเพื่อให้มีความต่อเนื่อง
(11)      การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย และข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ
มาตรา 8 คณะกรรมการอาจระบุหรือแสดงตัวอย่างมาตรฐานทางเทคโนโลยีที่เป็นที่ยอมรับโดยทั่วไป ว่าเป็นมาตรฐานทางเทคโนโลยีที่เชื่อถือได้ ซึ่งอาจหมายถึงมาตรฐานสากลต่างๆ ที่ได้รับการยอมรับในวงกว้าง อาทิ ISO 27001, BS 25999, ฯลฯ
มาตรา 9 ระบุว่าธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทำโดยวิธีการที่ปลอดภัยตามมาตรา 7ให้ถือว่าเป็นธุรกรรมที่เชื่อถือได้ นั่นคือ มีผลตามกฎหมาย และเป็นการสนับสนุนมาตรา 25 ของ พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
มาตรา 10 การทำธุรกรรมทางอิเล็กทรอนิกส์ ต้องคำนึงถึงหลัก Confidentiality, Integrityและ Availability และต้องสอดคล้องกับนโยบายและข้อกำหนดของแต่ละองค์กร
มาตรา 11 หากคณะกรรมการเห็นว่าองค์กรใด มีการจัดทำนโยบายและแนวปฏิบัติที่สอดคล้องกับกฎหมายฉบับนี้ คณะกรรมการอาจประกาศรายชื่อองค์กรให้สาธารณชนรับทราบ เพื่อเป็นการสร้างความเชื่อมั่น
มาตรา 12 หลักเกณฑ์ด้านความมั่นคงปลอดภัยที่ประกาศตามกฎหมายฉบับนี้ รวมถึงกฎหมายอื่นๆ ที่เกี่ยวข้อง ต้องได้รับการทบทวนทุกๆ 2 ปี
มาตรา 13 กำหนดให้นายกรัฐมนตรีเป็นผู้รักษาการตามพระราชกฤษฎีกานี้