🔒 มาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์ 2567: ยกระดับความปลอดภัยคลาวด์ไทยสู่มาตรฐานโลก

🔒 มาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์ 2567: ยกระดับความปลอดภัยคลาวด์ไทยสู่มาตรฐานโลก🔒

มาตรฐานฉบับนี้ถือเป็นก้าวสำคัญในการยกระดับความปลอดภัยทางไซเบอร์ของประเทศไทย ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 10 กันยายน 2567 และจะมีผลบังคับใช้ในปี 2569 โดยได้รับการพัฒนาให้สอดคล้องกับมาตรฐานสากลอย่าง ISO/IEC 27017 และCSA STAR Certification รวมถึงเทียบเคียงได้กับ Singapore MTCS Standard พร้อมรองรับข้อกำหนด GDPR และ PDPA โดยมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. ๒๕๖๗ เป็นมาตรฐานที่จัดทำขึ้นเพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ที่มีต่อการใช้บริการคลาวด์สาธารณะ โดยมีวัตถุประสงค์เพื่อให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมถึงหน่วยงานเอกชน มีความมั่นใจในการใช้งานระบบคลาวด์มากขึ้น

โครงสร้างของมาตรฐาน

มาตรฐานนี้แบ่งข้อกำหนดออกเป็น 2 ส่วนหลัก คือ

การกำกับดูแลด้านความมั่นคงปลอดภัยระบบคลาวด์ (Cloud Security Governance) ครอบคลุมเรื่องนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ โครงสร้างองค์กรด้านความมั่นคงปลอดภัยสารสนเทศ และการปฏิบัติตามกฎระเบียบข้อบังคับ
การปฏิบัติการและการรักษาความมั่นคงปลอดภัยโครงสร้างพื้นฐานระบบคลาวด์ (Cloud Infrastructure Security and Operation) ครอบคลุมเรื่องการบริหารทรัพยากรมนุษย์ การจัดการทรัพย์สิน การควบคุมการเข้าถึง การเข้ารหัส การรักษาความปลอดภัยทางกายภาพ และสภาพแวดล้อม การรักษาความมั่นคงปลอดภัยการปฏิบัติการ การรักษาความมั่นคงปลอดภัยเครือข่าย การจัดหา การพัฒนา และการบำรุงรักษา การจัดการผู้ให้บริการภายนอก และการจัดการเหตุภัยคุกคามทางสารสนเทศ

หลักการสำคัญของมาตรฐาน

ความรับผิดชอบร่วมกัน (Shared Responsibilities) มาตรฐานนี้ใช้หลักการความรับผิดชอบร่วมกันระหว่างผู้ใช้บริการคลาวด์ (CSC) และผู้ให้บริการคลาวด์ (CSP) เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างครอบคลุม และมีประสิทธิภาพ
ระดับผลกระทบและความอ่อนไหว (Criticality and Sensitivity) มาตรฐานนี้กำหนดให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ต้องประเมินระดับผลกระทบและระดับความอ่อนไหวของข้อมูลและระบบสารสนเทศของตนเอง เพื่อกำหนดมาตรการรักษาความมั่นคงปลอดภัยที่เหมาะสม
ข้อกำหนดขั้นพื้นฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Baseline) มาตรฐานนี้กำหนดข้อกำหนดขั้นพื้นฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เป็น 3 ระดับ คือ ระดับต่ำ ระดับกลาง และระดับสูง เพื่อให้หน่วยงานสามารถปฏิบัติตามมาตรฐานได้อย่างมีประสิทธิภาพ และเหมาะสมกับประโยชน์ที่จะได้รับ

ขอบเขตของมาตรฐาน

มาตรฐานนี้ใช้บังคับกับ:

หน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒
ผู้ให้บริการคลาวด์สาธารณะ (Public Cloud Service Provider) ที่ให้บริการกับหน่วยงานดังกล่าวข้างต้น

การตรวจรับรองมาตรฐาน

มาตรฐานนี้กำหนดแนวทางการตรวจรับรองมาตรฐานสำหรับผู้ใช้บริการคลาวด์และผู้ให้บริการคลาวด์ ไว้ 3 ประเภทหลัก คือ:

การประเมินตนเอง (Self-Assessment)
การตรวจรับรองโดยหน่วยงานควบคุมหรือกำกับดูแล (Attestation)
การตรวจรับรองโดยหน่วยงานให้บริการตรวจรับรอง (Certification Body)

ความเร่งด่วน และความเสี่ยง

การโจมตีทางไซเบอร์ต่อระบบคลาวด์ในประเทศไทยเพิ่มขึ้นอย่างต่อเนื่อง โดยเฉพาะในต้นปี 2567 ที่มีการรั่วไหลของข้อมูลมากกว่า 20 ล้านรายการ สร้างความเสียหายทั้งด้านการเงิน และชื่อเสียงองค์กร ด้วยเวลาเตรียมตัวเพียง 2 ปีก่อนมาตรฐานมีผลบังคับใช้ องค์กรจำเป็นต้องเริ่มดำเนินการตั้งแต่วันนี้!

ทำไมต้องเลือก ACinfotec?

ความเชี่ยวชาญ

การให้คำปรึกษาแบบครบวงจร

ความเข้าใจในตลาด และความต้องการของลูกค้า

ความเชี่ยวชาญในด้าน Cybersecurity: ด้วยประสบการณ์กว่า 21 ปี จึงทำให้ทีมงานของเรามีความรู้ และความเชี่ยวชาญในด้านความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์เป็นอย่างดี
การให้คำปรึกษาแบบครบวงจร: ครอบคลุมทุกขั้นตอน ตั้งแต่การประเมิน การตรวจรับรอง การฝึกอบรม ไปจนถึงการตอบสนองต่อเหตุการณ์
ความเข้าใจในตลาด และความต้องการของลูกค้า: เรามีประสบการณ์ในการทำงานร่วมกับบริษัทชั้นนำ และสามารถนำเสนอบริการที่ตอบโจทย์ความต้องการได้อย่างแท้จริง

หากคุณสนใจบริการของเรา และต้องการข้อมูลเพิ่มเติมเกี่ยวกับการให้คำปรึกษาเพื่อปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ โปรดติดต่อเราเพื่อรับคำปรึกษาฟรี!

โทรศัพท์: 02 670 8980-3

อีเมล: [email protected]

เว็บไซต์: https://www.acinfotec.com/