NIST Cybersecurity Framework (NIST CSF) version 2.0
กรอบการทำงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ที่มีประสิทธิภาพสูงสุดในปัจจุบัน

NIST Cybersecurity Framework (NIST CSF) กรอบการทำงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อกำหนดแนวทางปฏิบัติ การบริหารจัดการความเสี่ยงได้อย่างมีประสิทธิภาพ ภายหลังจากการประกาศใช้ version 1.0 มาตั้งแต่ปี 2014 โดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ สหรัฐอเมริกา (National Institute of Standards and Technology) หรือ NIST ได้มีการใช้งานอย่างแพร่หลายทั่วโลก และประเทศไทยเริ่มนำกรอบการทำงาน NIST CSF มาใช้ เมื่อมีการนำ NIST CSF version 1.1 มาเป็นกรอบข้อกำหนดต่าง ๆ ในพระราชบัญญัติการรักษาความมั่นคงปลอดภัย    ไซเบอร์ พ.ศ. 2562 ประกาศใช้ในปี 2017 ปัจจุบันได้มีการประกาศใช้ NIST CSF version 2.0 เมื่อวันที่ 26 กุมภาพันธ์ 2024 ซึ่งขยายขอบเขตการใช้งานนอกเหนือจาก Critical Infrastructure ไปยังองค์กรทั่วไปให้สามารถนำไปปฏิบัติตามได้ รวมถึงการครอบคลุมไปยังกระบวนการธรรมาภิบาลการวางนโยบายควบคุม (Governance) ด้วยการเพิ่มหัวข้อการกำกับดูแล “Govern” เข้ามาเป็นแกนกลางของวงแหวน NIST เพื่อกำหนดทิศทางให้กับกระบวนการ Identify, Protect, Detect, Respond และ Recover ดำเนินไปตามเป้าหมาย

การบรรลุเป้าหมายด้านการรักษาความมั่นคงปลอดภัยไซเบอร์นั้น จะขึ้นอยู่กับการกำหนด Profile หรือ การประเมินความสามารถขององค์กร โดยใช้เกณฑ์การประเมินจาก NIST CSF version 2.0 เพื่อกำหนดระดับ (Tier) โดยผลลัพธ์จากการประเมินจะแบ่งออกเป็น 2 ส่วน คือ “สถานะปัจจุบัน” Current Profile (As-is)  ที่ทำให้รู้ จุดอ่อน-จุดแข็งขององค์กร และ “เป้าหมาย” Target Profile (To-be) ที่องค์กรต้องการบรรลุ ซึ่งแต่ละอุตสาหกรรมจะให้ความสำคัญกับ Target Profile ไม่เท่ากัน ตัวอย่างเช่น บางอุตสาหกรรมอาจให้ความสำคัญกับ “Recovery” เพื่อให้สามารถดำเนินการบริการแอปพลิเคชันได้อย่างต่อเนื่อง ดังนั้น Profile ของแต่ละองค์กร และอุตสาหกรรมจึงไม่จำเป็นต้องเหมือนกัน

NIST CSF 2.0 เป็นเครื่องมือสำคัญสำหรับองค์กรทุกประเภท ที่ต้องการจัดการความเสี่ยงทางไซเบอร์ได้อย่างมีประสิทธิภาพ โดยเฉพาะการมีกระบวนการ Govern จะช่วยให้องค์กรสามารถกำหนดทิศทาง และสร้างสมดุลระหว่าง Security และBusiness ได้อย่างเหมาะสม

ทำไมต้องใช้ NIST CSF

  • เพราะเข้าใจง่าย และ Link ไปยัง Standards & Best Practices อื่น ๆ
  • NIST เป็น Framework ที่เป็นเครื่องมือในการจัดทำ Roadmap การพัฒนาประสิทธิภาพด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพราะมีการกำหนด Profile สามารถเข้าใจได้ง่าย และเชื่อมโยงไปยัง Standards & Best Practices อื่น ๆ
  • เป็นกรอบการทำงานที่มีการประเมินมุมมองทั้งด้าน Tech และ Business
  • พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มีการนำกรอบการทำงานของ NIST CSF และ ISO 27001 เป็นโครงสร้างหลักของข้อกำหนด

Major Changes in version 2.0

  • เพื่อให้สามารถใช้ได้กับทุกองค์กร ไม่ใช่เฉพาะ Critical Infrastructure CII เท่านั้น เพราะมี Small Business Quick Starting Guide
  • มีการเพิ่มหัวข้อการทำงานด้านการกำกับดูแล Govern เพื่อเน้นการกำกับดูแล Cyber Risk & Strategy ระดับองค์กร
  • มีการเพิ่มกรอบการทำงานด้าน “การกำกับดูแล” (Govern) และ Subcategory ใหม่ ๆ เช่น Implementation Example ที่สามารถใช้ Best Practice และการวางระบบเป็น Core Mapping ที่เชื่อมโยง เทียบเคียงกับทรัพยากรมาตรฐานทางอุตสาหกรรมอื่น ๆ
  • กรอบการทำงานด้าน  “การกำกับดูแล” (Govern) เน้นเรื่อง Business เป็นหลัก บาง Subcategory ของ Govern ใน NIST CSF 2.0 สนับสนุนในแง่ธุรกิจหลายอย่าง เช่น โฟกัสในการหาสมดุลระหว่าง “ความเสี่ยง” (Risk) และ “โอกาส” (Opportunity) มากกว่าการมีระบบ Security ที่ดีที่สุดเพียงอย่างเดียว
  • สามารถสร้าง Community Profiles ซึ่งเป็น Uniqueness ที่ ISO ไม่มีได้
  • มีการ Implementation Examples เหมือนกับ Implementation Guidance ใน ISO 27002:2022
  • เน้นความสำคัญของ Cybersecurity Supply Chain Risk Management (C-SCRM)
  • มี Online Informative Reference ที่เชื่อมโยงกับ Standards อื่น ๆ

ประโยชน์และความสำเร็จจาก NIST CSF

  • เข้าใจความเสี่ยงด้านไซเบอร์ขององค์กร
  • เชื่อมโยงManagement Expectation และ Organization Mission เข้ากับการดำเนินการและการลงทุนด้านไซเบอร์ขององค์กร เพื่อให้เกิดความคุ้มค่าและเพิ่มมูลค่าให้กับธุรกิจและบริการขององค์กร
  • ลดการลงทุนที่ไม่สอดคล้องกับTarget Profile และเน้นลงทุนเพื่ิอเพิ่มขีดความสามารถด้านไซเบอร์ที่ตอบโจทย์ธุรกิจ
  • บุคลากรด้านไอที และบุคลากรทางธุรกิจ รวมถึงผู้บริหารระดับสูงและบุคลากรภายนอก สื่อสารมีความเข้าใจตรงกัน ระหว่างความสามารถและความคาดหวังด้านความปลอดภัยไซเบอร์ขององค์กร

ด้วยประสบการณ์มากกว่า 20 ปี  เอซีอินโฟเทค มีบทบาทเป็นผู้นำในการให้บริการด้านการปรึกษาและการตรวจสอบ IT GRC รวมถึงบริการตรวจสอบและให้คำปรึกษา NIST CSF ที่เน้นความเชี่ยวชาญและคุณภาพ ทีมผู้เชี่ยวชาญของเรามุ่งมั่นให้บริการที่ตรงกับ NIST CSF เวอร์ชันปัจจุบัน  ซึ่งรวมถึงการประเมินความเสี่ยง การวิเคราะห์ความต้องการด้านความปลอดภัย และการสร้างแผนการพัฒนาความสามารถในการรับมือต่อเหตุการณ์โจมตีทางไซเบอร์ เพื่อรับมือกับความท้าทายในอนาคต

การบริการของเอซีอินโฟเทค

  • การประเมินด้าน Gap Analysis ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์และ Threat Landscape พร้อมให้คำแนะนำในการปรับปรุงจัดทำ Profile และ Target ที่เหมาะสม
  • ประเมินความเสี่ยงให้ครอบคลุมการรับมือต่อเหตุการณ์โจมตีทางไซเบอร์
  • กำหนดกลยุทธ์และแผนการดำเนินงานด้านไซเบอร์ในระยะสั้น ระยะกลางและระยะยาว
  • ให้คำแนะนำด้านเอกสาร และกระบวนการที่เกี่ยวข้อง
  • ให้คำแนะนำด้านการปฏิบัติตามนโยบายให้เหมาะสม
  • การตรวจประเมินวัดผลระดับการพัฒนา Maturity Level ภายหลังการพัฒนาและปรับปรุง
  • การอบรมด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์ และอบรมพัฒนาทักษะด้านการบริหารจัดการความเสี่ยง

ติดต่อ ACinfotec เพื่อยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างมีประสิทธิภาพสูงสุด

หากคุณกำลังมองหาบริการที่เชื่อถือได้ เพื่อยกระดับมาตรฐานความปลอดภัยและประสิทธิภาพของการนำ NIST CSF Framework ไปประเมิน และกำหนดแนวปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ที่เป็นที่ยอมรับในระดับสากล เอซีอินโฟเทคพร้อมที่จะเป็นส่วนหนึ่งของการเดินทางสู่ความสำเร็จของคุณ

ติดต่อเพื่อสอบถามข้อมูลเพิ่มเติม Email: [email protected] หรือ โทร 02-670-8980-3