ราชกิจจาฯ ประกาศมาตรฐานด้านความมั่นคงปลอดภัยด้าน ‘Cloud’ พ.ศ. 2567 ออกแล้ว!

September 12, 2024 Audit and Compliance, Cloud and Systems, Cloud Security, Cloud Services, Cybersecurity

คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้ ออกประกาศเกี่ยวกับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบคลาวด์ ซึ่งมีวัตถุประสงค์เพื่อลดความเสี่ยงของการใช้บริการคลาวด์สาธารณะในหน่วยงานรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐาน โดยกล่าวถึงหน้าที่ในฐานะของผู้ให้บริคลาวด์กับหน่วยงานข้างต้น และหน่วยงานทั้งสามส่วนที่เข้าไปใช้งานบริการคลาวด์

Credit: ShutterStock.com

สำหรับผู้ที่เกี่ยวข้องโดยตรงแน่ๆคือ หน่วยงานรัฐ หน่วยงานควบคุมดูแลหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมไปถึงผู้ให้บริการคลาวด์ที่ให้บริการแก่หน่วยงานดังกล่าว ซึ่งที่มาของประกาศมาจากแรงขับเคลื่อนในนโยบาย Cloud First ประกอบกับความเสี่ยงที่เกิดขึ้นอย่างมากมายที่เป็นที่ประจักษ์ในประเทศไทย แม้ว่าคลาวด์จะช่วยผลักดันนวัตกรรมก็ตามทีและนั่นย่อมมาพร้อมกับความเสี่ยง ทั้งนี้มีการแบ่งมาตรฐานเป็น 2 ส่วน คือในมุมของผู้ใช้บริการคลาวด์ (Cloud Service Customer: CSC) และ ผู้ให้บริการคลาวด์ (Cloud Service Provider : CSP) โดยกำหนดให้ CSP ครอบคลุมถึงหน่วยงานของรัฐหรือเอกชน ที่นำเสนอคลาวด์ให้กับผู้ใช้ในหน่วยงานข้างต้น นอกจากนี้ยังมีนิยามเกี่ยวกับ Cloud Computing และประเภทของบริการอย่าง IaaS, PaaS และ SaaS ด้วย

อย่างไรก็ดีมีการกำหนดเกี่ยวกับความเสี่ยงเป็น 3 ระดับให้เกิดความสอดคล้องกับความเสี่ยงและการลงทุน รวมไปถึงการติดตามประเมินมาตรฐานอย่างต่อเนื่องด้วย ทั้งนี้ Requirement แบ่งออกเป็น 2 มุมมองคือ

  • Cloud Security Governance – นโยบาย โครงสร้างองค์กร และ ระเบียบข้อบังคับ
  • Cloud Infrastructure Security and Operation – ดูเรื่องบุคคล ทรัพยสิน การเข้าถึง การเข้ารหัส ความปลอดภัยเชิงกายภาพ การปฏิบัติการ เครือข่าย ระบบ และ Supplier ตลอดจนการจัดการเหตุ Incident ด้วย

นอกจากนี้ยังมีการพูดถึงวิธีการประเมินมาตรฐานที่เริ่มต้นตั้งแต่ตนเองประเมิน โดยหน่วยงานควบคุมหรือกำกับดูแล และทีม Certified ซึ่งตัวแปรสุดท้ายไม่ได้กล่าวถึงอย่างชัดเจนโดยช่วงแรกเริ่มนี้ยังไม่ได้มอบหมายอำนาจให้ใครอาจจะยึดตามมาตรฐานสากลไว้ก่อน ทั้งนี้การตรวจสอบจะมีการแบ่งระดับความเข้มข้นตามความเสี่ยง

ในส่วนที่เหลือของประกาศก็จะเล่าเกี่ยวกับ Requirement 2 ตามหัวข้อ การควบคุมดูแล ไปเรื่อยๆถึงการดูแลโครงสร้างพื้นฐาน โดยมีการระบุรายละเอียดในหน้าที่ของผู้ให้บริการคลาวด์และผู้ใช้บริการ สำหรับผู้สนใจติดตามเพิ่มเติมได้ที่ https://ratchakitcha.soc.go.th/documents/43184.pdf

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ServiceNow จับมือ IBM ปลดล็อกข้อมูลองค์กรเพื่อการใช้งาน AI อย่างมีประสิทธิภาพ

ServiceNow ขยายความร่วมมือกับ IBM ปลดล็อกข้อจำกัดด้านความพร้อมของข้อมูลและระบบ Legacy ซึ่งเป็นสองอุปสรรคใหญ่ที่สุดในการก้าวสู่การนำ AI มาใช้ในระดับองค์กร โดยความร่วมมือในครั้งนี้ผสานความสามารถด้าน AI ข้อมูล และระบบอัตโนมัติจาก IBM เข้ากับแพลตฟอร์มของ ServiceNow

Helix เปิดตัวพร้อมทุนกว่าหมื่นล้านดอลลาร์เพื่อพัฒนาโครงสร้างพื้นฐาน AI

กลุ่มพันธมิตรนักลงทุนรายใหญ่ได้ประกาศเปิดตัวบริษัทร่วมทุนแห่งใหม่ในชื่อ Helix Digital Infrastructure เพื่อดำเนินการก่อสร้างศูนย์ข้อมูลปัญญาประดิษฐ์ป้อนให้แก่ผู้ให้บริการคลาวด์ระดับไฮเปอร์สเกลอร์

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand