ราชกิจจาฯ ประกาศมาตรฐานด้านความมั่นคงปลอดภัยด้าน ‘Cloud’ พ.ศ. 2567 ออกแล้ว!

September 12, 2024 Audit and Compliance, Cloud and Systems, Cloud Security, Cloud Services, Cybersecurity

คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้ ออกประกาศเกี่ยวกับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบคลาวด์ ซึ่งมีวัตถุประสงค์เพื่อลดความเสี่ยงของการใช้บริการคลาวด์สาธารณะในหน่วยงานรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐาน โดยกล่าวถึงหน้าที่ในฐานะของผู้ให้บริคลาวด์กับหน่วยงานข้างต้น และหน่วยงานทั้งสามส่วนที่เข้าไปใช้งานบริการคลาวด์

Credit: ShutterStock.com

สำหรับผู้ที่เกี่ยวข้องโดยตรงแน่ๆคือ หน่วยงานรัฐ หน่วยงานควบคุมดูแลหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมไปถึงผู้ให้บริการคลาวด์ที่ให้บริการแก่หน่วยงานดังกล่าว ซึ่งที่มาของประกาศมาจากแรงขับเคลื่อนในนโยบาย Cloud First ประกอบกับความเสี่ยงที่เกิดขึ้นอย่างมากมายที่เป็นที่ประจักษ์ในประเทศไทย แม้ว่าคลาวด์จะช่วยผลักดันนวัตกรรมก็ตามทีและนั่นย่อมมาพร้อมกับความเสี่ยง ทั้งนี้มีการแบ่งมาตรฐานเป็น 2 ส่วน คือในมุมของผู้ใช้บริการคลาวด์ (Cloud Service Customer: CSC) และ ผู้ให้บริการคลาวด์ (Cloud Service Provider : CSP) โดยกำหนดให้ CSP ครอบคลุมถึงหน่วยงานของรัฐหรือเอกชน ที่นำเสนอคลาวด์ให้กับผู้ใช้ในหน่วยงานข้างต้น นอกจากนี้ยังมีนิยามเกี่ยวกับ Cloud Computing และประเภทของบริการอย่าง IaaS, PaaS และ SaaS ด้วย

อย่างไรก็ดีมีการกำหนดเกี่ยวกับความเสี่ยงเป็น 3 ระดับให้เกิดความสอดคล้องกับความเสี่ยงและการลงทุน รวมไปถึงการติดตามประเมินมาตรฐานอย่างต่อเนื่องด้วย ทั้งนี้ Requirement แบ่งออกเป็น 2 มุมมองคือ

  • Cloud Security Governance – นโยบาย โครงสร้างองค์กร และ ระเบียบข้อบังคับ
  • Cloud Infrastructure Security and Operation – ดูเรื่องบุคคล ทรัพยสิน การเข้าถึง การเข้ารหัส ความปลอดภัยเชิงกายภาพ การปฏิบัติการ เครือข่าย ระบบ และ Supplier ตลอดจนการจัดการเหตุ Incident ด้วย

นอกจากนี้ยังมีการพูดถึงวิธีการประเมินมาตรฐานที่เริ่มต้นตั้งแต่ตนเองประเมิน โดยหน่วยงานควบคุมหรือกำกับดูแล และทีม Certified ซึ่งตัวแปรสุดท้ายไม่ได้กล่าวถึงอย่างชัดเจนโดยช่วงแรกเริ่มนี้ยังไม่ได้มอบหมายอำนาจให้ใครอาจจะยึดตามมาตรฐานสากลไว้ก่อน ทั้งนี้การตรวจสอบจะมีการแบ่งระดับความเข้มข้นตามความเสี่ยง

ในส่วนที่เหลือของประกาศก็จะเล่าเกี่ยวกับ Requirement 2 ตามหัวข้อ การควบคุมดูแล ไปเรื่อยๆถึงการดูแลโครงสร้างพื้นฐาน โดยมีการระบุรายละเอียดในหน้าที่ของผู้ให้บริการคลาวด์และผู้ใช้บริการ สำหรับผู้สนใจติดตามเพิ่มเติมได้ที่ https://ratchakitcha.soc.go.th/documents/43184.pdf

Tags

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Before Quantum Breaks Your Security Be Ready with IBM Guardiumก่อน Quantum จะทำลายความปลอดภัยคุณ เตรียมให้พร้อมด้วย IBM Guardium จาก Computer Union [Guest Post]

ในยุคที่เทคโนโลยีกำลังก้าวกระโดดอย่างรวดเร็ว “Quantum Computing” กำลังถูกพูดถึงในฐานะ Game Changer ของโลกดิจิทัล แต่ในขณะเดียวกัน มันก็เป็น “Game Breaker” ด้านความปลอดภัยไซเบอร์ที่องค์กรไม่ควรมองข้าม Quantum Computing คือคอมพิวเตอร์รูปแบบใหม่ที่ใช้หลักการของ …

Google เปิดตัว Gemini 3.5 Flash และ Omni รุกตลาด AI Agent และสร้างวิดีโอ

Google เปิดตัวโมเดล AI ใหม่ 2 รุ่นในตระกูล Gemini ได้แก่ Gemini 3.5 Flash สำหรับขับเคลื่อน AI Agent และ …

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand