September 2015A Guideline and Recommendations
รายงานฉบบนเปนเอกสารไมมชนความลบ
เนองจากแหลงอางองทงหมด
เปนเอกสารเปดเผยตอสาธารณะ
ค าน า
การเชอมโยงประเทศตางๆ ในโลกดวยไซเบอรสเปซ (Cyber Space) มผลกระทบในดาน
ความมนคงในระดบนานาชาตมากขนเปนล าดบ จงท าใหประเทศตางๆ หนมาใหความสนใจในการ
วางยทธศาสตรความมนคงปลอดภยไซเบอรใหเปนยทธศาสตรระดบชาต เพอทจะสามารถใชระบบ
ไซเบอรในการขบเคลอนเศรษฐกจและสงคมใหเจรญกาวหนาดวยความเสยงทนอยทสด
ประเทศไทยเปนประเทศหนง ทมความเจรญกาวหนาทางดานเทคโนโลยสอสาร
โทรคมนาคม และมการใชงานเปนล าดบตนๆ ของประเทศในภมภาคอาเซยน จงปฏเสธไมไดวาม
ระดบความเสยงในระดบสงทระบบไซเบอรของประเทศจะถกโจมตและคกคามจนเกดความ
เสยหายตอความมนคงทางเศรษฐกจ และสงคมของประเทศ
รายงานฉบบนจดท าขนเพอเปนแนวทางในการพฒนายทธศาสตรความมนคงปลอดภยไซ
เบอรแหงชาต (National Cybersecurity Strategy) โดยผลของรายงานฉบบนไดมาจาก
การศกษา วจยและวเคราะห แนวทางการพฒนายทธศาสตรจากประเทศตางๆ ทวโลก โดยเอกสาร
เหลานนไมมชนความลบ เปนเอกสารเชงวชาการเพอใหผศกษาเอกสารฉบบนไดน าไปประยกตใช
ใหเหมาะสมกบสถานการณของประเทศและวฒนธรรมขององคกรตอไป
พ.อ.ดร.เศรษฐพงค มะลสวรรณ
ประธานกรรมการกจการโทรคมนาคม/
รองประธาน กสทช.
แนวทางการพฒนายทธศาสตรความมนคงปลอดภยไซเบอรแหงชาต
(National Cybersecurity Strategy) พนเอก ดร.เศรษฐพงค มะลสวรรณ
ประธานกรรมการกจการโทรคมนาคม
รองประธาน กสทช.
ปจจบน ประชาคมนานาชาตมความกงวลดานความมนคงปลอดภยดานไซเบอรเปนอยาง
มาก เนองจากมแนวโนมการกอความไมสงบ และการกอการรายโดยใชชองทางไซเบอรสเปซ
(Cyber Space) เปนชองทางการปฏบตการ ดงนน รฐบาลในทกประเทศจงหนมาใหความส าคญใน
การวางยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาตขน ซงในปจจบนพบวาการด าเนนการโดย
ภาครฐฝายเดยวนนไมสามารถทจะลดความเสยงดานไซเบอรไดอกตอไป ความมนคงปลอดภยไซ
เบอรนนตองเปนการปฏบตการดวยความรวมมอจากฝายตางๆ ทงองคกรภาครฐ และเอกชนทม
หนาทรบผดชอบควบคม ดแลระบบโครงสรางพนฐานทขบเคลอนดวยระบบไซเบอรสเปซ
รายงานฉบบนมวตถประสงคเพอเปนแนวทางในการด าเนนการการวางยทธศาสตรดาน
ความมนคงปลอดภยไซเบอรแหงชาตจนไปถงการบรหารจดการในระดบองคกรทงแนวคดทางดาน
บรหารจดการและทางเทคนค โดยไดอธบายถงหลกการพนฐาน รวมทงขอเสนอแนะในการจดท า
ยทธศาสตรดงกลาวตอไป
1. โครงสรางพนฐานสารสนเทศ
จากผลการศกษาของสหภาพโทรคมนาคมระหวางประเทศ (ITU) ไดระบวา เทคโนโลย
สารสนเทศ และการสอสาร (ICTs) เปนตวขบเคลอนโครงสรางพนฐานทส าคญของประเทศตางๆ
ทวโลก เชน ระบบไฟฟา, โทรคมนาคม, การเงนการธนาคาร เปนตน ซงสามารถเรยกไดวาเปน
โครงสรางพนฐานสารสนเทศส าคญ (Critical Information Infrastructure: CII) หาก CII นนม
ความเปราะบางในเรองความนาเชอถอ และความมนใจในความปลอดภย อาจจะท าใหเกดผล
กระทบตอการด าเนนชวตประจ าวนของประชาชน ความมนคงทางการคา และความมนคงของชาต
ได จงท าใหความมนคงปลอดภยไซเบอรเปนประเดนทจะตองถกยกเปนประเดนในระดบ
ยทธศาสตรของชาตในทสด เพราะเนองจากผลกระทบเปนวงกวางมความซบซอน และมการ
เชอมโยงถงกนระหวาง CII จงท าใหยากตอการคาดการณผลลพธทจะเกดขนจากการคกคามทางไซ
เบอร จงมความจ าเปนอยางยงทรฐบาลจะตองมการด าเนนการโครงการ (Project) หรอ โปรแกรม
(Program) เพอเปนการปองกน ปกปองโครงสรางพนฐานส าคญ (CIIP) ตอไป
2. วตถประสงคของยทธศาสตรความมนคงปลอดภยไซเบอร
ผน าของประเทศทกประเทศควรจะมมมมองตอยทธศาสตรความมนคงปลอดภยไซเบอร
แหงชาต ไปในเชงสงเสรมสนบสนนคณคาทเกดขนจากการใชไซเบอรสเปซ ไมควรคดไปในเชง
อปสรรค เพราะระบบเครอขายสารสนเทศเปนเครองมอขบเคลอนหลกเศรษฐกจดจทลของ
ประเทศ ดงนน วตถประสงคของยทธศาสตรดงกลาว จะตองใหเกดผลวาจะท าอยางไรทประเทศ
จะสามารถใชระบบไซเบอรสเปซเพอสรางความมนคงทางเศรษฐกจและสงคมไดอยางตอเนอง ดวย
ความเสยงทนอยทสด และสรางความมนใจตอผใชประโยชนไดมากทสด
ปจจบน มการเสนอแนวคดทสามารถชวยผน าในระดบชาตเพอใชในการโนมนาวให
ผเกยวของใหเหนความส าคญของยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาต ตลอดจนความ
รบผดชอบของผมสวนไดสวนเสย (Stakeholder) ซงรฐบาลควรเรมตนดวยหลกฐานสนบสนนทวา
ผทมสวนเกยวของทงหมดตองเขาใจวาการสนบสนนของ CII ตอการสงมอบบรการนนจ าเปน
ส าหรบชวตประจ าวนของประชาชน การคา และความมนคงของชาต แตผทมสวนเกยวของ อาจ
ขาดทกษะความรเกยวกบขนตอนทตองปฏบตเพอเพมความมนคงใหกบระบบทใชงานและควบคม
อย ผมสวนเกยวของทกภาคสวนอาจตองการความชวยเหลอเพอใหพวกเขาเขาใจบทบาทของ
ตนเองในการพฒนาความมนคงปลอดภยไซเบอร เพอทจะสงเสรมใหความมนคงของชาตโดยรวมม
ความมนคงปลอดภยอยางยงยนตอไป
3. หลกพนฐานส าหรบโครงสรางยทธศาสตร
ความมนคงปลอดภยไซเบอรแหงชาต เปนความทาทายอยางหนงในระดบโลก ดวยเหตน
การตอบรบความรวมมอจากหลายๆ ภาคสวน ทงภายในประเทศ และระหวางประเทศ จงเปน
หนทางปฏบตทดทสด เพอสรางความมนใจและความเชอมนจากประชาชนในการใช ICTs แต
เนองจากเราไมมรฐบาลกลางของโลก ดงนนความพยายามจากทวโลกในการลดความเสยงดานไซ
เบอรจงขนอยกบการปฏบตการระดบชาต ทจะตองมความรวมมอกนทงในภมภาค และระหวาง
ภมภาคในโลก
จากการเปดเสรทางการคาจงท าใหอตสาหกรรมโทรคมนาคมถกก ากบดแลดวยองคกร
อสระ โดยปราศจากการแทรกแซงจากรฐบาล แตก ไมไดหมายความวารฐบาลจะไมสามารถ
ควบคมดแล และก าหนดทศทางดานยทธศาสตรความมนคงปลอดภยไซเบอรในระดบชาตได
ในทางตรงกนขาม รฐจะตองวางกลยทธ กลไก และโครงการทจะท าใหเกดความมนใจ และ
คมครองปกปองทรพยสนของประชาชน รฐตองเปนผน าในความพยายามท จะก าหนดเปา
หมายความมนคงปลอดภยไซเบอรแหงชาต สรางโครงการหรอโปรแกรมส าหรบปกปองโครงสราง
สารสนเทศพนฐานส าคญของชาตอยางเปนระบบ เพอปกปองไซเบอรสเปซจากการคกคาม อกทง
มอบหมายหนาทรบผดชอบตอผทมหนาทและผมสวนไดสวนเสยดวยความเขาใจและเตมใจในการ
ใหความรวมมอ และปฏบตงาน รวมทงตองมการวเคราะหความเสยงและใหขอมลดานความเสยง
มาตรการปองกน และการรบมออยางมประสทธภาพ
ดงนน หลกพนฐานทส าคญเพอทจะท าใหยทธศาสตรความมนคงปลอดภยไซเบอร
แหงชาตบรรลผล คอ ตองไดรบความรวมมอจากทกสวนทเกยวของ และรฐจะตองมการควบคม
ปองกนระบบสอสารโทรคมนาคมอยในระดบทสามารถลดความเสยงของความมนคง และยง
สามารถด าเนนการการใชงานระบบสอสารโทรคมนาคมไดอยางตอเนอง
4. การสรางขดความสามารถทรพยากรบคคล
ขดความสามารถของบคลากร และสถาบนฝกอบรมดานความมนคงปลอดภยไซเบอรนน
มความส าคญอยางยงในการพฒนาการปกปองไซเบอรสเปซทมประสทธภาพ ถงแมวาการก าหนด
วสยทศน แนวทาง วธการ และเครองมอ หรอทรพยากร มความส าคญมากกตาม แตหากขาด
บคลากรทมความสามารถกจะไมสามารถปกปองระบบไซเบอรสเปซใหมความมนคงได สวนความ
รวมมอ และแลกเปลยนขอมลระหวางองคกร และบคคลกเปนสงทมความส าคญตามมาเมอเราได
ผลตบคลากรทมความร ความสามารถ และมคณธรรม
5. ผมสวนไดสวนเสยดานความมนคงปลอดภยไซเบอร
รฐควรมสวนรวมกบผมสวนไดเสยทกภาคสวนใหมากทสดเทาทจะท าได ในการวางแผน
กลยทธดานความมนคงปลอดภยไซเบอรแหงชาตอยางละเอยด นนเปนเพราะไซเบอรสเปซเขาถง
กจกรรมความมนคงดานสงคม เศรษฐกจ และชาต ในทกรปแบบ การเชอมโยงกลมผมสวนรวม
อยางกวางขวางมความส าคญดวยสาเหตในทางปฏบต อนดบแรก คอชวยสรางความมนใจใหผถอ
ประโยชนรวมยอมรบ ผไดรบผลประโยชนรวมมกจะพฒนาจตส านกของการเปนเจาขององคกร
การสนบสนนเปนสงส าคญในระหวางการน ากลยทธไปใช ประการตอมา คอรฐบาลอาจไมไดอยใน
สถานะทเหมาะตอการควบคมกลยทธ เนองจากผมสวนไดสวนเสย ลวนเปนเจาของและ
ผปฏบตงานดานโครงสรางพนฐาน ซงปกตแลวผมสวนไดสวนเสย โดยสวนมากมกมทกษะ
ความสามารถนอกเหนอจากความสามารถหลกของหนวยงานรฐ อยางไรกตาม ผมบทบาทจะรวา
ควรปฏบตงานอยางไร หนวยงานทมกมบทบาทในการสรางยทธศาสตร และกลยทธเพอความ
มนคงปลอดภยไซเบอรแหงชาตใหเกดขน มดงน
5.1) ฝายบรหารของรฐ
รฐบาลมหนาทสรางความเชอมนดานความเจรญรงเรองและความมนคงของชาต
รบผดชอบในการสรางความมนใจใหดานความมนคงปลอดภยของชาตทงหมด ตามหลกการแลว
ฝายบรหารระดบรฐบาลควรปฏบตหนาท ดงตอไปน
- ใหค าจ ากดความของบทบาทของไซเบอรสเปซเพอบรรลเปาหมายการพฒนาชาต
- มการก าหนด การวเคราะห และการลดความเสยง เพอผลประโยชนของชาต
- มการจดสรรทรพยากรแกโครงการหรอโปรแกรมเพอความมนคงปลอดภยไซเบอร
แหงชาต
- มการพฒนาการออกกฎหมายอาชญกรรมทางคอมพวเตอร ซงสามารถน าไปใชและ
ท างานรวมกนกบประเทศตางๆ ไดทวโลก
- การสงเสรมการพฒนาเทคโนโลยดานความปลอดภย เชน เทคโนโลยการใชรหสลบ
เปนตน
- การจดการโครงการ หรอโปรแกรมการสรางความสามารถของบคคลากรและองคกร
- การลงนามความมนคงปลอดภยไซเบอรทเกยวของกบสญญาและขอตกลงระหวาง
ประเทศ
- การก าหนดบทบาทของความมนคงปลอดภยไซเบอรในการประชมระดบภมภาคและ
ระดบโลก
ภาครฐเปนผใชอ านาจ และท าใหเกดอ านาจนตบญญตและเปนผออกแบบมาตรการ
กระตนเศรษฐกจดจทล เพอชวยสรางความเชอมนใหผไดรบผลประโยชนรวมทงหมดยอมรบความ
รบผดชอบและใชมาตรการเพอปกปองไซเบอรสเปซเพอสวนรวม
5.2) ฝายกฎหมายของรฐ
หนวยงานภาครฐมบทบาทส าคญในดานการสรรหาผบรหารทมความสามารถ ซงเปน
ทรพยากรทจ าเปนตอการด าเนนการใหไซเบอรสเปซมความปลอดภย มนคง และขบเคลอน
เศรษฐกจของประเทศ สภานตบญญตแหงชาตจะตองออกกฎหมาย เพอมนใจไดวาการปองกนไซ
เบอรสเปซจะไมละเมดคานยมของชาต เชน สทธเสรภาพในการแสดงออก เปนตน
5.3) ผควบคมโครงสรางพนฐานส าคญ
ผควบคมโครงสรางพนฐาน ควรมสวนในการรบผดชอบเพอลงรายละเอยดเกยวกบกล
ยทธความมนคงปลอดภยไซเบอรแหงชาต เนองจากผลประโยชนทางเศรษฐกจโดยตรงทพวกเขา
ไดรบจากความส าเรจของโครงการหรอโปรแกรมเพอความมนคงปลอดภยไซเบอรแหงชาต รฐอาจ
วางมาตรการทางกฎหมายและกฎระเบยบเพอใหเกดการยอมรบ ตามขอก าหนดของความมนคง
ปลอดภยไซเบอร การเขามามสวนรวมของผควบคมโครงสรางพนฐานส าคญ จะท าประโยชนใหแก
ประเทศชาตไดในระยะยาว เจาของและผควบคมโครงสรางพนฐานส าคญมบทบาทในการวางแผน
รายละเอยดในระดบกลยทธ ดงตอไปน
- ใหรายละเอยดเชงลกวาภยคกคาม และความไมมนคงทางไซเบอร สงผลกระทบตอ
อตสาหกรรมอยางไร
- ใหขอมลวาความไมมนคงทางไซเบอร สงผลกระทบตอระบบและซอฟตแวรทใชงานอย
อยางไร
- แลกเปลยนความรจากการปฏบตงานจรง ผานประสบการณการรกษาความปลอดภย
ในการปฏบตงาน
- แลกเปลยน แบงปนทกษะความรความเชยวชาญ ดานเครอขาย ระบบ อปกรณอ านวย
ความสะดวกโปรแกรมประยกต และการท างานดานไซเบอร
- น าเสนอวธรกษาความมนคงปลอดภยไซเบอรใหมความสมดลกนระหวางประสทธภาพ
การควบคมและผลประโยชนทไดรบ
- มสวนชวยในดานความเชยวชาญและประสบการณการรบมอกบเหตการณไมคาดคด
5.4) การบงคบใชกฎหมาย
คณะท างานดานกฎหมายทท าหนาทบงคบใชกฎหมายอาชญากรรมคอมพวเตอร ควรม
สวนรวมในการวางแผนรายละเอยดของยทธศาสตรและกลยทธความมนคงปลอดภยไซเบอร
แหงชาตดวยเหตผลหลายประการ เหตผลประการแรกคอ การบงคบใชกฎหมายสามารถ
ตรวจสอบความถกตองของการบงคบใชกรอบการด าเนนงานดานอาชญกรรมคอมพวเตอรตามท
วางแผนไว เหตผลประการทสองคอ คณะท างานสามารถแนะน าเกยวกบกฎเกณฑการตรวจสอบ
อาชญากรรมคอมพวเตอรทงในปจจบนและอนาคต ประการทสาม การบงคบใชกฎหมายอาจท าให
ไดรบความคดเหนดานการจดการความรวมมอระดบนานาชาตดานอาชญากรรมคอมพว เตอร
คณะท างานดานการบงคบใชกฎหมาย จะเปนผมสวนรวมกบองคกรตางๆ เชน Interpol และ
Virtual Global Taskforce (VGT)
5.5) ประชาคมดานขาวกรอง
เพอความพรอม เราควรตระหนกไววาองคกรดานขาวกรองมบทบาทอยางยงในการ
วางแผนและการด าเนนการดานกลยทธเพอความมนคงปลอดภยไซเบอร โดยองคกรดานขาวกรอง
จะตองมความเชยวชาญในการเฝาระวงตรวจสอบเครอขายโทรคมนาคม เราควรตระหนกวา
ความสมพนธขององคกรดานขาวกรองตางๆ มการถวงดลและความขดแยงกน หลายประเทศมการ
แบงแยกระหวางเครอขายพลเรอนและเครอขายทหาร ดงนน การรวมองคกรขาวกรองไวในการ
วางแผนกลยทธอาจท าใหเกดอปสรรคในการด าเนนการอยบาง และอาจเกดปญหาในการถกเถยง
กนในประเดนดานเสรภาพของประชาชน
5.6) ผจ าหนายอปกรณ
ผจ าหนายอปกรณ หรอ vendor ควรเขารวมในกระบวนการการวางแผนรายละเอยด
ดานกลยทธดวย เนองจากผจ าหนายอปกรณท าหนาทออกแบบมาตรการทางเทคนคทจ าเปนตอ
การหลกเลยง การปองกน การยบยง และการฟนฟจากภยคกคามไซเบอร การกดกนไมใหผ
จ าหนายอปกรณเขามามสวนรวมกบกระบวนการน อาจจะท าใหประเทศชาตสญเสยความคดเหน
ทเปนสวนส าคญจากภายนอก ซงความคดเหนเหลานสามารถเปนแหลงขอมลหรอเปนแนวทาง
ส าหรบแกปญหาภยคกคามและความไมมนคงทางไซเบอรได โดยบทบาทของผจ าหนายอปกรณม
ดงน
- ใหขอมลความไมมนคงทางไซเบอรทสงผลกระทบแกระบบและซอฟตแวรของพวกเขา
อยางไร
- ใหขอมลเชงลกดานความสามารถในการออกแบบ การจดการ และปกปองอปกรณ
และเครองมอดานความปลอดภย
- ท าใหความสามารถดานการตรวจจบภยคกคามไซเบอรเปนรปธรรมมากขน
- แลกเปลยนประสบการณทางเทคนค ในการรบมอกบเหตการณตางๆ ทเกดขน
- สรางขดความสามารถเพอก าหนดวธการแกปญหาความมนคงปลอดภยไซเบอร
ทางดานเทคนค
5.7) สถาบนทางวชาการ
สถาบนทางวชาการ ควรมบทบาทในการวางแผนรายละเอยดของกลยทธดวยเหตผลดงน
1) สถาบนทางวชาการเปนผใหความรกบผเชยวชาญทางเทคนค การจดการ และปกปองขอมล ซง
เปนทตองการเพอการคดคนและด าเนนการจดการกลยทธเพอความมนคงปลอดภยไซเบอร 2)
กลมทางวชาการ มสวนรวมเปนผจดตงศนยประสานงานการรกษาความปลอดภยคอมพวเตอร
และ 3) กลมทางวชาการ ท าใหเกดการศกษา วจย คนควา และการพฒนาการแกปญหาดานความ
มนคงปลอดภยไซเบอร
5.8) องคกรความรวมมอระหวางประเทศ
ควรมการพจารณาในการขอใหพนธมตรและองคกรความรวมมอระหวางประเทศ เขามาม
สวนรวมในการวางยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาต โดยการรวมมอกนนนม
ความส าคญ เนองจาก ทกคนทกสวนพงพาไซเบอรสเปซเดยวกน ดงนนความไมมนคงในองคกร
หนงหรอประเทศหนง อาจสงผลกระทบตอประเทศอนๆ ทมความเชอมโยงกนในดานเศรษฐกจ
และความมนคงของชาตดวย อยางไรกตาม ความมนคงดานเศรษฐกจ การเมอง และประเทศชาต
ทเกยวของกบความรวมมอกนระหวางรฐบาลกบตางประเทศ อาจเกดความกงวลในเรองความลบ
และอาจจะเปนศตรกนในอนาคตกเปนได รฐบาลอาจลดความกงวลนนโดยลงนามขอตกลงดาน
ความรวมมอ (MOU) เพอการรวมมอกนเฉพาะดาน เชน มาตรการทางกฎหมาย การรบมอกบ
เหตการณฉกเฉน การวจย และการพฒนา เปนตน
5.9) ประชาชน
ประชาชน มความส าคญมากส าหรบการสรางยทธศาสตรและกลยทธเพอความมนคง
ปลอดภยไซเบอรแหงชาต โดยกลยทธดานความมนคงปลอดภยไซเบอรแหงชาตจะตองปรบตาม
เสยงของประชาชนเทาทท าได ไซเบอรสเปซเปนสงจ าเปนส าหรบวถชวตยคใหม เชน การ
ตดตอสอสารระหวางบคคล การรวมกลมสงคม การท าธรกรรมการเงน และเรยนรผานอนเทอรเนต
เปนตน ดงนนประชาชนถอเปนผมสวนหลกในการด าเนนงาน อยางไรกตามประชาชนอาจไม
สามารถสงเสรมกลยทธเพอความมนคงปลอดภยไซเบอรแหงชาตได หากกลยทธนไดรบการจดให
อยเหนอสทธพนฐาน เชน ความเปนสวนตว อาจเปนไปไมไดทจะไดรบการสนบสนนจากประชาชน
โดยตรง ดงนน ระบบรฐสภาและองคกรภาคประชาสงคมอาจเปนผเสนอความเหนของประชาชน
ในลกษณะตวแทนของประชาชนได
6. กระบวนการและขนตอนการวางแผน
เพอใหการวางยทธศาสตรความมนคงปลอดภยไซเบอร เปนทเขาใจตรงกนของทกฝายท
เกยวของ จงมความจ าเปนทจะตองก าหนดกระบวนการการพฒนายทธศาสตรความมนคง
ปลอดภยไซเบอรอยางชดเจน เพอความงายเราจะก าหนดกระบวนการดงกลาวเปนขนๆ ดงน
Stage 0 - Cybersecurity Strategy Driver
Stage 1 - Direct and Coordinate Elaboration
Stage 2 - Define and Issue Strategy
Stage 3 - Sector Strategies
Stage 4 - Implement Cybersecurity Strategy
Stage 5 - Report on Compliance and Efficacy
0
1
2
3
4
5
7. กรณศกษากรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอรของ NIST
กรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอร (Cybersecurity Framework)
ของสถาบนมาตรฐานและเทคโนโลยแหงสหรฐอเมรกา หรอ The Nationals Institute of
Standards and Technology (NIST) สามารถน ามาปรบใชใหเขากบวฒนธรรมองคกรและ
นโยบายของประเทศตางๆ ได ดงนนในบทความนจงขอยกการด าเนนการพฒนายทธศาสตรเพอ
ความมนคงปลอดภยไซเบอรของ NIST เปนกรอบตงตนในการท าความเขาใจเพอใหเกดความร
พนฐานทตรงกนตอไป
กรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอร (Cybersecurity Framework) ท
รางโดยสถาบนมาตรฐานและเทคโนโลย (NIST) กระทรวงพาณชย สหรฐอเมรกา นน เปนการ
ก าหนดนโยบายเกยวกบความมนคงปลอดภยของหนวยงานโครงสรางพนฐานส าคญ ซงกรอบการ
ด าเนนงานนไมไดเปนการเพมมาตรฐานหรอแนวคดใหม ในทางตรงขามกลบเปนการผลกดนและ
ผสมผสานแนวปฏบตดานความมนคงปลอดภยไซเบอรของอตสาหกรรมชนน าทไดรบการพฒนา
จากองคกรตางๆ เชน NIST และองคการระหวางประเทศวาดวยเรองมาตรฐาน (ISO)
กรอบการด าเนนงานดานความมนคงปลอดภยไซเบอรน เปนผลมาจากค าสง Executive
Order ของประธานธบดสหรฐอเมรกา ในเดอนกมภาพนธ พ.ศ.2556 ทชอวา “Improving
Critical Infrastructure Cybersecurity” หรอ “การพฒนาความมนคงปลอดภยไซเบอรของ
โครงสรางพนฐานทส าคญของประเทศ” ระยะเวลา 10 เดอนทมการปรกษาหารอรวมกนจาก
ผเชยวชาญดานความปลอดภยมากกวา 3,000 คน รวมถงการรวบรวมแนวทางความเสยงทอาจ
เกดขน จะสามารถชวยองคกรตางๆ ในการระบ จดเตรยม และพฒนาแนวปฏบตส าหรบความ
มนคงปลอดภยไซเบอรใหส าเรจ และยงสรางภาษากลางส าหรบการสอสารกนทงภายในและ
ระหวางองคกรเกยวกบประเดนความมนคงปลอดภยไซเบอรอกดวย
กรอบการด าเนนงานนเปนกระบวนการแบบวนซ า ซงถกออกแบบมาเพอพฒนาแบบคอย
เปนคอยไป พรอมๆ กบการเปลยนแปลงรปแบบภยคกคามความมนคงปลอดภยไซเบอร
กระบวนการ และเทคโนโลย ซงจะมการปรบปรงเปนระยะจากบทเรยนตางๆ ทไดรบ และผลตอบ
รบจากภาคอตสาหกรรม โดยทกรอบการด าเนนงานนมองความมนคงปลอดภยไซเบอรทมการ
พฒนาอยางมประสทธภาพ จะตองมการพฒนาปรบปรงยทธศาสตร และกลยทธในลกษณะวงจร
พลวตแบบตอเนองทมทงการรบมอจากภยคมคามและมแนวทางการแกปญหาอกดวย
ในกรอบการด าเนนงานนมกลไกในการประเมน ซงท าใหองคกรตางๆ ทงภาครฐและ
เอกชนสามารถก าหนดขดความสามารถดานความมนคงปลอดภยไซเบอรทเกดขนในปจจบนได
สามารถก าหนดจดมงหมายของอตสาหกรรม และสรางแผนส าหรบการปรบปรงแนวทางดานความ
มนคงปลอดภยไซเบอร ซงกรอบการด าเนนงานนในเบองตนไดน าเสนอโดยหยบยกมาตรฐาน
NIST ซงกระทรวงแหงความมนคงมาตภม ของประเทศสหรฐอเมรกาน าไปใช ประกอบดวย 3
องคประกอบหลก ไดแก ขอมลโดยรวม (Profile), ระดบชนการบรหารจดการ (Implementation
Tiers) และโครงสรางหลก (Core)
โครงสรางพนฐานส าคญทมผลตอความมนคงปลอดภยไซเบอร ครอบคลม 16 กลมท
ส าคญ ดงน
1) กลมอตสาหกรรมเคมภณฑ Chemical Sector
2) ภาคการพาณชย Commercial Facilities Sector
3) ภาคอตสาหกรรมโทรคมนาคมสอสาร Communications Sector
4) ภาคอตสาหกรรมการผลตทส าคญ Critical Manufacturing Sector
5) เขอน Dams Sector
6) การปองกนฐานอตสาหกรรม Defense Industrial Base Sector
7) บรการชวยเหลอในภาวะฉกเฉน Emergency Services Sector
8) ภาคสวนพลงงาน Energy Sector
9) บรการทางดานการเงน Financial Services Sector
10) อตสาหกรรมอาหารและการเกษตร Food and Agriculture Sector
11) การอ ายวนความสะดวกภาครฐ Government Facilities Sector
12) บรการดแลสขภาพและการสาธารณสข Healthcare and Public Health
Sector
13) เทคโนโลยสารสนเทศ Information Technology Sector
14) อตสาหกรรมเกยวกบนวเคลยร วตถดบและปฏกล Nuclear Reactors,
Materials, and Waste Sector
15) ระบบขนสง Transportation Systems Sector
16) น าและระบบก าจดน าเสย Water and Wastewater Systems Sector
กรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอรเปนการรวบรวมแนวทางตามความ
เสยง ทไดรบการออกแบบเพอชวยใหองคกรตางๆ สามารถประเมนขดความสามารถในปจจบน
และรางแผนยทธศาสตรส าคญเกยวกบแนวปฏบตดานความมนคงปลอดภยไซเบอรทไดรบการ
ปรบปรงแลว
สวนประกอบดานขอมลโดยรวม (Profile) มไวเพอท าใหองคกรตางๆ สามารถก าหนด
ต าแหนงและปรบปรงแกไขแนวปฏบตดานความมนคงปลอดภยไซเบอรใหเหมาะสมตามความ
ตองการของแตละธรกจ ตานทานตอความเสยง และสามารถจดการทรพยากรทมอยได ซงในแตละ
องคกรจะตองสรางขอมลโดยรวม (Profile) ในปจจบน โดยการประเมนโปรแกรมทมอยเดมเทยบ
กบแนวปฏบตทแนะน าในโครงสรางหลกของกรอบแนวคดน (Core) โดยแนวปฏบตน
ประกอบดวยกระบวนการ วธด าเนนการ และเทคโนโลย เชน การจดการสนทรพยใหเปนไปตาม
แนวทางของกลยทธทางธรกจ การประเมนความเสยง การควบคมการเขาถง การฝกอบรม
พนกงาน ความปลอดภยของขอมล การบนทกการใชงานและวเคราะหเหตการณตางๆ และแผนใน
การรบมอกบสถานการณตางๆ เปนตน
การระบกลมเปาหมายของขอมลโดยรวม องคกรจะใชเกณฑของโครงสรางหลกเดยวกน
ในการก าหนดผลลพธทจ าเปน ส าหรบการพฒนาปรบปรงลกษณะความมนคงปลอดภยไซเบอร
ขององคกร โดยขอก าหนดเฉพาะของอตสาหกรรม ลกคา และพนธมตรทางธรกจ ถอเปนปจจยใน
การก าหนดกลมเปาหมายขอมลโดยรวมเชนกน เมอเตรยมกลมเปาหมายขอมลโดยรวมเรยบรอย
แลว การเปรยบเทยบระหวางขอมลโดยรวมปจจบนและขอมลทองคกรควรจะมไวเพอความมนคง
ปลอดภยทพอเพยง จะท าใหเหนชองโหวทควรจะแกไข เพอน ามาปรบปรงความมนคงปลอดภยไซ
เบอรและวางรากฐานแผนกลยทธส าคญทชวยใหการพฒนานใหประสบความส าเรจ ซงการ
ด าเนนการนคลายกบการวเคราะห Gap Analysis
ระดบการบรหารจดการ (Implementation Tiers) ชวยสรางสภาพแวดลอมทท าให
องคกรเขาใจวาขดความสามารถในการจดการความเสยงดานความมนคงปลอดภยไซเบอรใน
ปจจบนขององคกรแตกตางกบคณลกษณะทอธบายไวในกรอบการด าเนนการอยางไร โดยการ
ก าหนดขอบเขตจากระดบยอย (ระดบ 1) สระดบการปรบตว (ระดบ 4) ดงตารางท 1 สถาบน
NIST ไดแนะน าใหองคกรจดเตรยมการด า เนนการดานความมนคงปลอดภยไซเบอรทม
ประสทธภาพ และสามารถรบมอกบภยคกคามทางไซเบอรได และสามารถกาวเขาสระดบ 3 หรอ
ระดบ 4 ไดส าเรจ
ตารางท 1 ระดบขนของการพฒนาความมนคงปลอดภยไซเบอร
ระดบ 1 ระดบยอย การบรหารจดการความเสยงเปนแบบเฉพาะกจ ดวยขอจ ากดในการรบรความเสยง และยงไมมความรวมมอกบภาคสวนอน
ระดบ 2 รบทราบความเสยง
มขนตอนและแนวทางจดการความเสยง แตยงไมไดน าไปใชครอบคลมทวทงองคกร องคกรมความเขาใจการประสานงานและความรวมมอ แตยงขาดความสามารถในการปฏบต
ระดบ 3 ท าซ า มการใชนโยบายการปฏบตส าหรบกระบวนการและแนวทางจดการความเสยงในองคกร พรอมกบเรมมความรวมมอกบองคกรภายนอกแลวในบางสวน
ระดบ 4 ปรบตว กระบวนการและแนวทางจดการความเสยง เปนพนฐานมาจากบทเรยนทไดรบ และจากการปลกฝงทางวฒนธรรม พรอมกบมการรวมมอกนในเชงรก
โครงสรางหลกของกรอบด าเนนงานดานความมนคงปลอดภยไซเบอร (Framework
Core) น เปนตวก าหนดมาตรฐานดานความมนคงปลอดภยไซเบอร ผลลพธทเกดขน และเปน
กรอบอางองทสามารถน าไปใชงานได และมกจกรรมพนฐานทตอเนองกน สามารถแบงยอยได 5
กจกรรมหลก ไดแก การก าหนด การปองกน การตรวจจบ การรบมอ และการคนสภาพ (ตารางท
2) โดยโครงสรางหลกของกรอบการด าเนนงานอธบายวงจรตอเนองของกระบวนการทางธรกจซง
ท าใหเกดความมนคงปลอดภยไซเบอรทมประสทธภาพ
ตารางท 2 โครงสรางหลก 5 ประการ ของความมนคงปลอดภยไซเบอรทมประสทธภาพ
ฟงกชน ความหมาย หมวดหม การก าหนด การศกษา ท าความเขาใจวธการจดการความเสยง
ดานความมนคงปลอดภยไซเบอรทมตอระบบ ทรพยสน ขอมล และขดความสามารถ
การจดการทรพยสน สภาพแวดลอมทางธรกจ การด าเนนงานภาครฐ การประเมนความเสยง กลยทธการจดการความเสยง
การปองกน ควบคม และด าเนนงานตามมาตรการปองกนทเหมาะสม เพอปองกนหรอจ ากดระดบของภยคกคามดานความมนคงปลอดภยไซเบอร
การควบคมการเขาถง การรบรและการฝกอบรม ความปลอดภยของขอมล กระบวนการปองกนขอมล การดแลรกษา เทคโนโลยทใชในปองกน
การตรวจจบ การเฝาระวง หรอมการตรวจสอบตดตามอยางตอเนองเพอการเตอนภยกบเหตการณทเกยวของดานความมนคงปลอดภยไซเบอรไดอยางทนท และสามารถควบคมสถานการณได
ความผดปกตและเหตการณตางๆ การสงเกตการณอยางตอเนอง และกระบวนการตรวจสอบ
การรบมอ กจกรรมการรบมอกบเหตการณตางๆ ทเกดขน การวางแผนรบมอ การสอการ การวเคราะห การลดความเสยง และปรบปรงแกไข
การคนสภาพ แผนความตอเนองทางธรกจเพอรองรบการด าเนนงานตอเนอง แผนการกคนขดความสามารถภายหลงจากการโดนคกคามทางไซเบอร
การวางแผนฟนฟ การปรบปรง การสอสาร
8. บทบาทและกระบวนทศนของคณะกรรมการและฝายบรหารระดบสง
การสอสารองคกรและการก าหนดทศทางจากคณะกรรมการบอรด และฝายบรหาร
ระดบสง เปนจดเรมตนของการด าเนนการดานความมนคงปลอดภยไซเบอร คณะกรรมการบอรด
ตองมความชดเจนในเรอง ทศทางและนโยบายตอฝายบรหารระดบสงอยางชดเจนเสยกอน กอนท
จะเรมกระบวนการในการวางยทธศาสตรและกลยทธการสอสารนนไมใชแคเพยงมความถท
สม าเสมอเทานน แตยงตองมการพฒนาการสอสารทมประสทธภาพและเหมาะสมกบวฒนธรรม
องคกรอกดวย องคประกอบของบทบาทและกระบวนทศนของคณะกรรมการบอรด และฝาย
บรหารระดบสงมดงน (แสดงดงรปท 1)
รปท 1 กระบวนทศนของคณะกรรมการบอรด และฝายบรหารระดบสง
1) ความเปนผน า (Leadership)
การแสดงถงความเปนผน าทชดเจนทจะตองแสดงถงเจตนาทมงมนในการใหความส าคญ
ตอความมนคงปลอดภยไซเบอร และสามารถแปลงความหมายความเสยงขององคกรใหบคลากร
เขาใจในทศทางเดยวกน และมความตระหนกรในการรวมกนในการวางแผนตอไป
2) ปจจยดานบคลากร (Human Factors)
การปรบเปลยนวธคดและความเชอ รวมทงวฒนธรรมองคกรใหสอดคลองกบยทธศาสตร
โดยตองโนมนาวใหบคลากรมความเตมใจ และเขารวมกบฝายบรหารในการด าเนนการอกทงตองม
ความระมดระวงในประเดนสทธเสรภาพทางไซเบอรของบคคลากรดวย
3) การบรหารความเสยงดานขอมล (Information Risk Management)
มการบรหารความเสยงดานขอมลอยางมประสทธภาพทวทงองคกร และสามารถสงผาน
ขอมลดวยมาตรการทลดและควบคมความเสยงไดอยางมประสทธภาพ
4) การด าเนนการทางธรกจอยางตอเนองและการบรหารในสภาวะวกฤต (Business
Continuity and Crisis Management)
มการเตรยมการในดานความปลอดภย และมความสามารถในการปองกนและลด
ผลกระทบ เมอเกดภาวะวกฤตใหแกองคกร และใหแกผมสวนไดสวนเสย (Stakeholder) ของ
องคกร จงจะท าใหองคกรสามารถด าเนนธรกจไดตอเนองไมหยดชะงก
5) กระบวนการด าเนนงานและเทคโนโลย (Operations and Technology)
มมาตรการควบคมในระดบปฏบตการและมเทคโนโลยทอยในระดบทท าใหองคกร
สามารถตรวจสอบและระบความเสยงได และสามารถลดผลกระทบจากภยคกคามไดอยางม
ประสทธภาพ
6) กฎหมายและการก ากบดแล (Legal and Compliance)
การก ากบดแล และมาตรฐานระดบสากลเปนสงทมความจ าเปนเพอใหเกดความมนใจ
และเกดความเชอมนใหแกบคคลากร และองคกรภายนอก
9. แนวทางการพฒนายทธศาสตรดานความมนคงปลอดภยไซเบอรแหงชาต
ผลจากการศกษาของรายงานฉบบน สรปไดวาควรน ากรอบการด าเนนงานการบรหาร
จดการโครงการดานไซเบอร (Cyber Program Management: CPM) ของ ITU มาใชเปนขอมล
อางองส าหรบการสรางกรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร ซงพนฐานของกรอบ
การด าเนนงานของ ITU นถกน ามาใชในการพจารณาบทบาทของการรกษาความปลอดภยของ
ขอมล, เทคโนโลยสารสนเทศในธรกจ และกระบวนการของภาครฐ ซงอาจมขอมลส าคญรวไหล
ออกมา และมความเสยงในการจดการโครงสรางภายใตการคกคามทางไซเบอร ดงนนจงควรมการ
จดล าดบความส าคญเชงยทธศาสตรและวตถประสงคขององคกรอยางชดเจน ทงองคกรธรกจและ
หนวยงานภาครฐ
รายงานฉบบนเสนอใหน ากรอบการด าเนนงานเพอความมนคงปลอดภยไซเบอรของ NIST
(NIST Cybersecurity Framework) รวมกบเครองมอทใชในการบรหารความเสยงดานขอมล ดง
แสดงในรปท 2
รปท 2 Integrated Cybersecurity Framework
กรอบการด าเนนงานดงรปท 2 น แสดงใหเหนถงผมสวนไดสวนเสยทกภาคสวนไวอยาง
ชดเจน ในการสรางแนวทางดานความมนคงปลอดภยไซเบอรทมความยดหยน สามารถน ามาปรบ
ใชในองคกรทกขนาดไดอยางมประสทธภาพ ดงนนผเขยนจงขอสรปประเดนส าคญในการสราง
ความมนคงปลอดภยไซเบอรแหงชาต โดยมกรอบการด าเนนงาน ทประกอบดวยประเดนตางๆ
ดงตอไปน:
Service
Tactical Level
Vision & Strategy (National level)
Strategic Level
Enterprise Cybersecurity Framework
Organization & Authority
Policy Incident Management Risk Management
Audit & Compliance Architecture Education & Awareness
Operation Management
Net
work
sec
uri
ty
Th
reat
an
d v
uln
erab
ilit
y m
anag
emen
t
Soft
war
e se
curi
ty
Host
sec
uri
ty
Dat
a pro
tect
ion
Iden
tity
an
d a
cces
s m
anag
emen
t
Ass
et m
anag
emen
t
Mon
itori
ng &
M
easu
rem
ent
Acc
oun
t M
anag
emen
t &
O
uts
ourc
ing
Busi
nes
s co
nti
nuit
y m
anag
emen
t
Inci
den
t res
pon
se a
nd
pro
cess
Confidentiality Integrity Availability
National and Organization Assets
Technology protection Functional operation Resiliency
Nati
onal
Cyb
erse
curi
tyF
ram
ework
Gover
nm
ent
Agen
cies
and B
usi
nes
s E
nte
rpri
se
Risk Statement
Specific to each risk
category and relates to
security objectives and
threats
Objective
Specific to each security
element
Threats
Specific to each security
element
Strategic Plan and
Projects
Based on risk and
targeted security
objectives
1) ในการบรณาการยทธศาสตรดานความมนคงปลอดภยไซเบอร จะตองพจารณาบทบาท
ของผมสวนไดเสยทงหมด โดยกรอบการด าเนนงานจะตองถกสรางขนโดยอาศยความรวมมอ
ระหวางภาคอตสาหกรรมและรฐบาล ซงตองมมาตรฐานในการด าเนนการและมาตรฐานท
เฉพาะเจาะจง แนวทางและวธปฏบตในการสงเสรมความมนคงของชาต โดยกรอบการด าเนนงาน
จะตองมการสรางแนวทางเพอท าความเขาใจถงภยคกคาม และมแนวทางส าหรบการลดความเสยง
จากภยคกคามทางไซเบอรโดยเฉพาะ ซงเปนการชวยใหทกภาคสวนสามารถจดล าดบความส าคญ
และด าเนนการควบคมความมนคงปลอดภยไซเบอรทส าคญไดรวดเรวและมความเหมาะสมมากขน
2) องคประกอบของกรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร สามารถจ าแนก
ไดเปน 5 ขนตอน ไดแก การระบ (Identify), การปองกน (Protect), การตรวจสอบ (Detect),
การตอบสนอง (Respond) และการคนสภาพ (Recover) ซงชวยในการเรยนรถงความเสยงทางไซ
เบอรทเกดขนได โดยสามารถจดระเบยบขอมล เพอชวยในการตดสนใจเกยวกบการบรหารความ
เสยง และการบรหารและการบรรเทาผลกระทบของภยคกคาม จากการเรยนรและการพฒนาจาก
ประสบการณในอดตทผานมา
3) กรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร จะตองก าหนดใหเปนภาษากลางท
เขาใจงาย เพอใหเกดความสอดคลองตรงกน ทงในเรองความเขาใจ การจดการ และความเสยงทาง
ไซเบอรทงภายในและภายนอกองคกร โดยกรอบการด าเนนงานนสามารถชวยก าหนดและจดล าดบ
ความส าคญส าหรบการด าเนนการเพอลดความเสยงดานความปลอดภยไซเบอร และเปนเครองมอ
ส าหรบการปรบนโยบาย กระบวนการทางธรกจ และวธการทางเทคนคเพอการจดการความเสยง
ทางไซเบอร
4) กรอบการด าเนนงานนจะเปนแนวทางใหองคกรธรกจและภาครฐ สามารถท าความเขาใจ
ในการปฏบตงานและการลงทนดานความมนคงปลอดภยไซเบอร ทมความสอดคลองกบความ
ตองการในองคกรแตละองคกร อยางไรกตามกรอบการด าเนนงานอาจมแนวปฏบตดานการรกษา
ความปลอดภยทไมไดเหมาะสมกบองคกรทกองคกร แตถอเปนจดเรมตนทดในการด าเนนงานดาน
ความปลอดภยไซเบอรส าหรบทกองคกร โดยกรอบการด าเนนงานนถกสรางมาเพอก าหนดทศทาง
แกองคกรธรกจและภาครฐ ซงไมไดเปนการก าหนดเพอใหเหมาะสมกบทกองคกร ซงในบางองคกร
อาจมแนวทางการปฏบตงานดานการรกษาความปลอดภยโดยเฉพาะขององคกรทแตกตางจาก
องคกรอนๆ
5) กรอบการด าเนนงานน มวธการคดและการพฒนาแนวทางด าเนนงานในการบรหารจดการ
โครงการดานไซเบอรภายในองคกร ซงไมไดเปนการแกปญหาดานความปลอดภยไซเบอร แตเปน
การวเคราะหจดแขงจดออนของการด าเนนงาน (GAP analysis)
6) การพฒนาของกรอบการด าเนนงานน เปนการบรณาการหลกการด าเนนงานดานความ
มนคงปลอดภยไซเบอรทมอย และมาตรฐานการบรหารความเสยงซงรวมถงมาตรฐาน the NIST
SP 800 series, COBIT, ISO/IEC และ the Critical Security Controls (CSC) เปนตน อยางไรก
ตามโดยทวไปภยคกคามทางไซเบอรจะมการเปลยนแปลงอยเสมอ หรออาจจะมความรนแรง
เพมขนหรอลดลง ซงในบทความน ผเขยนไดพฒนาและปรบปรงกรอบการด าเนนงานภายใตความ
คดเหนทไดจากอตสาหกรรมทมการน ากรอบการด าเนนงานดานความมนคงปลอดภยไซเบอรนไป
ใช และในฐานะทกรอบการด าเนนงานนเปนแนวทางน าไปสการปฏบต ดงนนสงทไดรบจากการ
ปฏบตนนจะถกน ามาบรณาการเขากบกรอบการด าเนนการใหมในอนาคต ทงนเพอใหตอบสนอง
ความตองการของเจาของโครงสรางพนฐานทส าคญและผประกอบการ ในสภาพแวดลอมแบบได
นามกและมความทาทายของภยคกคาม ความเสยง และการแกปญหาใหมๆอยเสมอ
7) ในระหวางขนตอนการออกแบบกรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร
ผออกแบบควรพจารณาแนวทางจากค าถามทวา
เราสามารถก าหนดกรอบการด าเนนงานเบองตนไดอยางไร:
(1) เพอใหมการก าหนดกรอบและผลทไดรบอยางเหมาะสม โดยมความมนคง
ปลอดภยไซเบอรทแขงแกรง และสามารถสนบสนนวตถประสงคทางธรกจ?
(2) เพอใหเกดการด าเนนงานมประสทธภาพ?
(3) เพอใหมการบรณาการความเสยงทางไซเบอรกบความเสยงทางธรกจทเหมาะสม?
(4) ส าหรบจดเตรยมเครองมอ แกผบรหารระดบสงและคณะกรรมการบรหาร เพอท า
ความเขาใจความเสยงและวธการลดความเสยง ในระดบทเหมาะสม?
(5) เพอท าใหผบรหารระดบสงตระหนกถงผลกระทบทอาจเกดขนจากการโจมตทาง
ไซเบอร?
(6) เพอใหไดค าแนะน าทเหมาะสม และสามารถจดหาทรพยากรทเพยงพอ เพอชวย
ใหองคกรธรกจทกขนาดยงคงรกษาความยดหยนไวได?
กระบวนการทส าคญอยางหนงในการพฒนายทธศาสตรดานความมนคงปลอดภยไซเบอร
แหงชาต คอการปรบปรงวธการอยางตอเนอง เพอสรางมาตรการการรกษาความปลอดภยทางไซ
เบอรทมประสทธภาพมากขนเทาทจะเปนไปได กระบวนการทางยทธศาสตรแสดงใหเหนอยาง
ชดเจนวา มการด าเนนงานหลายระดบและในแตละระดบมขนตอนทแตกตางกน เปาหมายคอการ
สรางกระบวนการทางยทธศาสตรอยางตอเนอง และการปรบปรงแนวทางการปฏบตอยางตอเนอง
จากการศกษาของผเขยนพบวากระบวนการพฒนาความมนคงปลอดภยไซเบอรอยางตอเนอง คอ
การบรณาการโดยน ากรอบแนวคดแบบ Ends-Ways-Means ของ ITU มาใช ในการปรบปรง
เชอมโยงยทธศาสตรดานความมนคงปลอดภยไซเบอร รปท 3 แสดงตวแบบ (Model) การวาง
ยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาต
รปท 3 National Cybersecurity Strategy Model
การด าเนนการในการจดการความเสยงในประเดนทส าคญ มดงตอไปน
(1) ก าหนดใหความเสยงทางไซเบอร เปนสวนหนงของการบรหารจดการความเสยง
และแนวทางการด าเนนงานภาครฐ ทด าเนนการอยในปจจบน
Ends
National cybersecurityobjectives
Timescales & Performance Measures
Actions on cybersecurity priorities
National cybersecurity priorities
Clear, succinct and achievable cybersecurity ends/objectives
National cybersecurity strategic context: Cyber threats and risks
A clear statement of purpose, scope and assumptions of the strategy
National
CybersecurityStrategy
Strategic Context
National Interests
Threats and Risks
International Treaties and Conventions
Factors influencing
national cybersecurityactivities
National Interest
Defense of Homeland
Economic Well-being
Favorable World Order
Promotion of Values
Identify Cyber threats and rate their impact
Means
Legal Resources
Technical & Procedural
Organizational
Resources devoted to
action on cybersecuritypriorities
Capacity Building
International Cooperation
Command and Control
Interagency Cooperation
Ways
Approaches to executing cybersecurity strategy
National Response Plan
Analysis
Planning
Decision Production
The continuous improvement process of cybersecurity
Political mandate
Political approval
Implementation
(2) หยบยกการอภปรายเรองการบรหารความเสยงดานไซเบอรกบผบรหารระดบ
สงสดและ CEO
(3) ใหความส าคญกบมาตรฐานอตสาหกรรมและแนวปฏบตทดทสด
(4) ประเมนผลและตอบสนองไดโดยทนท รวมทงมการจดการความเสยงดานไซเบอร
ทเฉพาะเจาะจงขององคกรในเชงรก
(5) มการทดลองและทดสอบ แผนและกระบวนการในการตอบสนองการถกคกคาม
ทางไซเบอร
(6) ประสานงานการวางแผนการตอบสนองเหตการณทเกดขนทางไซเบอรทวทง
องคกร
(7) ตระหนกถงสถานการณของภยคกคามทางไซเบอรอยเสมอ
(8) มการจดการและตอบสนองตออาชญากรรมทางไซเบอรในเชงรกและม
ประสทธภาพ จ าเปนจะตองมขอก าหนดระหวางประเทศอยางเหมาะสม มความ
รวมมอมความชวยเหลอซงกนและกนระหวางประเทศมากขนภายใตกรอบของ
กฎหมาย
(9) จะตองมการบรหารจดการอาชญากรรมทางไซเบอรอยางมประสทธภาพ โดยการ
ประสานงานกบองคกรความมนคงปลอดภยไซเบอรระหวางประเทศ นอกจากน
จะตองท าความเขาใจดานความมนคงปลอดภยทางไซเบอร ยทธศาสตร และ
กฎหมาย ทมความสอดคลองกนในภมภาค และในประเทศเพอนบานอนๆ
รปท 4 มาตรการความมนคงปลอดภยไซเบอรในเชงรก
(Proactive measures of Cybersecurity)
ตารางท 3 มาตรการความมนคงปลอดภยไซเบอรเชงรก
มาตรการ การปฏบต
การวางแผน (Plan) ประเมนสภาพแวดลอม ก าหนดและแกไขปญหาทเกดขน พฒนาแผนการรบมอเหตการณตางๆทเกดขน
การปองกน (Protect) มสภาพแวดลอมทเขมแขง มการปรบปรงทนาเชอถอ การจดการสทธในการใชงาน จ ากดขอบเขตการสอสารทไมจ าเปน ลดจ านวนสทธของผใชงานเทาทจะเปนไปได
การตรวจหา (Detect) มการโปรแกรมส าหรบตรวจสอบการรกษาความปลอดภยเครอชายภายใน
มการตรวจสอบจดทเชอมตอไปภายนอกเครอขาย บนทกและวเคราะห ขอมลการใชงาน จดเกบรวบรวมขอมลทส าคญ
การตอบสนอง (Respond) เจาหนาทและการฝกอบรมทมงานทรบผดชอบเกยวกบเหตการณทเกยวของกบความปลอดภยของคอมพวเตอร (Computer Incident Response Team: CIRT)
CIRT เปนผมหนาทตอบสนองตอเหตกาณทเกดขนทางไซเบอร เวลาทใชการตอบสนองลดลง
(10) ภาคธรกจจะตองมมาตรการเชงรกในการจดการภยคกคามทางไซเบอรและม
ยทธศาสตรในการตอบสนองไดอยางรวดเรวและมประสทธภาพ ในรปท 4 แสดง
ใหเหนวาองคกรควรจะวางแผนส าหรบการปองกน การตรวจหา และการ
ตอบสนองตอเหตการณทเกดขนทางไซเบอร และในตารางท 3 ไดแสดง
รายละเอยดของมาตรการความมนคงปลอดภยไซเบอรในเชงรก ซงการจโจมทาง
ไซเบอรไมสามารถมองเหนได แตสามารถเพมประสทธภาพในการจ ากดความ
รนแรงทจะเกดขนไดอยางมนยส าคญ
10. กรอบแนวคดการบรหารความมนคงปลอดภยไซเบอร (Cybersecurity Management
Framework)
กรอบแนวคดเพอขบเคลอนการบรหารจดการความมนคงปลอดภยไซเบอรถอเปน
องคประกอบทส าคญของการด าเนนงานขององคกรทงภาครฐและเอกชน โดยกรอบแนวคด
ดงกลาวสามารถแบงออกเปน 3 ล าดบ ดงน
1) ระดบกลยทธ (Strategic Direction)
การก าหนดกลยทธเปนจดเรมตนในการขบเคลอนจากกรอบแนวคดไปสการปฏบตการ
(operation) ซงตองการบคคลากรในการระบถงความตองการดานตางๆ เพอความมนคงปลอดภย
ไซเบอรท าการพจารณาประเดนส าคญตางๆ ของการขบเคลอนองคกร ใหค านยาม จดท าเอกสาร
ส าคญตางๆ และประกาศอยางเปนทางการในเรองทศทางในการด าเนนการขององคกร เพอทจะ
ท าใหโครงการหรอโปรแกรมการบรหารความมนคงปลอดภยไซเบอรสามารถขบเคลอนไดอยาง
เปนรปธรรม
2) การปฏบตการ (Operation)
ระดบปฏบตการจะมงเนนไปยงกจกรรมทเกยวของกบโครงการหรอโปรแกรมทจะท า ให
กลยทธทก าหนดมาแลวแปลงใหสามารถปฏบตเปนรปโรรมได โดยจะตองก าหนดวธการด าเนนการ
ใหเปนไปตามความตองการของกลยทธทถกระบไว ซงในระดบปฏบตการนจะตองมการจดท า
เอกสารทมการอธบายค านยามหรอความหมายทเกยวของกบมาตรฐานขนตอนการด าเนนการ,
กระบวนการ, ขนตอนในรายละเอยด โดยมรายละเอยดอธบายถงใครเปนผปฏบต (Who) และ
ปฏบตอยางไร (How)
3) การปฏบตการเชงเทคนคความมนคงปลอดภย (Tactical Security)
ในการปฏบตการเชงเทคนค ซงอาจใชค าภาษาองกฤษวา ‘Tactical security’ นน
หมายความถง การควบคมความมนคงปลอดภยในเชงเทคนค มการระบความตองการในการ
ด าเนนการแบบเจาะจงในเอกสารปฏบตการอยางเปนทางการ เพอผปฏบตจะไดมความเขาใจ
ตรงกนไมคลาดเคลอน ในระดบยทธวธนจะเปนการควบคมรบผดชอบในทกมตของระบบ
สารสนเทศขององคกร โดยมการตรวจสอบตรวจตราอยางตอเนอง มการเกบขอมล วเคราะหขอมล
ตรวจจบการบกรก และมการจดท ารายงานอยางเปนระบบ ซงรปแบบรายงานอาจเปนเชง
Security metrics กจะท าใหงายตอการรวบรวมและบรณาการขอมล
แมวาเราจะแบงระดบชนการบรหารความมนคงปลอดภยไซเบอรขององคกรเปน 3 ระดบ
แตเพอความเขาใจในรายละเอยดทตรงกน เราสามารถทจะแบงระดบยอยลงไปเพอรายละเอยดท
ชดเจนยงขนเปนองคประกอบ ดงน
- องคประกอบดานผบรหารระดบสง (Executive Sponsorship) ซงถอวาเปนตว
จกรส าคญในการขบเคลอนโครงการหรอโปรแกรม
- องคประกอบดานการบรหารจดการความเสยงสารสนเทศ (IT Risk
Management) เปนการจดการในการระบ, ตรวจสอบตรวจจบ และก าหนด
ความเสยงดานไซเบอรใหแกองคกร
- องคประกอบดานการตรวจสอบความมนคงปลอดภยสารสนเทศ (IT and
Security Audit) ซงมความจ าเปนเพอทจะเกดความมนใจไดวาระบบสารสนเทศ
ไดรบการดแลอยางครบถวนตามมาตรฐานทองคกรไดก าหนดไว และตรวจสอบ
เพอมนใจไดวาบคคลากรในองคกรมการปฏบตเปนไปตามขอก าหนดและ
มาตรการตางๆ ครบถวน
- การขาวกรองดานความมนคงปลอดภย (Security Intelligence)
- เปนการวเคราะหขอมลในอดตและปจจบนเพอการพยากรณภยคกคามในอนาคต
ทอาจจะเกดขนทงภยคกคามจากภายในและภายนอกองคกร และเพอปองกน
และลดความเสยงตอองคกรใหนอยทสด
- การปกปองเครอขายและระบบ (Secure Network and Systems) องคกรม
ความจ าเปนอยางยงทจะตองท าการออกแบบและบรหารจดการอปกรณเครอขาย
และระบบเพอใหสามารถปกปองทรพยสนทจบตองไมได เชน ความร และ
ทรพยสนทางปญญา เปนตน ทเกบไวในเครอขายคอมพวเตอรขององคกร
- การปกปองโปรแกรมประยกต (Secure Applications) องคกรจะตองให
ความส าคญอยางยงในการออกแบบและบรหารจดการระบบอจฉรยะขององคกร
ทอยในรปแบบของโปรแปรมประยกตเพอปกปองทรพยสนขององคกรทอยใน
ระบบโปรแกรมประยกตดงกลาว
กรอบแนวคดการบรหารจดการความมนคงปลอดภยไซเบอรดงทกลาวมาแลวสามารถ
แสดงดงตารางท 4
ตารางท 4 องคประกอบการบรหารความมนคงปลอดภยไซเบอร
องคประกอบหลก องคประกอบยอย
ดานผบรหารระดบสง
(Executive Sponsorship)
คณะท างานดานกฎหมาย
การบรหารงานบคคล
การศกษาและการฝกอบรม
การจดการสภาวะวกฤต
โครงการการจดการดาน Cybersecurity
การจดการโครงสราง Cybersecurity
การสนบสนนความมนคงดานกายภาพ
ดานการจดการความเสยง
สารสนเทศ
(IT Risk Management)
โครงการการจดการดาน Cybersecurity
การบรหารทรพยสน
การจดการดานการระบอตลกษณ (Identity)
การคดกรองแบงแยกขอมล
การจดการการด าเนนการธรกจตอเนอง (Business Continuity)
การกระบบจากภยพบต (Disaster Recovery)
การตอบโตสถานการณฉกเฉน (Incident Response)
ดานการตรวจสอบความ
มนคงปลอดภยสารสนเทศ
(IT and Security Audit)
การบรหารการก ากบดแลและการปฏบตตามกฎระเบยบ
การบรหารจดการผจ าหนายอปกรณและรบจางด าเนนงาน
การบรหารจดการทะเบยน และประวตขอมลการบนทก
การบรหารจดการการพฒนาโปรแกรมประยกต
ดานการขาวกรองความมนคง
ปลอดภย
(Security Intelligence)
การบรหารจดการการวเคราะหตรวจหาชองโหวของระบบ
การวเคราะหภยคกคามและพฤตกรรมทมแนวโนมเปนภยคกคาม
การจดการ Log file
การปกปองเครอขายและ การปองกนไวรสและโปรแกรมท าลายระบบ
ระบบ
(Secure Network and
System)
การปองกนระบบเกบขอมล
การปองกนการเจาะระบบ
การออกแบบเครอขายเพอความมนคงปลอดภย
การเขารหส (Encryption)
การ Back up ขอมล
การปกปองโปรแกรม
ประยกต
(Secure Applications)
ความเปนสวนตวดานขอมล (Data Privacy)
การพฒนาการเขารหส (Secure Code)
การจดการการระบตวบคคล และพสจนอตลกษณ (Identity)
การจดการระบบความปลอดภยโปรแปรมประยกต
11. การพฒนาขดความสามารถของหนวยงานตอบโตสถานการณคกคามดานไซเบอร
หนวยงานทท าหนาทตอบโตภยคกคามดานไซเบอร (Cyber Incident Response)
สามารถทจะประยกตใชกรอบความคดในการพฒนาขดความสามารถของหนวยงานและทมในดาน
ตางๆ ดงน (แสดงดงรปท 5)
รปท 5 กรอบความคดในการพฒนาขดความสามารถ
ของหนวยงานและทมในดานตางๆ
1) ขดความสามารถในการตอบโตภยคกคาม (Incident response capabilities)
การพฒนาขดความสามารถภายในหนวยงานเพอการตอบโตภยคกคามดานไซเบอรอยาง
มประสทธภาพ และสามารถทจะคาดการณภยคกคามในอนาคตเพอการเตรยมการไดอยางม
ประสทธภาพ และทนทวงท
Cyber response team
Cyber
response team
Investigative capability
Incident
response capability
Containment plan
Cyber
technical skills
2) ขดความสามารถในการสบสวนสอบสวน (Investigative capabilities)
ความสามารถในการระบสาเหตทางดานเทคนค และทางดานบคคลเพอตอบโตภยคกคาม
ไดตอบปญหาและสาเหตเปนสงส าคญยงในการหยดยงความเสยงหรอลดความเสยงของภยคกคาม
และการกออาชญากรรมดานไซเบอร
3) ขดความสามารถทางดานเทคนคไซเบอร (Cyber technical skills)
ขดความสามารถทางดานเทคนคไซเบอร เปนสงทซบซอนและตองใชเวลาและความ
เชยวชาญในการพฒนา และหนวยงานควรมงบประมาณในการฝกอบรมใหแกบคลากรทงใน
ประเทศ และตางประเทศ เนองจากการพฒนาทางเทคโนโลยไซเบอร มการพฒนาอยางรวดเรว
เกนกวาทองคกรจะสามารถพฒนาไดทนโดยปราศจากการวางแผนการพฒนาบคคลากรดวย
งบประมาณทเพยงพอ
4) แผนความตอเนอง (Containment plan)
การพฒนาขดความสามารถของหนวยงานและทมอยางตอเนองนน มความส าคญตอการ
ตดตามและคาดการณภยคกคามในอนาคตเพอการเตรยมขดความสามารถใหพรอมตลอดเวลา
หนวยงานจงตองมวสยทศนในการด าเนนการพฒนาขดความสามารถอยางตอเนอง
12. การตอบโตภยคกคามดานไซเบอร (Cyber Incident Response)
การตอบโตภยคกคามดานไซเบอรนนตองมการเตรยมการและวางแผนอยบนพนฐานจาก
มาตรฐานความมนคงปลอดภยดานไซเบอรทอตสาหกรรมและองคกรยอมรบเปนสากล อกทงตอง
น าเอากรณศกษาทไดจากประสบการณของหลายประเทศพนธมตรมาศกษาเพอน าเอาแนวทาง
ปฏบตทดทสด (Best practices) ทมอยมาประยกตใช เพอน ามาประกอบเขากบการจดการความ
เสยง (Risk Management) เพอปกปองทรพยสนและชอเสยงขององคกร
แผนตอบโตภยคกคามดงกลาวจะตองมความชดเจน โดยตองมกระบวนการในการท างาน
(task) และการวเคราะหความเสยงทเปนปจจบน (update) อยเสมอ และยงตองเอออ านวยใหม
การตดสนใจในการปฏบตการรวดเรว ทนเหตการณ
เพอการจดการความเสยงทมประสทธภาพ องคกรมความจ าเปนทจะตองเขาใจเชง
จตวทยาตอเจตนาและแรงจงใจของแฮกเกอร (Hacktivists) อาชญากรไซเบอร และผไมหวงดทจะ
คกคามระบบไซเบอรของชาตหรอขององคกร
ความรวดเรว และมประสทธภาพในการตอบโตนนเปนสงทจ าเปนอยางยง การตอบโตภย
คกคาม (Incident response) และขดความสามารถในดานนตวทยาศาสตร (Forensic
capabilities) จะตองถกสรางและออกแบบใหครอบคลมเหตการณภยคกคามทจะเกดขนไดอยาง
ครบวงจร (Incident lifecycle) เพอทจะสามารถตรวจจบ คาดการณ และถอนรากถอนโคน
แหลงทมาได โดยกระบวนการปฏบตสามารถน าเสนอเปนรปท 6
รปท 6 การบรหารจดการการตอบโตภยคกคามไซเบอร (Cyber Incident Management)
13. ประโยชนทไดรบจากการพฒนาดานความมนคงปลอดภยไซเบอร
กรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร (NIST Cybersecurity
Framework) ถกน ามาใชประโยชนเพอจดมงหมายทก าหนดไวส าหรบการปรบปรงความปลอดภย
ความเสยงพนฐาน ส าหรบเจาของ ผประกอบการ หรอผสรางโครงสรางพนฐานส าคญในองคกร ยง
ไปกวานน กรอบการด าเนนงานนยงสามารถน ามาซงประโยชนตางๆ ไดแก ความรวมมอและการ
สอสารทมประสทธภาพ อกดวย
หลกปฏบตของกรอบการด าเนนงานทส าคญยง คอการรวมมอกนเพอแลกเปลยนขอมล
และพฒนาแนวปฏบตเพอความมนคงปลอดภยไซเบอร และการละเมดทรพยสนทางปญญา ซงใน
การรวมมอกน จะกอใหเกดประโยชนอยางแทจรง โดยแนวทางปฏบตดานความปลอดภยทม
ประสทธภาพสง มกจะมการประสานรวมมอกบองคกรอน เพอยกระดบดานความปลอดภยและ
การรบรถงภยคกคาม โดยทวไปแลวองคกรทมแนวปฏบตดานความปลอดภยทมประสทธภาพสง
จะมการรวมมอกบองคกรอนๆ เพอใหสามารถบรรลเปาหมาย ดานความมนคงปลอดภยไซเบอร
หนงในวธการรวมมอทมประสทธภาพสงสด คอการจดตงและมสวนรวมในศนยแลกเปลยนและ
วเคราะหขอมล (Information Sharing and Analysis Centers : ISACs) ซงสามารถจดตงขน
เปนองคกรกลางเพอการพฒนาความมนคงปลอดภยไซเบอรอยางยงยน
Cyber incident response
Cyber forensic
investigation
Cyber incident timeline
การประสานรวมมอกนอยางมประสทธภาพขนอยกบการแลกเปลยนความคดเหนทเปด
กวางและมเปาหมาย ซงสดทายแลวกรอบการด าเนนงานควรจะมภาษากลางเพออ านวยความ
สะดวกในการสอสาร เกยวกบแนวทางปฏบต นโยบาย และเทคโนโลยดานความมนคงปลอดภยไซ
เบอร ทงภายในและภายนอกองคกร เชน ผใหบรการภายนอกและพนธมตรทางการคา เปนตน
รฐบาลควรสนบสนนองคกรตางๆ เพอแบงปนขอมลดานความไมมนคง ภยคกคามตอขอมล และ
กลยทธในการรบมอ ผลประโยชนทไดจากการใชสอกลางในการสอสาร และความรวมมอทมมาก
ขน คอ ความเขมแขง ยกตวอยางเชน ถาในหวงโซอปทานทงหมดขององคกรหนง สามารถใช
ค าศพทหรอภาษาของกรอบการด าเนนงานเหมอนกน จะสามารถสอสาร ท าความเขาใจ และ
สามารถลดความเสยงลงไดอยางมประสทธภาพ
สงส าคญทควรรกคอ กรอบการด าเนนการนมการแลกเปลยนความคดเหนมการสอสาร
เรองความมนคงปลอดภยไซเบอร ดวยค าศพทดานการจดการความเสยง ดวยเหตผลทวา ผน าฝาย
บรหารและคณะกรรมการขององคกรตางมความรอบร เกยวกบการจดการความเสยงอยแลว และ
การวางกรอบเพอความมนคงปลอดภยไซเบอร จะท าใหผน าดานความมนคงปลอดภยนสามารถ
เชอมโยงความส าคญและเปาหมายของความมนคงปลอดภยไซเบอรไดอยางมประสทธภาพมาก
ยงขน นอกจากนยงสามารถชวยใหองคกรตางๆ สามารถจดล าดบความส าคญและตรวจสอบความ
สมเหตสมผลดานการลงทนบนพนฐานการจดการความเสยงไดอกดวย
14. ขอเสนอแนะ
รายงานฉบบนมขอเสนอแนะในการด าเนนการพฒนายทธศาสตรและกลยทธความมนคง
ปลอดภยไซเบอรแหงชาต ดงตอไปน
1) เพอใหมระบบการรกษาความปลอดภยทแขงแกรง รฐบาลควรจดตงศนยอาชญากรรมทาง
ไซเบอรโดยเฉพาะ ซงในระหวางนนรฐบาลจะตองด าเนนการเพอแสวงหาโอกาสใหมส าหรบการ
ด าเนนงานรวมกนระหวางประเทศ
2) หนวยงานดานความปลอดภยของขอมล ตองมการท างานรวมกบผก าหนดนโยบาย เพอให
ไดมมมองทกวางขน และการเยยวยาการถกโจมตบนคอมพวเตอรและโครงสรางพนฐาน ใน
ขณะเดยวกน รฐบาลไมควรแยกการปองกนโครงสรางพนฐานออกจากการปองกนแอพพลเคชน
3) รฐบาลควรรวมมอกบภาคสวนโทรคมนาคม , การเงนการธนาคาร, การคมนาคมขนสง
และภาคประชาชน เพอน ามาตรการบรหารความเสยงมาใช และเพอรายงานเหตการณทเกดขนตอ
เจาหนาทผมอ านาจตามกฎหมาย
4) อาชญากรรมทางไซเบอร อาจถกสรางขนมาเปนแอพพลเคชน ทสามารถเขาถงการใชงาน
แอพพลเคชนอนๆ ของผใชได ซงเปนการเขาโจมตโดยไมมสงปดกน ท าใหการตรวจสอบ
อาชญากรรมทางไซเบอรมความซบซอนมากขน ดงนนเพอใหสามารถรบมอกบอาชญากรรมไซ
เบอรไดอยางมประสทธภาพ จงมความจ าเปนทจะตองเตรยมวธการปองกนอยางเหมาะสม และม
ความรวมมอและความชวยเหลอกนระหวางประเทศภายใตขอบงคบของกฎหมาย หรอความ
รวมมอกนในภมภาค
5) รฐบาลตองเขาใจวากรอบการด าเนนงานดานความมนคงปลอดภยไซเบอร ซงเปนแนวทาง
ทสามารถเปลยนแปลงไดตลอดเวลา ชวยใหรฐสามารถก าหนดสถานการณดานไซเบอรในปจจบน
และอนาคต และลกษณะความมนคงปลอดภยไซเบอรทตองการ ตลอดจนวธการในการด าเนนงาน
ไปในทศทางทก าหนดได เชน ค าแนะน าเกยวกบวธการสอสารกบผมสวนไดเสยทงภายในและ
ภายนอก ในเรองความเสยงทเปนภยคกคาม
6) ปญหาดานความมนคงปลอดภยไซเบอร ถอเปนปญหาทเกดขนทวโลก ไมไดเกดขนใน
ธรกจใดธรกจหนง หรอประเทศใดประเทศหนงเทานน ดงนนจงตองมความรวมมอจากรฐบาลและ
ภาคอตสาหกรรม ดงนนรฐบาลจะตองสงเสรมใหผมสวนไดเสยทกภาคสวน มการด าเนนการ
ดงตอไปน
(1) ปรบปรงเอกสารเกยวกบนโยบายความปลอดภย โดยมการสอสารภาษากลางท
เขาใจตรงกน เพออ านวยความสะดวกในการสอสาร
(2) ก าหนดขนตอนการด าเนนงานส าหรบภยคกคามใหมๆ กระบวนการทดสอบความ
มนคงปลอดภย และการปรบปรงกระบวนการตางๆ เพอรบมอกบภยคกคาม
ใหมๆเหลานน ดวยการสรางโปรแกรมดานความมนคงปลอดภยไซเบอร
(cybersecurity program) ททนสมยสอดคลองกบการเปลยนแปลง
(3) มการสรางยทธศาสตร และกลยทธดานความมนคงปลอดภยไซเบอรส าหรบ
องคกร และมการตรวจสอบการด าเนนงานของยทธศาสตรและกลยทธนนอยาง
ตอเนอง
สรป
ยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาตนนไมมค าตอบสดทาย และค าตอบท
ชดเจน ส าหรบรปแบบทถกตองส าหรบทกองคกร เพราะแตละองคกรมระดบความเสยงทแตกตาง
กน อกทงวฒนธรรมองคกรแตละองคกรกมความแตกตางกน ในแตละประเทศมกฎหมายและ
ระดบสทธเสรภาพของประชาชนทแตกตางกน อ านาจการตอรองของแตละประเทศกมระดบท
แตกตางกน รายงานฉบบนมวตถประสงคเพยงเพอเปนแนวทางพนฐานในการท าความเขาใจตอ
การวางยทธศาสตรความมนคงปลอดภยไซเบอรแหงชาตเพอการน าไปประยกตใชตอไป
บรรณานกรม
[1] เอกสารของ Carnegie Mellon ชอวา “Best Practice for National Cybersecurity.
Building a National Computer Security Incident Management Capability”
น าเสนอรายชอผไดรบผลประโยชนรวมของความมนคงปลอดภยไซเบอรแหงชาตทงหมด
เราน ารายชอจากรายการนไปใช
[2] https://update.cabinetoffice.gov.uk/sites/default/files/resources/CyberCom
munique-Final.pdf
[3] InternetWorldStats. (2015). Internet Users in the World Distribution - 2014
Q4. Available: http://www.internetworldstats.com/stats.htm
[4] WorldPopulationStatistics. (2014). Asia Population 2014. Available:
http://www.worldpopulationstatistics.com/asia-population-2013/
[5] UN, "Comprehensive Study on Cybercrime," UNODC, Vienna2013.
[6] Cisco, "The Internet of Everything and the Connected Athlete: This
Changes… Everything," 2013.
[7] F. Wamala, "ITU National Cybersecurity Strategy Guide," ed, 2011.
[8] Ernst&Young, "Get ahead of cybercrime," 2014.
[9] TheWhiteHouseWashington, "THE NATIONAL STRATEGY TO SECURE
CYBERSPACE 2003," ed, 2003.
[10] ITU, "Guidelines for the preparation of national wireless broadband
masterplans for the Asia Pacific region," 2012.
[11] NIST, "Framework for Improving Critical Infrastructure Cybersecurity," 2014.
[12] HomelandSecurity, "Cybersecurity Questions for CEOs," 2014.
[13] EuRActiv. (2012). Cybersecurity: Protecting the digital economy. Available:
http://www.euractiv.com/infosociety/cybersecurity-protecting-oil-internet-li
nksdossier-508217#group_positions
WE’RE SMARTER
WHEN WE’RE CONNECTED
Top Related