ปัจจุบันภาครัฐให้ความสำคัญกับความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ไม่ว่าจะเป็นอุปสรรคที่เกิดจากการจู่โจมทางระบบเทคโนโลยีสารสนเทศจากภายนอก หรือการรั่วไหลของข้อมูลส่วนบุคคลและข้อภายในหน่วยงานรัฐ ความเสี่ยงดังกล่าวสามารถส่งผลกระทบต่อการดำเนินงาน และความปลอดภัย ทางข้อมูลส่วนบุคคลของผู้ที่มีส่วนเกี่ยวข้องทั้งภายใน และภายนอกหน่วยงาน ดังนั้น สำนักงาน ป.ย.ป. จึงมุ่งพัฒนาระบบเพื่อสร้างเกราะกำบังทางระบบสารสนเทศ ผ่านโครงสร้างการกำกับดูแลที่มั่นคง การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล การจัดอบรมเพื่อสร้างความมั่นใจ และความรู้ความเข้าใจให้แก่บุคลากรทุกคน
เป้าหมาย
1. ไม่มีผู้ตกเป็นเหยื่อในการโจมตีหรือการทดสอบการโจมตีหลังจากผ่านการอบรมความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity)
2. ลดระยะเวลาในการตรวจจับการโจมตีให้ได้เร็วที่สุด
การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Governance)
สำนักงาน ป.ย.ป. ได้กำกับและบริหารระบบความมั่นคงปลอดภัยด้านสารสนเทศ และกรอบความมั่นคงปลอดภัยด้านไซเบอร์เพื่อกำหนดทิศทางการทำงานให้ชัดเจน และสร้างความโปร่งใสแก่การบริหารงานเชิงนโยบายตลอดจนระดับปฎิบัติการ โดยสามารถแบ่งลำดับขั้นการบริหารได้ทั้งหมด 3 ขั้น อันประกอบด้วย (1) ระดับกำกับดูแล (2) ระดับบริหารจัดการ และ (3) ระดับปฏิบัติการ
| ระดับ | บทบาท | คณะกรรมการ / หน่วยงาน ที่เกี่ยวข้อง |
|---|---|---|
| ระดับกำกับดูแล | กำกับ ดูแล บริหารการดำเนินงาน และกำหนดทิศทางกลยุทธ์และเป้าหมาย | คณะกรรมการกำกับดูแลงานด้านดิจิทัลและเทคโนโลยี สารสนเทศ และคณะกรรมการบริหารความมั่นคงปลอดภัยสารสนเทศ |
| ระดับบริหารจัดการ | จัดการข้อมูลสารสนเทศตามมาตรฐาน และติดตามตรววจสอบความถูกต้องและแม่นยำ | หน่วยงาน Cybersecurity และคณะกรรมการบริหารความเสี่ยงระดับองค์กร |
| ระดับปฏิบัติการ | กำหนดระบบ วิธีปฏิบัติ และบริการ ให้แก่ผู้ใช้งานปฎิบัติตาม และ ประเมินการติดตามผลงานและรายงานความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงระดับองค์กร | หน่วยงาน Cybersecurity |
แนวทางและกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Framework)
1. ทบทวนนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างต่อเนื่อง
2. ซ้อมแผนรับมือภัยคุกคามจากการโจมตีด้านไซเบอร์และแผนการกู้คืนระบบสารสนเทศในหน่วยงาน และประเมินประสิทธิภาพของแผนการดำเนินงานด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ
3. จัดตั้งคณะทำงานที่มีหน้าที่ในการกำหนดแผนและขั้นตอนการดำเนินงาน รวมถึงการประเมินผลการดำเนินงานของหน่วยงานให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูล
ส่วนบุคคล
4. สร้างความตระหนักรู้และเตรียมความพร้อมด้านความปลอดภัยไซเบอร์ให้บุคลากรภายในหน่วยงานอย่างต่อเนื่อง โดยการจัดการอบรมเกี่ยวกับความเสี่ยงจากการโจมตี
ทางไซเบอร์ การรั่วไหลของข้อมูลสารสนเทศ และความรู้ด้าน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
