4. คำแนะนำ เรื่อง แนวทางการแจ้งรายชื่อ

เอกสารแนบ ๓ คำแนะนำ เร่ือง แนวทางการแจง้ รายชื่อเจ้าของกรรมสทิ ธ์ิ ผคู้ รอบครองคอมพิวเตอร์ และผู้ดแู ลระบบคอมพิวเตอร์ ๑. เหตุผล ตามความในมาตรา ๕๒ แห่งพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ กำหนดให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศแจ้งรายชื่อและข้อมูลการติดต่อของเจ้าของ กรรมสิทธิ์ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ ไปยังสำนักงาน หน่วยงานควบคุมหรือ กำกับดูแลของตน และหน่วยงานตามมาตรา ๕๐ ภายในสามสิบวันนับแต่วันที่คณะกรรมการประกาศตาม มาตรา ๔๙ วรรคสอง สำนกั งานจึงไดก้ ำหนดแนวทางการแจ้งรายช่ือเจ้าของกรรมสิทธ์ิ ผคู้ รอบครองคอมพวิ เตอร์ และผู้ดูแล ระบบคอมพิวเตอร์ เพ่อื ให้หน่วยงานโครงสร้างพ้นื ฐานสำคัญทางสารสนเทศถือปฏบิ ตั ิตามที่กำหนด ๒. ขอบเขต คำแนะนำฉบบั นใ้ี หใ้ ช้กับหนว่ ยงานที่มภี ารกิจหรือให้บริการเป็นหนว่ ยงานโครงสร้างพ้ืนฐานสำคัญทาง สารสนเทศ ตามที่กำหนดไว้ในร่างประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรอื่ ง การกำหนดหลักเกณฑ์ ลกั ษณะหน่วยงานที่มีภารกิจหรือใหบ้ ริการเป็นหนว่ ยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศ และการมอบหมายการควบคุมและกำกับดูแล พ.ศ. ... รวมถึงผลการพิจารณาภารกิจหรือ บรกิ ารเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ของหน่วยงานควบคมุ หรอื กำกับดแู ลด้วย ๓. นยิ าม ในคำแนะนำฉบบั น้ี “โครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่ง หน่วยงานของรัฐหรือหน่วยงานเอกชนใช้ในกิจการของตนท่ีเก่ียวข้องกับการรักษาความมั่นคงปลอดภยั ของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์ สาธารณะ “หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือหน่วยงาน เอกชน ซึง่ มภี ารกิจหรือให้บรกิ ารโครงสร้างพนื้ ฐานสำคัญทางสารสนเทศ “หน่วยงานควบคุมหรือกำกับดูแล” หมายความว่า หน่วยงานของรัฐ หนว่ ยงานเอกชน หรอื บุคคลซึ่ง มีกฎหมายกำหนดให้มีหน้าที่และอำนาจในการควบคุมหรือกำกับดูแลการดำเนินกิจการของ หน่วยงานของรัฐ หรอื หนว่ ยงานโครงสรา้ งพน้ื ฐานสำคญั ทางสารสนเทศ “สำนกั งาน” หมายความว่า สำนักงานคณะกรรมการการรักษาความมัน่ คงปลอดภัยไซเบอรแ์ หง่ ชาติ ๔. แนวทางการแจ้งรายช่ือเจ้าของกรรมสทิ ธิ์ ผคู้ รอบครองคอมพิวเตอร์ และผดู้ แู ลระบบคอมพิวเตอร์ คำแนะนำฉบับนี้ จัดทำขึ้นโดยประยุกต์ใช้หลักการกำหนดบทบาทหน้าที่ความรับผิดชอบตามเอกสาร NIST Special Publication 800-18 Rev.1, Guide for Developing Security Plans for Federal Information Systems เพ่อื ใหห้ น่วยงานโครงสร้างพ้นื ฐานสำคัญทางสารสนเทศ ตามทห่ี นว่ ยงานควบคุมหรือกำกับดูแลได้กำหนด

ไว้ในเอกสารแนบ ๒ สามารถจดั ทำรายช่ือเจ้าของกรรมสิทธ์ิ ผคู้ รอบครองคอมพิวเตอร์ และผดู้ ูแลระบบคอมพิวเตอร์ ไดอ้ ย่างเหมาะสม แนวทางการแจ้งรายชื่อเจ้าของกรรมสิทธิ์ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ ประกอบดว้ ย ๓ ขนั้ ตอน ดงั น้ี ๔.๑ การกำหนดทีมรับผิดชอบในการจัดทำรายชื่อเจ้าของกรรมสิทธิ์ ผู้ครอบครองคอมพิวเตอร์ และ ผูด้ ูแลระบบคอมพวิ เตอร์ ทั้งนี้ ควรประกอบด้วยผู้ที่เก่ยี วขอ้ งดงั ตอ่ ไปนี้ - ผู้บริหารความมั่นคงปลอดภัยสารสนเทศระดับสูง (Chief Information Security Officer : CISO) หรือผู้บรหิ ารระดับสูงที่ได้รับมอบหมาย - ผแู้ ทนจากสว่ นงานท่เี กย่ี วข้องกับกระบวนการทีส่ ำคญั (Critical services) - ผู้แทนจากสว่ นงานดา้ นเทคโนโลยสี ารสนเทศ - ผแู้ ทนจากส่วนงานดา้ นความม่ันคงปลอดภัยไซเบอร์ - ผแู้ ทนจากส่วนงานดา้ นกฎหมาย - ผู้แทนจากส่วนงานดา้ นทรพั ยากรบุคคล - ผู้แทนจากสว่ นงานดา้ นการจดั ซื้อจดั จ้าง - ผู้แทนจากสว่ นงานอนื่ ๆ ตามความเหมาะสม ๔.๒ การระบุขอบเขตของโครงสร้างพ้ืนฐานสำคญั ทางสารสนเทศท่อี ยู่ในความรบั ผิดชอบ ดังนี้ - ทบทวนผลการดำเนินการจากหนว่ ยงานควบคุมหรือกำกับดแู ล (เอกสารแนบ ๒) - ทบทวนบัญชที รัพย์สนิ สารสนเทศ (Asset inventory) ที่มีอยใู่ นปัจจบุ นั - ระบทุ รัพย์สินสารสนเทศของกระบวนการที่สำคญั - ระบเุ จ้าของกรรมสทิ ธ์ิ ผคู้ รอบครองคอมพิวเตอร์ และผดู้ ูแลระบบคอมพวิ เตอร์ ดงั น้ี ๔.๒.๑ เจ้าของกรรมสิทธิ์ หมายถงึ เจา้ ของโครงสร้างพน้ื ฐานสำคัญทางสารสนเทศโดยตรง ๔.๒.๒ ผู้ครอบครองคอมพิวเตอร์ หมายถึง ผู้ที่ยึดถือโครงสร้างพื้นฐานสำคัญทางสารสนเทศไว้ เพ่อื ประโยชน์ในการบรหิ ารงานของตน ทัง้ นี้ จะยึดถือไวเ้ อง หรอื บคุ คลอน่ื จะยึดถือไวใ้ ห้ก็ได้ ๔.๒.๓ ผดู้ ูแลระบบคอมพิวเตอร์ หมายถึง เจ้าของโครงสรา้ งพืน้ ฐานสำคัญทางสารสนเทศโดยตรง หรอื ผ้ทู ่ไี ด้รับมอบหมายให้ดำเนินการ ตวั อยา่ งการระบุเจ้าของกรรมสิทธ์ิ ผคู้ รอบครองคอมพิวเตอร์ และผ้ดู แู ลระบบคอมพิวเตอร์ กรณตี ัวอยา่ ง เจ้าของกรรมสิทธิ์ ผู้ครอบครองคอมพวิ เตอร์ ผูด้ ูแลระบบคอมพวิ เตอร์ ร ะ บ บ ใ น ล ั ก ษ ณ ะ On หัวหน้าหน่วยงานโครงสร้าง ผู้บริหารเทคโนโลยีสารสนเทศ หัวหน้าส่วนงานด้านเทคโนโลยี premise พนื้ ฐานสำคัญทางสารสนเทศ ระดับสูง และ/หรือ ผู้บริหาร สารสนเทศ และ/หรือ หัวหน้า ความมน่ั คงปลอดภยั สารสนเทศ ส่วนงานด้านความมั่นคง ร ะ ด ั บ ส ู ง ข อ ง ห น ่ ว ย ง า น ป ล อ ด ภ ั ย ไ ซ เ บ อ ร์ ข อ ง โครงสร้างพื้นฐานสำคัญทาง หน่วยงานโครงสร้างพื้นฐาน สารสนเทศ สำคญั ทางสารสนเทศ ร ะ บ บ ใ น ล ั ก ษ ณ ะ On หัวหน้าหน่วยงานโครงสร้าง ผู้บริหารเทคโนโลยีสารสนเทศ เ จ ้ า ห น ้ า ท ี ่ เ ท ค น ิ ค ข อ ง ผู้ cloud พื้นฐานสำคัญทางสารสนเทศ ระดับสูง และ/หรือ ผู้บริหาร ให้บริการ Cloud และ/หรือ และ/หรือ เจ้าของผู้ให้บรกิ าร ความมั่นคงปลอดภยั สารสนเทศ หัวหน้าส่วนงานด้านเทคโนโลยี Cloud ร ะ ด ั บ ส ู ง ข อ ง ห น ่ ว ย ง า น สารสนเทศ และ/หรือ หัวหน้า โครงสร้างพื้นฐานสำคัญทาง ส่วนงานด้านความมั่นคง สารสนเทศ ป ล อ ด ภ ั ย ไ ซ เ บ อ ร์ ข อ ง หน่วยงานโครงสร้างพื้นฐาน สำคญั ทางสารสนเทศ

ตวั อยา่ งการระบุขอบเขตของโครงสรา้ งพ้ืนฐานสำคญั ทางสารสนเทศที่อยู่ในความรบั ผิดชอบ ภารกิจหรอื บริการตามรา่ ง กระบวนการท่สี ำคญั ทรพั ยส์ ินสารสนเทศ บทบาทหนา้ ทแ่ี ละความ ประกาศ มาตรา ๔๙ (Critical processes/services) (โครงสรา้ งพื้นฐาน รับผดิ ชอบ สำคัญทางสารสนเทศ) ภารกิจหรอื บริการ : บริการ กระบวนการท่ี ๑ กลมุ่ ของเครอ่ื งแมข่ ่าย เจา้ ของกรรมสทิ ธ์ิ : ทเี่ กีย่ วข้องกับการบรหิ าร กระบวนการที่ ๓ ระบบฐานขอ้ มลู ๑. ... การเงินการคลังภาครัฐ ระบบสภาพแวดล้อม ๒. ... (GFMIS) ระบบเครอื ข่าย ๓. ... ผ้คู รอบครองคอมพวิ เตอร์ : ๑. ... ๒. ... ๓. ... ผูด้ ูแลระบบคอมพวิ เตอร์ : ๑. ... ๒. ... ๓. ... ท้งั นี้ ให้ระบรุ ายชือ่ และข้อมูลการตดิ ตอ่ ดังนี้เป็นอยา่ งนอ้ ย - คำนำหน้า ช่ือ นามสกุล - ตำแหนง่ (เตม็ /ย่อ) - ทอ่ี ยู่ท่ีทำงาน - เบอรโ์ ทรศพั ท์ทท่ี ำงาน, มอื ถอื - อเี มล ๔.๓ การจัดทำสรุปรายชื่อเจ้าของกรรมสทิ ธ์ิ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ และขออนุมตั ติ อ่ ผู้บรหิ ารสงู สุดของหนว่ ยงานโครงสรา้ งพื้นฐานสำคญั ทางสารสนเทศเพ่ือสง่ ให้สำนักงานต่อไป ๕. แนวทางการแจง้ ข้อมูลให้สำนกั งาน ๕.๑ ให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศแจ้งรายชื่อเจ้าของกรรมสิทธิ์ ผู้ครอบครอง คอมพิวเตอร์ และผู้ดูแลระบบคอมพิวเตอร์ ต่อสำนักงานภายใน ๓๐ วันนับแต่วันที่คณะกรรมการประกาศตาม มาตรา ๔๙ วรรคสอง ตามรปู แบบการรายงาน ๕.๒ กรณีที่มีการเปลี่ยนแปลงเจ้าของกรรมสิทธิ์ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบ คอมพิวเตอร์ ให้แจ้งการเปล่ียนแปลงไปยังสำนกั งานก่อนการเปลี่ยนแปลงล่วงหน้าไม่นอ้ ยกวา่ ๗ วัน เว้นแต่มี เหตจุ ำเปน็ อนั ไมอ่ าจก้าวลว่ งไดใ้ หแ้ จง้ โดยเร็ว

เอกสารอ้างอิง - NIST Special Publication 800-18 Revision 1, Guide for Developing Security Plans for Federal Information Systems ของ National Institute of Standards and Technology (NIST)