3.ประมวลแนวทางปฏิบัติและกรอบมาตรฐาน

หน้า ๙ ๖ กนั ยายน ๒๕๖๔ เล่ม ๑๓๘ ตอนพเิ ศษ ๒๐๘ ง ราชกจิ จานเุ บกษา ประกาศคณะกรรมการกากับดแู ลดา้ นความมั่นคงปลอดภยั ไซเบอร์ เร่อื ง ประมวลแนวทางปฏบิ ตั แิ ละกรอบมาตรฐานดา้ นการรกั ษาความมนั่ คงปลอดภยั ไซเบอร์ สาหรบั หน่วยงานของรฐั และหนว่ ยงานโครงสร้างพนื้ ฐานสาคญั ทางสารสนเทศ พ.ศ. ๒๕๖๔ เพื่อจัดให้มีประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความม่ันคงปลอดภัยไซเบอร์ อันเป็นข้อกาหนดข้ันตา่ ในการดาเนินการด้านการรกั ษาความม่ันคงปลอดภัยไซเบอร์ สาหรับหน่วยงาน ของรัฐและหน่วยงานโครงสร้างพ้ืนฐานสาคัญทางสารสนเทศ รวมท้ังกาหนดมาตรการในการประเมิน ความเส่ียงการตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เม่ือมีภัยคุกคามทางไซเบอร์ หรือเหตุการณ์ ทสี่ ่งผลกระทบหรืออาจกอ่ ให้เกดิ ผลกระทบหรอื ความเสียหายอย่างมนี ัยสาคัญหรืออย่างร้ายแรงต่อระบบ สารสนเทศของประเทศ เพื่อให้การรักษาความม่ันคงปลอดภัยไซเบอร์ปฏิบัติได้อย่างรวดเร็ว มปี ระสิทธิภาพและเป็นไปในทศิ ทางเดียวกนั สอดคล้องกบั มาตรฐานสากล อาศัยอานาจตามความในมาตรา ๑๓ วรรคหน่ึง (๔) และวรรคสอง และมาตรา ๕๔ แห่งพระราชบัญญัติการรักษาความม่ันคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ ประกอบมติท่ีประชุม คณะกรรมการรักษาความมน่ั คงปลอดภัยไซเบอร์แห่งชาติ คร้ังท่ี ๑/๒๕๖๔ เมื่อวันท่ี ๒๕ มิถุนายน ๒๕๖๔ และมติท่ีประชุมคณะกรรมการกากับดูแลด้านความปลอดภัยไซเบอร์ คร้ังท่ี ๑/๒๕๖๔ เม่ือวันท่ี ๘ มิถุนายน ๒๕๖๔ คณะกรรมการกากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ จึงออกประกาศไว้ ดงั ต่อไปนี้ ข้อ ๑ ประกาศนี้เรียกว่า “ประกาศคณะกรรมการกากับดูแลด้านความม่ันคงปลอดภัยไซเบอร์ เร่ือง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความม่ันคงปลอดภัยไซเบอร์ สาหรบั หน่วยงานของรฐั และหนว่ ยงานโครงสร้างพนื้ ฐานสาคัญทางสารสนเทศ พ.ศ. ๒๕๖๔” ข้อ ๒ ประกาศน้ีให้ใช้บังคับเมื่อพ้นกาหนดหน่ึงปีนับแต่วันประกาศในราชกิจจานุเบกษา เป็นต้นไป ขอ้ ๓ ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สาหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ ให้เป็นไปตามแนบท้าย ประกาศน้ี

หน้า ๑๐ ๖ กนั ยายน ๒๕๖๔ เล่ม ๑๓๘ ตอนพิเศษ ๒๐๘ ง ราชกจิ จานุเบกษา ข้อ ๔ ให้ประธานกรรมการกากับดูแลด้านความม่ันคงปลอดภัยไซเบอร์ มีอานาจตีความ และวนิ จิ ฉัยปัญหาเกย่ี วกบั การปฏบิ ัตติ ามประกาศนี้ ข้อ ๕ ให้เลขาธิการคณะกรรมการรักษาความม่ันคงปลอดภัยไซเบอร์แห่งชาติ รักษาการ ตามประกาศน้ี และให้มีอานาจออกประกาศ คาส่ัง หลักเกณฑ์และวิธีการเพื่อประโยชน์ในการปฏิบัติ ตามประกาศน้ี บรรดาระเบียบ ข้อบงั คับ ประกาศ หรือคาสัง่ ซง่ึ ขัดหรอื แยง้ กับประกาศน้ี ใหใ้ ช้ประกาศนี้แทน ประกาศ ณ วนั ท่ี 2 สิงหาคม พ.ศ. ๒๕64 ชัยวฒุ ิ ธนาคมานุสรณ์ รัฐมนตรีว่าการกระทรวงดิจทิ ลั เพอ่ื เศรษฐกิจและสังคม ประธานกรรมการกากับดูแลด้านความมนั่ คงปลอดภยั ไซเบอร์

ประมวลแนวทางปฏิบัตแิ ละกรอบมาตรฐานด้านการรกั ษาความมนั่ คงปลอดภัยไซเบอร์ สำหรบั หนว่ ยงานของรฐั และหนว่ ยงานโครงสร้างพื้นฐานสำคญั ทางสารสนเทศ พ.ศ. ๒๕๖๔ ---------------------------------------- บทนำ ๑. พระราชบญั ญัติการรักษาความม่นั คงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ ได้กำหนดให้มีการจัดทำประมวล แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อันเป็นข้อกำหนดขั้นต่ำ ในการดำเนินการด้านการรักษาความม่ันคงปลอดภยั ไซเบอร์ สำหรบั หนว่ ยงานของรฐั และหนว่ ยงานโครงสร้าง พื้นฐานสำคัญทางสารสนเทศ รวมทั้งกำหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับ ภัยคกุ คามทางไซเบอร์ เมอื่ มภี ยั คกุ คามทางไซเบอร์ หรือเหตุการณ์ที่ส่งผลกระทบหรืออาจก่อให้เกิดผลกระทบ หรอื ความเสียหายอย่างมีนัยสำคัญ หรอื อย่างร้ายแรงต่อระบบสารสนเทศของประเทศ เพ่อื ให้การรักษาความม่ันคง ปลอดภัยไซเบอร์ปฏบิ ตั ิได้อย่างรวดเร็ว มีประสทิ ธภิ าพ และเป็นไปในทิศทางเดียวกัน สอดคล้องกับมาตรฐานสากล เพอื่ สนับสนนุ การดำเนินงานของสำนกั งานคณะกรรมการการรักษาความมน่ั คงปลอดภยั ไซเบอรแ์ ห่งชาติ วัตถุประสงค์ ๒. เพอ่ื ให้การรักษาความมน่ั คงปลอดภยั ไซเบอร์ปฏบิ ตั ิได้อยา่ งรวดเร็ว มปี ระสิทธิภาพ และเปน็ ไปในทิศทาง เดยี วกัน สอดคลอ้ งกับมาตรฐานสากล ขอบเขตการใช้ ๓. ใช้กับของหน่วยงานของรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศ คำนยิ าม หมายถงึ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ ๔. คณะกรรมการ แหง่ ชาติ คณะกรรมการกำกบั ดแู ลด้านความมัน่ คงปลอดภัยไซเบอร์ ๕. กกม. หมายถึง หน่วยงานของรัฐที่ถูกประกาศเป็นหน่วยงานโครงสร้าง ๖. หน่วยงานของรฐั หมายถงึ พน้ื ฐานสำคญั ทางสารสนเทศ ภารกจิ หรือบรกิ ารของหนว่ ยงานของรัฐและหนว่ ยงาน ๗. บรกิ ารทส่ี ำคัญ หมายถึง โครงสรา้ งพื้นฐานสำคัญทางสารสนเทศตามมาตรา ๔๙ สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย ๘. สำนักงาน หมายถึง ไซเบอร์แห่งชาติ เครอ่ื งมือที่ใช้วัดกิจกรรมที่อาจจะทำให้องค์กรมีความเส่ียง ๙. ดชั นชี ี้วดั ความเส่ียงทสี่ ำคัญ หมายถึง ทีเ่ พิ่มขึ้น ชว่ ยตดิ ตามความเส่ียงพร้อมทั้งเป็นสัญญาณเตือน เพื่อให้หน่วยงานสามารถคาดการณ์เหตุการณ์และความเสี่ยง ในอนาคตและเตรียมมาตรการป้องกันก่อนเกิดเหตุการณ์ ความเสียหาย

-2- ๑๐. ผู้ใหบ้ ริการภายนอก หมายถงึ บุคคลหรือนิติบุคคลผู้ให้บริการภายนอก ซึ่งเป็นผู้ให้บริการ ด้านเทคโนโลยีสารสนเทศ หรือเป็นผู้ที่มีการเชื่อมต่อกับ ร ะ บ บ เ ท ค โ น โ ล ย ี ส า ร ส น เ ท ศ ข อ ง ห น ่ ว ย ง า น ข อ ง รั ฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ หรอื เป็นผทู้ ส่ี ามารถเข้าถึงข้อมูลสำคญั ของหนว่ ยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศ หรือขอ้ มลู ของผู้ใชบ้ ริการท่ีควบคุมดูแลโดยหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศได้ ทั้งนี้ ผู้ให้บริการภายนอกไม่ครอบคลุมถึงผู้ใช้บริการ ท ี ่ ใ ช้ ผ ล ิ ต ภ ั ณ ฑ ์ แ ล ะ บ ร ิ ก า ร ข อ ง ห น ่ ว ย ง า น ข อ ง รั ฐ และหน่วยงานโครงสรา้ งพ้ืนฐานสำคัญทางสารสนเทศ ๑๑. คอมไพเลอร์ หมายถึง โปรแกรมแปลโปรแกรม ตัวแปลโปรแกรม เป็นโปรแกรม คอมพิวเตอร์ที่ทำหน้าที่แปลงชุดคำสั่งภาษาคอมพิวเตอร์หนง่ึ ไปเป็นชดุ คำสงั่ ทมี่ ีความหมายเดยี วกนั ในภาษาคอมพวิ เตอร์อืน่ ๑๒. แพตช์ หมายถึง โปรแกรมท่ีใช้ในการปรับปรุงแก้ไขซอฟต์แวร์ โดยส่วนใหญ่ จะอยู่ในลักษณะของไฟล์ และใช้เพื่อแก้ไขช่องโหว่เรื่อง ความมั่นคงปลอดภัย หรือเพื่อเพิ่มความสามารถของ ซอฟต์แวร์ ผู้พัฒนาซอฟต์แวร์หลายรายได้เผยแพร่ แพตช์ออกมาเป็นระยะ เช่น บริษัท Microsoft จะเผยแพร่แพตช์ที่แก้ไขชอ่ งโหว่ของซอฟต์แวร์ผา่ นระบบ Windows Update ๑๓. Recovery Time Objective (RTO) หมายถงึ ระยะเวลาในการก้คู ืนระบบ ๑๔. Recovery Point Objective (RPO) หมายถงึ ระยะเวลาสูงสุดทยี่ อมใหข้ อ้ มูลเสยี หาย ๑๕. Maximum Tolerance Period of Disruption (MTPD) หมายถึง ระยะเวลาสูงสุดที่ยอมให้ธุรกิจหยุดชะงัก เพื่อรองรับ การดำเนินธุรกิจอย่างต่อเนื่องของหน่วยงานของรัฐ และ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศและรองรับ การเกิดเหตุการณ์ผิดปกติต่าง ๆ ที่อาจส่งผลให้เกิด การหยุดชะงักหรือเกิดความเสียหายต่อระบบ เช่น ภัยคกุ คามการทำงานไดต้ ามปกตใิ หเ้ รว็ ท่สี ดุ ๑๖. การจัดทำประมวลแนวทางปฏิบตั ิ มอี งค์ประกอบ ดงั นี้ - แผนการตรวจสอบด้านการรักษาความม่ันคงปลอดภยั ไซเบอร์ - การประเมินความเส่ียงด้านการรักษาความมนั่ คงปลอดภัยไซเบอร์ - แผนการรบั มือภัยคุกคามทางไซเบอร์

-3- รูปท่ี ๑ ประมวลแนวทางปฏิบัตแิ ละกรอบมาตรฐานดา้ นการรักษาความมน่ั คงปลอดภยั ไซเบอร์ ๑๗. องค์ประกอบที่ ๑ แผนการตรวจสอบดา้ นการรกั ษาความมนั่ คงปลอดภัยไซเบอร์ แนวปฏบิ ัติ ๑๗.๑ ต้องจัดให้มีการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์โดยผู้ตรวจสอบด้านความมั่นคง ปลอดภัยสารสนเทศ ทั้งโดยผู้ตรวจสอบภายใน หรือโดยผู้ตรวจสอบอิสระภายนอก อย่างน้อยปีละ ๑ (หนึ่ง) คร้ัง โดยมขี อบเขตของการตรวจสอบ ดงั นี้ (ก) กระบวนการจดั ทำและผลการวเิ คราะหผ์ ลกระทบทางธุรกิจ (Business Impact Analysis: BIA) (ข) บริการที่สำคัญท่ีหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ เป็นเจา้ ของและใชบ้ รกิ าร ตามผลการวเิ คราะหใ์ นขอ้ (ก) (ค) การปฏิบัติตามพระราชบัญญัตินี้ และประมวลแนวทางปฏิบัตินี้และหลักปฏิบัติใด ๆ ทเ่ี กยี่ วขอ้ งกับประมวลแนวทางปฏบิ ัติ มาตรฐานการปฏบิ ัตงิ าน และทีค่ ณะกรรมการประกาศกำหนด ๑๗.๒ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจัดส่งผลสรุปรายงานการตรวจสอบ ด้านความม่ันคงปลอดภยั ไซเบอร์ต่อสำนักงานภายในกำหนด ๓๐ (สามสิบ) วันนับแต่วันท่ีดำเนินการแลว้ เสร็จ ตามท่ีกำหนดไวใ้ นมาตรา ๕๔ พร้อมทง้ั สง่ สำเนาใหห้ น่วยงานควบคมุ หรอื กำกับดูแลด้วย ทง้ั นี้ รูปแบบและรายละเอยี ดผลสรุปรายงานการตรวจสอบด้านความมัน่ คงปลอดภัยไซเบอร์ ใหส้ ำนักงานประกาศกำหนด ๑๗.๓ ในกรณีที่การตรวจสอบดำเนินการภายใต้มาตรา ๕๔ ระบุการไมป่ ฏิบัติตามข้อ ๑๗.๑ เว้นแต่ กกม. จะระบุเป็นลายลักษณ์อักษรเป็นอย่างอื่น ให้หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ส่งแผนการดำเนินการแก้ไขไปยังสำนักงานภายในกำหนด ๓๐ (สามสิบ) วันนับแต่จากวันที่ได้รับรายงานการ ตรวจสอบโดยแผนการดำเนนิ การแกไ้ ขตอ้ งมรี ายละเอยี ดอย่างน้อย ดังนี้ (ก) ให้รายละเอียดการดำเนินการแก้ไขที่หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ จะดำเนินการเพ่อื จัดการกับการไม่ปฏิบตั ติ าม และ (ข) กำหนดระยะเวลาสำหรบั การดำเนนิ การตามที่ระบุไว้ในข้อ ๑๗.๓ (ก)

-4- ๑๗.๔ ในกรณีที่ กกม. เห็นสมควรให้ปรับปรุงแผนการดำเนินการแก้ไข ให้หน่วยงานโครงสร้าง พื้นฐานสำคัญทางสารสนเทศดำเนินการและส่งแผนการดำเนินการแก้ไขที่ได้รับการปรับปรุงแล้วไปยัง สำนักงานภายในระยะเวลาท่ี กกม. กำหนด พร้อมส่งท้ังสำเนาใหห้ น่วยงานควบคมุ หรอื กำกับดูแลดว้ ย ๑๗.๕ เมื่อแผนการดำเนินการแก้ไขได้รับความเห็นชอบจาก กกม. หน่วยงานโครงสร้างพื้นฐาน สำคัญทางสารสนเทศจะดำเนินการตามแผนการดำเนินการแก้ไขดังกล่าว และดำเนินการแก้ไขทั้งหมดให้แล้วเสร็จ ภายในกำหนดระยะเวลาตามท่ีระบุไว้ เพ่อื ให้ผ่านเกณฑก์ ารพิจารณาของ กกม. ๑๘. องค์ประกอบที่ ๒ การประเมินความเสย่ี งด้านการรกั ษาความมน่ั คงปลอดภัยไซเบอร์ แนวปฏิบัติ เพื่อให้หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศสามารถประเมิน ความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ได้อย่างมีประสิทธิภาพและต่อเนื่อง หน่ วยงานของรัฐ และหน่วยงานโครงสร้างพืน้ ฐานสำคัญทางสารสนเทศต้องกำหนดนโยบายการบรหิ ารความเสีย่ งด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ ตามที่ระบุไว้ในนโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัย ไซเบอร์สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศให้ครอบคลุม เรื่องโครงสร้างองค์กรและบทบาทหน้าที่ของผู้ที่เกี่ยวข้องในการบริหารความเสี่ยงด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์ และต้องนำนโยบายดังกล่าวมาจัดทำระเบียบวิธีปฏิบัติและกระบวนการในการบริหาร ความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐาน สำคัญทางสารสนเทศ โดยต้องจัดให้มีการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ อยา่ งน้อยปีละ ๑ (หนึ่ง) คร้ัง ตอ้ งประกอบดว้ ยรายละเอยี ดอย่างน้อย ดังต่อไปน้ี ๑๘.๑ การประเมนิ ความเสี่ยง (Risk Assessment) (ก) การระบุความเส่ยี ง (Risk Identification) ต้องระบุถึงความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ซึ่งรวมถึงความเสี่ยง จากภัยคุกคามทางไซเบอร์ และช่องโหว่ต่าง ๆ โดยความเสี่ยงดังกล่าวอาจมีสาเหตุ มาจากกระบวนการ ปฏบิ ตั ิงาน ระบบงาน บุคลากร หรอื ปจั จยั ภายนอก (ข) การวิเคราะห์ความเสยี่ ง (Risk Analysis) ต้องเข้าใจและวิเคราะห์ความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อหา แนวทางในการจดั การความเส่ยี งท่ีเหมาะสม (ค) การประเมนิ ค่าความเสีย่ ง (Risk Evaluation) ต้องประเมินถึงโอกาสที่ความเสี่ยงด้านการรักษาความมั่นคงปลอด ภัยไซเบอร์จะเกิดข้ึน และผลกระทบตอ่ การปฏบิ ัตงิ านและการดำเนินธุรกจิ รวมถึงกำหนดระดบั ความเสีย่ งด้านการรักษาความม่ันคง ปลอดภัยไซเบอร์ท่ียอมรบั ได้ (Risk Appetite) ๑๘.๒ การจดั การความเส่ยี ง (Risk Treatment) ต้องมีแนวทางจัดการ ควบคุม และป้องกันความเสี่ยงที่เหมาะสมสอดคล้องกับผลการประเมิน ความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อให้ความเสี่ยงที่เหลืออยู่ (Residual Risk) อยู่ใน ระดับความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ยอมรับได้ โดยต้องคำนึงถึงความสมดุลระหว่าง ตน้ ทนุ ในการป้องกนั ความเสี่ยงและผลประโยชนท์ ี่คาดว่าจะไดร้ บั นอกจากนี้ต้องกำหนดดัชนีชี้วัดความเสี่ยงที่สำคัญ (Key Risk Indicator: KRI) ด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ที่เกี่ยวข้องกับการดำเนินธุรกิจ ให้สอดคล้องกับความสำคัญของความมั่นคง ปลอดภัยไซเบอร์แต่ละงาน เพ่อื ใชต้ ิดตามและทบทวนความเส่ยี ง

-5- ๑๘.๓ การติดตามและทบทวนความเสีย่ ง (Risk Monitoring and Review) ต้องมีกระบวนการที่มีประสิทธิภาพในการติดตาม และทบทวนความเสี่ยงด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ เพื่อให้อยู่ภายใต้ระดับความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ทย่ี อมรบั ได้ท่กี ำหนดไว้ ๑๘.๔ การรายงานความเสยี่ ง (Risk Reporting) ต้องรายงานระดับความเสี่ยงและผลการบริหารความเส่ียงด้านการรักษาความมน่ั คงปลอดภัย ไซเบอรต์ ่อคณะกรรมการของหน่วยงานท่ีไดร้ ับมอบหมายเปน็ ประจำ เช่น ตามรอบการประชุมของคณะกรรมการ ของหนว่ ยงานที่ไดร้ บั มอบหมาย ทัง้ นี้ ต้องทบทวนระเบียบวิธปี ฏบิ ัติและกระบวนการบริหารความเส่ยี งด้านการรักษาความม่ันคง ปลอดภัยไซเบอร์ อย่างน้อยปีละ ๑ (หนึ่ง) ครั้ง และทุกครั้งที่มีการเปลี่ยนแปลงอย่างมีนัยสำคัญ เช่น กรณีที่มี การเปล่ียนแปลงของระบบความมน่ั คงปลอดภัยไซเบอร์ ความเส่ียง มาตรฐานสากล อยา่ งมนี ัยสำคญั เป็นตน้ ๑๙. องค์ประกอบที่ ๓ แผนการรับมือภัยคกุ คามทางไซเบอร์ แนวปฏบิ ตั ิ ๑๙.๑ ตอ้ งจัดทำแผนการรบั มือภัยคกุ คามทางไซเบอร์ (Cybersecurity Incident Response Plan) ที่กำหนดว่าควรตอบสนองต่อเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์อย่างไร โดยแผนการรับมือ ภัยคกุ คามทางไซเบอร์ตอ้ งมรี ายละเอยี ดอย่างน้อย ดงั ต่อไปนี้ (ก) โครงสร้างทีมรับมือเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ (Cyber Incident Response Team: CIRT) รวมถึงบทบาทและความรับผิดชอบที่กำหนดไว้อย่างชัดเจนของสมาชิกในทีมแต่ละ คนและรายละเอียดการติดตอ่ (ข) โครงสร้างการรายงานเหตุการณ์ (Incident Reporting Structure) ซึ่งกำหนดว่า หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะปฏิบัติตามภาระหน้าท่ี ในการรายงานภายใต้พระราชบัญญัติ และกฎหมายย่อยใด ๆ ที่ทำขึ้นภายใต้กฎหมายดังกล่าว ตลอดจน ภาระหน้าที่ในการรายงานภายใต้กฎหมาย และข้อกำหนดด้านกฎระเบียบที่เกี่ยวข้องกับโครงสร้างพื้นฐาน สำคัญทางสารสนเทศ (ค) เกณฑแ์ ละขนั้ ตอนในการเรยี กใชง้ าน (Activate) การตอบสนองต่อเหตกุ ารณแ์ ละ CIRT (ง) ขั้นตอนจำกัดขอบเขต (Containment) ผลกระทบของเหตุการณ์ที่เกี่ยวกับความมั่นคง ปลอดภยั ไซเบอร์ (จ) การเรียกใช้งานกระบวนการกูค้ นื (Recovery Process) (ฉ) ขน้ั ตอนในการสอบสวน (Investigate) สาเหตุและผลกระทบของเหตุการณ์ (ช) ขั้นตอนการเก็บรักษาหลักฐาน (Preservation of Evidence) ก่อนเริ่มกระบวนการกู้คืน ซึ่งรวมถึงการได้มาของบันทึกการยดึ หลักฐานคอมพวิ เตอร์ที่ไดม้ า หรอื อปุ กรณอ์ ืน่ ๆ เพอื่ สนบั สนุนการสอบสวน (ซ) ระเบยี บวิธกี ารมสี ่วนร่วม (Engagement Protocols) กับบคุ คลภายนอก หรือแนวปฏิบัติ การบริหารจัดการบุคคลภายนอก ซึ่งรวมถึงรายละเอียดการติดต่อ ตัวอย่างเช่น ผู้ขายสำหรับบริการ ด้านนิตวิ ทิ ยาศาสตร์/การกคู้ ืนและการบงั คับใช้กฎหมายเพื่อดำเนนิ คดี และ (ฌ) กระบวนการทบทวนหลังการดำเนินการ (After-Action Review Process) เพื่อระบุ และแนะนำใหป้ รบั ปรุงการดำเนินการเพื่อป้องกันการเกดิ ซำ้

-6- ๑๙.๒ ต้องตรวจสอบให้แนใ่ จว่าแผนการรบั มอื ภัยคกุ คามทางไซเบอรไ์ ด้รบั การสอ่ื สารอย่างมีประสิทธิผล ไปยังบคุ ลากรที่เก่ียวข้องท้ังหมดทีส่ นับสนุนบริการสำคัญของหน่วยงานของรฐั และหน่วยงานโครงสร้างพ้ืนฐาน สำคญั ทางสารสนเทศ ๑๙.๓ ต้องทบทวนแผนการรับมือภัยคุกคามทางไซเบอร์ อย่างน้อยปีละ ๑ (หนึ่ง) ครั้ง โดยนับแต่ วันที่แผนได้รับการอนมุ ัติ ๑๙.๔ ต้องทบทวนแผนการรับมือภัยคุกคามทางไซเบอร์ เมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ ในสภาพแวดล้อมการปฏิบัติการทางไซเบอร์ของบริการที่สำคัญของหน่วยงานของรัฐและ หน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ หรือข้อกำหนดในการตอบสนองต่อเหตุการณ์ท่ีเกี่ยวกับความมั่นคง ปลอดภยั ไซเบอร์ รูปท่ี ๒ ประมวลแนวทางปฏิบตั ิและกรอบมาตรฐานดา้ นการรกั ษาความม่ันคงปลอดภยั ไซเบอร์ ๒๐. กรอบมาตรฐานดา้ นการรกั ษาความมั่นคงปลอดภยั ไซเบอร์ ประกอบไปด้วย ๕ หัวข้อหลกั (ดงั รูปท่ี ๒) ดังน้ี ๒๐.๑ การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลอ่ืนทเ่ี กย่ี วขอ้ งกบั ระบบคอมพวิ เตอร์ ทรพั ย์สินและชวี ติ ร่างกายของบุคคล (Identify) ๒๐.๑.๑ การจัดการทรัพยส์ ิน (Asset Management) ๒๐.๑.๒ การประเมินความเสี่ยงและกลยุทธ์ในการจัดการความเสี่ยง (Risk Assessment and Risk Management Strategy) ๒๐.๑.๓ การประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) ๒๐.๑.๔ การจดั การผูใ้ หบ้ ริการภายนอก (Third Party Management) ๒๐.๒ มาตรการปอ้ งกนั ความเส่ียงท่อี าจจะเกดิ ข้นึ (Protect) ๒๐.๒.๑ การควบคุมการเข้าถงึ (Access Control) ๒๐.๒.๒ การทำให้ระบบมคี วามแข็งแกร่ง (System Hardening) ๒๐.๒.๓ การเชอื่ มต่อระยะไกล (Remote Connection) ๒๐.๒.๔ สอ่ื เกบ็ ขอ้ มลู แบบถอดได้ (Removable Storage Media)

-7- ๒๐.๒.๕ การสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness) ๒๐.๒.๖ การแบ่งปันขอ้ มูล (Information Sharing) ๒๐.๓ มาตรการตรวจสอบและเฝา้ ระวังภยั คุกคามทางไซเบอร์ (Detect) ๒๐.๓.๑ การตรวจสอบและเฝ้าระวังภยั คุกคามทางไซเบอร์ (Cyber Threat Detection and Monitoring) ๒๐.๔ มาตรการเผชิญเหตเุ มือ่ มกี ารตรวจพบภัยคกุ คามทางไซเบอร์ (Respond) ๒๐.๔.๑ แผนการรบั มอื ภัยคุกคามทางไซเบอร์ (Cybersecurity Incident Response Plan) ๒๐.๔.๒ แผนการสือ่ สารในภาวะวิกฤต (Crisis Communication Plan) ๒๐.๔.๓ การฝกึ ซอ้ มความม่นั คงปลอดภยั ไซเบอร์ (Cybersecurity Exercise) ๒๐.๕ มาตรการรกั ษาและฟ้นื ฟคู วามเสียหายทเ่ี กดิ จากภยั คกุ คามทางไซเบอร์ (Recover) ๒๐.๕.๑ การรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์ (Cybersecurity Resilience and Recovery) ๒๑. หัวข้อหลักที่ ๑ การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกาย ของบคุ คล (Identify) กรอบมาตรฐาน ๒๑.๑ การจัดการทรัพย์สนิ (Asset Management) ๒๑.๑.๑ ต้องมีทะเบียนทรัพย์สิน (Inventory) ทร่ี ะบุทรัพย์สินของบริการที่สำคัญของหน่วยงาน ของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และดูแลรักษาทะเบียนทรัพย์สินให้เป็นปัจจุบนั โดยทะเบียนทรัพยส์ ินตอ้ งมขี อ้ มูลอย่างนอ้ ย ดงั นี้ (ก) ชื่อ/คำอธิบายของทรัพย์สิน ของบริการที่สำคญั หน่วยงานของรัฐ และหน่วยงาน โครงสร้างพ้นื ฐานสำคัญทางสารสนเทศ (ข) ฟังกช์ นั ท่สี ำคัญของทรพั ย์สิน ของบริการที่สำคัญหนว่ ยงานของรฐั และหน่วยงาน โครงสรา้ งพน้ื ฐานสำคญั ทางสารสนเทศ (ค) การระบแุ ละการจดั ลำดับความสำคญั ของทรัพยส์ นิ บรกิ ารที่สำคญั ของหนว่ ยงานของรัฐ และโครงสรา้ งพืน้ ฐานสำคญั ทางสารสนเทศ (ง) เจ้าของและ/หรือผู้ดำเนินการของทรัพย์สินของบริการที่สำคัญหน่วยงานของรัฐ และหนว่ ยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (จ) ตำแหน่งทางกายภาพของทรัพย์สินของบริการที่สำคัญหน่วยงานของรัฐ และหนว่ ยงานโครงสร้างพนื้ ฐานสำคญั ทางสารสนเทศแต่ละรายการ และ (ฉ) การขึ้นต่อกันของทรัพย์สินของบริการที่สำคัญหน่วยงานของรัฐ และหน่วยงาน โครงสรา้ งพนื้ ฐานสำคัญทางสารสนเทศบนระบบ/เครือขา่ ยภายใน และ/หรือภายนอก ๒๑.๑.๒ ต้องระบุขอบเขตเครือข่ายของบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงาน โครงสร้างพน้ื ฐานสำคญั ทางสารสนเทศ และระบบคอมพิวเตอร์ท่เี ช่ือมต่อโดยตรงและมีนัยสำคัญ (Direct and Significant Interface)

-8- ๒๑.๑.๓ ต้องมีการตรวจสอบทะเบียนทรัพย์สินอย่างน้อยปีละ ๑ (หนึ่ง) ครั้ง หากมี การเปลี่ยนแปลงใด ๆ กับทรัพย์สินของบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐาน สำคญั ทางสารสนเทศ ให้ปรับปรุงทะเบียนทรพั ยส์ นิ ดงั กลา่ วดว้ ย ๒๑.๑.๔ ตามมาตรา ๕๔ ต้องดำเนินการประเมินความเสี่ยงด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์ของบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศซ่ึงรวมถึงรายการทั้งหมดทร่ี ะบไุ ว้ในทะเบียนทรัพยใ์ นข้อ ๒๑.๑.๑ อย่างนอ้ ยปลี ะ ๑ (หน่ึง) ครั้ง ๒๑.๒ การประเมินความเสี่ยงและกลยุทธ์ในการจัดการความเสี่ยง (Risk Assessment and Risk Management Strategy) ๒๑.๒.๑ ต้องประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ อย่างน้อยปีละ ๑ (หนึ่ง) ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สำคัญที่กระทบต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ตามเกณฑ์ประเมินความเสี่ยงด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์ที่กำหนดไว้ในการบริหารความเสี่ยง (Risk Management) ตามนโยบายบริหารจัดการ ทเ่ี กย่ี วกบั การรักษาความมนั่ คงปลอดภัยไซเบอร์ท่ีคณะกรรมการประกาศกำหนด ๒๑.๒.๒ ต้องปรับปรุงทะเบียนความเสี่ยงทุกครั้งหลังการประเมินความเสี่ยงด้านการรักษา ความมั่นคงปลอดภยั ไซเบอร์ ทะเบยี นความเส่ยี งตอ้ งจดั ทำเอกสารโดยมีรายละเอียดอย่างน้อย ดงั ต่อไปน้ี (ก) วนั ทร่ี ะบุความเส่ยี ง (Date the Risk is Identified) (ข) คำอธบิ ายของความเสี่ยง (Description of the Risk) (ค) โอกาสทจี่ ะเกิดข้ึน (Likelihood of Occurrence) (ง) ความรนุ แรงของเหตกุ ารณ์ (Severity of the Occurrence) (ฉ) การจดั การความเสีย่ ง (Risk Treatment) (ง) เจา้ ของความเส่ียง (Risk Owner) (ฉ) สถานะของการจัดการความเสย่ี ง (Status of Risk Treatment) และ (ช) ความเสย่ี งที่เหลือ (Residual Risk) ๒๑.๓ การประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) ๒๑.๓.๑ ต้องดำเนินการประเมินช่องโหว่ของบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศอ้างอิงตามหลักการบริหารความเสี่ยงของหน่วยงาน เพื่อระบุจุดอ่อนด้านความมั่นคงปลอดภัยและการควบคุมโดยครอบคลุมบริการที่สำคัญของหน่วยงานของ รัฐ และหน่วยงานโครงสร้างพื้นฐานสำคญั ทางสารสนเทศซ่ึงเปน็ (ก) ระบบเทคโนโลยีสารสนเทศ (Information Technology (IT) system) (ข) ระบบทใี่ ชค้ วบคุมเคร่อื งจักรในอุตสาหกรรม (Industrial Control System: ICS) ๒๑.๓.๒ ตอ้ งตรวจสอบให้แนใ่ จว่าขอบเขตของการประเมินช่องโหวแ่ ต่ละรายการ ประกอบด้วย (ก) การประเมนิ ความม่นั คงปลอดภัยของโฮสต์ (Host Security Assessment) (ข) การประเมินความมั่นคงปลอดภัยของเครือข่าย (Network Security Assessment) และ (ค) การตรวจสอบความม่นั คงปลอดภยั ของสถาปัตยกรรม (Architecture Security Review)

-9- ๒๑.๓.๓ ต้องทำการประเมินช่องโหวข่ องบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงาน โครงสร้างพื้นฐานสำคัญทางสารสนเทศ เพื่อระบุจุดอ่อนดา้ นความมัน่ คงปลอดภยั และควบคมุ ก่อนที่จะทำการ ทดสอบระบบใหม่ใด ๆ ที่เชื่อมต่อ หรือดำเนินการเปลี่ยนแปลงระบบที่สำคัญใด ๆ กับบริการที่สำคัญ ของ หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคญั ทางสารสนเทศ การเปลี่ยนแปลงระบบที่สำคัญ ได้แก่ การเพิ่มโมดูลแอปพลิเคชัน (Adding New Application Module) การปรับปรุงระบบ และการปรับเปลี่ยน เทคโนโลยี ๒๑.๓.๔ ควรพจิ ารณาดำเนนิ การทดสอบเจาะระบบ (Penetration Testing) บริการท่ีสำคัญ ของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยเฉพาะอย่างยิ่ง ระบบ เทคโนโลยีสารสนเทศ (Information Technology: IT) ที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) ใหส้ อดคลอ้ งกับระดบั ของความเส่ยี ง และพิจารณาผลกระทบหรอื ความเสย่ี งจากการทดสอบเจาะระบบดว้ ย ๒๑.๓.๕ ต้องตรวจสอบให้แน่ใจว่าขอบเขตของการทดสอบเจาะระบบ (Scope of a Penetration Test) รวมถึงการทดสอบเจาะระบบของโฮสต์ เครือข่าย และแอปพลิเคชันของบริการที่สำคัญ หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ โดยเฉพาะอย่างยิ่ง ทุกระบบที่เป็นมีการ เช่อื มต่ออินเทอร์เน็ตโดยตรง (Internet Facing) ๒๑.๓.๖ ควรพิจารณาดำเนินการทดสอบเจาะระบบอย่างน้อยปีละ ๑ (หนึ่ง) ตามความจำเป็น เพื่อตรวจสอบความถูกต้องของระบบรักษาความมั่นคงปลอดภัยไซเบอร์ของบริการที่สำคัญหน่วยงานของรัฐ และหน่วยงานโครงสร้างพ้นื ฐานสำคัญทางสารสนเทศ ก่อนทีจ่ ะทำการทดสอบระบบใหม่ หรือการเปลย่ี นแปลงระบบ ทส่ี ำคญั เชน่ โมดูลเสริม การปรบั ปรงุ ระบบ และการปรบั เปลยี่ นเทคโนโลยี เป็นต้น ๒๑.๓.๗ ต้องตรวจสอบให้แน่ใจว่าการทดสอบเจาะระบบและผู้ทดสอบเจาะระบบ (Penetration Testers) ที่ทำการทดสอบเจาะระบบบนโครงสร้างพื้นฐานสำคัญสารสนเทศ มีการรับรองและ ได้รับประกาศนียบัตร (Accreditations and Certifications) ที่เป็นที่ยอมรับในอุตสาหกรรม และเป็นอิสระ จากระบบที่ทำการทดสอบเจาะระบบ ทั้งนี้ คุณสมบัติของผู้ทดสอบเจาะระบบ ให้เป็นไปตามหลักเกณฑ์และ วธิ กี ารทห่ี นว่ ยงานควบคุมหรอื กำกบั ดูแลกำหนด ๒๑.๓.๘ ต้องตรวจสอบให้แน่ใจว่าการทดสอบเจาะระบบทั้งหมดโดยผู้ให้บริการทดสอบเจาะ ระบบดำเนนิ การภายใต้การดูแลของหนว่ ยงาน ๒๑.๓.๙ ต้องสร้างกระบวนการเพ่อื ตดิ ตามและจดั การกับช่องโหว่ทร่ี ะบใุ นผลการประเมินช่อง โหวแ่ ละในผลการทดสอบเจาะระบบและตรวจสอบวา่ ชอ่ งโหว่ที่ระบทุ ้ังหมดได้รบั การแกไ้ ขอยา่ งเพียงพอ ๒๑.๓.๑๐ หากได้รับการร้องขอจาก กกม. หรือสำนักงาน หน่วยงานโครงสร้างพื้นฐานสำคญั ทางสารสนเทศต้องส่งสำเนารายงานสรุปผลการทดสอบเจาะระบบ เพื่อประโยชน์ในการประเมินระดับความ เสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานดังกล่าว ไปยังสำนักงานภายในกำหนด ๓๐ (สามสิบ) วัน นบั แต่วันท่ีได้รบั หนงั สือด้วย ทั้งนี้ รูปแบบรายงานสรุปผลการทดสอบเจาะระบบ ให้เป็นไปตามหลักเกณฑ์และ วธิ ีการท่ีสำนกั งานประกาศกำหนด ๒๑.๔ การจัดการผใู้ ห้บริการภายนอก (Third Party Management) ๒๑.๔.๑ ต้องรับผิดชอบ (Responsible) และมีภาระรับผิดชอบ (Accountable) ต่อการดูแล รักษาความมั่นคงปลอดภัยไซเบอร์ของโครงสร้างพื้นฐานสำคัญทางสารสนเทศ แม้ว่าผู้ให้บริการภายนอก จะดำเนินงานใด ๆ ก็ตามในส่วนของบริการที่สำคัญหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทาง สารสนเทศ

- 10 - ๒๑.๔.๒ ต้องกำหนดขอ้ กำหนดด้านความม่ันคงปลอดภยั ไซเบอรเ์ พื่อลดความเส่ียงที่เก่ียวข้อง กับการเข้าถึงกระบวนการจัดเก็บ การสื่อสาร และการดำเนินการของโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ของผใู้ ห้บริการภายนอกในข้อตกลงระดบั การให้บริการ (Service Level Agreement) หรอื เง่อื นไขของสัญญา กบั ผใู้ หบ้ รกิ ารภายนอก ขอ้ กำหนดตอ้ งคำนึงถึงรายละเอยี ดอย่างนอ้ ย ดงั ตอ่ ไปนี้ (ก) ประเภทของผู้ให้บริการภายนอกที่เข้าถึงทรัพย์สินของบริการที่สำคัญหน่วยงาน ของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศตามความต้องการทางธุรกิจขององค์กร และโปรไฟลค์ วามเสี่ยงด้านการรักษาความม่นั คงปลอดภัยไซเบอร์ (ข) ภาระหน้าที่ของผู้ให้บริการภายนอกในการปกป้องบริการที่สำคัญหนว่ ยงานของรัฐ และหนว่ ยงานโครงสรา้ งพ้ืนฐานสำคัญทางสารสนเทศจากภัยคุกคามทางไซเบอร์ (ค) ความเสีย่ งทเี่ ก่ียวข้องกับบรกิ ารและหว่ งโซ่อุปทานผลิตภณั ฑ์ และ (ง) สิทธิ์ของหนว่ ยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ในการตรวจสอบความมนั่ คงปลอดภัยไซเบอร์ของผู้ให้บริการภายนอก ๒๑.๔.๓ ควรพิจารณาสร้างกระบวนการตรวจสอบความถูกต้องของผู้ให้บริการภายนอกว่า สอดคล้องกบั ข้อกำหนดดา้ นความมัน่ คงปลอดภัยไซเบอร์ในเง่ือนไขของสัญญา ตัวอยา่ งเชน่ การตรวจสอบโดย บุคคลทส่ี าม และการตรวจสอบผลติ ภัณฑ์ ๒๑.๔.๔ ควรพิจารณาดำเนินการเจรจาต่อรองเง่ือนไขของสัญญาจ้างให้สอดคล้องกับกรณีที่มี ขอ้ กำหนดทางกฎหมายหรือข้อบังคบั ใหม่ ๒๒. หัวข้อหลกั ท่ี ๒ มาตรการปอ้ งกนั ความเสี่ยงท่ีอาจจะเกิดขึน้ (Protect) กรอบมาตรฐาน ๒๒.๑ การควบคมุ การเข้าถึง (Access Control) ๒๒.๑.๑ ต้องตรวจสอบให้แน่ใจว่าการเข้าถึงบริการที่สำคัญของหน่วยงานของรัฐ และ หนว่ ยงานโครงสร้างพ้นื ฐานสำคัญทางสารสนเทศถูกจำกดั ไว้ท่ี (ก) บคุ ลากร และกจิ กรรมท่ไี ดร้ ับอนญุ าต และ (ข) อปุ กรณ์ และอินเทอรเ์ ฟซ (Interface) ท่ไี ด้รับอนุญาต ๒๒.๑.๒ ในส่วนที่เกี่ยวกับภาระหน้าที่ภายใต้ข้อ ๒๒.๑.๑ หน่วยงานของรัฐ และหน่วยงาน โครงสร้างพน้ื ฐานสำคัญทางสารสนเทศต้องกำหนดให้แต่ละบุคลากร กจิ กรรมและกระบวนการท่ีได้รับอนุญาต มกี ารใชเ้ ทคนคิ การตรวจสอบสิทธ์ทิ ี่สอดคล้องกบั โปรไฟล์ความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Risk Profile) สำหรับแต่ละโหมดการเข้าถึงบริการที่สำคัญหน่วยงานของรัฐ และหน่วยงาน โครงสรา้ งพืน้ ฐานสำคญั ทางสารสนเทศ ๒๒.๑.๓ ต้องเก็บรักษาบันทึกของการเข้าถึงทั้งหมด (Logs of All Access) และความพยายาม ทงั้ หมดในการเข้าถึงบรกิ ารที่สำคัญของหน่วยงานของรฐั และหน่วยงานโครงสรา้ งพนื้ ฐานสำคัญทางสารสนเทศ และตรวจสอบบนั ทึกเหล่าน้เี พ่ือหากิจกรรมที่ผดิ ปกติเปน็ ประจำ ความสมำ่ เสมอในการตรวจสอบบันทึกเหล่าน้ี ควรสอดคลอ้ งกับความถ่ี หรอื ความสมำ่ เสมอของกจิ กรรมการเขา้ ถงึ ดงั กล่าว ๒๒.๑.๔ ต้องตรวจสอบให้แน่ใจว่าการเข้าถึงอินเทอร์เฟซ (Interface) ของบริการที่สำคัญ ของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (เช่น USB, พอร์ตอนุกรม) และ การเข้าถงึ ทางลอจิคอล (Logical) มีการกำกับดแู ลโดย

- 11 - (ก) ทำภายใต้การดูแลของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศเทา่ นั้น และ (ข) ดำเนนิ การในสถานท่ี หากเปน็ ไปได้ ๒๒.๒ การทำใหร้ ะบบมีความแข็งแกร่ง (System Hardening) ๒๒.๒.๑ ต้องสร้างมาตรฐานการกำหนดค่าขั้นต่ำด้านความมั่นคงปลอดภัย (Security Baseline Configuration Standards) สำหรับระบบปฏิบัติการ แอปพลิเคชัน และอุปกรณ์เครือข่ายทั้งหมด ของบริการที่สำคัญของหนว่ ยงานของรัฐ และหน่วยงานโครงสร้างพ้ืนฐานสำคัญทางสารสนเทศที่สอดคล้องกับ โปรไฟล์ความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Risk Profile) ของบริการ ท่ีสำคญั ของหน่วยงานของรฐั และหนว่ ยงานโครงสร้างพ้นื ฐานสำคัญทางสารสนเทศ ๒๒.๒.๒ มาตรฐานการกำหนดค่าขั้นต่ำด้านความมั่นคงปลอดภัย (Security Baseline Configuration Standards) ต้องมหี ลักการรักษาความมนั่ คงปลอดภัยอยา่ งน้อย ดังตอ่ ไปน้ี (ก) สิทธิพเิ ศษในการเขา้ ถึงนอ้ ยทส่ี ุด (Least Access Privilege) (ข) การแบง่ แยกหน้าท่ี (Separation of Duties) (ค) การบงั คับใช้นโยบายความซับซอ้ นของรหัสผา่ น (ง) การลบบญั ชีท่ไี มไ่ ดใ้ ช้ (จ) การลบบรกิ ารและแอปพลิเคชันที่ไม่จำเป็น เชน่ การลบคอมไพเลอร์ (Removal of Compiler) และแอปพลเิ คชันสนับสนนุ ผู้ให้บรกิ ารภายนอก (Vendor Support Application) (ฉ) การปดิ พอร์ตเครือข่ายที่ไม่ได้ใช้งาน (ช) การป้องกันมัลแวร์ (Malware) และ (ซ) การปรับปรุงซอฟต์แวร์และแพตช์ (Patch) ความมั่นคงปลอดภัยของระบบ อยา่ งทันการณ์และเหมาะสม ๒๒.๒.๓ ต้องตรวจสอบให้แน่ใจว่ามีการใช้มาตรฐานการกำหนดค่าขั้นต่ำด้านความมั่นคง ปลอดภัย (Security Baseline Configuration Standards) ตามที่ระบุไว้ ก่อนที่จะมีทรัพย์สินใด ๆ เชื่อมต่อ หรือเมื่อมีการเปลี่ยนแปลงหรือปรับปรุงบริการทีส่ ำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐาน สำคญั ทางสารสนเทศ ๒๒.๒.๔ ต้องตรวจสอบมาตรฐานการกำหนดค่าขั้นต่ำด้านความมั่นคงปลอดภัย (Security Baseline Configuration Standard) ของบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสร้าง พนื้ ฐานสำคญั ทางสารสนเทศอย่างน้อยปลี ะ ๑ (หน่งึ ) ครงั้ เพอ่ื ใหแ้ นใ่ จวา่ มาตรฐานเหล่านีย้ งั คงมปี ระสิทธิภาพ ตอ่ ภัยคกุ คามทางไซเบอร์ ๒๒.๒.๕ ต้องจัดทำกระบวนการจัดการเปลี่ยนแปลง (Change Management Process) เพื่ออนุญาตและตรวจสอบความถูกต้องของการเปลี่ยนแปลงระบบทั้งหมดที่มีต่อบริการที่สำคัญ ของ หนว่ ยงานของรัฐ และหนว่ ยงานโครงสรา้ งพ้นื ฐานสำคัญทางสารสนเทศ ๒๒.๓ การเช่ือมต่อระยะไกล (Remote Connection) ๒๒.๓.๑ ต้องตรวจสอบให้แน่ใจว่าการเชื่อมต่อระยะไกลทั้งหมดมายังบริการที่สำคัญ หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศมีมาตรการรักษาความมั่นคงปลอดภัย ไซเบอรท์ ม่ี ีประสิทธภิ าพเพ่ือป้องกนั และตรวจจบั การเข้าถงึ โดยไม่ได้รับอนุญาต ๒๒.๓.๒ สำหรับการเชื่อมต่อระยะไกลกับบริการที่สำคัญหน่วยงานของรัฐ และหน่วยงาน โครงสรา้ งพื้นฐานสำคัญทางสารสนเทศ ต้องปฏิบตั ติ ามแนวทางปฏบิ ัตดิ งั ต่อไปนี้

- 12 - (ก) ในกรณีที่เปน็ ไปไดใ้ ห้เปิดใชง้ านการเชอ่ื มตอ่ ไปยงั หรือจากไซต์ระยะไกล เมอ่ื จำเป็น เท่าน้ัน (ข) ในกรณีที่เป็นไปได้ ใช้เทคนิคการพิสูจน์ตวั ตน (Authentication Techniques) ที่มีความมั่นคงปลอดภัยในการส่ง (Transmission Security) และความสมบูรณ์ของข้อความ (Message Integrity) ทีแ่ ข็งแกรง่ (ค) ใช้การเข้ารหัสสำหรับการเชอ่ื มตอ่ เครือขา่ ยทัง้ หมด เช่น https, ssh, scp เป็นตน้ (ง) ไม่อนุญาตให้เชื่อมต่อระยะไกลจากการใช้คำสั่งระบบ (Issuing System Commands) ที่จะส่งผลกระทบต่อการดำเนินการบริการที่สำคัญหน่วยงานของรัฐ และหน่วยงานโครงสร้าง พ้นื ฐานสำคญั ทางสารสนเทศ เว้นแต่จะไดร้ บั อนุญาตอย่างชัดเจนเน่อื งจากความต้องการทางธรุ กิจ และ (จ) จำกดั การไหลของขอ้ มูลเฉพาะฟงั กช์ นั ข้ันต่ำท่ีจำเป็นสำหรบั การเช่อื มตอ่ ๒๒.๔ ส่ือเก็บข้อมูลแบบถอดได้ (Removable Storage Media) ๒๒.๔.๑ ต้องตรวจสอบให้แน่ใจว่ามีการใช้การควบคุมอย่างเข้มงวดในการเช่ือมต่อสื่อบันทกึ ข้อมูลแบบถอดได้ และอุปกรณ์คอมพิวเตอร์แบบพกพา (เช่น แล็ปท็อป) กับบริการที่สำคัญหน่วยงานของรัฐ และหนว่ ยงานโครงสร้างพื้นฐานสำคญั ทางสารสนเทศ โดยใช้มาตรการอยา่ งนอ้ ย ดงั นี้ (ก) ในกรณีที่มีฟังก์ชันให้ปิดใชง้ านพอร์ตการเชื่อมต่อภายนอกทั้งหมด (เช่น พอร์ต USB) ทร่ี องรบั สอื่ บันทึกข้อมูลแบบถอดได้ และอุปกรณค์ อมพิวเตอร์แบบพกพา และเปดิ ใช้งานเม่อื จำเป็นเท่าน้นั (ข) ใช้สือ่ บันทึกขอ้ มูลท่ีได้รับอนญุ าตตามข้อ ๒๒.๑.๑ (ข) เทา่ นน้ั และ (ค) ตรวจสอบว่าสื่อบันทึกข้อมูลแบบถอดได้และอุปกรณ์คอมพิวเตอร์พกพาทั้งหมด ไม่มีมัลแวร์ก่อนที่จะเชื่อมต่อกับบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศ ๒๒.๔.๒ ต้องเข้ารหัสข้อมูลที่ละเอียดอ่อนทั้งหมดของบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสรา้ งพ้ืนฐานสำคัญทางสารสนเทศบนสื่อบนั ทกึ ข้อมลู แบบถอดได้ ๒๒.๕ การสร้างความตระหนกั รดู้ ้านความมน่ั คงปลอดภยั ไซเบอร์ (Cybersecurity Awareness) ๒๒.๕.๑ ต้องให้ความสำคัญกับแผนงานในการสร้างตระหนักรู้ด้านความมั่นคงปลอดภัย ไซเบอร์ (Cybersecurity Awareness) สำหรับพนักงาน ผู้รับเหมา และผู้ให้บริการภายนอกบุคคลที่สาม ท่สี ามารถเข้าถงึ โครงสรา้ งพนื้ ฐานสำคัญทางสารสนเทศได้ ตอ้ งมีรายละเอียดอย่างน้อย ดังต่อไปนี้ (ก) กิจกรรมให้ความรู้แกบ่ ุคลากรทุกประเภท ได้แก่ - พนกั งานใหม่ (New Employees) - ผู้ใชแ้ ละระดบั บริหาร (Users and Management) - เจา้ หน้าท่ีสนับสนุนโครงสร้างพื้นฐานสำคัญทางสารสนเทศ เช่น ผู้ใหบ้ ริการ IT และ ICS และ - ผู้ขาย ผ้รู ับเหมาและผ้ใู หบ้ ริการ (Vendors, Contractors and Service Providers) (ข) การเผยแพร่ความรับผิดชอบของกลุ่มและบุคคลตามลำดับสำหรับการรักษา ความมั่นคงปลอดภัยไซเบอร์ของบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศ

- 13 - (ค) การตระหนักรูก้ ฎหมายความมั่นคงปลอดภัยไซเบอร์ กฎ ระเบียบ นโยบาย แนว ปฏิบัติ มาตรฐาน และขั้นตอนที่เกีย่ วข้องกบั การใช้งาน และการเข้าถึงโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และ (ง) การสื่อสารอย่างสม่ำเสมอและทันท่วงทีครอบคลุมเนื้อหาสำหรับการสร้าง ความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ และภัยคุกคามทางไซเบอร์ ผลกระทบ และการบรรเทา ผลกระทบ ๒๒.๕.๒ ต้องทบทวนแผนงานในการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ อย่างนอ้ ยปลี ะหนึ่ง (๑) คร้งั เพ่อื ใหแ้ นใ่ จว่าเนื้อหาของแผนงานยังคงเปน็ ปัจจุบันและมีรายละเอียดท่ีเกี่ยวข้อง เหมาะสม ๒๒.๖ การแบ่งปนั ขอ้ มูล (Information Sharing) ต้องกำหนดขั้นตอนเพื่อแบ่งปันข้อมูล เกี่ยวกับเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัย ไซเบอร์และภัยคุกคามทางไซเบอร์ในส่วนที่เกี่ยวกับโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และมาตรการ บรรเทาผลกระทบใด ๆ ที่ดำเนินการเพื่อตอบสนองต่อเหตุการณ์หรือภัยคุกคามดังกล่าวกับบุคคลที่ได้รับ ผลกระทบหรืออาจเกิดขึ้นได้ ได้รับผลกระทบจากเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์หรือภัย คุกคามด้านความมั่นคงปลอดภัยไซเบอร์ (เช่น ผู้ใช้ ผู้รับเหมาที่ให้บริการแก่บริการที่สำคัญหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และเจ้าของคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ท่ี จำเป็นต้องเชื่อมต่อกับบริการท่สี ำคญั หน่วยงานของรฐั และหนว่ ยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ) เพื่อใหส้ ามารถใช้มาตรการป้องกนั ท่ีจำเปน็ ได้ รายละเอียด แนวทางและรูปแบบในการแบ่งปันข้อมูล เพื่อความเป็นมาตรฐานในการ ปฏิบัติงานและสามารถใช้ข้อมูลได้อย่างมีประสิทธิภาพ ให้เป็นไปตามหลักเกณฑ์และวิธีการที่สำนักงาน ประกาศกำหนด ๒๓. หัวข้อหลักที่ ๓ มาตรการตรวจสอบและเฝา้ ระวังภยั คุกคามทางไซเบอร์ (Detect) กรอบมาตรฐาน ๒๓.๑ การตรวจสอบและเฝ้าระวงั ภยั คุกคามทางไซเบอร์ (Cyber Threat Detection and Monitoring) ๒๓.๑.๑ ตอ้ งสรา้ งกลไกและกระบวนการเพ่อื (ก) ตรวจจับเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ทั้งหมดที่เกี่ยวข้องกับ บรกิ ารท่ีสำคญั ของหน่วยงานของรฐั และหนว่ ยงานโครงสรา้ งพนื้ ฐานสำคัญทางสารสนเทศ (ข) การจัดประเภทและวิเคราะห์เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ ท่ีตรวจพบ และ (ค) การระบุว่ามีภัยคุกคามทางไซเบอร์หรือเหตุการณ์ที่เกี่ยวกับความมั่นคง ปลอดภัยไซเบอร์ที่เกี่ยวข้องกับบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศหรือไม่ ๒๓.๑.๒ ต้องดำเนินการทบทวนกลไกและกระบวนการภายในข้อ ๒๓.๑.๑ อย่างน้อย ปีละ ๑ (หน่ึง) ครั้ง เพอื่ ให้แน่ใจวา่ กลไกและกระบวนการตา่ ง ๆ ยงั คงมีประสทิ ธภิ าพ

- 14 - ๒๔. หวั ขอ้ หลักท่ี ๔ มาตรการเผชญิ เหตุเมือ่ มีการตรวจพบภัยคกุ คามทางไซเบอร์ (Respond) กรอบมาตรฐาน ๒๔.๑ แผนการรบั มอื ภัยคุกคามทางไซเบอร์ (Cybersecurity Incident Response Plan) ๒๔.๑.๑ ต้องมีการจัดทำ สื่อสาร ฝึกซ้อม ทบทวน และปรับปรุง แผนการรับมือภัยคุกคาม ทางไซเบอร์ ตามที่ระบุไว้ในประมวลแนวทางปฏิบัติการรักษาความมั่นคงปลอดภัยไซเบอร์ อย่างน้อย ปีละ ๑ (หนึ่ง) ครั้ง เพื่อให้แน่ใจว่าแผนการรับมือภัยคุกคามทางไซเบอร์สามารถดำเนินการได้อย่างมี ประสิทธิภาพและประสิทธิผล ๒๔.๒ แผนการสื่อสารในภาวะวกิ ฤต (Crisis Communication Plan) ๒๔.๒.๑ ตอ้ งจดั ทำแผนการสื่อสารในภาวะวิกฤตเพื่อตอบสนองต่อวิกฤตท่ีเกิดจากเหตุการณ์ ทเ่ี กย่ี วกับความมั่นคงปลอดภยั ไซเบอร์ ๒๔.๒.๒ ตอ้ งตรวจสอบให้แนใ่ จว่าแผนการส่ือสารในภาวะวิกฤต (ก) จัดตงั้ ทีมส่ือสารในภาวะวกิ ฤตเพือ่ เปิดใช้งานในชว่ งวกิ ฤต (ข) ระบุสถานการณ์จำลองเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ ท่เี ปน็ ไปไดแ้ ละแผนการดำเนนิ การที่เกี่ยวข้อง (ค) ระบุกลุ่มเป้าหมาย และผู้มีส่วนได้ส่วนเสียสำหรับสถานการณ์จำลองเหตุการณ์ ทเี่ ก่ียวกับความมั่นคงปลอดภยั ไซเบอร์แต่ละประเภท (ง) ระบุโฆษกหลักและผู้เชี่ยวชาญด้านเทคนิคที่จะเป็นตัวแทนขององค์กรเมื่อกล่าว แถลงกบั สื่อมวลชน และ (จ) ระบุแพลตฟอร์ม/ช่องทางการเผยแพร่ทเ่ี หมาะสม (เช่น ส่อื ดงั้ เดมิ และโซเชียลมีเดีย) สำหรบั การเผยแพร่ขอ้ มูล ๒๔.๒.๓ ต้องตรวจสอบให้แน่ใจว่าแผนการสื่อสารในภาวะวิกฤตรวมถึงการประสานงาน ระหว่างทกุ ฝ่ายทไ่ี ด้รบั ผลกระทบเพอ่ื ให้แนใ่ จวา่ มีการตอบสนองที่ประสานกันและสอดคลอ้ งกันในชว่ งวิกฤต ๒๔.๒.๔ ต้องดำเนินการฝึกซ้อมแผนการสื่อสารในภาวะวิกฤตอย่างน้อยปีละ ๑ (หนึ่ง) ครั้ง เพื่อให้แน่ใจว่าสามารถสื่อสารและเผยแพร่ข้อมูลได้อย่างทันท่วงทีและมีประสิทธิผลในช่วงวิกฤตอัน เน่อื งมาจากเหตุการณท์ เ่ี ก่ียวกับความม่นั คงปลอดภยั ไซเบอร์ ๒๔.๓ การฝึกซอ้ มความมน่ั คงปลอดภัยไซเบอร์ (Cybersecurity Exercise) ๒๔.๓.๑ ตามมาตรา ๒๒ วรรคหนึ่ง (๑๓) หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐาน สำคัญทางสารสนเทศต้องมีส่วนร่วมในการฝึกซ้อมรับมือกับภัยคุกคามทางไซเบอร์ หากได้รับคำส่ัง เป็นลายลักษณ์อักษรให้ทำโดยคณะกรรมการ การฝึกซ้อมการรักษาความมั่นคงปลอดภัยไซเบอร์ดังกล่าว อาจดำเนนิ การได้ ท้ังในระดบั ชาติหรือระดับภาคส่วน หน่วยงานของรฐั และหน่วยงานโครงสรา้ งพ้ืนฐานสำคัญ ทางสารสนเทศต้องตรวจสอบให้แน่ใจว่าบุคลากรที่เกี่ยวข้องที่ระบุไว้ในแผนการรับมือภัยคุกคามทางไซเบอร์ มสี ว่ นร่วมในการฝึกซอ้ มความมั่นคงปลอดภัยไซเบอรด์ ังกลา่ ว ๒๔.๓.๒ ตอ้ งปฏิบัตติ ามคำขอใด ๆ ของคณะกรรมการเพ่ือใหข้ ้อมูลทเ่ี กี่ยวข้องกับบริการที่สำคัญ หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ เพื่อวัตถุประสงค์ในการวางแผนและ ดำเนินการฝึกซ้อมรับมือกับภัยคุกคามทางไซเบอร์ ข้อมูลที่คณะกรรมการอาจร้องขอภายใต้ข้อนี้รวมถึง แผนการรับมือภัยคุกคามทางไซเบอร์และแผนการสื่อสารในภาวะวิกฤตที่กำหนดขึ้นตามข้อ ๒๔.๑ และข้อ ๒๔.๒ ขั้นตอนการปฏิบัติงานมาตรฐานที่เกี่ยวข้องกับการดำเนินงานของบริการที่สำคัญ ของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพนื้ ฐานสำคัญทางสารสนเทศ

- 15 - ๒๕. หัวขอ้ หลักที่ ๕ มาตรการรกั ษาและฟ้นื ฟูความเสียหายท่ีเกิดจากภัยคกุ คามทางไซเบอร์ (Recover) กรอบมาตรฐาน ๒๕.๑ การรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์ (Cybersecurity Resilience and Recovery) ๒๕.๑.๑ ต้องจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan : BCP) เพื่อให้แน่ใจว่าบริการที่สำคัญของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ สามารถให้บริการที่จำเป็นต่อไปได้ในกรณีที่เกิดการหยุดชะงักเนื่องจากเหตุการณ์ที่เกี่ยวกับความมั่นคง ปลอดภัยไซเบอร์ เพื่อให้สามารถใช้ปฏิบัติงานได้จริง รวมถึงสอบทานแผนของผู้ให้บริการภายนอก เพื่อพิจารณาความสอดคล้องกับแผนของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญ ทางสารสนเทศ เช่น ความสอดคล้องกันของขอบเขตคำนิยามและการกำหนดระยะเวลาที่สำคัญ : Maximum Tolerable Period of Disruption (MTPD), Recovery Time Objective (RTO) แ ล ะ Recovery Point Objective (RPO) เปน็ ต้น การจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan : BCP) ให้เป็นไป ตามหลักเกณฑแ์ ละวธิ กี ารทส่ี ำนกั งานประกาศกำหนด ๒๕.๑.๒ ต้องตรวจสอบให้แน่ใจว่ามีการฝึกซ้อม BCP อยา่ งนอ้ ยปีละ ๑ (หน่งึ ) ครั้งเพื่อประเมิน ประสิทธภิ าพของ BCP ตอ่ ภยั คกุ คามทางไซเบอรแ์ ละเหตกุ ารณ์ทเ่ี กย่ี วกับความม่ันคงปลอดภัยไซเบอร์ --------------------------------------