Q&A - Thailand Computer Emergency Response Team (ThaiCERT)

ถาม : ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ มีผลบังคับใช้กับหน่วยงานใดบ้าง ?

ตอบ : ใช้กับหน่วยงานของรัฐ (ประกอบด้วย ราชการส่วนกลาง ราชการส่วนภูมิภาค ราชการส่วนท้องถิ่นรัฐวิสาหกิจ องค์กรฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กรอิสระ องค์การมหาชน และหน่วยงานอื่นของรัฐ) หน่วยงานควบคุมหรือกำกับดูแล (ปัจจุบันมี 19 หน่วยงาน) และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (ปัจจุบันมี 54 หน่วยงาน)

ถาม : ทำไมถึงไม่มีการประกาศรายชื่อหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ลงในเว็บไซต์ NCSA ?

ตอบ : สกมช. ได้รับข้อเสนอแนะจากหน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ว่าการประกาศรายชื่อหน่วยงานลงในเว็บไซต์จะถือว่าเป็นความเสี่ยงที่ผู้ไม่หวังดีอาจใช้รายชื่อหน่วยงานดังกล่าวเป็นเป้าหมายในการโจมตีได้ง่ายขึ้น

ถาม : หน่วยงานของรัฐ ที่มิได้ถูกประกาศเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศจะต้องปฏิบัติตามประมวลแนวทางปฏิบัติและกรอบมาตรฐาน ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์หรือไม่ อย่างไรบ้าง ?

ตอบ : หน่วยงานของรัฐ ทั้งที่เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ และมิได้เป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ จะต้องปฏิบัติตามประมวลแนวทางปฏิบัติและกรอบมาตรฐาน (ตามมาตรา 45 แห่ง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562)

ถาม : ตัวอย่างการประเมินการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์มีหรือไม่ ?

ตอบ : (ร่าง) แบบประเมินสถานภาพการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานควบคุมหรือกำกับดูแล

ตอบ : (ร่าง) แบบประเมินสถานภาพการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ

ถาม : NCERT มีแผนรับมือด้านความมั่นคงปลอดภัยไซเบอร์ อย่างไร ?

ตอบ : (ร่าง) แผนรับมือเหตุการณ์ทางไซเบอร์

ถาม : สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีการสนับสนุน ด้านอัตรากำลัง งบประมาณ หรือค่าตอบแทน สำหรับบุคลากรที่เกี่ยวข้องเพิ่มเติมหรือไม่ ?

ตอบ : สกมช. มีแผนงานโครงการสนับสนุนด้านการพัฒนาบุคลากรให้กับหน่วยงานที่เกี่ยวข้อง เช่น NCSA Cyber Clinic, การอบรมหลักสูตร Lead Auditor/Lead Implementor, Thailand National Cyber Academy, National Cyber Exercise

สามารถศึกษาเพิ่มเติมได้ที่

     • NCSA Cyber Clinic
     • Thailand National Cyber Academy
     • National Cyber Exercise

ถาม : การจัดตั้ง Sectoral CERT แต่ไม่สามารถปฏิบัติตามหน้าที่ที่กำหนดตามกฎหมายได้จะถูกดำเนินคดีหรือไม่ ?

ตอบ : ตามมาตรา 50 แห่ง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงกฎหมายลำดับรองที่เกี่ยวข้อง มิได้กำหนดบทลงโทษกรณีหน่วยงานไม่ปฏิบัติตาม

ถาม : ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ มีหน้าที่อะไร ?

ตอบ : ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง การจัดตั้ง หน้าที่และอำนาจของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ พ.ศ.๒๕๖๔

ถาม : หน่วยงานต่าง ๆ จะทราบได้อย่างไรว่าเป็นหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ?

ตอบ : หน่วยงานต่าง ๆ จะทราบได้จาก หน่วยงานควบคุมหรือกำกับดูแล ตามมาตรา 49 แห่ง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

สามารถศึกษาเพิ่มเติมได้ที่

• หน่วยงานควบคุมหรือกำกับดูแล ตามมาตรา 49 แห่ง พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

ถาม : หากหน่วยงานถูกโจมตีทางไซเบอร์ จะสามารถติดต่อได้ทางไหน ?

ตอบ : โทร 02-1143531 หรือ E-mail : Ncert@ncsa.or.th