การรักษาความมั่นคงปลอดภัยไซเบอร์
ของสถาบันวัคซีนแห่งชาติ
นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับหน่วยงานรัฐ และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
ปัจจุบันภาครัฐให้ความสำคัญกับความเสี่ยงทางด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ ไม่ว่าจะเป็นอุปสรรคที่เกิดจากการจู่โจมทางระบบเทคโนโลยีสารสนเทศจากภายนอก หรือการรั่วไหลของข้อมูลส่วนบุคคลและข้อมูลภายในหน่วยงานของรัฐ ความเสี่ยงดังกล่าวสามารถส่งผลกระทบต่อการดำเนินงาน และความปลอดภัยทางข้อมูลส่วนบุคคลของผู้ที่มีส่วนเกี่ยวข้องทั้งภายใน และภายนอกหน่วยงาน ดังนั้น สถาบันวัคซีนแห่งชาติ (สวช.) จึงมุ่งพัฒนาระบบเพื่อสร้างเกราะกำบังทางระบบสารสนเทศผ่านโครงสร้างการกำกับดูแลที่มั่นคง การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล การจัดอบรมเพื่อสร้างความมั่นใจ และความรู้ความเข้าใจให้แก่บุคลากรทุกคน
เป้าหมาย
1. ไม่มีผู้ตกเป็นเหยื่อในการโจมตี หรือการทดสอบการโจมตี หลังจากผ่านการอบรมความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity)
2. ลดระยะเวลาในการตรวจจับการโจมตีให้ได้เร็วที่สุด
การกำกับดูแลความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Governance)
สถาบันวัคซีนแห่งชาติ (สวช.) ได้กำกับและบริหารระบบความมั่นคงปลอดภัยด้านสารสนเทศ และกรอบความมั่นคงปลอดภัยด้านไซเบอร์เพื่อกำหนดทิศทางการทำงานให้ชัดเจนและสร้างความโปร่งใสแก่การบริหารงานเชิงนโยบายตลอดจนระดับปฏิบัติการ โดยสามารถแบ่งลำดับขั้นการบริหารได้ทั้งหมด 3 ขั้น อันประกอบด้วย
(1) ระดับกำกับดูแล: กำกับ ดูแล บริหารการดำเนินงาน และกำหนดทิศทางกลยุทธ์และเป้าหมาย
(2) ระดับบริหารจัดการ: จัดการข้อมูลสารสนเทศตามมาตรฐาน และติดตามตรววจสอบความถูกต้องและแม่นยำ
(3) ระดับปฏิบัติการ: กำหนดระบบ วิธีปฏิบัติ และบริการ ให้แก่ผู้ใช้งานปฎิบัติตาม และ ประเมินการติดตามผลงานและรายงานความเสี่ยงต่อคณะกรรมการบริหารความเสี่ยงระดับองค์กร
แนวทางและกระบวนการบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศและไซเบอร์ (Cybersecurity Framework)
1. ทบทวนนโยบายความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างต่อเนื่อง
2. ซ้อมแผนรับมือภัยคุกคามจากการโจมตีด้านไซเบอร์และแผนการกู้คืนระบบสารสนเทศในหน่วยงาน และประเมินประสิทธิภาพของแผนการดำเนินงานด้านความมั่นคงปลอดภัยทางเทคโนโลยีสารสนเทศอย่างสม่ำเสมอ
3. จัดตั้งคณะทำงานที่มีหน้าที่ในการกำหนดแผนและขั้นตอนการดำเนินงาน รวมถึงการประเมินผลการดำเนินงานของหน่วยงานให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
4. สร้างความตระหนักรู้และเตรียมความพร้อมด้านความปลอดภัยไซเบอร์ให้บุคลากรภายในหน่วยงานอย่างต่อเนื่อง โดยการจัดการอบรมเกี่ยวกับความเสี่ยงจากการโจมตีทางไซเบอร์ การรั่วไหลของข้อมูลสารสนเทศ และความรู้ด้าน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล
ประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
- แผนการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์
- การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
- แผนการรับมือภัยคุกคามทางไซเบอร์
กรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
- กรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
ธรรมาภิบาลข้อมูลภาครัฐ
ข้อมูลจัดเป็นทรัพย์สินที่สำคัญในการดำเนินงานของหน่วยงาน ภาครัฐจึงได้ให้ความสำคัญกับการนำข้อมูลมาใช้สนับสนุนการขับเคลื่อนนโยบายเศรษฐกิจและสังคมดิจิทัลให้กับทุกภาคส่วน แต่ในปัจจุบันหน่วยงานภาครัฐยังประสบกับปัญหาและอุปสรรคในการดำเนินงานในด้านต่าง ๆ ที่เกี่ยวข้องกับข้อมูล ซึ่งเป็นประเด็นปัญหาเชิงนโยบายและปฏิบัติ ทั้งในเรื่องความซ้ำซ้อนของข้อมูลความมั่นคงปลอดภัยของข้อมูล (เช่น การรักษาความลับ การเข้าถึงข้อมูล การรักษาความเป็นส่วนบุคคล) คุณภาพของข้อมูล (เช่น ความถูกต้อง ความครบถ้วน ความเป็นปัจจุบัน) การเปิดเผยข้อมูล (เช่น หน่วยงานเจ้าของข้อมูลไม่อนุญาตให้เข้าถึงข้อมูล กระบวนการขอใช้ข้อมูลซับซ้อนและใช้เวลานาน ข้อมูลไม่อยู่ในรูปแบบที่ใช้งานต่อได้ง่าย) และยังไม่มีการนำข้อมูลไปใช้ประโยชน์อย่างเป็นรูปธรรม ประเด็นปัญหาและอุปสรรคเหล่านี้อาจเป็นผลมาจากการบริหารจัดการข้อมูลที่ไม่ครอบคลุมและไม่ชัดเจนของหน่วยงาน ดังนั้นจึงจำเป็นต้องให้หน่วยงานภาครัฐมีมาตรการและแนวปฏิบัติในธรรมาภิบาลข้อมูลและบริหารจัดการข้อมูลที่มีประสิทธิภาพและประสิทธิผล
เพื่อให้การได้มาและการนำไปใช้ข้อมูลของหน่วยงานภาครัฐถูกต้อง ครบถ้วน เป็นปัจจุบัน มั่นคงปลอดภัย รักษาความเป็นส่วนบุคคล และสามารถเชื่อมโยงกันได้อย่างมีประสิทธิภาพและมั่นคงปลอดภัยได้จริง ธรรมาภิบาลข้อมูลภาครัฐ (Data Governance for Government) จึงถูกจัดทำขึ้น เพื่อกำหนดสิทธิ หน้าที่ และความรับผิดชอบของผู้มีส่วนได้เสียในการบริหารจัดการข้อมูล โดยประกอบด้วย สภาพแวดล้อมของธรรมาภิบาลข้อมูล กฎเกณฑ์หรือนโยบายที่เกี่ยวข้องกับการดำเนินงานกับข้อมูล บทบาทและความรับผิดชอบในธรรมาภิบาลข้อมูลภาครัฐ กระบวนการธรรมาภิบาลข้อมูลภาครัฐ และการวัดการดำเนินการและความสำเร็จของธรรมาภิบาลข้อมูลภาครัฐ กล่าวคือ บุคคลที่ได้รับบทบาทในธรรมาภิบาลข้อมูลภาครัฐ จะมีหน้าที่ในการกำหนดขอบเขต กฎเกณฑ์ และนโยบายข้อมูลที่ใช้ในกระบวนการธรรมาภิบาลข้อมูลภาครัฐ เพื่อควบคุมและตรวจสอบการดำเนินงานที่เกี่ยวข้องกับข้อมูล ตั้งแต่การสร้าง การจัดเก็บ การประมวลผล การใช้ การเผยแพร่จนถึงการทำลาย โดยกฎเกณฑ์และนโยบายข้อมูลต้องสอดคล้องกับสภาพแวดล้อมและวัฒนธรรมองค์กรของแต่ละหน่วยงาน การวัดผลการดำเนินการช่วยให้เห็นระดับการดำเนินการของธรรมาภิบาลข้อมูลภาครัฐ ซึ่งส่งผลต่อความสำเร็จของการดำเนินการหรือคุณภาพของข้อมูล
