ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานการกำหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ ให้แก่ข้อมูลหรือระบบสารสนเทศ พ.ศ.2566
คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้มีประกาศ เรื่อง มาตรฐานการกำหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ ให้แก่ข้อมูลหรือระบบสารสนเทศ พ.ศ.2566 ประกาศ ณ วันที่ 18 ธันวาคม 2566 ประกาศในราชกิจจานุเบกษา 18 มกราคม 2567 มีผลบังคับเมื่อพ้นกำหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป
การประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล PDPA (Risk Management)
ข้อ ๗ การประเมินและจัดระดับผลกระทบที่อาจเกิดขึ้นสำหรับการพิจารณาวัตถุประสงค์ในการรักษาความลับตามข้อ ๔ (๑) ให้มีเกณฑ์การประเมินและจัดระดับ ดังต่อไปนี้
(๑) ในกรณีที่การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลกระทบต่อการดำเนินงาน ทรัพย์สิน หรือชื่อเสียงของหน่วยงานหรือบุคคลเพียงเล็กน้อยหรืออย่างจำกัดให้จัดเป็นผลกระทบระดับต่ำ
(๒) ในกรณีที่การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลกระทบต่อการดำเนินงาน ทรัพย์สิน หรือชื่อเสียงของหน่วยงานหรือบุคคลอย่างร้ายแรง ให้จัดเป็นผลกระทบระดับกลาง
(๓) ในกรณีที่การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลกระทบ ต่อการดำเนินงาน ทรัพย์สิน หรือชื่อเสียงของหน่วยงานหรือบุคคลอย่างร้ายแรงมากให้จัดเป็นผลกระทบระดับสูง
ในกรณีที่การดำเนินการของหน่วยงานอาจเปิดเผยข้อมูลที่ถูกกำหนดชั้นความลับตามระเบียบ ว่าด้วยการรักษาความลับของทางราชการและระเบียบสำนักนายกรัฐมนตรีว่าด้วยการรักษาความปลอดภัยแห่งชาติ ให้มีเกณฑ์การประเมินและจัดระดับ ตังต่อไปนี้
(๑) กรณีที่อาจเปิดเผยข้อมูลลับที่ถูกกำหนดชั้นความลับเป็นชั้นลับ ให้จัดเป็นผลกระทบระดับต่ำเป็นอย่างน้อย
(๒) กรณีที่อาจเปิดเผยข้อมูลลับที่ถูกกำหนดชั้นความลับเป็นชั้นลับมาก ให้จัดเป็นผลกระทบระดับกลางเป็นอย่างน้อย
(๓) กรณีที่อาจเปิดเผยข้อมูลลับที่ถูกกำหนดชั้นความลับเป็นชั้นลับที่สุด ให้จัดเป็นผลกระทบระดับสูง
ข้อ ๘ การประเมินและจัดระดับผลกระทบที่อาจเกิดขึ้นสำหรับการพิจารณาวัตถุประสงค์ในการรักษาความถูกต้องครบถ้วนตามข้อ ๔ (๒) ให้มีเกณฑ์การประเมินและจัดระดับ ดังต่อไปนี้
(๑) ในกรณีที่การแก้ไขหรือทำลายข้อมูลโดยไม่ได้รับอนุญาตอาจส่งผลกระทบต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลเพียงเล็กน้อยหรืออย่างจำกัด ให้จัดเป็นผลกระทบระดับต่ำ
(๒) ในกรณีที่การแก้ไขหรือทำลายข้อมูลโดยไม่ได้รับอนุญาตอาจส่งผลกระทบต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลอย่างร้ายแรง ให้จัดเป็นผลกระทบระดับกลาง
(๓)ในกรณีที่การแก้ไขหรือทำลายข้อมูลโดยไม่ได้รับอนุญาตอาจส่งผลกระทบต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลอย่างร้ายแรงมาก ให้จัดเป็นผลกระทบระดับสูง
ข้อ ๙ การประเมินและจัดระดับผลกระทบที่อาจเกิดขึ้นสำหรับการพิจารณาวัตถุประสงค์ในการรักษาสภาพพร้อมใช้งานตามข้อ ๔ (๓) ให้มีเกณฑ์การประเมินและจัดระดับ ดังต่อไปนี้
(๑) ในกรณีที่หน่วยงานไม่สามารถเข้าถึงและใช้งานข้อมูลหรือระบบสารสนเทศได้ อาจส่งผลกระทบ ต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลเพียงเล็กน้อยหรืออย่างจำกัด ให้จัดเป็นผลกระทบระดับต่ำ
(๒) ในกรณีที่หน่วยงานไม่สามารถเข้าถึงและใช้งานข้อมูลหรือระบบสารสนเทศได้ อาจส่งผลกระทบ ต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลอย่างร้ายแรง ให้จัดเป็นผลกระทบระดับกลาง
(๓) ในกรณีที่หน่วยงานไม่สามารถเข้าถึงและใช้งานข้อมูลหรือระบบสารสนเทศได้ อาจส่งผลกระทบ ต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลอย่างร้ายแรงมาก ให้จัดเป็นผลกระทับระดับสูง
อ่านประกาศฉบับเต็มได้ที่ :https://7708df42-dd70-4b38-823a-ca2f629f7f5d.usrfiles.com/ugd/7708df_e8f2bedc291d43538a5f082c76fa0258.pdf
Commenti