เมื่อปี 2559 ที่ผ่านมาได้มี ราชกิจจานุเบกษา ประกาศของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง รายชื่อหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสำคัญของประเทศซึ่งต้องกระทำตามวิธีการแบบปลอดภัยในระดับเคร่งครัด โดยมีการอ้างตามความในมาตรา 6 วรรคสอง แห่ง พระราชกฤษฏีกาว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 โดยได้มีการบังคับหลังจาก 360 วันหลังการประกาศฯ นั่นคือเริ่มมีผลตั้งแต่ประมาณหลังวันที่ 28 ก.ค. 2560 ที่ผ่านมา
เป็นที่น่าสงสัยว่าผู้บริหารหรือบุคลากรของมหาวิทยาลัยดังกล่าวมีใครเคยรู้เรื่องนี้บ้าง ซึ่งถ้าอ้างตามประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 ที่ได้ออกมาก่อนหน้านี้ ได้มีการกำหนดให้หน่วยงานปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ระดับกลาง หรือระดับพื้นฐาน บังคับใช้ 360 วันหลังประกาศ นั่นคือ ประมาณวันที่ 13 พ.ย. 2556 ที่ผ่านมา
โดยเนื้อหาการปฏิบัติตามกฎหมายดังกล่าวนั้นได้มีการออก บัญชีแนบท้ายประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 ตามมา โดยหลักการแล้วก็ได้มีการอ้างอิงตามหลักการพื้นฐานทางด้าน Cyber Security ซึ่งคาดว่าน่าจะถอดแบบออกมาจากมาตรฐานหลักด้าน Cyber Security กันมาทีเดียวเลยนั่นคือมาตรฐาน ISO27001 และกรอบการดำเนินการ NIST นั่นเอง นั่นคือยึดเอาหลักการของ CIA นั่นคือ การรักษาความลับ (Confidentiality) การรักษาความครบถ้วนถูกต้อง(Integrity) และการรักษาสภาพพร้อมใช้งาน (Availability) ของระบบสารสนเทศ โดยได้แบ่งหัวข้อย่อยเป็น 11 หัวข้อ ดังนี้
1. การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ
2. การจัดโครงสร้างด้านความมั่นคงปลอดภัย
3. การบริหารจัดการทรัพย์สิน
4. การสร้างความมั่นคงปลอดภัยด้านบุคลากร
5. การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
6. การบริหารจัดการด้านการสื่อสาร ระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์และระบบสารสนเทศ
7. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์
8. การจัดหาหรือจัดให้มีการพัฒนา และการบำรุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ
9. การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์ หรือไม่อาจคาดคิด
10. การบริหารจัดการด้านการบริการหรือหารดำเนินงานของหน่วยงานเพื่อให้มีความต่อเนื่อง
11. การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือกระบวนการใดๆ รวมทั้งข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ
ดังนั้นสถาบันการศึกษาและแม้แต่หน่วยงานอื่นๆ ที่มีรายชื่อดังกล่าวควรตระหนักถึงความสำคัญของการดำเนินการด้านการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศเป็นอย่างยิ่ง และควรดำเนินการตามมาตรฐานสากลไม่ว่าจะเป็น ISO27001(Information Security Management System) หรือกรอบการดำเนินการเพื่อให้เกิดความมั่นคงปลอดภัย NIST(National Institute of Standards and Technology) เป็นพื้นฐานของ cybersecurity ภายในองค์กรและให้ปฏิบัติได้จริงไม่ได้เป็นเพียงแค่เสือกระดาษเท่านั้น
ผู้แต่ง : นายโอภาส หมื่นแสน วิศวกร สำนักบริการเทคโนโลยีสารสนเทศ มหาวิทยาลัยเชียงใหม่