กฎหมาย และประกาศที่เกี่ยวข้องกับความมั่นคงปลอดภัยไซเบอร์

กฎหมาย

• พระราชบัญญัติว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 (ฉบับแก้ไขเพิ่มเติม)
• พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 (ฉบับแก้ไขเพิ่มเติม)
• พระราชบัญญัติการบริหารงานและการให้บริการภาครัฐผ่านระบบดิจิทัล พ.ศ. 2562
• พระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
• พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
• ฯลฯ

ธนาคารแห่งประเทศไทย

• ประกาศธนาคารแห่งประเทศไทย ที่ สนส. 21/2562 เรื่อง หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) ของสถาบันการเงิน
• แนวปฏิบัติในการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT Risk Implementation Guideline)
• แนวปฏิบัติการบริหารจัดการความเสี่ยงจากบุคคลภายนอก (Third Party Risk Management Implementation Guideline)
• กรอบการประเมินความพร้อมด้าน Cyber Resilience
• แนวปฏิบัติการทดสอบเจาะระบบแบบ Intelligence-led (iPentest)
• แนวนโยบาย เรื่องการรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ (Guiding Principles for Mobile Banking Security)

คณะกรรมกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.)

• ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย เรื่อง หลักเกณฑ์การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563
• แนวปฏิบัติ เรื่อง การกำกับดูแลและบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563
• แนวปฏิบัติเรื่อง หลักเกณฑ์การกำกับดูแลการใช้บริการจากผู้ให้บริการภายนอกด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวิต / ประกันวินาศภัย พ.ศ. 2563

คณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.)

• ประกาศสำนักงานคณะกรรมการ ก.ล.ต. ที่ สธ. 38/2565
• กรอบการประเมินความพร้อมด้าน cyber resilience (CRAF)
• คู่มือแนวทางปฏิบัติการกำกับดูแลและบริหารจัดการเทคโนโลยีระดับองค์กรที่ดี (IT governance)
• คู่มือแนวทางปฏิบัติการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ (IT risk management)
• คู่มือแนวทางปฏิบัติการบริหารจัดการการใช้บริการ cloud computing

ISO add Climate Change Consideration in Management System Standard - ประเด็นการเปลี่ยนแปลงสภาพภูมิอากาศที่ถูกเพิ่มในมาตรฐานระบบการจัดการโดยองค์กรมาตรฐานนานาชาติ

ในช่วงเดือนกุมภาพันธ์ที่ผ่านมาได้มีการเปลี่ยนแปลงของมาตรฐานระดับนานาชาติเกี่ยกับประเด็นการเปลี่ยนแปลงสภาพอากาศที่ถูกเพิ่มในมาตรฐานระบบการจัดการ ซึ่งองค์กรมาตรฐานนานาชาติ (ISO) ได้มีการปรับเพิ่มข้อกำหนดนี้ในมาตรฐานกว่า 30 ฉบับ

โดยประเด็นที่ถูกเพิ่มเข้ามาคือ การกำหนดให้การเปลี่ยนเเปลงสภาพภูมิอากาศ (Climate Change) เป็นประเด็นที่องค์กรที่มีการดำเนินการตามมาตรฐานดังกล่าวจะต้องนำมาพิจารณาตามข้อกำหนดที่ 4.1 และ 4.2 

โดยสิ่งที่องค์กรควรพิจารณาตาม 4.1 คือ 1) การเปลี่ยนเเปลงสภาพภูมิอากาศ มีประเด็นไดบ้างที่อาจส่งผลกระทบต่อ ผลิตภันฑ์ หรือบริการขององค์กร และ 2) ในการผลิตผลิตภันฑ์ หรือบริการขององค์กร ส่งผลต่อการเปลี่ยนแปลงสภาพภูมิอากาศอย่างไรบ้าง

และสิ่งที่องค์กรควรพิจารณาตาม 4.2 คือ ผู้มีเส่วนได้เสียมีความคาดหวัง หรือข้อกำหนดอะไรที่เกี่ยวข้องกับการเปลี่ยนแปลงสภาพภูมิอากาศหรือไม่ อย่างไร เช่น Net Zero Policy เป็นต้น 

---

อ่านเพิ่มเติม

• Joint_ISO-IAF_Communique_re_Climate_Change_Amds_to_ISO_MSS_Feb_2024_Final.pdf

BCM ไม่เท่ากับ BCP !!!

BCM ไม่เท่ากับ BCP ... สองคำนี้มักมีคนใช้แทนกันโดยที่ไม่เข้าใจความหมายที่แท้จริง

มาดูนิยามของคำทั้งสองคำนี้กัน อ้างอิงตาม มอก.22301

การบริหารความต่อเนื่องทางธุรกิจ (Business continuity management: BCM) หมายถึง กระบวนการบริหารแบบองค์รวมซึ่งบ่งชี้ภัยคุกคามที่อาจเกิดขึ้นต่อองค์กร และผลกระทบของภัยคุกคามนั้นต่อกำดำเนินธุรกิจ และให้แนวทางในการสร้างขีดความสามารถให้องค์กรมีความยืดหยุ่น เพื่อการตอบสนองและปกป้องผลประโยชน์ของผู้มีส่วนได้เสียหลัก ชื่อเสียง ภาพลักษณ์ และกิจกรรมที่สร้างมูลค่าที่มีประสิทธิผล

แผนความต่อเนื่องทางธุรกิจ (Business continuity plan: BCP) หมายถึง เอกสารขั้นตอนการดำเนินการ และข้อมูลสำคัญ เพื่อใช้เป็นแนวทางการดำเนินการเพื่อให้สามารถดำเนินการใด้ในระดับที่กำหนดภายหลังการเกิดอุบัติการณ์ที่ทำให้เกิดการหยุดชะงัก

BCM เป็นการจัดการเพื่อให้เกิดความต่อเนื่องในการดำเนินธุรกิจ ซึ่งประกอบด้วยขั้นตอนการจัดการหลาย ๆ ขั้นตอนไม่ว่าจะเป็น การประเมินความเสี่ยงต่อการหยุดชะงักขององค์กร, การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis: BIA), การวิเคราะห์ความเสี่ยงของการหยุดชะงักของระบบงานสำคัญ, การกำหนดกลยุทธ์ในการจัดการความเสี่ยงต่อการหยุดชะงักของระบบงานสำคัญ, การจัดทำแผนความต่อเนื่องทางธุรกิจ (Business continuity plan: BCP), การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

จะเห็นได้ว่า BCP เป็นส่วนหนึ่งของ BCM ไม่ใช่ทั้งหมด 

---

• มอก.22301 https://www.isosmartpro.com/private_folder/law9-56-1/150956-2070.pdf

ทะเบียนกฎหมาย vs การดำเนินการตามกฎหมาย

การมีทะเบียนกฎหมาย ไม่เท่ากับว่าองค์กรได้ดำเนินการตามกฎหมาย สองอย่างนี้ต่างกัน การมีทะเบียนกฎหมายเพื่อให้ทราบว่ามีกฎหมายอะไรที่เกี่ยวข้องกับองค์กรบ้าง ครอบคลุมหรือไม่ ส่วนการดำเนินการตามกฎหมายองค์กรจะต้องเช็คในแต่ละข้อกำหนดของกฎหมาย กฎระเบียบนั้นๆ และการจัดการขององค์กรในปัจจุบันว่าสอดคล้องตามข้อกำหนดหรือไม่ ถ้าไม่สอดคล้องจะมีแผนในการดำเนินการอย่างไร?

ดังนั้นสิ่งที่องค์กรควรต้องทำไม่ใช่แค่อย่างได้อย่างหนึ่ง แต่ต้องทำทั้งสองอย่าง คือ

1. จัดทำทะเบียนกฏหมาย
2. ประเมินความสอดคล้องในการดำเนินการตามกฏหมาย

POOR Management?

ระบบการจัดการที่ดี ไม่ว่ายูสเซอร์จะเป็นใคร จากใหน อะไร ยังไง ... ผลลัพธ์ที่ได้ถึงจะไม่เหมือนกันเป๊ะ แต่ก็ออกมาอยู่ในรูปแบบที่คาดหวังได้ว่ามันจะเหมือนกัน 

แต่เมื่อใหร่ที่ระบบการจัดการแย่ ... ผลของงานนั้นก็ขึ้นอยู่กับยูสเซอร์แต่ละคน 

แล้วควระเริ่มปรับที่ใคร ยูสเซอร์ หรือระบบ ???

Micromanagement - บอสเจ้าระเบียบ?

https://copilot.microsoft.com/...

Micromanagement เป็น สไตล์การจัดการที่ผู้จัดการควบคุมดูแลงานของพนักงานอย่างใกล้ชิด แทรกแซงทุกขั้นตอน กำหนดวิธีการทำงานที่ละเอียด ตรวจสอบผลงานอย่างเข้มงวด โดยทั่วไปมักไม่ไว้ใจให้พนักงานตัดสินใจเอง

ข้อดีของ Micromanagement:

• งานเสร็จตามความคาดหวัง: การควบคุมอย่างใกล้ชิด ช่วยให้มั่นใจว่างานจะเสร็จตามกำหนดเวลา ตรงตามมาตรฐาน และเป็นไปตามเป้าหมายที่วางไว้
• เหมาะกับงานที่มีความละเอียดอ่อน: งานบางประเภท มีความเสี่ยงสูง หรือต้องการความแม่นยำสูง การควบคุมอย่างใกล้ชิดจึงเป็นสิ่งจำเป็น
• เหมาะกับพนักงานใหม่: พนักงานใหม่ อาจยังไม่มีประสบการณ์ หรือความรู้เพียงพอ การควบคุมอย่างใกล้ชิด ช่วยให้พวกเขาเรียนรู้วิธีการทำงานได้อย่างถูกต้อง

ข้อเสียของ Micromanagement:

• ทำลายขวัญกำลังใจ: พนักงานอาจรู้สึกถูกควบคุม ไม่ไว้วางใจ สูญเสียอิสระ และความคิดสร้างสรรค์ ส่งผลต่อความพึงพอใจในงาน และอาจลาออกจากองค์กร
• ทำลายความคิดสร้างสรรค์: การควบคุมอย่างใกล้ชิด จำกัดความสามารถของพนักงานในการคิด การตัดสินใจ การแก้ปัญหา และเรียนรู้ ส่งผลให้พนักงานไม่มีอิสระในการคิดริเริ่ม คิดนอกกรอบ หรือลองผิดลองถูก ซึ่งจะส่งผลกระทบต่อประสิทธิภาพของงานในอนาคต
• สร้างคอขวดในการตัดสินใจ: การรวมอำนาจตัดสินใจไว้ที่ผู้จัดการเพียงคนเดียว ทำให้กระบวนการทำงานช้าลง เกิดคอขวด และขาดความคล่องตัว
• เพิ่มอัตราการลาออก: พนักงานที่มีความสามารถอาจลาออกเพื่อหางานที่ให้ความอิสระมากกว่าโดยการลาออกของพนักงาน ส่งผลให้เกิดต้นทุนในการสรรหา ฝึกอบรม และ onboarding พนักงานใหม่
• ทำลายวัฒนธรรมองค์กร: Micromanagement ส่งผลต่อวัฒนธรรมองค์กร สร้างบรรยากาศแห่งความไม่ไว้วางใจ พนักงานไม่กล้าเสี่ยง ไม่กล้าแสดงความคิดเห็น และไม่กล้าตัดสินใจ และยังเป็นการสร้างวัฒนธรรมแห่งการไม่ไว้วางใจ การไม่พึ่งพา และความกลัว ส่งผลต่อความสัมพันธ์ระหว่างพนักงานและผู้จัดการ

Micromanagement อาจมีข้อดีในบางสถานการณ์ แต่โดยรวมแล้ว มีข้อเสียมากกว่าข้อดี ผู้จัดการควรใช้วิธีการอื่น เช่น การมอบอำนาจให้พนักงาน การสร้างวัฒนธรรมแห่งความไว้วางใจ การส่งเสริมความคิดสร้างสรรค์ และการสนับสนุนให้พนักงานเรียนรู้ พัฒนา และตัดสินใจเอง เพื่อผลลัพธ์ที่ดีต่อองค์กรในระยะยาว

---

ข้อมูลอ้างอิง

• บทความ: 5 เหตุผล Micromanagement ทำองค์กรพัง: https://www.brightsidepeople.com/5-%E0%B9%80%E0%B8%AB%E0%B8%95%E0%B8%B8%E0%B8%9C%E0%B8%A5-micromanagement...

เบอร์โทรศัพท์เป็นข้อมูลส่วนบุคคลหรือไม่?

https://copilot.microsoft.com/images/...

ก่อนอื่น ต้องเข้าใจก่อนว่า ข้อมูลส่วนบุคคล คืออะไร?

พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 มาตรา 6 ได้ให้นิยามของ ข้อมูลส่วนบุคคลไว้ว่า

“ข้อมูลส่วนบุคคล” หมายความว่า ข้อมูลเกี่ยวกับบุคคลซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม แต่ไม่รวมถึงข้อมูลของผู้ถึงแก่กรรมโดยเฉพาะ

 

ดังนั้น เมื่อจะพิจารณาว่าเบอร์โทรศัพท์เป็นข้อมูลส่วนบุคคลหรือไม่? ต้องพิจารณาว่า เบอร์โทรศัพท์ทำให้สามารถระบุตัวบุคคลได้หรือไม่? ไม่ว่าจะเป็นทางตรงหรือทางอ้อม .... 

คำตอบคือ ... เป็นไปได้ทั้งสองแบบ

เพราะ?

• ข้อมูลเบอร์โทรศัพท์ที่เมื่อเชื่อมโยงกับข้อมูลอื่น ๆ เช่น Prompt pay, True wallet, บัญชีธนาคาร หรืออื่น ๆ แล้วทำให้สามารถระบุตัวบุคคลได้ ก็หมายความว่ามันเป็น "ข้อมูลส่วนบุคคล"
• แต่ในกรณีที่เบอร์โทรนั้นไม่สามารถเชื่อมโยงได้ว่าเป็นใคร มันก็ไม่ใช่ข้อมูลส่วนบุคคล เช่น เบอร์โทรบริษัทฯ แต่ก็อาจมีกรณีที่เบอร์โทรสำนักงาน หรือเบอร์โทรศัพท์ของบริษัท เป็นเบอร์ประจำห้องส่วนตัว เบอร์นี้ก็จะกลายเป็นข้อมูลส่วนบุคคลทันที เพราะสามารถระบุตัวบุคคลได้

ดังนั้นโดยสรุป เบอร์โทรศัพท์จะเป็นข้อมูลส่วนบุคคลหรือไม่ ต้องดูบริบทของเบอร์โทรศัพท์นั้น ๆ ด้วย

---

• https://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

The 7 Key Foundations for Modern D&A Governance

 ---

• 7 Data and Analytics Governance Foundations (gartner.com)

ละเว้นไม่เปิดเผยว่าเป็นโรคความดันสูง สัญญาประกันชีวิตเป็นโมฆียะ

คำพิพากษาศาลฎีกาที่ 922/2566

การที่ ย. รู้ถึงข้อเท็จจริงที่ตนเคยได้รับการตรวจสุขภาพ และแพทย์ให้ข้อสังเกตว่าตนเป็นโรคความดันโลหิตสูงมาก่อนแล้ว แต่ไม่เปิดเผยข้อความจริงนั้น ซึ่งหาก ย. เปิดเผยย่อมจูงใจให้จำเลยเรียกเบี้ยประกันภัยสูงขึ้นหรือบอกปัดไม่ยอมทำสัญญาไม่ว่า ย. จะได้รับการรักษาต่อไปตามคำแนะนำของแพทย์หรือไม่ จะเข้าพบแพทย์ด้วยสิทธิประโยชน์ทางใด หรือจะได้รับการจ่ายยาเพื่อรักษาโรคหรือไม่ รวมทั้งแท้จริงแล้ว ย. จะป่วยเป็นโรคความดันโลหิตสูงหรือไม่ เพราะเป็นเรื่องข้อมูลที่จำเลยได้รับขณะทำสัญญาประกันภัยไม่ถูกต้องและเป็นข้อสำคัญที่จำเลยจะปฏิเสธไม่รับประกันภัย หรือหากจะรับประกันภัยก็ต้องสืบสวนหาข้อเท็จจริงต่อไปว่าควรเสี่ยงรับประกัน ย. หรือไม่ ทั้งข้อวินิจฉัยของแพทย์ก็เป็นการตั้งข้อสังเกตโดยแพทย์แล้วว่าเป็นโรคความดันโลหิตสูงแล้ว ไม่ว่า ย. จะถึงแก่ความตายด้วยสาเหตุใด การที่ ย. ละเว้นไม่เปิดเผยข้อความดังกล่าว สัญญาประกันชีวิตตามฟ้องย่อมตกเป็นโมฆียะ เมื่อจำเลยบอกล้างภายในกำหนดเวลาตามกฎหมายแล้ว ให้ถือว่าเป็นโมฆะมาแต่เริ่มแรก จำเลยจึงไม่จำต้องจ่ายค่าสินไหมทดแทนแก่โจทก์

--

ที่มา

• สืบค้นฎีกา 2015 (supremecourt.or.th)

SUCCESS - เส้นทางสู่ความสำเร็จ?

S ee your goal.
U nderstand the obstacles.
C reate a positive mental picture.
C ear your mind of self doubt.
E mbrace the challenge.
S tay on track.

and then 

S how the world you can do it!