ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานการกำหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ ให้แก่ข้อมูลหรือระบบสารสนเทศ พ.ศ.2566

คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้มีประกาศ เรื่อง มาตรฐานการกำหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ ให้แก่ข้อมูลหรือระบบสารสนเทศ พ.ศ.2566 ประกาศ ณ วันที่ 18 ธันวาคม 2566 ประกาศในราชกิจจานุเบกษา 18 มกราคม 2567 มีผลบังคับเมื่อพ้นกำหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษาเป็นต้นไป

การประเมินความเสี่ยงด้านการคุ้มครองข้อมูลส่วนบุคคล PDPA (Risk Management)

 ข้อ ๗ การประเมินและจัดระดับผลกระทบที่อาจเกิดขึ้นสำหรับการพิจารณาวัตถุประสงค์ในการรักษาความลับตามข้อ ๔ (๑) ให้มีเกณฑ์การประเมินและจัดระดับ ดังต่อไปนี้

(๑) ในกรณีที่การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลกระทบต่อการดำเนินงาน ทรัพย์สิน หรือชื่อเสียงของหน่วยงานหรือบุคคลเพียงเล็กน้อยหรืออย่างจำกัดให้จัดเป็นผลกระทบระดับต่ำ

(๒) ในกรณีที่การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลกระทบต่อการดำเนินงาน ทรัพย์สิน หรือชื่อเสียงของหน่วยงานหรือบุคคลอย่างร้ายแรง ให้จัดเป็นผลกระทบระดับกลาง

(๓) ในกรณีที่การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตไม่ว่าทั้งหมดหรือบางส่วน อาจส่งผลกระทบ ต่อการดำเนินงาน ทรัพย์สิน หรือชื่อเสียงของหน่วยงานหรือบุคคลอย่างร้ายแรงมากให้จัดเป็นผลกระทบระดับสูง

ในกรณีที่การดำเนินการของหน่วยงานอาจเปิดเผยข้อมูลที่ถูกกำหนดชั้นความลับตามระเบียบ ว่าด้วยการรักษาความลับของทางราชการและระเบียบสำนักนายกรัฐมนตรีว่าด้วยการรักษาความปลอดภัยแห่งชาติ ให้มีเกณฑ์การประเมินและจัดระดับ ตังต่อไปนี้

(๑) กรณีที่อาจเปิดเผยข้อมูลลับที่ถูกกำหนดชั้นความลับเป็นชั้นลับ ให้จัดเป็นผลกระทบระดับต่ำเป็นอย่างน้อย

(๒) กรณีที่อาจเปิดเผยข้อมูลลับที่ถูกกำหนดชั้นความลับเป็นชั้นลับมาก ให้จัดเป็นผลกระทบระดับกลางเป็นอย่างน้อย

(๓) กรณีที่อาจเปิดเผยข้อมูลลับที่ถูกกำหนดชั้นความลับเป็นชั้นลับที่สุด ให้จัดเป็นผลกระทบระดับสูง

ข้อ ๘ การประเมินและจัดระดับผลกระทบที่อาจเกิดขึ้นสำหรับการพิจารณาวัตถุประสงค์ในการรักษาความถูกต้องครบถ้วนตามข้อ ๔ (๒) ให้มีเกณฑ์การประเมินและจัดระดับ ดังต่อไปนี้

(๑) ในกรณีที่การแก้ไขหรือทำลายข้อมูลโดยไม่ได้รับอนุญาตอาจส่งผลกระทบต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลเพียงเล็กน้อยหรืออย่างจำกัด ให้จัดเป็นผลกระทบระดับต่ำ

(๒) ในกรณีที่การแก้ไขหรือทำลายข้อมูลโดยไม่ได้รับอนุญาตอาจส่งผลกระทบต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลอย่างร้ายแรง ให้จัดเป็นผลกระทบระดับกลาง

(๓)ในกรณีที่การแก้ไขหรือทำลายข้อมูลโดยไม่ได้รับอนุญาตอาจส่งผลกระทบต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลอย่างร้ายแรงมาก ให้จัดเป็นผลกระทบระดับสูง

ข้อ ๙ การประเมินและจัดระดับผลกระทบที่อาจเกิดขึ้นสำหรับการพิจารณาวัตถุประสงค์ในการรักษาสภาพพร้อมใช้งานตามข้อ ๔ (๓) ให้มีเกณฑ์การประเมินและจัดระดับ ดังต่อไปนี้

(๑) ในกรณีที่หน่วยงานไม่สามารถเข้าถึงและใช้งานข้อมูลหรือระบบสารสนเทศได้ อาจส่งผลกระทบ ต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลเพียงเล็กน้อยหรืออย่างจำกัด ให้จัดเป็นผลกระทบระดับต่ำ

(๒) ในกรณีที่หน่วยงานไม่สามารถเข้าถึงและใช้งานข้อมูลหรือระบบสารสนเทศได้ อาจส่งผลกระทบ ต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลอย่างร้ายแรง ให้จัดเป็นผลกระทบระดับกลาง 

(๓) ในกรณีที่หน่วยงานไม่สามารถเข้าถึงและใช้งานข้อมูลหรือระบบสารสนเทศได้ อาจส่งผลกระทบ ต่อการดำเนินงานหรือทรัพย์สินของหน่วยงานหรือบุคคลอย่างร้ายแรงมาก ให้จัดเป็นผลกระทับระดับสูง

อ่านประกาศฉบับเต็มได้ที่ :https://7708df42-dd70-4b38-823a-ca2f629f7f5d.usrfiles.com/ugd/7708df_e8f2bedc291d43538a5f082c76fa0258.pdf

#PDPA #Risk #การประเมินและจัดระดับผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล