ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง นโยบายและแผนปฏิบัติการว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570)

ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง นโยบายและแผนปฏิบัติการว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570) โดยที่คณะรัฐมนตรีได้มีมติเมื่อวันที่ 20 กันยายน 2565 เห็นชอบนโยบายและแผนปฏิบัติการ ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570) ตามที่คณะกรรมการการรักษา ความมั่นคงปลอดภัยไซเบอร์แห่งชาติเสนอ ซึ่งเป็นการจัดทำนโยบายและแผนปฏิบัติการว่าด้วย การรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570) นั้น อาศัยอำนาจตามความในมาตรา 9 (1) (2) และ (3) และมาตรา 43 แห่งพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และตามคาสั่งสานักนายกรั ฐมนตรี ที่ 239/2563 เรื่อง มอบหมายและมอบอำนาจให้รองนายกรัฐมนตรี และรัฐมนตรีประจาสำนักนายกรัฐมนตรี ปฏิบัติหน้าที่ประธานกรรมการในคณะกรรมการต่าง ๆ ตามกฎหมาย และระเบียบสำนักนายกรัฐมนตรี และตามมติคณะรัฐมนตรีข้างต้น จึงออกประกาศแจ้งการใช้นโยบายและแ ผนปฏิบัติการว่าด้วยการรักษา ความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570) เพื่อเป็นแผนแม่บทในการรักษาความมั่นคง ปลอดภัยไซเบอร์ของประเทศไทย การพัฒนาความมั่นคงปลอดภัยทางไซเบอร์ในภาพรวมที่ครอบคลุม ในทุกมิติ และเพื่อใช้เป็นกรอบแนวทางการดาเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ของประเทศ ซึ่งสอดคล้องกับยุทธศาสตร์ชาติด้านความมั่นคงแผนย่อย การป้องกันและแก้ไขปัญหา ที่มีผลกระทบต่อความมั่นคง ซึ่งมีเป้าหมายของแนวทางพัฒนาคือปัญหาความมั่นคงที่มีอยู่ในปัจจุบัน (ความมั่นคงทางไซเบอร์) ได้รับการแก้ไขจนไม่ส่งผลกระทบต่อการบริหารและพัฒนาประเทศ ดังมีสาระสำคัญตามที่แนบท้ายประกาศนี้ ทั้งนี้ ประกาศฉบับนี้ให้ใช้บังคับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป ประกาศ ณ วันที่ 13 พฤศจิกายน พ.ศ. 25 6 5 พลเอก ประวิตร วงษ์สุวรรณ รองนายกรัฐมนตรี ปฏิบัติหน้าที่ ประธานกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ้ หนา 7 ่ เลม 139 ตอนพิเศษ 288 ง ราชกิจจานุเบกษา 9 ธันวาคม 2565

2 นโยบายและแผนปฏิบัติการ ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570 ) สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ส่วนที่ 1 บทสรุปผู้บริหาร นโยบายและ แผน ปฏิบัติการ ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2565 - 2570 ฉบับนี้ เป็นการดําเนินการตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มาตรา 9 (1) บัญญัติให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) มีหน้าที่และอํานาจ เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริม และสนับสนุ นการดําเนินการรักษาความมั่ นคงปลอดภัยไซเบอร์ตามมาตรา 42 และมาตรา 43 ต่อคณะรัฐมนตรีเพื่อให้ความเห็นชอบ นโยบายและแผนปฏิบัติการ ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์นี้ใช้เป็นแผนแม่บท ในการรักษาความมั่ นคงปลอดภัยไซเบอร์ของประเทศไทย การพัฒนาความมั่ นคงปลอดภัยทาง ไซเบอร์ในภาพรวมที่ครอบคลุมในทุกมิติ และเพื่อใช้เป็นกรอบแนวทางการดําเนินการด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ของประเทศ มาตรา 9 ( 3 ) บัญญัติให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) มีหน้าที่และอํานาจ จัดทําแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี สําหรับเป็นแผนแม่บทในการรักษาความมั่นคงปลอดภัยไซเบอร์ในสถานการณ์ปกติและในสถานการณ์ ที่อาจจะเกิด หรือเกิดภัยคุกคามทางไซเบอร์ โดยแผนดังกล่าวจะต้องสอดคล้องกับนโยบาย ยุทธศาสตร์ และแผนระดับชาติ และกรอบนโยบายและแผนแม่บทที่เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคง แห่งชาติ ส่วนที่ 2 ความสอดคล้องกับแผน 3 ระดับ ตามนัยยะของมติคณะรัฐมนตรี เมื่อวันที่ 4 ธันวาค ม 2560 2 . 1 ยุทธศาสตร์ชาติ (แผนระดับที่ 1) 2.1.1 ยุทธศาสตร์ชาติ ด้านความมั่นคง เป้าหมายที่ 3 กองทัพ หน่วยงานด้านความมั่นคง ภาครัฐ ภาคเอกช น และภาคประชาชน มีความพร้อมในการป้องกันและแก้ไขปัญหาความมั่นคง เป้าหมายที่ 4 ประเทศไทยมีบทบาทด้านความมั่นคงเป็นที่ชื่นชมแล ะ ได้รับ การยอมรับโดยประชาคมระหว่างประเทศ เป้าหมายที่ 5 การบริหารจัดการความมั่นคงมีผลสําเร็จที่เป็นรูปธรรมอย่างมี ประสิทธิภาพ 2.1.2 ประเด็นยุทธศาสตร์ ข้อ 4.2 การป้องกันและแก้ไขปัญหาที่มีผลกระทบต่อความมั่นคง ข้อ 4.2.1 การแก้ไขปัญหาความมั่นคงในปัจจุบัน ข้อ 4.2.2 การติดตาม เฝ้าระวัง ป้องกัน และแก้ไขปัญหาที่อาจอุบัติขึ้นใหม่

3 2 . 2 แผนระดับที่ 2 2.2.1 แผนแม่บทภายใต้ยุทธศาสตร์ชาติ ประเด็นยุทธศาสตร์ด้านความมั่นคง ข้อ 3.2 แผนย่อยการป้องกันและแก้ไขปัญหาที่มีผลกระทบต่อความมั่นคง 2.2.2 แผนปฏิรูปประเทศด้านสื่อสารมวลชน เทคโนโลยีสารสนเทศ ประเด็นยุทธศาสตร์แผนปฏิรูปประเทศด้านสื่อสารมวลชน เทคโนโลยี สารสนเทศ ข้อ 5.5 การปฏิรูปการบริหารจัดการความปลอดภัยไซเบอร์ /กิจการอวกาศ และระบบและเครื่องมือด้านการสื่อสารมวลชนและโทรคมนาคมเพื่อสนับสนุนภารกิจการป้องกัน บรรเทาสาธารณภัย ภายใต้กิจกรรมที่ 1 การปกป้องคุ้มครองและรักษาความมั่นคงปลอดภัยไซเบอร์ ของโครงสร้างพื้นฐานสําคัญด้านสารสนเ ทศของประเทศ 2.2.3 แผนพัฒนาเศรษฐกิจและสังคมแห่งชาติ ฉบับที่ 12 ยุทธศาสตร์ที่ 5 การเสริมสร้างความมั่นคงแห่งชาติเพื่อการพัฒนำ ประเทศ สู่ความมั่งคั่งและยั่งยืน แนวทางการพัฒนาที่ 3.2 การพัฒนาเสริมสร้างศักยภาพการป้องกั น ประเทศ เพื่อเตรียมความพร้อมในการรับมือภัยคุกคาม ทั้งการทหารและภัยคุกคามอื่น ๆ ยุทธศาสตร์ที่ 7 การพัฒนาโครงสร้างพื้นฐานและระบบโลจิสติกส์ แนวทางการพัฒนาที่ 3.5 การพัฒนาเศรษฐกิจดิจิทัล 2 .2.4 นโยบายและแผนระดับชาติว่าด้วยความมั่นคงแห่งชาติ (พ.ศ. 2562 – 2565) นโยบายที่ 10 เสริมสร้างความมั่นคงปลอดภัยไซเบอร์ รองรับวัตถุประสงค์ 3.4.5 เพื่ อพัฒนาศักยภาพของภาครัฐ และส่งเสริมบทบาทและความเข้มแข็งของทุกภาคส่วน ในการรับมือกับภัยคุกคามทุกรูปแบบที่กระทบกับความมั่นคง แผนที่ 15 การป้องกันและแก้ไขความมั่นคงทางไซเบอร์ 2 . 3 แผนระดับที่ 3 ที่เกี่ยวข้อง 2 . 3.1 นโยบายและแผนระดับชาติว่าด้วยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม (พ.ศ 2561 – 2580) ยุทธศาสตร์ที่ 6 สร้างความเชื่อมั่นในการใช้เทคโนโลยีดิจิทัล แผนงาน ข้อ 3 สร้างความเชื่อมั่นในการใช้เทคโนโลยีดิจิทัลแล ะ กา ร ท ํา ธุรกรรมออนไลน์ 2 . 3. 2 แผนปฏิบัติการด้านดิจิทัลเพื่อเศรษฐกิจและสังคมระยะ 5 ปี (พ.ศ. 2562 - 2565) เป้าหมายที่ 5 สร้างความเชื่อมั่น ประเด็นขับเคลื่อน 5.1 การเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ ประเด็นขับเคลื่อน 5.2 ขับเคลื่อนการพัฒนากฎหมายและมาตรฐาน ดิจิทัล เป้าหมายที่ 6 พัฒนากําลังคนดิจิทัล ประเด็นขับเคลื่อน 6.1 การพัฒนากําลังคนและประชาชนสู่ยุคดิจิทัล

4 2 . 3. 3 ยุทธศาสตร์การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (พ.ศ 2560 - 2565) ประเด็นยุทธศาสตร์ที่ 1 เสริมสร้างความเชื่อมั่นและความไว้วางใจในทุกภาคส่วน ในการดําเนินกิจกรรมทางไซเบอร์ทุกรูปแบบ ประเด็นยุทธศาสตร์ที่ 2 ปกป้องโครงสร้างพื้นฐานสําคัญที่บริหารจัดการ ด้วยระบบสารสนเทศและพัฒนาศักยภาพด้านการรับมือภัยคุกคามทางไซเบอร์ ประเด็นยุทธศาสตร์ที่ 3 ปกป้องผลประโยชน์และความมั่นคงของชาติให้รอดพ้น จากภัยคุกคามรูปแบบเดิมและรูปแบบใหม่ ประเด็นยุทธศาสตร์ที่ 4 เสริมสร้างระบบเศรษฐกิจดิจิทัล ประเด็นยุทธศาสตร์ที่ 5 สร้ำงความตระหนั กและส่ งเสริ มความร่ วมมื อ ภายในประเทศด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ประเด็นยุทธศาสตร์ที่ 6 เพื่ อส่งเสริมวัฒนธรรมการใช้ไซเบอร์สเปซในทาง ที่ เหมาะสม ประเด็นยุทธศาสตร์ที่ 7 ส่งเสริมงานด้านการป้องกันและปราบปรา ม อาชญากรรม ประเด็นยุทธศาสตร์ที่ 8 ส่งเสริมบทบาทที่สร้างสรรค์ของไทยในความร่วมมือ เพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับภูมิภาคและระดับนานาชาติ 2 . 3. 4 แผนเตรียมพร้อมแห่งชาติ (พ.ศ. 2560 - 2565) ยุทธศาสตร์ที่ 3 การเสริมสร้างความร่วมมือ การเตรียมพร้อมรับมือภัยคุกคาม กับต่างประเทศ กลยุทธ์ ข้อ 4 เสริมสร้างความสัมพันธ์และความร่วมมือการเตรียมพร้อม ด้านวิกฤตการณ์ความมั่นคงกับต่างประเทศ อาทิ การก่ อ วินาศกรรม การก่อการร้าย ภัยความมั่นคง ทางไซเบอร์ ภัยความมั่นคงทางอวกาศ โรคติดต่ออุบัติใหม่ ให้สอดคล้องกับนโยบายรัฐบาล นโยบายและแผน ระดับชาติว่าด้วยความมั่นคงแห่งชาติ และยุทธศาสตร์ความมั่นคงเฉพาะด้านที่เกี่ยวข้อง ส่วนที่ 3 สาระสําคัญของ นโยบายและแผนปฏิบัติการ ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2565 - 2570 3 . 1 การ ประเมิน สถานการณ์ ปัญหา ความจําเป็นของ นโยบายและแผน ปฏิบัติการ ว่าด้วย การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2565 - 2570 ปัจจุบันเทคโนโลยีดิจิทัลมีบทบาทสําคัญในการเป็นเครื่องมืออํานวยความสะดวก แก่การดํารงชีวิตประจําวัน โดยรายงานของสหภาพโทรคมนาคมระหว่างประเทศ ( International Telecommunication Union :ITU) พบว่า ปี พ.ศ. 2561 มีจํานวนผู้ใช้อินเทอร์เน็ต คิดเป็นร้อยละ 51 ของประชากรทั่วโ ลก โดยคาดว่า ภายในปี พ.ศ. 2566 จะมีจํานวนผู้ใช้งานอินเทอร์เน็ต เพิ่มขึ้นถึงร้อยละ 70 ของประชากรทั่วโลก ผลสํารวจพฤติกรรมผู้ใช้งานอินเทอร์เน็ตในประเทศไทยปี พ.ศ. 2561 โดยสํานักงาน พัฒนาธุรกรรมอิเล็กทรอนิกส์ (สพธอ.) พบว่า ประเทศไทยก้าวสู่สังคมดิจิทัลอย่างเต็มรูปแ บบแล้ว ซึ่ งค่าเฉลี่ ยของการใช้งานอินเ ท อร์เน็ตของคนไทยเติบโตเพิ่ มขึ้ นมากกว่าปีที่ ผ่านมาถึง 3 เท่า ทั้งนี้ ความก้าวหน้าทางเทคโนโลยีดิจิทัล โดยเฉพาะอย่างยิ่งการใช้อินเทอร์เน็ตมาพร้อมกับความท้าทาย และภัยคุกคามทางไซเบอร์ซึ่งมีหลากหลายรูปแบบ ไม่ว่าจะเป็นการเผยแ พร่ ข้อมูลที่ ไม่เป็นจริง

5 การพยายามบุกรุกเข้าระบบ การโจมตีสภาพการใช้งานของระบบ การพัฒนาโปรแกรมที่ไม่พึงประสงค์ และการสร้างหน้าเว็บไซต์ปลอมเพื่อหลอกลวงหาผลประโยชน์ เป็นต้น อันก่อให้เกิดความเสียหาย แก่ประเทศชาติ ภาคธุรกิจ และปัจเจกบุคคล จากข้อมูลสถิติภัยคุก คามทางไซเบอร์ของไทย ปี พ.ศ. 2561 รวบรวมโดยศูนย์ประสาน การรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) พบว่าความพยายามบุกรุก เข้าระบบสารสนเทศ ( Intrusion Attempts) เป็นภัยคุกคามไซเบอร์ อันดับ 1 ของประเทศไทย คิดเป็น สัดส่วนร้อยละ 43 จากจํานวนภัยคุก คาม ทั้งหมด 2 , 520 เหตุการณ์ นอกจากนี้ ผลจากการสํารวจความพร้อมด้านความมั่ นคงปลอดภัยไซเบอร์ ในปี พ.ศ. 2559 และ พ.ศ. 2561 ของสํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ.) เพื่อวิเคราะห์ ถึงสถานการณ์ ปัญหา อุปสรรค และการรับมือกับภัยคุกคามไซเบอร์ของประเทศไทย โดยมีหลักการ พิจารณา 1) การกําหนดมาตรการความมั่นคงปลอดภัยไซเบอร์ 2) การปกป้องดูแลอุปกรณ์สารสนเทศ 3) ความสามารถในการตรวจพบเหตุภัยคุกคาม 4) การรับมือภัยคุกคาม และ 5) การกู้คืนระบบหลังเกิดเ หตุ พบว่า การรับมือภัยคุกคามไซเบอร์ของหน่วยงานภาครัฐและภาคเอกชนมากกว่า 500 หน่วยงาน มีค่าเฉลี่ยในระดับต่ํา จากสถานการณ์ภัยคุกคามไซเบอร์ข้างต้นที่เกิดขึ้นอย่างรวดเร็วและรุนแรงขึ้นทุกปี การขาดแคลนบุคลากรที่ ปฏิบัติหน้าที่ ด้านการรักษาความมั่ นคงปลอดภัยไซเบอร์ อันส่งผลต่อ ความสามารถในการดําเนินการ จนส่งผลให้ถูกโจมตีทางไซเบอร์และส่งผลต่อเศรษฐกิจของประเทศไทย อย่างมหาศาล ถึงแม้ว่าจะมีการลงทุน ในการ รักษาความมั่นคงปลอดภัยไซเบอร์ที่เพิ่มสูงขึ้น แต่ในประเทศ ไทยเองยังขาดแคลนบุคลากร และผลิตภัณฑ์ด้านความมั่นคงปลอดภัยไซเบอร์ที่ เป็นนวัตกรรมในประเทศ ทําให้ต้องพึ่งพาบุคลากรและผลิตภัณฑ์จากต่างประเทศ ดังนั้น จึงมีความจําเป็นต้องกําหนดนโยบาย และแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ในการเสริมสร้างศักยภาพในการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตลอดจนตอบสนองต่อเหตุ ภัยคุกคามและฟื้นฟูระบบ ให้กลับคืนสู่สภาวะปกติอย่างทันท่วงที 3 . 2 สาระสําคัญของ นโยบายและแผนปฏิบัติการ ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2565 - 2570 นโยบายและแผนปฏิบัติการ ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ฉบับสมบูรณ์นี้ ได้กําหนดวิสัยทัศน์การรักษาความมั่นคงปลอดภัยไซเบอร์ คือ “บริการที่สําคัญของประเทศไทยมีความมั่นคง ปลอดภัยไซเบอร์ เพื่อความยั่งยืนทางเศรษฐกิจและสังคม” นโยบายและแผนปฏิบัติการ เพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2565 – 2570 เป็นแผนแม่บทในการรักษาความมั่นคงปลอดภัยไซเบอร์ในสถานการณ์ปกติ และในสถานการณ์ที่อาจจะ เกิ ดหรื อเกิ ดภั ยคุ กคามทางไซเบอร์ ซึ ่ งสอดคล้ องกั บนโยบายยุ ทธศาสตร์และแผนระดั บชาติ และกรอบนโยบายและแผนแม่บทที่เกี่ยวกับกา รรักษาความมั่นคงของสภาความมั่นคงแห่งชาติ เพื่อให้บรรลุวิสัยทัศน์และเป้าหมายการขับเคลื่อนยุทธศาสตร์ด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์ จึงได้กําหนดยุทธศาสตร์ การดําเนินงาน 4 ยุทธศาสตร์ ดังนี้ 3.2.1 ยุทธศาสตร์ที่ 1 : สร้างขีดความสามารถในการรักษาความมั่นคงปลอดภัย ไซเบอร์ของประเทศ (บุคลากร องค์ความรู้ และเทคโนโลยี) (Capacity) วัตถุประสงค์ เพื่อเสริมสร้างขีดความสามารถในการรักษาความมั่นคงปลอดภัยไซเบอร์ ของประเทศ โดยบูรณาการ บุคลากร องค์ความรู้ และเทคโนโลยี นําไปสู่การพัฒนาผลิ ตภัณฑ์ด้านความมั่นคง ปลอดภัยไซเบอร์ที่เป็นนวัตกรรมของประเทศ

6 เป้าหมาย 1. พัฒนาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์เพื่อรองรับความต้องการ ของประเทศ 2. ส่งเสริมให้บุคลากรทุกภาคส่วนมีความตระหนักรู้ด้านความมั่นคง ปลอดภัยไซเบอร์ 3. ส่งเสริมให้เกิดการมีส่วนร่วมในการสร้างความแข็งแกร่งด้านความมั่นคง ปลอดภัยไซเบอร์ของประเทศ 4. ส่งเสริมการพัฒนาผลิตภัณฑ์ด้านความมั่นคงปลอดภัยไซเบอร์ให้เป็น นวัตกรรมของประเทศ กลยุทธ์ที่ 1.1 เพิ่มบุคลากรที่มีความสามารถด้านความมั่นคงปลอดภัยไซเบอร์ 1. พัฒนาหลักสูตรการเรียนการสอนด้านความมั่นคงปลอดภัยไซเบอร์ ทั้งภาคทฤษฎีและภาคปฏิบัติ เป็นสาขาเฉพาะทางในระดับอุดมศึกษา รองรับความต้องการของภาคอุตสาหกรรม ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ 2. พัฒนาทักษะและฝึกอบรมบุคลากรด้านการรักษาความมั่นคงปลอดภัย ไซเบอร์ ทั้งในระดับผู้บริหารและผู้ปฏิบัติงาน ตัวชี้วัดของกลยุทธ์ 1. มีหลักสูตรการเรียนการสอนด้านความมั่ นคงปลอดภัยไซเบอร์ ทั ้ งภาคทฤษฎี และภาคปฏิบัติ เป็ นสาขาเฉพาะทางในระดั บอุ ดมศึ กษา รองรั บความต้ องการ ของภาคอุตสาหกรรมที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ ไม่น้อยกว่า 5 สถาบัน 2. บุคลากรด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของ หน่วยงาน ควบคุมหรือกํากับดูแล และ หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ ทั้งในระดับผู้บริหาร และผู้ปฏิบัติงานไม่น้อยกว่าร้อยละ 80 ได้รั บการพัฒนาความรู้และทักษะ โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการ พั ฒนากรอบความสามารถและโปรแกรมการฝึ กอบรม ด้านความปลอดภัย ทางไซเบอร์ ส่งเสริมและสนับสนุนการออกใบรับรอง ( Certification) และการรับรอง ( Accreditation) บุคลากรที่มีความเชี่ยวชาญในระดับชาติและนานาชาติ 2 . โครงการยกระดับวิชาชีพด้านความมั่นคงปลอดภัยไซเบอร์ ให้เป็น ที่ยอมรับ 3 . โครงการพัฒนาบุคลากรทางไซเบอร์โดยส่งเสริมให้มีสถาบันการศึกษา มีหลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์เฉพาะทาง โครงการ แนวทางการดําเนินการ หน่วยงำน รับผิดชอบ 1. โครงการพัฒนา กรอบความสามารถ และโปรแกรม 1 ) จัดทํากรอบความสามารถและโปรแกรมการฝึกอบรม ด้านความปลอดภัยทางไซเบอร์สําหรับผู้เชี่ยวชาญ ด้านความมั่นคงปลอดภัยไซเบอร์ และสําหรับผู้ที่ไม่ใช่ หลัก : สกมช. รอง : สพร. สพธอ.

7 โครงการ แนวทางการดําเนินการ หน่วยงำน รับผิดชอบ การฝึกอบรม ด้านความปลอดภัย ทางไซเบอร์ ส่งเสริม และสนับสนุนการ ออกใบรับรอง (Certification) และการรับรอง (Accreditation) บุคลากรที่มี ความเชี่ยวชาญ ในระดับชาติ และนานาชาติ ไอที ( non - IT) การออกใบรั บรอง ( Certification) และการรับรอง ( Accreditation) บุคลากรที่มีความเชี่ยวชาญ 2 ) จัดทําหลักสูตรและเนื้อหำสําหรับตอบสนองกรอบ ความสามารถและโปรแกรมการฝึ กอบรม การออก ใบรับรอง ( Certification) และการรับรอง ( Accreditation) บุคลากรที่มีความเชี่ยวชาญ 3 ) กําหนดให้ ใช้ กรอบความสามารถและโปรแกรม การฝึกอบรมด้านความปลอดภัยทางไซเบอร์สําหรับ ผู้เชี่ยวชาญ ด้านความมั่นคงปลอดภัยไซเบอร์และส ําหรับ ผู ้ ที ่ ไม่ ใช่ไอที ( non - IT) เป็ นส่วนหนึ่ งในข้ อกําหนด จ้างงาน/เลื่อนตําแหน่ง 4 ) เป็ นพันธมิ ตร ให้ ทุ นส่ งเสริ มและสนั บสนุ นให้มี หน่วยงานที่สนับสนุนฝึกอบรมด้านความปลอดภัย ทางไซเบอร์สําหรับผู้ เชี ่ ยวชาญด้านความมั ่ นคง ปลอดภัยไซเบอร์และสําหรับผู้ที่ไม่ใช่ไอที ( non - IT) การออก ใบรั บรอง ( Certification) และการรั บรอ ง ( Accreditation) บุคลากรที่มีความเชี่ยวชาญ โดยอาจ พิจารณาสิทธิพิเศษทางภาษี และมาตรการส่งเสริม ต่าง ๆ เพื่อเพิ่มจํานวนของหน่วยงำนสนับสนุน 5 ) ส่งเสริม เผยแพร่ จัดอบรม และทุนสนับสนุนอย่าง ต่อเนื่อง 6 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง สํานักงาน ก.พ. ดศ. สคช. สดช. สอศ. อว. หน่วยงาน ควบคุมหรือ กํากับดูแล และหน่วยงาน โครงสร้าง พื้นฐานสําคัญ ทางสารสนเทศ บก.ทท. สปท . บีโอไอ 2. โครงการยกระดับ วิชาชีพด้านความมั่นคง ปลอดภัย ไซเบอร์ให้เป็นที่ ยอมรับ 1 ) กําหนดแนวทางค่าตอบแทนของวิชาชีพด้านความมั่นคง ปลอดภัยไซเบอร์ให้เหมาะสมและจูงใจ 2 ) จัดกิจกรรมส่งเสริ ม สนับสนุน รวมถึงมีกิจกรรม การแข่งขันอย่างต่อเนื่อง 3 ) หารือกับหน่วยงานที่เกี่ยวข้องกําหนดกรอบอัตรากําลัง และค่าตอบแทนที่เหมาะสม 4 ) เผยแพร่ประชาสัมพันธ์ผู้ที่เป็นต้นแบบและแรงบันดาล ใจในสายงาน 5 ) ส่งเสริม สนับสนุน ผู้ที่มีความสามารถด้านความมั่นคง ปลอดภัยไซเบอร์อย่างต่อเนื่อง และเป็นรูปธรรม หลัก : สกมช. รอง : สพร. สพธอ. สํานักงาน ก.พ. สคช. อว. สดช. สอศ. สพฐ . ดศ. สํานัก งบประมาณ

8 โครงการ แนวทางการดําเนินการ หน่วยงำน รับผิดชอบ 6 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หน่วยงาน ควบคุมหรือ กํากับดูแล และหน่ วยงาน โครงสร้าง พื้นฐานสําคัญ ทางสารสนเทศ บก.ทท. สปท . 3. โครงการพัฒนา บุคลากรทางไซเบอร์ โดยส่งเสริมให้มี สถาบันการศึกษา มีหลักสูตรด้าน ความมั่นคงปลอดภัย ไซเบอร์เฉพาะทาง 1 ) จัดทํากรอบบูรณาการทักษะการรักษาความมั่นคง ปลอดภัยไซเบอร์เฉพาะทางในระบบการศึกษาอย่าง เป็นทางการตั้งแต่ระดับมัธยม ประกาศนียบัตรวิชาชีพ (ปวช.) จนถึงปริญญาเอก 2 ) จัดทําหลักสูตรและเนื้อหาทักษะการรักษาความมั่นคง ปลอดภัยไซเบอร์เฉพาะทางในระบบการศึกษาอย่าง เป็นทางการตั้งแต่ ระดับมัธยม ประกาศนียบัตรวิชาชีพ (ปวช.) จนถึงปริญญาเอก 3 ) จัดกิจกรรมส่งเสริม รวมถึงการแข่งขันเพื่อหาบุคลากร ที่มีความสามารถในการทํางาน พัฒนาวิจัย แล ะ สร้าง ผลิตภัณฑ์การรักษาความมั่นคงปลอดภัยไซเบอร์ 4 ) ปรับปรุงระเบียบและข้อปฏิบัติในการจ่ายค่าตอบแทน ให้เหมาะสมกับผู้ปฏิบัติงานการรักษาความมั่ นคง ปลอดภัยไซเบอร์ที่มีทักษะขั้นสูง 5 ) สร้างความร่วมมือระหว่างภาคส่วนต่าง ๆ ในการ บูรณาการ 6 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. สํานักงาน ก.พ. สคช. สดช. สอศ. สพฐ . อว. ดศ. สํานัก งบประมาณ หน่วยงาน ควบคุมหรือ กํากับดูแล และหน่วยงาน โครงสร้าง พื้นฐานสําคัญ ทางสารสนเทศ บก.ทท. สปท . กลยุทธ์ที่ 1.2 สร้างความตระหนักรู้และทักษะด้านความมั่นคงปลอดภัยไซเบอร์ 1. สร้างความตระหนักและการรู้เท่าทัน ด้านความมั่นคงปลอดภัยไซเบอร์ 2. ส่งเสริมให้เกิดการบูรณาการหลักสูตรเกี่ยวกับการตระหนักรู้และทักษะ ด้านความมั่นคงปลอดภัยไซเบอร์ ในระบบการศึกษาทุกระดับชั้น

9 ตัวชี้วัดของกลยุทธ์ 1. หน่วยงานควบคุมหรือกํากับดูแลและหน่วยงานโครงสร้างพื้นฐานสําคัญ ทางสารสนเทศ จํานวนไม่น้อยกว่าร้อยละ 80 มีกิจกรรมการสร้างความตระหนักและการรู้เท่าทัน ด้านความมั่นคงปลอดภัยไซเบอร์ในแต่ละปี 2. มีการบูรณาการหลักสูตรเกี่ยวกับการตระหนักรู้และทัก ษะด้านความมั่นคง ปลอดภัยไซเบอร์ ในระบบการศึกษาทุกระดับชั้น โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการบูรณาการทักษะการรักษาความมั่ นคงปลอดภัยไซเบอร์ กับทักษะดิจิทัลในระบบการศึกษาอย่างเป็นทางการตั้งแต่ระดับประถมศึกษาจนถึงระดับหลังปริญญา 2 . โครงการสร้างความตระหนักรู้ระดับชา ติสําหรับกลุ่มเป้าหมายที่แตกต่างกัน (เช่น ผู้บริโภคทั่วไป ผู้ใช้ในองค์กร เด็ก ธุรกิจ) และหลากหลายรูปแบบ 3 . โครงการพัฒนาหลักปฏิบัติ ( Code of practices) เพื่ อความมั่ นคง ปลอดภัยของอุปกรณ์และผลิตภัณฑ์ที่เชื่อมต่ออินเทอร์เน็ต 4 . โครงการให้ความรู้ประชาชนเกี่ยวกับกฎหมาย กฎระเบียบ ความเสี่ยง ของอาชญากรรมไซเบอร์ และมาตรการป้องกัน 5 . โครงการฝึกซ้อมเพื่ อการป้องกัน รับมือ และลดความเสี่ ยงจาก ภัยคุกคามไซเบอร์ของประเทศ กิจกรรมการจัดการฝึกและทดสอบแผนเผชิญเหตุ ในกรณีเกิดเหตุ ภัยคุกคามทางไซเบอร์ในระดับวิกฤติในระดับประเทศ โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1. โครงการบูรณา การทักษะการรักษา ความมั่นคงปลอดภัย ไซเบอร์กับทักษะ ดิจิทัลในระบบ การศึกษาอย่างเป็น ทางการตั้งแต่ระดับ ประถมศึกษาจนถึง ระดับหลังปริญญา 1 ) จัดทํากรอบบูรณาการทักษะการรักษาความมั่นคง ปลอดภัยไซเบอร์กับทักษะดิจิทัลในระบบการศึกษา อย่างเป็นทางการตั้งแต่ระดับประถมศึกษาจนถึงระดับ หลังปริญญา 2 ) จัดทําหลักสูตรและเนื้อหาทักษะการรักษาความมั่นคง ปลอดภัยไซเบอร์กับทักษะดิจิทัลในระบบการศึกษา อย่างเป็นทางการตั้งแต่ระดับประถมศึกษาจนถึงระดับ หลังปริญญา 3 ) จัดกิจกรรมส่งเสริม รวมถึงการแข่งขันเพื่อหาบุคลากร ที่มีความสามารถในการทํางาน พัฒนาวิจัย และสร้าง ผลิตภัณฑ์การรักษาความมั่นคงปลอดภัยไซเบอร์ 4 ) ปรั บปรุ งระเบี ยบและข้ อปฏิ บัติ ในการพิ จารณา การเลื่อนตําแหน่งหรือค่าตอบแทนต้องผ่านเกณฑ์ ทักษะการรักษาความมั่นคงปลอดภัยไซเบอร์ หลัก : สกมช. รอง : สพร. สพธอ. สํานักงาน ก.พ. สคช. สดช. สอศ. สพฐ . อว. ดศ. หน่วยงาน ควบคุมหรือ กํากับดูแล และหน่วยงาน โครงสร้าง พื้นฐานสําคัญ ทางสารสนเทศ

10 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 5 ) สร้างความร่วมมือระหว่างภาคส่วนต่าง ๆ ในการ บูรณา การ 6 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 2. โครงการสร้าง ความตระหนักรู้ ระดับชาติสําหรับ กลุ่มเป้าหมายที่ แตกต่างกัน (เช่น ผู้บริโภคทั่วไป ผู้ใช้ ในองค์กร เด็ก ธุรกิจ) และหลากหลาย รูปแบบ 1 ) จัดทํากรอบโปรแกรมสร้างความตระหนักรู้ระดับชาติ ด้วยแคมเปญที่กําหนดเป้าหมายสําหรับกลุ่มเป้าหมาย ที่แตกต่างกัน (เช่น ผู้บริโภค ทั่วไป ผู้ใช้ในองค์กร เด็ก ธุรกิจ) 2 ) จัดทําหลักสูตรและเนื้อหาโปรแกรมสร้างความตระหนักรู้ ที่กําหนดเป้าหมายสําหรับกลุ่มเป้าหมายที่แตกต่างกัน 3 ) จัดกิจกรรมส่งเสริม เผยแพร่โปรแกรมสร้างความตระหนักรู้ ระดับชาติ ผ่านช่องทางที่หลากหลายตรงกั บ กลุ่มเป้าหมาย เช่น ละคร โฆษณา กา ร์ตูน เพลง หรือสื่ออื่น ๆ รวมถึง การให้รางวัลผู้ร่วมกิจกรรม 4 ) พัฒนาแพลตฟอร์มในการเผยแพร่โปรแกรมสร้าง ความตระหนักรู้ระดับชาติ 5 ) สนับสนุนการมีส่วนร่วม โดยอาจพิจารณาสิทธิพิเศษ ทางภาษี และมาตรการส่งเสริมต่าง ๆ เพื่อเพิ่มจํานวน ของหน่วยงานสนับสนุน 6 ) กํากับดูแล ติดตาม ประเ มินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. สดช. สอศ. สพฐ . อว. ดศ. หน่วยงาน ควบคุมหรือ กํากับดูแล และหน่วยงาน โครงสร้าง พื้นฐานสําคัญ ทางสารสนเทศ 3. โครงการพัฒนา หลักปฏิบัติ ( Code of practices) เพื่อความมั่นคง ปลอดภัย ของอุปกรณ์ และผลิตภัณฑ์ที่ เชื่อมต่ออินเทอร์เน็ต 1 ) จัดทําหลักปฏิบัติ ( Code of practices) เพื่อความมั่นคง ปลอดภั ยของอุ ปกรณ์ และผลิ ตภั ณฑ์ ที ่ เชื ่ อมต่อ อินเทอร์เน็ต 2 ) สนับสนุน เผยแพร่ประชาสัมพันธ์ และให้ความรู้ ความเข้าใจในการปฏิบัติ 3 ) สนับสนุนการมีส่วนร่วม โดยอาจพิจารณาสิทธิพิเศษ ทางภาษี และมาตรการส่งเสริมต่าง ๆ เพื่อเพิ่มจํานวน ของหน่วยงานสนับสนุน 4 ) จัดให้เจ้าหน้าที่ของรัฐมีทักษะที่เกี่ยวข้อง 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอ ง : หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ สพร. สพธอ. กพ. สคช. สดช. สอศ. สพฐ . อว. ดศ. สทป . บก. ทท. บีโอไอ

11 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 4. โครงการให้ ความรู้ประชาชน เกี่ยวกับกฎหมาย กฎระเบียบ ความเสี่ยงของ อาชญากรรม ไซเบอร์ และมาตรการ ป้องกัน 1 ) พิ จารณากฎหมาย กฎระเบี ยบ ความเสี ่ ยงของ อาชญากรรมไซเบอร์ และมาตรการป้องกันแต่ละปี ที่จะให้ความรู้กับประชาชน 2 ) จัดทํา ปรับปรุง หรือสร้างแนวทางในการให้ความรู้ ประชาชนเกี่ยวกับกฎหมาย กฎระเบียบ ความเสี่ยง ของอาชญากรรมไซเบอร์ และมาตรการป้องกัน 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจใน การปฏิบัติ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ ตร. สพร. สพธอ. สํานักงาน ก.พ. สคช. สดช. สอศ. สพฐ . อว. ดศ. 5. โครงการฝึกซ้อม เพื่อการป้องกัน รับมือ และลด ความเสี่ยงจากภัย คุกคาม ไซเบอร์ของ ประเทศ กิจกรรม การจัดการฝึก และทดสอบแผน เผชิญเหตุ ในกรณี เกิดเหตุภัยคุกคาม ทางไซเบอร์ ใ น ระดับวิกฤติ ใ น ประเทศ 1 ) จัดการประชุมวางแผนการฝึก ( Exercise planning) 2 ) จัดการประชุมเพื่อจัดทําสถานการณ์และโจทย์ฝึก ( Exercise Development) 3 ) จัดการฝึกเตรียมการ ( Pre - exercise/Academic) 4 ) จัดการฝึกเพื่อทดสอบขีดความสามารถทางไซเบอร์ ในรูปแบบการฝึกฝ่ายเสนาธิการ ( Staff Exercise : Staff - Ex) หรื อ การฝึกปัญหาที่บังคับการ ( Command Post Exercise : CPX) หรือการฝึกภาคสนาม ( Field Training Exercise : FTX) 5 ) จัดทํารายงานสรุปผลการฝึก หลัก : สกมช. รอง : หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ กลยุทธ์ที่ 1.3 ส่งเสริมการวิจัยและพัฒนาและนวัตกรรมด้านความมั่นคง ปลอดภัยไซเบอร์ 1. ส่งเสริมการศึกษา วิจัย พัฒนาและสร้างนวัตกรรมด้านความมั่นคง ปลอดภัยไซเบอร์ 2. ส่งเสริมความร่วมมือด้านวิจัยและพัฒนา ระหว่างหน่วยงานวิจัย ในประเทศและต่างประเทศ 3. ส่งเสริมการลงทุนด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

12 4. ส่งเสริมการพัฒนาผลิตภั ณฑ์ด้านความมั่ นคงปลอดภัยไซเบอร์ ให้เป็นนวัตกรรม และสามารถต่อยอดเชิงพาณิชย์ได้ ตัวชี้วัดของกลยุทธ์ 1. มีการศึกษา วิจัย พัฒนาและสร้างนวัตกรรมด้านความมั่นคงปลอดภัย ไซเบอร์ ปีละไม่น้อยกว่า 1 ฉบับ 2. มีความร่วมมือด้านวิจัยและพัฒนา ระหว่างหน่วยงานวิจัยในประเทศ และต่างประเทศ อย่างน้อย 10 หน่วยงาน 3. มีการลงทุนด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ของจํานวน หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศไม่น้อยกว่าร้อยละ 50 4. มีผลิตภัณฑ์ด้านความมั่นคงปลอดภัยไซเบอร์ที่เป็นนวัตกรรมสามารถ ต่อยอดเชิง พาณิชย์ได้ โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการส่งเสริมและสนับสนุน ให้ทุน และจัดทําแพลตฟอร์มการวิจัย และพัฒนา นวัตกรรม วิทยาศาสตร์และเทคโนโลยีการรักษาความมั่นคงปลอดภัยไซเบอร์ 2 . โครงการ ส่งเสริมและสนับสนุนการพัฒนาธุรกิจ โซลูชัน และผลิตภัณฑ์ ด้านความมั่นคงปลอดภัยไซเบอร์ที่เป็นนวัตกรรมในประเทศ 3 . โครงการจัดตั้งสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ กิจกรรมการจัดตั้งห้องปฏิบัติการความมั่นคงปลอดภัยไซเบอร์ ( Cyber Security Lab) โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1. โครงการส่งเสริม และสนับสนุน ให้ทุน และจัดทําแพลต - ฟอร์มการวิจัย และพัฒนา นวัตกรรม วิทยาศาสตร์ และเทคโนโลยีการ รักษาความมั่นคง ปลอดภัยไซเบอร์ 1 ) จัดตั้งศูนย์แห่งความเป็นเลิศ ( Centers of excellence) หรือศูนย์วิจัยความมั่นคงปลอดภัยไซเบอร์ 2 ) มีการเผยแพร่สมุดปกขาว บอกทิศทางและแนวทาง ในการวิ จั ยและพั ฒนาด้ำนความมั ่ นคงปลอดภัย ของประเทศเป็นรายปี และใช้กําหนดทิศทางในการ พัฒนาและให้ทุนสนับสนุน 3 ) ส่งเสริมการทํางานร่วมกัน ( Collaboration) รูปแบบ การระดมทุน 4 ) พัฒนาฟอรัมหรือ แพลตฟอร์มการวิจัยและพัฒนา สําหรับความร่วมมือระหว่างภาครัฐและเอกชน 5 ) เผยแพร่กลยุทธ์วิทยาศาสตร์และเทคโนโลยีไซเบอร์ 6 ) ให้ทุนและสนับสนุนการวิจัยวิทยาศาสตร์และเทคโนโลยี ไซเบอร์ 7 ) สนับสนุนประชาชนชาวไทย นักศึกษา นักวิจัย เพื่อเพิ่ม จํานวนชาวไทยที่มีความเชี่ยวชาญด้านไซเบอร์ หลัก : สกมช. รอง : หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ สพร. สพธอ. สํานักงาน ก.พ. สดช. สอศ. สพฐ . อว. ดศ. สทป . บก.ทท. บีโอไอ

13 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 8 ) สนับสนุนงบประมาณในการวิจัยการระบุและจัดหา โซลูชั่นที่เป็นนวัตกรรมสําหรับปัญหาเร่งด่วนที่สุดบาง ประการในด้านความมั่นคงปลอดภัยไซเบอร์ 9 ) สนับสนุนการมีส่วนร่วม โดยอาจพิจารณาสิทธิพิเศษ ทางภาษี และมาตรการส่งเสริมต่าง ๆ เพื่อเพิ่มจํานวน ของหน่วยงานสนับสนุน 10 ) กํากับดูแล ติด ตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 2. โครงการส่งเสริม และสนับสนุนการ พัฒนาธุรกิจ โซลูชัน และผลิตภัณฑ์ด้าน ความมั่นคงปลอดภัย ไซเบอร์ที่เป็น นวัตกรรมในประเทศ 1 ) จัดทํานโยบายและแนวทางในการส่งเสริมการพัฒนา ธุรกิจ โซลูชัน และผลิตภัณฑ์ด้านความมั่นคงปลอดภัย ไซเบอร์ที่เป็นนวัตกรรมในประเทศ 2 ) ให้ความรู้และความร่วมมือกับสตาร์ทอัพด้านความ มั่นคงปลอดภัยไซเบอร์ในประเทศไทย โดยร่วมมือกับ นักวิจัย มหาวิทยาลัย บริษัทชั้นนําทั้งในและต่างประเทศ 3 ) สร้างแบรนด์และความน่าเชื่อถือของโซลูชันและผลิตภัณฑ์ ด้านความมั่ นคงปลอดภัยไซเบอร์ที่ เป็นนวัตกรรมใน ประเทศ 4 ) ส่งเสริมการใช้โซลูชันและผลิตภัณฑ์ด้านความมั่นคง ปลอดภัยไซเบอร์ที่เป็นนวัตกรรมในประเทศ โดยให้ สิทธิพิเศษและการสนับสนุนในด้านต่าง ๆ 5 ) สนับสนุนการมีส่วนร่วม โดย อาจพิจารณาสิทธิพิเศษ ทางภาษี และมาตรการส่งเสริมต่าง ๆ เพื่อเพิ่มจํานวน ของหน่วยงานสนับสนุน 6 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ สพร. สพธอ. สํานักงาน ก.พ. สคช. สดช. สอศ. สพฐ . อว. ดศ. สทป . บก. ทท. บีโอไอ 3. โครงการจัดตั้ง สํานักงาน คณะกรรมการการ รักษาความมั่นคง ปลอดภัยไซเบอร์ แห่งชาติ กิจกรรม การจัดตั้ ง ห้องปฏิบัติการ ความมั่นคงปลอดภัย 1) จัดทํากรอบแนวคิดในการดําเนินงาน และแผนการ ดําเนินงานในโครงการฯ พร้อมทั้งอธิบายรายละเอียด ระยะเวลา และผู้รับผิดชอบในโครงการ 2) จัดซื้อเครื่องมือเพิ่มเติม และติดตั้งประจําศูนย์ NCSA 3) ทดสอบการใช้ งานระบบ และปรั บแต่ งให้ตรงกับ ความต้องการ 4) จัดอบรมเกี่ยวกับการใช้งานให้กับเจ้าหน้าที่ที่เกี่ยวข้อง ให้ใช้เครื่องมือได้อย่างมีประสิทธิภาพมากขึ้น 5) ทดสอบวิธีการเจาะระบบ ( Penetration Test ) หลัก : สกมช. รอง : หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ

14 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ ไซเบอร์ ( Cyber Security Lab) กลุ่มเป้าหมาย ไม่น้อยกว่า 15 หน่วยงาน เพื่อรายงานช่อง โหว่ให้กับหน่วยงานรับทราบและดําเนินการป้องกัน และทํา การตรวจพิสูจน์หลักฐานทางดิจิทัล ให้กับหน่วยงานที่ได้รับ การโจมตีทางไซเบอร์ ไม่น้อยกว่า 10 หน่วยงาน 3.2.2 ยุทธศาสตร์ที่ 2 : บูรณาการความร่วมมือเพื่อเตรียมความพร้อมในการรับมือ ทางไซเบอร์และฟื้นคืนสู่สภาพปกติได้ (Partnership) วัตถุประสงค์ เพื่อบูรณาการความร่วมมือในการเตรียมความพร้อมสําหรับการรับมือภัย คุกคามทางไซเบอร์ และการฟื้ นคืนบริการที่ สําคัญสู่ สภาพปกติได้อย่างรวดเร็วกับทุกภาคส่วน ทั้งภายในประเทศและระหว่างประเทศ เป้าหมาย 1. มีการประสานความร่วมมือทั้งภาครัฐและภาคเอกชนภายในประเทศ เพื่อเตรีย มความพร้อมในการรับมือกับภัยคุกคามทางไซเบอร์และการฟื้นคืนสู่สภาพปกติ 2. มีการประสานความร่วมมือระหว่างประเทศ เพื่อเตรียมความพร้อม ในการรับมือกับภัยคุกคามทางไซเบอร์และการฟื้นคืนสู่สภาพปกติ กลยุทธ์ที่ 2.1 ส่งเสริมและสนับสนุนความร่วมมือระหว่างภาครัฐ และ ภาคเอกชน 1. ระบุถึงการมีส่วนร่วมของผู้มีส่วนได้ส่วนเสีย เพื่อสร้างความร่วมมือ ระหว่างหน่วยงานภาครัฐ และ ภาคเอกชน 2. กําหนดโครงสร้างการกํากับดูแลที่ชัดเจน และกําหนดกลไกที่ทําหน้าที่ สร้างความร่วมมือและประสานงานระหว่างหน่ วยงานภาครัฐ และภาคเอกชน 3. สร้างความร่วมมือระหว่างหน่วยงานภาครัฐ 4. รักษาสมดุลระหว่างความมั่นคงปลอดภัยทางไซเบอร์และการคุ้มครอง ข้อมูลส่วนบุคคล 5. สนับสนุนการพัฒนาศักยภาพบุคลากรภาครัฐที่เกี่ยวข้องกับการบังคับ ใช้กฎหมายด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ตัวชี้วัดของกลยุทธ์ 1. มีกิจกรรมเพื่อสร้างความร่วมมือระหว่างหน่วยงานภาครัฐ ภาคเอกชน ปีละไม่น้อยกว่า 3 กิจกรรม 2. มีโครงสร้างการกํากับดูแลที่ชัดเจน มี กลไกความร่วมมือและประสานงาน ระหว่างหน่วยงานภาครัฐ ระหว่างภาครัฐและภาคเอกชน และระหว่างภาคเอกชน 3. มีความร่วมมือระหว่างหน่วยงานภาครัฐ ปีละไม่น้อยกว่า 3 กิจกรรม 4. มีแนวทางความร่วมมือระหว่างหน่วยงานความมั่นคงปลอดภัยทาง ไซเบอร์และหน่วยงานการคุ้มครองข้อมูลส่วนบุคคล

15 5. บุคลากรภาครัฐที่เกี่ยวข้องกับการบังคับใช้กฎหมายด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ได้รับการพัฒนาศักยภาพ ปีละไม่น้อยกว่า 1 ครั้ง โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการส่งเสริมและสนับสนุนความร่วมมือระหว่างภาครัฐและเอกชน เพื่อระบุและตอบสนองต่อปัญหาที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ได้อย่างรวดเร็ว 2 . โครงการประสานหน่วยงานภาคธุรกิจ มุ่งเน้นไปที่ชุมชนธุรกิจ เพื่อรวม ความมั่นคงปลอดภัยไซเบอร์เข้ากับการ จัดการความเสี่ยงขององค์กร 3 . โครงการสนับสนุนการสร้างขีดความสามารถด้านอาชญากรรมไซเบอร์ ในระดับชาติ (เช่น กรอบการดําเนินการร่วมกันในการต่อต้านอาชญากรรมไซเบอร์เฉพาะทาง การดําเนินการร่วมกันระหว่างเจ้าหน้าที่ฝ่ายต่าง ๆ เช่น ตํารวจ และเจ้าหน้าที่ฝ่ายตุลาการ ผู้เชี่ยวช ำญ นิติวิทยาศาสตร์) 4 . โครงการการเป็นพันธมิตรกับหน่วยงานคุ้มครองข้อมูล ส่วนบุคคล สําหรับ การจัดแนว ทาง การปฏิบัติตามข้อกําหนดด้านความมั่ นคงปลอดภัยและการปฏิบัติตามข้อกําหนด ในการปกป้องข้อมูล ส่วนบุคคล โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1. โครงการส่งเสริม และสนับสนุนความ ร่วมมือระหว่างภาครัฐ และเอกชนเพื่อระบุ และตอบสนองต่อปัญหา ที่เกี่ยวข้องกั บ อาชญากรรมไซเบอร์ได้ อย่างรวดเร็ว 1 ) ส่งเสริมและสนับสนุนการกําหนดกรอบความร่วมมือ ระหว่างภาครัฐและเอกชนและความร่วมมื อ ระหว่าง ประเทศเพื ่ อระบุ และตอบสนองต่ อปั ญหาที่ เกี่ยวข้องกับอาชญากรรมไซเบอร์ได้อย่างรวดเร็ว 2 ) จัดทําแนวทางตามกรอบการปฏิบัติการ 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจ ในการปฏิบัติ 4 ) จัดให้เจ้าหน้าที่ของรัฐมีทักษะที่เกี่ยวข้อง 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับ สนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. ตร . หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้าง พื้นฐานสําคัญ ทางสารสนเทศ 2. โครงการประสาน หน่วยงานภาคธุรกิจ มุ่งเน้นไปที่ชุมชนธุรกิจ เพื่อรวมความมั่นคง ปลอดภัยไซเบอร์ เข้ากับ การจัดการความเสี่ยง ขององค์กร 1 ) กําหนดแนวทางในการสร้างความร่วมมือกับชุมชน ธุรกิจ เพื่อรวมความปลอดภัยทางไซเบอร์เข้ากับ การจัดการความเสี่ยงขององค์กร 2 ) จัดทําหรือปรับปรุงกฎหมาย กฎระเบียบที่ เกี่ยวข้อง 3 ) สนับสนุน เผยแพร่ประชาสัมพันธ์ และให้ความรู้ ความเข้าใจในการปฏิบัติ 4 ) จัดให้เจ้าหน้าที่ของรัฐมีทักษะที่เกี่ยวข้อง หลัก : สกมช. รอง : สพร. สพธอ. ดศ. สดช. สศด. หน่วยงาน ควบคุมหรือ กํากับดูแล

16 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง และ หน่วยงาน โครงสร้าง พื้นฐานสําคัญ ทางสารสนเทศ 3. โครงการสนับสนุน การสร้างขีด ความสามารถด้าน อาชญากรรมไซเบอร์ ในระดับชาติ (เช่น กรอบ การดําเนินการร่วมกัน ในการต่อต้าน อาชญากรรมไซเบอร์ เฉพาะทาง พัฒนาการ ฝึกอบรมเฉพาะสําหรับ การดําเนินการร่วมกัน ระหว่างเจ้าหน้าที่ฝ่าย ต่าง ๆ เช่น ตํารวจ และเจ้าหน้าที่ฝ่าย ตุลาการ ผู้เ ชี่ยวชาญนิติ วิทยาศาสตร์) 1 ) กําหนดกรอบการดําเนินการร่วมกันในการต่อต้าน อาชญากรรมไซเบอร์ เฉพาะทาง พั ฒนาการ ฝึกอบรมเฉพาะสําหรับการดําเนินการร่วมกัน ระหว่างเจ้าหน้าที่ฝ่ายต่าง ๆ 2 ) จัดทําแนวทางตามกรอบการปฏิบัติการ 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจ ในการปฏิบัติ 4 ) จัดให้เจ้าหน้าที่ของรัฐมีทั กษะที่เกี่ยวข้อง 5 ) กํากั บดู แล ติ ดตาม ประเมิ นผล ส่ งเสริ มและ สนับสนุนอย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. ตร . สํานักงาน อัยการ สูงสุด ( อส. ) หน่วยงาน ควบคุมหรือ กํากับดูแล ยธ. กห. บก. ทท. 4. โครงการการเป็น พันธมิตรกับหน่วยงาน คุ้มครองข้อมูลส่วน บุคคล สําหรับการจัด แนวทางการปฏิบัติตาม ข้อกําหนดด้านความมั่นคง ปลอดภัยและการปฏิบัติ ตามข้อกําหนด ในการปกป้องข้อมูลส่วน บุคคล 1 ) จัดทํากรอบในการทํางานร่วมกันกับหน่วยงาน คุ้มครองข้อมูล ส่วนบุคคล สําหรับการจัดแนว ทาง การปฏิบั ติ ตามข้อกําหนดด้านความมั่นคงปลอดภัย และการปฏิบัติ ตามข้อกําหนดในการปกป้องข้อมูล ส่วนบุคคล 2 ) จัดทําหรือปรับปรุงกฎหมาย กฎระเบียบที่ เกี่ยวข้อง 3 ) สนับสนุน เผยแพร่ประชาสัมพันธ์ และให้ความรู้ ความเข้าใจในการปฏิบัติ 4 ) จัดให้เจ้าหน้าที่ของรัฐมีทักษะที่เกี่ยวข้อง 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. ดศ. หน่วยงาน ควบคุมหรือ กํากับดูแล คณะกรรมการ คุ้มครองข้อมูล ส่วนบุคคล

17 กลยุทธ์ที่ 2.2 ประสานความร่วมมือระหว่างประเทศเพื่อรับมือภัยคุกคาม 1. กําหนดให้การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นประเด็นสําคัญ ในการกําหนดนโยบายด้านการต่างประเทศ 2. มีส่วนร่วมในเวทีการประชุมระหว่างประเทศด้านความมั่นคงปลอดภัย ไซเบอร์ 3. สร้างความร่วมมือด้านความมั่นคงปลอดภัยไซเบอร์ระหว่างประเทศ ในทุกมิติ 4. พัฒนายุทธศาสตร์ของประเทศให้สอดคล้องตามแนวปฏิบัติสากล 5. สนับสนุนการพัฒนาศักยภาพบุคลากรภาครัฐที่เกี่ยวข้องกับการบั งคับ ใช้กฎหมายระหว่างประเทศด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ และกฎหมายอื่นที่เกี่ยวข้อง เพื่อให้สามารถปฏิบัติงานร่วมกับหน่วยงานที่เกี่ยวข้องในระดับนานาชาติได้อย่างมีประสิทธิภาพ ตัวชี้วัดของกลยุทธ์ 1. มีการกําหนดให้การรักษาความมั่นคงปลอดภัยไซเบอร์เป็นนโยบำย ด้านการต่างประเทศ 2. มีการเข้าร่วมประชุมระหว่างประเทศด้านความมั่นคงปลอดภัยไซเบอร์ ในทุกกรอบความร่วมมือระหว่างประเทศ 3. มีความร่วมมือด้านความมั่ นคงปลอดภัยไซเบอร์ระหว่างประเทศ ในทุกมิติ อาทิ การบังคับใช้กฎหมาย การแลกเปลี่ยนข้อมูลภัยคุกคามไซเบอร์ เป็นต้น 4. มีการพัฒนายุทธศาสตร์ของประเทศให้สอดคล้องตามแนวปฏิบัติสากล 5. มีกิจกรรมเพื่อพัฒนาศักยภาพบุคลากรภาครัฐที่เกี่ยวข้องกับการบังคับ ใช้กฎหมายระหว่างประเทศด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ และกฎหมายอื่นที่เกี่ยวข้อ ง ได้รับ การพัฒนาศักยภาพ เพื่อให้สามารถปฏิบัติงานร่วมกับหน่วยงานที่เกี่ยวข้องในระดับนานาชาติได้อย่างมี ประสิทธิภาพ ปีละไม่น้อยกว่า 1 ครั้ง โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการสนับสนุนการสร้างขีดความสามารถด้านอาชญากรรมไซเบอร์ ในระดับนานาชาติ 2 . โครงการส่งเสริมและสนับ สนุนการแลกเปลี่ยนด้าน Cyber Norms และกฎหมายที่เกี่ยวข้อง 3 . โครงการส่งเสริมและสนับสนุนความร่วมมือและเข้าร่วมโครงการสําคัญ ในระดับ ASEAN และนานาชาติ เพื่อสร้างศักยภาพด้านไซเบอร์ โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1. โครงการสนับสนุน การสร้างขีดความ สามารถด้าน อาชญากรรมไซเบอร์ ในระดับนานาชาติ 1) ส่งเสริมและสนับสนุนการกําหนดกรอบการดําเนินการ ร่วมกันในการต่อต้านอาชญากรรมไซเบอร์เฉพาะทาง พัฒนาการฝึกอบรมเฉพาะสําหรับการดําเนินการ ร่วมกันระหว่างเจ้าหน้าที่ฝ่ายต่าง ๆ ในระดับนานาชาติ 2) จัดทําแนวทางตาม กรอบการปฏิบัติการ หลัก : สกมช. รอง : สพร. สพธอ. ตร . กต.

18 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 3) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจ ในการปฏิบัติ 4) จัดให้เจ้าหน้าที่ของรัฐมีทักษะที่เกี่ยวข้อง 5) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ 2. โครงการส่งเสริม และสนับสนุนการ แลกเปลี่ยนด้าน Cyber Norms และกฎหมายที่ เกี่ยวข้อง 1 ) กําหนดกรอบสนับสนุนการแลกเปลี่ยนด้าน Cyber Norms และกฎหมายที่เกี่ยวข้อง 2 ) จัดทําแนวทางสนับสนุนการแลกเปลี่ ยนด้าน Cyber Norms และกฎหมายที่เกี่ยวข้อง 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจใน การปฏิบัติ 4 ) จัดให้เจ้าหน้าที่ของรัฐมีทักษะที่เกี่ยวข้อง 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. กต. หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ 3. โครงการส่งเสริม และสนับสนุนความ ร่วมมือและเข้าร่วม โครงการสําคัญใน ระดับ ASEAN และนานาชาติ เพื่อสร้างศักยภาพ ด้านไซเบอร์ 1 ) กําหนดกรอบส่ งเสริ มความร่ วมมื อและเข้ำร่ วม โครงการสําคั ญในระดั บ ASEAN และนานาชาติ เพื่อสร้างศักยภาพด้านไซเบอร์ 2 ) จัดทําแนวทางส่งเสริมความร่วมมือและเข้าร่ วม โครงการสําคั ญในระดั บ ASEAN และนานาชาติ เพื่อสร้างศักยภาพด้านไซเบอร์ 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้ำใจ ในการปฏิบัติ 4 ) จัดให้เจ้าหน้าที่ของรัฐมีทักษะที่เกี่ยวข้อง 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. กต. หน่วยงาน ควบคุมหรือ กํากับดูแล และ หน่วยงาน โครงสร้าง พื้ นฐานสําคัญทาง สารสนเทศ 3.2.3 ยุทธศาสตร์ที่ 3 : สร้างบริการภาครัฐ และโครงสร้างพื้นฐานสําคัญทา ง สารสนเทศ ให้มีความมั่นคงปลอดภัยไซเบอร์และฟื้นคืนสู่สภาพปกติได้ (Resilience) วัตถุประสงค์ เพื่อส่งเสริมบริการภาครัฐและโครงสร้างพื้นฐานสําคัญทางสารสนเทศให้มี ความมั่นคงปลอดภัยไซเบอร์ และสามารถฟื้นคืนบริการที่สําคัญสู่สภาพปกติได้ เป้าหมาย 1. มีการกําหนดโครงสร้างการกํากับดูแลและกรอบกฎหมายสําหรับ หน่วยงานภาครัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ

19 2 . มีการกําหนดมาตรการการรักษาความมั่นคงปลอดภัยขั้นต่ําสําหรับ หน่วยงานภาครัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ 3. มีการปกป้องระบบข้อมูลและเครือข่ายของหน่วยงานภาครัฐ กลยุทธ์ที่ 3.1 กําหนดมาตรการการรักษาความมั่นคงปลอดภัยขั้นต่ําสําหรับ หน่วยงานโครงสร้างพื้นฐำนสําคัญทางสารสนเทศ ( Critical Information Infrastructure : CII ) 1. ปกป้องโครงสร้างพื้นฐานสําคัญทางสารสนเทศ โดยระบุถึงประเภท ของโครงสร้างพื้ นฐานสําคัญทางสารสนเทศ และกําหนดมาตรการลดความเสี่ ยงจากภัยคุกคาม ทางไซเบอร์ 2. กําหนดหลักเกณฑ์การรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นต่ํา 3. ส่งเสริมและสนับสนุนหลักการออกแบบระบบอย่างมั่นคงปลอดภัย ( Security By Design ) 4. ส่งเสริมและสนับสนุนให้บุคลากรทุกระดับมีความตระหนักรู้ในการรักษา ความมั่นคงปลอดภัยไซเบอร์ ตัวชี้วัดของกลยุทธ์ 1. มีการปกป้ องโครงสร้างพื้นฐานสําคัญทางสารสนเทศ และกําหนด มาตรการลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ครบทุกด้านตามประกาศของ สกมช. 2. มีการกําหนดหลักเกณฑ์การรักษาความมั่นคงปลอดภัยไซเบอร์ขั้นต่ํา สําหรับหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ ( Critical Information Infrastructu re : CII) 3. มีการส่งเสริมและสนับสนุนหลักการออกแบบระบบอย่างมั่นคงปลอดภัย ( Security By Design) สําหรับหน่วยงานโครงสร้างพื้ นฐานสําคัญทางสารสนเทศ ( Critical Information Infrastructure : CII) 4. มีการส่งเสริมให้บุคลากรทุกระดับหน่วยงานโครงสร้างพื้นฐานสําคัญ ทางสารสนเทศ ( Critical Information Infrastructure : CII) มีความตระหนักรู้ ในการรักษาความมั่ นคง ปลอดภัยไซเบอร์ ไม่น้อยกว่าร้อยละ 80 โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการพัฒนาหลักปฏิบัติ ( Code of practices) และจรรยาบรรณ ( Code of conduct) ที่เป็นมาตรฐานและขั้นตอนการตรวจสอบและติดตามการปฏิบัติตาม ( Compliance) 2 . โครงการส่งเสริมและสนับสนุนหลักการออกแบบระบบอย่างมั่นคง ปลอดภัย ( Security By Design) 3 . โครงการส่งเสริมและสนับสนุนการสร้างความตระหนักรู้โดยเฉ พาะที่ กําหนดเป้าหมาย CII ( ผู้บริหารสูงสุด และพนักงาน) 4 . โครงการขับเคลื่ อนแผน ยุทธศาสตร์ นโยบายว่าด้วยการรั กษา ความมั่นคง ปลอดภัยไซเบอร์ กิจกรรมพัฒนาขีดความสามารถ กระบวนการปฏิบัติงานด้านไซเบอร์ ตามมาตรฐานสากลของหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ

20 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1. โครงการพัฒนา หลักปฏิบัติ ( Code of practices) และ จรรยาบรรณ ( Code of conduct) นโยบาย และแนวทางที่เป็น มาตรฐาน และขั้นตอนการ ตรวจสอบ และติดตามการ ปฏิบัติตาม ( Compliance) 1 ) จั ดทําพั ฒนาหลั กปฏิ บั ติ ( Code of practices) และจรรยาบรรณ ( Code of conduct) นโยบาย และแนวทาง ( Policies and Guideline ) ที ่ เป็น มาตรฐานและขั้ นตอนการตรวจสอบและติดตาม การปฏิบัติตาม ( Compliance) 2 ) ส่วนของ Poli cies and Guideline ควรมีการสร้าง ความร่วมมือกับหน่วยงานด้านมาตรฐาน เช่น ISO หรื อ NIST รวมถึ งหน่ วยงานภายใน เช่ น ETDA เพื่อให้นโยบายและแนวปฏิบัติ มีความน่าเชื่อถือ และไม่เกิดความสับสนต่อผู้ปฏิบัติ ( CII) 3 ) กําหนดแนวทางการใช้งานหลักปฏิบัติในแต่ละภาคส่วน 4 ) ช่วยเหลือสําหรับธุรกิจในการปฏิบัติตาม 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. หน่วยงานควบคุม หรือกํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ 2. โครงการส่งเสริม และสนับสนุน หลักการออกแบบ ระบบอย่างมั่นคง ปลอดภัย ( Security By Design) 1 ) จัดทําหลักการออกแบบระบบอย่างมั่นคงปลอดภัย ( Security By Design) 2 ) กําหนดระเบียบข้อบังคับ นโยบายและแนวทาง ที่เกี่ยวข้อง 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจ ในการปฏิบัติ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. หน่วยงานควบคุม หรือกํากับดูแล และ หน่วยงาน โครงสร้างพื้ นฐาน สําคัญทาง สารสนเทศ 3. โครงการส่งเสริม และสนับสนุนการ สร้างความตระหนัก รู้โดยเฉพาะที่ กําหนดเป้าหมาย CII ( ผู้บริหารสูงสุด และพนักงาน) 1 ) จัดทํากรอบโปรแกรมการ สร้างความ ตระหนั ก รู้ โดยเฉพาะที่กําหนดเป้าหมาย CII ( ผู้บริหารสูงสุด และพนักงาน) 2 ) กําหนดระเบียบข้อบังคับ นโยบายและแนวทาง ที่เกี่ยวข้อง โดยกําหนดให้เป็นส่วนหนึ่งของภาระหน้าที่ ในการปฏิบัติ การเลื่อนตําแหน่ง 3 ) เผยแพร่ประชาสัมพันธ์ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. ก.พ. หน่วยงานควบคุม หรือกํากับดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ 1 . 4. โครงการ ขับเคลื่อนแผน ยุทธศาสตร์ นโยบายว่าด้วยการ รักษาความมั่นคง ปลอดภัยไซเบอร์ 1 ) ศึ กษาเพื ่ อทบทวนหลั กสู ตรเพื ่ อการพั ฒนาขีด ความสามารถกระบวนการปฏิบัติงานด้านไซเบอร์ตาม มาตรฐานสากล ของหน่วยงานโครงสร้างพื้ นฐาน สําคั ญทางสารสน เท ศ จํานว น 2 หลั กสู ต ร ประกอบด้ วย หลั กสู ตรผู ้ นํำการปฏิ บั ติ ( Lead หลัก : สกมช. รอง : หน่วยงาน ควบคุมหรือ กํากับดูแล และหน่วยงาน โครงสร้างพื้นฐาน

21 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ กิจกรรมพัฒนาขี ด ความสามารถ กระบวนการ ปฏิบัติงานด้าน ไซเบอร์ ตามมาตรฐานสากล ของหน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ Implementor) และหลักสูตรผู้นําตรวจสอบ ( Lead Auditor) 2 ) จัดประชุมรับฟังความคิดเห็นจากผู้ที่มีส่วนเกี่ยวข้อง ( Focus Group) เนื ้ อหาหลั กสู ตรผู ้ นํำการปฏิ บัติ ( Lead Implementor) และหลักสูตรผู้นําตรวจสอบ ( Lead Auditor) 3 ) จัดประชุมประชาพิ จารณ์ต่อ เนื้อหาหลักสูตรผู้นํา การปฏิบัติ ( Lead Implementor) และหลักสูตรผู้นํา ตรวจสอบ ( Lead Auditor) 4 ) จัดอบรมเชิงปฏิบัติการหลักสูตรผู้นําการปฏิบัติ ( Lead Implementor) และหลักสูตรผู้น ํา ตรวจสอบ( Lead Auditor) 5 ) จัดทําเว็บไซต์สําหรับการสอนหลักสูตรผู้นําการปฏิบัติ ( L ead Implementor) และหลักสูตรผู้นําตรวจสอบ ( Lead Auditor) ผ่านระบบออนไลน์ สําคัญ ทางสารสนเทศ กลยุทธ์ที่ 3.2 กําหนดโครงสร้างการกํากับดูแลและกรอบกฎหมายสําหรับ หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ 1. กําหนดวิธีการบริหารจัดการความเสี่ยงเพื่อปกป้องโครงสร้างพื้นฐาน สําคัญทางสารสนเทศ 2. พัฒนากลไกแนวทางการกํากับดูแลของหน่วยงานโครงสร้างพื้นฐาน สําคัญทางสารสนเทศ และพิจารณากําหนดให้ ข้อมูลและบริการคลาวด์ ( Data & Cloud Computing) เป็นโครงสร้างพื้นฐานสําคัญทางสารสนเทศที่ต้องมีการกํากับดูแลในระยะต่อไป 3. พัฒนากฎหมาย กฎระเบียบที่เกี่ยวข้องกับการรักษาควำมมั่นคงปลอดภัย ไซเบอร์ให้ทันสมัย ตัวชี้วัดของกลยุทธ์ 1. มีวิธีการบริหารจัดการความเสี่ยงเพื่อปกป้องโครงสร้างพื้นฐานสําคัญ ทางสารสนเทศ 2. มีกลไกและแนวทางการกํากับดูแลของหน่วยงานโครงสร้างพื้นฐาน สําคัญทางสารสนเทศ 3. มีกฎหมาย กฎระเบียบที่เกี่ยวข้องกับการรักษาความมั่ นคงปลอดภัย ไซเบอร์ที่ทันสมัย โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการ กฎระเบียบและข้อบังคับที่สนับสนุนทําให้เกิดความมั่นคง ปลอดภัยไซเบอร์

22 2 . โครงการพัฒนากรอบการทํางานที่ถูกต้องตามกฎหมายสําหรับ CII ( แนวทางและการควบคุมกํากับดูแล) 3 . โครงการพัฒนากลไกในการบูรณาการเหตุการณ์ความเสี่ยงทางไซเบอร์ สถานะการดําเนินการของผู้ดําเนินการ CII และกฎหมาย/แนวโน้มระหว่างประเทศเพื่อปรับปรุงแก้ไข หรือเกิดผลทางกฎหมายเพิ่มเติมอย่างทันท่วงที โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1. โครงการ กฎระเบียบ และข้อบังคับที่ สนับสนุนทําให้เกิด ความมั่นคง ปลอดภัยไซเบอร์ 1 ) การทบทวนกฎระเบียบและข้อบังคับที่สนับสนุน ความมั่นคงปลอดภัยไซเบอร์ เช่น การปฏิบัติงาน ระหว่ำงหน่ วยงาน ขอบเขตอํานาจหน้ำที่ และการประสานงาน การแบ่งปันข้อมูลข่าวสาร การรักษาความลับและข้อ มูลส่วนบุคคล การคุ้มครอง การปฏิบัติงานของเจ้าหน้าที่ การเก็บรวบรวม การ ใช้ และดูแลรักษาหลักฐานดิจิทัลที่ใช้ในชั้นศาล เป็นต้น 2 ) จั ดทําหรื อปรั บปรุ งระเบี ยบและข้ อบั งคั บที่ สนับสนุนความมั่นคงปลอดภัยไซเบอร์ 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจ ในการปฏิบัติ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : ยธ. สพร. สพธอ. หน่วยงาน ควบคุมหรือกํากับ ดูแล 2. โครงการพัฒนา กรอบการทํางาน ที่ถูกต้องตาม กฎหมายสําหรับ หน่วยงานโครงสร้าง พื้นฐานสําคัญทาง สารสนเทศ ( แนวทาง และการ ควบคุมกํากับดูแล) 1 ) กําหนด แนวทางการบริหารจัดการด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ สําหรับ หลักการควบคุม หรือกํากับดูแล ( Governance) และ การบริหาร จัดการความเสี่ยง 2 ) พัฒนารูปแบบการกํากับดูแลของภาครัฐและภาระ ความรับผิดชอบ ( Adopt a governance model with clear responsibilities) ของหน่วยงา น ภาครัฐ และผู ้ มี ส่ วนเกี ่ ยวข้ องในการปกป้ องคุ ้ มครอง โครงสร้างพื้นฐานสําคัญ ( Critical infrastructures: CIs) และโครงสร้างพื้นฐานสําคัญทางสารสนเทศ ( CIIs) 3 ) กําหนดระเบียบข้อบังคับที่เกี่ยวข้อง 4 ) การสนั บสนุ นการร่ วมลงทุ นระหว่ำงภาครัฐ แ ล ะ ภำ ค เ อ ก ช น ( Establish public - private partnerships) การสร้างแรงจูงใจในทุกภาคส่วน ( Utilize a wide range of market levers) หลัก : สกมช. รอง : สพร. สพธอ. หน่วยงานควบคุม หรือกํากับดูแล

23 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 5 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจ ในการปฏิบั ติ 6 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 3 . โครงการพัฒนา กลไกในการ บูรณาการเหตุการณ์ ความเสี่ยงทาง ไซเบอร์ สถานะ การดําเนิน การของ หน่วยงานโครงสร้าง พื้นฐานสําคัญทาง สารสนเทศ และกฎหมาย/ แนวโน้มระหว่าง ประเทศเพื่อ ปรับปรุงแก้ไข หรือเกิดผลทาง กฎหมายเพิ่มเติม อย่างทันท่วงที 1 ) จัดทํากลไกในการบูรณาการเหตุการณ์ความเสี่ยง ทางไซเบอร์ สถานะการดําเนินการของ หน่วยงาน โครงสร้ำงพื ้ นฐานสําคั ญทางสารสนเทศ และ กฎหมาย/แนวโน้มระหว่างประเทศเพื่อปรับปรุง แก้ ไขหรื อเกิ ดผลทางกฎหมายเพิ ่ มเติ มอย่ำง ทันท่วงที 2 ) กําหนดระเบียบข้อบังคับที่เกี่ยวข้อง 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจ ในการปฏิบัติ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเส ริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : ยธ. กต. สพร. สพธอ. หน่วยงานควบคุม หรือกํากับดูแล กลยุทธ์ที่ 3.3 ปกป้องระบบข้อมูลและเครือข่ายของหน่วยงานภาครัฐ 1. กําหนดให้หน่วยงานภาครัฐปฏิบัติตามนโยบายมาตรฐานการรักษา ความมั่นคงปลอดภัยขั้นต่ํา 2. กําหนดให้มีการประเมินความเสี่ยงจากการใช้เทคโนโลยีเพื่อให้เกิด ความมั่นคงปลอดภัยตั้งแต่เริ่มต้นการใช้งาน 3. กําหนดมุมมองการดําเนินการด้านการรักษาความมั่นคงปลอดภัย ไซเบอร์ร่วมกัน 4 . เตรียมความพร้อมด้านบุคลากร ข้อมูล เทคโนโลยี และกระบวนการ เพื่อรับมือภัยคุกคามไซเบอร์สมัยใหม่ ตัวชี้วัดของกลยุทธ์ 1. มีการกําหนดให้หน่วยงานภาครัฐปฏิบัติตามนโยบาย มาตรฐาน การรักษา ความมั่นคงปลอดภัยขั้นต่ํา เพิ่มขึ้นปีละไม่น้อยกว่าร้อยละ 10

24 2. มีการกําหนดให้มีการประเมินความเสี่ยงจากการใช้เทคโนโลยีเพื่อให้ เกิดความมั่นคงปลอดภัยตั้งแต่เริ่มต้นการใช้งาน เพิ่มขึ้นปีละไม่น้อยกว่าร้อยละ 10 3. มีกิจกรรมการดําเนินการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ร่วมกัน อย่างน้อยปี ละไม่ต่ํากว่า 1 ครั้ง 4. มีกิจกรรมที่ เกี่ ยวกับการเตรียมความพร้อมด้านบุคลากร ข้อมูล เทคโนโลยี และกระบวนการเพื่อรับมือภัยคุกคามภัยไซเบอร์สมัยใหม่ ปีละไม่น้อยกว่า 1 กิจกรรม โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการส่งเสริมและสนับสนุนการนําเทคโนโลยีมาใช้เพื่ อให้เกิด ความมั่นคงปลอดภัยตั้งแต่เริ่มต้นการใช้งาน ( Security by default) 2 . โครงการพัฒนาและบังคับใช้มาตรฐานการรักษาความมั่นคงปลอดภัย ขั้นต่ําสําหรับบริการภาครัฐ (เช่น ข้อกําหนดมาตรฐานความมั่นคงปลอดภัยไซเบอร์ที่รวมอ ยู่ในสัญญา ด้านเทคโนโลยีสารสนเทศของรัฐบาล) 3 . โครงการ สร้ำงการจั ดการแบบองค์ รวมของเครื อข่ำยที ่ ดําเนิ นการ โดยหน่วยงานของรัฐ โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1. โครงการส่งเสริม และสนับสนุนการนํา เทคโนโลยีมาใช้เพื่อให้ เกิดความมั่นคง ปลอดภัยตั้งแต่เริ่มต้น การใช้งาน ( Security by default) 1 ) จัดทําแนวปฏิบัติ “ความมั่นคงปลอดภัยตั้งแต่เริ่มต้น การใช้งาน ( Security by default)” 2 ) จัดทํามาตรการสนับสนุนให้ผู้ให้บริการฮาร์ดแวร์ และซอฟต์ แวร์ ให้ ปฏิ บั ติ ตามแนวทางปฏิ บั ติ “ความมั่ นคงปลอดภัยตั้ งแต่เริ่ มต้นการใช้ งาน ( Security by default)” 3 ) สํารวจวิธีกระตุ้นตลาดด้วยการให้คะแนนความมั่นคง ปลอดภัยสําหรับผลิตภัณฑ์ใหม่ 4 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ ความเข้าใจ ในการปฏิบัติ 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. หน่วยงาน ควบคุมหรือ กํากับดูแล และหน่วยงาน โครงสร้าง พื้นฐานสําคัญ ทางสารสนเทศ 2. โครงการพัฒนา และบังคับใช้มาตรฐาน การรักษาความมั่นคง ปลอดภัยขั้นต่ําสําหรับ บริการภาครัฐ (เช่น ข้อกําหนดมาตรฐาน 1 ) จัดทํามาตรฐานการรักษาความมั่ นคงปลอดภัย ขั ้ นต่ ําสําหรั บบริ การภาครั ฐ เช่ น ข้ อกําหนด มาตรฐานความมั่น คงปลอดภัยไซเบอร์ที่รวมอยู่ใน สัญญาด้านไอทีของรัฐบาล แนวทางและเกณฑ์ ในการพิจารณาความเสี่ยงในการเลือกผู้ให้บริการ หลัก : สกมช. รอง : สพร. สพธอ. หน่วยงาน ควบคุมหรือ กํากับดูแล

25 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ ความมั่นคงปลอดภัย ไซเบอร์ที่รวมอยู่ใน สัญญาด้านไอที ของรัฐบาล) และผลิตภัณฑ์ , Backdoor Policy, การพิจารณา ความเสี่ยงจาก Vendor Lock in 2 ) กําหนดระเบียบข้อบังคับที่เกี่ยวข้อง 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจ ในการปฏิบัติ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 3. โครงการสร้างการ จัดการแบบองค์รวม ของเครือข่ายที่ ดําเนินการโดย หน่วยงานของรัฐ 1 ) กําหนดกรอบการจัดการแบบองค์รวมของเครือข่าย ที่ดําเนินการโดยหน่วยงานของรัฐ เช่น ให้มีหน่วยงาน กลางที่ รับผิดชอบของแต่ละกรม มีการเชื่ อมโยง ขอบเขต อํานาจหน้าที่ และการประสานงานระหว่าง กรมไปยังกระทรวง และการเชื่ อมโยงของแต่ละ ก ระทรวง การดําเนิ นการโดยหน่ วยงานกลาง หรือการกระจายอํานาจ และประสานการทํางาน ร่วมกัน 2 ) จั ดทําแพลตฟอร์ มการจั ดการแบบองค์ รวม ของเครือข่ายที่ดําเนินการโดยหน่วยงานของรัฐ 3 ) ปรั บปรุ งและสนั บสนุ นการเข้ำถึ งผู ้ เชี ่ ยวชาญ ด้านไซเบอร์ในหน่วยงานของรัฐ 4 ) เผยแพร่ประชาสัมพันธ์ และให้ควา มรู้ความเข้าใจ ในการปฏิบัติ 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. หน่วยงาน ควบคุมหรือ กํากับดูแล และหน่วยงาน โครงสร้าง พื้นฐานสําคัญ ทางสารสนเทศ 3 . 2 . 4 ยุทธศาสตร์ที่ 4 : สร้างศักยภาพของหน่วยงานระดับชาติให้มีคุณภาพและมาตรฐาน (Standard) วัตถุประสงค์ มุ่งสร้างศักยภาพของหน่วยงานระดับชาติให้มีคุณภาพและมาตรฐาน เพื่อให้ การบริหารจัดการด้านความมั่นคงปลอดภัยไซเบอร์เป็นไปอย่างมีประสิทธิภาพ เป้าหมาย และตัวชี้วัด 1. มีการบริหารจัดการการรักษาความมั่นคงปลอดภัยไซเบอร์แบบบูรณาการ ในระดับชาติ

26 2. มีหน่วยงานหลักและหน่วยงานรองที่มีคุณภาพและมาตรฐาน สามารถ ทํางานร่วมกันแบบบูรณาการได้ 3. มีมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ 4. มีการแบ่งปันข้อมูลภัยคุกคามทา งไซเบอร์อย่างมีประสิทธิภาพ 5. หน่ วยงานโครงสร้างพื ้ นฐานสําคั ญทางสารสนเทศของประเทศ มีมาตรการการรักษาความมั่นคงปลอดภัยไซเบอร์ที่เข้มแข็ง กลยุทธ์ที่ 4 .1 เพิ่มขีดความสามารถในการรับมือและตอบสนองต่อเหตุการณ์ ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ 1. พิจารณาศึกษาและทบทวนนโยบาย กฎหมาย และขีดความสามารถ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ที่มีอยู่ในปัจจุบัน เพื่อกําหนดแนวทางการพัฒนาการรักษา ความมั่นคงปลอดภัยไซเบอร์ของ ประเทศ 2. กําหนดกลไกการขับเคลื่อนยุทธศาสตร์ กระบวนการตัดสินใจ การแบ่ง หน้าที่ความรับผิดชอบ การประสานความร่วมมือกับหน่วยงา น ที่เกี่ยวข้อง แนวทางการดําเนินการ และการติดตามประเมินผลการปฏิบัติงาน 3. ส่งเสริมบุคลากร ( People ) กระบวนการ ( Process ) และเทคโนโลยี ( Techn ology ) ให้มีการพัฒนาศักยภาพ คุณภาพ และมาตรฐาน เพื่อสร้างความเชื่อมั่นให้กับผู้มีส่วนได้เสีย และนํามาตรฐานและแนวปฏิบัติที่ดีมาใช้ในการปฏิบัติงาน โดยอาจดําเนินการเพื่อให้ได้รับใบรับรอง ( Certification ) และการรับรอง ( Accreditation ) ในส่วนของการปฏิบัติงานที่สําคัญ 4. พัฒนาแผนรองรับสถานการณ์ฉุกเฉินด้านไซเบอร์ เพื่อใช้ในการรับมือ และฟื้นฟูบริการโครงสร้างพื้นฐานสําคัญทางสารสนเทศ โดยจัดตั้งทีมรับมือเหตุการณ์ด้านความ มั่นคง ปลอดภัยคอมพิวเตอร์ ( Computer Security Incident Response Team : CSIRT ) ตลอดจนการฝึกซ้อม แผนรับมือปัญหาความมั่นคงปลอดภัยไซเบอร์ ตัวชี้วัดของกลยุทธ์ 1. มีการทบทวนนโยบาย กฎหมาย และขีดความสามารถด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ที่มีอยู่ในปัจจุบัน เพื่อกําหนดแนวทางการพัฒนาการรักษาความมั่นคง ปลอดภัยไซเบอร์ของประเทศ 2. มีแนวทางการติ ดตามประเมินผลการปฏิบัติงาน 3. ส่งเสริมให้มีการพัฒนาศักยภาพบุคลากร ( People) กระบวนการ ( Process) และเทคโนโลยี ( Technology) ให้มีคุณภาพตามมาตรฐาน เพิ่มขึ้นปีละไม่น้อยกว่าร้อยละ 10 4. มีแผนเตรียมพร้อมด้านการรองรับสถานการณ์ฉุกเฉินด้านไซเบอร์ เพื่อใช้ในการรับมือ และฟื้นฟูบริการโครงสร้างพื้นฐานสําคัญทางสารสนเทศ และมีการจัดตั้งทีมรับมือ เหตุการณ์ด้านความมั่นคงปลอดภัยคอมพิวเตอร์ ตลอดจนการฝึกซ้อมแผนรับมือปัญหาความมั่นคง ปลอดภัยไซเบอร์ จํานวนไม่น้อยกว่า 1 แผน โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการ ส่ งเสริ มและสนั บสนุ นการปฏิ บั ติ งานของสํานั กงาน คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ให้มีคุณภาพและมาตรฐาน

27 2 . โครงการ เพิ่มขีดความสามารถสํานักงานคณะกรรมการการรักษาความ มั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) 3 . โครงการ ปรับปรุงกฎหมาย ระเบียบและข้อบัง คับในด้านความมั่นคง ปลอดภัยไซเบอร์ 4 . โครงการ ผสานรวมการค้นพบภัยคุกคาม การวิเคราะห์ และการ ตอบสนองต่อเหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ 5 . โครงการ จัดทําแผนฉุกเฉินสําหรับการจัดการวิกฤตความมั่นคงปลอดภัย ไซเบอร์ 6 . โครงการ จัดระเบียบและดําเนินการฝึกซ้อมความมั่นคงปลอดภัยไซเบอร์ 7 . โครงการ การสกัดกั้นภัยคุกคามในระดับผู้ให้บริการโทรคมนาคม 8 . โครงการ ส่งเสริมและสนับสนุนการรวมผลิตภัณฑ์ความมั่นคงปลอดภัย ไซเบอร์เข้ากับข้อเสนอ บริการอื่น ๆ 9 . โครงการขับเคลื่ อนแผน ยุทธศาสตร์ นโยบายว่าด้วยการรั กษา ความมั่ นคงปลอดภัยไซเบอร์ กิจกรรมยกระดับขีดความสามารถการรักษาความมั่ นคงปลอดภัย ไซเบอร์ ( Cyber Security Self - Assessment) 10 . โครงการการฝึกซ้อมเพื่อการป้องกัน รับมือ และลดความเสี่ยงจาก ภัยคุกคามไซเบอร์ของประเทศ กิจกรรมการจัดทําแผนเผชิญเหตุด้านไซเบอร์ ( National Incident Response Plan) 11 . โครงการจั ดตั ้ ง Sectoral CERT และพั ฒนาแพลตฟอร์ มรั กษา ความปลอดภัยทางไซเบอร์เพื่อรับมือเหตุฉุกเฉินทางคอมพิวเตอร์สําหรับ Sectoral CERT ของหน่วยงาน ด้านสาธารณสุข โค รงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1. โครงการ ส่งเสริม และสนับสนุนการ ปฏิบัติงานของ สํานักงาน คณะกรรมการ การรักษาความ มั่นคงปลอดภัย ไซเบอร์แห่งชาติ (สกมช.) ให้มี คุณภาพ และ มำตรฐาน 1 ) การจั ดตั ้ งศู นย์ ประสานการรั กษาความมั ่ นคง ปลอดภัยระบบคอมพิวเตอร์แห่งชาติ ( National CERT) 2 ) การพั ฒนาระบบส นั บส นุ น ข องส ํานั ก งำ น คณะกรรมการการรั กษาความมั ่ นคงปลอดภัย ไซเบอร์แห่งชาติ (สกมช.) 3 ) การจัดตั้งห้องปฏิบัติการวิเคราะห์ข้อมูลทางเทคนิค ส ํา ห ร ั บ กำ ร ท ดส อ บ เจำ ะ ระ บ บ กำ ร ต ร ว จ พิ สู จน์ หลั กฐาน การทดสอบอุ ปกรณ์ CERT ของแต่ ละภาคส่ วนของหน่ วยงาน CII (Sector CERT) ศูนย์วิเคราะห์ข่าวกรองทางไซเบอร์ ( Cyber หลัก : ดศ. สกมช. รอง : หน่วยงาน ควบคุมหรือกํากับ ดูแล บก.ทท. กห. ตร.

28 โค รงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ Threat Intelligence Fusion Center), อ ุ ป ก ร ณ์ และเครื่องมือของ CPT (Cyber Protection Team) 4 ) การจั ดตั ้ งระบบแผนกช่ วยเหลื อ ( Help Desk) ในศูนย์ประสานการรักษาความมั่ นคงปลอดภัย ระบบคอมพิวเตอร์แห่งชาติ 5 ) การจัดตั้งศูนย์ปฏิบัติการร่วมทางไซเบอร์ของแต่ละ หน่วย งาน โครงสร้างพื้นฐานสําคัญทางสารสนเทศ ของ สํานักงานคณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ (ส กมช.) 6 ) นํามาตรฐานและแนวปฏิ บั ติ ที ่ ดี มาใช้ ในการ ปฏิบัติงาน พร้อมทั้งได้รับใบรับรอง ( Certification) และการรับรอง ( Accreditation) ในส่วนของการ ปฏิ บั ติ งานที ่ สําคั ญ เช่ น ISO/IEC 27001 , ISO 2 2 3 0 1 , ISO/IEC 2 0 0 0 0 - 1 , ISO/IEC 3 8 5 0 0 เป็นต้น 7 ) จัดทําระบบในการกํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุนอย่างต่อเนื่องแบบ real - time 8 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 9 ) กําหนดหน่วยงานควบคุมหรือกํากับดูแลของแต่ละ ภาคส่วน ( CII Sector ) พร้อมทั้งส่งเสริมและสนับสนุน การทํางานของ CII Se ctor จัดให้หน่วยงา น สนับสนุน ในระดั บภู มิ ภาค เช่ น มหาวิ ทยาลั ย เอกชน สถาบันการศึกษา หน่วยงานที่มีความชํานาญเฉพาะด้าน เป็นต้น เพื่อช่วยเหลือการทํางานของ CII Sector 10 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริม และสนับสนุน อย่างต่อเนื่อง 2. โครงการ เพิ่มขีด ความสามารถ สํานักงา น คณะกรรมการ การรักษา ความมั่นคง 1 ) การสร้างทีมปฏิบัติการป้องกันภัยไซเบอร์ ( Cyber Protection Team : CPT) 2 ) อบรมเพื่อพัฒนาทักษะทางไซเบอร์สําหรับผู้บริหาร และผู ้ ปฏิบัติงานของสํานักงานคณะกรรมการ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หลัก : ดศ. สกมช. รอง : หน่วยงานควบคุม หรือกํากับดูแล หน่วยงานโครงสร้าง พื้นฐานสําคัญทาง

29 โค รงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ ปลอดภัย ไซเบอร์แห่งชาติ (สกมช.) 3 ) การจัดหาระบบฝึกซ้อมในการรับมือภัยคุกคาม ทางไซเบอร์ 4 ) จัดตั้งศูนย์อบรม Cybersecurity Training Center 5 ) จัดหาระบบ Cybersecurity Learning P latform 6 ) เพิ่ มศั กยภาพในการกํากับดูแล ( Governance ) โดยกําหนดให้มีการจัดตั้ ง “ประชาคมไซเบอร์ แห่งชาติ” โดยมีสมาชิก เป็นผู้แทนหน่วยงานกํากับ และหน่วยงานปฏิบัติ จากแต่ละ CII มีวัตถุประสงค์ เพื่อให้เกิดการแลกเปลี่ยนองค์ความรู้ และแนวคิด ให้เกิดการปฏิบัติตาม แผนปฏิบัติการฯ นโยบาย การบริ หารจั ดการ ประมวลแนวทาง ปฏิ บั ติ และกรอบมาตรฐานด้ำนการรั กษาความมั ่ นคง ปลอดภัยไซเบอร์ ร่วมถึงแนวทางการปฏิบัติอื่น ๆ ที่จะมีตามมาในภายหลัง 7 ) การส่งเสริ มและสนับสนุนให้มีหน่วยงานพันธมิตร ที่สนับสนุนด้านความมั่นคงปลอดภัยเพื่อช่วยเหลือ ภารกิจต่าง ๆ โดยหน่วยงานพันธมิตรควรมาจาก หลากหลายภาคส่วน และหลากหลายภูมิภาค 8 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริม และสนับสนุน อย่างต่อเนื่อง สารสนเทศ บก.ทท. กห. ตร. สดช. สทป. อว. DEPA 3. โครงกา ร ปรับปรุง กฎหมาย ระเบียบ และ ข้ อ บั งคั บใน ด้ำนความมั ่ นคง ปลอดภัยไซเบอร์ 1 ) การทบทวนแก้ไข หรือแนวทางในการสร้างกฎหมาย ในด้านมั่นคงปลอดภัยไซเบอร์ 2 ) จัดทํา ปรับปรุง หรือสร้างกฎหมายในด้านมั่นคง ปลอดภัยไซเบอร์ 3 ) เผยแพร่ประชาสัมพันธ์ และให้ความรู้ความเข้าใจ ในการปฏิบัติ 4 ) จัดให้เจ้าหน้าที่ของรัฐมีทักษะที่เกี่ยวข้อง 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุ น อย่างต่อเนื่อง หลัก: สกมช. รอง: หน่วยงาน ควบคุมหรือกํากับ ดูแล ยธ. กห. ตร . สพร. สพธอ. 4. โครงการ ผสาน รวมการค้นพบภัย คุกคามกา ร วิเคราะห์ และการ 1 ) จัดทํากรอบการดําเนินการการผสานรวมการค้นพบ ภัยคุกคาม 2 ) การวิเคราะห์ และการตอบสนองต่อเหตุการณ์ ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ หลัก: สกมช. รอง: หน่วยงานควบคุม หรือกํากับดูแล

30 โค รงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ ตอบสนองต่อ เหตุการณ์ที่ เกี่ยวกับความมั่นคง ปลอดภัยไซเบอร์ 3 ) สร้ำงกลไกการรายงานเหตุ การณ์ ที ่ เกี ่ ยวกับ ความมั่นคงปลอดภัยไซเบอร์จากทุกภาคส่วน 4 ) การพัฒนาระบบการรายงานเหตุการณ์ที่เกี่ยวกับ ความมั่ นคงปลอดภัยไซเบอร์และการวิเคราะห์ และตอบสนองกึ่งอัตโนมัติ หรืออัตโนมัติ 5 ) การพัฒนาบุคลากรในการปฏิบัติการวิเคราะห์ และการตอบสนองต่อเหตุการณ์ที่เกี่ยวกับความมั่นคง ปลอดภัยไซเบอร์ 6 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 5. โครงการ จัดทํา แผนฉุกเฉินสําหรับ การจัดการวิกฤต ความมั่นค ง ปลอดภัยไซเบอร์ 1 ) กําหนดกรอบในการจัดทําแผนฉุกเฉิน ( Contingency plans) สําหรับการจัดการวิกฤตความมั่นคงปลอดภัย ไซเบอร์ ระดั บประเทศ เพื ่ อรองรั บการจั ดการ ในสถานการณ์ฉุกเฉินหรือภาวะวิกฤตของประเทศ โดยเฉพาะระบบโครงสร้ำงพื ้ นฐาน สําคั ญทาง สารสนเทศ ทั ้ งนี ้ ควรคํานึ งถึ งผลการประเมิน ความเสี่ ย ง ระดับประเทศและระดับภาคส่วนต่าง ๆ ซึ่ งสามารถส่งผลกระทบเชื่ อมโยงมายัง โครงสร้าง พื้นฐานสําคัญทางสารสนเทศ ของประเทศได้ 2 ) ส่งเสริมและให้ความรู้ ความเข้าใจแก่หน่วยงาน ที่เกี่ยวข้อง 3 ) ทบทวน ปรับปรุงกรอบในการจัดทําแผนฉุกเฉิน สําหรั บการจั ดการวิ กฤตความมั ่ นคงปลอดภัย ไซเบอร์ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก: สกมช. รอง: หน่วยงานควบคุม หรือกํากับดูแล สมช. บก.ทท. 6. โครงการ จัด ระเบียบ และดําเนินการ ฝึกซ้อมความมั่นคง ปลอดภัยไซเบอร์ 1 ) กําหนดแนวทางใน การ ดําเนินการฝึกซ้อมความมั่นคง ปลอดภัยไซเบอร์ 2 ) ประชาสัมพันธ์และประกาศใช้แนวทางใ น ดําเนินการ ฝึกซ้อมความมั่นคงปลอดภัยไซเบอร์ 3 ) ดําเนินการฝึกซ้อมความมั่ นคงปลอดภัยไซเบอร์ ระหว่างภาคส่วนต่าง ๆ หลัก: สกมช. รอง: สพร. สพธอ. สมช. หน่วยงาน ควบคุมหรือกํากับ ดูแล บก.ทท.

31 โค รงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 4 ) ขยายการฝึกซ้อมความมั่นคงปลอดภัยไซเบอร์ระดับ นานาชาติ 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 7. โครงการ การ สกัดกั้นภัยคุกคาม ในระดับผู้ให้บริการ โทรคมนาคม 1 ) จัดกรอบแนวทางในการสกัดกั้นภัยคุกคามทางไซเบอร์ ร่วมกับผู้ให้บริการโทรคมนาคม 2 ) จัดทําแนวทางตามกรอบการปฏิบัติการ 3 ) สนับสนุน เผยแพร่ประชาสัมพันธ์ และให้ความรู้ ความเข้าใจในการปฏิบัติ 4 ) จัดทําแนวสนับสนุนเมื่อได้รับกำรร้องขอความร่วมมือ จากทางเจ้าหน้าที่ของรัฐเพื่อป้องกันภัยคุกคามทาง ไซเบอร์ 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก: สกมช. รอง: กสทช. 8. โครงการ ส่งเสริม และสนับสนุน การรวมผลิตภัณฑ์ ความมั่นคง ปลอดภัยไซเบอร์ เข้ากั บ ข้อเสนอ บริการอื่นๆ 1 ) จัดทําแนวทางในการรวมผลิตภัณฑ์ความมั่ นคง ปลอดภั ยไซเบอร์เข้ำกั บข้อเสนอบริการอื ่ น ๆ ผลิตภัณฑ์หรือบริการอื่น ๆ ที่จะนําเข้ามาเชื่อมต่อ ใช้ งาน หรื อให้ บริ การกั บบริ การที ่ สําคั ญของ หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐาน สําคั ญทางสารสนเทศ ( Critical information infrastructure: CII) ต้องมีการพิจารณาด้านความ มั่นคงปลอดภัยเข้าไปด้วยในแนวทางและเกณฑ์ ในการพิจารณาความเสี่ยงในการเลือกผู้ให้บริการ และผลิตภัณฑ์ตลอดวงจรชีวิตของการบริ หาร จัดการความเสี่ยงจากบุคคลภายนอก ( Third Party Risk Management Life Cycle) เ ช ่ น น โ ย บำ ย ที่ยืนยันได้ว่าผลิตภัณฑ์หรื อบริการนั้นไม่มีการแอบ แฝงภัยคุกคามที่ทํางานอยู่ในฉากหลัง ( Backdoor Policy) ความเสี่ยงจากการพึ่งพาบุคคลภายนอก รายใดรายหนึ่ง ( Third Party/Vendor Locked - in) โดยการพึ่งพาบุคคลภายนอกรายใดรายหนึ่งเป็น หลัก อาจทําให้มีข้อจํากัดในการเปลี่ ยนแปลง เทคโนโลยีผู้ให้บริการหรือ พันธมิตร และข้อจํากัด หลัก: สกมช. รอง: สพร. สพธอ. หน่วยงานควบคุม หรือกํากับดูแล

32 โค รงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ ในการนําระบบหรือข้อมูลกลับมาดําเนินการเอง เป็นต้น ซึ่งต้องอาศัยกฎหมาย ระเบียบ ข้อบังคับที่ จําเป็นในการบังคับใช้การรวมผลิตภัณฑ์ความมั่นคง ปลอดภัยไซเบอร์เข้ากับข้อเสนอบริการอื่น ๆ 2 ) ออกกฎหมาย ระเบี ยบ ข้ อบั งคั บที ่ จําเป็น ในการบังคับใช้ การรวมผลิต ภั ณฑ์ความมั ่ นคง ปลอดภัยไซเบอร์เข้ากับข้อเสนอบริการอื่น ๆ 3 ) ให้ความรู้ความเข้าใจในการดําเนินการ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 9. โครงการ ขับเคลื่อนแผน ยุทธศาสตร์ นโยบายว่าด้วยการ รักษา ความมั่นคง ปลอดภัยไซเบอร์ กิจกรรมยกระดับ ขีดความสามารถ การรักษาความ มั่นคงปลอดภัย ไซเบอร์ ( Cyber Security Self - Assessment) 1 ) จัดทําขั้นตอนกิจกรรม การดําเนินงาน และแผนการ ดําเนินงานในแต่ละขั้นตอน ( Action Plan) 2 ) ศึกษากรอบแนวคิด เครื่องมือหรือตัว แบบจากข้อมู ล ทุติยภูมิทั้งในและต่างประเทศที่จะใช้ในการประเมิน ระดั บการรั กษาความมั ่ นคงปลอดภั ยไซเบอร์ ( Cyber Security Self - Assessment) 3 ) จั ดท ํา กรอบแนวคิ ด เครื ่ องมื อหรื อตั วแบบใน การประเมินระดับการรักษาความมั่นคงปลอดภัย ไซเบอร์ ที ่ จะใช้ กั บหน่ วยงานของรั ฐที ่ ไม่ ใช่ หน่วยงานโครงสร้างพื้นฐานส ํา คัญทางสารสนเทศ และหน่วยงานโครงสร้างพื้นฐานส ํา คัญทางสารสนเทศ 4 ) จัดประชุมกลุ่ มย่อย ( Focus group) ผ่านระบบ อิเล็กทรอนิกส์ โดยมีผู้ทรงคุณวุฒิหรือผู้เชี่ยวชาญ ของหน่วยงานของรัฐที่ไม่ใช่หน่วยงานโครงสร้ำง พื้นฐานส ํา คัญทางสารสนเทศ หน่วยงานควบคุม หรือก ํา กับดูแล หรือหน่วยงานที่เกี่ยวข้อง 5 ) จัดท ํา แบบสอบถามอิเล็กทรอนิกส์เพื่อใช้ในการ ประเมินการรักษาความมั่นคงปลอดภัยไซเบอร์ ( Cyber Security Self - Assessment) 6 ) วิเคราะห์ข้อมูลการตรวจสอบความมั่นคงปลอดภัย ระบบเทคโนโลยีสารสนเท ศและจัดท ํา รายงาน ผลการประเมินขีดความสามารถด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ หลัก: สกมช. รอง: หน่วยงานของ รัฐ หน่วยงาน ควบคุมหรือกํากับ ดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ

33 โค รงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 10. โครงการการ ฝึกซ้อมเพื่อการ ป้องกัน รับมือ และลดความเสี่ยง จากภัยคุกคาม ไซเบอร์ ของประเทศ กิจกรรมการจัดทํา แผนเผชิญเหตุ ด้านไซเบอร์ ( National Incident Response Plan) 1 ) จั ดทําแผนการดําเนิ นงานของกิ จกรรมต่ำง ๆ ในโครงการฯ พร้ อมทั ้ งอธิ บายรายละเอี ยด ระยะเวลา และผู้รับผิดชอบในแต่ละกิจกรรม 2 ) ศึกษา วิเคราะห์ ข้อมูลทั้ งจากภายในประเทศ และต่างประเทศเพื่อการจัดทํานโยบายและแผน นโยบายการบริหาร และแผนปฏิบัติการ 3 ) นําเสนอผลแผนการดําเนิ นงาน ผลการศึ กษา วิเคราะห์ มอบหมายงานให้หน่วยงานที่เกี่ยวข้อง 4 ) ดําเนินการงานประชาสัมพันธ์โครงการสู่หน่วยงาน ภาครัฐ หน่วยงานที่เป็นโครงสร้างพื้นฐานสําคัญ ทางสารสนเทศ หรือหน่วยงานที่เกี่ยวข้อง 5 ) จัดการอบรมและประชุมเชิงปฏิบัติการเพื่อจัดทํา แผนเผชิญเหตุ ในกรณีเกิดเหตุภัยคุกคามทาง ไซเบอร์ในระดับต่าง ๆ 6 ) สรุปผลการดําเนินโครงการ หลัก: สกมช. รอง: หน่วยงาน ของรัฐ หน่วยงาน ควบคุมหรือกํากับ ดูแล และ หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ 11. โครงการจัดตั้ง Sectoral CERT และพัฒนา แพลตฟอร์มรักษา ความปลอดภัยทาง ไซเบอร์เพื่อรับมือ เหตุฉุกเฉินทาง คอมพิวเตอร์ สําหรับ Sectoral CERT ของหน่วยงาน ด้านสาธารณสุข 1 ) จัดทําข้อกําหนดและขอบเขตงาน 2 ) เก็บรวบรวมข้อมูลและความต้องการจากหน่วยงาน โครงการพื้นฐานสําคัญสารสนเทศด้านสาธารณสุข แต่ละหน่วยงาน 3 ) ดําเนินการจัดซื้อจัดจ้าง 4 ) ดําเนินการติดตั้งระบบรักษาความมั่นคงปลอดภั ย ทางไซเบอร์ให้กับสํานักงานคณะกรรมการการรักษา ความมั่นคงปลอดภัยไซเบอร์แห่งชาติและหน่วยงาน โครงสร้ำงพื ้ นฐานสําคั ญทางสารสนเทศและ ฝึกอบรมบุคลากร 5 ) เปิดใช้งานระบบ 6 ) สรุปและประเมินผลโครงการ หลัก: สกมช. รอง: หน่วยงาน โครงการพื้นฐาน สําคัญสารสนเทศ ด้านสาธารณสุข กลยุทธ์ที่ 4 .2 ส่งเสริมและสนับสนุนการแบ่งปันข้อมูลภัยคุกคาม 1. สร้างกลไกการแลกเปลี่ยนข้อมูล ข่าวกรอง และองค์ความรู้ด้านภัยคุกคาม ทางไซเบอร์ 2. สร้างกลไกการรายงานเหตุการณ์ภัยคุกคามทางไซเบอร์ 3.สร้างการมีส่วนร่วมของทุกภาคส่วนในการแบ่งปันข้อมูลภัยคุกคาม ทางไซเบอร์

34 ตัวชี้วัดของกลยุทธ์ 1. มีการแลกเปลี่ ยนข้อมูล ข่าวกรอง และองค์ความรู้ ด้านภัยคุกคาม ทางไซเบอร์ร่วมกัน 2. มีการรายงานเหตุการณ์ภัยคุกคามทางไซเบอร์ โดยสามารถระบุสาเหตุ และลดเหตุการณ์ภัยคุกคามทางไซเบอร์ 3. มีความร่วมมือของทุกภาคส่วนในการแบ่งปันข้อมูลภัยคุ กคาม ทางไซเบอร์ โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการ สร้างกลไกการแบ่งปันข้อมูลระหว่างภาครัฐและเอกชน และอํานวยความสะดวกในการแบ่งปันข้อมูลความมั่นคงปลอดภัยไซเบอร์ 2 . โครงการ ส่งเสริมและสนับสนุนการแบ่งปันข้อมูลภัยคุกคามระหว่าง ประเทศ 3 . โครงการพัฒนาแพลตฟอร์มสําหรับการรับและแบ่งปันเหตุการณ์ ภัยคุกคามทางไซเบอร์ โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1. โครงการ สร้าง กลไกการแบ่งปัน ข้อมูลระหว่าง ภาครัฐและเอกชน และอํานวย ความสะดวก ในการแบ่งปัน ข้อมูล ความมั่นคง ปลอดภัยไซเบอร์ 1 ) สร้ำงกลไกการแบ่ งปั นข้ อมู ลระหว่ำงภาครัฐ และเอกชน ระหว่าง หน่วยงานโครงสร้างพื้ นฐาน สําคัญทางสารสนเทศ Sector CERT และหน่วยงาน ความมั่นคง 2 ) พัฒนาแพลตฟอร์มสําหรับการรายงานและการแบ่งปัน เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ข้าม ภาคส่วน 3 ) พัฒนาระบบแบ่งปันข้อมูลอัตโนมัติ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : สพร. สพธอ. หน่วยงานควบคุม หรือกํากับดูแล กห. ตร . 2. โครงการ ส่งเสริม และสนับสนุนการ แบ่งปันข้อมูลภัย คุกคามระหว่าง ประเทศ 1 ) สร้ำงกลไกการแบ่ งปั นข้ อมู ลระหว่ำงภู มิ ภาค และนานาชาติ และอํานวยความสะดวกในการแบ่งปัน ข้อมูลความมั่นคงปลอดภัยทางไซเบอร์ การจัดตั้ง กลไกการแบ่งปันข้อมูลเพื่อให้สามารถแลกเปลี่ยน ข้อมูลข่าวกรองและข้อมูลภัยคุกคามที่ดําเนินการได้ 2 ) จัดทําแพลตฟอร์มและระบบสําหรับการแบ่งปัน ข้อมูลระดับภูมิภาคและนานาชาติ ระบบแบ่งปัน ข้ อมู ลอัตโนมั ติ (เช่ น ระบบรั กษาความมั ่ นคง ปลอดภัยทางไซเบอร์ที่แจ้งเตือนได้โดยอัตโนมัติ หลัก : สกมช. ร อง : สพร. สพธอ. หน่วยงานควบคุม หรือกํากับดูแล กห. ตร.

35 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ เมื่อเกิดเหตุการณ์หรือการโจมตีทางไซเบอร์) ควบคู่ ไปกับแพลตฟอร์มแบ่งปันภัยคุกคามแบบหลาย ทิศทาง ( multi - directional threat - sharing platform) 3 ) เพิ่มขีดความสามารถในการแบ่งปันข้อมูลภัยคุกคาม ระ ดับภูมิภาคและนานาชาติอย่างต่อเนื่อง 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 3. โ ครงการพัฒนา แพลตฟอร์มสําหรับ การรับและแบ่งปัน เหตุการณ์ภัย คุกคามทางไซเบอร์ 1 ) จัดทํากรอบแนวคิดในการดําเนินงาน และแผนการ ดําเนินงานในโครงการฯ พร้อมทั้งอธิบายรายละเอียด ระยะเวลา และผู้รับผิดชอบในโครงการ 2 ) จัดทําเอกสารเพื่อเป็นแนวทางในการใช้ระบบและ เชื่อมต่อ MISP ไปยังหน่วยงานต่าง ๆ - SOP (Standard operating Procedure) for information sharing - หนังสือข้อตกลงในการใช้และเชื่อมต่อระบบ MISP 3 ) สร้างความรู้ความเข้าใจถึงการแลกเปลี่ยนข้อมูลตาม SOP 4 ) ดําเนินการให้สิ ทธิ์การเข้าใช้ MISP กลาง 5 ) ดําเนินการออกแบบเตรียม Environment ของ สกมช. เพื่อการเชื่อมต่อ 6 ) ดําเนินการเชื่ อมต่อระบบ MISP เพื่ อแลกเปลี่ ยน ข้อมูลแบบอัตโนมัติอย่างน้อย 10 หน่วยงาน 7 ) สรุปผลการดําเนินการ หลัก: สกมช. รอง: หน่วยงาน ของรัฐ หน่วยงาน ควบคุมหรือ กํากับดูแล และหน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ กลยุทธ์ที่ 4 .3 ส่งเสริมและสนับสนุนความมั่นคงปลอดภัยทางไซเบอร์ 1. สร้างความเชื่อมั่นให้กับทุกภาคส่วนในการรักษาความมั่นคงปลอดภัย ไซเบอร์ 2. ยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงานที่ให้บริการ ที่สําคัญ 3. ส่งเสริมและสนับสนุน ให้เกิดบริการด้านความมั่นคงปลอดภัยไซเบอร์

36 ตัวชี้วัดของกลยุทธ์ 1. ทุกภาคส่วนมีความเชื่อมั่นในการรักษาความมั่นคงปลอดภัยไซเบอร์ ไม่น้อยกว่าร้อยละ 50 2. มีการออกกฎหมาย ระเบียบ ข้อบังคับที่จําเป็นในการส่งเสริมให้มีผู้ให้ บริการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ 3. มีจํานวนผู้ให้บริการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ เพิ่มขึ้น ปีละไม่น้อยกว่าร้อยละ 10 โครงการขับเคลื่อนกลยุทธ์ 1 . โครงการ ขยายการสนับสนุนของ สํานักงานคณะกรรมการการรักษา ค วามมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ไปยังองค์กรที่ให้บริการที่สําคัญ 2 . โครงการ ส่งเสริมและสนับสนุนให้มีผู้ให้บริการด้านความมั่นคงปลอดภัย สําหรับที่ให้บริการที่สําคัญ 3 . โครงการขับเคลื่ อนแผน ยุทธศาสตร์ นโยบายว่าด้วยการรักษา ความมั่นคงปลอดภัยไซเบอร์ 4 . โครงการจัดตั้งสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ กิจกรรมการจัดตั้งศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ ( National CERT) 5 . โครงการจัดตั้งสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ กิจกรรมระบบช่วยเหลือ ( Help Desk) ของศูนย์ประสานการรักษาความมั่นคงปลอดภัย ระบบคอมพิวเตอร์แห่งชาติ 6 . โครงการจัดตั้งสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ กิจกรรมจัดตั้ งปฏิบัติการร่วมทางไซเบอร์ ( NCSA War room) โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 1 . โครงการ ขยาย การสนับสนุน ของ สํานักงาน ค ณะ กรรมการการรักษา ความมั่นคงปลอดภัย ไซเบอร์แห่งชาติ (สกมช.) ไปยังองค์กร ที่ให้บริการที่สําคัญ 1 ) จัดทําแนวทางขยายการสนับสนุนของ สํานักงาน คณะกรรมการการรั กษาความมั ่ นคงปลอดภัย ไซเบอร์แห่งชาติ (สกมช.) ไปยังองค์กรที่ให้บริการที่ สําคัญ 2 ) สร้ำงกลไกขยายการสนั บสนุ นของ สํานั กงาน คณะกรรมการการรั กษาความมั ่ นคงปลอดภัย ไซเบอร์แห่งชาติ (สกมช.) ไปยังองค์กรที่ให้บริการที่ สําคัญ หลัก : สกมช. รอง : หน่วยงานควบคุม หรือกํากับดูแล

37 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 3 ) พัฒนาแพลตฟอร์มสําหรับขยายการสนับสนุนของ สํานักงานคณะกรรมการการรั กษาความมั่ นคง ปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ไปยังองค์กรที่ ให้บริการที่สําคัญ 4 ) พัฒนาขี ดความสามารถในการสนั บสนุ นของ สํานักงานคณะกรรมการการรั กษาความมั่ นคง ปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ไปยังองค์กรที่ ให้บริการที่สําคัญ 5 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมและสนับสนุน อย่างต่อเนื่อง 2. โครงการ ส่งเสริม และสนับสนุนให้มีผู้ให้ บริการด้านความ มั่นคงปลอดภัย สําหรับที่ให้บริการ ที่สําคัญ 1 ) จัดทําแนวทางในการส่งเสริมให้มีผู้ ให้บริการ ด้านความมั่นคงปลอดภัยสําหรับองค์กรที่ให้บริการ ที่สําคัญ ให้สิทธิพิเศษต่าง ๆ ในการดําเนินการ กําหนดช่วงเกณฑ์ราคามาตรฐาน 2 ) ออกกฎหมาย ระเบียบ ข้อบังคับที่จําเป็นในการส่งเสริม ให้มีผู้ให้บริการด้านความมั่นคงปลอดภัยสําหรับ องค์กรที่ให้บริการที่สําคัญ 3 ) กํากับดูแลการส่งเสริมให้มีผู้ให้บริการด้านความมั่นคง ปลอดภัยสําหรับองค์กรที่ให้บริการที่สําคัญ 4 ) กํากับดูแล ติดตาม ประเมินผล ส่งเสริมแล ะ สนับสนุน อย่างต่อเนื่อง หลัก : สกมช. รอง : หน่วยงานควบคุม หรือ กํากับดูแล อส. บีโอ ไอ 3. โครงการขับเคลื่อน แผน ยุทธศาสตร์ นโยบายว่าด้วยการ รักษาความมั่นคง ปลอดภัยไซเบอร์ 1 ) วางแผนการดํำเนิ นงาน จั ดทํากรอบแนวคิด ในการดําเนินงาน และแผนการดําเนินงานของ กิ จกรรมต่ำงๆในโครงการฯ พร้ อมทั ้ งอธิ บาย รายละเอียด ระยะเวลาและผู้รับผิดชอบในแต่ละ กิจกรรม 2 ) จัดทําเนื้อหาและรูปแบบการประชาสัมพันธ์การ สร้างสื่อการเรียนรู้แบบออนไลน์ 3 ) ประชาสัมพันธ์กิจกรรมผ่านสื่อในรูปแบบต่าง ๆ 4 ) ดําเนินการจัดประชุ มสัมมนาชี้แจงทําความเข้าใจ นโยบายและแผนว่าด้วยการรักษาความมั่ นคง ปลอดภัยไซเบอร์ฯ รวมทั้งกฎระเบียบที่เกี่ยวข้อง จํานวน 4 ครั้ง ครั้งละ 2 วัน โดยมีผู้เข้าร่วมงานรวม หลัก: สกมช. รอง: หน่วยงานของ รัฐ หน่วยงาน ควบคุมหรือกํากับ ดูแล และหน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ

38 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ ไม่น้อยกว่า 300 คน ในสถานที่เอกชนและดําเนินการ จัดสัมมนาสร้างความรู้ ความเข้าใจในรู ปแบบ ออนไลน์ 5 ) ติดตามป ระเมินผลการดําเนินงานโครงการฯ 6 ) จัดทํารายงานสรุปผลการดําเนินงานโครงการฯ 4. โครงการจัดตั้ง สํานักงาน คณะกรรมการ การรักษาความมั่นคง ปลอดภัยไซเบอร์ แห่งชาติ กิจกรรมการ จัดตั้งศูนย์ประสาน การรักษาความมั่นคง ปลอดภัยระบบ คอมพิวเตอร์ ( National CERT) 1 ) ศึกษา วิเคราะห์ จัดทํากรอบแนวคิดในการดําเนินงาน การออกแบบและแผนการดําเนินงานในการพัฒนา ออกแบบและพัฒนาระบบงานของศูนย์ประสาน การรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ ( National CERT) 2 ) จัดหาครุภัณฑ์และอุปกรณ์สําหรับศูนย์ประสานการ รักษาความมั่ นคงปลอดภัยระบบคอมพิวเตอร์ ( National CERT) ดําเนินการติดตั้ง และทดสอบ ระบบและอุปกรณ์ให้พร้อมใช้งานตามข้อกําหนด แ ละจัดทําคู่มือผู้ดูแลระบบและผู้ใช้งาน 3 ) ทดสอบการใช้งานระบบ และปรับแต่งให้ตรงกับ ความต้องการ 4 ) ดําเนินการจัดทํารายงานผลการตรวจพบภัยคุกคาม ความปลอดภั ยทางไซเบอร์ ของระบบ Threat Hunting Framework (THF) เป็นรายเดือ น ภายหลัง ติดตั้งระบบแล้วเสร็ จ 5 ) จัดให้มีทีมที่ปรึกษาเพื่อสนั บสนุนใช้งานระบบให้ สามารถใช้งานได้ต่อเนื่องตลอดเวลา 24 ชั่วโมง ใน 7 วั นโดยจะต้ องมี ผู ้ บุ คคลที ่ มี ความรู้ ความสามารถ และมี คุ ณวุ ฒิ พื ้ นฐานความรู้ ประสบการณ์ ที่เกี่ยวข้องกับการรักษาความมั่นคง ปลอดภัยไซเบอร์ ทั้งนี้ ผู้ขาย/ผู้รับจ้าง จะต้องส่ง บุคลากรประจําศูนย์ประสานการรักษาความมั่นคง ปลอดภัยระบบคอมพิวเตอร์แห่งชาติ ( National CERT) จํานวน 2 คน ในระยะเวลาปฏิบัติงาน 12 เดือน ในส่ วนของอุ ปกรณ์ สํานั กงาน เช่ น คอมพิ วเตอร์ เครื่องพิมพ์ เป็นต้น ผู้ขาย/ผู้รับจ้าง จะต้องเป็นผู้ จัดหาให้ หลัก: สกมช. รอง: หน่วยงาน ควบคุมหรือกํากับ ดูแล หน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ และหน่วยงาน ของรัฐ

39 โครงการ แนวทางการดําเนินการ หน่วยงาน รับผิดชอบ 6 ) จัดอบรมเกี่ยวกั บการใช้งานให้กับเจ้าหน้าที่ที่เกี่ยวข้อง 7 ) เจ้าหน้าที่ดูแล และเฝ้าระวังภัยคุกคามทางไซเบอร์ จัดทํารายงานสรุปภัยคุกคามทางไซเบอร์ที่เกิดขึ้น ในแต่ ละเดื อน จั ดทําสรุ ปแนวโน้ มภั ยคุ กคาม ทางไซเบอร์รายไตรมาส จัดทํารายงานสรุปผล การดําเนินงานโครงการฯ 5 . โค รงการจัดตั้ง สํานักงาน คณะกรรมการ การรักษาความมั่นคง ปลอดภัยไซเบอร์ แห่งชาติ กิจกรรม ระบบช่วยเหลือ ( Help Desk) ของศูนย์ประสาน การรักษาความมั่นคง ปลอดภัยระบบ คอมพิวเตอร์แห่งชาติ 1) จัดทํากรอบแนวคิดในการดําเนินงาน และแผน การดําเนินงานของกิจกรรมต่าง ๆ ในโครงการฯ พร้อมทั้งอธิบายรายละเอียดระยะเวลา และผู้รับผิดชอบ ในแต่ละกิจกรรม 2) ติดตั้งและให้บริการระบบช่วยเหลืองานบริหาร การรั กษาความ มั ่ นคงปลอดภั ยทางไซเบอร์ External Ticketing System ระบบช่วยเหลืองาน บริหารการรักษาความมั่นคงปลอดภัยทางไซเบอร์ ภายในองค์กร Internal Ticketing System ระบบ รักษาความปลอดภัยสารสนเทศและวิเคราะห์ข้อมูล Data Center ระบบแฟลตฟอร์มการแลกเปลี่ยน ข้อมูลข่าวสารภัยคุกคามทาง ไซเบอร์ 3) จัดทํารายงานสรุปผลการดําเนินงาน หลัก: สกมช. รอง: หน่วยงาน ควบคุมหรือกํากับ ดูแล และหน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ และหน่วยงาน ของรัฐ 6. โครงการจัดตั้ง สํานักงาน คณะกรรมการการ รักษาความมั่นคง ปลอดภัยไซเบอร์ แห่งชาติ กิจกรรม จัดตั้งปฏิบัติการร่วม ทางไซเบอร์ ( NCSA War room) 1 ) จัดทํากรอบแนวคิดในการดําเนินงาน และแผนการ บํารุงรักษา แก้ไข ซ่อมแซม อุปกรณ์และระบบ ในโครงการฯพร้ อมทั ้ งอธิ บายรายละเอี ยด ระยะเวลาการดําเนินโครงการ 2 ) ดําเนินการตรวจสอบระบบและอุปกรณ์ตามวาระ ปีละ 4 ครั้ง (ทุก 3 เดือน) 3 ) จัดทํารายงานสรุปผลการบํารุงรักษาในโครงการฯ พร้อมส่งมอบ หลัก: สกมช. รอง: หน่วยงาน ควบคุมหรือกํากับ ดูแล และหน่วยงาน โครงสร้างพื้นฐาน สําคัญทาง สารสนเทศ และหน่วยงาน ของรัฐ

40 ภาคผนวก

41 นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคง ปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐ และหน่วยงาน โครงสร้างพื้นฐานสําคัญทางสารสนเทศ

42 นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 มาตรา 9(2) บัญญัติให้ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) มีหน้าที่และอํานาจ กําหนดนโยบาย การบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐ และหน่วยงาน โครงสร้างพื้นฐานสําคัญทางสารสนเทศ นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ฉบับนี้ จัดทําเพื่อเป็นแนวทาง การ กํากับดูแล การบริหารความเสี่ ยง และการปฏิ บัติตาม ( Governance, Risk and Compliance: GRC) สําหรั บหน่ วยงานของรั ฐ และหน่ วยงานโครงสร้ำงพื ้ นฐานสําคัญทางสารสนเทศ ในการดําเนิ นการ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์ปฏิบัติได้อย่างรวดเร็ว มีประสิทธิภาพ และเป็นไปในทิศทางเดียวกัน นโยบายบริ หารจั ดการที ่ เกี ่ ยวกั บการรั กษาความมั ่ นคงปลอดภั ยไซเบอร์ นี ้ ใช้ หลั กการ ตามแนวทางการปฏิบัติที่ ดีที่ ใช้กันแพ ร่หลายทั่ วโลก รวมถึงประเทศไทย ซึ่ งคือ หลักการกํากับดูแล การบริหารความเสี่ ยง และการปฏิบัติตาม ( Governance, Risk and Compliance: GRC) ประกอบด้วย 3 หลักการ ดังนี้ 1. การกํากับดูแลการรักษาความมั่นคงปลอดภัยไซเบอร์ ( Good Governance in Cybersecurity) 1.1. ต้องจัดโครงสร้างองค์กรให้มีการถ่วงดุล โดยจัดโครงสร้างองค์กร พร้อมกําหนด อํานาจ บทบาทหน้าที่ และความรับผิดชอบ ( Authorities, Roles and Responsibilities) ที่ชัดเจนเกี่ยวกับ การบริหารจัดการความมั่นคงปลอดภัยไซเบอร์ ให้มีการถ่วงดุลตามหลักการควบ คุม กํากับ และตรวจสอบ ( Three Lines of Defense) ที่มีประสิทธิภาพ โดยมีผู้ที่ทําหน้าที่ควบคุม กํากับ และตรวจสอบที่เป็นอิสระ และสามารถทําหน้าที่ได้อย่างมีประสิทธิผล ซึ่งต้องมีการกําหนดหน้าที่ความรับผิดชอบอย่างชัดเจน ทั้งหน่วยงาน หรือผู้ก่อให้เกิดความเสี่ยงและควบคุม ความเสี่ยงในชั้นแรก ( Business Unit หรือ First Line of Defense) มีหน้าที่ดูแลและปฏิบัติงานให้เป็นไปตามกฎเกณฑ์ที่กําหนดไว้ มีการควบคุมภายใน และมีการจัดการความเสี่ยง อย่างเหมาะสม หน่วยงานหรือผู้กํากับภายใน ( Second Line of Defense) เช่น หน่วยงานบริหารความเสี่ยง ( Risk Management) หน่วยงานกํากับการปฏิบัติตามกฎเกณฑ์ ( Compliance) และหน่วยงานหรือผู้ตรวจสอบ ภายใน ( Internal Audit หรือ Third Line of Defense) เพื่อส่งเสริมให้มีกลไกการตรวจสอบและถ่วงดุล ที่ เหมาะสม โดยให้หน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้ นฐานสําคัญทางสารสนเทศถือปฏิ บัติ ตามกฎหมายหรือหลักเกณฑ์ที่เกี่ยวข้องในปัจจุบัน รวมถึงแนวปฏิบัติในเรื่องดังกล่าวที่จะออกโดยหน่วยงาน ควบคุมหรือกํากับดูแล และจะมีผลบังคับใช้กับหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสําคัญ ทางสารสนเทศต่อไป ทั้งนี้ กรณีที่มีโครงสร้างการกํากับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศรวมกับ บริษัทในกลุ่มธุรกิจเดียวกันหรือบริษัทที่มีความเกี่ยวข้อง การพิจารณาโครงสร้างการกํากับดูแลตามหลักการ แบ่งแยกหน้าที่ความรับผิดชอบตาม Three Lines of Defense ให้พิจารณาโดยดูจากภาพรวมทั้ งหมด ของกลุ่มธุรกิจเดียวกัน

43 1.2. การกําหนดให้มีผู้ รับผิดชอบบริหารจัดการความมั่ นคงปลอดภัยสารสนเทศ หน่วยงานของรัฐต้องจัดให้มีผู้บริหารที่ทําหน้าที่บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ( Head of Information Security) หรือเทียบเท่าที่ปฏิบัติหน้ำ ที่ของหน่วยงาน โดยบุคคลดังกล่างต้องเป็นผู้ที่มีควำมรู้ หรือประสบการณ์ด้านเทคโนโลยีสารสนเทศ การบริหารความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และการรับมือกับภัยคุกคามทางไซเบอร์ ทั้งนี้ผู้บริหารที่ทําหน้าที่ดังกล่าวควรมีความเป็นอิสระจากงานด้านการปฏิบัติงาน ด้านเทคโนโลยีสารสนเทศ ( IT operation) และงานด้านพัฒนาร ะบบเทคโนโลยีสารสนเทศ ( IT development) รวมทั้งควรมีบทบาทหน้าที่และความรับผิดชอบให้หน่วยงานดําเนินการเพื่อความมั่นคงปลอดภัยด้านเทคโนโลยี สารสนเทศอย่างน้อย ดังนี้ 1 ) มีนโยบาย มาตรฐาน และแนวทางการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยี สารสนเทศและการรับมือภัยคุกคามทางไซเบอร์ รวมทั้งดูแลให้มีการปฏิบัติตามนโยบาย มาตรฐาน และแนวทาง ที่กําหนด 2 ) มีข้อกําหนดด้านความมั่นคงปลอดภัย ( security specification) และสถาปัตยกรรม ด้านความมั่นคงปลอดภัย ( IT security architecture) 3 ) บริหารจัดการความเสี่ยงด้านความมั่ นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ และด้านภัยคุกคามทางไซเบอร์ให้สอดรับกับความเสี่ ยงที่ องค์กรมี และนําเสนอความเสี่ ยงดังกล่าว ต่อคณะกรรมการหน่วยงานเป็นวาระประจํา 4 ) ดูแลและดําเนินการให้หน่วยงานมีความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ 5 ) ดูแลและดําเนินการให้บุคลากรในองค์ก รมีความรู้ และความตระหนั กรู้ เรื่องความเสี่ยง การรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศด้านภัยคุกคามทางไซเบอร์ 1.3 หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศต้องจัดให้มีผู้บริหารระดับสูง ที่ทําหน้าที่บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ ( Chief Informatio n Security Officer : CISO) หรือเทียบเท่าที่ปฏิบัติหน้าที่เสมือน CISO ของหน่วยงาน ทั้งนี้ ผู้บริหารระดับสูงที่ทําหน้าที่ดังกล่าวควรเป็นอิสระจากงานด้านการปฏิบัติงาน เทคโนโลยีสารสนเทศ ( IT operation) และงานด้านพัฒนาระบบเทคโนโลยีสารสนเทศ ( IT development) และมี อํานาจหน้ำที ่ ( Authority) เพียงพอในการปฏิ บั ติ งานในหน้ำที ่ CISO ได้ อย่ำงมี ประสิ ทธิ ภาพ และประสิ ทธิผล โดยสามารถดําเนินการอย่างน้อย ดังนี้ 1 ) รายงานปัญหาหรือเหตุการณ์ที่มีนัยสําคัญด้านความมั่นคงปลอดภัย ด้านเทคโนโลยี สารสนเทศและด้านภัยคุกคามทางไซเบอร์ต่อผู้บริหารในตําแหน่งสูงสุด คณะกรรมการของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ และคณะกร รมการที่เกี่ยวข้องโดยตรง 2 ) ให้ความเห็นด้านภัยคุกคามไซเบอร์และการบริหารจัดการความเสี่ยงด้านความมั่นคง ปลอดภัยด้านเทคโนโลยีสารสนเทศต่อคณะกรรมการของหน่วยงานของรัฐ และหน่วยงานโครงสร้างพื้นฐานสําคัญ ทางสารสนเทศ คณะกรรมการที่เกี่ยวข้องกับการบริหารจัดการและกํากับดูแลการปฏิบัติงานด้านเทคโนโลยี สารสนเทศ เช่น IT steering committee หรือ IT risk committee และร่วมตัดสินใจดําเนินการในเรื่องความมั่นคง ปลอดภัยด้านเทคโนโลยีสารสนเทศ และด้านภัยคุกคามทางไซเบอร์ที่กระทบต่อหน่วยงานของรัฐ และหน่วยงาน โครงสร้างพื้นฐานสําคัญทางสารสนเทศอย่างมีนัยสําคัญ

44 2. การบริหารความเสี่ยง ( Risk Management) 2.1 ต้องจัดทํากรอบการบริหารความเสี่ ยงด้านความมั่นคงปลอดภัยไซเบอร์เป็นลา ย ลักษณ์ อักษร กรอบจะรวมถึง : (ก) ระบุเกณฑ์ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ และระดับ ความเสี่ยง ที่ยอมรับได้ ( Risk appetite) (ข) วิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (ค) การเฝ้าระวังและติดตามความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ 2.2 ต้องเก็บรักษารายการความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ที่ระบุ ไว้ในทะเบียนความเสี่ยง ( Risk register) ที่เกี่ยวข้องกับบริการที่ สําคัญของหน่วยงานของรัฐ และโครงสร้าง พื้นฐานสําคัญทางสารสนเทศ 2.3 ต้องติดตามความเสี่ ยงด้านความมั่ นคงปลอดภัยไซเบอร์ที่ ระบุไว้อย่างสม่ําเสมอ เพื่อให้แน่ใจว่า อยู่ภายใต้เกณฑ์ระดับความเสี่ยงที่ยอมรับได้ที่ระบุไว้ในข้อ 2.1 (ก) 3 . นโยบาย และแนวปฏิบัติ ( Policies and Guidelines) 3.1 ต้องกําหนด และอนุมัตินโยบาย มาตรฐาน และแนวทางในการจัดการความเสี่ ยง ด้านความมั่นคงปลอดภัยไซเบอร์ และการป้องกันบริการที่สําคัญของหน่วยงานของรัฐ และโครงสร้างพื้นฐาน สําคัญทางสารสนเทศ จากภัยคุกคามทางไซเบอร์ นโยบาย มาตรฐาน และแนวปฏิบัติจะต้อง : (ก) สอดคล้องกับหลักประมวลแนวทางปฏิบัตินี้ ข้อกําหนดการรักษาความมั่ นคง ปลอดภัยไซเบอร์ของภาคส่วน และนโยบาย มาตรฐาน และทิ ศทางการรักษาความมั่นคงปลอดภัยไซเบอร์ระดับ ภูมิภาค หรือระดับประเทศ (ข) เผยแพร่ และสื ่ อสารไปยั งบุ คลากรและบุ คคลภายนอกทุ กคนที ่ ทําหน้ำที่ หรือสามารถเข้าถึงบริการที่สําคัญของหน่วยงานของรัฐ และโครงสร้างพื้นฐานสําคัญทางสารสนเทศ 3.2 ต้องทบทวนนโยบาย มาตรฐาน และแนวทางปฏิ บัติกับสภาพแวดล้อมการปฏิบัติการ ไซเบอร์ของบริการที่สําคัญของหน่วยงานของรัฐ และโครงสร้างพื้นฐานสําคัญทางสารสนเทศ และภูมิทัศน์ ภัยคุกคามทางไซเบอร์ในปัจจุบันอย่างน้อยปีละหนึ่ งครั้ งโดยนับถัดจากวันที่ การทบทวนครั้ งสุดท้าย หรือวันที่มีผลบังคับใช้ของนโยบาย มาตรฐาน ห รือแนวปฏิบัติแต่ละข้อ ทั้งนี้ นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สําหรับหน่วยงาน ของรัฐ และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศนี้มีผลบังคับใช้ภายในหนึ่ง (1) ปี นับถัดจากวันที่ ประกาศ

45 อภิธานศัพท์ คําศัพท์ ความหมาย การรักษาความมั่นคงปลอดภัย ไซ เ บอร์ ( Cybersecurity ) มาตรการหรือการดําเนินการที่กําหนดขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งจากภายใน และภายนอกประเทศ อั นกระทบต่ อความมั ่ นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบ เรียบร้ อยภายในประเทศ ภัยคุกคามทางไซเบอร์ ( Cyber threat ) การกระทําหรื อการดําเนิ นการใด ๆ โดยมิ ชอบ โดยใช้ คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์ โดยมุ่ งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตราย ที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อ การทํางานของคอมพิวเตอร์ ระบบคอ มพิวเตอร์ หรือข้อมูลอื่น ที่เกี่ยวข้อง ไซเบอร์ ( Cyber ) ข้อมูลและการสื่อสารที่เกิดจากการให้บริการ หรือการประยุกต์ ใช้ เครือข่ายคอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่าย โทรคมนาคม รวมทั้ งการให้บริการโดยปกติของดาวเทียม และระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่ อกันเป็นการทั่วไป หน่วยงานของรัฐ ( Government agency ) ราชการส่วนกลาง ราชการส่วนภูมิภาค ราชการส่วนท้องถิ่น รัฐวิสาหกิจ องค์กรฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กร อิสระ องค์การมหาชน และหน่วยงานอื่นของรัฐ เหตุการณ์ที่เกี่ยวกับความมั่นคง ปลอดภัยไซเบอร์ ( Cybersecurity Incident ) เหตุ การณ์ ที ่ เกิ ดจากการกระทําหรื อการดําเนิ นการใด ๆ ที ่ มิ ชอบซึ ่ งกระทําการผ่ำนทางคอมพิ วเตอร์ หรื อระบบ คอมพิ วเตอร์ ซึ ่ งอาจเกิ ดความเสี ยหายหรื อผลกระทบต่อ การรั กษาความมั ่ นคงปลอดภั ยไซเบอร์ หรื อความมั ่ นคง ปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเ ตอร์ ระบบ คอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ โครงสร้างพื้นฐานสําคัญ ( Critical Infrastructure : CI ) บรรดาหน่วยงาน หรือองค์กร หรือส่วนงานหนึ่งส่วนงานใด ของหน่ วยงานหรือองค์ กรซึ่ งธุรกรรมทางอิ เล็กทรอนิกส์ ของหน่ วยงาน หรื อองค์ กร หรื อส่ วนงานของหน่ วยงาน หรือองค์กรนั้นมีผลเกี่ยวเนื่องส ํา คัญต่อความมั่นคงหรือความ สงบเรียบร้อยของประเทศหรือต่อสาธารณชน

46 คําศัพท์ ความหมาย โครงสร้างพื้นฐานสําคัญทาง สารสนเทศ ( Critical Information Infrastru cture : CII ) คอมพิ วเตอร์ หรือระบบคอมพิวเตอร์ซึ่ งหน่วยงานของรัฐ หรือหน่วยงานเอกชนใช้ในกิจการของตนที่เกี่ยวข้องกับการ รักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐาน อันเป็นประโยชน์สาธารณะ หน่วยงานโครงสร้างพื้ นฐานสําคัญ ทางสารสนเทศ ( Critical information infrastructure operator ) หน่ วยงานของรั ฐหรื อหน่ วยงานเอกชน ซึ ่ งมี ภารกิจ หรือให้บริการโครงสร้างพื้นฐานสําคัญทางสารสนเทศ มาตรา 49 เป็นหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ มีดังนี้ (1) ด้านความมั่นคงของรัฐ (2) ด้านบริการภาครัฐที่สําคัญ (3) ด้านการเงินการธนาคาร (4) ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม (5) ด้านการขนส่งและโลจิสติกส์ (6) ด้านพลังงานและสาธารณูปโภค (7) ด้านสาธารณสุข (8) ด้ำนอื่นตามที่คณะกรรมการประกาศกําหนดเพิ่มเติม หน่วยงานควบคุมหรือกํากั บ ดูแล ( Regulator ) หน่วยงานของรัฐ หน่วยงานเอกชน หรือ บุคคลซึ่งมีกฎหมาย กําหนดให้มีหน้าที่และอํานาจในการควบคุมหรือกํากับดูแล การดําเนินกิจการ ของหน่วยงานของรัฐหรือหน่วยงานโครงสร้าง พื้นฐานสําคัญทางสาร สนเทศ ผลิตภัณฑ์มวลรวมของประเทศ ( Gross Domestic Product : GDP ) มูลค่าตลาดของสินค้าและบริการขั้นสุดท้ายที่ผลิตในประเทศ ในช่วงเวลาหนึ่ง โดยไม่คํานึงว่าผลผลิตนั้นจะเป็นผลผลิตที่ได้ จากทรัพยากรภายในหรือภายนอกประเทศ คิดค้นโดย Simon Kuznets นักเศรษฐศาสตร์ชาวรัสเซีย ซึ่งผลิตภัณฑ์มวลรวม ในประเทศสามารถใช้เป็นตัวบ่งชี้ถึงมาตรฐานการครองชีพ ของประชากรในประเทศ แพลตฟอร์ม ( Platform ) ระบบโปรแกรมคอมพิวเตอร์ที่สามารถขยายขีดความสามารถ อย่างไม่จํากัด มีการพัฒนาฟังก์ชั่นหรือโมดูลใหม่ๆ มาต่อยอด อยู่ตลอดเวลา เกิดนวัตกรรมใหม่ ๆ เสมอ และสามารถนําไป ต่อเชื่อมกับระบบอื่นได้ แพลตฟอร์มไม่ได้จํากัดอยู่แค่ซอฟต์แวร์ แต่ยังรวมไปถึงเว็บไซต์ หรือบริ การที่ คนอื่ นสามารถเขียน โปรแกรมมาต่อเชื่อมหรือดึงข้อมูลได้โดยอัตโนมัติ

47 คําศัพท์ ความหมาย ปัญญาประดิษฐ์ ( Artificial Intelligence : AI ) ศาสตร์แขนงหนึ่งของวิทยาศาสตร์คอมพิวเตอร์ ที่เกี่ยวข้องกับ วิ ธี การทําให้ คอมพิ วเตอร์ มี ความสามารถคล้ำยมนุ ษย์ หรือเลียนแบบพฤติกรรมมนุษย์ โดยเฉพาะ ความสามารถ ในการคิดเองได้ หรือมีปัญญา ซึ่งปัญญานี้มนุษย์เป็นผู้สร้างให้ คอมพิวเตอร์ จึงเรียกว่าปัญญาประดิษฐ์ มุมมองต่อ AI ที่แต่ละ คนมีอาจไม่เหมือนกัน ขึ้ นอยู่ กับว่าเราต้องการความฉลาด โดยคํานึงถึงพฤติกรรมที่มีต่อสิ่งแวดล้อมหรือคํานึงการคิดได้ ของผลผลิต AI ดัช นีความมั่นคงปลอดภัยไซเบอร์โลก ( Global Cybersecurity Index : GCI ) ดัชนีชี้วัดระดับของการพัฒนาการรักษาความมั่นคงปลอดภัย ไซเบอร์ของแต่ละประเทศ จัดทําโดยสหภาพโทรคมนาคม ร ะ ห ว ่ำ ง ป ร ะ เ ท ศ ( International Telecommunication Union : ITU ) ดําเนินการร่วมกับสถาบัน ABI Research ( Allied Business Intelligence ) ซึ่งมีวัตถุประสงค์เพื่อสร้างแรงจูงใจให้ แต่ละประเทศตระหนักถึงการรักษาความมั่นคงปลอดภัยทาง ไซเบอร์ โดยมี เป้ำหมายสู งสุ ดที ่ ต้ องการทําให้ การรั กษา ความมั ่ นคงปลอดภั ยทางไซเบอร์ เป็ นวั ฒนธรรมของโลก และหลอมรวมให้ อยู ่ ในแก่ นของเทคโนโลยี สารสนเทศ และการสื่อสาร ที มรั บมื อกั บสถานการณ์ ฉุ กเฉิน ที่เกี่ยวกับคอมพิวเตอร์ ( Computer emergency response team : CERT ) CERT หรือ Computer Emergency Response Team เป็นเครื่องหมาย การค้าจดทะเบียนของ CERT Coordination Cente ( CERT / CC ) หมายถึงหน่วยงานรับมือเหตุภัยคุกคามที่อยู่ภายใต้สถาบัน วิศวกรรมซอฟต์แวร์ ( Software Engineering Institute – SEI ) แห่ งมหาวิ ทยาลั ย Carnegie Mellon ในสหรั ฐอเมริ กา และเนื ่ องจาก CERT เป็ นเครื ่ องหมายการค้ำจดทะเบียน ดังนั้ น ศูนย์ที่ ทําหน้าที่ ประสานและรับมือเหตุภัยคุกคาม ด้านความมั่นคงทางไซเบอร์ที่จัดตั้งขึ้นใหม่ และต้องการใช้ชื่อ ที่มีคําว่า CERT จะต้องยื่นขอใบอนุญาตเสียก่อน เช่น ประเทศ ไทย มี Thai CERT ที มรั บมื อเหตุ การณ์ ด้ำนความมั ่ นคง ปลอ ดภั ยคอมพิวเตอร์ ( Computer Security Incident Response Team : CSIRT ) หรือทีมรับมือสถานการณ์ที่ เกี ่ ยวกั บคอมพิ วเตอร์ ( Computer incident response teams : CIRT ) ศูนย์ประสานการรับมือภัยคุกคามด้านความมั่นคงปลอดภัย ไซเบอร์ ที ่ สา มาร ถร ั บ มื อแล ะ แ ก้ ไข เหต ุ ภ ั ย คุ ก คำ ม ซึ่งประ กอบด้วยบุคลากรที่มีความรู้และทักษะในการรับมือ เหตุภัยคุกคาม ให้ความช่วยเหลือผู้รับบริการในการฟื้นตัวจาก การเจาะระบบ นอกจากนี้ ในการดําเนินการเชิงรุก CSIRT สามารถให้บริการตรวจสอบและประเมินช่องโหว่ของระบบ

48 คําศัพท์ ความหมาย สารสนเทศและความเสี่ยงต่าง ๆ รวมทั้งสร้างความตระหนัก และใ ห้ ความรู ้ แก่ ผู ้ เกี ่ ยวข้ องในการพั ฒนาและปรั บปรุง การบริการเพื่อให้เกิดความมั่นคงปลอดภัยไซเบอร์