Sitemap Descriptions
มาตรฐาน
เป็นมาตรฐานที่ระบุข้อกำหนดของบริการจัดทำหรือนำส่งข้อมูลอิเล็กทรอนิกส์ และข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้ผู้ให้บริการมีแนวทางในการจัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์ที่มีความมั่นคงปลอดภัย และช่วยสร้างความมั่นใจให้กับผู้ส่งข้อมูลและผู้รับข้อมูลที่ใช้บริการจัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์ว่าข้อมูลได้รับการปกป้องจากความเสี่ยงของการสูญหาย การโจรกรรม ความเสียหาย หรือการเปลี่ยนแปลงใด ๆ โดยไม่ได้รับอนุญาต ข้อเสนอแนะมาตรฐานฉบับนี้สามารถใช้ได้กับหน่วยงานที่เป็นผู้ให้บริการที่จัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์ เช่น
อย่างไรก็ตาม ข้อเสนอแนะมาตรฐานฉบับนี้ ได้พิจารณามาตรการควบคุมทั้งหมดของ ISO/IEC 27002:2022 มาวิเคราะห์ตามบริบทและประเด็นที่เกี่ยวข้องกับบริการนำส่งข้อมูลอิเล็กทรอนิกส์ และแบ่งมาตรการควบคุมตามระดับความจำเป็น ดังนี้ มาตรการควบคุมที่จำเป็น (mandatory controls) จำนวน 50 ข้อ มาตรการควบคุมที่เป็นทางเลือก (optional controls) จำนวน 33 ข้อ มาตรการควบคุมที่เฉพาะกรณี (conditional controls) จำนวน 10 ข้อ
ทั้งนี้ เพื่อให้สอดคล้องตามข้อเสนอแนะมาตรฐานฉบับนี้ ผู้ให้บริการต้องปฏิบัติตามมาตรการควบคุมที่จำเป็น (mandatory controls) ทุกข้อ และปฏิบัติตามมาตรการควบคุมที่เฉพาะกรณี (conditional controls) หากระบบของผู้ให้บริการเป็นไปตามเงื่อนไขที่ระบุไว้ในข้อนั้น ๆ เช่น กรณีที่ให้หน่วยงานภายนอกทำหน้าที่ให้บริการแทน กรณีที่ใช้บริการคลาวด์ หรือกรณีที่หน่วยงานเป็นผู้พัฒนาระบบเอง นอกจากนี้ ผู้ให้บริการสามารถพิจารณาปฏิบัติตามมาตรการควบคุมที่เป็นทางเลือก (optional controls) เพิ่มเติม เพื่อให้สอดคล้องกับการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และหลักเกณฑ์ของหน่วยงานที่กำกับดูแลบริการนำส่งข้อมูลอิเล็กทรอนิกส์แต่ละประเภท