TOP

Sitemap

Sitemap Descriptions

เกี่ยวกับ สพธอ.

บริการของเรา

ข้อเสนอแนะมาตรฐานและการรับรอง

มาตรฐาน Documents

มาตรฐาน


ข้อเสนอแนะมาตรฐานฯ ว่าด้วยบริการจัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์
(Electronic Delivery Service) ขมธอ. 35-2567

เป็นมาตรฐานที่ระบุข้อกำหนดของบริการจัดทำหรือนำส่งข้อมูลอิเล็กทรอนิกส์ และข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้ผู้ให้บริการมีแนวทางในการจัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์ที่มีความมั่นคงปลอดภัย และช่วยสร้างความมั่นใจให้กับผู้ส่งข้อมูลและผู้รับข้อมูลที่ใช้บริการจัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์ว่าข้อมูลได้รับการปกป้องจากความเสี่ยงของการสูญหาย การโจรกรรม ความเสียหาย หรือการเปลี่ยนแปลงใด ๆ โดยไม่ได้รับอนุญาต
web_Standard_BAnner_Electronic_Delivery_Service.jpg  ข้อเสนอแนะมาตรฐานฉบับนี้สามารถใช้ได้กับหน่วยงานที่เป็นผู้ให้บริการที่จัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์ เช่น

  • ผู้ให้บริการที่จัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์ให้กับกรมสรรพากร
  • ผู้ให้บริการที่จัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์ระหว่างหน่วยงานที่เชื่อมต่อกับระบบ National Single Window (NSW)
  • ผู้ให้บริการที่จัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์ข้อมูลอิเล็กทรอนิกส์อื่น ๆ ที่ต้องการความน่าเชื่อถือในการส่งหรือรับข้อมูลอิเล็กทรอนิกส์
ผู้ให้บริการจัดทำ นำส่ง หรือเก็บรักษาข้อมูลอิเล็กทรอนิกส์สามารถใช้วิธีการที่แตกต่างกันตามหลักเกณฑ์ที่กำหนดไว้โดยหน่วยงานกำกับดูแลหรือหน่วยงานที่เกี่ยวข้อง เช่น
  • รูปแบบของการนำส่งข้อมูลอิเล็กทรอนิกส์ (message delivery model)
  • เกณฑ์วิธีของการรับส่งข้อมูล (messaging protocol)
  • รูปแบบของข้อมูล (message format) หรือรูปแบบของหลักฐานการส่ง
  • การรับข้อมูล (evidence format)

Corner model

รูปแบบโดยทั่วไปของการนำส่งข้อมูลทางอิเล็กทรอนิกส์

info_A.jpg
info_B.jpg

โครงสร้างมาตรฐาน แบ่งเป็น 2 ส่วน

1. ข้อกำหนดของบริการจัดทำหรือนำส่งข้อมูลอิเล็กทรอนิกส์ การใช้ช่องทางการสื่อสารที่มีความมั่นคงปลอดภัย (protected channel)
  1. การเข้ารหัสลับของข้อมูล (message encryption)
  2. การระบุตัวผู้ส่งข้อมูลต้นทาง (sender identification)
  3. การระบุตัวผู้รับข้อมูลปลายทาง (recipient identification)
  4. การอ้างอิงเวลา (time reference)
  5. หลักฐานการส่งและการรับข้อมูล (evidence of sending and receiving
2. ข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ
การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
  • ดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดยต้องมีการกำหนดเกณฑ์ความเสี่ยง ระบุความเสี่ยง วิเคราะห์ความเสี่ยง การเปรียบเทียบผลลัพธ์
  • กำหนดแผนจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
  • ทบทวนอย่างสม่ำเสมอ
มาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
มาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศของบริการนำส่งข้อมูลอิเล็กทรอนิกส์ อ้างอิงมาตรการควบคุม (control) และแนวปฏิบัติ (guidance) จากมาตรฐาน ISO/IEC 27002:2022 ทั้งนี้ มาตรฐาน ISO/IEC 27002:2022 ประกอบด้วยมาตรการควบคุมจำนวน 93 ข้อ ซึ่งแบ่งออกเป็น 4 ด้าน ดังนี้
  • มาตรการควบคุมด้านองค์กร (organizational controls)
  • มาตรการควบคุมด้านบุคลากร (people controls)
  • มาตรการควบคุมด้านกายภาพ (physical controls)
  • มาตรการควบคุมด้านเทคโนโลยี (technological controls)

อย่างไรก็ตาม ข้อเสนอแนะมาตรฐานฉบับนี้ ได้พิจารณามาตรการควบคุมทั้งหมดของ ISO/IEC 27002:2022 มาวิเคราะห์ตามบริบทและประเด็นที่เกี่ยวข้องกับบริการนำส่งข้อมูลอิเล็กทรอนิกส์ และแบ่งมาตรการควบคุมตามระดับความจำเป็น ดังนี้
มาตรการควบคุมที่จำเป็น (mandatory controls) จำนวน 50 ข้อ
มาตรการควบคุมที่เป็นทางเลือก (optional controls) จำนวน 33 ข้อ
มาตรการควบคุมที่เฉพาะกรณี (conditional controls) จำนวน 10 ข้อ

ทั้งนี้ เพื่อให้สอดคล้องตามข้อเสนอแนะมาตรฐานฉบับนี้ ผู้ให้บริการต้องปฏิบัติตามมาตรการควบคุมที่จำเป็น (mandatory controls) ทุกข้อ และปฏิบัติตามมาตรการควบคุมที่เฉพาะกรณี (conditional controls) หากระบบของผู้ให้บริการเป็นไปตามเงื่อนไขที่ระบุไว้ในข้อนั้น ๆ เช่น กรณีที่ให้หน่วยงานภายนอกทำหน้าที่ให้บริการแทน กรณีที่ใช้บริการคลาวด์ หรือกรณีที่หน่วยงานเป็นผู้พัฒนาระบบเอง

นอกจากนี้ ผู้ให้บริการสามารถพิจารณาปฏิบัติตามมาตรการควบคุมที่เป็นทางเลือก (optional controls) เพิ่มเติม เพื่อให้สอดคล้องกับการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และหลักเกณฑ์ของหน่วยงานที่กำกับดูแลบริการนำส่งข้อมูลอิเล็กทรอนิกส์แต่ละประเภท