หน้าหลัก » การปฏิบัติตามกฎระเบียบและมาตรฐาน

การปฏิบัติตามกฎเกณฑ์และมาตรฐาน

มกราคม 27, 2023 • อเลสซานโดร มิรานี

ปัญญาประดิษฐ์, ความจริงเสมือน, การชำระเงินไร้เงินสด, อินเทอร์เน็ตของสรรพสิ่ง, และสาขาเทคโนโลยีสารสนเทศอื่น ๆ กำลังเติบโตทุกวัน


ด้วยการเติบโตและการขยายตัวของพวกเขา แหล่งภัยคุกคามและช่องโหว่ใหม่ๆ เกิดขึ้นในภูมิทัศน์ไซเบอร์ ใน รายงานเกี่ยวกับแนวโน้มความปลอดภัยทางไซเบอร์ในปี 2022 ฟอรัมเศรษฐกิจโลกกล่าวว่า “เมื่อการทำดิจิทัลยังคงขยายตัวและมีเทคโนโลยีใหม่ๆ ถูกนำมาใช้ ความเสี่ยงทางไซเบอร์จะเติบโตขึ้นอย่างหลีกเลี่ยงไม่ได้” พวกเขายังได้ระบุจากการสำรวจของพวกเขาว่า “ถึงแม้ผู้มีส่วนได้ส่วนเสียในภาครัฐและเอกชน […] จะมุ่งมั่นที่จะบรรลุระดับการฟื้นฟูความปลอดภัยทางไซเบอร์ที่สูงขึ้น ความพยายามของพวกเขามักถูกขัดขวางโดยอุปสรรคด้านกฎระเบียบต่างๆ”

การเข้าใจข้อกำหนดทางกฎระเบียบอาจเป็นอุปสรรคใหญ่สำหรับบริษัทต่างๆ โดยเฉพาะอย่างยิ่งสำหรับบริษัทที่ตั้งเป้าขยายตัวในระดับนานาชาติ ในบทความถัดไปนี้ เราจะให้ภาพรวมเกี่ยวกับวิธีการเข้าหากฎระเบียบด้านความปลอดภัยทางไซเบอร์ ว่ามีกฎระเบียบอะไรบ้างที่พบได้บ่อย และวิธีการจัดการกับมัน

II. กฎระเบียบและมาตรฐาน

ในปี 2005 สหภาพโทรคมนาคมระหว่างประเทศได้ดำเนินการศึกษาวิจัยเกี่ยวกับโครงการความมั่นคงทางไซเบอร์ระดับชาติใน 14 เศรษฐกิจหลักของโลกและในอุตสาหกรรมเกือบ 30 แห่ง พวกเขาประเมินว่าโครงการมากกว่า 174 โครงการที่อาจนำไปสู่การกำหนดนโยบายในอนาคตได้มีการดำเนินการอยู่ ในปัจจุบัน โดยอิงจากจำนวนข้อบังคับและมาตรฐานที่มีอยู่ทั่วโลก อาจเป็นไปได้ว่า จำนวนขั้นต่ำของนโยบายความมั่นคงทางไซเบอร์ที่บังคับใช้ทั่วโลกอยู่ในหลักพัน

อย่างไรก็ตาม สิ่งสำคัญคือต้องเข้าใจความแตกต่างระหว่างระเบียบข้อบังคับและมาตรฐาน เนื่องจากองค์กรอาจถูกกำหนดให้ต้องปฏิบัติตามข้อบังคับหนึ่งหรือทั้งสองข้อ ระเบียบข้อบังคับด้านความปลอดภัยไซเบอร์เป็นกฎที่มีผลผูกพันตามกฎหมาย (หรือชุดของกฎ) ที่องค์กรต้องปฏิบัติตาม การปฏิบัติตามระเบียบเหล่านี้เป็นสิ่งที่ต้องทำ และองค์กรที่ไม่ปฏิบัติตามอาจต้องเผชิญกับบทลงโทษ เช่น ค่าปรับหรือการดำเนินการทางกฎหมายจากหน่วยงานรัฐบาล

ในทางกลับกัน มาตรฐานความปลอดภัยทางไซเบอร์คือชุดแนวทางหรือแนวปฏิบัติที่ดีที่สุดที่องค์กรสามารถปฏิบัติตามเพื่อปรับปรุงท่าทางความปลอดภัยทางไซเบอร์ของตน การปฏิบัติตามมาตรฐานเหล่านี้เป็นเรื่องสมัครใจ แต่การปฏิบัติตามพวกมันสามารถช่วยให้องค์กรแสดงให้ลูกค้า คู่ค้า และหน่วยงานกำกับดูแลเห็นความสอดคล้องของท่าทางความปลอดภัยทางไซเบอร์ของพวกเขา

โดยสรุปแล้ว ข้อบังคับมีผลผูกพันทางกฎหมายและสามารถบังคับใช้ได้ตามกฎหมายในขณะที่มาตรฐานไม่มีผลเช่นนั้น อย่างไรก็ตาม เนื่องจากมาตรฐานมีการอัปเดตบ่อยครั้ง การปฏิบัติตามมาตรฐานสามารถช่วยให้องค์กรปฏิบัติตามข้อบังคับได้ นอกจากนี้ เนื่องจากข้อบังคับมักมีขอบเขตกว้าง การปฏิบัติตามมาตรฐานที่เฉพาะเจาะจงกับภาคอุตสาหกรรมขององค์กรสามารถช่วยให้องค์กรโดดเด่นจากคู่แข่งได้

ดังนั้น ขึ้นอยู่กับกิจกรรมขององค์กร อาจจำเป็นต้องปฏิบัติตามมาตรฐานหรือข้อบังคับเฉพาะ อย่างไรก็ตาม สามารถสันนิษฐานได้ว่าธุรกิจสมัยใหม่ทุกแห่งต้องปฏิบัติตามการคุ้มครองข้อมูลและความปลอดภัยทางไซเบอร์ ด้วยเหตุนี้ ฉันได้สรุปประเด็นสำคัญจากกฎระเบียบสองฉบับในยุโรปและสองมาตรฐานที่บริษัทต่างๆ ทั่วโลกขอร้องบ่อยๆ: ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR), ระเบียบข้อบังคับเกี่ยวกับเครือข่ายและระบบสารสนเทศ (NIS), ISO 27k และสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)

การเข้าใจกฎระเบียบและมาตรฐาน

ในกรณีที่คุณไม่คุ้นเคยกับนโยบายทั้งหมดที่กล่าวถึงข้างต้น ฉันจะให้ข้อมูลเบื้องต้นเกี่ยวกับสี่นโยบายเหล่านี้:

  • GDPR (กฎระเบียบการคุ้มครองข้อมูลส่วนบุคคลทั่วไป): นี่คือระเบียบของสหภาพยุโรปที่ควบคุมการคุ้มครองข้อมูลส่วนบุคคลและสิทธิของบุคคลเกี่ยวกับข้อมูลส่วนบุคคลของพวกเขา ใช้บังคับกับผู้ที่ประมวลผลข้อมูลส่วนบุคคลของพลเมืองสหภาพยุโรป โดยไม่คำนึงถึงสถานที่ตั้ง นั่นหมายความว่าผู้ใดก็ตามที่ประมวลผลข้อมูลส่วนบุคคลของพลเมืองยุโรปจะต้องปฏิบัติตาม GDPR บทความใน GDPR กำหนดกฎเกณฑ์ต่างๆ เช่น มาตรการที่ใช้เพื่อคุ้มครองข้อมูลส่วนบุคคล การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล และกระบวนการและการรายงานการละเมิด
  • NIS Directive (คำสั่งเกี่ยวกับเครือข่ายและระบบข้อมูล): นี่คือคำสั่งของสหภาพยุโรปที่มุ่งเน้นการจัดหามาตรฐานความปลอดภัยสำหรับโครงสร้างพื้นฐานที่สำคัญและบริการที่จำเป็นทั่วทั้งยุโรป ตามคำสั่งนี้ บริษัททั้งหมดที่ดำเนินงานในอุตสาหกรรมที่สำคัญ (เช่น พลังงาน การขนส่ง และการดูแลสุขภาพ) และผู้ให้บริการบริการดิจิทัลของพวกเขา (เช่น เครื่องมือค้นหาและบริการคลาวด์) จะได้รับการขอให้ดำเนินการมาตรการด้านความปลอดภัยที่เหมาะสม นอกจากนี้ คำสั่งนี้ยังเรียกร้องให้รัฐสมาชิกของสหภาพยุโรปมีกลยุทธ์ความปลอดภัยไซเบอร์แห่งชาติและแผนการตอบสนองเหตุการณ์ที่เทียบเท่าหรือกว้างกว่าคำสั่ง NIS นั่นหมายความว่าทุกประเทศในสหภาพยุโรปจะต้องดำเนินการกฎระเบียบที่ครอบคลุมทุกหัวข้อของคำสั่ง NIS เป็นฐานขั้นต่ำ แต่สามารถ (และควร) ขยายออกไปได้มากกว่า
  • มาตรฐาน ISO 27000 สำหรับความปลอดภัยทางไซเบอร์: หรือที่รู้จักกันในชื่อ ISO 27k เป็นมาตรฐานสากลที่กำหนดกรอบการทำงานสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) มันให้แนวทางการจัดการข้อมูลที่ละเอียดอ่อนของบริษัทให้ปลอดภัย มันรวมถึงชุดนโยบายและกระบวนการที่องค์กรสามารถใช้เพื่อช่วยปกป้องข้อมูลที่เป็นความลับ รวมทั้งแนวทางการจัดการความเสี่ยงและการปฏิบัติตาม
  • NIST (สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ) โครงสร้างความปลอดภัยทางไซเบอร์: NIST เป็นหน่วยงานรัฐบาลของสหรัฐอเมริกาที่เผยแพร่มาตรฐาน แนวทาง และแนวปฏิบัติที่ดีที่สุดในด้านความปลอดภัยทางไซเบอร์ โครงสร้างความปลอดภัยทางไซเบอร์ของ NIST ให้แนวทางการบริหารความปลอดภัยทางไซเบอร์ที่มุ่งเน้นการประเมินความเสี่ยง มาตรฐานนี้มีโครงสร้างที่ระบุการดำเนินการหลักห้าประการเพื่อให้เป็นไปตามข้อกำหนด: การระบุ, การปกป้อง, การตรวจจับ, การตอบสนอง, และการฟื้นฟู

GDPR, NIS Directive, ISO 27k และ NIST ล้วนเกี่ยวข้องกับความปลอดภัยทางไซเบอร์และการคุ้มครองข้อมูล แม้ว่าพวกเขาอาจแตกต่างกันในแง่ของขอบเขตและข้อกำหนด การจัดการกับหนึ่งในนั้นอาจเป็นขั้นตอนสำคัญในการบรรลุเป้าหมายของอีกหลายๆ อย่าง ตัวอย่างเช่น:

  • หากเราพิจารณา ISO 27k และ NIST เราจะเห็นว่ามาตรฐานทั้งสองนี้ได้รับการยอมรับอย่างกว้างขวางและได้รับการยอมรับว่าเป็นแนวปฏิบัติที่ดีที่สุดสำหรับความปลอดภัยทางไซเบอร์ อย่างไรก็ตาม ISO 27k เป็นมาตรฐานที่มุ่งเน้นกระบวนการที่ให้แนวทางในการจัดการข้อมูลบริษัทที่ละเอียดอ่อน ในขณะที่ NIST สร้างขึ้นจากแนวทางที่มุ่งเน้นความเสี่ยงและมีเป้าหมายในการระบุ การจัดการ และลดความเสี่ยงจากช่องโหว่ด้านความปลอดภัยทางไซเบอร์
  • หากเราใช้ NIS Directive และ GDPR เราจะเห็นว่าทั้งสองมีแนวทางและข้อกำหนดในการปรับปรุงมาตรการด้านความปลอดภัยทางไซเบอร์ ทั้งสองมีความทับซ้อนกันในบางประเด็น อย่างไรก็ตาม ต้องสังเกตว่า GDPR มีเป้าหมายเพื่อปกป้องข้อมูลส่วนบุคคลในทุกระดับ ในขณะที่ NIS Directive มีเป้าหมายเพื่อให้คำแนะนำในทุกประเด็นที่เกี่ยวข้องกับความปลอดภัยของข้อมูล แต่เฉพาะในขอบเขตเฉพาะอุตสาหกรรมเท่านั้น

สรุป: ขอบเขต การบังคับใช้ และจุดประสงค์ของนโยบายความปลอดภัยทางไซเบอร์สามารถกำหนดได้หลังจากกฎระเบียบและมาตรฐาน แต่คุณต้องทราบถึงความแตกต่างระหว่างกฎระเบียบและมาตรฐานเหล่านั้นเพื่อทำความเข้าใจว่ากฎระเบียบใดเหมาะกับคุณที่สุด เมื่อคุณเข้าใจแล้ว ก็เพียงแค่ปฏิบัติตามอย่างถูกต้องเท่านั้น ในหัวข้อถัดไป จะเป็นข้อเสนอแนะบางประการเกี่ยวกับเรื่องนี้”

คุณจัดการการปฏิบัติตามนโยบายและข้อบังคับอย่างไร? ความท้าทายและทางแก้ไข

การดำเนินนโยบายที่กล่าวถึงข้างต้นอาจมีความจำเป็นเนื่องจากข้อกำหนดทางกฎหมายหรือการตรวจสอบที่กำลังจะมาถึง คุณอาจจำเป็นต้องเปลี่ยนแปลงกระบวนการและโครงสร้างของคุณเพื่อให้สอดคล้องกับนโยบายที่เกี่ยวข้อง อย่างไรก็ตาม ก่อนที่จะทำเช่นนั้น มีขั้นตอนทั่วไปบางอย่างที่สามารถดำเนินการได้เพื่อเตรียมพร้อมสำหรับการเปลี่ยนแปลงเหล่านี้:

  • การจัดการสินทรัพย์และสินค้าคงคลัง: องค์กรมักจะประเมินระบบ กระบวนการ และขั้นตอนปัจจุบันของพวกเขาเพื่อกำหนดระดับความสอดคล้อง ซึ่งรวมถึงการระบุพื้นที่ที่ทราบว่ามีความไม่สอดคล้อง รวมถึงความเสี่ยงและจุดอ่อนที่ทราบในโครงสร้างพื้นฐานปัจจุบันของพวกเขา
  • การฝึกอบรมและการสื่อสาร: การเตรียมทรัพยากรของคุณสำหรับการเปลี่ยนแปลงที่กำลังจะเกิดขึ้นเป็นสิ่งสำคัญเพื่อให้แน่ใจว่าทุกคนในองค์กรของคุณเข้าใจถึงการเปลี่ยนแปลงที่จำเป็น การตรวจสอบหรือการอัปเกรดโครงสร้างพื้นฐานอาจทำให้เกิดความยุ่งยากและอาจต้องการให้พนักงานเรียนรู้ทักษะใหม่ ๆ การตระหนักถึงเรื่องเหล่านี้จะช่วยให้คุณประหยัดเวลาในการจัดลำดับความสำคัญและวางแผนแนวทางแก้ไขที่เป็นไปได้
  • การจัดการบุคคลที่สามและผู้ให้บริการ: นี่เป็นแง่มุมที่มักถูกมองข้าม การมีรายชื่อผู้ให้บริการที่ครบถ้วนและอัปเดตอยู่เสมออาจเป็นสิ่งจำเป็นเพื่อให้สอดคล้องกับมาตรฐานและกฎระเบียบส่วนใหญ่ แม้นโยบายจะไม่ได้ระบุถึงบุคคลที่สามโดยตรง แต่ก็อาจต้องมีการปรับเปลี่ยนข้อกำหนดและเงื่อนไขของข้อตกลงกับผู้ให้บริการภายนอกโดยอ้อม
  • การวิเคราะห์ช่องว่าง: หากคุณกำลังตรวจสอบการปฏิบัติตามกฎระเบียบหรือมาตรฐาน สิ่งสำคัญคือต้องเตรียมพร้อมที่จะดำเนินการวิเคราะห์ช่องว่างเพื่อระบุพื้นที่ที่จำเป็นต้องมีการแก้ไขอย่างสำคัญ นี่เป็นขั้นตอนแรกในการปฏิบัติตามกฎระเบียบและควรดำเนินการโดยที่ปรึกษาภายนอกที่มีความรู้เฉพาะด้านเกี่ยวกับการปฏิบัติตามข้อกำหนดที่คุณพยายามบรรลุ

สรุปแล้ว การปฏิบัติตามข้อกำหนดและมาตรฐานอาจเป็นเรื่องยากและมีค่าใช้จ่ายสูง คุณอาจต้องพึ่งพาที่ปรึกษาภายนอกเพื่อให้เป็นไปตามข้อกำหนด หากคุณไม่มีความสามารถในองค์กรที่จำเป็น อย่างไรก็ตาม การทำความเข้าใจความแตกต่างระหว่างนโยบายและข้อบังคับ รวมถึงการมีกลยุทธ์ในสถานการณ์ สามารถทำให้กระบวนการเป็นไปได้อย่างราบรื่นขึ้น และช่วยคุณตัดสินใจว่าเมื่อใดควรปรับปรุงตามมาตรฐาน และเมื่อใดที่จำเป็นต้องปฏิบัติตามข้อกำหนด

อวาตาร์ของผู้เขียน

อเลสซานโดร มิรานี่

กระทู้เด่น

  1. ความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ในแพลตฟอร์มเกมออนไลน์
  2. การรั่วไหลของข้อมูลผู้มีอิทธิพล: อันตรายที่เพิ่มขึ้นต่อความปลอดภัยออนไลน์
  3. ฉลองครบรอบ 10 ปีของ Cyber Essentials: ทศวรรษแห่งการเสริมสร้างการป้องกันทางไซเบอร์สำหรับธุรกิจ
  4. How Classic Games Are Being Used in Malware Campaigns
  5. เหตุผลในการซื้อขาย Crypto กับโบรกเกอร์ออนไลน์
  6. ความเป็นส่วนตัวและความปลอดภัยเป็นคุณลักษณะหลักของ Blockchain: ตอนที่ 2
  7. ไวรัส Tinba: โทรจันระบบธนาคารที่ชั่วร้าย
  8. การละเมิดข้อมูลครั้งใหญ่ที่ AT&T: สิ่งที่ลูกค้าจำเป็นต้องรู้
  9. เทคโนโลยี Blockchain ปลอดภัยแค่ไหน?
  10. Can Crypto Be Hacked?
  11. ความเป็นส่วนตัวและความปลอดภัยเป็นลักษณะสำคัญของ Blockchain: ตอนที่ 3
  12. Should You Really Put Cameras Around Your Home—and What Risks Are You Inviting if You Do?

ติดตามเทรนด์ไซเบอร์และเทคโนโลยีล่าสุด

©2025 securitybriefing - สงวนลิขสิทธิ์
thThai
en_USEnglish de_DE_formalGerman da_DKDanish it_ITItalian sv_SESwedish ro_RORomanian viVietnamese jaJapanese nl_NLDutch ko_KRKorean arArabic thThai