แถลงข่าว NCSA Cyber Security Self-Assessment
WorapolLimsiriwong
1 views
43 slides
Sep 30, 2025
Slide 1 of 43
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
About This Presentation
สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) จัดงาน Cyber Security Forum 4/2025: Risk & Self-Assessment เพื่อเปิดเผ�...
Slide Content
โดย สํานักงานคณะกรรมการการรักษาความมันคงปลอดภัย
ไซเบอร์แห่งชาติ (สกมช.)
CYBER SECURITY
FORUM 4/2025
RISK & SELF-ASSESSMENT วันอังคารที 30 กันายายน พ.ศ. 2568
ไซเบอร์แห่งชาติ (สกมช.)
CYBER SECURITY
FORUM 4/2025
RISK & SELF-ASSESSMENT วันอังคารที 30 กันายายน พ.ศ. 2568
วาระการประชุม
พิธีเปดงาน โดย พลอากาศตรี จเด็ด คูหะก้องกิจ ผู้ช่วย
เลขาธิการคณะกรรมการการรักษาความมันคงปลอดภัย
ไซเบอร์แห่งชาติ
รายงานสรุปผลการประเมินระดับการรักษาความมันคง
ปลอดภัยไซเบอร์ โดย พันตํารวจโท นรินทร์ เพชรทอง ผู้
เชียวชาญพิเศษ สํานักประสานงานรักษาการ ผู้อํานวยการ
สํานักบริหารโครงสร้างพืนฐานสําคัญทางสารสนเทศ
10:30-11:00 น.
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
สรุปผลการประเมินและแนวโน้มด้านความมันคงปลอดภัยโชเบอร์
ภาพรวม โดย ผู้แทนจากบริษัท ไซเบอร์ อีลีท จํากัด
ผลการประเมินในภาพรวมและการวิเคราะห์ข้อมูลสําคัญ
ข้อเสนอแนะและมาตรการเชิงปฏิบัติสําหรับองค์กรภาครัฐ
และเอกชน
การอภิปรายแนวโน้มและภัยคุกคามทางไซเบอร์ทีสําคัญในป
ทีผ่านมา
11:00-12:00 น.
พิธีเปดงาน โดย พลอากาศตรี จเด็ด คูหะก้องกิจ ผู้ช่วย
เลขาธิการคณะกรรมการการรักษาความมันคงปลอดภัย
ไซเบอร์แห่งชาติ
รายงานสรุปผลการประเมินระดับการรักษาความมันคง
ปลอดภัยไซเบอร์ โดย พันตํารวจโท นรินทร์ เพชรทอง ผู้
เชียวชาญพิเศษ สํานักประสานงานรักษาการ ผู้อํานวยการ
สํานักบริหารโครงสร้างพืนฐานสําคัญทางสารสนเทศ
10:30-11:00 น.
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
สรุปผลการประเมินและแนวโน้มด้านความมันคงปลอดภัยโชเบอร์
ภาพรวม โดย ผู้แทนจากบริษัท ไซเบอร์ อีลีท จํากัด
ผลการประเมินในภาพรวมและการวิเคราะห์ข้อมูลสําคัญ
ข้อเสนอแนะและมาตรการเชิงปฏิบัติสําหรับองค์กรภาครัฐ
และเอกชน
การอภิปรายแนวโน้มและภัยคุกคามทางไซเบอร์ทีสําคัญในป
ทีผ่านมา
11:00-12:00 น.
ภาพรวมโครงการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์
Copyright © All Right Reserved by National Cyber Security Agency (NCSA) ป 2566แบบประเมินสถานภาพ
การดําเนินงานด้านการ
รักษาความมันคง
ปลอดภัยไซเบอร์ สําหรับ
หน่วยงานแต่ละประเภท ป 2567ปรับปรุงคู่มือแบบประเมินฯ
พร้อมเชิญหน่วยงานเข้า
ร่วมประเมินฯ จํานวน 167
หน่วยงาน
ประเมินผ่าน
Cyberselfassessment.com
เข้าให้คําปรึกษา จํานวน
30 หน่วยงาน ป 2568ปรับปรุงคู่มือแบบประเมินฯ
พร้อมเชิญหน่วยงานที
สนใจลงทะเบียนเข้าร่วม
ประเมินฯ จํานวน 439
หน่วยงาน
ประเมินผ่านระบบ ระบบ
Virtual CISO
เข้าให้คําปรึกษา จํานวน
38 หน่วยงาน
การรักษาความมันคงปลอดภัยไซเบอร์
Copyright © All Right Reserved by National Cyber Security Agency (NCSA) ป 2566แบบประเมินสถานภาพ
การดําเนินงานด้านการ
รักษาความมันคง
ปลอดภัยไซเบอร์ สําหรับ
หน่วยงานแต่ละประเภท ป 2567ปรับปรุงคู่มือแบบประเมินฯ
พร้อมเชิญหน่วยงานเข้า
ร่วมประเมินฯ จํานวน 167
หน่วยงาน
ประเมินผ่าน
Cyberselfassessment.com
เข้าให้คําปรึกษา จํานวน
30 หน่วยงาน ป 2568ปรับปรุงคู่มือแบบประเมินฯ
พร้อมเชิญหน่วยงานที
สนใจลงทะเบียนเข้าร่วม
ประเมินฯ จํานวน 439
หน่วยงาน
ประเมินผ่านระบบ ระบบ
Virtual CISO
เข้าให้คําปรึกษา จํานวน
38 หน่วยงาน
วัตถุประสงค์ และประโยชน์ของโครงการประเมิน
ระดับการรักษาความมันคงปลอดภัยไซเบอร์
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ประโยชน์ทีได้รับจากการเข้าร่วมโครงการ ดังนี:
ได้เห็นข้อมูลผลการประเมิน
ภาพรวมของตนเอง
เข้าใจสถานการณ์ปจจุบัน
รู้จุดแข็งและจุดทีต้อง
ปรับปรุงจากผลการประเมิน
ตนเอง
สามารถกําหนดแนวทาง
การพัฒนาทีเหมาะสมกับ
บริบทจริงของหน่วยงาน
ตระหนักถึงประสิทธิภาพของ
หน่วยงานตนเอง
เข้าใจสถานะและแนวโน้ม
ความมันคงปลอดภัย
ไซเบอร์ของประเทศ
มุมมองเชิงภาพรวม
ได้ข้อเสนอแนะและมาตรการ
เชิงปฏิบัติทีนําไปใช้ได้ทันที
สามารถนําไปวางแผน
สําหรับการพัฒนา ภายใน
หน่วยงานเพือยกระดับ
มาตรฐานความมันคง
ปลอดภัยไซเบอร์
แนวทางการปรับตัวและ
พัฒนา
ระดับการรักษาความมันคงปลอดภัยไซเบอร์
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ประโยชน์ทีได้รับจากการเข้าร่วมโครงการ ดังนี:
ได้เห็นข้อมูลผลการประเมิน
ภาพรวมของตนเอง
เข้าใจสถานการณ์ปจจุบัน
รู้จุดแข็งและจุดทีต้อง
ปรับปรุงจากผลการประเมิน
ตนเอง
สามารถกําหนดแนวทาง
การพัฒนาทีเหมาะสมกับ
บริบทจริงของหน่วยงาน
ตระหนักถึงประสิทธิภาพของ
หน่วยงานตนเอง
เข้าใจสถานะและแนวโน้ม
ความมันคงปลอดภัย
ไซเบอร์ของประเทศ
มุมมองเชิงภาพรวม
ได้ข้อเสนอแนะและมาตรการ
เชิงปฏิบัติทีนําไปใช้ได้ทันที
สามารถนําไปวางแผน
สําหรับการพัฒนา ภายใน
หน่วยงานเพือยกระดับ
มาตรฐานความมันคง
ปลอดภัยไซเบอร์
แนวทางการปรับตัวและ
พัฒนา
จํานวนหน่วยงานทีเข้าร่วม
ทําแบบประเมินทังหมด
298
หน่วยงาน
ภาพรวมโครงการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์ ป 2568
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ทําแบบประเมินทังหมด
298
หน่วยงาน
ภาพรวมโครงการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์ ป 2568
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ภาพรวมโครงการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์ ป 2568
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
จํานวนหน่วยงานทีส่งผลการประเมิน
191 หน่วยงาน
หน่วยงานของรัฐ (GOV)
164 หน่วยงาน
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
23 หน่วยงาน
หน่วยงานควบคุมหรือกํากับดูแล (REG)
4 หน่วยงาน
การรักษาความมันคงปลอดภัยไซเบอร์ ป 2568
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
จํานวนหน่วยงานทีส่งผลการประเมิน
191 หน่วยงาน
หน่วยงานของรัฐ (GOV)
164 หน่วยงาน
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
23 หน่วยงาน
หน่วยงานควบคุมหรือกํากับดูแล (REG)
4 หน่วยงาน
ป 2567
65%
ป 2568
59%
ป 2567
83%
ป 2568
89%
ป 2567
85%
ป 2568
91%
ภาพรวมโครงการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์
เปรียบเทียบป 2567 และ ป 2568
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานของรัฐ (GOV)
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
หน่วยงานควบคุมหรือกํากับดูแล (REG)
65%
ป 2568
59%
ป 2567
83%
ป 2568
89%
ป 2567
85%
ป 2568
91%
ภาพรวมโครงการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์
เปรียบเทียบป 2567 และ ป 2568
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานของรัฐ (GOV)
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
หน่วยงานควบคุมหรือกํากับดูแล (REG)
การส่งแบบประเมิน
จํานวนหน่วยงานทีเข้าร่วมมากขึนเกือบ 3 เท่า
ผลคะแนนเฉลียของ
หน่วยงานของรัฐ (GOV)
จํานวนหน่วยงานทีเข้าร่วมมาก
ขึนเกือบ 4 เท่า
คะแนนเฉลีย -6%
เนืองจากมีหน่วยงานเพิมขึน
จํานวนมาก ส่งผลให้คะแนนเฉลีย
ลดลง
ผลคะแนนเฉลียของ
หน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ (CII)
จํานวนหน่วยงานทีเข้าร่วมมาก
ขึนเกือบ 3 เท่า
คะแนนเฉลีย +3%
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ผลคะแนนเฉลียของ
หน่วยงานกํากับดูแล (REG)
จํานวนหน่วยงานทีเข้าร่วมเท่า
เดิม
คะแนนเฉลีย +6%ภาพรวมโครงการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์
เปรียบเทียบป 2567 และ ป 2568
จํานวนหน่วยงานทีเข้าร่วมมากขึนเกือบ 3 เท่า
ผลคะแนนเฉลียของ
หน่วยงานของรัฐ (GOV)
จํานวนหน่วยงานทีเข้าร่วมมาก
ขึนเกือบ 4 เท่า
คะแนนเฉลีย -6%
เนืองจากมีหน่วยงานเพิมขึน
จํานวนมาก ส่งผลให้คะแนนเฉลีย
ลดลง
ผลคะแนนเฉลียของ
หน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ (CII)
จํานวนหน่วยงานทีเข้าร่วมมาก
ขึนเกือบ 3 เท่า
คะแนนเฉลีย +3%
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ผลคะแนนเฉลียของ
หน่วยงานกํากับดูแล (REG)
จํานวนหน่วยงานทีเข้าร่วมเท่า
เดิม
คะแนนเฉลีย +6%ภาพรวมโครงการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์
เปรียบเทียบป 2567 และ ป 2568
พ.ร.บ. การรักษาความมันคงปลอดภัยไซเบอร์ พ.ศ. 2562
ประกาศฯ เรือง นโยบายและ
แผนปฏิบัติการว่าด้วยการ
รักษาความมันคงปลอดภัย
ไซเบอร์ พ.ศ. ๒๕๖๕-๒๕๗๐
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
วัตถุประสงค์และหลักการ
การประเมินระดับการรักษาความมันคงปลอดภัยทางไซเบอร์ ดําเนินการโดยมีหลักการอ้างอิงตาม พระราชบัญญัติ
การรักษาความมันคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ เพือให้สอดคล้องกับกรอบกฏหมาย แนวทาง และแผนแม่บทระดับ
ชาติ โดยประกอบไปด้วย:
ประกาศฯ เรือง ประมวล
แนวทางปฏิบัติและกรอบ
มาตรฐานด้านการรักษาความ
มันคงปลอดภัยไซเบอร์ สําหรับ
หน่วยงานของรัฐและหน่วยงาน
โครงสร้างพืนฐานสําคัญทาง
สารสนเทศ พ.ศ. ๒๕๖๔
ประกาศฯ เรือง การกําหนด
หลักเกณฑ์ ลักษณะหน่วยงานที
มีภารกิจหรือให้บริการ เปน
หน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ และการ
มอบหมายการควบคุมและ
กํากับดูแล พ.ศ. ๒๕๖๔
ประกาศฯ เรือง ลักษณะ หน้าที
และความรับผิดชอบของศูนย์
ประสานการรักษาความมันคง
ปลอดภัย ระบบคอมพิวเตอร์
สําหรับหน่วยงานโครงสร้าง
พืนฐานสําคัญทางสารสนเทศ
และภารกิจหรือให้บริการที
เกียวข้อง พ.ศ. ๒๕๖๔
ประกาศฯ เรือง นโยบายและ
แผนปฏิบัติการว่าด้วยการ
รักษาความมันคงปลอดภัย
ไซเบอร์ พ.ศ. ๒๕๖๕-๒๕๗๐
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
วัตถุประสงค์และหลักการ
การประเมินระดับการรักษาความมันคงปลอดภัยทางไซเบอร์ ดําเนินการโดยมีหลักการอ้างอิงตาม พระราชบัญญัติ
การรักษาความมันคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ เพือให้สอดคล้องกับกรอบกฏหมาย แนวทาง และแผนแม่บทระดับ
ชาติ โดยประกอบไปด้วย:
ประกาศฯ เรือง ประมวล
แนวทางปฏิบัติและกรอบ
มาตรฐานด้านการรักษาความ
มันคงปลอดภัยไซเบอร์ สําหรับ
หน่วยงานของรัฐและหน่วยงาน
โครงสร้างพืนฐานสําคัญทาง
สารสนเทศ พ.ศ. ๒๕๖๔
ประกาศฯ เรือง การกําหนด
หลักเกณฑ์ ลักษณะหน่วยงานที
มีภารกิจหรือให้บริการ เปน
หน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ และการ
มอบหมายการควบคุมและ
กํากับดูแล พ.ศ. ๒๕๖๔
ประกาศฯ เรือง ลักษณะ หน้าที
และความรับผิดชอบของศูนย์
ประสานการรักษาความมันคง
ปลอดภัย ระบบคอมพิวเตอร์
สําหรับหน่วยงานโครงสร้าง
พืนฐานสําคัญทางสารสนเทศ
และภารกิจหรือให้บริการที
เกียวข้อง พ.ศ. ๒๕๖๔
พ.ร.บ. การรักษาความมันคงปลอดภัย
ไซเบอร์ พ.ศ. 2562
นโยบายและ
แผนปฏิบัติ
ประมวล
แนวทางปฏิบัติ
และกรอบ
มาตรฐาน
การกําหนด
หลักเกณฑ์
หน่วยงาน
โครงสร้างพืน
ฐานและกํากับ
ดูแล
ลักษณะ หน้าที
และความรับ
ผิดชอบของ
ศูนย์ประสาน
GOV CII
REG
สวนที่ 1
สวนที่ 2
สวนที่ 3
สวนที่ 1
สวนที่ 2
สวนที่ 3
SELF-ASSESSMENT
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
จากข้อกําหนดทางกฎหมายสู่ SELF-ASSESSMENT
ไซเบอร์ พ.ศ. 2562
นโยบายและ
แผนปฏิบัติ
ประมวล
แนวทางปฏิบัติ
และกรอบ
มาตรฐาน
การกําหนด
หลักเกณฑ์
หน่วยงาน
โครงสร้างพืน
ฐานและกํากับ
ดูแล
ลักษณะ หน้าที
และความรับ
ผิดชอบของ
ศูนย์ประสาน
GOV CII
REG
สวนที่ 1
สวนที่ 2
สวนที่ 3
สวนที่ 1
สวนที่ 2
สวนที่ 3
SELF-ASSESSMENT
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
จากข้อกําหนดทางกฎหมายสู่ SELF-ASSESSMENT
Copyright © All Right Reserved by National Cyber Security Agency (NCSA) นายเบญจ เบญจรงคกุล
Digital Group-Office of Co-CEO Department
บริษัท เบญจจินดา โฮลดิง จํากัด
Digital Group-Office of Co-CEO Department
บริษัท เบญจจินดา โฮลดิง จํากัด
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
นายณัฐพล อาภาแสงเพชร
ทีปรึกษาด้านความมันคงปลอดภัยสารสนเทศ
นายณัฐพล อาภาแสงเพชร
ทีปรึกษาด้านความมันคงปลอดภัยสารสนเทศ
สรุปผลการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์
ส่วนที 1:พระราชบัญญัติการรักษาความมันคงปลอดภัยไซเบอร์ พ.ศ. 2562
คะแนนเฉลีย 3.58 จาก 5 คะแนน
คิดเปน 72%
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานของรัฐ (GOV)
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 89 ข้อการประเมิน
ส่วนที 2: นโยบายบริหารจัดการทีเกียวกับการรักษาความมันคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐ และ
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ ประกอบนโยบายและแผนปฏิบัติการว่าด้วยการรักษาความ
มันคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570)
คะแนนเฉลีย 10.17 จาก 15 คะแนน
คิดเปน 68%
ส่วนที 3: ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมันคงปลอดภัยไซเบอร์ สําหรับหน่วย
งานของรัฐและหน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ พ.ศ. 2564
คะแนนเฉลีย 38.81 จาก 69 คะแนน
คิดเปน 56%
การรักษาความมันคงปลอดภัยไซเบอร์
ส่วนที 1:พระราชบัญญัติการรักษาความมันคงปลอดภัยไซเบอร์ พ.ศ. 2562
คะแนนเฉลีย 3.58 จาก 5 คะแนน
คิดเปน 72%
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานของรัฐ (GOV)
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 89 ข้อการประเมิน
ส่วนที 2: นโยบายบริหารจัดการทีเกียวกับการรักษาความมันคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐ และ
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ ประกอบนโยบายและแผนปฏิบัติการว่าด้วยการรักษาความ
มันคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570)
คะแนนเฉลีย 10.17 จาก 15 คะแนน
คิดเปน 68%
ส่วนที 3: ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมันคงปลอดภัยไซเบอร์ สําหรับหน่วย
งานของรัฐและหน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ พ.ศ. 2564
คะแนนเฉลีย 38.81 จาก 69 คะแนน
คิดเปน 56%
สรุปผลการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์
ส่วนที 1:พระราชบัญญัติการรักษาความมันคงปลอดภัยไซเบอร์ พ.ศ. 2562
คะแนนเฉลีย 11.46 จาก 12 คะแนน
คิดเปน 96%
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 98 ข้อการประเมิน
ส่วนที 2: นโยบายบริหารจัดการทีเกียวกับการรักษาความมันคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐ และ
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ ประกอบนโยบายและแผนปฏิบัติการว่าด้วยการรักษาความ
มันคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570)
คะแนนเฉลีย 11.43 จาก 13 คะแนน
คิดเปน 88%
ส่วนที 3: ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมันคงปลอดภัยไซเบอร์ สําหรับหน่วย
งานของรัฐและหน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ พ.ศ. 2564
คะแนนเฉลีย 64.57 จาก 73 คะแนน
คิดเปน 89%
หน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ (CII)
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
การรักษาความมันคงปลอดภัยไซเบอร์
ส่วนที 1:พระราชบัญญัติการรักษาความมันคงปลอดภัยไซเบอร์ พ.ศ. 2562
คะแนนเฉลีย 11.46 จาก 12 คะแนน
คิดเปน 96%
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 98 ข้อการประเมิน
ส่วนที 2: นโยบายบริหารจัดการทีเกียวกับการรักษาความมันคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐ และ
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ ประกอบนโยบายและแผนปฏิบัติการว่าด้วยการรักษาความ
มันคงปลอดภัยไซเบอร์ (พ.ศ. 2565 - 2570)
คะแนนเฉลีย 11.43 จาก 13 คะแนน
คิดเปน 88%
ส่วนที 3: ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมันคงปลอดภัยไซเบอร์ สําหรับหน่วย
งานของรัฐและหน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ พ.ศ. 2564
คะแนนเฉลีย 64.57 จาก 73 คะแนน
คิดเปน 89%
หน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ (CII)
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
สรุปผลการประเมินระดับ
การรักษาความมันคงปลอดภัยไซเบอร์
ส่วนที 1:พระราชบัญญัติการรักษาความมันคงปลอดภัยไซเบอร์ พ.ศ. 2562
คะแนนเฉลีย 10.75 จาก 11 คะแนน
คิดเปน 98%
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 19 ข้อการประเมิน
ส่วนที 2: ประกาศคณะกรรมการการรักษาความมันคงปลอดภัยไซเบอร์แห่งชาติ เรือง การกําหนดหลักเกณฑ์
ลักษณะหน่วยงานทีมีภารกิจหรือให้บริการเปนหน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ และการมอบ
หมายการควบคุมและกํากับดูแล พ.ศ. 2564
คะแนนเฉลีย 1.5 จาก 2 คะแนน
คิดเปน 75%
ส่วนที 3: ประกาศคณะกรรมการการรักษาความมันคงปลอดภัยไซเบอร์แห่งชาติ เรือง ลักษณะ หน้าทีและความรับ
ผิดชอบของศูนย์ประสานการรักษาความมันคงปลอดภัยระบบคอมพิวเตอร์สําหรับหน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ และภารกิจหรือบริการทีเกียวข้อง พ.ศ. 2564
คะแนนเฉลีย 5 จาก 6 คะแนน
คิดเปน 84%
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานควบคุมหรือกํากับ
ดูแล (REG)
การรักษาความมันคงปลอดภัยไซเบอร์
ส่วนที 1:พระราชบัญญัติการรักษาความมันคงปลอดภัยไซเบอร์ พ.ศ. 2562
คะแนนเฉลีย 10.75 จาก 11 คะแนน
คิดเปน 98%
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 19 ข้อการประเมิน
ส่วนที 2: ประกาศคณะกรรมการการรักษาความมันคงปลอดภัยไซเบอร์แห่งชาติ เรือง การกําหนดหลักเกณฑ์
ลักษณะหน่วยงานทีมีภารกิจหรือให้บริการเปนหน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ และการมอบ
หมายการควบคุมและกํากับดูแล พ.ศ. 2564
คะแนนเฉลีย 1.5 จาก 2 คะแนน
คิดเปน 75%
ส่วนที 3: ประกาศคณะกรรมการการรักษาความมันคงปลอดภัยไซเบอร์แห่งชาติ เรือง ลักษณะ หน้าทีและความรับ
ผิดชอบของศูนย์ประสานการรักษาความมันคงปลอดภัยระบบคอมพิวเตอร์สําหรับหน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ และภารกิจหรือบริการทีเกียวข้อง พ.ศ. 2564
คะแนนเฉลีย 5 จาก 6 คะแนน
คิดเปน 84%
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานควบคุมหรือกํากับ
ดูแล (REG)
ผลการประเมินภาพรวม -
ช่องว่างทีพบสําหรับแต่ละหน่วยงาน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานของรัฐ (GOV)
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 89 ข้อการประเมิน
ช่องว่างทีพบสําหรับแต่ละหน่วยงาน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานของรัฐ (GOV)
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 89 ข้อการประเมิน
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 98 ข้อการประเมิน
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ผลการประเมินภาพรวม -
ช่องว่างทีพบสําหรับแต่ละหน่วยงาน
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ผลการประเมินภาพรวม -
ช่องว่างทีพบสําหรับแต่ละหน่วยงาน
ผลการประเมินภาพรวม -
ช่องว่างทีพบสําหรับแต่ละหน่วยงาน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานของรัฐ (GOV)
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 89 ข้อการประเมิน
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
การบริหารจัดการ
ความเสียง
การบริหารจัดการ
ช่องโหว่
แผนการรับมือ
ภัยคุกคาม
ทางไซเบอร์
แผนความต่อเนือง
ทางธุรกิจ
แผนการสือสารใน
ภาวะวิกฤต
นโยบายการรักษา
ความมันคง
ปลอดภัยไซเบอร์
การตรวจสอบและ
กํากับดูแล
การควบคุมความ
ปลอดภัยของผู้ให้
บริการภายนอก
การกําหนดค่าขันตํา
ด้านความปลอดภัย
ไซเบอร์
ความปลอดภัยบน
สือบันทึก
การบริหารจัดการ
ทรัพย์สินสารสนเทศ
ช่องว่างทีพบสําหรับแต่ละหน่วยงาน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
หน่วยงานของรัฐ (GOV)
แบบประเมินแบ่งออกเปน 3 ส่วน จากทังหมด 89 ข้อการประเมิน
หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
การบริหารจัดการ
ความเสียง
การบริหารจัดการ
ช่องโหว่
แผนการรับมือ
ภัยคุกคาม
ทางไซเบอร์
แผนความต่อเนือง
ทางธุรกิจ
แผนการสือสารใน
ภาวะวิกฤต
นโยบายการรักษา
ความมันคง
ปลอดภัยไซเบอร์
การตรวจสอบและ
กํากับดูแล
การควบคุมความ
ปลอดภัยของผู้ให้
บริการภายนอก
การกําหนดค่าขันตํา
ด้านความปลอดภัย
ไซเบอร์
ความปลอดภัยบน
สือบันทึก
การบริหารจัดการ
ทรัพย์สินสารสนเทศ
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 21.2.1, กรอบมาตรฐาน ข้อ 21.2.2, นโยบายบริหารจัดการ ภาคผนวก ข้อ 2.1, นโยบายบริหารจัดการ ภาคผนวก ข้อ 2.1, นโยบาย
บริหารจัดการ ภาคผนวก ข้อ 2.1, นโยบายบริหารจัดการ ภาคผนวก ข้อ 2.2, นโยบายบริหารจัดการ ภาคผนวก ข้อ 2.3, ประมวลแนวปฏิบัติ ข้อ 18, ประมวลแนว
ปฏิบัติ ข้อ 18.1 (ก), ประมวลแนวปฏิบัติ ข้อ 18.1 (ข), ประมวลแนวปฏิบัติ ข้อ 18.1 (ค), ประมวลแนวปฏิบัติ ข้อ 18.2, ประมวลแนวปฏิบัติ ข้อ 18.3, ประมวลแนวปฏิบัติ ข้อ
18.4
เกณฑ์การประเมินความเสียง
ระดับความเสียงทียอมรับได้
ดัชนีชีวัดความเสียงทีสําคัญ
กรอบการบริหารความ
เสียงด้านความมันคง
ปลอดภัยไซเบอร์
โอกาสทีจะเกิด
ความรุนแรงของเหตุการณ์
การจัดการความเสียง
เจ้าของความเสียง
ทะเบียนความเสียง ที
เกียวข้องกับบริการที
สําคัญของหน่วยงาน
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การบริหารจัดการความเสียง
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)หน่วยงานของรัฐ (GOV) หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
บริหารจัดการ ภาคผนวก ข้อ 2.1, นโยบายบริหารจัดการ ภาคผนวก ข้อ 2.2, นโยบายบริหารจัดการ ภาคผนวก ข้อ 2.3, ประมวลแนวปฏิบัติ ข้อ 18, ประมวลแนว
ปฏิบัติ ข้อ 18.1 (ก), ประมวลแนวปฏิบัติ ข้อ 18.1 (ข), ประมวลแนวปฏิบัติ ข้อ 18.1 (ค), ประมวลแนวปฏิบัติ ข้อ 18.2, ประมวลแนวปฏิบัติ ข้อ 18.3, ประมวลแนวปฏิบัติ ข้อ
18.4
เกณฑ์การประเมินความเสียง
ระดับความเสียงทียอมรับได้
ดัชนีชีวัดความเสียงทีสําคัญ
กรอบการบริหารความ
เสียงด้านความมันคง
ปลอดภัยไซเบอร์
โอกาสทีจะเกิด
ความรุนแรงของเหตุการณ์
การจัดการความเสียง
เจ้าของความเสียง
ทะเบียนความเสียง ที
เกียวข้องกับบริการที
สําคัญของหน่วยงาน
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การบริหารจัดการความเสียง
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)หน่วยงานของรัฐ (GOV) หน่วยงานโครงสร้างพืนฐานสําคัญทางสารสนเทศ (CII)
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 21.3.1,กรอบมาตรฐาน ข้อ 21.3.2,กรอบมาตรฐาน ข้อ 21.3.3,กรอบมาตรฐาน ข้อ 21.3.4,กรอบมาตรฐาน ข้อ 21.3.5,
กรอบมาตรฐาน ข้อ 21.3.6,กรอบมาตรฐาน ข้อ 21.3.7,กรอบมาตรฐาน ข้อ 21.3.8,กรอบมาตรฐาน ข้อ 21.3.9,กรอบมาตรฐาน ข้อ 21.3.10
ระบุขอบเขตของการประเมินช่องโหว่
รายงานการประเมินช่องโหว่ของบริการที
สําคัญ
การประเมินช่องโหว่ โดย
ครอบคลุมบริการทีสําคัญซึง
เปนระบบเทคโนโลยี
สารสนเทศ
ขอบเขตของการทดสอบเจาะระบบ
ระบบเทคโนโลยีสารสนเทศทีเชือมต่อกับ
อินเทอร์เน็ต การทดสอบเจาะระบบ
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)การบริหารจัดการช่องโหว่
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
กรอบมาตรฐาน ข้อ 21.3.6,กรอบมาตรฐาน ข้อ 21.3.7,กรอบมาตรฐาน ข้อ 21.3.8,กรอบมาตรฐาน ข้อ 21.3.9,กรอบมาตรฐาน ข้อ 21.3.10
ระบุขอบเขตของการประเมินช่องโหว่
รายงานการประเมินช่องโหว่ของบริการที
สําคัญ
การประเมินช่องโหว่ โดย
ครอบคลุมบริการทีสําคัญซึง
เปนระบบเทคโนโลยี
สารสนเทศ
ขอบเขตของการทดสอบเจาะระบบ
ระบบเทคโนโลยีสารสนเทศทีเชือมต่อกับ
อินเทอร์เน็ต การทดสอบเจาะระบบ
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)การบริหารจัดการช่องโหว่
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชนการบริหารจัดการความเสียงและช่องโหว่
ช่องว่าง (Gaps)
ยังไม่มีระบบ Risk Register
ยังไม่มีการจัดการ Patch/ช่องโหว่ทีต่อ
เนือง
ภัยปจจุบันทีเกียวข้อง
การโจมตีแบบ Zero-day และ Ransomware
จากช่องโหว่ทียังไม่ได้รับการแก้ไข
สิงทีควรทํา
ตังกระบวนการ VA/Scanning และ Patch
Management เปนประจํา
ตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Oracle Cloud 2025 เจาะระบบ Oracle Cloud และขโมย
ข้อมูลกว่า 6 ล้านเรคคอร์ด กระทบผู้เช่า (tenants)
ประมาณ 140,000 ราย
Microsoft Sharepoint 2025 โจมตีใช้ช่องโหว่ CVE-
2025-49706 (identity spoofing / ปลอมแปลงตัวตน) และ
CVE-2025-49704 (remote code execution – RCE)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชนการบริหารจัดการความเสียงและช่องโหว่
ช่องว่าง (Gaps)
ยังไม่มีระบบ Risk Register
ยังไม่มีการจัดการ Patch/ช่องโหว่ทีต่อ
เนือง
ภัยปจจุบันทีเกียวข้อง
การโจมตีแบบ Zero-day และ Ransomware
จากช่องโหว่ทียังไม่ได้รับการแก้ไข
สิงทีควรทํา
ตังกระบวนการ VA/Scanning และ Patch
Management เปนประจํา
ตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Oracle Cloud 2025 เจาะระบบ Oracle Cloud และขโมย
ข้อมูลกว่า 6 ล้านเรคคอร์ด กระทบผู้เช่า (tenants)
ประมาณ 140,000 ราย
Microsoft Sharepoint 2025 โจมตีใช้ช่องโหว่ CVE-
2025-49706 (identity spoofing / ปลอมแปลงตัวตน) และ
CVE-2025-49704 (remote code execution – RCE)
แผนการรับมือภัยคุกคามทางไซเบอร์
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 21.3.1,กรอบมาตรฐาน ข้อ 21.3.2,กรอบมาตรฐาน ข้อ 21.3.3,กรอบมาตรฐาน ข้อ 21.3.4,กรอบมาตรฐาน ข้อ 21.3.5,กรอบ
มาตรฐาน ข้อ 21.3.6,กรอบมาตรฐาน ข้อ 21.3.7,กรอบมาตรฐาน ข้อ 21.3.8,กรอบมาตรฐาน ข้อ 21.3.9,กรอบมาตรฐาน ข้อ 21.3.10
- โครงสร้างทีมรับมือเหตุการณ์ทีเกียวกับความมันคงปลอดภัย
ไซเบอร์
- รายงานเหตุการณ์
- เกณฑ์และขันตอนการตอบสนองต่อเหตุการณ์
แผนการรับมือ
ภัยคุกคามทางไซเบอร์
- ฝกซ้อมรับมือกับภัยคุกคามทางไซเบอร์
ฝึกซ้อมรับมือ
กับภัยคุกคามทางไซเบอร์
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 21.3.1,กรอบมาตรฐาน ข้อ 21.3.2,กรอบมาตรฐาน ข้อ 21.3.3,กรอบมาตรฐาน ข้อ 21.3.4,กรอบมาตรฐาน ข้อ 21.3.5,กรอบ
มาตรฐาน ข้อ 21.3.6,กรอบมาตรฐาน ข้อ 21.3.7,กรอบมาตรฐาน ข้อ 21.3.8,กรอบมาตรฐาน ข้อ 21.3.9,กรอบมาตรฐาน ข้อ 21.3.10
- โครงสร้างทีมรับมือเหตุการณ์ทีเกียวกับความมันคงปลอดภัย
ไซเบอร์
- รายงานเหตุการณ์
- เกณฑ์และขันตอนการตอบสนองต่อเหตุการณ์
แผนการรับมือ
ภัยคุกคามทางไซเบอร์
- ฝกซ้อมรับมือกับภัยคุกคามทางไซเบอร์
ฝึกซ้อมรับมือ
กับภัยคุกคามทางไซเบอร์
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
แผนการรับมือภัยคุกคามทางไซเบอร์
ช่องว่าง (Gaps)
ยังไม่มีการจัดทําแผนตอบสนองภัยคุกคาม
ยังไม่มีการซักซ้อม Cyber Drill
ภัยปจจุบันทีเกียวข้อง
การโจมตีแบบ : Phishing, Data Breach และ
DDoS ทีต้องตอบสนองภายในไม่กีชัวโมง
สิงทีควรทํา
จัดทํา IR Playbook และฝกซ้อม
CSIRT อย่างสมําเสมอ
ตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Europe airline attack (2025) Ransomware ระบบเช็
กอินล่ม ทําให้สายการบินต้องใช้วิธี เช็กอินด้วยมือ
Colonial Pipeline (สหรัฐฯ 2021) โดน Ransomware
ต้องหยุดท่อส่งนํามันเพราะไม่มี IRP ทีพร้อม ส่งผลกระ
ทบระดับประเทศ
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
แผนการรับมือภัยคุกคามทางไซเบอร์
ช่องว่าง (Gaps)
ยังไม่มีการจัดทําแผนตอบสนองภัยคุกคาม
ยังไม่มีการซักซ้อม Cyber Drill
ภัยปจจุบันทีเกียวข้อง
การโจมตีแบบ : Phishing, Data Breach และ
DDoS ทีต้องตอบสนองภายในไม่กีชัวโมง
สิงทีควรทํา
จัดทํา IR Playbook และฝกซ้อม
CSIRT อย่างสมําเสมอ
ตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Europe airline attack (2025) Ransomware ระบบเช็
กอินล่ม ทําให้สายการบินต้องใช้วิธี เช็กอินด้วยมือ
Colonial Pipeline (สหรัฐฯ 2021) โดน Ransomware
ต้องหยุดท่อส่งนํามันเพราะไม่มี IRP ทีพร้อม ส่งผลกระ
ทบระดับประเทศ
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
แผนความต่อเนืองทางธุรกิจ
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 25.1.1,กรอบมาตรฐาน ข้อ 25.1.2
- ฝึกซ้อมแผนความต่อเนืองทางธุรกิจ อย่างน้อยปีละ 1 ครัง
แผนความต่อเนืองทางธุรกิจ
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
แผนความต่อเนืองทางธุรกิจ
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 25.1.1,กรอบมาตรฐาน ข้อ 25.1.2
- ฝึกซ้อมแผนความต่อเนืองทางธุรกิจ อย่างน้อยปีละ 1 ครัง
แผนความต่อเนืองทางธุรกิจ
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
แผนการสือสารในภาวะวิกฤต
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 24.2.1,กรอบมาตรฐาน ข้อ 24.2.2,กรอบมาตรฐาน ข้อ 24.2.3,กรอบมาตรฐาน ข้อ 24.2.4
- จําลองเหตุการณ์ความมันคงปลอดภัยไซเบอร์
- กลุ่มเป้าหมายและผู้มีส่วนได้ส่วนเสียสําหรับจําลองการสือสาร
ในภาวะวิกฤตเมือเกิดเหตุการณ์
- โฆษกหลักทีจะเป็นตัวแทนของหน่วยงานเมือกล่าวแถลงกับ
สือมวลชน
แผนการสือสารในภาวะวิกฤต
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
แผนการสือสารในภาวะวิกฤต
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 24.2.1,กรอบมาตรฐาน ข้อ 24.2.2,กรอบมาตรฐาน ข้อ 24.2.3,กรอบมาตรฐาน ข้อ 24.2.4
- จําลองเหตุการณ์ความมันคงปลอดภัยไซเบอร์
- กลุ่มเป้าหมายและผู้มีส่วนได้ส่วนเสียสําหรับจําลองการสือสาร
ในภาวะวิกฤตเมือเกิดเหตุการณ์
- โฆษกหลักทีจะเป็นตัวแทนของหน่วยงานเมือกล่าวแถลงกับ
สือมวลชน
แผนการสือสารในภาวะวิกฤต
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชนแผนความต่อเนืองทางธุรกิจและแผน
การสือสารในภาวะวิกฤต ช่องว่าง (Gaps)
ยังไม่มีการจัดทําแผนความต่อเนืองและการ
สือสารในภาวะวิกฤต
ภัยปจจุบันทีเกียวข้อง
Ransomware ทําให้ระบบล่ม, การโจมตี
Critical Infrastructure (CII)
สิงทีควรทํา
ทํา BCP/DR Test และกําหนด Crisis
Communication Team พร้อมช่องทางสือสาร
ตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Thai university (2022) โดน Ransomware ทําให้ระบบ
สารสนเทศหยุดชะงัก ต้องใช้เวลาฟ นฟูนาน
KL 2025 International Airport -> เรียกค่าไถ่ 10 ล้าน
เหรียญ ต้องใช้ระบบ manual และการสือสารสู่สาธารณะมี
ความสับสน
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชนแผนความต่อเนืองทางธุรกิจและแผน
การสือสารในภาวะวิกฤต ช่องว่าง (Gaps)
ยังไม่มีการจัดทําแผนความต่อเนืองและการ
สือสารในภาวะวิกฤต
ภัยปจจุบันทีเกียวข้อง
Ransomware ทําให้ระบบล่ม, การโจมตี
Critical Infrastructure (CII)
สิงทีควรทํา
ทํา BCP/DR Test และกําหนด Crisis
Communication Team พร้อมช่องทางสือสาร
ตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Thai university (2022) โดน Ransomware ทําให้ระบบ
สารสนเทศหยุดชะงัก ต้องใช้เวลาฟ นฟูนาน
KL 2025 International Airport -> เรียกค่าไถ่ 10 ล้าน
เหรียญ ต้องใช้ระบบ manual และการสือสารสู่สาธารณะมี
ความสับสน
นโยบายการรักษาความมันคงปลอดภัยไซเบอร์ แหล่งอ้างอิง: พ.ร.บ.ไซเบอร์ ม.43,นโยบายบริหารจัดการ ภาคผนวก ข้อ 3.1,นโยบายบริหารจัดการ ภาคผนวก ข้อ 3.1,นโยบายบริหารจัดการ ภาคผนวก ข้อ
3.1,นโยบายบริหารจัดการ ภาคผนวก ข้อ 3.2,ประมวลแนวปฏิบัติ ข้อ 18,ประมวลแนวปฏิบัติ ข้อ 18
- บทบาทหน้าทีของบุคลากรทีเกียวข้องกับการบริหารจัดการความ
มันคงปลอดภัยไซเบอร์
นโยบายการรักษาความมันคง
ปลอดภัยไซเบอร์
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
3.1,นโยบายบริหารจัดการ ภาคผนวก ข้อ 3.2,ประมวลแนวปฏิบัติ ข้อ 18,ประมวลแนวปฏิบัติ ข้อ 18
- บทบาทหน้าทีของบุคลากรทีเกียวข้องกับการบริหารจัดการความ
มันคงปลอดภัยไซเบอร์
นโยบายการรักษาความมันคง
ปลอดภัยไซเบอร์
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
แหล่งอ้างอิง: ประมวลแนวปฏิบัติ ข้อ 17.1,ประมวลแนวปฏิบัติ ข้อ 17.1 (ก),ประมวลแนวปฏิบัติ ข้อ 17.1 (ข),ประมวลแนว
ปฏิบัติ ข้อ 17.1 (ค) ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน - ผู้ตรวจสอบด้านความมันคงปลอดภัยสารสนเทศ ทัง
โดยผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระภายนอก
- ตรวจสอบอย่างน้อยปีละ 1 ครัง
การตรวจสอบด้านความมันคง
ปลอดภัยไซเบอร์
การตรวจสอบในเรืองกระบวนการจัด
ทําและผลการวิเคราะห์ผลกระทบทาง
ธุรกิจ (Business Impact Analysis:
BIA)
การตรวจสอบในเรืองบริการทีสําคัญที
หน่วยงานเป็นเจ้าของและใช้บริการ
ตามผลการวิเคราะห์ผลกระทบทาง
ธุรกิจ
การตรวจสอบในเรืองการปฏิบัติตาม
ประมวลแนวทางปฏิบัติ มาตรฐานการ
ปฏิบัติงาน และที กมช. กําหนด
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
การตรวจสอบและกํากับดูแล
ปฏิบัติ ข้อ 17.1 (ค) ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน - ผู้ตรวจสอบด้านความมันคงปลอดภัยสารสนเทศ ทัง
โดยผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระภายนอก
- ตรวจสอบอย่างน้อยปีละ 1 ครัง
การตรวจสอบด้านความมันคง
ปลอดภัยไซเบอร์
การตรวจสอบในเรืองกระบวนการจัด
ทําและผลการวิเคราะห์ผลกระทบทาง
ธุรกิจ (Business Impact Analysis:
BIA)
การตรวจสอบในเรืองบริการทีสําคัญที
หน่วยงานเป็นเจ้าของและใช้บริการ
ตามผลการวิเคราะห์ผลกระทบทาง
ธุรกิจ
การตรวจสอบในเรืองการปฏิบัติตาม
ประมวลแนวทางปฏิบัติ มาตรฐานการ
ปฏิบัติงาน และที กมช. กําหนด
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
การตรวจสอบและกํากับดูแล
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชนนโยบายการรักษาความมันคงปลอดภัยไซเบอร์
รวมถึงการตรวจสอบและกํากับดูแล ช่องว่าง (Gaps)
ยังไม่มีการกําหนดนโยบายหรือระบบ Audit
กํากับดูแลทีชัดเจน ภัยปจจุบันทีเกียวข้อง
Data Breach ทีเกิดจากการจัดการข้อมูลไม่
สอดคล้องกับ PDPA หรือ ISO 27001
สิงทีควรทํา
จัดทํานโยบาย ISMS, ดําเนินการ Internal Audit และ
Review Compliance ตามกฎหมาย
ตัวอย่างเหตุการณ์ทีเกิดขึนจริง
โรงพยาบาลเอกชนไทย: มีการถูกปรับเปนเงิน 1.2 ล้านบาท
เนืองจากข้อมูลผู้ปวย (medical records) ถูกใช้เปน “ถุงห่อ
ขนม” เปนตัวอย่างของการจัดการข้อมูล (disposal) ทีไม่
ปลอดภัยและเข้าข่ายละเมิด PDPA
หน่วยราชการไทยถูกโจมตีเว็บแอป: รัวไหลข้อมูลของ
ประชาชนประมาณ 200,000 รายการ ถูกปรับ ฐานไม่
ออกแบบ privacy by design, ไม่มีการประเมินความเสียง
และไม่มีมาตรการปองกันทีเหมาะสม
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชนนโยบายการรักษาความมันคงปลอดภัยไซเบอร์
รวมถึงการตรวจสอบและกํากับดูแล ช่องว่าง (Gaps)
ยังไม่มีการกําหนดนโยบายหรือระบบ Audit
กํากับดูแลทีชัดเจน ภัยปจจุบันทีเกียวข้อง
Data Breach ทีเกิดจากการจัดการข้อมูลไม่
สอดคล้องกับ PDPA หรือ ISO 27001
สิงทีควรทํา
จัดทํานโยบาย ISMS, ดําเนินการ Internal Audit และ
Review Compliance ตามกฎหมาย
ตัวอย่างเหตุการณ์ทีเกิดขึนจริง
โรงพยาบาลเอกชนไทย: มีการถูกปรับเปนเงิน 1.2 ล้านบาท
เนืองจากข้อมูลผู้ปวย (medical records) ถูกใช้เปน “ถุงห่อ
ขนม” เปนตัวอย่างของการจัดการข้อมูล (disposal) ทีไม่
ปลอดภัยและเข้าข่ายละเมิด PDPA
หน่วยราชการไทยถูกโจมตีเว็บแอป: รัวไหลข้อมูลของ
ประชาชนประมาณ 200,000 รายการ ถูกปรับ ฐานไม่
ออกแบบ privacy by design, ไม่มีการประเมินความเสียง
และไม่มีมาตรการปองกันทีเหมาะสม
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 22.2.1,กรอบมาตรฐาน ข้อ 22.2.2,กรอบมาตรฐาน ข้อ 22.2.3,กรอบมาตรฐาน ข้อ 22.2.4 ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน การควบคุมความปลอดภัยของผู้ให้บริการภายนอก
- ระบุเกียวกับความรับผิดชอบ และภาระรับผิดชอบ
- เงือนไขด้านความมันคงปลอดภัยไซเบอร์ในสัญญา
กับผู้ให้บริการภายนอก
ข้อกําหนดด้านความมันคง
ปลอดภัยไซเบอร์ของผู้ให้
บริการภายนอกในข้อตกลง
ระดับการให้บริการ
- สอดคล้องกับข้อกําหนดด้านความมันคงปลอดภัย
ไซเบอร์ในเงือนไขของสัญญา
กระบวนการตรวจสอบความถูก
ต้องของผู้ให้บริการภายนอก
สําหรับองค์กรภาครัฐและเอกชน การควบคุมความปลอดภัยของผู้ให้บริการภายนอก
- ระบุเกียวกับความรับผิดชอบ และภาระรับผิดชอบ
- เงือนไขด้านความมันคงปลอดภัยไซเบอร์ในสัญญา
กับผู้ให้บริการภายนอก
ข้อกําหนดด้านความมันคง
ปลอดภัยไซเบอร์ของผู้ให้
บริการภายนอกในข้อตกลง
ระดับการให้บริการ
- สอดคล้องกับข้อกําหนดด้านความมันคงปลอดภัย
ไซเบอร์ในเงือนไขของสัญญา
กระบวนการตรวจสอบความถูก
ต้องของผู้ให้บริการภายนอก
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชนการควบคุมความปลอดภัยของผู้ให้บริการภายนอก ช่องว่าง (Gaps)
ยังไม่มีกระบวนการควบคุมความปลอดภัย
ของผู้ให้บริการภายนอก
ภัยปจจุบันทีเกียวข้อง
Supply Chain Attack
สิงทีควรทํา
จัดทํา Third-party Security Assessment,
กําหนด DPA และใส่ข้อกําหนด Security ในสัญญาตัวอย่างเหตุการณ์ทีเกิดขึนจริง
SolarWinds (2020) ซอฟต์แวร์ Orion ถูกแฮกและแพร่
มัลแวร์ไปยังลูกค้าองค์กรและรัฐบาลกว่า 18,000 ราย
MOVEit (2023) ช่องโหว่ในซอฟต์แวร์ถ่ายโอนไฟล์
ถูกใช้โจมตีองค์กรทัวโลก รวมถึงบริษัทในไทย
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชนการควบคุมความปลอดภัยของผู้ให้บริการภายนอก ช่องว่าง (Gaps)
ยังไม่มีกระบวนการควบคุมความปลอดภัย
ของผู้ให้บริการภายนอก
ภัยปจจุบันทีเกียวข้อง
Supply Chain Attack
สิงทีควรทํา
จัดทํา Third-party Security Assessment,
กําหนด DPA และใส่ข้อกําหนด Security ในสัญญาตัวอย่างเหตุการณ์ทีเกิดขึนจริง
SolarWinds (2020) ซอฟต์แวร์ Orion ถูกแฮกและแพร่
มัลแวร์ไปยังลูกค้าองค์กรและรัฐบาลกว่า 18,000 ราย
MOVEit (2023) ช่องโหว่ในซอฟต์แวร์ถ่ายโอนไฟล์
ถูกใช้โจมตีองค์กรทัวโลก รวมถึงบริษัทในไทย
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 22.2.1,กรอบมาตรฐาน ข้อ 22.2.2,กรอบมาตรฐาน ข้อ 22.2.3,กรอบมาตรฐาน ข้อ 22.2.4 - สิทธิพิเศษในการเข้าถึงน้อยทีสุด
- การลบบัญชีทีไม่ได้ใช้
- การปิดพอร์ตเครือข่ายทีไม่ได้ใช้งาน
- การป้องกันมัลแวร์
มาตรฐานการกําหนดค่าขันตําด้านความ
ปลอดภัยไซเบอร์ ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
การกําหนดค่าขันตําด้านความปลอดภัยไซเบอร์
- การลบบัญชีทีไม่ได้ใช้
- การปิดพอร์ตเครือข่ายทีไม่ได้ใช้งาน
- การป้องกันมัลแวร์
มาตรฐานการกําหนดค่าขันตําด้านความ
ปลอดภัยไซเบอร์ ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
การกําหนดค่าขันตําด้านความปลอดภัยไซเบอร์
แหล่งอ้างอิง: กรอบมาตรฐาน ข้อ 22.4.1,กรอบมาตรฐาน ข้อ 22.4.2
- ปิดใช้งานพอร์ตการเชือมต่อภายนอกทังหมด
- บันทึกการใช้สือบันทึกข้อมูลทีได้รับอนุญาต
- ตรวจสอบว่าสือบันทึกข้อมูลแบบถอดได้และอุปกรณ์
คอมพิวเตอร์พกพาทังหมดไม่มีมัลแวร์ก่อนทีจะเชือมต่อกับบริการ
ทีสําคัญ
แนวปฏิบัติในการเชือมต่อสือ
บันทึกข้อมูลแบบถอดได้และอุปกรณ์
คอมพิวเตอร์แบบพกพากับบริการทีสําคัญ
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
ความปลอดภัยบนสือบันทึก
- ปิดใช้งานพอร์ตการเชือมต่อภายนอกทังหมด
- บันทึกการใช้สือบันทึกข้อมูลทีได้รับอนุญาต
- ตรวจสอบว่าสือบันทึกข้อมูลแบบถอดได้และอุปกรณ์
คอมพิวเตอร์พกพาทังหมดไม่มีมัลแวร์ก่อนทีจะเชือมต่อกับบริการ
ทีสําคัญ
แนวปฏิบัติในการเชือมต่อสือ
บันทึกข้อมูลแบบถอดได้และอุปกรณ์
คอมพิวเตอร์แบบพกพากับบริการทีสําคัญ
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
ความปลอดภัยบนสือบันทึก
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การกําหนดค่าขันตําด้านความปลอดภัยไซเบอร์
และ ความปลอดภัยบนสือบันทึกช่องว่าง (Gaps)
ยังไม่มีการกําหนดค่าขันตําด้าน
Cybersecurity
และการควบคุมสือบันทึกข้อมูล
ภัยปจจุบันทีเกียวข้อง
การโจมตีด้วย Default Credential,
Malware ผ่าน USB/Removable Media
สิงทีควรทํา
กําหนด Baseline Config (เช่น Disable USB,
ใช้ MFA, Harden OS) และ Policy จัดการ Mediaตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Stuxnet (2010) ใช้ USB Flash Drive เปนตัวแพร่
มัลแวร์เข้าสู่ระบบควบคุมอุตสาหกรรม (ICS) ของอิหร่าน
โรงงานผลิตรถยนต์ญีปุน (2019) โดนมัลแวร์ผ่าน USB
ทําให้สายการผลิตหยุดชะงัก
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การกําหนดค่าขันตําด้านความปลอดภัยไซเบอร์
และ ความปลอดภัยบนสือบันทึกช่องว่าง (Gaps)
ยังไม่มีการกําหนดค่าขันตําด้าน
Cybersecurity
และการควบคุมสือบันทึกข้อมูล
ภัยปจจุบันทีเกียวข้อง
การโจมตีด้วย Default Credential,
Malware ผ่าน USB/Removable Media
สิงทีควรทํา
กําหนด Baseline Config (เช่น Disable USB,
ใช้ MFA, Harden OS) และ Policy จัดการ Mediaตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Stuxnet (2010) ใช้ USB Flash Drive เปนตัวแพร่
มัลแวร์เข้าสู่ระบบควบคุมอุตสาหกรรม (ICS) ของอิหร่าน
โรงงานผลิตรถยนต์ญีปุน (2019) โดนมัลแวร์ผ่าน USB
ทําให้สายการผลิตหยุดชะงัก
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
แหล่งอ้างอิง: กรอบมาตรฐานข้อ 21.1.1,กรอบมาตรฐาน ข้อ 21.1.3
- ชือ/คําอธิบายของทรัพย์สิน
- ฟังก์ชันทีสําคัญของทรัพย์สิน
- การระบุและการจัดลําดับความสําคัญของทรัพย์สิน
- เจ้าของและ/หรือผู้ดําเนินการของทรัพย์สิน
- ตําแหน่งทางกายภาพของทรัพย์สิน ทะเบียนทรัพย์สิน ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การบริหารจัดการทรัพย์สินสารสนเทศ
แหล่งอ้างอิง: กรอบมาตรฐานข้อ 21.1.1,กรอบมาตรฐาน ข้อ 21.1.3
- ชือ/คําอธิบายของทรัพย์สิน
- ฟังก์ชันทีสําคัญของทรัพย์สิน
- การระบุและการจัดลําดับความสําคัญของทรัพย์สิน
- เจ้าของและ/หรือผู้ดําเนินการของทรัพย์สิน
- ตําแหน่งทางกายภาพของทรัพย์สิน ทะเบียนทรัพย์สิน ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การบริหารจัดการทรัพย์สินสารสนเทศ
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การบริหารจัดการทรัพย์สินสารสนเทศ
ช่องว่าง (Gaps)
ยังไม่มีการจัดทํา Asset Inventory และ
CMDB ทีครบถ้วนและเปนปจจุบัน
ภัยปจจุบันทีเกียวข้อง
Shadow IT, Unauthorized Device เพิม
Attack Surface
สิงทีควรทํา
จัดทํา Asset Register, CMDB และดําเนิน
การทบทวนระบบที Active จริงในปจจุบันตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Salesforce (2025) เกิดจากการขโมยโทเคน OAuth ของ
แอปเชือมต่อ ทําให้ผู้โจมตีดึงข้อมูล CRM ออกไปได้
มหาศาล.
Capital One (2019) ใช้ Cloud โดยไม่มีการจัดการ
Asset และ Misconfiguration ทําให้ข้อมูลลูกค้ากว่า 100
ล้านรายรัว
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การบริหารจัดการทรัพย์สินสารสนเทศ
ช่องว่าง (Gaps)
ยังไม่มีการจัดทํา Asset Inventory และ
CMDB ทีครบถ้วนและเปนปจจุบัน
ภัยปจจุบันทีเกียวข้อง
Shadow IT, Unauthorized Device เพิม
Attack Surface
สิงทีควรทํา
จัดทํา Asset Register, CMDB และดําเนิน
การทบทวนระบบที Active จริงในปจจุบันตัวอย่างเหตุการณ์ทีเกิดขึนจริง
Salesforce (2025) เกิดจากการขโมยโทเคน OAuth ของ
แอปเชือมต่อ ทําให้ผู้โจมตีดึงข้อมูล CRM ออกไปได้
มหาศาล.
Capital One (2019) ใช้ Cloud โดยไม่มีการจัดการ
Asset และ Misconfiguration ทําให้ข้อมูลลูกค้ากว่า 100
ล้านรายรัว
หน่วยงานควบคุมหรือกํากับดูแล (REG) มาตรฐานการรับมือ
กับภัยคุกคามทางไซเบอร์
การกํากับดูแล
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)ผลการประเมินภาพรวม - ช่องว่างทีพบสําหรับแต่ละหน่วยงาน
กับภัยคุกคามทางไซเบอร์
การกํากับดูแล
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)ผลการประเมินภาพรวม - ช่องว่างทีพบสําหรับแต่ละหน่วยงาน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
แหล่งอ้างอิง: พ.ร.บ.ไซเบอร์ ม.13(5),พ.ร.บ.ไซเบอร์ ม.44,พ.ร.บ.ไซเบอร์ ม.45
- บังคับใช้มาตรฐานด้านความมันคงปลอดภัยไซเบอร์
- เอกสารมาตรฐานการรับมือกับภัยคุกคามทางไซเบอร์
- ติดตามและปรับปรุงมาตรฐานให้ทันสมัย โดยพิจารณาจากภัยคุกคามใหม่ ๆ กําหนดมาตรฐานการรับมือกับ
ภัยคุกคามทางไซเบอร์ให้กับ
หน่วยงาน
ป้องกัน รับมือ และลดความเสียงจากภัยคุกคามทางไซเบอร์ตามกรอบมาตรฐาน
ด้านการรักษาความมันคงปลอดภัยไซเบอร์
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
มาตรฐานการรับมือกับภัยคุกคามทางไซเบอร์
แหล่งอ้างอิง: พ.ร.บ.ไซเบอร์ ม.13(5),พ.ร.บ.ไซเบอร์ ม.44,พ.ร.บ.ไซเบอร์ ม.45
- บังคับใช้มาตรฐานด้านความมันคงปลอดภัยไซเบอร์
- เอกสารมาตรฐานการรับมือกับภัยคุกคามทางไซเบอร์
- ติดตามและปรับปรุงมาตรฐานให้ทันสมัย โดยพิจารณาจากภัยคุกคามใหม่ ๆ กําหนดมาตรฐานการรับมือกับ
ภัยคุกคามทางไซเบอร์ให้กับ
หน่วยงาน
ป้องกัน รับมือ และลดความเสียงจากภัยคุกคามทางไซเบอร์ตามกรอบมาตรฐาน
ด้านการรักษาความมันคงปลอดภัยไซเบอร์
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
มาตรฐานการรับมือกับภัยคุกคามทางไซเบอร์
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
แหล่งอ้างอิง: ประกาศ ม.49 หลักเกณฑ์ข้อ 2,ประกาศหน้าที Sectoral CERT ข้อ 3,ประกาศหน้าที Sectoral CERT ข้อ 4,ประกาศหน้าที Sectoral CERT ข้อ 6 ,พ.ร.บ.ไซเบอร์
ม.53,พ.ร.บ.ไซเบอร์ ม.59
- สือสารแนวทางพิจารณาไปยังหน่วยงานทีเกียวข้อง
- กระบวนการอนุมัติหน่วยงานทีเข้าข่าย CII
แนวทางพิจารณาว่าภารกิจหรือ
บริการทีอยู่ภายใต้การดูแลเข้าข่าย
เป็นหน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ (CII)
- หลักเกณฑ์ เงือนไขและแนวทางในการพิจารณาคุณสมบัติและ
ความเหมาะสมของการเป็น Sectoral CERT
- แจ้งการจัดตัง ให้ สกมช. ทราบ จัดตังหรือดําเนินการให้มีศูนย์
ประสานการรักษาความมันคง
ปลอดภัยระบบคอมพิวเตอร์
(Sectoral CERT)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การกํากับดูแล
แหล่งอ้างอิง: ประกาศ ม.49 หลักเกณฑ์ข้อ 2,ประกาศหน้าที Sectoral CERT ข้อ 3,ประกาศหน้าที Sectoral CERT ข้อ 4,ประกาศหน้าที Sectoral CERT ข้อ 6 ,พ.ร.บ.ไซเบอร์
ม.53,พ.ร.บ.ไซเบอร์ ม.59
- สือสารแนวทางพิจารณาไปยังหน่วยงานทีเกียวข้อง
- กระบวนการอนุมัติหน่วยงานทีเข้าข่าย CII
แนวทางพิจารณาว่าภารกิจหรือ
บริการทีอยู่ภายใต้การดูแลเข้าข่าย
เป็นหน่วยงานโครงสร้างพืนฐาน
สําคัญทางสารสนเทศ (CII)
- หลักเกณฑ์ เงือนไขและแนวทางในการพิจารณาคุณสมบัติและ
ความเหมาะสมของการเป็น Sectoral CERT
- แจ้งการจัดตัง ให้ สกมช. ทราบ จัดตังหรือดําเนินการให้มีศูนย์
ประสานการรักษาความมันคง
ปลอดภัยระบบคอมพิวเตอร์
(Sectoral CERT)
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
การกํากับดูแล
https://drive.ncsa.or.th/s/Y8TBy9Dm2GkXM6t
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ประกาศสํานักงานคณะกรรมการการรักษาความมันคงปลอดภัยไซเบอร์แห่งชาติ
เรือง แนวทางการจัดทําประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ด้านการรักษาความมันคงปลอดภัยไซเบอร์
พ.ศ. ๒๕๖๘
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
ประกาศสํานักงานคณะกรรมการการรักษาความมันคงปลอดภัยไซเบอร์แห่งชาติ
เรือง แนวทางการจัดทําประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
ด้านการรักษาความมันคงปลอดภัยไซเบอร์
พ.ศ. ๒๕๖๘
ข้อเสนอแนะและมาตรการเชิงปฏิบัติ
สําหรับองค์กรภาครัฐและเอกชน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
สถานการณ์ภัยคุกคามทางไซเบอร์ในป 2024
หน่วยงานควบคุมหรือกํากับดูแล (REG)
แฮกเกอร์ได้ส่งข้อความไปยัง
ลูกค้าพร้อมลิงก์ทีอ้างว่าเปน
หลักฐานการแฮก โดยมีเนือหา
เรียกร้องให้บริษัทตอบสนอง มิ
ฉะนันข้อมูลทีถูกขโมยไปจะถูก
เปดเผย
ธุรกิจร้านกาแฟแห่งหนึงถูกแฮก
ไลน์ เหตุการณ์โจมตีไซเบอร์
ถูกโจมตีระบบสารสนเทศโดยไม่
ได้รับอนุญาต จนมีการเข้าถึง
ข้อมูลส่วนบุคคล เช่น ชือ-
นามสกุล อีเมล และหมายเลข
โทรศัพท์
สายการบินแห่งหนึงถูกโจมตี
ความปลอดภัยทางไซเบอร์
ระบบคอมพิวเตอร์ของโรง
พยาบาลถูก Ransomware
โจมตี ทําให้ระบบฐานข้อมูลและ
บริการต่างๆ ขัดข้อง
โรงพยาบาลแห่งหนึงถูกโจมตี
ด้วย Ransomware
การอภิปรายแนวโน้มและภัยคุกคามทางไซเบอร์
ทีสําคัญในปทีผ่านมา
สถานการณ์ภัยคุกคามทางไซเบอร์ในป 2024
หน่วยงานควบคุมหรือกํากับดูแล (REG)
แฮกเกอร์ได้ส่งข้อความไปยัง
ลูกค้าพร้อมลิงก์ทีอ้างว่าเปน
หลักฐานการแฮก โดยมีเนือหา
เรียกร้องให้บริษัทตอบสนอง มิ
ฉะนันข้อมูลทีถูกขโมยไปจะถูก
เปดเผย
ธุรกิจร้านกาแฟแห่งหนึงถูกแฮก
ไลน์ เหตุการณ์โจมตีไซเบอร์
ถูกโจมตีระบบสารสนเทศโดยไม่
ได้รับอนุญาต จนมีการเข้าถึง
ข้อมูลส่วนบุคคล เช่น ชือ-
นามสกุล อีเมล และหมายเลข
โทรศัพท์
สายการบินแห่งหนึงถูกโจมตี
ความปลอดภัยทางไซเบอร์
ระบบคอมพิวเตอร์ของโรง
พยาบาลถูก Ransomware
โจมตี ทําให้ระบบฐานข้อมูลและ
บริการต่างๆ ขัดข้อง
โรงพยาบาลแห่งหนึงถูกโจมตี
ด้วย Ransomware
การอภิปรายแนวโน้มและภัยคุกคามทางไซเบอร์
ทีสําคัญในปทีผ่านมา
ช่องว่าง (Gaps) สัญญาณเตือน พัฒนาหรือปรับปรุง
สิ
งทีองค์กรส่วนใหญ่ยังไม่ได้ทํา
ห
รือทําแต่ไม่ครบถ้วน
ส
ะท้อนถึงสัญญาณเตือนทีหน่วยงานควรนําไปตรวจสอบหน่วยงานของตนเอง
- กรณีทีขาด เร่งดําเนินการเพือปดช่องว่าง
- กรณีทีมีอยู่แล้ว ถือเปนจุดแข็งทีควรเสริมให้เข้มแข็งขึน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
สรุป
สิงทีองค์กรส่วนใหญ่ยังไม่
ได้ทํา หรือทําแต่ไม่ครบถ้วน
สะท้อนถึงสัญญาณเตือนที
หน่วยงานควรนําไปตรวจสอบ
หน่วยงานของตนเอง- กรณีทีขาด เร่งดําเนินการ
เพือปดช่องว่าง
- กรณีทีมีอยู่แล้ว ถือเปนจุด
แข็งทีควรเสริมให้เข้มแข็งขึน
สิ
งทีองค์กรส่วนใหญ่ยังไม่ได้ทํา
ห
รือทําแต่ไม่ครบถ้วน
ส
ะท้อนถึงสัญญาณเตือนทีหน่วยงานควรนําไปตรวจสอบหน่วยงานของตนเอง
- กรณีทีขาด เร่งดําเนินการเพือปดช่องว่าง
- กรณีทีมีอยู่แล้ว ถือเปนจุดแข็งทีควรเสริมให้เข้มแข็งขึน
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
สรุป
สิงทีองค์กรส่วนใหญ่ยังไม่
ได้ทํา หรือทําแต่ไม่ครบถ้วน
สะท้อนถึงสัญญาณเตือนที
หน่วยงานควรนําไปตรวจสอบ
หน่วยงานของตนเอง- กรณีทีขาด เร่งดําเนินการ
เพือปดช่องว่าง
- กรณีทีมีอยู่แล้ว ถือเปนจุด
แข็งทีควรเสริมให้เข้มแข็งขึน
Thank You
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
Copyright © All Right Reserved by National Cyber Security Agency (NCSA)
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 1
- Slides 43
- Age 61 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
30 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
32 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
30 views
14
Fertility awareness methods for women in the society
Isaiah47
28 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
26 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
28 views