- 26
- มีนาคม
หน่วยงานรัฐทุกแห่งที่ใช้ระบบสารสนเทศ ไม่ว่าจะเป็นระบบ ERP ระบบบัญชี หรือระบบจัดซื้อจัดจ้าง ล้วนต้องปฏิบัติตามมาตรฐาน ขมธอ.1-2557 ซึ่งเป็นมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศที่ออกโดย สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ. หรือ ETDA) บทความนี้จะอธิบายว่า ขมธอ. คืออะไร ย่อมาจากอะไร มี 11 หมวดอะไรบ้าง ต่างจาก ISO 27001 อย่างไร และ Saeree ERP สอดคล้องมาตรฐานนี้อย่างไร
สรุปสั้นๆ — ขมธอ.1-2557 คืออะไร?
- ชื่อเต็ม: ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ว่าด้วยแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ
- ออกโดย: สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (สพธอ. / ETDA)
- จำนวนหมวด: 11 หมวดหลัก ครอบคลุมตั้งแต่นโยบายจนถึงการปฏิบัติตามข้อกำหนด
- อ้างอิง: ISO/IEC 27001:2005 ปรับให้เหมาะกับบริบทหน่วยงานรัฐไทย
- บังคับใช้: หน่วยงานของรัฐทุกแห่งที่มีระบบสารสนเทศ
ขมธอ. ย่อมาจากอะไร?
ขมธอ. ย่อมาจาก "ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จำเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์" เป็นชุดมาตรฐานที่ออกโดย สพธอ. (ETDA — Electronic Transactions Development Agency) ภายใต้กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม โดย ขมธอ. มีหลายฉบับ แต่ฉบับที่เกี่ยวข้องกับ ความปลอดภัยสารสนเทศโดยตรงคือ ขมธอ.1-2557 ว่าด้วยแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ
ที่มาและความสำคัญ — ทำไมหน่วยงานรัฐต้องปฏิบัติตาม?
ในอดีต หน่วยงานรัฐแต่ละแห่งมีมาตรฐานด้านความปลอดภัยสารสนเทศที่แตกต่างกัน บางแห่งไม่มีนโยบายเลย ทำให้เกิดปัญหาหลายประการ:
- ข้อมูลประชาชนรั่วไหล — ระบบที่ไม่มีมาตรฐานทำให้ข้อมูลส่วนบุคคลถูกเข้าถึงโดยไม่ได้รับอนุญาต
- ระบบถูกโจมตี — ระบบที่ไม่มีการจัดการ การยืนยันตัวตนที่ดีพอ ถูก Hack ได้ง่าย
- ไม่มีแผนกู้คืน — เมื่อระบบล่ม ไม่มี แผนสำรองและกู้คืนข้อมูล ทำให้บริการหยุดชะงักนาน
- ไม่สอดคล้องมาตรฐานสากล — ทำให้เชื่อมต่อระบบกับหน่วยงานต่างประเทศได้ยาก
สพธอ. จึงออก ขมธอ.1-2557 เพื่อเป็นแนวปฏิบัติกลางที่ หน่วยงานรัฐทุกแห่งสามารถนำไปใช้ได้ โดยอ้างอิง ISO/IEC 27001:2005 แต่ปรับบริบทให้เหมาะกับการทำงานของภาครัฐไทย
11 หมวดหลักของ ขมธอ.1-2557
ขมธอ.1-2557 แบ่งแนวปฏิบัติออกเป็น 11 หมวด ที่ครอบคลุมทุกมิติของการรักษาความมั่นคงปลอดภัยสารสนเทศ:
| หมวดที่ | ชื่อหมวด | เนื้อหาสำคัญ |
|---|---|---|
| 1 | นโยบายความมั่นคงปลอดภัย | กำหนดนโยบายและแนวทางด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร |
| 2 | การจัดโครงสร้างด้านความมั่นคงปลอดภัย | กำหนดบทบาท หน้าที่ และความรับผิดชอบของบุคลากรด้านความปลอดภัย |
| 3 | การบริหารจัดการทรัพย์สิน | จำแนกประเภท จัดลำดับความสำคัญ และกำหนดเจ้าของทรัพย์สินสารสนเทศ |
| 4 | ความมั่นคงปลอดภัยด้านทรัพยากรบุคคล | การคัดกรอง อบรม และกำหนดบทลงโทษบุคลากรที่ละเมิดนโยบาย |
| 5 | ความมั่นคงปลอดภัยทางกายภาพ | การรักษาความปลอดภัยห้อง Server, ศูนย์ข้อมูล และอุปกรณ์สำคัญ |
| 6 | การจัดการด้านการสื่อสารและการดำเนินงาน | การจัดการเครือข่าย การสำรองข้อมูล การป้องกันมัลแวร์ และการตรวจสอบ Log |
| 7 | การควบคุมการเข้าถึง | การจัดการสิทธิ์ผู้ใช้ การยืนยันตัวตน (Authentication) และการเข้ารหัสข้อมูล |
| 8 | การจัดหา พัฒนา และบำรุงรักษาระบบ | ข้อกำหนดด้านความปลอดภัยสำหรับการพัฒนาและจัดซื้อระบบใหม่ |
| 9 | การบริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัย | การรายงาน ตอบสนอง และแก้ไขเหตุการณ์ด้านความปลอดภัย (Incident Response) |
| 10 | การบริหารความต่อเนื่องของกิจการ | แผน BCP/DRP เพื่อให้ระบบสามารถกลับมาทำงานได้เมื่อเกิดภัยพิบัติ |
| 11 | การปฏิบัติตามข้อกำหนด | การตรวจสอบ (Audit) ให้สอดคล้องกับกฎหมายและมาตรฐานที่เกี่ยวข้อง |
เปรียบเทียบ ขมธอ.1-2557 กับ ISO 27001
หลายคนสงสัยว่า ขมธอ. กับ ISO 27001 ต่างกันอย่างไร คำตอบสั้นๆ คือ ขมธอ.1-2557 อ้างอิงจาก ISO 27001 แต่ปรับให้เหมาะกับบริบทภาครัฐไทย:
| หัวข้อ | ขมธอ.1-2557 | ISO/IEC 27001 |
|---|---|---|
| ผู้ออก | สพธอ. (ETDA) ประเทศไทย | ISO/IEC (มาตรฐานสากล) |
| ขอบเขตการใช้ | หน่วยงานรัฐไทย | องค์กรทุกประเภททั่วโลก |
| ภาษา | ภาษาไทย เข้าใจง่าย | ภาษาอังกฤษ (มีฉบับแปล) |
| จำนวนหมวด | 11 หมวด | 14 หมวด (เวอร์ชัน 2013) / 4 หมวด 93 Controls (เวอร์ชัน 2022) |
| การรับรอง (Certification) | ไม่มีการ Certify — เป็นแนวปฏิบัติ | มีการ Certify โดย Certification Body |
| ค่าใช้จ่าย | ฟรี ดาวน์โหลดได้จากเว็บ สพธอ. | ต้องซื้อเอกสาร + ค่า Audit + ค่า Certify |
| บริบทเฉพาะ | ระบุถึง พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ และกฎหมายไทย | เป็นกลาง ไม่อ้างอิงกฎหมายเฉพาะประเทศ |
สรุป: หน่วยงานรัฐไทยที่ปฏิบัติตาม ขมธอ.1-2557 ได้ครบถ้วน ถือว่ามีพื้นฐานความปลอดภัยที่สอดคล้องกับ ISO 27001 ในระดับหนึ่ง — แต่หากต้องการ Certification สากล ยังต้องผ่านการตรวจสอบจาก Certification Body เพิ่มเติม
Saeree ERP สอดคล้อง ขมธอ.1-2557 อย่างไร?
Saeree ERP ถูกออกแบบมาสำหรับหน่วยงานรัฐและองค์กรขนาดใหญ่ที่ต้องปฏิบัติตาม ขมธอ.1-2557 โดยมีฟีเจอร์ด้านความปลอดภัยที่ตอบโจทย์ทุกหมวดสำคัญ:
| หมวด ขมธอ. | ฟีเจอร์ Saeree ERP | รายละเอียด |
|---|---|---|
| หมวด 6: การสื่อสารและการดำเนินงาน | SSL/TLS Grade A+ | เข้ารหัสข้อมูลทุก Transaction ด้วย SSL Certificate ระดับ A+ ป้องกันการดักจับข้อมูลระหว่างทาง |
| หมวด 7: การควบคุมการเข้าถึง | 2FA + RBAC | Two-Factor Authentication + Role-Based Access Control กำหนดสิทธิ์ตามบทบาทละเอียดถึงระดับเมนูและปุ่ม |
| หมวด 6: การสำรองข้อมูล | Automated Backup | สำรองข้อมูลอัตโนมัติทุกวัน พร้อม แผน Disaster Recovery ที่ทดสอบได้ |
| หมวด 9: การจัดการเหตุการณ์ | Audit Log | บันทึกทุกการกระทำของผู้ใช้ (ใคร ทำอะไร เมื่อไหร่ จาก IP ไหน) เพื่อตรวจสอบย้อนหลัง |
| หมวด 8: การพัฒนาและบำรุงรักษาระบบ | Secure Development | พัฒนาด้วย Security Best Practices ป้องกัน SQL Injection, XSS และช่องโหว่อื่นๆ |
| หมวด 10: ความต่อเนื่องของกิจการ | High Availability | รองรับ Clustering และ Failover เพื่อให้ระบบทำงานต่อเนื่องแม้เซิร์ฟเวอร์หลักล่ม |
Case Study: หน่วยงานรัฐที่ใช้ Saeree ERP สอดคล้อง ขมธอ.
Saeree ERP ถูกใช้งานจริงในหน่วยงานรัฐหลายแห่งที่ต้องปฏิบัติตาม ขมธอ.1-2557 โดยตรง:
1. กองทุนพัฒนาสื่อปลอดภัยและสร้างสรรค์ (TMF)
กองทุนพัฒนาสื่อปลอดภัยและสร้างสรรค์ (TMF) เป็นหน่วยงานของรัฐที่ต้องบริหารงบประมาณจำนวนมากและรายงานต่อหน่วยงานกำกับ ก่อนใช้ Saeree ERP ระบบเดิมไม่มี Audit Log ที่ครบถ้วน ทำให้การตรวจสอบย้อนหลังทำได้ยาก หลังเปลี่ยนมาใช้ Saeree ERP — ระบบ RBAC, Audit Log และ Automated Backup ช่วยให้สอดคล้อง ขมธอ. หมวด 6, 7 และ 9 ได้ทันที
2. สำนักงานพัฒนาเศรษฐกิจจากฐานชีวภาพ (สพภ. / BEDO)
สพภ. เคยใช้ระบบ MS Dynamics AX ที่หมดสัญญาสนับสนุน ทำให้ไม่สามารถอัปเดต Security Patch ได้ — เป็นความเสี่ยงตามหมวด 8 ของ ขมธอ. หลังเปลี่ยนมาใช้ Saeree ERP ที่พัฒนาบน Open Source (PostgreSQL + Linux) ทำให้ได้รับ Security Patch สม่ำเสมอ ไม่ต้องกังวลเรื่องลิขสิทธิ์หมดอายุ
แนวทางปฏิบัติสำหรับหน่วยงานที่เริ่มต้น
หากหน่วยงานของคุณยังไม่เคยดำเนินการตาม ขมธอ.1-2557 สามารถเริ่มต้นได้ตามขั้นตอนนี้:
- แต่งตั้งผู้รับผิดชอบ — กำหนดตัวบุคคลหรือคณะทำงานด้านความมั่นคงปลอดภัยสารสนเทศ (หมวด 2)
- สำรวจทรัพย์สินสารสนเทศ — ระบุว่ามีระบบ ฐานข้อมูล และอุปกรณ์อะไรบ้าง จัดลำดับความสำคัญ (หมวด 3)
- จัดทำนโยบาย — เขียนนโยบายด้านความปลอดภัยเป็นลายลักษณ์อักษร ให้ผู้บริหารลงนาม (หมวด 1)
- ตรวจสอบระบบ IT ที่ใช้อยู่ — ระบบ ERP, ระบบบัญชี, อีเมล มีการเข้ารหัส มี 2FA มี Audit Log หรือไม่? (หมวด 6, 7)
- จัดทำแผน BCP/DRP — วางแผนว่าถ้าระบบล่มจะทำอย่างไร ทดสอบอย่างน้อยปีละครั้ง (หมวด 10)
- ฝึกอบรมบุคลากร — ให้ความรู้เรื่อง Phishing, Social Engineering และการใช้รหัสผ่านที่ปลอดภัย (หมวด 4)
- ตรวจสอบภายใน (Internal Audit) — ทบทวนผลการดำเนินงานตาม ขมธอ. อย่างน้อยปีละ 1 ครั้ง (หมวด 11)
สำคัญ: ขมธอ.1-2557 ไม่ใช่แค่เรื่องของ IT เท่านั้น — ผู้บริหารระดับสูงต้องมีส่วนร่วมในการกำหนดนโยบายและจัดสรรงบประมาณ เพราะหากไม่มี Top Management Support การดำเนินการจะไม่สำเร็จ
การปฏิบัติตาม ขมธอ.1-2557 ไม่ใช่เรื่องยากอย่างที่คิด สิ่งสำคัญคือต้องเลือกระบบ IT ที่รองรับมาตรฐานตั้งแต่แรก ไม่ใช่มาแก้ทีหลัง Saeree ERP ออกแบบมาให้สอดคล้อง ขมธอ. ตั้งแต่วันแรกที่ติดตั้ง — ไม่ว่าจะเป็น SSL A+, 2FA, RBAC หรือ Audit Log ทุกอย่างพร้อมใช้งานทันที
- ไพฑูรย์ บุตรี, ผู้เชี่ยวชาญด้านระบบเน็ตเวิร์คและความปลอดภัยเซิร์ฟเวอร์ Grand Linux Solution
สรุป — ขมธอ.1-2557 คือมาตรฐานที่ทุกหน่วยงานรัฐต้องรู้
| ประเด็น | รายละเอียด |
|---|---|
| ชื่อเต็ม | ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศฯ ว่าด้วยแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ |
| ออกโดย | สพธอ. (ETDA) |
| อ้างอิง | ISO/IEC 27001:2005 |
| จำนวนหมวด | 11 หมวด |
| บังคับใช้กับ | หน่วยงานรัฐทุกแห่ง |
| Saeree ERP สอดคล้อง | SSL A+, 2FA, RBAC, Audit Log, Backup, DRP |
หากคุณเป็นหน่วยงานรัฐที่กำลังมองหาระบบ ERP ที่สอดคล้อง ขมธอ.1-2557 ตั้งแต่วันแรก สามารถนัดหมาย Demo หรือติดต่อทีมที่ปรึกษา Saeree ERP ได้เลย
