Sitemap Descriptions
มาตรฐาน
เป็นมาตรฐานที่ระบุข้อกำหนดของบริการนำส่งข้อมูลอิเล็กทรอนิกส์ และข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้ผู้ให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์มีแนวทางในการให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์ที่มีความมั่นคงปลอดภัย และช่วยสร้างความมั่นใจให้กับผู้ส่งข้อมูลและผู้รับข้อมูลที่ใช้บริการนำส่งข้อมูลอิเล็กทรอนิกส์ว่าข้อมูลได้รับการปกป้องจากความเสี่ยงของการสูญหาย การโจรกรรม ความเสียหาย หรือการเปลี่ยนแปลงใด ๆ โดยไม่ได้รับอนุญาต ข้อเสนอแนะมาตรฐานฉบับนี้สามารถใช้ได้กับหน่วยงานที่เป็นผู้ให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์ เช่น
อย่างไรก็ตาม ข้อเสนอแนะมาตรฐานฉบับนี้ ได้พิจารณามาตรการควบคุมทั้งหมดของ ISO/IEC 27002:2022 มาวิเคราะห์ตามบริบทและประเด็นที่เกี่ยวข้องกับบริการนำส่งข้อมูลอิเล็กทรอนิกส์ และแบ่งมาตรการควบคุมตามระดับความจำเป็น ดังนี้ มาตรการควบคุมที่จำเป็น (mandatory controls) จำนวน 50 ข้อ มาตรการควบคุมที่เป็นทางเลือก (optional controls) จำนวน 33 ข้อ มาตรการควบคุมที่เฉพาะกรณี (conditional controls) จำนวน 10 ข้อ
ทั้งนี้ เพื่อให้สอดคล้องตามข้อเสนอแนะมาตรฐานฉบับนี้ ผู้ให้บริการต้องปฏิบัติตามมาตรการควบคุมที่จำเป็น (mandatory controls) ทุกข้อ และปฏิบัติตามมาตรการควบคุมที่เฉพาะกรณี (conditional controls) หากระบบของผู้ให้บริการเป็นไปตามเงื่อนไขที่ระบุไว้ในข้อนั้น ๆ เช่น กรณีที่ให้หน่วยงานภายนอกทำหน้าที่ให้บริการแทน กรณีที่ใช้บริการคลาวด์ หรือกรณีที่หน่วยงานเป็นผู้พัฒนาระบบเอง นอกจากนี้ ผู้ให้บริการสามารถพิจารณาปฏิบัติตามมาตรการควบคุมที่เป็นทางเลือก (optional controls) เพิ่มเติม เพื่อให้สอดคล้องกับการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และหลักเกณฑ์ของหน่วยงานที่กำกับดูแลบริการนำส่งข้อมูลอิเล็กทรอนิกส์แต่ละประเภท