ข้อเสนอแนะมาตรฐานฯ ว่าด้วยบริการนำส่งข้อมูลอิเล็กทรอนิกส์ (Electronic Delivery Service)
ขมธอ. 35-2566

เป็นมาตรฐานที่ระบุข้อกำหนดของบริการนำส่งข้อมูลอิเล็กทรอนิกส์ และข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้ผู้ให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์มีแนวทางในการให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์ที่มีความมั่นคงปลอดภัย และช่วยสร้างความมั่นใจให้กับผู้ส่งข้อมูลและผู้รับข้อมูลที่ใช้บริการนำส่งข้อมูลอิเล็กทรอนิกส์ว่าข้อมูลได้รับการปกป้องจากความเสี่ยงของการสูญหาย การโจรกรรม ความเสียหาย หรือการเปลี่ยนแปลงใด ๆ โดยไม่ได้รับอนุญาต
  ข้อเสนอแนะมาตรฐานฉบับนี้สามารถใช้ได้กับหน่วยงานที่เป็นผู้ให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์ เช่น

• ผู้ให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์ให้กับกรมสรรพากร
• ผู้ให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์ระหว่างหน่วยงานที่เชื่อมต่อกับระบบ National Single Window (NSW)
• ผู้ให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์อื่น ๆ ที่ต้องการความน่าเชื่อถือในการส่งหรือรับข้อมูลอิเล็กทรอนิกส์

ผู้ให้บริการนำส่งข้อมูลอิเล็กทรอนิกส์สามารถใช้วิธีการที่แตกต่างกันตามหลักเกณฑ์ที่กำหนดไว้โดยหน่วยงานกำกับดูแลหรือหน่วยงานที่เกี่ยวข้องกับบริการนำส่งข้อมูลอิเล็กทรอนิกส์ เช่น

• รูปแบบของการนำส่งข้อมูลอิเล็กทรอนิกส์ (message delivery model)
• เกณฑ์วิธีของการรับส่งข้อมูล (messaging protocol)
• รูปแบบของข้อมูล (message format) หรือรูปแบบของหลักฐานการส่ง
• การรับข้อมูล (evidence format)

Corner model

รูปแบบโดยทั่วไปของการนำส่งข้อมูลทางอิเล็กทรอนิกส์

โครงสร้างมาตรฐาน แบ่งเป็น 2 ส่วน

1. ข้อกำหนดของบริการนำส่งข้อมูลอิเล็กทรอนิกส์ การใช้ช่องทางการสื่อสารที่มีความมั่นคงปลอดภัย (protected channel)

1. การเข้ารหัสลับของข้อมูล (message encryption)
2. การระบุตัวผู้ส่งข้อมูลต้นทาง (sender identification)
3. การระบุตัวผู้รับข้อมูลปลายทาง (recipient identification)
4. การอ้างอิงเวลา (time reference)
5. หลักฐานการส่งและการรับข้อมูล (evidence of sending and receiving

2. ข้อกำหนดด้านความมั่นคงปลอดภัยสารสนเทศ
การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ

• ดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดยต้องมีการกำหนดเกณฑ์ความเสี่ยง ระบุความเสี่ยง วิเคราะห์ความเสี่ยง การเปรียบเทียบผลลัพธ์
• กำหนดแผนจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
• ทบทวนอย่างสม่ำเสมอ

มาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
มาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศของบริการนำส่งข้อมูลอิเล็กทรอนิกส์ อ้างอิงมาตรการควบคุม (control) และแนวปฏิบัติ (guidance) จากมาตรฐาน ISO/IEC 27002:2022 ทั้งนี้ มาตรฐาน ISO/IEC 27002:2022 ประกอบด้วยมาตรการควบคุมจำนวน 93 ข้อ ซึ่งแบ่งออกเป็น 4 ด้าน ดังนี้

• มาตรการควบคุมด้านองค์กร (organizational controls)
• มาตรการควบคุมด้านบุคลากร (people controls)
• มาตรการควบคุมด้านกายภาพ (physical controls)
• มาตรการควบคุมด้านเทคโนโลยี (technological controls)

อย่างไรก็ตาม ข้อเสนอแนะมาตรฐานฉบับนี้ ได้พิจารณามาตรการควบคุมทั้งหมดของ ISO/IEC 27002:2022 มาวิเคราะห์ตามบริบทและประเด็นที่เกี่ยวข้องกับบริการนำส่งข้อมูลอิเล็กทรอนิกส์ และแบ่งมาตรการควบคุมตามระดับความจำเป็น ดังนี้
มาตรการควบคุมที่จำเป็น (mandatory controls) จำนวน 50 ข้อ
มาตรการควบคุมที่เป็นทางเลือก (optional controls) จำนวน 33 ข้อ
มาตรการควบคุมที่เฉพาะกรณี (conditional controls) จำนวน 10 ข้อ

ทั้งนี้ เพื่อให้สอดคล้องตามข้อเสนอแนะมาตรฐานฉบับนี้ ผู้ให้บริการต้องปฏิบัติตามมาตรการควบคุมที่จำเป็น (mandatory controls) ทุกข้อ และปฏิบัติตามมาตรการควบคุมที่เฉพาะกรณี (conditional controls) หากระบบของผู้ให้บริการเป็นไปตามเงื่อนไขที่ระบุไว้ในข้อนั้น ๆ เช่น กรณีที่ให้หน่วยงานภายนอกทำหน้าที่ให้บริการแทน กรณีที่ใช้บริการคลาวด์ หรือกรณีที่หน่วยงานเป็นผู้พัฒนาระบบเอง

นอกจากนี้ ผู้ให้บริการสามารถพิจารณาปฏิบัติตามมาตรการควบคุมที่เป็นทางเลือก (optional controls) เพิ่มเติม เพื่อให้สอดคล้องกับการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และหลักเกณฑ์ของหน่วยงานที่กำกับดูแลบริการนำส่งข้อมูลอิเล็กทรอนิกส์แต่ละประเภท