skip to content
B L O G

Understanding Cybersecurity Policies Governance Terms (THAI)

/ 1 min read

cybersecurity, policy, procedures, guidelines, standards, cissp

นโยบาย มาตรฐาน ขั้นตอน และแนวทางปฏิบัติ

การกำกับดูแลความปลอดภัยทางไซเบอร์ต้องมี โครงสร้างที่ชัดเจน เพื่อให้มั่นใจว่ามีการดำเนินการด้านความปลอดภัย อย่างสม่ำเสมอ ในทุกระดับขององค์กร แนวทางการกำกับดูแลนี้สามารถแบ่งออกเป็น 4 ระดับหลัก1:

  • Policies (WHY) → กำหนดทิศทางและวัตถุประสงค์
  • Standards (WHAT) → กำหนดข้อกำหนดบังคับ
  • Procedures (HOW) → อธิบายกระบวนการเป็นลำดับขั้น
  • Guidelines → ให้คำแนะนำที่แนะนำให้ปฏิบัติตาม
Cybersecurity Governance Hierarchy

1. Policy (นโยบาย) – ทำไมต้องมี?

Policy คือเอกสารที่กำหนดเป้าหมายและข้อกำหนดทั่วไปขององค์กรเกี่ยวกับความปลอดภัยทางไซเบอร์ เป็นแนวทางในระดับสูง แต่ไม่ได้ลงรายละเอียดในเชิงเทคนิค

ตัวอย่าง:

นโยบายการใช้รหัสผ่าน อาจกำหนดว่า:

  • “พนักงานทุกคนต้องใช้รหัสผ่านที่แข็งแกร่ง และต้องเปลี่ยนรหัสผ่านทุก ๆ 90 วัน”

นโยบายเป็นแนวทางในภาพรวม “ทำไมต้องมี” แนวปฏิบัติเหล่านี้ แต่ยังไม่ได้กำหนดรายละเอียดว่าต้องทำอย่างไร

2. Standard (มาตรฐาน) – ต้องทำอะไรบ้าง?

มาตรฐาน เป็นข้อกำหนดด้านเทคนิคที่ ต้องปฏิบัติตาม เพื่อให้แน่ใจว่านโยบายถูกนำไปใช้ อย่างถูกต้องและสม่ำเสมอ

ตัวอย่าง:

มาตรฐานการใช้รหัสผ่าน อาจกำหนดว่า:

  • รหัสผ่านต้องมีความยาวอย่างน้อย 12 ตัวอักษร
  • ต้องมีตัวพิมพ์เล็ก, ตัวพิมพ์ใหญ่, ตัวเลข และอักขระพิเศษ
  • บัญชีจะถูกล็อกหลังจากใส่รหัสผ่านผิด 5 ครั้ง

มาตรฐาน ตอบคำถาม “ต้องทำอะไรบ้าง” เพื่อให้สอดคล้องกับนโยบาย

3. Procedure (ขั้นตอน) – ต้องทำอย่างไร?

ขั้นตอน เป็นเอกสารที่อธิบายกระบวนการ แบบละเอียด เพื่อให้บุคลากรปฏิบัติตามมาตรฐานได้อย่างถูกต้อง

ตัวอย่าง:

ขั้นตอนการรีเซ็ตรหัสผ่าน อาจมีดังนี้:

  1. ไปที่พอร์ทัลรีเซ็ตรหัสผ่าน
  2. กรอกรหัสผ่านเดิม
  3. สร้างรหัสผ่านใหม่ที่เป็นไปตาม มาตรฐานรหัสผ่าน
  4. ยืนยันรหัสผ่านใหม่และบันทึก

ขั้นตอน ตอบคำถาม “ต้องทำอย่างไร” ให้เป็นไปตามมาตรฐาน

4. Guidelines (แนวทางปฏิบัติ) – แนวทางแนะนำ

แนวทางปฏิบัติ เป็นคำแนะนำที่ ไม่บังคับ แต่ช่วยให้การรักษาความปลอดภัยมีประสิทธิภาพมากขึ้น

ตัวอย่าง:

แนวทางปฏิบัติด้านความปลอดภัยในการทำงานระยะไกล อาจแนะนำว่า:

  • “ใช้ VPN เมื่อต้องเข้าถึงข้อมูลของบริษัทจากเครือข่ายสาธารณะ”
  • “เปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ในทุกบัญชี”

แนวทางปฏิบัติช่วยให้การรักษาความปลอดภัย มีประสิทธิภาพมากขึ้น แม้จะไม่ใช่ข้อกำหนดที่บังคับ

ตารางสรุป

หัวข้อจุดประสงค์ตัวอย่าง
นโยบาย (Policy)กำหนดแนวทางความปลอดภัย (WHY)“พนักงานต้องใช้รหัสผ่านที่แข็งแกร่งและเปลี่ยนทุก 90 วัน”
มาตรฐาน (Standard)ข้อกำหนดที่ต้องปฏิบัติตาม (WHAT)“รหัสผ่านต้องมีอย่างน้อย 12 ตัวอักษร”
ขั้นตอน (Procedure)วิธีการดำเนินการ (HOW)“ไปที่พอร์ทัลรีเซ็ตรหัสผ่าน กรอกรหัสผ่านเก่า ตั้งรหัสผ่านใหม่”
แนวทางปฏิบัติ (Guideline)คำแนะนำเพื่อเพิ่มความปลอดภัย“ใช้ VPN เมื่อเข้าถึงข้อมูลบริษัทจากเครือข่ายสาธารณะ”

สรุป

เมื่อเข้าใจความแตกต่างระหว่าง นโยบาย มาตรฐาน ขั้นตอน และแนวทางปฏิบัติ องค์กรสามารถเพิ่มระดับความปลอดภัยทางไซเบอร์และลดความเสี่ยงที่อาจเกิดขึ้น

  • นโยบาย กำหนด WHY (เป้าหมายและกฎระเบียบ)
  • มาตรฐาน กำหนด WHAT (ข้อกำหนดที่ต้องปฏิบัติตาม)
  • ขั้นตอน อธิบาย HOW (การดำเนินการทีละขั้นตอน)
  • แนวทางปฏิบัติ ให้คำแนะนำเพื่อ เพิ่มความปลอดภัย

การใช้โครงสร้างนี้ทำให้มาตรการรักษาความปลอดภัย มีความชัดเจน เป็นระบบ และมีประสิทธิภาพ ภายในองค์กร

Footnotes

  1. Security Policies, Standards, Procedures, and Guidelines