UK จัดตั้งมาตรฐานความปลอดภัยไซเบอร์เป็นแนวทางให้หน่วยงานรัฐปฏิบัติตาม

0

หลังจากได้ร่วมมือกับศูนย์ความปลอดภัยไซเบอร์แห่งชาติ (NCSC) พัฒนามาตรฐานความปลอดภัยทางไซเบอร์มาระยะหนึ่ง ในที่สุดรัฐบาลสหราชอาณาจักรก็ได้เผยแพร่มาตรฐานความปลอดภัยไซเบอร์ฉบับเต็มเวอร์ชันแรกเพื่อเป็นแนวทางการจัดการความปลอดภัยให้กับหน่วยงานรัฐอื่นๆ

ในเอกสารของ”มาตรฐานความปลอดภัยทางไซเบอร์ขั้นต่ำ”ความยาว 7 หน้าฉบับนี้ได้มีการกล่าวถึงแนวทางที่หน่วยงานรัฐต้องปฏิบัติตามเพื่อรักษาความปลอดภัยของข้อมูล เทคโนโลยี และบริการทางดิจิทัล ให้เป็นไปตามกรอบนโยบายความปลอดภัย (Security Policy Framework) และกลยุทธความปลอดภัยไซเบอร์แห่งชาติ (National Cyber Security Strategy) ซึ่งถูกกำหนดขึ้นก่อนหน้านี้

มาตรฐานความปลอดภัยไซเบอร์ดังกล่าวประกอบไปด้วยแนวทางปฏิบัติ 10 ข้อ อาทิ หน่วยงานควรค้นหาและบันทึกข้อมูลที่มีความอ่อนไหวทั้งหมดที่พวกเขาถือครองอยู่ ข้อมูลที่มีความอ่อนไหวและบริการหลักของหน่วยงานจะต้องมีระบบยืนยันและพิสูจน์ตัวตนในการเข้าใช้ระบบ และหน่วยงานควรมีมาตรการในการตรวจสอบการโจมตีทางไซเบอร์ เป็นต้น และในแต่ละหัวข้อหลักเหล่านี้ก็จะมีข้อปฎิบัติแยกย่อยลงไปอีก

แนวทางดังกล่าวเป็นเพียงข้อปฏิบัติขั้นต่ำที่สุดเพื่อสร้างความปลอดภัย ซึ่งในเอกสารระบุว่าหน่วยงานรัฐทั้งหลายควรหามาตรการที่เข็มแข็งกว่ามาตรฐานขั้นต่ำนี้ เพื่อความปลอดภัยสูงสุดของระบบดิจิทัล

รัฐบาลสหราชอาณาจักรเชื่อว่าการกำหนดมาตรฐานที่มุ่งเน้นไปที่ผลลัพธ์ (outcome-based) เช่นนี้จะช่วยสร้างความยืดหยุ่นให้กับมาตรฐาน ทำให้หน่วยงานต่างๆสามารถปฏิบัติตามข้อกำหนดได้ด้วยกลวิธีที่เป็นไปตามบริบทของเทคโนโลยีและบริการของหน่วยงานนั้นๆเอง