เจาะลึก NIST Cybersecurity Framework 2.0: กรอบการจัดการความเสี่ยงไซเบอร์ฉบับใหม่เพื่อองค์กรยุคดิจิทัล

SGS Thailand BlogApril 30, 2025

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้ออกประกาศ Cybersecurity Framework (CSF) ฉบับปรับปรุงใหม่ 2.0 เมื่อวันที่ 26 กุมภาพันธ์ 2567 ที่ผ่านมา เป็นกรอบการทำงานด้านความปลอดภัยทางไซเบอร์ที่สำคัญสำหรับองค์กร เพื่อให้มีกระบวนการรับมือและการจัดการกับภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ

กรอบทำงานด้านความมั่นคงปลอดภัยไซเบอร์ NIST Cybersecurity Framework 2.0 นั้น มีแนวทางปฏิบัติที่เป็นขั้นตอน เข้าใจง่าย และครอบคลุมตั้งแต่การประเมินความเสี่ยง การจัดลำดับความสำคัญของความเสี่ยงที่ส่งผลกระทบต่อการดำเนินงานองค์กร ไปจนถึงการวางแผนรับมือกับเหตุการณ์ภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น กรอบการทำงานนี้ช่วยให้องค์กรสามารถตอบสนองต่อภัยคุกคามได้อย่างเหมาะสม รวมถึงสามารถสรุปข้อมูลที่สำคัญเพื่อใช้ประกอบการตัดสินใจของผู้บริหารและบุคลากรที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ภายในองค์กร

ในปัจจุบันภัยคุกคามทางไซเบอร์ก็มีรูปแบบที่หลากหลายมากขึ้น ส่งผลกระทบต่อระบบข้อมูลสารสนเทศและการดำเนินธุรกิจขององค์กร ดังนั้นการบริหารจัดการความเสี่ยงไซเบอร์ (Cyber Risk Management) จึงมีความจำเป็นสำหรับองค์กรทุกประเภท มิใช่เพียงแต่หน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศเท่านั้น ซึ่ง NIST Cybersecurity Framework 2.0 เป็นกรอบการทำงานด้านการบริหารจัดการความเสี่ยงทางไซเบอร์ที่กำหนดโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) โดยมีวัตถุประสงค์เพื่อปกป้ององค์กรจากภัยคุกคามทางไซเบอร์ รวมถึงการปฏิบัติตามกฎระเบียบข้อบังคับทางด้านความปลอดภัยทางไซเบอร์ได้อย่างถูกต้องเพื่อให้สอดคล้องกับหน่วยงานกำกับดูแลอีกด้วย

NIST Cybersecurity Framework (CSF) เผยแพร่เป็นครั้งแรกในปี 2014 ซึ่งมีวัตถุประสงค์เพื่อช่วยให้องค์กรต่าง ๆ มีความเข้าใจ ลดความเสี่ยง และสามารถสื่อสารด้านความปลอดภัยทางไซเบอร์ และใน version 2.0 มีการปรับปรุงและเพิ่มเติมรายละเอียดให้มีความครอบคลุมและทันสมัยมากขึ้น โดยโครงสร้าง CSF 2.0 ประกอบไปด้วยฟังก์ชันหลัก 6 ฟังก์ชัน ได้แก่ การระบุตัวตน (Identify) การป้องกัน (Protect) การตรวจจับ (Detect) การตอบสนอง (Respond) การกู้คืน (Recover) และการกำกับดูแล (Govern) ซึ่งเป็นฟังก์ชั่นที่เพิ่มเข้ามาใหม่ใน CSF 2.0 เมื่อทำงานร่วมกัน ฟังก์ชั่นเหล่านี้จะมอบมุมมองที่ครอบคลุมเกี่ยวกับวงจรสำหรับการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์

การกำกับดูแล (Govern): การกำกับดูแลการบริหารความเสี่ยง การปฏิบัติหน้าที่ด้านการกำกับดูแลการบริหารความเสี่ยง การกำหนดระดับความเสี่ยงที่ยอมรับได้ กำหนดบทบาทหน้าที่และความรับผิดชอบอย่างชัดเจน และบังคับใช้นโยบายอย่างสม่ำเสมอ เพื่อส่งเสริมความรับผิดชอบและผลักดันให้เกิดการปรับปรุงอย่างต่อเนื่องในการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
การระบุความเสี่ยง (Identify): การระบุความเสี่ยงของอุปกรณ์ต่างๆ จัดลำดับความสำคัญของสินทรัพย์ภายในองค์กรตามระดับความสำคัญ และมีกระบวนการจัดการสินทรัพย์สารสนเทศ
การป้องกันความเสี่ยง (Protect): การใช้มาตรการรักษาความปลอดภัยเพื่อปกป้องระบบการทำงาน หรือข้อมูลขององค์กร เช่น การกำหนดสิทธิการเข้าถึง การใช้เทคโนโลยีป้องกันระบบ เป็นต้น
การตรวจจับ (Detect): การกำหนดขั้นตอนกระบวนการเพื่อตรวจจับสถานการณ์ที่ผิดปกติในระบบเครือข่ายและระบบสารสนเทศขององค์กร การมีกระบวนการตรวจจับที่มีประสิทธิภาพนั้นจะช่วยให้องค์กรสามารถระบุถึงภัยคุกคามทางไซเบอร์ได้อย่างรวดเร็ว นำไปสู่การตอบสนองและแก้ไขปัญหาได้อย่างทันท่วงทีอีกด้วย
การรับมือกับภัยคุกคาม (Respond): การกำหนดแนวทางและขั้นตอนในการรับมือกับเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ (Incident Response Plan) โดยต้องตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็วและมีประสิทธิภาพ ช่วยลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น
การกู้คืน (Recover): การกู้คืนจากเหตุการณ์ความมั่นคงปลอดภัยไซเบอร์ที่เกิดขึ้น การปฏิบัติตามแผนการกู้คืนระบบที่ได้จัดเตรียมไว้อย่างเป็นขั้นตอน และการตรวจสอบความครบถ้วนสมบูรณ์ของข้อมูลสำรองที่ใช้ในการกู้คืน

สำหรับประเทศไทยนั้น ได้นำกรอบการบริหารความเสี่ยงทางไซเบอร์ NIST CSF มาใช้เป็นแนวทางในดำเนินงานของหน่วยงานต่างๆ ทั้งภาครัฐและเอกชนที่มีระบบการทำงานพื้นฐานอยู่บนเทคโนโลยีสารสนเทศ โดยถูกกำหนดในพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 เป็นมาตรฐานที่เข้ามาช่วยปรับปรุงความปลอดภัยให้กับองค์กรได้ ไม่ว่าจะเป็นองค์กรขนาดเล็กหรือขนาดใหญ่ การปฎิบัติตามแนวทางของ NIST CSF จะทำให้องค์กรมั่นใจได้ว่าระบบ และข้อมูลสารสนเทศ รวมทั้งเครือข่ายการใช้งานมีความปลอดภัย เนื่องจากแนวทางปฏิบัติครอบคลุมตั้งแต่ขั้นตอนการประเมิน ตั้งรับ ตรวจสอบ และโต้ตอบกับปัญหาหรือภัยพิบัติทางไซเบอร์ที่เกิดขึ้นได้

เกี่ยวกับ SGS

SGS คือ บริษัทชั้นนำระดับโลกด้านการทดสอบ การตรวจสอบ และการรับรองระบบ เราดำเนินงานผ่านเครือข่ายที่ประกอบด้วยห้องปฏิบัติการวิทยาศาสตร์และสถานประกอบการกว่า 2,500 แห่ง ใน 115 ประเทศ โดยได้รับการสนับสนุนจากทีมงานมืออาชีพที่มีความมุ่งมั่นกว่า 99,500 คน ด้วยประสบการณ์กว่า 145 ปีแห่งความเป็นเลิศในการให้บริการ เราผสานความแม่นยำและความเที่ยงตรงที่เป็นเอกลักษณ์ของบริษัทสวิส เพื่อช่วยให้องค์กรต่างๆ บรรลุมาตรฐานสูงสุดด้านคุณภาพ การปฏิบัติตามข้อกำหนด และความยั่งยืน

คำมั่นสัญญาของแบรนด์เรา – when you need to be sure – สะท้อนถึงความมุ่งมั่นในความน่าเชื่อถือ ความซื่อสัตย์ และความไว้วางใจ ซึ่งช่วยให้ธุรกิจดำเนินไปได้อย่างมั่นใจ เราภูมิใจนำเสนอบริการจากผู้เชี่ยวชาญของเราภายใต้ชื่อ SGS และแบรนด์เฉพาะทางที่ได้รับความไว้วางใจ เช่น Brightsight, Bluesign, Maine Pointe และ Nutrasource

SGS เป็นบริษัทจดทะเบียนในตลาดหลักทรัพย์ SIX Swiss Exchange ภายใต้สัญลักษณ์ SGSN (ISIN CH1256740924, Reuters SGSN.S, Bloomberg SGSN:SW)