การจัดการความมั่นคงทางเทคโนโลยีสารสนเทศ กรณีศึกษา การคุ้มครองข้อมูลส่วนบุคคลในการทำธุรกรรม ทางอิเล็กทรอนิกส์ของธนาคารพาณิชย์ไทย
คำสำคัญ:
การจัดการ, ความมั่นคงทางเทคโนโลยีสารสนเทศ, การคุ้มครองข้อมูลส่วนบุคคล, ธุรกรรมทางอิเล็กทรอนิกส์, ธนาคารพาณิชย์ไทยบทคัดย่อ
บทความวิจัยฉบับนี้มีวัตถุประสงค์เพื่อ 1) ศึกษาวิเคราะห์บริบทสภาพปัญหาและบทบาทหน้าที่ มาตรการของภาครัฐในการจัดการความมั่นคงปลอดภัยสารสนเทศ 2) ศึกษาการดำเนินการและมาตรการของธนาคารพาณิชย์ไทยในการจัดการความมั่นคงปลอดภัยสารสนเทศและการคุ้มครองข้อมูลส่วนบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ และ 3) ศึกษาข้อเสนอแนะ แนวทางการดำเนินงานและมาตรการที่เหมาะสมกับการจัดการความมั่นคงปลอดภัยสารสนเทศเพื่อการคุ้มครองข้อมูลส่วนบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์ของธนาคารพาณิชย์ไทย โดยผู้วิจัยใช้การวิจัยเชิงคุณภาพ ประกอบด้วยการวิจัยเชิงเอกสารและการสัมภาษณ์เชิงลึก จากผู้บริหารหน่วยงานกำกับดูแลของรัฐ ผู้เชี่ยวชาญ และธนาคารพาณิชย์ไทย กรณีศึกษา 3 แห่ง รวม 10 ท่าน โดยการคัดเลือกแบบเจาะจง นำข้อมูลมาวิเคราะห์เชิงเนื้อหาและนำเสนอในรูปแบบเชิงพรรณนา ผลการศึกษาพบว่า 1) ปัญหาภัยคุกคามทางไซเบอร์ ที่สำคัญ คือ ปัญหาด้านความพร้อมในการรักษาความมั่นคงปลอดภัย ไซเบอร์และความพร้อมในการรับมือต่อการสูญเสียอธิปไตยไซเบอร์ของชาติ โดยภาครัฐได้ออกกฎหมายสำคัญ 2 ฉบับ ในปี พ.ศ. 2562 คือ พ.ร.บ.ไซเบอร์ฯ และ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และธนาคารแห่งประเทศไทยได้ออกกฎระเบียบต่าง ๆ ในการกำกับดูแลธนาคารพาณิชย์ไทย 2) การดำเนินงานของธนาคารพาณิชย์ไทย ได้จัดทำนโยบายและแนวทางการดำเนินการด้านการรักษาความปลอดภัยของข้อมูลและความมั่นคงปลอดภัยไซเบอร์ ตามมาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27001:2013) และ 3) จากการศึกษาข้อเสนอแนะเพื่อให้แนวทางในการดำเนินงานตาม พ.ร.บ.ไซเบอร์ฯ ควรสอดคล้องกับ NIST Cybersecurity Framework และนำมาตรฐาน ISO/IEC 27701:2019 มาใช้เป็นมาตรการเพิ่มเติมสำหรับการคุ้มครองข้อมูลส่วนบุคคลที่มีความสอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล
เอกสารอ้างอิง
กิตติ โฆษะวิสุทธิ์. (23 กันยายน 2563). ปัญหาบุคลากรด้านความมั่นคงปลอดภัยไซเบอร์ภาคการธนาคาร. (กริน ธัญญวิกรม, ผู้สัมภาษณ์)
เทอดพงษ์ เปล่งศิริวัฒน์. (2558). Cyber Attack ภัยคุกคามของสถาบันการเงินไทยในยุคดิจิทัล. เรียกใช้เมื่อ 25 กันยายน 2562 จาก https://www.bot.or.th/Thai/ ResearchAndPublications/DocLib_/Article17_12_58.pdf
นคร เสรีรักษ์. (2548). การคุ้มครองข้อมูลส่วนบุคคล: ข้อเสนอเพื่อการพัฒนาสิทธิรับรู้ข้อมูลข่าวสารในกระบวนการธรรมรัฐไทย. ใน วิทยานิพนธ์ปรัชญาดุษฎีบัณฑิต สาขา สหวิทยาการ. มหาวิทยาลัยธรรมศาสตร์.
ปริญญา หอมเอนก. (25 กันยายน 2563). การรักษาอธิปไตยไซเบอร์ของชาติ และการเตรียมองค์กรสำหรับ พ.ร.บ.ไซเบอร์และ พ.ร.บ คุ้มครองข้อมูลส่วนบุคคล. (กริน ธัญญวิกรม, ผู้สัมภาษณ์)
ศุภโชค จันทรประทิน. (17 กันยายน 2563). ผลการจัดอันดับดัชนีชี้วัดของการพัฒนาการรักษาความมั่นคงปลอดภัยทางไซเบอร์ของประเทศไทย. (กริน ธัญญวิกรม, ผู้สัมภาษณ์)
สำนักงานรัฐบาลอิเล็กทรอนิกส์. (2559). แผนพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม. (พิมพ์ครั้งที่ 1). กรุงเทพมหานคร: ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา.
หยาดพิรุณ นาชัยสินธุ์. (2559). ยุทธศาสตร์การต่อต้านการก่อการร้ายทางไซเบอร์ในประเทศไทย. ใน ดุษฎีนิพนธ์รัฐศาสตรดุษฎีบัณฑิต สาขายุทธศาสตร์และความมั่นคง. มหาวิทยาลัยบูรพา.
อัญรัตน์ จันทร์เจริญสุข. (2552). เทคนิคการจารกรรมข้อมูลสารสนเทศผ่านทางกระบวนการทางสังคม กรณีศึกษา ธนาคารพาณิชย์แห่งหนึ่ง. ใน สารนิพนธ์วิทยาศาสตรมหาบัณฑิต สาขาวิชาการบริหารเทคโนโลยี วิทยาลัยนวัตกรรม. มหาวิทยาลัย ธรรมศาสตร์.
Bevis, J. (2007). xtreme Social Engineering-combating the Insider Security Threat-A Security Awareness Exercise. Retrieved June 26, 2017, fromhttps:// jtbevis. files.wordpress.com /2007/09/article-social-eng-v-7921.pdf
Azuwa, M.P. et al. (2012). Technical Security Metrics Model in Compliance with ISO/IEC 27001 Standard. International Journal of Cyber-Security and Digital Forensics (IJCSDF), 1(4), 280-288.
Manar Abu et al. (2012). Guide to ISO 27001: UAE Case Study. Informing Science and Information Technology, 7(1), 331-347.
Stephen Lineberry. (2007). The Human Element The weakest Linkin information Security Online Magazine Journal of Accountancy. Retrieved June 26, 2017, from http://www.journalofaccountancy.com/issues/2007/nov/
World Economic Forum. (2020). Global risk security reports 2020. Retrieved November 1, 2020, from https://www.weforum.org/reports/the-global-risks-report-2020
