สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ ได้จัดทำเผยแพร่เนื้อหา พระราชบัญญัติข้อมูลข่าวสารของราชการ พ.ศ. 2540 บน ระบบ E-Learning ของสำนักงานฯ ซึ่งมีเนื้อหาดังนี้

บทที่ 1 บททั่วไป
ข้อ 1 หลักการ ของ พ.ร.บ. ข้อมูลข่าวสารของราชการฯ
ข้อ 2 นิยาม ตาม พ.ร.บ. ข้อมูลข่าวสารของราชการฯ
ข้อ 3 องค์กร ตาม พ.ร.บ. ข้อมูลข่าวสารของราชการฯ พ.ศ. 2540

บทที่ 2 นิยามตาม พ.ร.บ. ข้อมูลข่าวสารของราชการฯ
ข้อมูลข่าวสารที่ต้องเปิดเผยเป็นการทั่วไป มาตรา 7 และ มาตรา 9

บทที่ 3 การขอข้อมูลข่าวสารทั่วไป
ข้อ 1 การขอข้อมูลข่าวสาร ตามมาตรา 11
ข้อ 2 ระยะเวลาพิจารณาคำขอข้อมูลข่าวสารตามมาตรา 11 ประกอบมติคณะรัฐมนตรี
ข้อ 3 การแจ้งสิทธิตามมาตรา 12 และการเปิดเผยข้อมูลข่าวสารที่กำหนดชั้นความลับ
ข้อ 4 การใช้สิทธิร้องเรียนตามมาตรา 13 และ 33
ข้อ 5 ระดับตามตำแหน่งเจ้าหน้าที่ของรัฐที่มีอำนาจมีคำสั่งให้เปิดเผยข้อมูลข่าวสาร

บทที่ 4 ข้อมูลข่าวสารที่ห้ามหน่วยงานเปิดเผย หรือ อาจปฏิเสธการเปิดเผย
ข้อ 1 ข้อมูลข่าวสารของราชการที่ไม่ต้องเปิดเผยโดยเด็ดขาด
ข้อ 2 ข้อมูลข่าวสารของราชการที่ไม่ต้องเปิดเผยโดยมีดุลพินิจ
ข้อ 3 การคัดค้านการเปิดเผยข้อมูลข่าวสาร มาตรา 17
ข้อ 4 สิทธิอุทธรณ์ต่อคณะกรรมการวินิจฉัยการเปิดเผยข้อมูลข่าวสาร
ข้อ 5 ข้อมูลข่าวสารส่วนบุคคล
ข้อ 6 สิทธิของเจ้าของข้อมูลข่าวสารส่วนบุคคล

บทที่ 5 เอกสารประวัติศาสตร์ มาตรา 26
เอกสารประวัติศาสตร์คืออะไร และต้องปฏิบัติอย่างไร

บทที่ 6 บทกำหนดโทษ
บทลงโทษใน พ.ร.บ. ข้อมูลข่าวสารของราชการฯ พ.ศ. 2540 มีอะไรบ้าง

ที่มา: สำนักงานคณะกรรมการข้อมูลข่าวสารของราชการ

ระบบสารสนเทศประกอบด้วย 5 องค์ประกอบ คือ

  1. Hardware – อุปกรณ์
  2. Software – โปรแกรมประยุกต์, ระบบ, OS, DB, Application
  3. Data – ข้อมูลดิบ, Information, Knowledge
  4. People (User) – คน (Personnel)
  5. Business Process (Process, Procedure)

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

1. ความลับ (Confidentiality) – เป็นการทำให้มั่นใจว่ามีเฉพาะผู้มีสิทธิ์หรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงได้

2. ความถูกต้องสมบูรณ์(Integrity) – ข้อมูลที่ปกป้องนั้น ต้องมีความถูกต้องสมบูรณ์ ต้องมีกลไกในการตรวจสอบสิทธิ์ การอนุญาตให้เปลี่ยนแปลงหรือแก้ไขข้อมูล

3. ความพร้อมใช้งาน (Availability) – ต้องสามารถตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิ์เข้าถึงระบบได้เมื่อต้องการ

สิ่งที่ต้องคำนึงถึงในการการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ คือ

1. ระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศต้องป้องกัน (สม่ำเสมอ) ทุกองค์ประกอบ (ทั้ง 5 องค์ประกอบ) ความเข้มแข็งรวมของระบบนั้นมาจากความอ่อนแอของระบบรักษาความมั่นคงปลอดภัย

2. ระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศป้องกันตามมูลค่า คุ้มครองข้อมูลตามมูลค่า (มูลค่า – การลงทุนป้องกัน, มูลค่าความเสียหายถ้าไม่ป้องกัน) จัดเกรดข้อมูลว่าอันไหนสำคัญ เพื่อจะได้วางระบบรักษาความปลอดภัยได้ถูก

3. การรักษาความมั่นคงปลอดภัยของระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ไม่มีระบบที่สมบูรณ์แบบ ไม่มีระบบที่ใช้ได้ตลอดไป

4. การรักษาความมั่นคงปลอดภัยของระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ เป็นกระบวนการที่ต้องทำต่อเนื่องตลอดไป

ในรูปของการปรับปรุงให้ดียิ่งขึ้น ให้ทันต่อภัยคุกคาม โดยใช้ PDCA, PDCA, … ทำหลายๆ รอบ A ตัวสุดท้ายจะเป็นเหตุให้ต้องทำ P รอบถัดไป วงรอบที่เหมาะสมในการทำ PDCA คือ 1 ปี

โดยที่ PDCA คือ กระบวนการของการทำ P (Plan คือ วางแผน), D (Do คือ ดำเนินการตามแผน), C (Check หรือ ตรวจสอบสอบทานการดำเนินงานตามแผน), A (Act หรือ เมื่อพบข้อผิดพลาดมีการสั่งการหรือหาแนวทางในการดำเนินการแก้ไข)

5. ผู้ที่จะเข้ามาโจมตีระบบสารสนเทศ จะเลือกเข้ามาในทิศทางที่คุณคาดไม่ถึงเสมอ

หลักการของการทำให้ปลอดภัย แบ่งเป็น 3 วิธี คือ

  1. Prevention       – ถ้ากันได้กัน      ß เป็นวิธีที่ดีที่สุด (เรื่องไม่เคยเกิดขึ้น, ไม่มีวันเกิดขึ้น)
  2. Detection        – กันไม่ได้แต่รู้ทันทีที่เกิด ß ทำให้มีปฏิกิริยาได้เร็ว บางครั้งแพง
  3. Recovery         – ปล่อยให้เกิดแล้วค่อยไปตามแก้ไข ต้องมีความสามารถเหมือน Detection แต่ช้ากว่า

ที่มา :  ผศ. พีรวัฒน์ วัฒนพงศ์ (วิชา Information System Security)