១.ព័ត៌មានទូទៅ
សព្វថ្ងៃ ស្តង់ដារសន្តិសុខសាយប័រមានច្រើនប្រភេទដូចជា SOC2, ISO, HIPAA, និង Cyber Essentials ជាដើម ដែលអាចធ្វើឱ្យមានការលំបាកក្នុងការអនុលោមតាម។ ដូចនេះ ដើម្បីយល់ដឹងថាតើស្តង់ដារណាសមស្របឬជាស្តង់ដារចាំបាច់សម្រាប់អង្គភាពរបស់អ្នកអនុលោមតាម អ្នកគួរយល់ដឹងអំពីភាពខុសគ្នានិងតម្រូវការចម្បងរបស់ស្តង់ដារទាំងនោះ។
២.អ្វីទៅជាស្តង់ដារសន្តិសុខសាយប័រ?
បើអ្នកអនុលោមតាមស្តង់ដារសន្តិសុខសាយប័រ មានន័យថា អ្នកបានបំពេញបាននូវគ្រប់សំណុំនៃលក្ខខណ្ឌស្ដីពីមធ្យោបាយដែលអ្នកប្រើសម្រាប់ការពារព័ត៌មានសម្ងាត់និងទិន្នន័យរបស់អតិថិជនអ្នក។ លក្ខខណ្ឌទាំងនេះអាចត្រូវបានកំណត់ដោយច្បាប់ អាជ្ញាធរនិយ័តកម្ម សមាគមពាណិជ្ជកម្ម ឬក្រុមឧស្សាហកម្មនានា។
ជាឧទាហរណ៍ ស្តង់ដារ GDPR ត្រូវបានកំណត់ដោយសហភាពអឺរ៉ុប និងមានសំណុំលក្ខខណ្ឌយ៉ាងទូលំទូលាយ ដែលគ្រប់ស្ថាប័នទាំងអស់ស្ថិតក្រោមវិសាលភាពរបស់សហភាពអឺរ៉ុបត្រូវតែអនុលោមតាមជាដាច់ខាត។ ប៉ុន្តែ ស្តង់ដារ ISO 27001 វិញគឺជាស្តង់ដារដែលអាចត្រូវបានអនុលោមតាមដោយស្ម័គ្រចិត្ត (ប៉ុន្តែត្រូវបានទទួលស្គាល់ជាអន្តរជាតិ) សម្រាប់ការគ្រប់គ្រងសន្តិសុខព័ត៌មាន។ លើសពីនេះ អតិថិជនក៏ទាមទារឱ្យអ្នកផ្គត់ផ្គង់សេវាកម្មឬផលិតផលអនុលោមតាមស្តង់ដារនានាដែរ ព្រោះការបែកធ្លាយទិន្នន័យក៏ប៉ះពាល់ដល់ប្រតិបត្តិការ ប្រាក់ចំណូល និងកេរ្តិ៍ឈ្មោះរបស់អតិថិជនផងដែរ។
៣.តើស្តង់ដារសន្តិសុខសាយប័រណាខ្លះដែលសមស្របសម្រាប់អ្នក?
អាជីវកម្មនៅវិស័យផ្សេងៗគ្នាមានប្រតិបត្តិការខុសៗគ្នា និងមានតម្រូវការសន្តិសុខសាយប័រផ្សេងៗគ្នា។ ស្តង់ដារការពារព័ត៌មានអ្នកជំងឺក្នុងមន្ទីរពេទ្យមិនដូចគ្នាទៅនឹងស្តង់ដារការពារព័ត៌មានហិរញ្ញវត្ថុរបស់អតិថិជនទេ។
សម្រាប់វិស័យមួយចំនួន ការអនុលោមតាមស្តង់ដារគឺជាតម្រូវការច្បាប់។ វិស័យដែលប្រើប្រាស់ព័ត៌មានផ្ទាល់ខ្លួនសម្ងាត់សំខាន់ៗដូចជាវិស័យសុខាភិបាលនិងហិរញ្ញវត្ថុត្រូវតែអនុលោមតាមស្តង់ដារតឹងរឹង។ ក្នុងករណីខ្លះ អាជីវកម្មត្រូវអនុលោមតាមស្តង់ដារច្រើន។ ឧទាហរណ៍ ប្រសិនបើអ្នកជាអាជីវកម្មនៅក្នុងសហភាពអឺរ៉ុបដែលគ្រប់គ្រងការទូទាត់តាមកាតឥណទាន នោះអ្នកនឹងត្រូវគោរពតាមស្តង់ដារពាក់ព័ន្ធនឹងប័ណ្ណឥណទាននិងធនាគារ (PCI DSS) ផង និងស្តង់ដារ GDPR ផង។
មូលដ្ឋានគ្រឹះសន្តិសុខសាយប័រដូចជាយន្តការវាយតម្លៃហានិភ័យ ការធ្វើកូដនីយកម្មលើទិន្នន័យរក្សាទុក ការគ្រប់គ្រងចំណុចខ្សោយ និងផែនការឆ្លើយតបឧប្បត្តិហេតុជាតម្រូវការទូទៅក្នុងស្តង់ដារនានា ប៉ុន្តែការកំណត់អត្តសញ្ញាណប្រព័ន្ធនិងប្រតិបត្តិការដែលត្រូវតែមានធានាសុវត្ថិភាព និងលំនាំជាក់លាក់មានភាពខុសគ្នាចំពោះស្តង់ដារនីមួយៗ។
៤.ច្បាប់ General Data Protection Regulation (GDPR)
ស្ដង់ដារ GDPR ជាច្បាប់ស៊ីជម្រៅមួយដែលគ្រប់គ្រងការប្រមូលនិងរក្សាទុកទិន្នន័យផ្ទាល់ខ្លួនរបស់ប្រជាពលរដ្ឋសហភាពអឺរ៉ុប។ ច្បាប់ GDPR មានការអនុវត្តតឹងរឹង និងមានការផាកពិន័យធ្ងន់ធ្ងរខ្លាំង។
៥.តើអ្នកណាត្រូវអនុលោមតាម GDPR?
បុគ្គលត្រូវអនុលោមតាម GDPR គឺបុគ្គលទាំងឡាយណាដែលមានប្រើប្រាស់ទិន្នន័យផ្ទាល់ខ្លួនរបស់ប្រជាពលរដ្ឋដែលមានសញ្ជាតិជាអឺរ៉ុបទាំងអស់ មិនថាពលរដ្ឋទាំងនោះនៅទីណាឡើយ។ ទិន្នន័យផ្ទាល់ខ្លួនដែលកំណត់ដោយ GDPR រួមមានទិន្នន័យទាំងអស់ចាប់ពីឈ្មោះនិងថ្ងៃខែឆ្នាំកំណើត រហូតដល់ទិន្នន័យភូមិសាស្ត្រ, IP address, ទិន្នន័យ cookie, ទិន្នន័យសុខភាពនិងទិន្នន័យហិរញ្ញវត្ថុ។
៦.ការអនុលោមតាម GDPR
ដើម្បីអនុលោមតាម GDPR អ្នកត្រូវមានវិធានសន្តិសុខសាយប័រដែលចែងជាពាក្យសាមញ្ញនិងងាយយល់សម្រាប់អាជីវកម្មនិងបុគ្គលិករបស់អ្នកអនុវត្តតាម។ លើសពីនេះ អ្នកអាចប្រើប្រាស់ប្រព័ន្ធការពារសន្តិសុខដោយស្វ័យប្រវត្តិដែលមានមុខងារធ្វើសវនកម្មលើប្រព័ន្ធរបស់អ្នកនិងបង្ហាញតម្រូវការដែលអ្នកបានបំពេញរួចនិងតម្រូវការសេសសល់ផងដែរ។
៧.ស្តង់ដារ System and Organization Controls 2 (SOC 2)
ស្តង់ដារ SOC 2 ជាស្តង់ដារពេញនិយមមួយដែលអាជីវកម្មអាចជ្រើសរើសអនុលោមតាមដើម្បីគ្រប់គ្រងការរក្សាទុក ការប្រើប្រាស់ និងការបញ្ជូនទិន្នន័យឌីជីថល។
ស្តង់ដារ SOC 2 មានរបាយការណ៍២ប្រភេទគឺ របាយការណ៍ SOC 2 Type 1 ជារបាយការណ៍វាយតម្លៃកម្រិតសន្តិសុខនៅកាលបរិច្ឆេទកំណត់មួយ និងរបាយការណ៍ SOC 2 Type 2 កើតចេញពីការវាយតម្លៃជាប់ជារយៈពេលវែងដោយសវនករក្រៅស្ថាប័ន និងត្រូវធ្វើឡើង១ដងក្នុង១ឆ្នាំ។
៨.អ្នកណាគេត្រូវការស្តង់ដារ SOC 2?
ស្តង់ដារ SOC 2 ជាស្តង់ដារពេញនិយមមួយសម្រាប់អ្នកផ្គត់ផ្គង់សេវាកម្ម software-as-a-service (SaaS) ដោយសារស្តង់ដារនេះចំណាយពេលនិងថវិកាតិចជាងស្តង់ដារជាច្រើនទៀត ប៉ុន្តែនៅមានធានាគុណភាពសន្តិសុខសាយប័រល្អ។
៩.ការអនុលោមតាម SOC 2
ការអនុលោមតាម SOC 2 ត្រូវការឱ្យមានយន្តការការពារលើមធ្យោបាយត្រួតពិនិត្យប្រព័ន្ធ ការផ្ដល់ដំណឹងពីការបែកធ្លាយទិន្នន័យ និងលំនាំជាក់លាក់សម្រាប់ដំណើរការសវនកម្មនិងកោសល្យវិច័យឌីជីថល។ របាយការណ៍ SOC 2 មានរៀបរាប់ពីការវាយតម្លៃដោយសវនករលើសមត្ថភាពរបស់យន្តការការពារក្នុងការបំពេញតម្រូវការជំនឿជាក់៥គឺ សន្តិសុខ (security), ការសម្ងាត់ (confidentiality), ភាពត្រឹមត្រូវនៃការដំណើរការ (processing integrity), ភាពជាប់លាប់នៃដំណើរការ (availability), និងឯកជនភាព (privacy) ។
១០.ស្តង់ដារ ISO 27001
ស្តង់ដារ ISO 27001 ជាស្តង់ដារសម្រាប់ការអនុវត្តល្អសម្រាប់ប្រព័ន្ធគ្រប់គ្រងសន្តិសុខព័ត៌មាន (information security management system, ISMS) ដើម្បីគ្រប់គ្រងសន្តិសុខព័ត៌មានហិរញ្ញវត្ថុ កម្មសិទ្ធិបញ្ញា ព័ត៌មានបុគ្គលិកនិងព័ត៌មានភាគីទី៣ផ្សេងៗ។ ស្តង់ដារនេះត្រូវបានទទួលស្គាល់ថាជាស្តង់ដារយ៉ាងល្អិតល្អន់មួយនិងត្រូវការចំណាយធនធាននិងពេលវេលាច្រើនសម្រាប់អនុលោម។
១១.អ្នកណាគួរអនុវត្តតាមស្តង់ដារ ISO 27001?
ស្រដៀងទៅនឹងស្តង់ដារ SOC 2 ដែរ ស្តង់ដារ ISO 27001 ជាមធ្យោបាយដ៏ប្រពៃមួយសម្រាប់បង្ហាញទៅសាធារណៈថាស្ថាប័នរបស់អ្នកមានការប្ដេជ្ញាដ៏ខ្ពស់ក្នុងការការពារទិន្នន័យរបស់អតិថិជន។ សហគ្រាសធំៗ និងស្ថាប័នរដ្ឋជាច្រើនធ្វើការតែជាមួយស្ថាប័នណាដែលអនុលោមតាមស្តង់ដារ ISO 27001 ទេ។
១២.ការអនុលោមតាម ISO 27001
អ្នកត្រូវកំណត់កម្រិតវិសាលភាពនៃការអនុលោមដោយខ្លួនឯង ហើយសវនករភាគីទី៣ជាអ្នកត្រួតពិនិត្យនិងវាស់វែងថាតើអ្នកបានបំពេញតម្រូវការក្នុងវិសាលភាពទាំងនោះឬអត់។
ស្តង់ដារ ISO 27001 ភាគច្រើនទាក់ទងទៅនឹងការគ្រប់គ្រងហានិភ័យ ដែលជាកត្តាប្រែប្រួលជានិច្ចនៅពេលមានការគំរាមកំហែងថ្មីៗកើតឡើង។ ដូចនេះ អ្នកគួរប្រើប្រាស់សេវាកម្មគ្រប់គ្រងចំណុចខ្សោយប្រព័ន្ធដែលមានវិភាគហានិភ័យដែលកើតឡើងថ្មីៗ។
១៣.ស្តង់ដារ PCI DSS
ស្តង់ដារសន្តិសុខទិន្នន័យវិស័យកាតបង់ប្រាក់ (Payment Card Industry Data Security Standard, PCI DSS) ត្រូវបានបង្កើតឡើងដោយក្រុមប្រឹក្សាស្តង់ដារសន្តិសុខទិន្នន័យវិស័យកាតបង់ប្រាក់ (PCI Security Standards Council) និងក្រុមហ៊ុនម្ចាស់កាតបង់ប្រាក់ធំៗ (American Express, Mastercard, and Visa) ដើម្បីត្រួតពិនិត្យនិងគ្រប់គ្រងអ្នកទាំងឡាយណាដែលផ្ទុក ដំណើរការ និងបញ្ជូនទិន្នន័យរបស់ម្ចាស់កាតបង់ប្រាក់។
១៤.អ្នកណាត្រូវអនុលោមតាម PCI DSS?
យោងតាមស្តង់ដារនេះ អ្នកត្រូវអនុលោមតាមគឺអ្នកទាំងឡាយណាដែលមានសេវាកម្មកាតបង់ប្រាក់ឱ្យអតិថិជនប្រើប្រាស់ ប៉ុន្តែអាស្រ័យលើចំនួននិងប្រភេទនៃការបង់ប្រាក់ដែលអ្នកមាន។ បើអ្នកជួលសេវាកម្មបង់ប្រាក់ពីអ្នកផ្គត់ផ្គង់ជាភាគីទីបីដូចជា PayPal ជាដើម នោះ អ្នកផ្គត់ផ្គង់ជាអ្នកធ្វើដំណើរការនិងផ្ដល់អាជ្ញាប័ណ្ណដល់អ្នក។
១៥.ការអនុលោមតាម PCI DSS
ស្តង់ដារ PCI DSS ត្រូវការការគ្រង់គ្រងចំណុចខ្សោយយ៉ាងតឹងរឹង ហើយដំណើរការទទួលអាជ្ញាប័ណ្ណមានភាពស្មុគស្មាញ។ តែបើអ្នកប្រើប្រាស់សេវាកម្មបង់ប្រាក់ផ្ដល់ដោយភាគីទីបី នោះអ្នកផ្គត់ផ្គង់សេវាកម្មនឹងដំណើរការស្នើអាជ្ញាប័ណ្ណជូនអ្នក។
១៦.ស្តង់ដារ Cyber Essentials
ស្តង់ដារ Cyber Essentials ជាស្តង់ដារគាំទ្រដោយរាជរដ្ឋាភិបាលចក្រភពអង់គ្លេសដើម្បីត្រួតពិនិត្យលទ្ធភាពការពាររបស់អាជីវកម្មទៅនឹងការវាយប្រហារសាយប័រទូទៅ។ ស្តង់ដារនេះមានលក្ខណៈសាមញ្ញ និងជាការណែនាំដើម្បីឱ្យមានការអនុវត្តល្អ និងមានចំណេះដឹងទូទៅដើម្បីការពារខ្លួនពីការវាយប្រហារសាយប័រ។ ស្តង់ដារនេះជាចំណុចចាប់ផ្ដើមនៃការពង្រឹងសន្តិសុខសាយប័រ បង្កើតឡើងសម្រាប់អាជីវកម្មខ្នាតតូច។
១៧.តើអ្នកណាត្រូវអនុលោមតាម Cyber Essentials?
អាជីវកម្មគ្រប់ខ្នាតដែលមានការជួញដូរផលិតផលនិងសេវាកម្មដល់រាជរដ្ឋាភិបាលចក្រភពអង់គ្លេស ឬបានចុះកិច្ចសន្យាជាមួយវិស័យសាធារណៈនិងមានប្រើប្រាស់ព័ត៌មានឯកជនសម្ងាត់ ឬមានផ្ដល់សេវាកម្មឬផលិតផលបច្ចេកទេសមួយចំនួន ត្រូវអនុលោមតាមស្តង់ដារនេះទាំងអស់។
១៨.ការអនុលោមតាមស្តង់ដារ Cyber Essentials
អាជ្ញាប័ណ្ណ Cyber Essential មូលដ្ឋានត្រូវបានផ្ដល់ជូនក្រោយឆ្លងកាត់ការវាយតម្លៃដោយខ្លួនឯងដោយអាជីវកម្មលើយន្តការសន្តិសុខសាយប័រមូលដ្ឋានចំនួន៥៖ ជញ្ជាំងភ្លើង ការកំណត់រចនាសម្ព័ន្ធមានសន្តិសុខ យន្តការគ្រប់គ្រងការចូលប្រើប្រាស់ យន្តការការពារពីមេរោគ និងការគ្រប់គ្រងកំណែអាប់ដេត។ អាជ្ញាប័ណ្ណ Cyber Essentials Plus មានសវនករវាយតម្លៃបច្ចេកទេសលើប្រព័ន្ធរបស់អ្នកដែលស្ថិតនៅក្រោមវិសាលភាពរបស់ស្តង់ដារ Cyber Essentials ដែលជាទូទៅរួមមាន ឧបករណ៍អ្នកប្រើប្រាស់ទាំងអស់ ច្រកទ្វារអ៊ីនធឺណិតទាំងអស់ និងម៉ាស៊ីនមេទាំងអស់ដែលមានសេវាកម្មលើអ៊ីនធឺណិតចូលប្រើបានដោយសាធារណៈ មិនចាំបាច់មានការផ្ទៀងផ្ទាត់។
១៩. ឯកសារពាក់ព័ន្ធ
- – https://thehackernews.com/2023/09/essential-guide-to-cybersecurity.html-
