March 05, 2024

Language:

គន្លឹះដំបូងសម្រាប់ការអនុលោមតាមស្ដង់ដារសន្តិសុខសាយប័រ

១.ព័ត៌មានទូទៅ

សព្វថ្ងៃ ស្តង់ដារសន្តិសុខសាយប័រមានច្រើនប្រភេទដូចជា SOC2, ISO, HIPAA, និង Cyber Essentials ជាដើម ដែលអាចធ្វើឱ្យមានការលំបាកក្នុងការអនុលោមតាម។ ដូចនេះ ដើម្បីយល់ដឹងថាតើស្តង់ដារណាសមស្របឬជាស្តង់ដារចាំបាច់សម្រាប់អង្គភាពរបស់អ្នកអនុលោមតាម អ្នកគួរយល់ដឹងអំពីភាពខុសគ្នានិងតម្រូវការចម្បងរបស់ស្តង់ដារទាំងនោះ។

.អ្វីទៅជាស្តង់ដារសន្តិសុខសាយប័រ?

បើអ្នកអនុលោមតាមស្តង់ដារសន្តិសុខសាយប័រ មានន័យថា អ្នកបានបំពេញបាននូវគ្រប់សំណុំនៃលក្ខខណ្ឌស្ដីពីមធ្យោបាយដែលអ្នកប្រើសម្រាប់ការពារព័ត៌មានសម្ងាត់និងទិន្នន័យរបស់អតិថិជនអ្នក។ លក្ខខណ្ឌទាំងនេះអាចត្រូវបានកំណត់ដោយច្បាប់ អាជ្ញាធរនិយ័តកម្ម សមាគមពាណិជ្ជកម្ម ឬក្រុមឧស្សាហកម្មនានា។

ជាឧទាហរណ៍ ស្តង់ដារ GDPR ត្រូវបានកំណត់ដោយសហភាពអឺរ៉ុប និងមានសំណុំលក្ខខណ្ឌយ៉ាងទូលំទូលាយ ដែលគ្រប់ស្ថាប័នទាំងអស់ស្ថិតក្រោមវិសាលភាពរបស់សហភាពអឺរ៉ុបត្រូវតែអនុលោមតាមជាដាច់ខាត។ ប៉ុន្តែ ស្តង់ដារ ISO 27001 វិញគឺជាស្តង់ដារដែលអាចត្រូវបានអនុលោមតាមដោយស្ម័គ្រចិត្ត (ប៉ុន្តែត្រូវបានទទួលស្គាល់ជាអន្តរជាតិ) សម្រាប់ការគ្រប់គ្រងសន្តិសុខព័ត៌មាន។ លើសពីនេះ អតិថិជនក៏ទាមទារឱ្យអ្នកផ្គត់ផ្គង់សេវាកម្មឬផលិតផលអនុលោមតាមស្តង់ដារនានាដែរ ព្រោះការបែកធ្លាយទិន្នន័យក៏ប៉ះពាល់ដល់ប្រតិបត្តិការ ប្រាក់ចំណូល និងកេរ្តិ៍ឈ្មោះរបស់អតិថិជនផងដែរ។

.តើស្តង់ដារសន្តិសុខសាយប័រណាខ្លះដែលសមស្របសម្រាប់អ្នក?

អាជីវកម្មនៅវិស័យផ្សេងៗគ្នាមានប្រតិបត្តិការខុសៗគ្នា និងមានតម្រូវការសន្តិសុខសាយប័រផ្សេងៗគ្នា។ ស្តង់ដារការពារព័ត៌មានអ្នកជំងឺក្នុងមន្ទីរពេទ្យមិនដូចគ្នាទៅនឹងស្តង់ដារការពារព័ត៌មានហិរញ្ញវត្ថុរបស់អតិថិជនទេ។

សម្រាប់វិស័យមួយចំនួន ការអនុលោមតាមស្តង់ដារគឺជាតម្រូវការច្បាប់។ វិស័យដែលប្រើប្រាស់ព័ត៌មានផ្ទាល់ខ្លួនសម្ងាត់សំខាន់ៗដូចជាវិស័យសុខាភិបាលនិងហិរញ្ញវត្ថុត្រូវតែអនុលោមតាមស្តង់ដារតឹងរឹង។ ក្នុងករណីខ្លះ អាជីវកម្មត្រូវអនុលោមតាមស្តង់ដារច្រើន។ ឧទាហរណ៍ ប្រសិនបើអ្នកជាអាជីវកម្មនៅក្នុងសហភាពអឺរ៉ុបដែលគ្រប់គ្រងការទូទាត់តាមកាតឥណទាន នោះអ្នកនឹងត្រូវគោរពតាមស្តង់ដារពាក់ព័ន្ធនឹងប័ណ្ណឥណទាននិងធនាគារ (PCI DSS) ផង និងស្តង់ដារ GDPR ផង។

មូលដ្ឋានគ្រឹះសន្តិសុខសាយប័រដូចជាយន្តការវាយតម្លៃហានិភ័យ ការធ្វើកូដនីយកម្មលើទិន្នន័យរក្សាទុក ការគ្រប់គ្រងចំណុចខ្សោយ និងផែនការឆ្លើយតបឧប្បត្តិហេតុជាតម្រូវការទូទៅក្នុងស្តង់ដារនានា ប៉ុន្តែការកំណត់អត្តសញ្ញាណប្រព័ន្ធនិងប្រតិបត្តិការដែលត្រូវតែមានធានាសុវត្ថិភាព និងលំនាំជាក់លាក់មានភាពខុសគ្នាចំពោះស្តង់ដារនីមួយៗ។

៤.ច្បាប់ General Data Protection Regulation(GDPR)

ស្ដង់ដារ GDPR ជាច្បាប់ស៊ីជម្រៅមួយដែលគ្រប់គ្រងការប្រមូលនិងរក្សាទុកទិន្នន័យផ្ទាល់ខ្លួនរបស់ប្រជាពលរដ្ឋសហភាពអឺរ៉ុប។ ច្បាប់ GDPR មានការអនុវត្តតឹងរឹង និងមានការផាកពិន័យធ្ងន់ធ្ងរខ្លាំង។

៥.តើអ្នកណាត្រូវអនុលោមតាម GDPR?

បុគ្គលត្រូវអនុលោមតាម GDPR គឺបុគ្គលទាំងឡាយណាដែលមានប្រើប្រាស់ទិន្នន័យផ្ទាល់ខ្លួនរបស់ប្រជាពលរដ្ឋដែលមានសញ្ជាតិជាអឺរ៉ុបទាំងអស់ មិនថាពលរដ្ឋទាំងនោះនៅទីណាឡើយ។ ទិន្នន័យផ្ទាល់ខ្លួនដែលកំណត់ដោយ GDPR រួមមានទិន្នន័យទាំងអស់ចាប់ពីឈ្មោះនិងថ្ងៃខែឆ្នាំកំណើត រហូតដល់ទិន្នន័យភូមិសាស្ត្រ, IP address, ទិន្នន័យ cookie, ទិន្នន័យសុខភាពនិងទិន្នន័យហិរញ្ញវត្ថុ។

៦.ការអនុលោមតាម GDPR

ដើម្បីអនុលោមតាម GDPR អ្នកត្រូវមានវិធានសន្តិសុខសាយប័រដែលចែងជាពាក្យសាមញ្ញនិងងាយយល់សម្រាប់អាជីវកម្មនិងបុគ្គលិករបស់អ្នកអនុវត្តតាម។ លើសពីនេះ អ្នកអាចប្រើប្រាស់ប្រព័ន្ធការពារសន្តិសុខដោយស្វ័យប្រវត្តិដែលមានមុខងារធ្វើសវនកម្មលើប្រព័ន្ធរបស់អ្នកនិងបង្ហាញតម្រូវការដែលអ្នកបានបំពេញរួចនិងតម្រូវការសេសសល់ផងដែរ។

៧.ស្តង់ដារ System and Organization Controls 2 (SOC 2)

ស្តង់ដារ SOC 2 ជាស្តង់ដារពេញនិយមមួយដែលអាជីវកម្មអាចជ្រើសរើសអនុលោមតាមដើម្បីគ្រប់គ្រងការរក្សាទុក ការប្រើប្រាស់ និងការបញ្ជូនទិន្នន័យឌីជីថល។

ស្តង់ដារ SOC 2 មានរបាយការណ៍២ប្រភេទគឺ របាយការណ៍ SOC 2 Type 1 ជារបាយការណ៍វាយតម្លៃកម្រិតសន្តិសុខនៅកាលបរិច្ឆេទកំណត់មួយ និងរបាយការណ៍ SOC 2 Type 2 កើតចេញពីការវាយតម្លៃជាប់ជារយៈពេលវែងដោយសវនករក្រៅស្ថាប័ន និងត្រូវធ្វើឡើង១ដងក្នុង១ឆ្នាំ។

៨.អ្នកណាគេត្រូវការស្តង់ដារ SOC 2?

ស្តង់ដារ SOC 2 ជាស្តង់ដារពេញនិយមមួយសម្រាប់អ្នកផ្គត់ផ្គង់សេវាកម្ម software-as-a-service (SaaS) ដោយសារស្តង់ដារនេះចំណាយពេលនិងថវិកាតិចជាងស្តង់ដារជាច្រើនទៀត ប៉ុន្តែនៅមានធានាគុណភាពសន្តិសុខសាយប័រល្អ។

៩.ការអនុលោមតាម SOC 2

ការអនុលោមតាម SOC 2 ត្រូវការឱ្យមានយន្តការការពារលើមធ្យោបាយត្រួតពិនិត្យប្រព័ន្ធ ការផ្ដល់ដំណឹងពីការបែកធ្លាយទិន្នន័យ និងលំនាំជាក់លាក់សម្រាប់ដំណើរការសវនកម្មនិងកោសល្យវិច័យឌីជីថល។ របាយការណ៍ SOC 2 មានរៀបរាប់ពីការវាយតម្លៃដោយសវនករលើសមត្ថភាពរបស់យន្តការការពារក្នុងការបំពេញតម្រូវការជំនឿជាក់៥គឺ សន្តិសុខ (security), ការសម្ងាត់ (confidentiality), ភាពត្រឹមត្រូវនៃការដំណើរការ (processing integrity), ភាពជាប់លាប់នៃដំណើរការ (availability), និងឯកជនភាព (privacy) ។

១០.ស្តង់ដារ ISO 27001

ស្តង់ដារ ISO 27001 ជាស្តង់ដារសម្រាប់ការអនុវត្តល្អសម្រាប់ប្រព័ន្ធគ្រប់គ្រងសន្តិសុខព័ត៌មាន (information security management system, ISMS) ដើម្បីគ្រប់គ្រងសន្តិសុខព័ត៌មានហិរញ្ញវត្ថុ កម្មសិទ្ធិបញ្ញា ព័ត៌មានបុគ្គលិកនិងព័ត៌មានភាគីទី៣ផ្សេងៗ។ ស្តង់ដារនេះត្រូវបានទទួលស្គាល់ថាជាស្តង់ដារយ៉ាងល្អិតល្អន់មួយនិងត្រូវការចំណាយធនធាននិងពេលវេលាច្រើនសម្រាប់អនុលោម។

១១.អ្នកណាគួរអនុវត្តតាមស្តង់ដារ ISO 27001?

ស្រដៀងទៅនឹងស្តង់ដារ SOC 2 ដែរ ស្តង់ដារ ISO 27001 ជាមធ្យោបាយដ៏ប្រពៃមួយសម្រាប់បង្ហាញទៅសាធារណៈថាស្ថាប័នរបស់អ្នកមានការប្ដេជ្ញាដ៏ខ្ពស់ក្នុងការការពារទិន្នន័យរបស់អតិថិជន។ សហគ្រាសធំៗ និងស្ថាប័នរដ្ឋជាច្រើនធ្វើការតែជាមួយស្ថាប័នណាដែលអនុលោមតាមស្តង់ដារ ISO 27001 ទេ។

១២.ការអនុលោមតាម ISO 27001

អ្នកត្រូវកំណត់កម្រិតវិសាលភាពនៃការអនុលោមដោយខ្លួនឯង ហើយសវនករភាគីទី៣ជាអ្នកត្រួតពិនិត្យនិងវាស់វែងថាតើអ្នកបានបំពេញតម្រូវការក្នុងវិសាលភាពទាំងនោះឬអត់។

ស្តង់ដារ ISO 27001 ភាគច្រើនទាក់ទងទៅនឹងការគ្រប់គ្រងហានិភ័យ ដែលជាកត្តាប្រែប្រួលជានិច្ចនៅពេលមានការគំរាមកំហែងថ្មីៗកើតឡើង។ ដូចនេះ អ្នកគួរប្រើប្រាស់សេវាកម្មគ្រប់គ្រងចំណុចខ្សោយប្រព័ន្ធដែលមានវិភាគហានិភ័យដែលកើតឡើងថ្មីៗ។

១៣.ស្តង់ដារ PCI DSS

ស្តង់ដារសន្តិសុខទិន្នន័យវិស័យកាតបង់ប្រាក់ (Payment Card Industry Data Security Standard, PCI DSS) ត្រូវបានបង្កើតឡើងដោយក្រុមប្រឹក្សាស្តង់ដារសន្តិសុខទិន្នន័យវិស័យកាតបង់ប្រាក់ (PCI Security Standards Council) និងក្រុមហ៊ុនម្ចាស់កាតបង់ប្រាក់ធំៗ (American Express, Mastercard, and Visa) ដើម្បីត្រួតពិនិត្យនិងគ្រប់គ្រងអ្នកទាំងឡាយណាដែលផ្ទុក ដំណើរការ និងបញ្ជូនទិន្នន័យរបស់ម្ចាស់កាតបង់ប្រាក់។

១៤.អ្នកណាត្រូវអនុលោមតាម PCI DSS?

យោងតាមស្តង់ដារនេះ អ្នកត្រូវអនុលោមតាមគឺអ្នកទាំងឡាយណាដែលមានសេវាកម្មកាតបង់ប្រាក់ឱ្យអតិថិជនប្រើប្រាស់ ប៉ុន្តែអាស្រ័យលើចំនួននិងប្រភេទនៃការបង់ប្រាក់ដែលអ្នកមាន។ បើអ្នកជួលសេវាកម្មបង់ប្រាក់ពីអ្នកផ្គត់ផ្គង់ជាភាគីទីបីដូចជា PayPal ជាដើម នោះ អ្នកផ្គត់ផ្គង់ជាអ្នកធ្វើដំណើរការនិងផ្ដល់អាជ្ញាប័ណ្ណដល់អ្នក។

១៥.ការអនុលោមតាម PCI DSS

ស្តង់ដារ PCI DSS ត្រូវការការគ្រង់គ្រងចំណុចខ្សោយយ៉ាងតឹងរឹង ហើយដំណើរការទទួលអាជ្ញាប័ណ្ណមានភាពស្មុគស្មាញ។ តែបើអ្នកប្រើប្រាស់សេវាកម្មបង់ប្រាក់ផ្ដល់ដោយភាគីទីបី នោះអ្នកផ្គត់ផ្គង់សេវាកម្មនឹងដំណើរការស្នើអាជ្ញាប័ណ្ណជូនអ្នក។

១៦.ស្តង់ដារ Cyber Essentials

ស្តង់ដារ Cyber Essentials ជាស្តង់ដារគាំទ្រដោយរាជរដ្ឋាភិបាលចក្រភពអង់គ្លេសដើម្បីត្រួតពិនិត្យលទ្ធភាពការពាររបស់អាជីវកម្មទៅនឹងការវាយប្រហារសាយប័រទូទៅ។ ស្តង់ដារនេះមានលក្ខណៈសាមញ្ញ និងជាការណែនាំដើម្បីឱ្យមានការអនុវត្តល្អ និងមានចំណេះដឹងទូទៅដើម្បីការពារខ្លួនពីការវាយប្រហារសាយប័រ។ ស្តង់ដារនេះជាចំណុចចាប់ផ្ដើមនៃការពង្រឹងសន្តិសុខសាយប័រ បង្កើតឡើងសម្រាប់អាជីវកម្មខ្នាតតូច។

១៧.តើអ្នកណាត្រូវអនុលោមតាម Cyber Essentials?

អាជីវកម្មគ្រប់ខ្នាតដែលមានការជួញដូរផលិតផលនិងសេវាកម្មដល់រាជរដ្ឋាភិបាលចក្រភពអង់គ្លេស ឬបានចុះកិច្ចសន្យាជាមួយវិស័យសាធារណៈនិងមានប្រើប្រាស់ព័ត៌មានឯកជនសម្ងាត់ ឬមានផ្ដល់សេវាកម្មឬផលិតផលបច្ចេកទេសមួយចំនួន ត្រូវអនុលោមតាមស្តង់ដារនេះទាំងអស់។

១៨.ការអនុលោមតាមស្តង់ដារ Cyber Essentials

អាជ្ញាប័ណ្ណ Cyber Essential មូលដ្ឋានត្រូវបានផ្ដល់ជូនក្រោយឆ្លងកាត់ការវាយតម្លៃដោយខ្លួនឯងដោយអាជីវកម្មលើយន្តការសន្តិសុខសាយប័រមូលដ្ឋានចំនួន៥៖ ជញ្ជាំងភ្លើង ការកំណត់រចនាសម្ព័ន្ធមានសន្តិសុខ យន្តការគ្រប់គ្រងការចូលប្រើប្រាស់ យន្តការការពារពីមេរោគ និងការគ្រប់គ្រងកំណែអាប់ដេត។ អាជ្ញាប័ណ្ណ Cyber Essentials Plus មានសវនករវាយតម្លៃបច្ចេកទេសលើប្រព័ន្ធរបស់អ្នកដែលស្ថិតនៅក្រោមវិសាលភាពរបស់ស្តង់ដារ Cyber Essentials ដែលជាទូទៅរួមមាន ឧបករណ៍អ្នកប្រើប្រាស់ទាំងអស់ ច្រកទ្វារអ៊ីនធឺណិតទាំងអស់ និងម៉ាស៊ីនមេទាំងអស់ដែលមានសេវាកម្មលើអ៊ីនធឺណិតចូលប្រើបានដោយសាធារណៈ មិនចាំបាច់មានការផ្ទៀងផ្ទាត់។

១៩. ឯកសារពាក់ព័ន្ធ

  • – https://thehackernews.com/2023/09/essential-guide-to-cybersecurity.html-
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.