GRC & Regulatory Mapping

องค์กรไทยส่วนใหญ่ต้อง comply หลายกรอบพร้อมกัน — NIST CSF สำหรับกรอบความคิด, ISO 27001 สำหรับ certification, PDPA สำหรับข้อมูลส่วนบุคคล, ธปท. IT Risk สำหรับสถาบันการเงิน, ก.ล.ต. Cyber สำหรับบริษัทจดทะเบียน การทำ audit แยกกันของแต่ละกรอบทำให้ทีม security ใช้เวลาเกือบทั้งปีไปกับการตอบผู้ตรวจสอบ บทนำนี้อธิบายแนวคิด Unified Control Framework ที่ map ทุก requirement ไปยัง control เดียว พร้อมสรุปภาพรวมของหน่วยกำกับในไทยและความคาดหวังที่เปลี่ยนแปลงในช่วง 2 ปีที่ผ่านมา

 

ในทางปฏิบัติ ทีม GRC ในภาคการเงินไทยจำนวนมากใช้เวลาเป็นสัดส่วนสูงไปกับการจัดทำเอกสารที่ซ้ำซ้อนระหว่างกรอบกำกับหลายชุด ขณะที่เนื้อหาของ control ที่ถูกถามในแต่ละกรอบมีส่วนทับซ้อนกันอย่างมาก การวางระบบ unified control framework ที่ map ครั้งเดียวแล้วตอบได้ทุกกรอบ จึงช่วยลดภาระของทีมและเพิ่มความแม่นยำของการรายงาน

 

Series Q จัดโครงสร้างตามขั้นตอนการสร้าง Unified Control Framework ตั้งแต่การทำความเข้าใจ compliance landscape ของไทย ต่อด้วยการเจาะลึก NIST CSF 2.0, ISO 27001:2022, PDPA, แนวทาง ธปท. IT Risk และประกาศของ ก.ล.ต. จากนั้นรวมทั้งหมดเข้าเป็น unified framework และปิดด้วย audit readiness

 

5 กรอบ

ของหน่วยกำกับหลักที่องค์กรในภาคการเงินไทยต้องตอบพร้อมกัน

 

สัดส่วนสูง

ของเวลาทีม GRC ที่ใช้ไปกับเอกสารซ้ำซ้อนระหว่างกรอบต่าง ๆ

 

93 control

ใน ISO 27001:2022 Annex A ที่ปรับโครงสร้างใหม่เป็น 4 กลุ่ม

 

คู่มือเล่มนี้แบ่งออกเป็น 7 บท เรียงลำดับจากพื้นฐานความรู้ความเข้าใจในภัยคุกคาม ไปจนถึงการวางกลยุทธ์ การลงมือปฏิบัติ และการวัดผล แต่ละบทจะสรุปแนวคิดหลัก ศัพท์สำคัญ และข้อควรทำจริงให้อ่านเข้าใจได้โดยไม่ต้องมีพื้นฐานเทคนิคมาก่อน

 

 

CHAPTER ONE · LANDSCAPE

 

 

องค์กรไทยที่ให้บริการลูกค้าจำนวนมากต้อง comply กับกรอบเหล่านี้อย่างน้อย — (1) PDPA (สำหรับทุกองค์กรที่ประมวลผลข้อมูลส่วนบุคคล), (2) ธปท. IT Risk (สำหรับธนาคารและสถาบันการเงิน), (3) ก.ล.ต. Cyber Guideline (สำหรับบริษัทจดทะเบียน), (4) PCI DSS (ถ้าประมวลผลบัตรเครดิต), (5) ISO 27001 (ถ้าเป็น certification requirement ของลูกค้า), (6) NIST CSF (ถ้าเป็น voluntary framework)

 

“Compliance ไม่ใช่เป้าหมาย — เป็นผลพลอยได้ของ security program ที่ดี”

 

 

CHAPTER TWO · NIST CSF 2.0

 

 

NIST เผยแพร่ CSF 2.0 ในปี 2567 โดยเพิ่ม Govern Function เป็น function ที่ 6 (เดิมมี 5: Identify, Protect, Detect, Respond, Recover) Govern ครอบคลุม organizational context, risk management strategy, roles & responsibilities, policies, oversight, cybersecurity supply chain risk management การเพิ่มนี้สะท้อนว่า security program ที่ไม่มี governance structure มักล้มเหลวแม้มี control ที่ดี

 

“NIST CSF 2.0 เพิ่ม Govern Function เพราะ security ที่ไม่มี governance คือชุดของเครื่องมือไม่ใช่ program”

 

 

CHAPTER THREE · ISO 27001

 

 

ISO 27001:2022 ลดจาก 114 เหลือ 93 control โดยจัดกลุ่มใหม่เป็น 4 theme — Organizational (37 control), People (8 control), Physical (14 control), Technological (34 control) การจัดกลุ่มใหม่สะท้อนเทคโนโลยีปัจจุบัน และเพิ่ม control ใหม่เช่น A.5.7 Threat Intelligence, A.5.23 Information Security for Cloud Services, A.8.28 Secure Coding, A.8.23 Web Filtering

 

“ISO 27001:2022 ลดจาก 114 เหลือ 93 control เพื่อให้สะท้อนเทคโนโลยีปัจจุบัน”

 

 

CHAPTER FOUR · PDPA

 

 

PDPA มาตรา 37 กำหนดให้ data controller มี 'มาตรการรักษาความมั่นคงปลอดภัย' ที่เหมาะสม — แต่ไม่ระบุว่าต้องใช้อะไร หน้าที่ของ security team คือ translate ข้อกำหนดไปสู่ technical control ที่สอดคล้อง ได้แก่ access control, encryption at rest/in transit, backup, audit logging, breach response procedure

 

“PDPA มาตรา 37 บังคับให้มี security measure — แต่ไม่ระบุว่าต้องใช้อะไร นั่นเป็นหน้าที่ของ security team”

 

 

CHAPTER FIVE · THAI REGULATORS

 

 

ธนาคารแห่งประเทศไทยมีประกาศหลักในเรื่อง IT Risk Management ที่ธนาคารทุกแห่งต้องปฏิบัติ — ครอบคลุม IT governance, risk management, third-party risk, cloud adoption, business continuity, outsourcing ประเด็นที่ธปท. เน้นในปี 2568–2569 ได้แก่ concentration risk ของ cloud provider, cyber resilience ต่อ ransomware, operational resilience ในการให้บริการ 24/7

 

“ธปท. ไม่ตรวจสอบว่ามี tool อะไรบ้าง — ตรวจสอบว่า process ทำงานอย่างไรและใครรับผิดชอบ”

 

 

CHAPTER SIX · UNIFIED FRAMEWORK

 

 

Unified Control Framework (UCF) คือการสร้าง 'control library' ที่เป็น single source of truth — แต่ละ control ถูก tag ด้วย reference ของทุกกรอบที่เกี่ยวข้อง เช่น control 'MFA on all privileged account' → map กับ NIST CSF 2.0 PR.AA-01 (Identity Management & Authentication), ISO 27001:2022 A.8.5, PDPA มาตรา 37, ธปท. IT Risk (ส่วน Access Control) และ PCI DSS 8.3

 

“Unified Framework ไม่ใช่ spreadsheet — เป็นระบบ control ที่ map หลายกรอบเข้าด้วยกัน”

 

 

CHAPTER SEVEN · AUDIT READINESS

 

 

Evidence ที่ดีของ audit คือ artefact ที่เกิดจากการทำงานจริง — เช่น screenshot ของ config, approval email, ticket ใน ITSM, report ที่ generate automatically ไม่ใช่เอกสารที่เขียนเพื่อ audit โดยเฉพาะ การมี automated evidence collection (เช่น Drata, Vanta รันทุกวัน) ลดภาระของทีมและลด error ในการ prepare audit

 

“Evidence ที่ดีของ audit คือ artefact ที่เกิดจากการทำงานจริง — ไม่ใช่เอกสารที่เขียนเพื่อ audit โดยเฉพาะ”

 

 

Governance, Risk และ Compliance ไม่ใช่งาน overhead — เป็นเส้นทางที่ security team แปลผลงานเป็นภาษาที่ board, regulator และ business เข้าใจ

 

หากท่านต้องการเนื้อหาฉบับเต็มที่ครอบคลุมทุกบท พร้อมแนวปฏิบัติเชิงเทคนิค ตัวอย่าง workflow และคำศัพท์เฉพาะทาง กดตาม URL นี้เพื่อดาวน์โหลด: