ศูนย์รวมความรู้ บทความ

นโยบาย "Cloud First Policy" คืออะไร? เกี่ยวข้องกับองค์กรของเราหรือไม่?

By สัญชัย รุ่งเรืองชูสกุล ITManagement, CloudComputing, CloudFirstPolicy 9 มิถุนายน 2568 4,314
Cloud First Policy คือแนวทางการใช้งานระบบคลาวด์เป็นหลัก ที่ภาครัฐไทยกำหนดขึ้นเพื่อยกระดับความมั่นคงปลอดภัยไซเบอร์ และประสิทธิภาพด้านเทคโนโลยีสารสนเทศของประเทศ บทความนี้จะอธิบายว่า Cloud First Policy คืออะไร เกี่ยวข้องกับองค์กรของคุณหรือไม่ และควรเตรียมตัวอย่างไร

ในช่วงปลายปี 2024 ที่ผ่านมา เราอาจจะได้ยินนโยบายเรื่อง “Cloud First Policy” กันมาบ้างพอสมควร ในบทความนี้จะมาอธิบายและวิเคราะห์ว่ามีประโยชน์กับองค์กรของเราอย่างไร? หากเราจะเลือกใช้งานคลาวด์แล้วควรจะเลือกการใช้งานจากผู้ให้บริการเจ้าไหน? หากเปรียบเทียบกับประเทศอื่นๆ มีการใช้งานนโยบายลักษณะเดียวกันหรือไม่? บทความนี้จะมาอธิบายคำถามเหล่านี้กัน...

Cloud First Policy คืออะไร?

“Cloud First Policy” หรือ “นโยบายการใช้งานคลาวด์เป็นหลัก” (ในบทความนี้ขอเรียกว่าเป็น “Cloud First Policy” แทนเพื่อความเข้าใจ) เป็นแนวคิดที่ต้องการพัฒนาการทำงานของภาครัฐให้เป็นรัฐบาลแบบดิจิทัล (Digital Government) เพื่อลดความซ้ำซ้อนในการทำงาน ประหยัดงบประมาณในการดำเนินงาน เนื่องจากก่อนหน้านี้แต่ละหน่วยงานมีการจัดซื้ออุปกรณ์จำนวนมาก อีกทั้งยังมีปัญหาเรื่องของการจัดการต่างๆ ไม่ว่าจะเป็นด้านความปลอดภัย การเชื่อมโยงข้อมูลระหว่างกัน จึงเกิดแนวคิดในการรวมศูนย์การทำงานซึ่งเริ่มต้นดำเนินงานภายใต้สำนักงานรัฐบาลอิเล็กทรอนิกส์ (สรอ.) ในช่วงปี พ.ศ. 2560 และเริ่มมีการผลักดันการใช้งานมาอย่างต่อเนื่องจนถึงกลางปี พ.ศ. 2567 จึงได้มีการจัดตั้งคณะกรรมการ Cloud First Policy ขึ้นมาเพื่อกำหนดกรอบมาตรฐานและข้อกำหนดที่เป็นทางการในการใช้งานระบบตคลาวด์สำหรับภาครัฐเป็นหลัก โดยได้มีการกำหนดมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์โดยคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) เพื่อเป็นมาตรฐานในการกำหนดคุณสมบัติที่เหมาะสมสำหรับการใช้งานระบบคลาวด์ของหน่วยงานภาครัฐขึ้นมา

Cloud-6_001.png

สำหรับรายละเอียดที่มีการประกาศขึ้นมานั้น ได้มีการกำหนดความสำคัญของข้อมูล (Data Classification) ขึ้นมาโดยแบ่งเป็นระดับต่ำ ระดับกลางและระดับสูงทั้งในส่วนของผู้ใช้บริการคลาวด์ (Cloud Service Customer หรือ CSC) และผู้ให้บริการคลาวด์ (Cloud Service Provider หรือ CSP) ขึ้นมา และได้มีการกำหนดมาตรฐานที่ผู้ใช้บริการและผู้ให้บริการคลาวด์จะต้องมีเพื่อให้เหมาะสมกับการใช้งานคลาวด์ โดยมีรายละเอียดตามที่ได้ประกาศดังรูป
Cloud-6_002.png

หรืออาจจะสรุปรายละเอียดของความสำคัญของ Cloud First Policy ได้ตามเอกสารที่ทางสำนักงานคณะกรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้สรุปให้ตามรายละเอียดในรูปด้านล่าง

Cloud-6_003.png
Cloud-6_004.png

การกำหนดมาตรฐานสำหรับผู้ให้บริการคลาวด์ (CSP) นั้น ในมุมมองของผู้เขียนเอง “เห็นด้วย” ในการกำหนดมาตรฐานดังกล่าวเพื่อให้เป็นไปตามความสำคัญของข้อมูลที่จะใช้งาน หากเป็นข้อมูลที่ไม่สำคัญมากก็ไม่จำเป็นต้องใช้ผู้ให้บริการที่มีมาตรฐานสูง ซึ่งจะเป็นการสิ้นเปลืองงบประมาณโดยไม่จำเป็น ซึ่งการกำหนดมาตรฐานดังกล่าวนั้นก็อาศัยมาตรฐานสากล (International Standard Organization หรือ ISO) ในการอ้างอิง ซึ่งมาตรฐาน ISO ก็มีการอัปเดทเวอร์ชันให้ทันสมัยอยู่เรื่อยๆ จึงเป็นการรับรองว่าผู้ให้บริการคลาวด์จะต้องมีการอัปเดทมาตรฐาน เทคโนโลยีและกระบวนการทำงานให้ทันสมัยเพื่อให้ผ่านการรับรอง อาจจะลองเปรียบเทียบง่ายๆ ว่าหากเราจะใช้งานคลาวด์จากผู้ให้บริการคลาวด์ควรจะเลือกใช้งานคลาวด์จากผู้ให้บริการรายใด หากเปรียบเทียบ Global Cloud, Regional Cloud หรือ Local Cloud ควรจะเลือกผู้ให้บริการรายใด เพราะผู้ใช้บริการคลาวด์ก็ไม่สามารถตรวจสอบได้เอง การให้หน่วยงานกลางเป็นผู้ตรวจสอบโดยกำหนดมาตรฐานขึ้นมาจึงเป็นหลักการที่เหมาะสมในการพิจารณาผู้ให้บริการคลาวด์ โดยผู้ให้บริการคลาวด์มีหน้าที่ในการพัฒนาให้บริการคลาวด์ได้มาตรฐานสากลเป็นที่ยอมรับ ซึ่งจะเป็นการยกระดับมาตรฐานคลาวด์ของประเทศไทยไปด้วยนั่นเอง

Cloud First Policy เกี่ยวข้องกับองค์กรของเราหรือไม่?

สำหรับนโยบาย “Cloud First Policy” นั้น จะเกี่ยวข้องกับหน่วยงานภาครัฐ และหน่วยงานที่เป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure หรือ CII) เป็นหลักซึ่งมีการกำหนดเอาไว้ในพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ ปี พ.ศ. 2562 (หรือเรียกว่า พรบ. ไซเบอร์) ซึ่งประกอบไปด้วย

  1. ด้านความมั่นคงของรัฐ
  2. ด้านบริการภารัฐที่สำคัญ
  3. ด้านการเงินการธนาคาร
  4. ด้านเทคโนโลยีสารสนเทศและโทรคมนาคม
  5. ด้านการขนส่งและโลจิสติกส์
  6. ด้านพลังงานและสาธารณูปโภค
  7. ด้านสารธารณสุข
โดยในขั้นแรก จะเน้นไปที่หน่วยงานภาครัฐเป็นหลัก ซึ่งมองในภาพรวมแล้วเป้นการลดความซ้ำซ้อนในการจัดซื้อจัดจ้างระบบ อีกทั้งยังเป็นการรวมศูนย์การจัดการระบบเทคโนโลยีสารสนเทศเพื่อให้เกิดประสิทธิภาพในการจัดการในภาพรวม ดังนั้นหากองค์กรของเราอยู่ในเกณฑ์ดังกล่าวจะต้องมีการวางแผนในการจัดการระบบเทคโนโลยีสารสนเทศเพื่อให้สอดคล้องกับการใช้งานคลาวด์ในอนาคต รวมไปถึงระบบสารสนเทศเดิมที่มาการใช้งานอยู่ หากหมดระยะการสนับสนุน (End of Service) แล้ว การอาจจะพิจารณาย้ายระบบดังกล่าวมาใช้งานระบบคลาวด์เพื่อทดแทนระบบเดิม

ในกรณีที่องค์กรของเราไม่อยู่ในขอบเขตของนโยบาย Cloud First Policy ก็สามารถใช้มาตรฐานดังกล่าวในการคัดเลือกผู้ให้บริการคลาวด์ได้ เพราะเปรียบเสมือนกับการกำหนดมาตรฐานกลางของผู้ให้บริการคลาวด์ในระดับประเทศขึ้นมาแล้ว การเลือกใช้งานคลาวด์ก็สามารถเลือกได้ง่ายมากขึ้นโดยอ้างอิงจากมาตรฐานที่ทาง สกมช. กำหนดขึ้นมานั่นเอง หรืออาจจะเปรียบเทียบเหมือนการเลือกซื้อเครื่องปรับอากาศที่ดูมาตรฐานประหยัดไฟเบอร์ 5 ก็เทียบเคียงได้นั่นเอง

องค์กรเอกชนควรสนใจ Cloud First Policy หรือไม่?

แม้ Cloud First Policy จะบังคับใช้กับหน่วยงานภาครัฐเป็นหลัก แต่ภาคเอกชนสามารถใช้กรอบมาตรฐานนี้ เป็นแนวทางในการเลือกผู้ให้บริการ Cloud ที่มีความน่าเชื่อถือ โดยเฉพาะองค์กรที่ให้บริการภาครัฐ หรืออยู่ในห่วงโซ่โครงสร้างพื้นฐานสำคัญ

Cloud First Policy กับความปลอดภัยคลาวด์สำหรับองค์กร

หนึ่งในหัวใจสำคัญของ Cloud First Policy คือการยกระดับความปลอดภัยคลาวด์สำหรับองค์กร โดยกำหนดมาตรฐานด้าน Cybersecurity และ Data Protectionเพื่อป้องกันความเสี่ยงจากภัยคุกคามทางไซเบอร์ และการรั่วไหลของข้อมูลสำคัญ

Cloud First Policy ของประเทศไทย เปรียบเทียบกับประเทศอื่นเป็นอย่างไร?

สำหรับนโยบาย Cloud First Policy ของประเทศไทยนั้น ไม่ได้เป็นการกำหนดมาตรฐานใหม่แต่อย่างใด เพราะในหลายประเทศก็ได้มีการกำหนดมาตรฐานดังกล่าวขึ้นมา อ้างอิงจากประกาศสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง กรอบการทำงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ (Thailand’s National Cloud Security Framework) ได้มีการศึกษาและเปรียบเทียบเอาไว้ดังรูปด้านล่าง
Cloud-6_005.png
ในที่นี้ผมขอยกตัวอย่างเปรียบเทียบกับของสหรัฐอเมริกาแล้ว โดยทางสหรัฐอเมริกาจะมี Federal Risk and Authorization Management Program หรือ FedRAMP (https://www.fedramp.org) ซึ่งเป็นข้อกำหนดที่ทางหน่วยงานภาครัฐของอเมริกาต้องปฎิบัติตาม และผู้ให้บริการคลาวด์จำเป็นต้องได้รับการรับรองก่อน จึงจะสามารถให้บริการได้โดยมีการตรวจสอบจากทาง FedRAMP เอง โดยมีการกำหนดมาตรฐาน NIST SP 800-53 และ NIST SP 800-144 เอาไว้ชัดเจน ซึ่งมาตรฐานดังกล่าวมักจะเป็นแนวทางอ้างอิงสำหรับมาตรฐานสากลอื่นๆ อีกทีหนึ่ง

Cloud-6_006.png

Cloud First Policy กับการเลือกใช้ Local Cloud, Regional Cloud และ Global Cloud

นโยบาย Cloud First Policy ของไทย เปิดโอกาสให้หน่วยงานเลือกใช้ทั้ง Local, Regional และ Global Cloud แต่ต้องผ่านการรับรองมาตรฐานด้านความมั่นคงปลอดภัย การเลือกผู้ให้บริการ Cloud ในประเทศ จึงช่วยลดความเสี่ยงด้านกฎหมายและ Data Residency

หากองค์กรของเราจะเลือกใช้งานผู้ให้บริการคลาวด์ ควรจะต้องพิจารณาจากอะไร?

หากดูจากนโยบาย “Cloud First Policy” ที่มีการกำหนดเอาไว้จากหน่วยงานภาครัฐ ถือว่าเป็นการกำหนดมาตรฐานสำหรับผู้ให้บริการคลาวด์ทั้งหมด ในฐานะผู้ใช้บริการคลาวด์สามารถแบ่งกลุ่มออกได้เป็น
  1. หน่วยงานหรือองค์กรภาครัฐที่อยู่ภายใต้ พรบ. ไซเบอร์ จะต้องเลือกใช้งานผู้ให้บริการคลาวด์ตามความสอดคล้องกับความสำคัญของข้อมูล
  2. หน่วยงานเอกชน สามารถเลือกใช้งานผู้ให้บริการคลาวด์ที่น่าเชื่อถือโดยอ้างอิงมาตรฐานคลาวด์ตามที่ สกมช. กำหนดได้ เพราะผู้ให้บริการต้องได้รับการรับรองตามข้อกำหนดตามนโยบาย “Cloud First Policy” อยู่แล้ว
โดยสามารถสรุปมาตรฐานที่เกี่ยวข้องได้ดังตารางด้านล่าง

ความสำคัญของข้อมูล มาตรฐานความมั่นคงปลอดภัยสำหรับผู้ให้บริการคลาวด์ มาตรฐานด้านความคุ้มครองข้อมูลส่วนบุคคลสำหรับผู้ให้บริการคลาวด์
ระดับต่ำ ISO/IEC 27001 และ CSA-STAR level 1 ไม่มีข้อกำหนด
ระดับกลาง CSA-STAR level 2 ISO/IEC 27701
ระดับสูง ISO/IEC 27017 หรือ CSA-STAR level 2 ISO/IEC 27701 และ ISO/IEC 27018
สำหรับมาตรฐาน CSA-STAR level 2 นั้น จะต้องได้รับการรับรองจาก ISO/IEC 27001 มาก่อน จึงจะสามารถขอการรับรองมาตรฐาน CSA-STAR level 2 ได้ ซึ่งมาตรฐานดังกล่าวถือว่าเป็นข้อกำหนดของผู้ให้บริการคลาวด์ในประเทศไทยที่ต้องปฎิบัติตาม หากผู้ให้บริการรายใดไม่ได้ปฏิบัติตามข้อกำหนดเหล่านี้ก็จะแข่งขันในตลาดของผู้ให้บริการคลาวด์ในประเทศไทยได้ยากนั่นเอง

องค์กรควรเตรียมตัวอย่างไร หากต้องปฏิบัติตาม Cloud First Policy

องค์กรควรเริ่มจากการประเมินประเภทข้อมูล เลือกระบบ Cloud ที่ผ่านมาตรฐานที่กำหนด และเลือกผู้ให้บริการ Cloud ที่มีประสบการณ์ ในการให้บริการองค์กรและหน่วยงานภาครัฐ

คำถามที่พบบ่อยเกี่ยวกับ Cloud First Policy

Q: Cloud First Policy คืออะไร?
A: Cloud First Policy คือแนวคิดที่กำหนดให้ภาครัฐพิจารณาใช้ Cloud เป็นทางเลือกแรก โดยต้องเป็น Cloud ที่ผ่านมาตรฐานความปลอดภัยที่กำหนด 
Q: เอกชนต้องทำตาม Cloud First Policy หรือไม่?
A: ไม่จำเป็น แต่สามารถใช้เป็นมาตรฐานกลางในการเลือกผู้ให้บริการ Cloud ที่น่าเชื่อถือได้

เอกสารอ้างอิง:
  • คลาวด์คอมพิวติ้ง (Cloud Computing) คืออะไร? แตกต่างกันบริการโฮสติ้ง หรือบริการอื่นๆ อย่างไร? https://www.ksc.net/th/km.aspx?id=21
  • เราจะการนำคลาวด์มาใช้ในองค์กรอย่างไรได้บ้าง? มีอะไรต้องคำนึงถึงบ้าง? https://www.ksc.net/th/km.aspx?id=22
  • คลาวด์คอมพิวติ้งแบบไหนที่เหมาะกับองค์กรของเรา? Local Cloud, Regional Cloud และ Global Cloud แตกต่างกันอย่างไร? แบบไหนถึงจะเหมาะสมกับเรา https://www.ksc.net/th/km.aspx?id=23
  • ถ้าองค์กรของเราจะเริ่มต้นใช้งานคลาวด์จะต้องเตรียมตัวอย่างไร? จะเริ่มต้นอย่างไรดี? https://www.ksc.net/th/km.aspx?id=24
  • Global Cloud เจ้าใหญ่ อย่าง Amazon AWS, Microsoft Azure หรือ Google Cloud Platform แตกต่างกันอย่างไร? ควรเลือกใช้งานเจ้าไหน? https://www.ksc.net/TH/km.aspx?id=25
  • Cloud First Policy ของประเทศไทย https://www.posttoday.com/smart-city/710511
  • นโยบายการใช้งานคลาวด์เป็นหลัก https://kb.dga.or.th/cloud/
  • Cloud First Policy https://www.dga.or.th/document-sharing/dga-news/113585/
  • งานสัมมนา NCSA Clinic, มาตรฐานคลาวด์บอกให้ประเมินและจัดระดับผลกระทบ สูง กลาง ต่ำ แล้วหน่วยงานจะทำอย่างไร โดย สำนักงานคณะกรรมการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)
  • ประกาศสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง กรอบการทำงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ (Thailand’s National Cloud Security Framework) ภาษาอังกฤษ
  • What is Cloud-First? ทำไมธุรกิจยุคใหม่ต้องรีบปรับก่อนจะตามไม่ทัน https://www.uih.co.th/th/what-is-cloud-first-for-modern-business/
TAGS: ITManagement CloudComputing CloudFirstPolicy

ABOUT THE AUTHOR

สัญชัย รุ่งเรืองชูสกุล

สัญชัย รุ่งเรืองชูสกุล

วิศวกรด้านไซเบอร์ซีเคียวริตี้และระบบปฏิบัติการ พร้อมทั้งการบริหารธุรกิจ ชอบคิดและเรียนรู้สิ่งใหม่ๆ ทั้งเรื่องไอที ท่องเที่ยว สุขภาพและการกิน