สารบัญ -...

คมอการปฏบตงาน การบรหารจดการระบบความมนคงปลอดภย

สารสนเทศ

เรอง การบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ เอกสารเลขท SP-ISM-M001-01 ฉบบท 1 แกไขครงท 0 วนทบงคบใช หนาท 01 ของ 15

สารบญ

หวขอ หนา ๑. วตถประสงค 2

๒. ผงกระบวนการทำงาน 3

๓. ขอบเขต รายละเอยดลกษณะงานและการปฏบตงาน 4

๔. หนาทและความรบผดชอบของบคลากร 5

๕. คำจำกดความ 6

๖. ขนตอนการปฏบตงาน 7

๗. กฎหมาย มาตรฐาน และเอกสารทเกยวของ 13

๘. การจดเกบและการเขาถงเอกสาร 13

๙. ระบบการตดตามและประเมนผล 14

10. ภาคผนวก ก. กระบวนการตรวจสอบตามมาตรฐานความมนคงปลอดภยสารสนเทศ 15 ข. การวเคราะหภาระงานของบคลากรในการรกษาความมนคงปลอดภยดานสารสนเทศ 16

เอกสารฉบบนเปนของกลมเทคโนโลยสารสนเทศ สำนกงานเลขานการกรม กรมสนบสนนบรการสขภาพ หามนำไปใชภายนอกหรอทำซำโดยไมไดรบอนญาต



เรอง การบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ เอกสารเลขท SP-ISM-M001-01 ฉบบท 1 แกไขครงท 0 วนทบงคบใช หนาท 02 ของ 15

1. วตถประสงค คมอปฏบตงานฉบบนจดทำขน เพอใชเปนแนวทางใหเจาหนาทผรบผดชอบปฏบตงานตามกระบวนการ

บรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ ในสงกดกรมสนบสนนบรการสขภาพ ปฏบตงานใหเปนไปตามมาตรฐานอยางเปนระบบเดยวกน และสอดคลองกบแนวทางมาตรฐานการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ในการเปนหนวยงานทมโครงสรางพนฐานสำคญทางสารสนเทศ (CII : Critical Information Infrastructure) ทส งผลกระทบตอประชาชนโดยตรง (Impact Security Risk and Economics Public Health) จากการเช อมโยงขอมล (Interconnected Information System) รวมทงการเปนหนวยงานหลกในการควบคม กำกบมาตรฐานสถานพยาบาล ดานท 9 การรกษาความมนคงปลอดภยไซเบอร จำเปนตองมความมนคงปลอดภยไซเบอรในระดบสงเพอคมครองประชาชนหรอประโยชนทสำคญของประเทศ




เรอง กระบวนการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ เอกสารเลขท SP-ISM-M001-01 ฉบบท 1 แกไขครงท 0 วนทบงคบใช หนาท 03 ของ 15

2. ผงกระบวนการ กระบวนการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ

ลำดบ กระบวนงาน รายละเอยด จดควบคมความเสยง

ระยะ เวลา (นาท)

ผรบ ผดชอบ

1 2 3

(ตอ)

- ศกษา วเคราะห รวบรวมขอมลทเกยวของ -รายงานผลการตรวจสอบจากการปฏบตงานภาคสนาม - จดทำแนวทางการดำเนนงาน - บรหารความเสยงดานเทคโนโลยสารสนเทศ - บรหารจดการตามแนวทางมาตรฐานฯ ทกำหนด -ประชมชแจงแนวทางในการรกษาความมนคงปลอดภยดานสารสนเทศ - ดำเนนงานตามแนวทางมาตรฐานฯ ทกรมสนบสนนบรการสขภาพกำหนด

1.1 การคดเชงวเคราะห 1.2 การคดเชงสรางสรรค 1.3 การคดเชงบรณาการ 1.4 การคดในภาพรวมเชงระบบ 2.1 คำสงแตงตงฯ 2.2 แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 2.3 นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ 2.4 แผนบรหารความสยงในสภาวะวกฤตดานสารสนเทศ 3.1 Gap Analysis 3.2 Gap Assessment 3.3 Risk Assessment 3.4 Risk Management

18,360.00

18,759.60

38,700.00

งานพฒนาระบบเทคโนโลยสารสนเทศ



ศกษา วเคราะห รวบรวม ขอมลสถานการณ

สภาพแวดลอม

จดทำแนวทางการบรหารจดการระบบความมนคงปลอดภย


ดำเนนการบรหารจดการระบบความ

มนคงปลอดภยสารสนเทศ


คมอการปฏบตงาน การบรหารจดการระบบความ



2. ผงกระบวนการ กระบวนการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ (ตอ)

ลำดบ กระบวนงาน รายละเอยด จดควบคมความเสยง

ระยะ เวลา (นาท)

ผรบ ผดชอบ

4

5

- ตดตามผลการดำเนนงานจากคณะทำงานฯ - รายงานผลใหคณะกรรมการอำนวยการ / อธบด ทราบ - Internal Audit by กลมตรวจสอบภายใน - External Audit by MSSP : ISMS Certification - สรปผลการดำเนนงาน

4.1 ตดตาม ตรวจสอบ แกไขตามขอกำหนดมาตรฐานฯ 4.2 ตดตามผลการดำเนนงานตามตวชวดทกำหนด (Process Indicators) 5.1 สรปผลการดำเนนงานตามตวชวดทกำหนด

3,528.00

1,764.00

งานพฒนาระบบ

เทคโนโลยสารสนเทศ


รวมระยะเวลา 81,111.60 นาท

๓. ขอบเขต รายละเอยดลกษณะงานและการปฏบตงาน 3.1 ศกษา วเคราะห รวบรวม ขอมลสถานการณสภาพแวดลอมของการเพมขดความสามารถในการสรางความ

เชอมนในการเขาถงขอมลดานระบบบรการสขภาพ ตามแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ ใน 14 ประเดน ตามมาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ ISO/IEC 27001 : 2013

3.2 จดทำแนวทางในการรกษาความมนคงปลอดภยสารสนเทศ เพอสรางความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ

3.2.1 คำสงแตงตงคณะกรรมการฯ /การพฒนาศกยภาพ /การวเคราะหเจาะระบบฯ 3.2.2 แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ 3.2.3 นโยบายและแนวปฏบตการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 3.2.4 แผนบรหารความตอเนองในสภาวะวกฤตดานสารสนเทศ กรมสนบสนนบรการสขภาพ

ตดตามผลการบรหารจดการระบบความมนคงปลอดภย


ประเมนผลการบรหารจดการระบบความมนคงปลอดภย






3.2.5 แนวทางการบรหารจดการความเสยงดานระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ 3.2.6 แนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001 : 2013

3.3 ขบเคลอนการสรางความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ 3.3.1 การประชม ชแจงแนวทางการบรหารจดการระบบความมนคปลอดภยสารสนเทศ 3.3.2 Gap Analysis /Gap Assessment/ Risk Assessment / Risk Management 3.3.3 ปรบปรงเอกสารทเกยวของการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 3.4 รายงานผล : การทบทวนนโยบายการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการ

สขภาพ กระทรวงสาธารณสข 3.4 ตดตามผลการสรางความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ (Process KPIs) 3.5 ประเมนผลการดำเนนงาน

3.5.1 Internal Audit by กลมตรวจสอบภายใน 3.5.2 External Audit by MSSP ISMS Certification 3.5.3 สรปผลการดำเนนงาน

๔. หนาทและความรบผดชอบของบคลากร 4.1 “ผบรหารระดบสงสด” (Chief Executive Officer : CEO) หมายความวา อธบดกรมสนบสนนบรการสขภาพ 4.2 “ผ บร หารเทคโนโลยสารสนเทศระดบกรม” (Department Chief Information Officer: DCIO) หมายความวา

รองอธบดหรอผซงไดรบมอบหมายใหรบผดชอบงานดานระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ 4.3 “ผอำนวยการกลมเทคโนโลยสารสนเทศ” หมายความวา ผกำกบนโยบายและแนวปฏบตในการรกษาความ

มนคงปลอดภยดานสารสนเทศ ใหผเกยวของทราบ เพอใหสามารถเขาถง เขาใจ และปฏบตตามนโยบายและแนวปฏบตดวยวธการใดวธการหนง ดวยหนงสอเวยนภายในองคกร ระบบเครอขายภายใน (Intranet) หนงสอเวยนอเลกทรอนกส หรอเวบไซตภายในและภายนอก กรมสนบสนนบรการสขภาพ

4.4 “คณะกรรมการ” หมายความวา คณะกรรมการในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ

4.5 “ผดแลระบบ” (System Administrator) หมายความวา บคลากรกรมสนบสนนบรการสขภาพผซงไดรบมอบหมายจากเจาของระบบ (System Owner) หรอจากผอำนวยการกลมเทคโนโลยสารสนเทศใหมหนาทรบผดชอบในการกำหนดสทธ ตรวจสอบสทธ ทบทวนสทธ และการบรหารจดการระบบคอมพวเตอรและระบบสารสนเทศ ของระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ

4.6 “เจาของระบบ” (System Owner) หมายความวา สำนก/กอง/กลม/กลมงาน/ศนย ทเปนผรบผดชอบในการพฒนาระบบคอมพวเตอร หรอ ระบบสารสนเทศ โดยมวตถประสงคเพอสนบสนนภารกจการปฏบตงานของหนวยงานใหเกดประสทธภาพ ตอกรมสนบสนนบรการสขภาพในภาพรวม หรอตามทอธบดใหดำเนนงาน หรอมหนาทอนมตสทธในการเขาถงระบบคอมพวเตอรและระบบสารสนเทศใหกบผใชงาน (User)

4.7 “ผใชงาน” (User) หมายความวา บคลากรกรมสนบสนนบรการสขภาพทกระดบ ซงเปนขาราชการ พนกงานราชการ ลกจางประจำ ลกจางชวคราว พนกงานจางเหมาและบคคลภายนอก ท ไดรบอนญาตใหใชเครองคอมพวเตอร ระบบเครอขายและโปรแกรมประยกตหรอแอพพลเคชนของ และ/หรอเกยวของกบการใชประโยชนจากระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ





5. คำจำกดความ 5.1 “สบส.” หมายความวา กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข 5.2 “นโยบาย” หมายความวา นโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศ ทเปนไป ตามพระราชบญญต

ทเกยวของ ดงตอไปน (1) พระราชบญญตวาดวยการกระทำความผดเกยวกบคอมพวเตอร พ.ศ. 2550 และทแกไขเพมเตม (2) พระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พ.ศ. 2562 (3) พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 (4) พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และและทแกไขเพมเตม (5) พระราชบญญตขอมลขาวสารของราชการ พ.ศ. 2540 (6) กฏหมายอนๆ ทงในและตางประเทศทเกยวของ

5.3 “แนวปฏบต” หมายความวา ขนตอน วธการหรอขอกำหนดใหผ ใชงาน (User) และผดแลระบบ (Administrator) รวมทงบคคลภายนอกทเกยวของกบระบบเทคโนโลยสารสนเทศ สบส. ไดถอปฏบตตามนโยบาย ขอ 3 (5)

5.4 “สทธของผใชงาน” หมายความวา สทธท วไป สทธจำเพาะ สทธพเศษ และสทธอ นใด ทเก ยวของกบระบบเทคโนโลยสารสนเทศของ สบส.

5.5 “สนทรพย” (asset) หมายความวา ฮารดแวร ซอฟทแวร ระบบเครอขายคอมพวเตอร ระบบคอมพวเตอร ระบบสารสนเทศ และขอมลสารสนเทศ หรอสงอนใดกตามทมคณคาสำหรบงานดานเทคโนโลยสารสนเทศของ สบส. ประกอบดวย

5.5.1 ฮารดแวร (Hardware) หมายความวา อปกรณคณลกษณะใกลเคยงอยางใด อยางหนงในตอไปน - เครองคอมพวเตอรแมขาย (Server) ทงแบบเครองแมขายปกต (Rack Server) และเครองแมขายแบบชด

(Blade Server) - เครองคอมพวเตอรลกขาย (Client) อนไดแก เครองคอมพวเตอร (PC) เครองคอมพวเตอรพกพา

(Laptop) อปกรณสอสารแบบพกพา (Tablet/Smart phone) รวมถงอปกรณสนบสนน เครองพมพ (printer/Scanner) และอปกรณสำรองขอมลของกรม สบส.

- อปกรณโครงขาย (Network) หรอ อปกรณรกษาความมนคงปลอดภย (Firewall) หรออปกรณสำหรบเชอมตอระบบสอสาร (Router, Switch, Access Point) หรออปกรณจดเกบบนทกการใชงาน (Log File)

5.5.2 โปรแกรมประยกตหรอแอพพลเคชน (Program or Operation System) หมายความวา ระบบคณลกษณะใกลเคยงอยางใดอยางหนงในตอไปน ระบบประเภท, System Software, Database Software, Software Tool และ Application Software ทใชงานรวมกบอปกรณในหวขอ Hardware

5.5.3 เครอขาย (Network and Communication) หมายความวา ระบบเทคโนโลยดานการสอสารโทรคมนาคม ของ สบส.

5.5.4 “ระบบสารสนเทศ” หมายความวา ระบบงานคอมพวเตอร เชน เวบไซต (Website) เวบพอรทล (Portal Web) จดหมายอเลกทรอนกส (e-Mail) ระบบสารบรรณอเลกทรอนกส เปนตน หรออปกรณเทคโนโลยสารสนเทศทไดรบการพฒนา หรอตดตง หรอการนำมาประบกตใช เพอสนบสนนการปฏบตงานของ สบส.

5.5.5 “ขอมลสารสนเทศ” หมายความวา ขอมล (Data) หรอ สารสนเทศ (Information) ทอยในรปของเอกสารอเลกทรอนกส เชน แฟมขอมล (Files) ฐานขอมล (Database) หรอเอกสารทมการแปลงใหอยในรปแบบอเลกทรอนกส (e-Document) เปนตน ของ สบส.





5.6 “พนทปฏบตงานทวไป” (General Working Area) หมายความวา พนทสำหรบการปฏบตงานภายใน สบส. ซงไดมการตดตงเครองคอมพวเตอรสวนบคคล เครองคอมพวเตอรลกขายเสมอน เครองคอมพวเตอรพกพา อปกรณตอพวงและเครอขายแบบมสาย (LAN) และไรสาย (Wireless)

5.7 “ศนยขอมลและสารสนเทศ” หมายความวา พนทท มความสำคญทกนแยกเฉพาะ เพอตดตงอปกรณในการประมวลผลขอมล (Process Devices) ระบบเครอขายคอมพวเตอร ระบบจดเกบขอมล ระบบรกษาความม นคงปลอดภย ระบบไฟฟา ระบบปรบอากาศและระบบปองกนอคคภย ซงทำงานตลอด 24 ชวโมงตอวน เพอใหบรการระบบคอมพวเตอร ระบบขอมลและระบบสารสนเทศแกผใชงาน ประกอบดวย

5.7.1 “ศนยกลางขอมล” (DC : Data Center) หมายความวา ศนยกลางขอมลและสารสนเทศ ของ สบส. ตงอยทชน 2 อาคาร สบส.

5.7.2 “ศนยสำรองขอมล” (DR Site : Disaster Recovery Site) หมายความวา ศนยกลางสำรองขอมลและสารสนเทศ ของ สบส. ตงอยท ศนยพฒนาการสาธารณสขมลฐานภาคกลาง จงหวดชลบร

5.7.3 “ศนยบรการแบบเบดเสรจ” (OSS” One Stop Service ) หมายความวา หนวยใหบรการขอมลดานระบบบรการสขภาพแบบเบดเสรจครบวงจร ณ จดเดยว ตามพระราชบญญตการบรหารงานและการใหบรการภาครฐผานระบบดจทล พ.ศ.2562 ตงอยทชน 1 อาคาร สบส.

5.7.4 “หองเซรฟเวอร” (Server Room) หมายความวา ศนยขอมลและสารสนเทศของ สบส. ตงอยทศนยสนบสนนบรการสขภาพ หรอ ศนยพฒนาการสาธารณสขมลฐาน ของ สบส. จำนวน 12 แหง

5.8 “เครอขาย” (Network System) หมายความวา ระบบเครอขายท เช อมโยงกบอปกรณในหวขอ Hardware, Software และระบบเทคโนโลยสารสนเทศของ สบส. ทงแบบใชสายและไรสาย

5.9 “ระบบงาน” หมายความวา ระบบฐานขอมลทสนบสนนการดำเนนงานของ สบส. 5.9.1 งานคมครองผบรโภคดานระบบบรการสขภาพ 5.9.2 งานสนบสนนการบรหารจดการและกำกบมาตรฐานระบบบรการสขภาพ 5.9.3 งานวศวกรรมการแพทยและเครองมอแพทย 5.9.4 งานแบบมาตรฐานอาคารดานระบบบรการสขภาพ 5.9.5 งานการมสวนรวมภาคประชาชน

5.9.5.1 งานสขศกษา 5.9.5.2 งานสนบสนนสขภาพภาคประชาชน

5.9.6 “การเขาถงหรอควบคมการใชงานสารสนเทศ” หมายความวา การอนญาต การกำหนดสทธหรอการมอบอำนาจใหผใชงาน เขาถงหรอใชงานเครอขายหรอระบบสารสนเทศทงทางอเลกทรอนกสและทางกายภาพ รวมทงการอนญาตเชนวานนสำหรบบคคลภายนอก ตลอดจนอาจกำหนดแนวปฏบตเกยวกบการเขาถงโดยมชอบเอาไวดวย

6. ขนตอนการปฏบตงาน ตามมต คณะกรรมการเทคโนโลยสารสนเทศ (ICT) กรมสนบสนนบรการสขภาพ พ.ศ. 2557 ไดกำหนดให

กรมสนบสนนบรการสขภาพผานเกณฑประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 เพอใหการดำเนนงานมประสทธภาพ และเกดประสทธผลตามเปาหมายทกำหนดตามยทธศาสตร การเตรยมความพรอม ใน 5 ขนตอน ดงน

ขนตอนท 1 หมายถง การทบทวน กำหนด รายละเอยด ขนตอนของการดำเนนงาน ขนตอนท 2 หมายถง การทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด ขนตอนท 3 หมายถง การวเคราะห หาสาเหต โดยการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013





ขนตอนท 4 หมายถง การดำเนนงานตามมาตรฐาน ISO/IEC 27001 : 2013 ขนตอนท 5 หมายถง การควบคม ตดตาม ปรบปรงอยางตอเนอง

ขนตอนท 1 หมายถง การทบทวน กำหนด รายละเอยด ขนตอนของการดำเนนงาน 1.1 ทบทวนมาตรการ กำหนดขอบเขตการทำงาน (Scope)(1)

1.1.1 กำหนดขอบเขตการดำเนนงาน Server & Network (HSS Net) ซงประกอบดวย 1) กระบวนการทำงาน (Process) 2) ขอมลและสารสนเทศ (Information) 3) ฮารดแวร (Hardware) 4) การบรหารจดการทรพยสน (Asset management) 5) ซอฟตแวร (Software) 6) เครอขายคอมพวเตอร (Network) 7) เครองแมขายเสมอน (Virtual Machine) 8) บคลากร (Personnel) 9) สถานทและระบบสนบสนน (Site)

1.1.2 ภายนอกขอบเขต Server & Network (HSS Net) 1) ระบบงาน ทไมเกยวของกบระบบงานของกรมสนบสนนบรการสขภาพ (HSS Net) 2) เครอขายคอมพวเตอรระหวางผใชบรการทไมเกยวของกบระบบงานของกรมสนบสนน

บรการสขภาพทกำกบดแลโดยผใหบรการภายนอกองคกร 1.2 ดำเนนการจดตงคณะทำงาน IT Security Steering หรอ IT Security Working Group ซงตองมการทบทวน

ทกปเพราะมการเปลยนแปลงโครงสรางองคกร และประชมชแจงแนวทางการดำเนนงานใหบคลากรทกระดบทราบ 1.3 ศกษามาตรฐาน ISO/IEC 27001: 2013 อยางละเอยดทบทวนและปรบปรงแกไขนโยบายการ

บรหารจดการระบบความมนคงปลอดภยสารสนเทศ ประกอบดวย มาตรการควบคม 14 หวขอ 1.3.1 นโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (Information security policies) 1.3.2 โครงสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศขององคกร (Organization of

information security) 1.3.3 ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทเกยวของกบบคลากร (Human resource security) 1.3.4 การบรหารจดการทรพยสน (Asset management) 1.3.5 การควบคมการเขาถง (Access control) 1.3.6 การเขารหสขอมล (Cryptography) 1.3.7 ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทางกายภาพและสงแวดลอม (Physical

and environmental security) 1.3.8 การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศดานการดำเนนการ (Operations security) 1.3.9 ความมนคงปลอดภยทางดานการสอสาร (Communications security) 1.3.10 การจดหา การพฒนา และการบำรงรกษาระบบ (System acquisition, development

and maintenance) 1.3.11 ความสมพนธกบผใหบรการภายนอก (Supplier relationships)





1.3.12 การบรหารจดการเหตการณความมนคงปลอดภยสนเทศ (Information security incident management)

1.3.13 ประเดนดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศของการบรหารจดการเพอสรางความตอเนองทางธรกจ (Information security aspects of business continuity management)

1.3.14 การปฏบตตามขอกำหนด (Compliance) 1.4 วเคราะหองคกร ในประเดนการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Gap Analysis)

เพอดำเนนการขบเคลอนนโยบายการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ไดมประสทธภาพ 1.5 จดทำแผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนน

บรการสขภาพ 1.6 จดทำนโยบายและแนวปฏบตการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนน

บรการสขภาพ 1.7 จดทำแผนบรหารความตอเนองในสภาวะวกฤตดานสารสนเทศ กรมสนบสนนบรการสขภาพ 1.8 ทบทวนนโยบายการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

ขนตอนท 2 หมายถง การทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด 2.1 การพฒนาองคกรดานความม นคงปลอดภยสารสนเทศใหรองรบการตรวจประเมนระบบดวยมาตรฐาน

ISO/IEC 27001 : 2013 ใหรองรบการตรวจประเมนตามเกณฑมาตรฐาน มแนวทางการดำเนนงาน 2.1.1 บรหารจดการระบบความมนคงปลอดภยสารสนเทศ: ISO/IEC 27001 : 2013 ประกอบดวย 14

ขอกำหนด (Control Area) 34 ขอควบคม (Control Objectives) และ 114 มาตรการควบคม (Control Points) 2.1.2 พฒนาระบบบำรงรกษา

(1) ครภณฑคอมพวเตอร (Hardware / Software) (2) ครภณฑระบบเครอขายคอมพวเตอร (Computer System Network) (3) ครภณฑโครงขายเทคโนโลยการสอสาร (Communication Network) (4) อปกรณจดเกบขอมล (Data Storage Devices) ไดแก

(4.1) สอเกบขอมลแบบจานแมเหลก (Magnetic Disk Device) เชน Hard disk (4.2) สอเกบขอมลชนดแสง (Optical Storage Devices) เชน CD Rom, CD-R, CD-

RW, DVD Rom, DVD-R, DVD-RW (4.3) สอเกบขอมลแบบเทป (Tape Devices) (4.4) หนวยความจำแบบแฟลช (Flash Memory) (4.5) อปกรณจดเกบขอมลชนดพกพา (External Hard disk) (4.6) อปกรณจดเกบขอมลชนดพกพาทไมมจานหมน (Solid-State Drive)

(5) เซรฟเวอร (Server) (5.1) File Server จดเกบไฟลแบบรวมศนย : Centralized Disk Storage (5.2) Print Server สำหรบ Printer ราคาแพงบางรน (5.3) Database Server เพอจดการฐานขอมล (Database Management System) (5.4) Application Server เพอจดการโปรแกรมประยกต เชน Mail Server, Proxy

Server หรอ Web Server





2.1.3 ระบบทำลายขอมลจากอปกรณจดเกบขอมลของสวนราชการตามมาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ

2.1.4 บรหารจดการความเสยงดานการรกษาความมนคงปลอดภยไซเบอรเพอใหการรกษาความมนคงปลอดภยไซเบอรมประสทธภาพและเพอใหมมาตรการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอรอนกระทบตอความมนคงของรฐและความสงบเรยบรอยภายในประเทศ ซงการตราพระราชบญญตนสอดคลองกบเงอนไขทบญญตไวในมาตรา ๒๖ ของรฐธรรมนญแหงราชอาณาจกรไทยแลว ในประเดนตอไปน

(1) กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร รวมทงกำหนดมาตรการในการประเมนความเสยง การตอบสนองและรบมอกบภยคกคามทางไซเบอร

(2) กำหนดหนาท ของหนวยงานโครงสรางพ นฐานสำคญทางสารสนเทศ (CII) และหนาท ของหนวยงานควบคมหรอกำกบดแล

(3) กำหนดระดบของภยคกคามทางไซเบอร พรอมทงรายละเอยดของมาตรการปองกน รบมอ (4) วเคราะหสถานการณ และประเมนผลกระทบจากภยคกคามทางไซเบอร (5) กำหนดมาตรการจดการความเสยงจากภยคกคามไซเบอร ตามพระราชบญญตความมนคง

ปลอดภยไซเบอร พ.ศ.2562 (5.1) การระบความเสยงทอาจจะเกดขนแกคอมพวเตอร ขอมลคอมพวเตอร ระบบคอมพวเตอร

ขอมลอนทเกยวของกบระบบคอมพวเตอร ทรพยสนและชวตรางกายของบคคล (5.2) มาตรการปองกนความเสยงทอาจจะเกดขน (5.3) มาตรการตรวจสอบและเฝาระวงภยคกคามทางไซเบอร (5.4) มาตรการเผชญเหตเมอมการตรวจพบภยคกคามทางไซเบอร (5.5) มาตรการรกษาและฟนฟความเสยหายทเกดจากภยคกคามทางไซเบอร

2.1.5 บรหารจดการความเสยงดานการคมครองขอมลสวนบคคล เพอการคมครองขอมลสวนบคคลมประสทธภาพและเพอใหมมาตรการเยยวยาเจาของขอมลสวนบคคลจากการถกละเมดสทธในขอมลสวนบคคลทมประสทธภาพ ตามพระราชบญญตคมครองขอมลสวนบคคล พ.ศ.2562

(1) กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการคมครองขอมลสวนบคคล รวมทงกำหนดมาตรการในการประเมนความเสยงทเกยวของกบขอมลสวนบคคล

(2) กำหนดหนาทของหนวยงานทมหนาทควบคม กำกบ ขอมลสวนบคคล (3) กำหนดระดบของขอมลสวนบคคล พรอมทงรายละเอยดของมาตรการปองกนขอมลสวนบคคล (4) วเคราะหสถานการณ และประเมนผลกระทบทเกยวของกบขอมลสวนบคคล (5) กำหนดมาตรการจดการความเสยงดานการคมครองขอมลสวนบคคล

(5.1) มาตรการปองกนความเสยงทอาจจะเกดขน (5.2) มาตรการตรวจสอบและเฝาระวงการละเมดขอมลสวนบคคล (5.3) มาตรการเผชญเหตเมอมการตรวจพบการละเมดขอมลสวนบคคล (5.4) มาตรการรกษาและฟนฟความเสยหายทเกดจากการละเมดขอมลสวนบคคล

2.1.6 การบรณาการโครงสรางพนฐานเทคโนโลยสารสนเทศดานระบบบรการสขภาพ (1) จดหา ซอ เชาครภณฑเทคโนโลยสารสนเทศ (ทดแทน /จดหา) Software ลขสทธ พรอม

ครภณฑคอมพวเตอรทดแทน





(2) พฒนาเครอขายคอมพวเตอร โครงขายการสอสาร และการเชอมโยงขอมลของศนยขอมลดานระบบบรการสขภาพตามเขตบรการสขภาพ (Health Care Sectors)

2.2 การพฒนาทกษะ องคความรดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) สำหรบบคลากร กรมสนบสนนบรการสขภาพ

2.2.1 การพฒนาศกยภาพบคลากรขนพนฐาน (Digital Government Capacity Building) (1) การพฒนาศกยภาพดานการใชระบบเครอขายคอมพวเตอร (2) การพฒนาศกยภาพดานการใชโครงขายเทคโนโลยการสอสาร (3) การพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) (3) การพฒนาทกษะความรและสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศ

สำหรบผใชงาน (User Awareness in Cyber Security) 2.2.2 การพฒนาศกยภาพดานความมนคงปลอดภยสารสนเทศ ชนสง

(1) การบรหารจดการระบบคอมพวเตอร (System Administrator) (2) การบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator) (3) การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber Security Administrator)

(3.1) การรกษาความปลอดภยดานกายภาพ (Physical Security) (3.2) การรกษาความปลอดภยดานการสอสาร (Communication Security) (3.3) การรกษาความปลอดภยการแผรงส (Emission Security) (3.4) การรกษาความปลอดภยคอมพวเตอร (Computer Security) (3.5) การรกษาความปลอดภยเครอขาย (Network Security) (3.6) การรกษาความปลอดภยขอมล (Information Security)

2.2.3 การพฒนาศกยภาพบคลากรเฉพาะทางดานความมนคงปลอดภยสารสนเทศ (1) ผบรหารเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร (2) ผเชยวชาญและจดการเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร (3) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ (4) ผตรวจสอบสภาพแวดลอมภยคกคามไซเบอร (5) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ (6) นกทดสอบชองโหวและภยคกคามระบบเทคโนโลยสารสนเทศ

- การตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบ ชองโหว Vulnerability Assessment (Web Application Hacking)

- การเจาะระบบ (Penetration Testing) (7) นกวจยและวเคราะหงานเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร

(3.2) สนบสนนการผานการประเมนดานความมนคงปลอดภยสารสนเทศ เชน ISEC : Information Security Expert Certification, CISSP : Certified Information System Security Professional, CISA, CASP, CISM, CSX เปนตน





2.3 จดหา/จดจางผเชยวชาญดานความมนคงปลอดภยสารสนเทศ /เสนอขอกรอบอตรากำลง/จดสรรอตรากำลงทดแทนและกำหนดเสนทางความกาวหนาในวชาชพ

2.3.1 เสนอขออนมตจดจางผเชยวชาญภายนอก (1) ดานการบรหารจดการระบบคอมพวเตอร (Computer System Administrator) (2) ดานการบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator) (3) ดานการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber Security Administrator)

2.3.2 เสนอกรอบอตรากำลงบคลากรดานความมนคงปลอดภยสารสนเทศ (1) เสนอโครงสรางบคลากรดานความมนคงปลอดภยสารสนเทศ (2) เสนอขอจดสรร/ทดแทน อตรากำลง ผเชยวชาญดานความมนคงปลอดภยสารสนเทศ (3) กำหนดเสนทางความกาวหนาในวชาชพสายความมนคงปลอดภยสารสนเทศ

ขนตอนท 3 หมายถง การวเคราะห หาสาเหต โดยการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 3.1 การวเคราะหชองวางมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Gap Assessment) พบวา

กรมสนบสนนบรการสขภาพ มความพรอมรองรบตามมาตรฐาน ISO/IEC 27001 : 2013 3.2 การวเคราะหความเสยง (Risk Assessment)

3.2.1 การวเคราะหความเสยงดานความมนคงปลอดภยสารสนเทศ 3.2.2 การวเคราะหความเสยงดานความมนคงปลอดภยไซเบอร 3.2.3 การวเคราะหความเสยงดานการคมครองขอมลสวนบคคล

3.3 วางแผนปองกนความเสยง (Risk Management) 3.3.1 การวางแผนปองกนความเสยงดานความมนคงปลอดภยสารสนเทศ 3.2.2 การวางแผนปองกนความเสยงดานความมนคงปลอดภยไซเบอร 3.2.3 การวางแผนปองกนความเสยงดานการคมครองขอมลสวนบคคล

3.4 จดทำรายงานและนำเสนอตอ Board of Director เพอผบรหารระดบสงเขาใจในปญหาทเกดขน และดำเนนการแกไขขอบกพรองจากการทองคกรยงไมไดปฏบตตามมาตรฐานฯ ดงกลาวอยางเปนรปธรรม (Corrective Action)

3.5 กลมตรวจสอบภายในดำเนนการตรวจสอบ (Pre-Assessment) ระดบ Internal Auditor

ขนตอนท 4 หมายถง การดำเนนการตามมาตรฐาน ISO/IEC 27001 : 2013 ในปงบประมาณ พ.ศ. 2563 4.1 ประเมนระบบความมนคงปลอดภยสารสนเทศในภาพรวม (Gap Analysis Holistic Approach) ดวย

การนำเสนอ Gap Analysis Report ใน 3 มมมอง 4.1.1 มมมองดานบคลากร (People) 4.1.2 มมมองดานกระบวนการ (Process) 4.1.3 มมมองดานเทคโนโลย (Technology)

4.2 ประเมนและปรบปรงความเสยง (Risk Assessment) 4.3 ควบคมตามแผนทไดกำหนดไว (Re Assessment & Control) เชน Vulnerability Assessment,

Penetration Testing, Hardening เปนตน 4.4 จดทำเอกสารรองรบการประเมน ในรปแบบ Statement of Applicability (SOA)

เพอรองรบการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013





ขนตอนท 5 หมายถง การควบคม ตดตาม ปรบปรงอยางตอเนอง 5.1 ควบคม กำกบ (Control) สอบทาน (Review) และการเฝาระวง (Monitor) เตรยมพรอมรองรบการ

ตรวจประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามแนวทางการบรหารจดการความเสยง (Risk Management) 5.1.1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 5.1.2 การจดการความรดานความมนคงปลอดภยสารสนเทศ

5.2 ดำเนนการตรวจประเมน ครงท 1 (Assessment) โดย External Auditor ดวยการ Outsource ไปยง Manage Security Service Provider หรอ MSSP ทถอเปนการ “Transfer Risk”

5.3 สรปรายงานผลการดำเนนงานการพฒนา / ตดตาม / ประเมนผลตามตวชวดทกำหนด 5.4 ควบคม กำกบ (Control) สอบทาน (Review) และการเฝาระวง (Monitor) เตรยมพรอมรองรบการ

ตรวจประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามแนวทางการบรหารจดการความเสยง (Risk Management) 5.4.1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 5.4.2 การจดการความรดานความมนคงปลอดภยสารสนเทศ

5.5 ดำเนนการตรวจประเมน ครงท 2 (Re - Assessment) โดย External Auditor ทก 3 ป

7. กฎหมาย มาตรฐาน และเอกสารทเกยวของ 7.1 พระราชบญญตการบรหารงานและการใหบรการภาครฐผานระบบดจทล พ.ศ. 2562 7.2 ประกาศกระทรวงสาธารณสข เรอง การกำหนดลกษณะของสถานพยาบาลและมาตรฐานซงไดรบการยกเวนไมตอง

อยในบงคบกฎหมายวาดวยสถานพยาบาล (ฉบบท 2) ในมาตรา 5 วรรคสอง แหงพระราชบญญตสถานพยาบาล พ.ศ.2541 ซงแกไขเพมเตมโดยพระราชบญญตสถานพยาบาล (ฉบบท 4) พ.ศ. 2559

7.3 พระราชบญญตวาดวยการกระทำความผดเกยวกบคอมพวเตอร พ.ศ. 2550 7.4 พระราชบญญตความมนคงปลอดภยไซเบอร พ.ศ.2562 7.5 พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 7.6 พระราชบญญตวาดวยธรกรรมอเลกทรอนกส พ.ศ. 2553 และทแกไขเพมเตม 7.7 พระราชบญญตขอมลขาวสารของทางราชการ พ.ศ. 2540 และทแกไขเพมเตม 7.8 กฎหมายอนๆ ทเกยวของกบภารกจของกรมสนบสนนบรการสขภาพ

8. การจดเกบและเขาถงเอกสาร 8.1 การจดเกบ

ชอเอกสาร สถานทเกบ ผรบผดชอบ ระยะเวลา 1.คำสงคณะกรรมการอำนวยการและคณะทำงานในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ


งานบรหารจดการระบบความมนคงปลอดภยสารสนเทศ

10 ป





8. การจดเกบและเขาถงเอกสาร 8.1 การจดเกบ (ตอ)

ชอเอกสาร สถานทเกบ ผรบผดชอบ ระยะเวลา 2. แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ



10 ป

3. นโยบายและแนวปฏบตในการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ



10 ป

4 .แผนบรหารความตอเนองในสภาวะวกฤตดานสารสนเทศ กรมสนบสนนบรการสขภาพ



10 ป

5. ผลการทบทวนนโยบายการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ



10 ป

6. ผลการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศ



10 ป

8.2 ผมสทธเขาถง 8.2.1 คณะกรรมการอำนวยการและคณะทำงานในการรกษาความมนคงปลอดภยดานสารสนเทศ

กรมสนบสนนบรการสขภาพ 8.2.2 ผเกยวของกบการดำเนนงานในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ

ทขอเขาถงเอกสารฯ ดงกลาว

9. ระบบการตดตามและประเมนผล

9.1 มการตดตาม ประเมนผลการดำเนนงาน โดย เลขานการคณะทำงาน/เลขานการคณะกรรมการอำนวยการ ในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ

9.2 รอยละ 80 ของความสำเรจในการดำเนนงาน สามารถปฏบตงานไดตามขนตอนของคมอการปฏบตงาน การบรหารจดการระบบความมนคงปลอดภยสารสนเทศไดอยางถกตอง

9.3 กลวธการเขาถง 9.3.1 ผบรหาร/ผรบผดชอบใหความสำคญและเขาใจในการดำเนนงานตามขนตอนของคมอ 9.3.2 เผยแพรคมอ ใหผเกยวของทราบ





10. ภาคผนวก 10.1 แผนภาพแสดง: แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ

กรมสนบสนนบรการสขภาพ 10.2 การวเคราะหภาระงานของบคลากรในการรกษาความมนคงปลอดภยดานสารสนเทศ

ตวเลข หนวย ตวเลข หนวย ขรก. พรก. ลจป.

ล ำดบแนวทำงกำรรกษำควำมมนคงปลอดภย

สำรสนเทศ

กรอบอตรำก ำลงท

เหมำะสมในกำร

ปฏบตงำน

ภำคผนวก ข. กำรวเครำะหภำระงำนของบคลำกรในกำรรกษำควำมมนคงปลอดภยดำนสำรสนเทศ

กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. ................

ประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ.

............หนวยนบ

ระยะเวลำในกำรท ำงำนและขนตอนระยะเวลำในกำร

ท ำงำน

ตอ ๑ หนวยนบ

(นำท)

ผลงำน/ปรมำณงำน

ป ............ อตร ำลงท

ค ำนวณได

บคลำกรทเกยวของในงำน (X)

สารบัญ -...

Documents