การประชุมคณะท...
TRANSCRIPT
http://ict.hss.moph.go.th
การประชมคณะท างานรกษาความมนคงปลอดภยสารสนเทศกรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข
วนท 6 สงหาคม พ.ศ.2562
ระเบยบวาระการประชม01 ประธานแจงใหทประชมทราบ
03 เรองเพอทราบ
04 เรองสบเนอง
05 เรองเพอพจารณา
02 เรองรบรองรายงานการประชม
ระเบยบวาระท 1 :
01 ประธานแจงใหทประชมทราบแนะน าทมด าเนนการพฒนาศกยภาพและยกระดบ
ความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ
: บรษท เอเชยน อนเทลลเจนท อนฟอรเมชน เทคโนโลย จ ากด
ระเบยบวาระท 2 :
02 เรองรบรองรายงานการประชม
สรปรายงานการประชมคณะท างานรกษาความมนคงปลอดภยสารสนเทศ
กรมสนบสนนบรการสขภาพ ครงท 1/2562
ระเบยบวาระท 3 :
03 เรองเพอทราบ3.1 ค าสงกรมสนบสนนบรการสขภาพ เรองแตงตงคณะกรรมการอ านวยการและคณะท างานรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ (เพมเตม)
3.2 ค าสงคณะท างานก าหนดมาตรฐานความมนคงปลอดภยสารสนเทศ ส าหรบสถานพยาบาลภาครฐและเอกชน กรมสนบสนนบรการสขภาพ
- (ราง) แบบประเมนตนเอง
กรมสนบสนนบรการสขภาพ
พรบ.สถานพยาบาลมาตรา 5
“มาตรา ๕ พระราชบญญตนมใหใชบงคบแกสถานพยาบาลซงด าเนนการโดยกระทรวง ทบวง กรม องคกรปกครองสวนทองถน รฐวสาหกจ สถาบนการศกษาของรฐ หนวยงานอนของรฐ สภากาชาดไทย และสถานพยาบาลอน ซงรฐมนตรประกาศก าหนด สถานพยาบาลทไดรบยกเวนตามวรรคหนง ตองมลกษณะของสถานพยาบาลและมาตรฐาน ตามหลกเกณฑ วธการ และเงอนไขทรฐมนตรประกาศก าหนด โดยค าแนะน าของคณะกรรมการ เวนแต สถานพยาบาลทผานการรบรองคณภาพจากหนวยงานซงผอนญาตก าหนด เพอประโยชนแหงการคมครองผบรโภคดานระบบบรการสขภาพ ใหรฐมนตรโดยค าแนะน า ของคณะกรรมการแจงใหสถานพยาบาลตามวรรคหนงซงไมปฏบตตามหลกเกณฑ วธการ และเงอนไข ตามวรรคสอง ด าเนนการปรบปรงหรอแกไขภายในระยะเวลาทก าหนด”
ส านกสถานพยาบาลและการประกอบโรคศลปะ
ประกาศกระทรวงสาธารณสขเรอง การก าหนดลกษณะของสถานพยาบาลและมาตรฐานซงไดรบการยกเวนไมตองอยในบงคบตามกฎหมายวาดวยสถานพยาบาล (วนท 20 มนาคม พ.ศ.2561)ขอ 5 ใหสถานพยาบาลมลกษณะโดยทวไปและลกษณะการใหบรการ ดงตอไปน (1) มความปลอดภย มความสะดวก และเหมาะสมตอผใหบรการและผรบบรการ
ในการ ประกอบวชาชพตามประเภทและสาขานน ๆ (2) ตองปฏบตใหเปนไปตามกฎหมายวาดวยควบคมอาคาร(3) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสาธารณสข(4) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการผงเมอง (5) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสงเสรมและรกษาคณภาพสงแวดลอม (6) ตองปฏบตใหเปนไปตามกฎหมายอนทเกยวของ (7) ตองปฏบตใหเปนไปตามพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร
พระราชบญญตสถานพยาบาล (ฉบบท 4 พ.ศ.2559)
1.มาตรฐานระบบการจดการคณภาพและความปลอดภยดานอาคาร สภาพแวดลอม2.มาตรฐานงานสขศกษา3.เครองมอแพทยในโรงพยาบาล4.มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ
กรมสนบสนนบรการสขภาพ
1.พรบ.สถานพยาบาลมาตรา 52.ประกาศกระทรวงสาธารณสข
ส านกสถานพยาบาลและการประกอบโรคศลปะ
กองกฏหมาย
กองแบบแผนกองวศวกรรมการแพทยกองสขศกษาเทคโนโลยสารสนเทศ
มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ
กลมเทคโนโลยสารสนเทศกรมสนบสนนบรการสขภาพ
รพ ภาครฐ
รพ เอกชน/คลนก
ควบคมก ากบมาตรฐาน
ปรบปรงประกาศกระทรวง
มาตรฐาน
กฏหมายแนวทางการก าหนดมาตรฐานความมนคงปลอดภยเทคโนโลยสารสนเทศส าหรบ โรงพยาบาลภาครฐและเอกชน
Regu
lato
r
Operator
กรมสนบสนนบรการสขภาพ
สถานพยาบาล
ม.44, 45,46,52ม.54ม.56,57ม.58
Regulator Operator
ม.44,45,46,52ม.53ม.56,57ม.59
มาตราทเกยวของ
ม.73,ม.77,ม.49(7) ดานสาธารณสขบท
ลงโทษ
มาตรา 53 (หนวยงานควบคมหรอก ากบ ดแล )•ตรวจสอบมาตรฐานขนต า•สงใหแกไข •รายงาน กกม. (ถาเพกเฉย)
มาตรา 54 (หนวยงานโครงสรางพนฐาน)•ประเมนความเสยง•ตรวจสอบดานความมนคงปลอดภยไซเบอรอยางนอยปละหนงครง
โครงสรางพนฐานส าคญทางสารสนเทศ
: Critical Information Infrastructure (CII)
หนวยงานเฝาระวง ตดตาม ตรวจสอบ เผชญเหต - Health CERT- ICS-CERT- National Health-ISAC
- หนวยงานตรวจประเมนความเสยงระบบ (Audit) - ประมวลแนวทางปฏบต (ตามแผนชาต)
ประมวลแนวทางปฏบต/ตรวจสอบการปฏบต แผนรบมอ : COBIT/ISO27001/NIST
คณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต (กมช.) อ านาจหนาท มาตรา 9
คณะกรรมการก ากบดแลดานความมนคงปลอดภยไซเบอร (กกม.) อ านาจหนาท มาตรา 11
คณะกรรมการบรหารส านกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอร(กบส.)ส านกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต อ านาจหนาท มาตรา 22
CSO → กลมงานความมนคงปลอดภยสารสนเทศ ฯ
การระบIDENTIFY
มาตรการ
ID.AM : Asset Management ID.BE : Business EnvironmentID.GV : GovernanceID.RA : Risk Assessment ID.RM : Risk Management Strategy ID.SC : Supply Chain Risk Management
หนวยงานตองท าการระบวา กระบวนการด าเนนงานและทรพยสนสารสนเทศใดบางทมความเสยงตอการถกโจมตทางไซเบอร และตองไดรบการรกษาความมนคงปลอดภย เพอบรหารจดการความเสยงดานภยคกคามทางไซเบอรทมตอ ระบบ ทรพยสน ขอมล ของหนวยงานไดอยางเหมาะสม
Framework for ImprovingCritical Infrastructure Cybersecurity
การปองกนPROTECT
มาตรการ
PR.AC : Identity Management and Access Control PR.AT : Awareness and Training PR.DS : Data Security PR.IP : Information Protection Processes and Procedures PR.MA: MaintenancePR.PT : Protective Technology
หนวยงานตองมมาตรการปองกนทเหมาะสมเพอจ ากดผลกระทบของเหตการณภยคกคามไซเบอร ซงครอบคลมถง เรองการควบคมการเขาถง การฝกอบรมและการสรางความตระหนกใหแกเจาหนาทและผทเกยวของ ความปลอดภยของ ขอมล และมาตรการดานความมนคงปลอดภยตาง ๆ ทงกระบวนการและวธปฏบต ตลอดจนเทคโนโลย นอกจากน หนวยงานตองท าการบ ารงรกษาอปกรณและซอฟตแวรทเกยวของกบระบบอเลกทรอนกสอยางสม าเสมอเพอใหสามารถ รองรบการด าเนนงานไดอยางตอเนอง รวมทงการเปลยนแปลงแกไข Patch หรอ Update software
Framework for ImprovingCritical Infrastructure Cybersecurity
การตรวจจบDETECT
มาตรการ
DE.AE : Anomalies and Events DE.CM : Security Continuous Monitoring DE.DP : Detection Processes
หนวยงานตองมกระบวนการตดตามเฝาระวง และตรวจจบเหตการณภยคกคามทางไซเบอรอยางตอเนอง และแจงเตอนถงสงทผดปกตตางๆ รวมถงการตดตามเหตการณภยคกคามทางไซเบอรทเกดขนจากทงภายในและภายนอก วเคราะหจดออนหรอชองโหวของภยคกคามทเกดขน เพอเปนขอมลประกอบในการพจารณาทบทวนแนวทางการปองกน ความเสยงและผลกระทบทจะเกดขนกบหนวยงานในอนาคต
Framework for ImprovingCritical Infrastructure Cybersecurity
ดานการรบมอภยคกคาม(Response)
RS.RP : Response Planning มการก าหนดมาตรการและกระบวนการรบมอภยคกคามไซเบอรททนทวงท
RS.CO : Communications มความรวมมอกบหนวยงานทเกยวของทงภายในและภายนอกเกยวกบแผนรบมอภยคกคามไซเบอร
RS.AN : Analysis มการวเคราะหสาเหตภยคกคามหรอตรวจพสจนพยานหลกฐานดจทลRS.MI : Mitigation มมาตรการปองกนการลกลามของภยคกคามRS.IM : Improvements มการทดสอบ ปรบปรงกลยทธและแผนรบมอภยคกคามไซเบอรอยางสม าเสมอ
มาตรการ
Framework for ImprovingCritical Infrastructure Cybersecurity
การกคนขอมลและระบบหลงเหตภยคกคามไซเบอร(Recover)
RC.RP : Recovery Planning มแผนการกคนระบบทงระหวางเกดเหตและหลงเกดเหตภยคกคาม
RC.IM : Improvements มการปรบปรงกลยทธและแผนการกคนอยางสม าเสมอ
RC.CO : Communications มการสอสารใหผบรหารและผทเกยวของทราบภายในองคกรใหทราบถงกระบวนการกคนขอมลหลงเกดเหตภยคกคามไซเบอร
มาตรการ
Framework for ImprovingCritical Infrastructure Cybersecurity
ใหหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแลและหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศจดท าประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอรของแตละหนวยงานใหสอดคลองกบนโยบายและแผนวาดวยการรกษาความมนคงปลอดภยโดยเรว
(๑) แผนการตรวจสอบและประเมนความเสยงดานการรกษาความมนคงปลอดภยไซเบอร โดยผตรวจประเมน ผตรวจสอบภายใน หรอผตรวจสอบอสระจากภายนอกอยางนอยปละหนงครง
(๒) แผนการรบมอภยคกคามทางไซเบอร เพอประโยชนในการจดท าประมวลแนวทางปฏบตดานการรกษาความมนคงปลอดภยไซเบอรตามวรรคหนง ใหส านกงานโดยความเหนชอบของคณะกรรมการจดท าประมวลแนวทางปฏบตและกรอบมาตรฐานส าหรบใหหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแลหรอหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศน าไปใชเปนแนวทางในการจดท าหรอน าไปใชเปนประมวลเปนแนวทางปฏบตของหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแลหรอหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศของตนและในกรณทหนวยงานดงกลาวยงไมมหรอมแตไมครบถวนหรอไมสอดคลองกบประมวลแนวทางปฏบตและกรอบมาตรฐานใหน าประมวลแนวทางปฏบตและกรอบมาตรฐานดงกลาวไปใชบงคบ
มาตรา 44
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
หนวยงานของรฐ หนวยงานควบคมหรอก ากบดแล และหนวยงาน โครงสรางพนฐานส าคญทางสารสนเทศ มหนาทปองกน รบมอ และลดความเสยงจากภยคกคาม ทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของแตละหนวยงาน และจะตองด าเนนการใหเปนไปตามประมวลแนวทางปฏบตและกรอบมาตรฐาน ดานการรกษาความมนคงปลอดภยไซเบอรตามมาตรา ๑๓ วรรคหนง (๔) ดวย
ในกรณทหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแล หรอหนวยงาน โครงสรางพนฐานส าคญทางสารสนเทศไมอาจด าเนนการหรอปฏบตตามวรรคหนงได ส านกงาน อาจใหความชวยเหลอดานบคลากรหรอเทคโนโลยแกหนวยงานนนตามทรองขอได
มาตรา 45
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
เพอประโยชนในการรกษาความมนคงปลอดภยไซเบอร ใหหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแล และหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศ แจงรายชอเจาหนาทระดบบรหารและระดบปฏบตการ เพอประสานงาน ดานการรกษาความมนคงปลอดภยไซเบอรไปยงส านกงาน
ในกรณทมการเปลยนแปลงเจาหนาทตามวรรคหนงใหหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแล และหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศแจงใหส านกงานทราบโดยเรว
มาตรา 46
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
เพอประโยชนในการตดตอประสานงาน ใหหนวยงานโครงสรางพนฐาน ส าคญทางสารสนเทศแจงรายชอและขอมลการตดตอของเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรไปยงส านกงาน หนวยงานควบคมหรอก ากบดแลของตน และหนวยงาน ตามมาตรา ๕๐ ภายในสามสบวนนบแตวนทคณะกรรมการประกาศตามมาตรา ๔๙ วรรคสอง และมาตรา ๕๐ วรรคสอง หรอนบแตวนทคณะกรรมการมค าวนจฉยตามมาตรา ๕๑ แลวแตกรณ โดยอยางนอยเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรตองเปน บคคลซงรบผดชอบในการบรหารงานของหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศนน
ในกรณทมการเปลยนแปลงเจาของกรรมสทธ ผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรตามวรรคหนง ใหแจงการเปลยนแปลงไปยงหนวยงานทเกยวของตามวรรคหนงกอนการเปลยนแปลงลวงหนาไมนอยกวาเจดวน เวนแตมเหตจ าเปนอนไมอาจกาวลวงไดใหแจงโดยเรว
มาตรา 52
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
ในการด าเนนการรกษาความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศ ใหหนวยงานควบคมหรอก ากบดแลตรวจสอบมาตรฐานขนต า เรองความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศทอยภายใต การก ากบควบคมดแลของตน หากพบวาหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศใด ไมไดมาตรฐาน ใหหนวยงานควบคมหรอก ากบดแลนนรบแจงใหหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศทต ากวามาตรฐานแกไขใหไดมาตรฐานโดยเรว หากหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศนนยงคงเพกเฉยไมด าเนนการ หรอไมด าเนนการใหแลวเสรจภายในระยะเวลา ทหนวยงานควบคมหรอก ากบดแลก าหนด ใหหนวยงานควบคมหรอก ากบดแลสงเรองให กกม. พจารณาโดยไมชกชา เมอไดรบค ารองเรยนตามวรรคหนง หาก กกม. พจารณาแลวเหนวา มเหตดงกลาว และอาจท าใหเกดภยคกคามทางไซเบอรให กกม. ด าเนนการ ดงตอไปน
(๑) กรณเปนหนวยงานของรฐ ใหแจงตอผบรหารระดบสงสดของหนวยงาน เพอใชอ านาจในทางบรหาร สงการไปยงหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศนน เพอใหด าเนนการแกไขจนไดมาตรฐานโดยเรว
(๒) กรณเปนหนวยงานเอกชน ใหแจงไปยงผบรหารระดบสงสดของหนวยงานผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรของหนวยงานโครงสรางส าคญทางสารสนเทศนน เพอใหด าเนนการแกไขจนไดมาตรฐานโดยเรว ใหเลขาธการด าเนนการตดตามเพอใหเปนไปตามความในวรรคสองดวย
มาตรา 53
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator
หนวยงานโครงสรางพนฐานส าคญทางสารสนเทศตองก าหนดใหมกลไกหรอขนตอนเพอการเฝาระวงภยคกคามทางไซเบอรหรอเหตการณทเกยวกบความมนคงปลอดภยไซเบอร ทเกยวของกบโครงสรางพนฐานส าคญทางสารสนเทศของตน ตามมาตรฐาน ซงก าหนดโดยหนวยงานควบคมหรอก ากบดแล และตามประมวลแนวทางปฏบต รวมถงระบบ มาตรการทใชแกปญหาเพอรกษาความมนคงปลอดภยไซเบอรทคณะกรรมการหรอ กกม. ก าหนด และตองเขารวมการทดสอบสถานะความพรอมในการรบมอกบภยคกคามทางไซเบอร ทส านกงานจดขน
มาตรา 56
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
เมอมเหตภยคกคามทางไซเบอรเกดขนอยางมนยส าคญตอระบบของหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศ ใหหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศ รายงานตอส านกงานและหนวยงานควบคมหรอก ากบดแล และปฏบตการรบมอ กบภยคกคามทางไซเบอรตามทก าหนดในสวนท ๔ ทงน กกม. อาจก าหนดหลกเกณฑและวธการ การรายงานดวยกได
มาตรา 57
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
ในกรณทเกดหรอคาดวาจะเกดภยคกคามทางไซเบอรตอระบบสารสนเทศซงอยในความดแลรบผดชอบของหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศใด ใหหนวยงานนนด าเนนการตรวจสอบขอมลทเกยวของ ขอมลคอมพวเตอร และระบบคอมพวเตอรของหนวยงานนน รวมถงพฤตการณแวดลอมของตน เพอประเมนวา มภยคกคามทางไซเบอรเกดขนหรอไม หากผลการตรวจสอบปรากฏวาเกดหรอคาดวาจะเกด ภยคกคามทางไซเบอรขน ใหด าเนนการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของหนวยงานนน และแจงไปยงส านกงานและหนวยงานควบคมหรอก ากบดแลของตนโดยเรว
ในกรณทหนวยงานหรอบคคลใดพบอปสรรคหรอปญหาในการปองกน รบมอและลดความเสยงจากภยคกคามทางไซเบอรของตน หนวยงานหรอบคคลนนอาจรองขอความชวยเหลอไปยงส านกงาน
มาตรา 58
หนวยงาน : สถานพยาบาล Operator
เมอปรากฏแกหนวยงานควบคมหรอก ากบดแล หรอเมอหนวยงานควบคมหรอก ากบดแลไดรบแจงเหตตามมาตรา 58 ใหหนวยงานควบคมก ากบหรอดแล รวมกบหนวยงานตามมาตรา 50 รวบรวมขอมล ตรวจสอบ วเคราะหสถานการณ และประเมนผลกระทบเกยวกบภยคกคามทางไซเบอร และด าเนนการ ดงตอไปน
(๑) สนบสนนและใหความชวยเหลอแกหนวยงานของรฐหรอหนวยงานโครงสราง พนฐานส าคญทางสารสนเทศทอยในการควบคมหรอก ากบดแลของตน และใหความรวมมอและประสานงานกบส านกงาน ในการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร
(๒) แจงเตอนหนวยงานของรฐและหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศทอยในการควบคมหรอก ากบดแลของตน รวมทงหนวยงานควบคมหรอก ากบดแล หนวยงานของรฐหรอหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศอนทเกยวของโดยเรว
มาตรา 59
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator
มาตรา 73 หนวยงานโครงสรางพนฐานส าคญทางสารสนเทศใดไมรายงานเหตภยคกคามทางไซเบอรตามมาตรา 47 โดยไมมเหตอนควรตองระวางโทษปรบไมเกน สองแสนบาท
มาตรา 77 ในกรณทผกระท าความผดตามพระราชบญญตนเปนนตบคคลถาการกระท าความผดของนตบคคลนนเกดจากการสงการหรอการกระท าของกรรมการหรอผจดการ หรอบคคลใดซงรบผดชอบในการด าเนนงานของนตบคคลนน หรอในกรณทบคคลดงกลาวมหนาท ตองสงการหรอกระท าการและละเวนไมสงการหรอไมกระท าการจนเปนเหตใหนตบคคลนนกระท า ความผด ผนนตองรบโทษตามทบญญตไวส าหรบความผดนน ๆ ดวย
และมาตราทเกยวของ มาตรา 74, มาตรา 75 , มาตรา 76
บทลงโทษ ทเกยวของกบมาตรา 49 ดานสาธารณสข
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
Coffee Break
ระเบยบวาระท 4 :
04เรองสบเนอง : การยกระดบความเชอมนและสรางความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ
4.1 แนวทางการพฒนาศกยภาพบคลากร- Cyber Drill- Cyber Security Awareness for Users- Modern Skills for System Admin
4.2 Vulnerability Assessment - Web Application Hacking- Penetration Testing
โดย บรษท เอเชยน อนเทลลเจนท อนฟอรเมชน เทคโนโลย จ ากด
วตถประสงคของการการยกระดบความเชอมนและ
สรางความมนคงปลอดภยสารสนเทศ 1. เพอใหผบรหาร บคลากรของกรมสนบสนนบรการสขภาพ รวมทงหนวยงานทเกยวของมความร ความเขาใจและทกษะดานการรกษาความมนคงปลอดภยสารสนเทศ
2. เพอใหกรมสนบสนนบรการสขภาพ มแนวทางการรกษาความมนคงปลอดภยดานสารสนเทศ (Information Security Management System) รวมทงสงเสรมการท าธรกรรมอเลกทรอนกส(E-Commerce) ดานระบบบรการสขภาพไดอยางมประสทธภาพ
3. เพอใหกรมสนบสนนบรการสขภาพ ไดรบความไววางใจ ความพงพอใจทแสดงถงความมประสทธผลและประสทธภาพในการด าเนนงานสอดคลองตามขอก าหนดดานการรกษาความมนคงปลอดภยของลกคา ขอกฎหมาย และระเบยบขอบงคบตางๆ ทเกยวของรองรบนโยบายรฐบาลดจทล (Digital Government)
ปจจยทมความเสยงตอความไมปลอดภยขององคกรInformation Security Management System
P-P-T Model Concept
3.Technology : Hardware, Software, Network
2.Process : ISMS Master Plan
1.People : การพฒนา
ศกยภาพบคลากรดานการรกษาความมนคงปลอดภยสารสนเทศ
การพฒนาศกยภาพบคลากรดานการรกษาความมนคงปลอดภยสารสนเทศ
1. ส าหรบบคลากรทกระดบ
1.1 การพฒนาความรพนฐาน การสรางความตระหนกและการเตรยมความพรอมดานการรกษาความมนคงปลอดภยสารสนเทศ (IT Security Awareness)
1.2 การฝกซอมรบมอดานความมนคงปลอดภยไซเบอร (Cyber Drill)
2. ส าหรบผดแลระบบ (SysAdmin) : แนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบชองโหวของระบบเทคโนโลยสารสนเทศ (Vulnerability Assessment : Web Application Hacking) และการทดสอบเจาะระบบ (Penetration Testing)
ระเบยบวาระท 5 :
05 เรองเพอพจารณา
5.1 (ราง) แผนยทธศาสตร รกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ5.2 (ราง) แนวทางการรกษาความมนคงปลอภยสารสนเทศ5.3 (ราง) ผลการด าเนนงานเตรยมความพรอมดานการรกษาความมนคงปลอดภยสารสนเทศ
ขนตอนการด าเนนงาน (1)Information Security Management System
ขนตอนท 1 : Deployment Phase หมายถง การทบทวน ก าหนด รายละเอยด ขนตอนของการด าเนนงาน
1.1 การทบทวนมาตรการ
1.2 ด าเนนการจดตงคณะท างาน IT Security Steering หรอ IT Security Working Group
1.3 ทบทวนและปรบปรงแกไขนโยบาย
ขนตอนการด าเนนงาน (2)Information Security Management System
ขนตอนท 2 : Measurement Phase หมายถง การท าความเขาใจกบกระบวนการ วางแผนการด าเนนงาน ก าหนดตวชวด
2.1 กลมเทคโนโลยสารสนเทศ ด าเนนการจดฝกอบรม
2.2 การฝกอบรมการเตรยมตวในการตรวจสอบเพอผานการรบรองตอไป
2.3 เสนอภาพรวมตอผบรหารระดบสง ของกรมสนบสนนบรการสขภาพ
2.4 ปรบปรงกระบวนงาน
- เนนไปท Checklist หรอ Requirement ในการตรวจสอบระบบ
- เนนไปท Code of Practices ทสามารถน ามาอางถงเปนแนวทางในการปฏบต
- ก าหนดตวชวดในการด าเนนงาน พรอมทงควบคม ก ากบ ตดตามและประเมนผล
ขนตอนการด าเนนงาน (3)Information Security Management System
ขนตอนท 3 : Analysis Phase หมายถง การวเคราะห หาสาเหต
3.1 กลมเทคโนโลยสารสนเทศ ท าการประเมนระบบในภาพรวม (Holistic Approach)
3.2 จดท ารายงานและมการน าเสนอตอ Board of Director เพอทจะใหผบรหารระดบสงฯ พจารณา
3.3. กลมตรวจสอบภายในด าเนนการตรวจสอบ (Pre Assessment) ระดบ Internal Auditor
3.4 ผบรหารระดบสงตดสนใจใหการสนบสนนในการปฏบตตามมาตรฐาน ISO/IEC 27001 และ ด าเนนการแกไขขอบกพรองจากการทองคกรยงไมไดปฏบตตามมาตรฐานดงกลาวอยางเปนรปธรรม (Corrective Action)
ขนตอนการด าเนนงาน (4)Information Security Management System
ขนตอนท 4 : Improvement Phase หมายถง การก าจดตนเหต
4.1 กลมเทคโนโลยสารสนเทศ เสนอรายละเอยดหลงจากการน าเสนอ Gap Analysis Report
4.1.1 มมมองดานบคลากร (People)
4.1.2 มมมองดานกระบวนการ (Process)
4.1.3 มมมองดานเทคโนโลย (Technology)
4.2 ประเมนความเสยง (Risk Assessment) [Data Server & DR Site]
4.3 ด าเนนการประเมนผลตามแผนทไดก าหนดไว เชน Vulnerability Assessment, Penetration Testing, Hardening [Data Server & DR Site]
ขนตอนการด าเนนงาน (5)Information Security Management System
ขนตอนท 5 : Control Phase หมายถง การควบคม ตดตาม ปรบปรงอยางตอเนอง
5.1 กลมเทคโนโลยสารสนเทศ และทกหนวยงานภายในกรมสนบสนนบรการสขภาพจดท าเอกสารในรปแบบ Statement of Applicability (SOA)
5.2 ด าเนนการตรวจสอบ (Assessment) โดย External Auditor
5.3 การ Outsource ไปยง Manage Security Service Provider หรอ MSSP ถอเปนการ “Transfer Risk”
5.4 กลมเทคโนโลยสารสนเทศสอบทาน (Review) และการเฝาระวง (Monitor)
5.5 สรปรายงานผลการด าเนนงานการพฒนา