การประชุมคณะท...

http://ict.hss.moph.go.th

การประชมคณะท างานรกษาความมนคงปลอดภยสารสนเทศกรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข

วนท 6 สงหาคม พ.ศ.2562

http://www.free-powerpoint-templates-design.com/

ระเบยบวาระการประชม01 ประธานแจงใหทประชมทราบ

03 เรองเพอทราบ

04 เรองสบเนอง

05 เรองเพอพจารณา

02 เรองรบรองรายงานการประชม

ระเบยบวาระท 1 :

01 ประธานแจงใหทประชมทราบแนะน าทมด าเนนการพฒนาศกยภาพและยกระดบ

ความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

: บรษท เอเชยน อนเทลลเจนท อนฟอรเมชน เทคโนโลย จ ากด


02 เรองรบรองรายงานการประชม

สรปรายงานการประชมคณะท างานรกษาความมนคงปลอดภยสารสนเทศ

กรมสนบสนนบรการสขภาพ ครงท 1/2562


03 เรองเพอทราบ3.1 ค าสงกรมสนบสนนบรการสขภาพ เรองแตงตงคณะกรรมการอ านวยการและคณะท างานรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ (เพมเตม)

3.2 ค าสงคณะท างานก าหนดมาตรฐานความมนคงปลอดภยสารสนเทศ ส าหรบสถานพยาบาลภาครฐและเอกชน กรมสนบสนนบรการสขภาพ

- (ราง) แบบประเมนตนเอง

กรมสนบสนนบรการสขภาพ

พรบ.สถานพยาบาลมาตรา 5

“มาตรา ๕ พระราชบญญตนมใหใชบงคบแกสถานพยาบาลซงด าเนนการโดยกระทรวง ทบวง กรม องคกรปกครองสวนทองถน รฐวสาหกจ สถาบนการศกษาของรฐ หนวยงานอนของรฐ สภากาชาดไทย และสถานพยาบาลอน ซงรฐมนตรประกาศก าหนด สถานพยาบาลทไดรบยกเวนตามวรรคหนง ตองมลกษณะของสถานพยาบาลและมาตรฐาน ตามหลกเกณฑ วธการ และเงอนไขทรฐมนตรประกาศก าหนด โดยค าแนะน าของคณะกรรมการ เวนแต สถานพยาบาลทผานการรบรองคณภาพจากหนวยงานซงผอนญาตก าหนด เพอประโยชนแหงการคมครองผบรโภคดานระบบบรการสขภาพ ใหรฐมนตรโดยค าแนะน า ของคณะกรรมการแจงใหสถานพยาบาลตามวรรคหนงซงไมปฏบตตามหลกเกณฑ วธการ และเงอนไข ตามวรรคสอง ด าเนนการปรบปรงหรอแกไขภายในระยะเวลาทก าหนด”

ส านกสถานพยาบาลและการประกอบโรคศลปะ

ประกาศกระทรวงสาธารณสขเรอง การก าหนดลกษณะของสถานพยาบาลและมาตรฐานซงไดรบการยกเวนไมตองอยในบงคบตามกฎหมายวาดวยสถานพยาบาล (วนท 20 มนาคม พ.ศ.2561)ขอ 5 ใหสถานพยาบาลมลกษณะโดยทวไปและลกษณะการใหบรการ ดงตอไปน (1) มความปลอดภย มความสะดวก และเหมาะสมตอผใหบรการและผรบบรการ

ในการ ประกอบวชาชพตามประเภทและสาขานน ๆ (2) ตองปฏบตใหเปนไปตามกฎหมายวาดวยควบคมอาคาร(3) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสาธารณสข(4) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการผงเมอง (5) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสงเสรมและรกษาคณภาพสงแวดลอม (6) ตองปฏบตใหเปนไปตามกฎหมายอนทเกยวของ (7) ตองปฏบตใหเปนไปตามพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร

พระราชบญญตสถานพยาบาล (ฉบบท 4 พ.ศ.2559)

1.มาตรฐานระบบการจดการคณภาพและความปลอดภยดานอาคาร สภาพแวดลอม2.มาตรฐานงานสขศกษา3.เครองมอแพทยในโรงพยาบาล4.มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ


1.พรบ.สถานพยาบาลมาตรา 52.ประกาศกระทรวงสาธารณสข

ส านกสถานพยาบาลและการประกอบโรคศลปะ

กองกฏหมาย

กองแบบแผนกองวศวกรรมการแพทยกองสขศกษาเทคโนโลยสารสนเทศ

มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

กลมเทคโนโลยสารสนเทศกรมสนบสนนบรการสขภาพ

รพ ภาครฐ

รพ เอกชน/คลนก

ควบคมก ากบมาตรฐาน

ปรบปรงประกาศกระทรวง

มาตรฐาน

กฏหมายแนวทางการก าหนดมาตรฐานความมนคงปลอดภยเทคโนโลยสารสนเทศส าหรบ โรงพยาบาลภาครฐและเอกชน

Regu

lato

r

Operator


สถานพยาบาล

ม.44, 45,46,52ม.54ม.56,57ม.58

Regulator Operator

ม.44,45,46,52ม.53ม.56,57ม.59

มาตราทเกยวของ

ม.73,ม.77,ม.49(7) ดานสาธารณสขบท

ลงโทษ

มาตรา 53 (หนวยงานควบคมหรอก ากบ ดแล )•ตรวจสอบมาตรฐานขนต า•สงใหแกไข •รายงาน กกม. (ถาเพกเฉย)

มาตรา 54 (หนวยงานโครงสรางพนฐาน)•ประเมนความเสยง•ตรวจสอบดานความมนคงปลอดภยไซเบอรอยางนอยปละหนงครง

โครงสรางพนฐานส าคญทางสารสนเทศ

: Critical Information Infrastructure (CII)

หนวยงานเฝาระวง ตดตาม ตรวจสอบ เผชญเหต - Health CERT- ICS-CERT- National Health-ISAC

- หนวยงานตรวจประเมนความเสยงระบบ (Audit) - ประมวลแนวทางปฏบต (ตามแผนชาต)

ประมวลแนวทางปฏบต/ตรวจสอบการปฏบต แผนรบมอ : COBIT/ISO27001/NIST

คณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต (กมช.) อ านาจหนาท มาตรา 9

คณะกรรมการก ากบดแลดานความมนคงปลอดภยไซเบอร (กกม.) อ านาจหนาท มาตรา 11

คณะกรรมการบรหารส านกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอร(กบส.)ส านกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต อ านาจหนาท มาตรา 22

CSO → กลมงานความมนคงปลอดภยสารสนเทศ ฯ

การระบIDENTIFY

มาตรการ

ID.AM : Asset Management ID.BE : Business EnvironmentID.GV : GovernanceID.RA : Risk Assessment ID.RM : Risk Management Strategy ID.SC : Supply Chain Risk Management

หนวยงานตองท าการระบวา กระบวนการด าเนนงานและทรพยสนสารสนเทศใดบางทมความเสยงตอการถกโจมตทางไซเบอร และตองไดรบการรกษาความมนคงปลอดภย เพอบรหารจดการความเสยงดานภยคกคามทางไซเบอรทมตอ ระบบ ทรพยสน ขอมล ของหนวยงานไดอยางเหมาะสม

Framework for ImprovingCritical Infrastructure Cybersecurity

การปองกนPROTECT


PR.AC : Identity Management and Access Control PR.AT : Awareness and Training PR.DS : Data Security PR.IP : Information Protection Processes and Procedures PR.MA: MaintenancePR.PT : Protective Technology

หนวยงานตองมมาตรการปองกนทเหมาะสมเพอจ ากดผลกระทบของเหตการณภยคกคามไซเบอร ซงครอบคลมถง เรองการควบคมการเขาถง การฝกอบรมและการสรางความตระหนกใหแกเจาหนาทและผทเกยวของ ความปลอดภยของ ขอมล และมาตรการดานความมนคงปลอดภยตาง ๆ ทงกระบวนการและวธปฏบต ตลอดจนเทคโนโลย นอกจากน หนวยงานตองท าการบ ารงรกษาอปกรณและซอฟตแวรทเกยวของกบระบบอเลกทรอนกสอยางสม าเสมอเพอใหสามารถ รองรบการด าเนนงานไดอยางตอเนอง รวมทงการเปลยนแปลงแกไข Patch หรอ Update software


การตรวจจบDETECT


DE.AE : Anomalies and Events DE.CM : Security Continuous Monitoring DE.DP : Detection Processes

หนวยงานตองมกระบวนการตดตามเฝาระวง และตรวจจบเหตการณภยคกคามทางไซเบอรอยางตอเนอง และแจงเตอนถงสงทผดปกตตางๆ รวมถงการตดตามเหตการณภยคกคามทางไซเบอรทเกดขนจากทงภายในและภายนอก วเคราะหจดออนหรอชองโหวของภยคกคามทเกดขน เพอเปนขอมลประกอบในการพจารณาทบทวนแนวทางการปองกน ความเสยงและผลกระทบทจะเกดขนกบหนวยงานในอนาคต


ดานการรบมอภยคกคาม(Response)

RS.RP : Response Planning มการก าหนดมาตรการและกระบวนการรบมอภยคกคามไซเบอรททนทวงท

RS.CO : Communications มความรวมมอกบหนวยงานทเกยวของทงภายในและภายนอกเกยวกบแผนรบมอภยคกคามไซเบอร

RS.AN : Analysis มการวเคราะหสาเหตภยคกคามหรอตรวจพสจนพยานหลกฐานดจทลRS.MI : Mitigation มมาตรการปองกนการลกลามของภยคกคามRS.IM : Improvements มการทดสอบ ปรบปรงกลยทธและแผนรบมอภยคกคามไซเบอรอยางสม าเสมอ



การกคนขอมลและระบบหลงเหตภยคกคามไซเบอร(Recover)

RC.RP : Recovery Planning มแผนการกคนระบบทงระหวางเกดเหตและหลงเกดเหตภยคกคาม

RC.IM : Improvements มการปรบปรงกลยทธและแผนการกคนอยางสม าเสมอ

RC.CO : Communications มการสอสารใหผบรหารและผทเกยวของทราบภายในองคกรใหทราบถงกระบวนการกคนขอมลหลงเกดเหตภยคกคามไซเบอร



ใหหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแลและหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศจดท าประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอรของแตละหนวยงานใหสอดคลองกบนโยบายและแผนวาดวยการรกษาความมนคงปลอดภยโดยเรว

(๑) แผนการตรวจสอบและประเมนความเสยงดานการรกษาความมนคงปลอดภยไซเบอร โดยผตรวจประเมน ผตรวจสอบภายใน หรอผตรวจสอบอสระจากภายนอกอยางนอยปละหนงครง

(๒) แผนการรบมอภยคกคามทางไซเบอร เพอประโยชนในการจดท าประมวลแนวทางปฏบตดานการรกษาความมนคงปลอดภยไซเบอรตามวรรคหนง ใหส านกงานโดยความเหนชอบของคณะกรรมการจดท าประมวลแนวทางปฏบตและกรอบมาตรฐานส าหรบใหหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแลหรอหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศน าไปใชเปนแนวทางในการจดท าหรอน าไปใชเปนประมวลเปนแนวทางปฏบตของหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแลหรอหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศของตนและในกรณทหนวยงานดงกลาวยงไมมหรอมแตไมครบถวนหรอไมสอดคลองกบประมวลแนวทางปฏบตและกรอบมาตรฐานใหน าประมวลแนวทางปฏบตและกรอบมาตรฐานดงกลาวไปใชบงคบ

มาตรา 44

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

หนวยงานของรฐ หนวยงานควบคมหรอก ากบดแล และหนวยงาน โครงสรางพนฐานส าคญทางสารสนเทศ มหนาทปองกน รบมอ และลดความเสยงจากภยคกคาม ทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของแตละหนวยงาน และจะตองด าเนนการใหเปนไปตามประมวลแนวทางปฏบตและกรอบมาตรฐาน ดานการรกษาความมนคงปลอดภยไซเบอรตามมาตรา ๑๓ วรรคหนง (๔) ดวย

ในกรณทหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแล หรอหนวยงาน โครงสรางพนฐานส าคญทางสารสนเทศไมอาจด าเนนการหรอปฏบตตามวรรคหนงได ส านกงาน อาจใหความชวยเหลอดานบคลากรหรอเทคโนโลยแกหนวยงานนนตามทรองขอได

มาตรา 45


เพอประโยชนในการรกษาความมนคงปลอดภยไซเบอร ใหหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแล และหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศ แจงรายชอเจาหนาทระดบบรหารและระดบปฏบตการ เพอประสานงาน ดานการรกษาความมนคงปลอดภยไซเบอรไปยงส านกงาน

ในกรณทมการเปลยนแปลงเจาหนาทตามวรรคหนงใหหนวยงานของรฐ หนวยงานควบคมหรอก ากบดแล และหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศแจงใหส านกงานทราบโดยเรว

มาตรา 46


เพอประโยชนในการตดตอประสานงาน ใหหนวยงานโครงสรางพนฐาน ส าคญทางสารสนเทศแจงรายชอและขอมลการตดตอของเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรไปยงส านกงาน หนวยงานควบคมหรอก ากบดแลของตน และหนวยงาน ตามมาตรา ๕๐ ภายในสามสบวนนบแตวนทคณะกรรมการประกาศตามมาตรา ๔๙ วรรคสอง และมาตรา ๕๐ วรรคสอง หรอนบแตวนทคณะกรรมการมค าวนจฉยตามมาตรา ๕๑ แลวแตกรณ โดยอยางนอยเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรตองเปน บคคลซงรบผดชอบในการบรหารงานของหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศนน

ในกรณทมการเปลยนแปลงเจาของกรรมสทธ ผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรตามวรรคหนง ใหแจงการเปลยนแปลงไปยงหนวยงานทเกยวของตามวรรคหนงกอนการเปลยนแปลงลวงหนาไมนอยกวาเจดวน เวนแตมเหตจ าเปนอนไมอาจกาวลวงไดใหแจงโดยเรว

มาตรา 52


ในการด าเนนการรกษาความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศ ใหหนวยงานควบคมหรอก ากบดแลตรวจสอบมาตรฐานขนต า เรองความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศทอยภายใต การก ากบควบคมดแลของตน หากพบวาหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศใด ไมไดมาตรฐาน ใหหนวยงานควบคมหรอก ากบดแลนนรบแจงใหหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศทต ากวามาตรฐานแกไขใหไดมาตรฐานโดยเรว หากหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศนนยงคงเพกเฉยไมด าเนนการ หรอไมด าเนนการใหแลวเสรจภายในระยะเวลา ทหนวยงานควบคมหรอก ากบดแลก าหนด ใหหนวยงานควบคมหรอก ากบดแลสงเรองให กกม. พจารณาโดยไมชกชา เมอไดรบค ารองเรยนตามวรรคหนง หาก กกม. พจารณาแลวเหนวา มเหตดงกลาว และอาจท าใหเกดภยคกคามทางไซเบอรให กกม. ด าเนนการ ดงตอไปน

(๑) กรณเปนหนวยงานของรฐ ใหแจงตอผบรหารระดบสงสดของหนวยงาน เพอใชอ านาจในทางบรหาร สงการไปยงหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศนน เพอใหด าเนนการแกไขจนไดมาตรฐานโดยเรว

(๒) กรณเปนหนวยงานเอกชน ใหแจงไปยงผบรหารระดบสงสดของหนวยงานผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรของหนวยงานโครงสรางส าคญทางสารสนเทศนน เพอใหด าเนนการแกไขจนไดมาตรฐานโดยเรว ใหเลขาธการด าเนนการตดตามเพอใหเปนไปตามความในวรรคสองดวย

มาตรา 53

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator

หนวยงานโครงสรางพนฐานส าคญทางสารสนเทศตองก าหนดใหมกลไกหรอขนตอนเพอการเฝาระวงภยคกคามทางไซเบอรหรอเหตการณทเกยวกบความมนคงปลอดภยไซเบอร ทเกยวของกบโครงสรางพนฐานส าคญทางสารสนเทศของตน ตามมาตรฐาน ซงก าหนดโดยหนวยงานควบคมหรอก ากบดแล และตามประมวลแนวทางปฏบต รวมถงระบบ มาตรการทใชแกปญหาเพอรกษาความมนคงปลอดภยไซเบอรทคณะกรรมการหรอ กกม. ก าหนด และตองเขารวมการทดสอบสถานะความพรอมในการรบมอกบภยคกคามทางไซเบอร ทส านกงานจดขน

มาตรา 56


เมอมเหตภยคกคามทางไซเบอรเกดขนอยางมนยส าคญตอระบบของหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศ ใหหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศ รายงานตอส านกงานและหนวยงานควบคมหรอก ากบดแล และปฏบตการรบมอ กบภยคกคามทางไซเบอรตามทก าหนดในสวนท ๔ ทงน กกม. อาจก าหนดหลกเกณฑและวธการ การรายงานดวยกได

มาตรา 57


ในกรณทเกดหรอคาดวาจะเกดภยคกคามทางไซเบอรตอระบบสารสนเทศซงอยในความดแลรบผดชอบของหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศใด ใหหนวยงานนนด าเนนการตรวจสอบขอมลทเกยวของ ขอมลคอมพวเตอร และระบบคอมพวเตอรของหนวยงานนน รวมถงพฤตการณแวดลอมของตน เพอประเมนวา มภยคกคามทางไซเบอรเกดขนหรอไม หากผลการตรวจสอบปรากฏวาเกดหรอคาดวาจะเกด ภยคกคามทางไซเบอรขน ใหด าเนนการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของหนวยงานนน และแจงไปยงส านกงานและหนวยงานควบคมหรอก ากบดแลของตนโดยเรว

ในกรณทหนวยงานหรอบคคลใดพบอปสรรคหรอปญหาในการปองกน รบมอและลดความเสยงจากภยคกคามทางไซเบอรของตน หนวยงานหรอบคคลนนอาจรองขอความชวยเหลอไปยงส านกงาน

มาตรา 58

หนวยงาน : สถานพยาบาล Operator

เมอปรากฏแกหนวยงานควบคมหรอก ากบดแล หรอเมอหนวยงานควบคมหรอก ากบดแลไดรบแจงเหตตามมาตรา 58 ใหหนวยงานควบคมก ากบหรอดแล รวมกบหนวยงานตามมาตรา 50 รวบรวมขอมล ตรวจสอบ วเคราะหสถานการณ และประเมนผลกระทบเกยวกบภยคกคามทางไซเบอร และด าเนนการ ดงตอไปน

(๑) สนบสนนและใหความชวยเหลอแกหนวยงานของรฐหรอหนวยงานโครงสราง พนฐานส าคญทางสารสนเทศทอยในการควบคมหรอก ากบดแลของตน และใหความรวมมอและประสานงานกบส านกงาน ในการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร

(๒) แจงเตอนหนวยงานของรฐและหนวยงานโครงสรางพนฐานส าคญ ทางสารสนเทศทอยในการควบคมหรอก ากบดแลของตน รวมทงหนวยงานควบคมหรอก ากบดแล หนวยงานของรฐหรอหนวยงานโครงสรางพนฐานส าคญทางสารสนเทศอนทเกยวของโดยเรว

มาตรา 59

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator

มาตรา 73 หนวยงานโครงสรางพนฐานส าคญทางสารสนเทศใดไมรายงานเหตภยคกคามทางไซเบอรตามมาตรา 47 โดยไมมเหตอนควรตองระวางโทษปรบไมเกน สองแสนบาท

มาตรา 77 ในกรณทผกระท าความผดตามพระราชบญญตนเปนนตบคคลถาการกระท าความผดของนตบคคลนนเกดจากการสงการหรอการกระท าของกรรมการหรอผจดการ หรอบคคลใดซงรบผดชอบในการด าเนนงานของนตบคคลนน หรอในกรณทบคคลดงกลาวมหนาท ตองสงการหรอกระท าการและละเวนไมสงการหรอไมกระท าการจนเปนเหตใหนตบคคลนนกระท า ความผด ผนนตองรบโทษตามทบญญตไวส าหรบความผดนน ๆ ดวย

และมาตราทเกยวของ มาตรา 74, มาตรา 75 , มาตรา 76

บทลงโทษ ทเกยวของกบมาตรา 49 ดานสาธารณสข


Coffee Break


04เรองสบเนอง : การยกระดบความเชอมนและสรางความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

4.1 แนวทางการพฒนาศกยภาพบคลากร- Cyber Drill- Cyber Security Awareness for Users- Modern Skills for System Admin

4.2 Vulnerability Assessment - Web Application Hacking- Penetration Testing

โดย บรษท เอเชยน อนเทลลเจนท อนฟอรเมชน เทคโนโลย จ ากด

วตถประสงคของการการยกระดบความเชอมนและ

สรางความมนคงปลอดภยสารสนเทศ 1. เพอใหผบรหาร บคลากรของกรมสนบสนนบรการสขภาพ รวมทงหนวยงานทเกยวของมความร ความเขาใจและทกษะดานการรกษาความมนคงปลอดภยสารสนเทศ

2. เพอใหกรมสนบสนนบรการสขภาพ มแนวทางการรกษาความมนคงปลอดภยดานสารสนเทศ (Information Security Management System) รวมทงสงเสรมการท าธรกรรมอเลกทรอนกส(E-Commerce) ดานระบบบรการสขภาพไดอยางมประสทธภาพ

3. เพอใหกรมสนบสนนบรการสขภาพ ไดรบความไววางใจ ความพงพอใจทแสดงถงความมประสทธผลและประสทธภาพในการด าเนนงานสอดคลองตามขอก าหนดดานการรกษาความมนคงปลอดภยของลกคา ขอกฎหมาย และระเบยบขอบงคบตางๆ ทเกยวของรองรบนโยบายรฐบาลดจทล (Digital Government)

ปจจยทมความเสยงตอความไมปลอดภยขององคกรInformation Security Management System

P-P-T Model Concept

3.Technology : Hardware, Software, Network

2.Process : ISMS Master Plan

1.People : การพฒนา

ศกยภาพบคลากรดานการรกษาความมนคงปลอดภยสารสนเทศ

การพฒนาศกยภาพบคลากรดานการรกษาความมนคงปลอดภยสารสนเทศ

1. ส าหรบบคลากรทกระดบ

1.1 การพฒนาความรพนฐาน การสรางความตระหนกและการเตรยมความพรอมดานการรกษาความมนคงปลอดภยสารสนเทศ (IT Security Awareness)

1.2 การฝกซอมรบมอดานความมนคงปลอดภยไซเบอร (Cyber Drill)

2. ส าหรบผดแลระบบ (SysAdmin) : แนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบชองโหวของระบบเทคโนโลยสารสนเทศ (Vulnerability Assessment : Web Application Hacking) และการทดสอบเจาะระบบ (Penetration Testing)


05 เรองเพอพจารณา

5.1 (ราง) แผนยทธศาสตร รกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ5.2 (ราง) แนวทางการรกษาความมนคงปลอภยสารสนเทศ5.3 (ราง) ผลการด าเนนงานเตรยมความพรอมดานการรกษาความมนคงปลอดภยสารสนเทศ

ขนตอนการด าเนนงาน (1)Information Security Management System

ขนตอนท 1 : Deployment Phase หมายถง การทบทวน ก าหนด รายละเอยด ขนตอนของการด าเนนงาน

1.1 การทบทวนมาตรการ

1.2 ด าเนนการจดตงคณะท างาน IT Security Steering หรอ IT Security Working Group

1.3 ทบทวนและปรบปรงแกไขนโยบาย


ขนตอนท 2 : Measurement Phase หมายถง การท าความเขาใจกบกระบวนการ วางแผนการด าเนนงาน ก าหนดตวชวด

2.1 กลมเทคโนโลยสารสนเทศ ด าเนนการจดฝกอบรม

2.2 การฝกอบรมการเตรยมตวในการตรวจสอบเพอผานการรบรองตอไป

2.3 เสนอภาพรวมตอผบรหารระดบสง ของกรมสนบสนนบรการสขภาพ

2.4 ปรบปรงกระบวนงาน

- เนนไปท Checklist หรอ Requirement ในการตรวจสอบระบบ

- เนนไปท Code of Practices ทสามารถน ามาอางถงเปนแนวทางในการปฏบต

- ก าหนดตวชวดในการด าเนนงาน พรอมทงควบคม ก ากบ ตดตามและประเมนผล


ขนตอนท 3 : Analysis Phase หมายถง การวเคราะห หาสาเหต

3.1 กลมเทคโนโลยสารสนเทศ ท าการประเมนระบบในภาพรวม (Holistic Approach)

3.2 จดท ารายงานและมการน าเสนอตอ Board of Director เพอทจะใหผบรหารระดบสงฯ พจารณา

3.3. กลมตรวจสอบภายในด าเนนการตรวจสอบ (Pre Assessment) ระดบ Internal Auditor

3.4 ผบรหารระดบสงตดสนใจใหการสนบสนนในการปฏบตตามมาตรฐาน ISO/IEC 27001 และ ด าเนนการแกไขขอบกพรองจากการทองคกรยงไมไดปฏบตตามมาตรฐานดงกลาวอยางเปนรปธรรม (Corrective Action)


ขนตอนท 4 : Improvement Phase หมายถง การก าจดตนเหต

4.1 กลมเทคโนโลยสารสนเทศ เสนอรายละเอยดหลงจากการน าเสนอ Gap Analysis Report

4.1.1 มมมองดานบคลากร (People)

4.1.2 มมมองดานกระบวนการ (Process)

4.1.3 มมมองดานเทคโนโลย (Technology)

4.2 ประเมนความเสยง (Risk Assessment) [Data Server & DR Site]

4.3 ด าเนนการประเมนผลตามแผนทไดก าหนดไว เชน Vulnerability Assessment, Penetration Testing, Hardening [Data Server & DR Site]


ขนตอนท 5 : Control Phase หมายถง การควบคม ตดตาม ปรบปรงอยางตอเนอง

5.1 กลมเทคโนโลยสารสนเทศ และทกหนวยงานภายในกรมสนบสนนบรการสขภาพจดท าเอกสารในรปแบบ Statement of Applicability (SOA)

5.2 ด าเนนการตรวจสอบ (Assessment) โดย External Auditor

5.3 การ Outsource ไปยง Manage Security Service Provider หรอ MSSP ถอเปนการ “Transfer Risk”

5.4 กลมเทคโนโลยสารสนเทศสอบทาน (Review) และการเฝาระวง (Monitor)

5.5 สรปรายงานผลการด าเนนงานการพฒนา

การประชุมคณะท...

Documents