developing information security management system in health …it)...

การพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ตามมาตรฐาน ISO/IEC 27799:2016

กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร Developing Information Security Management System in Health According to ISO/IEC 27799:2016 Case Study for HRH Princess Maha Chakri Sirindhorn

Medical Center

พงศกร โสธนนท

สารนพนธฉบบนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2560

การพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ตามมาตรฐาน ISO/IEC 27799:2016

กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร Developing Information Security Management System in Health

According to ISO/IEC 27799:2016 Case Study for HRH Princess Maha Chakri Sirindhorn Medical Center

สารนพนธฉบบนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2560

หวขอ การพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร Developing Information Security Management System in Health According to ISO/IEC 27799:2016 Case Study for HRH Princess Maha Chakri Sirindhorn Medical Center

ชอนกศกษา พงศกร โสธนนท รหสนกศกษา 5917670002 หลกสตร วทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ ปการศกษา 2560 อาจารยทปรกษา ผศ.ดร.พนม เพชรจตพร

ดร.บรรจง หะรงษ

บทคดยอ

สารนพนธนเปนการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ โดย

อางองมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 ใหมกระบวนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศอยางเปนระบบ รวมไปถงการจดท านโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ สงผลใหองคกรมการด าเนนการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพอยางเปนระบบ มกระบวนการท างานทมประสทธภาพ มการพฒนาอยางตอเนอง โปรงใส และเปนมาตรฐานทสามารถตรวจสอบได

ระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพทพฒนาขนจะชวยใหองคกรทราบและสามารถลดจดออน ภยคกคาม โอกาส และผลกระทบของความเสยงดานความมนคงปลอดภยสารสนเทศได รวมถงจะท าใหบคลากรมความรความเขาใจในการด าเนนงานตามมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016

กตตกรรมประกาศ

สารนพนธนส าเรจไดดวยดเนองจากไดรบความกรณาอยางสงจากทานอาจารยทปรกษา ขอกราบขอบพระคณ ผศ.ดร.พนม เพชรจตพร และ ดร.บรรจง หะรงษ ทสละเวลาอนมคามาเปนทปรกษาสารนพนธน รวมทงใหความร และค าแนะน าทเปนประโยชนในการจดท าสารนพนธ

ขอบพระคณทาน ผศ.พญ.นนทนา ชมชวย ผอ านวยการศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร คณะผบรหาร และคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ ทใหการสนบสนน และสงเสรมการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามขอบเขตของสารนพนธ รวมถงขอขอบคณคณเฉลม สวรรณะ และบคลากรงานเทคโนโลยสารสนเทศ เปนผประสานงานหลก ใหขอมล และรวมด าเนนการใหส าเรจไดดวยด

ขอบพระคณทาน ดร. นพ.นวนรรน ธระอมพรพนธ ผชวยคณบดฝายนโยบายและสารสนเทศ และอาจารย ภาควชาเวชศาสตรชมชน คณะแพทยศาสตรโรงพยาบาลรามาธบด มหาวทยาลยมหดล ทใหความร และต าราอางองทฤษฏเกยวกบระบบเทคโนโลยสารสนเทศในโรงพยาบาล และขอบพระคณบรษท ท-เนต จ ากด ทใหความร และเอกสารอางองเกยวกบมาตรฐานตางๆ

ขอขอบพระคณบดา มารดา และภรรยา ทคอยสนบสนน และใหก าลงใจในการท างานเสมอมา และขอขอบพระคณทกทานทไดใหความชวยเหลอในดานตางๆ ทมไดออกนาม ณ ทน ทมสวนท าใหสารนพนธนส าเรจไดดวยด ขาพเจาจงขอขอบพระคณเปนอยางสงไว ณ ทนดวย

ทงนขาพเจาหวงเปนอยางยงวาสารนพนธนจะมสวนชวยเปนแนวทางในการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพใหสอดคลองตามมาตรฐาน ISO/IEC 27799:2016 หากมสงใดขาดตกบกพรอง หรอผดพลาดประการใด ขาพเจาขออภยมา ณ ทน และขอนอมรบความผดพลาดทกประการ

สารบญ หนา

บทคดยอ ............................................................................................................................................. I กตตกรรมประกาศ.............................................................................................................................. II สารบญ .............................................................................................................................................. III สารบญรป ........................................................................................................................................ VI สารบญตาราง .................................................................................................................................. VIII บทท 1 บทน า ................................................................................................................................... 1

1.1. กลาวน า............................................................................................................................ 1 1.2. ภมหลงขององคกร ............................................................................................................ 1 1.3. ปญหาทเกดขน ................................................................................................................. 2 1.4. แนวทางในการแกปญหา .................................................................................................. 2 1.5. วตถประสงค ..................................................................................................................... 3 1.6. ขอบเขตการด าเนนงาน .................................................................................................... 3 1.7. ประโยชนทคาดวาจะไดรบ ............................................................................................... 4 1.8. สรปเนอหาของสารนพนธ ................................................................................................. 4

บทท 2 พนฐานและทฤษฎทเกยวของ ............................................................................................... 6 2.1. กลาวน า............................................................................................................................ 6 2.2. สารสนเทศ (Information) ............................................................................................... 6 2.3. สารสนเทศดานสขภาพ (Health Informatic) ................................................................. 6 2.4. ระบบสารสนเทศเพอการดแลสขภาพ (Health Care Information System: HCIS) ...... 6 2.5. ความมนคงปลอดภยสารสนเทศ (Information Security)............................................... 9 2.6. มาตรฐาน ISO (International Standards Organization) .......................................... 10 2.7. การบรหารความเสยง (Risk Management) .................................................................. 10 2.8. ภยคกคามความมนคงปลอดภยสารสนเทศดานสขภาพ .................................................. 14 2.9. ระบบบรหาร (Management System) ........................................................................ 18 2.10. ระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Management

System) ........................................................................................................................ 19 2.11. มาตรฐาน ISO/IEC 27001:2013 ................................................................................... 21 2.12. มาตรการควบคมความเสยงสารสนเทศดานสขภาพ (ISO/IEC 27799: 2016) ................ 24

บทท 3 การด าเนนงาน .................................................................................................................... 33

สารบญ (ตอ) หนา

3.1. กลาวน า.......................................................................................................................... 33 3.2. ขนตอนการด าเนนงาน ................................................................................................... 33 3.3. การศกษาบรบทขององคกร ............................................................................................ 35 3.4. การก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ............... 36 3.5. การก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ............... 36 3.6. การก าหนดโครงสราง บทบาท หนาท ความรบผดชอบ .................................................. 37 3.7. การอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 ..................... 37 3.8. การประเมนความเสยง ................................................................................................... 37 3.9. การวดประสทธภาพ และประสทธผลของการด าเนนงาน ............................................... 43 3.10. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน ............................................ 43 3.11. การด าเนนการปรบปรงแกไขการด าเนนงานใหสอดคลองตามมาตรฐาน ISO/IEC 27001

และ ISO/IEC 27799 ..................................................................................................... 44 บทท 4 ผลการด าเนนงาน ............................................................................................................... 45

4.1. กลาวน า.......................................................................................................................... 45 4.2. บรบทขององคกร ............................................................................................................ 45 4.3. ขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ................................. 53 4.4. นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ................................. 54 4.5. โครงสราง บทบาท หนาท ความรบผดชอบ .................................................................... 55 4.6. ผลการอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 ................ 59 4.7. ผลการประเมนความเสยง .............................................................................................. 60 4.8. การจดการความเสยง ..................................................................................................... 99 4.9. การด าเนนการตามแผนการจดการความเสยง .............................................................. 112 4.10. การประเมนความเสยงทคงเหลอ .................................................................................. 115 4.11. การวดประสทธภาพ และประสทธผลของการด าเนนงาน ............................................. 160 4.12. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน .......................................... 162

บทท 5 สรปผลการด าเนนงาน ...................................................................................................... 165 5.1. กลาวน า........................................................................................................................ 165 5.2. สรปผลการด าเนนงาน .................................................................................................. 165 5.3. ประโยชนทไดรบ .......................................................................................................... 169

สารบญ (ตอ) หนา

5.4. อปสรรค และปญหาทพบ ............................................................................................. 169 5.5. แนวทางการพฒนา และปรบปรง ................................................................................. 170

เอกสารอางอง ............................................................................................................................... 171 ภาคผนวก ก นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ............................ ก-1 ภาคผนวก ข ผลการอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 ........... ข-1 ภาคผนวก ค ผลการอบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย ............................................................................................................ ค-1 ภาคผนวก ง การอนมตและประกาศใชระเบยบปฏบตเรองตางๆ .................................................... ง-1 ภาคผนวก จ การก าหนดผดแลทรพยสนในระบบจดการครภณฑ ................................................... จ-1

สารบญรป หนา

รปท 2.1 ภาพรวมเนอหาของมาตรฐาน ISO 31000:2009 ............................................................. 11 รปท 2.2 ชดของมาตรฐานดานความมนคงปลอดภยสารสนเทศ ...................................................... 21 รปท 2.3 ภาพรวมเนอหาของมาตรฐาน ISO/IEC 27001:2013 ...................................................... 24 รปท 3.1 การด าเนนการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ............... 34 รปท 3.2 เกณฑการยอมรบความเสยง ............................................................................................. 41 รปท 4.1 ผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ........................ 51 รปท 4.2 ความสมพนธของกจกรรม/กระบวนการทเกยวของ .......................................................... 54 รปท 4.3 โครงสราง บทบาท หนาท ความรบผดชอบในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ..................................................................................................... 56 รปท 4.4 แผนภมเปรยบเทยบจ านวนผสอบผาน และไมผาน ........................................................... 59 รปท 5.1 ความเสยงบรบทขององคกร ........................................................................................... 167 รปท 5.2 ระดบความเสยงกอน และหลงการจดการความเสยงแยกตามมาตรการควบคมความเสยง ...................................................................................................................................................... 168 รปท ก.1 นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ .................................. ก-2 รปท ข.1 หนงสอเชญอบรม ............................................................................................................ ข-2 รปท ข.2 รายชอผเขาอบรม (1/3) .................................................................................................. ข-3 รปท ข.3 รายชอผเขาอบรม (2/3) .................................................................................................. ข-3 รปท ข.4 รายชอผเขาอบรม (3/3) .................................................................................................. ข-4 รปท ข.5 ขอสอบวดผลการอบรม (1/3) ........................................................................................ ข-5 รปท ข.6 ขอสอบวดผลการอบรม (2/3) ........................................................................................ ข-6 รปท ข.7 ขอสอบวดผลการอบรม (3/3) ........................................................................................ ข-7 รปท ข.8 รปภาพประกอบการอบรม .............................................................................................. ข-8 รปท ค.1 อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย ......................................................................................................................... ค-2 รปท ง.1 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการสอบนทกขอมลเคลอนทได ง-2 รปท ง.2 การอนมตและประกาศใชระเบยบปฏบตเรองการท าลายขอมลและสอบนทก ...................ง-3 รปท ง.3 การอนมตและประกาศใชระเบยบปฏบตเรองการทบทวนสทธการเขาใชงาน ....................ง-4 รปท ง.4 การอนมตและประกาศใชระเบยบปฏบตเรองการลอกอนเขาระบบอยางปลอดภย ...........ง-5

สารบญรป (ตอ) หนา

รปท ง.5 การอนมตและประกาศใชระเบยบปฏบตเรองการเขารหสลบขอมล ..................................ง-6 รปท ง.6 การอนมตและประกาศใชระเบยบปฏบตเรองการขอเขาพนทโดยบคคลภายนอก .............ง-7 รปท ง.7 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารการเปลยนแปลง ระบบเทคโนโลยสารสนเทศ ......................................................................................................................................ง-8 รปท ง.8 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการขดความสามารถของระบบ ........................................................................................................................................................ง-9 รปท ง.9 การอนมตและประกาศใชระเบยบปฏบตเรองการปองกนโปรแกรมไมประสงคด ............ ง-10 รปท ง.10 การอนมตและประกาศใชระเบยบปฏบตเรองการส ารองและกคนขอมล ...................... ง-11 รปท ง.11 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการขอมล Log ................. ง-12 รปท ง.12 การอนมตและประกาศใชระเบยบปฏบตเรองการตรวจสอบและการแกไขชองโหวใน ระบบเทคโนโลยสารสนเทศ .......................................................................................................... ง-13 รปท ง.13 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการผใหบรการภายนอก ... ง-14 รปท ง.14 การอนมตและประกาศใชระเบยบปฏบตเรองการจดการเหตละเมดความมนคงปลอดภยสารสนเทศ ................................................................................................................................... ง-15 รปท จ.1 การก าหนดผดแลทรพยสนในระบบจดการครภณฑ ......................................................... จ-2

สารบญตาราง หนา

ตารางท 2.1 ตารางเปรยบเทยบระบบบนทกขอมลทางการแพทยอเลกทรอนกส ระบบบนทกขอมลดานสขภาพอเลกทรอนกส และระบบบนทกขอมลดานสขภาพสวนบคคลอเลกทรอนกส .................. 8 ตารางท 2.2 ตารางเปรยบเทยบฟงกชนหลก และฟงกชนอนๆ ของระบบบนทกขอมลทางการแพทยอเลกทรอนกส และระบบบนทกขอมลดานสขภาพอเลกทรอนกส...................................................... 9 ตารางท 3.1 เกณฑการวเคราะหผลกระทบตอผรบบรการ .............................................................. 38 ตารางท 3.2 เกณฑการวเคราะหผลกระทบดานมลคาความเสยหาย ............................................... 38 ตารางท 3.3 เกณฑการวเคราะหผลกระทบตอระบบเทคโนโลยสารสนเทศ ..................................... 39 ตารางท 3.4 เกณฑการวเคราะหผลกระทบดานกฎระเบยบขอบงคบ .............................................. 39 ตารางท 3.5 เกณฑการวเคราะหผลกระทบตอสขภาพ และชวต ..................................................... 40 ตารางท 3.6 เกณฑการวเคราะหผลกระทบตอภาพลกษณองคกร ................................................... 40 ตารางท 3.7 เกณฑการวเคราะหโอกาส ........................................................................................... 41 ตารางท 4.1 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน) ............................................................................................................. 47 ตารางท 4.2 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน) (ตอ) ..................................................................................................... 48 ตารางท 4.3 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก) .......................................................................................................... 49 ตารางท 4.4 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก) (ตอ) .................................................................................................. 50 ตารางท 4.5 ความตองการและความคาดหวงของผทเกยวของ ....................................................... 52 ตารางท 4.6 ความตองการและความคาดหวงของผทเกยวของ (ตอ) ............................................... 53 ตารางท 4.7 จ านวนผท าแบบทดสอบหลงการอบรม ....................................................................... 59 ตารางท 4.8 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ........................................................................................................................................................ 60 ตารางท 4.9 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ) ................................................................................................................................................. 61 ตารางท 4.11 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท) ................... 62 ตารางท 4.12 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท) (ตอ) ........... 63 ตารางท 4.13 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) ....... 64

สารบญตาราง (ตอ) หนา

ตารางท 4.14 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 65 ตารางท 4.15 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 66 ตารางท 4.16 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 67 ตารางท 4.17 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 68 ตารางท 4.18 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 69 ตารางท 4.19 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 70 ตารางท 4.20 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 71 ตารางท 4.21 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 72 ตารางท 4.22 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 73 ตารางท 4.23 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 74 ตารางท 4.24 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 75 ตารางท 4.25 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 76 ตารางท 4.26 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 77 ตารางท 4.27 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 78 ตารางท 4.28 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 79 ตารางท 4.29 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 80 ตารางท 4.30 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 81 ตารางท 4.31 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 82 ตารางท 4.32 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 83 ตารางท 4.33 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 84 ตารางท 4.34 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 85 ตารางท 4.35 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 86 ตารางท 4.36 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 87 ตารางท 4.37 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 88 ตารางท 4.38 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 89 ตารางท 4.39 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 90 ตารางท 4.40 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 91 ตารางท 4.41 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 92 ตารางท 4.42 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 93

ตารางท 4.43 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 94 ตารางท 4.44 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 95 ตารางท 4.45 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 96 ตารางท 4.46 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 97 ตารางท 4.47 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 98 ตารางท 4.48 การจดการความเสยง ................................................................................................ 99 ตารางท 4.49 การจดการความเสยง (ตอ) ..................................................................................... 100 ตารางท 4.50 การจดการความเสยง (ตอ) ..................................................................................... 101 ตารางท 4.51 การจดการความเสยง (ตอ) ..................................................................................... 102 ตารางท 4.52 การจดการความเสยง (ตอ) ..................................................................................... 103 ตารางท 4.53 การจดการความเสยง (ตอ) ..................................................................................... 104 ตารางท 4.54 การจดการความเสยง (ตอ) ..................................................................................... 105 ตารางท 4.55 การจดการความเสยง (ตอ) ..................................................................................... 106 ตารางท 4.56 การจดการความเสยง (ตอ) ..................................................................................... 107 ตารางท 4.57 การจดการความเสยง (ตอ) ..................................................................................... 108 ตารางท 4.58 การจดการความเสยง (ตอ) ..................................................................................... 109 ตารางท 4.59 การจดการความเสยง (ตอ) ..................................................................................... 110 ตารางท 4.60 การจดการความเสยง (ตอ) ..................................................................................... 111 ตารางท 4.61 ผลการประเมนความเสยงทคงเหลอ ........................................................................ 115 ตารางท 4.62 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 116 ตารางท 4.63 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 117 ตารางท 4.64 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 118 ตารางท 4.65 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 119 ตารางท 4.67 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 120 ตารางท 4.68 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 121 ตารางท 4.69 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 122 ตารางท 4.70 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 123 ตารางท 4.72 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 124 ตารางท 4.73 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 125

ตารางท 4.74 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 126 ตารางท 4.75 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 127 ตารางท 4.76 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 128 ตารางท 4.77 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 129 ตารางท 4.78 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 130 ตารางท 4.79 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 131 ตารางท 4.80 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 132 ตารางท 4.81 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 133 ตารางท 4.82 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 134 ตารางท 4.83 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 135 ตารางท 4.84 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 136 ตารางท 4.85 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 137 ตารางท 4.86 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 138 ตารางท 4.87 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 139 ตารางท 4.89 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 140 ตารางท 4.90 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 141 ตารางท 4.91 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 142 ตารางท 4.92 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 143 ตารางท 4.94 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 144 ตารางท 4.95 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 145 ตารางท 4.96 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 146 ตารางท 4.97 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง .................... 147 ตารางท 4.98 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ........... 148 ตารางท 4.99 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ........... 149 ตารางท 4.100 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 150 ตารางท 4.101 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 151 ตารางท 4.102 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 152 ตารางท 4.103 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 153 ตารางท 4.104 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 154

ตารางท 4.105 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 155 ตารางท 4.106 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 156 ตารางท 4.107 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 157 ตารางท 4.108 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 158 ตารางท 4.109 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 159 ตารางท 4.110 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 160 ตารางท 4.111 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ................................................................................................... 160 ตารางท 4.112 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ) ........................................................................................... 161 ตารางท 4.113 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ .................................................................................................................. 162 ตารางท 4.114 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ) ......................................................................................................... 163 ตารางท 4.115 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ) ......................................................................................................... 164

บทท 1

บทน า

1.1. กลาวน า

ในการใหบรการทางการแพทยของสถาบนทางการแพทยมความจ าเปนตองสราง เกบรวบรวม ประมวลผล ใชงาน และสอสารขอมลสารสนเทศดานสขภาพในปรมาณมาก สงผลใหสารสนเทศดานสขภาพมความส าคญสง และในปจจบนมการน าเทคโนโลยสารสนเทศเขามาชวยสนบสนนการใหบรการทางการแพทยมากขน เพออ านวยความสะดวก และเพมประสทธภาพในการใหบรการ แตในขณะเดยวกน การน าเทคโนโลยสารสนเทศเขามาชวยสนบสนนการใหบรการทางการแพทยยอมมจดออน หรอความเสยงทจะท าใหขอมลสารสนเทศดานสขภาพสญเสยความมนคงปลอดภย ซงจะสงผลกระทบตอผรบบรการ บคลากรทางการแพทย และสถาบนทางการแพทย เชน ขอมลการรกษาพยาบาลของผรบบรการรวไหล บคลากรทางการแพทยไดรบขอมลผดพลาดท าใหเกดความผดพลาดในการใหบรการทางการแพทย รวมไปถงผลกระทบทางดานการเงน ภาพลกษณชอเสยง และกฏหมาย ระเบยบขอบงคบตาง ๆ จงมความจ าเปนอยางยงในการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ เพอลดโอกาส และผลกระทบจากเหตการณความเสยงทจะท าใหขอมลสารสนเทศดานสขภาพสญเสยความมนคงปลอดภย

1.2. ภมหลงขององคกร

ศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ตงอยท 63 หม 7 ต าบลองครกษ อ าเภอองครกษ จงหวดนครนายก ด าเนนงานภายใตการก ากบดแลของคณะแพทยศาสตร และมหาวทยาลยศรนครนทรวโรฒ โดยมงเนนความส าคญกบการ ใหบรการดานสขภาพทมความปลอดภย มคณภาพและไดรบความไววางใจจากผรบบรการ เปนโรงพยาบาลระดบตตยภมขนสงขนาด 500 เตยง มศกยภาพในการใหบรการสขภาพดานตางๆ ปจจบนเปดใหบรการ 364 เตยง และใหบรการสขภาพในระดบตตยภมขนสง ดานตางๆ ไดแก การดแลผปวยโรคไต ผปวยโรคหวใจและหลอดเลอด ผปวยปลกถายอวยวะ การดแลและตรวจวนจฉยมารดาและเดกกลม เสยงกอนคลอด การรกษาผมบตรยาก การดแลทารกแรกเกดน าหนกตวนอยกวา 1500 กรม ผปวยทไดรบการผาตดกระดกแขนและมอสวนบน ผปวยมะเรง และผปวยทสญเสยการไดยน ปจจบนเปดบรการทงสน 11 สาขา คอ สาขาสตศาสตรนรเวชวทยา, สาขากมารเวชศาสตร, สาขาอายรศาสตร, สาขาศลยศาสตร, สาขาศลยศาสตรออโธปดกส, สาขาทนตกรรม, สาขารงสวทยา, สาขาโสต ศอ นาสก, สาขาจกษ, สาขาเวชศาสตรฟนฟ และสาขาจตเวชศาสตร นอกจากนยงเปนสถาบนในการจดการเรยนการสอน

ของคณะแพทยศาสตรและนสตคณะอน ๆ ในสายวทยาศาสตรสขภาพทเกยวของ รวมทงเปนแหลงวจยในทางคลนคทมคณภาพ

ในปจจบนมการน าระบบงานเทคโนโลยสารสนเทศเขามาใชสนบสนนภารกจงานดานบรการรกษาทางการแพทยใหมความถกตอง แมนย า ลดความผดพลาด และลดปรมาณการใชกระดาษลง สงผลใหการใหบรการทางการแพทยของศนยการแพทยฯ มคณภาพ และสรางความนาเชอถอแกผรบบรการ แตในขณะเดยวกนการน าระบบงานเทคโนโลยสารสนเทศเขามาใชงาน ยอมท าใหขอมลสารสนเทศดานสขภาพมความเสยงดานความมนคงปลอดภย อาจสงผลกระทบรายแรงตอผรบบรการทางการแพทย รวมถงผลกระทบตอบคคลากรทางการแพทย และผลกระทบตอศนยการแพทยฯ เมอเหตการณความเสยงนนเกดขน

1.3. ปญหาทเกดขน

ประเดนทน ามาพจารณากคอ ระบบสารสนเทศโรงพยาบาล (Hospital Information System) ของศนยการแพทยไมท างานทงระบบหรอในสวนทส าคญ ๆ บางสวน จนสงผลใหการด าเนนงานของหนวยงานตาง ๆ ไมสามารถเขาถงและรบสงสารสนเทศทส าคญ ๆ ในการใหบรการทางการแพทยได จากการตรวจสอบประวตยอนหลงไปพบวา เรองนเกดขนหลายครงแตครงทรนแรงทสดกคอระบบสารสนเทศไมท างานทงระบบยาวนานประมาณ 2 ชวโมง จากการตรวจสอบพบวา สาเหตเกดจากการปฏบตงานผดพลาดของผดแลระบบทด าเนนการปรบเปลยนระบบโดยไมมกระบวนการในการขออนมตการเปลยนแปลงจากผบงคบบญชาและประชมกบผมสวนไดสวนเสยทงหลาย สงผลใหระบบงานตองเพมภาระในการประมวลผลขอมลสงขนมา ผนวกกบการขาดการตงคาระบบฐานขอมลอยางมนคงปลอดภย จนท าใหปญหาบานปลายท าใหระบบฐานขอมลเสยหาย

จากปญหาทกลาวนน สะทอนใหเหนวาฝายเทคโนโลยสารสนเทศมการด าเนนการเพอใหบรการ และแกปญหาระบบสารสนเทศโรงพยาบาล แตยงขาดการบรหารความเสยง และความมนคงปลอดภยสารสนเทศอยางเปนระบบ ใหเปนมาตรฐานสากล สามารถตรวจสอบได เพอใหสารสนเทศดานสขภาพของศนยการแพทยมการรกษาความลบ ความถกตองสมบรณ และความพรอมใชงาน และสามารถรบมอกบความเสยงตางๆ เพอลดความรนแรงของผลกระทบทอาจเกดขนได

1.4. แนวทางในการแกปญหา

จากปญหาทกลาวมาขางตน มแนวทางในการแกปญหาโดยการประเมนความเสยง และหาวธจดการกบความเสยงดงกลาว แตเพอใหมการด าเนนการอยางเปนระบบ มกระบวนการท างานทมประสทธภาพ มการพฒนาอยางตอเนอง โปรงใส และเปนมาตรฐานทสามารถตรวจสอบได จงมแนวคดในการน าขอก าหนดในมาตรฐานสากล ISO/IEC 27001:2013 และ ISO/IEC 27799:2016 มา

เปนแนวทางในการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ เพอใหศนยการแพทยฯ มกระบวนการในการบรหารความเสยงสารสนเทศดานสขภาพ ซงจะสงผลใหศนยการแพทยฯ มระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ สอดคลองตามมาตรฐานสากล ISO/IEC 27001:2013 และ ISO/IEC 27799:2016

1.5. วตถประสงค

ในการจดท าโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร มวตถประสงค ดงน

1.5.1. เพอพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016

1.5.2. เพอใหมกระบวนการบรหารความเสยง และการด าเนนการลดความเสยงความมนคงปลอดภยสารสนเทศดานสขภาพอยางเปนระบบ

1.5.3. เพอก าหนดนโยบาย และระเบยบปฏบตในการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ

1.6. ขอบเขตการด าเนนงาน

ในการจดท าโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร จะด าเนนงานเฉพาะในขอบเขตของระบบสารสนเทศโรงพยาบาล และระบบเทคโนโลยสารสนเทศทสนบสนนการใหบรการของระบบสารสนเทศโรงพยาบาล โดยไมรวมถงระบบเทคโนโลยสารสนเทศทสนบสนนภารกจงานอน ๆ เชน ระบบเทคโนโลยสารสนเทศเพอการจดการทรพยากรบคคล เปนตน โดยมขอบเขตการด าเนนงาน ดงน

1.6.1. วเคราะหบรบทภายใน บรบทภายนอก ความตองการ และความคาดหวงของผทเกยวของของศนยการแพทยฯ

1.6.2. แตงตงคณะกรรมการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ 1.6.3. บรหารความเสยง และการด าเนนการลดความเสยงความมนคงปลอดภยสารสนเทศ

ดานสขภาพ 1.6.4. จดท านโยบายการรกษาความมนคงปลอดภนสารสนเทศ และระเบยบปฏบตท

เกยวของ

1.7. ประโยชนทคาดวาจะไดรบ หลงจากด าเนนโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตาม

มาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ส าเรจแลวจะเกดประโยชน ดงน

1.7.1. ทราบจดออน ภยคกคาม โอกาส และผลกระทบของความเสยงดานความมนคงปลอดภยสารสนเทศ

1.7.2. ระดบความรนแรงของความเสยงดานความมนคงปลอดภยสารสนเทศลดลง 1.7.3. บลากรมความรความเขาใจในการด าเนนงานตามมาตรฐาน ISO/IEC 27799:2016 1.7.4. มการด าเนนงานอยางเปนระบบ สามารถตรวจสอบยอนกลบได

1.8. สรปเนอหาของสารนพนธ

บทท 1 บทน า อธบายถงภมหลงขององคกร ปญหาทเกดขน และแนวทางการแกปญหา ซงรวมถงการก าหนดวตถประสงค ขอบเขตการด าเนนงาน และประโยชนทคาดวาจะไดรบ

บทท 2 พนฐานและทฤษฎทเกยวของ อธบายถงพนฐาน หรอทฤษฏทเกยวของในการด าเนนงาน ไดแก สารสนเทศ (Information), สารสนเทศดานสขภาพ (Health Informatic), ระบบสารสนเทศเพอการดแลสขภาพ (Health Care Information System: HCIS), ความมนคงปลอดภยสารสนเทศ (Information Security), มาตรฐาน ISO (International Standards Organization), การบรหารความเสยง (Risk Management), ภยคกคามความมนคงปลอดภยสารสนเทศดานสขภาพ, ระบบบรหาร (Management System), ระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Management System), มาตรฐาน ISO/IEC 27001:2013 และมาตรการควบคมความเสยงสารสนเทศดานสขภาพ (ISO/IEC 27799: 2016)

บทท 3 การด าเนนการ อธบายถงขนตอน และวธการด าเนนงาน ไดแก การศกษาบรบทขององคกร, การก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ, การก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ, การก าหนดโครงสราง บทบาท หนาท ความรบผดชอบ, การอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799, การประเมนความเสยง, การวดประสทธภาพ และประสทธผลของการด าเนนงาน, การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน, การด าเนนการปรบปรงแกไขการด าเนนงานใหสอดคลองตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799

บทท 4 ผลการด าเนนการ อธบายถงผลการด าเนนงานตามขนตอน และวธการด าเนนงาน จากบทท 3 การด าเนนการ

บทท 5 สรปผลและวจารณ สรปผลการด าเนนงาน ประโยชนทไดรบ ปญหาและอปสรรคในการด าเนนงาน ซงรวมถงแนวทางการพฒนาหรอปรบปรง

เอกสารอางอง เปนการอางองรายชอหนงสอ วารสาร เอกสาร หนงสอ สงพมพอนๆ โสตทศนวสดตางๆ ทไดน าขอมลมาเพอประกอบการเขยนสารนพนธ

ภาคผนวก เปนสวนประกอบทเพมเขามาชวยใหเกดความสมบรณของสารนพนธ เชน นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ, ผลการอบรม, เอกสารการประยกตใชมาตรการควบคมความเสยง เปนตน

บทท 2

พนฐานและทฤษฎทเกยวของ

จากปญหาความมนคงปลอดภยสารสนเทศดานสขภาพของผใชบรการทางการแพทย และการน าระบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ซงมการน ากระบวนการประเมนความเสยงและการประยกตใชมาตรการควบคมตางๆ เพอจดการกบความเสยงอยางเปนระบบ มาเปนแนวทางการแกปญหาดงกลาว ผจดท าจงน าเสนอทฤษฎในการจดตงระบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ และทฤษฏทเกยวของในการด าเนนการเพอแกปญหาดงตอไปน

2.2. สารสนเทศ (Information)

สารสนเทศ (Information) หมายถง ขอมล หรอขอเทจจรงทผานกระบวนการประมวลผลจนท าใหมความถกตอง แมนย า สามารถน ามาใชประโยชนได

สารสนเทศถอเปนทรพยสนประเภทหนงขององคกร ซงทมความส าคญสงตอการด าเนนธรกจ จงมความจ าเปนตองไดรบการปอกกนรกษาใหเกดความมนคงปลอดภย โดยทวไปสารสนเทศจะถกจดเกบในรปแบบอเลกทรอนกส กระดาษ รวมถงความรหรอภมปญญาของบคลากรภายในองคกร ดงนนสารสนเทศสามารถสงตอไดหลายวธ ทงวธการทางอเลกทรอนกส และการสอสารทางวาจา

นอกจากนสารสนเทศยงมความสมพนธกบเทคโนโลยสารสนเทศและการสอสารขององคกร เนองจากการประมวลผลของเทคโนโลยสารสนเทศและการสอสารจะท าใหมการสราง ค านวน จดเกบ สงตอ ปองกน หรอท าลายสารสนเทศ

2.3. สารสนเทศดานสขภาพ (Health Informatic)

สารสนเทศดานสขภาพ (Health Informatic) หมายถง สารสนเทศทเกยวของกบองคความร การประมวลผลและการสอสารสารสนเทศในทางการแพทย การศกษาวจยทางการแพทย รวมถงสารสนเทศและเทคโนโลยทสนบนนกจกรรมเหลาน

บางครงสารสนเทศดานสขภาพอาจเปนขอมลสวนบคคล (Information Privacy) หรอขอมลทระบตวตนได (Personally Identifiable Information) เชน ชอ นามสกล หมายเลขบตรประจ าตวประชาชน หมายเลขบตรเครดต เปนตน 2.4. ระบบสารสนเทศเพอการดแลสขภาพ (Health Care Information System: HCIS)

ระบบสารสนเทศเพอการดแลสขภาพ (Health Care Information System: HCIS) หมายถง ระบบสารสนเทศทมการจดการดานขอมลสารสนเทศ กระบวนการ บคลากร และระบบเทคโนโลยสารสนเทศทสนบสนนองคกรทใหบรการทางการแพทยหรอองคกรเพอการดแลสขภาพ

ระบบสารสนเทศเพอการดแลสขภาพ สามารถแบงตามเปาหมายการใชงาน และขอมลทจดเกบในระบบออกเปน 2 สวนหลก ไดแก

2.4.1. ระบบสารสนเทศเพอการบรหาร (Administrative Information System) เปนระบบสารสนเทศทมการจดเกบขอมลการบรหารงานทวไป และขอมลทางการเงน ใชเพอสนบสนนกระบวนการจดการ และการปฏบตงานทวไป เชน ระบบงานธรการ ระบบงานพสด ครภณฑ ระบบงานบญช และการเงน ระบบงานประชาสมพนธ ระบบงานพฒนาคณภาพบรการระบบงานขอมลขาวสารและวชาการ ระบบงานศกษา (แพทยและพยาบาล) และระบบงานส าหรบผบรหารโรงพยาบาล เปนตน

2.4.2. ระบบสารสนเทศทางคลนก (Clinical Information System) เปนระบบสารสนเทศทมการจดเกบขอมลทางคลนกหรอขอมลเกยวกบสขภาพ ใชเพอสนบสนนการวนจฉยโรค รกษาผปวย และตดตามดแลผปวย ระบบสารสนเทศทางคลนกอาจจะเปนระบบสารสนเทศของแผนกหรอสวนงาน (เชน แผนกรงสวทยา แผนกเภสชกรรม แผนกปฏบตการพยาธวทยา เปนตน) ระบบสนนการตดสนใจ หรอระบบบนทกขอมลทางการแพทยอเลกทรอนกส (Electronic Medical Record)

นอกจากระบบบนทกขอมลทางการแพทยอเลกทรอนกส ยงมระบบบนทกขอมลดานสขภาพอเลกทรอนกส และระบบบนทกขอมลดานสขภาพสวนบคคลอเลกทรอนกส ซงสามารถแสดงได ดงตารางท 2.1 ตารางเปรยบเทยบระบบบนทกขอมลทางการแพทยอเลกทรอนกส ระบบบนทกขอมลดานสขภาพอเลกทรอนกส และระบบบนทกขอมลดานสขภาพสวนบคคลอเลกทรอนกส

ตารางท 2.1 ตารางเปรยบเทยบระบบบนทกขอมลทางการแพทยอเลกทรอนกส ระบบบนทกขอมลดานสขภาพอเลกทรอนกส และระบบบนทกขอมลดานสขภาพสวนบคคลอเลกทรอนกส

ระบบบนทกขอมลทางการแพทยอเลกทรอนกส

ระบบบนทกขอมลดานสขภาพอเลกทรอนกส

ระบบบนทกขอมลดานสขภาพสวนบคคล

อเลกทรอนกส

ร ะ บ บ บ น ท ก ข อ ม ล ท า งการแพทย อ เ ล กทรอน กส ( Electronic Medical Record) ห ม า ย ถ ง ร ะ บ บเทคโนโลยสารสนเทศท ใชจดเกบขอมลท เกยวของกบสขภาพของบคคล ซงสามารถสราง รวบรวม จดการ และใหค าปร กษาโดยแพทย และเจาหนาทในองคกรทใหบรการทางการแพทยหรอองคกรเพอการดแลสขภาพองคกรหนง

ระบบบนทกขอมลดานสขภาพอ เล กทรอนกส (Electronic Health Record) ห ม า ย ถ ง ระบบเทคโนโลยสารสนเทศทเ ป น ไปตามมาตรฐานการท า งานร วมกนท ไ ด ร บการยอมรบในระดบประเทศ และใชจดเกบขอมลทเกยวของกบสขภาพของบคคล ซงสามารถสราง รวบรวม จดการ และใหค าปร กษาโดยแพทย และเจาหนาทในองคกรทใหบรการทางการแพทยหรอองคกรเพอการดแลสขภาพมากกวาหนงองคกร

ระบบบนทกขอมลดานสขภาพส วนบ คคล อ เล กทรอน กส (Personal Health Record) หมายถ ง ระบบเทคโนโลยส า ร ส น เ ท ศ ท เ ป น ไ ป ต า มมาตรฐานการท างานรวมกนทไ ด ร บ ก า ร ย อ ม ร บ ใ นระดบประเทศ และสามารถรวบรวมขอมลมาจากหลายแหลงขอมล และมการจดการใช ร วมกนและควบคม โดยบคคล

ส าหรบระบบบนทกขอมลทางการแพทยอเลกทรอนกส และระบบบนทกขอมลดานสขภาพ

อเลกทรอนกสมฟงกชนการท างานใกลเคยงกน โดยแบงออกเปนฟงกชนหลก และฟงกชนอนๆ ซงสามารถแสดงได ดงตารางท 2.2 ตารางเปรยบเทยบฟงกชนหลก และฟงกชนอนๆ ของระบบบนทกขอมลทางการแพทยอเลกทรอนกส และระบบบนทกขอมลดานสขภาพอเลกทรอนกส

ตารางท 2.2 ตารางเปรยบเทยบฟงกชนหลก และฟงกชนอนๆ ของระบบบนทกขอมลทางการแพทยอเลกทรอนกส และระบบบนทกขอมลดานสขภาพอเลกทรอนกส

ล าดบท ฟงกชนหลก ฟงกชนอนๆ

1 ข อ ม ล ส า ร ส น เ ท ศ ด า น ส ข ภ า พ : ประกอบดวยการวนจฉยทางการแพทย และการพยาบาล , รายการยา , ขอมลประชากร, การบรรยายทางคลนก และผลการทดสอบในหองปฏบตการ

ก า ร ส อ ส า ร แ ล ะ ก า ร เ ช อ ม ต อ ท า งอเลกทรอนกส: ชวยใหผทเกยวของในการดแลผ ป ว ย ม ช อ ง ท า ง ก า ร ส อ ส า ร อ ย า ง มประสทธภาพกบบคคลทเกยวของ และกบผปวย อาจรวมถงการสงขอความทางอเลกทรอนดส และการรกษาทางไกล

2 การจดการผลลพธ: จดการผลการทดสอบทกประเภททางอเลกทรอนกส เชน ผลการตรวจทางหองปฏบตการ ผลการตรวจทางรงสวทยา เปนตน

การสนบสนนผ ป วย : การใหความร หรอค าแนะน าผปวย รวมไปถงระบบเฝาระวงผปวยทอยทบานจากระยะไกล

3 ร า ย ก า ร ค า ส ง แ ล ะ ก า ร ส น บ ส น น : ประกอบดวยการใช รายการค าส งทเกยวกบการใหบรการทางการแพทยโดยคอมพวเตอรโดยเฉพาะอยางยงในรายการค าสงจายยา

กระบวนการบรหาร: อ านวยความสะดวก และลดความซบซอนของกระบวนการ เชน การก าหนดตารางเวลา การอนมตกอนหนา การตรวจสอบการประกน อาจใชรวมกบเครองมอสนบสนนการตดสนใจ เพอระบผปวยทมสทธเขารบการรกษาทางคลนก

4 สนบสนนการตดสนใจ: ใชความสามารถใ น ก า ร ต ด ส น ใ จ ท า ง ค ล น ก แ บ บคอมพวเตอร เชน การเตอนความจ า การแจงเตอน และการวนจฉยโรคโดยใชคอมพวเตอรชวย

การรายงาน: การก าหนดรปแบบ การจดท า และออกรายงานตามความตองการของผทเกยวของ

2.5. ความมนคงปลอดภยสารสนเทศ (Information Security)

ความมนคงปลอดภยสารสนเทศ (Information Security) คอการปองกน รกษาขอมลสารสนเทศใหมความมนคงปลอดภยตามองคประกอบ ดงน

2.5.1. ความลบ (Confidentiality) หมายถง สารสนเทศตองไมถกเปดเผย หรอเผยแผใหบคคล หนวยงาน หรอกระบวนการทไมไดรบอนญาต

2.5.2. ความพรอมใชงาน (Availability) หมายถง ผทมสทธสามารถเขาถง และใชงานสารสนเทศไดเมอมความตองการใชงาน

2.5.3. ความถกตองสมบรณ (Integrity) หมายถง สารสนเทศตองมเนอหาถกตรง และครบถวนอยเสมอ

ซงความมนคงปลอดภยสารสนเทศมความเกยวของกบการบรหารจดการความเสยงดานความมนคงปลอดภยสารสนเทศ และการประยกตใชมาตรการควบคมความเสยงอยางเหมาะสม เพอใหมนใจวาองคกรจะสามารถลดผลกระทบ หรอโอกาสของความเสยงไดตามเกณฑทองคกรยอมรบได

2.6. มาตรฐาน ISO (International Standards Organization)

มาตรฐาน ISO (International Standards Organization) เปนมาตรฐานหรอกรอบแนวทางทถกพฒนาขนโดยองคการมาตรฐานสากล (International Standards Organization: ISO) ก าหนดขนมาใหสามารถประยกตใชไดกบกระบวนการ กจกรรม สนคาหรอบรการ และบคคล เพอเปนเกณฑส าหรบการเปรยบเทยบหรอวดผลซงเปนทยอมรบ และมการน าไปปฏบตในระดบสากล

2.7. การบรหารความเสยง (Risk Management)

2.7.1. ความเสยง (Risk) ความเสยง (Risk) หมายถง ผลของเหตการณทเกดขนแลวสงผลกระทบตอความไม

แนนอนของวตถประสงคทก าหนดไว โดยทวไปความเสยงมกพจารณาจากโอกาสในการเกดขนของเหตการณดงกลาว และผลกระทบทตามมาทจะท าใหไมสามารถบรรรลวตถประสงคตามทตองการได

2.7.2. มาตรฐาน ISO 31000:2009 มาตรฐาน ISO 31000:2009 เปนหลกการและแนวทางในการบรหารความเสยง ซง

สามารถน าไปประยกตใชไดกบการด าเนนงานของอตสาหกรรม องคกร สมาคม สถาบน หรอกลมตางๆ รวมไปถงกลยทธ กจกรรม โครงการ สนคาหรอบรการ และทรพยสน โดยพจารณาจากวตถประสงค บรบท โครงสราง กระบวนการ โครงการ สนคาหรอบรการ และทรพยสนขององคกร

มาตรฐาน ISO 31000:2009 จะกลาวถงเนอหา ดงตอไปน 1) การก าหนดกรอบแนวทางการประเมนความเสยง 2) กระบวนการประเมนความเสยง ซงประกอบดวยการสอสาร การวเคราะห

บรบททเกยวของ การประเมนความเสยง การจดการความเสยง และการเฝาระวงทบทวนความเสยง

โดยสามารถแสดงไดดงรปท 2.1 ภาพรวมเนอหาของมาตรฐาน ISO 31000:2009

รปท 2.1 ภาพรวมเนอหาของมาตรฐาน ISO 31000:2009

หากองคกรน ามาตรฐาน ISO 31000:2009 ไปประยกตใชในการบรหารจดการความ

เสยง จะท าใหองคกรไดประโยชน ดงน 1) เพมโอกาสในการบรรลตามวตถประสงคทก าหนดไว 2) สงเสรมใหมการบรหารจดการเชงรก 3) บคลากร และผทเกยวของมความตระหนกถงความจ าเปนในการบรหารจดการ

ความเสยงทวทงองคกร 4) ปรบปรงวธการระบโอกาสและภยคกคามของเหตการณความเสยง 5) การด าเนนการสอดคลองตามขอก าหนดของกฏหมาย ระเบยบขอบงคบ และ

มาตรฐานทเกยวของ 6) องคกรมการก ากบดแลทด 7) สรางความนาเชอ และความมนใจใหกบผทเกยวของ 8) มการตดสนใจ และวางแผนอยางเปนระบบ 9) มการจดสรร และใชทรพยากรในการจดการความเสยงอยางมประสทธภาพ 10) มการปองกนและจดการเหตการณความเสยงทเกดขนอยางเหมาะสม

2.7.3. การสอสาร (Communication) เนองจากความเสยง และการจดการความเสยงเปนขอมลส าคญทใชประกอบการ

ตดสนใจ จงมความจ าเปนทตองมการสอสารเรองทเกยวของตลอดทกขนตอนการบรหารจดการความเสยงไปยงผทเกยวของ ทงภายใน และภายนอก

2.7.4. การวเคราะหบรบททเกยวของ (Context Analysis) การวเคราะหบรบทควรพจารณาใหมความเชอมโยงกบวตถประสงค และขอบเขต

การบรหารจดการความเสยง โดยแบงออกเปนบรบทภายใน บรบทภายนอก ดงน 1) บรบทภายใน หมายถง สภาพแวดลอมภายในทมผลตอการบรรลวตถประสงค

ขององคกร ไดแก การก ากบดแล โครงสรางองคกร กลยทธ นโยบาย ขดความสามารถดานทรพยากร ผมสวนไดเสยภายในองคกร วฒนธรรมองคกร และมาตรฐานแนวทางทองคกรน ามาประยกตใช

2) บรบทภายนอก หมายถง สภาพแวดลอมภายนอกทมผลตอการบรรลวตถประสงคขององคกร ไดแก สงคม วฒนธรรม กฏหมาย ขอบงคบ การเมอง เทคโนโลย เศรษฐกจ สภาพการแขงขนทางธรกจ และผมสวนไดเสยภายนอกองคกร

เมอท าการวเคราะหบรบทแลวตองน าผลการวเคราะหมาพจารณาก าหนดเกณฑการประเมนความเสยงทมความเหมาะสมกบองคกร

2.7.5. การประเมนความเสยง (Risk Assessment) ในขนตอนการประเมนความเสยงจะแบงเปน 3 ขนตอนยอย ดงน 1) การระบเหตการณความเสยง คอการระบแหลงทมา ผลกระทบ และสาเหตของ

ความเสยง รวมถงผลสบเนองทอาจสงผลตอการบรรลวตถประสงคขององคกร โดยพจารณาใหครอบคลมทงความเสยงจากภายใน และภายนอกองคกร

2) การวเคราะหความเสยง จากการระบเหตการณความเสยง ใหพจารณาแหลงทมาและสาเหตของความเสยงนนๆ เพอน ามาก าหนดผลกระทบ และโอกาสเกดความเสยงตามเกณฑทก าหนดไว

3) การประเมนความเสยง เมอไดท าการวเคราะหผลกระทบและโอกาสการเกดขนของความเสยงแลว ใหน าขอมลมาประเมนระดบของความเสยง เพอจดล าดบความส าค ญในการจดการความเสยง และสามารถใชเปนขอมลสนบสนนการตดสนใจของผบรหารได นอกจากนในการประเมนความเสยงยงรวมถงการพจารณายอมรบหรอจดการความเสยงอยางเหมาะสม

2.7.6. การจดการความเสยง (Risk Treatment) เปนการเลอกทางเลอกในการจดการความเสยง หรอการเลอกใชมาตรการควบคม

ความเสยง รวมถงการน าทางเลอกและมาตรการไปปฏบตเพอจดการความเสยงอยางเหมาะสม การจดการความเสยงจะเกยวของกบกระบวนการตอไปน

- การประเมนวธการจดการความเสยง - การตดสนใจยอมรบ หรอไมยอมรบความเสยงทยงเหลออยหลงจากด าเนนการ

จดการความเสยงแลว - การพจารณาเลอกวธการจดการความเสยงใหม กรณไมยอมรบความเสยงทยง

เหลออยหลงจากด าเนนการจดการความเสยงแลว - การประเมนประสทธผลของการจดการความเสยง ทงน ทางเลอกในการจดการความเสยงไมจ าเปนตองเหมอนและเหมาะสมกบทก

เหตการณความเสยงทก าหนดขน ซงทางเลอกในการจดการความเสยงมดงน - การก าจดแหลงทมาของความเสยง - การลดโอกาสการเกดขนของความเสยง - การลดผลกระทบของความเสยง - การกระจายความเสยงไปยงผเกยวของ - การหลกเลยงความเสยง โดยการไมด าเนนการในกจกรรมทกอใหเกดความเสยง - การยอมรบหรอเพมความเสยง เพอไดโอกาสในการบรรลวตถประสงคมากขน - การคงความเสยงไว ในขนตอนการจดการความเสยงจะแบงเปน 2 ขนตอนยอย ดงน 1) การเลอกทางเลอกในการจดการความเสยง คอการเลอกทางเลอกในการจดการ

ความเสยงทเหมาะสมทสด โดยพจารณาจากตนทน ประโยชนทไดรบ กฏหมาย ระเบยบขอบงคบ ผลกระทบตอผทเกยวของ และผลกระทบตอความเสยงอนๆ ซงสามารถพจารณาเลอกทางเลอกมากกวาหนงทางเลอกในการด าเนนการจดการความเสยงไดตามความเหมาะสม นอกจากนควรก าหนดล าดบความส าคญของการน าทางเลอกในการจดการความเสยงไปปฏบตอยางชดเจน และระบถงความเสยงทอาจไดรบผลกระทบจากการด าเนนการจดการความเสยง

2) การเตรยมการ และด าเนนการ ตองมการจดท าแผนการจดการความเสยงเปนลายลกษณอกษร มเนอหาครอบคลมถง เหตผลในการเลอก ประโยชนทคาดวาจะไดรบ ผรบผดชอบ วธการด าเนนการ ทรพยากรทใช การรายงานผล การวด

ความสมฤทธผล และความเสยงทยงคงเหลออยหลงจากด าเนนการจดการความเสยงแลว

2.7.7. การเฝาระวงและตดตาม (Monitoring and Review) ควรมการก าหนดชวงระยะเวลา และผรบผดชอบในการเฝาระวงและตตามผลการ

ด าเนนการจดการความเสยง โดยมวตถประสงค ดงน 1) เพอใหมนใจวามาตรการทน ามาใชจดการความเสยงมประสทธภาพ ประสทธผล

เพยงพอ 2) เพอใหไดขอมลสารสนเทศสนบสนนการพฒนาปรบปรงการบรหารความเสยง 3) เพอใหเกดการวเคราะหและเรยนรจากกเหตการณ ทงทประสบความส าเรจ

และไมประสบความส าเรจ 4) เพอพจารณาบรบทภายในและภายนอกทอาจมการเปลยนแปลง และน ามา

ปรบปรงเกณฑการประเมนความเสยงใหมมความเหมาะสม 5) เพอระบเหตการณความเสยงใหมๆ ผลจากการเฝาระวงและตดตามควรมการจดท า และจดเกบเปนลายลกษณ และม

การรายงานไปยงผทเกยวของอยางเหมาะสม

2.8. ภยคกคามความมนคงปลอดภยสารสนเทศดานสขภาพ ภยคกคามดานความมนคงปลอดภยสารสนเทศทอาจสงผลกระทบตอสารสนเทศดานสขภาพ

ท าใหสญเสยความลบ ความถกตองสมบรณ หรอความพรอมใช มดงตอไปน 2.8.1. การปลอมตวโดยบคลากรภายในองคกร (รวมถงบคลากรทางการแพทย และ

บคลากรทสนบสนนการใหบรการทางการแพทย) คอการเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยใชบญชผใชงานของบคลากรอนแทน อาจเกดจากบคลากรตองการความสะดวก และความคลองตวในการปฏบตงาน หรอการปลอมตวโดยเจตนาเพอปกปดความผดหรอเหตการณทท าใหเกดอนตราย ซงการปลอมตวโดยบคลากรภายในองคกรเปนสาเหตส าคญทท าใหสารสนเทศดานสขภาพสญเสยความลบ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การระบตวตนของผใชงาน 2) การพสจนตวตนของผใชงาน 3) การตรวจสอบตนทางการใชงาน 4) การควบคมการเขาถง

5) การบรหารจดการสทธการใชงาน 2.8.2. การปลอมตวโดยผใหบรการภายนอก (รวมถงผทไดรบอ านาจทางกฏหมายให

สามารถเขาถงระบบเทคโนโลยสารสนเทศและขอมลขององคกรได) คอการเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยผใหบรการภายนอกเพอเขาถงขอมลสารสนเทศโดยไมไดรบอนญาต ซงการปลอมตวโดยผใหบรการภายนอกเปนสาเหตส าคญทท าใหสารสนเทศดานสขภาพสญเสยความลบ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การระบตวตนของผใชงาน 2) การพสจนตวตนของผใชงาน 3) การตรวจสอบตนทางการใชงาน 4) การควบคมการเขาถง 5) การบรหารจดการสทธการใชงาน

2.8.3. การปลอมตวโดยบคคลภายนอก จะเกดขนเมอบคคลทไมมสทธ หรอไมไดรบอนญาตใหสามารถเขาถงระบบเทคโนโลยสารสนเทศขององคกรได ท าการเขาถงโดยแอบอางใชสทธของผทมสทธในการเขาถง หรอถกหลอกลวงใหกลายเปนผทไดรบอนญาตในการเขาถง โดยทวไปการปลอมตวโดยบคคลภายนอกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การระบตวตนของผใชงาน 2) การพสจนตวตนของผใชงาน 3) การตรวจสอบตนทางการใชงาน 4) การควบคมการเขาถง 5) การบรหารจดการสทธการใชงาน

2.8.4. การใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยไมไดรบอนญาต โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการเขาถง 2) การควบคมการตรวจสอบ 3) ความมนคงปลอดภยดานบคคลากรทเกยวของ

2.8.5. โปรแกรมไมประสงคด หรอซอฟตแวรทเปนอนตราย โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) ความผดพลาดหรอความลมเหลวของซอฟตแวรปองกนโปรแกรมไมประสงคด

2) ขาดการควบคมการเปลยนแปลงซอฟตแวร 3) ขาดการจดการชองโหวของซอฟตแวร

2.8.6. การใชงานทรพยากรระบบเทคโนโลยสารสนเทศ และบรการอนๆ ทสนบสนนการท างานของบคลากรอยางไมถกตอง ซงรวมถงการดาวนโหลดขอมลทไมเกยวของจากอนเทอรเนต การตงคาตางๆ ของผใชงาน หรอการด าเนนการใดๆ ของผใชงาน จนท าใหสภาพความพรอมใชของระบบงานลดลง โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) ขอตกลงการใชงานระบบเทคโนโลยสารสนเทศอยางมนคงปลอดภยสารสนเทศ

2) ความมนคงปลอดภยดานบคลากร 2.8.7. การขดขวางการสอสารทางอเลกทรอนกส คอการขดขวางการไหลของสารสนเทศ

ทางเครอขาย รวมถงการดกจบสารสนเทศ และการรบกวนการสอสารทางอเลกทรอนกส เพอใหระบบเครอขายปฏเสธการใหบรการ ท าใหการสอสารไมถกตอง หรอท าใหสารสนเทศดานสขภาพสญเสยความลบ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) ความลมเหลวของระบบตรวจจบการบกรก 2) การควบคมการเขาถงทางเครอขาย

2.8.8. การปฏเสธการรบหรอสงสารสนเทศ คอการทผใชงานปฏเสธทจะสงสารสนเทศไปยงผทตองการสารสนเทศ และการทผใชงานไมมนใจหรอปฏเสธทจะรบสารสนเทศทสงมาจากแหลงทนาเชอถอ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การพสจนตวตนของผใชงาน 2) การตรวจสอบตนทางการใชงาน 3) การยนยนความถกตองในการสงสารสนเทศ

2.8.9. ความลมเหลวในการเชอมตอเครอขายทงภายใน และภายนอก โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการเปลยนแปลงการตงคา

2) การควบคมผใหบรการภายนอก 2.8.10. ความผดพลาดในการสอสารขอมลไปยงปลายทางทไมถกตอง เนองจากการตงคา

ผดพลาด หรอระบบประมวลผลพดพลาด โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการเปลยนแปลงการตงคา 2) การทบทวนทางเทคนค

2.8.11. ความลมเหลวทางเทคนค ซงรวมถงฮารดแวร ซอฟตแวร ระบบเทคโนโลยสารสนเทศ ระบบเครอขาย และโครงสรางพนฐาน โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการเปลยนแปลงการตงคา 2) การทบทวนทางเทคนค

2.8.12. ความลมเหลวของระบบสนบสนนการใหบรการ และความลมเหลวจากภยคกคามทางธรรมชาต โดยทวไปมกเกดขนไดเพราะความบกพรองของการเตรยมความพรอมรบมอตอสถานการณตางๆ อยางเหมาะสม

2.8.13. ขอผดพลาดในการด าเนนงาน ของบคลากรภายในองคกร และผใหบรการภายนอก โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการปฏบตงาน 2) ความมนคงปลอดภยดานบคลากร

2.8.14. ความผดพลาดของผใชงาน โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) ขอตกลงการใชงานระบบเทคโนโลยสารสนเทศอยางมนคงปลอดภยสารสนเทศ

2) ความมนคงปลอดภยดานบคลากร 2.8.15. ขาดแคลนบคลากร รวมถงการโยกยายเปลยนต าแหนงงาน โดยทวไปมกเกดขนได

เพราะความบกพรองของมาตรการความมนคงปลอดภยดานบคลากร 2.8.16. การโจรกรรมโดยบคลากรภายในองคกร (รวมถงการโจรกรรมอปกรณ และขอมล

สารสนเทศ) เนองจากบคลากรภายในองคกรสามารถเขาถงไดมากกวาบคลากรภายนกองคกร สงผลใหการโจรกรรมโดยบคลากรภายในองคกรมโอกาสเกดไดสง โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการถายโอนสารสนเทศ 2) การควบคมการน าทรพยสนเขา – ออกพนท 3) การควบคมทางกายภาพ

2.8.17. การโจรกรรมโดยบคลากรภายนอกองคกร (รวมถงการโจรกรรมอปกรณ และขอมลสารสนเทศ) โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการถายอาสารสนเทศ 2) การควบคมการน าทรพยสนเขา – ออกพนท 3) การควบคมทางกายภาพ

2.8.18. การจงใจท าใหเกดความเสยหายโดยบคลากรภายในองคกร คอการกระท าของบคลากรภายในองคกรทจงใจท าใหเกดความเสยหายตอระบบเทคโนโลยสารสนเทศ และระบบสนบสนนตางๆ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการความมนคงปลอดภยดานบคลากร

2.8.19. การจงใจท าใหเกดความเสยหายโดยบคลากรภายนอกองคกร คอการกระท าของบคลากรภายนอกองคกรทจงใจท าใหเกดความเสยหายตอระบบเทคโนโลยสารสนเทศ และระบบสนบสนนตางๆ เนองจากองคกรทใหบรการทางการแพทยจะมการเขา – ออกของบคลการภายนอกจ านวนมาก การควบคมความเสยงเปนไปไดยาก โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมการเขาถงดานตางๆ

2.8.20. การกอการราย ทประสงคท าลายระบบเทคโนโลยสารสนเทศ หรอท าลายการใหบรการทางการแพทยขององคกร ดงนนองคกรควรมการเตรยมการรบมอเหตการกอการรายอยางเหมาะสม

2.9. ระบบบรหาร (Management System) ระบบการบรหารจดการโดยใชกรอบทรพยากรทมอย เพอใหบรรลวตถประสงคขององคกร

ระบบบรหารประกอบดวยโครงสรางองคกร นโยบาย กจกรรม การวางแผน ความรบผดชอบ การปฏบตขนตอนกระบวนการ และทรพยากร

ในดานของความมนคงปลอดภยสารสนเทศ ระบบบรหารจะมสวนชวยองคกร ดงน 2.9.1. ตอบสนองตอความตองการ และความคาดหวงดานความมนคงปลอดภยสารสนเทศ

ของลกคา และผทเกยวของ 2.9.2. ปรบปรงกจกรรม และแผนการด าเนนงานขององคกร

2.9.3. บรรลวตถประสงคดานความมนคงปลอดภยสารสนเทศขององคกร 2.9.4. การด าเนนงานขององคกรสอดคลองกบกฏหมาย ระเบยบขอบงคบตางๆ 2.9.5. มการจดการสนทรพยสารสนเทศอยางเปนระเบยบ ซงจะชวยใหสามารถปรใหเขา

กบเปาหมายขององคกร และมการปรบปรงอยางตอเนอง

2.10. ระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Management System) ระบบบรหารความมนคงปลอดภยสารสนเทศ ( Information Security Management

System: ISMS) เปนการด าเนนการขององคกรทรวมเอานโยบาย ขนตอนปฏบต แนวทางการด าเนนงาน ทรพยากรและกจกรรมทเกยวของเขาไวดวยกนเปนระบบบรหารจดการทมระเบยบแบบแผนชดเจน มการน าไปปฏบต ตรวจสอบ ตดตาม และปรบปรงอยางตอเนอง เพอปองกน และรกษาความมนคงปลอดภยสารสนเทศ ซงเปนทรพยสนทส าคญขององคกร และใหการด าเนนการบรรลตามวตถประสงคขององคกร

ระบบบรหารความมนคงปลอดภยสารสนเทศมพนฐานอยบนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ และการประยกตใชมาตรการควบคมความเสยง รวมถงการวเคราะหความตองการและความคาดหวงของผทเกยวของ เพอใหองคกรสามารถตอบสนองตอความตองการดงกลาวไดอยางมประสทธภาพ

2.10.1. หลกการพนฐานทชวยสงเสรมใหการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศประสบความส าเรจ

1) ความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศ 2) การมอบหมายบทบาท หนาท ความรบผดชอบดานความมนคงปลอดภย

สารสนเทศ 3) ความมงมนของผทเกยวของ 4) การบรหารความเสยงดานความมนคงปลอดภยสารสนเทศอยางเหมาะสม 5) การตรวจสอบ และปองกนเหตการณดานความมนคงปลอดภยสารสนเทศ

2.10.2. มาตรฐานดานความมนคงปลอดภยสารสนเทศ องคการมาตรฐานสากล (International Standards Organization: ISO) ได

ก าหนดมาตรฐานดานความมนคงปลอดภยสารสนเทศขนมา ซงประกอบดวยมาตรฐานทมความสมพนธกนเปนชดของมาตรฐาน แบงตามประเภทไดดงน

1) ค าศพท ไดแก มาตรฐาน ISO/IEC 27000 มเนอหาครอบคลมถงภาพรวม และค าศพททใชในชดมาตรฐานดานความมนคงปลอดภยสารสนเทศ และ

2) ขอก าหนด ไดแก มาตรฐาน ISO/IEC 27001 มเนอหาครอบคลมถงขอก าหนดในการด าเนนการระบบรหารความมนคงปลอดภยสารสนเทศ และมาตรการทใชในการควบคมความเสยง และมาตรฐาน ISO/IEC 27006 มเนอหาครอบคลมถงขอก าหนดส าหรบผตรวจสอบและรบรองระบบบรหารความมนคงปลอดภยสารสนเทศ

3) แนวทางการด าเนนงาน เชน มาตรฐาน ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005 เป นต น ซ งม เน อหา เป น แนวทางการด าเนนงานดานตางๆ ใหสอดคลองตามขอก าหนดของมาตรฐาน ISO/IEC 27001

4) มาตรฐานเฉพาะเรอง เชน มาตรฐาน ISO/IEC 27010, ISO/IEC 27011, ISO/IEC 27015, ISO/IEC 27799 เปนตน ซงมเนอหาอธบายถงการรกษาความมนคงปลอดภยสารสนเทศเฉพาะเรอง กจกรรม หรอภาคอตสาหกรรมทมความเฉพาะเจาะจง

โดยสามารถแสดงไดดงรปท 2.2 ชดของมาตรฐานดานความมนคงปลอดภยสารสนเทศ

รปท 2.2 ชดของมาตรฐานดานความมนคงปลอดภยสารสนเทศ

2.11. มาตรฐาน ISO/IEC 27001:2013

มาตรฐาน ISO/IEC 27001 เปนมาตรฐานทระบถงขอก าหนดในการจดตง ด าเนนการ บ ารงรกษา และปรบปรงระบบบรหารความมนคงปลอดภยสารสนเทศใหเปนระเบยบแบบแผน สามารถตรวจสอบ และวดผลการด าเนนการได โดยปจจบนมการพฒนามาตรฐาน ISO/IEC 27001 มาจนถงฉบบปท 2013 ประกอบดวยเนอหา 2 สวน ไดแก ขอก าหนด จ านวน 7 ขอ เปนกรอบแนวทางการด าเนนงานแบบ PDCA ซงองคกรจ าเปนตองด าเนนการตามใหครบถวนสมบรณทกขอก าหนด และสวนทสองภาคผนวก (Annex A) เปนมาตรการควบคมความเสยงดานความมนคงปลอดภยสารสนเทศ จ านวน 14 โดเมน และแยกเปน 114 มาตรการ

ส าหรบขอก าหนดของมาตรฐาน ISO/IEC 27001:2013 ทงหมด 7 ขอ ทองคกรตองด าเนนการ ไดแก

2.11.1. บรบทขององคกร (Context of the organization)

ก าหนดใหองคกรตองท าความเขาใจบรบทขององคกร เพอก าหนดขอบเขตระบบรหารความมนคงปลอดภยสารสนเทศ และน าขอมลบรบทขององคกรเขาสกระบวนการบรหารความเสยงอยางเหมาะสม ซงบรบทขององคกรประกอบดวย

1) บรบทภายใน 2) บรบทภายนอก 3) ความตองการและความคาดหวงของผทเกยวของ

2.11.2. ภาวะผน า (Leadership) ผบรหารระดบสงตองแสดงความเปนผน าและความมงมนทจะด าเนนการระบบรหาร

ความมนคงปลอดภยสารสนเทศ ดงน 1) ก าหนดนโยบายความมนคงปลอดภยสารสนเทศทมความสอดคลองกบกลยทธ

และแนวทางการด าเนนธรกจขององคกร 2) บรณาการระบบบรหารความมนคงปลอดภยสารสนเทศเขากบกระบวนการ

ท างานขององคกร 3) ใหการสนบสนนทรพยากรทจ าเปนในการด าเนนงาน 4) สงเสรมใหเกดการพฒนาและปรบปรงระบบบรหารความมนคงปลอดภย

สารสนเทศอยางตอเนอง 5) ก าหนดโครงสรางการด าเนนงาน และมอบหมายอ านาจ หนาท ความรบผดชอบ

ทเกยวของในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศ 2.11.3. การวางแผน (Planning)

ก าหนดใหองคกรตองก าหนดวตถประสงคดานความมนคงปลอดภยสารสนเทศ และวางแผนการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศใหบรรลตามวตถประสงคทก าหนดไว โดยรวมถงการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ ดงน

1) การประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ โดยก าหนดเกณฑการประเมนความเสยงและเกณฑการยอมรบความเสยง และน าเกณฑดงกลาวมาวเคราะหและประเมนความเสยงตามกระบวนการในมาตรฐาน ISO 31000

2) การจดการความเสยงดานความมนคงปลอดภยสารสนเทศ โดยเลอกมาตรการควบคมความเสยงจากภาคผนวก (Annex A) มาใชในการจดการความเสยงอยางเหมาะสม และจดท าเปนเอกสารการประยกตใชมาตรการควบคมความเสยง (Statement of Applicability: SOA) ทระบถงมาตรการควบคมความเสยงทงทประยกตใช และไมประยกตใช พรอมทงระบเหตผลประกอบทง 2 กรณ

2.11.4. การสนบสนน (Support) องคกรจะตองใหการสนบสนนสงตางๆ ตอไปน เพอใหการด าเนนงานระบบบรหาร

ความมนคงปลอดภยสารสนเทศบรรลตามวตถประสงคทก าหนดไว 1) สมรรถนะของบคลากร โดยการก าหนดสมรรถนะของบคลากรทจ าเปนในการ

ปฏบตงานในกระบวนการบรหารความมนคงปลอดภยสารสนเทศ รวมถงการสนบสนนการพฒนาสมรรถนะของบคลากรทเกยวของใหเพยงพอตอการปฏบตงานดงกลาว

2) ความตระหนกของบคลากรในดานนโยบายความมนคงปลอดภยสารสนเทศ การมสวนรวมในการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศอยางมประสทธภาพ และผลกระทบทเกดขนกรณไมปฏบตตามขอก าหนดของมาตรฐาน ISO/IEC 27001

3) การสอสารไปยงผทเกยวของทงภายใน และภายนอกองคกร 4) การจดการ และควบคมเอกสารสารสนเทศในระบบบรหารความมนคงปลอดภย

สารสนเทศ ไดแก การสรางเอกสาร การแกไขปรบปรงเอกสาร และการควบคมเอกสารใหมความพรอมใชและมการปองกนความปลอดภยสารสนเทศอยางเหมาะสม

2.11.5. การด าเนนการ (Operation) องคกรตองด าเนนการตามแผนทก าหนดไว และเกบรวบรวมหลกฐานการด าเนนการ

ดงกลาวไวเปนลายลกษณอกษร 2.11.6. การประเมนสมรรถนะ (Performance evaluation)

องคกรตองประเมนประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศ โดยด าเนนการดงน

1) เฝาระวง วดผล วเคราะห และประเมนผลการด าเนนงานตามเกณฑทก าหนดไว รวมถงการวเคราะหแนวโนมของผลการด าเนนงาน

2) การตรววจสอบภายในระบบบรหารความมนคงปลอดภยสารสนเทศ โดยก าหนดแผนการตรวจสอบ ด าเนนการตรวจสอบโดยผตรวจสอบทมความรความสามารถเพยงพอและมความเปนกลางในการตรวจสอบ เมอตรวจสอบแลวตองรายงานผลการตรวจสอบไปยงผบรหารทเกยวของ

3) การทบทวนโดยผบรหารระดบสง ก าหนดใหผบรหารระดบสงตองด าเนนการทบทวนผลการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศตาม

ประเดนตางๆ ทก าหนดไว ในมาตรฐาน ISO/IEC 27001 และตามรอบระยะเวลาทเหมาะสม

2.11.7. การปรบปรง (Improvement) องคกรตองมการแกไขความไมสอดคลองทเกดขน เพอใหมนใจวาปญหาไดรบการ

แกไขทตนเหตของปญหาอยางแทจรงและจะไมท าใหมปญหาเกดซ าขนอก นอกจากนยงรวมถงการปรบปรงและพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศอยางตอเนอง เพอใหมการด าเนนงานอยางมประสทธภาพ

ทงนสามารถแสดงภาพรวมความสมพนธของขอก าหนดในมาตรฐาน ISO/IEC 27001:2013 ไดดงรปท 2.3 ภาพรวมเนอหาของมาตรฐาน ISO/IEC 27001:2013

รปท 2.3 ภาพรวมเนอหาของมาตรฐาน ISO/IEC 27001:2013

2.12. มาตรการควบคมความเสยงสารสนเทศดานสขภาพ (ISO/IEC 27799: 2016)

จากการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ตามมาตรฐาน ISO/IEC 27001:2013 มการประเมนความเสยงทจะท าใหสารสนเทศดานสขภาพสญเสยความมนคงปลอดภย จงตองมการประยกตใชมาตรการควบคมความเสยงสารสนเทศดานสขภาพ เพอจดการความเสยงอยางเหมาะสม

มาตรฐาน ISO/IEC 27799:2016 เปนมาตรฐานสากลทอยภายใตชดของมาตรฐานดานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27000) โดยในมาตรฐาน ISO/IEC 27799:2016 จะกลาวถงมาตรการควบคมความเสยงสารสนเทศดานสขภาพ และแนวทางการประยกตใชมาตรการดงกลาว ทงหมด 14 โดเมน ดงน

2.12.1. โดเมนท 1 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy)

มวตถประสงค เพอใหมการก าหนดทศทางการบรหาร และการสนบสนนดานความมนคงปลอดภยสารสนเทศโดยสอดคลองกบความตองการทางธรกจและกฎหมายและระเบยบขอบงคบทเกยวของ

มมาตรการควบคมความเสยง ดงน 1) การก าหนดนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และ

สอสารใหบคลากรและผทเกยวของรบทราบ 2) การทบทวนนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ

อยางนอยปละ 1 ครง หรอภายหลงจากเกดเหตการณความมนคงปลอดภยสารสนเทศทรนแรง

2.12.2. โดเมนท 2 โครงสรางความมนคงปลอดภยสารสนเทศ (organization of Information Security)

มวตถประสงค เพอใหมการก าหนดกรอบการบรหาร โดยตองมการเรมตนและควบคมการปฏบตและการด าเนนการดานความมนคงปลอดภยสารสนเทศดานสขภาพภายในองคกร และใหมการรกษาความมนคงปลอดภยของการปฏบตงานจากระยะไกลและการใชงานอปกรณคอมพวเตอรแบบพกพา

มมาตรการควบคมความเสยง ดงน 1) การก าหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภย

สารสนเทศดานสขภาพ 2) การแบงแยกหนาทงานและพนทความรบผดชอบอยางชดเจน เพอปองกนขอมล

สขภาพถกแกไขโดยผทไมมเกยวของหรอถกน าไปใชในทางทผด 3) การตดตอกบหนวยงานผมอ านาจทเกยวของ เชน การไฟฟา การปะปา เปนตน 4) การตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน กลมทมความ

เชยวชาญดานความมนคงปลอดภยสารสนเทศ และสมาคมอาชพ 5) การบรหารโครงการเกยวกบสารสนเทศดานสขภาพใหมความมนคงปลอดภย

6) การก าหนดนโยบายและมาตรการสนบสนนส าหรบการใชงานอปกรณคอมพวเตอรแบบพกพา

7) การก าหนดนโยบายและมาตรการสนบสนนส าหรบการปฏบตงานจากสถานทหนงในระยะไกล

2.12.3. โดเมนท 3 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human Resource Security)

มวตถประสงค เพอใหพนกงาน และผใหบรการภายนอกเขาใจในหนาทความรบผดชอบของตนเอง และมความเหมาะสมตามบทบาทของตนเองทไดรบการพจารณา ตระหนกและปฏบตตามหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศของตนเอง และเพอปองกนผลประโยชนขององคกร ซงเปนสวนหนงของกระบวนการเปลยนหรอสนสดการจางงาน

มมาตรการควบคมความเสยง ดงน 1) การตรวจสอบภมหลง และคณสมบตของบคลากร และผท าสญญาจาง 2) การจดท าขอตกลงในสญญาจางกบบคลากร และผท าสญญาจาง 3) การระบหนาทความรบผดชอบของผบรหาร 4) การสรางความตระหนก การใหความร และการฝกอบรมดานความมนคง

ปลอดภยสารสนเทศ รวมทงนโยบายและระเบยบวธปฏบตทเกยวของ 5) การก าหนดบทลงโทษทางวนย 6) การสอสารหรอถายโอนหนาทความรบผดชอบ กรณสนสดการจางงานหรอ

เปลยนหนาทความรบผดชอบ 2.12.4. โดเมนท 4 การบรหารจดการทรพยสน (Asset Management)

มวตถประสงค เพอใหมการระบทรพยสนสารสนเทศขององคกร และก าหนดหนาทความรบผดชอบในการปองกนทรพยสนสารสนเทศตามระดบการปองกนทเหมาะสม และเพอปองกนการเปดเผยโดยไมไดรบอนญาต การเปลยนแปลง การขนยาย การลบ หรอการท าลายขอมลและสารสนเทศทจดเกบอยบนสอบนทกขอมล

มมาตรการควบคมความเสยง ดงน 1) การจดท าบญชทรพยสนสารสนเทศทเกยวของกบสารสนเทศดานสขภาพ และ

ก าหนดผดแลทรพยสนดงกลาว รวมทงมการระบกฎการใชงานทรพยสนทเหมาะสม

2) การคนทรพยสนสารสนเทศเมอสนสดการจางงาน 3) การจดชนความลบของสารสนเทศ การบงชสารสนเทศ และการควบคม

สารสนเทศอยางเหมาะสมตามรดบชน

4) การบรหารจดการสอบนทกขอมลทถอดแยกได 5) การท าลายสอบนทกขอมล เมอไมมความจ าเปนในการใชงาน 6) การขนยายสอบนทกขอมลอยางมนคงปลอดภย

2.12.5. โดเมนท 5 การควบคมการเขาถง (Access Control) มวตถประสงค เพอควบคมการเขาถงสารสนเทศ อปกรณประมวลผลสารสนเทศ

และระบบงานสารสนเทศขององคกร เฉพาะผทไดรบอนญาต และปองกนการเขาถงระบบและบรการโดยไมไดรบอนญาต และเพอใหผใชงานมความรบผดชอบในการปองกนขอมลการพสจนตวตน

มมาตรการควบคมความเสยง ดงน 1) การจดท านโยบายควบคมการเขาถง 2) การควบคมการเขาถงเครอขาย 3) การบรหารจดการการเขาถงของผใชงาน รวมถงการลงทะเบยนและถอดถอน

สทธ การจดการสทธการใชงาน การจดการขอมลส าหรบพสจนตวตน และการทบทวนสทธ

4) การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 5) การบรหารจดการรหสผานใหมความมนคงปลอดภย 6) การจ ากดและควบคมการใชงานโปรแกรมอรรถประโยชน 7) การควบคมการเขาถงซอรสโคดของโปรแกรม

2.12.6. โดเมนท 6 การเขารหสลบขอมล (Cryptography) มวตถประสงค เพอเพอใหมการใชการเขารหสลบขอมลอยางเหมาะสม ไดผล และ

ปองกนความลบ การปลอมแปลง หรอความถกตองของสารสนเทศ มมาตรการควบคมความเสยง ดงน 1) การก าหนดนโยบายการใชมาตรการเขารหสลบขอมลเพอปองกนสารสนเทศ 2) การบรหารจดการกญแจทใชในการถอดรหสลบอยางมนคงปลอดภย

2.12.7. โดเมนท 7 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security)

มวตถประสงค เพอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต ความเสยหาย และการแทรกแซงการท างาน ทมตอสารสนเทศ อปกรณประมวลผลสารสนเทศ และระบบงานสารสนเทศขององคกร รวมทงปองกนการหยดชะงกตอการด าเนนงานขององคกร

มมาตรการควบคมความเสยง ดงน 1) การรกษาความมนคงปลอดภยบรเวณโดยรอบทางกายภาพ 2) การควบคมการเขา – ออกทางกายภาพ

3) การรกษาความมนคงปลอดภยส าหรบส านกงาน หองท างาน และอปกรณ 4) การปองกนภยพบตทางธรรมชาต การโจมตหรอการบกรก หรออบตเหต 5) การจดท าขนตอนปฏบตส าหรบการปฏบตงานในพนททตองการการรกษาความ

มนคงปลอดภย 6) การก าหนด และควบคมพนทส าหรบรบสงของสงของ 7) การจดวางอปกรณอยางมนคงปลอดภย 8) การรกษาความมนคงปลอดภยส าหรบอปกรณสนบสนนการท างาน 9) การเดนสายไฟฟาและสายสอสารอยางมนคงปลอดภย 10) การบ ารงรกษาอปกรณอยางมนคงปลอดภย 11) การควบคมการน าทรพยสนออกนอกองคกร 12) การใชงานทรพยสนทอยภายนอกองคกรอยางมนคงปลอดภย 13) การท าลายอปกรณ หรอการน ากลบมาใชใหม เพอใหมนใจวาขอมลส าคญถก

ลบทงจนไมสามารถกคนได 14) การควบคมดแลอปกรณททงไวโดยไมมผดแล 15) การก าหนดนโยบายโตะท างานปลอดเอกสารส าคญและนโยบายการปองกน

หนาจอคอมพวเตอร 2.12.8. โดเมนท 8 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations

Security) มวตถประสงค เพอใหการปฏบตงานกบสารสนเทศ อปกรณประมวลผลสารสนเทศ

และระบบงานสารสนเทศขององคกรเปนไปอยางถกตอง มนคงปลอดภย ไดรบการปองกนจากโปรแกรมไมประสงคด ไดรบการปองกนการสญหายของขอมล เพอใหระบบงานสารสนเทศมการบนทกเหตการณและจดท าหลกฐาน มการท างานทถกตอง และมการปองกนการใชประโยชนจากชองโหวทางเทคนค และเพอลดผลกระทบของกจกรรมการตรวจประเมนบนระบบใหบรการ

มมาตรการควบคมความเสยง ดงน 1) การจดท าขนตอนการปฏบตงานไวเปนลายลกษณอกษร 2) การก าหนดกระบวนการควบคมการเปลยนแปลงอยางเปนทางการ 3) การตดตาม ปรบปรง และคาดการณความตองการดานขดความสามารถของ

ระบบ 4) การแยกสภาพแวดลอมส าหรบการพฒนา และการทดสอบระบบเทคโนโลย

สารสนเทศดานสขภาพออกจากสภาพแวดลอมของระบบทใหบรการ และตองม

การก าหนดกฎระเบยบส าหรบการโยกยายระบบงานจากระบบพฒนาไปสระบบใหบรการ

5) การปองกนและตรวจจบโปรแกรมไมประสงคด 6) การส ารองขอมล และทดสอบกคนขอมลทส ารองไว 7) การจดเกบ บนทก ทบทวน และปองกนขอมลลอก 8) การตงเวลาในระบบเทคโนโลยสารสนเทศใหตรงกบแหลงเทยบเวลา 9) การควบคมการตดตงซอฟตแวรบนระบบใหบรการ 10) การบรหารจดการ ตดตาม และแกไขชองโหวงทางเทคนค 11) การตรวจสอบระบบเทคโนโลยสารสนเทศ

2.12.9. โดเมนท 9 ความมนคงปลอดภยส าหรบการสอสารขอมล (Communications security)

มวตถประสงค เพอใหมการปองกนสารสนเทศในเครอขายและอปกรณประมวลผลสารสนเทศ และเพอใหมการรกษาความมนคงปลอดภยของสารสนเทศทมการถายโอนภายในองคกร หรอถายโอนกบหนวยงานภายนอก

มมาตรการควบคมความเสยง ดงน 1) การบรหารจดการ และควบคมระบบเครอขาย เพอปองกนสารสนเทศในระบบ 2) การจดท าขอตกลงการใหบรการเครอขาย และระบบกลไกดานความมนคง

ปลอดภยสารสนเทศ 3) การแบงแยกกลมเครอขาย 4) การก าหนดนโยบาย ขนตอนปฏบต มาตรการ และขอตกลงส าหรบการถายโอน

สารสนเทศอยางเปนทางการ 5) การควบคมและปองกนการสงขอความทางอเลกทรอนกส 6) การจดท าขอตกลงการรกษาความลบหรอการไมเปดเผยความลบ ส าหรบ

บคลากร และผทเกยวของ 2.12.10. โดเมนท 10 การจดหา การพฒนา และการบ ารงรกษาระบบ (System

acquisition, development and maintenance) มวตถประสงค เพอใหความมนคงปลอดภยสารสนเทศเปนองคประกอบส าคญหนง

ของระบบตลอดวงจรชวตของการพฒนาระบบ ซงรวมถงความตองการดานระบบทมการใหบรการผานเครอขายสาธารณะ

มมาตรการควบคมความเสยง ดงน 1) การวเคราะหและก าหนดความตองการดานความมนคงปลอดภยสารสนเทศ

2) การปองกนระบบเทคโนโลยสารสนเทศทมการเชอมตอเครอขายสาธารณะ 3) การปองกนขอมลธรกรรมของระบบเทคโนโลยสารสนเทศ 4) การก าหนดนโยบายการพ?นาระบบใหมความมนคงปลอดภย 5) การก าหนดขนตอนปฏบตส าหรบควบคมการเปลยนแปลงระบบเทคโนโลย

สารสนเทศ 6) การทบทวน ทดสอบทางเทคนคตอระบบหลงจากเปลยนแปลงโครงสราง

พนฐานของระบบเทคโนโลยสารสนเทศ 7) การควบคมการเปลยนแปลงแกไขซอฟตแวรส าเรจรป 8) การก าหนด และประยกตใชหลกการวศวะกรรมระบบดานความมนคงปลอดภย

ในการพฒนาระบบเทคโนโลยสารสนเทศ 9) การจดเตรยมสภาพแวดลอมของการพฒนาระบบเทคโนโลยสารสนเทศใหม

ความมนคงปลอดภย ทงการพฒนา และปรบปรงเพมเตมตลอดวงจรชวตของการพฒนาระบบเทคโนโลยสารสนเทศ

10) การก ากบดแล เฝาระวง และตดตามกจกรรมการพฒนาระบบเทคโนโลยสารสนเทศทจางหนวยงานภายนอก

11) การทดสอบคณสมบตดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ 12) การจดท าแผนการทดสอบ และเกณฑทเกยวของเพอรบรองระบบเทคโนโลย

สารสนเทศ 13) การควบคม และปองกนขอมลทน ามาทดสอบระบบเทคโนโลยสารสนเทศ

2.12.11. โดเมนท 11 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) มวตถประสงค เพอใหมการปองกนทรพยสนสารสนเทศขององคกร ทมการเขาถง

โดยผใหบรการภายนอก และเพอใหมการรกษาไวซงระดบความมนคงปลอดภยและระดบการใหบรการตามทตกลงกนไวในขอตกลงการใหบรการของผใหบรการภายนอก

มมาตรการควบคมความเสยง ดงน 1) การก าหนดและตกลงกบผใหบรการภายนอก และการประเมนความเสยงท

เกยวของกบการเขาถงระบบเทคโนโลยสารสนเทศโดยบคคลภายนอก 2) การระบความมนคงปลอดภยในขอตกลงการใหบรการของผใหบรการภายนอก

ในเรองทเกยวของกบการเขาถง การประมวลผล การจดเกบ การสอสาร และการใหบรการ

3) การตดตาม ทบทวน และตรวจประเมนการใหบรการของผใหบรการภายนอก 4) การบรหารจดการการเปลยนแปลงตอการใหบรการของผใหบรการภายนอก

2.12.12. โดเมนท 12 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management)

มวตถประสงค เพอใหมวธการทสอดคลองกนและไดผลส าหรบการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ ซงรวมถงการแจงสถานการณความมนคงปลอดภยสารสนเทศและจดออนความมนคงปลอดภยสารสนเทศใหไดรบทราบ

มมาตรการควบคมความเสยง ดงน 1) การก าหนดหนาทความรบผดชอบ ขนตอนปฏบต และการรายงาน ส าหรบการ

บรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ เพอใหมการตอบสนองอยางรวดเรว และไดผล

2) การตอบสนองตอเหตการณความมนคงปลอดภยสารสนเทศ 3) การเกบรวบรวมความร และหลกฐานทไดรบจากการวเคราะหและแกไข

เหตการณความมนคงปลอดภยสารสนเทศ 2.12.13. โดเมนท 13 ความมนคงปลอดภยสารสนเทศของการบรหารจดการความ

ตอเนองทางธรกจ (Information security aspects of business continuity management)

มวตถประสงค เพอใหระบบสารสนเทศขององคกรสามารถใหบรการไดอยางตอเนอง และเพอจดเตรยมสภาพความพรอมใชของอปกรณประมวลผลสารสนเทศขององคกร

มมาตรการควบคมความเสยง ดงน 1) การวางแผน และก าหนดความตองการดานความตอเนองในสถานการณความ

เสยหายทเกดขน 2) การจดท าขนตอนปฏบต และมาตรการเพอใหไดระดบความตอเนองดานความ

มนคงปลอดภยสารสนเทศทก าหนดไว 3) การเตรยมอปกรณส ารองไวอยางเพยงพอเพอใหระบบเทคโนโลยสารสนเทศ

ขององคกรมสภาพความพรอมใชตามทก าหนดไว 2.12.14. โดเมนท 14 ความสอดคลอง (Compliance)

มวตถประสงค เพอใหมการปฏบตดานความมนคงปลอดภยสารสนเทศอยางสอดคลองกบนโยบายและขนตอนปฏบตขององคกร และหลกเลยงการละเมดขอก าหนดในกฎหมาย ระเบยบขอบงคบ หรอสญญาจาง

มมาตรการควบคมความเสยง ดงน 1) การระบความตองการทเกยวของกบกฎหมาย ระเบยบขอบงคบ และสญญาจาง

รวมทงวธการด าเนนงานขององคกรเพอใหสอดคลองกบความตองการดงกลาว

2) การก าหนดขนตอนปฏบตทสอดคลองกบความตองการของกฎหมาย ระเบยบขอบงคบ และสญญาจาง ทวาดวยเรองสทธในทรพยสนทางปญญาและการใชผลตภณฑซอฟตแวรทมกรรมสทธ

3) การปองกนขอมลบนทก จากการสญหาย การถกท าลาย การปลอมแปลง การเขาถงโดยไมไดรบอนญาต และการเผยแพรโดยไมไดรบอนญาต

4) การด าเนนการใหมการรกษาความเปนสวนตวและการปองกนขอมลสวนบคคล 5) การทบทวนความสอดคลองของการประมวลผลสารสนเทศ และขนตอนปฏบต

ท โดยเทยบกบนโยบาย มาตรฐาน และความตองการดานความมนคงปลอดภย

บทท 3

การด าเนนงาน

เพอใหการด าเนนการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพมการบรหารจดการอยางเปนระบบทชดเจน และตรวจสอบได จงไดก าหนดกรอบแนวทางในการด าเนนงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 โดยมการด าเนนงานดงตอไปน

3.2. ขนตอนการด าเนนงาน

ในการด าเนนงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ของศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ใหสอดคลองตามมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 ผจดท าไดแบงขนตอนการด าเนนงานออกเปน 4 ระยะ ไดแก ระยะท 1 การวางแผน (Plan), ระยะท 2 การด าเนนการ (Do), ระยะท 3 การตรวจสอบ (Check) และระยะท 4 การปรบปรงแกไข (Act) โดยในแตละระยะมขนตอนดงรปท 3.1 การด าเนนการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

รปท 3.1 การด าเนนการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

3.2.1. ระยะท 1 การวางแผน (Plan) ประกอบดวยขนตอนการด าเนนงานดงน

1) ศกษาขอก าหนดของมาตรฐาน และทฤษฏทเกยวของ 2) ศกษาโครงสรางการด าเนนงาน และบรบทขององคกร 3) ก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

4) ประกาศนโยบาย และวตถประสงคการด าเนนงาน 5) แตงตงคณะกรรมการเพอด าเนนงาน 6) อบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 7) ก าหนดวธการ และเกณฑการประเมนความเสยง

3.2.2. ระยะท 2 การด าเนนการ (Do) ประกอบดวยขนตอนการด าเนนงานดงน 1) ประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ 2) ก าหนดแผนจดการความเสยงฯ 3) ด าเนนการตามแผนจดการความเสยง และจดท านโยบาย/ขนตอนปฏบต 4) อบรม และสอสารนโยบาย/ขนตอนปฏบตไปยงผทเกยวของ 5) ประเมนความเสยงทยงคงเหลอหลงด าเนนการจดการความเสยง

3.2.3. ระยะท 3 การตรวจสอบ (Check) ประกอบดวยขนตอนการด าเนนงานดงน 1) วดประสทธภาพ และประสทธผลของการด าเนนงาน 2) ประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน

3.2.4. ระยะท 4 การปรบปรงแกไข (Act) เปนการด าเนนการปรบปรงแกไขการด าเนนงานทยงไมสอดคลอง รวมถงการพฒนาปรบปรงการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพใหมประสทธภาพมากขน

3.3. การศกษาบรบทขององคกร เปนการท าความเขาใจองคกร ซงประกอบไปดวยการด าเนนการดงน 3.3.1. การศกษาวสยทศน พนธกจ แผนยทธศาสตร และลกษณะการด าเนนงานของ

องคกร 3.3.2. การศกษาปจจยภายใน และปจจยภายนอกทสงผลกระทบตอการด าเนนงานระบบ

บรหารจดการความมนคงปลอดภยสารสนเทศดานสขภาพ โดยน ามาวเคราะหจดออน จดแขง โอกาส และอปสรรค ตามหลกการวเคราะห SWOT Analysis ซงการวเคราะหปจจยภายในจะประกอบไปดวย ประเดนดงตอไปน

1) การก ากบดแล, โครงสรางองคกร, บทบาท หนาท และความรบผดชอบ 2) นโยบาย, เปาหมาย และกลยทธ 3) ทรพยากร, ความร และความสามารถ 4) กระบวนการตดสนใจ 5) ความสมพนธของบคลากรภายในทม และ ประโยชน/คณคาของการท า

ระบบการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

6) มาตรฐาน, แนวทางและรปแบบทองคกรน ามาใช และสญญาทตองปฏบตตาม

สวนการวเคราะหปจจยภายนอกจะประกอบไปดวย ประเดนดงตอไปน 1) การเมอง 2) เศรษฐกจ 3) สงคม 4) เทคโนโลย 5) กฎหมาย, กฎระเบยบ, และมาตรฐาน 6) สภาพแวดลอมทางธรรมชาต

3.3.3. การศกษาความสมพนธของผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ รวมถงความตองการ และความคาดหวงของผทเกยวของดงกลาว

3.4. การก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

จากการศกษาบรบทขององคกร ใหน าผลการศกษามาพจารณาก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ รวมทงการระบขอยกเวนทไมรวมอยในขอบเขตการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดวย

3.5. การก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

รางนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพเสนอตอผบรหารระดบสง และคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ เพออนมต และประกาศนโยบายฯ อยางเปนทางการ โดยมขอก าหนดในการรางนโยบายฯ ดงน

3.5.1. ตองสอดคลองกบทศทางเชงกลยทธขององคกร 3.5.2. ตองก าหนดกรอบแนวทางการก าหนดวตถประสงคความมนคงปลอดภยสารสนเทศ 3.5.3. แสดงใหเหนถงความมงมนในการด าเนนการระบบรหารความมนคงปลอดภย

สารสนเทศดานสขภาพใหมประสทธผล 3.5.4. แสดงใหเหนถงความมงมนในการปรบปรงอยางตอเนองตอระบบบรหารความ

มนคงปลอดภยสารสนเทศดานสขภาพ

3.6. การก าหนดโครงสราง บทบาท หนาท ความรบผดชอบ ก าหนดโครงสรางคณะกรรมการ และผปฏบตงานระบบบรหารความมนคงปลอดภย

สารสนเทศดานสขภาพ รวมทงระบหนาท ความรบผดชอบส าหรบแตละบทบาท เสนอตอผบรหารระดบสง และคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ เพออนมต และแตงตงคณะกรรมการฯ

3.7. การอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799

การอบรมใหความรดานมาตรฐาน ISO/IEC 27001:2013 และ ISO/IEC 27799:2016 แกผปฏบตงานเทคโนโลยสารสนเทศ และบคคลากรของศนยการแพทยฯ เพอสรางความร ความเขาใจในขอก าหนดของมาตรฐาน และสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน รวมทงมการท าแบบทดสอบหลงการอบรมเพอวดประสทธผลของการด าเนนการอบรม

3.8. การประเมนความเสยง

ด าเนนการรวบรวมรายการทรพยสนสารสนเทศทอยในขอบเขตการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ และผลการศกษาบรบทขององคกร เพอประเมนความเสยงและจดการความเสยงตามกรอบแนวทางมาตรฐาน ISO 31000 โดยมขนตอนดงน

3.8.1. การระบเหตการณความเสยง ระบเหตการณความเสยงทคาดวาจะสงผลท าใหสารสนเทศดานสขภาพสญเสย

ความลบ ความถกตองสมบรณ และความพรอมใชงาน ซงประกอบดวยจดออนชองโหวและภยคกคาม รวมถงระบมาตรการควบคมทมการด าเนนการอยในปจจบน และเจาของความเสยง

3.8.2. การวเคราะหผลกระทบ การวเคราะหผลกระทบพจารณาจากความรนแรงของความเสยหายทอาจเกดขน

แลวสงผลกระทบในดานตางๆ โดยการระบชวงคะแนน 1 (นอมาก) – 5 (สงมาก) ส าหรบผลกระทบในดานตางๆ แลวท าการเลอกเฉพาะคะแนนของผลกระทบดานทสงทสดมาพจารณาประเมนความเสยงตอไป

ทงนเกณฑในการระบคะแนนของผลกระทบแบงออกเปน 6 ดาน ไดแก 1) ผลกระทบตอผรบบรการ (Patient) ดงตารางท 3.1 เกณฑการวเคราะห

ผลกระทบตอผรบบรการ

ตารางท 3.1 เกณฑการวเคราะหผลกระทบตอผรบบรการ

ระดบความรนแรง คะแนน ผลกระทบ

สงมาก 5 กระทบตอผรบบรการมากกวา 80%

สง 4 กระทบตอผรบบรการ 61 - 80%

ปานกลาง 3 กระทบตอผรบบรการ 41 - 60%

นอย 2 กระทบตอผรบบรการ 21 - 40%

นอยมาก 1 กระทบตอผรบบรการ นอยกวาหรอเทากบ 20%

2) ผลกระทบดานมลคาความเสยหาย (Finance) ดงตารางท 3.2 เกณฑการ

วเคราะหผลกระทบดานมลคาความเสยหาย

ตารางท 3.2 เกณฑการวเคราะหผลกระทบดานมลคาความเสยหาย

สงมาก 5 มากกวา 1,000,000 บาท

สง 4 500,001 บาท ถง 1,000,000 บาท

ปานกลาง 3 100,001 บาท ถง 500,000 บาท

นอย 2 50,000 บาท ถง 100,000บาท

นอยมาก 1 นอยกวาหรอเทากบ 50,000 บาท

3) ผลกระทบตอระบบเทคโนโลยสารสนเทศ (Information Technology) ดง

ตารางท 3.3 เกณฑการวเคราะหผลกระทบตอระบบเทคโนโลยสารสนเทศ

สงมาก 5 ระบบเทคโนโลยสารสนเทศไมสามารถใหบรการได

เสยหายไมสามารถ ใชงานไดอก หรอสญหาย

สง 4 ระบบเทคโนโลยสารสนเทศ ไมสามารถใหบรการได

มากกวา 3 ชม : เดอน

ปานกลาง 3 ระบบเทคโนโลยสารสนเทศ ไมสามารถใหบรการไดไม

เกน 3 ชม : เดอน

นอย 2 ระบบเทคโนโลยสารสนเทศ ไมสามารถใหบรการไดเตม

ประสทธภาพ

นอยมาก 1 ไมมผลกระทบตอระบบเทคโนโลยสารสนเทศ

4) ผลกระทบดานกฎระเบยบขอบงคบ (Compliance) ดงตารางท 3.4 เกณฑ

การวเคราะหผลกระทบดานกฎระเบยบขอบงคบ

ตารางท 3.4 เกณฑการวเคราะหผลกระทบดานกฎระเบยบขอบงคบ

สงมาก 5 ขดตอกฎหมาย พระราชบญญตทเกยวของ เชน พรบ.

เปนตน

สง 4 ขดตอนโยบายและแนวปฏบตทวไป ในระดบกระทรวง

ปานกลาง 3 ขดตอนโยบายและแนวปฏบตทวไป ภายในองคกร

นอย 2 ขดตอนโยบายและแนวปฏบต ภายในแผนก

นอยมาก 1 ขดตอกระบวนการปฏบตงาน ในระดบบคคล

5) ผลกระทบตอสขภาพ และชวต (Employee) ดงตารางท 3.5 เกณฑการ

วเคราะหผลกระทบตอสขภาพ และชวต

ตารางท 3.5 เกณฑการวเคราะหผลกระทบตอสขภาพ และชวต

สงมาก 5 บคลากร/ผรบบรการ/ผปวย ไดรบอนตรายถงชวต

สง 4 บคลากร/ผรบบรการ/ผปวย ไดรบบาดเจบสาหส

ปานกลาง 3 บคลากร/ผรบบรการ/ผปวย ไดรบบาดเจบตองไดรบ

การรกษาทางการแพทย

นอย 2 บคลากร/ผรบบรการ/ผปวย ไดรบบาดเจบเลกนอย

นอยมาก 1 ไมสะดวกในการท างาน หรอรบบรการ

6) ผลกระทบตอภาพลกษณองคกร (Reputation) ดงตารางท 3.6 เกณฑการ

วเคราะหผลกระทบตอภาพลกษณองคกร

ตารางท 3.6 เกณฑการวเคราะหผลกระทบตอภาพลกษณองคกร

สงมาก 5 กระทบชอเสยงขององคกร ในระดบประเทศ

สง 4 กระทบชอเสยงขององคกร ในระดบกระทรวง

ปานกลาง 3 กระทบชอเสยงขององคกร ภายในองคกร

นอย 2 กระทบชอเสยงขององคกรนอย ภายในแผนก

นอยมาก 1 กระทบชอเสยงขององคกรนอยมากหรอไมกระทบ

3.8.3. การวเคราะหโอกาส

การวเคราะหโอกาสในการเกดความเสยง โดยการระบชวงคะแนน 1 (นอมาก) – 5 (สงมาก) ทงนเกณฑในการระบคะแนนของโอกาสไดก าหนดไว ดงตารางท 3.7 เกณฑการวเคราะหโอกาส

ตารางท 3.7 เกณฑการวเคราะหโอกาส

ระดบโอกาส คะแนน โอกาส/ความถ

สงมาก 5 24 ครง : ป

สง 4 12 ครง : ป

ปานกลาง 3 4 ครง : ป

นอย 2 2 ครง : ป

นอยมาก 1 1 ครง : ป หรอไมเกดเลย

3.8.4. การประเมนระดบความเสยง

การประเมนระดบความเสยงเพอจดล าดบและพจารณาความเสยงทองคกรยอมรบได และความเสยงทองคกรยอมรบไมได โดยประเมนจากผลการวเคราะหผลกระทบคณกบผลการวเคราะหโอกาสจะท าใหไดคะแนนในชวง 1-25 ดงรปท 3.2 เกณฑการยอมรบความเสยง

รปท 3.2 เกณฑการยอมรบความเสยง

โดยทระดบความเสยงในแตละชองมความหมาย และตองด าเนนการดงน 1) ความเสยงทอยในระดบ 1-3 (สเขยว) : ระดบความเสยงทองคกรยอมรบ (Acceptable)

อาจมมาตรการทมอยแลวปองกนหรอไมกได 2) ความเสยงทอยในระดบ 4-6 (สสม) : ระดบความเสยงทองคกรสามารถยอมรบได แต

ตองมการควบคม เพอปองกนไมใหความเสยงมคาสงขนไปยงระดบทไมสามารถยอมรบได ถามมาตรการควบคมอยแลวใหยอมรบความเสยงหรอพจารณาจดท าแผนจดการความเสยงแลวแตกรณ

3) ความเสยงทอยในระดบ 8-12 (สชมพ) : ระดบความเสยงทองคกรไมสามารถยอมรบได โดยตองจดการความเสยงเพอใหอยในระดบทสามารถยอมรบหรอยอมรบไดตอไป

4) ความเสยงทอยในระดบ 15-25 (สแดง) : ระดบความเสยงทองคกรไมสามารถยอมรบได และตองจ าเปนตองเรงจดการความเสยงจนกระทงใหอยในระดบทสามารถยอมรบไดทนท

3.8.5. การจดการความเสยง จากผลการประเมนระดบความเสยง น ามาพจารณาแนวทางการจดการความเสยง

ดงน 1) การหลกเลยงความเสยง (Avoid) : เมอเปนความเสยงทเราไมตองการ เชน

ความเสยงทใหผลตอบแทนนอยหรอเปนความเสยงทเราไมสามารถบรหารและควบคมไดเราจะหลกเลยงความเสยงโดยจะไมยอมรบความเสยงนนหรอเปลยนเปาหมาย/วตถประสงค หรอขจดความเสยงนนทงไป

2) การลดความเสยง (Reduce) : ใชกบความเสยงทเรายอมรบ เราจะลดความเสยงไดโดยการลดระดบความนาจะเปนหรอโอกาสทจะเกด และลดระดบความรนแรงของผลกระทบจากปจจยเสยงนน

3) การถายโอนความเสยง (Transfer) : เปนการใหผอนมาเปนผรบผดชอบความเสยงและความเสยหายทจะเกดขนแทนเรา เชน การท าประกน (Insurance) และการรบเหมาชวง (Outsource)

4) การยอมรบความเสยง (Accept) : เปนการคงความเสยงเอาไวใหอยในระดบปจจบนแมจะรวาอาจจะเกดผลกระทบจากความเสยงนนตามมาแตกเตมใจทจะดผลทเกดและใชวธการเดมตอไปในการควบคมและจดการความเสยงเนองดวยเหตผลบางประการ

หลงจากเลอกแนวทางการจดการความเสยงแลว ตองพจารณาเลอกมาตรการควบคมความเสยงตามมาตรฐาน ISO/IEC 27799:2016 มาด าเนนการเพอจดการความเสยงดงกลาว

และประเมนระดบความเสยงหลงจากด าเนนการจดการความเสยงเพอพจารณาระดบความเสยงทยงหลงเหลออย และประสทธภาพในการจดการความเสยง

ทงน ในการประยกตใชมาตรการควบคมความเสยงตามมาตรฐาน ISO/IEC 27799:2016 ตองจดท าเอกสารการประยกตใชมาตรการควบคมความเสยง (Statement of Applicability: SOA) เพอระบมาตรการทประยกตใช และมาตรการทไมประยกตใช พรอมแสดงเหตผลประกอบทง 2 กรณ

3.9. การวดประสทธภาพ และประสทธผลของการด าเนนงาน

การวดประสทธภาพ และประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ เพอใหมนใจวาการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพขององคกรบรรลตามเปาหมายวตถประสงค และน าผลของการวดมาวเคราะหเพอหาแนวทางการพฒนาปรบปรงประสทธภาพ และประสทธผลของการด าเนนงาน

ทงนในการก าหนดตวชวดตองพจารณาประเดนดงน 3.9.1. สงทตองการเฝาระวงและวดผล รวมถงกระบวนการและมาตรการควบคมความ

มนคงปลอดภยทประยกตใช 3.9.2. วธการเฝาระวง วดผล วเคราะห และประเมนผล เพอใหไดผลลพธทถกตองแมนย า 3.9.3. ชวงเวลาในการเฝาระวง วดผล วเคราะห และประเมนผล 3.9.4. ผรบผดชอบในการเฝาระวง วดผล วเคราะห และประเมนผล

3.10. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน การประชมคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ เพอทบทวนผลการด าเนนงาน

ระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ โดยก าหนดใหน าเสนอประเดนตอไปนในวาระการประชม

3.10.1. สถานะของการด าเนนการจากผลการทบทวนครงกอน 3.10.2. การเปลยนแปลงในประเดนภายในและภายนอกทเกยวกบระบบบรหารความมนคง

ปลอดภยสารสนเทศดานสขภาพ 3.10.3. ผลตอบกลบของประสทธภาพและประสทธผลดานความมนคงปลอดภยสารสนเทศ

ดานสขภาพ ซงรวมถงแนวโนมในเรอง 1) ความไมสอดคลองและการด าเนนการแกไข 2) ผลการเฝาระวงและวดผล 3) ผลการตรวจประเมน

4) ความส าเรจตามวตถประสงคความมนคงปลอดภยสารสนเทศดานสขภาพ 3.10.4. ผลตอบกลบจากผทเกยวของ 3.10.5. ผลการประเมนความเสยงและสถานะของแผนการจดการความเสยง 3.10.6. โอกาสส าหรบการปรบปรงอยางตอเนอง

3.11. การด าเนนการปรบปรงแกไขการด าเนนงานใหสอดคลองตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 จากผลการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ใหพจารณา

ขอบกพรอง หรอปญหาทพบ มาก าหนดแนวทางในการด าเนนการปรบปรงแกไขการด าเนนงานใหสอดคลองตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 รวมถงการพฒนาประสทธภาพของการด าเนนงานดงกลาวใหมประสทธภาพมากขน เพอใหการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพมการพฒนา ปรบปรงอยางตอเนอง

บทท 4

ผลการด าเนนงาน 4.1. กลาวน า

ในการด าเนนการโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ตามกรอบแนวทางทก าหนดใหสอดคลองกบมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 มผลการด าเนนงานดงตอไปน

4.2. บรบทขององคกร

4.2.1. วสยทศนขององคกร เปนโรงพยาบาลระดบตตยภมทมมาตรฐานระดบนานาชาตและเปนฐานการผลต

แพทยของคณะแพทยศาสตร มศว 4.2.2. พนธกจขององคกร

1) บรการวชาการ และบรการรกษาพยาบาล 2) เปนฐานการเรยนการสอนสาขาแพทยศาสตร และวทยาศาสตรสขภาพ 3) สงเสรมสนบสนนงานวจย 4) ท านบ ารงศลปวฒนธรรม

4.2.3. แผนยทธศาสตรขององคกร 1) Service & Health promotion to Excellence (แผนยทธศาสตรสราง

งานบรการดานสขภาพสความเปนเลศ) 2) Management to Excellence (แผนยทธศาสตรการบรหารจดการสความ

เปนเลศ) 3) Academic to Excellence (แผนยทธศาสตรพฒนาการศกษาสความเปน

เลศ) 4) Research to Excellence (แผนยทธศาสตรสรางงานวจยสความเปนเลศ) 5) Toward International Level (แผนยทธศาสตรการเขาสนานาชาต)

4.2.4. ลกษณะการด าเนนงานขององคกร ศนยการแพทยสมเดจพระเทพรตนราชสดา ฯ สยามบรมราชกมาร ตงอยท 62 หม

7 ต าบลองครกษ อ าเภอองครกษ จงหวดนครนายก ด าเนนงานภายใตการก ากบดแลของคณะแพทยศาสตร และมหาวทยาลยศรนครนทรวโรฒ โดยมงเนนความส าคญกบการใหบรการดานสขภาพ

ทมความปลอดภย มคณภาพและไดรบความไววางใจจากผรบบรการ เปนโรงพยาบาลระดบตตยภมขนสงขนาด 500เตยง มศกยภาพในการใหบรการสขภาพดานตางๆ ปจจบนเปดใหบรการ 364 เตยง และใหบรการสขภาพในระดบตตยภมขนสง ดานตางๆ ไดแก การดแลผปวยโรคไต ผปวยโรคหวใจและหลอดเลอด ผปวยปลกถายอวยวะ การดแลและตรวจวนจฉยมารดาและเดกกลม เสยงกอนคลอด การรกษาผมบตรยาก การดแลทารกแรกเกดน าหนกตวนอยกวา 1,500 กรม ผปวยทไดรบการผาตดกระดกแขนและมอสวนบน ผปวยมะเรง และผปวยทสญเสยการไดยน ปจจบนเปดบรการทงสน 16 สาขา คอ สาขาสตศาสตรนรเวชวทยา, สาขากมารเวชศาสตร, สาขาอายรศาสตร, สาขาศลยศาสตร, สาขาออรโธปดกส, สาขาเวชศาสตรปองกน, สาขารงสวทยา, สาขาโสต ศอ นาสก, สาขาจกษวทยา, สาขาเวชศาสตรฟนฟ , สาขาพยาธวทยา , สาขาวสญญวทยา , สาขานตอเวชวทยา , สาขาเวชศาสตรฉกเฉน , สาขาจตเวชศาสตรและสาขาทนตกรรม นอกจากนยงเปนสถาบนในการจดการเรยนการสอนของคณะแพทยศาสตรและนสตคณะอน ๆ ในสายวทยาศาสตรสขภาพทเกยวของ รวมทงเปนแหลงวจยในทางคลนคทมคณภาพ

4.2.5. การวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

มการน าปจจยภายในและปจจยภายนอกทเกยวของกบการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ มาวเคราะหจดออน จดแขง โอกาส และอปสรรค โดยใช SWOT Analysis เปนเครองมอในการวเคราะห ดงตารางท 4.1 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน) และตารางท 4.3 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก)

ตารางท 4.1 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน)

ปจจย จดแขง/โอกาส จดออน/อปสรรค

1) การก ากบดแล, โครงสรางองคกร, บทบาทและความรบผดชอบ

- คณะกรรมการและคณะผบรหารของศนยการแพทยฯ ใหการสนบสนนและก ากบดแลการด าเนนระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

- มการแตงตงชดคณะกรรมการฯ ตาง ๆ และมอบหมายอ านาจหนาทเพอด าเนนงานใหบรรลตามวตถประสงคขององคกร

ศนยการแพทยฯ มการปรบเปลยนคณะผบรหารตามวาระการท างานทกๆ 4 ป

2) นโยบาย, เปาหมาย, กลยทธ

- คณะกรรมการและคณะผบรหารของศนยการแพทยฯ มนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ทแสดงถงความมงมนในการบรหารความมนคงปลอดภยสารสนเทศใหมความสอดคลองกบวสยทศน และแผนยทธศาสตรขององคกร และสนบสนนใหบคลากรเขามสวนรวมในการด าเนนการดงกลาว

- ม การวางแผน พฒนาร ะบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ตามมาตรฐาน ISO/IEC 27799 ใหสอดคลองตามยทธศาสตรท 2 Management to excellence

ตารางท 4.2 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน) (ตอ)

3) ทรพยากร และ ความร ความสามารถ

คณะกรรมการและคณะผบรหารของ ศนยการแพทยฯ ใหการสนบสนนทรพยากรในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพอยางเพยงพอ

บคลากรของศนยการแพทยฯ ทเกยวของ ขาดความร ความเขาใจ และความตระหนกในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศด านส ขภาพ ให เกดประสทธภาพและประสทธผลสงสด

4) กระบวนการตดสนใจ คณะกรรมการและคณะผบรหารของ ศนยการแพทยฯ มการประชมทกเดอนเพอพจารณา และตดสนใจในประเดนตางๆ

5) ความสมพนธ ของบคลากรภายในทม และ ประโยชน/คณคาของการท าระบบการบรหารความมนคงปลอดภยสารสนเทศ

มความสมพนธอนดระหวางฝายตาง ๆ ในการด าเนนงานระบบบร ห า รคว ามม น ค งปลอดภ ยสารสนเทศดานสขภาพ

6) มาตรฐาน, แนวทางและรปแบบทองคกรน ามาใช และสญญาทตองปฏบตตาม

ศนยการแพทยฯ มการมอบหมายฝ า ยท ม บทบาทหน า ท ค ว ามรบผดชอบในการเฝาระวงและตดตามความสอดคลองในการด าเนนงานของ กฟภ. ใหสอดคลองตามกฎหมาย ระเบยบขอบงคบ และมาตรฐานทน ามาประยกตใช

ขาดการบรณาการดานกระบวนการท างาน ใหรวมเขาเปนระบบบรหารจดการเดยวกน ในการด าเนนงานเ พอใหสอดคลองตามกฎหมาย ระเบยบขอบงคบ และมาตรฐานทน ามาประยกตใช

ตารางท 4.3 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก)

1) การเมอง ศนยการแพทยฯ ด าเนนงานภายใตก า ร ก า ก บ ด แ ล ข อ ง ค ณ ะแพทยศาสตร มหาวทยาลยศรนครนทรว โ รฒส ง ผล ให ไ ด ร บกา รสน บสน น งบประมาณในกา รด าเนนงานดานตาง ๆ จากภาครฐ

- การเปลยนแปลงทางการเมองสงผลกระทบตอการด าเนนงานของ ศนยการแพทยฯ เนองจากเปนหนวยงานของรฐ

- ความไมแนนอนทางการเมองอาจท าใหเกดเหตการณชมนมประทวง ปดลอม จงท าใหการด าเนนงานของ ศนยการแพทยฯ เกดการหยดชะงก

2) เศรษฐกจ - สภาวะ เศรษฐก จ ในป จจ บ นส งผลกระทบตอการลงทน พฒนาระบบ เพอเตรยมการสรางความมนคงปลอดภยสารสนเทศในดานตางๆ

3) สงคม - สงคมปจจบนใหความส าคญกบการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และขอมลสวนตวมากขน สงผลให ศนยการแพทยฯ ตองมการด าเนนการตางๆ เพอสรางความมนใจใหกบผทเกยวของ

ตารางท 4.4 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก) (ตอ)

4) เทคโนโลย - ปจจบนมเทคโนโลยใหม ๆ ทใชในการเตรยมการสรางความมนคงปลอดภยสารสนเทศในดานตางๆ ทดขน สงผลใหชวยเพมประสทธภาพในการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพใหดยงขน

- ก า ร น า เ ท ค โ น โ ล ย virtual machine มาใช เพอลดตนทนในการจดซอและบ าร งรกษา hardware

- การเปลยนแปลงของเทคโนโลยในปจจบน สงผลใหเกดภยคกคามในรปแบบใหม

- ผใชงานใชอปกรณเคลอนทสวนตวในการเขาใชงานระบบสารสนเทศท าใหฝายเทคโนโลยสารสนเทศไมสามารถดแลรกษาความมนคงปลอดภยไดอยางทวถง

- ผ ใ ช ง า น ม ก า ร ใ ช ส อ social network อยางแพรหลาย อาจมการเผยแพรขอมลลบหรอขอมลสวนบคคลของผรบบรการทางการแพทย

5) กฎหมาย กฎระเบยบ มาตรฐาน

ศนยการแพทยฯ ด าเนนงานภายใตก า ร ก า ก บ ด แ ล ข อ ง ค ณ ะแพทยศาสตร มหาวทยาลยศรนครนทรวโรฒ สงผลให ศนยการแพทยฯ ม การก ากบด แลท ด และมมาตรฐานในการด าเนนงานอยางเปนระบบระเบยบ

ศนยการแพทยฯ ตองปฏบตตามกฎหมาย ระเบยบขอบงคบ และมาตรฐานเปนจ านวนมาก เชน SPA, HA Scoring, มาตรฐานโรงพยาบาลและบรการสขภาพ เปนตน

6) สภาพแวดลอมทางธรรมชาต

อาคารส านนกงานทตงของศนยการแพทยฯ ไดรบการออกแบบใหม ค ว า ม ม น ค ง แ ข ง แ ร ง ต อ ภ ยธรรมชาต

ภยธรรมชาตทอาจสงผลกระทบตอการใหบรการของ ศนยการแพทยฯ ไดแก พาย น าทวม ฟาผา ไฟไหม เปนตน

4.2.6. ผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ มการก าหนดผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดาน

สขภาพ ทงภายในและภายนอกองคกร ประกอบไปดวย ผบรหาร ศนยการแพทยสมเดจพระเทพรตนราชสดา ฯ สยามบรมราชกมาร หนวยงานก ากบดแล ผรบบรการทางการแพทย ผใหบรการภายนอก ทใหบรการดานเทคโนโลยสารสนเทศ จนท. เทคโนโลยสารสนเทศ หรอผดแลระบบ และผใชงานเทคโนโลยสารสนเทศ ดงรปท 4.1 ผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

รปท 4.1 ผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

จากผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ไดมการก าหนดความตองการ และความคาดหวงของผทเกยวของไวดงตารางท 4.5 ความตองการและความคาดหวงของผทเกยวของ

ตารางท 4.5 ความตองการและความคาดหวงของผทเกยวของ

ผมสวนเกยวของ ความตองการ และความคาดหวงของผมสวนเกยวของ

1) ผบรหาร - ตองการใหมการก าหนดกรอบแนวทางการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพทสามารถน าไปประยกใชได

- ตองใหการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพของ ศนยการแพทยฯ ไดรบการรบรองมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016

- ตองการใหบคลากรของศนยการแพทยฯ ปฏบตงานสอดคลองตามนโยบาย และประกาศค าสงตางๆ

2) ศ น ย ก า ร แ พ ท ย ส ม เ ด จพระเทพรตนราชสดา ฯ สยามบรมราชกมาร

- ตองการใหศนยการแพทยฯ ด าเนนการตามแผนยทธศาสตรทสอดคลองกบคณะแพทยศาสตร มหาวทยาลยศรนครนทรวโรฒ

- ตองการใหศนยการแพทยฯ มการรายงานผลการด าเนนงานอยางตอเนอง

- ตองการใหศนยการแพทยฯ มการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพอยางมประสทธภาพ

3) หนวยงานก ากบดแล ตองการใหศนยการแพทยฯ ด าเนนงานตามกฎระเบยบ ขอบงคบทหนวยงานก าหนด

4) ผรบบรการทางการแพทย - ตองการใหศนยการแพทยฯ สามารถใหบรการทางการแพทยไดอยางตอเนอง และมนคงปลอดภย

- ตองการใหศนยการแพทยฯ มการด าเนนการเพอรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และขอมลสวนบคคล

ตารางท 4.6 ความตองการและความคาดหวงของผทเกยวของ (ตอ)

ผมสวนเกยวของ ความตองการ และความคาดหวงของผมสวนเกยวของ 5) ผใหบรการภายนอก ท

ใหบรการดานเทคโนโลยสารสนเทศ

- ตองการใหศนยการแพทยฯ มกระบวนการรกษาความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศดานสขภาพทด

- ตองการใหศนยการแพทยฯ ปฏบตตามเงอนไข และขอตกลงอยางเครงครด

6) จนท. เทคโนโลยสารสนเทศ หรอผดแลระบบ

- ตองการใหระบบเทคโนโลยสารสนเทศทใหบรการทางการแพทยมความมนคงปลอดภยทด

- ตองการใหศนยการแพทยฯ มการก าหนดนโยบาย และกระบวนการท างานอยางเปนระบบ รวมถงมกระบวนการแกไขปญหาอยางเหมาะสม

- ตองการใหมการพฒนาทกษะ ความร ความสามารถดานความมนคงปลอดภยสารสนเทศดานสขภาพ

7) ผใชงานเทคโนโลยสารสนเทศ เชน แพทย พยาบาล บคลากรของศนยการแพทยฯ เปนตน

- ตองการใหระบบเทคโนโลยสารสนเทศทใหบรการทางการแพทยมความมนคงปลอดภยทด

- ตองการใหมการสรางความตระหนกดานความมนคงปลอดภยสารสนเทศดานสขภาพ

4.3. ขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

การบรหารความมนคงปลอดภยสารสนเทศดานสขภาพส าหรบบรการ และโครงสรางพนฐานทสนบสนนระบบงานเทคโนโลยสารสนเทศ ดงน

1) ร ะบ บ EMR (Electronic Medical Record) ห ม า ย ถ ง ร ะบ บ เ ว ช ร ะ เ บ ย นอเลกทรอนกส

2) ระบบ LIS (Laboratory Information System) หมายถง ระบบงานหอง LAB ประกอบดวย การรบขอมลและประมวลผล Lab order การตรวจสอบและรายงานผล Lab

3) ระบบ PACS (Picture Archiving and Communication System) หมายถง ระบบภาพทางการแพทย ประกอบดวย การรบเขา แสดงผล และจดเกบภาพ x-ray

4) ระบบ Binary MRIS (Binary Medical Resources Imaging System) หมายถง ระบบเวชระเบยนผปวยใน

ซ งสามารถแสดงความสมพนธของระบบงานเทคโนโลยสารสนเทศไดดงรปท 4.2 ความสมพนธของกจกรรม/กระบวนการทเกยวของ

รปท 4.2 ความสมพนธของกจกรรม/กระบวนการทเกยวของ

4.4. นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ศนยการแพทยฯ ไดก าหนด และประกาศนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ไวดงน

ศนยการแพทยสมเดจพระเทพรตนราชสดา ฯ สยามบรมราชกมาร มความมงมนในการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพของผรบบรการทางการแพทย และผทเกยวของ ใหมประสทธภาพสงสด เปนระบบบรหารจดการทสามารถตรวจสอบได และสอดคลองตามมาตรฐานสากล ISO/IEC 27799 จงจดใหมการจดตงระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพขน และก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ดงน

1) จดตง และพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพใหสอดคลองตามมาตรฐานสากล ISO/IEC 27001 และมาตรฐานสากล ISO/IEC 27799

2) มงเนนใหการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพสอดคลองตามแผนยทธศาสตรของศนยการแพทยฯ

3) จดใหมการแตงตงคณะกรรมการเพอด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

4) บรณาการใหกระบวนการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพเขากบกระบวนการด าเนนงานของศนยการแพทยฯ

5) สงเสรมสนบสนนใหบคคลากร และผทเกยวของกบสารสนเทศดานสขภาพของ ศนยการแพทยฯ มความรทกษะความเขาใจและความตระหนก ในการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และน าไปปฏบตอยางมประสทธผล

6) สนบสนนใหบคคลากร และผทเกยวของกบสารสนเทศดานสขภาพของ ศนยการแพทยฯ ปฏบตตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ (Health Informatic Security Policy) อยางเครงครด

7) สงเสรมใหมการพฒนา และปรบปรงการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพอยางตอเนอง

ทงนเพอใหการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพของ ศนยการแพทยฯ บรรลตามวตถประสงคทก าหนดไว ใหบคคลากร และผทเกยวของกบสารสนเทศดานสขภาพของ ศนยการแพทยฯ ถอปฏบตตามนโยบายฉบบนอยางเครงครด

4.5. โครงสราง บทบาท หนาท ความรบผดชอบ

ศนยการแพทยฯ ไดก าหนดโครงสราง บทบาท หนาท ความรบผดชอบในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ไวดงรปท 4.3 โครงสราง บทบาท หนาท ความรบผดชอบในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

รปท 4.3 โครงสราง บทบาท หนาท ความรบผดชอบในการด าเนนการระบบบรหารความมนคง

ปลอดภยสารสนเทศดานสขภาพ

4.5.1. คณะกรรมการบรหารจดการระบบเทคโนโลยสารสนเทศ หนาทรบผดชอบ ดานความมนคงปลอดภยสารสนเทศ

1) ก ากบดแลการบรหารความมนคงปลอดภยสารสนเทศ 2) ก าหนดนโยบายความมนคงปลอดภยสารสนเทศ 3) ก าหนดวตถประสงคความมนคงปลอดภยสารสนเทศ 4) ก าหนดโครงสรางและหนาทรบผดชอบดานความมนคงปลอดภยสารสนเทศ 5) ผลกดนใหการด าเนนงานบรรลวตถประสงคดานความมนคงปลอดภย

สารสนเทศ การปฏบตตามนโยบายและกฎหมาย รวมถงความจ าเปนในการปรบปรงและพฒนาดานความมนคงปลอดภยสารสนเทศอยางตอเนอง

6) น าเสนอผมอ านาจเพอพจารณาสนบสนนทรพยากรส าหรบการจดตงระบบ การใชงานและบรหารจดการระบบ การตรวจสอบและทบทวนระบบ และ การบ ารงรกษาและการปรบปรงระบบบรหารความมนคงปลอดภยสารสนเทศ

7) ก าหนดเกณฑการยอมรบความเสยงและระดบความเสยงทยอมรบได

8) พจารณาก าหนดผท าหนาทผตรวจสอบภายในระบบบรหารความมนคงปลอดภยสารสนเทศ

9) ทบทวนการด าเนนงานของระบบบรหารความมนคงปลอดภยสารสนเทศ 10) พจารณาอนมตนโยบายและมาตรการควบคมดานความมนคงปลอดภย

สารสนเทศ 11) พจารณาอนมตการขอยกเวนมาตรการควบคม

4.5.2. ผจดการดานความมนคงปลอดภยสารสนเทศ (Information Security Manager: IS Manager)

หนาทรบผดชอบ 1) สรางความตระหนกดานความมงคงปลอดภยสารสนเทศ และผลกดนให

บคลากรมสวนรวม 2) สอสาร และน าเสนอประเดนส าคญดานความมงคงปลอดภยสารสนเทศ

ใหกบคณะผบรหาร 3) ประสานงานใหบคลากรทเกยวของรบทราบถงหนาท และความรบผดชอบ

ดานความมนคงปลอดภยสารสนเทศ 4) ดแล และใหค าปรกษาในการประเมนและควบคมความเสยงดานความมนคง

ปลอดภยสารสนเทศ 5) รายงานประสทธภาพของระบบบรหารความมนคงปลอดภยสารสนเทศ และ

ขอเสนอแนะในการปรบปรงแกคณะกรรมการบรหารความมนคงปลอดภยสารสนเทศ

6) ทบทวนนโยบาย มาตรการ และรองขอตางๆ กอนเสนอใหคณะกรรมการบรหารความมนคงปลอดภยสารสนเทศพจารณา

7) รบรายงานเหตการณ ชองโหว ขอบกพรองดานความมนคงปลอดภยสารสนเทศ

8) สอสารนโยบาย ระเบยบปฏบต และมาตรการตางๆ สระดบปฏบต 9) ด าเนนการแทนคณะกรรมการบรหารระบบเทคโนโลยสารสนเทศ ในกรณ

เรงดวน 4.5.3. ผควบคมเอกสาร (Document Controller: DC)

หนาทรบผดชอบ 1) ควบคมดแลกระบวนการในการขนทะเบยน การปรบปรง และการยกเลก

เอกสารควบคม

2) จดเกบรายละเอยดการรองขอ การอนมต และการด าเนนการตางๆ กบเอกสารควบคม

3) ก าหนดรหสเอกสาร เวอรชนของเอกสาร และวนทของเอกสารควบคม 4) แจกจายเอกสารควบคมฉบบปจจบนใหแกผทมสทธ และเรยกคนเอกสารท

ยกเลกการใชงาน 5) จดเกบตนฉบบของเอกสารควบคมทกเวอรชน 6) ควบคมดแลการขอท าส าเนาเอกสารควบคม 7) จดท ารายการของเอกสารควบคมทงหมดและปรบปรงรายละเอยดใหเปน

ปจจบน 4.5.4. พนกงานในระดบหวหนางาน (Team Leader)

หนาทรบผดชอบ 1) สอสารใหผใตบงคบบญชาเหนความส าคญของระบบบรหารความมนคง

ปลอดภยสารสนเทศ รวมถงหนาทและความรบผดชอบทเกยวของ 2) ดแลและทบทวนการปฏบตงานและมาตรการดานความมนคงปลอดภย

สารสนเทศทอยภายใตความรบผดชอบ 3) ควบคมดแลการใชงานและการเขาถงทรพยสนทอยภายใตความรบผดชอบ 4) ก าหนดชนความลบของขอมลในสวนทอยภายใตความรบผดชอบ 5) มสวนรวมในการการประเมนความเสยงและก าหนดมาตรการควบคมความ

เสยงทเกยวของกบทรพยสนภายใตความรบผดชอบ 6) ดแลและประสานงานใหการตรวจสอบภายในสวนงานทอยภายใตความ

รบผดชอบด าเนนการไดตามแผนงาน 7) ควบคมและประสานงานในการด าเนนการแกไขขอบกพรองทอยภายใต

ความรบผดชอบใหเปนไปอยางมประสทธภาพ 4.5.5. พนกงาน ผใชงานระบบ รวมถงผเกยวของทงภายในและภายนอก

หนาทรบผดชอบ 1) ปฏบตตามนโนบาย ขนตอนการปฏบตงาน และมาตรการควบคมตางๆ

ตามทก าหนดขนในระบบบรหารความมนคงปลอดภยสารสนเทศ 2) ปกปองดแลทรพยสนสารสนเทศขององคกรในระดบทเหมาะสมกบ

ความส าคญของทรพยสนนน 3) รายงานจดออนและเหตละเมดทเกยวของกบความมนคงปลอดภย

สารสนเทศตามขนตอนทก าหนดไว

4.6. ผลการอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 เพอสรางความร ความเขาใจในขอก าหนดของมาตรฐาน และสรางความตระหนกในการ

รกษาความมนคงปลอดภยสารสนเทศตามมาตรฐานใหแกผปฏบตงานเทคโนโลยสารสนเทศ และบคคลากรของศนยการแพทยฯ จงไดมการจดอบรมหลกสตร “การท างานอยางไร...ใหมความมนคงปลอดภยส าหรบสารสนเทศดานสขภาพ ตามมาตรฐานสากล ISO/IEC 27799:2016” ในวนท 26 กนยายน 2560 เวลา 09:00 – 12:00 น. ณ หองประชม 5B ชน 5 อาคารศนยการแพทยฯ โดยมผเขาอบรมจากหนวยงานภายในของศนยการแพทยฯ จ านวน 88 คน

ทงน หลงการอบรมไดจดใหมการท าแบบทดสอบเพอวดประสทธผลของการด าเนนการอบรมจ านวน 15 ขอ ก าหนดใหตองสอบผานอยางนอย 8 ขอ ซงสามารถสรปผลไดดงน

ตารางท 4.7 จ านวนผท าแบบทดสอบหลงการอบรม จ านวน (คน) รอยละ (%)

ผสอบทงหมด 72 รอยละ 69.90 ของจ านวนผเขาอบรมทงหมด

ผสอบผาน 68 รอยละ 94.44 ของจ านวนผสอบทงหมด ผสอบไมผาน 4 รอยละ 9.56 ของจ านวนผสอบทงหมด

รปท 4.4 แผนภมเปรยบเทยบจ านวนผสอบผาน และไมผาน

จากจ านวนผท าแบบทดสอบ สามารถน ามาสรปคะแนนไดดงน คะแนนเตม 15 คะแนน คะแนนสงสด 14 คะแนน คะแนนต าสด 5 คะแนน คะแนนเฉลย 10.93 คะแนน

4.7. ผลการประเมนความเสยง

การประเมนความเสยงดานความมนคงปลอดภยสารสนเทศอางองตามผลการศกษาบรบทขององคกร และทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ จงไดจดกลมรายการทรพยสนดงกลาวออกเปน 12 กลม ดงตารางท 4.8 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ตารางท 4.8 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ล าดบ

ท กลมทรพยสน ค าอธบาย

1 EMR System เครองคอมพวเตอรแมขายส าหรบใหบรการและจดเกบฐานขอมลระบบ EMR รวมถงซอฟตแวรและขอมลสารสนเทศส าหรบระบบบ EMR

2 LIS System เครองคอมพวเตอรแมขายส าหรบใหบรการและจดเกบฐานขอมลระบบ LISรวมถงซอฟตแวรและขอมลสารสนเทศส าหรบระบบบ LIS

3 PACS System เครองคอมพวเตอรแมขายส าหรบใหบรการและจดเกบฐานขอมลระบบ PACSรวมถงซอฟตแวรและขอมลสารสนเทศส าหรบระบบบ PACS

4 Binary MRIS System เครองคอมพวเตอรแมขายส าหรบใหบรการและจดเกบฐานขอมลระบบ Binary MRIS รวมถงซอฟตแวรและขอมลสารสนเทศส าหรบระบบบ Binary MRIS

5 Anti-virus Server เครองคอมพวเตอรแมขายส าหรบใหบรการระบบ Anti-virus รวมถงซอฟตแวรส าหรบระบบบ Anti-virus

ตารางท 4.9 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ)

ล าดบท

กลมทรพยสน ค าอธบาย

6 Client เครองคอมพวเตอรและอปกรณสนบสนนการท างานเครองคอมพวเตอรส าหรบใชงานระบบ EMR, LIS, PACS และ Binary MRIS

7 Internal Network อปกรณเครอขาย และสายสญญาณทเชอมตอภายในองคกรเพอสนบสนนการใหบรการระบบ EMR, LIS, PACS และ Binary MRIS

8 Link/Carier อปกรณเครอขาย และสายสญญาณทเชอมตอจากผใหบรการอนเตอรเนตเขาสองคกร

9 Core Switch อปกรณเครอขายหลกทท าหนาทเชอมตอเครอขายเพอสนบสนนการใหบรการระบบ EMR, LIS, PACS และ Binary MRIS

10 Firewall อปกรณเครอขายทท าหนาทตรวจจบและปองกนการบกรกทางเครอขาย

11 Staff/Employee บคลากร หรอพนกงานทปฏบตงานสนบสนนการใหบรการระบบ EMR, LIS, PACS และ Binary MRIS

12 External Service บรการทไดรบจากผใหบรการภายนอกทสนบสนนการใหบรการระบบ EMR, LIS, PACS และ Binary MRIS

จากการศกษาบรบทขององคกร และแบงกลมทรพยสนแลวน ามาประเมนความเสยงดาน

ความมนคงปลอดภยสารสนเทศ โดยแบงออกเปนการประเมนความเสยงอางองตามผลการศกษา

บรบทขององคกร ดงตารางท 4.10 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ

(บรบท) และการประเมนความเสยงอางองตามลมทรพยสน ดงตารางท 4.12 ผลการประเมนความ

เสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน)

ตารางท 4.10 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท)

ภยคกคาม ชองโหว บรบท

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

การด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพไมพฒนาอยางตอเนอง

มการปรบเปลยนคณะผบรหารตามวาระการท างานทกๆ 4 ป

การก ากบดแล, โครงสรางองคกร, บทบาทและความรบผดชอบ

1 1 2 3 1 3 1 3 3

การด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ไมเกดประสทธภาพและประสทธผล

บคลากรขาดความร ความเขาใจ และความตระหนก

ทรพยากร และ ความร ความสามารถ

1 1 2 3 1 3 2 3 6

การละเมดกฎหมาย ระเบยบขอบงคบ และมาตรฐานทน ามาประยกตใช

ขาดการบรณาการกระบวนการท างานเขาเปนระบบบรหารเดยวกน

มาตรฐาน, แนวทางทองคกรน ามาใช และสญญาทตองปฏบตตาม

1 1 2 5 1 4 1 5 5

ผลกระทบจากการเปลยนแปลงทางการเมอง

ศนยการแพทยฯ เปนหนวยงานของรฐ

การเมอง 1 1 2 5 1 4 1 5 5

ตารางท 4.11 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท) (ตอ)

ภยคกคาม ชองโหว บรบท

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

เกดเหตการณชมนมประทวง ความไมแนนอนทางการเมอง การเมอง 5 4 5 1 3 3 1 5 5

ขาดงบประมาณส าหรบเตรยมการสรางความมนคงปลอดภยสารสนเทศ

เศรษฐกจตกต า เศรษฐกจ 1 2 3 3 1 3 2 3 6

เกดภยคกคามในรปแบบใหม การเปลยนแปลงของเทคโนโลย เทคโนโลย 2 2 4 3 1 3 1 4 4

การละเมดกฎหมาย ระเบยบขอบงคบ และมาตรฐาน

ตองปฏบตตามกฎหมาย ระเบยบขอบงคบ เปนจ านวนมาก

กฎหมาย กฎระเบยบ 1 1 2 5 1 4 1 5 5

บรการของศนยการแพทยฯ ไดรบความเสยหาย

ภยธรรมชาต เชน พาย น าทวม ฟาผา ไฟไหม เปนตน

สภาพแวดลอมทางธรรมชาต

4 4 5 3 4 3 1 5 5

ตารางท 4.12 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน)

ภยคกคาม ชองโหว กลมทรพยสน

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ไมสามารถตดตอกบหนวยงานทมอ านาจไดยามฉกเฉน

ขาดการระบบรายชอและชองทางการตดตอกบหนวยงานทมอ านาจ (6.1.3 Contact with authorities)

ระบบสารสนเทศทงหมด1 1 1 2 2 1 2 3 2 6

ทรพยสนสารสนเทศสญหาย ขาดการจดท ารายการทะเบยนทรพยสนสารสนเทศ (8.1.1 Inventory of assets)

ระบบสารสนเทศทงหมด1

5 4 5 3 1 3 1 5 5

ทรพยสนสารสนเทศสญหาย ขาดการก าหนดวธการคนทรพยสนสารสนเทศ (8.1.4 Return of assets)

5 4 5 3 1 3 2 5 10

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดผดแลทรพยสนสารสนเทศ (8.1.2 Ownership of assets)

5 4 3 5 1 3 3 5 15 [RTP.

ตารางท 4.13 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการก าหนดนโยบายควบคมการเขาถงระบบสารสนเทศ (9.1.1 Access control policy)

5 4 3 5 1 3 3 5 15 [RTP.

ไมมการจดการสทธการเขาถงอยางเหมาะสม (9.2.2 User access provisioning)

5 4 3 5 1 3 3 5 15 [RTP.

7] ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการจดการสทธการเขาถงระดบสง (9.2.3 Management of privileged access rights)

5 4 3 5 1 3 3 5 15 [RTP.

ขาดการทบทวนผใชงาน และสทธทไดรบ (9.2.5 Review of user access rights)

5 4 3 5 1 3 3 5 15 [RTP.

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการปรบปรงระดบสทธการเขาถงของผใชงาน (9.2.6 Removal or adjustment of access rights)

5 4 3 5 1 3 3 5 15 [RTP.

ขาดการจ ากดการเขาถงสารสนเทศอยางเหมาะสม (9.4.1 Information access restriction)

5 4 3 5 1 3 2 5 10

ไมมขนตอนการ Log-on ทปลอดภย (9.4.2 Secure log-on procedures)

5 4 3 5 1 3 3 5 15 [RTP.

9] ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

การใชงานอปกรณนอกพนทอยางไมปลอดภย (11.2.6 Security of equipment and assets off-premises)

5 4 3 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ไมมการปองกนการเขาถงอปกรณทางกายภาพ (11.2.8 Unattended user equipment)

5 4 3 5 1 3 1 5 5

ไมมการแยกสภาพแวอลอมส าหรบการพฒนาระบบ (12.1.4 Separation of development, testing and operational environments)

5 4 3 5 1 3 1 5 5

ไมมการจดการชองโหวทางเทคนค (12.6.1 Management of technical vulnerabilities)

5 4 3 5 1 3 4 5 20 [RTP.17, 20]

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการปองกนสารสนเทศจากระบบเครอขาย (13.1.1 Network controls)

- Internal Network - Link/Carier - Core Switch - Firewall

5 4 3 5 1 3 1 5 5

ไมมการแบงแยกเครอขายอยางเหมาะสม (13.1.3 Segregation in networks)

5 4 3 5 1 3 1 5 5

การพฒนาระบบในสภาพแวดลอมทไมปลอดภย (14.2.6 Secure development environment)

5 4 3 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการก าหนด และทบทวนนโยบายความมนคงปลอดภยสารสนเทศ (5.1.1 Policies for information security)

Staff/Employee 5 4 3 5 1 3 3 5 15 [RTP.

ขาดการแบงแยกหนาทความรบผดชอบอยางเหมาะสม (6.1.2 Segregation of duties)

ขาดการสรางความร และความตระหนกใหกบบคลากร (7.2.2 Information security awareness, education and training)

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการก าหนดกฎระเบยบการใชงานทรพยสนสารสนเทศอยางเหมาะสม (8.1.3 Acceptable use of assets)

5 4 3 5 1 3 3 5 15 [RTP.

ขาดการก าหนดกระบวนการเมอมพนกงานลาออก หรอยายต าแหนง (7.3.1 Termination or change of employment responsibilities)

Staff/Employee 5 4 3 5 1 3 1 5 5

ผใชงานใชงานขอมลการยนยนตวตนอยางไมเหมาะสม (9.3.1 Use of secret authentication information)

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ระบบเครอขายถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการควบคมการเขาถงระบบเครอขายอยางเหมาะสม (9.1.2 Access to networks and network services)

5 4 3 5 1 3 1 5 5

ทรพยสนสารสนเทศไมไดรบการบ ารงรกษาอยางเหมาะสม

1 2 2 2 1 2 4 2 8 [RTP.

ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดแบงระดบชนความลบของทรพยสนสารสนเทศ (8.2.1 Classification of information)

5 5 2 5 1 5 4 5 20 [RTP.

4] ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดท าปายบงชทรพยสน

สารสนเทศ (8.2.2 Labelling of information)

5 5 2 5 1 5 4 5 20 [RTP.

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขอมลภายในระบบสารสนเทศรวไหล ไมมการจดการทรพยสนสารสนเทศตามระดบชนความลบ (8.2.3 Handling of assets)

5 5 2 5 1 5 4 5 20 [RTP.

ขอมลภายในระบบสารสนเทศรวไหล ไมมการท าลายสอบนทกขอมล (8.3.2 Disposal of media)

5 5 2 5 1 5 4 5 20 [RTP.

6] ขอมลภายในระบบสารสนเทศศรวไหล

ไมมการท าลายอปกรณอยางเหมาะสม (11.2.7 Secure disposal or re-use of equipment)

5 5 2 5 1 5 3 5 15 [RTP.

ขอมลภายในระบบสารสนเทศรวไหล ไมมการปองกนโปรแกรมไมประสงคด (12.2.1 Controls against malware)

5 5 2 5 1 5 4 5 20 [RTP.14]

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขอมลภายในระบบสารสนเทศรวไหล ไมมการปองกนโปรแกรมไม

ประสงคด (12.2.1 Controls against malware)

5 5 2 5 1 5 4 5 20 [RTP.14]

ขอมลภายในระบบสารสนเทศศรวไหล

ไมมการท าขอตกลงการรกษาความลบ (NDA) (13.2.4 Confidentiality or non-disclosure agreements)

5 5 2 5 1 5 1 5 5

ขอมลการพสจนตวตนของผใชงานรวไหล

ขาดการจดการขอมลการพสจนตวตน (9.2.4 Management of secret authentication information of users)

1 1 1 3 1 2 3 3 9 [RTP.

ภยคกคาม

ชองโหว กลมทรพยสน

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ไมมการจดการรหสผานอยางปลอดภย (9.4.3 Password management system)

1 1 1 3 1 2 3 3 9 [RTP.

9] ขอมลภายในระบบสารสนเทศสญหาย ไมมการส ารอง และทดสอบการกคน

ขอมลส าคญ (12.3.1 Information backup)

5 4 2 5 1 4 4 5 20 [RTP.15, 22]

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดนโยบายการถายโอนสารสนเทศ (13.2.1 Information transfer policies and procedures)

5 4 2 5 1 4 3 5 15 [RTP.

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการก าหนดนโยบายการเขารหสลบขอมล (10.1.1 Policy on the use of cryptographic controls)

5 4 2 5 1 4 3 5 15 [RTP.

ขาดการจดการกญแจเขารหสลบขอมลอยางปลอดภย (10.1.2 Key management)

5 4 2 5 1 4 3 5 15 [RTP.10]

ขาดการปองกนสารสนเทศทสงผานในเครอขายสาธารณะ (14.1.2 Securing application services on public networks)

5 4 2 5 1 4 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการปองกน Transaction ของระบบสารสนเทศ (14.1.3 Protecting application services transactions)

5 4 2 5 1 4 1 5 5

ขาดการก าหนดวธการจดการสอบนทกขอมลทเคลอนยายได (8.3.1 Management of removable media)

5 4 2 5 1 4 4 5 20 [RTP.

ขาดการปองกนสอบนทกขอมลระหวางการเคลอนยาย (8.3.3 Physical media transfer)

5 4 2 5 1 4 1 5 5

ขอมลทน ามาทดสอบระบบสารสนเทศศรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ไมมการปองกนขอมลทน ามาทดสอบระบบ (14.3.1 Protection of test data)

5 4 2 5 1 4 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขอมลสวนบคคลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนขอมลสวนบคคล (18.1.4 Privacy and protection of personally identifiable information)

5 4 2 5 1 4 3 5 15 [RTP.

ขอมลบนทกการปฏบตงานรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนขอมลบนทก (18.1.3 Protection of records)

5 4 2 5 1 4 3 5 15 [RTP.

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

4 1 2 3 1 3 3 4 12 [RTP.

4 1 2 3 1 3 4 4 16 [RTP.

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

4 1 2 3 1 3 3 4 12 [RTP.

ผใชงานไมไดรบบญชผใชงานทถกตองเหมาะสม

ไมมชองทางการลงทะเบยน และถอดถอนผใชงาน (9.2.1 User registration and de-registration)

4 1 2 3 1 3 1 4 4

การเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยใชบญชผใชงานของบคลากรอนแทน

5 4 3 5 1 3 3 5 15 [RTP.

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกภยคกคามจากมลแวร

มการใชงานโปรแกรมอรรถประโยชนทไมปลอดภย (9.4.4 Use of privileged utility programs)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus Server - Client

4 2 2 3 1 2 1 4 4

ซอสโคดของโปรแกรมรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ไมมการปองกนการเขาถงซอสโคดของโปรแกรม (9.4.5 Access control to program source code)

- EMR System - LIS System - PACS System

2 1 2 2 1 2 2 2 4

พนทรกษามนคงปลอดภยถกเขาถงโดยไมไดรบอนญาต อปกรณและขอมลทใชในการด าเนนงาน เสยหาย

ไมมการควบคมประต หรอชองทางการเขาถงทางกายภาพ (11.1.2 Physical entry controls)

5 5 5 3 1 3 3 5 15 [RTP.11]

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการก าหนดพนทบรเวณโดยรอบทางกายภาพ (11.1.1 Physical security perimeter)

5 5 5 3 1 3 1 5 5

ระบบสารสนเทศเสยหายหายจากภยคกคามทางธรรมชาต เชน ไฟใหม น าทวม แผนดนไหว เปนตน

ขาดการปองกยภยคกคามทางธรรมชาต (11.1.4 Protecting against external and environmental threats)

5 5 5 2 1 3 1 5 5

บคคลภายนอกทมาสงของเขาถงพนทรกษามนคงปลอดภย

ไมมการก าหนดพนทส าหรบสงสงของ (11.1.6 Delivery and loading areas)

5 5 5 3 1 3 1 5 5

ระบบสารสนเทศช ารด เสยหาย มการจดวางอปกรณอยางไมปลอดภย (11.2.1 Equipment siting and protection)

4 4 4 2 1 2 1 4 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศช ารด เสยหาย อปกรณสนบสนนไมเพยงพอ (11.2.2 Supporting utilities)

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย ขาดการบ ารงรกษาอปกรณอยางเหมาะสม (11.2.4 Equipment maintenance)

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอสญหาย

บคลากรน าทรพยสนสารสนเทศไปใชงานขางนอกโดยไมไดรบอนญาต (11.2.5 Removal of assets)

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการจดการการเปลยนแปลง (12.1.2 Change management)

4 4 4 2 1 2 4 4 16 [RTP.12]

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการจดการสมรรถนะของระบบเทคโนโลยสารสนเทศ (12.1.3 Capacity management)

4 4 4 2 1 2 4 4 16 [RTP.13]

ไมมการแยกสภาพแวดลอมส าหรบการพฒนาระบบ (12.1.4 Separation of development, testing and operational environments)

4 4 4 2 1 2 1 4 8

ไมมการปองกนโปรแกรมไมประสงคด (12.2.1 Controls against malware)

4 4 4 2 1 2 4 4 16 [RTP.14]

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ผใชงานตดตงซอฟทแวรเองโดยไมไดรบอนญาต (12.6.2 Restrictions on software installation)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus - Client

4 4 4 2 1 2 1 4 4

ขาดการทบทวนทางเทคนคเมอมการเปลยนแปลง Platform (14.2.3 Technical review of applications after operating platform changes)

4 4 4 2 1 2 1 4 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

มการแกไขเปลยนแปลงซอฟทแวรส าเรจรป (14.2.4 Restrictions on changes to software packages)

4 4 4 2 1 2 1 4 4

ขาดการก าหนดหลกการพฒนาระบบอยางปลอดภย (14.2.5 Secure system engineering principles)

4 4 4 2 1 2 1 4 4

พนกงานปฏบตงานในพนทอยางไมปลอดภย (11.1.5 Working in secure areas)

ไมมการจดท าคมอการปฏบตงาน (12.1.1 Documented operating Procedures)

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศประมวลผลผดพลาด ไมมการตงเวลาใหตรง (12.4.4 Clock synchronisation)

4 2 2 3 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด มการใชงานโปรแกรมอรรถประโยชนทไมปลอดภย (9.4.4 Use of privileged utility programs)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus - Client

4 2 2 3 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด ผใชงานตดตงซอฟทแวรเองโดยไมไดรบอนญาต (12.6.2 Restrictions on software installation)

4 2 2 3 1 2 1 4 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศประมวลผลผดพลาด ขาดการทบทวนทางเทคนค (18.2.3 Technical compliance review)

4 2 2 3 1 2 3 4 12 [RTP.17]

ระบบสารสนเทศประมวลผลผดพลาด ไมมการจดการชองโหวทางเทคนค (12.6.1 Management of technical vulnerabilities)

4 2 2 3 1 2 4 4 16 [RTP.17, 20]

เกดสญญาณรบกวน ท าใหขอมลไมถกตอง หรอสญหาย

การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

3 2 2 2 1 2 2 3 6

ถกดกขโมยขอมลทสงผานสายสญญาณ การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

5 4 3 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

สายไฟฟา และสายสญญาณขาด หรอช ารด

2 1 3 2 1 2 1 3 3

ไมสามารถตรวจสอบกจกรรมการใชงานระบบสารสนเทศ

ไมมการจดเกบ ปองกนขอมลลอกของผใชงาน และผดแลระบบ (12.4.1 Event logging)

1 1 1 5 1 3 3 5 15 [RTP.16, 21]

ขอมลส าคญบนโตะท างาน หรอหนาจอคอมพวเตอรสญหาย หรอรวไหล

ไมมการจดระเบยบขอมลส าคญบนโตะท างาน หรอหนาจอคอมพวเตอร (11.2.9 Clear desk and clear screen policy)

2 1 2 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขอมลลอกถกเขาถงโดยไมไดรบอนญาต

1 1 1 5 1 3 3 5 15 [RTP.16, 21]

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการทดสอบระบบดานความมนคงปลอดภย (14.2.8 System security testing)

5 4 2 5 1 4 1 5 5

การใหบรการเครอขายไมสอดคลองตามความตองการของผใชงาน

ขาดการระบขอตกลงการใหบรการเครอขาย (13.1.2 Security of network services)

2 1 2 2 1 2 3 2 6

ขาดการวเคราะหความตองการดานความมนคงปลอดภยสารสนเทศ (14.1.1 Information security)

5 4 2 5 1 4 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการก าหนดนโยบายการพฒนาระบบอยางมนคงปลอดภย (14.2.1 Secure development policy)

5 4 2 5 1 4 3 5 15 [RTP.

ระบบสารสนเทศทพฒนาขนไมสอดคลองตามความตองการ

การไมตดตามการท างานของ Outsousce ทเขามาพฒนาระบบ (14.2.7 Outsourced development)

5 4 2 5 1 4 3 5 15 [RTP.18]

ขาดการทดสอบ UAT (14.2.9 System acceptance testing)

5 4 2 5 1 4 1 5 5

การแกปญหาลาชา เหตการณลกลามบานปลาย

ขาดการก าหนดผรบผดชอบ และขนตอนการรบมอ Incident (16.1.1 Responsibilities and procedures)

5 5 5 5 1 5 4 5 20 [RTP.19]

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ไมมการรายงานเหต information security events (16.1.2 Reporting information security events)

5 5 5 5 1 5 4 5 20 [RTP.19]

ขาดการประเมนและตดสนใจเพอแยกระดบของเหตการณ (16.1.4 Assessment of and decision on information security events)

5 5 5 5 1 5 4 5 20 [RTP.19]

ไมมการตอบสนองตอเหต information security incident (16.1.5 Response to information security incidents)

5 5 5 5 1 5 4 5 20 [RTP.19]

(F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

เกดเหต Incident เนองจากจดออนไมไดรบการปองกน

ไมมการรายงานเหต information security weaknesses (16.1.3 Reporting information security weaknesses)

5 5 5 5 1 5 4 5 20 [RTP.19]

เกดปญหาเดมซ าๆ และไมสามารถแกปญหาไดอยางรวดเรว

ไมมการเรยนรจากเหต information security incident (16.1.6 Learning from information security incidents)

4 4 4 5 1 4 4 5 20 [RTP.19]

ขาดหลกฐานอางองจากเหต information security incident

ไมมการรวบรวมหลกฐานจากเหต information security incident (16.1.7 Collection of evidence)

1 1 1 5 1 3 4 5 20 [RTP.19]

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการวางแผนความตองการดานการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.1 Planning information security continuity)

5 4 5 4 1 5 1 5 5

ขาดการจดท าขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.2 Implementing information security continuity)

5 4 5 4 1 5 1 5 5

ขาดการตรวจสอบ และทบทวนขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.3 Verify, review and evaluate information security continuity)

5 4 5 4 1 5 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ด าเนนการกคนระบบสารสนเทศผดวธ ท าใหระบบสารสนเทศไดรบความเสยหาย

5 5 5 5 1 5 1 5 5

ระบบสารสนเทศไมสามารถใหบรการดอยางตอเนอง

ขาดการออกแบบระบบใหมสภาพความพรอมใชงาน (17.2.1 Availability of information processing facilities)

5 1 3 3 1 3 4 5 20 [RTP.23]

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

การปฏบตงานไมสอดคลองตามกฏหมาย ขอบงคบ ระเบยบทเกยวของ

มการละเมดกฏหมายทรพยสนทางปญญาและการใชผลตภณฑซอฟตแวรทเปนกรรมสทธ (18.1.2 Intellectual property Rights)

1 2 1 5 1 5 1 5 5

ผลการทบทวนดานความมนคงปลอดภยสารสนเทศไมถกตอง หรอไมตรงตามความเปนจรง

ขาดความเปนอสระในการทบทวนดานความมนคงปลอดภยสารสนเทศ (18.2.1 Independent review of information security)

1 1 2 2 1 2 2 2 4

พนกงานใชงานอปกรณเคลอนททเชอมตอกบระบบขององคกรอยางไมปลอดภย

ขาดการก าหนดนโยบายการใชงานอปกรณเคลอนท (6.2.1 Mobile device policy)

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

พนกงานปฏบตงานในลกษณะท างานจากระยะไกลอยางไมปลอดภย

ขาดการก าหนดนโยบายการท างานจากระยะไกล (6.2.2 Teleworking)

พนกงานใหมขาดประสบการณทเหมาะสมกบงาน

ขาดการตรวจสอบประวต หรอภมหลงของผสมครเขาท างาน (7.1.1 Screening)

พนกงานไมปฏบตตามเงอนไขการจางงาน

ขาดการจดท าสญญาการจางงานอยางเหมาะสม (7.1.2 Terms and conditions of employment)

พนกงานไมปฏบตตามบทบาท หนาท ความรบผดชอบ

ขาดการก าหนดบทบาท หนาท ความรบผดชอบใหพนกงาน (7.2.1 Management responsibilities)

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขาดการทบทวนความสอดคลองในการปฏบตงานของผใตบงคบบญชา (18.2.2 Compliance with security policies and standards)

พนกงานละเมดกฎหมาย หรอนโยบายขององคกร

ขาดการก าหนดบทลงโทษส าหรบผกระท าความผด (7.2.3 Disciplinary process)

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

การปฏบตงานไมสอดคลองตามกฏหมาย ขอบงคบ

ไมมการระบกฏหมาย ขอบงคบ ระเบยบทเกยวของ (18.1.1 Identification of appli cable legislation and contractual requirements)

บรการทไดรบจากผใหบรการภายนอกขาดความมนคงปลอดภย

ขาดการสอสารความตองการดานความมนคงปลอดภยไปยงผใหบรการภายนอก (15.1.2 Addressing security within supplier agreements)

External Service 5 4 2 5 1 4 3 5 15 [RTP.18]

ผรบจางชวงไมปฏบตตามความตองการ เงอนไข และขอก าหนดตางๆ

ขาดการตกลงกบผใหบรการภายนอกกรณมการจางชวง (15.1.3 Information and communication technology supply chain)

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

บรการทไดรบจากผใหบรการภายนอกไมสอดคลองตามความตองการทระบไว

ไมมการตดตาม ทบทวนการด าเนนงานของผใหบรการภายนอก (15.2.1 Monitoring and review of supplier services)

ผใหบรการภายนอกไมปฏบตตามเงอนไข และขอก าหนดตางๆ

หมายเหต: 1 หมายถง กลมทรพยสน EMR System, LIS System, PACS System, Binary MRIS System, Anti-virus Server, Client, Internal Network, Link/Carier, Core Switch และ Firewall/IPS/IDS

4.8. การจดการความเสยง จากการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ พบวามรายการความเสยงทมมาตรการควบคมอยแลว และบางรายการความเสยงทจ าเปนตอง

จดการความเสยงเพอใหองคกรสามารถยอมรบความเสยงดงกลาวได โดยมการจดการความเสยงดงตารางท 4.47 การจดการความเสยง

ตารางท 4.47 การจดการความเสยง มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม

5.1.1 Policies for information security มนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 ซงไมมการปรบปรงใหเปนปจจบน

[RTP. 1] จดท านโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ 5.1.2 Review of the policies for

information security

6.1.1 Information security roles and responsibilities

มคณะกรรมการบรหารจดการระบบเทคโนโลยสารสนเทศ ประกอบดวยบคลากรงานเทคโนโลยสารสนเทศและตวแทนจากทกสวนงาน

6.1.2 Segregation of duties มการแบงแยกผรบผดชอบในแตละงานภายในสวนงานเทคโนโลยสารสนเทศ

6.1.3 Contact with authorities มการจดท าขอมลรายชอผตดตอหนวยงานผมอ านาจ - 6.1.4 Contact with special interest groups มการจดท าขอมลรายชอผตดตอผทสนใจในเรองเดยวกน -

6.1.5 Information security in project management

มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2005

ตารางท 4.48 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 6.2.1 Mobile device policy มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 และมการควบคมการใชงานเฉพาะแพทย

6.2.2 Teleworking อนญาตเฉพาะผดแลระบบ และมการควบคมสทธการใชงาน - 7.1.1 Screening ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

7.1.2 Terms and conditions of employment

ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

7.2.1 Management responsibilities ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

7.2.2 Information security awareness, education and training

มการสงบคลากรไปอบรมตามหลกสตรทจ าเปน และมการอบรมภายในองคกร

[RTP. 2] อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย

7.2.3 Disciplinary process ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

7.3.1 Termination or change of employment responsibilities

ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

8.1.1 Inventory of assets มการจดเกบรายการทรพยสนโดยใชระบบครภณฑ -

8.1.2 Ownership of assets - [RTP. 3] ก าหนดผดแลทรพยสนในระบบจดการครภณฑ

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 8.1.3 Acceptable use of assets มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 -

8.1.4 Return of assets มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2005

8.2.1 Classification of information - [RTP. 4] จดท าระเบยบปฏบตการจดระดบชนความลบของสารสนเทศ 8.2.2 Labelling of information -

8.2.3 Handling of assets - 8.3.1 Management of removable media - [RTP. 5] จดท าระเบยบปฏบตการบรหารจดการสอ

บนทกขอมลเคลอนทได 8.3.2 Disposal of media - [RTP. 6] จดท าระเบยบปฏบตการท าลายขอมลและสอ

บนทก

8.3.3 Physical media transfer มกระบวนการส าหรบการขออนญาตน าทรพยสนออกภายนอกองคกร

9.1.1 Access control policy - [RTP. 1] จดท านโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 9.1.2 Access to networks and network services

มการควบคมสทธการใชงานเฉพาะบคลากรในสวนการใชงาน Internet และระบบงานโรงพยาบาลแยกออกจากกน

9.2.1 User registration and de-registration มการสราง user account ใหกบบคลากรใหม [RTP. 7] จดท าระเบยบปฏบตการบรหารจดการบญชรายชอและสทธ 9.2.2 User access provisioning มการสราง user account ใหกบบคลากรใหม

9.2.3 Management of privileged access rights

มการสราง user account ใหกบบคลากรใหม

9.2.4 Management of secret authentication information of users

มการแจง user account ใหบคลากรแลวบงคบใหเปลยนรหสผานครงแรก

9.2.5 Review of user access rights - [RTP. 8] จดท าระเบยบปฏบตทบทวนสทธการเขาใชงาน 9.2.6 Removal or adjustment of access

rights มการปรบปรงสทธการใชงานเมอมการเพม/ลบ user account

9.3.1 Use of secret authentication information

9.4.1 Information access restriction มการควบคมสทธการใชงานระบบสารสนเทศโรงพยาบาล - 9.4.2 Secure log-on procedures มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 [RTP. 9] จดท าระเบยบปฏบตการลอกอนเขาระบบอยางปลอดภย 9.4.3 Password management system

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 9.4.4 Use of privileged utility programs มการควบคมสทธไมใหผใชงานตดตงโปรแกรมบนเครอง

คอมพวเตอร -

9.4.5 Access control to program source code

มการควบคมสทธและปองกนการเขาถง source code ของระบบงานตางๆ

10.1 Cryptographic controls - [RTP. 10] จดท าระเบยบปฏบตการเขารหสลบขอมล

10.1.2 Key management -

11.1.1 Physical security perimeter มการก าหนดพนท Data Center และมการออกแบบตามมาตรฐาน Data Center

[RTP. 11] จดท าระเบยบปฏบตการขอเขาพนทโดยบคคลภายนอก

11.1.2 Physical entry controls มการปองกนการเขาหอง Data Center โดยใชเครองสแกนลายนวมอและบตรบคลากร

11.1.3 Securing offices, rooms and facilities

มการจดเตรยมสภาพแวดลอมการท างานใหมความมนคงปลอดภยทางกายภาพ เชน แสงสวาง การปองกนการเขาถงพนทส าคญ เปนตน

11.1.4 Protecting against external and environmental threats

มการออกแบบอาคารและหอง Data Center ใหมนคงแขงแรง และมอปกรณตรวจจบ แจงเตอน และอปกรณดบเพลง

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 11.1.5 Working in secure areas มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

11.1.6 Delivery and loading areas มการก าหนดพนทส าหรบรบ-สงสงของบรเวณหนาหอง Data Center

[RTP. 11] จดท าระเบยบปฏบตการขอเขาพนทโดยบคคลภายนอก

11.2.1 Equipment siting and protection มการจดวางอปกรณตางๆ อยางมนคงปลอดภยทางกายภาพ เชน ตดตงอปกรณในต Rack และมการปดลอกต Rack

11.2.2 Supporting utilities มอปกรณสนบสนนตาง เชน เครองส ารองไฟฟา เครองก าเนนไฟฟา ระบบปรบอากาศและความชน

11.2.3 Cabling security มการเดนสายไฟและสายสญญาณอยางมนคงปลอดภย - 11.2.4 Equipment maintenance มการบ ารงรกษาอปกรณและระบบตางๆ ตามค าแนะน าของ

เจาของผลตภณฑ และมการจางผใหบรการในการบ ารงรกษา

11.2.5 Removal of assets มกระบวนการส าหรบการขออนญาตน าทรพยสนออกภายนอกองคกร

- 11.2.6 Security of equipment and assets off-premises

11.2.7 Secure disposal or reuse of equipment

- [RTP. 6] จดท าระเบยบปฏบตการท าลายขอมลและสอบนทก

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 11.2.8 Unattended user equipment มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

11.2.9 Clear desk and clear screen policy

12.1.1 Documented operating procedures

มการจดท าเอกสารขนตอน และคมอการปฏบตงาน -

12.1.2 Change management - [RTP. 12] จดท าระเบยบปฏบตการบรหารการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

12.1.3 Capacity management มการเฝาระวงและตดตามทรพยากรระบบ แตไมมการบนทกผลการด าเนนงาน

[RTP. 13] จดท าระเบยบปฏบตการบรหารจดการขดความสามารถของระบบ

12.1.4 Separation of development, testing and operational environments

มการแบงแยกสภาพแวดลอมทใชในการพฒนา ทดสอบ และการใหบรการจรง

12.2.1 Controls against malware มการตดตงโปรแกรมปองกนและตรวจจบโปรแกรมไมประสงดด

[RTP. 14] จดท าระเบยบปฏบตการปองกนโปรแกรมไมประสงคด

12.3.1 Information backup มการส ารองขอมลเฉพาะระบบทมความส าคญ และไมไดน าออกไปจดเกบนอกพนท

[RTP. 15] จดท าระเบยบปฏบตการส ารองและกคนขอมล [RTP. 22] จดหาหนวยความจ าส าหรบจดเกบขอมลส ารอง2

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 12.4.1 Event logging มการเกบขอมล Log แยกตามเครอง ไมมการน าขอมล Log

มารวมกนเพอท าการวเคราะหและจดเกบอยางมนคงปลอดภย

[RTP. 16] จดท าระเบยบปฏบตการบรหารจดการขอมลลอก [RTP. 21] ตดตงระบบจดเกบและวเคราะหขอมล Log2

12.4.2 Protection of log information - 12.4.3 Administrator and operator logs -

12.4.4 Clock synchronisation มการตงเวลาเฉพาะระบบทมความส าคญ

12.5.1 Installation of software on operational systems

มการควบคมการตดตงซอฟทแวร และตดตงเฉพาะซอฟทแวรทจ าเปน

12.6.1 Management of technical vulnerabilities

มการตดตามชองโหวจากเจาของผลตภณฑ [RTP. 17] จดท าระเบยบปฏบตการตรวจสอบและแกไขชองโหวในระบบเทคโนโลยสารสนเทศ [RTP. 20] ตรวจสอบชองโหวทางเทคนค (Vulnerability Assessment)2

12.6.2 Restrictions on software installation

มการควบคมสทธไมใหผใชงานตดตงโปรแกรมบนเครองคอมพวเตอร

12.7.1 Information systems audit controls จางผเชยวชาญด าเนนการตรวจสอบ -

13.1.1 Network controls มการออกแบบ และมระบบปองกนความมนคงปลอดภยทางเครอขาย เชน Firewall

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 13.1.2 Security of network services มการควบคมการเขาถงบรการ Internet เฉพาะบคลากร

และมการพสขนตวตนกอนใชงาน -

13.1.3 Segregation in networks มการแบงแยกเครอขายอยางเหมาะสม -

13.2.1 Information transfer policies and procedures

13.2.2 Agreements on information transfer 13.2.3 Electronic messaging

13.2.4 Confidentiality or non-disclosure agreements

มการท าสญญาไมเปดเผยความลบในสญญาจางผใหบรการภายนอก

14.1.1 Information security requirements analysis and specification

มการระบความตองการดานความมนคงปลอดภยในเอกสารขอก าหนดของผวาจาง

14.1.2 Securing application services on public networks

ไมมระบบทใหบรการบนเครอขายสาธารณะ -

14.1.3 Protecting application services transactions

มการตรวจสอบธรกรรมของระบบงาน และมการเกบขอมล Log เพอตรวจสอบได

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 14.2.1 Secure development policy มการจางผใหบรการภายนอกในการพฒนาระบบ -

14.2.2 System change control procedures

14.2.3 Technical review of applications after operating platform changes

มการทบทวนและตงคาระบบใหมความมนคงปลอดภยหลงจากมการเปลยนแปลงส าคญ

14.2.4 Restrictions on changes to software packages

ไมอนญาตใหมการเปลยนแปลงแกไขซอฟทแวรส าเรจรป หากจ าเปนตองจางผเชยวชาญในการด าเนนการ

14.2.5 Secure system engineering principles

มการพฒนาระบบตามหลกการ SDLC -

14.2.6 Secure development environment มการจดเตรยมสภาพแวดลอมส าหรบการพฒนาระบบทมความมนคงปลอดภย

14.2.7 Outsourced development มกระบวนการในการจดจางผใหบรการภายนอก -

14.2.8 System security testing มการทดสอบตามขอบเขตงานเพอตรวจรบระบบงาน -

14.2.9 System acceptance testing 14.3.1 Protection of test data มการปองกนขอมลทน ามาใชในการทดสอบระบบงาน -

15.1.1 Information security policy for supplier relationships

มกระบวนการในการจดจางผใหบรการภายนอก [RTP. 18] จดท าระเบยบปฏบตการบรหารจดการผใหบรการภายนอก

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 15.1.2 Addressing security within supplier agreements

มกระบวนการในการจดจางผใหบรการภายนอก [RTP. 18] จดท าระเบยบปฏบตการบรหารจดการผใหบรการภายนอก

15.1.3 Information and communication technology supply chain 15.2.1 Monitoring and review of supplier services

15.2.2 Managing changes to supplier services

16.1.1 Responsibilities and procedures - [RTP. 19] จดท าระเบยบปฏบตการจดการเหตละเมดความมนคงปลอดภยสารสนเทศ 16.1.2 Reporting information security

events -

16.1.3 Reporting information security weaknesses

16.1.4 Assessment of and decision on information security events

16.1.5 Response to information security incidents

มการแกปญหาเมอตรวจพบ หรอไดรบแจง กรณไมสามารถแกไขไดจะใหผใหบรการภายนอกด าเนนการ

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 16.1.6 Learning from information security incidents

- [RTP. 19] จดท าระเบยบปฏบตการจดการเหตละเมดความมนคงปลอดภยสารสนเทศ

16.1.7 Collection of evidence -

17.1.1 Planning information security continuity

มขนตอนในการกคนระบบสารสนเทศ -

17.1.2 Implementing information security continuity

17.1.3 Verify, review and evaluate information security continuity

A.17.2.1 Availability of information processing facilities

มการจดเตรยมอปกรณส ารอง และอปกรณทท างานทดแทนกนได

[RTP. 23] จดหาศนยคอมพวเตอรส ารอง2

18.1.1 Identification of applicable legislation and contractual requirements

มการระบรายการกฎหมาย ระเบยบ ขอบงคบทตองปฏบตตาม

18.1.2 Intellectual property rights มการใชงานซอฟทแวรทมลขสทธถกตองตามกฎหมาย -

18.1.3 Protection of records มการปองกนบนทกการด าเนนงานอยางมนคงปลอดภย -

18.1.4 Privacy and protection of personally identifiable information

มการปองกนขอมลสวนบคคลและขอมลสขภาพของผใชบรการทางการแพทย

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 18.1.5 Regulation of cryptographic controls

18.2.1 Independent review of information security

จางผเชยวชาญด าเนนการตรวจสอบ -

18.2.2 Compliance with security policies and standards

หวหนางานและผบรหารมการตรวจสอบความสอดคลองในการท างานของบคลากรภายใตการก ากบดแลเสมอ

18.2.3 Technical compliance review มการทบทวนและตงคาระบบใหมความมนคงปลอดภย - หมายเหต: 2 หมายถง การจดการความเสยงทตองมการตดสนใจจากผบรหาร และตองใชงบประมาณในการด าเนนการ จงไดมการน าเสนอตอผบรหารเพอ

พจารณาสนบสนนงบประมาณในการด าเนนการตอไป

4.9. การด าเนนการตามแผนการจดการความเสยง 4.9.1. นโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ

ก าหนดนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ เปนแนวทางการปฏบตงานใหแกบคลากรของศนยการแพทยฯ เพอเปนแนวนโยบายในการปฏบตงานใหมความมงคงปลอดภยสารสนเทศดานสขภาพ โดยมเนอหาครอบคลม ดงน

1) โครงสรางดานความมนคงปลอดภยสารสนเทศ (Organization of information security)

2) นโยบายการใชอปกรณพกพา และการปฏบตงานจากระยะไกล (Mobile

devices and teleworking)

3) นโยบายความมนคงปลอดภยส าหรบทรพยากรบคคล (Human resource

security)

4) นโยบายการจดการทรพยสน (Asset management)

5) นโยบายการควบคมการเขาถง (Access control)

6) นโยบายการเขารหสลบขอมล (Cryptography)

7) นโยบายความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical

and environmental security)

8) นโยบายความมนคงปลอดภยส าหรบการด าเนนงาน (Operations

security)

9) นโยบายความมนคงปลอดภยส าหรบการสอสารขอมล (Communications

security)

10) นโยบายการจดหา การพฒนา และการบ ารงรกษาระบบ (System

acquisition, development and maintenance)

11) นโยบายความสมพนธกบผใหบรการภายนอก (Supplier relationships)

12) นโยบายการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ

(Information security incident management)

13) นโยบายการบรหารความตอเนองของธรกจ (Information security

aspects of business continuity management)

14) นโยบายการปฏบตใหเปนไปตามขอก าหนด (Compliance)

15) นโยบายความมนคงปลอดภยส าหรบผใชงานระบบเทคโนโลยสารสนเทศ

(End User Oriented Policy)

4.9.2. ก าหนดผดแลทรพยสนในระบบจดการครภณฑ เนองจากศนยการแพทยฯ มการใชงานระบบจดการครภณฑอยแลวจงน ามา

ประยกตใชเปนทะเบยนทรพยสนของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ โดยท าการระบผดแลทรพยสนเพอใหมการใชงานทรพยสน และบ ารงรกษาทรพยสนอยางเหมาะสม

4.9.3. จดท าระเบยบปฏบต จากการประเมนความเสยงความมนคงปลอดภยสารสนเทศดานสขภาพพบวาสวน

ใหญศนยการแพทยฯ มการด าเนนการอยแลวแตยงขาดการจดท าระเบยบปฏบตในแตละเรอง เพอใหมการก าหนดวธการด าเนนงานทเปนมาตรฐานเดยวกนสามารถใหผลการด าเนนงานออกมาเทยงตรง เชอถอได และสามารถวดผลการด าเนนงานในแตละครงได โดยจดท าเปนระเบยบปฏบตจ านวน 16 เรอง ดงน

1) ระเบยบปฏบตการจดระดบชนความลบของสารสนเทศ

2) ระเบยบปฏบตการบรหารจดการสอบนทกขอมลเคลอนทได

3) ระเบยบปฏบตการท าลายขอมลและสอบนทก

4) ระเบยบปฏบตการบรหารจดการบญชรายชอและสทธ

5) ระเบยบปฏบตทบทวนสทธการเขาใชงาน

6) ระเบยบปฏบตการลอกอนเขาระบบอยางปลอดภย

7) ระเบยบปฏบตการเขารหสลบขอมล

8) ระเบยบปฏบตการขอเขาพนทโดยบคคลภายนอก

9) ระเบยบปฏบตการบรหารการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

10) ระเบยบปฏบตการบรหารจดการขดความสามารถของระบบ

11) ระเบยบปฏบตการปองกนโปรแกรมไมประสงคด

12) ระเบยบปฏบตการส ารองและกคนขอมล

13) ระเบยบปฏบตการบรหารจดการขอมลลอก

14) ระเบยบปฏบตการตรวจสอบและแกไขชองโหวในระบบเทคโนโลย

สารสนเทศ

15) ระเบยบปฏบตการบรหารจดการผใหบรการภายนอก

16) ระเบยบปฏบตการจดการเหตละเมดความมนคงปลอดภยสารสนเทศ

4.9.4. อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย

เพอสรางความร ความเขาใจในเรองความมนคงปลอดภยสารสนเทศ และสรางความตระหนกในการปฏบตตตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และ

ระเบยบปฏบตทประกาศใชงานใหแกผปฏบตงานเทคโนโลยสารสนเทศ จงไดมการจดอบรมขนในวนท 24 เมษายน 2561 เวลา 09:00 – 12:00 น. ณ หองประชมงานเทคโนโลยสารสนเทศ ชน 4 คณะแพทยศาสตร โดยมผเขาอบรมจากหนวยงานเทคโนโลยสารสนเทศ จ านวน 11 คน

4.10. การประเมนความเสยงทคงเหลอ ความเสยงทคงเหลอ คอการประเมนความเสยงหลงจากการด าเนนการจดการความเสยง เพอใหมนใจวาการจดการความเสยงนนมประสทธผลเพยงพอ โดยใช

วธการ และเกณฑในการประเมนความเสยงเดยวกนกบการประเมนความเสยงครงแรก ซงไดผลผลการประเมนความเสยงดงตารางท 4.60 ผลการประเมนความเสยงทคงเหลอ

ตารางท 4.60 ผลการประเมนความเสยงทคงเหลอ

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ไมสามารถตดตอกบหนวยงานทมอ านาจไดยามฉกเฉน

1 1 2 2 1 2 3 2 6

5 4 5 3 1 3 1 5 5

5 4 5 3 1 3 2 5 10

ตารางท 4.61 ผลการประเมนความเสยงทคงเหลอ (ตอ)

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 3 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 3 5 1 3 1 5 5

5 4 3 5 1 3 2 5 10

5 4 3 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 3 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 3 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 3 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 3 5 1 3 1 5 5

1 2 2 2 1 2 1 2 2

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 5 2 5 1 5 2 5 10

ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดท าปายบงชทรพยสนสารสนเทศ (8.2.2 Labelling of information)

5 5 2 5 1 5 2 5 10

5 5 2 5 1 5 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 5 2 5 1 5 2 5 10

5 5 2 5 1 5 1 5 5

1 1 1 3 1 2 1 3 3

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ขอมลภายในระบบสารสนเทศสญหาย ไมมการส ารอง และทดสอบการกคนขอมลส าคญ (12.3.1 Information backup)

5 4 2 5 1 4 2 5 10

5 4 2 5 1 4 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 2 5 1 4 1 5 5

5 4 2 5 1 4 2 5 10

5 4 2 5 1 4 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 2 5 1 4 1 5 5

4 1 2 3 1 3 1 4 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

4 1 2 3 1 3 2 4 8

4 1 2 3 1 3 1 4 4

5 4 3 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 3 5 1 3 1 5 5

4 2 2 3 1 2 1 4 4

- EMR System - LIS System - PACS System

2 1 2 2 1 2 2 2 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 5 5 3 1 3 1 5 5

5 5 5 2 1 3 1 5 5

5 5 5 3 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

4 4 4 2 1 2 1 4 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

4 4 4 2 1 2 2 4 8

4 4 4 2 1 2 1 4 4

4 4 4 2 1 2 2 4 8

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

4 4 4 2 1 2 1 4 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด ไมมการตงเวลาใหตรง (12.4.4 Clock synchronisation)

4 2 2 3 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด ขาดการทบทวนทางเทคนค (18.2.3 Technical compliance review)

4 2 2 3 1 2 1 4 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศประมวลผลผดพลาด มการใชงานโปรแกรมอรรถประโยชนทไมปลอดภย (9.4.4 Use of privileged utility programs)

4 2 2 3 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด ผใชงานตดตงซอฟทแวรเองโดยไมไดรบอนญาต (12.6.2 Restrictions on software installation)

4 2 2 3 1 2 1 4 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศประมวลผลผดพลาด ไมมการจดการชองโหวทางเทคนค (12.6.1 Management of technical vulnerabilities)

4 2 2 3 1 2 2 4 8

3 2 2 2 1 2 2 3 6

ถกดกขโมยขอมลทสงผานสายสญญาณ การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

5 4 3 5 1 3 1 5 5

2 1 3 2 1 2 1 3 3

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

2 1 2 5 1 3 1 5 5

1 1 1 5 1 3 1 5 5

ขอมลลอกถกเขาถงโดยไมไดรบอนญาต

1 1 1 5 1 3 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

2 1 2 2 1 2 3 2 6

5 4 2 5 1 4 1 5 5

ขาดการวเคราะหความตองการดานความมนคงปลอดภยสารสนเทศ (14.1.1 Information security requirements analysis and specification)

5 4 2 5 1 4 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 2 5 1 4 1 5 5

5 5 5 5 1 5 2 5 10

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 5 5 5 1 5 2 5 10

4 4 4 5 1 4 2 5 10

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

1 1 1 5 1 3 2 5 10

5 4 5 4 1 5 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 4 5 4 1 5 1 5 5

5 5 5 5 1 5 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

5 1 3 3 1 3 2 5 10

1 2 1 5 1 5 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

1 1 2 2 1 2 2 2 4

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

External Service 5 4 2 5 1 4 1 5 5

(P) (F) (IT) (C) (E) (R)

โอกา

ผลกร

ะทบ

ความ

เสยง

หมายเหต: 3 หมายถง กลมทรพยสน EMR System, LIS System, PACS System, Binary MRIS System, Anti-virus Server, Client, Internal Network, Link/Carier, Core Switch และ Firewall/IPS/IDS

เพอใหมนใจวามาตรการจดการความเสยงทด าเนนการอยมประสทธภาพและประสทธผลเพยง จงตองมการประเมนความเสยงทคงเหลอ ซงพบวามาตรการจดการความเสยงทก าหนดขนเมอน ามาด าเนนการแลวจะสงผลใหระดบความเสยงลดลง ดงตารางท 4.96 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง

ตารางท 4.92 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง

ภยคกคาม ชองโหว ระดบความเสยง

กอน หลง ไมสามารถตดตอกบหนวยงานทมอ านาจไดยามฉกเฉน

ตารางท 4.93 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

กอน หลง ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดท าปายบงชทรพยสนสารสนเทศ (8.2.2 Labelling of information)

ขอมลภายในระบบสารสนเทศสญหาย

ไมมการส ารอง และทดสอบการกคนขอมลส าคญ (12.3.1 Information backup)

ระบบสารสนเทศประมวลผลผดพลาด

ไมมการตงเวลาใหตรง (12.4.4 Clock synchronisation)

ขาดการทบทวนทางเทคนค (18.2.3 Technical compliance review)

ถกดกขโมยขอมลทสงผานสายสญญาณ

กอน หลง ขอมลลอกถกเขาถงโดยไมไดรบอนญาต

ขาดการวเคราะหความตองการดานความมนคงปลอดภยสารสนเทศ (14.1.1 Information security requirements analysis and specification)

4.11. การวดประสทธภาพ และประสทธผลของการด าเนนงาน

ก าหนดตวชวดประสทธภาพ และประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ เพอใหมนใจวาการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพขององคกรบรรลตามเปาหมายวตถประสงค ดงตารางท 4.110 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ตารางท 4.106 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

วตถประสงค/ตวชวด เปาหมายการวด ความถ วธประเมนผลการปฏบตงาน

1) การประเมนความเสยง มการประเมนความเสยงตามกลมทรพยสน และการประเมนความเสยงบรบท

ปละ 1 ครง

พจารณาผลการประเมนความเสยง

2) การจดการความเสยง มการจดการความเสยงตามแผนการจดการความเสยงทก าหนดไว

พจารณาความคบหนาการด าเนนการตามแผนจดการความเสยง

3) การเขารวมประชมคณะกรรมการบรหารเทคโนโลยสารสนเทศ

เขารวมประชมคณะกรรมการบรหารเทคโนโลยสารสนเทศ อยางนอย 10 ครง/ป

พจาราณารายชอผเขาประชม

ตารางท 4.107 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ)

วตถประสงค/ตวชวด เปาหมายการวด ความถ วธประเมนผลการปฏบตงาน

4) การแกไขประเดนความไมสอดคลอง

มการแกไขประเดนความไมสอดคลองทตรวจพบตามเวลาทก าหนด

พจารณาความคบหนาการด าเนนการแกไขประเดนความไมสอดคลอง

5) การเขาอบรมในหลกสตรทเกยวของ

เขาอบรมในหลกสตรทเกยวของ อยางนอยปละ 1 ครง

พจารณาใบรายชอผเขาอบรม

6) ระดบการใหบรการ (Service Level Agreement: SLA)

99.93% (ระบบหยดใหบรการไดไมเกน 30 นาท 14 วนาท / เดอน)

เวลา uptime ในรอบป = %uptime x 365 วน x 24 ชวโมง เชน (99.9/100) x 365 x 24 = 8,751.24 ชวโมง

7) การบรหารการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

การเปลยนแปลงระบบเทคโนโลยสารสนเทศทกรายการตองไดรบอนมต

พจารณาใบรองขอการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

8) การส ารองและกคนขอมล

มการส ารองและทดสอบกคนขอมลตามชวงระยะเวลาทก าหนดไว

พจารณาบนทกผลส ารองและกคนขอมล

9) การจดการเหตละเมดความมนคงปลอดภยสารสนเทศ

เหตละเมดความมนคงปลอดภยสารสนเทศทกรายการไดรบการวเคราะหสาเหต

พจารณาใบรายงานเหตละเมดความมนคงปลอดภยสารสนเทศ

10) การปองกนโปรแกรมไมประสงคด

มการตดตงโปรแกรมปองกนไวรส และก าหนดคาการตรวจจบอตโนมต

การตดตงโปรแกรมปองกนไวรส และการตงคา

11) การบรหารจดการขอมลลอก

มการทบทวนขอมลลอกตามชวงเวลาทก าหนดไว

บนทกผลการทบทวนขอมลลอก

12) การตรวจสอบและแกไขชองโหวในระบบเทคโนโลยสารสนเทศ

มการตรวจสอบชองโหวในระบบเทคโนโลยสารสนเทศตามขอบเขตการขอรบรอง

รายงานผลการตรวจสอบชองโหวในระบบเทคโนโลยสารสนเทศ

4.12. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน จากการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศทผานมามการน าประเดนท

เกยวของเขาเปนวาระการประชมของคณะกรรมการบรหารเทคโนโลยสารสนเทศ ดงตารางท 4.112 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ตารางท 4.108 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ครงท วนท วาระการประชม มตทประชม

1 24 กรกฏาคม 2560 ประชมเรมด าเนนโครงการ รบทราบ นดหมายอบรมขอก าหนดของ ISO/IEC 27001:2013 และ ISO/IEC 27799:2016

มอบหมายใหเลขาคณะกรรมการฯ ไปพจารณาก าหนดวนท และก าหนดการทเหมาะสม และน ามาเสนอในทประชมครงถดไป

2 28 สงหาคม 2560 ตดตามความคบหนาการด าเนนงาน

รบทราบ

นดหมายอบรมขอก าหนดของ ISO/IEC 27001:2013 และ ISO/IEC 27799:2016

ก าหนดอบรมในวนท 26 กนยายน 2560 เวลา 09:00 – 12:00 น.

การรวบรวมทะเบยนทรพยสนสารสนเทศ

มอบหมายใหงานเทคโนโลยส า ร ส น เ ท ศ ด า เ น น ก า รรวบรวมทะเบยนทรพยสนส า ร ส น เ ท ศ เ พ อ น า ไ ปประเมนความเสยง

รปแบบ และการจดการเอกสาร มอบหมายใหงานเทคโนโลยสารสนเทศประสานงานกบง า น พ ฒ น า ค ณ ภ า พโรงพยาบาลเพอจดท าระบบจดการเอกสารใหเปนระบบเดยวกนทงองคกร

ตารางท 4.109 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ)

3 28 กนยายน 2560

ตดตามความคบหนาการด าเนนงาน รบทราบ ขออนมตเกณฑการประเมนความเสยง

มอบหมายใหงานเทคโนโลยสารสนเทศประสานงานกบง า น พ ฒ น า ค ณ ภ า พโรงพยาบาลเพอให เกณฑก า รประ เม นคว าม เส ย งสอดคลองตามเกณฑการประ เมนความ เส ย ง ขององคกร

4 27 ตลาคม 2560 ตดตามความคบหนาการด าเนนงาน รบทราบ

- ขออนมตนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

- ขออนมตขอบเขตการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

- ขออนมตเกณฑการประเมนความเสยง

- ขออนมตการจดระดบชนความลบของสารสนเทศ

- ขออนมตโครงสรางการด าเนนงาน และคมอระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

- พจารณาบทบาทคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ

อนมต โดยหลกการ และมอบหมายใหงานเทคโนโลยสารสนเทศประสานงานกบง า น พ ฒ น า ค ณ ภ า พโรงพยาบาลเพอปรบปรงรปแบบเอกสารใหสอดคลองกบระบบจดการเอกสารขององคกร

ตารางท 4.110 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ)

4 (ตอ)

27 ตลาคม 2560 ผลการอบรม “การท างานอยางไร. . . ให ม ค ว ามม น ค งปลอดภ ยส าหรบสารสนเทศดานสขภาพ ตามมาตรฐานสากล ISO/IEC ๒๗๗๙๙:๒๐๑๖”

รบทราบ

5 27 พฤศจกายน 2560

ตดตามความคบหนาการด าเนนงาน

รบทราบ

6 26 กมภาพนธ 2561 ตดตามความคบหนาการด าเนนงาน

รบทราบ

น าเสนอผลการประเมนความเสยง และขออนมตแผนจดการความเสยง

อนมตใหด าเนนการตามแผนจดการความเสยง

7 26 มนาคม 2561 ตดตามความคบหนาการด าเนนงาน

รบทราบ

8 30 เมษายน 2561 ตดตามความคบหนาการด าเนนงาน

รบทราบ

บทท 5 สรปผลการด าเนนงาน

ในการด าเนนการโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ตามกรอบแนวทางทก าหนดใหสอดคลองกบมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 สามารถสรปผลการด าเนนงานดงตอไปน

5.2. สรปผลการด าเนนงาน

5.2.1. การศกษาบรบทขององคกร จากการศกษาบรบทขององคกร เชน วสยทศน พนธกจ แผนยทธศาสตร และ

ลกษณะการด าเนนงาน ไดท าการวเคราะหจดออน จดแขง โอกาส และอปสรรค โดยใช SWOT Analysis เปนเครองมอในการวเคราะห รวมถงการศกษาความตองการและความคาดหวงของผทเกยวของกบระบบบรหารความนคงปลอดภยสารสนเทศดานสขภาพ

5.2.2. การก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ในการก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ของศนยการแพทยฯ ไดพจารณาความเหมาะสมจากผลการศกษาบรบทขององคกร เพอใหการด าเนนงานสอดคลองตามบรบทของคกร และตอบสนองความตองการและความคาดหวงของผทเกยวของ

5.2.3. การก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ จากการก าหนด และประกาศใชนโยบายระบบบรหารความมนคงปลอดภย

สารสนเทศดานสขภาพ แสดงใหเหนถงความมงมนของผบรหารศนยการแพทยฯ และคณะกรรมการฯ ในการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพของศนยการแพทยฯ ใหบรรลประสทธภาพและประสทธผล และมการปรบปรงอยางตอเนอง

5.2.4. การก าหนดโครงสราง บทบาท หนาท ความรบผดชอบ เนองจากศนยการแพทยฯ มการแตงตงคณะกรรมการบรหารจดการเทคโนโลย

สารสนเทศอยแลว ซงประกอบไปดวยงานเทคโนโลยสารสนเทศ ผบรหารและหวหนางานจากแตละฝายมาเปนคณะกรรมการดงกลาว จงไดท าการพจารณาขอเพมบทบาทหนาทคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศใหรวมถงการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ และมการมอบหมายคณะท างานภายในฝายงานเทคโนโลยสารสนเทศ เพอใหมผรบผดชอบในการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

5.2.5. การอบรม ในการด าเนนการโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดาน

สขภาพไดจดใหมการอบรมจ านวน 2 หลกสตร คอ 1) อบรมหลกสตร “การท างานอยางไร...ใหมความมนคงปลอดภยส าหรบ

สารสนเทศดานสขภาพ ตามมาตรฐานสากล ISO/IEC 27799:2016” ในวนท 26 กนยายน 2560 เวลา 09:00 – 12:00 น. ณ หองประชม 5B ชน 5 อาคารศนยการแพทยฯ เพอสรางความร ความเขาใจในขอก าหนดของมาตรฐาน และสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐานใหแกผปฏบตงานเทคโนโลยสารสนเทศ และบคคลากรของศนยการแพทยฯ

2) อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย ในวนท 24 เมษายน 2561 เวลา 09:00 – 12:00 น. ณ หองประชมงานเทคโนโลยสารสนเทศ ชน 4 คณะแพทยศาสตร เพอสรางความร ความเขาใจในเรองความมนคงปลอดภยสารสนเทศ และสรางความตระหนกในการปฏบตตตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และระเบยบปฏบตทประกาศใชงานใหแกผปฏบตงานเทคโนโลยสารสนเทศ จ านวน 11 คน

5.2.6. สรปผลการประเมนความเสยง และการจดการความเสยง มการประเมนและจดการความเสยงดานความมนคงปลอดภยสารสนเทศใน 2 สวน

บรบทขององคกร และกลมทรพยสน โดยสามารถสรปผลไดดงน 1) สรปผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท)

จากการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศโดยอางองตามบรบทขององคกร สามารถสรปจ านวนความเสยงบรบทขององคกรไดดงรปท 5.1 ความเสยงบรบทขององคกร

รปท 5.1 ความเสยงบรบทขององคกร

2) สรปผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลม

ทรพยสน) จากการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศโดยอางองตามกลมทรพยสน สามารถสรปคาเฉลยของระดบความเสยงแยกตามมาตรการควบคมความเสยงตามมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 จ านวน 14 โดเมน โดยท าการเปรยบเทยบระดบความเสยงกอน และหลงการจดการความเสยงไดดงรปท 5.2 ระดบความเสยงกอน และหลงการจดการความเสยงแยกตามมาตรการควบคมความเสยง

รปท 5.2 ระดบความเสยงกอน และหลงการจดการความเสยงแยกตามมาตรการควบคมความเสยง

3) การจดการความเสยง โดยมงเนนการจดท าระเบยบปฏบตตางๆ จ านวน 16

เรอง เพอใหมมาตรฐานในการปฏบตงานเดยวกนสงผลใหไดผลลพธทถกตอง เหมาะสม นอกจากนยงมการจดการความเสยงดวยวธอนๆ เชน การอบรม การจดท านโยบาย การเสนอของบประมาณเพอปรบปรงระบบงานตางๆ เปนตน

5.2.7. การวดประสทธภาพ และประสทธผลของการด าเนนงาน มการก าหนดตวชวดประสทธภาพ และประสทธผลของการด าเนนงาน โดย

ครอบคลมประเดน ดงน

1) การประเมนและจดการความเสยง

2) การประชมคณะกรรมการบรหารเทคโนโลยสารสนเทศ

3) การแกไขประเดนความไมสอดคลอง

4) การเขาอบรม

5) ระดบการใหบรการ (Service Level Agreement: SLA)

6) การบรหารการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

7) การส ารองและกคนขอมล

8) การจดการเหตละเมดความมนคงปลอดภยสารสนเทศ

9) การปองกนโปรแกรมไมประสงคด

10) การบรหารจดการขอมลลอก

11) การตรวจสอบและแกไขชองโหวในระบบเทคโนโลยสารสนเทศ

5.2.8. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน ในการประชมบรหารจดการเทคโนโลยสารสนเทศ ไดก าหนดใหมการประชมขน

เดอนละ 1 ครง เพอใหมการตดตาม ทบทวนการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ และการด าเนนงานของฝายงานเทคโนโลยสารสนเทศ

5.3. ประโยชนทไดรบ

จากการด าเนนโครงงานฯ ท าใหองคกรไดรบประโยชน ดงน

1) ทราบจดออน ภยคกคาม โอกาส และผลกระทบของความเสยงดานความมนคง

ปลอดภยสารสนเทศ

2) บลากรมความรความเขาใจในการด าเนนงานตามมาตรฐาน ISO/IEC 27799:2016

3) มการด าเนนงานอยางเปนระบบ สามารถตรวจสอบยอนกลบได

5.4. อปสรรค และปญหาทพบ จากการด าเนนโครงงานฯ พบอปสรรคและปญหาในการด าเนนงาน ดงน

1) บคลากรทมความจ าเปนตองเขาถงสารสนเทศดานสขภาพเพอปฏบตงานขาดความ

ตระหนกในการรกษาความมนคงปลอดภยสารสนเทศ เนองจากบคลากรดงกลาวม

จ านวนมากจงยากตอการสรางความตระหนกใหมประสทธผล

2) บคลากรในสงกดงานเทคโนโลยสารสนเทศทมบทบาทหนาทหลกในการด าเนนการ

บรหารความมนคงปลอดภยสารสนเทศดานสขภาพมจ านวนไมเพยงพอ

3) องคกรขาดกระบวนการสรางแรงจงใจใหบคลากรใหความส าคญตอการบรหารความ

มนคงปลอดภยสารสนเทศ

5.5. แนวทางการพฒนา และปรบปรง จากการด าเนนโครงงานฯ มขอเสนอแนะ แนวทางการพฒนาและปรบปรงการด าเนนงาน

ดงน

1) ด าเนนการตามขอก าหนดของมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน

ISO/IEC 27799:2016 ใหครบถวน เพอขอการรบรองในมาตรฐานดงกลาว

2) สนบสนนใหมการพฒนาและปรบปรงการด าเนนงานระบบบรหารความมนคง

ปลอดภยสารสนเทศดานสขภาพอยางตอเนอง

3) ควรมการทบทวนผลการวเคราะหบรบทขององคกร นโยบาย และระเบยบปฏบต

ตางๆ ทก าหนดขน ใหสอดคลองกบสถานการณปจจบน

4) ควรมการประเมนความเสยง และก าหนดแนวทางการจดการความเสยงให

สอดคลองกบสถานการณปจจบน

5) ควรมการสรางความรและความตระหนกในการรกษาความมนคงปลอดภย

สารสนเทศใหกบบคลากรทมความจ าเปนตองเขาถงสารสนเทศดานสขภาพเพอ

ปฏบตงานอยางสม าเสมอ

6) ควรสรรหาผตรวจสอบภายในเพอด าเนนการตรวจสอบความสอดคลองในการ

ด าเนนงานของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

7) ควรก าหนดและมอบหมายหนาทความรบผดชอบของบคลากรในสงกดงาน

เทคโนโลยสารสนเทศใหชดเจน เพอพจารณาขอเพมอตราก าลงตามความจ าเปน

เอกสารอางอง

[1] Edward H. Shortliffe and James J. Cimino, “Biomedical Informatics

Applications,” Biomedical Informatics Computer Applications in Health Care and Biomedicine, no. 4, pp. 391-755, 2014.

[2] Frances Wickham Lee, John P. Glaser and Karen A. Wager, “HEALTH CARE INFORMATION SYSTEMS,” HEALTH CARE INFORMATION SYSTEMS A Practical Approach for Health Care Management, no. 2, pp. 87-166, 2009.

[3] ISO 31000, Risk management — Principles and guidelines [4] ISO/IEC 27000:2016, Information technology — Security techniques —

Information security management systems — Overview and vocabulary [5] ISO/IEC 27001:2013, Information technology — Security techniques —

Information security management systems — Requirements [6] ISO/IEC 27799:2016, Health informatics — Information security management

in health using ISO/IEC 27002 [7] ดานการบรหารงานการแพทยในโรงพยาบาล. (2017, เมษายน 17). วกต ารา. [Online].

Availible: https://th.wikibooks.org/w/index.php?title=%E0%B8%94%E0%B9%89%E0%B8%B2%E0%B8%99%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%9A%E0%B8%A3%E0%B8%B4%E0%B8%AB%E0%B8%B2%E0%B8%A3%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%81%E0%B8%9E%E0%B8%97%E0%B8%A2%E0%B9%8C%E0%B9%83%E0%B8%99%E0%B9%82%E0%B8%A3%E0%B8%87%E0%B8%9E%E0%B8%A2%E0%B8%B2%E0%B8%9A%E0%B8%B2%E0%B8%A5&oldid=39943

[8] บรษท ท-เนต จ ากด. มาตรฐาน ISO/IEC27001:2013. [Online]. Available: http://www.tnetsecurity.com/content_audit/27001-2013.pdf

ภาคผนวก ก นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

รปท ก.1 นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ภาคผนวก ข ผลการอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799

1. หนงสอเชญอบรม

รปท ข.1 หนงสอเชญอบรม

2. รายชอผเขาอบรม

รปท ข.2 รายชอผเขาอบรม (1/3)

3. ขอสอบวดผลการอบรม

รปท ข.5 ขอสอบวดผลการอบรม (1/3)

4. รปภาพประกอบการอบรม

รปท ข.8 รปภาพประกอบการอบรม

ภาคผนวก ค ผลการอบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ

และการปฏบตตามนโยบาย

รปท ค.1 อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ

และการปฏบตตามนโยบาย

ภาคผนวก ง การอนมตและประกาศใชระเบยบปฏบตเรองตางๆ

รปท ง.1 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการสอบนทกขอมลเคลอนทได

รปท ง.2 การอนมตและประกาศใชระเบยบปฏบตเรองการท าลายขอมลและสอบนทก

รปท ง.3 การอนมตและประกาศใชระเบยบปฏบตเรองการทบทวนสทธการเขาใชงาน

รปท ง.4 การอนมตและประกาศใชระเบยบปฏบตเรองการลอกอนเขาระบบอยางปลอดภย

รปท ง.5 การอนมตและประกาศใชระเบยบปฏบตเรองการเขารหสลบขอมล

รปท ง.6 การอนมตและประกาศใชระเบยบปฏบตเรองการขอเขาพนทโดยบคคลภายนอก

รปท ง.7 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารการเปลยนแปลง

ระบบเทคโนโลยสารสนเทศ

รปท ง.8 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการขดความสามารถของระบบ

ง-10

รปท ง.9 การอนมตและประกาศใชระเบยบปฏบตเรองการปองกนโปรแกรมไมประสงคด

ง-11

รปท ง.10 การอนมตและประกาศใชระเบยบปฏบตเรองการส ารองและกคนขอมล

ง-12

รปท ง.11 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการขอมล Log

ง-13

รปท ง.12 การอนมตและประกาศใชระเบยบปฏบตเรองการตรวจสอบและการแกไขชองโหวใน

ระบบเทคโนโลยสารสนเทศ

ง-14

รปท ง.13 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการผใหบรการภายนอก

ง-15

รปท ง.14 การอนมตและประกาศใชระเบยบปฏบตเรองการจดการเหตละเมดความมนคงปลอดภย

สารสนเทศ

ภาคผนวก จ การก าหนดผดแลทรพยสนในระบบจดการครภณฑ

รปท จ.1 การก าหนดผดแลทรพยสนในระบบจดการครภณฑ

developing information security management system in health …it)...

Documents

development of a centralized log management system for ......

โครงการวิจัย...

ornpawee...

การพัฒนาระบบ cpr

กล่มเทคโนโลยีสารสนเทศุict.hss.moph.go.th/fileupload_doc/2017-11-22-5-17... ·...

บทที่ 4 การพัฒนาระบบ ·...

· web viewท ๖ ด านการปร บสมด...

service plan rational drug use (rdu) …...การพ...

การพัฒนาระบบ - dru · 27 4.1.2...

2556 · 2018. 8. 14. ·...

แนวปฏิบัติในการรักษาความ...

การพัฒนาระบบ...

แผนยุทธศาสตร์...

development cctv system on streaming media...

ประเด็นยุทธศาสตร์ที่...

research.rmutsb.ac.th › fullpaper › 2558 ›...

ชื่อเรื่อง...

cbercyber sec ritsecurity a arenessawarenessความส...

รายงานประจําปี 25564 (พ.ศ....

แผนยุทธศาสตร...