การพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ตามมาตรฐาน ISO/IEC 27799:2016

กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร Developing Information Security Management System in Health According to ISO/IEC 27799:2016 Case Study for HRH Princess Maha Chakri Sirindhorn

Medical Center

พงศกร โสธนนท

สารนพนธฉบบนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2560

การพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ตามมาตรฐาน ISO/IEC 27799:2016

กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร Developing Information Security Management System in Health

According to ISO/IEC 27799:2016 Case Study for HRH Princess Maha Chakri Sirindhorn Medical Center

พงศกร โสธนนท

สารนพนธฉบบนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2560

I

หวขอ การพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร Developing Information Security Management System in Health According to ISO/IEC 27799:2016 Case Study for HRH Princess Maha Chakri Sirindhorn Medical Center

ชอนกศกษา พงศกร โสธนนท รหสนกศกษา 5917670002 หลกสตร วทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ ปการศกษา 2560 อาจารยทปรกษา ผศ.ดร.พนม เพชรจตพร

ดร.บรรจง หะรงษ

บทคดยอ

สารนพนธนเปนการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ โดย

อางองมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 ใหมกระบวนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศอยางเปนระบบ รวมไปถงการจดท านโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ สงผลใหองคกรมการด าเนนการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพอยางเปนระบบ มกระบวนการท างานทมประสทธภาพ มการพฒนาอยางตอเนอง โปรงใส และเปนมาตรฐานทสามารถตรวจสอบได

ระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพทพฒนาขนจะชวยใหองคกรทราบและสามารถลดจดออน ภยคกคาม โอกาส และผลกระทบของความเสยงดานความมนคงปลอดภยสารสนเทศได รวมถงจะท าใหบคลากรมความรความเขาใจในการด าเนนงานตามมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016

II

กตตกรรมประกาศ

สารนพนธนส าเรจไดดวยดเนองจากไดรบความกรณาอยางสงจากทานอาจารยทปรกษา ขอกราบขอบพระคณ ผศ.ดร.พนม เพชรจตพร และ ดร.บรรจง หะรงษ ทสละเวลาอนมคามาเปนทปรกษาสารนพนธน รวมทงใหความร และค าแนะน าทเปนประโยชนในการจดท าสารนพนธ

ขอบพระคณทาน ผศ.พญ.นนทนา ชมชวย ผอ านวยการศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร คณะผบรหาร และคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ ทใหการสนบสนน และสงเสรมการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามขอบเขตของสารนพนธ รวมถงขอขอบคณคณเฉลม สวรรณะ และบคลากรงานเทคโนโลยสารสนเทศ เปนผประสานงานหลก ใหขอมล และรวมด าเนนการใหส าเรจไดดวยด

ขอบพระคณทาน ดร. นพ.นวนรรน ธระอมพรพนธ ผชวยคณบดฝายนโยบายและสารสนเทศ และอาจารย ภาควชาเวชศาสตรชมชน คณะแพทยศาสตรโรงพยาบาลรามาธบด มหาวทยาลยมหดล ทใหความร และต าราอางองทฤษฏเกยวกบระบบเทคโนโลยสารสนเทศในโรงพยาบาล และขอบพระคณบรษท ท-เนต จ ากด ทใหความร และเอกสารอางองเกยวกบมาตรฐานตางๆ

ขอขอบพระคณบดา มารดา และภรรยา ทคอยสนบสนน และใหก าลงใจในการท างานเสมอมา และขอขอบพระคณทกทานทไดใหความชวยเหลอในดานตางๆ ทมไดออกนาม ณ ทน ทมสวนท าใหสารนพนธนส าเรจไดดวยด ขาพเจาจงขอขอบพระคณเปนอยางสงไว ณ ทนดวย

ทงนขาพเจาหวงเปนอยางยงวาสารนพนธนจะมสวนชวยเปนแนวทางในการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพใหสอดคลองตามมาตรฐาน ISO/IEC 27799:2016 หากมสงใดขาดตกบกพรอง หรอผดพลาดประการใด ขาพเจาขออภยมา ณ ทน และขอนอมรบความผดพลาดทกประการ

พงศกร โสธนนท

III

สารบญ หนา

บทคดยอ ............................................................................................................................................. I กตตกรรมประกาศ.............................................................................................................................. II สารบญ .............................................................................................................................................. III สารบญรป ........................................................................................................................................ VI สารบญตาราง .................................................................................................................................. VIII บทท 1 บทน า ................................................................................................................................... 1

1.1. กลาวน า............................................................................................................................ 1 1.2. ภมหลงขององคกร ............................................................................................................ 1 1.3. ปญหาทเกดขน ................................................................................................................. 2 1.4. แนวทางในการแกปญหา .................................................................................................. 2 1.5. วตถประสงค ..................................................................................................................... 3 1.6. ขอบเขตการด าเนนงาน .................................................................................................... 3 1.7. ประโยชนทคาดวาจะไดรบ ............................................................................................... 4 1.8. สรปเนอหาของสารนพนธ ................................................................................................. 4

บทท 2 พนฐานและทฤษฎทเกยวของ ............................................................................................... 6 2.1. กลาวน า............................................................................................................................ 6 2.2. สารสนเทศ (Information) ............................................................................................... 6 2.3. สารสนเทศดานสขภาพ (Health Informatic) ................................................................. 6 2.4. ระบบสารสนเทศเพอการดแลสขภาพ (Health Care Information System: HCIS) ...... 6 2.5. ความมนคงปลอดภยสารสนเทศ (Information Security)............................................... 9 2.6. มาตรฐาน ISO (International Standards Organization) .......................................... 10 2.7. การบรหารความเสยง (Risk Management) .................................................................. 10 2.8. ภยคกคามความมนคงปลอดภยสารสนเทศดานสขภาพ .................................................. 14 2.9. ระบบบรหาร (Management System) ........................................................................ 18 2.10. ระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Management

System) ........................................................................................................................ 19 2.11. มาตรฐาน ISO/IEC 27001:2013 ................................................................................... 21 2.12. มาตรการควบคมความเสยงสารสนเทศดานสขภาพ (ISO/IEC 27799: 2016) ................ 24

บทท 3 การด าเนนงาน .................................................................................................................... 33

IV

สารบญ (ตอ) หนา

3.1. กลาวน า.......................................................................................................................... 33 3.2. ขนตอนการด าเนนงาน ................................................................................................... 33 3.3. การศกษาบรบทขององคกร ............................................................................................ 35 3.4. การก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ............... 36 3.5. การก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ............... 36 3.6. การก าหนดโครงสราง บทบาท หนาท ความรบผดชอบ .................................................. 37 3.7. การอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 ..................... 37 3.8. การประเมนความเสยง ................................................................................................... 37 3.9. การวดประสทธภาพ และประสทธผลของการด าเนนงาน ............................................... 43 3.10. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน ............................................ 43 3.11. การด าเนนการปรบปรงแกไขการด าเนนงานใหสอดคลองตามมาตรฐาน ISO/IEC 27001

และ ISO/IEC 27799 ..................................................................................................... 44 บทท 4 ผลการด าเนนงาน ............................................................................................................... 45

4.1. กลาวน า.......................................................................................................................... 45 4.2. บรบทขององคกร ............................................................................................................ 45 4.3. ขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ................................. 53 4.4. นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ................................. 54 4.5. โครงสราง บทบาท หนาท ความรบผดชอบ .................................................................... 55 4.6. ผลการอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 ................ 59 4.7. ผลการประเมนความเสยง .............................................................................................. 60 4.8. การจดการความเสยง ..................................................................................................... 99 4.9. การด าเนนการตามแผนการจดการความเสยง .............................................................. 112 4.10. การประเมนความเสยงทคงเหลอ .................................................................................. 115 4.11. การวดประสทธภาพ และประสทธผลของการด าเนนงาน ............................................. 160 4.12. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน .......................................... 162

บทท 5 สรปผลการด าเนนงาน ...................................................................................................... 165 5.1. กลาวน า........................................................................................................................ 165 5.2. สรปผลการด าเนนงาน .................................................................................................. 165 5.3. ประโยชนทไดรบ .......................................................................................................... 169

V

สารบญ (ตอ) หนา

5.4. อปสรรค และปญหาทพบ ............................................................................................. 169 5.5. แนวทางการพฒนา และปรบปรง ................................................................................. 170

เอกสารอางอง ............................................................................................................................... 171 ภาคผนวก ก นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ............................ ก-1 ภาคผนวก ข ผลการอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 ........... ข-1 ภาคผนวก ค ผลการอบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย ............................................................................................................ ค-1 ภาคผนวก ง การอนมตและประกาศใชระเบยบปฏบตเรองตางๆ .................................................... ง-1 ภาคผนวก จ การก าหนดผดแลทรพยสนในระบบจดการครภณฑ ................................................... จ-1

VI

สารบญรป หนา

รปท 2.1 ภาพรวมเนอหาของมาตรฐาน ISO 31000:2009 ............................................................. 11 รปท 2.2 ชดของมาตรฐานดานความมนคงปลอดภยสารสนเทศ ...................................................... 21 รปท 2.3 ภาพรวมเนอหาของมาตรฐาน ISO/IEC 27001:2013 ...................................................... 24 รปท 3.1 การด าเนนการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ............... 34 รปท 3.2 เกณฑการยอมรบความเสยง ............................................................................................. 41 รปท 4.1 ผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ........................ 51 รปท 4.2 ความสมพนธของกจกรรม/กระบวนการทเกยวของ .......................................................... 54 รปท 4.3 โครงสราง บทบาท หนาท ความรบผดชอบในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ..................................................................................................... 56 รปท 4.4 แผนภมเปรยบเทยบจ านวนผสอบผาน และไมผาน ........................................................... 59 รปท 5.1 ความเสยงบรบทขององคกร ........................................................................................... 167 รปท 5.2 ระดบความเสยงกอน และหลงการจดการความเสยงแยกตามมาตรการควบคมความเสยง ...................................................................................................................................................... 168 รปท ก.1 นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ .................................. ก-2 รปท ข.1 หนงสอเชญอบรม ............................................................................................................ ข-2 รปท ข.2 รายชอผเขาอบรม (1/3) .................................................................................................. ข-3 รปท ข.3 รายชอผเขาอบรม (2/3) .................................................................................................. ข-3 รปท ข.4 รายชอผเขาอบรม (3/3) .................................................................................................. ข-4 รปท ข.5 ขอสอบวดผลการอบรม (1/3) ........................................................................................ ข-5 รปท ข.6 ขอสอบวดผลการอบรม (2/3) ........................................................................................ ข-6 รปท ข.7 ขอสอบวดผลการอบรม (3/3) ........................................................................................ ข-7 รปท ข.8 รปภาพประกอบการอบรม .............................................................................................. ข-8 รปท ค.1 อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย ......................................................................................................................... ค-2 รปท ง.1 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการสอบนทกขอมลเคลอนทได ง-2 รปท ง.2 การอนมตและประกาศใชระเบยบปฏบตเรองการท าลายขอมลและสอบนทก ...................ง-3 รปท ง.3 การอนมตและประกาศใชระเบยบปฏบตเรองการทบทวนสทธการเขาใชงาน ....................ง-4 รปท ง.4 การอนมตและประกาศใชระเบยบปฏบตเรองการลอกอนเขาระบบอยางปลอดภย ...........ง-5

VII

สารบญรป (ตอ) หนา

รปท ง.5 การอนมตและประกาศใชระเบยบปฏบตเรองการเขารหสลบขอมล ..................................ง-6 รปท ง.6 การอนมตและประกาศใชระเบยบปฏบตเรองการขอเขาพนทโดยบคคลภายนอก .............ง-7 รปท ง.7 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารการเปลยนแปลง ระบบเทคโนโลยสารสนเทศ ......................................................................................................................................ง-8 รปท ง.8 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการขดความสามารถของระบบ ........................................................................................................................................................ง-9 รปท ง.9 การอนมตและประกาศใชระเบยบปฏบตเรองการปองกนโปรแกรมไมประสงคด ............ ง-10 รปท ง.10 การอนมตและประกาศใชระเบยบปฏบตเรองการส ารองและกคนขอมล ...................... ง-11 รปท ง.11 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการขอมล Log ................. ง-12 รปท ง.12 การอนมตและประกาศใชระเบยบปฏบตเรองการตรวจสอบและการแกไขชองโหวใน ระบบเทคโนโลยสารสนเทศ .......................................................................................................... ง-13 รปท ง.13 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการผใหบรการภายนอก ... ง-14 รปท ง.14 การอนมตและประกาศใชระเบยบปฏบตเรองการจดการเหตละเมดความมนคงปลอดภยสารสนเทศ ................................................................................................................................... ง-15 รปท จ.1 การก าหนดผดแลทรพยสนในระบบจดการครภณฑ ......................................................... จ-2

VIII

สารบญตาราง หนา

ตารางท 2.1 ตารางเปรยบเทยบระบบบนทกขอมลทางการแพทยอเลกทรอนกส ระบบบนทกขอมลดานสขภาพอเลกทรอนกส และระบบบนทกขอมลดานสขภาพสวนบคคลอเลกทรอนกส .................. 8 ตารางท 2.2 ตารางเปรยบเทยบฟงกชนหลก และฟงกชนอนๆ ของระบบบนทกขอมลทางการแพทยอเลกทรอนกส และระบบบนทกขอมลดานสขภาพอเลกทรอนกส...................................................... 9 ตารางท 3.1 เกณฑการวเคราะหผลกระทบตอผรบบรการ .............................................................. 38 ตารางท 3.2 เกณฑการวเคราะหผลกระทบดานมลคาความเสยหาย ............................................... 38 ตารางท 3.3 เกณฑการวเคราะหผลกระทบตอระบบเทคโนโลยสารสนเทศ ..................................... 39 ตารางท 3.4 เกณฑการวเคราะหผลกระทบดานกฎระเบยบขอบงคบ .............................................. 39 ตารางท 3.5 เกณฑการวเคราะหผลกระทบตอสขภาพ และชวต ..................................................... 40 ตารางท 3.6 เกณฑการวเคราะหผลกระทบตอภาพลกษณองคกร ................................................... 40 ตารางท 3.7 เกณฑการวเคราะหโอกาส ........................................................................................... 41 ตารางท 4.1 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน) ............................................................................................................. 47 ตารางท 4.2 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน) (ตอ) ..................................................................................................... 48 ตารางท 4.3 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก) .......................................................................................................... 49 ตารางท 4.4 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก) (ตอ) .................................................................................................. 50 ตารางท 4.5 ความตองการและความคาดหวงของผทเกยวของ ....................................................... 52 ตารางท 4.6 ความตองการและความคาดหวงของผทเกยวของ (ตอ) ............................................... 53 ตารางท 4.7 จ านวนผท าแบบทดสอบหลงการอบรม ....................................................................... 59 ตารางท 4.8 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ........................................................................................................................................................ 60 ตารางท 4.9 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ) ................................................................................................................................................. 61 ตารางท 4.11 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท) ................... 62 ตารางท 4.12 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท) (ตอ) ........... 63 ตารางท 4.13 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) ....... 64

IX

สารบญตาราง (ตอ) หนา

ตารางท 4.14 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 65 ตารางท 4.15 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 66 ตารางท 4.16 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 67 ตารางท 4.17 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 68 ตารางท 4.18 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 69 ตารางท 4.19 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 70 ตารางท 4.20 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 71 ตารางท 4.21 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 72 ตารางท 4.22 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 73 ตารางท 4.23 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 74 ตารางท 4.24 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 75 ตารางท 4.25 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 76 ตารางท 4.26 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 77 ตารางท 4.27 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 78 ตารางท 4.28 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 79 ตารางท 4.29 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 80 ตารางท 4.30 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 81 ตารางท 4.31 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 82 ตารางท 4.32 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 83 ตารางท 4.33 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 84 ตารางท 4.34 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 85 ตารางท 4.35 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 86 ตารางท 4.36 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 87 ตารางท 4.37 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 88 ตารางท 4.38 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 89 ตารางท 4.39 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 90 ตารางท 4.40 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 91 ตารางท 4.41 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 92 ตารางท 4.42 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 93

X

สารบญตาราง (ตอ) หนา

ตารางท 4.43 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 94 ตารางท 4.44 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 95 ตารางท 4.45 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 96 ตารางท 4.46 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 97 ตารางท 4.47 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ) 98 ตารางท 4.48 การจดการความเสยง ................................................................................................ 99 ตารางท 4.49 การจดการความเสยง (ตอ) ..................................................................................... 100 ตารางท 4.50 การจดการความเสยง (ตอ) ..................................................................................... 101 ตารางท 4.51 การจดการความเสยง (ตอ) ..................................................................................... 102 ตารางท 4.52 การจดการความเสยง (ตอ) ..................................................................................... 103 ตารางท 4.53 การจดการความเสยง (ตอ) ..................................................................................... 104 ตารางท 4.54 การจดการความเสยง (ตอ) ..................................................................................... 105 ตารางท 4.55 การจดการความเสยง (ตอ) ..................................................................................... 106 ตารางท 4.56 การจดการความเสยง (ตอ) ..................................................................................... 107 ตารางท 4.57 การจดการความเสยง (ตอ) ..................................................................................... 108 ตารางท 4.58 การจดการความเสยง (ตอ) ..................................................................................... 109 ตารางท 4.59 การจดการความเสยง (ตอ) ..................................................................................... 110 ตารางท 4.60 การจดการความเสยง (ตอ) ..................................................................................... 111 ตารางท 4.61 ผลการประเมนความเสยงทคงเหลอ ........................................................................ 115 ตารางท 4.62 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 116 ตารางท 4.63 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 117 ตารางท 4.64 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 118 ตารางท 4.65 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 119 ตารางท 4.67 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 120 ตารางท 4.68 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 121 ตารางท 4.69 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 122 ตารางท 4.70 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 123 ตารางท 4.72 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 124 ตารางท 4.73 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 125

XI

สารบญตาราง (ตอ) หนา

ตารางท 4.74 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 126 ตารางท 4.75 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 127 ตารางท 4.76 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 128 ตารางท 4.77 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 129 ตารางท 4.78 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 130 ตารางท 4.79 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 131 ตารางท 4.80 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 132 ตารางท 4.81 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 133 ตารางท 4.82 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 134 ตารางท 4.83 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 135 ตารางท 4.84 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 136 ตารางท 4.85 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 137 ตารางท 4.86 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 138 ตารางท 4.87 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 139 ตารางท 4.89 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 140 ตารางท 4.90 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 141 ตารางท 4.91 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 142 ตารางท 4.92 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 143 ตารางท 4.94 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 144 ตารางท 4.95 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 145 ตารางท 4.96 ผลการประเมนความเสยงทคงเหลอ (ตอ) ............................................................... 146 ตารางท 4.97 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง .................... 147 ตารางท 4.98 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ........... 148 ตารางท 4.99 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ........... 149 ตารางท 4.100 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 150 ตารางท 4.101 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 151 ตารางท 4.102 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 152 ตารางท 4.103 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 153 ตารางท 4.104 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 154

XII

สารบญตาราง (ตอ) หนา

ตารางท 4.105 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 155 ตารางท 4.106 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 156 ตารางท 4.107 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 157 ตารางท 4.108 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 158 ตารางท 4.109 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 159 ตารางท 4.110 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ) ......... 160 ตารางท 4.111 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ................................................................................................... 160 ตารางท 4.112 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ) ........................................................................................... 161 ตารางท 4.113 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ .................................................................................................................. 162 ตารางท 4.114 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ) ......................................................................................................... 163 ตารางท 4.115 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ) ......................................................................................................... 164

1

บทท 1

บทน า

1.1. กลาวน า

ในการใหบรการทางการแพทยของสถาบนทางการแพทยมความจ าเปนตองสราง เกบรวบรวม ประมวลผล ใชงาน และสอสารขอมลสารสนเทศดานสขภาพในปรมาณมาก สงผลใหสารสนเทศดานสขภาพมความส าคญสง และในปจจบนมการน าเทคโนโลยสารสนเทศเขามาชวยสนบสนนการใหบรการทางการแพทยมากขน เพออ านวยความสะดวก และเพมประสทธภาพในการใหบรการ แตในขณะเดยวกน การน าเทคโนโลยสารสนเทศเขามาชวยสนบสนนการใหบรการทางการแพทยยอมมจดออน หรอความเสยงทจะท าใหขอมลสารสนเทศดานสขภาพสญเสยความมนคงปลอดภย ซงจะสงผลกระทบตอผรบบรการ บคลากรทางการแพทย และสถาบนทางการแพทย เชน ขอมลการรกษาพยาบาลของผรบบรการรวไหล บคลากรทางการแพทยไดรบขอมลผดพลาดท าใหเกดความผดพลาดในการใหบรการทางการแพทย รวมไปถงผลกระทบทางดานการเงน ภาพลกษณชอเสยง และกฏหมาย ระเบยบขอบงคบตาง ๆ จงมความจ าเปนอยางยงในการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ เพอลดโอกาส และผลกระทบจากเหตการณความเสยงทจะท าใหขอมลสารสนเทศดานสขภาพสญเสยความมนคงปลอดภย

1.2. ภมหลงขององคกร

ศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ตงอยท 63 หม 7 ต าบลองครกษ อ าเภอองครกษ จงหวดนครนายก ด าเนนงานภายใตการก ากบดแลของคณะแพทยศาสตร และมหาวทยาลยศรนครนทรวโรฒ โดยมงเนนความส าคญกบการ ใหบรการดานสขภาพทมความปลอดภย มคณภาพและไดรบความไววางใจจากผรบบรการ เปนโรงพยาบาลระดบตตยภมขนสงขนาด 500 เตยง มศกยภาพในการใหบรการสขภาพดานตางๆ ปจจบนเปดใหบรการ 364 เตยง และใหบรการสขภาพในระดบตตยภมขนสง ดานตางๆ ไดแก การดแลผปวยโรคไต ผปวยโรคหวใจและหลอดเลอด ผปวยปลกถายอวยวะ การดแลและตรวจวนจฉยมารดาและเดกกลม เสยงกอนคลอด การรกษาผมบตรยาก การดแลทารกแรกเกดน าหนกตวนอยกวา 1500 กรม ผปวยทไดรบการผาตดกระดกแขนและมอสวนบน ผปวยมะเรง และผปวยทสญเสยการไดยน ปจจบนเปดบรการทงสน 11 สาขา คอ สาขาสตศาสตรนรเวชวทยา, สาขากมารเวชศาสตร, สาขาอายรศาสตร, สาขาศลยศาสตร, สาขาศลยศาสตรออโธปดกส, สาขาทนตกรรม, สาขารงสวทยา, สาขาโสต ศอ นาสก, สาขาจกษ, สาขาเวชศาสตรฟนฟ และสาขาจตเวชศาสตร นอกจากนยงเปนสถาบนในการจดการเรยนการสอน

2

ของคณะแพทยศาสตรและนสตคณะอน ๆ ในสายวทยาศาสตรสขภาพทเกยวของ รวมทงเปนแหลงวจยในทางคลนคทมคณภาพ

ในปจจบนมการน าระบบงานเทคโนโลยสารสนเทศเขามาใชสนบสนนภารกจงานดานบรการรกษาทางการแพทยใหมความถกตอง แมนย า ลดความผดพลาด และลดปรมาณการใชกระดาษลง สงผลใหการใหบรการทางการแพทยของศนยการแพทยฯ มคณภาพ และสรางความนาเชอถอแกผรบบรการ แตในขณะเดยวกนการน าระบบงานเทคโนโลยสารสนเทศเขามาใชงาน ยอมท าใหขอมลสารสนเทศดานสขภาพมความเสยงดานความมนคงปลอดภย อาจสงผลกระทบรายแรงตอผรบบรการทางการแพทย รวมถงผลกระทบตอบคคลากรทางการแพทย และผลกระทบตอศนยการแพทยฯ เมอเหตการณความเสยงนนเกดขน

1.3. ปญหาทเกดขน

ประเดนทน ามาพจารณากคอ ระบบสารสนเทศโรงพยาบาล (Hospital Information System) ของศนยการแพทยไมท างานทงระบบหรอในสวนทส าคญ ๆ บางสวน จนสงผลใหการด าเนนงานของหนวยงานตาง ๆ ไมสามารถเขาถงและรบสงสารสนเทศทส าคญ ๆ ในการใหบรการทางการแพทยได จากการตรวจสอบประวตยอนหลงไปพบวา เรองนเกดขนหลายครงแตครงทรนแรงทสดกคอระบบสารสนเทศไมท างานทงระบบยาวนานประมาณ 2 ชวโมง จากการตรวจสอบพบวา สาเหตเกดจากการปฏบตงานผดพลาดของผดแลระบบทด าเนนการปรบเปลยนระบบโดยไมมกระบวนการในการขออนมตการเปลยนแปลงจากผบงคบบญชาและประชมกบผมสวนไดสวนเสยทงหลาย สงผลใหระบบงานตองเพมภาระในการประมวลผลขอมลสงขนมา ผนวกกบการขาดการตงคาระบบฐานขอมลอยางมนคงปลอดภย จนท าใหปญหาบานปลายท าใหระบบฐานขอมลเสยหาย

จากปญหาทกลาวนน สะทอนใหเหนวาฝายเทคโนโลยสารสนเทศมการด าเนนการเพอใหบรการ และแกปญหาระบบสารสนเทศโรงพยาบาล แตยงขาดการบรหารความเสยง และความมนคงปลอดภยสารสนเทศอยางเปนระบบ ใหเปนมาตรฐานสากล สามารถตรวจสอบได เพอใหสารสนเทศดานสขภาพของศนยการแพทยมการรกษาความลบ ความถกตองสมบรณ และความพรอมใชงาน และสามารถรบมอกบความเสยงตางๆ เพอลดความรนแรงของผลกระทบทอาจเกดขนได

1.4. แนวทางในการแกปญหา

จากปญหาทกลาวมาขางตน มแนวทางในการแกปญหาโดยการประเมนความเสยง และหาวธจดการกบความเสยงดงกลาว แตเพอใหมการด าเนนการอยางเปนระบบ มกระบวนการท างานทมประสทธภาพ มการพฒนาอยางตอเนอง โปรงใส และเปนมาตรฐานทสามารถตรวจสอบได จงมแนวคดในการน าขอก าหนดในมาตรฐานสากล ISO/IEC 27001:2013 และ ISO/IEC 27799:2016 มา

3

เปนแนวทางในการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ เพอใหศนยการแพทยฯ มกระบวนการในการบรหารความเสยงสารสนเทศดานสขภาพ ซงจะสงผลใหศนยการแพทยฯ มระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ สอดคลองตามมาตรฐานสากล ISO/IEC 27001:2013 และ ISO/IEC 27799:2016

1.5. วตถประสงค

ในการจดท าโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร มวตถประสงค ดงน

1.5.1. เพอพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016

1.5.2. เพอใหมกระบวนการบรหารความเสยง และการด าเนนการลดความเสยงความมนคงปลอดภยสารสนเทศดานสขภาพอยางเปนระบบ

1.5.3. เพอก าหนดนโยบาย และระเบยบปฏบตในการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ

1.6. ขอบเขตการด าเนนงาน

ในการจดท าโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร จะด าเนนงานเฉพาะในขอบเขตของระบบสารสนเทศโรงพยาบาล และระบบเทคโนโลยสารสนเทศทสนบสนนการใหบรการของระบบสารสนเทศโรงพยาบาล โดยไมรวมถงระบบเทคโนโลยสารสนเทศทสนบสนนภารกจงานอน ๆ เชน ระบบเทคโนโลยสารสนเทศเพอการจดการทรพยากรบคคล เปนตน โดยมขอบเขตการด าเนนงาน ดงน

1.6.1. วเคราะหบรบทภายใน บรบทภายนอก ความตองการ และความคาดหวงของผทเกยวของของศนยการแพทยฯ

1.6.2. แตงตงคณะกรรมการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ 1.6.3. บรหารความเสยง และการด าเนนการลดความเสยงความมนคงปลอดภยสารสนเทศ

ดานสขภาพ 1.6.4. จดท านโยบายการรกษาความมนคงปลอดภนสารสนเทศ และระเบยบปฏบตท

เกยวของ

4

1.7. ประโยชนทคาดวาจะไดรบ หลงจากด าเนนโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตาม

มาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ส าเรจแลวจะเกดประโยชน ดงน

1.7.1. ทราบจดออน ภยคกคาม โอกาส และผลกระทบของความเสยงดานความมนคงปลอดภยสารสนเทศ

1.7.2. ระดบความรนแรงของความเสยงดานความมนคงปลอดภยสารสนเทศลดลง 1.7.3. บลากรมความรความเขาใจในการด าเนนงานตามมาตรฐาน ISO/IEC 27799:2016 1.7.4. มการด าเนนงานอยางเปนระบบ สามารถตรวจสอบยอนกลบได

1.8. สรปเนอหาของสารนพนธ

บทท 1 บทน า อธบายถงภมหลงขององคกร ปญหาทเกดขน และแนวทางการแกปญหา ซงรวมถงการก าหนดวตถประสงค ขอบเขตการด าเนนงาน และประโยชนทคาดวาจะไดรบ

บทท 2 พนฐานและทฤษฎทเกยวของ อธบายถงพนฐาน หรอทฤษฏทเกยวของในการด าเนนงาน ไดแก สารสนเทศ (Information), สารสนเทศดานสขภาพ (Health Informatic), ระบบสารสนเทศเพอการดแลสขภาพ (Health Care Information System: HCIS), ความมนคงปลอดภยสารสนเทศ (Information Security), มาตรฐาน ISO (International Standards Organization), การบรหารความเสยง (Risk Management), ภยคกคามความมนคงปลอดภยสารสนเทศดานสขภาพ, ระบบบรหาร (Management System), ระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Management System), มาตรฐาน ISO/IEC 27001:2013 และมาตรการควบคมความเสยงสารสนเทศดานสขภาพ (ISO/IEC 27799: 2016)

บทท 3 การด าเนนการ อธบายถงขนตอน และวธการด าเนนงาน ไดแก การศกษาบรบทขององคกร, การก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ, การก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ, การก าหนดโครงสราง บทบาท หนาท ความรบผดชอบ, การอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799, การประเมนความเสยง, การวดประสทธภาพ และประสทธผลของการด าเนนงาน, การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน, การด าเนนการปรบปรงแกไขการด าเนนงานใหสอดคลองตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799

บทท 4 ผลการด าเนนการ อธบายถงผลการด าเนนงานตามขนตอน และวธการด าเนนงาน จากบทท 3 การด าเนนการ

5

บทท 5 สรปผลและวจารณ สรปผลการด าเนนงาน ประโยชนทไดรบ ปญหาและอปสรรคในการด าเนนงาน ซงรวมถงแนวทางการพฒนาหรอปรบปรง

เอกสารอางอง เปนการอางองรายชอหนงสอ วารสาร เอกสาร หนงสอ สงพมพอนๆ โสตทศนวสดตางๆ ทไดน าขอมลมาเพอประกอบการเขยนสารนพนธ

ภาคผนวก เปนสวนประกอบทเพมเขามาชวยใหเกดความสมบรณของสารนพนธ เชน นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ, ผลการอบรม, เอกสารการประยกตใชมาตรการควบคมความเสยง เปนตน

6

บทท 2

พนฐานและทฤษฎทเกยวของ

2.1. กลาวน า

จากปญหาความมนคงปลอดภยสารสนเทศดานสขภาพของผใชบรการทางการแพทย และการน าระบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ซงมการน ากระบวนการประเมนความเสยงและการประยกตใชมาตรการควบคมตางๆ เพอจดการกบความเสยงอยางเปนระบบ มาเปนแนวทางการแกปญหาดงกลาว ผจดท าจงน าเสนอทฤษฎในการจดตงระบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ และทฤษฏทเกยวของในการด าเนนการเพอแกปญหาดงตอไปน

2.2. สารสนเทศ (Information)

สารสนเทศ (Information) หมายถง ขอมล หรอขอเทจจรงทผานกระบวนการประมวลผลจนท าใหมความถกตอง แมนย า สามารถน ามาใชประโยชนได

สารสนเทศถอเปนทรพยสนประเภทหนงขององคกร ซงทมความส าคญสงตอการด าเนนธรกจ จงมความจ าเปนตองไดรบการปอกกนรกษาใหเกดความมนคงปลอดภย โดยทวไปสารสนเทศจะถกจดเกบในรปแบบอเลกทรอนกส กระดาษ รวมถงความรหรอภมปญญาของบคลากรภายในองคกร ดงนนสารสนเทศสามารถสงตอไดหลายวธ ทงวธการทางอเลกทรอนกส และการสอสารทางวาจา

นอกจากนสารสนเทศยงมความสมพนธกบเทคโนโลยสารสนเทศและการสอสารขององคกร เนองจากการประมวลผลของเทคโนโลยสารสนเทศและการสอสารจะท าใหมการสราง ค านวน จดเกบ สงตอ ปองกน หรอท าลายสารสนเทศ

2.3. สารสนเทศดานสขภาพ (Health Informatic)

สารสนเทศดานสขภาพ (Health Informatic) หมายถง สารสนเทศทเกยวของกบองคความร การประมวลผลและการสอสารสารสนเทศในทางการแพทย การศกษาวจยทางการแพทย รวมถงสารสนเทศและเทคโนโลยทสนบนนกจกรรมเหลาน

บางครงสารสนเทศดานสขภาพอาจเปนขอมลสวนบคคล (Information Privacy) หรอขอมลทระบตวตนได (Personally Identifiable Information) เชน ชอ นามสกล หมายเลขบตรประจ าตวประชาชน หมายเลขบตรเครดต เปนตน 2.4. ระบบสารสนเทศเพอการดแลสขภาพ (Health Care Information System: HCIS)

7

ระบบสารสนเทศเพอการดแลสขภาพ (Health Care Information System: HCIS) หมายถง ระบบสารสนเทศทมการจดการดานขอมลสารสนเทศ กระบวนการ บคลากร และระบบเทคโนโลยสารสนเทศทสนบสนนองคกรทใหบรการทางการแพทยหรอองคกรเพอการดแลสขภาพ

ระบบสารสนเทศเพอการดแลสขภาพ สามารถแบงตามเปาหมายการใชงาน และขอมลทจดเกบในระบบออกเปน 2 สวนหลก ไดแก

2.4.1. ระบบสารสนเทศเพอการบรหาร (Administrative Information System) เปนระบบสารสนเทศทมการจดเกบขอมลการบรหารงานทวไป และขอมลทางการเงน ใชเพอสนบสนนกระบวนการจดการ และการปฏบตงานทวไป เชน ระบบงานธรการ ระบบงานพสด ครภณฑ ระบบงานบญช และการเงน ระบบงานประชาสมพนธ ระบบงานพฒนาคณภาพบรการระบบงานขอมลขาวสารและวชาการ ระบบงานศกษา (แพทยและพยาบาล) และระบบงานส าหรบผบรหารโรงพยาบาล เปนตน

2.4.2. ระบบสารสนเทศทางคลนก (Clinical Information System) เปนระบบสารสนเทศทมการจดเกบขอมลทางคลนกหรอขอมลเกยวกบสขภาพ ใชเพอสนบสนนการวนจฉยโรค รกษาผปวย และตดตามดแลผปวย ระบบสารสนเทศทางคลนกอาจจะเปนระบบสารสนเทศของแผนกหรอสวนงาน (เชน แผนกรงสวทยา แผนกเภสชกรรม แผนกปฏบตการพยาธวทยา เปนตน) ระบบสนนการตดสนใจ หรอระบบบนทกขอมลทางการแพทยอเลกทรอนกส (Electronic Medical Record)

นอกจากระบบบนทกขอมลทางการแพทยอเลกทรอนกส ยงมระบบบนทกขอมลดานสขภาพอเลกทรอนกส และระบบบนทกขอมลดานสขภาพสวนบคคลอเลกทรอนกส ซงสามารถแสดงได ดงตารางท 2.1 ตารางเปรยบเทยบระบบบนทกขอมลทางการแพทยอเลกทรอนกส ระบบบนทกขอมลดานสขภาพอเลกทรอนกส และระบบบนทกขอมลดานสขภาพสวนบคคลอเลกทรอนกส

8

ตารางท 2.1 ตารางเปรยบเทยบระบบบนทกขอมลทางการแพทยอเลกทรอนกส ระบบบนทกขอมลดานสขภาพอเลกทรอนกส และระบบบนทกขอมลดานสขภาพสวนบคคลอเลกทรอนกส

ระบบบนทกขอมลทางการแพทยอเลกทรอนกส

ระบบบนทกขอมลดานสขภาพอเลกทรอนกส

ระบบบนทกขอมลดานสขภาพสวนบคคล

อเลกทรอนกส

ร ะ บ บ บ น ท ก ข อ ม ล ท า งการแพทย อ เ ล กทรอน กส ( Electronic Medical Record) ห ม า ย ถ ง ร ะ บ บเทคโนโลยสารสนเทศท ใชจดเกบขอมลท เกยวของกบสขภาพของบคคล ซงสามารถสราง รวบรวม จดการ และใหค าปร กษาโดยแพทย และเจาหนาทในองคกรทใหบรการทางการแพทยหรอองคกรเพอการดแลสขภาพองคกรหนง

ระบบบนทกขอมลดานสขภาพอ เล กทรอนกส (Electronic Health Record) ห ม า ย ถ ง ระบบเทคโนโลยสารสนเทศทเ ป น ไปตามมาตรฐานการท า งานร วมกนท ไ ด ร บการยอมรบในระดบประเทศ และใชจดเกบขอมลทเกยวของกบสขภาพของบคคล ซงสามารถสราง รวบรวม จดการ และใหค าปร กษาโดยแพทย และเจาหนาทในองคกรทใหบรการทางการแพทยหรอองคกรเพอการดแลสขภาพมากกวาหนงองคกร

ระบบบนทกขอมลดานสขภาพส วนบ คคล อ เล กทรอน กส (Personal Health Record) หมายถ ง ระบบเทคโนโลยส า ร ส น เ ท ศ ท เ ป น ไ ป ต า มมาตรฐานการท างานรวมกนทไ ด ร บ ก า ร ย อ ม ร บ ใ นระดบประเทศ และสามารถรวบรวมขอมลมาจากหลายแหลงขอมล และมการจดการใช ร วมกนและควบคม โดยบคคล

ส าหรบระบบบนทกขอมลทางการแพทยอเลกทรอนกส และระบบบนทกขอมลดานสขภาพ

อเลกทรอนกสมฟงกชนการท างานใกลเคยงกน โดยแบงออกเปนฟงกชนหลก และฟงกชนอนๆ ซงสามารถแสดงได ดงตารางท 2.2 ตารางเปรยบเทยบฟงกชนหลก และฟงกชนอนๆ ของระบบบนทกขอมลทางการแพทยอเลกทรอนกส และระบบบนทกขอมลดานสขภาพอเลกทรอนกส

9

ตารางท 2.2 ตารางเปรยบเทยบฟงกชนหลก และฟงกชนอนๆ ของระบบบนทกขอมลทางการแพทยอเลกทรอนกส และระบบบนทกขอมลดานสขภาพอเลกทรอนกส

ล าดบท ฟงกชนหลก ฟงกชนอนๆ

1 ข อ ม ล ส า ร ส น เ ท ศ ด า น ส ข ภ า พ : ประกอบดวยการวนจฉยทางการแพทย และการพยาบาล , รายการยา , ขอมลประชากร, การบรรยายทางคลนก และผลการทดสอบในหองปฏบตการ

ก า ร ส อ ส า ร แ ล ะ ก า ร เ ช อ ม ต อ ท า งอเลกทรอนกส: ชวยใหผทเกยวของในการดแลผ ป ว ย ม ช อ ง ท า ง ก า ร ส อ ส า ร อ ย า ง มประสทธภาพกบบคคลทเกยวของ และกบผปวย อาจรวมถงการสงขอความทางอเลกทรอนดส และการรกษาทางไกล

2 การจดการผลลพธ: จดการผลการทดสอบทกประเภททางอเลกทรอนกส เชน ผลการตรวจทางหองปฏบตการ ผลการตรวจทางรงสวทยา เปนตน

การสนบสนนผ ป วย : การใหความร หรอค าแนะน าผปวย รวมไปถงระบบเฝาระวงผปวยทอยทบานจากระยะไกล

3 ร า ย ก า ร ค า ส ง แ ล ะ ก า ร ส น บ ส น น : ประกอบดวยการใช รายการค าส งทเกยวกบการใหบรการทางการแพทยโดยคอมพวเตอรโดยเฉพาะอยางยงในรายการค าสงจายยา

กระบวนการบรหาร: อ านวยความสะดวก และลดความซบซอนของกระบวนการ เชน การก าหนดตารางเวลา การอนมตกอนหนา การตรวจสอบการประกน อาจใชรวมกบเครองมอสนบสนนการตดสนใจ เพอระบผปวยทมสทธเขารบการรกษาทางคลนก

4 สนบสนนการตดสนใจ: ใชความสามารถใ น ก า ร ต ด ส น ใ จ ท า ง ค ล น ก แ บ บคอมพวเตอร เชน การเตอนความจ า การแจงเตอน และการวนจฉยโรคโดยใชคอมพวเตอรชวย

การรายงาน: การก าหนดรปแบบ การจดท า และออกรายงานตามความตองการของผทเกยวของ

2.5. ความมนคงปลอดภยสารสนเทศ (Information Security)

ความมนคงปลอดภยสารสนเทศ (Information Security) คอการปองกน รกษาขอมลสารสนเทศใหมความมนคงปลอดภยตามองคประกอบ ดงน

2.5.1. ความลบ (Confidentiality) หมายถง สารสนเทศตองไมถกเปดเผย หรอเผยแผใหบคคล หนวยงาน หรอกระบวนการทไมไดรบอนญาต

10

2.5.2. ความพรอมใชงาน (Availability) หมายถง ผทมสทธสามารถเขาถง และใชงานสารสนเทศไดเมอมความตองการใชงาน

2.5.3. ความถกตองสมบรณ (Integrity) หมายถง สารสนเทศตองมเนอหาถกตรง และครบถวนอยเสมอ

ซงความมนคงปลอดภยสารสนเทศมความเกยวของกบการบรหารจดการความเสยงดานความมนคงปลอดภยสารสนเทศ และการประยกตใชมาตรการควบคมความเสยงอยางเหมาะสม เพอใหมนใจวาองคกรจะสามารถลดผลกระทบ หรอโอกาสของความเสยงไดตามเกณฑทองคกรยอมรบได

2.6. มาตรฐาน ISO (International Standards Organization)

มาตรฐาน ISO (International Standards Organization) เปนมาตรฐานหรอกรอบแนวทางทถกพฒนาขนโดยองคการมาตรฐานสากล (International Standards Organization: ISO) ก าหนดขนมาใหสามารถประยกตใชไดกบกระบวนการ กจกรรม สนคาหรอบรการ และบคคล เพอเปนเกณฑส าหรบการเปรยบเทยบหรอวดผลซงเปนทยอมรบ และมการน าไปปฏบตในระดบสากล

2.7. การบรหารความเสยง (Risk Management)

2.7.1. ความเสยง (Risk) ความเสยง (Risk) หมายถง ผลของเหตการณทเกดขนแลวสงผลกระทบตอความไม

แนนอนของวตถประสงคทก าหนดไว โดยทวไปความเสยงมกพจารณาจากโอกาสในการเกดขนของเหตการณดงกลาว และผลกระทบทตามมาทจะท าใหไมสามารถบรรรลวตถประสงคตามทตองการได

2.7.2. มาตรฐาน ISO 31000:2009 มาตรฐาน ISO 31000:2009 เปนหลกการและแนวทางในการบรหารความเสยง ซง

สามารถน าไปประยกตใชไดกบการด าเนนงานของอตสาหกรรม องคกร สมาคม สถาบน หรอกลมตางๆ รวมไปถงกลยทธ กจกรรม โครงการ สนคาหรอบรการ และทรพยสน โดยพจารณาจากวตถประสงค บรบท โครงสราง กระบวนการ โครงการ สนคาหรอบรการ และทรพยสนขององคกร

มาตรฐาน ISO 31000:2009 จะกลาวถงเนอหา ดงตอไปน 1) การก าหนดกรอบแนวทางการประเมนความเสยง 2) กระบวนการประเมนความเสยง ซงประกอบดวยการสอสาร การวเคราะห

บรบททเกยวของ การประเมนความเสยง การจดการความเสยง และการเฝาระวงทบทวนความเสยง

โดยสามารถแสดงไดดงรปท 2.1 ภาพรวมเนอหาของมาตรฐาน ISO 31000:2009

11

รปท 2.1 ภาพรวมเนอหาของมาตรฐาน ISO 31000:2009

หากองคกรน ามาตรฐาน ISO 31000:2009 ไปประยกตใชในการบรหารจดการความ

เสยง จะท าใหองคกรไดประโยชน ดงน 1) เพมโอกาสในการบรรลตามวตถประสงคทก าหนดไว 2) สงเสรมใหมการบรหารจดการเชงรก 3) บคลากร และผทเกยวของมความตระหนกถงความจ าเปนในการบรหารจดการ

ความเสยงทวทงองคกร 4) ปรบปรงวธการระบโอกาสและภยคกคามของเหตการณความเสยง 5) การด าเนนการสอดคลองตามขอก าหนดของกฏหมาย ระเบยบขอบงคบ และ

มาตรฐานทเกยวของ 6) องคกรมการก ากบดแลทด 7) สรางความนาเชอ และความมนใจใหกบผทเกยวของ 8) มการตดสนใจ และวางแผนอยางเปนระบบ 9) มการจดสรร และใชทรพยากรในการจดการความเสยงอยางมประสทธภาพ 10) มการปองกนและจดการเหตการณความเสยงทเกดขนอยางเหมาะสม

12

2.7.3. การสอสาร (Communication) เนองจากความเสยง และการจดการความเสยงเปนขอมลส าคญทใชประกอบการ

ตดสนใจ จงมความจ าเปนทตองมการสอสารเรองทเกยวของตลอดทกขนตอนการบรหารจดการความเสยงไปยงผทเกยวของ ทงภายใน และภายนอก

2.7.4. การวเคราะหบรบททเกยวของ (Context Analysis) การวเคราะหบรบทควรพจารณาใหมความเชอมโยงกบวตถประสงค และขอบเขต

การบรหารจดการความเสยง โดยแบงออกเปนบรบทภายใน บรบทภายนอก ดงน 1) บรบทภายใน หมายถง สภาพแวดลอมภายในทมผลตอการบรรลวตถประสงค

ขององคกร ไดแก การก ากบดแล โครงสรางองคกร กลยทธ นโยบาย ขดความสามารถดานทรพยากร ผมสวนไดเสยภายในองคกร วฒนธรรมองคกร และมาตรฐานแนวทางทองคกรน ามาประยกตใช

2) บรบทภายนอก หมายถง สภาพแวดลอมภายนอกทมผลตอการบรรลวตถประสงคขององคกร ไดแก สงคม วฒนธรรม กฏหมาย ขอบงคบ การเมอง เทคโนโลย เศรษฐกจ สภาพการแขงขนทางธรกจ และผมสวนไดเสยภายนอกองคกร

เมอท าการวเคราะหบรบทแลวตองน าผลการวเคราะหมาพจารณาก าหนดเกณฑการประเมนความเสยงทมความเหมาะสมกบองคกร

2.7.5. การประเมนความเสยง (Risk Assessment) ในขนตอนการประเมนความเสยงจะแบงเปน 3 ขนตอนยอย ดงน 1) การระบเหตการณความเสยง คอการระบแหลงทมา ผลกระทบ และสาเหตของ

ความเสยง รวมถงผลสบเนองทอาจสงผลตอการบรรลวตถประสงคขององคกร โดยพจารณาใหครอบคลมทงความเสยงจากภายใน และภายนอกองคกร

2) การวเคราะหความเสยง จากการระบเหตการณความเสยง ใหพจารณาแหลงทมาและสาเหตของความเสยงนนๆ เพอน ามาก าหนดผลกระทบ และโอกาสเกดความเสยงตามเกณฑทก าหนดไว

3) การประเมนความเสยง เมอไดท าการวเคราะหผลกระทบและโอกาสการเกดขนของความเสยงแลว ใหน าขอมลมาประเมนระดบของความเสยง เพอจดล าดบความส าค ญในการจดการความเสยง และสามารถใชเปนขอมลสนบสนนการตดสนใจของผบรหารได นอกจากนในการประเมนความเสยงยงรวมถงการพจารณายอมรบหรอจดการความเสยงอยางเหมาะสม

13

2.7.6. การจดการความเสยง (Risk Treatment) เปนการเลอกทางเลอกในการจดการความเสยง หรอการเลอกใชมาตรการควบคม

ความเสยง รวมถงการน าทางเลอกและมาตรการไปปฏบตเพอจดการความเสยงอยางเหมาะสม การจดการความเสยงจะเกยวของกบกระบวนการตอไปน

- การประเมนวธการจดการความเสยง - การตดสนใจยอมรบ หรอไมยอมรบความเสยงทยงเหลออยหลงจากด าเนนการ

จดการความเสยงแลว - การพจารณาเลอกวธการจดการความเสยงใหม กรณไมยอมรบความเสยงทยง

เหลออยหลงจากด าเนนการจดการความเสยงแลว - การประเมนประสทธผลของการจดการความเสยง ทงน ทางเลอกในการจดการความเสยงไมจ าเปนตองเหมอนและเหมาะสมกบทก

เหตการณความเสยงทก าหนดขน ซงทางเลอกในการจดการความเสยงมดงน - การก าจดแหลงทมาของความเสยง - การลดโอกาสการเกดขนของความเสยง - การลดผลกระทบของความเสยง - การกระจายความเสยงไปยงผเกยวของ - การหลกเลยงความเสยง โดยการไมด าเนนการในกจกรรมทกอใหเกดความเสยง - การยอมรบหรอเพมความเสยง เพอไดโอกาสในการบรรลวตถประสงคมากขน - การคงความเสยงไว ในขนตอนการจดการความเสยงจะแบงเปน 2 ขนตอนยอย ดงน 1) การเลอกทางเลอกในการจดการความเสยง คอการเลอกทางเลอกในการจดการ

ความเสยงทเหมาะสมทสด โดยพจารณาจากตนทน ประโยชนทไดรบ กฏหมาย ระเบยบขอบงคบ ผลกระทบตอผทเกยวของ และผลกระทบตอความเสยงอนๆ ซงสามารถพจารณาเลอกทางเลอกมากกวาหนงทางเลอกในการด าเนนการจดการความเสยงไดตามความเหมาะสม นอกจากนควรก าหนดล าดบความส าคญของการน าทางเลอกในการจดการความเสยงไปปฏบตอยางชดเจน และระบถงความเสยงทอาจไดรบผลกระทบจากการด าเนนการจดการความเสยง

2) การเตรยมการ และด าเนนการ ตองมการจดท าแผนการจดการความเสยงเปนลายลกษณอกษร มเนอหาครอบคลมถง เหตผลในการเลอก ประโยชนทคาดวาจะไดรบ ผรบผดชอบ วธการด าเนนการ ทรพยากรทใช การรายงานผล การวด

14

ความสมฤทธผล และความเสยงทยงคงเหลออยหลงจากด าเนนการจดการความเสยงแลว

2.7.7. การเฝาระวงและตดตาม (Monitoring and Review) ควรมการก าหนดชวงระยะเวลา และผรบผดชอบในการเฝาระวงและตตามผลการ

ด าเนนการจดการความเสยง โดยมวตถประสงค ดงน 1) เพอใหมนใจวามาตรการทน ามาใชจดการความเสยงมประสทธภาพ ประสทธผล

เพยงพอ 2) เพอใหไดขอมลสารสนเทศสนบสนนการพฒนาปรบปรงการบรหารความเสยง 3) เพอใหเกดการวเคราะหและเรยนรจากกเหตการณ ทงทประสบความส าเรจ

และไมประสบความส าเรจ 4) เพอพจารณาบรบทภายในและภายนอกทอาจมการเปลยนแปลง และน ามา

ปรบปรงเกณฑการประเมนความเสยงใหมมความเหมาะสม 5) เพอระบเหตการณความเสยงใหมๆ ผลจากการเฝาระวงและตดตามควรมการจดท า และจดเกบเปนลายลกษณ และม

การรายงานไปยงผทเกยวของอยางเหมาะสม

2.8. ภยคกคามความมนคงปลอดภยสารสนเทศดานสขภาพ ภยคกคามดานความมนคงปลอดภยสารสนเทศทอาจสงผลกระทบตอสารสนเทศดานสขภาพ

ท าใหสญเสยความลบ ความถกตองสมบรณ หรอความพรอมใช มดงตอไปน 2.8.1. การปลอมตวโดยบคลากรภายในองคกร (รวมถงบคลากรทางการแพทย และ

บคลากรทสนบสนนการใหบรการทางการแพทย) คอการเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยใชบญชผใชงานของบคลากรอนแทน อาจเกดจากบคลากรตองการความสะดวก และความคลองตวในการปฏบตงาน หรอการปลอมตวโดยเจตนาเพอปกปดความผดหรอเหตการณทท าใหเกดอนตราย ซงการปลอมตวโดยบคลากรภายในองคกรเปนสาเหตส าคญทท าใหสารสนเทศดานสขภาพสญเสยความลบ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การระบตวตนของผใชงาน 2) การพสจนตวตนของผใชงาน 3) การตรวจสอบตนทางการใชงาน 4) การควบคมการเขาถง

15

5) การบรหารจดการสทธการใชงาน 2.8.2. การปลอมตวโดยผใหบรการภายนอก (รวมถงผทไดรบอ านาจทางกฏหมายให

สามารถเขาถงระบบเทคโนโลยสารสนเทศและขอมลขององคกรได) คอการเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยผใหบรการภายนอกเพอเขาถงขอมลสารสนเทศโดยไมไดรบอนญาต ซงการปลอมตวโดยผใหบรการภายนอกเปนสาเหตส าคญทท าใหสารสนเทศดานสขภาพสญเสยความลบ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การระบตวตนของผใชงาน 2) การพสจนตวตนของผใชงาน 3) การตรวจสอบตนทางการใชงาน 4) การควบคมการเขาถง 5) การบรหารจดการสทธการใชงาน

2.8.3. การปลอมตวโดยบคคลภายนอก จะเกดขนเมอบคคลทไมมสทธ หรอไมไดรบอนญาตใหสามารถเขาถงระบบเทคโนโลยสารสนเทศขององคกรได ท าการเขาถงโดยแอบอางใชสทธของผทมสทธในการเขาถง หรอถกหลอกลวงใหกลายเปนผทไดรบอนญาตในการเขาถง โดยทวไปการปลอมตวโดยบคคลภายนอกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การระบตวตนของผใชงาน 2) การพสจนตวตนของผใชงาน 3) การตรวจสอบตนทางการใชงาน 4) การควบคมการเขาถง 5) การบรหารจดการสทธการใชงาน

2.8.4. การใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยไมไดรบอนญาต โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการเขาถง 2) การควบคมการตรวจสอบ 3) ความมนคงปลอดภยดานบคคลากรทเกยวของ

2.8.5. โปรแกรมไมประสงคด หรอซอฟตแวรทเปนอนตราย โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

16

1) ความผดพลาดหรอความลมเหลวของซอฟตแวรปองกนโปรแกรมไมประสงคด

2) ขาดการควบคมการเปลยนแปลงซอฟตแวร 3) ขาดการจดการชองโหวของซอฟตแวร

2.8.6. การใชงานทรพยากรระบบเทคโนโลยสารสนเทศ และบรการอนๆ ทสนบสนนการท างานของบคลากรอยางไมถกตอง ซงรวมถงการดาวนโหลดขอมลทไมเกยวของจากอนเทอรเนต การตงคาตางๆ ของผใชงาน หรอการด าเนนการใดๆ ของผใชงาน จนท าใหสภาพความพรอมใชของระบบงานลดลง โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) ขอตกลงการใชงานระบบเทคโนโลยสารสนเทศอยางมนคงปลอดภยสารสนเทศ

2) ความมนคงปลอดภยดานบคลากร 2.8.7. การขดขวางการสอสารทางอเลกทรอนกส คอการขดขวางการไหลของสารสนเทศ

ทางเครอขาย รวมถงการดกจบสารสนเทศ และการรบกวนการสอสารทางอเลกทรอนกส เพอใหระบบเครอขายปฏเสธการใหบรการ ท าใหการสอสารไมถกตอง หรอท าใหสารสนเทศดานสขภาพสญเสยความลบ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) ความลมเหลวของระบบตรวจจบการบกรก 2) การควบคมการเขาถงทางเครอขาย

2.8.8. การปฏเสธการรบหรอสงสารสนเทศ คอการทผใชงานปฏเสธทจะสงสารสนเทศไปยงผทตองการสารสนเทศ และการทผใชงานไมมนใจหรอปฏเสธทจะรบสารสนเทศทสงมาจากแหลงทนาเชอถอ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การพสจนตวตนของผใชงาน 2) การตรวจสอบตนทางการใชงาน 3) การยนยนความถกตองในการสงสารสนเทศ

2.8.9. ความลมเหลวในการเชอมตอเครอขายทงภายใน และภายนอก โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการเปลยนแปลงการตงคา

17

2) การควบคมผใหบรการภายนอก 2.8.10. ความผดพลาดในการสอสารขอมลไปยงปลายทางทไมถกตอง เนองจากการตงคา

ผดพลาด หรอระบบประมวลผลพดพลาด โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการเปลยนแปลงการตงคา 2) การทบทวนทางเทคนค

2.8.11. ความลมเหลวทางเทคนค ซงรวมถงฮารดแวร ซอฟตแวร ระบบเทคโนโลยสารสนเทศ ระบบเครอขาย และโครงสรางพนฐาน โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการเปลยนแปลงการตงคา 2) การทบทวนทางเทคนค

2.8.12. ความลมเหลวของระบบสนบสนนการใหบรการ และความลมเหลวจากภยคกคามทางธรรมชาต โดยทวไปมกเกดขนไดเพราะความบกพรองของการเตรยมความพรอมรบมอตอสถานการณตางๆ อยางเหมาะสม

2.8.13. ขอผดพลาดในการด าเนนงาน ของบคลากรภายในองคกร และผใหบรการภายนอก โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการปฏบตงาน 2) ความมนคงปลอดภยดานบคลากร

2.8.14. ความผดพลาดของผใชงาน โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) ขอตกลงการใชงานระบบเทคโนโลยสารสนเทศอยางมนคงปลอดภยสารสนเทศ

2) ความมนคงปลอดภยดานบคลากร 2.8.15. ขาดแคลนบคลากร รวมถงการโยกยายเปลยนต าแหนงงาน โดยทวไปมกเกดขนได

เพราะความบกพรองของมาตรการความมนคงปลอดภยดานบคลากร 2.8.16. การโจรกรรมโดยบคลากรภายในองคกร (รวมถงการโจรกรรมอปกรณ และขอมล

สารสนเทศ) เนองจากบคลากรภายในองคกรสามารถเขาถงไดมากกวาบคลากรภายนกองคกร สงผลใหการโจรกรรมโดยบคลากรภายในองคกรมโอกาสเกดไดสง โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

18

1) การควบคมการถายโอนสารสนเทศ 2) การควบคมการน าทรพยสนเขา – ออกพนท 3) การควบคมทางกายภาพ

2.8.17. การโจรกรรมโดยบคลากรภายนอกองคกร (รวมถงการโจรกรรมอปกรณ และขอมลสารสนเทศ) โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมความมนคงปลอดภยสารสนเทศ ดงตอไปน

1) การควบคมการถายอาสารสนเทศ 2) การควบคมการน าทรพยสนเขา – ออกพนท 3) การควบคมทางกายภาพ

2.8.18. การจงใจท าใหเกดความเสยหายโดยบคลากรภายในองคกร คอการกระท าของบคลากรภายในองคกรทจงใจท าใหเกดความเสยหายตอระบบเทคโนโลยสารสนเทศ และระบบสนบสนนตางๆ โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการความมนคงปลอดภยดานบคลากร

2.8.19. การจงใจท าใหเกดความเสยหายโดยบคลากรภายนอกองคกร คอการกระท าของบคลากรภายนอกองคกรทจงใจท าใหเกดความเสยหายตอระบบเทคโนโลยสารสนเทศ และระบบสนบสนนตางๆ เนองจากองคกรทใหบรการทางการแพทยจะมการเขา – ออกของบคลการภายนอกจ านวนมาก การควบคมความเสยงเปนไปไดยาก โดยทวไปมกเกดขนไดเพราะความบกพรองของมาตรการควบคมการเขาถงดานตางๆ

2.8.20. การกอการราย ทประสงคท าลายระบบเทคโนโลยสารสนเทศ หรอท าลายการใหบรการทางการแพทยขององคกร ดงนนองคกรควรมการเตรยมการรบมอเหตการกอการรายอยางเหมาะสม

2.9. ระบบบรหาร (Management System) ระบบการบรหารจดการโดยใชกรอบทรพยากรทมอย เพอใหบรรลวตถประสงคขององคกร

ระบบบรหารประกอบดวยโครงสรางองคกร นโยบาย กจกรรม การวางแผน ความรบผดชอบ การปฏบตขนตอนกระบวนการ และทรพยากร

ในดานของความมนคงปลอดภยสารสนเทศ ระบบบรหารจะมสวนชวยองคกร ดงน 2.9.1. ตอบสนองตอความตองการ และความคาดหวงดานความมนคงปลอดภยสารสนเทศ

ของลกคา และผทเกยวของ 2.9.2. ปรบปรงกจกรรม และแผนการด าเนนงานขององคกร

19

2.9.3. บรรลวตถประสงคดานความมนคงปลอดภยสารสนเทศขององคกร 2.9.4. การด าเนนงานขององคกรสอดคลองกบกฏหมาย ระเบยบขอบงคบตางๆ 2.9.5. มการจดการสนทรพยสารสนเทศอยางเปนระเบยบ ซงจะชวยใหสามารถปรใหเขา

กบเปาหมายขององคกร และมการปรบปรงอยางตอเนอง

2.10. ระบบบรหารความมนคงปลอดภยสารสนเทศ (Information Security Management System) ระบบบรหารความมนคงปลอดภยสารสนเทศ ( Information Security Management

System: ISMS) เปนการด าเนนการขององคกรทรวมเอานโยบาย ขนตอนปฏบต แนวทางการด าเนนงาน ทรพยากรและกจกรรมทเกยวของเขาไวดวยกนเปนระบบบรหารจดการทมระเบยบแบบแผนชดเจน มการน าไปปฏบต ตรวจสอบ ตดตาม และปรบปรงอยางตอเนอง เพอปองกน และรกษาความมนคงปลอดภยสารสนเทศ ซงเปนทรพยสนทส าคญขององคกร และใหการด าเนนการบรรลตามวตถประสงคขององคกร

ระบบบรหารความมนคงปลอดภยสารสนเทศมพนฐานอยบนการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ และการประยกตใชมาตรการควบคมความเสยง รวมถงการวเคราะหความตองการและความคาดหวงของผทเกยวของ เพอใหองคกรสามารถตอบสนองตอความตองการดงกลาวไดอยางมประสทธภาพ

2.10.1. หลกการพนฐานทชวยสงเสรมใหการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศประสบความส าเรจ

1) ความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศ 2) การมอบหมายบทบาท หนาท ความรบผดชอบดานความมนคงปลอดภย

สารสนเทศ 3) ความมงมนของผทเกยวของ 4) การบรหารความเสยงดานความมนคงปลอดภยสารสนเทศอยางเหมาะสม 5) การตรวจสอบ และปองกนเหตการณดานความมนคงปลอดภยสารสนเทศ

2.10.2. มาตรฐานดานความมนคงปลอดภยสารสนเทศ องคการมาตรฐานสากล (International Standards Organization: ISO) ได

ก าหนดมาตรฐานดานความมนคงปลอดภยสารสนเทศขนมา ซงประกอบดวยมาตรฐานทมความสมพนธกนเปนชดของมาตรฐาน แบงตามประเภทไดดงน

1) ค าศพท ไดแก มาตรฐาน ISO/IEC 27000 มเนอหาครอบคลมถงภาพรวม และค าศพททใชในชดมาตรฐานดานความมนคงปลอดภยสารสนเทศ และ

20

2) ขอก าหนด ไดแก มาตรฐาน ISO/IEC 27001 มเนอหาครอบคลมถงขอก าหนดในการด าเนนการระบบรหารความมนคงปลอดภยสารสนเทศ และมาตรการทใชในการควบคมความเสยง และมาตรฐาน ISO/IEC 27006 มเนอหาครอบคลมถงขอก าหนดส าหรบผตรวจสอบและรบรองระบบบรหารความมนคงปลอดภยสารสนเทศ

3) แนวทางการด าเนนงาน เชน มาตรฐาน ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004, ISO/IEC 27005 เป นต น ซ งม เน อหา เป น แนวทางการด าเนนงานดานตางๆ ใหสอดคลองตามขอก าหนดของมาตรฐาน ISO/IEC 27001

4) มาตรฐานเฉพาะเรอง เชน มาตรฐาน ISO/IEC 27010, ISO/IEC 27011, ISO/IEC 27015, ISO/IEC 27799 เปนตน ซงมเนอหาอธบายถงการรกษาความมนคงปลอดภยสารสนเทศเฉพาะเรอง กจกรรม หรอภาคอตสาหกรรมทมความเฉพาะเจาะจง

โดยสามารถแสดงไดดงรปท 2.2 ชดของมาตรฐานดานความมนคงปลอดภยสารสนเทศ

21

รปท 2.2 ชดของมาตรฐานดานความมนคงปลอดภยสารสนเทศ

2.11. มาตรฐาน ISO/IEC 27001:2013

มาตรฐาน ISO/IEC 27001 เปนมาตรฐานทระบถงขอก าหนดในการจดตง ด าเนนการ บ ารงรกษา และปรบปรงระบบบรหารความมนคงปลอดภยสารสนเทศใหเปนระเบยบแบบแผน สามารถตรวจสอบ และวดผลการด าเนนการได โดยปจจบนมการพฒนามาตรฐาน ISO/IEC 27001 มาจนถงฉบบปท 2013 ประกอบดวยเนอหา 2 สวน ไดแก ขอก าหนด จ านวน 7 ขอ เปนกรอบแนวทางการด าเนนงานแบบ PDCA ซงองคกรจ าเปนตองด าเนนการตามใหครบถวนสมบรณทกขอก าหนด และสวนทสองภาคผนวก (Annex A) เปนมาตรการควบคมความเสยงดานความมนคงปลอดภยสารสนเทศ จ านวน 14 โดเมน และแยกเปน 114 มาตรการ

ส าหรบขอก าหนดของมาตรฐาน ISO/IEC 27001:2013 ทงหมด 7 ขอ ทองคกรตองด าเนนการ ไดแก

2.11.1. บรบทขององคกร (Context of the organization)

22

ก าหนดใหองคกรตองท าความเขาใจบรบทขององคกร เพอก าหนดขอบเขตระบบรหารความมนคงปลอดภยสารสนเทศ และน าขอมลบรบทขององคกรเขาสกระบวนการบรหารความเสยงอยางเหมาะสม ซงบรบทขององคกรประกอบดวย

1) บรบทภายใน 2) บรบทภายนอก 3) ความตองการและความคาดหวงของผทเกยวของ

2.11.2. ภาวะผน า (Leadership) ผบรหารระดบสงตองแสดงความเปนผน าและความมงมนทจะด าเนนการระบบรหาร

ความมนคงปลอดภยสารสนเทศ ดงน 1) ก าหนดนโยบายความมนคงปลอดภยสารสนเทศทมความสอดคลองกบกลยทธ

และแนวทางการด าเนนธรกจขององคกร 2) บรณาการระบบบรหารความมนคงปลอดภยสารสนเทศเขากบกระบวนการ

ท างานขององคกร 3) ใหการสนบสนนทรพยากรทจ าเปนในการด าเนนงาน 4) สงเสรมใหเกดการพฒนาและปรบปรงระบบบรหารความมนคงปลอดภย

สารสนเทศอยางตอเนอง 5) ก าหนดโครงสรางการด าเนนงาน และมอบหมายอ านาจ หนาท ความรบผดชอบ

ทเกยวของในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศ 2.11.3. การวางแผน (Planning)

ก าหนดใหองคกรตองก าหนดวตถประสงคดานความมนคงปลอดภยสารสนเทศ และวางแผนการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศใหบรรลตามวตถประสงคทก าหนดไว โดยรวมถงการบรหารความเสยงดานความมนคงปลอดภยสารสนเทศ ดงน

1) การประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ โดยก าหนดเกณฑการประเมนความเสยงและเกณฑการยอมรบความเสยง และน าเกณฑดงกลาวมาวเคราะหและประเมนความเสยงตามกระบวนการในมาตรฐาน ISO 31000

2) การจดการความเสยงดานความมนคงปลอดภยสารสนเทศ โดยเลอกมาตรการควบคมความเสยงจากภาคผนวก (Annex A) มาใชในการจดการความเสยงอยางเหมาะสม และจดท าเปนเอกสารการประยกตใชมาตรการควบคมความเสยง (Statement of Applicability: SOA) ทระบถงมาตรการควบคมความเสยงทงทประยกตใช และไมประยกตใช พรอมทงระบเหตผลประกอบทง 2 กรณ

23

2.11.4. การสนบสนน (Support) องคกรจะตองใหการสนบสนนสงตางๆ ตอไปน เพอใหการด าเนนงานระบบบรหาร

ความมนคงปลอดภยสารสนเทศบรรลตามวตถประสงคทก าหนดไว 1) สมรรถนะของบคลากร โดยการก าหนดสมรรถนะของบคลากรทจ าเปนในการ

ปฏบตงานในกระบวนการบรหารความมนคงปลอดภยสารสนเทศ รวมถงการสนบสนนการพฒนาสมรรถนะของบคลากรทเกยวของใหเพยงพอตอการปฏบตงานดงกลาว

2) ความตระหนกของบคลากรในดานนโยบายความมนคงปลอดภยสารสนเทศ การมสวนรวมในการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศอยางมประสทธภาพ และผลกระทบทเกดขนกรณไมปฏบตตามขอก าหนดของมาตรฐาน ISO/IEC 27001

3) การสอสารไปยงผทเกยวของทงภายใน และภายนอกองคกร 4) การจดการ และควบคมเอกสารสารสนเทศในระบบบรหารความมนคงปลอดภย

สารสนเทศ ไดแก การสรางเอกสาร การแกไขปรบปรงเอกสาร และการควบคมเอกสารใหมความพรอมใชและมการปองกนความปลอดภยสารสนเทศอยางเหมาะสม

2.11.5. การด าเนนการ (Operation) องคกรตองด าเนนการตามแผนทก าหนดไว และเกบรวบรวมหลกฐานการด าเนนการ

ดงกลาวไวเปนลายลกษณอกษร 2.11.6. การประเมนสมรรถนะ (Performance evaluation)

องคกรตองประเมนประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศ โดยด าเนนการดงน

1) เฝาระวง วดผล วเคราะห และประเมนผลการด าเนนงานตามเกณฑทก าหนดไว รวมถงการวเคราะหแนวโนมของผลการด าเนนงาน

2) การตรววจสอบภายในระบบบรหารความมนคงปลอดภยสารสนเทศ โดยก าหนดแผนการตรวจสอบ ด าเนนการตรวจสอบโดยผตรวจสอบทมความรความสามารถเพยงพอและมความเปนกลางในการตรวจสอบ เมอตรวจสอบแลวตองรายงานผลการตรวจสอบไปยงผบรหารทเกยวของ

3) การทบทวนโดยผบรหารระดบสง ก าหนดใหผบรหารระดบสงตองด าเนนการทบทวนผลการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศตาม

24

ประเดนตางๆ ทก าหนดไว ในมาตรฐาน ISO/IEC 27001 และตามรอบระยะเวลาทเหมาะสม

2.11.7. การปรบปรง (Improvement) องคกรตองมการแกไขความไมสอดคลองทเกดขน เพอใหมนใจวาปญหาไดรบการ

แกไขทตนเหตของปญหาอยางแทจรงและจะไมท าใหมปญหาเกดซ าขนอก นอกจากนยงรวมถงการปรบปรงและพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศอยางตอเนอง เพอใหมการด าเนนงานอยางมประสทธภาพ

ทงนสามารถแสดงภาพรวมความสมพนธของขอก าหนดในมาตรฐาน ISO/IEC 27001:2013 ไดดงรปท 2.3 ภาพรวมเนอหาของมาตรฐาน ISO/IEC 27001:2013

รปท 2.3 ภาพรวมเนอหาของมาตรฐาน ISO/IEC 27001:2013

2.12. มาตรการควบคมความเสยงสารสนเทศดานสขภาพ (ISO/IEC 27799: 2016)

จากการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ตามมาตรฐาน ISO/IEC 27001:2013 มการประเมนความเสยงทจะท าใหสารสนเทศดานสขภาพสญเสยความมนคงปลอดภย จงตองมการประยกตใชมาตรการควบคมความเสยงสารสนเทศดานสขภาพ เพอจดการความเสยงอยางเหมาะสม

25

มาตรฐาน ISO/IEC 27799:2016 เปนมาตรฐานสากลทอยภายใตชดของมาตรฐานดานความมนคงปลอดภยสารสนเทศ (ISO/IEC 27000) โดยในมาตรฐาน ISO/IEC 27799:2016 จะกลาวถงมาตรการควบคมความเสยงสารสนเทศดานสขภาพ และแนวทางการประยกตใชมาตรการดงกลาว ทงหมด 14 โดเมน ดงน

2.12.1. โดเมนท 1 นโยบายความมนคงปลอดภยสารสนเทศ (Information Security Policy)

มวตถประสงค เพอใหมการก าหนดทศทางการบรหาร และการสนบสนนดานความมนคงปลอดภยสารสนเทศโดยสอดคลองกบความตองการทางธรกจและกฎหมายและระเบยบขอบงคบทเกยวของ

มมาตรการควบคมความเสยง ดงน 1) การก าหนดนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และ

สอสารใหบคลากรและผทเกยวของรบทราบ 2) การทบทวนนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ

อยางนอยปละ 1 ครง หรอภายหลงจากเกดเหตการณความมนคงปลอดภยสารสนเทศทรนแรง

2.12.2. โดเมนท 2 โครงสรางความมนคงปลอดภยสารสนเทศ (organization of Information Security)

มวตถประสงค เพอใหมการก าหนดกรอบการบรหาร โดยตองมการเรมตนและควบคมการปฏบตและการด าเนนการดานความมนคงปลอดภยสารสนเทศดานสขภาพภายในองคกร และใหมการรกษาความมนคงปลอดภยของการปฏบตงานจากระยะไกลและการใชงานอปกรณคอมพวเตอรแบบพกพา

มมาตรการควบคมความเสยง ดงน 1) การก าหนดบทบาทและหนาทความรบผดชอบดานความมนคงปลอดภย

สารสนเทศดานสขภาพ 2) การแบงแยกหนาทงานและพนทความรบผดชอบอยางชดเจน เพอปองกนขอมล

สขภาพถกแกไขโดยผทไมมเกยวของหรอถกน าไปใชในทางทผด 3) การตดตอกบหนวยงานผมอ านาจทเกยวของ เชน การไฟฟา การปะปา เปนตน 4) การตดตอกบกลมทมความสนใจเปนพเศษในเรองเดยวกน กลมทมความ

เชยวชาญดานความมนคงปลอดภยสารสนเทศ และสมาคมอาชพ 5) การบรหารโครงการเกยวกบสารสนเทศดานสขภาพใหมความมนคงปลอดภย

26

6) การก าหนดนโยบายและมาตรการสนบสนนส าหรบการใชงานอปกรณคอมพวเตอรแบบพกพา

7) การก าหนดนโยบายและมาตรการสนบสนนส าหรบการปฏบตงานจากสถานทหนงในระยะไกล

2.12.3. โดเมนท 3 ความมนคงปลอดภยส าหรบทรพยากรบคคล (Human Resource Security)

มวตถประสงค เพอใหพนกงาน และผใหบรการภายนอกเขาใจในหนาทความรบผดชอบของตนเอง และมความเหมาะสมตามบทบาทของตนเองทไดรบการพจารณา ตระหนกและปฏบตตามหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศของตนเอง และเพอปองกนผลประโยชนขององคกร ซงเปนสวนหนงของกระบวนการเปลยนหรอสนสดการจางงาน

มมาตรการควบคมความเสยง ดงน 1) การตรวจสอบภมหลง และคณสมบตของบคลากร และผท าสญญาจาง 2) การจดท าขอตกลงในสญญาจางกบบคลากร และผท าสญญาจาง 3) การระบหนาทความรบผดชอบของผบรหาร 4) การสรางความตระหนก การใหความร และการฝกอบรมดานความมนคง

ปลอดภยสารสนเทศ รวมทงนโยบายและระเบยบวธปฏบตทเกยวของ 5) การก าหนดบทลงโทษทางวนย 6) การสอสารหรอถายโอนหนาทความรบผดชอบ กรณสนสดการจางงานหรอ

เปลยนหนาทความรบผดชอบ 2.12.4. โดเมนท 4 การบรหารจดการทรพยสน (Asset Management)

มวตถประสงค เพอใหมการระบทรพยสนสารสนเทศขององคกร และก าหนดหนาทความรบผดชอบในการปองกนทรพยสนสารสนเทศตามระดบการปองกนทเหมาะสม และเพอปองกนการเปดเผยโดยไมไดรบอนญาต การเปลยนแปลง การขนยาย การลบ หรอการท าลายขอมลและสารสนเทศทจดเกบอยบนสอบนทกขอมล

มมาตรการควบคมความเสยง ดงน 1) การจดท าบญชทรพยสนสารสนเทศทเกยวของกบสารสนเทศดานสขภาพ และ

ก าหนดผดแลทรพยสนดงกลาว รวมทงมการระบกฎการใชงานทรพยสนทเหมาะสม

2) การคนทรพยสนสารสนเทศเมอสนสดการจางงาน 3) การจดชนความลบของสารสนเทศ การบงชสารสนเทศ และการควบคม

สารสนเทศอยางเหมาะสมตามรดบชน

27

4) การบรหารจดการสอบนทกขอมลทถอดแยกได 5) การท าลายสอบนทกขอมล เมอไมมความจ าเปนในการใชงาน 6) การขนยายสอบนทกขอมลอยางมนคงปลอดภย

2.12.5. โดเมนท 5 การควบคมการเขาถง (Access Control) มวตถประสงค เพอควบคมการเขาถงสารสนเทศ อปกรณประมวลผลสารสนเทศ

และระบบงานสารสนเทศขององคกร เฉพาะผทไดรบอนญาต และปองกนการเขาถงระบบและบรการโดยไมไดรบอนญาต และเพอใหผใชงานมความรบผดชอบในการปองกนขอมลการพสจนตวตน

มมาตรการควบคมความเสยง ดงน 1) การจดท านโยบายควบคมการเขาถง 2) การควบคมการเขาถงเครอขาย 3) การบรหารจดการการเขาถงของผใชงาน รวมถงการลงทะเบยนและถอดถอน

สทธ การจดการสทธการใชงาน การจดการขอมลส าหรบพสจนตวตน และการทบทวนสทธ

4) การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ 5) การบรหารจดการรหสผานใหมความมนคงปลอดภย 6) การจ ากดและควบคมการใชงานโปรแกรมอรรถประโยชน 7) การควบคมการเขาถงซอรสโคดของโปรแกรม

2.12.6. โดเมนท 6 การเขารหสลบขอมล (Cryptography) มวตถประสงค เพอเพอใหมการใชการเขารหสลบขอมลอยางเหมาะสม ไดผล และ

ปองกนความลบ การปลอมแปลง หรอความถกตองของสารสนเทศ มมาตรการควบคมความเสยง ดงน 1) การก าหนดนโยบายการใชมาตรการเขารหสลบขอมลเพอปองกนสารสนเทศ 2) การบรหารจดการกญแจทใชในการถอดรหสลบอยางมนคงปลอดภย

2.12.7. โดเมนท 7 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security)

มวตถประสงค เพอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต ความเสยหาย และการแทรกแซงการท างาน ทมตอสารสนเทศ อปกรณประมวลผลสารสนเทศ และระบบงานสารสนเทศขององคกร รวมทงปองกนการหยดชะงกตอการด าเนนงานขององคกร

มมาตรการควบคมความเสยง ดงน 1) การรกษาความมนคงปลอดภยบรเวณโดยรอบทางกายภาพ 2) การควบคมการเขา – ออกทางกายภาพ

28

3) การรกษาความมนคงปลอดภยส าหรบส านกงาน หองท างาน และอปกรณ 4) การปองกนภยพบตทางธรรมชาต การโจมตหรอการบกรก หรออบตเหต 5) การจดท าขนตอนปฏบตส าหรบการปฏบตงานในพนททตองการการรกษาความ

มนคงปลอดภย 6) การก าหนด และควบคมพนทส าหรบรบสงของสงของ 7) การจดวางอปกรณอยางมนคงปลอดภย 8) การรกษาความมนคงปลอดภยส าหรบอปกรณสนบสนนการท างาน 9) การเดนสายไฟฟาและสายสอสารอยางมนคงปลอดภย 10) การบ ารงรกษาอปกรณอยางมนคงปลอดภย 11) การควบคมการน าทรพยสนออกนอกองคกร 12) การใชงานทรพยสนทอยภายนอกองคกรอยางมนคงปลอดภย 13) การท าลายอปกรณ หรอการน ากลบมาใชใหม เพอใหมนใจวาขอมลส าคญถก

ลบทงจนไมสามารถกคนได 14) การควบคมดแลอปกรณททงไวโดยไมมผดแล 15) การก าหนดนโยบายโตะท างานปลอดเอกสารส าคญและนโยบายการปองกน

หนาจอคอมพวเตอร 2.12.8. โดเมนท 8 ความมนคงปลอดภยส าหรบการด าเนนงาน (Operations

Security) มวตถประสงค เพอใหการปฏบตงานกบสารสนเทศ อปกรณประมวลผลสารสนเทศ

และระบบงานสารสนเทศขององคกรเปนไปอยางถกตอง มนคงปลอดภย ไดรบการปองกนจากโปรแกรมไมประสงคด ไดรบการปองกนการสญหายของขอมล เพอใหระบบงานสารสนเทศมการบนทกเหตการณและจดท าหลกฐาน มการท างานทถกตอง และมการปองกนการใชประโยชนจากชองโหวทางเทคนค และเพอลดผลกระทบของกจกรรมการตรวจประเมนบนระบบใหบรการ

มมาตรการควบคมความเสยง ดงน 1) การจดท าขนตอนการปฏบตงานไวเปนลายลกษณอกษร 2) การก าหนดกระบวนการควบคมการเปลยนแปลงอยางเปนทางการ 3) การตดตาม ปรบปรง และคาดการณความตองการดานขดความสามารถของ

ระบบ 4) การแยกสภาพแวดลอมส าหรบการพฒนา และการทดสอบระบบเทคโนโลย

สารสนเทศดานสขภาพออกจากสภาพแวดลอมของระบบทใหบรการ และตองม

29

การก าหนดกฎระเบยบส าหรบการโยกยายระบบงานจากระบบพฒนาไปสระบบใหบรการ

5) การปองกนและตรวจจบโปรแกรมไมประสงคด 6) การส ารองขอมล และทดสอบกคนขอมลทส ารองไว 7) การจดเกบ บนทก ทบทวน และปองกนขอมลลอก 8) การตงเวลาในระบบเทคโนโลยสารสนเทศใหตรงกบแหลงเทยบเวลา 9) การควบคมการตดตงซอฟตแวรบนระบบใหบรการ 10) การบรหารจดการ ตดตาม และแกไขชองโหวงทางเทคนค 11) การตรวจสอบระบบเทคโนโลยสารสนเทศ

2.12.9. โดเมนท 9 ความมนคงปลอดภยส าหรบการสอสารขอมล (Communications security)

มวตถประสงค เพอใหมการปองกนสารสนเทศในเครอขายและอปกรณประมวลผลสารสนเทศ และเพอใหมการรกษาความมนคงปลอดภยของสารสนเทศทมการถายโอนภายในองคกร หรอถายโอนกบหนวยงานภายนอก

มมาตรการควบคมความเสยง ดงน 1) การบรหารจดการ และควบคมระบบเครอขาย เพอปองกนสารสนเทศในระบบ 2) การจดท าขอตกลงการใหบรการเครอขาย และระบบกลไกดานความมนคง

ปลอดภยสารสนเทศ 3) การแบงแยกกลมเครอขาย 4) การก าหนดนโยบาย ขนตอนปฏบต มาตรการ และขอตกลงส าหรบการถายโอน

สารสนเทศอยางเปนทางการ 5) การควบคมและปองกนการสงขอความทางอเลกทรอนกส 6) การจดท าขอตกลงการรกษาความลบหรอการไมเปดเผยความลบ ส าหรบ

บคลากร และผทเกยวของ 2.12.10. โดเมนท 10 การจดหา การพฒนา และการบ ารงรกษาระบบ (System

acquisition, development and maintenance) มวตถประสงค เพอใหความมนคงปลอดภยสารสนเทศเปนองคประกอบส าคญหนง

ของระบบตลอดวงจรชวตของการพฒนาระบบ ซงรวมถงความตองการดานระบบทมการใหบรการผานเครอขายสาธารณะ

มมาตรการควบคมความเสยง ดงน 1) การวเคราะหและก าหนดความตองการดานความมนคงปลอดภยสารสนเทศ

30

2) การปองกนระบบเทคโนโลยสารสนเทศทมการเชอมตอเครอขายสาธารณะ 3) การปองกนขอมลธรกรรมของระบบเทคโนโลยสารสนเทศ 4) การก าหนดนโยบายการพ?นาระบบใหมความมนคงปลอดภย 5) การก าหนดขนตอนปฏบตส าหรบควบคมการเปลยนแปลงระบบเทคโนโลย

สารสนเทศ 6) การทบทวน ทดสอบทางเทคนคตอระบบหลงจากเปลยนแปลงโครงสราง

พนฐานของระบบเทคโนโลยสารสนเทศ 7) การควบคมการเปลยนแปลงแกไขซอฟตแวรส าเรจรป 8) การก าหนด และประยกตใชหลกการวศวะกรรมระบบดานความมนคงปลอดภย

ในการพฒนาระบบเทคโนโลยสารสนเทศ 9) การจดเตรยมสภาพแวดลอมของการพฒนาระบบเทคโนโลยสารสนเทศใหม

ความมนคงปลอดภย ทงการพฒนา และปรบปรงเพมเตมตลอดวงจรชวตของการพฒนาระบบเทคโนโลยสารสนเทศ

10) การก ากบดแล เฝาระวง และตดตามกจกรรมการพฒนาระบบเทคโนโลยสารสนเทศทจางหนวยงานภายนอก

11) การทดสอบคณสมบตดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ 12) การจดท าแผนการทดสอบ และเกณฑทเกยวของเพอรบรองระบบเทคโนโลย

สารสนเทศ 13) การควบคม และปองกนขอมลทน ามาทดสอบระบบเทคโนโลยสารสนเทศ

2.12.11. โดเมนท 11 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) มวตถประสงค เพอใหมการปองกนทรพยสนสารสนเทศขององคกร ทมการเขาถง

โดยผใหบรการภายนอก และเพอใหมการรกษาไวซงระดบความมนคงปลอดภยและระดบการใหบรการตามทตกลงกนไวในขอตกลงการใหบรการของผใหบรการภายนอก

มมาตรการควบคมความเสยง ดงน 1) การก าหนดและตกลงกบผใหบรการภายนอก และการประเมนความเสยงท

เกยวของกบการเขาถงระบบเทคโนโลยสารสนเทศโดยบคคลภายนอก 2) การระบความมนคงปลอดภยในขอตกลงการใหบรการของผใหบรการภายนอก

ในเรองทเกยวของกบการเขาถง การประมวลผล การจดเกบ การสอสาร และการใหบรการ

3) การตดตาม ทบทวน และตรวจประเมนการใหบรการของผใหบรการภายนอก 4) การบรหารจดการการเปลยนแปลงตอการใหบรการของผใหบรการภายนอก

31

2.12.12. โดเมนท 12 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management)

มวตถประสงค เพอใหมวธการทสอดคลองกนและไดผลส าหรบการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ ซงรวมถงการแจงสถานการณความมนคงปลอดภยสารสนเทศและจดออนความมนคงปลอดภยสารสนเทศใหไดรบทราบ

มมาตรการควบคมความเสยง ดงน 1) การก าหนดหนาทความรบผดชอบ ขนตอนปฏบต และการรายงาน ส าหรบการ

บรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ เพอใหมการตอบสนองอยางรวดเรว และไดผล

2) การตอบสนองตอเหตการณความมนคงปลอดภยสารสนเทศ 3) การเกบรวบรวมความร และหลกฐานทไดรบจากการวเคราะหและแกไข

เหตการณความมนคงปลอดภยสารสนเทศ 2.12.13. โดเมนท 13 ความมนคงปลอดภยสารสนเทศของการบรหารจดการความ

ตอเนองทางธรกจ (Information security aspects of business continuity management)

มวตถประสงค เพอใหระบบสารสนเทศขององคกรสามารถใหบรการไดอยางตอเนอง และเพอจดเตรยมสภาพความพรอมใชของอปกรณประมวลผลสารสนเทศขององคกร

มมาตรการควบคมความเสยง ดงน 1) การวางแผน และก าหนดความตองการดานความตอเนองในสถานการณความ

เสยหายทเกดขน 2) การจดท าขนตอนปฏบต และมาตรการเพอใหไดระดบความตอเนองดานความ

มนคงปลอดภยสารสนเทศทก าหนดไว 3) การเตรยมอปกรณส ารองไวอยางเพยงพอเพอใหระบบเทคโนโลยสารสนเทศ

ขององคกรมสภาพความพรอมใชตามทก าหนดไว 2.12.14. โดเมนท 14 ความสอดคลอง (Compliance)

มวตถประสงค เพอใหมการปฏบตดานความมนคงปลอดภยสารสนเทศอยางสอดคลองกบนโยบายและขนตอนปฏบตขององคกร และหลกเลยงการละเมดขอก าหนดในกฎหมาย ระเบยบขอบงคบ หรอสญญาจาง

มมาตรการควบคมความเสยง ดงน 1) การระบความตองการทเกยวของกบกฎหมาย ระเบยบขอบงคบ และสญญาจาง

รวมทงวธการด าเนนงานขององคกรเพอใหสอดคลองกบความตองการดงกลาว

32

2) การก าหนดขนตอนปฏบตทสอดคลองกบความตองการของกฎหมาย ระเบยบขอบงคบ และสญญาจาง ทวาดวยเรองสทธในทรพยสนทางปญญาและการใชผลตภณฑซอฟตแวรทมกรรมสทธ

3) การปองกนขอมลบนทก จากการสญหาย การถกท าลาย การปลอมแปลง การเขาถงโดยไมไดรบอนญาต และการเผยแพรโดยไมไดรบอนญาต

4) การด าเนนการใหมการรกษาความเปนสวนตวและการปองกนขอมลสวนบคคล 5) การทบทวนความสอดคลองของการประมวลผลสารสนเทศ และขนตอนปฏบต

ท โดยเทยบกบนโยบาย มาตรฐาน และความตองการดานความมนคงปลอดภย

33

บทท 3

การด าเนนงาน

3.1. กลาวน า

เพอใหการด าเนนการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพมการบรหารจดการอยางเปนระบบทชดเจน และตรวจสอบได จงไดก าหนดกรอบแนวทางในการด าเนนงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 โดยมการด าเนนงานดงตอไปน

3.2. ขนตอนการด าเนนงาน

ในการด าเนนงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ของศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ใหสอดคลองตามมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 ผจดท าไดแบงขนตอนการด าเนนงานออกเปน 4 ระยะ ไดแก ระยะท 1 การวางแผน (Plan), ระยะท 2 การด าเนนการ (Do), ระยะท 3 การตรวจสอบ (Check) และระยะท 4 การปรบปรงแกไข (Act) โดยในแตละระยะมขนตอนดงรปท 3.1 การด าเนนการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

34

รปท 3.1 การด าเนนการพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

3.2.1. ระยะท 1 การวางแผน (Plan) ประกอบดวยขนตอนการด าเนนงานดงน

1) ศกษาขอก าหนดของมาตรฐาน และทฤษฏทเกยวของ 2) ศกษาโครงสรางการด าเนนงาน และบรบทขององคกร 3) ก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

35

4) ประกาศนโยบาย และวตถประสงคการด าเนนงาน 5) แตงตงคณะกรรมการเพอด าเนนงาน 6) อบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 7) ก าหนดวธการ และเกณฑการประเมนความเสยง

3.2.2. ระยะท 2 การด าเนนการ (Do) ประกอบดวยขนตอนการด าเนนงานดงน 1) ประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ 2) ก าหนดแผนจดการความเสยงฯ 3) ด าเนนการตามแผนจดการความเสยง และจดท านโยบาย/ขนตอนปฏบต 4) อบรม และสอสารนโยบาย/ขนตอนปฏบตไปยงผทเกยวของ 5) ประเมนความเสยงทยงคงเหลอหลงด าเนนการจดการความเสยง

3.2.3. ระยะท 3 การตรวจสอบ (Check) ประกอบดวยขนตอนการด าเนนงานดงน 1) วดประสทธภาพ และประสทธผลของการด าเนนงาน 2) ประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน

3.2.4. ระยะท 4 การปรบปรงแกไข (Act) เปนการด าเนนการปรบปรงแกไขการด าเนนงานทยงไมสอดคลอง รวมถงการพฒนาปรบปรงการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพใหมประสทธภาพมากขน

3.3. การศกษาบรบทขององคกร เปนการท าความเขาใจองคกร ซงประกอบไปดวยการด าเนนการดงน 3.3.1. การศกษาวสยทศน พนธกจ แผนยทธศาสตร และลกษณะการด าเนนงานของ

องคกร 3.3.2. การศกษาปจจยภายใน และปจจยภายนอกทสงผลกระทบตอการด าเนนงานระบบ

บรหารจดการความมนคงปลอดภยสารสนเทศดานสขภาพ โดยน ามาวเคราะหจดออน จดแขง โอกาส และอปสรรค ตามหลกการวเคราะห SWOT Analysis ซงการวเคราะหปจจยภายในจะประกอบไปดวย ประเดนดงตอไปน

1) การก ากบดแล, โครงสรางองคกร, บทบาท หนาท และความรบผดชอบ 2) นโยบาย, เปาหมาย และกลยทธ 3) ทรพยากร, ความร และความสามารถ 4) กระบวนการตดสนใจ 5) ความสมพนธของบคลากรภายในทม และ ประโยชน/คณคาของการท า

ระบบการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

36

6) มาตรฐาน, แนวทางและรปแบบทองคกรน ามาใช และสญญาทตองปฏบตตาม

สวนการวเคราะหปจจยภายนอกจะประกอบไปดวย ประเดนดงตอไปน 1) การเมอง 2) เศรษฐกจ 3) สงคม 4) เทคโนโลย 5) กฎหมาย, กฎระเบยบ, และมาตรฐาน 6) สภาพแวดลอมทางธรรมชาต

3.3.3. การศกษาความสมพนธของผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ รวมถงความตองการ และความคาดหวงของผทเกยวของดงกลาว

3.4. การก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

จากการศกษาบรบทขององคกร ใหน าผลการศกษามาพจารณาก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ รวมทงการระบขอยกเวนทไมรวมอยในขอบเขตการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดวย

3.5. การก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

รางนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพเสนอตอผบรหารระดบสง และคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ เพออนมต และประกาศนโยบายฯ อยางเปนทางการ โดยมขอก าหนดในการรางนโยบายฯ ดงน

3.5.1. ตองสอดคลองกบทศทางเชงกลยทธขององคกร 3.5.2. ตองก าหนดกรอบแนวทางการก าหนดวตถประสงคความมนคงปลอดภยสารสนเทศ 3.5.3. แสดงใหเหนถงความมงมนในการด าเนนการระบบรหารความมนคงปลอดภย

สารสนเทศดานสขภาพใหมประสทธผล 3.5.4. แสดงใหเหนถงความมงมนในการปรบปรงอยางตอเนองตอระบบบรหารความ

มนคงปลอดภยสารสนเทศดานสขภาพ

37

3.6. การก าหนดโครงสราง บทบาท หนาท ความรบผดชอบ ก าหนดโครงสรางคณะกรรมการ และผปฏบตงานระบบบรหารความมนคงปลอดภย

สารสนเทศดานสขภาพ รวมทงระบหนาท ความรบผดชอบส าหรบแตละบทบาท เสนอตอผบรหารระดบสง และคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ เพออนมต และแตงตงคณะกรรมการฯ

3.7. การอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799

การอบรมใหความรดานมาตรฐาน ISO/IEC 27001:2013 และ ISO/IEC 27799:2016 แกผปฏบตงานเทคโนโลยสารสนเทศ และบคคลากรของศนยการแพทยฯ เพอสรางความร ความเขาใจในขอก าหนดของมาตรฐาน และสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน รวมทงมการท าแบบทดสอบหลงการอบรมเพอวดประสทธผลของการด าเนนการอบรม

3.8. การประเมนความเสยง

ด าเนนการรวบรวมรายการทรพยสนสารสนเทศทอยในขอบเขตการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ และผลการศกษาบรบทขององคกร เพอประเมนความเสยงและจดการความเสยงตามกรอบแนวทางมาตรฐาน ISO 31000 โดยมขนตอนดงน

3.8.1. การระบเหตการณความเสยง ระบเหตการณความเสยงทคาดวาจะสงผลท าใหสารสนเทศดานสขภาพสญเสย

ความลบ ความถกตองสมบรณ และความพรอมใชงาน ซงประกอบดวยจดออนชองโหวและภยคกคาม รวมถงระบมาตรการควบคมทมการด าเนนการอยในปจจบน และเจาของความเสยง

3.8.2. การวเคราะหผลกระทบ การวเคราะหผลกระทบพจารณาจากความรนแรงของความเสยหายทอาจเกดขน

แลวสงผลกระทบในดานตางๆ โดยการระบชวงคะแนน 1 (นอมาก) – 5 (สงมาก) ส าหรบผลกระทบในดานตางๆ แลวท าการเลอกเฉพาะคะแนนของผลกระทบดานทสงทสดมาพจารณาประเมนความเสยงตอไป

ทงนเกณฑในการระบคะแนนของผลกระทบแบงออกเปน 6 ดาน ไดแก 1) ผลกระทบตอผรบบรการ (Patient) ดงตารางท 3.1 เกณฑการวเคราะห

ผลกระทบตอผรบบรการ

38

ตารางท 3.1 เกณฑการวเคราะหผลกระทบตอผรบบรการ

ระดบความรนแรง คะแนน ผลกระทบ

สงมาก 5 กระทบตอผรบบรการมากกวา 80%

สง 4 กระทบตอผรบบรการ 61 - 80%

ปานกลาง 3 กระทบตอผรบบรการ 41 - 60%

นอย 2 กระทบตอผรบบรการ 21 - 40%

นอยมาก 1 กระทบตอผรบบรการ นอยกวาหรอเทากบ 20%

2) ผลกระทบดานมลคาความเสยหาย (Finance) ดงตารางท 3.2 เกณฑการ

วเคราะหผลกระทบดานมลคาความเสยหาย

ตารางท 3.2 เกณฑการวเคราะหผลกระทบดานมลคาความเสยหาย

ระดบความรนแรง คะแนน ผลกระทบ

สงมาก 5 มากกวา 1,000,000 บาท

สง 4 500,001 บาท ถง 1,000,000 บาท

ปานกลาง 3 100,001 บาท ถง 500,000 บาท

นอย 2 50,000 บาท ถง 100,000บาท

นอยมาก 1 นอยกวาหรอเทากบ 50,000 บาท

3) ผลกระทบตอระบบเทคโนโลยสารสนเทศ (Information Technology) ดง

ตารางท 3.3 เกณฑการวเคราะหผลกระทบตอระบบเทคโนโลยสารสนเทศ

39

ตารางท 3.3 เกณฑการวเคราะหผลกระทบตอระบบเทคโนโลยสารสนเทศ

ระดบความรนแรง คะแนน ผลกระทบ

สงมาก 5 ระบบเทคโนโลยสารสนเทศไมสามารถใหบรการได

เสยหายไมสามารถ ใชงานไดอก หรอสญหาย

สง 4 ระบบเทคโนโลยสารสนเทศ ไมสามารถใหบรการได

มากกวา 3 ชม : เดอน

ปานกลาง 3 ระบบเทคโนโลยสารสนเทศ ไมสามารถใหบรการไดไม

เกน 3 ชม : เดอน

นอย 2 ระบบเทคโนโลยสารสนเทศ ไมสามารถใหบรการไดเตม

ประสทธภาพ

นอยมาก 1 ไมมผลกระทบตอระบบเทคโนโลยสารสนเทศ

4) ผลกระทบดานกฎระเบยบขอบงคบ (Compliance) ดงตารางท 3.4 เกณฑ

การวเคราะหผลกระทบดานกฎระเบยบขอบงคบ

ตารางท 3.4 เกณฑการวเคราะหผลกระทบดานกฎระเบยบขอบงคบ

ระดบความรนแรง คะแนน ผลกระทบ

สงมาก 5 ขดตอกฎหมาย พระราชบญญตทเกยวของ เชน พรบ.

เปนตน

สง 4 ขดตอนโยบายและแนวปฏบตทวไป ในระดบกระทรวง

ปานกลาง 3 ขดตอนโยบายและแนวปฏบตทวไป ภายในองคกร

นอย 2 ขดตอนโยบายและแนวปฏบต ภายในแผนก

นอยมาก 1 ขดตอกระบวนการปฏบตงาน ในระดบบคคล

5) ผลกระทบตอสขภาพ และชวต (Employee) ดงตารางท 3.5 เกณฑการ

วเคราะหผลกระทบตอสขภาพ และชวต

40

ตารางท 3.5 เกณฑการวเคราะหผลกระทบตอสขภาพ และชวต

ระดบความรนแรง คะแนน ผลกระทบ

สงมาก 5 บคลากร/ผรบบรการ/ผปวย ไดรบอนตรายถงชวต

สง 4 บคลากร/ผรบบรการ/ผปวย ไดรบบาดเจบสาหส

ปานกลาง 3 บคลากร/ผรบบรการ/ผปวย ไดรบบาดเจบตองไดรบ

การรกษาทางการแพทย

นอย 2 บคลากร/ผรบบรการ/ผปวย ไดรบบาดเจบเลกนอย

นอยมาก 1 ไมสะดวกในการท างาน หรอรบบรการ

6) ผลกระทบตอภาพลกษณองคกร (Reputation) ดงตารางท 3.6 เกณฑการ

วเคราะหผลกระทบตอภาพลกษณองคกร

ตารางท 3.6 เกณฑการวเคราะหผลกระทบตอภาพลกษณองคกร

ระดบความรนแรง คะแนน ผลกระทบ

สงมาก 5 กระทบชอเสยงขององคกร ในระดบประเทศ

สง 4 กระทบชอเสยงขององคกร ในระดบกระทรวง

ปานกลาง 3 กระทบชอเสยงขององคกร ภายในองคกร

นอย 2 กระทบชอเสยงขององคกรนอย ภายในแผนก

นอยมาก 1 กระทบชอเสยงขององคกรนอยมากหรอไมกระทบ

3.8.3. การวเคราะหโอกาส

การวเคราะหโอกาสในการเกดความเสยง โดยการระบชวงคะแนน 1 (นอมาก) – 5 (สงมาก) ทงนเกณฑในการระบคะแนนของโอกาสไดก าหนดไว ดงตารางท 3.7 เกณฑการวเคราะหโอกาส

41

ตารางท 3.7 เกณฑการวเคราะหโอกาส

ระดบโอกาส คะแนน โอกาส/ความถ

สงมาก 5 24 ครง : ป

สง 4 12 ครง : ป

ปานกลาง 3 4 ครง : ป

นอย 2 2 ครง : ป

นอยมาก 1 1 ครง : ป หรอไมเกดเลย

3.8.4. การประเมนระดบความเสยง

การประเมนระดบความเสยงเพอจดล าดบและพจารณาความเสยงทองคกรยอมรบได และความเสยงทองคกรยอมรบไมได โดยประเมนจากผลการวเคราะหผลกระทบคณกบผลการวเคราะหโอกาสจะท าใหไดคะแนนในชวง 1-25 ดงรปท 3.2 เกณฑการยอมรบความเสยง

รปท 3.2 เกณฑการยอมรบความเสยง

42

โดยทระดบความเสยงในแตละชองมความหมาย และตองด าเนนการดงน 1) ความเสยงทอยในระดบ 1-3 (สเขยว) : ระดบความเสยงทองคกรยอมรบ (Acceptable)

อาจมมาตรการทมอยแลวปองกนหรอไมกได 2) ความเสยงทอยในระดบ 4-6 (สสม) : ระดบความเสยงทองคกรสามารถยอมรบได แต

ตองมการควบคม เพอปองกนไมใหความเสยงมคาสงขนไปยงระดบทไมสามารถยอมรบได ถามมาตรการควบคมอยแลวใหยอมรบความเสยงหรอพจารณาจดท าแผนจดการความเสยงแลวแตกรณ

3) ความเสยงทอยในระดบ 8-12 (สชมพ) : ระดบความเสยงทองคกรไมสามารถยอมรบได โดยตองจดการความเสยงเพอใหอยในระดบทสามารถยอมรบหรอยอมรบไดตอไป

4) ความเสยงทอยในระดบ 15-25 (สแดง) : ระดบความเสยงทองคกรไมสามารถยอมรบได และตองจ าเปนตองเรงจดการความเสยงจนกระทงใหอยในระดบทสามารถยอมรบไดทนท

3.8.5. การจดการความเสยง จากผลการประเมนระดบความเสยง น ามาพจารณาแนวทางการจดการความเสยง

ดงน 1) การหลกเลยงความเสยง (Avoid) : เมอเปนความเสยงทเราไมตองการ เชน

ความเสยงทใหผลตอบแทนนอยหรอเปนความเสยงทเราไมสามารถบรหารและควบคมไดเราจะหลกเลยงความเสยงโดยจะไมยอมรบความเสยงนนหรอเปลยนเปาหมาย/วตถประสงค หรอขจดความเสยงนนทงไป

2) การลดความเสยง (Reduce) : ใชกบความเสยงทเรายอมรบ เราจะลดความเสยงไดโดยการลดระดบความนาจะเปนหรอโอกาสทจะเกด และลดระดบความรนแรงของผลกระทบจากปจจยเสยงนน

3) การถายโอนความเสยง (Transfer) : เปนการใหผอนมาเปนผรบผดชอบความเสยงและความเสยหายทจะเกดขนแทนเรา เชน การท าประกน (Insurance) และการรบเหมาชวง (Outsource)

4) การยอมรบความเสยง (Accept) : เปนการคงความเสยงเอาไวใหอยในระดบปจจบนแมจะรวาอาจจะเกดผลกระทบจากความเสยงนนตามมาแตกเตมใจทจะดผลทเกดและใชวธการเดมตอไปในการควบคมและจดการความเสยงเนองดวยเหตผลบางประการ

หลงจากเลอกแนวทางการจดการความเสยงแลว ตองพจารณาเลอกมาตรการควบคมความเสยงตามมาตรฐาน ISO/IEC 27799:2016 มาด าเนนการเพอจดการความเสยงดงกลาว

43

และประเมนระดบความเสยงหลงจากด าเนนการจดการความเสยงเพอพจารณาระดบความเสยงทยงหลงเหลออย และประสทธภาพในการจดการความเสยง

ทงน ในการประยกตใชมาตรการควบคมความเสยงตามมาตรฐาน ISO/IEC 27799:2016 ตองจดท าเอกสารการประยกตใชมาตรการควบคมความเสยง (Statement of Applicability: SOA) เพอระบมาตรการทประยกตใช และมาตรการทไมประยกตใช พรอมแสดงเหตผลประกอบทง 2 กรณ

3.9. การวดประสทธภาพ และประสทธผลของการด าเนนงาน

การวดประสทธภาพ และประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ เพอใหมนใจวาการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพขององคกรบรรลตามเปาหมายวตถประสงค และน าผลของการวดมาวเคราะหเพอหาแนวทางการพฒนาปรบปรงประสทธภาพ และประสทธผลของการด าเนนงาน

ทงนในการก าหนดตวชวดตองพจารณาประเดนดงน 3.9.1. สงทตองการเฝาระวงและวดผล รวมถงกระบวนการและมาตรการควบคมความ

มนคงปลอดภยทประยกตใช 3.9.2. วธการเฝาระวง วดผล วเคราะห และประเมนผล เพอใหไดผลลพธทถกตองแมนย า 3.9.3. ชวงเวลาในการเฝาระวง วดผล วเคราะห และประเมนผล 3.9.4. ผรบผดชอบในการเฝาระวง วดผล วเคราะห และประเมนผล

3.10. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน การประชมคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ เพอทบทวนผลการด าเนนงาน

ระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ โดยก าหนดใหน าเสนอประเดนตอไปนในวาระการประชม

3.10.1. สถานะของการด าเนนการจากผลการทบทวนครงกอน 3.10.2. การเปลยนแปลงในประเดนภายในและภายนอกทเกยวกบระบบบรหารความมนคง

ปลอดภยสารสนเทศดานสขภาพ 3.10.3. ผลตอบกลบของประสทธภาพและประสทธผลดานความมนคงปลอดภยสารสนเทศ

ดานสขภาพ ซงรวมถงแนวโนมในเรอง 1) ความไมสอดคลองและการด าเนนการแกไข 2) ผลการเฝาระวงและวดผล 3) ผลการตรวจประเมน

44

4) ความส าเรจตามวตถประสงคความมนคงปลอดภยสารสนเทศดานสขภาพ 3.10.4. ผลตอบกลบจากผทเกยวของ 3.10.5. ผลการประเมนความเสยงและสถานะของแผนการจดการความเสยง 3.10.6. โอกาสส าหรบการปรบปรงอยางตอเนอง

3.11. การด าเนนการปรบปรงแกไขการด าเนนงานใหสอดคลองตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 จากผลการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ใหพจารณา

ขอบกพรอง หรอปญหาทพบ มาก าหนดแนวทางในการด าเนนการปรบปรงแกไขการด าเนนงานใหสอดคลองตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 รวมถงการพฒนาประสทธภาพของการด าเนนงานดงกลาวใหมประสทธภาพมากขน เพอใหการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพมการพฒนา ปรบปรงอยางตอเนอง

45

บทท 4

ผลการด าเนนงาน 4.1. กลาวน า

ในการด าเนนการโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ตามกรอบแนวทางทก าหนดใหสอดคลองกบมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 มผลการด าเนนงานดงตอไปน

4.2. บรบทขององคกร

4.2.1. วสยทศนขององคกร เปนโรงพยาบาลระดบตตยภมทมมาตรฐานระดบนานาชาตและเปนฐานการผลต

แพทยของคณะแพทยศาสตร มศว 4.2.2. พนธกจขององคกร

1) บรการวชาการ และบรการรกษาพยาบาล 2) เปนฐานการเรยนการสอนสาขาแพทยศาสตร และวทยาศาสตรสขภาพ 3) สงเสรมสนบสนนงานวจย 4) ท านบ ารงศลปวฒนธรรม

4.2.3. แผนยทธศาสตรขององคกร 1) Service & Health promotion to Excellence (แผนยทธศาสตรสราง

งานบรการดานสขภาพสความเปนเลศ) 2) Management to Excellence (แผนยทธศาสตรการบรหารจดการสความ

เปนเลศ) 3) Academic to Excellence (แผนยทธศาสตรพฒนาการศกษาสความเปน

เลศ) 4) Research to Excellence (แผนยทธศาสตรสรางงานวจยสความเปนเลศ) 5) Toward International Level (แผนยทธศาสตรการเขาสนานาชาต)

4.2.4. ลกษณะการด าเนนงานขององคกร ศนยการแพทยสมเดจพระเทพรตนราชสดา ฯ สยามบรมราชกมาร ตงอยท 62 หม

7 ต าบลองครกษ อ าเภอองครกษ จงหวดนครนายก ด าเนนงานภายใตการก ากบดแลของคณะแพทยศาสตร และมหาวทยาลยศรนครนทรวโรฒ โดยมงเนนความส าคญกบการใหบรการดานสขภาพ

46

ทมความปลอดภย มคณภาพและไดรบความไววางใจจากผรบบรการ เปนโรงพยาบาลระดบตตยภมขนสงขนาด 500เตยง มศกยภาพในการใหบรการสขภาพดานตางๆ ปจจบนเปดใหบรการ 364 เตยง และใหบรการสขภาพในระดบตตยภมขนสง ดานตางๆ ไดแก การดแลผปวยโรคไต ผปวยโรคหวใจและหลอดเลอด ผปวยปลกถายอวยวะ การดแลและตรวจวนจฉยมารดาและเดกกลม เสยงกอนคลอด การรกษาผมบตรยาก การดแลทารกแรกเกดน าหนกตวนอยกวา 1,500 กรม ผปวยทไดรบการผาตดกระดกแขนและมอสวนบน ผปวยมะเรง และผปวยทสญเสยการไดยน ปจจบนเปดบรการทงสน 16 สาขา คอ สาขาสตศาสตรนรเวชวทยา, สาขากมารเวชศาสตร, สาขาอายรศาสตร, สาขาศลยศาสตร, สาขาออรโธปดกส, สาขาเวชศาสตรปองกน, สาขารงสวทยา, สาขาโสต ศอ นาสก, สาขาจกษวทยา, สาขาเวชศาสตรฟนฟ , สาขาพยาธวทยา , สาขาวสญญวทยา , สาขานตอเวชวทยา , สาขาเวชศาสตรฉกเฉน , สาขาจตเวชศาสตรและสาขาทนตกรรม นอกจากนยงเปนสถาบนในการจดการเรยนการสอนของคณะแพทยศาสตรและนสตคณะอน ๆ ในสายวทยาศาสตรสขภาพทเกยวของ รวมทงเปนแหลงวจยในทางคลนคทมคณภาพ

4.2.5. การวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

มการน าปจจยภายในและปจจยภายนอกทเกยวของกบการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ มาวเคราะหจดออน จดแขง โอกาส และอปสรรค โดยใช SWOT Analysis เปนเครองมอในการวเคราะห ดงตารางท 4.1 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน) และตารางท 4.3 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก)

47

ตารางท 4.1 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน)

ปจจย จดแขง/โอกาส จดออน/อปสรรค

1) การก ากบดแล, โครงสรางองคกร, บทบาทและความรบผดชอบ

- คณะกรรมการและคณะผบรหารของศนยการแพทยฯ ใหการสนบสนนและก ากบดแลการด าเนนระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

- มการแตงตงชดคณะกรรมการฯ ตาง ๆ และมอบหมายอ านาจหนาทเพอด าเนนงานใหบรรลตามวตถประสงคขององคกร

ศนยการแพทยฯ มการปรบเปลยนคณะผบรหารตามวาระการท างานทกๆ 4 ป

2) นโยบาย, เปาหมาย, กลยทธ

- คณะกรรมการและคณะผบรหารของศนยการแพทยฯ มนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ทแสดงถงความมงมนในการบรหารความมนคงปลอดภยสารสนเทศใหมความสอดคลองกบวสยทศน และแผนยทธศาสตรขององคกร และสนบสนนใหบคลากรเขามสวนรวมในการด าเนนการดงกลาว

- ม การวางแผน พฒนาร ะบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ตามมาตรฐาน ISO/IEC 27799 ใหสอดคลองตามยทธศาสตรท 2 Management to excellence

-

48

ตารางท 4.2 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายใน) (ตอ)

ปจจย จดแขง/โอกาส จดออน/อปสรรค

3) ทรพยากร และ ความร ความสามารถ

คณะกรรมการและคณะผบรหารของ ศนยการแพทยฯ ใหการสนบสนนทรพยากรในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพอยางเพยงพอ

บคลากรของศนยการแพทยฯ ทเกยวของ ขาดความร ความเขาใจ และความตระหนกในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศด านส ขภาพ ให เกดประสทธภาพและประสทธผลสงสด

4) กระบวนการตดสนใจ คณะกรรมการและคณะผบรหารของ ศนยการแพทยฯ มการประชมทกเดอนเพอพจารณา และตดสนใจในประเดนตางๆ

-

5) ความสมพนธ ของบคลากรภายในทม และ ประโยชน/คณคาของการท าระบบการบรหารความมนคงปลอดภยสารสนเทศ

มความสมพนธอนดระหวางฝายตาง ๆ ในการด าเนนงานระบบบร ห า รคว ามม น ค งปลอดภ ยสารสนเทศดานสขภาพ

-

6) มาตรฐาน, แนวทางและรปแบบทองคกรน ามาใช และสญญาทตองปฏบตตาม

ศนยการแพทยฯ มการมอบหมายฝ า ยท ม บทบาทหน า ท ค ว ามรบผดชอบในการเฝาระวงและตดตามความสอดคลองในการด าเนนงานของ กฟภ. ใหสอดคลองตามกฎหมาย ระเบยบขอบงคบ และมาตรฐานทน ามาประยกตใช

ขาดการบรณาการดานกระบวนการท างาน ใหรวมเขาเปนระบบบรหารจดการเดยวกน ในการด าเนนงานเ พอใหสอดคลองตามกฎหมาย ระเบยบขอบงคบ และมาตรฐานทน ามาประยกตใช

49

ตารางท 4.3 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก)

ปจจย จดแขง/โอกาส จดออน/อปสรรค

1) การเมอง ศนยการแพทยฯ ด าเนนงานภายใตก า ร ก า ก บ ด แ ล ข อ ง ค ณ ะแพทยศาสตร มหาวทยาลยศรนครนทรว โ รฒส ง ผล ให ไ ด ร บกา รสน บสน น งบประมาณในกา รด าเนนงานดานตาง ๆ จากภาครฐ

- การเปลยนแปลงทางการเมองสงผลกระทบตอการด าเนนงานของ ศนยการแพทยฯ เนองจากเปนหนวยงานของรฐ

- ความไมแนนอนทางการเมองอาจท าใหเกดเหตการณชมนมประทวง ปดลอม จงท าใหการด าเนนงานของ ศนยการแพทยฯ เกดการหยดชะงก

2) เศรษฐกจ - สภาวะ เศรษฐก จ ในป จจ บ นส งผลกระทบตอการลงทน พฒนาระบบ เพอเตรยมการสรางความมนคงปลอดภยสารสนเทศในดานตางๆ

3) สงคม - สงคมปจจบนใหความส าคญกบการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และขอมลสวนตวมากขน สงผลให ศนยการแพทยฯ ตองมการด าเนนการตางๆ เพอสรางความมนใจใหกบผทเกยวของ

50

ตารางท 4.4 ผลการวเคราะห SWOT ของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพดานสขภาพ (ปจจยภายนอก) (ตอ)

ปจจย จดแขง/โอกาส จดออน/อปสรรค

4) เทคโนโลย - ปจจบนมเทคโนโลยใหม ๆ ทใชในการเตรยมการสรางความมนคงปลอดภยสารสนเทศในดานตางๆ ทดขน สงผลใหชวยเพมประสทธภาพในการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพใหดยงขน

- ก า ร น า เ ท ค โ น โ ล ย virtual machine มาใช เพอลดตนทนในการจดซอและบ าร งรกษา hardware

- การเปลยนแปลงของเทคโนโลยในปจจบน สงผลใหเกดภยคกคามในรปแบบใหม

- ผใชงานใชอปกรณเคลอนทสวนตวในการเขาใชงานระบบสารสนเทศท าใหฝายเทคโนโลยสารสนเทศไมสามารถดแลรกษาความมนคงปลอดภยไดอยางทวถง

- ผ ใ ช ง า น ม ก า ร ใ ช ส อ social network อยางแพรหลาย อาจมการเผยแพรขอมลลบหรอขอมลสวนบคคลของผรบบรการทางการแพทย

5) กฎหมาย กฎระเบยบ มาตรฐาน

ศนยการแพทยฯ ด าเนนงานภายใตก า ร ก า ก บ ด แ ล ข อ ง ค ณ ะแพทยศาสตร มหาวทยาลยศรนครนทรวโรฒ สงผลให ศนยการแพทยฯ ม การก ากบด แลท ด และมมาตรฐานในการด าเนนงานอยางเปนระบบระเบยบ

ศนยการแพทยฯ ตองปฏบตตามกฎหมาย ระเบยบขอบงคบ และมาตรฐานเปนจ านวนมาก เชน SPA, HA Scoring, มาตรฐานโรงพยาบาลและบรการสขภาพ เปนตน

6) สภาพแวดลอมทางธรรมชาต

อาคารส านนกงานทตงของศนยการแพทยฯ ไดรบการออกแบบใหม ค ว า ม ม น ค ง แ ข ง แ ร ง ต อ ภ ยธรรมชาต

ภยธรรมชาตทอาจสงผลกระทบตอการใหบรการของ ศนยการแพทยฯ ไดแก พาย น าทวม ฟาผา ไฟไหม เปนตน

51

4.2.6. ผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ มการก าหนดผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดาน

สขภาพ ทงภายในและภายนอกองคกร ประกอบไปดวย ผบรหาร ศนยการแพทยสมเดจพระเทพรตนราชสดา ฯ สยามบรมราชกมาร หนวยงานก ากบดแล ผรบบรการทางการแพทย ผใหบรการภายนอก ทใหบรการดานเทคโนโลยสารสนเทศ จนท. เทคโนโลยสารสนเทศ หรอผดแลระบบ และผใชงานเทคโนโลยสารสนเทศ ดงรปท 4.1 ผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

รปท 4.1 ผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

52

จากผทเกยวของกบระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ไดมการก าหนดความตองการ และความคาดหวงของผทเกยวของไวดงตารางท 4.5 ความตองการและความคาดหวงของผทเกยวของ

ตารางท 4.5 ความตองการและความคาดหวงของผทเกยวของ

ผมสวนเกยวของ ความตองการ และความคาดหวงของผมสวนเกยวของ

1) ผบรหาร - ตองการใหมการก าหนดกรอบแนวทางการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพทสามารถน าไปประยกใชได

- ตองใหการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพของ ศนยการแพทยฯ ไดรบการรบรองมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016

- ตองการใหบคลากรของศนยการแพทยฯ ปฏบตงานสอดคลองตามนโยบาย และประกาศค าสงตางๆ

2) ศ น ย ก า ร แ พ ท ย ส ม เ ด จพระเทพรตนราชสดา ฯ สยามบรมราชกมาร

- ตองการใหศนยการแพทยฯ ด าเนนการตามแผนยทธศาสตรทสอดคลองกบคณะแพทยศาสตร มหาวทยาลยศรนครนทรวโรฒ

- ตองการใหศนยการแพทยฯ มการรายงานผลการด าเนนงานอยางตอเนอง

- ตองการใหศนยการแพทยฯ มการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพอยางมประสทธภาพ

3) หนวยงานก ากบดแล ตองการใหศนยการแพทยฯ ด าเนนงานตามกฎระเบยบ ขอบงคบทหนวยงานก าหนด

4) ผรบบรการทางการแพทย - ตองการใหศนยการแพทยฯ สามารถใหบรการทางการแพทยไดอยางตอเนอง และมนคงปลอดภย

- ตองการใหศนยการแพทยฯ มการด าเนนการเพอรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และขอมลสวนบคคล

53

ตารางท 4.6 ความตองการและความคาดหวงของผทเกยวของ (ตอ)

ผมสวนเกยวของ ความตองการ และความคาดหวงของผมสวนเกยวของ 5) ผใหบรการภายนอก ท

ใหบรการดานเทคโนโลยสารสนเทศ

- ตองการใหศนยการแพทยฯ มกระบวนการรกษาความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศดานสขภาพทด

- ตองการใหศนยการแพทยฯ ปฏบตตามเงอนไข และขอตกลงอยางเครงครด

6) จนท. เทคโนโลยสารสนเทศ หรอผดแลระบบ

- ตองการใหระบบเทคโนโลยสารสนเทศทใหบรการทางการแพทยมความมนคงปลอดภยทด

- ตองการใหศนยการแพทยฯ มการก าหนดนโยบาย และกระบวนการท างานอยางเปนระบบ รวมถงมกระบวนการแกไขปญหาอยางเหมาะสม

- ตองการใหมการพฒนาทกษะ ความร ความสามารถดานความมนคงปลอดภยสารสนเทศดานสขภาพ

7) ผใชงานเทคโนโลยสารสนเทศ เชน แพทย พยาบาล บคลากรของศนยการแพทยฯ เปนตน

- ตองการใหระบบเทคโนโลยสารสนเทศทใหบรการทางการแพทยมความมนคงปลอดภยทด

- ตองการใหมการสรางความตระหนกดานความมนคงปลอดภยสารสนเทศดานสขภาพ

4.3. ขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

การบรหารความมนคงปลอดภยสารสนเทศดานสขภาพส าหรบบรการ และโครงสรางพนฐานทสนบสนนระบบงานเทคโนโลยสารสนเทศ ดงน

1) ร ะบ บ EMR (Electronic Medical Record) ห ม า ย ถ ง ร ะบ บ เ ว ช ร ะ เ บ ย นอเลกทรอนกส

2) ระบบ LIS (Laboratory Information System) หมายถง ระบบงานหอง LAB ประกอบดวย การรบขอมลและประมวลผล Lab order การตรวจสอบและรายงานผล Lab

3) ระบบ PACS (Picture Archiving and Communication System) หมายถง ระบบภาพทางการแพทย ประกอบดวย การรบเขา แสดงผล และจดเกบภาพ x-ray

4) ระบบ Binary MRIS (Binary Medical Resources Imaging System) หมายถง ระบบเวชระเบยนผปวยใน

54

ซ งสามารถแสดงความสมพนธของระบบงานเทคโนโลยสารสนเทศไดดงรปท 4.2 ความสมพนธของกจกรรม/กระบวนการทเกยวของ

รปท 4.2 ความสมพนธของกจกรรม/กระบวนการทเกยวของ

4.4. นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ศนยการแพทยฯ ไดก าหนด และประกาศนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ไวดงน

ศนยการแพทยสมเดจพระเทพรตนราชสดา ฯ สยามบรมราชกมาร มความมงมนในการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพของผรบบรการทางการแพทย และผทเกยวของ ใหมประสทธภาพสงสด เปนระบบบรหารจดการทสามารถตรวจสอบได และสอดคลองตามมาตรฐานสากล ISO/IEC 27799 จงจดใหมการจดตงระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพขน และก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ดงน

1) จดตง และพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพใหสอดคลองตามมาตรฐานสากล ISO/IEC 27001 และมาตรฐานสากล ISO/IEC 27799

2) มงเนนใหการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพสอดคลองตามแผนยทธศาสตรของศนยการแพทยฯ

3) จดใหมการแตงตงคณะกรรมการเพอด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

55

4) บรณาการใหกระบวนการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพเขากบกระบวนการด าเนนงานของศนยการแพทยฯ

5) สงเสรมสนบสนนใหบคคลากร และผทเกยวของกบสารสนเทศดานสขภาพของ ศนยการแพทยฯ มความรทกษะความเขาใจและความตระหนก ในการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และน าไปปฏบตอยางมประสทธผล

6) สนบสนนใหบคคลากร และผทเกยวของกบสารสนเทศดานสขภาพของ ศนยการแพทยฯ ปฏบตตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ (Health Informatic Security Policy) อยางเครงครด

7) สงเสรมใหมการพฒนา และปรบปรงการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพอยางตอเนอง

ทงนเพอใหการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพของ ศนยการแพทยฯ บรรลตามวตถประสงคทก าหนดไว ใหบคคลากร และผทเกยวของกบสารสนเทศดานสขภาพของ ศนยการแพทยฯ ถอปฏบตตามนโยบายฉบบนอยางเครงครด

4.5. โครงสราง บทบาท หนาท ความรบผดชอบ

ศนยการแพทยฯ ไดก าหนดโครงสราง บทบาท หนาท ความรบผดชอบในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ไวดงรปท 4.3 โครงสราง บทบาท หนาท ความรบผดชอบในการด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

56

รปท 4.3 โครงสราง บทบาท หนาท ความรบผดชอบในการด าเนนการระบบบรหารความมนคง

ปลอดภยสารสนเทศดานสขภาพ

4.5.1. คณะกรรมการบรหารจดการระบบเทคโนโลยสารสนเทศ หนาทรบผดชอบ ดานความมนคงปลอดภยสารสนเทศ

1) ก ากบดแลการบรหารความมนคงปลอดภยสารสนเทศ 2) ก าหนดนโยบายความมนคงปลอดภยสารสนเทศ 3) ก าหนดวตถประสงคความมนคงปลอดภยสารสนเทศ 4) ก าหนดโครงสรางและหนาทรบผดชอบดานความมนคงปลอดภยสารสนเทศ 5) ผลกดนใหการด าเนนงานบรรลวตถประสงคดานความมนคงปลอดภย

สารสนเทศ การปฏบตตามนโยบายและกฎหมาย รวมถงความจ าเปนในการปรบปรงและพฒนาดานความมนคงปลอดภยสารสนเทศอยางตอเนอง

6) น าเสนอผมอ านาจเพอพจารณาสนบสนนทรพยากรส าหรบการจดตงระบบ การใชงานและบรหารจดการระบบ การตรวจสอบและทบทวนระบบ และ การบ ารงรกษาและการปรบปรงระบบบรหารความมนคงปลอดภยสารสนเทศ

7) ก าหนดเกณฑการยอมรบความเสยงและระดบความเสยงทยอมรบได

57

8) พจารณาก าหนดผท าหนาทผตรวจสอบภายในระบบบรหารความมนคงปลอดภยสารสนเทศ

9) ทบทวนการด าเนนงานของระบบบรหารความมนคงปลอดภยสารสนเทศ 10) พจารณาอนมตนโยบายและมาตรการควบคมดานความมนคงปลอดภย

สารสนเทศ 11) พจารณาอนมตการขอยกเวนมาตรการควบคม

4.5.2. ผจดการดานความมนคงปลอดภยสารสนเทศ (Information Security Manager: IS Manager)

หนาทรบผดชอบ 1) สรางความตระหนกดานความมงคงปลอดภยสารสนเทศ และผลกดนให

บคลากรมสวนรวม 2) สอสาร และน าเสนอประเดนส าคญดานความมงคงปลอดภยสารสนเทศ

ใหกบคณะผบรหาร 3) ประสานงานใหบคลากรทเกยวของรบทราบถงหนาท และความรบผดชอบ

ดานความมนคงปลอดภยสารสนเทศ 4) ดแล และใหค าปรกษาในการประเมนและควบคมความเสยงดานความมนคง

ปลอดภยสารสนเทศ 5) รายงานประสทธภาพของระบบบรหารความมนคงปลอดภยสารสนเทศ และ

ขอเสนอแนะในการปรบปรงแกคณะกรรมการบรหารความมนคงปลอดภยสารสนเทศ

6) ทบทวนนโยบาย มาตรการ และรองขอตางๆ กอนเสนอใหคณะกรรมการบรหารความมนคงปลอดภยสารสนเทศพจารณา

7) รบรายงานเหตการณ ชองโหว ขอบกพรองดานความมนคงปลอดภยสารสนเทศ

8) สอสารนโยบาย ระเบยบปฏบต และมาตรการตางๆ สระดบปฏบต 9) ด าเนนการแทนคณะกรรมการบรหารระบบเทคโนโลยสารสนเทศ ในกรณ

เรงดวน 4.5.3. ผควบคมเอกสาร (Document Controller: DC)

หนาทรบผดชอบ 1) ควบคมดแลกระบวนการในการขนทะเบยน การปรบปรง และการยกเลก

เอกสารควบคม

58

2) จดเกบรายละเอยดการรองขอ การอนมต และการด าเนนการตางๆ กบเอกสารควบคม

3) ก าหนดรหสเอกสาร เวอรชนของเอกสาร และวนทของเอกสารควบคม 4) แจกจายเอกสารควบคมฉบบปจจบนใหแกผทมสทธ และเรยกคนเอกสารท

ยกเลกการใชงาน 5) จดเกบตนฉบบของเอกสารควบคมทกเวอรชน 6) ควบคมดแลการขอท าส าเนาเอกสารควบคม 7) จดท ารายการของเอกสารควบคมทงหมดและปรบปรงรายละเอยดใหเปน

ปจจบน 4.5.4. พนกงานในระดบหวหนางาน (Team Leader)

หนาทรบผดชอบ 1) สอสารใหผใตบงคบบญชาเหนความส าคญของระบบบรหารความมนคง

ปลอดภยสารสนเทศ รวมถงหนาทและความรบผดชอบทเกยวของ 2) ดแลและทบทวนการปฏบตงานและมาตรการดานความมนคงปลอดภย

สารสนเทศทอยภายใตความรบผดชอบ 3) ควบคมดแลการใชงานและการเขาถงทรพยสนทอยภายใตความรบผดชอบ 4) ก าหนดชนความลบของขอมลในสวนทอยภายใตความรบผดชอบ 5) มสวนรวมในการการประเมนความเสยงและก าหนดมาตรการควบคมความ

เสยงทเกยวของกบทรพยสนภายใตความรบผดชอบ 6) ดแลและประสานงานใหการตรวจสอบภายในสวนงานทอยภายใตความ

รบผดชอบด าเนนการไดตามแผนงาน 7) ควบคมและประสานงานในการด าเนนการแกไขขอบกพรองทอยภายใต

ความรบผดชอบใหเปนไปอยางมประสทธภาพ 4.5.5. พนกงาน ผใชงานระบบ รวมถงผเกยวของทงภายในและภายนอก

หนาทรบผดชอบ 1) ปฏบตตามนโนบาย ขนตอนการปฏบตงาน และมาตรการควบคมตางๆ

ตามทก าหนดขนในระบบบรหารความมนคงปลอดภยสารสนเทศ 2) ปกปองดแลทรพยสนสารสนเทศขององคกรในระดบทเหมาะสมกบ

ความส าคญของทรพยสนนน 3) รายงานจดออนและเหตละเมดทเกยวของกบความมนคงปลอดภย

สารสนเทศตามขนตอนทก าหนดไว

59

4.6. ผลการอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799 เพอสรางความร ความเขาใจในขอก าหนดของมาตรฐาน และสรางความตระหนกในการ

รกษาความมนคงปลอดภยสารสนเทศตามมาตรฐานใหแกผปฏบตงานเทคโนโลยสารสนเทศ และบคคลากรของศนยการแพทยฯ จงไดมการจดอบรมหลกสตร “การท างานอยางไร...ใหมความมนคงปลอดภยส าหรบสารสนเทศดานสขภาพ ตามมาตรฐานสากล ISO/IEC 27799:2016” ในวนท 26 กนยายน 2560 เวลา 09:00 – 12:00 น. ณ หองประชม 5B ชน 5 อาคารศนยการแพทยฯ โดยมผเขาอบรมจากหนวยงานภายในของศนยการแพทยฯ จ านวน 88 คน

ทงน หลงการอบรมไดจดใหมการท าแบบทดสอบเพอวดประสทธผลของการด าเนนการอบรมจ านวน 15 ขอ ก าหนดใหตองสอบผานอยางนอย 8 ขอ ซงสามารถสรปผลไดดงน

ตารางท 4.7 จ านวนผท าแบบทดสอบหลงการอบรม จ านวน (คน) รอยละ (%)

ผสอบทงหมด 72 รอยละ 69.90 ของจ านวนผเขาอบรมทงหมด

ผสอบผาน 68 รอยละ 94.44 ของจ านวนผสอบทงหมด ผสอบไมผาน 4 รอยละ 9.56 ของจ านวนผสอบทงหมด

รปท 4.4 แผนภมเปรยบเทยบจ านวนผสอบผาน และไมผาน

60

จากจ านวนผท าแบบทดสอบ สามารถน ามาสรปคะแนนไดดงน คะแนนเตม 15 คะแนน คะแนนสงสด 14 คะแนน คะแนนต าสด 5 คะแนน คะแนนเฉลย 10.93 คะแนน

4.7. ผลการประเมนความเสยง

การประเมนความเสยงดานความมนคงปลอดภยสารสนเทศอางองตามผลการศกษาบรบทขององคกร และทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ จงไดจดกลมรายการทรพยสนดงกลาวออกเปน 12 กลม ดงตารางท 4.8 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ตารางท 4.8 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ล าดบ

ท กลมทรพยสน ค าอธบาย

1 EMR System เครองคอมพวเตอรแมขายส าหรบใหบรการและจดเกบฐานขอมลระบบ EMR รวมถงซอฟตแวรและขอมลสารสนเทศส าหรบระบบบ EMR

2 LIS System เครองคอมพวเตอรแมขายส าหรบใหบรการและจดเกบฐานขอมลระบบ LISรวมถงซอฟตแวรและขอมลสารสนเทศส าหรบระบบบ LIS

3 PACS System เครองคอมพวเตอรแมขายส าหรบใหบรการและจดเกบฐานขอมลระบบ PACSรวมถงซอฟตแวรและขอมลสารสนเทศส าหรบระบบบ PACS

4 Binary MRIS System เครองคอมพวเตอรแมขายส าหรบใหบรการและจดเกบฐานขอมลระบบ Binary MRIS รวมถงซอฟตแวรและขอมลสารสนเทศส าหรบระบบบ Binary MRIS

5 Anti-virus Server เครองคอมพวเตอรแมขายส าหรบใหบรการระบบ Anti-virus รวมถงซอฟตแวรส าหรบระบบบ Anti-virus

61

ตารางท 4.9 กลมทรพยสนทอยในขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ)

ล าดบท

กลมทรพยสน ค าอธบาย

6 Client เครองคอมพวเตอรและอปกรณสนบสนนการท างานเครองคอมพวเตอรส าหรบใชงานระบบ EMR, LIS, PACS และ Binary MRIS

7 Internal Network อปกรณเครอขาย และสายสญญาณทเชอมตอภายในองคกรเพอสนบสนนการใหบรการระบบ EMR, LIS, PACS และ Binary MRIS

8 Link/Carier อปกรณเครอขาย และสายสญญาณทเชอมตอจากผใหบรการอนเตอรเนตเขาสองคกร

9 Core Switch อปกรณเครอขายหลกทท าหนาทเชอมตอเครอขายเพอสนบสนนการใหบรการระบบ EMR, LIS, PACS และ Binary MRIS

10 Firewall อปกรณเครอขายทท าหนาทตรวจจบและปองกนการบกรกทางเครอขาย

11 Staff/Employee บคลากร หรอพนกงานทปฏบตงานสนบสนนการใหบรการระบบ EMR, LIS, PACS และ Binary MRIS

12 External Service บรการทไดรบจากผใหบรการภายนอกทสนบสนนการใหบรการระบบ EMR, LIS, PACS และ Binary MRIS

จากการศกษาบรบทขององคกร และแบงกลมทรพยสนแลวน ามาประเมนความเสยงดาน

ความมนคงปลอดภยสารสนเทศ โดยแบงออกเปนการประเมนความเสยงอางองตามผลการศกษา

บรบทขององคกร ดงตารางท 4.10 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ

(บรบท) และการประเมนความเสยงอางองตามลมทรพยสน ดงตารางท 4.12 ผลการประเมนความ

เสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน)

62

ตารางท 4.10 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท)

ภยคกคาม ชองโหว บรบท

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

การด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพไมพฒนาอยางตอเนอง

มการปรบเปลยนคณะผบรหารตามวาระการท างานทกๆ 4 ป

การก ากบดแล, โครงสรางองคกร, บทบาทและความรบผดชอบ

1 1 2 3 1 3 1 3 3

การด าเนนการระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ไมเกดประสทธภาพและประสทธผล

บคลากรขาดความร ความเขาใจ และความตระหนก

ทรพยากร และ ความร ความสามารถ

1 1 2 3 1 3 2 3 6

การละเมดกฎหมาย ระเบยบขอบงคบ และมาตรฐานทน ามาประยกตใช

ขาดการบรณาการกระบวนการท างานเขาเปนระบบบรหารเดยวกน

มาตรฐาน, แนวทางทองคกรน ามาใช และสญญาทตองปฏบตตาม

1 1 2 5 1 4 1 5 5

ผลกระทบจากการเปลยนแปลงทางการเมอง

ศนยการแพทยฯ เปนหนวยงานของรฐ

การเมอง 1 1 2 5 1 4 1 5 5

63

ตารางท 4.11 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท) (ตอ)

ภยคกคาม ชองโหว บรบท

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

เกดเหตการณชมนมประทวง ความไมแนนอนทางการเมอง การเมอง 5 4 5 1 3 3 1 5 5

ขาดงบประมาณส าหรบเตรยมการสรางความมนคงปลอดภยสารสนเทศ

เศรษฐกจตกต า เศรษฐกจ 1 2 3 3 1 3 2 3 6

เกดภยคกคามในรปแบบใหม การเปลยนแปลงของเทคโนโลย เทคโนโลย 2 2 4 3 1 3 1 4 4

การละเมดกฎหมาย ระเบยบขอบงคบ และมาตรฐาน

ตองปฏบตตามกฎหมาย ระเบยบขอบงคบ เปนจ านวนมาก

กฎหมาย กฎระเบยบ 1 1 2 5 1 4 1 5 5

บรการของศนยการแพทยฯ ไดรบความเสยหาย

ภยธรรมชาต เชน พาย น าทวม ฟาผา ไฟไหม เปนตน

สภาพแวดลอมทางธรรมชาต

4 4 5 3 4 3 1 5 5

64

ตารางท 4.12 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ไมสามารถตดตอกบหนวยงานทมอ านาจไดยามฉกเฉน

ขาดการระบบรายชอและชองทางการตดตอกบหนวยงานทมอ านาจ (6.1.3 Contact with authorities)

ระบบสารสนเทศทงหมด1 1 1 2 2 1 2 3 2 6

ทรพยสนสารสนเทศสญหาย ขาดการจดท ารายการทะเบยนทรพยสนสารสนเทศ (8.1.1 Inventory of assets)

ระบบสารสนเทศทงหมด1

5 4 5 3 1 3 1 5 5

ทรพยสนสารสนเทศสญหาย ขาดการก าหนดวธการคนทรพยสนสารสนเทศ (8.1.4 Return of assets)

ระบบสารสนเทศทงหมด1

5 4 5 3 1 3 2 5 10

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดผดแลทรพยสนสารสนเทศ (8.1.2 Ownership of assets)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

3]

65

ตารางท 4.13 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดนโยบายควบคมการเขาถงระบบสารสนเทศ (9.1.1 Access control policy)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

1]

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการจดการสทธการเขาถงอยางเหมาะสม (9.2.2 User access provisioning)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

7] ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการจดการสทธการเขาถงระดบสง (9.2.3 Management of privileged access rights)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

7]

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการทบทวนผใชงาน และสทธทไดรบ (9.2.5 Review of user access rights)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

8]

66

ตารางท 4.14 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการปรบปรงระดบสทธการเขาถงของผใชงาน (9.2.6 Removal or adjustment of access rights)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

7]

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการจ ากดการเขาถงสารสนเทศอยางเหมาะสม (9.4.1 Information access restriction)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 2 5 10

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมขนตอนการ Log-on ทปลอดภย (9.4.2 Secure log-on procedures)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

9] ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

การใชงานอปกรณนอกพนทอยางไมปลอดภย (11.2.6 Security of equipment and assets off-premises)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 1 5 5

67

ตารางท 4.15 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการปองกนการเขาถงอปกรณทางกายภาพ (11.2.8 Unattended user equipment)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการแยกสภาพแวอลอมส าหรบการพฒนาระบบ (12.1.4 Separation of development, testing and operational environments)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการจดการชองโหวทางเทคนค (12.6.1 Management of technical vulnerabilities)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 4 5 20 [RTP.17, 20]

68

ตารางท 4.16 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการปองกนสารสนเทศจากระบบเครอขาย (13.1.1 Network controls)

- Internal Network - Link/Carier - Core Switch - Firewall

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการแบงแยกเครอขายอยางเหมาะสม (13.1.3 Segregation in networks)

- Internal Network - Link/Carier - Core Switch - Firewall

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

การพฒนาระบบในสภาพแวดลอมทไมปลอดภย (14.2.6 Secure development environment)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 1 5 5

69

ตารางท 4.17 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนด และทบทวนนโยบายความมนคงปลอดภยสารสนเทศ (5.1.1 Policies for information security)

Staff/Employee 5 4 3 5 1 3 3 5 15 [RTP.

1]

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการแบงแยกหนาทความรบผดชอบอยางเหมาะสม (6.1.2 Segregation of duties)

Staff/Employee 5 4 3 5 1 3 3 5 15 [RTP.

1]

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการสรางความร และความตระหนกใหกบบคลากร (7.2.2 Information security awareness, education and training)

Staff/Employee 5 4 3 5 1 3 3 5 15 [RTP.

2]

70

ตารางท 4.18 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดกฎระเบยบการใชงานทรพยสนสารสนเทศอยางเหมาะสม (8.1.3 Acceptable use of assets)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

1]

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดกระบวนการเมอมพนกงานลาออก หรอยายต าแหนง (7.3.1 Termination or change of employment responsibilities)

Staff/Employee 5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ผใชงานใชงานขอมลการยนยนตวตนอยางไมเหมาะสม (9.3.1 Use of secret authentication information)

Staff/Employee 5 4 3 5 1 3 3 5 15 [RTP.

9]

71

ตารางท 4.19 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบเครอขายถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการควบคมการเขาถงระบบเครอขายอยางเหมาะสม (9.1.2 Access to networks and network services)

- Internal Network - Link/Carier - Core Switch - Firewall

5 4 3 5 1 3 1 5 5

ทรพยสนสารสนเทศไมไดรบการบ ารงรกษาอยางเหมาะสม

ขาดการก าหนดผดแลทรพยสนสารสนเทศ (8.1.2 Ownership of assets)

ระบบสารสนเทศทงหมด1

1 2 2 2 1 2 4 2 8 [RTP.

3]

ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดแบงระดบชนความลบของทรพยสนสารสนเทศ (8.2.1 Classification of information)

ระบบสารสนเทศทงหมด1

5 5 2 5 1 5 4 5 20 [RTP.

4] ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดท าปายบงชทรพยสน

สารสนเทศ (8.2.2 Labelling of information)

ระบบสารสนเทศทงหมด1

5 5 2 5 1 5 4 5 20 [RTP.

4]

72

ตารางท 4.20 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลภายในระบบสารสนเทศรวไหล ไมมการจดการทรพยสนสารสนเทศตามระดบชนความลบ (8.2.3 Handling of assets)

ระบบสารสนเทศทงหมด1

5 5 2 5 1 5 4 5 20 [RTP.

4]

ขอมลภายในระบบสารสนเทศรวไหล ไมมการท าลายสอบนทกขอมล (8.3.2 Disposal of media)

ระบบสารสนเทศทงหมด1

5 5 2 5 1 5 4 5 20 [RTP.

6] ขอมลภายในระบบสารสนเทศศรวไหล

ไมมการท าลายอปกรณอยางเหมาะสม (11.2.7 Secure disposal or re-use of equipment)

ระบบสารสนเทศทงหมด1

5 5 2 5 1 5 3 5 15 [RTP.

6]

ขอมลภายในระบบสารสนเทศรวไหล ไมมการปองกนโปรแกรมไมประสงคด (12.2.1 Controls against malware)

ระบบสารสนเทศทงหมด1

5 5 2 5 1 5 4 5 20 [RTP.14]

73

ตารางท 4.21 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลภายในระบบสารสนเทศรวไหล ไมมการปองกนโปรแกรมไม

ประสงคด (12.2.1 Controls against malware)

ระบบสารสนเทศทงหมด1

5 5 2 5 1 5 4 5 20 [RTP.14]

ขอมลภายในระบบสารสนเทศศรวไหล

ไมมการท าขอตกลงการรกษาความลบ (NDA) (13.2.4 Confidentiality or non-disclosure agreements)

ระบบสารสนเทศทงหมด1

5 5 2 5 1 5 1 5 5

ขอมลการพสจนตวตนของผใชงานรวไหล

ขาดการจดการขอมลการพสจนตวตน (9.2.4 Management of secret authentication information of users)

ระบบสารสนเทศทงหมด1

1 1 1 3 1 2 3 3 9 [RTP.

7]

74

ตารางท 4.22 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม

ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลการพสจนตวตนของผใชงานรวไหล

ไมมการจดการรหสผานอยางปลอดภย (9.4.3 Password management system)

ระบบสารสนเทศทงหมด1

1 1 1 3 1 2 3 3 9 [RTP.

9] ขอมลภายในระบบสารสนเทศสญหาย ไมมการส ารอง และทดสอบการกคน

ขอมลส าคญ (12.3.1 Information backup)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 4 5 20 [RTP.15, 22]

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดนโยบายการถายโอนสารสนเทศ (13.2.1 Information transfer policies and procedures)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 3 5 15 [RTP.

1]

75

ตารางท 4.23 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดนโยบายการเขารหสลบขอมล (10.1.1 Policy on the use of cryptographic controls)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 3 5 15 [RTP.

1]

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการจดการกญแจเขารหสลบขอมลอยางปลอดภย (10.1.2 Key management)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 3 5 15 [RTP.10]

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนสารสนเทศทสงผานในเครอขายสาธารณะ (14.1.2 Securing application services on public networks)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 1 5 5

76

ตารางท 4.24 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกน Transaction ของระบบสารสนเทศ (14.1.3 Protecting application services transactions)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 1 5 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดวธการจดการสอบนทกขอมลทเคลอนยายได (8.3.1 Management of removable media)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 4 5 20 [RTP.

5]

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนสอบนทกขอมลระหวางการเคลอนยาย (8.3.3 Physical media transfer)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 1 5 5

ขอมลทน ามาทดสอบระบบสารสนเทศศรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ไมมการปองกนขอมลทน ามาทดสอบระบบ (14.3.1 Protection of test data)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 1 5 5

77

ตารางท 4.25 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลสวนบคคลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนขอมลสวนบคคล (18.1.4 Privacy and protection of personally identifiable information)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 3 5 15 [RTP.

1]

ขอมลบนทกการปฏบตงานรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนขอมลบนทก (18.1.3 Protection of records)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 3 5 15 [RTP.

1]

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

ไมมการจดการสทธการเขาถงอยางเหมาะสม (9.2.2 User access provisioning)

ระบบสารสนเทศทงหมด1

4 1 2 3 1 3 3 4 12 [RTP.

7]

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

ขาดการก าหนดนโยบายควบคมการเขาถงระบบสารสนเทศ (9.1.1 Access control policy)

ระบบสารสนเทศทงหมด1

4 1 2 3 1 3 4 4 16 [RTP.

1]

78

ตารางท 4.26 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

ขาดการปรบปรงระดบสทธการเขาถงของผใชงาน (9.2.6 Removal or adjustment of access rights)

ระบบสารสนเทศทงหมด1

4 1 2 3 1 3 3 4 12 [RTP.

8]

ผใชงานไมไดรบบญชผใชงานทถกตองเหมาะสม

ไมมชองทางการลงทะเบยน และถอดถอนผใชงาน (9.2.1 User registration and de-registration)

ระบบสารสนเทศทงหมด1

4 1 2 3 1 3 1 4 4

การเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยใชบญชผใชงานของบคลากรอนแทน

ขาดการจดการขอมลการพสจนตวตน (9.2.4 Management of secret authentication information of users)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

7]

การเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยใชบญชผใชงานของบคลากรอนแทน

ไมมการจดการรหสผานอยางปลอดภย (9.4.3 Password management system)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 3 5 15 [RTP.

9]

79

ตารางท 4.27 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกภยคกคามจากมลแวร

มการใชงานโปรแกรมอรรถประโยชนทไมปลอดภย (9.4.4 Use of privileged utility programs)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus Server - Client

4 2 2 3 1 2 1 4 4

ซอสโคดของโปรแกรมรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ไมมการปองกนการเขาถงซอสโคดของโปรแกรม (9.4.5 Access control to program source code)

- EMR System - LIS System - PACS System

2 1 2 2 1 2 2 2 4

พนทรกษามนคงปลอดภยถกเขาถงโดยไมไดรบอนญาต อปกรณและขอมลทใชในการด าเนนงาน เสยหาย

ไมมการควบคมประต หรอชองทางการเขาถงทางกายภาพ (11.1.2 Physical entry controls)

ระบบสารสนเทศทงหมด1

5 5 5 3 1 3 3 5 15 [RTP.11]

80

ตารางท 4.28 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

พนทรกษามนคงปลอดภยถกเขาถงโดยไมไดรบอนญาต อปกรณและขอมลทใชในการด าเนนงาน เสยหาย

ขาดการก าหนดพนทบรเวณโดยรอบทางกายภาพ (11.1.1 Physical security perimeter)

ระบบสารสนเทศทงหมด1

5 5 5 3 1 3 1 5 5

ระบบสารสนเทศเสยหายหายจากภยคกคามทางธรรมชาต เชน ไฟใหม น าทวม แผนดนไหว เปนตน

ขาดการปองกยภยคกคามทางธรรมชาต (11.1.4 Protecting against external and environmental threats)

ระบบสารสนเทศทงหมด1

5 5 5 2 1 3 1 5 5

บคคลภายนอกทมาสงของเขาถงพนทรกษามนคงปลอดภย

ไมมการก าหนดพนทส าหรบสงสงของ (11.1.6 Delivery and loading areas)

ระบบสารสนเทศทงหมด1

5 5 5 3 1 3 1 5 5

ระบบสารสนเทศช ารด เสยหาย มการจดวางอปกรณอยางไมปลอดภย (11.2.1 Equipment siting and protection)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 1 4 4

81

ตารางท 4.29 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศช ารด เสยหาย อปกรณสนบสนนไมเพยงพอ (11.2.2 Supporting utilities)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย ขาดการบ ารงรกษาอปกรณอยางเหมาะสม (11.2.4 Equipment maintenance)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอสญหาย

บคลากรน าทรพยสนสารสนเทศไปใชงานขางนอกโดยไมไดรบอนญาต (11.2.5 Removal of assets)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการจดการการเปลยนแปลง (12.1.2 Change management)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 4 4 16 [RTP.12]

82

ตารางท 4.30 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการจดการสมรรถนะของระบบเทคโนโลยสารสนเทศ (12.1.3 Capacity management)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 4 4 16 [RTP.13]

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ไมมการแยกสภาพแวดลอมส าหรบการพฒนาระบบ (12.1.4 Separation of development, testing and operational environments)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 1 4 8

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ไมมการปองกนโปรแกรมไมประสงคด (12.2.1 Controls against malware)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 4 4 16 [RTP.14]

83

ตารางท 4.31 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ผใชงานตดตงซอฟทแวรเองโดยไมไดรบอนญาต (12.6.2 Restrictions on software installation)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus - Client

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการทบทวนทางเทคนคเมอมการเปลยนแปลง Platform (14.2.3 Technical review of applications after operating platform changes)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 1 4 4

84

ตารางท 4.32 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

มการแกไขเปลยนแปลงซอฟทแวรส าเรจรป (14.2.4 Restrictions on changes to software packages)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการก าหนดหลกการพฒนาระบบอยางปลอดภย (14.2.5 Secure system engineering principles)

ระบบสารสนเทศทงหมด1

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

พนกงานปฏบตงานในพนทอยางไมปลอดภย (11.1.5 Working in secure areas)

Staff/Employee 4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ไมมการจดท าคมอการปฏบตงาน (12.1.1 Documented operating Procedures)

Staff/Employee 4 4 4 2 1 2 1 4 4

85

ตารางท 4.33 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศประมวลผลผดพลาด ไมมการตงเวลาใหตรง (12.4.4 Clock synchronisation)

ระบบสารสนเทศทงหมด1

4 2 2 3 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด มการใชงานโปรแกรมอรรถประโยชนทไมปลอดภย (9.4.4 Use of privileged utility programs)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus - Client

4 2 2 3 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด ผใชงานตดตงซอฟทแวรเองโดยไมไดรบอนญาต (12.6.2 Restrictions on software installation)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus Server - Client

4 2 2 3 1 2 1 4 4

86

ตารางท 4.34 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศประมวลผลผดพลาด ขาดการทบทวนทางเทคนค (18.2.3 Technical compliance review)

ระบบสารสนเทศทงหมด1

4 2 2 3 1 2 3 4 12 [RTP.17]

ระบบสารสนเทศประมวลผลผดพลาด ไมมการจดการชองโหวทางเทคนค (12.6.1 Management of technical vulnerabilities)

ระบบสารสนเทศทงหมด1

4 2 2 3 1 2 4 4 16 [RTP.17, 20]

เกดสญญาณรบกวน ท าใหขอมลไมถกตอง หรอสญหาย

การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

ระบบสารสนเทศทงหมด1

3 2 2 2 1 2 2 3 6

ถกดกขโมยขอมลทสงผานสายสญญาณ การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

ระบบสารสนเทศทงหมด1

5 4 3 5 1 3 1 5 5

87

ตารางท 4.35 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

สายไฟฟา และสายสญญาณขาด หรอช ารด

การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

ระบบสารสนเทศทงหมด1

2 1 3 2 1 2 1 3 3

ไมสามารถตรวจสอบกจกรรมการใชงานระบบสารสนเทศ

ไมมการจดเกบ ปองกนขอมลลอกของผใชงาน และผดแลระบบ (12.4.1 Event logging)

ระบบสารสนเทศทงหมด1

1 1 1 5 1 3 3 5 15 [RTP.16, 21]

ขอมลส าคญบนโตะท างาน หรอหนาจอคอมพวเตอรสญหาย หรอรวไหล

ไมมการจดระเบยบขอมลส าคญบนโตะท างาน หรอหนาจอคอมพวเตอร (11.2.9 Clear desk and clear screen policy)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus Server - Client

2 1 2 5 1 3 1 5 5

88

ตารางท 4.36 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลลอกถกเขาถงโดยไมไดรบอนญาต

ไมมการจดเกบ ปองกนขอมลลอกของผใชงาน และผดแลระบบ (12.4.1 Event logging)

ระบบสารสนเทศทงหมด1

1 1 1 5 1 3 3 5 15 [RTP.16, 21]

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการทดสอบระบบดานความมนคงปลอดภย (14.2.8 System security testing)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 1 5 5

การใหบรการเครอขายไมสอดคลองตามความตองการของผใชงาน

ขาดการระบขอตกลงการใหบรการเครอขาย (13.1.2 Security of network services)

- Internal Network - Link/Carier - Core Switch - Firewall

2 1 2 2 1 2 3 2 6

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการวเคราะหความตองการดานความมนคงปลอดภยสารสนเทศ (14.1.1 Information security)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 1 5 5

89

ตารางท 4.37 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการก าหนดนโยบายการพฒนาระบบอยางมนคงปลอดภย (14.2.1 Secure development policy)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 3 5 15 [RTP.

1]

ระบบสารสนเทศทพฒนาขนไมสอดคลองตามความตองการ

การไมตดตามการท างานของ Outsousce ทเขามาพฒนาระบบ (14.2.7 Outsourced development)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 3 5 15 [RTP.18]

ระบบสารสนเทศทพฒนาขนไมสอดคลองตามความตองการ

ขาดการทดสอบ UAT (14.2.9 System acceptance testing)

ระบบสารสนเทศทงหมด1

5 4 2 5 1 4 1 5 5

การแกปญหาลาชา เหตการณลกลามบานปลาย

ขาดการก าหนดผรบผดชอบ และขนตอนการรบมอ Incident (16.1.1 Responsibilities and procedures)

ระบบสารสนเทศทงหมด1

5 5 5 5 1 5 4 5 20 [RTP.19]

90

ตารางท 4.38 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

การแกปญหาลาชา เหตการณลกลามบานปลาย

ไมมการรายงานเหต information security events (16.1.2 Reporting information security events)

ระบบสารสนเทศทงหมด1

5 5 5 5 1 5 4 5 20 [RTP.19]

การแกปญหาลาชา เหตการณลกลามบานปลาย

ขาดการประเมนและตดสนใจเพอแยกระดบของเหตการณ (16.1.4 Assessment of and decision on information security events)

ระบบสารสนเทศทงหมด1

5 5 5 5 1 5 4 5 20 [RTP.19]

การแกปญหาลาชา เหตการณลกลามบานปลาย

ไมมการตอบสนองตอเหต information security incident (16.1.5 Response to information security incidents)

ระบบสารสนเทศทงหมด1

5 5 5 5 1 5 4 5 20 [RTP.19]

91

ตารางท 4.39 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P)

(F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

เกดเหต Incident เนองจากจดออนไมไดรบการปองกน

ไมมการรายงานเหต information security weaknesses (16.1.3 Reporting information security weaknesses)

ระบบสารสนเทศทงหมด1

5 5 5 5 1 5 4 5 20 [RTP.19]

เกดปญหาเดมซ าๆ และไมสามารถแกปญหาไดอยางรวดเรว

ไมมการเรยนรจากเหต information security incident (16.1.6 Learning from information security incidents)

ระบบสารสนเทศทงหมด1

4 4 4 5 1 4 4 5 20 [RTP.19]

ขาดหลกฐานอางองจากเหต information security incident

ไมมการรวบรวมหลกฐานจากเหต information security incident (16.1.7 Collection of evidence)

ระบบสารสนเทศทงหมด1

1 1 1 5 1 3 4 5 20 [RTP.19]

92

ตารางท 4.40 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการวางแผนความตองการดานการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.1 Planning information security continuity)

ระบบสารสนเทศทงหมด1

5 4 5 4 1 5 1 5 5

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการจดท าขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.2 Implementing information security continuity)

ระบบสารสนเทศทงหมด1

5 4 5 4 1 5 1 5 5

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการตรวจสอบ และทบทวนขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.3 Verify, review and evaluate information security continuity)

ระบบสารสนเทศทงหมด1

5 4 5 4 1 5 1 5 5

93

ตารางท 4.41 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ด าเนนการกคนระบบสารสนเทศผดวธ ท าใหระบบสารสนเทศไดรบความเสยหาย

ขาดการจดท าขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.2 Implementing information security continuity)

ระบบสารสนเทศทงหมด1

5 5 5 5 1 5 1 5 5

ด าเนนการกคนระบบสารสนเทศผดวธ ท าใหระบบสารสนเทศไดรบความเสยหาย

ขาดการตรวจสอบ และทบทวนขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.3 Verify, review and evaluate information security continuity)

ระบบสารสนเทศทงหมด1

5 5 5 5 1 5 1 5 5

ระบบสารสนเทศไมสามารถใหบรการดอยางตอเนอง

ขาดการออกแบบระบบใหมสภาพความพรอมใชงาน (17.2.1 Availability of information processing facilities)

ระบบสารสนเทศทงหมด1

5 1 3 3 1 3 4 5 20 [RTP.23]

94

ตารางท 4.42 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

การปฏบตงานไมสอดคลองตามกฏหมาย ขอบงคบ ระเบยบทเกยวของ

มการละเมดกฏหมายทรพยสนทางปญญาและการใชผลตภณฑซอฟตแวรทเปนกรรมสทธ (18.1.2 Intellectual property Rights)

ระบบสารสนเทศทงหมด1

1 2 1 5 1 5 1 5 5

ผลการทบทวนดานความมนคงปลอดภยสารสนเทศไมถกตอง หรอไมตรงตามความเปนจรง

ขาดความเปนอสระในการทบทวนดานความมนคงปลอดภยสารสนเทศ (18.2.1 Independent review of information security)

ระบบสารสนเทศทงหมด1

1 1 2 2 1 2 2 2 4

พนกงานใชงานอปกรณเคลอนททเชอมตอกบระบบขององคกรอยางไมปลอดภย

ขาดการก าหนดนโยบายการใชงานอปกรณเคลอนท (6.2.1 Mobile device policy)

Staff/Employee 2 1 2 3 1 2 4 3 12 [RTP.

1]

95

ตารางท 4.43 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

พนกงานปฏบตงานในลกษณะท างานจากระยะไกลอยางไมปลอดภย

ขาดการก าหนดนโยบายการท างานจากระยะไกล (6.2.2 Teleworking)

Staff/Employee 2 1 2 3 1 2 3 3 9 [RTP.

1]

พนกงานใหมขาดประสบการณทเหมาะสมกบงาน

ขาดการตรวจสอบประวต หรอภมหลงของผสมครเขาท างาน (7.1.1 Screening)

Staff/Employee 2 1 3 3 1 3 2 3 6

พนกงานไมปฏบตตามเงอนไขการจางงาน

ขาดการจดท าสญญาการจางงานอยางเหมาะสม (7.1.2 Terms and conditions of employment)

Staff/Employee 2 1 3 3 1 3 2 3 6

พนกงานไมปฏบตตามบทบาท หนาท ความรบผดชอบ

ขาดการก าหนดบทบาท หนาท ความรบผดชอบใหพนกงาน (7.2.1 Management responsibilities)

Staff/Employee 2 1 3 3 1 3 2 3 6

96

ตารางท 4.44 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

พนกงานไมปฏบตตามบทบาท หนาท ความรบผดชอบ

ขาดการทบทวนความสอดคลองในการปฏบตงานของผใตบงคบบญชา (18.2.2 Compliance with security policies and standards)

Staff/Employee 2 1 3 3 1 3 1 3 3

พนกงานละเมดกฎหมาย หรอนโยบายขององคกร

ขาดการก าหนดบทลงโทษส าหรบผกระท าความผด (7.2.3 Disciplinary process)

Staff/Employee 2 2 3 5 1 5 1 5 5

พนกงานละเมดกฎหมาย หรอนโยบายขององคกร

ขาดการทบทวนความสอดคลองในการปฏบตงานของผใตบงคบบญชา (18.2.2 Compliance with security policies and standards)

Staff/Employee 2 2 3 5 1 5 1 5 5

97

ตารางท 4.45 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

การปฏบตงานไมสอดคลองตามกฏหมาย ขอบงคบ

ไมมการระบกฏหมาย ขอบงคบ ระเบยบทเกยวของ (18.1.1 Identification of appli cable legislation and contractual requirements)

Staff/Employee 2 2 3 5 1 5 1 5 5

บรการทไดรบจากผใหบรการภายนอกขาดความมนคงปลอดภย

ขาดการสอสารความตองการดานความมนคงปลอดภยไปยงผใหบรการภายนอก (15.1.2 Addressing security within supplier agreements)

External Service 5 4 2 5 1 4 3 5 15 [RTP.18]

ผรบจางชวงไมปฏบตตามความตองการ เงอนไข และขอก าหนดตางๆ

ขาดการตกลงกบผใหบรการภายนอกกรณมการจางชวง (15.1.3 Information and communication technology supply chain)

External Service 5 4 2 5 1 4 3 5 15 [RTP.18]

98

ตารางท 4.46 ผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลมทรพยสน) (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

บรการทไดรบจากผใหบรการภายนอกไมสอดคลองตามความตองการทระบไว

ไมมการตดตาม ทบทวนการด าเนนงานของผใหบรการภายนอก (15.2.1 Monitoring and review of supplier services)

External Service 5 4 2 5 1 4 3 5 15 [RTP.18]

ผใหบรการภายนอกไมปฏบตตามเงอนไข และขอก าหนดตางๆ

ไมมการตดตาม ทบทวนการด าเนนงานของผใหบรการภายนอก (15.2.1 Monitoring and review of supplier services)

External Service 5 4 2 5 1 4 3 5 15 [RTP.18]

หมายเหต: 1 หมายถง กลมทรพยสน EMR System, LIS System, PACS System, Binary MRIS System, Anti-virus Server, Client, Internal Network, Link/Carier, Core Switch และ Firewall/IPS/IDS

99

4.8. การจดการความเสยง จากการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ พบวามรายการความเสยงทมมาตรการควบคมอยแลว และบางรายการความเสยงทจ าเปนตอง

จดการความเสยงเพอใหองคกรสามารถยอมรบความเสยงดงกลาวได โดยมการจดการความเสยงดงตารางท 4.47 การจดการความเสยง

ตารางท 4.47 การจดการความเสยง มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม

5.1.1 Policies for information security มนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 ซงไมมการปรบปรงใหเปนปจจบน

[RTP. 1] จดท านโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ 5.1.2 Review of the policies for

information security

6.1.1 Information security roles and responsibilities

มคณะกรรมการบรหารจดการระบบเทคโนโลยสารสนเทศ ประกอบดวยบคลากรงานเทคโนโลยสารสนเทศและตวแทนจากทกสวนงาน

-

6.1.2 Segregation of duties มการแบงแยกผรบผดชอบในแตละงานภายในสวนงานเทคโนโลยสารสนเทศ

-

6.1.3 Contact with authorities มการจดท าขอมลรายชอผตดตอหนวยงานผมอ านาจ - 6.1.4 Contact with special interest groups มการจดท าขอมลรายชอผตดตอผทสนใจในเรองเดยวกน -

6.1.5 Information security in project management

มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2005

-

100

ตารางท 4.48 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 6.2.1 Mobile device policy มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 และมการควบคมการใชงานเฉพาะแพทย

-

6.2.2 Teleworking อนญาตเฉพาะผดแลระบบ และมการควบคมสทธการใชงาน - 7.1.1 Screening ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

7.1.2 Terms and conditions of employment

ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

7.2.1 Management responsibilities ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

7.2.2 Information security awareness, education and training

มการสงบคลากรไปอบรมตามหลกสตรทจ าเปน และมการอบรมภายในองคกร

[RTP. 2] อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย

7.2.3 Disciplinary process ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

7.3.1 Termination or change of employment responsibilities

ด าเนนการตามกระบวนการของฝายทรพยากรบคคล -

8.1.1 Inventory of assets มการจดเกบรายการทรพยสนโดยใชระบบครภณฑ -

8.1.2 Ownership of assets - [RTP. 3] ก าหนดผดแลทรพยสนในระบบจดการครภณฑ

101

ตารางท 4.49 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 8.1.3 Acceptable use of assets มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 -

8.1.4 Return of assets มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2005

-

8.2.1 Classification of information - [RTP. 4] จดท าระเบยบปฏบตการจดระดบชนความลบของสารสนเทศ 8.2.2 Labelling of information -

8.2.3 Handling of assets - 8.3.1 Management of removable media - [RTP. 5] จดท าระเบยบปฏบตการบรหารจดการสอ

บนทกขอมลเคลอนทได 8.3.2 Disposal of media - [RTP. 6] จดท าระเบยบปฏบตการท าลายขอมลและสอ

บนทก

8.3.3 Physical media transfer มกระบวนการส าหรบการขออนญาตน าทรพยสนออกภายนอกองคกร

-

9.1.1 Access control policy - [RTP. 1] จดท านโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ

102

ตารางท 4.50 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 9.1.2 Access to networks and network services

มการควบคมสทธการใชงานเฉพาะบคลากรในสวนการใชงาน Internet และระบบงานโรงพยาบาลแยกออกจากกน

-

9.2.1 User registration and de-registration มการสราง user account ใหกบบคลากรใหม [RTP. 7] จดท าระเบยบปฏบตการบรหารจดการบญชรายชอและสทธ 9.2.2 User access provisioning มการสราง user account ใหกบบคลากรใหม

9.2.3 Management of privileged access rights

มการสราง user account ใหกบบคลากรใหม

9.2.4 Management of secret authentication information of users

มการแจง user account ใหบคลากรแลวบงคบใหเปลยนรหสผานครงแรก

9.2.5 Review of user access rights - [RTP. 8] จดท าระเบยบปฏบตทบทวนสทธการเขาใชงาน 9.2.6 Removal or adjustment of access

rights มการปรบปรงสทธการใชงานเมอมการเพม/ลบ user account

9.3.1 Use of secret authentication information

มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2005

-

9.4.1 Information access restriction มการควบคมสทธการใชงานระบบสารสนเทศโรงพยาบาล - 9.4.2 Secure log-on procedures มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 [RTP. 9] จดท าระเบยบปฏบตการลอกอนเขาระบบอยางปลอดภย 9.4.3 Password management system

103

ตารางท 4.51 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 9.4.4 Use of privileged utility programs มการควบคมสทธไมใหผใชงานตดตงโปรแกรมบนเครอง

คอมพวเตอร -

9.4.5 Access control to program source code

มการควบคมสทธและปองกนการเขาถง source code ของระบบงานตางๆ

-

10.1 Cryptographic controls - [RTP. 10] จดท าระเบยบปฏบตการเขารหสลบขอมล

10.1.2 Key management -

11.1.1 Physical security perimeter มการก าหนดพนท Data Center และมการออกแบบตามมาตรฐาน Data Center

[RTP. 11] จดท าระเบยบปฏบตการขอเขาพนทโดยบคคลภายนอก

11.1.2 Physical entry controls มการปองกนการเขาหอง Data Center โดยใชเครองสแกนลายนวมอและบตรบคลากร

-

11.1.3 Securing offices, rooms and facilities

มการจดเตรยมสภาพแวดลอมการท างานใหมความมนคงปลอดภยทางกายภาพ เชน แสงสวาง การปองกนการเขาถงพนทส าคญ เปนตน

-

11.1.4 Protecting against external and environmental threats

มการออกแบบอาคารและหอง Data Center ใหมนคงแขงแรง และมอปกรณตรวจจบ แจงเตอน และอปกรณดบเพลง

-

104

ตารางท 4.52 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 11.1.5 Working in secure areas มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 -

11.1.6 Delivery and loading areas มการก าหนดพนทส าหรบรบ-สงสงของบรเวณหนาหอง Data Center

[RTP. 11] จดท าระเบยบปฏบตการขอเขาพนทโดยบคคลภายนอก

11.2.1 Equipment siting and protection มการจดวางอปกรณตางๆ อยางมนคงปลอดภยทางกายภาพ เชน ตดตงอปกรณในต Rack และมการปดลอกต Rack

-

11.2.2 Supporting utilities มอปกรณสนบสนนตาง เชน เครองส ารองไฟฟา เครองก าเนนไฟฟา ระบบปรบอากาศและความชน

-

11.2.3 Cabling security มการเดนสายไฟและสายสญญาณอยางมนคงปลอดภย - 11.2.4 Equipment maintenance มการบ ารงรกษาอปกรณและระบบตางๆ ตามค าแนะน าของ

เจาของผลตภณฑ และมการจางผใหบรการในการบ ารงรกษา

11.2.5 Removal of assets มกระบวนการส าหรบการขออนญาตน าทรพยสนออกภายนอกองคกร

- 11.2.6 Security of equipment and assets off-premises

11.2.7 Secure disposal or reuse of equipment

- [RTP. 6] จดท าระเบยบปฏบตการท าลายขอมลและสอบนทก

105

ตารางท 4.53 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 11.2.8 Unattended user equipment มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภย

สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 -

11.2.9 Clear desk and clear screen policy

12.1.1 Documented operating procedures

มการจดท าเอกสารขนตอน และคมอการปฏบตงาน -

12.1.2 Change management - [RTP. 12] จดท าระเบยบปฏบตการบรหารการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

12.1.3 Capacity management มการเฝาระวงและตดตามทรพยากรระบบ แตไมมการบนทกผลการด าเนนงาน

[RTP. 13] จดท าระเบยบปฏบตการบรหารจดการขดความสามารถของระบบ

12.1.4 Separation of development, testing and operational environments

มการแบงแยกสภาพแวดลอมทใชในการพฒนา ทดสอบ และการใหบรการจรง

-

12.2.1 Controls against malware มการตดตงโปรแกรมปองกนและตรวจจบโปรแกรมไมประสงดด

[RTP. 14] จดท าระเบยบปฏบตการปองกนโปรแกรมไมประสงคด

12.3.1 Information backup มการส ารองขอมลเฉพาะระบบทมความส าคญ และไมไดน าออกไปจดเกบนอกพนท

[RTP. 15] จดท าระเบยบปฏบตการส ารองและกคนขอมล [RTP. 22] จดหาหนวยความจ าส าหรบจดเกบขอมลส ารอง2

106

ตารางท 4.54 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 12.4.1 Event logging มการเกบขอมล Log แยกตามเครอง ไมมการน าขอมล Log

มารวมกนเพอท าการวเคราะหและจดเกบอยางมนคงปลอดภย

[RTP. 16] จดท าระเบยบปฏบตการบรหารจดการขอมลลอก [RTP. 21] ตดตงระบบจดเกบและวเคราะหขอมล Log2

12.4.2 Protection of log information - 12.4.3 Administrator and operator logs -

12.4.4 Clock synchronisation มการตงเวลาเฉพาะระบบทมความส าคญ

12.5.1 Installation of software on operational systems

มการควบคมการตดตงซอฟทแวร และตดตงเฉพาะซอฟทแวรทจ าเปน

-

12.6.1 Management of technical vulnerabilities

มการตดตามชองโหวจากเจาของผลตภณฑ [RTP. 17] จดท าระเบยบปฏบตการตรวจสอบและแกไขชองโหวในระบบเทคโนโลยสารสนเทศ [RTP. 20] ตรวจสอบชองโหวทางเทคนค (Vulnerability Assessment)2

12.6.2 Restrictions on software installation

มการควบคมสทธไมใหผใชงานตดตงโปรแกรมบนเครองคอมพวเตอร

-

12.7.1 Information systems audit controls จางผเชยวชาญด าเนนการตรวจสอบ -

13.1.1 Network controls มการออกแบบ และมระบบปองกนความมนคงปลอดภยทางเครอขาย เชน Firewall

-

107

ตารางท 4.55 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 13.1.2 Security of network services มการควบคมการเขาถงบรการ Internet เฉพาะบคลากร

และมการพสขนตวตนกอนใชงาน -

13.1.3 Segregation in networks มการแบงแยกเครอขายอยางเหมาะสม -

13.2.1 Information transfer policies and procedures

มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2005

-

13.2.2 Agreements on information transfer 13.2.3 Electronic messaging

13.2.4 Confidentiality or non-disclosure agreements

มการท าสญญาไมเปดเผยความลบในสญญาจางผใหบรการภายนอก

-

14.1.1 Information security requirements analysis and specification

มการระบความตองการดานความมนคงปลอดภยในเอกสารขอก าหนดของผวาจาง

-

14.1.2 Securing application services on public networks

ไมมระบบทใหบรการบนเครอขายสาธารณะ -

14.1.3 Protecting application services transactions

มการตรวจสอบธรกรรมของระบบงาน และมการเกบขอมล Log เพอตรวจสอบได

-

108

ตารางท 4.56 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 14.2.1 Secure development policy มการจางผใหบรการภายนอกในการพฒนาระบบ -

14.2.2 System change control procedures

14.2.3 Technical review of applications after operating platform changes

มการทบทวนและตงคาระบบใหมความมนคงปลอดภยหลงจากมการเปลยนแปลงส าคญ

-

14.2.4 Restrictions on changes to software packages

ไมอนญาตใหมการเปลยนแปลงแกไขซอฟทแวรส าเรจรป หากจ าเปนตองจางผเชยวชาญในการด าเนนการ

-

14.2.5 Secure system engineering principles

มการพฒนาระบบตามหลกการ SDLC -

14.2.6 Secure development environment มการจดเตรยมสภาพแวดลอมส าหรบการพฒนาระบบทมความมนคงปลอดภย

-

14.2.7 Outsourced development มกระบวนการในการจดจางผใหบรการภายนอก -

14.2.8 System security testing มการทดสอบตามขอบเขตงานเพอตรวจรบระบบงาน -

14.2.9 System acceptance testing 14.3.1 Protection of test data มการปองกนขอมลทน ามาใชในการทดสอบระบบงาน -

15.1.1 Information security policy for supplier relationships

มกระบวนการในการจดจางผใหบรการภายนอก [RTP. 18] จดท าระเบยบปฏบตการบรหารจดการผใหบรการภายนอก

109

ตารางท 4.57 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 15.1.2 Addressing security within supplier agreements

มกระบวนการในการจดจางผใหบรการภายนอก [RTP. 18] จดท าระเบยบปฏบตการบรหารจดการผใหบรการภายนอก

15.1.3 Information and communication technology supply chain 15.2.1 Monitoring and review of supplier services

15.2.2 Managing changes to supplier services

16.1.1 Responsibilities and procedures - [RTP. 19] จดท าระเบยบปฏบตการจดการเหตละเมดความมนคงปลอดภยสารสนเทศ 16.1.2 Reporting information security

events -

16.1.3 Reporting information security weaknesses

-

16.1.4 Assessment of and decision on information security events

-

16.1.5 Response to information security incidents

มการแกปญหาเมอตรวจพบ หรอไดรบแจง กรณไมสามารถแกไขไดจะใหผใหบรการภายนอกด าเนนการ

110

ตารางท 4.58 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 16.1.6 Learning from information security incidents

- [RTP. 19] จดท าระเบยบปฏบตการจดการเหตละเมดความมนคงปลอดภยสารสนเทศ

16.1.7 Collection of evidence -

17.1.1 Planning information security continuity

มขนตอนในการกคนระบบสารสนเทศ -

17.1.2 Implementing information security continuity

-

17.1.3 Verify, review and evaluate information security continuity

-

A.17.2.1 Availability of information processing facilities

มการจดเตรยมอปกรณส ารอง และอปกรณทท างานทดแทนกนได

[RTP. 23] จดหาศนยคอมพวเตอรส ารอง2

18.1.1 Identification of applicable legislation and contractual requirements

มการระบรายการกฎหมาย ระเบยบ ขอบงคบทตองปฏบตตาม

-

18.1.2 Intellectual property rights มการใชงานซอฟทแวรทมลขสทธถกตองตามกฎหมาย -

18.1.3 Protection of records มการปองกนบนทกการด าเนนงานอยางมนคงปลอดภย -

18.1.4 Privacy and protection of personally identifiable information

มการปองกนขอมลสวนบคคลและขอมลสขภาพของผใชบรการทางการแพทย

-

111

ตารางท 4.59 การจดการความเสยง (ตอ)

มาตรการควบคม การจดการความเสยงทมอยแลว การจดการความเสยงทด าเนนการเพม 18.1.5 Regulation of cryptographic controls

มการด าเนนการตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐาน ISO/IEC 27001:2005

-

18.2.1 Independent review of information security

จางผเชยวชาญด าเนนการตรวจสอบ -

18.2.2 Compliance with security policies and standards

หวหนางานและผบรหารมการตรวจสอบความสอดคลองในการท างานของบคลากรภายใตการก ากบดแลเสมอ

-

18.2.3 Technical compliance review มการทบทวนและตงคาระบบใหมความมนคงปลอดภย - หมายเหต: 2 หมายถง การจดการความเสยงทตองมการตดสนใจจากผบรหาร และตองใชงบประมาณในการด าเนนการ จงไดมการน าเสนอตอผบรหารเพอ

พจารณาสนบสนนงบประมาณในการด าเนนการตอไป

112

4.9. การด าเนนการตามแผนการจดการความเสยง 4.9.1. นโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ

ก าหนดนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ เปนแนวทางการปฏบตงานใหแกบคลากรของศนยการแพทยฯ เพอเปนแนวนโยบายในการปฏบตงานใหมความมงคงปลอดภยสารสนเทศดานสขภาพ โดยมเนอหาครอบคลม ดงน

1) โครงสรางดานความมนคงปลอดภยสารสนเทศ (Organization of information security)

2) นโยบายการใชอปกรณพกพา และการปฏบตงานจากระยะไกล (Mobile

devices and teleworking)

3) นโยบายความมนคงปลอดภยส าหรบทรพยากรบคคล (Human resource

security)

4) นโยบายการจดการทรพยสน (Asset management)

5) นโยบายการควบคมการเขาถง (Access control)

6) นโยบายการเขารหสลบขอมล (Cryptography)

7) นโยบายความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical

and environmental security)

8) นโยบายความมนคงปลอดภยส าหรบการด าเนนงาน (Operations

security)

9) นโยบายความมนคงปลอดภยส าหรบการสอสารขอมล (Communications

security)

10) นโยบายการจดหา การพฒนา และการบ ารงรกษาระบบ (System

acquisition, development and maintenance)

11) นโยบายความสมพนธกบผใหบรการภายนอก (Supplier relationships)

12) นโยบายการบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ

(Information security incident management)

13) นโยบายการบรหารความตอเนองของธรกจ (Information security

aspects of business continuity management)

14) นโยบายการปฏบตใหเปนไปตามขอก าหนด (Compliance)

15) นโยบายความมนคงปลอดภยส าหรบผใชงานระบบเทคโนโลยสารสนเทศ

(End User Oriented Policy)

113

4.9.2. ก าหนดผดแลทรพยสนในระบบจดการครภณฑ เนองจากศนยการแพทยฯ มการใชงานระบบจดการครภณฑอยแลวจงน ามา

ประยกตใชเปนทะเบยนทรพยสนของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ โดยท าการระบผดแลทรพยสนเพอใหมการใชงานทรพยสน และบ ารงรกษาทรพยสนอยางเหมาะสม

4.9.3. จดท าระเบยบปฏบต จากการประเมนความเสยงความมนคงปลอดภยสารสนเทศดานสขภาพพบวาสวน

ใหญศนยการแพทยฯ มการด าเนนการอยแลวแตยงขาดการจดท าระเบยบปฏบตในแตละเรอง เพอใหมการก าหนดวธการด าเนนงานทเปนมาตรฐานเดยวกนสามารถใหผลการด าเนนงานออกมาเทยงตรง เชอถอได และสามารถวดผลการด าเนนงานในแตละครงได โดยจดท าเปนระเบยบปฏบตจ านวน 16 เรอง ดงน

1) ระเบยบปฏบตการจดระดบชนความลบของสารสนเทศ

2) ระเบยบปฏบตการบรหารจดการสอบนทกขอมลเคลอนทได

3) ระเบยบปฏบตการท าลายขอมลและสอบนทก

4) ระเบยบปฏบตการบรหารจดการบญชรายชอและสทธ

5) ระเบยบปฏบตทบทวนสทธการเขาใชงาน

6) ระเบยบปฏบตการลอกอนเขาระบบอยางปลอดภย

7) ระเบยบปฏบตการเขารหสลบขอมล

8) ระเบยบปฏบตการขอเขาพนทโดยบคคลภายนอก

9) ระเบยบปฏบตการบรหารการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

10) ระเบยบปฏบตการบรหารจดการขดความสามารถของระบบ

11) ระเบยบปฏบตการปองกนโปรแกรมไมประสงคด

12) ระเบยบปฏบตการส ารองและกคนขอมล

13) ระเบยบปฏบตการบรหารจดการขอมลลอก

14) ระเบยบปฏบตการตรวจสอบและแกไขชองโหวในระบบเทคโนโลย

สารสนเทศ

15) ระเบยบปฏบตการบรหารจดการผใหบรการภายนอก

16) ระเบยบปฏบตการจดการเหตละเมดความมนคงปลอดภยสารสนเทศ

4.9.4. อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย

เพอสรางความร ความเขาใจในเรองความมนคงปลอดภยสารสนเทศ และสรางความตระหนกในการปฏบตตตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และ

114

ระเบยบปฏบตทประกาศใชงานใหแกผปฏบตงานเทคโนโลยสารสนเทศ จงไดมการจดอบรมขนในวนท 24 เมษายน 2561 เวลา 09:00 – 12:00 น. ณ หองประชมงานเทคโนโลยสารสนเทศ ชน 4 คณะแพทยศาสตร โดยมผเขาอบรมจากหนวยงานเทคโนโลยสารสนเทศ จ านวน 11 คน

115

4.10. การประเมนความเสยงทคงเหลอ ความเสยงทคงเหลอ คอการประเมนความเสยงหลงจากการด าเนนการจดการความเสยง เพอใหมนใจวาการจดการความเสยงนนมประสทธผลเพยงพอ โดยใช

วธการ และเกณฑในการประเมนความเสยงเดยวกนกบการประเมนความเสยงครงแรก ซงไดผลผลการประเมนความเสยงดงตารางท 4.60 ผลการประเมนความเสยงทคงเหลอ

ตารางท 4.60 ผลการประเมนความเสยงทคงเหลอ

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ไมสามารถตดตอกบหนวยงานทมอ านาจไดยามฉกเฉน

ขาดการระบบรายชอและชองทางการตดตอกบหนวยงานทมอ านาจ (6.1.3 Contact with authorities)

ระบบสารสนเทศทงหมด3

1 1 2 2 1 2 3 2 6

ทรพยสนสารสนเทศสญหาย ขาดการจดท ารายการทะเบยนทรพยสนสารสนเทศ (8.1.1 Inventory of assets)

ระบบสารสนเทศทงหมด3

5 4 5 3 1 3 1 5 5

ทรพยสนสารสนเทศสญหาย ขาดการก าหนดวธการคนทรพยสนสารสนเทศ (8.1.4 Return of assets)

ระบบสารสนเทศทงหมด3

5 4 5 3 1 3 2 5 10

116

ตารางท 4.61 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดผดแลทรพยสนสารสนเทศ (8.1.2 Ownership of assets)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดนโยบายควบคมการเขาถงระบบสารสนเทศ (9.1.1 Access control policy)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการจดการสทธการเขาถงอยางเหมาะสม (9.2.2 User access provisioning)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการจดการสทธการเขาถงระดบสง (9.2.3 Management of privileged access rights)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

117

ตารางท 4.62 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการทบทวนผใชงาน และสทธทไดรบ (9.2.5 Review of user access rights)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการปรบปรงระดบสทธการเขาถงของผใชงาน (9.2.6 Removal or adjustment of access rights)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการจ ากดการเขาถงสารสนเทศอยางเหมาะสม (9.4.1 Information access restriction)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 2 5 10

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมขนตอนการ Log-on ทปลอดภย (9.4.2 Secure log-on procedures)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

118

ตารางท 4.63 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

การใชงานอปกรณนอกพนทอยางไมปลอดภย (11.2.6 Security of equipment and assets off-premises)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการปองกนการเขาถงอปกรณทางกายภาพ (11.2.8 Unattended user equipment)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการแยกสภาพแวอลอมส าหรบการพฒนาระบบ (12.1.4 Separation of development, testing and operational environments)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

119

ตารางท 4.64 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการจดการชองโหวทางเทคนค (12.6.1 Management of technical vulnerabilities)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการปองกนสารสนเทศจากระบบเครอขาย (13.1.1 Network controls)

- Internal Network - Link/Carier - Core Switch - Firewall

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการแบงแยกเครอขายอยางเหมาะสม (13.1.3 Segregation in networks)

- Internal Network - Link/Carier - Core Switch - Firewall

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

การพฒนาระบบในสภาพแวดลอมทไมปลอดภย (14.2.6 Secure development environment)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

120

ตารางท 4.65 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนด และทบทวนนโยบายความมนคงปลอดภยสารสนเทศ (5.1.1 Policies for information security)

Staff/Employee 5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการแบงแยกหนาทความรบผดชอบอยางเหมาะสม (6.1.2 Segregation of duties)

Staff/Employee 5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการสรางความร และความตระหนกใหกบบคลากร (7.2.2 Information security awareness, education and training)

Staff/Employee 5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดกฎระเบยบการใชงานทรพยสนสารสนเทศอยางเหมาะสม (8.1.3 Acceptable use of assets)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

121

ตารางท 4.66 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดกระบวนการเมอมพนกงานลาออก หรอยายต าแหนง (7.3.1 Termination or change of employment responsibilities)

Staff/Employee 5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ผใชงานใชงานขอมลการยนยนตวตนอยางไมเหมาะสม (9.3.1 Use of secret authentication information)

Staff/Employee 5 4 3 5 1 3 1 5 5

ระบบเครอขายถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการควบคมการเขาถงระบบเครอขายอยางเหมาะสม (9.1.2 Access to networks and network services)

- Internal Network - Link/Carier - Core Switch - Firewall

5 4 3 5 1 3 1 5 5

ทรพยสนสารสนเทศไมไดรบการบ ารงรกษาอยางเหมาะสม

ขาดการก าหนดผดแลทรพยสนสารสนเทศ (8.1.2 Ownership of assets)

ระบบสารสนเทศทงหมด3

1 2 2 2 1 2 1 2 2

122

ตารางท 4.67 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดแบงระดบชนความลบของทรพยสนสารสนเทศ (8.2.1 Classification of information)

ระบบสารสนเทศทงหมด3

5 5 2 5 1 5 2 5 10

ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดท าปายบงชทรพยสนสารสนเทศ (8.2.2 Labelling of information)

ระบบสารสนเทศทงหมด3

5 5 2 5 1 5 2 5 10

ขอมลภายในระบบสารสนเทศรวไหล ไมมการจดการทรพยสนสารสนเทศตามระดบชนความลบ (8.2.3 Handling of assets)

ระบบสารสนเทศทงหมด3

5 5 2 5 1 5 2 5 10

ขอมลภายในระบบสารสนเทศรวไหล ไมมการท าลายสอบนทกขอมล (8.3.2 Disposal of media)

ระบบสารสนเทศทงหมด3

5 5 2 5 1 5 2 5 10

ขอมลภายในระบบสารสนเทศศรวไหล

ไมมการท าลายอปกรณอยางเหมาะสม (11.2.7 Secure disposal or re-use of equipment)

ระบบสารสนเทศทงหมด3

5 5 2 5 1 5 1 5 5

123

ตารางท 4.68 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลภายในระบบสารสนเทศรวไหล ไมมการปองกนโปรแกรมไมประสงคด (12.2.1 Controls against malware)

ระบบสารสนเทศทงหมด3

5 5 2 5 1 5 2 5 10

ขอมลภายในระบบสารสนเทศศรวไหล

ไมมการท าขอตกลงการรกษาความลบ (NDA) (13.2.4 Confidentiality or non-disclosure agreements)

ระบบสารสนเทศทงหมด3

5 5 2 5 1 5 1 5 5

ขอมลการพสจนตวตนของผใชงานรวไหล

ขาดการจดการขอมลการพสจนตวตน (9.2.4 Management of secret authentication information of users)

ระบบสารสนเทศทงหมด3

1 1 1 3 1 2 1 3 3

ขอมลการพสจนตวตนของผใชงานรวไหล

ไมมการจดการรหสผานอยางปลอดภย (9.4.3 Password management system)

ระบบสารสนเทศทงหมด3

1 1 1 3 1 2 1 3 3

124

ตารางท 4.69 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลภายในระบบสารสนเทศสญหาย ไมมการส ารอง และทดสอบการกคนขอมลส าคญ (12.3.1 Information backup)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 2 5 10

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดนโยบายการถายโอนสารสนเทศ (13.2.1 Information transfer policies and procedures)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดนโยบายการเขารหสลบขอมล (10.1.1 Policy on the use of cryptographic controls)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการจดการกญแจเขารหสลบขอมลอยางปลอดภย (10.1.2 Key management)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

125

ตารางท 4.70 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนสารสนเทศทสงผานในเครอขายสาธารณะ (14.1.2 Securing application services on public networks)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกน Transaction ของระบบสารสนเทศ (14.1.3 Protecting application services transactions)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดวธการจดการสอบนทกขอมลทเคลอนยายได (8.3.1 Management of removable media)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 2 5 10

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนสอบนทกขอมลระหวางการเคลอนยาย (8.3.3 Physical media transfer)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

126

ตารางท 4.71 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลทน ามาทดสอบระบบสารสนเทศศรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ไมมการปองกนขอมลทน ามาทดสอบระบบ (14.3.1 Protection of test data)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ขอมลสวนบคคลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนขอมลสวนบคคล (18.1.4 Privacy and protection of personally identifiable information)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ขอมลบนทกการปฏบตงานรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนขอมลบนทก (18.1.3 Protection of records)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

ไมมการจดการสทธการเขาถงอยางเหมาะสม (9.2.2 User access provisioning)

ระบบสารสนเทศทงหมด3

4 1 2 3 1 3 1 4 4

127

ตารางท 4.72 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

ขาดการก าหนดนโยบายควบคมการเขาถงระบบสารสนเทศ (9.1.1 Access control policy)

ระบบสารสนเทศทงหมด3

4 1 2 3 1 3 2 4 8

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

ขาดการปรบปรงระดบสทธการเขาถงของผใชงาน (9.2.6 Removal or adjustment of access rights)

ระบบสารสนเทศทงหมด3

4 1 2 3 1 3 1 4 4

ผใชงานไมไดรบบญชผใชงานทถกตองเหมาะสม

ไมมชองทางการลงทะเบยน และถอดถอนผใชงาน (9.2.1 User registration and de-registration)

ระบบสารสนเทศทงหมด3

4 1 2 3 1 3 1 4 4

การเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยใชบญชผใชงานของบคลากรอนแทน

ขาดการจดการขอมลการพสจนตวตน (9.2.4 Management of secret authentication information of users)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

128

ตารางท 4.73 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

การเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยใชบญชผใชงานของบคลากรอนแทน

ไมมการจดการรหสผานอยางปลอดภย (9.4.3 Password management system)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

ระบบสารสนเทศถกภยคกคามจากมลแวร

มการใชงานโปรแกรมอรรถประโยชนทไมปลอดภย (9.4.4 Use of privileged utility programs)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus Server - Client

4 2 2 3 1 2 1 4 4

ซอสโคดของโปรแกรมรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ไมมการปองกนการเขาถงซอสโคดของโปรแกรม (9.4.5 Access control to program source code)

- EMR System - LIS System - PACS System

2 1 2 2 1 2 2 2 4

129

ตารางท 4.74 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

พนทรกษามนคงปลอดภยถกเขาถงโดยไมไดรบอนญาต อปกรณและขอมลทใชในการด าเนนงาน เสยหาย

ไมมการควบคมประต หรอชองทางการเขาถงทางกายภาพ (11.1.2 Physical entry controls)

ระบบสารสนเทศทงหมด3

5 5 5 3 1 3 1 5 5

พนทรกษามนคงปลอดภยถกเขาถงโดยไมไดรบอนญาต อปกรณและขอมลทใชในการด าเนนงาน เสยหาย

ขาดการก าหนดพนทบรเวณโดยรอบทางกายภาพ (11.1.1 Physical security perimeter)

ระบบสารสนเทศทงหมด3

5 5 5 3 1 3 1 5 5

ระบบสารสนเทศเสยหายหายจากภยคกคามทางธรรมชาต เชน ไฟใหม น าทวม แผนดนไหว เปนตน

ขาดการปองกยภยคกคามทางธรรมชาต (11.1.4 Protecting against external and environmental threats)

ระบบสารสนเทศทงหมด3

5 5 5 2 1 3 1 5 5

บคคลภายนอกทมาสงของเขาถงพนทรกษามนคงปลอดภย

ไมมการก าหนดพนทส าหรบสงสงของ (11.1.6 Delivery and loading areas)

ระบบสารสนเทศทงหมด3

5 5 5 3 1 3 1 5 5

130

ตารางท 4.75 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศช ารด เสยหาย มการจดวางอปกรณอยางไมปลอดภย (11.2.1 Equipment siting and protection)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย อปกรณสนบสนนไมเพยงพอ (11.2.2 Supporting utilities)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย ขาดการบ ารงรกษาอปกรณอยางเหมาะสม (11.2.4 Equipment maintenance)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอสญหาย

บคลากรน าทรพยสนสารสนเทศไปใชงานขางนอกโดยไมไดรบอนญาต (11.2.5 Removal of assets)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 1 4 4

131

ตารางท 4.76 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการจดการการเปลยนแปลง (12.1.2 Change management)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 2 4 8

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการจดการสมรรถนะของระบบเทคโนโลยสารสนเทศ (12.1.3 Capacity management)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 2 4 8

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ไมมการแยกสภาพแวดลอมส าหรบการพฒนาระบบ (12.1.4 Separation of development, testing and operational environments)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ไมมการปองกนโปรแกรมไมประสงคด (12.2.1 Controls against malware)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 2 4 8

132

ตารางท 4.77 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ผใชงานตดตงซอฟทแวรเองโดยไมไดรบอนญาต (12.6.2 Restrictions on software installation)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus Server - Client

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการทบทวนทางเทคนคเมอมการเปลยนแปลง Platform (14.2.3 Technical review of applications after operating platform changes)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

มการแกไขเปลยนแปลงซอฟทแวรส าเรจรป (14.2.4 Restrictions on changes to software packages)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 1 4 4

133

ตารางท 4.78 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการก าหนดหลกการพฒนาระบบอยางปลอดภย (14.2.5 Secure system engineering principles)

ระบบสารสนเทศทงหมด3

4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

พนกงานปฏบตงานในพนทอยางไมปลอดภย (11.1.5 Working in secure areas)

Staff/Employee 4 4 4 2 1 2 1 4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ไมมการจดท าคมอการปฏบตงาน (12.1.1 Documented operating Procedures)

Staff/Employee 4 4 4 2 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด ไมมการตงเวลาใหตรง (12.4.4 Clock synchronisation)

ระบบสารสนเทศทงหมด3

4 2 2 3 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด ขาดการทบทวนทางเทคนค (18.2.3 Technical compliance review)

ระบบสารสนเทศทงหมด3

4 2 2 3 1 2 1 4 4

134

ตารางท 4.79 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศประมวลผลผดพลาด มการใชงานโปรแกรมอรรถประโยชนทไมปลอดภย (9.4.4 Use of privileged utility programs)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus Server - Client

4 2 2 3 1 2 1 4 4

ระบบสารสนเทศประมวลผลผดพลาด ผใชงานตดตงซอฟทแวรเองโดยไมไดรบอนญาต (12.6.2 Restrictions on software installation)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus Server - Client

4 2 2 3 1 2 1 4 4

135

ตารางท 4.80 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศประมวลผลผดพลาด ไมมการจดการชองโหวทางเทคนค (12.6.1 Management of technical vulnerabilities)

ระบบสารสนเทศทงหมด3

4 2 2 3 1 2 2 4 8

เกดสญญาณรบกวน ท าใหขอมลไมถกตอง หรอสญหาย

การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

ระบบสารสนเทศทงหมด3

3 2 2 2 1 2 2 3 6

ถกดกขโมยขอมลทสงผานสายสญญาณ การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

ระบบสารสนเทศทงหมด3

5 4 3 5 1 3 1 5 5

สายไฟฟา และสายสญญาณขาด หรอช ารด

การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

ระบบสารสนเทศทงหมด3

2 1 3 2 1 2 1 3 3

136

ตารางท 4.81 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขอมลส าคญบนโตะท างาน หรอหนาจอคอมพวเตอรสญหาย หรอรวไหล

ไมมการจดระเบยบขอมลส าคญบนโตะท างาน หรอหนาจอคอมพวเตอร (11.2.9 Clear desk and clear screen policy)

- EMR System - LIS System - PACS System - Binary MRIS System - Anti-virus Server - Client

2 1 2 5 1 3 1 5 5

ไมสามารถตรวจสอบกจกรรมการใชงานระบบสารสนเทศ

ไมมการจดเกบ ปองกนขอมลลอกของผใชงาน และผดแลระบบ (12.4.1 Event logging)

ระบบสารสนเทศทงหมด3

1 1 1 5 1 3 1 5 5

ขอมลลอกถกเขาถงโดยไมไดรบอนญาต

ไมมการจดเกบ ปองกนขอมลลอกของผใชงาน และผดแลระบบ (12.4.1 Event logging)

ระบบสารสนเทศทงหมด3

1 1 1 5 1 3 1 5 5

137

ตารางท 4.82 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

การใหบรการเครอขายไมสอดคลองตามความตองการของผใชงาน

ขาดการระบขอตกลงการใหบรการเครอขาย (13.1.2 Security of network services)

- Internal Network - Link/Carier - Core Switch - Firewall

2 1 2 2 1 2 3 2 6

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการทดสอบระบบดานความมนคงปลอดภย (14.2.8 System security testing)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการวเคราะหความตองการดานความมนคงปลอดภยสารสนเทศ (14.1.1 Information security requirements analysis and specification)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการก าหนดนโยบายการพฒนาระบบอยางมนคงปลอดภย (14.2.1 Secure development policy)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

138

ตารางท 4.83 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศทพฒนาขนไมสอดคลองตามความตองการ

การไมตดตามการท างานของ Outsousce ทเขามาพฒนาระบบ (14.2.7 Outsourced development)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

ระบบสารสนเทศทพฒนาขนไมสอดคลองตามความตองการ

ขาดการทดสอบ UAT (14.2.9 System acceptance testing)

ระบบสารสนเทศทงหมด3

5 4 2 5 1 4 1 5 5

การแกปญหาลาชา เหตการณลกลามบานปลาย

ขาดการก าหนดผรบผดชอบ และขนตอนการรบมอ Incident (16.1.1 Responsibilities and procedures)

ระบบสารสนเทศทงหมด3

5 5 5 5 1 5 2 5 10

การแกปญหาลาชา เหตการณลกลามบานปลาย

ไมมการรายงานเหต information security events (16.1.2 Reporting information security events)

ระบบสารสนเทศทงหมด3

5 5 5 5 1 5 2 5 10

139

ตารางท 4.84 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

การแกปญหาลาชา เหตการณลกลามบานปลาย

ขาดการประเมนและตดสนใจเพอแยกระดบของเหตการณ (16.1.4 Assessment of and decision on information security events)

ระบบสารสนเทศทงหมด3

5 5 5 5 1 5 2 5 10

การแกปญหาลาชา เหตการณลกลามบานปลาย

ไมมการตอบสนองตอเหต information security incident (16.1.5 Response to information security incidents)

ระบบสารสนเทศทงหมด3

5 5 5 5 1 5 2 5 10

เกดเหต Incident เนองจากจดออนไมไดรบการปองกน

ไมมการรายงานเหต information security weaknesses (16.1.3 Reporting information security weaknesses)

ระบบสารสนเทศทงหมด3

5 5 5 5 1 5 2 5 10

เกดปญหาเดมซ าๆ และไมสามารถแกปญหาไดอยางรวดเรว

ไมมการเรยนรจากเหต information security incident (16.1.6 Learning from information security incidents)

ระบบสารสนเทศทงหมด3

4 4 4 5 1 4 2 5 10

140

ตารางท 4.85 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ขาดหลกฐานอางองจากเหต information security incident

ไมมการรวบรวมหลกฐานจากเหต information security incident (16.1.7 Collection of evidence)

ระบบสารสนเทศทงหมด3

1 1 1 5 1 3 2 5 10

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการวางแผนความตองการดานการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.1 Planning information security continuity)

ระบบสารสนเทศทงหมด3

5 4 5 4 1 5 1 5 5

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการจดท าขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.2 Implementing information security continuity)

ระบบสารสนเทศทงหมด3

5 4 5 4 1 5 1 5 5

141

ตารางท 4.86 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการตรวจสอบ และทบทวนขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.3 Verify, review and evaluate information security continuity)

ระบบสารสนเทศทงหมด3

5 4 5 4 1 5 1 5 5

ด าเนนการกคนระบบสารสนเทศผดวธ ท าใหระบบสารสนเทศไดรบความเสยหาย

ขาดการจดท าขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.2 Implementing information security continuity)

ระบบสารสนเทศทงหมด3

5 5 5 5 1 5 1 5 5

ด าเนนการกคนระบบสารสนเทศผดวธ ท าใหระบบสารสนเทศไดรบความเสยหาย

ขาดการตรวจสอบ และทบทวนขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.3 Verify, review and evaluate information security continuity)

ระบบสารสนเทศทงหมด3

5 5 5 5 1 5 1 5 5

142

ตารางท 4.87 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ระบบสารสนเทศไมสามารถใหบรการดอยางตอเนอง

ขาดการออกแบบระบบใหมสภาพความพรอมใชงาน (17.2.1 Availability of information processing facilities)

ระบบสารสนเทศทงหมด3

5 1 3 3 1 3 2 5 10

การปฏบตงานไมสอดคลองตามกฏหมาย ขอบงคบ ระเบยบทเกยวของ

มการละเมดกฏหมายทรพยสนทางปญญาและการใชผลตภณฑซอฟตแวรทเปนกรรมสทธ (18.1.2 Intellectual property Rights)

ระบบสารสนเทศทงหมด3

1 2 1 5 1 5 1 5 5

พนกงานใชงานอปกรณเคลอนททเชอมตอกบระบบขององคกรอยางไมปลอดภย

ขาดการก าหนดนโยบายการใชงานอปกรณเคลอนท (6.2.1 Mobile device policy)

Staff/Employee 2 1 2 3 1 2 2 3 6

พนกงานปฏบตงานในลกษณะท างานจากระยะไกลอยางไมปลอดภย

ขาดการก าหนดนโยบายการท างานจากระยะไกล (6.2.2 Teleworking)

Staff/Employee 2 1 2 3 1 2 2 3 6

143

ตารางท 4.88 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ผลการทบทวนดานความมนคงปลอดภยสารสนเทศไมถกตอง หรอไมตรงตามความเปนจรง

ขาดความเปนอสระในการทบทวนดานความมนคงปลอดภยสารสนเทศ (18.2.1 Independent review of information security)

ระบบสารสนเทศทงหมด3

1 1 2 2 1 2 2 2 4

พนกงานใหมขาดประสบการณทเหมาะสมกบงาน

ขาดการตรวจสอบประวต หรอภมหลงของผสมครเขาท างาน (7.1.1 Screening)

Staff/Employee 2 1 3 3 1 3 2 3 6

พนกงานไมปฏบตตามเงอนไขการจางงาน

ขาดการจดท าสญญาการจางงานอยางเหมาะสม (7.1.2 Terms and conditions of employment)

Staff/Employee 2 1 3 3 1 3 2 3 6

พนกงานไมปฏบตตามบทบาท หนาท ความรบผดชอบ

ขาดการก าหนดบทบาท หนาท ความรบผดชอบใหพนกงาน (7.2.1 Management responsibilities)

Staff/Employee 2 1 3 3 1 3 2 3 6

144

ตารางท 4.89 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

พนกงานไมปฏบตตามบทบาท หนาท ความรบผดชอบ

ขาดการทบทวนความสอดคลองในการปฏบตงานของผใตบงคบบญชา (18.2.2 Compliance with security policies and standards)

Staff/Employee 2 1 3 3 1 3 1 3 3

พนกงานละเมดกฎหมาย หรอนโยบายขององคกร

ขาดการก าหนดบทลงโทษส าหรบผกระท าความผด (7.2.3 Disciplinary process)

Staff/Employee 2 2 3 5 1 5 1 5 5

พนกงานละเมดกฎหมาย หรอนโยบายขององคกร

ขาดการทบทวนความสอดคลองในการปฏบตงานของผใตบงคบบญชา (18.2.2 Compliance with security policies and standards)

Staff/Employee 2 2 3 5 1 5 1 5 5

การปฏบตงานไมสอดคลองตามกฏหมาย ขอบงคบ

ไมมการระบกฏหมาย ขอบงคบ ระเบยบทเกยวของ (18.1.1 Identification of appli cable legislation and contractual requirements)

Staff/Employee 2 2 3 5 1 5 1 5 5

145

ตารางท 4.90 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

บรการทไดรบจากผใหบรการภายนอกขาดความมนคงปลอดภย

ขาดการสอสารความตองการดานความมนคงปลอดภยไปยงผใหบรการภายนอก (15.1.2 Addressing security within supplier agreements)

External Service 5 4 2 5 1 4 1 5 5

ผรบจางชวงไมปฏบตตามความตองการ เงอนไข และขอก าหนดตางๆ

ขาดการตกลงกบผใหบรการภายนอกกรณมการจางชวง (15.1.3 Information and communication technology supply chain)

External Service 5 4 2 5 1 4 1 5 5

บรการทไดรบจากผใหบรการภายนอกไมสอดคลองตามความตองการทระบไว

ไมมการตดตาม ทบทวนการด าเนนงานของผใหบรการภายนอก (15.2.1 Monitoring and review of supplier services)

External Service 5 4 2 5 1 4 1 5 5

146

ตารางท 4.91 ผลการประเมนความเสยงทคงเหลอ (ตอ)

ภยคกคาม ชองโหว กลมทรพยสน

วเคราะหผลกระทบ ประเมนความเสยง

(P) (F) (IT) (C) (E) (R)

โอกา

ส

ผลกร

ะทบ

ความ

เสยง

ผใหบรการภายนอกไมปฏบตตามเงอนไข และขอก าหนดตางๆ

ไมมการตดตาม ทบทวนการด าเนนงานของผใหบรการภายนอก (15.2.1 Monitoring and review of supplier services)

External Service 5 4 2 5 1 4 1 5 5

หมายเหต: 3 หมายถง กลมทรพยสน EMR System, LIS System, PACS System, Binary MRIS System, Anti-virus Server, Client, Internal Network, Link/Carier, Core Switch และ Firewall/IPS/IDS

147

เพอใหมนใจวามาตรการจดการความเสยงทด าเนนการอยมประสทธภาพและประสทธผลเพยง จงตองมการประเมนความเสยงทคงเหลอ ซงพบวามาตรการจดการความเสยงทก าหนดขนเมอน ามาด าเนนการแลวจะสงผลใหระดบความเสยงลดลง ดงตารางท 4.96 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง

ตารางท 4.92 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง

ภยคกคาม ชองโหว ระดบความเสยง

กอน หลง ไมสามารถตดตอกบหนวยงานทมอ านาจไดยามฉกเฉน

ขาดการระบบรายชอและชองทางการตดตอกบหนวยงานทมอ านาจ (6.1.3 Contact with authorities)

6 6

ทรพยสนสารสนเทศสญหาย ขาดการจดท ารายการทะเบยนทรพยสนสารสนเทศ (8.1.1 Inventory of assets)

5 5

ทรพยสนสารสนเทศสญหาย ขาดการก าหนดวธการคนทรพยสนสารสนเทศ (8.1.4 Return of assets)

10 10

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดผดแลทรพยสนสารสนเทศ (8.1.2 Ownership of assets)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดนโยบายควบคมการเขาถงระบบสารสนเทศ (9.1.1 Access control policy)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการจดการสทธการเขาถงอยางเหมาะสม (9.2.2 User access provisioning)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการจดการสทธการเขาถงระดบสง (9.2.3 Management of privileged access rights)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการทบทวนผใชงาน และสทธทไดรบ (9.2.5 Review of user access rights)

15 5

148

ตารางท 4.93 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง

กอน หลง ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการปรบปรงระดบสทธการเขาถงของผใชงาน (9.2.6 Removal or adjustment of access rights)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการจ ากดการเขาถงสารสนเทศอยางเหมาะสม (9.4.1 Information access restriction)

10 10

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมขนตอนการ Log-on ทปลอดภย (9.4.2 Secure log-on procedures)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

การใชงานอปกรณนอกพนทอยางไมปลอดภย (11.2.6 Security of equipment and assets off-premises)

5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการปองกนการเขาถงอปกรณทางกายภาพ (11.2.8 Unattended user equipment)

5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการแยกสภาพแวอลอมส าหรบการพฒนาระบบ (12.1.4 Separation of development, testing and operational environments)

5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการจดการชองโหวทางเทคนค (12.6.1 Management of technical vulnerabilities)

20 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการปองกนสารสนเทศจากระบบเครอขาย (13.1.1 Network controls)

5 5

149

ตารางท 4.94 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง

กอน หลง ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ไมมการแบงแยกเครอขายอยางเหมาะสม (13.1.3 Segregation in networks)

5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

การพฒนาระบบในสภาพแวดลอมทไมปลอดภย (14.2.6 Secure development environment)

5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนด และทบทวนนโยบายความมนคงปลอดภยสารสนเทศ (5.1.1 Policies for information security)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการแบงแยกหนาทความรบผดชอบอยางเหมาะสม (6.1.2 Segregation of duties)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการสรางความร และความตระหนกใหกบบคลากร (7.2.2 Information security awareness, education and training)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดกฎระเบยบการใชงานทรพยสนสารสนเทศอยางเหมาะสม (8.1.3 Acceptable use of assets)

15 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการก าหนดกระบวนการเมอมพนกงานลาออก หรอยายต าแหนง (7.3.1 Termination or change of employment responsibilities)

5 5

ระบบสารสนเทศถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ผใชงานใชงานขอมลการยนยนตวตนอยางไมเหมาะสม (9.3.1 Use of secret authentication information)

15 5

150

ตารางท 4.95 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

ระบบเครอขายถกเขาถงโดยไมไดรบอนญาต มการเปลยนแปลง แกไข หรอระบบไมสามารถใหบรการได

ขาดการควบคมการเขาถงระบบเครอขายอยางเหมาะสม (9.1.2 Access to networks and network services)

5 5

ทรพยสนสารสนเทศไมไดรบการบ ารงรกษาอยางเหมาะสม

ขาดการก าหนดผดแลทรพยสนสารสนเทศ (8.1.2 Ownership of assets)

8 2

ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดแบงระดบชนความลบของทรพยสนสารสนเทศ (8.2.1 Classification of information)

20 10

ขอมลภายในระบบสารสนเทศรวไหล ขาดการจดท าปายบงชทรพยสนสารสนเทศ (8.2.2 Labelling of information)

20 10

ขอมลภายในระบบสารสนเทศรวไหล ไมมการจดการทรพยสนสารสนเทศตามระดบชนความลบ (8.2.3 Handling of assets)

20 10

ขอมลภายในระบบสารสนเทศรวไหล ไมมการท าลายสอบนทกขอมล (8.3.2 Disposal of media)

20 10

ขอมลภายในระบบสารสนเทศศรวไหล

ไมมการท าลายอปกรณอยางเหมาะสม (11.2.7 Secure disposal or re-use of equipment)

15 5

ขอมลภายในระบบสารสนเทศรวไหล ไมมการปองกนโปรแกรมไมประสงคด (12.2.1 Controls against malware)

20 10

ขอมลภายในระบบสารสนเทศศรวไหล

ไมมการท าขอตกลงการรกษาความลบ (NDA) (13.2.4 Confidentiality or non-disclosure agreements)

5 5

ขอมลการพสจนตวตนของผใชงานรวไหล

ขาดการจดการขอมลการพสจนตวตน (9.2.4 Management of secret authentication information of users)

9 3

151

ตารางท 4.96 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

ขอมลการพสจนตวตนของผใชงานรวไหล

ไมมการจดการรหสผานอยางปลอดภย (9.4.3 Password management system)

9 3

ขอมลภายในระบบสารสนเทศสญหาย

ไมมการส ารอง และทดสอบการกคนขอมลส าคญ (12.3.1 Information backup)

20 10

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดนโยบายการถายโอนสารสนเทศ (13.2.1 Information transfer policies and procedures)

15 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดนโยบายการเขารหสลบขอมล (10.1.1 Policy on the use of cryptographic controls)

15 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการจดการกญแจเขารหสลบขอมลอยางปลอดภย (10.1.2 Key management)

15 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนสารสนเทศทสงผานในเครอขายสาธารณะ (14.1.2 Securing application services on public networks)

5 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกน Transaction ของระบบสารสนเทศ (14.1.3 Protecting application services transactions)

5 5

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการก าหนดวธการจดการสอบนทกขอมลทเคลอนยายได (8.3.1 Management of removable media)

20 10

ขอมลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนสอบนทกขอมลระหวางการเคลอนยาย (8.3.3 Physical media transfer)

5 5

152

ตารางท 4.97 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

ขอมลทน ามาทดสอบระบบสารสนเทศศรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ไมมการปองกนขอมลทน ามาทดสอบระบบ (14.3.1 Protection of test data)

5 5

ขอมลสวนบคคลรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนขอมลสวนบคคล (18.1.4 Privacy and protection of personally identifiable information)

15 5

ขอมลบนทกการปฏบตงานรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ขาดการปองกนขอมลบนทก (18.1.3 Protection of records)

15 5

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

ไมมการจดการสทธการเขาถงอยางเหมาะสม (9.2.2 User access provisioning)

12 4

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

ขาดการก าหนดนโยบายควบคมการเขาถงระบบสารสนเทศ (9.1.1 Access control policy)

16 8

ผใชงานไดรบสทธไมเพยงพอตอการปฏบตงาน

ขาดการปรบปรงระดบสทธการเขาถงของผใชงาน (9.2.6 Removal or adjustment of access rights)

12 4

ผใชงานไมไดรบบญชผใชงานทถกตองเหมาะสม

ไมมชองทางการลงทะเบยน และถอดถอนผใชงาน (9.2.1 User registration and de-registration)

4 4

การเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยใชบญชผใชงานของบคลากรอนแทน

ขาดการจดการขอมลการพสจนตวตน (9.2.4 Management of secret authentication information of users)

15 5

การเขาใชงานระบบเทคโนโลยสารสนเทศขององคกรโดยใชบญชผใชงานของบคลากรอนแทน

ไมมการจดการรหสผานอยางปลอดภย (9.4.3 Password management system)

15 5

153

ตารางท 4.98 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

ระบบสารสนเทศถกภยคกคามจากมลแวร

มการใชงานโปรแกรมอรรถประโยชนทไมปลอดภย (9.4.4 Use of privileged utility programs)

4 4

ซอสโคดของโปรแกรมรวไหล สญหาย หรอถกเปลยนแปลงแกไข

ไมมการปองกนการเขาถงซอสโคดของโปรแกรม (9.4.5 Access control to program source code)

4 4

พนทรกษามนคงปลอดภยถกเขาถงโดยไมไดรบอนญาต อปกรณและขอมลทใชในการด าเนนงาน เสยหาย

ไมมการควบคมประต หรอชองทางการเขาถงทางกายภาพ (11.1.2 Physical entry controls)

15 5

พนทรกษามนคงปลอดภยถกเขาถงโดยไมไดรบอนญาต อปกรณและขอมลทใชในการด าเนนงาน เสยหาย

ขาดการก าหนดพนทบรเวณโดยรอบทางกายภาพ (11.1.1 Physical security perimeter)

5 5

ระบบสารสนเทศเสยหายหายจากภยคกคามทางธรรมชาต เชน ไฟใหม น าทวม แผนดนไหว เปนตน

ขาดการปองกยภยคกคามทางธรรมชาต (11.1.4 Protecting against external and environmental threats)

5 5

บคคลภายนอกทมาสงของเขาถงพนทรกษามนคงปลอดภย

ไมมการก าหนดพนทส าหรบสงสงของ (11.1.6 Delivery and loading areas)

5 5

ระบบสารสนเทศช ารด เสยหาย มการจดวางอปกรณอยางไมปลอดภย (11.2.1 Equipment siting and protection)

4 4

ระบบสารสนเทศช ารด เสยหาย อปกรณสนบสนนไมเพยงพอ (11.2.2 Supporting utilities)

4 4

ระบบสารสนเทศช ารด เสยหาย การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

4 4

ระบบสารสนเทศช ารด เสยหาย ขาดการบ ารงรกษาอปกรณอยางเหมาะสม (11.2.4 Equipment maintenance)

4 4

154

ตารางท 4.99 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

ระบบสารสนเทศช ารด เสยหาย หรอสญหาย

บคลากรน าทรพยสนสารสนเทศไปใชงานขางนอกโดยไมไดรบอนญาต (11.2.5 Removal of assets)

4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการจดการการเปลยนแปลง (12.1.2 Change management)

16 8

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการจดการสมรรถนะของระบบเทคโนโลยสารสนเทศ (12.1.3 Capacity management)

16 8

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ไมมการแยกสภาพแวดลอมส าหรบการพฒนาระบบ (12.1.4 Separation of development, testing and operational environments)

8 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ไมมการปองกนโปรแกรมไมประสงคด (12.2.1 Controls against malware)

16 8

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ผใชงานตดตงซอฟทแวรเองโดยไมไดรบอนญาต (12.6.2 Restrictions on software installation)

4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการทบทวนทางเทคนคเมอมการเปลยนแปลง Platform (14.2.3 Technical review of applications after operating platform changes)

4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

มการแกไขเปลยนแปลงซอฟทแวรส าเรจรป (14.2.4 Restrictions on changes to software packages)

4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ขาดการก าหนดหลกการพฒนาระบบอยางปลอดภย (14.2.5 Secure system engineering principles)

4 4

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

พนกงานปฏบตงานในพนทอยางไมปลอดภย (11.1.5 Working in secure areas)

4 4

155

ตารางท 4.100 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

ระบบสารสนเทศช ารด เสยหาย หรอประมวลผลผดพลาด

ไมมการจดท าคมอการปฏบตงาน (12.1.1 Documented operating Procedures)

4 4

ระบบสารสนเทศประมวลผลผดพลาด

ไมมการตงเวลาใหตรง (12.4.4 Clock synchronisation)

4 4

ระบบสารสนเทศประมวลผลผดพลาด

มการใชงานโปรแกรมอรรถประโยชนทไมปลอดภย (9.4.4 Use of privileged utility programs)

4 4

ระบบสารสนเทศประมวลผลผดพลาด

ผใชงานตดตงซอฟทแวรเองโดยไมไดรบอนญาต (12.6.2 Restrictions on software installation)

4 4

ระบบสารสนเทศประมวลผลผดพลาด

ขาดการทบทวนทางเทคนค (18.2.3 Technical compliance review)

12 4

ระบบสารสนเทศประมวลผลผดพลาด

ไมมการจดการชองโหวทางเทคนค (12.6.1 Management of technical vulnerabilities)

16 8

เกดสญญาณรบกวน ท าใหขอมลไมถกตอง หรอสญหาย

การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

6 6

ถกดกขโมยขอมลทสงผานสายสญญาณ

การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

5 5

สายไฟฟา และสายสญญาณขาด หรอช ารด

การเดนสายไฟฟา และสายสญญาณอยางไมปลอดภย (11.2.3 Cabling security)

3 3

ไมสามารถตรวจสอบกจกรรมการใชงานระบบสารสนเทศ

ไมมการจดเกบ ปองกนขอมลลอกของผใชงาน และผดแลระบบ (12.4.1 Event logging)

15 5

ขอมลส าคญบนโตะท างาน หรอหนาจอคอมพวเตอรสญหาย หรอรวไหล

ไมมการจดระเบยบขอมลส าคญบนโตะท างาน หรอหนาจอคอมพวเตอร (11.2.9 Clear desk and clear screen policy)

5 5

156

ตารางท 4.101 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง

กอน หลง ขอมลลอกถกเขาถงโดยไมไดรบอนญาต

ไมมการจดเกบ ปองกนขอมลลอกของผใชงาน และผดแลระบบ (12.4.1 Event logging)

15 5

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการทดสอบระบบดานความมนคงปลอดภย (14.2.8 System security testing)

5 5

การใหบรการเครอขายไมสอดคลองตามความตองการของผใชงาน

ขาดการระบขอตกลงการใหบรการเครอขาย (13.1.2 Security of network services)

6 6

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการวเคราะหความตองการดานความมนคงปลอดภยสารสนเทศ (14.1.1 Information security requirements analysis and specification)

5 5

ระบบสารสนเทศทพฒนาขนขาดความมนคงปลอดภยสารสนเทศ

ขาดการก าหนดนโยบายการพฒนาระบบอยางมนคงปลอดภย (14.2.1 Secure development policy)

15 5

ระบบสารสนเทศทพฒนาขนไมสอดคลองตามความตองการ

การไมตดตามการท างานของ Outsousce ทเขามาพฒนาระบบ (14.2.7 Outsourced development)

15 5

ระบบสารสนเทศทพฒนาขนไมสอดคลองตามความตองการ

ขาดการทดสอบ UAT (14.2.9 System acceptance testing)

5 5

การแกปญหาลาชา เหตการณลกลามบานปลาย

ขาดการก าหนดผรบผดชอบ และขนตอนการรบมอ Incident (16.1.1 Responsibilities and procedures)

20 10

การแกปญหาลาชา เหตการณลกลามบานปลาย

ไมมการรายงานเหต information security events (16.1.2 Reporting information security events)

20 10

157

ตารางท 4.102 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

การแกปญหาลาชา เหตการณลกลามบานปลาย

ขาดการประเมนและตดสนใจเพอแยกระดบของเหตการณ (16.1.4 Assessment of and decision on information security events)

20 10

การแกปญหาลาชา เหตการณลกลามบานปลาย

ไมมการตอบสนองตอเหต information security incident (16.1.5 Response to information security incidents)

20 10

เกดเหต Incident เนองจากจดออนไมไดรบการปองกน

ไมมการรายงานเหต information security weaknesses (16.1.3 Reporting information security weaknesses)

20 10

เกดปญหาเดมซ าๆ และไมสามารถแกปญหาไดอยางรวดเรว

ไมมการเรยนรจากเหต information security incident (16.1.6 Learning from information security incidents)

20 10

ขาดหลกฐานอางองจากเหต information security incident

ไมมการรวบรวมหลกฐานจากเหต information security incident (16.1.7 Collection of evidence)

20 10

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการวางแผนความตองการดานการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.1 Planning information security continuity)

5 5

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการจดท าขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.2 Implementing information security continuity)

5 5

ไมสามารถกคนระบบสารสนเทศไดทนตามเวลาทก าหนด

ขาดการตรวจสอบ และทบทวนขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.3 Verify, review and evaluate information security continuity)

5 5

158

ตารางท 4.103 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

ด าเนนการกคนระบบสารสนเทศผดวธ ท าใหระบบสารสนเทศไดรบความเสยหาย

ขาดการจดท าขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.2 Implementing information security continuity)

5 5

ด าเนนการกคนระบบสารสนเทศผดวธ ท าใหระบบสารสนเทศไดรบความเสยหาย

ขาดการตรวจสอบ และทบทวนขนตอนการสรางความตอเนองของความมนคงปลอดภยสารสนเทศ (17.1.3 Verify, review and evaluate information security continuity)

5 5

ระบบสารสนเทศไมสามารถใหบรการดอยางตอเนอง

ขาดการออกแบบระบบใหมสภาพความพรอมใชงาน (17.2.1 Availability of information processing facilities)

20 10

การปฏบตงานไมสอดคลองตามกฏหมาย ขอบงคบ ระเบยบทเกยวของ

มการละเมดกฏหมายทรพยสนทางปญญาและการใชผลตภณฑซอฟตแวรทเปนกรรมสทธ (18.1.2 Intellectual property Rights)

5 5

ผลการทบทวนดานความมนคงปลอดภยสารสนเทศไมถกตอง หรอไมตรงตามความเปนจรง

ขาดความเปนอสระในการทบทวนดานความมนคงปลอดภยสารสนเทศ (18.2.1 Independent review of information security)

4 4

พนกงานใชงานอปกรณเคลอนททเชอมตอกบระบบขององคกรอยางไมปลอดภย

ขาดการก าหนดนโยบายการใชงานอปกรณเคลอนท (6.2.1 Mobile device policy)

12 6

พนกงานปฏบตงานในลกษณะท างานจากระยะไกลอยางไมปลอดภย

ขาดการก าหนดนโยบายการท างานจากระยะไกล (6.2.2 Teleworking)

9 6

พนกงานใหมขาดประสบการณทเหมาะสมกบงาน

ขาดการตรวจสอบประวต หรอภมหลงของผสมครเขาท างาน (7.1.1 Screening)

6 6

159

ตารางท 4.104 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

พนกงานไมปฏบตตามเงอนไขการจางงาน

ขาดการจดท าสญญาการจางงานอยางเหมาะสม (7.1.2 Terms and conditions of employment)

6 6

พนกงานไมปฏบตตามบทบาท หนาท ความรบผดชอบ

ขาดการก าหนดบทบาท หนาท ความรบผดชอบใหพนกงาน (7.2.1 Management responsibilities)

6 6

พนกงานไมปฏบตตามบทบาท หนาท ความรบผดชอบ

ขาดการทบทวนความสอดคลองในการปฏบตงานของผใตบงคบบญชา (18.2.2 Compliance with security policies and standards)

3 3

พนกงานละเมดกฎหมาย หรอนโยบายขององคกร

ขาดการก าหนดบทลงโทษส าหรบผกระท าความผด (7.2.3 Disciplinary process)

5 5

พนกงานละเมดกฎหมาย หรอนโยบายขององคกร

ขาดการทบทวนความสอดคลองในการปฏบตงานของผใตบงคบบญชา (18.2.2 Compliance with security policies and standards)

5 5

การปฏบตงานไมสอดคลองตามกฏหมาย ขอบงคบ

ไมมการระบกฏหมาย ขอบงคบ ระเบยบทเกยวของ (18.1.1 Identification of appli cable legislation and contractual requirements)

5 5

บรการทไดรบจากผใหบรการภายนอกขาดความมนคงปลอดภย

ขาดการสอสารความตองการดานความมนคงปลอดภยไปยงผใหบรการภายนอก (15.1.2 Addressing security within supplier agreements)

15 5

ผรบจางชวงไมปฏบตตามความตองการ เงอนไข และขอก าหนดตางๆ

ขาดการตกลงกบผใหบรการภายนอกกรณมการจางชวง (15.1.3 Information and communication technology supply chain)

15 5

160

ตารางท 4.105 เปรยบเทยบผลการประเมนความเสยงกอนและหลงจดการความเสยง (ตอ)

ภยคกคาม ชองโหว ระดบความเสยง กอน หลง

บรการทไดรบจากผใหบรการภายนอกไมสอดคลองตามความตองการทระบไว

ไมมการตดตาม ทบทวนการด าเนนงานของผใหบรการภายนอก (15.2.1 Monitoring and review of supplier services)

15 5

ผใหบรการภายนอกไมปฏบตตามเงอนไข และขอก าหนดตางๆ

ไมมการตดตาม ทบทวนการด าเนนงานของผใหบรการภายนอก (15.2.1 Monitoring and review of supplier services)

15 5

4.11. การวดประสทธภาพ และประสทธผลของการด าเนนงาน

ก าหนดตวชวดประสทธภาพ และประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ เพอใหมนใจวาการบรหารความมนคงปลอดภยสารสนเทศดานสขภาพขององคกรบรรลตามเปาหมายวตถประสงค ดงตารางท 4.110 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ตารางท 4.106 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

วตถประสงค/ตวชวด เปาหมายการวด ความถ วธประเมนผลการปฏบตงาน

1) การประเมนความเสยง มการประเมนความเสยงตามกลมทรพยสน และการประเมนความเสยงบรบท

ปละ 1 ครง

พจารณาผลการประเมนความเสยง

2) การจดการความเสยง มการจดการความเสยงตามแผนการจดการความเสยงทก าหนดไว

ปละ 1 ครง

พจารณาความคบหนาการด าเนนการตามแผนจดการความเสยง

3) การเขารวมประชมคณะกรรมการบรหารเทคโนโลยสารสนเทศ

เขารวมประชมคณะกรรมการบรหารเทคโนโลยสารสนเทศ อยางนอย 10 ครง/ป

ปละ 1 ครง

พจาราณารายชอผเขาประชม

161

ตารางท 4.107 ตวชวดประสทธภาพและประสทธผลของการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ)

วตถประสงค/ตวชวด เปาหมายการวด ความถ วธประเมนผลการปฏบตงาน

4) การแกไขประเดนความไมสอดคลอง

มการแกไขประเดนความไมสอดคลองทตรวจพบตามเวลาทก าหนด

ปละ 1 ครง

พจารณาความคบหนาการด าเนนการแกไขประเดนความไมสอดคลอง

5) การเขาอบรมในหลกสตรทเกยวของ

เขาอบรมในหลกสตรทเกยวของ อยางนอยปละ 1 ครง

ปละ 1 ครง

พจารณาใบรายชอผเขาอบรม

6) ระดบการใหบรการ (Service Level Agreement: SLA)

99.93% (ระบบหยดใหบรการไดไมเกน 30 นาท 14 วนาท / เดอน)

ปละ 1 ครง

เวลา uptime ในรอบป = %uptime x 365 วน x 24 ชวโมง เชน (99.9/100) x 365 x 24 = 8,751.24 ชวโมง

7) การบรหารการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

การเปลยนแปลงระบบเทคโนโลยสารสนเทศทกรายการตองไดรบอนมต

ปละ 1 ครง

พจารณาใบรองขอการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

8) การส ารองและกคนขอมล

มการส ารองและทดสอบกคนขอมลตามชวงระยะเวลาทก าหนดไว

ปละ 1 ครง

พจารณาบนทกผลส ารองและกคนขอมล

9) การจดการเหตละเมดความมนคงปลอดภยสารสนเทศ

เหตละเมดความมนคงปลอดภยสารสนเทศทกรายการไดรบการวเคราะหสาเหต

ปละ 1 ครง

พจารณาใบรายงานเหตละเมดความมนคงปลอดภยสารสนเทศ

10) การปองกนโปรแกรมไมประสงคด

มการตดตงโปรแกรมปองกนไวรส และก าหนดคาการตรวจจบอตโนมต

ปละ 1 ครง

การตดตงโปรแกรมปองกนไวรส และการตงคา

11) การบรหารจดการขอมลลอก

มการทบทวนขอมลลอกตามชวงเวลาทก าหนดไว

ปละ 1 ครง

บนทกผลการทบทวนขอมลลอก

12) การตรวจสอบและแกไขชองโหวในระบบเทคโนโลยสารสนเทศ

มการตรวจสอบชองโหวในระบบเทคโนโลยสารสนเทศตามขอบเขตการขอรบรอง

ปละ 1 ครง

รายงานผลการตรวจสอบชองโหวในระบบเทคโนโลยสารสนเทศ

162

4.12. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน จากการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศทผานมามการน าประเดนท

เกยวของเขาเปนวาระการประชมของคณะกรรมการบรหารเทคโนโลยสารสนเทศ ดงตารางท 4.112 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ตารางท 4.108 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ครงท วนท วาระการประชม มตทประชม

1 24 กรกฏาคม 2560 ประชมเรมด าเนนโครงการ รบทราบ นดหมายอบรมขอก าหนดของ ISO/IEC 27001:2013 และ ISO/IEC 27799:2016

มอบหมายใหเลขาคณะกรรมการฯ ไปพจารณาก าหนดวนท และก าหนดการทเหมาะสม และน ามาเสนอในทประชมครงถดไป

2 28 สงหาคม 2560 ตดตามความคบหนาการด าเนนงาน

รบทราบ

นดหมายอบรมขอก าหนดของ ISO/IEC 27001:2013 และ ISO/IEC 27799:2016

ก าหนดอบรมในวนท 26 กนยายน 2560 เวลา 09:00 – 12:00 น.

การรวบรวมทะเบยนทรพยสนสารสนเทศ

มอบหมายใหงานเทคโนโลยส า ร ส น เ ท ศ ด า เ น น ก า รรวบรวมทะเบยนทรพยสนส า ร ส น เ ท ศ เ พ อ น า ไ ปประเมนความเสยง

รปแบบ และการจดการเอกสาร มอบหมายใหงานเทคโนโลยสารสนเทศประสานงานกบง า น พ ฒ น า ค ณ ภ า พโรงพยาบาลเพอจดท าระบบจดการเอกสารใหเปนระบบเดยวกนทงองคกร

163

ตารางท 4.109 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ)

ครงท วนท วาระการประชม มตทประชม

3 28 กนยายน 2560

ตดตามความคบหนาการด าเนนงาน รบทราบ ขออนมตเกณฑการประเมนความเสยง

มอบหมายใหงานเทคโนโลยสารสนเทศประสานงานกบง า น พ ฒ น า ค ณ ภ า พโรงพยาบาลเพอให เกณฑก า รประ เม นคว าม เส ย งสอดคลองตามเกณฑการประ เมนความ เส ย ง ขององคกร

4 27 ตลาคม 2560 ตดตามความคบหนาการด าเนนงาน รบทราบ

- ขออนมตนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

- ขออนมตขอบเขตการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

- ขออนมตเกณฑการประเมนความเสยง

- ขออนมตการจดระดบชนความลบของสารสนเทศ

- ขออนมตโครงสรางการด าเนนงาน และคมอระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

- พจารณาบทบาทคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศ

อนมต โดยหลกการ และมอบหมายใหงานเทคโนโลยสารสนเทศประสานงานกบง า น พ ฒ น า ค ณ ภ า พโรงพยาบาลเพอปรบปรงรปแบบเอกสารใหสอดคลองกบระบบจดการเอกสารขององคกร

164

ตารางท 4.110 วาระการประชมทเกยวของกบการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ (ตอ)

ครงท วนท วาระการประชม มตทประชม

4 (ตอ)

27 ตลาคม 2560 ผลการอบรม “การท างานอยางไร. . . ให ม ค ว ามม น ค งปลอดภ ยส าหรบสารสนเทศดานสขภาพ ตามมาตรฐานสากล ISO/IEC ๒๗๗๙๙:๒๐๑๖”

รบทราบ

5 27 พฤศจกายน 2560

ตดตามความคบหนาการด าเนนงาน

รบทราบ

6 26 กมภาพนธ 2561 ตดตามความคบหนาการด าเนนงาน

รบทราบ

น าเสนอผลการประเมนความเสยง และขออนมตแผนจดการความเสยง

อนมตใหด าเนนการตามแผนจดการความเสยง

7 26 มนาคม 2561 ตดตามความคบหนาการด าเนนงาน

รบทราบ

8 30 เมษายน 2561 ตดตามความคบหนาการด าเนนงาน

รบทราบ

165

บทท 5 สรปผลการด าเนนงาน

5.1. กลาวน า

ในการด าเนนการโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพตามมาตรฐาน ISO/IEC 27799:2016 กรณศกษาศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร ตามกรอบแนวทางทก าหนดใหสอดคลองกบมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 สามารถสรปผลการด าเนนงานดงตอไปน

5.2. สรปผลการด าเนนงาน

5.2.1. การศกษาบรบทขององคกร จากการศกษาบรบทขององคกร เชน วสยทศน พนธกจ แผนยทธศาสตร และ

ลกษณะการด าเนนงาน ไดท าการวเคราะหจดออน จดแขง โอกาส และอปสรรค โดยใช SWOT Analysis เปนเครองมอในการวเคราะห รวมถงการศกษาความตองการและความคาดหวงของผทเกยวของกบระบบบรหารความนคงปลอดภยสารสนเทศดานสขภาพ

5.2.2. การก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ ในการก าหนดขอบเขตระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ของศนยการแพทยฯ ไดพจารณาความเหมาะสมจากผลการศกษาบรบทขององคกร เพอใหการด าเนนงานสอดคลองตามบรบทของคกร และตอบสนองความตองการและความคาดหวงของผทเกยวของ

5.2.3. การก าหนดนโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ จากการก าหนด และประกาศใชนโยบายระบบบรหารความมนคงปลอดภย

สารสนเทศดานสขภาพ แสดงใหเหนถงความมงมนของผบรหารศนยการแพทยฯ และคณะกรรมการฯ ในการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพของศนยการแพทยฯ ใหบรรลประสทธภาพและประสทธผล และมการปรบปรงอยางตอเนอง

5.2.4. การก าหนดโครงสราง บทบาท หนาท ความรบผดชอบ เนองจากศนยการแพทยฯ มการแตงตงคณะกรรมการบรหารจดการเทคโนโลย

สารสนเทศอยแลว ซงประกอบไปดวยงานเทคโนโลยสารสนเทศ ผบรหารและหวหนางานจากแตละฝายมาเปนคณะกรรมการดงกลาว จงไดท าการพจารณาขอเพมบทบาทหนาทคณะกรรมการบรหารจดการเทคโนโลยสารสนเทศใหรวมถงการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ และมการมอบหมายคณะท างานภายในฝายงานเทคโนโลยสารสนเทศ เพอใหมผรบผดชอบในการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

166

5.2.5. การอบรม ในการด าเนนการโครงงานพฒนาระบบบรหารความมนคงปลอดภยสารสนเทศดาน

สขภาพไดจดใหมการอบรมจ านวน 2 หลกสตร คอ 1) อบรมหลกสตร “การท างานอยางไร...ใหมความมนคงปลอดภยส าหรบ

สารสนเทศดานสขภาพ ตามมาตรฐานสากล ISO/IEC 27799:2016” ในวนท 26 กนยายน 2560 เวลา 09:00 – 12:00 น. ณ หองประชม 5B ชน 5 อาคารศนยการแพทยฯ เพอสรางความร ความเขาใจในขอก าหนดของมาตรฐาน และสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศตามมาตรฐานใหแกผปฏบตงานเทคโนโลยสารสนเทศ และบคคลากรของศนยการแพทยฯ

2) อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ และการปฏบตตามนโยบาย ในวนท 24 เมษายน 2561 เวลา 09:00 – 12:00 น. ณ หองประชมงานเทคโนโลยสารสนเทศ ชน 4 คณะแพทยศาสตร เพอสรางความร ความเขาใจในเรองความมนคงปลอดภยสารสนเทศ และสรางความตระหนกในการปฏบตตตามนโยบายการรกษาความมนคงปลอดภยสารสนเทศดานสขภาพ และระเบยบปฏบตทประกาศใชงานใหแกผปฏบตงานเทคโนโลยสารสนเทศ จ านวน 11 คน

5.2.6. สรปผลการประเมนความเสยง และการจดการความเสยง มการประเมนและจดการความเสยงดานความมนคงปลอดภยสารสนเทศใน 2 สวน

บรบทขององคกร และกลมทรพยสน โดยสามารถสรปผลไดดงน 1) สรปผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (บรบท)

จากการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศโดยอางองตามบรบทขององคกร สามารถสรปจ านวนความเสยงบรบทขององคกรไดดงรปท 5.1 ความเสยงบรบทขององคกร

167

รปท 5.1 ความเสยงบรบทขององคกร

2) สรปผลการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศ (กลม

ทรพยสน) จากการประเมนความเสยงดานความมนคงปลอดภยสารสนเทศโดยอางองตามกลมทรพยสน สามารถสรปคาเฉลยของระดบความเสยงแยกตามมาตรการควบคมความเสยงตามมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน ISO/IEC 27799:2016 จ านวน 14 โดเมน โดยท าการเปรยบเทยบระดบความเสยงกอน และหลงการจดการความเสยงไดดงรปท 5.2 ระดบความเสยงกอน และหลงการจดการความเสยงแยกตามมาตรการควบคมความเสยง

168

รปท 5.2 ระดบความเสยงกอน และหลงการจดการความเสยงแยกตามมาตรการควบคมความเสยง

3) การจดการความเสยง โดยมงเนนการจดท าระเบยบปฏบตตางๆ จ านวน 16

เรอง เพอใหมมาตรฐานในการปฏบตงานเดยวกนสงผลใหไดผลลพธทถกตอง เหมาะสม นอกจากนยงมการจดการความเสยงดวยวธอนๆ เชน การอบรม การจดท านโยบาย การเสนอของบประมาณเพอปรบปรงระบบงานตางๆ เปนตน

5.2.7. การวดประสทธภาพ และประสทธผลของการด าเนนงาน มการก าหนดตวชวดประสทธภาพ และประสทธผลของการด าเนนงาน โดย

ครอบคลมประเดน ดงน

1) การประเมนและจดการความเสยง

2) การประชมคณะกรรมการบรหารเทคโนโลยสารสนเทศ

3) การแกไขประเดนความไมสอดคลอง

169

4) การเขาอบรม

5) ระดบการใหบรการ (Service Level Agreement: SLA)

6) การบรหารการเปลยนแปลงระบบเทคโนโลยสารสนเทศ

7) การส ารองและกคนขอมล

8) การจดการเหตละเมดความมนคงปลอดภยสารสนเทศ

9) การปองกนโปรแกรมไมประสงคด

10) การบรหารจดการขอมลลอก

11) การตรวจสอบและแกไขชองโหวในระบบเทคโนโลยสารสนเทศ

5.2.8. การประชมคณะกรรมการฯ เพอทบทวนผลการด าเนนงาน ในการประชมบรหารจดการเทคโนโลยสารสนเทศ ไดก าหนดใหมการประชมขน

เดอนละ 1 ครง เพอใหมการตดตาม ทบทวนการด าเนนงานระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ และการด าเนนงานของฝายงานเทคโนโลยสารสนเทศ

5.3. ประโยชนทไดรบ

จากการด าเนนโครงงานฯ ท าใหองคกรไดรบประโยชน ดงน

1) ทราบจดออน ภยคกคาม โอกาส และผลกระทบของความเสยงดานความมนคง

ปลอดภยสารสนเทศ

2) บลากรมความรความเขาใจในการด าเนนงานตามมาตรฐาน ISO/IEC 27799:2016

3) มการด าเนนงานอยางเปนระบบ สามารถตรวจสอบยอนกลบได

5.4. อปสรรค และปญหาทพบ จากการด าเนนโครงงานฯ พบอปสรรคและปญหาในการด าเนนงาน ดงน

1) บคลากรทมความจ าเปนตองเขาถงสารสนเทศดานสขภาพเพอปฏบตงานขาดความ

ตระหนกในการรกษาความมนคงปลอดภยสารสนเทศ เนองจากบคลากรดงกลาวม

จ านวนมากจงยากตอการสรางความตระหนกใหมประสทธผล

2) บคลากรในสงกดงานเทคโนโลยสารสนเทศทมบทบาทหนาทหลกในการด าเนนการ

บรหารความมนคงปลอดภยสารสนเทศดานสขภาพมจ านวนไมเพยงพอ

3) องคกรขาดกระบวนการสรางแรงจงใจใหบคลากรใหความส าคญตอการบรหารความ

มนคงปลอดภยสารสนเทศ

170

5.5. แนวทางการพฒนา และปรบปรง จากการด าเนนโครงงานฯ มขอเสนอแนะ แนวทางการพฒนาและปรบปรงการด าเนนงาน

ดงน

1) ด าเนนการตามขอก าหนดของมาตรฐาน ISO/IEC 27001:2013 และมาตรฐาน

ISO/IEC 27799:2016 ใหครบถวน เพอขอการรบรองในมาตรฐานดงกลาว

2) สนบสนนใหมการพฒนาและปรบปรงการด าเนนงานระบบบรหารความมนคง

ปลอดภยสารสนเทศดานสขภาพอยางตอเนอง

3) ควรมการทบทวนผลการวเคราะหบรบทขององคกร นโยบาย และระเบยบปฏบต

ตางๆ ทก าหนดขน ใหสอดคลองกบสถานการณปจจบน

4) ควรมการประเมนความเสยง และก าหนดแนวทางการจดการความเสยงให

สอดคลองกบสถานการณปจจบน

5) ควรมการสรางความรและความตระหนกในการรกษาความมนคงปลอดภย

สารสนเทศใหกบบคลากรทมความจ าเปนตองเขาถงสารสนเทศดานสขภาพเพอ

ปฏบตงานอยางสม าเสมอ

6) ควรสรรหาผตรวจสอบภายในเพอด าเนนการตรวจสอบความสอดคลองในการ

ด าเนนงานของระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

7) ควรก าหนดและมอบหมายหนาทความรบผดชอบของบคลากรในสงกดงาน

เทคโนโลยสารสนเทศใหชดเจน เพอพจารณาขอเพมอตราก าลงตามความจ าเปน

171

เอกสารอางอง

[1] Edward H. Shortliffe and James J. Cimino, “Biomedical Informatics

Applications,” Biomedical Informatics Computer Applications in Health Care and Biomedicine, no. 4, pp. 391-755, 2014.

[2] Frances Wickham Lee, John P. Glaser and Karen A. Wager, “HEALTH CARE INFORMATION SYSTEMS,” HEALTH CARE INFORMATION SYSTEMS A Practical Approach for Health Care Management, no. 2, pp. 87-166, 2009.

[3] ISO 31000, Risk management — Principles and guidelines [4] ISO/IEC 27000:2016, Information technology — Security techniques —

Information security management systems — Overview and vocabulary [5] ISO/IEC 27001:2013, Information technology — Security techniques —

Information security management systems — Requirements [6] ISO/IEC 27799:2016, Health informatics — Information security management

in health using ISO/IEC 27002 [7] ดานการบรหารงานการแพทยในโรงพยาบาล. (2017, เมษายน 17). วกต ารา. [Online].

Availible: https://th.wikibooks.org/w/index.php?title=%E0%B8%94%E0%B9%89%E0%B8%B2%E0%B8%99%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%9A%E0%B8%A3%E0%B8%B4%E0%B8%AB%E0%B8%B2%E0%B8%A3%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%81%E0%B8%9E%E0%B8%97%E0%B8%A2%E0%B9%8C%E0%B9%83%E0%B8%99%E0%B9%82%E0%B8%A3%E0%B8%87%E0%B8%9E%E0%B8%A2%E0%B8%B2%E0%B8%9A%E0%B8%B2%E0%B8%A5&oldid=39943

[8] บรษท ท-เนต จ ากด. มาตรฐาน ISO/IEC27001:2013. [Online]. Available: http://www.tnetsecurity.com/content_audit/27001-2013.pdf

ก-1

ภาคผนวก ก นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ก-2

รปท ก.1 นโยบายระบบบรหารความมนคงปลอดภยสารสนเทศดานสขภาพ

ข-1

ภาคผนวก ข ผลการอบรมใหความรดานมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27799

ข-2

1. หนงสอเชญอบรม

รปท ข.1 หนงสอเชญอบรม

ข-3

2. รายชอผเขาอบรม

รปท ข.2 รายชอผเขาอบรม (1/3)

รปท ข.3 รายชอผเขาอบรม (2/3)

ข-4

รปท ข.4 รายชอผเขาอบรม (3/3)

ข-5

3. ขอสอบวดผลการอบรม

รปท ข.5 ขอสอบวดผลการอบรม (1/3)

ข-6

รปท ข.6 ขอสอบวดผลการอบรม (2/3)

ข-7

รปท ข.7 ขอสอบวดผลการอบรม (3/3)

ข-8

4. รปภาพประกอบการอบรม

รปท ข.8 รปภาพประกอบการอบรม

ค-1

ภาคผนวก ค ผลการอบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ

และการปฏบตตามนโยบาย

ค-2

รปท ค.1 อบรมสรางความร และความตระหนกในเรองความมนคงปลอดภยสารสนเทศ

และการปฏบตตามนโยบาย

ง-1

ภาคผนวก ง การอนมตและประกาศใชระเบยบปฏบตเรองตางๆ

ง-2

รปท ง.1 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการสอบนทกขอมลเคลอนทได

ง-3

รปท ง.2 การอนมตและประกาศใชระเบยบปฏบตเรองการท าลายขอมลและสอบนทก

ง-4

รปท ง.3 การอนมตและประกาศใชระเบยบปฏบตเรองการทบทวนสทธการเขาใชงาน

ง-5

รปท ง.4 การอนมตและประกาศใชระเบยบปฏบตเรองการลอกอนเขาระบบอยางปลอดภย

ง-6

รปท ง.5 การอนมตและประกาศใชระเบยบปฏบตเรองการเขารหสลบขอมล

ง-7

รปท ง.6 การอนมตและประกาศใชระเบยบปฏบตเรองการขอเขาพนทโดยบคคลภายนอก

ง-8

รปท ง.7 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารการเปลยนแปลง

ระบบเทคโนโลยสารสนเทศ

ง-9

รปท ง.8 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการขดความสามารถของระบบ

ง-10

รปท ง.9 การอนมตและประกาศใชระเบยบปฏบตเรองการปองกนโปรแกรมไมประสงคด

ง-11

รปท ง.10 การอนมตและประกาศใชระเบยบปฏบตเรองการส ารองและกคนขอมล

ง-12

รปท ง.11 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการขอมล Log

ง-13

รปท ง.12 การอนมตและประกาศใชระเบยบปฏบตเรองการตรวจสอบและการแกไขชองโหวใน

ระบบเทคโนโลยสารสนเทศ

ง-14

รปท ง.13 การอนมตและประกาศใชระเบยบปฏบตเรองการบรหารจดการผใหบรการภายนอก

ง-15

รปท ง.14 การอนมตและประกาศใชระเบยบปฏบตเรองการจดการเหตละเมดความมนคงปลอดภย

สารสนเทศ

จ-1

ภาคผนวก จ การก าหนดผดแลทรพยสนในระบบจดการครภณฑ

จ-2

รปท จ.1 การก าหนดผดแลทรพยสนในระบบจดการครภณฑ