it security & risk management
DESCRIPTION
Thai Medical Informatics Association (TMI)'s Health IT Quality Improvement Framework (HITQIF) v1.1 TrainingTRANSCRIPT
การกําหนดนโยบายและระเบียบปฏิบัติ การประเมิน
และควบคุมความเสี่ยง การจัดการความมั่นคงในระบบ
เทคโนโลยีสารสนเทศโรงพยาบาลขั้นต้นนพ.นวนรรน ธีระอัมพรพันธุ์
18 สิงหาคม 2557
SlideShare.net/Nawanan
2003 M.D. (First-Class Honors) (Ramathibodi)2009 M.S. in Health Informatics (U of MN)2011 Ph.D. in Health Informatics (U of MN)
• Faculty of Medicine Ramathibodi HospitalMahidol Universityo Deputy Executive Director for Informatics
(CIO/CMIO), Chakri Naruebodindra Medical Institute
o Lecturer, Department of Community Medicine• Member, TMI Executive Board
[email protected]/Nawananhttp://groups.google.com/group/ThaiHealthIT
Introduction
TMI HITQIF v1.1
• TMI HITQIF Framework• IT Governance• Strategic Planning & IT Master Plan• Structure, Roles, Team Development &
Roadmap to IT Quality• IT Policy, Regulation, Risk & Security
Management• Service Level Management, IT Service Desk &
Data Center Management• Data Management• IT Process, Metrics & Control• Continuous & Sustainable IT Quality
Improvement
Overall Topics of HITQIF Course
Policy
Planning
Implementation
Monitoring &
Evaluation
Enforcement
Big Picture of IT Risk & Security Management
• Overview of IT Security & Privacy• IT Security & Privacy Policy• IT Security Management• IT Risk Management
Outline
Overview of IT Security & Privacy
Malware
Threats to Information Security
Sources of the Threats
Hackers Viruses & Malware Poorly-designed systems Insiders (Employees) People’s ignorance & lack of knowledge Disasters & other incidents affecting information
systems
Information risks Unauthorized access & disclosure of confidential information Unauthorized addition, deletion, or modification of information
Operational risks System not functional (Denial of Service - DoS) System wrongly operated
Personal risks Identity thefts Financial losses Disclosure of information that may affect employment or other
personal aspects (e.g. health information) Physical/psychological harms
Organizational risks Financial losses Damage to reputation & trust
Etc.
Consequences of Security Attacks
Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia)
Security: “The degree of protection to safeguard ... person against danger, damage, loss, and crime.” (Wikipedia)
Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia)
Privacy & Security
Confidentiality
• การรักษาความลับของข้อมูล
Integrity
• การรักษาความครบถ้วนและความถูกต้องของข้อมูล
• ปราศจากการเปลี่ยนแปลงแก้ไข ทําให้สูญหาย ทําให้เสียหาย หรือถูกทําลายโดยมิชอบ
Availability
• การรักษาสภาพพร้อมใช้งาน
หลักการของ Information Security
Examples of Confidentiality Risks
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
Examples of Integrity Risks
http://www.wired.com/threatlevel/2010/03/source-code-hacks/http://en.wikipedia.org/wiki/Operation_Aurora
“Operation Aurora”Alleged Targets: Google, Adobe, Juniper Networks, Yahoo!, Symantec, Northrop Grumman, Morgan Stanley, Dow ChemicalGoal: To gain access to and potentially modify source code repositories at high tech, security & defense contractor companies
Examples of Integrity Risks
http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml
Web Defacements
Examples of Availability Risks
http://en.wikipedia.org/wiki/Blaster_worm
Viruses/worms that led to instability & system restart (e.g. Blaster worm)
Examples of Availability Risks
http://en.wikipedia.org/wiki/Ariane_5_Flight_501
Ariane 5 Flight 501 Rocket Launch Failure
Cause: Software bug on rocket acceleration due to data conversion from a 64-bit floating point number to a 16-bit signed integer without proper checks, leading to arithmatic overflow
Interesting Resources
http://en.wikipedia.org/wiki/List_of_software_bugs http://en.wikipedia.org/wiki/Notable_computer_viruses_an
d_worms http://en.wikipedia.org/wiki/Hacktivism http://en.wikipedia.org/wiki/Website_defacement http://en.wikipedia.org/wiki/Hacker_(computer_security) http://en.wikipedia.org/wiki/List_of_hackers
Protecting Information Privacy & Security
http://www.aclu.org/ordering-pizza
Privacy Protections: Why?
Attack An attempt to breach system security
Threat A scenario that can harm a system
Vulnerability The “hole” that is used in the attack
Common Security Terms
Identify some possible means an attacker could use to conduct a security attack
Class Exercise
Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory
Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer- Electronic access (password)- Tricking user into doing something
(malware, phishing & social engineering)
Eve/Mallory
Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or “sniffing”) data in transit
- Modifying data (“Man-in-the-middle” attacks)
- “Replay” attacksEve/Mallory
Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through- Physical means- User accounts & privileges- Attacks through software vulnerabilities- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory
Alice
Simplified Attack Scenarios
Server Bob
Other & newer forms of attacks possible
Eve/Mallory
Alice
Safeguarding Against Attacks
Server Bob
Administrative Security- Security & privacy policy- Governance of security risk management & response- Uniform enforcement of policy & monitoring- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)- Legal obligations, requirements & disclaimers
Alice
Safeguarding Against Attacks
Server Bob
Physical Security- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras- Mobile device security- Secure storage & secure disposition of storage devices
Alice
Safeguarding Against Attacks
Server Bob
User Security- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)- Principle of Least Privilege- “Clear desk, clear screen policy”- Audit trails
- Education, awareness building & policy enforcement- Alerts & education about phishing & social engineering
Alice
Safeguarding Against Attacks
Server Bob
System Security- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities- Redundancy (avoid “Single Point of Failure”)- Honeypots
Alice
Safeguarding Against Attacks
Server Bob
Software Security- Software (clients & servers) that is secure by design- Software testing against failures, bugs, invalid inputs,
performance issues & attacks- Updates to patch vulnerabilities
Alice
Safeguarding Against Attacks
Server Bob
Network Security- Access control (physical & electronic) to network devices- Use of secure network protocols if possible- Data encryption during transit if possible- Bandwidth monitoring & control
Alice
Safeguarding Against Attacks
Server Bob
Database Security- Access control to databases & storage devices- Encryption of data stored in databases if necessary- Secure destruction of data after use- Access control to queries/reports- Security features of database management systems (DBMS)
Privacy Safeguards
Image: http://www.nurseweek.com/news/images/privacy.jpg
Security safeguards Informed consent Privacy culture User awareness building & education Organizational policy & regulations Enforcement Ongoing privacy & security assessments, monitoring,
and protection
User Security
Access control Selective restriction of access to the system
Role-based access control Access control based on the person’s role
(rather than identity)
Audit trails Logs/records that provide evidence of
sequence of activities
User Security
Identification Identifying who you are Usually done by user IDs or some other unique codes
Authentication Confirming that you truly are who you identify Usually done by keys, PIN, passwords or biometrics
Authorization Specifying/verifying how much you have access Determined based on system owner’s policy & system
configurations “Principle of Least Privilege”
User Security
Nonrepudiation Proving integrity, origin, & performer of an
activity without the person’s ability to refute his actions Most common form: signatures Electronic signatures offer varying degrees of
nonrepudiationPIN/password vs. biometrics
Digital certificates (in public key infrastructure- PKI) often used to ascertain nonrepudiation
User Security
Multiple-Factor Authentication Two-Factor Authentication Use of multiple means (“factors”) for authentication
Types of Authentication Factors Something you know Password, PIN, etc.
Something you have Keys, cards, tokens, devices (e.g. mobile phones)
Something you are Biometrics
User Security
Need for Strong Password Policy
So, two informaticianswalk into a bar...
The bouncer says, "What's the password."
One says, "Password?"
The bouncer lets them in.
Credits: @RossMartin & AMIA (2012)
Recommended Password Policy Length
8 characters or more (to slow down brute-force attacks)
Complexity (to slow down brute-force attacks)
Consists of 3 of 4 categories of characters
Uppercase letters
Lowercase letters
Numbers
Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection)
No meaning (“Dictionary Attacks”)
Not simple patterns (12345678, 11111111) (to slow down brute-force attacks & prevent dictionary attacks)
Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing)
Personal opinion. No legal responsibility assumed.
Recommended Password Policy Expiration (to make brute-force attacks not possible) 6-8 months Decreasing over time because of increasing computer’s
speed But be careful! Too short duration will force users to write
passwords down
Secure password storage in database or system (encrypted or store only password hashes)
Secure password confirmation Secure “forget password” policy Different password for each account. Create variations
to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.
Techniques to Remember Passwords
http://www.wikihow.com/Create-a-Password-You-Can-Remember Note that some of the techniques are less secure!
One easy & secure way: password mnemonic Think of a full sentence that you can remember Ideally the sentence should have 8 or more words, with
numbers and symbols Use first character of each word as password Sentence: I love reading all 7 Harry Potter books! Password: Ilra7HPb! Voila!
Personal opinion. No legal responsibility assumed.
Dear mail.mahidol.ac.th Email Account User,
We wrote to you on 11th January 2010 advising that you change the password onyour account in order to prevent any unauthorised account access followingthe network instruction we previously communicated.
all Mailhub systems will undergo regularly scheduled maintenance. Accessto your e-mail via the Webmail client will be unavailable for some timeduring this maintenance period. We are currently upgrading our data baseand e-mail account center i.e homepage view. We shall be deleting old[https://mail.mahidol.ac.th/l accounts which are no longer active to createmore space for new accountsusers. we have also investigated a system widesecurity audit to improve and enhanceour current security.
In order to continue using our services you are require to update andre-comfirmed your email account details as requested below. To completeyour account re-comfirmation,you must reply to this email immediately andenter your accountdetails as requested below.
Username :Password :Date of Birth:Future Password :
Social Engineering Examples
Real social‐engineering e‐mail received by Speaker
Phishing
Real phishing e‐mail received by Speaker
Poor grammar Lots of typos Trying very hard to convince you to open
attachment, click on link, or reply without enough detail
May appear to be from known person (rely on trust & innocence)
Signs of a Phishing Attack
Don’t be too trusting of people Always be suspicious & alert An e-mail with your friend’s name & info doesn’t have to
come from him/her Look for signs of phishing attacks Don’t open attachments unless you expect them Scan for viruses before opening attachments Don’t click links in e-mail. Directly type in browser using
known & trusted URLs Especially cautioned if ask for passwords, bank
accounts, credit card numbers, social security numbers, etc.
Ways to Protect against Phishing
Malware
Malicious software - Any code with intentional, undesirable side effects
Virus Worm Trojan Spyware Logic Bomb/Time Bomb Backdoor/Trapdoor Rootkit Botnet
Malware
Virus Propagating malware that requires user action
to propagate Infects executable files, data files with
executable contents (e.g. Macro), boot sectors
Worm Self-propagating malware
Trojan A legitimate program with additional, hidden
functionality
Malware
Spyware Trojan that spies for & steals personal
information
Logic Bomb/Time Bomb Malware that triggers under certain conditions
Backdoor/Trapdoor A hole left behind by malware for future
access
Malware
Rogue Antispyware (Ransomware) Software that tricks or forces users to pay before
fixing (real or hoax) spyware detected
Rootkit A stealth program designed to hide existence of
certain processes or programs from detection
Botnet A collection of Internet-connected computers that
have been compromised (bots) which controller of the botnet can use to do something (e.g. do DDoSattacks)
Malware
Installed & updated antivirus, antispyware, & personal firewall Check for known signatures Check for improper file changes (integrity failures) Check for generic patterns of malware (for unknown
malware): “Heuristics scan” Firewall: Block certain network traffic in and out
Sandboxing Network monitoring & containment User education Software patches, more secure protocols
Defense Against Malware
Social media spams/scams/clickjacking Social media privacy issues User privacy settings Location services
Mobile device malware & other privacy risks Stuxnet (advanced malware targeting certain
countries) Advanced persistent threats (APT) by
governments & corporations against specific targets
Newer Threats
Security in Thailand’s ICT Laws
• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550– กําหนดการกระทําทีถ่ือเป็นความผิด และหน้าที่ของผู้ให้บริการ
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551– รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์
– รับรองวิธีการส่งและรับข้อมูลอิเลก็ทรอนิกส ์การใช้ลายมือชื่ออิเล็กทรอนิกส ์(electronic signature) และการรับฟงัพยานหลักฐานที่เป็นข้อมูลอิเล็กทรอนิกส ์เพื่อส่งเสริมการทาํ e-transactions ให้น่าเชื่อถือ
– กําหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ์และอํานาจหน้าที่
กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ (มาตรา 7)
• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9)
• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทําตามวิธีการแบบปลอดภัยที่กําหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
• คําขอ การอนุญาต การจดทะเบียน คําสั่งทางปกครอง การชําระเงิน การประกาศ หรือการดําเนินการใดๆ ตามกฎหมายกับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทําในรูปของข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กําหนดโดย พรฎ.
• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.กําหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนํากฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555
• กําหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูลอิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทนต้นฉบับได้
– เรื่อง หลักเกณฑ์และวิธีการในการจัดทาํหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส ์พ.ศ. 2553
• กําหนดหลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความที่ได้มีการจัดทําหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
– เรื่อง แนวทางการจัดทาํแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส ์(Certificate Authority) พ.ศ. 2552
• ว่าด้วยการให้บริการออกใบรับรองอเิล็กทรอนิกส์ (Certificate)
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553• กําหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลสว่นบุคคลของหน่วยงานของรัฐ พ.ศ. 2553
• กําหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551
• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครองสําหรับผู้ประกอบธุรกิจให้บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552
• ประกาศ ธปท. ที่เกี่ยวข้อง
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเลก็ทรอนิกส ์และหลักเกณฑ์การ
ประเมินระดับผลกระทบของธุรกรรมทางอิเลก็ทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. 2555
• หลักเกณฑ์การประเมินเพื่อกําหนดระดับวิธีการแบบปลอดภัยขั้นต่ํา
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555
• กําหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์• พรบ.ว่าด้วยธรุกรรมทางอิเล็กทรอนิกส์
• พรฎ.วา่ด้วยวธิกีารแบบปลอดภัยในการทํา
ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ
2 ฉบับ)
ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ
จัดทําหรือแปลงเอกสารและข้อความให้อยู่
ในรูปของข้อมูลอิเล็กทรอนิกส์
หน่วยงานของรัฐ
• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทาํธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
รักษาความมัน่คงปลอดภัยด้านสารสนเทศของ
หน่วยงานของรัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
• สํานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สํานักงานปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
• สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ.– Electronic Transactions Development Agency (Public
Organization) - ETDA
หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์– “ธุรกรรมทางอิเล็กทรอนิกสใ์ดที่ได้กระทาํตามวิธีการแบบปลอดภัยที่
กําหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการทีเ่ชื่อถือได้
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
– จําแนกตามประเภทของธุรกรรมทางอิเลก็ทรอนิกส ์(ธุรกรรมที่มีผลกระทบต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจําแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสําคญัของประเทศ หรือ Critical Infrastructure)
“วิธีการแบบปลอดภัย”
ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชําระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภัย
• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูลสาธารณะ
• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ต้องดําเนินการอย่างต่อเนื่องตลอดเวลา
วิธีการแบบปลอดภัยในระดับเคร่งครัด
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน– ต่ํา: ≤ 1 ล้านบาท
– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท
– สูง: > 100 ล้านบาท
ระดับผลกระทบกบัวธิีการแบบปลอดภัย
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามัย– ต่ํา: ไม่มี
– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน
ระดับผลกระทบกบัวธิีการแบบปลอดภัย
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความเสียหายอื่นใด– ต่ํา: ≤ 10,000 คน
– ปานกลาง: 10,000 < จํานวนผู้ได้รับผลกระทบ ≤ 100,000 คน
– สูง: > 100,000 คน
• ผลกระทบด้านความมั่นคงของรัฐ– ต่ํา: ไม่มีผลกระทบต่อความมั่นคงของรัฐ
– สูง: มีผลกระทบต่อความมั่นคงของรัฐ
ระดับผลกระทบกบัวธิีการแบบปลอดภัย
• พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
• พิจารณาตามระดับผลกระทบ– ถ้ามีผลประเมินทีเ่ป็นผลกระทบในระดับสงู 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย
ระดับเคร่งครัด
– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง
– นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน
สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย
• อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements
• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556
• ไม่มีบทกําหนดโทษ เป็นเพียงมาตรฐานสําหรับ “วิธีการที่เชื่อถือได้” ในการพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทางอิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้ําหนักการนําข้อมูลอิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการดําเนินการทางกฎหมาย
• คณะกรรมการธรุกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่รายชื่อหน่วยงานที่มีการจัดทํานโยบายและแนวปฏิบัติโดยสอดคล้องกับวิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้
ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
• แบ่งเป็น 11 หมวด (Domains)– Security policy
– Organization of information security
– Asset management
– Human resources security
– Physical and environmental security
– Communications and operations management
– Access control
– Information systems acquisition, development and maintenance
– Information security incident management
– Business continuity management
– Regulatory compliance
มาตรฐาน Security ตามวิธีการแบบปลอดภัย
มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพืน้ฐาน ระดับกลาง
(เพิ่มเติมจากระดบัพืน้ฐาน)
ระดับสงู
(เพิ่มเติมจากระดบักลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ 6 ข้อ 8 ข้อ
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)
• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ป่วย พ.ศ. 2556
• ประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายเกี่ยวกับการใช้สื่อสังคมออนไลน์ (Social Network) ของบุคลากรและนักศึกษาของมหาวิทยาลัยมหิดล (ลงวันที่ 23 ม.ค. 2556)
• ประกาศคณะฯ เรื่อง ข้อกําหนดการใช้สื่อสังคมออนไลน์ ของคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2556
• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียงในโรงพยาบาลสังกัดของคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2557
ตัวอย่าง: ระเบียบต่างๆ ของรามาธิบดี ด้าน IT Security
IT Security & Privacy Policy
1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• มีการกําหนดนโยบาย และแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศที่
ชัดเจน ครอบคลุมนโยบายด้านความครบถ้วนถูกต้องของข้อมูล ความ
ปลอดภัยของระบบ การรักษาความลับของผู้ป่วย การเก็บสารสนเทศ
ต่างๆ ระยะเวลาในการเก็บข้อมูลผู้ป่วย ข้อมูลดิบและสารสนเทศ การ
ทําลายข้อมูลดิบและสารสนเทศด้วยความเหมาะสม และนโยบายกํากับ
ดูแล ติดตามการดําเนินงานด้านเทคโนโลยีสารสนเทศ
• มีการสื่อสารนโยบายด้านเทคโนโลยีสารสนเทศของโรงพยาบาลให้
ผู้เกี่ยวข้องรับทราบและดําเนินการในแนวเดียวกัน
TMI HITQIF v1.1: Structure & Role
1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• ระดับ 0 ยังไม่มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศ
ของโรงพยาบาล
• ระดับ 1 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล แต่ไม่ครบทุกด้านที่สําคัญ (1. ความครบถ้วนถูกต้องของ
ข้อมูล 2. ความปลอดภัยของระบบ 3. การรักษาความลับผู้ป่วย 4. การ
เก็บสารสนเทศ ระยะเวลาในการเก็บข้อมูล การทําลายข้อมูล 5. การ
กํากับดูแล ติดตามการดําเนินงานด้านเทคโนโลยีสารสนเทศ)
TMI HITQIF v1.1: Structure & Role
1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• ระดับ 2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สําคัญ
• ระดับ 3 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สําคัญ แต่ไม่มีการสื่อสารให้ผู้เกี่ยวข้อง
รับทราบ และดําเนินการแนวเดียวกัน
• ระดับ 4 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สําคัญ มีการสื่อสารให้ผู้เกี่ยวข้องรับทราบ
และดําเนินการแนวเดียวกัน
TMI HITQIF v1.1: Structure & Role
Policy & Guidelines/Work Instructions ono Data completeness & integrityo System securityo Patient information privacy & confidentiality
protectionso Secure data storage, retention & destructiono Monitoring, evaluation & enforcement
Communication of Policy & Guidelines
IT Security & Privacy Policy Checklist
IT Risk Management
Project failures Waste investments Security breaches System crashes Failures by service providers to understand and
meet customer requirements System errors or bugs
Examples of IT Risks
Risk Strategies• Accept/ignore• Avoid completely• Reduce risk
likelihood or impact
• Transfer risk to someone else (e.g. insurance)
Marchewka (2006)
Risk = f(likelihood x impact)
Risk Management
IT Security Management
Technology
ProcessPeople
Balanced IT Security Management
2.1 จัดให้มี Data center
• Data center ของโรงพยาบาล ได้แก่ที่ตั้งของ servers และอุปกรณ์ที่
เกี่ยวข้อง เช่น ระบบสํารองข้อมูล อุปกรณ์สํารอง redundant system
ระบบรักษาความปลอดภัย เป็นต้น data center นี้ต้องมีการจัดการ
อย่างเหมาะสม เพื่อให้แน่ใจว่า จะสามารถใช้งานระบบได้อย่างปลอดภัย
ปราศจากการหยุด หรือสะดุดของระบบ ซึ่งต้องคํานึงถึงสิ่งต่อไปนี้
1) ห้อง สถานที่ และสิ่งแวดล้อม ต้องจัดให้มีความปลอดภัย เช่น มี
การปรับอากาศที่ดี รักษาความปลอดภัยจากบุคคลภายนอก การ
ป้องกันอัคคีภัย (รวมถึงระบบตรวจจับควันและระบบเตือนภัย
เครื่องดับเพลิง และระบบดับเพลิงอัตโนมัติ)
TMI HITQIF v1.1: Technology
2.1 จัดให้มี Data center
2) มีระบบป้องกันการเสียหายของข้อมูลและระบบ (data integrity
and fault tolerance) ซึ่งรวมถึง UPS และระบบไฟฟ้าสํารอง,
ระบบ RAID, redundant power supply และ redundant
servers
3) มีระบบสํารองข้อมูล ทั้งภายใน และภายนอก data center
4) มีการจัดการ network ที่เหมาะสม
TMI HITQIF v1.1: Technology
2.1 จัดให้มี Data center
• ระดับ 0 ไม่มี Data Center
• ระดับ 1 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 1 ใน 4
องค์ประกอบสําคัญ (ดูกรอบการพัฒนา)
• ระดับ 2 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 2 ใน 4
องค์ประกอบสําคัญ
• ระดับ 3 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 3 ใน 4
องค์ประกอบสําคัญ
• ระดับ 4 มี Data Center ที่มีองค์ประกอบสําคัญครบถ้วน
TMI HITQIF v1.1: Technology
2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมลูส่วนบคุคล และการเข้าถึงข้อมูลผู้ป่วย
• ความเป็นส่วนตัวของผู้ป่วยเป็นสิ่งสําคัญ ซึ่งเป็นความเสี่ยงอย่างหนึ่งจาก
การใช้เทคโนโลยี จําเป็นต้องจัดการให้มีระบบที่ป้องกันผู้ไม่ได้รับอนุญาต
เข้าถึงข้อมูลของผู้ป่วย ดังนี้
1) ระบบมีบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน (username and
password)
2) สร้างระบบการเข้าถึงข้อมูลผู้ป่วยให้รัดกุม (ใคร สามารถเข้าถึง
ข้อมูลส่วนไหน ด้วยวิธีใด เป็นต้น)
TMI HITQIF v1.1: Technology
2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมลูส่วนบคุคล และการเข้าถึงข้อมูลผู้ป่วย
3) สามารถระบุตัวผู้ที่นําข้อมูลผู้รับบริการเข้าสู่ระบบ และวันเวลาที่
นําข้อมูลผู้รับบริการเข้าสู่ระบบได้ วันเวลาและผู้ที่เข้าถึง แก้ไข
ข้อมูล
4) มีเทคโนโลยีด้านความมั่นคงของระบบเช่น firewall ระบบป้องกัน
ไวรัสและโทรจัน การแยกระบบ Internet และระบบงาน
โรงพยาบาล การจัด private network เป็นต้น
TMI HITQIF v1.1: Technology
2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมลูส่วนบคุคล และการเข้าถึงข้อมูลผู้ป่วย
• ระดับ 0 ไม่มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัย
และคุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วย
• ระดับ 1 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน
อย่างน้อย 1 ใน 4 องค์ประกอบสําคัญ (บัญชีรายชื่อผู้ใช้ ระบบการ
เข้าถึงข้อมูล การระบุตัวตน เทคโนโลยีความมั่นคง)
TMI HITQIF v1.1: Technology
2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมลูส่วนบคุคล และการเข้าถึงข้อมูลผู้ป่วย
• ระดับ 2 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน
อย่างน้อย 2 ใน 4 องค์ประกอบสําคัญ
• ระดับ 3 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยอย่างน้อย
3 ใน 4 องค์ประกอบสําคัญ
• ระดับ 4 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยที่มี
องค์ประกอบสําคัญครบถ้วน
TMI HITQIF v1.1: Technology
3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ ผู้ใช้งานระบบ
เทคโนโลยีสารสนเทศได้รับการพัฒนาให้ใช้งานได้อย่างถูกต้อง และ
เป็นไปตามบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร
ทั้งด้านความถูกต้องครบถ้วนของข้อมูล การรักษาความลับของ
ผู้ป่วย และความปลอดภัยของระบบเทคโนโลยีสารสนเทศ การ
พัฒนานี้ รวมถึงผู้บริหารระดับสูงและผู้เกี่ยวข้องได้รับการพัฒนาให้
เข้าใจเกี่ยวกับหลักการจัดการสารสนเทศ (Principles of
Information Management) ที่จําเป็นด้วย
TMI HITQIF v1.1: People
อัตรากําลังของหน่วยงานเทคโนโลยีสารสนเทศโรงพยาบาลนั้น อาจ
มีความยืดหยุ่นได้ เช่นงานบางอย่างด้านเทคโนโลยีสารสนเทศอาจ
จัดจ้างบุคคลภายนอกดูแล แต่ต้องมีการจัดการที่แน่ใจได้ว่าจะ
สามารถดําเนินการด้านเทคโนโลยีสารสนเทศได้อย่างราบรื่น
ปลอดภัย รวมทั้งจะไม่กระทบต่อภารกิจหลักของโรงพยาบาล และ
ไม่กระทบต่อความลับของผู้ป่วย
TMI HITQIF v1.1: People
3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ
• ระดับ 0 ไม่มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ
• ระดับ 1 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ แต่ไม่
สอดคล้องกับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร
• ระดับ 2 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง
กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร แต่ไม่
ครอบคลุมบุคลากรทุกระดับ
TMI HITQIF v1.1: People
3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ
• ระดับ 3 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง
กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม
บุคลากรทุกระดับ แต่ดําเนินการได้ไม่ถึงร้อยละ 90 ของแผน
• ระดับ 4 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง
กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม
บุคลากรทุกระดับ และดําเนินการได้มากกว่าหรือเท่ากับร้อยละ 90 ของ
แผน
TMI HITQIF v1.1: People
4.4 มีการออกแบบระบบคงทนต่อความผิดพลาด (fault
tolerance) มีการบํารุงรักษาอย่างสม่ําเสมอ (Availability
Management) มีการจัดการเพื่อให้ระบบเทคโนโลยีสารสนเทศ
ดําเนินงานได้อย่างต่อเนื่อง และสามารถกู้คืนระบบได้แม้จะมี
เหตุการณ์ไม่คาดฝันเกดิขึ้น (IT Service Continuity
Management) โดยมีการวิเคราะห์และจัดทําแผนสํารองฉุกเฉินใน
การกู้คืนระบบ รวมทั้งมีการทบทวนและซักซ้อนแผนอย่าง
สม่ําเสมอ
(To be covered in an upcoming lecture by the same speaker)
TMI HITQIF v1.1: Process
4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
มีกระบวนการที่ทําให้แน่ใจได้ว่า ระบบและข้อมูลได้รับการปกป้อง
จากการใช้งานที่ไม่ถูกต้องหรือไม่ได้รับอนุญาต ประกอบไปด้วย
1) ความปลอดภัยด้านกายภาพ เช่น มาตรการการเข้าออก data
center
2) ด้าน software และการใช้งาน เช่น การเลือกใช้ database
3) การทําบัญชีรายชื่อผู้ใช้งาน การกําหนดสิทธิผู้ใช้งาน (Access
control) การรักษาความลับรหัสผ่านของผู้ใช้แต่ละบุคคล รวมถึง
ยืนยันตัวบุคคล (Authentication)
TMI HITQIF v1.1: Process
4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
4) ด้านเครือข่าย เช่น การเชื่อมโยง Internet การป้องกันการบุกรุก
เครือข่าย
5) การบํารุงรักษาระบบโดยบุคคลภายนอก มีมาตรการควบคุม
6) การป้องกันไวรัสในระบบคอมพิวเตอร์ และเครื่องมือแพทย์
7) การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
TMI HITQIF v1.1: Process
4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
• ระดับ 0 ไม่มีการจัดการด้านความปลอดภัยเทคโนโลยี
สารสนเทศ
• ระดับ 1 มีการกําหนดนโยบายด้านความปลอดภยัเทคโนโลยี
สารสนเทศ แต่ดําเนินงานได้ไม่เกิน 2 องค์ประกอบสําคัญ (ด้าน
กายภาพ ด้าน software ด้านบัญชีรายชื่อผู้ใช้ ด้านเครือข่าย
การบํารุงระบบโดยบุคคลภายนอก การป้องกันไวรัส การจัดการ
ด้านความปลอดภัย )
TMI HITQIF v1.1: Process
4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
• ระดับ 2 มีการกําหนดนโยบายด้านความปลอดภยัเทคโนโลยี
สารสนเทศ แต่ดําเนินงานได้3-4 องค์ประกอบสําคัญ
• ระดับ 3 มีการกําหนดนโยบายด้านความปลอดภยัเทคโนโลยี
สารสนเทศ แต่ดําเนินงานได้5-6 องค์ประกอบสําคัญ
• ระดับ 4 มีการกําหนดนโยบายด้านความปลอดภยัเทคโนโลยี
สารสนเทศ ดําเนินงานได้ครบทุกองค์ประกอบสําคัญ
TMI HITQIF v1.1: Process
4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก
และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน ประกอบไปด้วย
1) การบันทึก อาการสําคัญ ประวัติ ผลการตรวจร่างกาย และคํา
วินิจฉัยโรค ในบัตรผู้ป่วยนอก และ/หรือ เวชระเบียน
อิเล็กทรอนิกส์ โดยต้องไม่จัดเก็บรหัส ICD แทนคําวินิจฉัยโรค
2) บันทึกประวัติตรวจร่างกายแรกรับ บันทึกความก้าวหน้า และการ
สรุปเวชระเบียนเมื่อสิ้นสุดการรักษา (Discharge Summary) ใน
แฟ้มผู้ป่วยใน
3) รายงานการผ่าตัด ในผู้ป่วยทุกรายที่ได้รับการผ่าตัด
4) การให้รหสั ICD ทั้งรหัสกลุ่มโรค และรหัสการผ่าตัด
TMI HITQIF v1.1: Process
4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก
และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน
• ระดับ 0 ไม่มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บอย่าง
ถูกต้องครบถ้วน
• ระดับ 1 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ แต่ยัง
ดําเนินการได้ไม่ครบ 4 องค์ประกอบสําคัญ (OPD Cards, Discharge
summary, Operative note, ICD Codings)
• ระดับ 2 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ
ดําเนินการได้ครบ 4องค์ประกอบสําคัญ แต่ไม่ครบทุกประเด็นย่อย
TMI HITQIF v1.1: Process
4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก
และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน
• ระดับ 3 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ
ดําเนินการได้ครบ 4องค์ประกอบสําคัญ ครบทุกประเด็นย่อย แต่บาง
รายการอ่านไม่ออกเนื่องจากปัญหาลายมือ สัญลักษณ์ลับ คํากํากวม
• ระดับ 4 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ
ดําเนินการได้ครบ 4องค์ประกอบสําคัญ ครบทุกประเด็นย่อย ทุก
รายการแสดงผลได้ชัดเจน ไม่กํากวม
TMI HITQIF v1.1: Process
Final Thoughts
• ภัยด้าน IT Security & Privacy เป็น Risk ที่สําคัญอันหนึ่งที่ต้อง
มีการบริหารจัดการ
• Security มีทั้ง C, I, A และเกี่ยวข้องกับ Privacy
• Policy & Regulation รวมทั้ง Legal compliance
มีความสําคญั
• อย่าลืมให้ความสําคญักบัทั้ง 3 ด้านของ IT Security อย่างได้
สมดุล: People, Process, Technology
IT Security
เตรียมเป็น Presentation slides นําเสนอในสัปดาห์หน้า
รวมทุกข้อไม่เกนิ 15 นาที/คน
1. ในองค์กรของท่าน มีนโยบาย/แนวทางปฏิบัติ ด้าน
IT Security และ Privacy หรือไม่
• ถ้ามี วิจารณ์ความครบถ้วน/เหมาะสมของนโยบาย/
แนวทางปฏิบัติดังกล่าว
• ถ้าไม่มี สมมติว่าท่านได้รับมอบหมายให้ร่างนโยบาย
ดังกล่าว ลองร่าง outline หัวข้อที่ควรกล่าวถึง
(ไม่ต้องลงรายละเอียด)
Homework (Individual)
2. ศึกษาระบบงาน IT ขององค์กรของท่าน แล้ววิจารณ์ว่าองค์กร
มีความปลอดภัย (Security) และการคุ้มครอง Privacy
ข้อมูลผู้ป่วย มากน้อยเพียงใด มีความเสี่ยงอะไรที่เห็นได้ชัด
บ้างหรือไม่ (ควรดูทั้งด้าน Technology และ Process)• หากมีรายละเอียดเยอะ ให้เลือกความเสี่ยงสําคัญๆ ที่น่าสนใจ
• การนําเสนอ อย่าระบุรายละเอียดของความเสี่ยงมากเกินไปจน
ผู้อื่นนําไปใช้โจมตีได้จริง
Homework (Individual)
3. ถ้าท่านเพิ่งได้รับมอบหมายให้รับผิดชอบเรื่อง IT Security &
Privacy ขององค์กร ระบุสิ่งที่ท่านจะ focus ใน 1 ปีแรก
Homework (Individual)