Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข
ปงบประมาณ 2564 – 2566
ชอหนวยงาน กรมสนบสนนบรการสขภาพ
1. หลกการและเหตผล จากพระราชบญญตวาดวยการกระทำความผดเกยวกบคอมพวเตอร ฉบบท 2 พ.ศ.2560 ดวยแนวคด “GRC”
(Governance, Risk and Compliance) ทำใหหลายองคกรเกดความตนตวในเรอง “Regulatory Compliance” หรอ “การปฏบตตามกฎหมายและกฎระเบยบตางๆ” พระราชบญญตความมนคงปลอดภยไซเบอร พ.ศ.2562 พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 พระราชบญญตวาดวยธรกรรมอเลกทรอนกส พ.ศ. 2553 และทเกยวของ รวมทงพระราชบญญตขอมลขาวสารของทางราชการ พ.ศ. 2540 ทเกยวของกบภารกจของกรมสนบสนนบรการสขภาพ ในการเปนหนวยงานทมโครงสรางพนฐานสำคญทางสารสนเทศ1 (CII : Critical Information Infrastructure) สงผลกระทบตอประชาชนโดยตรง (Impact Security Risk และ Economics Public Health) จากการเช อมโยงขอมลดานระบบบรการสขภาพ (Interconnected Information System) และหนวยงานทเกยวของควรตองผานเกณฑมาตรฐาน เพอใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการในระบบบรการสขภาพรวมทงการทำธรกรรมอเลกทรอนกส จำเปนจะตองมความมนคงปลอดภยไซเบอรในระดบสงเพอคมครองประชาชนหรอประโยชนทสำคญของประเทศ
2. วสยทศนการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ “กรมสนบสนนบรการสขภาพ ผานการประเมนมาตรฐาน ISO/IEC 27001 : 2013 ภายใน ป พ.ศ. 2566”
3. พนธกจการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 1. กรมสนบสนนบรการสขภาพ มแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศท
เกยวของกบระบบบรการสขภาพ 2. กรมสนบสนนบรการสขภาพ ดำเนนงานตามมาตรฐานความมนคงปลอดภยสารสนเทศ: ISO/IEC 27001: 2013 3. กรมสนบสนนบรการสขภาพ ไดรบความเชอมนในการเขาถงและใชประโยชนจากขอมลสารสนเทศดานระบบ
บรการสขภาพภาครฐแบบครบวงจรรองรบนโยบายเศรษฐกจดจทล (Digital Economy)
4. วตถประสงคการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 1. เพอใหผบรหารและบคลากรทกระดบของกรมสนบสนนบรการสขภาพ รวมทงหนวยงานทเกยวของมความร
ความเขาใจและทกษะในการรกษาความมนคงปลอดภยสารสนเทศ 2. เพอใหกรมสนบสนนบรการสขภาพ มแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ
(Information Security Management System) รวมทงสงเสรมการทำธรกรรมอเลกทรอนกส (E-Commerce) ดานระบบบรการสขภาพไดอยางมประสทธภาพ ทผานการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013
3. เพอใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการในระบบบรการสขภาพรวมทงการทำธรกรรมอเลกทรอนกส ทจำเปนจะตองมความมนคงปลอดภยไซเบอรในระดบสงเพอคมครองประชาชนหรอประโยชนทสำคญของประเทศ
5. แนวทางการกำหนดยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ การกำหนดแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศทเก ยวของระบบบรการ
สขภาพ เพอใหกรมสนบสนนบรการสขภาพ ไดรบความเชอมนในการเขาถงและใชประโยชนจากขอมลสารสนเทศดาน
1 มาตรา 3 พระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พ.ศ. ๒๕๖๒
2
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
ระบบบรการสขภาพภาครฐแบบครบวงจร ตามมาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001: 2013 ซงจากผลการวเคราะหองคกรเบองตน2 สามารถนำมากำหนดแนวทางการดำเนนงาน ไดดงน
1. ดานบคลากร ไดกำหนดการพฒนาศกยภาพบคลากร กรมสนบสนนบรการสขภาพ ตามแนวทางการพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ ของสำนกงานคณะกรรมการขาราชการพลเรอน (กพ.) (Cyber Security Litearcy)
1.1 ความรพ นฐาน ในการสรางความตระหนกและการเตรยมความพรอมในการรกษาความม นคงปลอดภยสารสนเทศ (IT Security Awareness)
1.2 การฝกซอมรบมอดานความมนคงปลอดภยไซเบอร (Cyber drill) 1.3 แนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธ การตรวจสอบชองโหว Vulnerability
Assessment (Web Application Hacking) และการเจาะระบบ (Penetration Testing) สำหรบผดแลระบบ (SysAdmin) 2. ดานงบประมาณ เสนอขอการรจดสรรงบประมาณ สำหรบการตรวจประเมนตามมาตรฐานความมนคงปลอดภย
สารสนเทศ ดวยมาตรฐาน ISO/IEC 27001 : 2013 3. ดานครภณฑ การจดเกบรวบรวมครภณฑคอมพวเตอร ทเกยวของ เพอบรหารจดการความเสยงความ
มนคงปลอดภยสารสนเทศ (Risk Assessment) 4. ดานการบรหารจดการ การบรหารจดการความเสยง (Risk Management) ตามแนวทางมาตรฐานทกำหนดให
เปนไปในแนวปฏบตเดยวกน เพอใหผานการประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามพระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พระราชบญญตคมครองขอมลสวนบคคล รวมทงกฎหมายทเกยวของ
กรมสนบสนนบรการสขภาพมภารกจเกยวกบการสนบสนนหนวยบรการสขภาพทกระดบใหมประสทธภาพในการดแลสขภาพของประชาชน โดยสงเสรมและสนบสนนระบบคมครองประชาชนดานบรการสขภาพ สงเสรมและพฒนามาตรฐานมาตรฐานสถานประกอบการเพอสขภาพ รวมทงการพฒนาการมสวนรวมของประชาชนและองคกรภาคเอกชนเพอการบรการสขภาพ อนจะทำใหประชาชนมสขภาพด สามารถพทกษสทธและเขาถงบรการสขภาพทมคณภาพไดมาตรฐาน3
การคมครองผบรโภคดานระบบบรการสขภาพและสงเสรมผประกอบการดานบรการสขภาพเพอประชาชนมศกยภาพในการพงพาตนเอง มระบบขนทะเบยนและออกใบอนญาตสถานพยาบาลและสถานประกอบการเพอสขภาพ (e-Registration) เปนหนวยงานทเก ยวของกบการเกบรกษาขอมลสวนบคคล (Data Privacy Protection) ดานธรกจบรการสขภาพรองรบการดำเนนงานระหวางภาครฐและเอกชน ทสนบสนนการทำธรกรรมอเลกทรอนกส (e-Commerce) ดานระบบบรการสขภาพทงภายในและตางประเทศ รวมทงการพฒนานวตกรรมดจทล (Digital Innovation) ตามนโยบายเศรษฐกจดจทล (Digital Economy) ดงนนเพอใหกรมสนบสนนบรการสขภาพ ไดรบความเชอมนและมความมนคงปลอดภยดานเทคโนโลยสารสนเทศ รวมทงสงเสรมการทำธรกรรมอเลกทรอนกสดานระบบบรการสขภาพ สอดคลองตามกฎหมายทเกยวของฯ ขางตน ในการตดตาม ควบคม กำกบระบบความมนคงปลอดภย (Enterprise Risk Management) ของระบบสารสนเทศใหผานการประเมนตามเกณฑมาตรฐาน ISO/IEC 27001 : 2013 หลงจากการประกาศใชพระราชบญญตความม นคงปลอดภยไซเบอร ในราชกจจานเบกษา เม อวนท 27 พฤษภาคม พ.ศ.2562 แลวน น ตลอดจนการเพมความสามารถในการแขงขนเรองการพฒนาเศรษฐกจดจทลในการขบเคลอนยทธศาสตรชาตและเปนนโยบายสำคญเรงดวนของรฐบาล ในประเดนระบบบรหารจดการองคกรอยางมประสทธภาพ (Government Excellence) และเพมรายไดสประเทศตามแนวนโยบายของการกาวสเศรษฐกจดจทล (Digital Economy)
ในปงบประมาณ พ.ศ.2562 - 2563 กรมสนบสนนบรการสขภาพ ไดเตรยมความพรอมตามแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (ISMS : Information Security Management System) ใน
2 ภาคผนวก ก โครงสรางกรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข 3 กฎกระทรวงแบงสวนราชการ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข พ.ศ.2563 ,ราชกจจานเบกษา เลม 137 ตอนท 41 ก 9 มถนายน 2563
3
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
ประเดนบคลากร (People) ดวยการพฒนาศกยภาพบคลากรเกยวกบการสรางความตระหนกและการเตรยมความพรอมในการรกษาความมนคงปลอดภยสารสนเทศ (IT Security Awareness for User) ทผานกระบวนการฝกซอมรบมอดานความมนคงปลอดภยไซเบอร (Cyber drill) การพฒนาความรพนฐานดานความมนคงปลอดภยสารสนเทศ และสำหรบผดแลระบบ (System Administrators) ไดพฒนาศกยภาพบคลากร และกระบวนการทำงาน (Process) ในดานการตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบชองโหว (Vulnerability Assessment) เชน Web Application Hacking การเจาะระบบ (Penetration Testing) และผลการวเคราะหชองวางมาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ (Gap Assessment) 4 พบวา กรมสนบสนนบรการสขภาพมความพรอมรองรบการตรวจประเมนผานมาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001 : 2013 ในป งบประมาณ พ.ศ. 2564 – 2566
ดงแผนภาพท 1 แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ พ.ศ. 2564 - 2566
4 บรษท เอเชยน อนเทลลเจนท อนฟอรเมชน เทคโนโลย จำกด,2562
4
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
แผนภาพท 1 แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ พ.ศ.2564 – 2566
ISMS HSS Policy 2021-2023
Approach
(2.3) การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามมาตรฐานทกำหนด
ระยะ (Phase)
วตถประสงค (Aim)
ขนตอน (Activities)
วตถประสงคการดำเนนงานสอดคลองตามนโยบาย (1)
Phase I Scoping & Planning
Phase II Gap Assessment &
Roadmap
Phase III ISMS Implementation
Phase IV Internal & External Audit
กำหนดแนวทางการดำเนน ตามมาตรฐาน (2,3)
พฒนาและปรบปรงกระบวนงานตามแนวทางมาตรฐาน (4)
ควบคม กำกบ ตดตามและประเมนผล อยางตอเนอง (5)
แนวคด/แนวทาง
การดำเนนงาน (2.4) การจดการความรดานความมนคงปลอดภยสารสนเทศ
(1.1) ทบทวนมาตรการ กำหนดขอบเขต (Scope) การดำเนนงาน (1) (1.2) จดตงคณะทำงาน (1.3) ศกษามาตรฐาน ปรบปรงแกไขนโยบายฯ ตามแนวทางการดำเนนงานใหสอดคลองตามทกฎหมายกำหนด (2)
(1.4) วเคราะห และประเมนองคกรเบองตน (Gap Analysis) (3) (1.5) จดทำแผนยทธศาสตรฯ /แนวทางปฏบตฯ
(2.1) ปรบปรงกระบวนงานตามมาตรฐาน (2.2) กำหนดตวชวด ในการควบคม กำกบ ตดตามและประเมนผล (3.1) วเคราะหชองวางมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Gap Assessment) (3.2) กำหนดแนวทางปองกนความเสยง (Risk Assessment/Risk Management Framework) (3.3) จดทำรายงานเสนอ Board (3.4) กลมตรวจสอบภายในดำเนนการตรวจสอบ (Pre-Assessment)
(4.1) ประเมนระบบในภาพรวม (Holistic Approach) ตาม Gap Analysis Reportปฏบตตามขอกำหนดมาตรฐานฯ (4.2) ประเมนความเสยงตามแผนการดำเนนงานทกำหนด (Risk Assessment) (4.4) จดทำเอกสารรองรบการประเมน (SOA) (4.5) จดทำรายงานเสนอ Board of Director (DCIO, DPO, CEO)
(4.3) การบรหารจดการความเสยง (Risk Management)
(5.1) Gap Analysis Report (5.2) Risk Assessm
ent / Re Assess & Control (5.3) KPI : CSF
(5.5) การประเมนมครงท 1
(5.5) การประเมนมครงท 2
งบประมาณ กำหนดพนท CII : Data Center, DR Site และ OSS รวมทง Server Room จำนวน 1-12 แหง (ตามการจดสรรงบประมาณ)
5
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
6. แนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ พ.ศ.2563 – 25665
ตามมต คณะกรรมการเทคโนโลยสารสนเทศ (ICT) กรมสนบสนนบรการสขภาพ พ.ศ. 2557 ไดกำหนดให กรมสนบสนนบรการสขภาพผานเกณฑประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 เพอใหการดำเนนงานมประสทธภาพ และเกดประสทธผลตามเปาหมายทกำหนดตามยทธศาสตร การเตรยมความพรอม ใน 5 ขนตอน ดงน
ขนตอนท 1 กำหนดวตถประสงคการดำเนนงาน สอดคลองตามนโยบาย ประกอบดวย การทบทวน กำหนด รายละเอยด ขนตอนของการดำเนนงานสอดคลองตามนโยบาย
ขนตอนท 2 กำหนดแนวทางการดำเนนงานตามมาตรฐาน ประกอบดวย การทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด
ขนตอนท 3 การวเคราะห หาสาเหต โดยการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 (Gap Assessment) ขนตอนท 4 การพฒนา ปรบปรงกระบวนงานตามมาตรฐาน ISO/IEC 27001 : 2013 ขนตอนท 5 การควบคม ตดตาม ปรบปรงอยางตอเนอง
ขนตอนท 1 กำหนดวตถประสงคการดำเนนงาน สอดคลองตามนโยบาย ประกอบดวย การทบทวน กำหนด รายละเอยด ขนตอนของการดำเนนงานสอดคลองตามนโยบาย
1.1 ทบทวนมาตรการ กำหนดขอบเขตการทำงาน (Scope)(1)
1.1.1 กำหนดขอบเขตการดำเนนงาน Server & Network (HSS Net) ซงประกอบดวย 1) กระบวนการทำงาน (Process) 2) ขอมลและสารสนเทศ (Information) 3) ฮารดแวร (Hardware) 4) การบรหารจดการทรพยสน (Asset management) 5) ซอฟตแวร (Software) 6) เครอขายคอมพวเตอร (Network) 7) เครองแมขายเสมอน (Virtual Machine) 8) บคลากร (Personnel) 9) สถานทและระบบสนบสนน (Site)
1.1.2 ภายนอกขอบเขต Server & Network (HSS Net) 1) ระบบงาน ทไมเกยวของกบระบบงานของกรมสนบสนนบรการสขภาพ (HSS Net) 2) เครอขายคอมพวเตอรระหวางผใชบรการทไมเกยวของกบระบบงานของกรมสนบสนน
บรการสขภาพทกำกบดแลโดยผใหบรการภายนอกองคกร 1.2 ดำเนนการจดตงคณะทำงาน IT Security Steering หรอ IT Security Working Group ซงตองมการทบทวน
ทกปเพราะมการเปลยนแปลงโครงสรางองคกร และประชมชแจงแนวทางการดำเนนงานใหบคลากรทกระดบทราบ 1.3 ศกษามาตรฐาน ISO/IEC 27001: 2013 อยางละเอยดทบทวนและปรบปรงแกไขนโยบายการ
บรหารจดการระบบความมนคงปลอดภยสารสนเทศ (2) ประกอบดวย มาตรการควบคม 14 หวขอ 1.3.1 นโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (Information security policies) 1.3.2 โครงสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศขององคกร (Organization of
information security) 1.3.3 ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทเกยวของกบบคลากร (Human resource security) 1.3.4 การบรหารจดการทรพยสน (Asset management)
5 ภาคผนวก ค คมอการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ
6
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
1.3.5 การควบคมการเขาถง (Access control) 1.3.6 การเขารหสขอมล (Cryptography) 1.3.7 ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทางกายภาพและสงแวดลอม (Physical and
environmental security) 1.3.8 การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศดานการดำเนนการ (Operations security) 1.3.9 ความมนคงปลอดภยทางดานการสอสาร (Communications security) 1.3.10 การจดหา การพฒนา และการบำรงรกษาระบบ (System acquisition, development
and maintenance) 1.3.11 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 1.3.12 การบรหารจดการเหตการณความมนคงปลอดภยสนเทศ (Information security
incident management) 1.3.13 ประเดนดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศของการบรหารจดการเพอสราง
ความตอเนองทางธรกจ (Information security aspects of business continuity management) 1.3.14 การปฏบตตามขอกำหนด (Compliance)
1.4 วเคราะหองคกร ในประเดนการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Gap Analysis) เพอดำเนนการขบเคลอนนโยบายการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ไดมประสทธภาพ
1.5 จดทำแผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ 1.6 จดทำนโยบายและแนวปฏบตการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ 1.7 จดทำแผนบรหารความตอเนองในสภาวะวกฤตสารสนเทศ กรมสนบสนนบรการสขภาพ 1.8 จดทำแผนบรหารความเสยงดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ 1.9 ทบทวนผลการดำเนนงานตามแผนการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ
ขนตอนท 2 กำหนดแนวทางการดำเนนงานตามมาตรฐาน ประกอบดวย การทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด
2.1 การพฒนาองคกรดานความมนคงปลอดภยสารสนเทศใหรองรบการตรวจประเมนดวยมาตรฐาน ISO/IEC 27001 : 2013
2.1.1 บรหารจดการระบบความมนคงปลอดภยสารสนเทศ ISO/IEC 27001 : 2013 ประกอบดวย 14 ขอกำหนด (Control Area) 34 ขอควบคม (Control Objectives) และ 114 มาตรการควบคม (Control Points)
(1) ISMS Scope (2) IT Security Steering Committee (3) Internal ISMS Workshop / ISMS Framework / ISMS Framework / ISMS Guideline (4) Holistic Approach :
(4.1) Gap Analysis (4.2) Gap Assessment (4.3) Risk Assessment and Control (4.4) Risk Management
(5) Review and Monitor with SOA Statement of Applicability (6) Pre Assessment by Internal Auditor (7) Assessment by External Auditor for Certify (8) ISMS Control / Re - Audit
7
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
2.1.2 พฒนาระบบบำรงรกษา6 (1) ครภณฑคอมพวเตอร (Hardware / Software) (2) ครภณฑระบบเครอขายคอมพวเตอร (Computer System Network) (3) ครภณฑโครงขายเทคโนโลยการสอสาร (Communication Network) (4) อปกรณจดเกบขอมล (Data Storage Devices) ไดแก
(4.1) สอเกบขอมลแบบจานแมเหลก (Magnetic Disk Device) เชน Hard disk (4.2) สอเกบขอมลชนดแสง (Optical Storage Devices) เชน CD Rom, CD-R, CD-RW,
DVD Rom, DVD-R, DVD-RW (4.3) สอเกบขอมลแบบเทป (Tape Devices) (4.4) หนวยความจำแบบแฟลช (Flash Memory) (4.5) อปกรณจดเกบขอมลชนดพกพา (External Hard disk) (4.6) อปกรณจดเกบขอมลชนดพกพาทไมมจานหมน (Solid-State Drive)
(5) เซรฟเวอร (Server) (5.1) File Server จดเกบไฟลแบบรวมศนย : Centralized Disk Storage (5.2) Print Server สำหรบ Printer ราคาแพงบางรน (5.3) Database Server เพอจดการฐานขอมล (Database Management System) (5.4) Application Server เพอจดการโปรแกรมประยกต เชน Mail Server, Proxy
Server หรอ Web Server 2.1.3 ระบบทำลายขอมลจากอปกรณจดเกบขอมลของสวนราชการตามมาตรฐานการรกษาความ
มนคงปลอดภยสารสนเทศ 2.1.4 บรหารจดการความเสยงดานการรกษาความมนคงปลอดภยไซเบอรเพอใหการรกษาความ
มนคงปลอดภยไซเบอรมประสทธภาพและเพอใหมมาตรการปองกน รบมอ และลดความ เสยงจากภยคกคามทางไซเบอรอนกระทบตอความมนคงของรฐและความสงบเรยบรอยภายในประเทศ ซงการตราพระราชบญญตนสอดคลองกบเงอนไขทบญญตไวในมาตรา ๒๖ ของรฐธรรมนญแหงราชอาณาจกรไทยแลว ในประเดนตอไปน
(1) กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร รวมทงกำหนดมาตรการในการประเมนความเสยง การตอบสนองและรบมอกบภยคกคามทางไซเบอร
(2) กำหนดหนาทของหนวยงานโครงสรางพนฐานสำคญทางสารสนเทศ (CII) และหนาทของหนวยงานควบคมหรอกำกบดแล
(3) กำหนดระดบของภยคกคามทางไซเบอร พรอมทงรายละเอยดของมาตรการปองกน รบมอ (4) วเคราะหสถานการณ และประเมนผลกระทบจากภยคกคามทางไซเบอร (5) กำหนดมาตรการจดการความเสยงจากภยคกคามไซเบอร ตามพระราชบญญตความมนคง
ปลอดภยไซเบอร พ.ศ.2562 (5.1) การระบความเสยงทอาจจะเกดขนแกคอมพวเตอร ขอมลคอมพวเตอร ระบบคอมพวเตอร ขอมล
อนทเกยวของกบระบบคอมพวเตอร ทรพยสนและชวตรางกายของบคคล (5.2) มาตรการปองกนความเสยงทอาจจะเกดขน (5.3) มาตรการตรวจสอบและเฝาระวงภยคกคามทางไซเบอร (5.4) มาตรการเผชญเหตเมอมการตรวจพบภยคกคามทางไซเบอร (5.5) มาตรการรกษาและฟนฟความเสยหายทเกดจากภยคกคามทางไซเบอร
6 ภาคผนวก ข สถานภาพโครงสรางดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ
8
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
2.1.5 บรหารจดการความเสยงดานการคมครองขอมลสวนบคคล เพอการคมครองขอมลสวนบคคลมประสทธภาพและเพอใหมมาตรการเยยวยาเจาของขอมลสวนบคคลจากการถกละเมดสทธในขอมลสวนบคคลทมประสทธภาพ ตามพระราชบญญตคมครองขอมลสวนบคคล พ.ศ.2562
(1) กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการคมครองขอมลสวนบคคล รวมทงกำหนดมาตรการในการประเมนความเสยงทเกยวของกบขอมลสวนบคคล
(2) กำหนดหนาทของหนวยงานทมหนาทควบคม กำกบ ขอมลสวนบคคล (3) กำหนดระดบของขอมลสวนบคคล พรอมทงรายละเอยดของมาตรการปองกนขอมลสวนบคคล (4) วเคราะหสถานการณ และประเมนผลกระทบทเกยวของกบขอมลสวนบคคล (5) กำหนดมาตรการจดการความเสยงดานการคมครองขอมลสวนบคคล
(5.1) มาตรการปองกนความเสยงทอาจจะเกดขน (5.2) มาตรการตรวจสอบและเฝาระวงการละเมดขอมลสวนบคคล (5.3) มาตรการเผชญเหตเมอมการตรวจพบการละเมดขอมลสวนบคคล (5.4) มาตรการรกษาและฟนฟความเสยหายทเกดจากการละเมดขอมลสวนบคคล
2.1.6 การบรณาการโครงสรางพนฐานเทคโนโลยสารสนเทศดานระบบบรการสขภาพ (1) จดหา ซอ เชาครภณฑเทคโนโลยสารสนเทศ (ทดแทน /จดหา) Software ลขสทธ พรอม
ครภณฑคอมพวเตอรทดแทน (2) พฒนาเครอขายคอมพวเตอร โครงขายการสอสาร และการเชอมโยงขอมลของศนยขอมล
ดานระบบบรการสขภาพตามเขตบรการสขภาพ (Health Care Sectors)
การดำเนนงาน : ดำเนนงานรวมกบการจดจางบคลากรภายนอก ผเชยวชาญดานความมนคงปลอดภยสารสนเทศเนองจากขอจำกดดานบคลากร
ผลสมฤทธ : ประชาชนมความเชอมน ในการเขาใชขอมลดานระบบบรการสขภาพทมความมนคงปลอดภย ใน CIA : ทงความถกตอง แมนยำ ครบถวน และรกษาความเปนสวนตว
ตวชวด คอ ระดบความสำเรจของการสรางความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ (CSF)7 2.2 การพฒนาทกษะ องคความรดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) สำหรบ
บคลากร กรมสนบสนนบรการสขภาพ 2.2.1 การพฒนาศกยภาพบคลากรขนพนฐาน (Digital Government Capacity Building)
(1) การพฒนาศกยภาพดานการใชระบบเครอขายคอมพวเตอร (2) การพฒนาศกยภาพดานการใชโครงขายเทคโนโลยการสอสาร (3) การพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) (4) การพฒนาทกษะความรและสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศ สำหรบ
ผใชงาน (User Awareness in Cyber Security) 2.2.2 การพฒนาศกยภาพดานความมนคงปลอดภยสารสนเทศ ชนสง
(1) การบรหารจดการระบบคอมพวเตอร (System Administrator) (2) การบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator) (3) การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber Security Administrator)
(1.3.1) การรกษาความปลอดภยดานกายภาพ (Physical Security) (1.3.2) การรกษาความปลอดภยดานการสอสาร (Communication Security) (1.3.3) การรกษาความปลอดภยการแผรงส (Emission Security)
7 Critical Success Factors หมายถง ภาพรวมความสำเรจสำคญทจะเกดขนเมอโครงการนบรรลเปาหมาย กลาวอกนยหนง หมายถง ตวชวดเชงยทธศาสตร
9
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
(1.3.4) การรกษาความปลอดภยคอมพวเตอร (Computer Security) (1.3.5) การรกษาความปลอดภยเครอขาย (Network Security) (1.3.6) การรกษาความปลอดภยขอมล (Information Security)
2.2.3 การพฒนาศกยภาพบคลากรเฉพาะทาง (1) การพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ
(1.1) พฒนาทกษะบคลากรดานความมนคงปลอดภยสารสนเทศ (1.1.1) ผบรหารเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร (1.1.2) ผเชยวชาญและจดการเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร (1.1.3) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ (1.1.4) ผตรวจสอบสภาพแวดลอมภยคกคามไซเบอร (1.1.5) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ (1.1.6) นกทดสอบชองโหวและภยคกคามระบบเทคโนโลยสารสนเทศ
- การตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบ ชองโหว Vulnerability Assessment (Web Application Hacking)
- การเจาะระบบ (Penetration Testing) (1.1.7) นกวจยและวเคราะหงานเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร
(1.2) สนบสนนการผานการประเมนดานความมนคงปลอดภยสารสนเทศ เชน ISEC : Information Security Expert Certification, CISSP : Certified Information System Security Professional, CISA, CASP, CISM, CSX เปนตน
การดำเนนงาน : (1) จดทำแผนการพฒนาศกยภาพบคลากร ตามแนวทางการเรยนรเทคโนโลยดจทล (Digital Literacy, Cyber Security Literacy) ของสำนกงานคณะกรรมการขาราชการพลเรอน (กพ.)
(2) วเคราะหกรอบอตรากำลง เสนอตอกลมบรหารงานบคคล เพอเสนอตอคณะอนกรรมการสามญ กรมสนบสนนบรการสขภาพ (อกพ.) พจารณา
ผลสมฤทธ : ประชาชนมความเชอมน ในการเขาใชขอมลดานระบบบรการสขภาพ จากการทมการดแลระบบเทคโนโลยสารสนเทศและศกยภาพทดของบคลากรทเกยวของ
ตวชวดท 2 รอยละ 80 ของบคลากรพงพอใจตอการพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) (ตวชวดทางตรง ดานการบรหารจดการ)
2.3 จดหา/จดจางผเชยวชาญดานความมนคงปลอดภยสารสนเทศ /เสนอขอกรอบอตรากำลง/จดสรรอตรากำลงทดแทนและกำหนดเสนทางความกาวหนาในวชาชพ
2.3.1 เสนอขออนมตจดจางผเชยวชาญภายนอก (1) ดานการบรหารจดการระบบคอมพวเตอร (Computer System Administrator) (2) ดานการบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator) (3) ดานการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber Security Administrator)
2.3.2 เสนอกรอบอตรากำลงบคลากรดานความมนคงปลอดภยสารสนเทศ (1) เสนอโครงสรางบคลากรดานความมนคงปลอดภยสารสนเทศ (2) เสนอขอจดสรร/ทดแทน อตรากำลง ผเชยวชาญดานความมนคงปลอดภยสารสนเทศ (3) กำหนดเสนทางความกาวหนาในวชาชพสายความมนคงปลอดภยสารสนเทศ
การดำเนนงาน : (1) จดหา/จดจางผเชยวชาญดานความมนคงปลอดภยสารสนเทศ /เสนอขอ กรอบอตรากำลง/ จดสรรอตรากำลงทดแทนและกำหนดเสนทางความกาวหนาในวชาชพ
10
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
ผลสมฤทธ : ประชาชนมความเชอมน ในการเขาใชขอมลดานระบบบรการสขภาพ จากการทมการดแลระบบเทคโนโลยสารสนเทศและศกยภาพทดของบคลากรทเกยวของ
ตวชวดท 3 รอยละของบคลการผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ (Cyber Security Cirtification) (ตวชวดทางตรง ดานการบรหารจดการ)
ขนตอนท 3 หมายถง การวเคราะห หาสาเหต โดยการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 (Gap Assessment) 3.1 การวเคราะหชองวางมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Gap Assessment) พบวากรม
สนบสนนบรการสขภาพ มความพรอมรองรบตามมาตรฐาน ISO/IEC 27001 : 2013 3.2 การวเคราะหความเสยง (Risk Assessment)
3.2.1 การวเคราะหความเสยงดานความมนคงปลอดภยสารสนเทศ 3.2.2 การวเคราะหความเสยงดานความมนคงปลอดภยไซเบอร 3.2.3 การวเคราะหความเสยงดานการคมครองขอมลสวนบคคล
3.3 วางแผนปองกนความเสยง (Risk Management) 8 3.3.1 การวางแผนปองกนความเสยงดานความมนคงปลอดภยสารสนเทศ 3.2.2 การวางแผนปองกนความเสยงดานความมนคงปลอดภยไซเบอร 3.2.3 การวางแผนปองกนความเสยงดานการคมครองขอมลสวนบคคล
3.4 จดทำรายงานและนำเสนอตอ Board of Director เพอผบรหารระดบสงเขาใจในปญหาทเกดขน และดำเนนการแกไขขอบกพรองจากการทองคกรยงไมไดปฏบตตามมาตรฐานฯ ดงกลาวอยางเปนรปธรรม (Corrective Action)
3.5 กลมตรวจสอบภายในดำเนนการตรวจสอบ (Pre-Assessment) ระดบ Internal Auditor
ขนตอนท 4 การพฒนา ปรบปรงกระบวนงานตามมาตรฐาน ISO/IEC 27001 : 2013 4.1 ประเมนระบบความมนคงปลอดภยสารสนเทศในภาพรวม (Gap Analysis Holistic Approach) ดวย
การนำเสนอ Gap Analysis Report ใน 3 มมมอง 4.1.1 มมมองดานบคลากร (People) 4.1.2 มมมองดานกระบวนการ (Process) 4.1.3 มมมองดานเทคโนโลย (Technology)
4.2 ประเมนและปรบปรงความเสยง (Risk Assessment) (ป 2564) 4.3 ควบคมตามแผนทไดกำหนดไว (Re Assessment & Control) เชน Vulnerability Assessment,
Penetration Testing, Hardening เปนตน 4.4 จดทำเอกสารรองรบการประเมน ในรปแบบ Statement of Applicability (SOA) (ป 2564)
เพอรองรบการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013
ขนตอนท 5 การควบคม ตดตาม ปรบปรงอยางตอเนอง 5.1 ควบคม กำกบ (Control) สอบทาน (Review) และการเฝาระวง (Monitor) เตรยมพรอมรองรบการ
ตรวจประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามแนวทางการบรหารจดการความเสยง (Risk Management) 5.1.1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 5.1.2 การจดการความรดานความมนคงปลอดภยสารสนเทศ
5.2 ดำเนนการตรวจประเมน ครงท 1 (Assessment) โดย External Auditor ดวยการ Outsource ไปยง Manage Security Service Provider หรอ MSSP ทถอเปนการ “Transfer Risk”
5.3 สรปรายงานผลการดำเนนงานการพฒนา / ตดตาม / ประเมนผลตามตวชวดทกำหนด
8 ดำเนนงานในปงบประมาณ พ.ศ. 2564 หรอมความพรอมในการตรวจประเมน
11
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
5.4 ควบคม กำกบ (Control) สอบทาน (Review) และการเฝาระวง (Monitor) เตรยมพรอมรองรบการตรวจประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามแนวทางการบรหารจดการความเสยง (Risk Management)
5.4.1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 5.4.2 การจดการความรดานความมนคงปลอดภยสารสนเทศ
5.5 ดำเนนการตรวจประเมน ครงท 2 (Re - Assessment) โดย External Auditor ทก 3 ป
จากการดำเนนงานตามนโยบายการบรหารจดการระบบความมนคงปลอดภยสารสนเทศของกรมสนบสนนบรการสขภาพทกลาวขางตน เพอจะทำใหกรมสนบสนนบรการสขภาพมมาตรการในการรกษาความมนคงปลอดภยสารสนเทศอยในระดบทปลอดภย ชวยลดความเสยหายตอการดำเนนงาน ทรพยสน บคลากร นโยบายการเขาใชงานระบบสารสนเทศของกรมสนบสนนบรการสขภาพ จดเปนมาตรฐานดานความปลอดภยในการใชงานระบบสารสนเทศของกรมสนบสนนบรการสขภาพ เพอใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการขอมลสารสนเทศดานระบบบรการสขภาพ รวมทงการทำธรกรรมอเลกทรอนกส ทมความมนคงปลอดภยไซเบอรในระดบสง เพอคมครองประชาชนหรอผลประโยชนทสำคญของประเทศ ตามแผนภาพท 2 แสดงถงแนวปฏบตในการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
แผนภาพท 2 แนวปฏบตในการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ พ.ศ.2564 – 2566
13
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
ตารางท 1 แสดงขนตอนการดำเนนงาน “การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ พ.ศ. 2564 - 2566”
ขนตอนการดำเนนงาน
ระยะเวลาดำเนนงาน (เดอนท) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
1. ทบทวน กำหนดรายละเอยด ขนตอนการดำเนนงาน
✓ ✓ ✓ ✓
2. ทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด
✓ ✓ ✓ ✓
3. วเคราะห หาสาเหต ประเมนตามมาตรฐาน
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
4. ดำเนนงานตามมาตรฐาน
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
5. การควบคม ตดตาม ปรบปรงอยางตอเนอง
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
6. ประเมนตามเกณฑมาตรฐาน ✓
✓
✓ ✓
✓
✓ ✓
✓
✓ 7. ปรบปรง ตรวจสอบ ควบคม รายงานผล
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓
หมายเหต : ✓✓ หมายถง การรบการประเมนจาก MSSP : Managed Security Service Provider
14
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
7. กจกรรมและแผนปฏบตการในการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ
แผนปฏบตการท 1 พฒนาองคกรใหรองรบการตรวจประเมนระบบดวย ISO/ COBITS /ITILS หรออนๆ ทเปนมาตรฐานสากล (สอดคลองกบยทธศาสตรท 4 การยกระดบความเชอมนและเพมความปลอดภยของประชาชน)9
โครงการ /กจกรรม /การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 1-1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (ISMS:
Information Security Management System) : ISO/IEC 27001 : 2013 และทแกไขเพมเตมภายหลง เพอรองรบการประเมนมาตรฐาน
1.1.1 ISMS Scope 1.1.2 IT Security Steering Committee 1.1.3 Internal ISMS Workshop / ISMS Framework / ISMS Framework /
ISMS Guideline 1.1.4 Holistic Approach :
1.1.4.1 Gap Analysis 1.1.4.2 Gap Assessment 1.1.4.3 Risk Assessment and Control 1.1.4.4 Risk Management
1.1.5 Review and Monitor with SOA Statement of Applicability 1.1.6 Pre Assessment by Internal Auditor 1.1.7 Assessment by External Auditor for Certify 1.1.8 ISMS Control / Re - Audit
กทส./ทกหนวยงาน
กจกรรมท 1-2 การพฒนาระบบบำรงรกษา 1. ครภณฑคอมพวเตอร (Hardware / Software) 2. ครภณฑระบบเครอขายคอมพวเตอร (Computer Sysytem Network) 3. ครภณฑโครงขายเทคโนโลยการสอสาร (Communication Network) 4. อปกรณจดเกบขอมล (Data Storage Devices) ไดแก
4.1. สอเกบขอมลแบบจานแมเหลก (Magnetic Disk Device) เชน Floppy Disk, Harddisk
4.2. สอเกบขอมลชนดแสง (Optical Storage Devices) เชน CD Rom, CD-R, CD-RW, DVD Rom, DVD-R, DVD-RW
4.3. สอเกบขอมลแบบเทป (Tape Devices) 4.4. หนวยความจำแบบแฟลช (Flash Memory)
5. เซรฟเวอร (Server) 5.1. File Server จดเกบไฟลแบบรวมศนย: Centerized Disk Storage 5.2. Print Server สำหรบ Printer ราคาแพงบางรน 5.3. Database Server เพอจดการฐานขอมล (Database
Management System)
กทส.
9 แผนพฒนาดจทลเพอเศรษฐกจและสงคม กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ระยะ 3 ป (พ.ศ. 2561 – 2563)
15
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
โครงการ /กจกรรม /การดำเนนงาน หนวยงานทรบผดชอบ 5.4. Application Server เพอจดการโปรแกรมประยกต เชน Mail
Server, Proxy Server หรอ Web Server กจกรรมท 1-3 ระบบทำลายขอมลจากอปกรณจดเกบขอมลของสวนราชการตาม
มาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ กทส.
แผนปฏบตการท 2 การรกษาความมนคงปลอดภยไซเบอรทมประสทธภาพ
โครงการ /กจกรรม /การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 2 การบรหารจดการความเสยงดานการรกษาความมนคงปลอดภยไซเบอร
2.1 กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร รวมทงกำหนดมาตรการในการประเมนความเสยง การตอบสนองและรบมอกบภยคกคามทางไซเบอร
2.2 กำหนดหนาทของหนวยงานโครงสรางพนฐานสำคญทางสารสนเทศ และหนาทของหนวยงานควบคมหรอกำกบดแล
2.3 กำหนดระดบของภยคกคามทางไซเบอร พรอมทงรายละเอยดของมาตรการปองกน รบมอ
2.4 วเคราะหสถานการณ และประเมนผลกระทบจากภยคกคามทางไซเบอร 2.5 กำหนดมาตรการจดการความเสยงจากภยคกคามไซเบอร
2.5.1 การระบความเสยงทอาจจะเกดขนแกคอมพวเตอร ขอมลคอมพวเตอร ระบบคอมพวเตอร ขอมลอนทเกยวของกบระบบคอมพวเตอร ทรพยสนและชวตรางกายของบคคล
2.5.2 มาตรการปองกนความเสยงทอาจจะเกดขน 2.5.3 มาตรการตรวจสอบและเฝาระวงภยคกคามทางไซเบอร 2.5.4 มาตรการเผชญเหตเมอมการตรวจพบภยคกคามทางไซเบอร 2.5.5 มาตรการรกษาและฟนฟความเสยหายทเกดจากภยคกคามทางไซเบอร
กทส./ทกหนวยงาน
แผนปฏบตการท 3 การคมครองขอมลสวนบคคล
โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 3 การบรหารจดการความเสยงดานการคมครองขอมลสวนบคคล
3.1 กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการคมครองขอมลสวนบคคล รวมทงกำหนดมาตรการในการประเมนความเสยงทเกยวของกบขอมลสวนบคคล
3.2 กำหนดหนาทของหนวยงานทมหนาทควบคม กำกบ ขอมลสวนบคคล 3.3 กำหนดระดบของขอมลสวนบคคล พรอมทงรายละเอยดของมาตรการ
ปองกนขอมลสวนบคคล 3.4 การวเคราะหสถานการณ และประเมนผลกระทบทเกยวของกบขอมลสวนบคคล 3.5 กำหนดมาตรการจดการความเสยงดานการคมครองขอมลสวนบคคล
3.5.1 มาตรการปองกนความเสยงทอาจจะเกดขน 3.5.2 มาตรการตรวจสอบและเฝาระวงการละเมดขอมลสวนบคคล 3.5.3 มาตรการเผชญเหตเมอมการตรวจพบการละเมดขอมลสวนบคคล
กทส./ทกหนวยงาน (ขนกบความพรอมและนโยบายฯ)
16
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ 3.5.4 มาตรการรกษาและฟนฟความเสยหายทเกดจากการละเมดขอมล
สวนบคคล
แผนปฏบตการท 4 การบรณาการโครงสรางพนฐานเทคโนโลยสารสนเทศดานระบบบรการสขภาพ
โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 4-1 การจดหา ซอ เชาครภณฑเทคโนโลยสารสนเทศ (ทดแทน /จดหา)
Software ลขสทธ พรอมครภณฑคอมพวเตอรทดแทน กทส./ทกหนวยงาน
กจกรรมท 4-2 การพฒนาเครอขายคอมพวเตอร โครงขายการสอสาร และการเชอมโยงขอมลของศนยขอมลดานระบบบรการสขภาพเชงรก ตามเขตบรการสขภาพ (HealthCare Sectors)
กทส./ศบส.1-12/ สสม.5 แหง
แผนปฏบตการท 5 การพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) 5.1 การพฒนาศกยภาพบคลากรขนพนฐาน (Digital Government Capacity Building)
โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 5-1-1 การพฒนาศกยภาพดานการใชอปกรณคอมพวเตอรพนฐาน กทส./ทกหนวยงาน กจกรรมท 5-1-2 การพฒนาศกยภาพดานการใชระบบเครอขายคอมพวเตอร กทส./ทกหนวยงาน กจกรรมท 5-1-3 การพฒนาศกยภาพดานการใชโครงขายเทคโนโลยการสอสาร กทส./ทกหนวยงาน กจกรรมท 5-1-4 การพฒนาองคความรและทกษะดานความมนคงปลอดภย
สารสนเทศ (Cyber Security Literacy) 1. สรางการรบร กระตนใหบคลากรทกระดบ เกดความสนใจในการพฒนา
ทกษะความเขาใจและการใชเทคโนโลยดจทล 2. กำหนดใหการพฒนาองคความร และทกษะดานความม นคงปลอดภย
สารสนเทศ เปนนโยบายของสวนราชการ 3. สรางบรรยากาศการทำงานแบบความมนคงปลอดภยสารสนเทศ 4. พฒนาบคลากรภายในองคกรทกระดบ 5. ตดตามผลการพฒนาบคลากรภายในองคกรทกระดบ 6. ประมวลผลการพฒนาในภาพรวมขององคกร 7. รายงานผลการพฒนาทกษะความเขาใจดานความมนคงปลอดภยสารสนเทศ
เสนอตอผบรหาร
กทส.
กจกรรมท 5-1-5 การพฒนาทกษะความรและสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศ สำหรบผใชงาน (User Awareness in Cyber Security)
กทส.
5.2 การพฒนาศกยภาพบคลากรขนสง
โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 5-2-1 การพฒนาศกยภาพดานความมนคงปลอดภยสารสนเทศ ชนสง เชน
1. การบรหารจดการระบบคอมพวเตอร (System Administrator) 2. การบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator)
กทส.
17
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ 3. การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber Security
Administrator) 3.1 การรกษาความปลอดภยดานกายภาพ (Physical Security) 3.2 การรกษาความปลอดภยดานการสอสาร (Communication Security) 3.3 การรกษาความปลอดภยการแผรงส (Emission Security) 3.4 การรกษาความปลอดภยคอมพวเตอร (Computer Security) 3.5 การรกษาความปลอดภยเครอขาย (Network Security) 3.6 การรกษาความปลอดภยขอมล (Information Security)
กจกรรมท.5.3 การพฒนาศกยภาพบคลากรเฉพาะทาง
โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 5-3-1 การพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ
1. การพฒนาทกษะบคลากรดานความมนคงปลอดภยสารสนเทศ 1.1 ผบรหารเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร 1.2 ผเชยวชาญและจดการเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร 1.3 ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ 1.4 ผตรวจสอบสภาพแวดลอมภยคกคามไซเบอร 1.5 ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ 1.6 นกทดสอบชองโหวและภยคกคามระบบเทคโนโลยสารสนเทศ
- การตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบ ชองโหว Vulnerability Assessment (Web Application Hacking)
- การเจาะระบบ (Penetration Testing) 1.7 นกวจยและวเคราะหงานเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร
2. สนบสนนการผานการประเมนดานความมนคงปลอดภยสารสนเทศ เชน ISEC : Information Security Expert Cirtification, CISSP : Certified Information System Security Professional, CISA, CASP, CISM, CSX เปนตน
กทส.
แผนปฏบตการท 6 การเสนอขออนมตจดจาง/จดสรรกรอบอตรากำลง (Human Resource Management) ใหม
โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 6-1 เสนอขออนมตจดจางผเชยวชาญภายนอก เชน
1. ดานการบรหารจดการระบบคอมพวเตอร (Computer System Administrator) 2. ดานการบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator) 3. ดานการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber
Security Administrator)
กทส. / กบค.
กจกรรมท 6-2 เสนอขออนมตจดสรรกรอบอตรากำลง (ใหม) เพอสนบสนนการปฏบตงานของหนวยงานดานความมนคงปลอดภยสารสนเทศ10
1. เสนอโครงสรางบคลากรดานความมนคงปลอดภยสารสนเทศ 2. เสนอขอจดสรร/ทดแทน อตรากำลง ผเชยวชาญดานความมนคงปลอดภยสารสนเทศ
กทส. /กบค.
10 ภาคผนวก ข กรอบอตรากำลงบคลากรดานความมนคงปลอดภยสารสนเทศ
18
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ 3. กำหนดเสนทางความกาวหนาในวชาชพสายความมนคงปลอดภยสารสนเทศ
8. การตดตามและประเมนผลการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามท กรมสนบสนนบรการสขภาพไดจดทำ “แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ
กรมสนบสนนบรการสขภาพ พ.ศ. 2564 – 2566” ตามแนวทางมาตรฐาน ISO/IEC 27001 : 2013 รวมท งนำมาตรฐานสากลมาปรบใชในการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ
ดานการตดตาม ประเมนผลทสำคญ คอ 1) ตองรความจรง 2) ตองทนเวลา ไมกอใหเกดความเสยหาย หรอเสยหายนอยท สด 3) ตองสรางสรรค สรางขวญและกำลงใจ 4) ตองสงเสรมการพฒนาตนเอง และ 5) ตองมประสทธภาพสงเพอใหการบรหารจดการบรรลผลสำเรจตามเปาหมาย โดยไดกำหนดผลสมฤทธการดำเนนงาน ตามนโยบายสำคญของประเทศ สงผลใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการขอมลสารสนเทศดานระบบบรการสขภาพ การเพมมลคาการทำธรกรรมอเลกทรอนกส ทสามารถสรางรายไดสประเทศเพมขน รวมทงการคมครองประชาชนหรอผลประโยชนทสำคญของประเทศ ดงน
ภาพรวมความสำเรจทสำคญ แผนงานและตวชวด ตวดำเนนงาน 1. การสรางความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ
1. แผนการสรางความเชอมนของการเขาถงขอมลดานระบบบรการสขภาพ - ระดบความสำเรจการสรางความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ
2. การพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy)
2. แผนการพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ - รอยละ 80 ของบคลากรพงพอใจตอการพฒนา องคความรและทกษะดานความมนคงปลอดภยสารสนเทศ
3. บคลากรผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ (Cyber Security Cirtification)
3. แผนการพฒนาศกยภาพบคลากรเฉพาะทางดานความมนคงปลอดภยสารสนเทศ - รอยละของบคลการผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ
(ลงชอ) .......................................................... ผเสนอ (นายอภนนท นลฉาย) ผอำนวยการกลมเทคโนโลยสารสนเทศ
(ลงชอ) ....................................................... ผอนมต (นายธเรศ กรษนยรววงค) อธบดกรมสนบสนนบรการสขภาพ
(ลงชอ) ......................................................... ผเหนชอบ (นายภานวฒน ปานเกต) ผบรหารเทคโนโลยสารสนเทศระดบกรม
19
(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited
เอกสารอางอง
1. พระราชบญญตขอมลขาวสารของทางราชการ พ.ศ. 2540 2. พระราชบญญตสถานพยาบาล พ.ศ.2541 และทแกไขเพมเตม 3. พระราชบญญตการประกอบโรคศลปะ พ.ศ.2542 และทแกไขเพมเตม 4. พระราชบญญตคมครองเดกทเกดโดยอาศยเทคโนโลยชวยการเจรญพนธทางการแพทย พ.ศ.2558 5. พระราชบญญตสถานประกอบการเพอสขภาพ พ.ศ.2559 6. แผนพฒนาเศรษฐกจและสงคมแหงชาต ฉบบท 12 (พ.ศ.2560 – 2564) 7. นโยบายและยทธศาสตรการวจยของชาต ฉบบท 10 (พ.ศ.2560 – 2564) 8.แผนพฒนารฐบาลดจทลของประเทศไทย ระยะ 3 ป (พ.ศ. 2559 – 2561) 9. ยทธศาสตรการเปนศนยกลางดานระบบบรการสขภาพ (Medical Hub) รองรบยทธศาสตรประเทศ (Country
Strategy) พ.ศ. 2559 – 2563 กระทรวงสาธารณสข 10. ยทธศาสตรการบรหารสถาบนวจยระบบสาธารณสข (สวรส.) 11. แผนแมบทเทคโนโลยสขภาพสารสนเทศ กองสขภาพระหวางประเทศ ปงบประมาณ พ.ศ. 2560 12. แผนยทธศาสตรชาต ระยะ 20 ป (ดานสาธารณสข) กระทรวงสาธารณสข : ระบบบรหารจดการ
(Governance Excellence) ประเดนระบบขอมลและเทคโนโลยสารสนเทศ 13. แผนพฒนาดจทลเพอเศรษฐกจและสงคม ระยะ 3 ป (พ.ศ.2561-2563) กรมสนบสนนบรการสขภาพ
กระทรวงสาธารณสข 14. พระราชบญญตงบประมาณประจำป พ.ศ. 2561 ยทธศาสตรท 4: พฒนาระบบบรหารจดการองคกรอยางม
ประสทธภาพกลยทธท 1: พฒนาระบบบรหารจดการองคกร 15. แผนพฒนาดจทลเพอเศรษฐกจและสงคม กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ระยะ 3 ป (พ.ศ.
2561 – 2563) 16. แผนพฒนารฐบาลดจทลของประเทศไทย ระยะ 5 ป (พ.ศ. 2560 – 2564) 17. พระราชบญญตคอมพวเตอร พ.ศ. 2560 18. พระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พ.ศ. 2562 19. พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 20. พระราชบญญตการบรหารงานและการใหบรการภาครฐผานระบบดจทล พ.ศ.2562 21. พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 4) พ.ศ. 2562 และทเกยวของ