1 แผนยุทธศาสตร์การบริหารจัดการ ...ict.hss.moph.go.th/fileupload_doc/2020-08-13-1-20...1977/01/13 · 1 (DRAFT) 2020 ISMS POLICY

1

(DRAFT) 2020 ISMS POLICY [HSS, MOPH] | 11 August,2020/TS edited

แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข

ปงบประมาณ 2564 – 2566

ชอหนวยงาน กรมสนบสนนบรการสขภาพ

1. หลกการและเหตผล จากพระราชบญญตวาดวยการกระทำความผดเกยวกบคอมพวเตอร ฉบบท 2 พ.ศ.2560 ดวยแนวคด “GRC”

(Governance, Risk and Compliance) ทำใหหลายองคกรเกดความตนตวในเรอง “Regulatory Compliance” หรอ “การปฏบตตามกฎหมายและกฎระเบยบตางๆ” พระราชบญญตความมนคงปลอดภยไซเบอร พ.ศ.2562 พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 พระราชบญญตวาดวยธรกรรมอเลกทรอนกส พ.ศ. 2553 และทเกยวของ รวมทงพระราชบญญตขอมลขาวสารของทางราชการ พ.ศ. 2540 ทเกยวของกบภารกจของกรมสนบสนนบรการสขภาพ ในการเปนหนวยงานทมโครงสรางพนฐานสำคญทางสารสนเทศ1 (CII : Critical Information Infrastructure) สงผลกระทบตอประชาชนโดยตรง (Impact Security Risk และ Economics Public Health) จากการเช อมโยงขอมลดานระบบบรการสขภาพ (Interconnected Information System) และหนวยงานทเกยวของควรตองผานเกณฑมาตรฐาน เพอใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการในระบบบรการสขภาพรวมทงการทำธรกรรมอเลกทรอนกส จำเปนจะตองมความมนคงปลอดภยไซเบอรในระดบสงเพอคมครองประชาชนหรอประโยชนทสำคญของประเทศ

2. วสยทศนการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ “กรมสนบสนนบรการสขภาพ ผานการประเมนมาตรฐาน ISO/IEC 27001 : 2013 ภายใน ป พ.ศ. 2566”

3. พนธกจการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 1. กรมสนบสนนบรการสขภาพ มแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศท

เกยวของกบระบบบรการสขภาพ 2. กรมสนบสนนบรการสขภาพ ดำเนนงานตามมาตรฐานความมนคงปลอดภยสารสนเทศ: ISO/IEC 27001: 2013 3. กรมสนบสนนบรการสขภาพ ไดรบความเชอมนในการเขาถงและใชประโยชนจากขอมลสารสนเทศดานระบบ

บรการสขภาพภาครฐแบบครบวงจรรองรบนโยบายเศรษฐกจดจทล (Digital Economy)

4. วตถประสงคการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 1. เพอใหผบรหารและบคลากรทกระดบของกรมสนบสนนบรการสขภาพ รวมทงหนวยงานทเกยวของมความร

ความเขาใจและทกษะในการรกษาความมนคงปลอดภยสารสนเทศ 2. เพอใหกรมสนบสนนบรการสขภาพ มแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ

(Information Security Management System) รวมทงสงเสรมการทำธรกรรมอเลกทรอนกส (E-Commerce) ดานระบบบรการสขภาพไดอยางมประสทธภาพ ทผานการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013

3. เพอใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการในระบบบรการสขภาพรวมทงการทำธรกรรมอเลกทรอนกส ทจำเปนจะตองมความมนคงปลอดภยไซเบอรในระดบสงเพอคมครองประชาชนหรอประโยชนทสำคญของประเทศ

5. แนวทางการกำหนดยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ การกำหนดแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศทเก ยวของระบบบรการ

สขภาพ เพอใหกรมสนบสนนบรการสขภาพ ไดรบความเชอมนในการเขาถงและใชประโยชนจากขอมลสารสนเทศดาน

1 มาตรา 3 พระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พ.ศ. ๒๕๖๒

2


ระบบบรการสขภาพภาครฐแบบครบวงจร ตามมาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001: 2013 ซงจากผลการวเคราะหองคกรเบองตน2 สามารถนำมากำหนดแนวทางการดำเนนงาน ไดดงน

1. ดานบคลากร ไดกำหนดการพฒนาศกยภาพบคลากร กรมสนบสนนบรการสขภาพ ตามแนวทางการพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ ของสำนกงานคณะกรรมการขาราชการพลเรอน (กพ.) (Cyber Security Litearcy)

1.1 ความรพ นฐาน ในการสรางความตระหนกและการเตรยมความพรอมในการรกษาความม นคงปลอดภยสารสนเทศ (IT Security Awareness)

1.2 การฝกซอมรบมอดานความมนคงปลอดภยไซเบอร (Cyber drill) 1.3 แนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธ การตรวจสอบชองโหว Vulnerability

Assessment (Web Application Hacking) และการเจาะระบบ (Penetration Testing) สำหรบผดแลระบบ (SysAdmin) 2. ดานงบประมาณ เสนอขอการรจดสรรงบประมาณ สำหรบการตรวจประเมนตามมาตรฐานความมนคงปลอดภย

สารสนเทศ ดวยมาตรฐาน ISO/IEC 27001 : 2013 3. ดานครภณฑ การจดเกบรวบรวมครภณฑคอมพวเตอร ทเกยวของ เพอบรหารจดการความเสยงความ

มนคงปลอดภยสารสนเทศ (Risk Assessment) 4. ดานการบรหารจดการ การบรหารจดการความเสยง (Risk Management) ตามแนวทางมาตรฐานทกำหนดให

เปนไปในแนวปฏบตเดยวกน เพอใหผานการประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามพระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พระราชบญญตคมครองขอมลสวนบคคล รวมทงกฎหมายทเกยวของ

กรมสนบสนนบรการสขภาพมภารกจเกยวกบการสนบสนนหนวยบรการสขภาพทกระดบใหมประสทธภาพในการดแลสขภาพของประชาชน โดยสงเสรมและสนบสนนระบบคมครองประชาชนดานบรการสขภาพ สงเสรมและพฒนามาตรฐานมาตรฐานสถานประกอบการเพอสขภาพ รวมทงการพฒนาการมสวนรวมของประชาชนและองคกรภาคเอกชนเพอการบรการสขภาพ อนจะทำใหประชาชนมสขภาพด สามารถพทกษสทธและเขาถงบรการสขภาพทมคณภาพไดมาตรฐาน3

การคมครองผบรโภคดานระบบบรการสขภาพและสงเสรมผประกอบการดานบรการสขภาพเพอประชาชนมศกยภาพในการพงพาตนเอง มระบบขนทะเบยนและออกใบอนญาตสถานพยาบาลและสถานประกอบการเพอสขภาพ (e-Registration) เปนหนวยงานทเก ยวของกบการเกบรกษาขอมลสวนบคคล (Data Privacy Protection) ดานธรกจบรการสขภาพรองรบการดำเนนงานระหวางภาครฐและเอกชน ทสนบสนนการทำธรกรรมอเลกทรอนกส (e-Commerce) ดานระบบบรการสขภาพทงภายในและตางประเทศ รวมทงการพฒนานวตกรรมดจทล (Digital Innovation) ตามนโยบายเศรษฐกจดจทล (Digital Economy) ดงนนเพอใหกรมสนบสนนบรการสขภาพ ไดรบความเชอมนและมความมนคงปลอดภยดานเทคโนโลยสารสนเทศ รวมทงสงเสรมการทำธรกรรมอเลกทรอนกสดานระบบบรการสขภาพ สอดคลองตามกฎหมายทเกยวของฯ ขางตน ในการตดตาม ควบคม กำกบระบบความมนคงปลอดภย (Enterprise Risk Management) ของระบบสารสนเทศใหผานการประเมนตามเกณฑมาตรฐาน ISO/IEC 27001 : 2013 หลงจากการประกาศใชพระราชบญญตความม นคงปลอดภยไซเบอร ในราชกจจานเบกษา เม อวนท 27 พฤษภาคม พ.ศ.2562 แลวน น ตลอดจนการเพมความสามารถในการแขงขนเรองการพฒนาเศรษฐกจดจทลในการขบเคลอนยทธศาสตรชาตและเปนนโยบายสำคญเรงดวนของรฐบาล ในประเดนระบบบรหารจดการองคกรอยางมประสทธภาพ (Government Excellence) และเพมรายไดสประเทศตามแนวนโยบายของการกาวสเศรษฐกจดจทล (Digital Economy)

ในปงบประมาณ พ.ศ.2562 - 2563 กรมสนบสนนบรการสขภาพ ไดเตรยมความพรอมตามแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (ISMS : Information Security Management System) ใน

2 ภาคผนวก ก โครงสรางกรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข 3 กฎกระทรวงแบงสวนราชการ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข พ.ศ.2563 ,ราชกจจานเบกษา เลม 137 ตอนท 41 ก 9 มถนายน 2563

3


ประเดนบคลากร (People) ดวยการพฒนาศกยภาพบคลากรเกยวกบการสรางความตระหนกและการเตรยมความพรอมในการรกษาความมนคงปลอดภยสารสนเทศ (IT Security Awareness for User) ทผานกระบวนการฝกซอมรบมอดานความมนคงปลอดภยไซเบอร (Cyber drill) การพฒนาความรพนฐานดานความมนคงปลอดภยสารสนเทศ และสำหรบผดแลระบบ (System Administrators) ไดพฒนาศกยภาพบคลากร และกระบวนการทำงาน (Process) ในดานการตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบชองโหว (Vulnerability Assessment) เชน Web Application Hacking การเจาะระบบ (Penetration Testing) และผลการวเคราะหชองวางมาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ (Gap Assessment) 4 พบวา กรมสนบสนนบรการสขภาพมความพรอมรองรบการตรวจประเมนผานมาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001 : 2013 ในป งบประมาณ พ.ศ. 2564 – 2566

ดงแผนภาพท 1 แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ พ.ศ. 2564 - 2566

4 บรษท เอเชยน อนเทลลเจนท อนฟอรเมชน เทคโนโลย จำกด,2562

4


แผนภาพท 1 แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ พ.ศ.2564 – 2566

ISMS HSS Policy 2021-2023

Approach

(2.3) การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามมาตรฐานทกำหนด

ระยะ (Phase)

วตถประสงค (Aim)

ขนตอน (Activities)

วตถประสงคการดำเนนงานสอดคลองตามนโยบาย (1)

Phase I Scoping & Planning

Phase II Gap Assessment &

Roadmap

Phase III ISMS Implementation

Phase IV Internal & External Audit

กำหนดแนวทางการดำเนน ตามมาตรฐาน (2,3)

พฒนาและปรบปรงกระบวนงานตามแนวทางมาตรฐาน (4)

ควบคม กำกบ ตดตามและประเมนผล อยางตอเนอง (5)

แนวคด/แนวทาง

การดำเนนงาน (2.4) การจดการความรดานความมนคงปลอดภยสารสนเทศ

(1.1) ทบทวนมาตรการ กำหนดขอบเขต (Scope) การดำเนนงาน (1) (1.2) จดตงคณะทำงาน (1.3) ศกษามาตรฐาน ปรบปรงแกไขนโยบายฯ ตามแนวทางการดำเนนงานใหสอดคลองตามทกฎหมายกำหนด (2)

(1.4) วเคราะห และประเมนองคกรเบองตน (Gap Analysis) (3) (1.5) จดทำแผนยทธศาสตรฯ /แนวทางปฏบตฯ

(2.1) ปรบปรงกระบวนงานตามมาตรฐาน (2.2) กำหนดตวชวด ในการควบคม กำกบ ตดตามและประเมนผล (3.1) วเคราะหชองวางมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Gap Assessment) (3.2) กำหนดแนวทางปองกนความเสยง (Risk Assessment/Risk Management Framework) (3.3) จดทำรายงานเสนอ Board (3.4) กลมตรวจสอบภายในดำเนนการตรวจสอบ (Pre-Assessment)

(4.1) ประเมนระบบในภาพรวม (Holistic Approach) ตาม Gap Analysis Reportปฏบตตามขอกำหนดมาตรฐานฯ (4.2) ประเมนความเสยงตามแผนการดำเนนงานทกำหนด (Risk Assessment) (4.4) จดทำเอกสารรองรบการประเมน (SOA) (4.5) จดทำรายงานเสนอ Board of Director (DCIO, DPO, CEO)

(4.3) การบรหารจดการความเสยง (Risk Management)

(5.1) Gap Analysis Report (5.2) Risk Assessm

ent / Re Assess & Control (5.3) KPI : CSF

(5.5) การประเมนมครงท 1

(5.5) การประเมนมครงท 2

งบประมาณ กำหนดพนท CII : Data Center, DR Site และ OSS รวมทง Server Room จำนวน 1-12 แหง (ตามการจดสรรงบประมาณ)

5


6. แนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ พ.ศ.2563 – 25665

ตามมต คณะกรรมการเทคโนโลยสารสนเทศ (ICT) กรมสนบสนนบรการสขภาพ พ.ศ. 2557 ไดกำหนดให กรมสนบสนนบรการสขภาพผานเกณฑประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 เพอใหการดำเนนงานมประสทธภาพ และเกดประสทธผลตามเปาหมายทกำหนดตามยทธศาสตร การเตรยมความพรอม ใน 5 ขนตอน ดงน

ขนตอนท 1 กำหนดวตถประสงคการดำเนนงาน สอดคลองตามนโยบาย ประกอบดวย การทบทวน กำหนด รายละเอยด ขนตอนของการดำเนนงานสอดคลองตามนโยบาย

ขนตอนท 2 กำหนดแนวทางการดำเนนงานตามมาตรฐาน ประกอบดวย การทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด

ขนตอนท 3 การวเคราะห หาสาเหต โดยการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 (Gap Assessment) ขนตอนท 4 การพฒนา ปรบปรงกระบวนงานตามมาตรฐาน ISO/IEC 27001 : 2013 ขนตอนท 5 การควบคม ตดตาม ปรบปรงอยางตอเนอง

ขนตอนท 1 กำหนดวตถประสงคการดำเนนงาน สอดคลองตามนโยบาย ประกอบดวย การทบทวน กำหนด รายละเอยด ขนตอนของการดำเนนงานสอดคลองตามนโยบาย

1.1 ทบทวนมาตรการ กำหนดขอบเขตการทำงาน (Scope)(1)

1.1.1 กำหนดขอบเขตการดำเนนงาน Server & Network (HSS Net) ซงประกอบดวย 1) กระบวนการทำงาน (Process) 2) ขอมลและสารสนเทศ (Information) 3) ฮารดแวร (Hardware) 4) การบรหารจดการทรพยสน (Asset management) 5) ซอฟตแวร (Software) 6) เครอขายคอมพวเตอร (Network) 7) เครองแมขายเสมอน (Virtual Machine) 8) บคลากร (Personnel) 9) สถานทและระบบสนบสนน (Site)

1.1.2 ภายนอกขอบเขต Server & Network (HSS Net) 1) ระบบงาน ทไมเกยวของกบระบบงานของกรมสนบสนนบรการสขภาพ (HSS Net) 2) เครอขายคอมพวเตอรระหวางผใชบรการทไมเกยวของกบระบบงานของกรมสนบสนน

บรการสขภาพทกำกบดแลโดยผใหบรการภายนอกองคกร 1.2 ดำเนนการจดตงคณะทำงาน IT Security Steering หรอ IT Security Working Group ซงตองมการทบทวน

ทกปเพราะมการเปลยนแปลงโครงสรางองคกร และประชมชแจงแนวทางการดำเนนงานใหบคลากรทกระดบทราบ 1.3 ศกษามาตรฐาน ISO/IEC 27001: 2013 อยางละเอยดทบทวนและปรบปรงแกไขนโยบายการ

บรหารจดการระบบความมนคงปลอดภยสารสนเทศ (2) ประกอบดวย มาตรการควบคม 14 หวขอ 1.3.1 นโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (Information security policies) 1.3.2 โครงสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศขององคกร (Organization of

information security) 1.3.3 ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทเกยวของกบบคลากร (Human resource security) 1.3.4 การบรหารจดการทรพยสน (Asset management)

5 ภาคผนวก ค คมอการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

6


1.3.5 การควบคมการเขาถง (Access control) 1.3.6 การเขารหสขอมล (Cryptography) 1.3.7 ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทางกายภาพและสงแวดลอม (Physical and

environmental security) 1.3.8 การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศดานการดำเนนการ (Operations security) 1.3.9 ความมนคงปลอดภยทางดานการสอสาร (Communications security) 1.3.10 การจดหา การพฒนา และการบำรงรกษาระบบ (System acquisition, development

and maintenance) 1.3.11 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 1.3.12 การบรหารจดการเหตการณความมนคงปลอดภยสนเทศ (Information security

incident management) 1.3.13 ประเดนดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศของการบรหารจดการเพอสราง

ความตอเนองทางธรกจ (Information security aspects of business continuity management) 1.3.14 การปฏบตตามขอกำหนด (Compliance)

1.4 วเคราะหองคกร ในประเดนการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Gap Analysis) เพอดำเนนการขบเคลอนนโยบายการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ไดมประสทธภาพ

1.5 จดทำแผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ 1.6 จดทำนโยบายและแนวปฏบตการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ 1.7 จดทำแผนบรหารความตอเนองในสภาวะวกฤตสารสนเทศ กรมสนบสนนบรการสขภาพ 1.8 จดทำแผนบรหารความเสยงดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ 1.9 ทบทวนผลการดำเนนงานตามแผนการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

ขนตอนท 2 กำหนดแนวทางการดำเนนงานตามมาตรฐาน ประกอบดวย การทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด

2.1 การพฒนาองคกรดานความมนคงปลอดภยสารสนเทศใหรองรบการตรวจประเมนดวยมาตรฐาน ISO/IEC 27001 : 2013

2.1.1 บรหารจดการระบบความมนคงปลอดภยสารสนเทศ ISO/IEC 27001 : 2013 ประกอบดวย 14 ขอกำหนด (Control Area) 34 ขอควบคม (Control Objectives) และ 114 มาตรการควบคม (Control Points)

(1) ISMS Scope (2) IT Security Steering Committee (3) Internal ISMS Workshop / ISMS Framework / ISMS Framework / ISMS Guideline (4) Holistic Approach :

(4.1) Gap Analysis (4.2) Gap Assessment (4.3) Risk Assessment and Control (4.4) Risk Management

(5) Review and Monitor with SOA Statement of Applicability (6) Pre Assessment by Internal Auditor (7) Assessment by External Auditor for Certify (8) ISMS Control / Re - Audit

7


2.1.2 พฒนาระบบบำรงรกษา6 (1) ครภณฑคอมพวเตอร (Hardware / Software) (2) ครภณฑระบบเครอขายคอมพวเตอร (Computer System Network) (3) ครภณฑโครงขายเทคโนโลยการสอสาร (Communication Network) (4) อปกรณจดเกบขอมล (Data Storage Devices) ไดแก

(4.1) สอเกบขอมลแบบจานแมเหลก (Magnetic Disk Device) เชน Hard disk (4.2) สอเกบขอมลชนดแสง (Optical Storage Devices) เชน CD Rom, CD-R, CD-RW,

DVD Rom, DVD-R, DVD-RW (4.3) สอเกบขอมลแบบเทป (Tape Devices) (4.4) หนวยความจำแบบแฟลช (Flash Memory) (4.5) อปกรณจดเกบขอมลชนดพกพา (External Hard disk) (4.6) อปกรณจดเกบขอมลชนดพกพาทไมมจานหมน (Solid-State Drive)

(5) เซรฟเวอร (Server) (5.1) File Server จดเกบไฟลแบบรวมศนย : Centralized Disk Storage (5.2) Print Server สำหรบ Printer ราคาแพงบางรน (5.3) Database Server เพอจดการฐานขอมล (Database Management System) (5.4) Application Server เพอจดการโปรแกรมประยกต เชน Mail Server, Proxy

Server หรอ Web Server 2.1.3 ระบบทำลายขอมลจากอปกรณจดเกบขอมลของสวนราชการตามมาตรฐานการรกษาความ

มนคงปลอดภยสารสนเทศ 2.1.4 บรหารจดการความเสยงดานการรกษาความมนคงปลอดภยไซเบอรเพอใหการรกษาความ

มนคงปลอดภยไซเบอรมประสทธภาพและเพอใหมมาตรการปองกน รบมอ และลดความ เสยงจากภยคกคามทางไซเบอรอนกระทบตอความมนคงของรฐและความสงบเรยบรอยภายในประเทศ ซงการตราพระราชบญญตนสอดคลองกบเงอนไขทบญญตไวในมาตรา ๒๖ ของรฐธรรมนญแหงราชอาณาจกรไทยแลว ในประเดนตอไปน

(1) กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร รวมทงกำหนดมาตรการในการประเมนความเสยง การตอบสนองและรบมอกบภยคกคามทางไซเบอร

(2) กำหนดหนาทของหนวยงานโครงสรางพนฐานสำคญทางสารสนเทศ (CII) และหนาทของหนวยงานควบคมหรอกำกบดแล

(3) กำหนดระดบของภยคกคามทางไซเบอร พรอมทงรายละเอยดของมาตรการปองกน รบมอ (4) วเคราะหสถานการณ และประเมนผลกระทบจากภยคกคามทางไซเบอร (5) กำหนดมาตรการจดการความเสยงจากภยคกคามไซเบอร ตามพระราชบญญตความมนคง

ปลอดภยไซเบอร พ.ศ.2562 (5.1) การระบความเสยงทอาจจะเกดขนแกคอมพวเตอร ขอมลคอมพวเตอร ระบบคอมพวเตอร ขอมล

อนทเกยวของกบระบบคอมพวเตอร ทรพยสนและชวตรางกายของบคคล (5.2) มาตรการปองกนความเสยงทอาจจะเกดขน (5.3) มาตรการตรวจสอบและเฝาระวงภยคกคามทางไซเบอร (5.4) มาตรการเผชญเหตเมอมการตรวจพบภยคกคามทางไซเบอร (5.5) มาตรการรกษาและฟนฟความเสยหายทเกดจากภยคกคามทางไซเบอร

6 ภาคผนวก ข สถานภาพโครงสรางดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ

8


2.1.5 บรหารจดการความเสยงดานการคมครองขอมลสวนบคคล เพอการคมครองขอมลสวนบคคลมประสทธภาพและเพอใหมมาตรการเยยวยาเจาของขอมลสวนบคคลจากการถกละเมดสทธในขอมลสวนบคคลทมประสทธภาพ ตามพระราชบญญตคมครองขอมลสวนบคคล พ.ศ.2562

(1) กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการคมครองขอมลสวนบคคล รวมทงกำหนดมาตรการในการประเมนความเสยงทเกยวของกบขอมลสวนบคคล

(2) กำหนดหนาทของหนวยงานทมหนาทควบคม กำกบ ขอมลสวนบคคล (3) กำหนดระดบของขอมลสวนบคคล พรอมทงรายละเอยดของมาตรการปองกนขอมลสวนบคคล (4) วเคราะหสถานการณ และประเมนผลกระทบทเกยวของกบขอมลสวนบคคล (5) กำหนดมาตรการจดการความเสยงดานการคมครองขอมลสวนบคคล

(5.1) มาตรการปองกนความเสยงทอาจจะเกดขน (5.2) มาตรการตรวจสอบและเฝาระวงการละเมดขอมลสวนบคคล (5.3) มาตรการเผชญเหตเมอมการตรวจพบการละเมดขอมลสวนบคคล (5.4) มาตรการรกษาและฟนฟความเสยหายทเกดจากการละเมดขอมลสวนบคคล

2.1.6 การบรณาการโครงสรางพนฐานเทคโนโลยสารสนเทศดานระบบบรการสขภาพ (1) จดหา ซอ เชาครภณฑเทคโนโลยสารสนเทศ (ทดแทน /จดหา) Software ลขสทธ พรอม

ครภณฑคอมพวเตอรทดแทน (2) พฒนาเครอขายคอมพวเตอร โครงขายการสอสาร และการเชอมโยงขอมลของศนยขอมล

ดานระบบบรการสขภาพตามเขตบรการสขภาพ (Health Care Sectors)

การดำเนนงาน : ดำเนนงานรวมกบการจดจางบคลากรภายนอก ผเชยวชาญดานความมนคงปลอดภยสารสนเทศเนองจากขอจำกดดานบคลากร

ผลสมฤทธ : ประชาชนมความเชอมน ในการเขาใชขอมลดานระบบบรการสขภาพทมความมนคงปลอดภย ใน CIA : ทงความถกตอง แมนยำ ครบถวน และรกษาความเปนสวนตว

ตวชวด คอ ระดบความสำเรจของการสรางความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ (CSF)7 2.2 การพฒนาทกษะ องคความรดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) สำหรบ

บคลากร กรมสนบสนนบรการสขภาพ 2.2.1 การพฒนาศกยภาพบคลากรขนพนฐาน (Digital Government Capacity Building)

(1) การพฒนาศกยภาพดานการใชระบบเครอขายคอมพวเตอร (2) การพฒนาศกยภาพดานการใชโครงขายเทคโนโลยการสอสาร (3) การพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) (4) การพฒนาทกษะความรและสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศ สำหรบ

ผใชงาน (User Awareness in Cyber Security) 2.2.2 การพฒนาศกยภาพดานความมนคงปลอดภยสารสนเทศ ชนสง

(1) การบรหารจดการระบบคอมพวเตอร (System Administrator) (2) การบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator) (3) การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber Security Administrator)

(1.3.1) การรกษาความปลอดภยดานกายภาพ (Physical Security) (1.3.2) การรกษาความปลอดภยดานการสอสาร (Communication Security) (1.3.3) การรกษาความปลอดภยการแผรงส (Emission Security)

7 Critical Success Factors หมายถง ภาพรวมความสำเรจสำคญทจะเกดขนเมอโครงการนบรรลเปาหมาย กลาวอกนยหนง หมายถง ตวชวดเชงยทธศาสตร

9


(1.3.4) การรกษาความปลอดภยคอมพวเตอร (Computer Security) (1.3.5) การรกษาความปลอดภยเครอขาย (Network Security) (1.3.6) การรกษาความปลอดภยขอมล (Information Security)

2.2.3 การพฒนาศกยภาพบคลากรเฉพาะทาง (1) การพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ

(1.1) พฒนาทกษะบคลากรดานความมนคงปลอดภยสารสนเทศ (1.1.1) ผบรหารเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร (1.1.2) ผเชยวชาญและจดการเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร (1.1.3) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ (1.1.4) ผตรวจสอบสภาพแวดลอมภยคกคามไซเบอร (1.1.5) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ (1.1.6) นกทดสอบชองโหวและภยคกคามระบบเทคโนโลยสารสนเทศ

- การตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบ ชองโหว Vulnerability Assessment (Web Application Hacking)

- การเจาะระบบ (Penetration Testing) (1.1.7) นกวจยและวเคราะหงานเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร

(1.2) สนบสนนการผานการประเมนดานความมนคงปลอดภยสารสนเทศ เชน ISEC : Information Security Expert Certification, CISSP : Certified Information System Security Professional, CISA, CASP, CISM, CSX เปนตน

การดำเนนงาน : (1) จดทำแผนการพฒนาศกยภาพบคลากร ตามแนวทางการเรยนรเทคโนโลยดจทล (Digital Literacy, Cyber Security Literacy) ของสำนกงานคณะกรรมการขาราชการพลเรอน (กพ.)

(2) วเคราะหกรอบอตรากำลง เสนอตอกลมบรหารงานบคคล เพอเสนอตอคณะอนกรรมการสามญ กรมสนบสนนบรการสขภาพ (อกพ.) พจารณา

ผลสมฤทธ : ประชาชนมความเชอมน ในการเขาใชขอมลดานระบบบรการสขภาพ จากการทมการดแลระบบเทคโนโลยสารสนเทศและศกยภาพทดของบคลากรทเกยวของ

ตวชวดท 2 รอยละ 80 ของบคลากรพงพอใจตอการพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) (ตวชวดทางตรง ดานการบรหารจดการ)

2.3 จดหา/จดจางผเชยวชาญดานความมนคงปลอดภยสารสนเทศ /เสนอขอกรอบอตรากำลง/จดสรรอตรากำลงทดแทนและกำหนดเสนทางความกาวหนาในวชาชพ

2.3.1 เสนอขออนมตจดจางผเชยวชาญภายนอก (1) ดานการบรหารจดการระบบคอมพวเตอร (Computer System Administrator) (2) ดานการบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator) (3) ดานการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber Security Administrator)

2.3.2 เสนอกรอบอตรากำลงบคลากรดานความมนคงปลอดภยสารสนเทศ (1) เสนอโครงสรางบคลากรดานความมนคงปลอดภยสารสนเทศ (2) เสนอขอจดสรร/ทดแทน อตรากำลง ผเชยวชาญดานความมนคงปลอดภยสารสนเทศ (3) กำหนดเสนทางความกาวหนาในวชาชพสายความมนคงปลอดภยสารสนเทศ

การดำเนนงาน : (1) จดหา/จดจางผเชยวชาญดานความมนคงปลอดภยสารสนเทศ /เสนอขอ กรอบอตรากำลง/ จดสรรอตรากำลงทดแทนและกำหนดเสนทางความกาวหนาในวชาชพ

10


ผลสมฤทธ : ประชาชนมความเชอมน ในการเขาใชขอมลดานระบบบรการสขภาพ จากการทมการดแลระบบเทคโนโลยสารสนเทศและศกยภาพทดของบคลากรทเกยวของ

ตวชวดท 3 รอยละของบคลการผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ (Cyber Security Cirtification) (ตวชวดทางตรง ดานการบรหารจดการ)

ขนตอนท 3 หมายถง การวเคราะห หาสาเหต โดยการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 (Gap Assessment) 3.1 การวเคราะหชองวางมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Gap Assessment) พบวากรม

สนบสนนบรการสขภาพ มความพรอมรองรบตามมาตรฐาน ISO/IEC 27001 : 2013 3.2 การวเคราะหความเสยง (Risk Assessment)

3.2.1 การวเคราะหความเสยงดานความมนคงปลอดภยสารสนเทศ 3.2.2 การวเคราะหความเสยงดานความมนคงปลอดภยไซเบอร 3.2.3 การวเคราะหความเสยงดานการคมครองขอมลสวนบคคล

3.3 วางแผนปองกนความเสยง (Risk Management) 8 3.3.1 การวางแผนปองกนความเสยงดานความมนคงปลอดภยสารสนเทศ 3.2.2 การวางแผนปองกนความเสยงดานความมนคงปลอดภยไซเบอร 3.2.3 การวางแผนปองกนความเสยงดานการคมครองขอมลสวนบคคล

3.4 จดทำรายงานและนำเสนอตอ Board of Director เพอผบรหารระดบสงเขาใจในปญหาทเกดขน และดำเนนการแกไขขอบกพรองจากการทองคกรยงไมไดปฏบตตามมาตรฐานฯ ดงกลาวอยางเปนรปธรรม (Corrective Action)

3.5 กลมตรวจสอบภายในดำเนนการตรวจสอบ (Pre-Assessment) ระดบ Internal Auditor

ขนตอนท 4 การพฒนา ปรบปรงกระบวนงานตามมาตรฐาน ISO/IEC 27001 : 2013 4.1 ประเมนระบบความมนคงปลอดภยสารสนเทศในภาพรวม (Gap Analysis Holistic Approach) ดวย

การนำเสนอ Gap Analysis Report ใน 3 มมมอง 4.1.1 มมมองดานบคลากร (People) 4.1.2 มมมองดานกระบวนการ (Process) 4.1.3 มมมองดานเทคโนโลย (Technology)

4.2 ประเมนและปรบปรงความเสยง (Risk Assessment) (ป 2564) 4.3 ควบคมตามแผนทไดกำหนดไว (Re Assessment & Control) เชน Vulnerability Assessment,

Penetration Testing, Hardening เปนตน 4.4 จดทำเอกสารรองรบการประเมน ในรปแบบ Statement of Applicability (SOA) (ป 2564)

เพอรองรบการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013

ขนตอนท 5 การควบคม ตดตาม ปรบปรงอยางตอเนอง 5.1 ควบคม กำกบ (Control) สอบทาน (Review) และการเฝาระวง (Monitor) เตรยมพรอมรองรบการ

ตรวจประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามแนวทางการบรหารจดการความเสยง (Risk Management) 5.1.1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 5.1.2 การจดการความรดานความมนคงปลอดภยสารสนเทศ

5.2 ดำเนนการตรวจประเมน ครงท 1 (Assessment) โดย External Auditor ดวยการ Outsource ไปยง Manage Security Service Provider หรอ MSSP ทถอเปนการ “Transfer Risk”

5.3 สรปรายงานผลการดำเนนงานการพฒนา / ตดตาม / ประเมนผลตามตวชวดทกำหนด

8 ดำเนนงานในปงบประมาณ พ.ศ. 2564 หรอมความพรอมในการตรวจประเมน

11


5.4 ควบคม กำกบ (Control) สอบทาน (Review) และการเฝาระวง (Monitor) เตรยมพรอมรองรบการตรวจประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามแนวทางการบรหารจดการความเสยง (Risk Management)

5.4.1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 5.4.2 การจดการความรดานความมนคงปลอดภยสารสนเทศ

5.5 ดำเนนการตรวจประเมน ครงท 2 (Re - Assessment) โดย External Auditor ทก 3 ป

จากการดำเนนงานตามนโยบายการบรหารจดการระบบความมนคงปลอดภยสารสนเทศของกรมสนบสนนบรการสขภาพทกลาวขางตน เพอจะทำใหกรมสนบสนนบรการสขภาพมมาตรการในการรกษาความมนคงปลอดภยสารสนเทศอยในระดบทปลอดภย ชวยลดความเสยหายตอการดำเนนงาน ทรพยสน บคลากร นโยบายการเขาใชงานระบบสารสนเทศของกรมสนบสนนบรการสขภาพ จดเปนมาตรฐานดานความปลอดภยในการใชงานระบบสารสนเทศของกรมสนบสนนบรการสขภาพ เพอใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการขอมลสารสนเทศดานระบบบรการสขภาพ รวมทงการทำธรกรรมอเลกทรอนกส ทมความมนคงปลอดภยไซเบอรในระดบสง เพอคมครองประชาชนหรอผลประโยชนทสำคญของประเทศ ตามแผนภาพท 2 แสดงถงแนวปฏบตในการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ


แผนภาพท 2 แนวปฏบตในการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ พ.ศ.2564 – 2566

13


ตารางท 1 แสดงขนตอนการดำเนนงาน “การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ พ.ศ. 2564 - 2566”

ขนตอนการดำเนนงาน

ระยะเวลาดำเนนงาน (เดอนท) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

1. ทบทวน กำหนดรายละเอยด ขนตอนการดำเนนงาน

✓ ✓ ✓ ✓

2. ทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด

✓ ✓ ✓ ✓

3. วเคราะห หาสาเหต ประเมนตามมาตรฐาน

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

4. ดำเนนงานตามมาตรฐาน

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

5. การควบคม ตดตาม ปรบปรงอยางตอเนอง

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

6. ประเมนตามเกณฑมาตรฐาน ✓

✓

✓ ✓

✓

✓ ✓

✓

✓ 7. ปรบปรง ตรวจสอบ ควบคม รายงานผล

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

หมายเหต : ✓✓ หมายถง การรบการประเมนจาก MSSP : Managed Security Service Provider

14


7. กจกรรมและแผนปฏบตการในการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ

แผนปฏบตการท 1 พฒนาองคกรใหรองรบการตรวจประเมนระบบดวย ISO/ COBITS /ITILS หรออนๆ ทเปนมาตรฐานสากล (สอดคลองกบยทธศาสตรท 4 การยกระดบความเชอมนและเพมความปลอดภยของประชาชน)9

โครงการ /กจกรรม /การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 1-1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (ISMS:

Information Security Management System) : ISO/IEC 27001 : 2013 และทแกไขเพมเตมภายหลง เพอรองรบการประเมนมาตรฐาน

1.1.1 ISMS Scope 1.1.2 IT Security Steering Committee 1.1.3 Internal ISMS Workshop / ISMS Framework / ISMS Framework /

ISMS Guideline 1.1.4 Holistic Approach :

1.1.4.1 Gap Analysis 1.1.4.2 Gap Assessment 1.1.4.3 Risk Assessment and Control 1.1.4.4 Risk Management

1.1.5 Review and Monitor with SOA Statement of Applicability 1.1.6 Pre Assessment by Internal Auditor 1.1.7 Assessment by External Auditor for Certify 1.1.8 ISMS Control / Re - Audit

กทส./ทกหนวยงาน

กจกรรมท 1-2 การพฒนาระบบบำรงรกษา 1. ครภณฑคอมพวเตอร (Hardware / Software) 2. ครภณฑระบบเครอขายคอมพวเตอร (Computer Sysytem Network) 3. ครภณฑโครงขายเทคโนโลยการสอสาร (Communication Network) 4. อปกรณจดเกบขอมล (Data Storage Devices) ไดแก

4.1. สอเกบขอมลแบบจานแมเหลก (Magnetic Disk Device) เชน Floppy Disk, Harddisk

4.2. สอเกบขอมลชนดแสง (Optical Storage Devices) เชน CD Rom, CD-R, CD-RW, DVD Rom, DVD-R, DVD-RW

4.3. สอเกบขอมลแบบเทป (Tape Devices) 4.4. หนวยความจำแบบแฟลช (Flash Memory)

5. เซรฟเวอร (Server) 5.1. File Server จดเกบไฟลแบบรวมศนย: Centerized Disk Storage 5.2. Print Server สำหรบ Printer ราคาแพงบางรน 5.3. Database Server เพอจดการฐานขอมล (Database

Management System)

กทส.

9 แผนพฒนาดจทลเพอเศรษฐกจและสงคม กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ระยะ 3 ป (พ.ศ. 2561 – 2563)

15


โครงการ /กจกรรม /การดำเนนงาน หนวยงานทรบผดชอบ 5.4. Application Server เพอจดการโปรแกรมประยกต เชน Mail

Server, Proxy Server หรอ Web Server กจกรรมท 1-3 ระบบทำลายขอมลจากอปกรณจดเกบขอมลของสวนราชการตาม

มาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ กทส.

แผนปฏบตการท 2 การรกษาความมนคงปลอดภยไซเบอรทมประสทธภาพ

โครงการ /กจกรรม /การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 2 การบรหารจดการความเสยงดานการรกษาความมนคงปลอดภยไซเบอร

2.1 กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร รวมทงกำหนดมาตรการในการประเมนความเสยง การตอบสนองและรบมอกบภยคกคามทางไซเบอร

2.2 กำหนดหนาทของหนวยงานโครงสรางพนฐานสำคญทางสารสนเทศ และหนาทของหนวยงานควบคมหรอกำกบดแล

2.3 กำหนดระดบของภยคกคามทางไซเบอร พรอมทงรายละเอยดของมาตรการปองกน รบมอ

2.4 วเคราะหสถานการณ และประเมนผลกระทบจากภยคกคามทางไซเบอร 2.5 กำหนดมาตรการจดการความเสยงจากภยคกคามไซเบอร

2.5.1 การระบความเสยงทอาจจะเกดขนแกคอมพวเตอร ขอมลคอมพวเตอร ระบบคอมพวเตอร ขอมลอนทเกยวของกบระบบคอมพวเตอร ทรพยสนและชวตรางกายของบคคล

2.5.2 มาตรการปองกนความเสยงทอาจจะเกดขน 2.5.3 มาตรการตรวจสอบและเฝาระวงภยคกคามทางไซเบอร 2.5.4 มาตรการเผชญเหตเมอมการตรวจพบภยคกคามทางไซเบอร 2.5.5 มาตรการรกษาและฟนฟความเสยหายทเกดจากภยคกคามทางไซเบอร

กทส./ทกหนวยงาน

แผนปฏบตการท 3 การคมครองขอมลสวนบคคล

โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 3 การบรหารจดการความเสยงดานการคมครองขอมลสวนบคคล

3.1 กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการคมครองขอมลสวนบคคล รวมทงกำหนดมาตรการในการประเมนความเสยงทเกยวของกบขอมลสวนบคคล

3.2 กำหนดหนาทของหนวยงานทมหนาทควบคม กำกบ ขอมลสวนบคคล 3.3 กำหนดระดบของขอมลสวนบคคล พรอมทงรายละเอยดของมาตรการ

ปองกนขอมลสวนบคคล 3.4 การวเคราะหสถานการณ และประเมนผลกระทบทเกยวของกบขอมลสวนบคคล 3.5 กำหนดมาตรการจดการความเสยงดานการคมครองขอมลสวนบคคล

3.5.1 มาตรการปองกนความเสยงทอาจจะเกดขน 3.5.2 มาตรการตรวจสอบและเฝาระวงการละเมดขอมลสวนบคคล 3.5.3 มาตรการเผชญเหตเมอมการตรวจพบการละเมดขอมลสวนบคคล

กทส./ทกหนวยงาน (ขนกบความพรอมและนโยบายฯ)

16


โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ 3.5.4 มาตรการรกษาและฟนฟความเสยหายทเกดจากการละเมดขอมล

สวนบคคล

แผนปฏบตการท 4 การบรณาการโครงสรางพนฐานเทคโนโลยสารสนเทศดานระบบบรการสขภาพ

โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 4-1 การจดหา ซอ เชาครภณฑเทคโนโลยสารสนเทศ (ทดแทน /จดหา)

Software ลขสทธ พรอมครภณฑคอมพวเตอรทดแทน กทส./ทกหนวยงาน

กจกรรมท 4-2 การพฒนาเครอขายคอมพวเตอร โครงขายการสอสาร และการเชอมโยงขอมลของศนยขอมลดานระบบบรการสขภาพเชงรก ตามเขตบรการสขภาพ (HealthCare Sectors)

กทส./ศบส.1-12/ สสม.5 แหง

แผนปฏบตการท 5 การพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) 5.1 การพฒนาศกยภาพบคลากรขนพนฐาน (Digital Government Capacity Building)

โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 5-1-1 การพฒนาศกยภาพดานการใชอปกรณคอมพวเตอรพนฐาน กทส./ทกหนวยงาน กจกรรมท 5-1-2 การพฒนาศกยภาพดานการใชระบบเครอขายคอมพวเตอร กทส./ทกหนวยงาน กจกรรมท 5-1-3 การพฒนาศกยภาพดานการใชโครงขายเทคโนโลยการสอสาร กทส./ทกหนวยงาน กจกรรมท 5-1-4 การพฒนาองคความรและทกษะดานความมนคงปลอดภย

สารสนเทศ (Cyber Security Literacy) 1. สรางการรบร กระตนใหบคลากรทกระดบ เกดความสนใจในการพฒนา

ทกษะความเขาใจและการใชเทคโนโลยดจทล 2. กำหนดใหการพฒนาองคความร และทกษะดานความม นคงปลอดภย

สารสนเทศ เปนนโยบายของสวนราชการ 3. สรางบรรยากาศการทำงานแบบความมนคงปลอดภยสารสนเทศ 4. พฒนาบคลากรภายในองคกรทกระดบ 5. ตดตามผลการพฒนาบคลากรภายในองคกรทกระดบ 6. ประมวลผลการพฒนาในภาพรวมขององคกร 7. รายงานผลการพฒนาทกษะความเขาใจดานความมนคงปลอดภยสารสนเทศ

เสนอตอผบรหาร

กทส.

กจกรรมท 5-1-5 การพฒนาทกษะความรและสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศ สำหรบผใชงาน (User Awareness in Cyber Security)

กทส.

5.2 การพฒนาศกยภาพบคลากรขนสง

โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 5-2-1 การพฒนาศกยภาพดานความมนคงปลอดภยสารสนเทศ ชนสง เชน

1. การบรหารจดการระบบคอมพวเตอร (System Administrator) 2. การบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator)

กทส.

17


โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ 3. การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber Security

Administrator) 3.1 การรกษาความปลอดภยดานกายภาพ (Physical Security) 3.2 การรกษาความปลอดภยดานการสอสาร (Communication Security) 3.3 การรกษาความปลอดภยการแผรงส (Emission Security) 3.4 การรกษาความปลอดภยคอมพวเตอร (Computer Security) 3.5 การรกษาความปลอดภยเครอขาย (Network Security) 3.6 การรกษาความปลอดภยขอมล (Information Security)

กจกรรมท.5.3 การพฒนาศกยภาพบคลากรเฉพาะทาง

โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 5-3-1 การพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ

1. การพฒนาทกษะบคลากรดานความมนคงปลอดภยสารสนเทศ 1.1 ผบรหารเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร 1.2 ผเชยวชาญและจดการเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร 1.3 ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ 1.4 ผตรวจสอบสภาพแวดลอมภยคกคามไซเบอร 1.5 ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ 1.6 นกทดสอบชองโหวและภยคกคามระบบเทคโนโลยสารสนเทศ

- การตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบ ชองโหว Vulnerability Assessment (Web Application Hacking)

- การเจาะระบบ (Penetration Testing) 1.7 นกวจยและวเคราะหงานเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร

2. สนบสนนการผานการประเมนดานความมนคงปลอดภยสารสนเทศ เชน ISEC : Information Security Expert Cirtification, CISSP : Certified Information System Security Professional, CISA, CASP, CISM, CSX เปนตน

กทส.

แผนปฏบตการท 6 การเสนอขออนมตจดจาง/จดสรรกรอบอตรากำลง (Human Resource Management) ใหม

โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ กจกรรมท 6-1 เสนอขออนมตจดจางผเชยวชาญภายนอก เชน

1. ดานการบรหารจดการระบบคอมพวเตอร (Computer System Administrator) 2. ดานการบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator) 3. ดานการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber

Security Administrator)

กทส. / กบค.

กจกรรมท 6-2 เสนอขออนมตจดสรรกรอบอตรากำลง (ใหม) เพอสนบสนนการปฏบตงานของหนวยงานดานความมนคงปลอดภยสารสนเทศ10

1. เสนอโครงสรางบคลากรดานความมนคงปลอดภยสารสนเทศ 2. เสนอขอจดสรร/ทดแทน อตรากำลง ผเชยวชาญดานความมนคงปลอดภยสารสนเทศ

กทส. /กบค.

10 ภาคผนวก ข กรอบอตรากำลงบคลากรดานความมนคงปลอดภยสารสนเทศ

18


โครงการ/ กจกรรม / การดำเนนงาน หนวยงานทรบผดชอบ 3. กำหนดเสนทางความกาวหนาในวชาชพสายความมนคงปลอดภยสารสนเทศ

8. การตดตามและประเมนผลการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามท กรมสนบสนนบรการสขภาพไดจดทำ “แผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ

กรมสนบสนนบรการสขภาพ พ.ศ. 2564 – 2566” ตามแนวทางมาตรฐาน ISO/IEC 27001 : 2013 รวมท งนำมาตรฐานสากลมาปรบใชในการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ

ดานการตดตาม ประเมนผลทสำคญ คอ 1) ตองรความจรง 2) ตองทนเวลา ไมกอใหเกดความเสยหาย หรอเสยหายนอยท สด 3) ตองสรางสรรค สรางขวญและกำลงใจ 4) ตองสงเสรมการพฒนาตนเอง และ 5) ตองมประสทธภาพสงเพอใหการบรหารจดการบรรลผลสำเรจตามเปาหมาย โดยไดกำหนดผลสมฤทธการดำเนนงาน ตามนโยบายสำคญของประเทศ สงผลใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการขอมลสารสนเทศดานระบบบรการสขภาพ การเพมมลคาการทำธรกรรมอเลกทรอนกส ทสามารถสรางรายไดสประเทศเพมขน รวมทงการคมครองประชาชนหรอผลประโยชนทสำคญของประเทศ ดงน

ภาพรวมความสำเรจทสำคญ แผนงานและตวชวด ตวดำเนนงาน 1. การสรางความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ

1. แผนการสรางความเชอมนของการเขาถงขอมลดานระบบบรการสขภาพ - ระดบความสำเรจการสรางความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ

2. การพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy)

2. แผนการพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ - รอยละ 80 ของบคลากรพงพอใจตอการพฒนา องคความรและทกษะดานความมนคงปลอดภยสารสนเทศ

3. บคลากรผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ (Cyber Security Cirtification)

3. แผนการพฒนาศกยภาพบคลากรเฉพาะทางดานความมนคงปลอดภยสารสนเทศ - รอยละของบคลการผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ

(ลงชอ) .......................................................... ผเสนอ (นายอภนนท นลฉาย) ผอำนวยการกลมเทคโนโลยสารสนเทศ

(ลงชอ) ....................................................... ผอนมต (นายธเรศ กรษนยรววงค) อธบดกรมสนบสนนบรการสขภาพ

(ลงชอ) ......................................................... ผเหนชอบ (นายภานวฒน ปานเกต) ผบรหารเทคโนโลยสารสนเทศระดบกรม

19


เอกสารอางอง

1. พระราชบญญตขอมลขาวสารของทางราชการ พ.ศ. 2540 2. พระราชบญญตสถานพยาบาล พ.ศ.2541 และทแกไขเพมเตม 3. พระราชบญญตการประกอบโรคศลปะ พ.ศ.2542 และทแกไขเพมเตม 4. พระราชบญญตคมครองเดกทเกดโดยอาศยเทคโนโลยชวยการเจรญพนธทางการแพทย พ.ศ.2558 5. พระราชบญญตสถานประกอบการเพอสขภาพ พ.ศ.2559 6. แผนพฒนาเศรษฐกจและสงคมแหงชาต ฉบบท 12 (พ.ศ.2560 – 2564) 7. นโยบายและยทธศาสตรการวจยของชาต ฉบบท 10 (พ.ศ.2560 – 2564) 8.แผนพฒนารฐบาลดจทลของประเทศไทย ระยะ 3 ป (พ.ศ. 2559 – 2561) 9. ยทธศาสตรการเปนศนยกลางดานระบบบรการสขภาพ (Medical Hub) รองรบยทธศาสตรประเทศ (Country

Strategy) พ.ศ. 2559 – 2563 กระทรวงสาธารณสข 10. ยทธศาสตรการบรหารสถาบนวจยระบบสาธารณสข (สวรส.) 11. แผนแมบทเทคโนโลยสขภาพสารสนเทศ กองสขภาพระหวางประเทศ ปงบประมาณ พ.ศ. 2560 12. แผนยทธศาสตรชาต ระยะ 20 ป (ดานสาธารณสข) กระทรวงสาธารณสข : ระบบบรหารจดการ

(Governance Excellence) ประเดนระบบขอมลและเทคโนโลยสารสนเทศ 13. แผนพฒนาดจทลเพอเศรษฐกจและสงคม ระยะ 3 ป (พ.ศ.2561-2563) กรมสนบสนนบรการสขภาพ

กระทรวงสาธารณสข 14. พระราชบญญตงบประมาณประจำป พ.ศ. 2561 ยทธศาสตรท 4: พฒนาระบบบรหารจดการองคกรอยางม

ประสทธภาพกลยทธท 1: พฒนาระบบบรหารจดการองคกร 15. แผนพฒนาดจทลเพอเศรษฐกจและสงคม กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ระยะ 3 ป (พ.ศ.

2561 – 2563) 16. แผนพฒนารฐบาลดจทลของประเทศไทย ระยะ 5 ป (พ.ศ. 2560 – 2564) 17. พระราชบญญตคอมพวเตอร พ.ศ. 2560 18. พระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พ.ศ. 2562 19. พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 20. พระราชบญญตการบรหารงานและการใหบรการภาครฐผานระบบดจทล พ.ศ.2562 21. พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 4) พ.ศ. 2562 และทเกยวของ

Documents

1 แผนยุทธศาสตร์การบริหารจัดการ ...ict.hss.moph.go.th/fileupload_doc/2020-08-13-1-20...1977/01/13 · 1 (DRAFT) 2020 ISMS POLICY