Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
(ราง) แนวทางการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ /26 มถนายน 2562 [Thanima S.]| 1
(ราง) แนวทางการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ 2562
โดย ธนมา สงขสวรรณ1
1. แนวทาง วธการ กระบวนงานทส าคญการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ
จากพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร ฉบบท 2 พ.ศ.2560 ไดมการแกไขเพมเตมกฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร และพระราชบญญต วาดวยธรกรรมทางอเลกทรอนกส ประกอบกบแนวคด “GRC” (Governance, Risk and Compliance) ทก าลงเปนทนยม ท าใหหลายองคกรเกดความตนตวในเรอง “Regulatory Compliance” หรอ “การปฏบตตามกฎหมายและกฎระเบยบตางๆ” จากหนวยงานทเกยวของ เชน ธนาคารพาณชย ปฏบตตามกฎระเบยบของธนาคารแหงประเทศไทย และบรษทหลกทรพยปฏบตตามกฎระเบยบของส านกงานคณะกรรมการก ากบหลกทรพย และ ตลาดหลกทรพย (กลต.) เปนตน
กระทรวงสาธารณสข โดยกรมสนบสนนบรการสขภาพมภารกจ : การคมครองผบรโภคดานระบบบรการสขภาพและสงเสรมผประกอบการดานบรการสขภาพเพอประชาชนมศกยภาพในการพงพาตนเอง ดวยภารกจในการพฒนาองคกรไปส “รฐบาลดจทลดานระบบบรการสขภาพ” [Digital Government ; Healthcare Service System] เพอยกระดบคณภาพการใหบรการไปส “หนวยงานราชการแหงนวตกรรมดจทลดานระบบบรการสขภาพ” ดงน 1) มระบบจดทะเบยนสถานพยาบาลและสถานประกอบการเพอสขภาพ (e-Registration) 2) เปนหนวยงานทเกยวของกบการเกบรกษาขอมลสวนบคคล (Data Privacy Protection Regulation) ดานธรกจบรการสขภาพรองรบการด าเนนงานระหวางภาครฐและเอกชน โดยสนบสนนการท าธรกรรมอเลกทรอนกส (e-Commerce) ดวยนวตกรรมดจทล (Digital Innovation) ดานระบบบรการสขภาพทงภายในประเทศและตางประเทศ ตามนโยบายเศรษฐกจดจทล (Digital Economy) และ 3) มศนยคอมพวเตอร (Data Center) ทงสวนกลางและภมภาค ในระดบเขต (สบส.เขต 1 - 12)
กรมสนบสนนบรการสขภาพ มภารกจหลกการคมครองผบรโภคดานระบบบรการสขภาพและสงเสรมผประกอบการดานบรการสขภาพเพอประชาชนมศกยภาพในการพงพาตนเอง ดวยภารกจในการพฒนาองคกรไปส “รฐบาลดจทลดานระบบบรการสขภาพ” [Digital Government ; Healthcare Service System] เพอยกระดบคณภาพการใหบรการไปส “หนวยงานราชการแหงนวตกรรมดจทลดานระบบบรการสขภาพ” เชน มระบบจดทะเบยนสถานพยาบาลและสถานประกอบการเพอสขภาพ (e-Registration) เปนหนวยงานทเกยวของกบการเกบรกษาขอมลสวนบคคล (Data Privacy Protection) ดานธรกจบรการสขภาพรองรบการด าเนนงานระหวางภาครฐและเอกชนทสนบสนนการท าธรกรรมอเลกทรอนกส (e-Commerce) ดานระบบบรการสขภาพทงภายในประเทศและนานาชาต รวมทงพฒนานวตกรรมดจทล (Digital Innovation) ดานระบบบรการสขภาพตามนโยบายเศรษฐกจดจทล (Digital Economy) รวมทงมศนยคอมพวเตอร (Data Center) ทงสวนกลางและภมภาคระดบเขต สบส.เขต 1- 12
กลมเทคโนโลยสารสนเทศ มภารกจหลกในการขบเคลอนนโยบายรฐบาลดจทลดานระบบบรการสขภาพ เพออ านวยความสะดวกใหผรบบรการทนยมแสวงหาขอมลและเพมศกยภาพของประชาชนและภาคเครอขายในการจดการระบบสขภาพชมชนอยางมสวนรวม ทสามารถขบเคลอนองคกรสนโยบายรฐบาลดจทล (Digital Government) ไดอยางมประสทธภาพและเกดประสทธผล โดยไดประกาศนโยบายความมนคงปลอดภยของระบบสารสนเทศ ฉบบปรบปรง ปงบประมาณ 2557 อางองตามมาตรฐาน ISO/IEC 27001:2013 ททกหนวยงานตองถอปฏบต เพอรองรบการท าธรกรรมอเลกทรอนกส (e-Document/e-Finance/e-Business) ตามมาตรการความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ ลงวนท 13 สงหาคม 2557 ซงเกยวของกบการตดตาม ควบคม ก ากบระบบความมนคงปลอดภย (Enterprise Risk Management) ของระบบขอมลสารสนเทศ เพอสรางความนาเชอถอไววางใจ (Trust Worthy) ทมงสความยงยน (Sustainability) ใหเกดประสทธภาพและประสทธผล มาใชในการบรหารจดการ ในประเดนระบบบรหารจดการองคกรอยางมประสทธภาพ (Government Excellence)
1 นกวชาการสาธารณสขช านาญการ กลมเทคโนโลยสารสนเทศ ส านกบรหาร กรมสนบสนนบรการสขภาพ
(ราง) แนวทางการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ /26 มถนายน 2562 [Thanima S.]| 2
2. แนวทางปฏบตดานการใชเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ
กรมสนบสนนบรการสขภาพ ไดด าเนนงานตามแผนปฏรปองคการ ตามมาตรการปรบปรงประสทธภาพในการปฏบตราชการ ประจ าปงบประมาณ พ.ศ. 2561 ไดก าหนดใหทกสวนราชการตองจดท าแผนปฏรปองคกรตามองคประกอบท 5 (Potential Base) โดยใหวเคราะหสถานการณ บทบาทภารกจ ระบบงาน โครงสราง อตราก าลงและจดท าขอเสนอการปรบเปลยนบทบาทภารกจในระยะ 3 ป (ปงบประมาณ พ.ศ. 2562 – 2564)
ตามค าสงกรมสนบสนนบรการ ท 2508/2560 เรอง แตงตงคณะท างานจดท าแผนปฏรปองคกร กรมสนบสนนบรการสขภาพ ลงวนท 28 พฤศจกายน พ.ศ. 2560 ไดด าเนนการจดโครงสรางสวนราชการใหม เพอใหการด าเนนงานสมฤทธผลตามเปาหมายและมประสทธภาพ โดยการทบทวนภารกจของหนวยงานใน 4 ดาน คอ
1. Structure การปรบปรงโครงสรางหนวยงานใหสอดรบกบภารกจใหม 2. Process Redesign การปรบปรงกระบวนการท างานใหงาย สะดวก ลดตนทนคาใชจายและตอบโจทย
ประชาชนผใชบรการบน Digital Platform 3. Law การปรบปรงกฎหมายใหเออตอการปฏบตงานในรปแบบใหม 4. People การพฒนาบคลากร การจดสรรอตราก าลงใหสอดรบกบการปรบบทบาทภารกจและการ
ปฏบตงานในรปแบบใหมโดยใช Digital Platform กรมสนบสนนบรการสขภาพ จงไดแบงโครงสรางออกเปน 3 ภารกจหลก และ 1 ภารกจระดบพนท คอ (1) กลมภารกจท 1 กลมภารกจการคมครองผบรโภคดานระบบบรการสขภาพ
(1.1) ดานสถานพยาบาลและการประกอบโรคศลปะ : ส านกสถานพยาบาลและการประกอบโรคศลปะ (สพ.รศ.) (1.2) ดานสถานประกอบการเพอสขภาพ : กองสถานประกอบการเพอสขภาพ (กสพส.) (1.3) ดานกฎหมาย : กองกฎหมาย (1.4) ศนยคมครองผบรโภคดานระบบบรการสขภาพ
(2) กลมภารกจท 2 กลมภารกจยทธศาสตรการบรหารจดการและก ากบมาตรฐานระบบบรการสขภาพ (2.1) ดานวศวกรรมการแพทยและสาธารณสข : กองวศวกรรมการแพทย (2.2) ดานอาคารและสภาพแวดลอมสาธารณสข : กองแบบแผน (2.3) ดานการพฒนาอตสาหกรรมบรการสขภาพแบบครบวงจร : กองสขภาพระหวางประเทศ (2.4) ดานบรหารจดการ
(2.4.1) กลมอ านวยการ (2.4.2) กลมเทคโนโลยสารสนเทศ (2.4.3) กลมบรหารทรพยากรบคคล (2.4.5) กลมแผนงาน (2.4.6) กลมคลง (2.4.7) กลมประชาสมพนธ
(2.6) ดานพฒนาระบบบรหารจดการ : กลมพฒนาระบบบรหารจดการ (2.7) ดานตรวจสอบภายใน : กลมตรวจสอบภายใน (2.8) ดานคมครองจรยธรรม : กลมงานคมครองจรยธรรม
(3) กลมภารกจท 3 ภารกจสงเสรมการมสวนรวมภาคประชาชน (3.1) ดานสขภาพภาคประชาชน : กองสนบสนนสขภาพภาคประชาชน (สช.) (3.2) ดานพฒนาพฤตกรรมสขภาพ : กองสขศกษา (ส.)
(4) ภารกจท 4 ภารกจระดบพนท ดานสนบสนนระบบบรการสขภาพในพนท (4.1) ส านกงานสนบสนนบรการสขภาพ เขต 1 - 12 (สบส. เขต 1 - 5) (4.2) สถาบนพฒนานวตกรรมดานระบบบรการสขภาพ ภาค 1 - 5 (พตส. 1 - 5)
(ราง) แนวทางการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ /26 มถนายน 2562 [Thanima S.]| 3
โดยมการก าหนดรปแบบวธการท างานแบบใหม (Business Model) ใหแตละงานทส าคญ ดงน (1) ภารกจหลกระดบกรมสนบสนนบรการสขภาพ :เปนกรมวชาการทมบทบาทของการสงเสรม ควบคม
ก ากบ รบรอง คณภาพมาตรฐานเพอการคมครองผบรโภคดานระบบบรการสขภาพ (Regulator for Customer Protection) และ ขยายผลไปสนโยบายดานเศรษฐศาสตรสาธารณสขในอนาคต (Organizational Transformation Plan to Health Economics) ในการกาวสรฐบาลดจทล (Digital Government) ประกอบดวย
(1.1) งานคมครองผบรโภคดานระบบบรการสขภาพ (1.2) งานสนบสนนการบรหารจดการและก ากบมาตรฐานระบบบรการสขภาพ (1.3) งานเสรมสรางการมสวนรวมภาคประชาชน
(2) ภารกจระดบพนท : ด าเนนการ 3 ภารกจหลกในระดบภมภาค กลมเทคโนโลยสารสนเทศ ส านกบรหาร ไดใชแผนแมบทเทคโนโลยสารสนเทศและการสอสาร ปงบประมาณ
พ.ศ.2557 - 2560 และอยระหวางพฒนาแผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ พ.ศ. 2562 – 2565 ทมการปรบปรงใหสอดคลองตามมาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001 : 2013 และทแกไขเพมเตม พระราชบญญตความมนคงปลอดภยไซเบอร พ.ศ. 2562 พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 และพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 4) พ.ศ. 2562 กฎหมายทเกยวของ รวมทงมาตรฐานสากล (NIST : National Institute of Standard and Technology)
3. ขอก าหนดทส าคญการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ
3.1 การรกษาความมนคงปลอดภยสารสนเทศ มแนวทางการด าเนนงาน ตามหลก CIA in Information Security ใน 3 องคประกอบหลก ดงน
3.1.1 C : Confidentialty ความมนใจ 3.1.2 I : Integrity ความสม าเสมอ 3.1.3 A : Availability การเขาถง
3.2 ในขอบเขตการด าเนนงานรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ 3.2.1 กระบวนการท างาน (Process) 3.2.2 ขอมลและสารสนเทศ (Information) 3.2.3 ฮารดแวร (Hardware) 3.2.4 การบรหารจดการทรพยสน (Asset Management) 3.2.5 ซอฟทแวร (Software) 3.2.6 เครอขายคอมพวเตอร (Network) 3.2.7 เครองแมขายเสมอน (Virtual Machine) 3.2.8 บคลากร (Personnel) 3.2.9 สถานทและระบบสนบสนน (Sites)
3.3 นอกขอบเขตการด าเนนงานรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ 3.3.1 ระบบงานอนๆ ของผใชบรการระบบงานของกรมสนบสนนบรการสขภาพ (HSS Net) 3.3.2 เครอขายคอมพวเตอรระหวางผใชบรการระบบงานของกรมสนบสนนบรการสขภาพ กบ ระบบ
บรการทก ากบดแลโดยผใหบรการภายนอก (อปกรณของผใหบรการภายนอก) 4. กระบวนการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ
โดยมมาตรการควบคม 14 ขอ ดงน 1. นโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (Information Security Policies)
(ราง) แนวทางการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ /26 มถนายน 2562 [Thanima S.]| 4
2. โครงสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (Organization of Information Security) 3. ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทเกวของกบบคลากร (Human Resources Security) 4. การบรหารจดการทรพยสนขององคกร (asset Management) 5. การควบคมการเขาถง (Access Control) 6. การเขารหสขอมล (Cryptography) 7. การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and Environmental Security) 8. การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศดานการด าเนนการ (Operation Security) 9. ความมนคงปลอดภยดานการสอสาร (Communication Security) 10. การจดหา การพฒนาและการบ ารงรกษาระบบ (System Acquistion, Development and
Maintainance) 11. ความสมพนธกบผใหบรการภายนอก (Supplier Relationships) 12. การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร (Information Security
Incident Management) 13. การบรหารความตอเนองในการด าเนนงานขององคกร (Business Continuity Management) 14. การปฏบตตามขอก าหนด (Compliance)
5. ขนตอนการด าเนนงานรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ
รายละเอยดตามเอกสารแนบ 1
กรอบแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ1 กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข
ปงบประมาณ 2562
1 นางสาวธนมา สงขสวรรณ : นกวชาการสาธารณสขช านาญการ กลมเทคโนโลยสารสนเทศ ส านกบรหาร กรมสนบสนนบรการสขภาพ
ISO/IEC 27001 : 2013 Certification Roadmap
Approach
การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามาตรฐานทก าหนด
ระยะ (Phase)
วตถประสงค
(Aim)
ขนตอน
(Activities)
วตถประสงคการด าเนนงานสอดคลองตามนโยบาย
ผรบบรการและผเกยวของ
Phase I
Scoping & Planning
Phase II
Gap Assessment &
Roadmap
Phase III
ISMS
Implementation
Phase IV
Internal & External Audit
ก าหนดแนวทางการด าเนน ตามมาตรฐาน
พฒนาและปรบปรงกระบวนงานตามแนวทางมาตรฐาน
ควบคม ก ากบ ตดตามและประเมนผล ตามแนวทางมาตรฐาน
แนวคด/แนวทาง
การด าเนนงาน การจดการความรดานความมนคงปลอดภยสารสนเทศ
1. ก ำำหนดขอบเขต (Scope) ทจะท ำำ ISO/IEC 27001 : 2013เพอใหมนใจวำสำรสนเทศของระบบงำน หรอกจกรรมนน ๆ มควำมมนคงปลอดภย 2. ประชมชแจงก ำหนดแนวทำงกำรด ำเนนงำน 3. สรปแนวทำงกำรด ำเนนงำนรวมกน
1 ศกษำมำตรฐำน ISO/IEC 27001 ภำยใต ISO/IEC 27001 เพอใหมนใจวำสำรสนเทศของระบบงำน หรอกจกรรมนน ๆ มควำมมนคงปลอดภย 2. วเครำะห และก ำหนดแนวทำง แผนกำรด ำเนนงำน 3. ปรบปรงแนวทำงกำรควบคมใหสอดคลองตำมแนวทำงมำตรฐำนทก ำหนด
1 ปรบปรงผลกำรด ำเนนงำน ตำมแนวทำงมำตรฐำน 2. ปฏบตตำมขอก ำหนด 3. ประเมนควำมเสยง 4. วำงแผนปองกนควำมเสยง 5. จดท ำเอกสำรรองรบกำรตรวจประเมน 6. ประเมนตำมตวชวดทก ำหนด
กำรบรหำรจดกำรควำมเสยง
- ควบคม ก ากบการด าเนนงาน - ตรวจสอบภายใน - เตรยมพรอมรองรบการตรวจประเมน
- กำรประเมนมครงท 1
- กำรประเมนมครงท 2
[13 มนาคม 2562 : Thanima S.]/Page 1
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
ISMS Standard : ISO/IEC 27001 --> Controls
CIA in Information Security : 3 องคประกอบหลกในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
C : Confidentiality ควำมมนใจ
I : Integrity ควำมสม ำเสมอ
A : Availability กำรเขำถง
1. Security Policy 1. นโยบำยควำมมนคงปลอดภยสำรสนเทศ (Security Policy)
1.1 นโยบายทเปนลายลกษณ
อกษร
1.1 นโยบายการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนน
บรการสขภาพ ปงบประมาณ พ.ศ. 2557
1
1.2 ทบทวนนโยบายตาม
ระยะเวลาทก าหนด หรอมการ
เปลยนแปลงทส าคญขององคกร
1.2 การปรบเปลยนโครงสรางกรมสนบสนนบรการสขภาพ 1
2. โครงสรำงดำนควำมมนคงปลอดภยสำรสนเทศ (Organization of Information Security)
2.1 โครงสรางภายในองคกร 2.1.1 การใหความส าคญของผบรหาร 1
2.1.2 การประสานงานภายในองคกร 1
2.1.3 การก าหนดหนาทความรบรบผดชอบ 1 2.13 ตามค าสง กรมสนบสนนบรการ
สขภาพ ท 125/2562 ลงวนท 25
มกราคม 2562
2.1.4 กระบวนการในการอนมตการใชงานอปกรณประมวลผล 1
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
2. Organization of
Information Security
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 2
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
2.1.6 การมรายชอตดตอกบหนวยงานอนทเกยวของ เชน กระทรวง
ดจทลเพอเศรษฐกจและสงคม ส านกงานพฒนาธรกรรมอเลกทรอนกส
1
2.1.7 การมรายชอตดตอกบหนวยงานทมความสนใจเปนพเศษเฉพาะใน
เรองเดยวกน เชน ส านกงานคณะกรรมการอาหารและยา
กรมวทยาศาสตรการแพทย
1
2.1.8 การทบทวนโดยผตรวจสอบอสระ 2.1.8 วางแผนการด าเนนงานใน
ปงบประมาณ พ.ศ. 2563
2.2.1 การประเมนความเสยง 12.2.2 การระบขอก าหนดส าหรบลกคาหรอผใชบรการ 1
2.2.3 การระบขอก าหนดส าหรบหนวยงานภายนอก 1
3. ควำมมนคงปลอดภยทเกยวของกบบคลำกร (Human Resources Security)
3.1 กอนการจางงาน 3.1.1 ก าหนดหนาทความรบผดชอบดาน Security 1
3.1.2 ตรวจสอบคณสมบตของผสมคร (Screening) 1
4.1.3 ก าหนดเงอนไขการจางงาน 1
3.2 ระหวางการจางงาน 3.2.1 ก าหนดหนาทความรบผดชอบดาน Security 1
3.2.2 สรางความตระหนก อบรม 1
3.2.3 กระบวนการลงโทษทางวนย 1
3.3 สนสดหรอเปลยนการจางงาน3.3.1 คนทรพยสน 1
4. Human Resources
Security
2. Organization of
Information Security
2.2 โครงสรางภายนอกองคกร
(โครงสรางเกยวกบลกคาหรอ
หนวยงานภายนอก)
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 3
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
3.3.2 ถอดสทธ 1
3. Asset Management 4. กำรบรหำรจดกำรทรพยสนขององคกร (Asset Management)
4.1.1 จดท าบญชทรพยสน 1
4.1.2 ระบผเปนเจาของทรพยสน 1
4.1.3 ใชงานทรพยสนอยางเหมาะสม 1
4.2.1 จดล าดบชนความลบ คณคา ขอก าหนดทางกฎหมายและผลกระทบ 1
4.2.2 จดท าปายชอ 1
7. Access Control 5. กำรควบคมกำรเขำถง (Access Control)
5.1 มขอก าหนดทางธรกจ
(Business Requirement)
5.1.1 มนโยบายการเขาถงเปนลายลกษณอกษรและปรบปรงอยาง
สม าเสมอ
1
5.2.1 มขนตอนการลงทะเบยนพนกงาน เชน เขาใหม ลาออก เปลยน
ต าแหนง
1
5.2.2 จดการสทธการใชงานระบบ 1
5.2.3 จดการรหสผาน 1
5.2.4 ทบทวนสทธ 1
5.3.1 วธปฏบตในการใชรหสผาน 1
5.3.2 วธปองกนอปกรณทไมมผดแล 1
4. Human Resources
Security
4.1 หนาทความรบผดชอบตอ
ทรพยสนองคกร
4.2 การจดหมวดหมสารสนเทศ
5.2 บรหารการเขาถงของผใช
(User Access)
5.3 ก าหนดหนาทความ
รบผดชอบของผใช
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 4
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
5.3.3 มนโยบายควบคมการไมทงทรพยสนในททไมปลอดภย 1
5.4.1 มนโยบายการใชงานเครอขาย 1
5.4.2 มการพสจนตวตนส าหรบผใชภายนอกองคกร 1
5.4.3 มการพสจนตวตนอปกรณบนเครอขาย 1
5.4.4 มการควบคมและเขาถงการใชงาน Port 1
5.4.5 มการแบงแยกเครอขาย (Segregation in Networks) 1
5.4.6 มการควบคมการเชอมตอทางเครอขาย 1
5.4.7 มการควบคมการก าหนดเสนทางบนเครอขาย (Network Routing
Control)
1
5.5.1 มขนตอนการเขาถงระบบ (Secure Log in) 1
5.5.2 มการพสจนตวตน 1
5.5.3 บรหารจดการรหสผาน 1
5.5.4 ควบคมการใชงาน Program Utility 1
5.5.5 ใหมการ "หมดเวลา" การใชงาน (Session Time Out) 1
5.5.6 ใหมการ "หมดเวลาการเชอมตอสารสนเทศ" 1
5.6.1 จ ากดการเขาถง 1
5.6.2 แยกระบบทมความส าคญสง 1
5.4 ควบคมการเขาถงเครอขาย
(Network Access Control)
5.5 ควบคมการเขาถง
ระบบปฏบตการ
5.6 ควบคมการเขาถง
Application และสารสนเทศ
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 5
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
5.7.1 มนโยบายการควบคมการใชอปกรณพกพา เชน Notebook,
Smart Phone, Tablet
1
5.7.2 ควบคมการท างานจากภายนอก (Teleworking) 1
8.3 Cryptographic Control 6. กำรเขำรหสขอมล (Cryptography)
6.1 มนโยบายการเขารหสลบ 1
6.2 มการบรหารจดการกญแจ
เขารหสลบขอมล (Key
Management)
1
7. กำรสรำงควำมมนคงปลอดภยทำงกำยภำพและสงแวดลอม (Physical and Environmental Security)
7.1 บรเวณทตองม Security 7.1.1 การจดท าบรเวณลอมรอบ 1
7.1.2 การควบคมการเขา - ออก 1
7.1.3 การสราง Security ในส านกงานและทรพยสนอนๆ 1
7.1.4 การปฏบตงานในพนท ทม Security 1
7.1.5 การจดบรเวณการเขาถงส าหรบบคคลภายนอก 1
7.2 Security ของอปกรณ 7.2.1 การจดวางและการปองกนของอปกรณ 1
7.2.2 ระบบและอปกรณสนบสนนการท างาน 1
7.2.3 การเดนสายไฟ เคเบลและสายอนๆ 1
7.2.4 การบ ารงรกษาอปกรณ 1
5. Physical and
Environmental Security
5.7 ควบคมอปกรณสอสาร
แบบพกพาและการปฏบตงาน
จากภายนอกองคกร
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 6
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
7.2.5 การปองกนอปกรณทใชงานอยภายนอกส านกงาน 1
7.2.6 การก าจดอปกรณหรอน าอปกรณกลบมาใชใหม 1
7.2.7 การน าอปกรณออกนอกส านกงาน 1
8. กำรรกษำควำมมนคงปลอดภยดำนเทคโนโลยสำรสนเทศดำนกำรด ำเนนกำร (Operations Security)
8.1.1 การก าหนดขนตอนเปนลายลกษณอกษร 18.1.2 ควบคมการเปลยนแปลง (Change Management) 1
8.1.3 แบงหนาทความรบผดชอบ (Segregation of Duties) 1
8.1.4 แยกระบบส าหรบการพฒนา ทดสอบ และการใหบรการออกจากกน 1
8.2.1 ก าหนดใหหนวยงานภายนอกปฏบตตามขอก าหนดทตกลงไว
ระหวางกน
1
8.2.2 ตรวจสอบการใหบรการของหนวยงานภายนอกอยางสม าเสมอ
(Monitoring)
1
8.2.3 บรหารจดการการเปลยนแปลงในการใหบรการ 1
8.3.1 วางแผนตามความตองการ 1
8.3.2 มมาตรการหรอขนตอนในการยอมรบระบบนนๆ มาใช 1
6.1 - 6.8
Communications and
Operations Management
8.2 การบรหารจดการการ
ใหบรการของหนวยงาน
ภายนอก
8.1 การก าหนดหนาทความ
รบผดชอบ
8.3 การวางแผนและการ
ยอมรบระบบสารสนเทศ
(Planning and Acceptance)
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 7
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
8.4.1 มมาตรการปองกน กคน 1
8.4.2 ปองกนโปรแกรมประเภท Mobile Code เชน Java Applet,
Java Script, Active X, Flash
1
8.5 การส ารองขอมล (Back
Up)
8.5.1 มการส ารองและทดสอบการส ารองอยางสม าเสมอ 1
8.6.1 มมาตรการทางเครอขาย 1
8.6.2 ก าหนดคณสมบตระดบการใหบรการและมขอก าหนดในการ
บรหารจดการเครอขายทองคกรใชบรการอยและตองก าหนดในขอตกลง
ในการใหบรการดวย
1
8.7.1 บรหารจดการสอทเคลอนยายได (Removable Media) 1
8.7.2 ก าจดสอบนทกขอมล เชน ทบทง, Degaussing 1
8.7.3 มขนตอนปฏบตการจดการขอมลขางใน 1
8.7.4 ก าหนดมาตรการการเขาถงขอมลในสอ 1
8.8.1 มนโยบายและแลกเปลยน 18.8.2 จดท าขอตกลงในการแลกเปลยนเปนลายลกษณอกษร 1
8.8.3 มมาตรการการน าสอบนทกขอมลออกไปขางนอก 1
8.8.4 มมาตรการการสงขอมลทางอเลกทรอนกส เชน e-Mail 1
8.8.5 มมาตรการทเกยวกบขอมลและขนตอนทางธรกจ 1
8.4 การปองกนโปรแกรมไม
ประสงคด
8.6 บรหารเครอขาย
(Network Security
Management)
8.7 การจดการสอบนทกขอมล
(Media Handling)
8.8 การแลกเปลยนสารสนเทศ
(Exchange)
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 8
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
9. ควำมมนคงปลอดภยทำงดำนกำรสอสำร (Communications Security)
9.1.1 มมาตรการปองกน e-Commerce เชน การเปลยนแปลงเวบไซต
โดยไมไดรบอนญาต
1
9.1.2 มมาตรการในการท าธรกรรมออนไลน 1
9.1.3 ใหขอมลมความถกตองและพรอมใชงานเสมอ 1
9.2.1 บนทกเหตการณตลอดเวลาใน Log (Audit Logging) 1
9.2.2 ตรวจสอบการใชงาน (Monitoring) 1
9.2.3 ปองกนขอมลใน Log เชน ไมใหถกแกไข 1
9.2.4 บนทก Log กจกรรมของเจาหนาท 1
9.2.5 บนทกเหตการณขอผดพลาด (Fault Logging) 1
9.2.6 ตงเวลาแตละเครองใหตรงกน (Clock Synchronizing) 1
10. กำรจดหำ กำรพฒนำและกำรบ ำรงรกษำระบบ (System Acquistion, Development and Maintainance)
10.1 มการวเคราะหและระบ
ขอก าหนดดาน Security
ส าหรบระบบสารสนเทศใหม
หรอระบบทปรบปรงจาก
ระบบทมอยแลว
1
10.2.1 ตรวจสอบขอมลเขา (Input Validation) 1
6.9 - 6.10
Communications and
Operations Management9.1 การสราง Security ใน
e-Commerce
9.2 การเฝาระวง (Monitoring)
8. Information System
Acquisition,
Development and
Maintainance ยกเวน 8.3
10.2 ควบคมใหกรประมวลผล
Application มความถกตอง
ไมผดพลาดReference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 9
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
10.2.2 ตรวจสอบขอมลทอยในระหวางการประมวลผล 1
10.2.3 ตรวจสอบความครบถวน สมบรณของขอมล 1
10.2.4 ตรวจสอบขอมลน าออก (Output Validation) 1
10.3.1 ควบคมการตดตงซอฟทแวรลงระบบ 110.3.2 ปองกนขอมลทใชในการทดสอบ 1
10.3.3 ควบคมการเขาถง Source Code 1
10.4.1 มขนตอนการควบคมการแกไขระบบ 110.4.2 มการตรวจสอบการท างานระบบภายหลงการเปลยนแปลง 1
10.4.3 จ ากดการเปลยนแปลงแกไขซอฟทแวรทมาจากผผลต 1
10.4.4 ปองกนขอมลรวไหล (Information Leakage) 1
10.4.5 มมาตรการควบคมการพฒนาซอฟทแวรจากหนวยงานภายนอก 1
10.5.1 มมาตรการควบคมทางเทคนค 1
10.5.2 ประเมนความเสยง 1 อยระหวางด าเนนการจดจาง
-ไมม- 11. ควำมสมพนธกบผใหบรกำรภำยนอก (Supplier Relationships)
11.1.1 สทธ - หนาทของคสญญา 1
11.1.2 การแบงช าระงวดเงน หรอการช าระเงนทเปนการขจดความเสยง
ของผวาจาง
1
10.2 ควบคมใหกรประมวลผล
Application มความถกตอง
ไมผดพลาด
10.3 การสราง Security
ใหกบไฟล
10.4 การสราง security ใน
การพฒนาและการบ ารงรกษา
ระบบสารสนเทศ
10.5 การบรหารจดการชอง
โหวใน Hardware และ
Software
11.1 มการก าหนดขนตอนการ
จดซอจดจาง ตามระเบยบทาง
ราชการ แตรปแบบการก าหนด
เงอนไข TOR ทเปนมาตรฐาน
โดยเนนใหครอบคลมReference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 10
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
11.1.3 คณลกษณะทตองการของการจางงาน/ของทจะสงมอบ 1
11.1.4 ลขสทธในการจางท าของนนเปนของใคร 1
11.1.5 ถามการผดสญญาจะเยยวยาความเสยหายอยางไร 1
1
11.3 มการวดผลการ
ปฏบตงานทไมเปนไปตาม
ขอก าหนดทครบถวน
โดยเฉพาะขนตอน
กระบวนการควบคม - ก ากบท
เหมาะสมและชดเจน
1 วางแผนด าเนนงานใน
ปงบประมาณ 2563 เนองจาก
ขอจ ากดดานงบประมาณฯ
12. กำรบรหำรจดกำรเหตกำรณทเกยวของกบควำมมนคงปลอดภยขององคกร (Information Security Incident Management)
12.1.1 มชองทางใหรายงานเหตการณอยางทนทวงท 112.1.2 ตองบนทก/รายงานจดออนทพบหรอสงสย 1
12.2.1 ก าหนดหนาทและผรบผดชอบ 1
12.2.2 เรยนรจากเหตการณผานการจดบนทก จะไดเตรยมการในการ
ปองกนในอนาคต
1
12.2.3 รวบรวมหลกฐาน 1 Summary Report
9. Information Security
Incident Management 12.1 รายงานเหตการณและ
จดออนดาน security
11.1 มการก าหนดขนตอนการ
จดซอจดจาง ตามระเบยบทาง
ราชการ แตรปแบบการก าหนด
เงอนไข TOR ทเปนมาตรฐาน
โดยเนนใหครอบคลม
11.2 มการแตงตง/มอบหมาย
ใหมผประสานงาน
12.2 บรหารจดการและ
ปรบปรงแกไขตอเหตการณท
เกดขน (Incident Report)
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 11
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
13. กำรบรหำรควำมตอเนองในกำรด ำเนนงำนขององคกร (Business Continuity Management)
13.1.1 ก าหนดกระบวนการไมใหองคกรหยดชะงก 1
13.1.2 ประเมนความเสยงในการบรหารความตอเนอง 1
13.1.3 จดท าแผนการด าเนนการทท าใหธรกจเดนตอได 1
13.1.4 ก าหนด Framework 1
13.1.5 ทดสอบและปรบปรงแผนเปนระยะๆ 1
11. Compliance 14. กำรปฏบตตำมขอก ำหนด (Compliance)
14.1 ปฏบตตามขอกฎหมาย 14.1.1 ระบขอก าหนดตางๆ ทมผลทางกฎหมาย 1
14.1.2 ปองกนการละเมดสทธและทรพยสนทางปญญา 1
14.1.3 ปกปองขอมลขององคกรทอาจสงผลทางกฎหมาย 1
14.1.4 ปองกนขอมลสวนตว (Data Privacy and Protection of
Personal Information)
1
14.1.5 การปองกนการใชงานอปกรณผดวตถประสงคหรอ โดยไมไดรบ
อนญาต
1
14.1.6 การใชมาตรการเขารหสลบทสอดคลองกบกฎหมาย 1
14.2.1 ควบคมใหผใตบงคบบญชาปฏบตตาม 1
14.2.2 ตรวจสอบระบบใหเปนไปตามมาตรฐานหรอขอก าหนดทางเทคนค 1
10. Business Continuity
Management 13.1 การบรหารความตอเนอง
ในการด าเนนงานขององคกร
14.2 ปฏบตตามนโยบายและ
ขอก าหนดทางเทคนค
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]
[13 มนาคม 2562 : Thanima S.]/Page 12
2005 2013 ยงไมด ำเนนงำนอยระหวำง
ปรบปรง
ด ำเนนกำรแลว
เสรจ
หมำยเหต
ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562
แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562
ผลกำรด ำเนนงำน
14.3.1 ระบขอก าหนดและกจกรรมในการตรวจประเมนเพอใหม
ผลกระทบนอยทสดตอธรกจ
1
14.3.2 การปองกนการใชเครองมอตรวจประเมน (Audit tools) ทผด
วตถประสงคหรอเปดเผยการตรวจประเมนโดยไมไดรบอนญาต
1
รวม (รำยกำร) 13 123 2
หมายเหต : ขอก าหนดมาตรฐาน ISO/IEC 27001 : 2013 ม 14 ขอก าหนด (Control Area) 34 ขอควบคม (Control Objectives) และ 114 มาตรการควบคม (Control Points)
- สวนของการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Requirements)
- สวนของการควบคมแนวทางการบรหารความมนคงปลอดภยสารสนเทศ (Controls)
14.3 การตรวจประเมนระบบ
สารสนเทศ (Audit)
Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]
2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]