1. - Ministry of Public Healthict.hss.moph.go.th/fileupload_doc/2019-07-08-99-19-3170653.pdf · (ร่าง) แนวทางการรักษาความมั่นคงปลอดภัยสารสนเทศ

(ราง) แนวทางการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ /26 มถนายน 2562 [Thanima S.]| 1

(ราง) แนวทางการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ 2562

โดย ธนมา สงขสวรรณ1

1. แนวทาง วธการ กระบวนงานทส าคญการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

จากพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร ฉบบท 2 พ.ศ.2560 ไดมการแกไขเพมเตมกฎหมายวาดวยการกระท าความผดเกยวกบคอมพวเตอร และพระราชบญญต วาดวยธรกรรมทางอเลกทรอนกส ประกอบกบแนวคด “GRC” (Governance, Risk and Compliance) ทก าลงเปนทนยม ท าใหหลายองคกรเกดความตนตวในเรอง “Regulatory Compliance” หรอ “การปฏบตตามกฎหมายและกฎระเบยบตางๆ” จากหนวยงานทเกยวของ เชน ธนาคารพาณชย ปฏบตตามกฎระเบยบของธนาคารแหงประเทศไทย และบรษทหลกทรพยปฏบตตามกฎระเบยบของส านกงานคณะกรรมการก ากบหลกทรพย และ ตลาดหลกทรพย (กลต.) เปนตน

กระทรวงสาธารณสข โดยกรมสนบสนนบรการสขภาพมภารกจ : การคมครองผบรโภคดานระบบบรการสขภาพและสงเสรมผประกอบการดานบรการสขภาพเพอประชาชนมศกยภาพในการพงพาตนเอง ดวยภารกจในการพฒนาองคกรไปส “รฐบาลดจทลดานระบบบรการสขภาพ” [Digital Government ; Healthcare Service System] เพอยกระดบคณภาพการใหบรการไปส “หนวยงานราชการแหงนวตกรรมดจทลดานระบบบรการสขภาพ” ดงน 1) มระบบจดทะเบยนสถานพยาบาลและสถานประกอบการเพอสขภาพ (e-Registration) 2) เปนหนวยงานทเกยวของกบการเกบรกษาขอมลสวนบคคล (Data Privacy Protection Regulation) ดานธรกจบรการสขภาพรองรบการด าเนนงานระหวางภาครฐและเอกชน โดยสนบสนนการท าธรกรรมอเลกทรอนกส (e-Commerce) ดวยนวตกรรมดจทล (Digital Innovation) ดานระบบบรการสขภาพทงภายในประเทศและตางประเทศ ตามนโยบายเศรษฐกจดจทล (Digital Economy) และ 3) มศนยคอมพวเตอร (Data Center) ทงสวนกลางและภมภาค ในระดบเขต (สบส.เขต 1 - 12)

กรมสนบสนนบรการสขภาพ มภารกจหลกการคมครองผบรโภคดานระบบบรการสขภาพและสงเสรมผประกอบการดานบรการสขภาพเพอประชาชนมศกยภาพในการพงพาตนเอง ดวยภารกจในการพฒนาองคกรไปส “รฐบาลดจทลดานระบบบรการสขภาพ” [Digital Government ; Healthcare Service System] เพอยกระดบคณภาพการใหบรการไปส “หนวยงานราชการแหงนวตกรรมดจทลดานระบบบรการสขภาพ” เชน มระบบจดทะเบยนสถานพยาบาลและสถานประกอบการเพอสขภาพ (e-Registration) เปนหนวยงานทเกยวของกบการเกบรกษาขอมลสวนบคคล (Data Privacy Protection) ดานธรกจบรการสขภาพรองรบการด าเนนงานระหวางภาครฐและเอกชนทสนบสนนการท าธรกรรมอเลกทรอนกส (e-Commerce) ดานระบบบรการสขภาพทงภายในประเทศและนานาชาต รวมทงพฒนานวตกรรมดจทล (Digital Innovation) ดานระบบบรการสขภาพตามนโยบายเศรษฐกจดจทล (Digital Economy) รวมทงมศนยคอมพวเตอร (Data Center) ทงสวนกลางและภมภาคระดบเขต สบส.เขต 1- 12

กลมเทคโนโลยสารสนเทศ มภารกจหลกในการขบเคลอนนโยบายรฐบาลดจทลดานระบบบรการสขภาพ เพออ านวยความสะดวกใหผรบบรการทนยมแสวงหาขอมลและเพมศกยภาพของประชาชนและภาคเครอขายในการจดการระบบสขภาพชมชนอยางมสวนรวม ทสามารถขบเคลอนองคกรสนโยบายรฐบาลดจทล (Digital Government) ไดอยางมประสทธภาพและเกดประสทธผล โดยไดประกาศนโยบายความมนคงปลอดภยของระบบสารสนเทศ ฉบบปรบปรง ปงบประมาณ 2557 อางองตามมาตรฐาน ISO/IEC 27001:2013 ททกหนวยงานตองถอปฏบต เพอรองรบการท าธรกรรมอเลกทรอนกส (e-Document/e-Finance/e-Business) ตามมาตรการความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ ลงวนท 13 สงหาคม 2557 ซงเกยวของกบการตดตาม ควบคม ก ากบระบบความมนคงปลอดภย (Enterprise Risk Management) ของระบบขอมลสารสนเทศ เพอสรางความนาเชอถอไววางใจ (Trust Worthy) ทมงสความยงยน (Sustainability) ใหเกดประสทธภาพและประสทธผล มาใชในการบรหารจดการ ในประเดนระบบบรหารจดการองคกรอยางมประสทธภาพ (Government Excellence)

1 นกวชาการสาธารณสขช านาญการ กลมเทคโนโลยสารสนเทศ ส านกบรหาร กรมสนบสนนบรการสขภาพ


2. แนวทางปฏบตดานการใชเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ

กรมสนบสนนบรการสขภาพ ไดด าเนนงานตามแผนปฏรปองคการ ตามมาตรการปรบปรงประสทธภาพในการปฏบตราชการ ประจ าปงบประมาณ พ.ศ. 2561 ไดก าหนดใหทกสวนราชการตองจดท าแผนปฏรปองคกรตามองคประกอบท 5 (Potential Base) โดยใหวเคราะหสถานการณ บทบาทภารกจ ระบบงาน โครงสราง อตราก าลงและจดท าขอเสนอการปรบเปลยนบทบาทภารกจในระยะ 3 ป (ปงบประมาณ พ.ศ. 2562 – 2564)

ตามค าสงกรมสนบสนนบรการ ท 2508/2560 เรอง แตงตงคณะท างานจดท าแผนปฏรปองคกร กรมสนบสนนบรการสขภาพ ลงวนท 28 พฤศจกายน พ.ศ. 2560 ไดด าเนนการจดโครงสรางสวนราชการใหม เพอใหการด าเนนงานสมฤทธผลตามเปาหมายและมประสทธภาพ โดยการทบทวนภารกจของหนวยงานใน 4 ดาน คอ

1. Structure การปรบปรงโครงสรางหนวยงานใหสอดรบกบภารกจใหม 2. Process Redesign การปรบปรงกระบวนการท างานใหงาย สะดวก ลดตนทนคาใชจายและตอบโจทย

ประชาชนผใชบรการบน Digital Platform 3. Law การปรบปรงกฎหมายใหเออตอการปฏบตงานในรปแบบใหม 4. People การพฒนาบคลากร การจดสรรอตราก าลงใหสอดรบกบการปรบบทบาทภารกจและการ

ปฏบตงานในรปแบบใหมโดยใช Digital Platform กรมสนบสนนบรการสขภาพ จงไดแบงโครงสรางออกเปน 3 ภารกจหลก และ 1 ภารกจระดบพนท คอ (1) กลมภารกจท 1 กลมภารกจการคมครองผบรโภคดานระบบบรการสขภาพ

(1.1) ดานสถานพยาบาลและการประกอบโรคศลปะ : ส านกสถานพยาบาลและการประกอบโรคศลปะ (สพ.รศ.) (1.2) ดานสถานประกอบการเพอสขภาพ : กองสถานประกอบการเพอสขภาพ (กสพส.) (1.3) ดานกฎหมาย : กองกฎหมาย (1.4) ศนยคมครองผบรโภคดานระบบบรการสขภาพ

(2) กลมภารกจท 2 กลมภารกจยทธศาสตรการบรหารจดการและก ากบมาตรฐานระบบบรการสขภาพ (2.1) ดานวศวกรรมการแพทยและสาธารณสข : กองวศวกรรมการแพทย (2.2) ดานอาคารและสภาพแวดลอมสาธารณสข : กองแบบแผน (2.3) ดานการพฒนาอตสาหกรรมบรการสขภาพแบบครบวงจร : กองสขภาพระหวางประเทศ (2.4) ดานบรหารจดการ

(2.4.1) กลมอ านวยการ (2.4.2) กลมเทคโนโลยสารสนเทศ (2.4.3) กลมบรหารทรพยากรบคคล (2.4.5) กลมแผนงาน (2.4.6) กลมคลง (2.4.7) กลมประชาสมพนธ

(2.6) ดานพฒนาระบบบรหารจดการ : กลมพฒนาระบบบรหารจดการ (2.7) ดานตรวจสอบภายใน : กลมตรวจสอบภายใน (2.8) ดานคมครองจรยธรรม : กลมงานคมครองจรยธรรม

(3) กลมภารกจท 3 ภารกจสงเสรมการมสวนรวมภาคประชาชน (3.1) ดานสขภาพภาคประชาชน : กองสนบสนนสขภาพภาคประชาชน (สช.) (3.2) ดานพฒนาพฤตกรรมสขภาพ : กองสขศกษา (ส.)

(4) ภารกจท 4 ภารกจระดบพนท ดานสนบสนนระบบบรการสขภาพในพนท (4.1) ส านกงานสนบสนนบรการสขภาพ เขต 1 - 12 (สบส. เขต 1 - 5) (4.2) สถาบนพฒนานวตกรรมดานระบบบรการสขภาพ ภาค 1 - 5 (พตส. 1 - 5)


โดยมการก าหนดรปแบบวธการท างานแบบใหม (Business Model) ใหแตละงานทส าคญ ดงน (1) ภารกจหลกระดบกรมสนบสนนบรการสขภาพ :เปนกรมวชาการทมบทบาทของการสงเสรม ควบคม

ก ากบ รบรอง คณภาพมาตรฐานเพอการคมครองผบรโภคดานระบบบรการสขภาพ (Regulator for Customer Protection) และ ขยายผลไปสนโยบายดานเศรษฐศาสตรสาธารณสขในอนาคต (Organizational Transformation Plan to Health Economics) ในการกาวสรฐบาลดจทล (Digital Government) ประกอบดวย

(1.1) งานคมครองผบรโภคดานระบบบรการสขภาพ (1.2) งานสนบสนนการบรหารจดการและก ากบมาตรฐานระบบบรการสขภาพ (1.3) งานเสรมสรางการมสวนรวมภาคประชาชน

(2) ภารกจระดบพนท : ด าเนนการ 3 ภารกจหลกในระดบภมภาค กลมเทคโนโลยสารสนเทศ ส านกบรหาร ไดใชแผนแมบทเทคโนโลยสารสนเทศและการสอสาร ปงบประมาณ

พ.ศ.2557 - 2560 และอยระหวางพฒนาแผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ปงบประมาณ พ.ศ. 2562 – 2565 ทมการปรบปรงใหสอดคลองตามมาตรฐานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001 : 2013 และทแกไขเพมเตม พระราชบญญตความมนคงปลอดภยไซเบอร พ.ศ. 2562 พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 และพระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 4) พ.ศ. 2562 กฎหมายทเกยวของ รวมทงมาตรฐานสากล (NIST : National Institute of Standard and Technology)

3. ขอก าหนดทส าคญการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

3.1 การรกษาความมนคงปลอดภยสารสนเทศ มแนวทางการด าเนนงาน ตามหลก CIA in Information Security ใน 3 องคประกอบหลก ดงน

3.1.1 C : Confidentialty ความมนใจ 3.1.2 I : Integrity ความสม าเสมอ 3.1.3 A : Availability การเขาถง

3.2 ในขอบเขตการด าเนนงานรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ 3.2.1 กระบวนการท างาน (Process) 3.2.2 ขอมลและสารสนเทศ (Information) 3.2.3 ฮารดแวร (Hardware) 3.2.4 การบรหารจดการทรพยสน (Asset Management) 3.2.5 ซอฟทแวร (Software) 3.2.6 เครอขายคอมพวเตอร (Network) 3.2.7 เครองแมขายเสมอน (Virtual Machine) 3.2.8 บคลากร (Personnel) 3.2.9 สถานทและระบบสนบสนน (Sites)

3.3 นอกขอบเขตการด าเนนงานรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ 3.3.1 ระบบงานอนๆ ของผใชบรการระบบงานของกรมสนบสนนบรการสขภาพ (HSS Net) 3.3.2 เครอขายคอมพวเตอรระหวางผใชบรการระบบงานของกรมสนบสนนบรการสขภาพ กบ ระบบ

บรการทก ากบดแลโดยผใหบรการภายนอก (อปกรณของผใหบรการภายนอก) 4. กระบวนการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

โดยมมาตรการควบคม 14 ขอ ดงน 1. นโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (Information Security Policies)


2. โครงสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (Organization of Information Security) 3. ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทเกวของกบบคลากร (Human Resources Security) 4. การบรหารจดการทรพยสนขององคกร (asset Management) 5. การควบคมการเขาถง (Access Control) 6. การเขารหสขอมล (Cryptography) 7. การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and Environmental Security) 8. การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศดานการด าเนนการ (Operation Security) 9. ความมนคงปลอดภยดานการสอสาร (Communication Security) 10. การจดหา การพฒนาและการบ ารงรกษาระบบ (System Acquistion, Development and

Maintainance) 11. ความสมพนธกบผใหบรการภายนอก (Supplier Relationships) 12. การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร (Information Security

Incident Management) 13. การบรหารความตอเนองในการด าเนนงานขององคกร (Business Continuity Management) 14. การปฏบตตามขอก าหนด (Compliance)

5. ขนตอนการด าเนนงานรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

รายละเอยดตามเอกสารแนบ 1

กรอบแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ1 กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข

ปงบประมาณ 2562

1 นางสาวธนมา สงขสวรรณ : นกวชาการสาธารณสขช านาญการ กลมเทคโนโลยสารสนเทศ ส านกบรหาร กรมสนบสนนบรการสขภาพ

ISO/IEC 27001 : 2013 Certification Roadmap

Approach

การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามาตรฐานทก าหนด

ระยะ (Phase)

วตถประสงค

(Aim)

ขนตอน

(Activities)

วตถประสงคการด าเนนงานสอดคลองตามนโยบาย

ผรบบรการและผเกยวของ

Phase I

Scoping & Planning

Phase II

Gap Assessment &

Roadmap

Phase III

ISMS

Implementation

Phase IV

Internal & External Audit

ก าหนดแนวทางการด าเนน ตามมาตรฐาน

พฒนาและปรบปรงกระบวนงานตามแนวทางมาตรฐาน

ควบคม ก ากบ ตดตามและประเมนผล ตามแนวทางมาตรฐาน

แนวคด/แนวทาง

การด าเนนงาน การจดการความรดานความมนคงปลอดภยสารสนเทศ

1. ก ำำหนดขอบเขต (Scope) ทจะท ำำ ISO/IEC 27001 : 2013เพอใหมนใจวำสำรสนเทศของระบบงำน หรอกจกรรมนน ๆ มควำมมนคงปลอดภย 2. ประชมชแจงก ำหนดแนวทำงกำรด ำเนนงำน 3. สรปแนวทำงกำรด ำเนนงำนรวมกน

1 ศกษำมำตรฐำน ISO/IEC 27001 ภำยใต ISO/IEC 27001 เพอใหมนใจวำสำรสนเทศของระบบงำน หรอกจกรรมนน ๆ มควำมมนคงปลอดภย 2. วเครำะห และก ำหนดแนวทำง แผนกำรด ำเนนงำน 3. ปรบปรงแนวทำงกำรควบคมใหสอดคลองตำมแนวทำงมำตรฐำนทก ำหนด

1 ปรบปรงผลกำรด ำเนนงำน ตำมแนวทำงมำตรฐำน 2. ปฏบตตำมขอก ำหนด 3. ประเมนควำมเสยง 4. วำงแผนปองกนควำมเสยง 5. จดท ำเอกสำรรองรบกำรตรวจประเมน 6. ประเมนตำมตวชวดทก ำหนด

กำรบรหำรจดกำรควำมเสยง

- ควบคม ก ากบการด าเนนงาน - ตรวจสอบภายใน - เตรยมพรอมรองรบการตรวจประเมน

- กำรประเมนมครงท 1

- กำรประเมนมครงท 2

[13 มนาคม 2562 : Thanima S.]/Page 1

2005 2013 ยงไมด ำเนนงำนอยระหวำง

ปรบปรง

ด ำเนนกำรแลว

เสรจ

ISMS Standard : ISO/IEC 27001 --> Controls

CIA in Information Security : 3 องคประกอบหลกในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ

C : Confidentiality ควำมมนใจ

I : Integrity ควำมสม ำเสมอ

A : Availability กำรเขำถง

1. Security Policy 1. นโยบำยควำมมนคงปลอดภยสำรสนเทศ (Security Policy)

1.1 นโยบายทเปนลายลกษณ

อกษร

1.1 นโยบายการรกษาความมนคงปลอดภยสารสนเทศ กรมสนบสนน

บรการสขภาพ ปงบประมาณ พ.ศ. 2557

1

1.2 ทบทวนนโยบายตาม

ระยะเวลาทก าหนด หรอมการ

เปลยนแปลงทส าคญขององคกร

1.2 การปรบเปลยนโครงสรางกรมสนบสนนบรการสขภาพ 1

2. โครงสรำงดำนควำมมนคงปลอดภยสำรสนเทศ (Organization of Information Security)

2.1 โครงสรางภายในองคกร 2.1.1 การใหความส าคญของผบรหาร 1

2.1.2 การประสานงานภายในองคกร 1

2.1.3 การก าหนดหนาทความรบรบผดชอบ 1 2.13 ตามค าสง กรมสนบสนนบรการ

สขภาพ ท 125/2562 ลงวนท 25

มกราคม 2562

2.1.4 กระบวนการในการอนมตการใชงานอปกรณประมวลผล 1

หมำยเหต

ผลกำรด ำเนนงำนเตรยมควำมพรอมในกำรรกษำควำมมนคงปลอดภยสำรสนเทศ

กรมสนบสนนบรกำรสขภำพ กระทรวงสำธำรณสข ปงบประมำณ พ.ศ. 2562

2. Organization of

Information Security

แนวทำงกำรรกษำควำมมนคงปลอดภยสำรสนเทศประเดนในกำรด ำเนนงำน ปงบประมำณ พ.ศ. 2562

ผลกำรด ำเนนงำน

Reference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]

2 คมอการตรวจสอบภายในดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ ป 2558 - 2560 [กลมตรวจสอบภายใน กรมสนบสนนบรการสขภาพ]



ปรบปรง


เสรจ






2.1.6 การมรายชอตดตอกบหนวยงานอนทเกยวของ เชน กระทรวง

ดจทลเพอเศรษฐกจและสงคม ส านกงานพฒนาธรกรรมอเลกทรอนกส

1

2.1.7 การมรายชอตดตอกบหนวยงานทมความสนใจเปนพเศษเฉพาะใน

เรองเดยวกน เชน ส านกงานคณะกรรมการอาหารและยา

กรมวทยาศาสตรการแพทย

1

2.1.8 การทบทวนโดยผตรวจสอบอสระ 2.1.8 วางแผนการด าเนนงานใน

ปงบประมาณ พ.ศ. 2563

2.2.1 การประเมนความเสยง 12.2.2 การระบขอก าหนดส าหรบลกคาหรอผใชบรการ 1

2.2.3 การระบขอก าหนดส าหรบหนวยงานภายนอก 1

3. ควำมมนคงปลอดภยทเกยวของกบบคลำกร (Human Resources Security)

3.1 กอนการจางงาน 3.1.1 ก าหนดหนาทความรบผดชอบดาน Security 1

3.1.2 ตรวจสอบคณสมบตของผสมคร (Screening) 1

4.1.3 ก าหนดเงอนไขการจางงาน 1

3.2 ระหวางการจางงาน 3.2.1 ก าหนดหนาทความรบผดชอบดาน Security 1

3.2.2 สรางความตระหนก อบรม 1

3.2.3 กระบวนการลงโทษทางวนย 1

3.3 สนสดหรอเปลยนการจางงาน3.3.1 คนทรพยสน 1

4. Human Resources

Security

2. Organization of

Information Security

2.2 โครงสรางภายนอกองคกร

(โครงสรางเกยวกบลกคาหรอ

หนวยงานภายนอก)





ปรบปรง


เสรจ






3.3.2 ถอดสทธ 1

3. Asset Management 4. กำรบรหำรจดกำรทรพยสนขององคกร (Asset Management)

4.1.1 จดท าบญชทรพยสน 1

4.1.2 ระบผเปนเจาของทรพยสน 1

4.1.3 ใชงานทรพยสนอยางเหมาะสม 1

4.2.1 จดล าดบชนความลบ คณคา ขอก าหนดทางกฎหมายและผลกระทบ 1

4.2.2 จดท าปายชอ 1

7. Access Control 5. กำรควบคมกำรเขำถง (Access Control)

5.1 มขอก าหนดทางธรกจ

(Business Requirement)

5.1.1 มนโยบายการเขาถงเปนลายลกษณอกษรและปรบปรงอยาง

สม าเสมอ

1

5.2.1 มขนตอนการลงทะเบยนพนกงาน เชน เขาใหม ลาออก เปลยน

ต าแหนง

1

5.2.2 จดการสทธการใชงานระบบ 1

5.2.3 จดการรหสผาน 1

5.2.4 ทบทวนสทธ 1

5.3.1 วธปฏบตในการใชรหสผาน 1

5.3.2 วธปองกนอปกรณทไมมผดแล 1

4. Human Resources

Security

4.1 หนาทความรบผดชอบตอ

ทรพยสนองคกร

4.2 การจดหมวดหมสารสนเทศ

5.2 บรหารการเขาถงของผใช

(User Access)

5.3 ก าหนดหนาทความ

รบผดชอบของผใช





ปรบปรง


เสรจ






5.3.3 มนโยบายควบคมการไมทงทรพยสนในททไมปลอดภย 1

5.4.1 มนโยบายการใชงานเครอขาย 1

5.4.2 มการพสจนตวตนส าหรบผใชภายนอกองคกร 1

5.4.3 มการพสจนตวตนอปกรณบนเครอขาย 1

5.4.4 มการควบคมและเขาถงการใชงาน Port 1

5.4.5 มการแบงแยกเครอขาย (Segregation in Networks) 1

5.4.6 มการควบคมการเชอมตอทางเครอขาย 1

5.4.7 มการควบคมการก าหนดเสนทางบนเครอขาย (Network Routing

Control)

1

5.5.1 มขนตอนการเขาถงระบบ (Secure Log in) 1

5.5.2 มการพสจนตวตน 1

5.5.3 บรหารจดการรหสผาน 1

5.5.4 ควบคมการใชงาน Program Utility 1

5.5.5 ใหมการ "หมดเวลา" การใชงาน (Session Time Out) 1

5.5.6 ใหมการ "หมดเวลาการเชอมตอสารสนเทศ" 1

5.6.1 จ ากดการเขาถง 1

5.6.2 แยกระบบทมความส าคญสง 1

5.4 ควบคมการเขาถงเครอขาย

(Network Access Control)

5.5 ควบคมการเขาถง

ระบบปฏบตการ

5.6 ควบคมการเขาถง

Application และสารสนเทศ





ปรบปรง


เสรจ






5.7.1 มนโยบายการควบคมการใชอปกรณพกพา เชน Notebook,

Smart Phone, Tablet

1

5.7.2 ควบคมการท างานจากภายนอก (Teleworking) 1

8.3 Cryptographic Control 6. กำรเขำรหสขอมล (Cryptography)

6.1 มนโยบายการเขารหสลบ 1

6.2 มการบรหารจดการกญแจ

เขารหสลบขอมล (Key

Management)

1

7. กำรสรำงควำมมนคงปลอดภยทำงกำยภำพและสงแวดลอม (Physical and Environmental Security)

7.1 บรเวณทตองม Security 7.1.1 การจดท าบรเวณลอมรอบ 1

7.1.2 การควบคมการเขา - ออก 1

7.1.3 การสราง Security ในส านกงานและทรพยสนอนๆ 1

7.1.4 การปฏบตงานในพนท ทม Security 1

7.1.5 การจดบรเวณการเขาถงส าหรบบคคลภายนอก 1

7.2 Security ของอปกรณ 7.2.1 การจดวางและการปองกนของอปกรณ 1

7.2.2 ระบบและอปกรณสนบสนนการท างาน 1

7.2.3 การเดนสายไฟ เคเบลและสายอนๆ 1

7.2.4 การบ ารงรกษาอปกรณ 1

5. Physical and

Environmental Security

5.7 ควบคมอปกรณสอสาร

แบบพกพาและการปฏบตงาน

จากภายนอกองคกร





ปรบปรง


เสรจ






7.2.5 การปองกนอปกรณทใชงานอยภายนอกส านกงาน 1

7.2.6 การก าจดอปกรณหรอน าอปกรณกลบมาใชใหม 1

7.2.7 การน าอปกรณออกนอกส านกงาน 1

8. กำรรกษำควำมมนคงปลอดภยดำนเทคโนโลยสำรสนเทศดำนกำรด ำเนนกำร (Operations Security)

8.1.1 การก าหนดขนตอนเปนลายลกษณอกษร 18.1.2 ควบคมการเปลยนแปลง (Change Management) 1

8.1.3 แบงหนาทความรบผดชอบ (Segregation of Duties) 1

8.1.4 แยกระบบส าหรบการพฒนา ทดสอบ และการใหบรการออกจากกน 1

8.2.1 ก าหนดใหหนวยงานภายนอกปฏบตตามขอก าหนดทตกลงไว

ระหวางกน

1

8.2.2 ตรวจสอบการใหบรการของหนวยงานภายนอกอยางสม าเสมอ

(Monitoring)

1

8.2.3 บรหารจดการการเปลยนแปลงในการใหบรการ 1

8.3.1 วางแผนตามความตองการ 1

8.3.2 มมาตรการหรอขนตอนในการยอมรบระบบนนๆ มาใช 1

6.1 - 6.8

Communications and

Operations Management

8.2 การบรหารจดการการ

ใหบรการของหนวยงาน

ภายนอก

8.1 การก าหนดหนาทความ

รบผดชอบ

8.3 การวางแผนและการ

ยอมรบระบบสารสนเทศ

(Planning and Acceptance)





ปรบปรง


เสรจ






8.4.1 มมาตรการปองกน กคน 1

8.4.2 ปองกนโปรแกรมประเภท Mobile Code เชน Java Applet,

Java Script, Active X, Flash

1

8.5 การส ารองขอมล (Back

Up)

8.5.1 มการส ารองและทดสอบการส ารองอยางสม าเสมอ 1

8.6.1 มมาตรการทางเครอขาย 1

8.6.2 ก าหนดคณสมบตระดบการใหบรการและมขอก าหนดในการ

บรหารจดการเครอขายทองคกรใชบรการอยและตองก าหนดในขอตกลง

ในการใหบรการดวย

1

8.7.1 บรหารจดการสอทเคลอนยายได (Removable Media) 1

8.7.2 ก าจดสอบนทกขอมล เชน ทบทง, Degaussing 1

8.7.3 มขนตอนปฏบตการจดการขอมลขางใน 1

8.7.4 ก าหนดมาตรการการเขาถงขอมลในสอ 1

8.8.1 มนโยบายและแลกเปลยน 18.8.2 จดท าขอตกลงในการแลกเปลยนเปนลายลกษณอกษร 1

8.8.3 มมาตรการการน าสอบนทกขอมลออกไปขางนอก 1

8.8.4 มมาตรการการสงขอมลทางอเลกทรอนกส เชน e-Mail 1

8.8.5 มมาตรการทเกยวกบขอมลและขนตอนทางธรกจ 1

8.4 การปองกนโปรแกรมไม

ประสงคด

8.6 บรหารเครอขาย

(Network Security

Management)

8.7 การจดการสอบนทกขอมล

(Media Handling)

8.8 การแลกเปลยนสารสนเทศ

(Exchange)





ปรบปรง


เสรจ






9. ควำมมนคงปลอดภยทำงดำนกำรสอสำร (Communications Security)

9.1.1 มมาตรการปองกน e-Commerce เชน การเปลยนแปลงเวบไซต

โดยไมไดรบอนญาต

1

9.1.2 มมาตรการในการท าธรกรรมออนไลน 1

9.1.3 ใหขอมลมความถกตองและพรอมใชงานเสมอ 1

9.2.1 บนทกเหตการณตลอดเวลาใน Log (Audit Logging) 1

9.2.2 ตรวจสอบการใชงาน (Monitoring) 1

9.2.3 ปองกนขอมลใน Log เชน ไมใหถกแกไข 1

9.2.4 บนทก Log กจกรรมของเจาหนาท 1

9.2.5 บนทกเหตการณขอผดพลาด (Fault Logging) 1

9.2.6 ตงเวลาแตละเครองใหตรงกน (Clock Synchronizing) 1

10. กำรจดหำ กำรพฒนำและกำรบ ำรงรกษำระบบ (System Acquistion, Development and Maintainance)

10.1 มการวเคราะหและระบ

ขอก าหนดดาน Security

ส าหรบระบบสารสนเทศใหม

หรอระบบทปรบปรงจาก

ระบบทมอยแลว

1

10.2.1 ตรวจสอบขอมลเขา (Input Validation) 1

6.9 - 6.10

Communications and

Operations Management9.1 การสราง Security ใน

e-Commerce

9.2 การเฝาระวง (Monitoring)

8. Information System

Acquisition,

Development and

Maintainance ยกเวน 8.3

10.2 ควบคมใหกรประมวลผล

Application มความถกตอง

ไมผดพลาดReference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]




ปรบปรง


เสรจ






10.2.2 ตรวจสอบขอมลทอยในระหวางการประมวลผล 1

10.2.3 ตรวจสอบความครบถวน สมบรณของขอมล 1

10.2.4 ตรวจสอบขอมลน าออก (Output Validation) 1

10.3.1 ควบคมการตดตงซอฟทแวรลงระบบ 110.3.2 ปองกนขอมลทใชในการทดสอบ 1

10.3.3 ควบคมการเขาถง Source Code 1

10.4.1 มขนตอนการควบคมการแกไขระบบ 110.4.2 มการตรวจสอบการท างานระบบภายหลงการเปลยนแปลง 1

10.4.3 จ ากดการเปลยนแปลงแกไขซอฟทแวรทมาจากผผลต 1

10.4.4 ปองกนขอมลรวไหล (Information Leakage) 1

10.4.5 มมาตรการควบคมการพฒนาซอฟทแวรจากหนวยงานภายนอก 1

10.5.1 มมาตรการควบคมทางเทคนค 1

10.5.2 ประเมนความเสยง 1 อยระหวางด าเนนการจดจาง

-ไมม- 11. ควำมสมพนธกบผใหบรกำรภำยนอก (Supplier Relationships)

11.1.1 สทธ - หนาทของคสญญา 1

11.1.2 การแบงช าระงวดเงน หรอการช าระเงนทเปนการขจดความเสยง

ของผวาจาง

1

10.2 ควบคมใหกรประมวลผล

Application มความถกตอง

ไมผดพลาด

10.3 การสราง Security

ใหกบไฟล

10.4 การสราง security ใน

การพฒนาและการบ ารงรกษา

ระบบสารสนเทศ

10.5 การบรหารจดการชอง

โหวใน Hardware และ

Software

11.1 มการก าหนดขนตอนการ

จดซอจดจาง ตามระเบยบทาง

ราชการ แตรปแบบการก าหนด

เงอนไข TOR ทเปนมาตรฐาน

โดยเนนใหครอบคลมReference : 1 Information Security ISO/IEC 27001 : 2005 [ดร.ชาล วรกลพพฒน, CISSP NECTEC]




ปรบปรง


เสรจ






11.1.3 คณลกษณะทตองการของการจางงาน/ของทจะสงมอบ 1

11.1.4 ลขสทธในการจางท าของนนเปนของใคร 1

11.1.5 ถามการผดสญญาจะเยยวยาความเสยหายอยางไร 1

1

11.3 มการวดผลการ

ปฏบตงานทไมเปนไปตาม

ขอก าหนดทครบถวน

โดยเฉพาะขนตอน

กระบวนการควบคม - ก ากบท

เหมาะสมและชดเจน

1 วางแผนด าเนนงานใน

ปงบประมาณ 2563 เนองจาก

ขอจ ากดดานงบประมาณฯ

12. กำรบรหำรจดกำรเหตกำรณทเกยวของกบควำมมนคงปลอดภยขององคกร (Information Security Incident Management)

12.1.1 มชองทางใหรายงานเหตการณอยางทนทวงท 112.1.2 ตองบนทก/รายงานจดออนทพบหรอสงสย 1

12.2.1 ก าหนดหนาทและผรบผดชอบ 1

12.2.2 เรยนรจากเหตการณผานการจดบนทก จะไดเตรยมการในการ

ปองกนในอนาคต

1

12.2.3 รวบรวมหลกฐาน 1 Summary Report

9. Information Security

Incident Management 12.1 รายงานเหตการณและ

จดออนดาน security

11.1 มการก าหนดขนตอนการ

จดซอจดจาง ตามระเบยบทาง

ราชการ แตรปแบบการก าหนด

เงอนไข TOR ทเปนมาตรฐาน

โดยเนนใหครอบคลม

11.2 มการแตงตง/มอบหมาย

ใหมผประสานงาน

12.2 บรหารจดการและ

ปรบปรงแกไขตอเหตการณท

เกดขน (Incident Report)





ปรบปรง


เสรจ






13. กำรบรหำรควำมตอเนองในกำรด ำเนนงำนขององคกร (Business Continuity Management)

13.1.1 ก าหนดกระบวนการไมใหองคกรหยดชะงก 1

13.1.2 ประเมนความเสยงในการบรหารความตอเนอง 1

13.1.3 จดท าแผนการด าเนนการทท าใหธรกจเดนตอได 1

13.1.4 ก าหนด Framework 1

13.1.5 ทดสอบและปรบปรงแผนเปนระยะๆ 1

11. Compliance 14. กำรปฏบตตำมขอก ำหนด (Compliance)

14.1 ปฏบตตามขอกฎหมาย 14.1.1 ระบขอก าหนดตางๆ ทมผลทางกฎหมาย 1

14.1.2 ปองกนการละเมดสทธและทรพยสนทางปญญา 1

14.1.3 ปกปองขอมลขององคกรทอาจสงผลทางกฎหมาย 1

14.1.4 ปองกนขอมลสวนตว (Data Privacy and Protection of

Personal Information)

1

14.1.5 การปองกนการใชงานอปกรณผดวตถประสงคหรอ โดยไมไดรบ

อนญาต

1

14.1.6 การใชมาตรการเขารหสลบทสอดคลองกบกฎหมาย 1

14.2.1 ควบคมใหผใตบงคบบญชาปฏบตตาม 1

14.2.2 ตรวจสอบระบบใหเปนไปตามมาตรฐานหรอขอก าหนดทางเทคนค 1

10. Business Continuity

Management 13.1 การบรหารความตอเนอง

ในการด าเนนงานขององคกร

14.2 ปฏบตตามนโยบายและ

ขอก าหนดทางเทคนค





ปรบปรง


เสรจ






14.3.1 ระบขอก าหนดและกจกรรมในการตรวจประเมนเพอใหม

ผลกระทบนอยทสดตอธรกจ

1

14.3.2 การปองกนการใชเครองมอตรวจประเมน (Audit tools) ทผด

วตถประสงคหรอเปดเผยการตรวจประเมนโดยไมไดรบอนญาต

1

รวม (รำยกำร) 13 123 2

หมายเหต : ขอก าหนดมาตรฐาน ISO/IEC 27001 : 2013 ม 14 ขอก าหนด (Control Area) 34 ขอควบคม (Control Objectives) และ 114 มาตรการควบคม (Control Points)

- สวนของการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Requirements)

- สวนของการควบคมแนวทางการบรหารความมนคงปลอดภยสารสนเทศ (Controls)

14.3 การตรวจประเมนระบบ

สารสนเทศ (Audit)



Documents

1. - Ministry of Public Healthict.hss.moph.go.th/fileupload_doc/2019-07-08-99-19-3170653.pdf · (ร่าง) แนวทางการรักษาความมั่นคงปลอดภัยสารสนเทศ