SlideShare una empresa de Scribd logo

Non-Repudiation of Electronic Medical Records

Nawanan Theera-Ampornpunt
Nawanan Theera-Ampornpunt

Presented at TMI-NCMedInfo 2015 on November 27, 2015

Atención sanitaria
1 de 35
Descargar para leer sin conexión
Non-Repudiation of Electronic Medical Records นพ.นวนรรน ธีระอัมพรพันธุ์ ภาควิชาเวชศาสตร์ชุมชน คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 27 พฤศจิกายน 2558 www.SlideShare.net/Nawanan
Confidentiality • การรักษาความลับของข้อมูล Integrity • การรักษาความครบถ้วนและความ ถูกต้องของข้อมูล • ปราศจากการเปลี่ยนแปลงแก้ไข ทา ให้สูญหาย ทาให้เสียหาย หรือถูก ทาลายโดยมิชอบ Availability • การรักษาสภาพพร้อมใช้งาน หลักการของ Information Security
Non-Repudiation • “the assurance that someone cannot deny something. Typically refers to the ability to ensure that a party to a contract or a communication cannot deny the authenticity of their signature on a document or the sending of a message that they originated.” searchsecurity.techtarget.com/definition/nonrepudiation หลักการของ Information Security (เพิ่มเติม)
Non-Repudiation • “a state of affairs where the author of a statement will not be able to successfully challenge the authorship of the statement or validity of an associated contract.” https://en.wikipedia.org/wiki/Non-repudiation หลักการของ Information Security (เพิ่มเติม)
Integrity vs. Non-Repudiation Integrity • จะทำอย่ำงไรจึงจะแน่ใจว่ำ ข้อมูลของเรำ ที่รับ-ส่งกับผู้อื่น หรือที่เก็บรักษำไว้ จะยังคงอยู่ อย่ำงถูกต้อง (intact)? • จะทำอย่ำงไรจึงจะป้องกัน ผู้อื่นแก้ไข/ลบ/เพิ่ม ข้อมูลของ เรำโดยมิชอบ? Non-Repudiation • จะทำอย่ำงไรจึงจะแน่ใจและ ยืนยันได้ว่ำข้อมูลที่เรำได้รับ หรือเก็บไว้ มำจำกผู้ส่งจริงๆ โดยไม่เปลี่ยนแปลง? • ถ้ำผู้ส่งปฏิเสธว่ำข้อมูลไม่ ได้มำจำกเขำ เรำจะพิสูจน์ ยืนยันอย่ำงไร?
Legal Recognition vs. Non-Repudiation Legal Recognition • ข้อมูลที่เก็บไว้ (เช่น ในรูปแบบ อิเล็กทรอนิกส์) จะมีผลผูกพัน (legal binding) ในทำง กฎหมำยหรือไม่? • หำกนำข้อมูลไปใช้เป็น พยำนหลักฐำนในศำล จะ ได้รับกำรยอมรับหรือไม่? Non-Repudiation • จะทำอย่ำงไรจึงจะแน่ใจและ ยืนยันได้ว่ำข้อมูลที่เรำได้รับ หรือเก็บไว้ มำจำกผู้ส่งจริงๆ โดยไม่เปลี่ยนแปลง? • ถ้ำผู้ส่งปฏิเสธว่ำข้อมูลไม่ ได้มำจำกเขำ เรำจะพิสูจน์ ยืนยันอย่ำงไร?
ตัวอย่างเครื่องมือด้าน Integrity Image Sources: http://www.freeimages.co.uk/galleries/workplace/office2/slides/briefcase_lock.htm http://www.giantbomb.com/podcasts/giant-bombcast-e3-2013-the-sealed-envelope/1600-502/ http://www.ubergizmo.com/how-to/password-protect-folder-windows/ http://www.idownloadblog.com/2012/03/28/watch-this-security-firm/
ตัวอย่างเครื่องมือด้าน Non-Repudiation Image Sources: https://en.wikipedia.org/wiki/Signature/ http://www.mjsorority.com/mj/sorority.nsf/vwcontent/Contract_Review https://www.pdfill.com/document_sign.html http://news.mthai.com/hot-news/399898.html
ตัวอย่างเครื่องมือด้าน Non-Repudiation
What About The Law?
• พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551 กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-Related Crimes) ตัวอย่าง? –อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes) • เช่น Hacking, การเปิดเผยข้อมูลที่เป็นความลับ, การดักฟังข้อมูล –การกระทาความผิดที่มีคอมพิวเตอร์เป็นเครื่องมือ (Crimes Using Computers as Tools) • เช่น การเผยแพร่ภาพลามก • การโพสต์ข้อความที่เป็นภัยต่อความมั่นคง • การตัดต่อภาพเพื่อให้ผู้อื่นเสียหาย พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์ • มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการ ป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน (Unauthorized access) – เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น – การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้ • มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการเข้าถึง ระบบคอมพิวเตอร์ที่ผู้อื่นจัดทาขึ้นเป็นการเฉพาะที่ได้ล่วงรู้มา ใน ประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น – เช่น เปิดเผยรหัสผ่านของผู้อื่นโดยไม่ได้รับอนุญาต พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกัน การเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน (Unauthorized access) – เช่น การนาข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนื้อความ • มาตรา 8 การกระทาโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้ บุคคลทั่วไปใช้ประโยชน์ได้ – เช่น การดักฟังข้อมูลผ่านเครือข่าย • มาตรา 9 การทาให้เสียหาย ทาลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่า ทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ – เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 10 การกระทาโดยมิชอบ เพื่อให้การทางานของระบบคอมพิวเตอร์ ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทางาน ตามปกติได้ – เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม • มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคล อื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็น การรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข – เช่น ส่ง spam e-mail • มาตรา 13 การจาหน่ายหรือเผยแพร่ชุดคาสั่งเพื่อนาไปใช้เป็นเครื่องมือใน การกระทาความผิดตาม พรบ. นี้ – เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 14 (1) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือ ข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น หรือประชาชน (2) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่ น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่น ตระหนกแก่ประชาชน (3) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็นความผิด เกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้าย (4) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอันลามก และข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้ (5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4) พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุนหรือ ยินยอมให้มีการกระทาความผิดตามมาตรา 14 ในระบบ คอมพิวเตอร์ที่อยู่ในความควบคุมของตน • มาตรา 16 ผู้ใดนาเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจ เข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และ ภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติม หรือดัดแปลง ด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการ ที่น่าจะทาให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือ ได้รับความอับอาย พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
• พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551 – รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ – รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่ เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทา e-transactions ให้น่าเชื่อถือ – กาหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอานาจหน้าที่ กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล อิเล็กทรอนิกส์ (มาตรา 7) • ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้ วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9) • ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่ กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25) • คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ. • ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35) ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนา กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549 • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ – เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555 • กาหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน ต้นฉบับได้ – เรื่อง หลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความให้ อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 • กาหนดหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความที่ได้มี การจัดทาหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง – เรื่อง แนวทางการจัดทาแนวนโยบาย (Certificate Policy) และแนว ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552 • ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate) กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 • กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน บุคคลของหน่วยงานของรัฐ พ.ศ. 2553 • กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชาระเงินทาง อิเล็กทรอนิกส์ พ.ศ. 2551 • ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครอง สาหรับผู้ประกอบธุรกิจให้บริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2554 • ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจ บริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552 • ประกาศ ธปท. ที่เกี่ยวข้อง กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การ ประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบ ปลอดภัย พ.ศ. 2555 • หลักเกณฑ์การประเมินเพื่อกาหนดระดับวิธีการแบบปลอดภัยขั้นต่า – ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 • กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทา ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ 2 ฉบับ) ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ จัดทาหรือแปลงเอกสารและข้อความให้อยู่ ในรูปของข้อมูลอิเล็กทรอนิกส์ หน่วยงานของรัฐ • พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม ทางอิเล็กทรอนิกส์ภาครัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศของ หน่วยงานของรัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ • สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สานักงาน ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร • สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. – Electronic Transactions Development Agency (Public Organization) - ETDA หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ – “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบปลอดภัยที่ กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด) – จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจาแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น โครงสร้างพื้นฐานสาคัญของประเทศ หรือ Critical Infrastructure) “วิธีการแบบปลอดภัย”
ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้ • ด้านการชาระเงินทางอิเล็กทรอนิกส์ • ด้านการเงินของธนาคารพาณิชย์ • ด้านประกันภัย • ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์ • ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล สาธารณะ • ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา วิธีการแบบปลอดภัยในระดับเคร่งครัด
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบด้านมูลค่าความเสียหายทางการเงิน – ต่า: ≤ 1 ล้านบาท – ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท – สูง: > 100 ล้านบาท ระดับผลกระทบกับวิธีการแบบปลอดภัย
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อ ชีวิต ร่างกาย หรืออนามัย – ต่า: ไม่มี – ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน – สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน ระดับผลกระทบกับวิธีการแบบปลอดภัย
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความ เสียหายอื่นใด – ต่า: ≤ 10,000 คน – ปานกลาง: 10,000 < จานวนผู้ได้รับผลกระทบ ≤ 100,000 คน – สูง: > 100,000 คน • ผลกระทบด้านความมั่นคงของรัฐ – ต่า: ไม่มีผลกระทบต่อความมั่นคงของรัฐ – สูง: มีผลกระทบต่อความมั่นคงของรัฐ ระดับผลกระทบกับวิธีการแบบปลอดภัย
• พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ • พิจารณาตามระดับผลกระทบ – ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย ระดับเคร่งครัด – ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง – นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย
• อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems - Requirements • มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556 • ไม่มีบทกาหนดโทษ เป็นเพียงมาตรฐานสาหรับ “วิธีการที่เชื่อถือได้” ใน การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้าหนักการนาข้อมูล อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ ดาเนินการทางกฎหมาย • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่ รายชื่อหน่วยงานที่มีการจัดทานโยบายและแนวปฏิบัติโดยสอดคล้องกับ วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้ ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
• แบ่งเป็น 11 หมวด (Domains) – Security policy – Organization of information security – Asset management – Human resources security – Physical and environmental security – Communications and operations management – Access control – Information systems acquisition, development and maintenance – Information security incident management – Business continuity management – Regulatory compliance มาตรฐาน Security ตามวิธีการแบบปลอดภัย
มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ หมวด (Domain) ระดับพื้นฐาน ระดับกลาง (เพิ่มเติมจากระดับพื้นฐาน) ระดับสูง (เพิ่มเติมจากระดับกลาง) Security policy 1 ข้อ 1 ข้อ - Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ Asset management 1 ข้อ 4 ข้อ - Human resources security 6 ข้อ 1 ข้อ 2 ข้อ Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ Access control 9 ข้อ 8 ข้อ 8 ข้อ Information systems acquisition, development and maintenance 2 ข้อ 6 ข้อ 8 ข้อ Information security incident management 1 ข้อ - 3 ข้อ Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)
• Integrity vs. Non-Repudiation vs. Legal Recognition • กฎหมายว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ กาหนดฐานความผิดเกี่ยวกับ Data Integrity • กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ รับรอง Legal Recognition ของข้อมูลอิเล็กทรอนิกส์แล้ว ภายใต้เงื่อนไข “วิธีการแบบปลอดภัย” • Electronic Signature และ Digital Signature เป็น เครื่องมือสาหรับ Confidentiality, Integrity และ Non-Repudiation ควบคู่กัน (แล้วแต่วัตถุประสงค์) สรุป

Recomendados

Tti
TtiTti
TtiMahmoud Sheko
 
Portfolio Process Implementation
Portfolio Process ImplementationPortfolio Process Implementation
Portfolio Process ImplementationNiladri Choudhuri
 
Módulo 2 de tecnología en la educación
Módulo 2 de tecnología en la educaciónMódulo 2 de tecnología en la educación
Módulo 2 de tecnología en la educaciónabdiel2231
 
Ravi
RaviRavi
Raviravicdc
 
Carta recomendacion Paragon Offshore
Carta recomendacion Paragon OffshoreCarta recomendacion Paragon Offshore
Carta recomendacion Paragon OffshoreApolo Isaac Marcos Sosa
 
οικ. οικ καπνισμα
οικ. οικ καπνισμαοικ. οικ καπνισμα
οικ. οικ καπνισμα4Gym Glyfadas
 
WD 2015_Zeus. Deus ex machina voor de Brusselse Kanaalzone?_Sarah De Boeck (C...
WD 2015_Zeus. Deus ex machina voor de Brusselse Kanaalzone?_Sarah De Boeck (C...WD 2015_Zeus. Deus ex machina voor de Brusselse Kanaalzone?_Sarah De Boeck (C...
WD 2015_Zeus. Deus ex machina voor de Brusselse Kanaalzone?_Sarah De Boeck (C...Els Brouwers
 
Annual report 2014 BHS
Annual report 2014 BHSAnnual report 2014 BHS
Annual report 2014 BHSArmin Maglić
 

Recomendados

Tti
TtiTti
TtiMahmoud Sheko
 
Portfolio Process Implementation
Portfolio Process ImplementationPortfolio Process Implementation
Portfolio Process ImplementationNiladri Choudhuri
 
Módulo 2 de tecnología en la educación
Módulo 2 de tecnología en la educaciónMódulo 2 de tecnología en la educación
Módulo 2 de tecnología en la educaciónabdiel2231
 
Ravi
RaviRavi
Raviravicdc
 
Carta recomendacion Paragon Offshore
Carta recomendacion Paragon OffshoreCarta recomendacion Paragon Offshore
Carta recomendacion Paragon OffshoreApolo Isaac Marcos Sosa
 
οικ. οικ καπνισμα
οικ. οικ καπνισμαοικ. οικ καπνισμα
οικ. οικ καπνισμα4Gym Glyfadas
 
WD 2015_Zeus. Deus ex machina voor de Brusselse Kanaalzone?_Sarah De Boeck (C...
WD 2015_Zeus. Deus ex machina voor de Brusselse Kanaalzone?_Sarah De Boeck (C...WD 2015_Zeus. Deus ex machina voor de Brusselse Kanaalzone?_Sarah De Boeck (C...
WD 2015_Zeus. Deus ex machina voor de Brusselse Kanaalzone?_Sarah De Boeck (C...Els Brouwers
 
Annual report 2014 BHS
Annual report 2014 BHSAnnual report 2014 BHS
Annual report 2014 BHSArmin Maglić
 
Diario 1 Realidades 2 1A
Diario 1 Realidades 2 1ADiario 1 Realidades 2 1A
Diario 1 Realidades 2 1Afuca58
 
Revision bienes de_uso
Revision bienes de_usoRevision bienes de_uso
Revision bienes de_usoauditoria1uvq
 
Gemellaggi elettronici e tecnologie blendspace
Gemellaggi elettronici e tecnologie blendspaceGemellaggi elettronici e tecnologie blendspace
Gemellaggi elettronici e tecnologie blendspaceMaria Teresa Asprella Libonati
 
حكام الكويت
حكام الكويتحكام الكويت
حكام الكويتhibaalmaian
 
El barroco
El barrocoEl barroco
El barrocojgranero97
 
El barroco
El barrocoEl barroco
El barrocojaumevernet
 
Oestv 2016-12 - l'apprentissage
Oestv 2016-12 - l'apprentissageOestv 2016-12 - l'apprentissage
Oestv 2016-12 - l'apprentissageOESTV
 
Law & Complaints in the Digital Age
Law & Complaints in the Digital AgeLaw & Complaints in the Digital Age
Law & Complaints in the Digital AgeNawanan Theera-Ampornpunt
 
พรบ.การกระทำผิดเกี่ยวกับคอม
พรบ.การกระทำผิดเกี่ยวกับคอมพรบ.การกระทำผิดเกี่ยวกับคอม
พรบ.การกระทำผิดเกี่ยวกับคอมNut Kongprem
 
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศNawanan Theera-Ampornpunt
 
Health IT Laws and PDPA (October 12, 2021)
Health IT Laws and PDPA (October 12, 2021)Health IT Laws and PDPA (October 12, 2021)
Health IT Laws and PDPA (October 12, 2021)Nawanan Theera-Ampornpunt
 
งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007Sugapor
 
งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007Sugapor
 
Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Nawanan Theera-Ampornpunt
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Nawanan Theera-Ampornpunt
 
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)Nawanan Theera-Ampornpunt
 
Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Nawanan Theera-Ampornpunt
 
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Nawanan Theera-Ampornpunt
 
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Nawanan Theera-Ampornpunt
 
Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Nawanan Theera-Ampornpunt
 
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Nawanan Theera-Ampornpunt
 
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Nawanan Theera-Ampornpunt
 

Más contenido relacionado

Destacado

Diario 1 Realidades 2 1A
Diario 1 Realidades 2 1ADiario 1 Realidades 2 1A
Diario 1 Realidades 2 1Afuca58
 
Revision bienes de_uso
Revision bienes de_usoRevision bienes de_uso
Revision bienes de_usoauditoria1uvq
 
حكام الكويت
حكام الكويتحكام الكويت
حكام الكويتhibaalmaian
 
Oestv 2016-12 - l'apprentissage
Oestv 2016-12 - l'apprentissageOestv 2016-12 - l'apprentissage
Oestv 2016-12 - l'apprentissageOESTV
 

Destacado (7)

Diario 1 Realidades 2 1A
Diario 1 Realidades 2 1ADiario 1 Realidades 2 1A
Diario 1 Realidades 2 1A
 
Revision bienes de_uso
Revision bienes de_usoRevision bienes de_uso
Revision bienes de_uso
 
Gemellaggi elettronici e tecnologie blendspace
Gemellaggi elettronici e tecnologie blendspaceGemellaggi elettronici e tecnologie blendspace
Gemellaggi elettronici e tecnologie blendspace
 
حكام الكويت
حكام الكويتحكام الكويت
حكام الكويت
 
El barroco
El barrocoEl barroco
El barroco
 
El barroco
El barrocoEl barroco
El barroco
 
Oestv 2016-12 - l'apprentissage
Oestv 2016-12 - l'apprentissageOestv 2016-12 - l'apprentissage
Oestv 2016-12 - l'apprentissage
 

Similar a Non-Repudiation of Electronic Medical Records

พรบ.การกระทำผิดเกี่ยวกับคอม
พรบ.การกระทำผิดเกี่ยวกับคอมพรบ.การกระทำผิดเกี่ยวกับคอม
พรบ.การกระทำผิดเกี่ยวกับคอมNut Kongprem
 
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศNawanan Theera-Ampornpunt
 
งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007Sugapor
 
งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007Sugapor
 

Similar a Non-Repudiation of Electronic Medical Records (6)

Law & Complaints in the Digital Age
Law & Complaints in the Digital AgeLaw & Complaints in the Digital Age
Law & Complaints in the Digital Age
 
พรบ.การกระทำผิดเกี่ยวกับคอม
พรบ.การกระทำผิดเกี่ยวกับคอมพรบ.การกระทำผิดเกี่ยวกับคอม
พรบ.การกระทำผิดเกี่ยวกับคอม
 
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
ผลกระทบทางจริยธรรม และประเด็นทางสังคมที่เกี่ยวข้องกับการใช้เทคโนโลยีสารสนเทศ
 
Health IT Laws and PDPA (October 12, 2021)
Health IT Laws and PDPA (October 12, 2021)Health IT Laws and PDPA (October 12, 2021)
Health IT Laws and PDPA (October 12, 2021)
 
งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007
 
งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007งานคอมพ์Pp2003 2007
งานคอมพ์Pp2003 2007
 

Más de Nawanan Theera-Ampornpunt

Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Nawanan Theera-Ampornpunt
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Nawanan Theera-Ampornpunt
 
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)Nawanan Theera-Ampornpunt
 
Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Nawanan Theera-Ampornpunt
 
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Nawanan Theera-Ampornpunt
 
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Nawanan Theera-Ampornpunt
 
Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Nawanan Theera-Ampornpunt
 
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Nawanan Theera-Ampornpunt
 
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Nawanan Theera-Ampornpunt
 
Telemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of ViewTelemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of ViewNawanan Theera-Ampornpunt
 
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)Nawanan Theera-Ampornpunt
 
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)Nawanan Theera-Ampornpunt
 
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)Nawanan Theera-Ampornpunt
 
Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)Nawanan Theera-Ampornpunt
 
Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)Nawanan Theera-Ampornpunt
 
Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)Nawanan Theera-Ampornpunt
 
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)Nawanan Theera-Ampornpunt
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Nawanan Theera-Ampornpunt
 

Más de Nawanan Theera-Ampornpunt (20)

Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)Health Informatics for Health Service Systems (March 11, 2024)
Health Informatics for Health Service Systems (March 11, 2024)
 
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
Personal Data Protection Act and the Four Subordinate Laws (February 29, 2024)
 
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
Privacy & PDPA Awareness Training for Ramathibodi Residents (October 5, 2023)
 
Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)Case Study PDPA Workshop (September 15, 2023)
Case Study PDPA Workshop (September 15, 2023)
 
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
Case Studies on Overview of PDPA and its Subordinate Laws (September 15, 2023)
 
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
Ramathibodi Security & Privacy Awareness Training (Fiscal Year 2023)
 
Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...Relationship Between Thailand's Official Information Act and Personal Data Pr...
Relationship Between Thailand's Official Information Act and Personal Data Pr...
 
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)Social Media - PDPA: Is There A Way Out? (October 19, 2022)
Social Media - PDPA: Is There A Way Out? (October 19, 2022)
 
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)Do's and Don'ts on PDPA for Doctors (May 31, 2022)
Do's and Don'ts on PDPA for Doctors (May 31, 2022)
 
Telemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of ViewTelemedicine: A Health Informatician's Point of View
Telemedicine: A Health Informatician's Point of View
 
Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)Meeting Management (March 2, 2022)
Meeting Management (March 2, 2022)
 
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)การบริหารความเสี่ยงคณะฯ (February 9, 2022)
การบริหารความเสี่ยงคณะฯ (February 9, 2022)
 
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
จริยธรรมและกฎหมายที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทางสุขภาพ (February 8, 2022)
 
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) (January 21, 2022)
 
Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)Digital Health Transformation for Health Executives (January 18, 2022)
Digital Health Transformation for Health Executives (January 18, 2022)
 
Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)Updates on Privacy & Security Laws (November 26, 2021)
Updates on Privacy & Security Laws (November 26, 2021)
 
Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)Hospital Informatics (November 26, 2021)
Hospital Informatics (November 26, 2021)
 
Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)Health Informatics for Clinical Research (November 25, 2021)
Health Informatics for Clinical Research (November 25, 2021)
 
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)Research Ethics and Ethics for Health Informaticians (November 15, 2021)
Research Ethics and Ethics for Health Informaticians (November 15, 2021)
 
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
Consumer Health Informatics, Mobile Health, and Social Media for Health: Part...
 

Non-Repudiation of Electronic Medical Records

  • 1. Non-Repudiation of Electronic Medical Records นพ.นวนรรน ธีระอัมพรพันธุ์ ภาควิชาเวชศาสตร์ชุมชน คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 27 พฤศจิกายน 2558 www.SlideShare.net/Nawanan
  • 2. Confidentiality • การรักษาความลับของข้อมูล Integrity • การรักษาความครบถ้วนและความ ถูกต้องของข้อมูล • ปราศจากการเปลี่ยนแปลงแก้ไข ทา ให้สูญหาย ทาให้เสียหาย หรือถูก ทาลายโดยมิชอบ Availability • การรักษาสภาพพร้อมใช้งาน หลักการของ Information Security
  • 3. Non-Repudiation • “the assurance that someone cannot deny something. Typically refers to the ability to ensure that a party to a contract or a communication cannot deny the authenticity of their signature on a document or the sending of a message that they originated.” searchsecurity.techtarget.com/definition/nonrepudiation หลักการของ Information Security (เพิ่มเติม)
  • 4. Non-Repudiation • “a state of affairs where the author of a statement will not be able to successfully challenge the authorship of the statement or validity of an associated contract.” https://en.wikipedia.org/wiki/Non-repudiation หลักการของ Information Security (เพิ่มเติม)
  • 5. Integrity vs. Non-Repudiation Integrity • จะทำอย่ำงไรจึงจะแน่ใจว่ำ ข้อมูลของเรำ ที่รับ-ส่งกับผู้อื่น หรือที่เก็บรักษำไว้ จะยังคงอยู่ อย่ำงถูกต้อง (intact)? • จะทำอย่ำงไรจึงจะป้องกัน ผู้อื่นแก้ไข/ลบ/เพิ่ม ข้อมูลของ เรำโดยมิชอบ? Non-Repudiation • จะทำอย่ำงไรจึงจะแน่ใจและ ยืนยันได้ว่ำข้อมูลที่เรำได้รับ หรือเก็บไว้ มำจำกผู้ส่งจริงๆ โดยไม่เปลี่ยนแปลง? • ถ้ำผู้ส่งปฏิเสธว่ำข้อมูลไม่ ได้มำจำกเขำ เรำจะพิสูจน์ ยืนยันอย่ำงไร?
  • 6. Legal Recognition vs. Non-Repudiation Legal Recognition • ข้อมูลที่เก็บไว้ (เช่น ในรูปแบบ อิเล็กทรอนิกส์) จะมีผลผูกพัน (legal binding) ในทำง กฎหมำยหรือไม่? • หำกนำข้อมูลไปใช้เป็น พยำนหลักฐำนในศำล จะ ได้รับกำรยอมรับหรือไม่? Non-Repudiation • จะทำอย่ำงไรจึงจะแน่ใจและ ยืนยันได้ว่ำข้อมูลที่เรำได้รับ หรือเก็บไว้ มำจำกผู้ส่งจริงๆ โดยไม่เปลี่ยนแปลง? • ถ้ำผู้ส่งปฏิเสธว่ำข้อมูลไม่ ได้มำจำกเขำ เรำจะพิสูจน์ ยืนยันอย่ำงไร?
  • 7. ตัวอย่างเครื่องมือด้าน Integrity Image Sources: http://www.freeimages.co.uk/galleries/workplace/office2/slides/briefcase_lock.htm http://www.giantbomb.com/podcasts/giant-bombcast-e3-2013-the-sealed-envelope/1600-502/ http://www.ubergizmo.com/how-to/password-protect-folder-windows/ http://www.idownloadblog.com/2012/03/28/watch-this-security-firm/
  • 8. ตัวอย่างเครื่องมือด้าน Non-Repudiation Image Sources: https://en.wikipedia.org/wiki/Signature/ http://www.mjsorority.com/mj/sorority.nsf/vwcontent/Contract_Review https://www.pdfill.com/document_sign.html http://news.mthai.com/hot-news/399898.html
  • 11. • พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551 กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
  • 12. การกระทาความผิดเกี่ยวกับคอมพิวเตอร์ (Computer-Related Crimes) ตัวอย่าง? –อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes) • เช่น Hacking, การเปิดเผยข้อมูลที่เป็นความลับ, การดักฟังข้อมูล –การกระทาความผิดที่มีคอมพิวเตอร์เป็นเครื่องมือ (Crimes Using Computers as Tools) • เช่น การเผยแพร่ภาพลามก • การโพสต์ข้อความที่เป็นภัยต่อความมั่นคง • การตัดต่อภาพเพื่อให้ผู้อื่นเสียหาย พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
  • 13. หมวด 1 ความผิดเกี่ยวกับคอมพิวเตอร์ • มาตรา 5 การเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการ ป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน (Unauthorized access) – เช่น การเจาะระบบ (hacking), การ hack รหัสผ่านคนอื่น – การเข้าถึงทางกายภาพ หรือทางเครือข่ายก็ได้ • มาตรา 6 การเปิดเผยโดยมิชอบซึ่งมาตรการป้องกันการเข้าถึง ระบบคอมพิวเตอร์ที่ผู้อื่นจัดทาขึ้นเป็นการเฉพาะที่ได้ล่วงรู้มา ใน ประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น – เช่น เปิดเผยรหัสผ่านของผู้อื่นโดยไม่ได้รับอนุญาต พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
  • 14. • มาตรา 7 การเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกัน การเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สาหรับตน (Unauthorized access) – เช่น การนาข้อมูลคอมพิวเตอร์ของผู้อื่นไปพยายามถอดรหัสเพื่ออ่านเนื้อความ • มาตรา 8 การกระทาโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ และข้อมูลคอมพิวเตอร์นั้นมิได้มีไว้เพื่อประโยชน์สาธารณะหรือเพื่อให้ บุคคลทั่วไปใช้ประโยชน์ได้ – เช่น การดักฟังข้อมูลผ่านเครือข่าย • มาตรา 9 การทาให้เสียหาย ทาลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่า ทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ – เช่น การลบหรือแก้ไขข้อมูลของผู้อื่น โดยมีเจตนาร้าย พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
  • 15. • มาตรา 10 การกระทาโดยมิชอบ เพื่อให้การทางานของระบบคอมพิวเตอร์ ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทางาน ตามปกติได้ – เช่น Denial of Service (DoS) Attack = การโจมตีให้เว็บล่ม • มาตรา 11 การส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคล อื่นโดยปกปิดหรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็น การรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข – เช่น ส่ง spam e-mail • มาตรา 13 การจาหน่ายหรือเผยแพร่ชุดคาสั่งเพื่อนาไปใช้เป็นเครื่องมือใน การกระทาความผิดตาม พรบ. นี้ – เช่น การเผยแพร่ซอฟต์แวร์เจาะระบบ พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
  • 16. • มาตรา 14 (1) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอม หรือ ข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น หรือประชาชน (2) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่ น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่น ตระหนกแก่ประชาชน (3) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ อันเป็นความผิด เกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้าย (4) นาเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใดๆ ที่มีลักษณะอันลามก และข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้ (5) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ตาม (1)-(4) พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
  • 17. • มาตรา 15 ความรับผิดกรณีผู้ให้บริการจงใจสนับสนุนหรือ ยินยอมให้มีการกระทาความผิดตามมาตรา 14 ในระบบ คอมพิวเตอร์ที่อยู่ในความควบคุมของตน • มาตรา 16 ผู้ใดนาเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจ เข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และ ภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติม หรือดัดแปลง ด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการ ที่น่าจะทาให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือ ได้รับความอับอาย พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
  • 18. • พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551 – รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ – รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่ เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทา e-transactions ให้น่าเชื่อถือ – กาหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอานาจหน้าที่ กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
  • 19. • ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล อิเล็กทรอนิกส์ (มาตรา 7) • ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้ วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9) • ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่ กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25) • คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ. • ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35) ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 20. • พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนา กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549 • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ – เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555 • กาหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน ต้นฉบับได้ – เรื่อง หลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความให้ อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 • กาหนดหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความที่ได้มี การจัดทาหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง – เรื่อง แนวทางการจัดทาแนวนโยบาย (Certificate Policy) และแนว ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552 • ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate) กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 21. • พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 • กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน บุคคลของหน่วยงานของรัฐ พ.ศ. 2553 • กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 22. • พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชาระเงินทาง อิเล็กทรอนิกส์ พ.ศ. 2551 • ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครอง สาหรับผู้ประกอบธุรกิจให้บริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2554 • ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจ บริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552 • ประกาศ ธปท. ที่เกี่ยวข้อง กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 23. • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การ ประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบ ปลอดภัย พ.ศ. 2555 • หลักเกณฑ์การประเมินเพื่อกาหนดระดับวิธีการแบบปลอดภัยขั้นต่า – ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 • กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 24. สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทา ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ 2 ฉบับ) ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ จัดทาหรือแปลงเอกสารและข้อความให้อยู่ ในรูปของข้อมูลอิเล็กทรอนิกส์ หน่วยงานของรัฐ • พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม ทางอิเล็กทรอนิกส์ภาครัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศของ หน่วยงานของรัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ
  • 25. • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ • สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สานักงาน ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร • สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. – Electronic Transactions Development Agency (Public Organization) - ETDA หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 26. • มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ – “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบปลอดภัยที่ กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด) – จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจาแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น โครงสร้างพื้นฐานสาคัญของประเทศ หรือ Critical Infrastructure) “วิธีการแบบปลอดภัย”
  • 27. ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้ • ด้านการชาระเงินทางอิเล็กทรอนิกส์ • ด้านการเงินของธนาคารพาณิชย์ • ด้านประกันภัย • ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์ • ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล สาธารณะ • ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา วิธีการแบบปลอดภัยในระดับเคร่งครัด
  • 28. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบด้านมูลค่าความเสียหายทางการเงิน – ต่า: ≤ 1 ล้านบาท – ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท – สูง: > 100 ล้านบาท ระดับผลกระทบกับวิธีการแบบปลอดภัย
  • 29. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อ ชีวิต ร่างกาย หรืออนามัย – ต่า: ไม่มี – ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน – สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน ระดับผลกระทบกับวิธีการแบบปลอดภัย
  • 30. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความ เสียหายอื่นใด – ต่า: ≤ 10,000 คน – ปานกลาง: 10,000 < จานวนผู้ได้รับผลกระทบ ≤ 100,000 คน – สูง: > 100,000 คน • ผลกระทบด้านความมั่นคงของรัฐ – ต่า: ไม่มีผลกระทบต่อความมั่นคงของรัฐ – สูง: มีผลกระทบต่อความมั่นคงของรัฐ ระดับผลกระทบกับวิธีการแบบปลอดภัย
  • 31. • พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ • พิจารณาตามระดับผลกระทบ – ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย ระดับเคร่งครัด – ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง – นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย
  • 32. • อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems - Requirements • มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556 • ไม่มีบทกาหนดโทษ เป็นเพียงมาตรฐานสาหรับ “วิธีการที่เชื่อถือได้” ใน การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้าหนักการนาข้อมูล อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ ดาเนินการทางกฎหมาย • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่ รายชื่อหน่วยงานที่มีการจัดทานโยบายและแนวปฏิบัติโดยสอดคล้องกับ วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้ ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  • 33. • แบ่งเป็น 11 หมวด (Domains) – Security policy – Organization of information security – Asset management – Human resources security – Physical and environmental security – Communications and operations management – Access control – Information systems acquisition, development and maintenance – Information security incident management – Business continuity management – Regulatory compliance มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  • 34. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ หมวด (Domain) ระดับพื้นฐาน ระดับกลาง (เพิ่มเติมจากระดับพื้นฐาน) ระดับสูง (เพิ่มเติมจากระดับกลาง) Security policy 1 ข้อ 1 ข้อ - Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ Asset management 1 ข้อ 4 ข้อ - Human resources security 6 ข้อ 1 ข้อ 2 ข้อ Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ Access control 9 ข้อ 8 ข้อ 8 ข้อ Information systems acquisition, development and maintenance 2 ข้อ 6 ข้อ 8 ข้อ Information security incident management 1 ข้อ - 3 ข้อ Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)
  • 35. • Integrity vs. Non-Repudiation vs. Legal Recognition • กฎหมายว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ กาหนดฐานความผิดเกี่ยวกับ Data Integrity • กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ รับรอง Legal Recognition ของข้อมูลอิเล็กทรอนิกส์แล้ว ภายใต้เงื่อนไข “วิธีการแบบปลอดภัย” • Electronic Signature และ Digital Signature เป็น เครื่องมือสาหรับ Confidentiality, Integrity และ Non-Repudiation ควบคู่กัน (แล้วแต่วัตถุประสงค์) สรุป