Thai Medical Informatics Association (TMI)'s Health IT Quality Improvement Framework (HITQIF) v1.1 Training

1. การกําหนดนโยบายและระเบียบปฏิบัติ การประเมิน
และควบคุมความเสี่ยง การจัดการความมั่นคงในระบบ
เทคโนโลยีสารสนเทศโรงพยาบาลขั้นต้น
นพ.นวนรรน ธีระอัมพรพันธุ์
18 สิงหาคม 2557
SlideShare.net/Nawanan

2. 2003 M.D. (First-Class Honors) (Ramathibodi)
2009 M.S. in Health Informatics (U of MN)
2011 Ph.D. in Health Informatics (U of MN)
• Faculty of Medicine Ramathibodi Hospital
Mahidol University
o Deputy Executive Director for Informatics
(CIO/CMIO), Chakri Naruebodindra Medical
Institute
o Lecturer, Department of Community Medicine
• Member, TMI Executive Board
nawanan.the@mahidol.ac.th
SlideShare.net/Nawanan
http://groups.google.com/group/ThaiHealthIT
Introduction

3. TMI HITQIF v1.1

4. • TMI HITQIF Framework
• IT Governance
• Strategic Planning & IT Master Plan
• Structure, Roles, Team Development &
Roadmap to IT Quality
• IT Policy, Regulation, Risk & Security
Management
• Service Level Management, IT Service Desk &
Data Center Management
• Data Management
• IT Process, Metrics & Control
• Continuous & Sustainable IT Quality
Improvement
Overall Topics of HITQIF Course

5. Policy
Planning
Implement
ation
Monitoring
&
Evaluation
Enforce
ment
Big Picture of IT Risk & Security
Management

6. • Overview of IT Security & Privacy
• IT Security & Privacy Policy
• IT Security Management
• IT Risk Management
Outline

7. Overview of IT Security
& Privacy

8. Malware
Threats to Information Security

9. Sources of the Threats
 Hackers
 Viruses & Malware
 Poorly-designed systems
 Insiders (Employees)
 People’s ignorance & lack of knowledge
 Disasters & other incidents affecting information
systems

10.  Information risks
 Unauthorized access & disclosure of confidential information
 Unauthorized addition, deletion, or modification of information
 Operational risks
 System not functional (Denial of Service - DoS)
 System wrongly operated
 Personal risks
 Identity thefts
 Financial losses
 Disclosure of information that may affect employment or other
personal aspects (e.g. health information)
 Physical/psychological harms
 Organizational risks
 Financial losses
 Damage to reputation & trust
 Etc.
Consequences of Security Attacks

11.  Privacy: “The ability of an individual or group to
seclude themselves or information about
themselves and thereby reveal themselves
selectively.” (Wikipedia)
 Security: “The degree of protection to safeguard
... person against danger, damage, loss, and
crime.” (Wikipedia)
 Information Security: “Protecting information
and information systems from unauthorized
access, use, disclosure, disruption,
modification, perusal, inspection, recording or
destruction” (Wikipedia)
Privacy & Security

12. Confidentiality
• การรักษาความลับของข้อมูล
Integrity
• การรักษาความครบถ้วนและความ
ถูกต้องของข้อมูล
• ปราศจากการเปลี่ยนแปลงแก้ไข ทํา
ให้สูญหาย ทําให้เสียหาย หรือถูก
ทําลายโดยมิชอบ
Availability
• การรักษาสภาพพร้อมใช้งาน
หลักการของ Information Security

13. Examples of Confidentiality Risks
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

14. Examples of Integrity Risks
http://www.wired.com/threatlevel/2010/03/source-code-hacks/
http://en.wikipedia.org/wiki/Operation_Aurora
“Operation Aurora”
Alleged Targets: Google, Adobe, Juniper Networks,
Yahoo!, Symantec, Northrop Grumman, Morgan Stanley,
Dow Chemical
Goal: To gain access to and potentially modify source
code repositories at high tech, security & defense
contractor companies

15. Examples of Integrity Risks
http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml
Web Defacements

16. Examples of Availability Risks
http://en.wikipedia.org/wiki/Blaster_worm
Viruses/worms that led to instability &
system restart (e.g. Blaster worm)

17. Examples of Availability Risks
http://en.wikipedia.org/wiki/Ariane_5_Flight_501
Ariane 5 Flight 501 Rocket Launch Failure
Cause: Software bug on rocket acceleration due to data conversion
from a 64-bit floating point number to a 16-bit signed integer without
proper checks, leading to arithmatic overflow

18. Interesting Resources
 http://en.wikipedia.org/wiki/List_of_software_bugs
 http://en.wikipedia.org/wiki/Notable_computer_viruses_an
d_worms
 http://en.wikipedia.org/wiki/Hacktivism
 http://en.wikipedia.org/wiki/Website_defacement
 http://en.wikipedia.org/wiki/Hacker_(computer_security)
 http://en.wikipedia.org/wiki/List_of_hackers

19. Protecting Information
Privacy & Security

20. http://www.aclu.org/ordering-pizza
Privacy Protections: Why?

21.  Attack
 An attempt to breach system security
 Threat
 A scenario that can harm a system
 Vulnerability
 The “hole” that is used in the attack
Common Security Terms

22.  Identify some possible means an
attacker could use to conduct a
security attack
Class Exercise

23. Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory

24. Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory

25. Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacks
Eve/Mallory

26. Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory

27. Alice
Simplified Attack Scenarios
Server Bob
Other & newer forms of
attacks possible
Eve/Mallory

28. Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers

29. Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices

30. Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering

31. Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots

32. Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities

33. Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control

34. Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)

35. Privacy Safeguards
Image: http://www.nurseweek.com/news/images/privacy.jpg
 Security safeguards
 Informed consent
 Privacy culture
 User awareness building & education
 Organizational policy & regulations
 Enforcement
 Ongoing privacy & security assessments, monitoring,
and protection

36. User Security

37.  Access control
 Selective restriction of access to the system
 Role-based access control
 Access control based on the person’s role
(rather than identity)
 Audit trails
 Logs/records that provide evidence of
sequence of activities
User Security

38.  Identification
 Identifying who you are
 Usually done by user IDs or some other unique codes
 Authentication
 Confirming that you truly are who you identify
 Usually done by keys, PIN, passwords or biometrics
 Authorization
 Specifying/verifying how much you have access
 Determined based on system owner’s policy & system
configurations
 “Principle of Least Privilege”
User Security

39.  Nonrepudiation
 Proving integrity, origin, & performer of an
activity without the person’s ability to refute
his actions
 Most common form: signatures
 Electronic signatures offer varying degrees of
nonrepudiation
 PIN/password vs. biometrics
 Digital certificates (in public key infrastructure
- PKI) often used to ascertain nonrepudiation
User Security

40.  Multiple-Factor Authentication
 Two-Factor Authentication
 Use of multiple means (“factors”) for authentication
 Types of Authentication Factors
 Something you know
 Password, PIN, etc.
 Something you have
 Keys, cards, tokens, devices (e.g. mobile phones)
 Something you are
 Biometrics
User Security

41. Need for Strong Password Policy
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)

42. Recommended Password Policy
 Length
 8 characters or more (to slow down brute-force attacks)
 Complexity (to slow down brute-force attacks)
 Consists of 3 of 4 categories of characters
 Uppercase letters
 Lowercase letters
 Numbers
 Symbols (except symbols that have special uses by the
system or that can be used to hack system, e.g. SQL
Injection)
 No meaning (“Dictionary Attacks”)
 Not simple patterns (12345678, 11111111) (to slow down brute-
force attacks & prevent dictionary attacks)
 Not easy to guess (birthday, family names, etc.) (to prevent
unknown & known persons from guessing)Personal opinion. No legal responsibility assumed.

43. Recommended Password Policy
 Expiration (to make brute-force attacks not possible)
 6-8 months
 Decreasing over time because of increasing computer’s
speed
 But be careful! Too short duration will force users to write
passwords down
 Secure password storage in database or system
(encrypted or store only password hashes)
 Secure password confirmation
 Secure “forget password” policy
 Different password for each account. Create variations
to help remember. If not possible, have different sets of
accounts for differing security needs (e.g., bank
accounts vs. social media sites) Personal opinion. No legal responsibility assumed.

44. Techniques to Remember Passwords
 http://www.wikihow.com/Create-a-Password-You-Can-
Remember
 Note that some of the techniques are less secure!
 One easy & secure way: password mnemonic
 Think of a full sentence that you can remember
 Ideally the sentence should have 8 or more words, with
numbers and symbols
 Use first character of each word as password
 Sentence: I love reading all 7 Harry Potter books!
 Password: Ilra7HPb!
 Voila!
Personal opinion. No legal responsibility assumed.

45. Dear mail.mahidol.ac.th Email Account User,
We wrote to you on 11th January 2010 advising that you change the password on
your account in order to prevent any unauthorised account access following
the network instruction we previously communicated.
all Mailhub systems will undergo regularly scheduled maintenance. Access
to your e-mail via the Webmail client will be unavailable for some time
during this maintenance period. We are currently upgrading our data base
and e-mail account center i.e homepage view. We shall be deleting old
[https://mail.mahidol.ac.th/l accounts which are no longer active to create
more space for new accountsusers. we have also investigated a system wide
security audit to improve and enhance
our current security.
In order to continue using our services you are require to update and
re-comfirmed your email account details as requested below. To complete
your account re-comfirmation,you must reply to this email immediately and
enter your account
details as requested below.
Username :
Password :
Date of Birth:
Future Password :
Social Engineering Examples
Real social‐engineering e‐mail received by Speaker

46. Phishing
Real phishing e‐mail received by Speaker

47.  Poor grammar
 Lots of typos
 Trying very hard to convince you to open
attachment, click on link, or reply without
enough detail
 May appear to be from known person (rely on
trust & innocence)
Signs of a Phishing Attack

48.  Don’t be too trusting of people
 Always be suspicious & alert
 An e-mail with your friend’s name & info doesn’t have to
come from him/her
 Look for signs of phishing attacks
 Don’t open attachments unless you expect them
 Scan for viruses before opening attachments
 Don’t click links in e-mail. Directly type in browser using
known & trusted URLs
 Especially cautioned if ask for passwords, bank
accounts, credit card numbers, social security numbers,
etc.
Ways to Protect against Phishing

49. Malware

50.  Malicious software - Any code with intentional,
undesirable side effects
 Virus
 Worm
 Trojan
 Spyware
 Logic Bomb/Time Bomb
 Backdoor/Trapdoor
 Rootkit
 Botnet
Malware

51.  Virus
 Propagating malware that requires user action
to propagate
 Infects executable files, data files with
executable contents (e.g. Macro), boot
sectors
 Worm
 Self-propagating malware
 Trojan
 A legitimate program with additional, hidden
functionality
Malware

52.  Spyware
 Trojan that spies for & steals personal
information
 Logic Bomb/Time Bomb
 Malware that triggers under certain conditions
 Backdoor/Trapdoor
 A hole left behind by malware for future
access
Malware

53.  Rogue Antispyware (Ransomware)
 Software that tricks or forces users to pay before
fixing (real or hoax) spyware detected
 Rootkit
 A stealth program designed to hide existence of
certain processes or programs from detection
 Botnet
 A collection of Internet-connected computers that
have been compromised (bots) which controller of the
botnet can use to do something (e.g. do DDoS
attacks)
Malware

54.  Installed & updated antivirus, antispyware, &
personal firewall
 Check for known signatures
 Check for improper file changes (integrity failures)
 Check for generic patterns of malware (for unknown
malware): “Heuristics scan”
 Firewall: Block certain network traffic in and out
 Sandboxing
 Network monitoring & containment
 User education
 Software patches, more secure protocols
Defense Against Malware

55.  Social media spams/scams/clickjacking
 Social media privacy issues
 User privacy settings
 Location services
 Mobile device malware & other privacy risks
 Stuxnet (advanced malware targeting certain
countries)
 Advanced persistent threats (APT) by
governments & corporations against specific
targets
Newer Threats

56. Security in Thailand’s
ICT Laws

57. • พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
– กําหนดการกระทําที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
– รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์
– รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ
อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่
เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทํา e-transactions ให้น่าเชื่อถือ
– กําหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอํานาจหน้าที่
กฎหมายด้านเทคโนโลยีสารสนเทศของไทย

58. • ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ (มาตรา 7)
• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้
วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้
(มาตรา 9)
• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทําตามวิธีการแบบปลอดภัยที่
กําหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
• คําขอ การอนุญาต การจดทะเบียน คําสั่งทางปกครอง การชําระเงิน
การประกาศ หรือการดําเนินการใดๆ ตามกฎหมายกับหน่วยงานของ
รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทําในรูปของข้อมูล
อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กําหนดโดย พรฎ.
• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

59. • พรฎ.กําหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนํา
กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555
• กําหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล
อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน
ต้นฉบับได้
– เรื่อง หลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความให้
อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553
• กําหนดหลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความที่ได้มี
การจัดทําหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
– เรื่อง แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และแนว
ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก
ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552
• ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate)
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

60. • พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553
• กําหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน
บุคคลของหน่วยงานของรัฐ พ.ศ. 2553
• กําหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

61. • พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทาง
อิเล็กทรอนิกส์ พ.ศ. 2551
• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครอง
สําหรับผู้ประกอบธุรกิจให้บริการการชําระเงินทางอิเล็กทรอนิกส์
พ.ศ. 2554
• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจ
บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552
• ประกาศ ธปท. ที่เกี่ยวข้อง
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

62. • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การ
ประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบ
ปลอดภัย พ.ศ. 2555
• หลักเกณฑ์การประเมินเพื่อกําหนดระดับวิธีการแบบปลอดภัยขั้นต่ํา
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ
สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555
• กําหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

63. สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทํา
ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ
2 ฉบับ)
ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ
จัดทําหรือแปลงเอกสารและข้อความให้อยู่
ในรูปของข้อมูลอิเล็กทรอนิกส์
หน่วยงานของรัฐ
• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
รักษาความมั่นคงปลอดภัยด้านสารสนเทศของ
หน่วยงานของรัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ

64. • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
• สํานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สํานักงาน
ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
• สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ
สพธอ.
– Electronic Transactions Development Agency (Public
Organization) - ETDA
หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

65. • มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
– “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทําตามวิธีการแบบปลอดภัยที่
กําหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
– จําแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ
ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน)
หรือจําแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น
โครงสร้างพื้นฐานสําคัญของประเทศ หรือ Critical Infrastructure)
“วิธีการแบบปลอดภัย”

66. ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชําระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภัย
• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ
ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล
สาธารณะ
• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่
ต้องดําเนินการอย่างต่อเนื่องตลอดเวลา
วิธีการแบบปลอดภัยในระดับเคร่งครัด

67. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน
ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย
(ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน
– ต่ํา: ≤ 1 ล้านบาท
– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท
– สูง: > 100 ล้านบาท
ระดับผลกระทบกับวิธีการแบบปลอดภัย

68. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ
ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อ
ชีวิต ร่างกาย หรืออนามัย
– ต่ํา: ไม่มี
– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน
ระดับผลกระทบกับวิธีการแบบปลอดภัย

69. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ
ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความ
เสียหายอื่นใด
– ต่ํา: ≤ 10,000 คน
– ปานกลาง: 10,000 < จํานวนผู้ได้รับผลกระทบ ≤ 100,000 คน
– สูง: > 100,000 คน
• ผลกระทบด้านความมั่นคงของรัฐ
– ต่ํา: ไม่มีผลกระทบต่อความมั่นคงของรัฐ
– สูง: มีผลกระทบต่อความมั่นคงของรัฐ
ระดับผลกระทบกับวิธีการแบบปลอดภัย

70. • พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
• พิจารณาตามระดับผลกระทบ
– ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย
ระดับเคร่งครัด
– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง
– นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน
สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย

71. • อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -
Security techniques - Information security management
systems - Requirements
• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19
ธ.ค. 2555) คือ 14 ธ.ค. 2556
• ไม่มีบทกําหนดโทษ เป็นเพียงมาตรฐานสําหรับ “วิธีการที่เชื่อถือได้” ใน
การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง
อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้ําหนักการนําข้อมูล
อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ
ดําเนินการทางกฎหมาย
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่
รายชื่อหน่วยงานที่มีการจัดทํานโยบายและแนวปฏิบัติโดยสอดคล้องกับ
วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้
ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย

72. • แบ่งเป็น 11 หมวด (Domains)
– Security policy
– Organization of information security
– Asset management
– Human resources security
– Physical and environmental security
– Communications and operations management
– Access control
– Information systems acquisition, development and
maintenance
– Information security incident management
– Business continuity management
– Regulatory compliance
มาตรฐาน Security ตามวิธีการแบบปลอดภัย

73. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพื้นฐาน ระดับกลาง
(เพิ่มเติมจากระดับพื้นฐาน)
ระดับสูง
(เพิ่มเติมจากระดับกลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ 6 ข้อ 8 ข้อ
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

74. • ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้เข้าถึง
ข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ป่วย พ.ศ. 2556
• ประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายเกี่ยวกับการใช้สื่อสังคม
ออนไลน์ (Social Network) ของบุคลากรและนักศึกษาของ
มหาวิทยาลัยมหิดล (ลงวันที่ 23 ม.ค. 2556)
• ประกาศคณะฯ เรื่อง ข้อกําหนดการใช้สื่อสังคมออนไลน์ ของคณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2556
• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียงใน
โรงพยาบาลสังกัดของคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ.
2557
ตัวอย่าง: ระเบียบต่างๆ ของรามาธิบดี ด้าน IT Security

75. IT Security & Privacy
Policy

76. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• มีการกําหนดนโยบาย และแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศที่
ชัดเจน ครอบคลุมนโยบายด้านความครบถ้วนถูกต้องของข้อมูล ความ
ปลอดภัยของระบบ การรักษาความลับของผู้ป่วย การเก็บสารสนเทศ
ต่างๆ ระยะเวลาในการเก็บข้อมูลผู้ป่วย ข้อมูลดิบและสารสนเทศ การ
ทําลายข้อมูลดิบและสารสนเทศด้วยความเหมาะสม และนโยบายกํากับ
ดูแล ติดตามการดําเนินงานด้านเทคโนโลยีสารสนเทศ
• มีการสื่อสารนโยบายด้านเทคโนโลยีสารสนเทศของโรงพยาบาลให้
ผู้เกี่ยวข้องรับทราบและดําเนินการในแนวเดียวกัน
TMI HITQIF v1.1: Structure & Role

77. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• ระดับ 0 ยังไม่มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศ
ของโรงพยาบาล
• ระดับ 1 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล แต่ไม่ครบทุกด้านที่สําคัญ (1. ความครบถ้วนถูกต้องของ
ข้อมูล 2. ความปลอดภัยของระบบ 3. การรักษาความลับผู้ป่วย 4. การ
เก็บสารสนเทศ ระยะเวลาในการเก็บข้อมูล การทําลายข้อมูล 5. การ
กํากับดูแล ติดตามการดําเนินงานด้านเทคโนโลยีสารสนเทศ)
TMI HITQIF v1.1: Structure & Role

78. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• ระดับ 2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สําคัญ
• ระดับ 3 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สําคัญ แต่ไม่มีการสื่อสารให้ผู้เกี่ยวข้อง
รับทราบ และดําเนินการแนวเดียวกัน
• ระดับ 4 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สําคัญ มีการสื่อสารให้ผู้เกี่ยวข้องรับทราบ
และดําเนินการแนวเดียวกัน
TMI HITQIF v1.1: Structure & Role

79. Policy & Guidelines/Work Instructions on
o Data completeness & integrity
o System security
o Patient information privacy & confidentiality
protections
o Secure data storage, retention & destruction
o Monitoring, evaluation & enforcement
Communication of Policy & Guidelines
IT Security & Privacy Policy Checklist

80. IT Risk Management

81.  Project failures
 Waste investments
 Security breaches
 System crashes
 Failures by service providers to understand and
meet customer requirements
 System errors or bugs
Examples of IT Risks

82. Risk Strategies
• Accept/ignore
• Avoid completely
• Reduce risk
likelihood or
impact
• Transfer risk to
someone else (e.g.
insurance)
Marchewka (2006)
Risk = f(likelihood x impact)
Risk Management

83. IT Security
Management

84. Technology
ProcessPeople
Balanced IT Security Management

85. 2.1 จัดให้มี Data center
• Data center ของโรงพยาบาล ได้แก่ที่ตั้งของ servers และอุปกรณ์ที่
เกี่ยวข้อง เช่น ระบบสํารองข้อมูล อุปกรณ์สํารอง redundant system
ระบบรักษาความปลอดภัย เป็นต้น data center นี้ต้องมีการจัดการ
อย่างเหมาะสม เพื่อให้แน่ใจว่า จะสามารถใช้งานระบบได้อย่างปลอดภัย
ปราศจากการหยุด หรือสะดุดของระบบ ซึ่งต้องคํานึงถึงสิ่งต่อไปนี้
1) ห้อง สถานที่ และสิ่งแวดล้อม ต้องจัดให้มีความปลอดภัย เช่น มี
การปรับอากาศที่ดี รักษาความปลอดภัยจากบุคคลภายนอก การ
ป้องกันอัคคีภัย (รวมถึงระบบตรวจจับควันและระบบเตือนภัย
เครื่องดับเพลิง และระบบดับเพลิงอัตโนมัติ)
TMI HITQIF v1.1: Technology

86. 2.1 จัดให้มี Data center
2) มีระบบป้องกันการเสียหายของข้อมูลและระบบ (data integrity
and fault tolerance) ซึ่งรวมถึง UPS และระบบไฟฟ้าสํารอง,
ระบบ RAID, redundant power supply และ redundant
servers
3) มีระบบสํารองข้อมูล ทั้งภายใน และภายนอก data center
4) มีการจัดการ network ที่เหมาะสม
TMI HITQIF v1.1: Technology

87. 2.1 จัดให้มี Data center
• ระดับ 0 ไม่มี Data Center
• ระดับ 1 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 1 ใน 4
องค์ประกอบสําคัญ (ดูกรอบการพัฒนา)
• ระดับ 2 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 2 ใน 4
องค์ประกอบสําคัญ
• ระดับ 3 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 3 ใน 4
องค์ประกอบสําคัญ
• ระดับ 4 มี Data Center ที่มีองค์ประกอบสําคัญครบถ้วน
TMI HITQIF v1.1: Technology

88. 2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
• ความเป็นส่วนตัวของผู้ป่วยเป็นสิ่งสําคัญ ซึ่งเป็นความเสี่ยงอย่างหนึ่งจาก
การใช้เทคโนโลยี จําเป็นต้องจัดการให้มีระบบที่ป้องกันผู้ไม่ได้รับอนุญาต
เข้าถึงข้อมูลของผู้ป่วย ดังนี้
1) ระบบมีบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน (username and
password)
2) สร้างระบบการเข้าถึงข้อมูลผู้ป่วยให้รัดกุม (ใคร สามารถเข้าถึง
ข้อมูลส่วนไหน ด้วยวิธีใด เป็นต้น)
TMI HITQIF v1.1: Technology

89. 2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
3) สามารถระบุตัวผู้ที่นําข้อมูลผู้รับบริการเข้าสู่ระบบ และวันเวลาที่
นําข้อมูลผู้รับบริการเข้าสู่ระบบได้ วันเวลาและผู้ที่เข้าถึง แก้ไข
ข้อมูล
4) มีเทคโนโลยีด้านความมั่นคงของระบบเช่น firewall ระบบป้องกัน
ไวรัสและโทรจัน การแยกระบบ Internet และระบบงาน
โรงพยาบาล การจัด private network เป็นต้น
TMI HITQIF v1.1: Technology

90. 2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
• ระดับ 0 ไม่มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัย
และคุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วย
• ระดับ 1 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน
อย่างน้อย 1 ใน 4 องค์ประกอบสําคัญ (บัญชีรายชื่อผู้ใช้ ระบบการ
เข้าถึงข้อมูล การระบุตัวตน เทคโนโลยีความมั่นคง)
TMI HITQIF v1.1: Technology

91. 2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
• ระดับ 2 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน
อย่างน้อย 2 ใน 4 องค์ประกอบสําคัญ
• ระดับ 3 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยอย่างน้อย
3 ใน 4 องค์ประกอบสําคัญ
• ระดับ 4 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยที่มี
องค์ประกอบสําคัญครบถ้วน
TMI HITQIF v1.1: Technology

92. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ ผู้ใช้งานระบบ
เทคโนโลยีสารสนเทศได้รับการพัฒนาให้ใช้งานได้อย่างถูกต้อง และ
เป็นไปตามบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร
ทั้งด้านความถูกต้องครบถ้วนของข้อมูล การรักษาความลับของ
ผู้ป่วย และความปลอดภัยของระบบเทคโนโลยีสารสนเทศ การ
พัฒนานี้ รวมถึงผู้บริหารระดับสูงและผู้เกี่ยวข้องได้รับการพัฒนาให้
เข้าใจเกี่ยวกับหลักการจัดการสารสนเทศ (Principles of
Information Management) ที่จําเป็นด้วย
TMI HITQIF v1.1: People

93. อัตรากําลังของหน่วยงานเทคโนโลยีสารสนเทศโรงพยาบาลนั้น อาจ
มีความยืดหยุ่นได้ เช่นงานบางอย่างด้านเทคโนโลยีสารสนเทศอาจ
จัดจ้างบุคคลภายนอกดูแล แต่ต้องมีการจัดการที่แน่ใจได้ว่าจะ
สามารถดําเนินการด้านเทคโนโลยีสารสนเทศได้อย่างราบรื่น
ปลอดภัย รวมทั้งจะไม่กระทบต่อภารกิจหลักของโรงพยาบาล และ
ไม่กระทบต่อความลับของผู้ป่วย
TMI HITQIF v1.1: People

94. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ
• ระดับ 0 ไม่มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ
• ระดับ 1 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ แต่ไม่
สอดคล้องกับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร
• ระดับ 2 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง
กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร แต่ไม่
ครอบคลุมบุคลากรทุกระดับ
TMI HITQIF v1.1: People

95. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ
• ระดับ 3 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง
กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม
บุคลากรทุกระดับ แต่ดําเนินการได้ไม่ถึงร้อยละ 90 ของแผน
• ระดับ 4 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง
กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม
บุคลากรทุกระดับ และดําเนินการได้มากกว่าหรือเท่ากับร้อยละ 90 ของ
แผน
TMI HITQIF v1.1: People

96. 4.4 มีการออกแบบระบบคงทนต่อความผิดพลาด (fault
tolerance) มีการบํารุงรักษาอย่างสม่ําเสมอ (Availability
Management) มีการจัดการเพื่อให้ระบบเทคโนโลยีสารสนเทศ
ดําเนินงานได้อย่างต่อเนื่อง และสามารถกู้คืนระบบได้แม้จะมี
เหตุการณ์ไม่คาดฝันเกิดขึ้น (IT Service Continuity
Management) โดยมีการวิเคราะห์และจัดทําแผนสํารองฉุกเฉินใน
การกู้คืนระบบ รวมทั้งมีการทบทวนและซักซ้อนแผนอย่าง
สม่ําเสมอ
(To be covered in an upcoming lecture by the same speaker)
TMI HITQIF v1.1: Process

97. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
มีกระบวนการที่ทําให้แน่ใจได้ว่า ระบบและข้อมูลได้รับการปกป้อง
จากการใช้งานที่ไม่ถูกต้องหรือไม่ได้รับอนุญาต ประกอบไปด้วย
1) ความปลอดภัยด้านกายภาพ เช่น มาตรการการเข้าออก data
center
2) ด้าน software และการใช้งาน เช่น การเลือกใช้ database
3) การทําบัญชีรายชื่อผู้ใช้งาน การกําหนดสิทธิผู้ใช้งาน (Access
control) การรักษาความลับรหัสผ่านของผู้ใช้แต่ละบุคคล รวมถึง
ยืนยันตัวบุคคล (Authentication)
TMI HITQIF v1.1: Process

98. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
4) ด้านเครือข่าย เช่น การเชื่อมโยง Internet การป้องกันการบุกรุก
เครือข่าย
5) การบํารุงรักษาระบบโดยบุคคลภายนอก มีมาตรการควบคุม
6) การป้องกันไวรัสในระบบคอมพิวเตอร์ และเครื่องมือแพทย์
7) การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
TMI HITQIF v1.1: Process

99. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
• ระดับ 0 ไม่มีการจัดการด้านความปลอดภัยเทคโนโลยี
สารสนเทศ
• ระดับ 1 มีการกําหนดนโยบายด้านความปลอดภัยเทคโนโลยี
สารสนเทศ แต่ดําเนินงานได้ไม่เกิน 2 องค์ประกอบสําคัญ (ด้าน
กายภาพ ด้าน software ด้านบัญชีรายชื่อผู้ใช้ ด้านเครือข่าย
การบํารุงระบบโดยบุคคลภายนอก การป้องกันไวรัส การจัดการ
ด้านความปลอดภัย )
TMI HITQIF v1.1: Process

100. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
• ระดับ 2 มีการกําหนดนโยบายด้านความปลอดภัยเทคโนโลยี
สารสนเทศ แต่ดําเนินงานได้3-4 องค์ประกอบสําคัญ
• ระดับ 3 มีการกําหนดนโยบายด้านความปลอดภัยเทคโนโลยี
สารสนเทศ แต่ดําเนินงานได้5-6 องค์ประกอบสําคัญ
• ระดับ 4 มีการกําหนดนโยบายด้านความปลอดภัยเทคโนโลยี
สารสนเทศ ดําเนินงานได้ครบทุกองค์ประกอบสําคัญ
TMI HITQIF v1.1: Process

101. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก
และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน ประกอบไปด้วย
1) การบันทึก อาการสําคัญ ประวัติ ผลการตรวจร่างกาย และคํา
วินิจฉัยโรค ในบัตรผู้ป่วยนอก และ/หรือ เวชระเบียน
อิเล็กทรอนิกส์ โดยต้องไม่จัดเก็บรหัส ICD แทนคําวินิจฉัยโรค
2) บันทึกประวัติตรวจร่างกายแรกรับ บันทึกความก้าวหน้า และการ
สรุปเวชระเบียนเมื่อสิ้นสุดการรักษา (Discharge Summary) ใน
แฟ้มผู้ป่วยใน
3) รายงานการผ่าตัด ในผู้ป่วยทุกรายที่ได้รับการผ่าตัด
4) การให้รหัส ICD ทั้งรหัสกลุ่มโรค และรหัสการผ่าตัด
TMI HITQIF v1.1: Process

102. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก
และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน
• ระดับ 0 ไม่มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บอย่าง
ถูกต้องครบถ้วน
• ระดับ 1 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ แต่ยัง
ดําเนินการได้ไม่ครบ 4 องค์ประกอบสําคัญ (OPD Cards, Discharge
summary, Operative note, ICD Codings)
• ระดับ 2 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ
ดําเนินการได้ครบ 4องค์ประกอบสําคัญ แต่ไม่ครบทุกประเด็นย่อย
TMI HITQIF v1.1: Process

103. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก
และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน
• ระดับ 3 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ
ดําเนินการได้ครบ 4องค์ประกอบสําคัญ ครบทุกประเด็นย่อย แต่บาง
รายการอ่านไม่ออกเนื่องจากปัญหาลายมือ สัญลักษณ์ลับ คํากํากวม
• ระดับ 4 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ
ดําเนินการได้ครบ 4องค์ประกอบสําคัญ ครบทุกประเด็นย่อย ทุก
รายการแสดงผลได้ชัดเจน ไม่กํากวม
TMI HITQIF v1.1: Process

104. Final Thoughts

105. • ภัยด้าน IT Security & Privacy เป็น Risk ที่สําคัญอันหนึ่งที่ต้อง
มีการบริหารจัดการ
• Security มีทั้ง C, I, A และเกี่ยวข้องกับ Privacy
• Policy & Regulation รวมทั้ง Legal compliance
มีความสําคัญ
• อย่าลืมให้ความสําคัญกับทั้ง 3 ด้านของ IT Security อย่างได้
สมดุล: People, Process, Technology
IT Security

106. เตรียมเป็น Presentation slides นําเสนอในสัปดาห์หน้า
รวมทุกข้อไม่เกิน 15 นาที/คน
1. ในองค์กรของท่าน มีนโยบาย/แนวทางปฏิบัติ ด้าน
IT Security และ Privacy หรือไม่
• ถ้ามี วิจารณ์ความครบถ้วน/เหมาะสมของนโยบาย/
แนวทางปฏิบัติดังกล่าว
• ถ้าไม่มี สมมติว่าท่านได้รับมอบหมายให้ร่างนโยบาย
ดังกล่าว ลองร่าง outline หัวข้อที่ควรกล่าวถึง
(ไม่ต้องลงรายละเอียด)
Homework (Individual)

107. 2. ศึกษาระบบงาน IT ขององค์กรของท่าน แล้ววิจารณ์ว่าองค์กร
มีความปลอดภัย (Security) และการคุ้มครอง Privacy
ข้อมูลผู้ป่วย มากน้อยเพียงใด มีความเสี่ยงอะไรที่เห็นได้ชัด
บ้างหรือไม่ (ควรดูทั้งด้าน Technology และ Process)
• หากมีรายละเอียดเยอะ ให้เลือกความเสี่ยงสําคัญๆ ที่น่าสนใจ
• การนําเสนอ อย่าระบุรายละเอียดของความเสี่ยงมากเกินไปจน
ผู้อื่นนําไปใช้โจมตีได้จริง
Homework (Individual)

108. 3. ถ้าท่านเพิ่งได้รับมอบหมายให้รับผิดชอบเรื่อง IT Security &
Privacy ขององค์กร ระบุสิ่งที่ท่านจะ focus ใน 1 ปีแรก
Homework (Individual)