• Like
IT Security & Risk Management
Upcoming SlideShare
Loading in...5
×

IT Security & Risk Management

  • 317 views
Uploaded on

Thai Medical Informatics Association (TMI)'s Health IT Quality Improvement Framework (HITQIF) v1.1 Training

Thai Medical Informatics Association (TMI)'s Health IT Quality Improvement Framework (HITQIF) v1.1 Training

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
317
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
26
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. การกําหนดนโยบายและระเบียบปฏิบัติ การประเมิน และควบคุมความเสี่ยง การจัดการความมั่นคงในระบบ เทคโนโลยีสารสนเทศโรงพยาบาลขั้นต้น นพ.นวนรรน ธีระอัมพรพันธุ์ 18 สิงหาคม 2557 SlideShare.net/Nawanan
  • 2. 2003 M.D. (First-Class Honors) (Ramathibodi) 2009 M.S. in Health Informatics (U of MN) 2011 Ph.D. in Health Informatics (U of MN) • Faculty of Medicine Ramathibodi Hospital Mahidol University o Deputy Executive Director for Informatics (CIO/CMIO), Chakri Naruebodindra Medical Institute o Lecturer, Department of Community Medicine • Member, TMI Executive Board nawanan.the@mahidol.ac.th SlideShare.net/Nawanan http://groups.google.com/group/ThaiHealthIT Introduction
  • 3. TMI HITQIF v1.1
  • 4. • TMI HITQIF Framework • IT Governance • Strategic Planning & IT Master Plan • Structure, Roles, Team Development & Roadmap to IT Quality • IT Policy, Regulation, Risk & Security Management • Service Level Management, IT Service Desk & Data Center Management • Data Management • IT Process, Metrics & Control • Continuous & Sustainable IT Quality Improvement Overall Topics of HITQIF Course
  • 5. Policy Planning Implement ation Monitoring & Evaluation Enforce ment Big Picture of IT Risk & Security Management
  • 6. • Overview of IT Security & Privacy • IT Security & Privacy Policy • IT Security Management • IT Risk Management Outline
  • 7. Overview of IT Security & Privacy
  • 8. Malware Threats to Information Security
  • 9. Sources of the Threats  Hackers  Viruses & Malware  Poorly-designed systems  Insiders (Employees)  People’s ignorance & lack of knowledge  Disasters & other incidents affecting information systems
  • 10.  Information risks  Unauthorized access & disclosure of confidential information  Unauthorized addition, deletion, or modification of information  Operational risks  System not functional (Denial of Service - DoS)  System wrongly operated  Personal risks  Identity thefts  Financial losses  Disclosure of information that may affect employment or other personal aspects (e.g. health information)  Physical/psychological harms  Organizational risks  Financial losses  Damage to reputation & trust  Etc. Consequences of Security Attacks
  • 11.  Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia)  Security: “The degree of protection to safeguard ... person against danger, damage, loss, and crime.” (Wikipedia)  Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia) Privacy & Security
  • 12. Confidentiality • การรักษาความลับของข้อมูล Integrity • การรักษาความครบถ้วนและความ ถูกต้องของข้อมูล • ปราศจากการเปลี่ยนแปลงแก้ไข ทํา ให้สูญหาย ทําให้เสียหาย หรือถูก ทําลายโดยมิชอบ Availability • การรักษาสภาพพร้อมใช้งาน หลักการของ Information Security
  • 13. Examples of Confidentiality Risks http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
  • 14. Examples of Integrity Risks http://www.wired.com/threatlevel/2010/03/source-code-hacks/ http://en.wikipedia.org/wiki/Operation_Aurora “Operation Aurora” Alleged Targets: Google, Adobe, Juniper Networks, Yahoo!, Symantec, Northrop Grumman, Morgan Stanley, Dow Chemical Goal: To gain access to and potentially modify source code repositories at high tech, security & defense contractor companies
  • 15. Examples of Integrity Risks http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml Web Defacements
  • 16. Examples of Availability Risks http://en.wikipedia.org/wiki/Blaster_worm Viruses/worms that led to instability & system restart (e.g. Blaster worm)
  • 17. Examples of Availability Risks http://en.wikipedia.org/wiki/Ariane_5_Flight_501 Ariane 5 Flight 501 Rocket Launch Failure Cause: Software bug on rocket acceleration due to data conversion from a 64-bit floating point number to a 16-bit signed integer without proper checks, leading to arithmatic overflow
  • 18. Interesting Resources  http://en.wikipedia.org/wiki/List_of_software_bugs  http://en.wikipedia.org/wiki/Notable_computer_viruses_an d_worms  http://en.wikipedia.org/wiki/Hacktivism  http://en.wikipedia.org/wiki/Website_defacement  http://en.wikipedia.org/wiki/Hacker_(computer_security)  http://en.wikipedia.org/wiki/List_of_hackers
  • 19. Protecting Information Privacy & Security
  • 20. http://www.aclu.org/ordering-pizza Privacy Protections: Why?
  • 21.  Attack  An attempt to breach system security  Threat  A scenario that can harm a system  Vulnerability  The “hole” that is used in the attack Common Security Terms
  • 22.  Identify some possible means an attacker could use to conduct a security attack Class Exercise
  • 23. Alice Simplified Attack Scenarios Server Bob Eve/Mallory
  • 24. Alice Simplified Attack Scenarios Server Bob - Physical access to client computer - Electronic access (password) - Tricking user into doing something (malware, phishing & social engineering) Eve/Mallory
  • 25. Alice Simplified Attack Scenarios Server Bob - Intercepting (eavesdropping or “sniffing”) data in transit - Modifying data (“Man-in-the-middle” attacks) - “Replay” attacks Eve/Mallory
  • 26. Alice Simplified Attack Scenarios Server Bob - Unauthorized access to servers through - Physical means - User accounts & privileges - Attacks through software vulnerabilities - Attacks using protocol weaknesses - DoS / DDoS attacks Eve/Mallory
  • 27. Alice Simplified Attack Scenarios Server Bob Other & newer forms of attacks possible Eve/Mallory
  • 28. Alice Safeguarding Against Attacks Server Bob Administrative Security - Security & privacy policy - Governance of security risk management & response - Uniform enforcement of policy & monitoring - Disaster recovery planning (DRP) & Business continuity planning/management (BCP/BCM) - Legal obligations, requirements & disclaimers
  • 29. Alice Safeguarding Against Attacks Server Bob Physical Security - Protecting physical access of clients & servers - Locks & chains, locked rooms, security cameras - Mobile device security - Secure storage & secure disposition of storage devices
  • 30. Alice Safeguarding Against Attacks Server Bob User Security - User account management - Strong p/w policy (length, complexity, expiry, no meaning) - Principle of Least Privilege - “Clear desk, clear screen policy” - Audit trails - Education, awareness building & policy enforcement - Alerts & education about phishing & social engineering
  • 31. Alice Safeguarding Against Attacks Server Bob System Security - Antivirus, antispyware, personal firewall, intrusion detection/prevention system (IDS/IPS), log files, monitoring - Updates, patches, fixes of operating system vulnerabilities & application vulnerabilities - Redundancy (avoid “Single Point of Failure”) - Honeypots
  • 32. Alice Safeguarding Against Attacks Server Bob Software Security - Software (clients & servers) that is secure by design - Software testing against failures, bugs, invalid inputs, performance issues & attacks - Updates to patch vulnerabilities
  • 33. Alice Safeguarding Against Attacks Server Bob Network Security - Access control (physical & electronic) to network devices - Use of secure network protocols if possible - Data encryption during transit if possible - Bandwidth monitoring & control
  • 34. Alice Safeguarding Against Attacks Server Bob Database Security - Access control to databases & storage devices - Encryption of data stored in databases if necessary - Secure destruction of data after use - Access control to queries/reports - Security features of database management systems (DBMS)
  • 35. Privacy Safeguards Image: http://www.nurseweek.com/news/images/privacy.jpg  Security safeguards  Informed consent  Privacy culture  User awareness building & education  Organizational policy & regulations  Enforcement  Ongoing privacy & security assessments, monitoring, and protection
  • 36. User Security
  • 37.  Access control  Selective restriction of access to the system  Role-based access control  Access control based on the person’s role (rather than identity)  Audit trails  Logs/records that provide evidence of sequence of activities User Security
  • 38.  Identification  Identifying who you are  Usually done by user IDs or some other unique codes  Authentication  Confirming that you truly are who you identify  Usually done by keys, PIN, passwords or biometrics  Authorization  Specifying/verifying how much you have access  Determined based on system owner’s policy & system configurations  “Principle of Least Privilege” User Security
  • 39.  Nonrepudiation  Proving integrity, origin, & performer of an activity without the person’s ability to refute his actions  Most common form: signatures  Electronic signatures offer varying degrees of nonrepudiation  PIN/password vs. biometrics  Digital certificates (in public key infrastructure - PKI) often used to ascertain nonrepudiation User Security
  • 40.  Multiple-Factor Authentication  Two-Factor Authentication  Use of multiple means (“factors”) for authentication  Types of Authentication Factors  Something you know  Password, PIN, etc.  Something you have  Keys, cards, tokens, devices (e.g. mobile phones)  Something you are  Biometrics User Security
  • 41. Need for Strong Password Policy So, two informaticians walk into a bar... The bouncer says, "What's the password." One says, "Password?" The bouncer lets them in. Credits: @RossMartin & AMIA (2012)
  • 42. Recommended Password Policy  Length  8 characters or more (to slow down brute-force attacks)  Complexity (to slow down brute-force attacks)  Consists of 3 of 4 categories of characters  Uppercase letters  Lowercase letters  Numbers  Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection)  No meaning (“Dictionary Attacks”)  Not simple patterns (12345678, 11111111) (to slow down brute- force attacks & prevent dictionary attacks)  Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing)Personal opinion. No legal responsibility assumed.
  • 43. Recommended Password Policy  Expiration (to make brute-force attacks not possible)  6-8 months  Decreasing over time because of increasing computer’s speed  But be careful! Too short duration will force users to write passwords down  Secure password storage in database or system (encrypted or store only password hashes)  Secure password confirmation  Secure “forget password” policy  Different password for each account. Create variations to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.
  • 44. Techniques to Remember Passwords  http://www.wikihow.com/Create-a-Password-You-Can- Remember  Note that some of the techniques are less secure!  One easy & secure way: password mnemonic  Think of a full sentence that you can remember  Ideally the sentence should have 8 or more words, with numbers and symbols  Use first character of each word as password  Sentence: I love reading all 7 Harry Potter books!  Password: Ilra7HPb!  Voila! Personal opinion. No legal responsibility assumed.
  • 45. Dear mail.mahidol.ac.th Email Account User, We wrote to you on 11th January 2010 advising that you change the password on your account in order to prevent any unauthorised account access following the network instruction we previously communicated. all Mailhub systems will undergo regularly scheduled maintenance. Access to your e-mail via the Webmail client will be unavailable for some time during this maintenance period. We are currently upgrading our data base and e-mail account center i.e homepage view. We shall be deleting old [https://mail.mahidol.ac.th/l accounts which are no longer active to create more space for new accountsusers. we have also investigated a system wide security audit to improve and enhance our current security. In order to continue using our services you are require to update and re-comfirmed your email account details as requested below. To complete your account re-comfirmation,you must reply to this email immediately and enter your account details as requested below. Username : Password : Date of Birth: Future Password : Social Engineering Examples Real social‐engineering e‐mail received by Speaker
  • 46. Phishing Real phishing e‐mail received by Speaker
  • 47.  Poor grammar  Lots of typos  Trying very hard to convince you to open attachment, click on link, or reply without enough detail  May appear to be from known person (rely on trust & innocence) Signs of a Phishing Attack
  • 48.  Don’t be too trusting of people  Always be suspicious & alert  An e-mail with your friend’s name & info doesn’t have to come from him/her  Look for signs of phishing attacks  Don’t open attachments unless you expect them  Scan for viruses before opening attachments  Don’t click links in e-mail. Directly type in browser using known & trusted URLs  Especially cautioned if ask for passwords, bank accounts, credit card numbers, social security numbers, etc. Ways to Protect against Phishing
  • 49. Malware
  • 50.  Malicious software - Any code with intentional, undesirable side effects  Virus  Worm  Trojan  Spyware  Logic Bomb/Time Bomb  Backdoor/Trapdoor  Rootkit  Botnet Malware
  • 51.  Virus  Propagating malware that requires user action to propagate  Infects executable files, data files with executable contents (e.g. Macro), boot sectors  Worm  Self-propagating malware  Trojan  A legitimate program with additional, hidden functionality Malware
  • 52.  Spyware  Trojan that spies for & steals personal information  Logic Bomb/Time Bomb  Malware that triggers under certain conditions  Backdoor/Trapdoor  A hole left behind by malware for future access Malware
  • 53.  Rogue Antispyware (Ransomware)  Software that tricks or forces users to pay before fixing (real or hoax) spyware detected  Rootkit  A stealth program designed to hide existence of certain processes or programs from detection  Botnet  A collection of Internet-connected computers that have been compromised (bots) which controller of the botnet can use to do something (e.g. do DDoS attacks) Malware
  • 54.  Installed & updated antivirus, antispyware, & personal firewall  Check for known signatures  Check for improper file changes (integrity failures)  Check for generic patterns of malware (for unknown malware): “Heuristics scan”  Firewall: Block certain network traffic in and out  Sandboxing  Network monitoring & containment  User education  Software patches, more secure protocols Defense Against Malware
  • 55.  Social media spams/scams/clickjacking  Social media privacy issues  User privacy settings  Location services  Mobile device malware & other privacy risks  Stuxnet (advanced malware targeting certain countries)  Advanced persistent threats (APT) by governments & corporations against specific targets Newer Threats
  • 56. Security in Thailand’s ICT Laws
  • 57. • พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – กําหนดการกระทําที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551 – รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ – รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่ เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทํา e-transactions ให้น่าเชื่อถือ – กําหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอํานาจหน้าที่ กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
  • 58. • ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล อิเล็กทรอนิกส์ (มาตรา 7) • ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้ วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9) • ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทําตามวิธีการแบบปลอดภัยที่ กําหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25) • คําขอ การอนุญาต การจดทะเบียน คําสั่งทางปกครอง การชําระเงิน การประกาศ หรือการดําเนินการใดๆ ตามกฎหมายกับหน่วยงานของ รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทําในรูปของข้อมูล อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กําหนดโดย พรฎ. • ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35) ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 59. • พรฎ.กําหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนํา กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549 • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ – เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555 • กําหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน ต้นฉบับได้ – เรื่อง หลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความให้ อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 • กําหนดหลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความที่ได้มี การจัดทําหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง – เรื่อง แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และแนว ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552 • ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate) กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 60. • พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 • กําหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน บุคคลของหน่วยงานของรัฐ พ.ศ. 2553 • กําหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 61. • พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทาง อิเล็กทรอนิกส์ พ.ศ. 2551 • ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครอง สําหรับผู้ประกอบธุรกิจให้บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2554 • ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจ บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552 • ประกาศ ธปท. ที่เกี่ยวข้อง กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 62. • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การ ประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบ ปลอดภัย พ.ศ. 2555 • หลักเกณฑ์การประเมินเพื่อกําหนดระดับวิธีการแบบปลอดภัยขั้นต่ํา – ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 • กําหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 63. สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทํา ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ 2 ฉบับ) ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ จัดทําหรือแปลงเอกสารและข้อความให้อยู่ ในรูปของข้อมูลอิเล็กทรอนิกส์ หน่วยงานของรัฐ • พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรม ทางอิเล็กทรอนิกส์ภาครัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศของ หน่วยงานของรัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ
  • 64. • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ • สํานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สํานักงาน ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร • สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. – Electronic Transactions Development Agency (Public Organization) - ETDA หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  • 65. • มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ – “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทําตามวิธีการแบบปลอดภัยที่ กําหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด) – จําแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจําแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น โครงสร้างพื้นฐานสําคัญของประเทศ หรือ Critical Infrastructure) “วิธีการแบบปลอดภัย”
  • 66. ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้ • ด้านการชําระเงินทางอิเล็กทรอนิกส์ • ด้านการเงินของธนาคารพาณิชย์ • ด้านประกันภัย • ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์ • ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล สาธารณะ • ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ ต้องดําเนินการอย่างต่อเนื่องตลอดเวลา วิธีการแบบปลอดภัยในระดับเคร่งครัด
  • 67. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบด้านมูลค่าความเสียหายทางการเงิน – ต่ํา: ≤ 1 ล้านบาท – ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท – สูง: > 100 ล้านบาท ระดับผลกระทบกับวิธีการแบบปลอดภัย
  • 68. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อ ชีวิต ร่างกาย หรืออนามัย – ต่ํา: ไม่มี – ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน – สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน ระดับผลกระทบกับวิธีการแบบปลอดภัย
  • 69. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความ เสียหายอื่นใด – ต่ํา: ≤ 10,000 คน – ปานกลาง: 10,000 < จํานวนผู้ได้รับผลกระทบ ≤ 100,000 คน – สูง: > 100,000 คน • ผลกระทบด้านความมั่นคงของรัฐ – ต่ํา: ไม่มีผลกระทบต่อความมั่นคงของรัฐ – สูง: มีผลกระทบต่อความมั่นคงของรัฐ ระดับผลกระทบกับวิธีการแบบปลอดภัย
  • 70. • พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ • พิจารณาตามระดับผลกระทบ – ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย ระดับเคร่งครัด – ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง – นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย
  • 71. • อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems - Requirements • มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556 • ไม่มีบทกําหนดโทษ เป็นเพียงมาตรฐานสําหรับ “วิธีการที่เชื่อถือได้” ใน การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้ําหนักการนําข้อมูล อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ ดําเนินการทางกฎหมาย • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่ รายชื่อหน่วยงานที่มีการจัดทํานโยบายและแนวปฏิบัติโดยสอดคล้องกับ วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้ ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  • 72. • แบ่งเป็น 11 หมวด (Domains) – Security policy – Organization of information security – Asset management – Human resources security – Physical and environmental security – Communications and operations management – Access control – Information systems acquisition, development and maintenance – Information security incident management – Business continuity management – Regulatory compliance มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  • 73. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ หมวด (Domain) ระดับพื้นฐาน ระดับกลาง (เพิ่มเติมจากระดับพื้นฐาน) ระดับสูง (เพิ่มเติมจากระดับกลาง) Security policy 1 ข้อ 1 ข้อ - Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ Asset management 1 ข้อ 4 ข้อ - Human resources security 6 ข้อ 1 ข้อ 2 ข้อ Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ Access control 9 ข้อ 8 ข้อ 8 ข้อ Information systems acquisition, development and maintenance 2 ข้อ 6 ข้อ 8 ข้อ Information security incident management 1 ข้อ - 3 ข้อ Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)
  • 74. • ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551 • ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้เข้าถึง ข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554 • ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ป่วย พ.ศ. 2556 • ประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายเกี่ยวกับการใช้สื่อสังคม ออนไลน์ (Social Network) ของบุคลากรและนักศึกษาของ มหาวิทยาลัยมหิดล (ลงวันที่ 23 ม.ค. 2556) • ประกาศคณะฯ เรื่อง ข้อกําหนดการใช้สื่อสังคมออนไลน์ ของคณะ แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2556 • ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียงใน โรงพยาบาลสังกัดของคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2557 ตัวอย่าง: ระเบียบต่างๆ ของรามาธิบดี ด้าน IT Security
  • 75. IT Security & Privacy Policy
  • 76. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ โรงพยาบาล • มีการกําหนดนโยบาย และแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศที่ ชัดเจน ครอบคลุมนโยบายด้านความครบถ้วนถูกต้องของข้อมูล ความ ปลอดภัยของระบบ การรักษาความลับของผู้ป่วย การเก็บสารสนเทศ ต่างๆ ระยะเวลาในการเก็บข้อมูลผู้ป่วย ข้อมูลดิบและสารสนเทศ การ ทําลายข้อมูลดิบและสารสนเทศด้วยความเหมาะสม และนโยบายกํากับ ดูแล ติดตามการดําเนินงานด้านเทคโนโลยีสารสนเทศ • มีการสื่อสารนโยบายด้านเทคโนโลยีสารสนเทศของโรงพยาบาลให้ ผู้เกี่ยวข้องรับทราบและดําเนินการในแนวเดียวกัน TMI HITQIF v1.1: Structure & Role
  • 77. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ โรงพยาบาล • ระดับ 0 ยังไม่มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศ ของโรงพยาบาล • ระดับ 1 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ โรงพยาบาล แต่ไม่ครบทุกด้านที่สําคัญ (1. ความครบถ้วนถูกต้องของ ข้อมูล 2. ความปลอดภัยของระบบ 3. การรักษาความลับผู้ป่วย 4. การ เก็บสารสนเทศ ระยะเวลาในการเก็บข้อมูล การทําลายข้อมูล 5. การ กํากับดูแล ติดตามการดําเนินงานด้านเทคโนโลยีสารสนเทศ) TMI HITQIF v1.1: Structure & Role
  • 78. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ โรงพยาบาล • ระดับ 2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ โรงพยาบาล ครบทุกด้านที่สําคัญ • ระดับ 3 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ โรงพยาบาล ครบทุกด้านที่สําคัญ แต่ไม่มีการสื่อสารให้ผู้เกี่ยวข้อง รับทราบ และดําเนินการแนวเดียวกัน • ระดับ 4 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ โรงพยาบาล ครบทุกด้านที่สําคัญ มีการสื่อสารให้ผู้เกี่ยวข้องรับทราบ และดําเนินการแนวเดียวกัน TMI HITQIF v1.1: Structure & Role
  • 79. Policy & Guidelines/Work Instructions on o Data completeness & integrity o System security o Patient information privacy & confidentiality protections o Secure data storage, retention & destruction o Monitoring, evaluation & enforcement Communication of Policy & Guidelines IT Security & Privacy Policy Checklist
  • 80. IT Risk Management
  • 81.  Project failures  Waste investments  Security breaches  System crashes  Failures by service providers to understand and meet customer requirements  System errors or bugs Examples of IT Risks
  • 82. Risk Strategies • Accept/ignore • Avoid completely • Reduce risk likelihood or impact • Transfer risk to someone else (e.g. insurance) Marchewka (2006) Risk = f(likelihood x impact) Risk Management
  • 83. IT Security Management
  • 84. Technology ProcessPeople Balanced IT Security Management
  • 85. 2.1 จัดให้มี Data center • Data center ของโรงพยาบาล ได้แก่ที่ตั้งของ servers และอุปกรณ์ที่ เกี่ยวข้อง เช่น ระบบสํารองข้อมูล อุปกรณ์สํารอง redundant system ระบบรักษาความปลอดภัย เป็นต้น data center นี้ต้องมีการจัดการ อย่างเหมาะสม เพื่อให้แน่ใจว่า จะสามารถใช้งานระบบได้อย่างปลอดภัย ปราศจากการหยุด หรือสะดุดของระบบ ซึ่งต้องคํานึงถึงสิ่งต่อไปนี้ 1) ห้อง สถานที่ และสิ่งแวดล้อม ต้องจัดให้มีความปลอดภัย เช่น มี การปรับอากาศที่ดี รักษาความปลอดภัยจากบุคคลภายนอก การ ป้องกันอัคคีภัย (รวมถึงระบบตรวจจับควันและระบบเตือนภัย เครื่องดับเพลิง และระบบดับเพลิงอัตโนมัติ) TMI HITQIF v1.1: Technology
  • 86. 2.1 จัดให้มี Data center 2) มีระบบป้องกันการเสียหายของข้อมูลและระบบ (data integrity and fault tolerance) ซึ่งรวมถึง UPS และระบบไฟฟ้าสํารอง, ระบบ RAID, redundant power supply และ redundant servers 3) มีระบบสํารองข้อมูล ทั้งภายใน และภายนอก data center 4) มีการจัดการ network ที่เหมาะสม TMI HITQIF v1.1: Technology
  • 87. 2.1 จัดให้มี Data center • ระดับ 0 ไม่มี Data Center • ระดับ 1 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 1 ใน 4 องค์ประกอบสําคัญ (ดูกรอบการพัฒนา) • ระดับ 2 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 2 ใน 4 องค์ประกอบสําคัญ • ระดับ 3 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 3 ใน 4 องค์ประกอบสําคัญ • ระดับ 4 มี Data Center ที่มีองค์ประกอบสําคัญครบถ้วน TMI HITQIF v1.1: Technology
  • 88. 2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย • ความเป็นส่วนตัวของผู้ป่วยเป็นสิ่งสําคัญ ซึ่งเป็นความเสี่ยงอย่างหนึ่งจาก การใช้เทคโนโลยี จําเป็นต้องจัดการให้มีระบบที่ป้องกันผู้ไม่ได้รับอนุญาต เข้าถึงข้อมูลของผู้ป่วย ดังนี้ 1) ระบบมีบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน (username and password) 2) สร้างระบบการเข้าถึงข้อมูลผู้ป่วยให้รัดกุม (ใคร สามารถเข้าถึง ข้อมูลส่วนไหน ด้วยวิธีใด เป็นต้น) TMI HITQIF v1.1: Technology
  • 89. 2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย 3) สามารถระบุตัวผู้ที่นําข้อมูลผู้รับบริการเข้าสู่ระบบ และวันเวลาที่ นําข้อมูลผู้รับบริการเข้าสู่ระบบได้ วันเวลาและผู้ที่เข้าถึง แก้ไข ข้อมูล 4) มีเทคโนโลยีด้านความมั่นคงของระบบเช่น firewall ระบบป้องกัน ไวรัสและโทรจัน การแยกระบบ Internet และระบบงาน โรงพยาบาล การจัด private network เป็นต้น TMI HITQIF v1.1: Technology
  • 90. 2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย • ระดับ 0 ไม่มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัย และคุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วย • ระดับ 1 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน อย่างน้อย 1 ใน 4 องค์ประกอบสําคัญ (บัญชีรายชื่อผู้ใช้ ระบบการ เข้าถึงข้อมูล การระบุตัวตน เทคโนโลยีความมั่นคง) TMI HITQIF v1.1: Technology
  • 91. 2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย • ระดับ 2 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน อย่างน้อย 2 ใน 4 องค์ประกอบสําคัญ • ระดับ 3 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยอย่างน้อย 3 ใน 4 องค์ประกอบสําคัญ • ระดับ 4 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยที่มี องค์ประกอบสําคัญครบถ้วน TMI HITQIF v1.1: Technology
  • 92. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ ผู้ใช้งานระบบ เทคโนโลยีสารสนเทศได้รับการพัฒนาให้ใช้งานได้อย่างถูกต้อง และ เป็นไปตามบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ทั้งด้านความถูกต้องครบถ้วนของข้อมูล การรักษาความลับของ ผู้ป่วย และความปลอดภัยของระบบเทคโนโลยีสารสนเทศ การ พัฒนานี้ รวมถึงผู้บริหารระดับสูงและผู้เกี่ยวข้องได้รับการพัฒนาให้ เข้าใจเกี่ยวกับหลักการจัดการสารสนเทศ (Principles of Information Management) ที่จําเป็นด้วย TMI HITQIF v1.1: People
  • 93. อัตรากําลังของหน่วยงานเทคโนโลยีสารสนเทศโรงพยาบาลนั้น อาจ มีความยืดหยุ่นได้ เช่นงานบางอย่างด้านเทคโนโลยีสารสนเทศอาจ จัดจ้างบุคคลภายนอกดูแล แต่ต้องมีการจัดการที่แน่ใจได้ว่าจะ สามารถดําเนินการด้านเทคโนโลยีสารสนเทศได้อย่างราบรื่น ปลอดภัย รวมทั้งจะไม่กระทบต่อภารกิจหลักของโรงพยาบาล และ ไม่กระทบต่อความลับของผู้ป่วย TMI HITQIF v1.1: People
  • 94. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ • ระดับ 0 ไม่มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ • ระดับ 1 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ แต่ไม่ สอดคล้องกับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร • ระดับ 2 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร แต่ไม่ ครอบคลุมบุคลากรทุกระดับ TMI HITQIF v1.1: People
  • 95. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ • ระดับ 3 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม บุคลากรทุกระดับ แต่ดําเนินการได้ไม่ถึงร้อยละ 90 ของแผน • ระดับ 4 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม บุคลากรทุกระดับ และดําเนินการได้มากกว่าหรือเท่ากับร้อยละ 90 ของ แผน TMI HITQIF v1.1: People
  • 96. 4.4 มีการออกแบบระบบคงทนต่อความผิดพลาด (fault tolerance) มีการบํารุงรักษาอย่างสม่ําเสมอ (Availability Management) มีการจัดการเพื่อให้ระบบเทคโนโลยีสารสนเทศ ดําเนินงานได้อย่างต่อเนื่อง และสามารถกู้คืนระบบได้แม้จะมี เหตุการณ์ไม่คาดฝันเกิดขึ้น (IT Service Continuity Management) โดยมีการวิเคราะห์และจัดทําแผนสํารองฉุกเฉินใน การกู้คืนระบบ รวมทั้งมีการทบทวนและซักซ้อนแผนอย่าง สม่ําเสมอ (To be covered in an upcoming lecture by the same speaker) TMI HITQIF v1.1: Process
  • 97. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security Management) มีกระบวนการที่ทําให้แน่ใจได้ว่า ระบบและข้อมูลได้รับการปกป้อง จากการใช้งานที่ไม่ถูกต้องหรือไม่ได้รับอนุญาต ประกอบไปด้วย 1) ความปลอดภัยด้านกายภาพ เช่น มาตรการการเข้าออก data center 2) ด้าน software และการใช้งาน เช่น การเลือกใช้ database 3) การทําบัญชีรายชื่อผู้ใช้งาน การกําหนดสิทธิผู้ใช้งาน (Access control) การรักษาความลับรหัสผ่านของผู้ใช้แต่ละบุคคล รวมถึง ยืนยันตัวบุคคล (Authentication) TMI HITQIF v1.1: Process
  • 98. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security Management) 4) ด้านเครือข่าย เช่น การเชื่อมโยง Internet การป้องกันการบุกรุก เครือข่าย 5) การบํารุงรักษาระบบโดยบุคคลภายนอก มีมาตรการควบคุม 6) การป้องกันไวรัสในระบบคอมพิวเตอร์ และเครื่องมือแพทย์ 7) การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security Management) TMI HITQIF v1.1: Process
  • 99. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security Management) • ระดับ 0 ไม่มีการจัดการด้านความปลอดภัยเทคโนโลยี สารสนเทศ • ระดับ 1 มีการกําหนดนโยบายด้านความปลอดภัยเทคโนโลยี สารสนเทศ แต่ดําเนินงานได้ไม่เกิน 2 องค์ประกอบสําคัญ (ด้าน กายภาพ ด้าน software ด้านบัญชีรายชื่อผู้ใช้ ด้านเครือข่าย การบํารุงระบบโดยบุคคลภายนอก การป้องกันไวรัส การจัดการ ด้านความปลอดภัย ) TMI HITQIF v1.1: Process
  • 100. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security Management) • ระดับ 2 มีการกําหนดนโยบายด้านความปลอดภัยเทคโนโลยี สารสนเทศ แต่ดําเนินงานได้3-4 องค์ประกอบสําคัญ • ระดับ 3 มีการกําหนดนโยบายด้านความปลอดภัยเทคโนโลยี สารสนเทศ แต่ดําเนินงานได้5-6 องค์ประกอบสําคัญ • ระดับ 4 มีการกําหนดนโยบายด้านความปลอดภัยเทคโนโลยี สารสนเทศ ดําเนินงานได้ครบทุกองค์ประกอบสําคัญ TMI HITQIF v1.1: Process
  • 101. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน ประกอบไปด้วย 1) การบันทึก อาการสําคัญ ประวัติ ผลการตรวจร่างกาย และคํา วินิจฉัยโรค ในบัตรผู้ป่วยนอก และ/หรือ เวชระเบียน อิเล็กทรอนิกส์ โดยต้องไม่จัดเก็บรหัส ICD แทนคําวินิจฉัยโรค 2) บันทึกประวัติตรวจร่างกายแรกรับ บันทึกความก้าวหน้า และการ สรุปเวชระเบียนเมื่อสิ้นสุดการรักษา (Discharge Summary) ใน แฟ้มผู้ป่วยใน 3) รายงานการผ่าตัด ในผู้ป่วยทุกรายที่ได้รับการผ่าตัด 4) การให้รหัส ICD ทั้งรหัสกลุ่มโรค และรหัสการผ่าตัด TMI HITQIF v1.1: Process
  • 102. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน • ระดับ 0 ไม่มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บอย่าง ถูกต้องครบถ้วน • ระดับ 1 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ แต่ยัง ดําเนินการได้ไม่ครบ 4 องค์ประกอบสําคัญ (OPD Cards, Discharge summary, Operative note, ICD Codings) • ระดับ 2 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ ดําเนินการได้ครบ 4องค์ประกอบสําคัญ แต่ไม่ครบทุกประเด็นย่อย TMI HITQIF v1.1: Process
  • 103. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน • ระดับ 3 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ ดําเนินการได้ครบ 4องค์ประกอบสําคัญ ครบทุกประเด็นย่อย แต่บาง รายการอ่านไม่ออกเนื่องจากปัญหาลายมือ สัญลักษณ์ลับ คํากํากวม • ระดับ 4 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ ดําเนินการได้ครบ 4องค์ประกอบสําคัญ ครบทุกประเด็นย่อย ทุก รายการแสดงผลได้ชัดเจน ไม่กํากวม TMI HITQIF v1.1: Process
  • 104. Final Thoughts
  • 105. • ภัยด้าน IT Security & Privacy เป็น Risk ที่สําคัญอันหนึ่งที่ต้อง มีการบริหารจัดการ • Security มีทั้ง C, I, A และเกี่ยวข้องกับ Privacy • Policy & Regulation รวมทั้ง Legal compliance มีความสําคัญ • อย่าลืมให้ความสําคัญกับทั้ง 3 ด้านของ IT Security อย่างได้ สมดุล: People, Process, Technology IT Security
  • 106. เตรียมเป็น Presentation slides นําเสนอในสัปดาห์หน้า รวมทุกข้อไม่เกิน 15 นาที/คน 1. ในองค์กรของท่าน มีนโยบาย/แนวทางปฏิบัติ ด้าน IT Security และ Privacy หรือไม่ • ถ้ามี วิจารณ์ความครบถ้วน/เหมาะสมของนโยบาย/ แนวทางปฏิบัติดังกล่าว • ถ้าไม่มี สมมติว่าท่านได้รับมอบหมายให้ร่างนโยบาย ดังกล่าว ลองร่าง outline หัวข้อที่ควรกล่าวถึง (ไม่ต้องลงรายละเอียด) Homework (Individual)
  • 107. 2. ศึกษาระบบงาน IT ขององค์กรของท่าน แล้ววิจารณ์ว่าองค์กร มีความปลอดภัย (Security) และการคุ้มครอง Privacy ข้อมูลผู้ป่วย มากน้อยเพียงใด มีความเสี่ยงอะไรที่เห็นได้ชัด บ้างหรือไม่ (ควรดูทั้งด้าน Technology และ Process) • หากมีรายละเอียดเยอะ ให้เลือกความเสี่ยงสําคัญๆ ที่น่าสนใจ • การนําเสนอ อย่าระบุรายละเอียดของความเสี่ยงมากเกินไปจน ผู้อื่นนําไปใช้โจมตีได้จริง Homework (Individual)
  • 108. 3. ถ้าท่านเพิ่งได้รับมอบหมายให้รับผิดชอบเรื่อง IT Security & Privacy ขององค์กร ระบุสิ่งที่ท่านจะ focus ใน 1 ปีแรก Homework (Individual)