Ethics & Legal Issues for Health IT in Thailand's Context - Part 2

652 views

Published on

Published in: Health & Medicine
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
652
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
28
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Ethics & Legal Issues for Health IT in Thailand's Context - Part 2

  1. 1. การปฏิบัติตามมาตรฐาน การรักษาความมั่นคง ปลอดภัยของระบบ สารสนเทศ ของ คณะกรรมการธุรกรรม ทางอิเล็กทรอนิกส์ นพ.นวนรรน ธีระอัมพรพันธุ์ ฝ่ายสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี 13 กันยายน 2556
  2. 2. Confidentiality • การรักษาความลับของข้อมูล Integrity • การรักษาความครบถ้วนและความ ถูกต้องของข้อมูล • ปราศจากการเปลี่ยนแปลงแก้ไข ทํา ให้สูญหาย ทําให้เสียหาย หรือถูก ทําลายโดยมิชอบ Availability • การรักษาสภาพพร้อมใช้งาน หลักการของ Information Security
  3. 3. • พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – กําหนดการกระทําที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551 – รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์ – รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่ เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทํา e-transactions ให้น่าเชื่อถือ – กําหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอํานาจหน้าที่ กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
  4. 4. • ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล อิเล็กทรอนิกส์ (มาตรา 7) • ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้ วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9) • ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทําตามวิธีการแบบปลอดภัยที่ กําหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25) • คําขอ การอนุญาต การจดทะเบียน คําสั่งทางปกครอง การชําระเงิน การประกาศ หรือการดําเนินการใดๆ ตามกฎหมายกับหน่วยงานของ รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทําในรูปของข้อมูล อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กําหนดโดย พรฎ. • ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35) ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  5. 5. • พรฎ.กําหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนํา กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549 • ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ – เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555 • กําหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน ต้นฉบับได้ – เรื่อง หลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความให้ อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553 • กําหนดหลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความที่ได้มี การจัดทําหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง – เรื่อง แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และแนว ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552 • ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate) กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  6. 6. • พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 • กําหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ – ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน บุคคลของหน่วยงานของรัฐ พ.ศ. 2553 • กําหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง อิเล็กทรอนิกส์ภาครัฐ กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  7. 7. • พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทาง อิเล็กทรอนิกส์ พ.ศ. 2551 • ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครอง สําหรับผู้ประกอบธุรกิจให้บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2554 • ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจ บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552 • ประกาศ ธปท. ที่เกี่ยวข้อง กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  8. 8. • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การ ประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบ ปลอดภัย พ.ศ. 2555 • หลักเกณฑ์การประเมินเพื่อกําหนดระดับวิธีการแบบปลอดภัยขั้นต่ํา – ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555 • กําหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  9. 9. สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์ • พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทํา ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ 2 ฉบับ) ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ จัดทําหรือแปลงเอกสารและข้อความให้อยู่ ในรูปของข้อมูลอิเล็กทรอนิกส์ หน่วยงานของรัฐ • พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรม ทางอิเล็กทรอนิกส์ภาครัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ รักษาความมั่นคงปลอดภัยด้านสารสนเทศของ หน่วยงานของรัฐ • ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ
  10. 10. • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ • สํานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สํานักงาน ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร • สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. – Electronic Transactions Development Agency (Public Organization) - ETDA หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
  11. 11. • มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ – “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทําตามวิธีการแบบปลอดภัยที่ กําหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทาง อิเล็กทรอนิกส์ พ.ศ. 2553 – วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด) – จําแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจําแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น โครงสร้างพื้นฐานสําคัญของประเทศ หรือ Critical Infrastructure) “วิธีการแบบปลอดภัย”
  12. 12. ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้ • ด้านการชําระเงินทางอิเล็กทรอนิกส์ • ด้านการเงินของธนาคารพาณิชย์ • ด้านประกันภัย • ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์ • ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล สาธารณะ • ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ ต้องดําเนินการอย่างต่อเนื่องตลอดเวลา วิธีการแบบปลอดภัยในระดับเคร่งครัด
  13. 13. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบด้านมูลค่าความเสียหายทางการเงิน – ต่ํา: ≤ 1 ล้านบาท – ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท – สูง: > 100 ล้านบาท ระดับผลกระทบกับวิธีการแบบปลอดภัย
  14. 14. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อ ชีวิต ร่างกาย หรืออนามัย – ต่ํา: ไม่มี – ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน – สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน ระดับผลกระทบกับวิธีการแบบปลอดภัย
  15. 15. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน) • ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความ เสียหายอื่นใด – ต่ํา: ≤ 10,000 คน – ปานกลาง: 10,000 < จํานวนผู้ได้รับผลกระทบ ≤ 100,000 คน – สูง: > 100,000 คน • ผลกระทบด้านความมั่นคงของรัฐ – ต่ํา: ไม่มีผลกระทบต่อความมั่นคงของรัฐ – สูง: มีผลกระทบต่อความมั่นคงของรัฐ ระดับผลกระทบกับวิธีการแบบปลอดภัย
  16. 16. • พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ • พิจารณาตามระดับผลกระทบ – ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย ระดับเคร่งครัด – ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง – นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย
  17. 17. • อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology - Security techniques - Information security management systems - Requirements • มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556 • ไม่มีบทกําหนดโทษ เป็นเพียงมาตรฐานสําหรับ “วิธีการที่เชื่อถือได้” ใน การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้ําหนักการนําข้อมูล อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ ดําเนินการทางกฎหมาย • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่ รายชื่อหน่วยงานที่มีการจัดทํานโยบายและแนวปฏิบัติโดยสอดคล้องกับ วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้ ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  18. 18. • แบ่งเป็น 11 หมวด (Domains) – Security policy – Organization of information security – Asset management – Human resources security – Physical and environmental security – Communications and operations management – Access control – Information systems acquisition, development and maintenance – Information security incident management – Business continuity management – Regulatory compliance มาตรฐาน Security ตามวิธีการแบบปลอดภัย
  19. 19. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ หมวด (Domain) ระดับพื้นฐาน ระดับกลาง (เพิ่มเติมจากระดับพื้นฐาน) ระดับสูง (เพิ่มเติมจากระดับกลาง) Security policy 1 ข้อ 1 ข้อ - Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ Asset management 1 ข้อ 4 ข้อ - Human resources security 6 ข้อ 1 ข้อ 2 ข้อ Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ Access control 9 ข้อ 8 ข้อ 8 ข้อ Information systems acquisition, development and maintenance 2 ข้อ 6 ข้อ 8 ข้อ Information security incident management 1 ข้อ - 3 ข้อ Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)
  20. 20. • ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551 • ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้เข้าถึง ข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554 • ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ป่วย พ.ศ. 2556 ระเบียบต่างๆ ของรามาธิบดี ด้าน Information Security
  21. 21. • ภัยคุกคามด้านความปลอดภัยสารสนเทศ เพิ่มขึ้นมากในปัจจุบัน • มีการกําหนดมาตรฐานด้านความปลอดภัยขององค์กรในกฎหมาย IT ของ ไทย • โรงพยาบาลต่างๆ จําเป็นจะต้องปฏิบัติตามมาตรฐานดังกล่าวและ กฎหมายที่เกี่ยวข้อง โดยมีทั้งเรื่องการดําเนินการทางนโยบาย และการ ดําเนินการในทางปฏิบัติ สรุป
  22. 22. • รับทราบและเห็นความสําคัญถึงความจําเป็นในการปฏิบัติตามมาตรฐาน ด้านความปลอดภัยสารสนเทศ • ตระหนักว่า การขับเคลื่อนเรื่องมาตรฐานความปลอดภัยสารสนเทศ เป็น ความรับผิดชอบของผู้บริหารและบุคลากรทุกคน • เห็นชอบให้ CIO เป็นผู้ดําเนินการเรื่องมาตรฐานด้านความปลอดภัย สารสนเทศ โดยให้ประสานงานกับผู้บริหารและหน่วยงานที่เกี่ยวข้อง โดย ขอให้ทุกหน่วยงานให้ความร่วมมือในการดําเนินการอย่างเต็มที่ เพื่อให้ เป็นไปตามมาตรฐาน ข้อเสนอเชิงนโยบายสําหรับผู้บริหารหน่วยงาน

×