IT Security & Risk Management (September 23, 2020)

การกาหนดนโยบายและระเบียบปฏิบัติ การ
ประเมินและควบคุมความเสี่ยง การจัดการความ
มั่นคงในระบบเทคโนโลยีสารสนเทศโรงพยาบาล
ขั้นต้น Confidentiality and Privacy
SlideShare.net/Nawanan
นพ.นวนรรน ธีระอัมพรพันธุ์
22 กันยายน 2563

2003 M.D. (First-Class Honors) (Ramathibodi)
2009 M.S. in Health Informatics (U of MN)
2011 Ph.D. in Health Informatics (U of MN)
• Faculty of Medicine Ramathibodi Hospital
Mahidol University
o Deputy Dean for Operations
o Lecturer, Department of Clinical Epidemiology
& Biostatistics
nawanan.the@mahidol.ac.th
SlideShare.net/Nawanan
Facebook.com/NawananT
Line ID: NawananT
Introduction

• TMI HITQIF Framework
• IT Governance
• Strategic Planning & IT Master Plan
• Structure, Roles, Team Development &
Roadmap to IT Quality
• IT Policy, Regulation, Risk & Security
Management
• Service Level Management, IT Service Desk &
Data Center Management
• Data Management
• IT Process, Metrics & Control
• Continuous & Sustainable IT Quality
Improvement
Overall Topics of HITQIF Course

Policy
Planning
Implement
ation
Monitoring
&
Evaluation
Enforce
ment
Big Picture of IT Risk & Security
Management

• Overview of IT Security & Privacy
• IT Security & Privacy Policy
• IT Security Management
• IT Risk Management
Outline

Overview of IT Security
& Privacy

Malware
Threats to Information Security

ภัย Security กับเมืองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood

https://www.it24hrs.com/2016/anonymous-hack-id-cards-ministry-of-foreign-affairs-tica/

Privacy Threats in Thailand
https://www.posttoday.com/it/548240

http://news.sanook.com/1262964/
Privacy Threats in Thai Health Care

https://www.blognone.com/node/79473

Security Threats by Poor Software

Why Software Testing is Important

National Healthcare’s Worst Nightmare
https://www.straitstimes.com/singapore/personal-info-of-15m-singhealth-
patients-including-pm-lee-stolen-in-singapores-most

Ransomware Attack in Thai Hospitals
https://www.facebook.com/SaraburiHospital/photos/a.255929423747
8100/4366815263392646/

Sources of the Threats
▪ Hackers
▪ Viruses & Malware
▪ Poorly-designed systems
▪ Insiders (Employees)
▪ People’s ignorance & lack of knowledge
▪ Disasters & other incidents affecting information
systems

▪ Information risks
▪ Unauthorized access & disclosure of confidential information
▪ Unauthorized addition, deletion, or modification of information
▪ Operational risks
▪ System not functional (Denial of Service - DoS)
▪ System wrongly operated
▪ Personal risks
▪ Identity thefts
▪ Financial losses
▪ Disclosure of information that may affect employment or other
personal aspects (e.g. health information)
▪ Physical/psychological harms
▪ Organizational risks
▪ Financial losses
▪ Damage to reputation & trust
▪ Etc.
Consequences of Security Attacks

▪ Privacy: “The ability of an individual or group to
seclude themselves or information about
themselves and thereby reveal themselves
selectively.” (Wikipedia)
▪ Security: “The degree of protection to safeguard
... person against danger, damage, loss, and
crime.” (Wikipedia)
▪ Information Security: “Protecting information
and information systems from unauthorized
access, use, disclosure, disruption,
modification, perusal, inspection, recording or
destruction” (Wikipedia)
Privacy & Security

Confidentiality
• การรักษาความลับของข้อมูล
Integrity
• การรักษาความครบถ้วนและความ
ถูกต้องของข้อมูล
• ปราศจากการเปลี่ยนแปลงแก้ไข ทา
ให้สูญหาย ทาให้เสียหาย หรือถูก
ทาลายโดยมิชอบ
Availability
• การรักษาสภาพพร้อมใช้งาน
หลักการของ Information Security

Examples of Confidentiality Risks
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

Examples of Integrity Risks
http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml
Web Defacements

Examples of Availability Risks
http://en.wikipedia.org/wiki/Blaster_worm
Viruses/worms that led to instability &
system restart (e.g. Blaster worm)

Examples of Availability Risks
http://en.wikipedia.org/wiki/Ariane_5_Flight_501
Ariane 5 Flight 501 Rocket Launch Failure
Cause: Software bug on rocket acceleration due to data conversion
from a 64-bit floating point number to a 16-bit signed integer without
proper checks, leading to arithmatic overflow

Interesting Resources
▪ http://en.wikipedia.org/wiki/List_of_software_bugs
▪ http://en.wikipedia.org/wiki/Notable_computer_viruses_an
d_worms
▪ http://en.wikipedia.org/wiki/Hacktivism
▪ http://en.wikipedia.org/wiki/Website_defacement
▪ http://en.wikipedia.org/wiki/Hacker_(computer_security)
▪ http://en.wikipedia.org/wiki/List_of_hackers

Protecting Information
Privacy & Security

http://www.aclu.org/ordering-pizza
Privacy Protections: Why?

Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

Privacy Case Studies
http://pantip.com/topic/35330409/

แนวทางการคุ้มครอง Privacy
• Informed consent
• Privacy culture
• User awareness building & education
• Organizational policy & regulations
▪ Enforcement
▪ Ongoing privacy & security
assessments, monitoring, and protection

▪ Attack
▪ An attempt to breach system security
▪ Threat
▪ A scenario that can harm a system
▪ Vulnerability
▪ The “hole” that is used in the attack
Common Security Terms

▪ Identify some possible means an
attacker could use to conduct a
security attack
Class Exercise

Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory

Alice
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory

Alice
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacks
Eve/Mallory

Alice
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks
Eve/Mallory

Alice
Server Bob
Other & newer forms of
attacks possible Eve/Mallory

Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers

Alice
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices

Alice
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering

Alice
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots

Alice
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities

Alice
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control

Alice
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)
- Data backups (online vs. offline)

▪ Access control
▪ Selective restriction of access to the system
▪ Role-based access control
▪ Access control based on the person’s role
(rather than identity)
▪ Audit trails
▪ Logs/records that provide evidence of
sequence of activities
User Security

▪ Identification
▪ Identifying who you are
▪ Usually done by user IDs or some other unique codes
▪ Authentication
▪ Confirming that you truly are who you identify
▪ Usually done by keys, PIN, passwords or biometrics
▪ Authorization
▪ Specifying/verifying how much you have access
▪ Determined based on system owner’s policy & system
configurations
▪ “Principle of Least Privilege”
User Security

▪ Nonrepudiation
▪ Proving integrity, origin, & performer of an
activity without the person’s ability to refute
his actions
▪ Most common form: signatures
▪ Electronic signatures offer varying degrees of
nonrepudiation
▪ PIN/password vs. biometrics
▪ Digital certificates (in public key infrastructure
- PKI) often used to ascertain nonrepudiation
User Security

▪ Multiple-Factor Authentication
▪ Two-Factor Authentication
▪ Use of multiple means (“factors”) for authentication
▪ Types of Authentication Factors
▪ Something you know
▪ Password, PIN, etc.
▪ Something you have
▪ Keys, cards, tokens, devices (e.g. mobile phones)
▪ Something you are
▪ Biometrics
User Security

Need for Strong Password Policy
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)

Unknown Internet sources, via
http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,
via Facebook page “สอนแฮกเว็บแบบแมวๆ”
What’s the Password?

Recommended Password Policy
▪ Length
▪ 8 characters or more (to slow down brute-force attacks)
▪ Complexity (to slow down brute-force attacks)
▪ Consists of 3 of 4 categories of characters
▪ Uppercase letters
▪ Lowercase letters
▪ Numbers
▪ Symbols (except symbols that have special uses by the
system or that can be used to hack system, e.g. SQL
Injection)
▪ No meaning (“Dictionary Attacks”)
▪ Not simple patterns (12345678, 11111111) (to slow down brute-
force attacks & prevent dictionary attacks)
▪ Not easy to guess (birthday, family names, etc.) (to prevent
unknown & known persons from guessing)Personal opinion. No legal responsibility assumed.

Recommended Password Policy
▪ Expiration (to make brute-force attacks not possible)
▪ 6-8 months
▪ Decreasing over time because of increasing computer’s
speed
▪ But be careful! Too short duration will force users to write
passwords down
▪ Secure password storage in database or system
(encrypted or store only password hashes)
▪ Secure password confirmation
▪ Secure “forget password” policy
▪ Different password for each account. Create variations
to help remember. If not possible, have different sets of
accounts for differing security needs (e.g., bank
accounts vs. social media sites) Personal opinion. No legal responsibility assumed.

Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

Techniques to Remember Passwords
▪ http://www.wikihow.com/Create-a-Password-You-Can-
Remember
▪ Note that some of the techniques are less secure!
▪ One easy & secure way: password mnemonic
▪ Think of a full sentence that you can remember
▪ Ideally the sentence should have 8 or more words, with
numbers and symbols
▪ Use first character of each word as password
▪ Sentence: I love reading all 7 Harry Potter books!
▪ Password: Ilra7HPb!
▪ Voila!
Personal opinion. No legal responsibility assumed.

Dictionary Attack:
A story from
a computer security
course

Keylogger Attack:
A story from
a medical student’s life

Dear mail.mahidol.ac.th Email Account User,
We wrote to you on 11th January 2010 advising that you change the password on
your account in order to prevent any unauthorised account access following
the network instruction we previously communicated.
all Mailhub systems will undergo regularly scheduled maintenance. Access
to your e-mail via the Webmail client will be unavailable for some time
during this maintenance period. We are currently upgrading our data base
and e-mail account center i.e homepage view. We shall be deleting old
[https://mail.mahidol.ac.th/l accounts which are no longer active to create
more space for new accountsusers. we have also investigated a system wide
security audit to improve and enhance
our current security.
In order to continue using our services you are require to update and
re-comfirmed your email account details as requested below. To complete
your account re-comfirmation,you must reply to this email immediately and
enter your account
details as requested below.
Username :
Password :
Date of Birth:
Future Password :
Social Engineering Examples
Real social-engineering e-mail received by Speaker

Phishing
Real phishing e-mail received by Speaker

Checking for Encryption for Website Connections
Microsoft Edge

Google Chrome

Mozilla Firefox
Google Chrome
1

Mozilla Firefox
Google Chrome
2
1

Mozilla Firefox
Google Chrome
2
1
3

1
Mozilla Firefox
Google Chrome
2
3
4

▪ Poor grammar
▪ Lots of typos
▪ Trying very hard to convince you to open
attachment, click on link, or reply without
enough detail
▪ May appear to be from known person (rely on
trust & innocence)
Signs of a Phishing Attack

▪ Don’t be too trusting of people
▪ Always be suspicious & alert
▪ An e-mail with your friend’s name & info doesn’t have to
come from him/her
▪ Look for signs of phishing attacks
▪ Don’t open attachments unless you expect them
▪ Scan for viruses before opening attachments
▪ Don’t click links in e-mail. Directly type in browser using
known & trusted URLs
▪ Especially cautioned if ask for passwords, bank
accounts, credit card numbers, social security numbers,
etc.
Ways to Protect against Phishing

▪ Malicious software - Any code with intentional,
undesirable side effects
▪ Virus
▪ Worm
▪ Trojan
▪ Spyware
▪ Logic Bomb/Time Bomb
▪ Backdoor/Trapdoor
▪ Rootkit
▪ Botnet
Malware

▪ Virus
▪ Propagating malware that requires user action
to propagate
▪ Infects executable files, data files with
executable contents (e.g. Macro), boot
sectors
▪ Worm
▪ Self-propagating malware
▪ Trojan
▪ A legitimate program with additional, hidden
functionality
Malware

▪ Spyware
▪ Trojan that spies for & steals personal
information
▪ Logic Bomb/Time Bomb
▪ Malware that triggers under certain conditions
▪ Backdoor/Trapdoor
▪ A hole left behind by malware for future
access
Malware

▪ Rogue Antispyware
▪ Software that tricks or forces users to pay before
fixing (real or hoax) spyware detected
▪ Rootkit
▪ A stealth program designed to hide existence of
certain processes or programs from detection
▪ Botnet
▪ A collection of Internet-connected computers that
have been compromised (bots) which controller of the
botnet can use to do something (e.g. do DDoS
attacks)
Malware

▪ Installed & updated antivirus, antispyware, &
personal firewall
▪ Check for known signatures
▪ Check for improper file changes (integrity failures)
▪ Check for generic patterns of malware (for unknown
malware): “Heuristics scan”
▪ Firewall: Block certain network traffic in and out
▪ Sandboxing
▪ Network monitoring & containment
▪ User education
▪ Software patches, more secure protocols
Defense Against Malware

▪ Social media spams/scams/clickjacking
▪ Social media privacy issues
▪ User privacy settings
▪ Location services
▪ Mobile device malware & other privacy risks
▪ Stuxnet (advanced malware targeting certain
countries)
▪ Advanced persistent threats (APT) by
governments & corporations against specific
targets
Newer Threats

Ransomware ระบาดใน Healthcare
Top: http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months
Bottom: http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420

Infected with WannaCry
https://cdn.securelist.com/files/2017/05/wannacry_05.png

WannaCry: Infection Flow
http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/05/WannaCry-infection-flow02.jpg

WannaCry
Prevention
for Users
https://www.thaicert.or.th/downloads/files/info_WannaCry-User.png

WannaCry
Prevention
for Admins
https://www.thaicert.or.th/downloads/files/info_WannaCry-Admin.png

WannaCry
WannaCry &
Medical Devices

Petya/Petwrap/NotPetya
https://www.bleepstatic.com/images/news/ransomware/p/notpetya/mbr-ransom-note.jpg

Petya/Petwrap/NotPetya
ThaiCERT

Preventing from Ransomware
https://us-cert.cisa.gov/sites/default/files/publications/Ransomware_Executive_One-
Pager_and_Technical_Document-FINAL.pdf

▪ Most common reason for security bugs is
invalid programming assumptions that attackers
will look for
▪ Weak input checking
▪ Buffer overflow
▪ Integer overflow
▪ Race condition (Time of Check / Time of Use
vulnerabilities)
▪ Running programs in new environments
Software Security
Adapted from Nicholas Hopper’s teaching slides for UMN Computer Security Class Fall 2006 CSCI 5271

▪ Defense in Depth
▪ Multiple layers of security defense are
placed throughout a system to provide
redundancy in the event a security
control fails
▪ Secure the weakest link
▪ Promote privacy
▪ Trust no one
Secure Software Design Principles
Saltzer & Schroeder (1975), Viega & McGraw (2000)
http://en.wikipedia.org/wiki/Defense_in_depth_(computing)

▪ Modular design
▪ Check error conditions on return values
▪ Validate inputs (whitelist vs. blacklist)
▪ Avoid infinite loops, memory leaks
▪ Check for integer overflows
▪ Language/library choices
▪ Development processes
Secure Software Best Practices

▪ Consider a log-in form on a web page
Example of Weak Input Checking:
SQL Injection
▪ Source code would look
something like this:
statement = "SELECT * FROM users
WHERE name = '" + userName + "';"
▪ Attacker would enter as username:
' or '1'='1
▪ Which leads to this always-true query:
▪ statement = "SELECT * FROM users
WHERE name = '" + "' or '1'='1" + "';"
statement = "SELECT * FROM users WHERE name = '' or '1'='1';"
http://en.wikipedia.org/wiki/SQL_injection

U.S. National Institute of Standards and Technology (NIST)
Cybersecurity Framework

Technology
ProcessPeople
Balanced IT Security Management

Security in Thailand’s
ICT Laws

• พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
– กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
– รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์
– รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ
อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่
เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทา e-transactions ให้น่าเชื่อถือ
– กาหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอานาจหน้าที่
– กาหนดกลไกการควบคุมดูแลระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล
กฎหมายด้านเทคโนโลยีสารสนเทศของไทย

• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ (มาตรา 7)
• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้
วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้
(มาตรา 9)
• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่
กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
• คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน
การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ
รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล
อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ.
• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนา
กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555
• กาหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล
อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน
ต้นฉบับได้
– เรื่อง หลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความให้
อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553
• กาหนดหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความที่ได้มี
การจัดทาหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
– เรื่อง แนวทางการจัดทาแนวนโยบาย (Certificate Policy) และแนว
ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก
ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552
• ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate)
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553
• กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน
บุคคลของหน่วยงานของรัฐ พ.ศ. 2553
• กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ

• พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชาระเงินทาง
อิเล็กทรอนิกส์ พ.ศ. 2551
• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครอง
สาหรับผู้ประกอบธุรกิจให้บริการการชาระเงินทางอิเล็กทรอนิกส์
พ.ศ. 2554
• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจ
บริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552
• ประกาศ ธปท. ที่เกี่ยวข้อง

• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การ
ประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบ
ปลอดภัย พ.ศ. 2555
• หลักเกณฑ์การประเมินเพื่อกาหนดระดับวิธีการแบบปลอดภัยขั้นต่า
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ
สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555
• กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ

สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทา
ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ
2 ฉบับ)
ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ
จัดทาหรือแปลงเอกสารและข้อความให้อยู่
ในรูปของข้อมูลอิเล็กทรอนิกส์
หน่วยงานของรัฐ
• พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
รักษาความมั่นคงปลอดภัยด้านสารสนเทศของ
หน่วยงานของรัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ

• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
• สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สานักงาน
ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
• สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ
สพธอ.
– Electronic Transactions Development Agency (Public
Organization) - ETDA
หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
– “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบปลอดภัยที่
กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
– จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ
ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน)
หรือจาแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น
โครงสร้างพื้นฐานสาคัญของประเทศ หรือ Critical Infrastructure)
“วิธีการแบบปลอดภัย”

ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชาระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภัย
• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ
ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล
สาธารณะ
• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่
ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา
วิธีการแบบปลอดภัยในระดับเคร่งครัด

ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน
ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย
(ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน
– ต่า: ≤ 1 ล้านบาท
– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท
– สูง: > 100 ล้านบาท
ระดับผลกระทบกับวิธีการแบบปลอดภัย

สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ
ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อ
ชีวิต ร่างกาย หรืออนามัย
– ต่า: ไม่มี
– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน

สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ
ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความ
เสียหายอื่นใด
– ต่า: ≤ 10,000 คน
– ปานกลาง: 10,000 < จานวนผู้ได้รับผลกระทบ ≤ 100,000 คน
– สูง: > 100,000 คน
• ผลกระทบด้านความมั่นคงของรัฐ
– ต่า: ไม่มีผลกระทบต่อความมั่นคงของรัฐ
– สูง: มีผลกระทบต่อความมั่นคงของรัฐ

• พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
• พิจารณาตามระดับผลกระทบ
– ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย
ระดับเคร่งครัด
– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง
– นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน
สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย

• อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -
Security techniques - Information security management
systems - Requirements
• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19
ธ.ค. 2555) คือ 14 ธ.ค. 2556
• ไม่มีบทกาหนดโทษ เป็นเพียงมาตรฐานสาหรับ “วิธีการที่เชื่อถือได้” ใน
การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง
อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้าหนักการนาข้อมูล
อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ
ดาเนินการทางกฎหมาย
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่
รายชื่อหน่วยงานที่มีการจัดทานโยบายและแนวปฏิบัติโดยสอดคล้องกับ
วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้
ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย

• แบ่งเป็น 11 หมวด (Domains)
– Security policy
– Organization of information security
– Asset management
– Human resources security
– Physical and environmental security
– Communications and operations management
– Access control
– Information systems acquisition, development and
maintenance
– Information security incident management
– Business continuity management
– Regulatory compliance
มาตรฐาน Security ตามวิธีการแบบปลอดภัย

มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพื้นฐาน ระดับกลาง
(เพิ่มเติมจากระดับพื้นฐาน)
ระดับสูง
(เพิ่มเติมจากระดับกลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ 6 ข้อ 8 ข้อ
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• มีการกาหนดนโยบาย และแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศที่
ชัดเจน ครอบคลุมนโยบายด้านความครบถ้วนถูกต้องของข้อมูล ความ
ปลอดภัยของระบบ การรักษาความลับของผู้ป่วย การเก็บสารสนเทศ
ต่างๆ ระยะเวลาในการเก็บข้อมูลผู้ป่วย ข้อมูลดิบและสารสนเทศ การ
ทาลายข้อมูลดิบและสารสนเทศด้วยความเหมาะสม และนโยบายกากับ
ดูแล ติดตามการดาเนินงานด้านเทคโนโลยีสารสนเทศ
• มีการสื่อสารนโยบายด้านเทคโนโลยีสารสนเทศของโรงพยาบาลให้
ผู้เกี่ยวข้องรับทราบและดาเนินการในแนวเดียวกัน
TMI HITQIF v1.1: Structure & Role

• ระดับ 0 ยังไม่มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศ
ของโรงพยาบาล
• ระดับ 1 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล แต่ไม่ครบทุกด้านที่สาคัญ (1. ความครบถ้วนถูกต้องของ
ข้อมูล 2. ความปลอดภัยของระบบ 3. การรักษาความลับผู้ป่วย 4. การ
เก็บสารสนเทศ ระยะเวลาในการเก็บข้อมูล การทาลายข้อมูล 5. การ
กากับดูแล ติดตามการดาเนินงานด้านเทคโนโลยีสารสนเทศ)

โรงพยาบาล ครบทุกด้านที่สาคัญ
โรงพยาบาล ครบทุกด้านที่สาคัญ แต่ไม่มีการสื่อสารให้ผู้เกี่ยวข้อง
รับทราบ และดาเนินการแนวเดียวกัน
โรงพยาบาล ครบทุกด้านที่สาคัญ มีการสื่อสารให้ผู้เกี่ยวข้องรับทราบ
และดาเนินการแนวเดียวกัน

❑Policy & Guidelines/Work Instructions on
o Data completeness & integrity
o System security
o Patient information privacy & confidentiality
protections
o Secure data storage, retention & destruction
o Monitoring, evaluation & enforcement
❑Communication of Policy & Guidelines
IT Security & Privacy Policy Checklist

▪ Project failures
▪ Waste investments
▪ Security breaches
▪ System crashes
▪ Failures by service providers to understand and
meet customer requirements
▪ System errors or bugs
Examples of IT Risks

Risk Strategies
• Accept/ignore
• Avoid completely
• Reduce risk
likelihood or
impact
• Transfer risk to
someone else (e.g.
insurance)
Marchewka (2006)
Risk = f(likelihood x impact)
Risk Management

มีการกาหนดนโยบาย และแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศที่
ชัดเจน ครอบคลุมนโยบายด้านความครบถ้วนถูกต้องของข้อมูล ความ
ปลอดภัยของระบบ การรักษาความลับของผู้ป่วย การเก็บสารสนเทศต่างๆ
ระยะเวลาในการเก็บข้อมูลผู้ป่วย ข้อมูลดิบและสารสนเทศ การทาลาย
ข้อมูลดิบและสารสนเทศด้วยความเหมาะสม และนโยบายกากับดูแล
ติดตามการดาเนินงานด้านเทคโนโลยีสารสนเทศ
มีการสื่อสารนโยบายด้านเทคโนโลยีสารสนเทศของโรงพยาบาลให้
ผู้เกี่ยวข้องรับทราบและดาเนินการในแนวเดียวกัน
TMI HITQIF v1.2: Structure and Role

1.5 มีการกาหนดมาตรฐ้านด้านเทคโนโลยีสารสนเทศต่างๆที่จาเป็น
สอดคล้องกับมาตรฐานของประเทศหรือมาตรฐานสากล ได้แก่
มาตรฐานข้อมูล มาตรฐานรหัสข้อมูล (ซึ่งรวมถึง รหัสโรค รหัส
ผ่าตัด สัญลักษณ์ ตัวย่อ คาจากัดความ) มาตรฐานการปฏิบัติงาน
มาตรฐานด้านความปลอดภัยและความลับผู้ป่วย มาตรฐานระบบ
เครือข่ายคอมพิวเตอร์ มาตรฐานทางกายภาพและสภาพแวดล้อม
TMI HITQIF v1.2: Structure and Role

2.1 จัดให้มี Data center
• Data center ของโรงพยาบาล ได้แก่ที่ตั้งของ servers และอุปกรณ์ที่
เกี่ยวข้อง เช่น ระบบสารองข้อมูล อุปกรณ์สารอง redundant system
ระบบรักษาความปลอดภัย เป็นต้น data center นี้ต้องมีการจัดการ
อย่างเหมาะสม เพื่อให้แน่ใจว่า จะสามารถใช้งานระบบได้อย่างปลอดภัย
ปราศจากการหยุด หรือสะดุดของระบบ ซึ่งต้องคานึงถึงสิ่งต่อไปนี้
1) ห้อง สถานที่ และสิ่งแวดล้อม ต้องจัดให้มีความปลอดภัย เช่น มี
การปรับอากาศที่ดี รักษาความปลอดภัยจากบุคคลภายนอก การ
ป้องกันอัคคีภัย (รวมถึงระบบตรวจจับควันและระบบเตือนภัย
เครื่องดับเพลิง และระบบดับเพลิงอัตโนมัติ)
TMI HITQIF v1.2: Technology

2.1 จัดให้มี Data center
2) มีระบบป้องกันการเสียหายของข้อมูลและระบบ (data integrity
and fault tolerance) ซึ่งรวมถึง UPS และระบบไฟฟ้าสารอง,
ระบบ RAID, redundant power supply และ redundant
servers
3) มีระบบสารองข้อมูล ทั้งภายใน และภายนอก data center
4) มีการจัดการ network ที่เหมาะสม

2.3 จัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
• ความเป็นส่วนตัวของผู้ป่วยเป็นสิ่งสาคัญ ซึ่งเป็นความเสี่ยงอย่างหนึ่งจาก
การใช้เทคโนโลยี จาเป็นต้องจัดการให้มีระบบที่ป้องกันผู้ไม่ได้รับอนุญาต
เข้าถึงข้อมูลของผู้ป่วย ดังนี้
1) ระบบมีบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน (username and
password) และกลไกการยืนยันตัวบุคคล
2) สร้างระบบการเข้าถึงข้อมูลผู้ป่วยให้รัดกุม (ใคร สามารถเข้าถึง
ข้อมูลส่วนไหน ด้วยวิธีใด เป็นต้น)

2.3 จัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
3) สามารถระบุตัวบุคคลผู้เข้าถึงข้อมูล ผู้นาข้อมูลผู้รับบริการเข้าสู่
ระบบ ผู้ที่แก้ไขข้อมูล และวันเวลาที่เข้าถึงหรือนาข้อมูล
ผู้รับบริการเข้าสู่ระบบหรือแก้ไขข้อมูลได้ มีเทคโนโลยีด้านความ
มั่นคงของระบบเช่น firewall ระบบป้องกันไวรัสและโทรจัน การ
แยกระบบ Internet และระบบงานโรงพยาบาล การจัด private
network เป็นต้น

3.1 มีบุคลากรด้านเทคโนโลยีสารสนเทศที่เพียงพอ โดยมีการกาหนด
สมรรถนะที่จาเป็นของแต่ละตาแหน่งอย่างเหมาะสม อันได้แก่
1) Chief Information officer (CIO)...
2) หัวหน้าหน่วยงานเทคโนโลยีสารสนเทศ (Head of IT unit)...
3) บุคลากรอื่นๆ...
...
II. IT security personnel ผู้ดูแลความมั่นคงปลอดภัยของระบบเทคโนโลยี
สารสนเทศ
...
TMI HITQIF v1.2: People

3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ ผู้ใช้งานระบบ
เทคโนโลยีสารสนเทศสามารถใช้งานได้อย่างถูกต้อง และเป็นไป
ตามบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ทั้ง
ด้านความถูกต้องครบถ้วนของข้อมูล การรักษาความลับของผู้ป่วย
และความปลอดภัยของระบบเทคโนโลยีสารสนเทศ การพัฒนานี้
รวมถึงผู้บริหารระดับสูงและผู้เกี่ยวข้องได้รับการพัฒนาให้เข้าใจ
เกี่ยวกับหลักการจัดการสารสนเทศ (Principles of Information
Management) ที่จาเป็นด้วย โดยมุ่งเน้นให้เกิดวัฒนธรรมการใช้
งานสารสนเทศที่ดี

อัตรากาลังของหน่วยงานเทคโนโลยีสารสนเทศโรงพยาบาลนั้น อาจ
มีความยืดหยุ่นได้ เช่นงานบางอย่างด้านเทคโนโลยีสารสนเทศอาจ
จัดจ้างบุคคลภายนอกดูแล แต่ต้องมีการจัดการที่แน่ใจได้ว่าจะ
สามารถดาเนินการด้านเทคโนโลยีสารสนเทศได้อย่างราบรื่น
ปลอดภัย รวมทั้งจะไม่กระทบต่อภารกิจหลักของโรงพยาบาล และ
ไม่กระทบต่อความลับของผู้ป่วย

4.4 มีการออกแบบระบบคงทนต่อความผิดพลาด (fault
tolerance) มีการบารุงรักษาอย่างสม่าเสมอ มีการจัดการเพื่อให้
ระบบเทคโนโลยีสารสนเทศดาเนินงานได้อย่างต่อเนื่อง
(Availability Management) และสามารถกู้คืนระบบได้แม้จะมี
เหตุการณ์ไม่คาดฝันเกิดขึ้น (IT Service Continuity
Management) โดยมีการวิเคราะห์และจัดทาแผนสารองฉุกเฉิน
(Business Continuity Plan) และแผนกู้คืนระบบ (Disaster
Recovery Plan) รวมทั้งมีการทบทวนและซักซ้อนแผนอย่าง
สม่าเสมอ
TMI HITQIF v1.2: Process

4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสาคัญได้รับการบันทึก และจัดเก็บ
ในระบบ อย่างถูกต้องและครบถ้วน ประกอบไปด้วย
1) การบันทึก อาการสาคัญ ประวัติ ผลการตรวจร่างกาย และคาวินิจฉัยโรค ใน
บัตรผู้ป่วยนอก และ/หรือ เวชระเบียนอิเล็กทรอนิกส์ โดยต้องไม่จัดเก็บรหัส
ICD แทนคาวินิจฉัยโรค
2) บันทึกประวัติตรวจร่างกายแรกรับ บันทึกความก้าวหน้า และการสรุปเวช
ระเบียนเมื่อสิ้นสุดการรักษา (Discharge Summary) ในแฟ้มผู้ป่วยใน
3) รายงานการผ่าตัด ในผู้ป่วยทุกรายที่ได้รับการผ่าตัด
4) การให้รหัส ICD ทั้งรหัสกลุ่มโรค และรหัสการผ่าตัด
5) การบันทึกเวชระเบียนให้สอดคล้องกับมาตรฐานข้อมูลทางการแพทย์อื่นๆ
TMI HITQIF v1.2: Process

การมีระบบการควบคุมการดาเนินงานด้านเทคโนโลยีสารสนเทศ
จะทาให้แน่ใจได้ว่าการดาเนินงานจะเป็นไปตามระบบ และ
แผนงานที่วางไว้ การควบคุมด้านเทคโนโลยีสารสนเทศถือเป็นส่วน
หนึ่งของการควบคุมภายในของหน่วยงาน ซึ่งประกอบด้วยกลไกที่
สาคัญดังนี้
TMI HITQIF v1.2: Control

5.1 มีระบบควบคุมทั่วไป (General control) เพื่อให้แน่ใจว่า
ระบบสารสนเทศจะสามารถใช้งานได้อย่างถูกต้อง ปลอดภัย การ
ควบคุมทั่วไปได้แก่ การควบคุมในกรณีต่อไปนี้
1) สร้างวัฒนธรรมการใช้งานเทคโนโลยีสารสนเทศที่ปลอดภัย และ
สอดคล้องกับทิศทางขององค์การ
2) การจัดสร้าง/ต่อเติม software ให้เป็นไปอย่างมีประสิทธิภาพ
รวมทั้งกากับดูแล source code/version ของ software

3) ระบบควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
(Information Security Management) มีกระบวนการควบคุมที่
ทาให้แน่ใจได้ว่า ระบบและข้อมูลได้รับการปกป้องจากการเข้าถึง
หรือโจมตีโดยผู้ไม่ประสงค์ดี การใช้งานที่ไม่ถูกต้องหรือไม่ได้รับ
อนุญาต ประกอบไปด้วย
3.1) ความปลอดภัยด้านกายภาพ เช่น มาตรการการเข้าออก data
center
3.2) ด้าน software และการใช้งาน เช่น การเลือกใช้ database

3.3) การควบคุมการเข้าถึง (Access Control) การจัดการการเข้าถึงของ
ผู้ใช้งาน (User access management) รวมถึงการทาบัญชีรายชื่อผู้ใช้งาน
การกาหนดสิทธิผู้ใช้งาน การรักษาความลับรหัสผ่านของผู้ใช้แต่ละบุคคล
รวมถึงยืนยันตัวบุคคล (Authentication)
3.4) การควบคุมให้เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถเข้าถึงข้อมูล
(Business requirements of access control)
3.5) การกาหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User
responsibilities)
3.6) การควบคุมการเข้าถึงระบบ (System and application access
control)

3.7) การบันทึกข้อมูลล็อกและการเฝ้าระวัง (Logging and Monitoring)
3.8) การบริหารจัดการช่องโหว่ทางเทคนิค (Technical Vulnerability
Management)
3.9) ด้านเครือข่าย เช่น การเชื่อมโยง Internet การป้องกันการบุกรุก
เครือข่าย
3.10) การบารุงรักษาระบบโดยบุคคลภายนอก มีมาตรการควบคุม
3.11) การป้องกันไวรัสในระบบคอมพิวเตอร์ และเครื่องมือแพทย์
(Protection from Malware)
3.12) การใช้ Social Media ในการสื่อสารข้อมูลผู้ป่วย

4) ด้าน hardware/software เมื่อมีการเปลี่ยนแปลงระบบงานเกิดขึ้นเช่น
การลงระบบงาน การติดตั้งโปรแกรมครั้งใหม่ ตั้งค่า ระบบ(configuration)
การเพิ่มหน่วยความจาในเครื่องคอมพิวเตอร์ เป็นต้น
5.2 มีระบบควบคุมด้วย application (Application control) เพื่อให้แน่ใจ
ว่า ข้อมูลสารสนเทศที่มีอยู่ในระบบเป็นข้อมูลที่ถูกต้อง ครบถ้วน เชื่อถือได้
ทันเวลา โดยมีระบบควบคุมตรวจสอบดังนี้
...
5) การระบุตัวผู้เข้าใช้ระบบ และควบคุมให้ผู้มีสิทธิเท่านั้นที่เข้าใช้งานระบบ
ได้ตามสิทธิ มีการบันทึกข้อมูลการเข้าใช้งาน

5.3 มีระบบบริหารความเสี่ยงเทคโนโลยีสารสนเทศ (IT risk
management) ในด้านต่างๆ ดังนี้
1) ความเสี่ยงต่อความมั่นคงปลอดภัยของทรัพยากรในระบบเทคโนโลยี
สารสนเทศ (hardware software network data)
2) ความเสี่ยงที่ระบบเทคโนโลยีสารสนเทศอาจทาให้เกิดความบกพร่องใน
การดูแลรักษาผู้ป่วย
3) ความเสี่ยงต่อความเป็นส่วนตัวของข้อมูลผู้ป่วย
4) ความเสี่ยงในการบริหารโครงการเทคโนโลยีสารสนเทศ (IT Project
Management Failure)

การกาหนดตัวชี้วัด และวัดผลที่สามารถใช้ในการติดตามเฝ้าระวังและ
ตรวจสอบการดาเนินงานด้านเทคโนโลยีสารสนเทศของโรงพยาบาล ว่า
เป็นไปอย่างถูกต้องเหมาะสมและบรรลวัตถุประสงค์ การวัดและประเมินผล
ควรกระทาในทุกๆหมวดของกรอบการพัฒนา เพื่อลดการใช้ความเห็นของ
บุคคลในการตัดสินใจ การวัดที่สาคัญ ได้แก่
6.1 วัดและติดตาม กระบวนการทางานด้านเทคโนโลยีสารสนเทศ เช่น
จานวนครั้งและระยะเวลาที่ต้องหยุดให้บริการ (down time), ระยะเวลาใน
การแก้ไขอุบัติการณ์ต่างๆ, ค่าใช้จ่ายในการบารุงรักษาระบบ
6.2 วัดและติดตามความเสี่ยง การควบคุมภายใน ด้านความมั่นคงและความ
ปลอดภัยของระบบเทคโนโลยีสารสนเทศ
TMI HITQIF v1.2: Metrics

6.3 วัดและติดตามความถูกต้อง ครบถ้วน เชื่อถือได้ ทันเวลาของข้อมูล
6.4 ตรวจสอบการปฏิบัติตามนโยบายและระเบียบปฏิบัติ
6.5 ประเมินและวัดผลการดาเนินการตามแผนแม่บทเทคโนโลยีสารสนเทศ
การพัฒนาสมรรถนะบุคลากร การพัฒนาความสามารถของระบบ
TMI HITQIF v1.2: Metrics

พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์
พ.ศ. 2562

• หมวด 1 คณะกรรมการ
– ส่วนที่ 1 คณะกรรมการรักษาความ
มั่นคงปลอดภัยไซเบอร์แห่งชาติ
– ส่วนที่ 2 คณะกรรมการกากับดูแล
ด้านความมั่นคงปลอดภัยไซเบอร์
• หมวด 2 สานักงานคณะกรรมการ
การรักษาความมั่นคงปลอดภัยไซ
เบอร์แห่งชาติ
• หมวด 3 การรักษาความมั่นคง
ปลอดภัยไซเบอร์
– ส่วนที่ 1 นโยบายและแผน
– ส่วนที่ 2 การบริหารจัดการ
– ส่วนที่ 3 โครงสร้างพื้นฐานสาคัญทาง
– ส่วนที่ 4 การรับมือกับภัยคุกคามทาง
ไซเบอร์
• หมวด 4 บทกาหนดโทษ
• บทเฉพาะกาล
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

• วันใช้บังคับ ตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป (มาตรา 2)
• บทนิยาม (มาตรา 3)
– “การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการดาเนินการที่กาหนด
ขึ้นเพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ทั้งจากภายในและภายนอก
ประเทศอันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และ
ความสงบเรียบร้อยภายในประเทศ
– “ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทาหรือการดาเนินการใด ๆ โดยมิชอบโดยใช้
คอมพิวเตอร์หรือระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการ
ประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็น
ภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทางานของ
คอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง

– “เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” (cyber incident) หมายความว่า
เหตุการณ์ที่เกิดจากการกระทาหรือการดาเนินการใด ๆ ที่มิชอบซึ่งกระทาการผ่านทาง
คอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบต่อการรักษาความ
มั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์
ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์
– “มาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์” (cyber solution) หมายความ
ว่า การแก้ไขปัญหาความมั่นคงปลอดภัยไซเบอร์โดยใช้บุคลากร กระบวนการ และเทคโนโลยี
โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ หรือบริการที่เกี่ยวกับ
คอมพิวเตอร์ใด ๆ เพื่อสร้างความมั่นใจและเสริมสร้างความมั่นคงปลอดภัยไซเบอร์ของ
คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบ
คอมพิวเตอร์

– “โครงสร้างพื้นฐานสาคัญทางสารสนเทศ” (Critical Information Infrastructure: CII)
หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชนใช้
ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัยสาธารณะ
ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ
– “หน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือ
หน่วยงานเอกชน ซึ่งมีภารกิจหรือให้บริการโครงสร้างพื้นฐานสาคัญทางสารสนเทศ
– “หน่วยงานควบคุมหรือกากับดูแล” (Regulator) หมายความว่า หน่วยงานของรัฐ หน่วยงาน
เอกชน หรือบุคคลซึ่งมีกฎหมายกาหนดให้มีหน้าที่และอานาจในการควบคุมหรือกากับดูแลการ
ดาเนินกิจการของหน่วยงานของรัฐหรือหน่วยงานโครงสร้างพื้นฐานสาคัญทางสารสนเทศ

• องค์ประกอบของคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
(กมช.) (National Cyber Security Committee: NCSC) (มาตรา 5)
– นายกรัฐมนตรี เป็นประธานกรรมการ
– กรรมการโดยตาแหน่ง ได้แก่ รมว.กลาโหม รมว.ดศ. ปลัด กค. ปลัด ยธ. ผบ.ตร. และ
เลขาธิการ สมช.
– กรรมการผู้ทรงคุณวุฒิ ไม่เกิน 7 คน ซึ่งคณะรัฐมนตรีแต่งตั้งจากผู้มีความรู้ ความเชี่ยวชาญ
และประสบการณ์เป็นที่ประจักษ์ในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้าน
เทคโนโลยีสารสนเทศและการสื่อสาร ด้านการคุ้มครองข้อมูลส่วนบุคคล ด้านวิทยาศาสตร์
ด้านวิศวกรรมศาสตร์ ด้านกฎหมาย ด้านการเงิน หรือด้านอื่นที่เกี่ยวข้อง และเป็น
ประโยชน์ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์
– เลขาธิการเป็นกรรมการและเลขานุการ, แต่งตั้งผู้ช่วยเลขานุการได้ไม่เกิน 2 คน

• หน้าที่และอานาจของคณะกรรมการ กมช. (NCSC) (มาตรา 9)
(1) เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่งเสริมและ
สนับสนุนการดาเนินการรักษาความมั่นคงปลอดภัยไซเบอร์ตามมาตรา 42 และ 43 ต่อ
คณะรัฐมนตรีเพื่อให้ความเห็นชอบ...
(2) กาหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์สาหรับ
หน่วยงานของรัฐ และหน่วยงาน CII
(3) จัดทาแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์เสนอต่อคณะรัฐมนตรี
สาหรับเป็นแผนแม่บทในสถานการณ์ปกติและในสถานการณ์ที่อาจจะเกิดหรือเกิดภัยคุกคาม
ทางไซเบอร์...
(4) กาหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการเกี่ยวกับการรักษาความ
มั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐาน และกาหนดมาตรฐานขั้นต่าที่เกี่ยวข้อง...รวมถึง
ส่งเสริมการรับรองมาตรฐานให้กับ CII และหน่วยงานอื่น

• หน้าที่และอานาจของคณะกรรมการ กมช. (NCSC) (มาตรา 9)
(5) กาหนดมาตรการและแนวทางในการยกระดับทักษะความรู้และความเชี่ยวชาญในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
ของพนักงานเจ้าหน้าที่ เจ้าหน้าที่ของหน่วยงาน CII ฯลฯ
(6) กาหนดกรอบการประสานความร่วมมือกับหน่วยงานอื่นทั้งในและต่างประเทศ
(7) แต่งตั้งและถอดถอนเลขาธิการ
(8) มอบหมายการควบคุมและกากับดูแล รวมถึงการออกข้อกาหนด วัตถุประสงค์ หน้าที่และอานาจ และกรอบการดาเนินการด้าน
การรักษาความมั่นคงปลอดภัยไซเบอร์ ให้หน่วยงานควบคุมหรือกากับดูแล หน่วยงานของรัฐ หรือหน่วยงาน CII
(9) ติดตามและประเมินผลการปฏิบัติตามนโยบายและแผน แผนปฏิบัติการ ฯลฯ
(10) เสนอแนะและให้ความเห็นต่อคณะกรรมการดิจิทัลเพื่อเศรษฐกิจและสังคมแห่งชาติหรือคณะรัฐมนตรี เกี่ยวกับการรักษาความ
มั่นคงปลอดภัยไซเบอร์
(11) เสนอแนะต่อคณะรัฐมนตรีในการจัดให้มีหรือปรับปรุงกฎหมายที่เกี่ยวข้อง
(12) จัดทารายงานสรุปผลการดาเนินงานที่มีผลกระทบอย่างมีนัยสาคัญหรือแนวทางการพัฒนามาตรฐานการรักษาความมั่นคง
ปลอดภัยไซเบอร์ให้คณะรัฐมนตรีทราบ
(13) ปฏิบัติการอื่นใดตามที่บัญญัติไว้ใน พ.ร.บ. นี้ หรือคณะรัฐมนตรีมอบหมาย

• องค์ประกอบของคณะกรรมการกากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์
(กกม.) (มาตรา 12)
– รมว.ดศ. เป็นประธานกรรมการ
– กรรมการโดยตาแหน่ง ได้แก่ ปลัด กต. ปลัด คค. ปลัด ดศ. ปลัด พน. ปลัด มท. ปลัด สธ.
ผบ.ตร. ผบ.สส. เลขาธิการ สมช. ผอ.สานักข่าวกรองแห่งชาติ ผู้ว่าการ ธปท. เลขาธิการ
สานักงาน กลต. และเลขาธิการ กสทช.
– กรรมการผู้ทรงคุณวุฒิ ไม่เกิน 4 คน ซึ่งคณะกรรมการแต่งตั้งจากผู้มีความรู้ ความ
เชี่ยวชาญ และประสบการณ์เป็นที่ประจักษ์และเป็นประโยชน์ต่อการรักษาความมั่นคง
ปลอดภัยไซเบอร์
– เลขาธิการเป็นกรรมการและเลขานุการ, แต่งตั้งผู้ช่วยเลขานุการได้ไม่เกิน 2 คน

• หน้าที่และอานาจของคณะกรรมการ กกม. (มาตรา 13)
(1) ติดตามการดาเนินการตามนโยบายและแผนตามมาตรา 9 (1) และมาตรา 42
(2) ดูแลและดาเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรงตามมาตรา 61-66
(3) กากับดูแลการดาเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ
และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์
(4) กาหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อันเป็น
ข้อกาหนดขั้นต่าสาหรับหน่วยงานของรัฐและหน่วยงาน CII รวมทั้งกาหนดมาตรการในการประเมินความ
เสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์...
(5) กาหนดหน้าที่ของหน่วยงาน CII และหน้าที่ของหน่วยงานควบคุมหรือกากับดูแล โดยอย่างน้อยต้อง
กาหนดหน้าที่ให้กาหนดมาตรฐานที่เหมาะสมเพื่อรับมือกับภัยคุกคามของแต่ละหน่วยงาน CII และหน่วยงาน
ของรัฐ
(6) กาหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการ...
(7) วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอต่อคณะกรรมการ
พิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมีภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้น

การระบุความเสี่ยง
ที่อาจจะเกิดขึ้น
มาตรการป้องกัน
ความเสี่ยง
มาตรการตรวจสอบ
และเฝ้าระวังภัย
คุกคาม
มาตรการเผชิญเหตุ
เมื่อตรวจพบ
มาตรการรักษาและ
ฟื้นฟูความเสียหาย
กรอบมาตรฐานตามมาตรา 13 (4) ให้คานึงถึงหลักการบริหารความเสี่ยง
โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้

• การรับมือกับภัยคุกคามทางไซเบอร์ให้ได้ทันท่วงทีของ กกม. (มาตรา 14)
– ในการดาเนินการตามมาตรา 13 วรรคหนึ่ง (2) เพื่อรับมือกับภัยคุกคามทางไซเบอร์ได้
ทันท่วงที กกม. อาจมอบอานาจให้ รมว.ดศ. ผบ.สส. และกรรมการอื่นซึ่ง กกม.กาหนด
ร่วมกันปฏิบัติการในเรื่องดังกล่าวได้ และจะกาหนดให้หน่วยงานควบคุมหรือกากับดูแล
และหน่วยงาน CII ที่ถูกคุกคามเข้าร่วมดาเนินการ ประสานงาน และให้การสนับสนุนด้วยก็
ได้

• การจัดทานโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ (มาตรา 43)
– ให้คณะกรรมการจัดทานโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ขึ้น
...และเมื่อได้ประกาศแล้ว ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และ
หน่วยงาน CII ตามที่กาหนดไว้ในแผน ดาเนินการให้เป็นไปตามนโยบายและแผนดังกล่าว...
• ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงาน CII จัดทาประมวล
แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละ
หน่วยงานให้สอดคล้องกับนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
โดยเร็ว ซึ่งอย่างน้อยต้องประกอบด้วย (1) แผนการตรวจสอบและประเมินความเสี่ยงโดย
ผู้ตรวจประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีละ 1 ครั้ง
(2) แผนการรับมือภัยคุกคามทางไซเบอร์ (มาตรา 44)

• การบริหารจัดการในการรักษาความมั่นคงปลอดภัยไซเบอร์ (มาตรา 45)
– หน่วยงานของรัฐ หน่วยงานควบคุมหรือกากับดูแล และหน่วยงาน CII มีหน้าที่ป้องกัน
รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามประมวลแนวทางปฏิบัติและกรอบ
มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงาน และจะต้อง
ดาเนินการให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานตามมาตรา 13 วรรค
หนึ่ง (4) ด้วย
– ในกรณีที่ไม่อาจดาเนินการหรือปฏิบัติตามวรรคหนึ่งได้ สานักงานอาจให้ความช่วยเหลือ
ด้านบุคลากรหรือเทคโนโลยีแก่หน่วยงานนั้นตามที่ร้องขอได้

IT Security & Risk Management (September 23, 2020)

IT Security & Risk Management (September 23, 2020)

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to IT Security & Risk Management (September 23, 2020)

Similar to IT Security & Risk Management (September 23, 2020) (20)

More from Nawanan Theera-Ampornpunt

More from Nawanan Theera-Ampornpunt (20)

IT Security & Risk Management (September 23, 2020)