Presented at the Thai Medical Informatics Association's Young IT Doctors Training Program on June 12, 2017

1. การกาหนดนโยบายและระเบียบปฏิบัติ การประเมิน
และควบคุมความเสี่ยง การจัดการความมั่นคงในระบบ
เทคโนโลยีสารสนเทศโรงพยาบาลขั้นต้น
นพ.นวนรรน ธีระอัมพรพันธุ์
12 มิถุนายน 2560
SlideShare.net/Nawanan

2. 2003 M.D. (First-Class Honors) (Ramathibodi)
2009 M.S. in Health Informatics (U of MN)
2011 Ph.D. in Health Informatics (U of MN)
• Faculty of Medicine Ramathibodi Hospital
Mahidol University
o Assistant Dean for Policy & Informatics
o Lecturer, Department of Community Medicine
• Member, TMI Executive Board
nawanan.the@mahidol.ac.th
SlideShare.net/Nawanan
Facebook.com/NawananT
Line ID: NawananT
Introduction

3. TMI HITQIF v1.1

4. • TMI HITQIF Framework
• IT Governance
• Strategic Planning & IT Master Plan
• Structure, Roles, Team Development &
Roadmap to IT Quality
• IT Policy, Regulation, Risk & Security
Management
• Service Level Management, IT Service Desk &
Data Center Management
• Data Management
• IT Process, Metrics & Control
• Continuous & Sustainable IT Quality
Improvement
Overall Topics of HITQIF Course

5. Policy
Planning
Implement
ation
Monitoring
&
Evaluation
Enforce
ment
Big Picture of IT Risk & Security
Management

6. • Overview of IT Security & Privacy
• IT Security & Privacy Policy
• IT Security Management
• IT Risk Management
Outline

7. Overview of IT Security
& Privacy

8. Malware
Threats to Information Security

9. ภัย Security กับเมืองไทย
(Top) http://deadline.com/2014/12/sony-hack-timeline-any-pascal-the-interview-north-korea-1201325501/
(Bottom) http://www.bloomberg.com/news/articles/2014-12-07/sony-s-darkseoul-breach-stretched-from-thai-hotel-
to-hollywood

10. ภัย Security กับเมืองไทย
https://www.it24hrs.com/2016/anonymous-hack-id-cards-ministry-of-foreign-affairs-tica/

11. ภัย Security กับเมืองไทย

12. ภัย Security กับเมืองไทย

13. Sources of the Threats
 Hackers
 Viruses & Malware
 Poorly-designed systems
 Insiders (Employees)
 People’s ignorance & lack of knowledge
 Disasters & other incidents affecting information
systems

14.  Information risks
 Unauthorized access & disclosure of confidential information
 Unauthorized addition, deletion, or modification of information
 Operational risks
 System not functional (Denial of Service - DoS)
 System wrongly operated
 Personal risks
 Identity thefts
 Financial losses
 Disclosure of information that may affect employment or other
personal aspects (e.g. health information)
 Physical/psychological harms
 Organizational risks
 Financial losses
 Damage to reputation & trust
 Etc.
Consequences of Security Attacks

15.  Privacy: “The ability of an individual or group to
seclude themselves or information about
themselves and thereby reveal themselves
selectively.” (Wikipedia)
 Security: “The degree of protection to safeguard
... person against danger, damage, loss, and
crime.” (Wikipedia)
 Information Security: “Protecting information
and information systems from unauthorized
access, use, disclosure, disruption,
modification, perusal, inspection, recording or
destruction” (Wikipedia)
Privacy & Security

16. Confidentiality
• การรักษาความลับของข้อมูล
Integrity
• การรักษาความครบถ้วนและความ
ถูกต้องของข้อมูล
• ปราศจากการเปลี่ยนแปลงแก้ไข ทา
ให้สูญหาย ทาให้เสียหาย หรือถูก
ทาลายโดยมิชอบ
Availability
• การรักษาสภาพพร้อมใช้งาน
หลักการของ Information Security

17. Examples of Confidentiality Risks
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

18. Examples of Integrity Risks
http://www.wired.com/threatlevel/2010/03/source-code-hacks/
http://en.wikipedia.org/wiki/Operation_Aurora
“Operation Aurora”
Alleged Targets: Google, Adobe, Juniper Networks,
Yahoo!, Symantec, Northrop Grumman, Morgan Stanley,
Dow Chemical
Goal: To gain access to and potentially modify source
code repositories at high tech, security & defense
contractor companies

19. Examples of Integrity Risks
http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml
Web Defacements

20. Examples of Availability Risks
http://en.wikipedia.org/wiki/Blaster_worm
Viruses/worms that led to instability &
system restart (e.g. Blaster worm)

21. Examples of Availability Risks
http://en.wikipedia.org/wiki/Ariane_5_Flight_501
Ariane 5 Flight 501 Rocket Launch Failure
Cause: Software bug on rocket acceleration due to data conversion
from a 64-bit floating point number to a 16-bit signed integer without
proper checks, leading to arithmatic overflow

22. Interesting Resources
 http://en.wikipedia.org/wiki/List_of_software_bugs
 http://en.wikipedia.org/wiki/Notable_computer_viruses_an
d_worms
 http://en.wikipedia.org/wiki/Hacktivism
 http://en.wikipedia.org/wiki/Website_defacement
 http://en.wikipedia.org/wiki/Hacker_(computer_security)
 http://en.wikipedia.org/wiki/List_of_hackers

23. Protecting Information
Privacy & Security

24. http://www.aclu.org/ordering-pizza
Privacy Protections: Why?

25. Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House

26. Privacy Case Studies
http://pantip.com/topic/35330409/

27. หลักจริยธรรมที่เกี่ยวกับ Privacy
• Autonomy (หลักเอกสิทธิ์/ความเป็นอิสระของผู้ป่วย)
• Beneficence (หลักการรักษาประโยชน์สูงสุดของผู้ป่วย)
• Non-maleficence (หลักการไม่ทาอันตรายต่อผู้ป่วย) “First,
Do No Harm.”

28. Hippocratic Oath
...
What I may see or hear in the course of
treatment or even outside of the treatment
in regard to the life of men, which on no
account one must spread abroad, I will
keep myself holding such things shameful
to be spoken about.
...
http://en.wikipedia.org/wiki/Hippocratic_Oath

29. กฎหมายที่เกี่ยวข้องกับ Privacy
• พรบ.สุขภาพแห่งชาติ พ.ศ. 2550
• มาตรา 7 ข้อมูลด้านสุขภาพของบุคคล เป็นความลับส่วน
บุคคล ผู้ใดจะนาไปเปิดเผยในประการที่น่าจะทาให้บุคคลนั้น
เสียหายไม่ได้ เว้นแต่การเปิดเผยนั้นเป็นไปตามความประสงค์
ของบุคคลนั้นโดยตรง หรือมีกฎหมายเฉพาะบัญญัติให้ต้อง
เปิดเผย แต่ไม่ว่าในกรณีใด ๆ ผู้ใดจะอาศัยอานาจหรือสิทธิ
ตามกฎหมายว่าด้วยข้อมูลข่าวสารของราชการหรือกฎหมาย
อื่นเพื่อขอเอกสารเกี่ยวกับข้อมูลด้านสุขภาพของบุคคลที่ไม่ใช่
ของตนไม่ได้

30. ประมวลกฎหมายอาญา
• มาตรา 323 ผู้ใดล่วงรู้หรือได้มาซึ่งความลับของผู้อื่นโดยเหตุที่เป็น
เจ้าพนักงานผู้มีหน้าที่ โดยเหตุที่ประกอบอาชีพเป็นแพทย์ เภสัชกร
คนจาหน่ายยา นางผดุงครรภ์ ผู้พยาบาล...หรือโดยเหตุที่เป็นผู้ช่วย
ในการประกอบอาชีพนั้น แล้วเปิดเผยความลับนั้นในประการที่
น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใด ต้องระวางโทษจาคุกไม่เกิน
หกเดือน หรือปรับไม่เกินหนึ่งพันบาท หรือทั้งจาทั้งปรับ
• ผู้รับการศึกษาอบรมในอาชีพดังกล่าวในวรรคแรก เปิดเผย
ความลับของผู้อื่น อันตนได้ล่วงรู้หรือได้มาในการศึกษาอบรมนั้น
ในประการที่น่าจะเกิดความเสียหายแก่ผู้หนึ่งผู้ใดต้องระวางโทษ
เช่นเดียวกัน

31. คาประกาศสิทธิและข้อพึงปฏิบัติของผู้ป่วย
7. ผู้ป่วยมีสิทธิได้รับการปกปิดข้อมูลของตนเอง เว้นแต่
ผู้ป่วยจะให้ความยินยอมหรือเป็นการปฏิบัติตามหน้าที่
ของผู้ประกอบวิชาชีพด้านสุขภาพเพื่อประโยชน์โดยตรง
ของผู้ป่วยหรือตามกฎหมาย

32.  Attack
 An attempt to breach system security
 Threat
 A scenario that can harm a system
 Vulnerability
 The “hole” that is used in the attack
Common Security Terms

33.  Identify some possible means an
attacker could use to conduct a
security attack
Class Exercise

34. Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory

35. Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory

36. Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacks
Eve/Mallory

37. Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory

38. Alice
Simplified Attack Scenarios
Server Bob
Other & newer forms of
attacks possible
Eve/Mallory

39. Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers

40. Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices

41. Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering

42. Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots

43. Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities

44. Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control

45. Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)

46. Privacy Safeguards
Image: http://www.nurseweek.com/news/images/privacy.jpg
 Security safeguards
 Informed consent
 Privacy culture
 User awareness building & education
 Organizational policy & regulations
 Enforcement
 Ongoing privacy & security assessments, monitoring,
and protection

47. User Security

48.  Access control
 Selective restriction of access to the system
 Role-based access control
 Access control based on the person’s role
(rather than identity)
 Audit trails
 Logs/records that provide evidence of
sequence of activities
User Security

49.  Identification
 Identifying who you are
 Usually done by user IDs or some other unique codes
 Authentication
 Confirming that you truly are who you identify
 Usually done by keys, PIN, passwords or biometrics
 Authorization
 Specifying/verifying how much you have access
 Determined based on system owner’s policy & system
configurations
 “Principle of Least Privilege”
User Security

50.  Nonrepudiation
 Proving integrity, origin, & performer of an
activity without the person’s ability to refute
his actions
 Most common form: signatures
 Electronic signatures offer varying degrees of
nonrepudiation
 PIN/password vs. biometrics
 Digital certificates (in public key infrastructure
- PKI) often used to ascertain nonrepudiation
User Security

51.  Multiple-Factor Authentication
 Two-Factor Authentication
 Use of multiple means (“factors”) for authentication
 Types of Authentication Factors
 Something you know
 Password, PIN, etc.
 Something you have
 Keys, cards, tokens, devices (e.g. mobile phones)
 Something you are
 Biometrics
User Security

52. Need for Strong Password Policy
So, two informaticians
walk into a bar...
The bouncer says,
"What's the password."
One says, "Password?"
The bouncer lets them
in.
Credits: @RossMartin & AMIA (2012)

53. Unknown Internet sources, via
http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,
via Facebook page “สอนแฮกเว็บแบบแมวๆ”
What’s the Password?

54. Written Password

55. Recommended Password Policy
 Length
 8 characters or more (to slow down brute-force attacks)
 Complexity (to slow down brute-force attacks)
 Consists of 3 of 4 categories of characters
 Uppercase letters
 Lowercase letters
 Numbers
 Symbols (except symbols that have special uses by the
system or that can be used to hack system, e.g. SQL
Injection)
 No meaning (“Dictionary Attacks”)
 Not simple patterns (12345678, 11111111) (to slow down brute-
force attacks & prevent dictionary attacks)
 Not easy to guess (birthday, family names, etc.) (to prevent
unknown & known persons from guessing)Personal opinion. No legal responsibility assumed.

56. Recommended Password Policy
 Expiration (to make brute-force attacks not possible)
 6-8 months
 Decreasing over time because of increasing computer’s
speed
 But be careful! Too short duration will force users to write
passwords down
 Secure password storage in database or system
(encrypted or store only password hashes)
 Secure password confirmation
 Secure “forget password” policy
 Different password for each account. Create variations
to help remember. If not possible, have different sets of
accounts for differing security needs (e.g., bank
accounts vs. social media sites) Personal opinion. No legal responsibility assumed.

57. Techniques to Remember Passwords
 http://www.wikihow.com/Create-a-Password-You-Can-
Remember
 Note that some of the techniques are less secure!
 One easy & secure way: password mnemonic
 Think of a full sentence that you can remember
 Ideally the sentence should have 8 or more words, with
numbers and symbols
 Use first character of each word as password
 Sentence: I love reading all 7 Harry Potter books!
 Password: Ilra7HPb!
 Voila!
Personal opinion. No legal responsibility assumed.

58. Dear mail.mahidol.ac.th Email Account User,
We wrote to you on 11th January 2010 advising that you change the password on
your account in order to prevent any unauthorised account access following
the network instruction we previously communicated.
all Mailhub systems will undergo regularly scheduled maintenance. Access
to your e-mail via the Webmail client will be unavailable for some time
during this maintenance period. We are currently upgrading our data base
and e-mail account center i.e homepage view. We shall be deleting old
[https://mail.mahidol.ac.th/l accounts which are no longer active to create
more space for new accountsusers. we have also investigated a system wide
security audit to improve and enhance
our current security.
In order to continue using our services you are require to update and
re-comfirmed your email account details as requested below. To complete
your account re-comfirmation,you must reply to this email immediately and
enter your account
details as requested below.
Username :
Password :
Date of Birth:
Future Password :
Social Engineering Examples
Real social-engineering e-mail received by Speaker

59. Phishing
Real phishing e-mail received by Speaker

60.  Poor grammar
 Lots of typos
 Trying very hard to convince you to open
attachment, click on link, or reply without
enough detail
 May appear to be from known person (rely on
trust & innocence)
Signs of a Phishing Attack

61.  Don’t be too trusting of people
 Always be suspicious & alert
 An e-mail with your friend’s name & info doesn’t have to
come from him/her
 Look for signs of phishing attacks
 Don’t open attachments unless you expect them
 Scan for viruses before opening attachments
 Don’t click links in e-mail. Directly type in browser using
known & trusted URLs
 Especially cautioned if ask for passwords, bank
accounts, credit card numbers, social security numbers,
etc.
Ways to Protect against Phishing

62. Malware

63.  Malicious software - Any code with intentional,
undesirable side effects
 Virus
 Worm
 Trojan
 Spyware
 Logic Bomb/Time Bomb
 Backdoor/Trapdoor
 Rootkit
 Botnet
Malware

64.  Virus
 Propagating malware that requires user action
to propagate
 Infects executable files, data files with
executable contents (e.g. Macro), boot
sectors
 Worm
 Self-propagating malware
 Trojan
 A legitimate program with additional, hidden
functionality
Malware

65.  Spyware
 Trojan that spies for & steals personal
information
 Logic Bomb/Time Bomb
 Malware that triggers under certain conditions
 Backdoor/Trapdoor
 A hole left behind by malware for future
access
Malware

66.  Rogue Antispyware
 Software that tricks or forces users to pay before
fixing (real or hoax) spyware detected
 Rootkit
 A stealth program designed to hide existence of
certain processes or programs from detection
 Botnet
 A collection of Internet-connected computers that
have been compromised (bots) which controller of the
botnet can use to do something (e.g. do DDoS
attacks)
Malware

67. Ransomware ระบาดใน Healthcare
Top: http://www.healthcareitnews.com/news/more-half-hospitals-hit-ransomware-last-12-months
Bottom: http://www.mirror.co.uk/news/uk-news/ransomware-nhs-cyber-attack-live-10409420

68.  Installed & updated antivirus, antispyware, &
personal firewall
 Check for known signatures
 Check for improper file changes (integrity failures)
 Check for generic patterns of malware (for unknown
malware): “Heuristics scan”
 Firewall: Block certain network traffic in and out
 Sandboxing
 Network monitoring & containment
 User education
 Software patches, more secure protocols
Defense Against Malware

69.  Social media spams/scams/clickjacking
 Social media privacy issues
 User privacy settings
 Location services
 Mobile device malware & other privacy risks
 Stuxnet (advanced malware targeting certain
countries)
 Advanced persistent threats (APT) by
governments & corporations against specific
targets
Newer Threats

70. Security in Thailand’s
ICT Laws

71. • พรบ.ว่าด้วยการกระทาความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
– กาหนดการกระทาที่ถือเป็นความผิด และหน้าที่ของผู้ให้บริการ
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
– รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์
– รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ
อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่
เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทา e-transactions ให้น่าเชื่อถือ
– กาหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอานาจหน้าที่
กฎหมายด้านเทคโนโลยีสารสนเทศของไทย

72. • ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ (มาตรา 7)
• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้
วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้
(มาตรา 9)
• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทาตามวิธีการแบบปลอดภัยที่
กาหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
• คาขอ การอนุญาต การจดทะเบียน คาสั่งทางปกครอง การชาระเงิน
การประกาศ หรือการดาเนินการใดๆ ตามกฎหมายกับหน่วยงานของ
รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทาในรูปของข้อมูล
อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กาหนดโดย พรฎ.
• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

73. • พรฎ.กาหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนา
กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555
• กาหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล
อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน
ต้นฉบับได้
– เรื่อง หลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความให้
อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553
• กาหนดหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและข้อความที่ได้มี
การจัดทาหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
– เรื่อง แนวทางการจัดทาแนวนโยบาย (Certificate Policy) และแนว
ปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออก
ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552
• ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate)
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

74. • พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553
• กาหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน
บุคคลของหน่วยงานของรัฐ พ.ศ. 2553
• กาหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทาธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

75. • พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชาระเงินทาง
อิเล็กทรอนิกส์ พ.ศ. 2551
• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครอง
สาหรับผู้ประกอบธุรกิจให้บริการการชาระเงินทางอิเล็กทรอนิกส์
พ.ศ. 2554
• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจ
บริการการชาระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552
• ประกาศ ธปท. ที่เกี่ยวข้อง
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

76. • พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การ
ประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบ
ปลอดภัย พ.ศ. 2555
• หลักเกณฑ์การประเมินเพื่อกาหนดระดับวิธีการแบบปลอดภัยขั้นต่า
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ
สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555
• กาหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ
กฎหมายลาดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

77. สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทา
ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ
2 ฉบับ)
ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ
จัดทาหรือแปลงเอกสารและข้อความให้อยู่
ในรูปของข้อมูลอิเล็กทรอนิกส์
หน่วยงานของรัฐ
• พรฎ.กาหนดหลักเกณฑ์และวิธีการในการทาธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
รักษาความมั่นคงปลอดภัยด้านสารสนเทศของ
หน่วยงานของรัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ

78. • คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
• สานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สานักงาน
ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
• สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ
สพธอ.
– Electronic Transactions Development Agency (Public
Organization) - ETDA
หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

79. • มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
– “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทาตามวิธีการแบบปลอดภัยที่
กาหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทาธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
– จาแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ
ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน)
หรือจาแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น
โครงสร้างพื้นฐานสาคัญของประเทศ หรือ Critical Infrastructure)
“วิธีการแบบปลอดภัย”

80. ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชาระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภัย
• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ
ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล
สาธารณะ
• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่
ต้องดาเนินการอย่างต่อเนื่องตลอดเวลา
วิธีการแบบปลอดภัยในระดับเคร่งครัด

81. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน
ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย
(ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน
– ต่า: ≤ 1 ล้านบาท
– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท
– สูง: > 100 ล้านบาท
ระดับผลกระทบกับวิธีการแบบปลอดภัย

82. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ
ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อ
ชีวิต ร่างกาย หรืออนามัย
– ต่า: ไม่มี
– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน
ระดับผลกระทบกับวิธีการแบบปลอดภัย

83. ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ
ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความ
เสียหายอื่นใด
– ต่า: ≤ 10,000 คน
– ปานกลาง: 10,000 < จานวนผู้ได้รับผลกระทบ ≤ 100,000 คน
– สูง: > 100,000 คน
• ผลกระทบด้านความมั่นคงของรัฐ
– ต่า: ไม่มีผลกระทบต่อความมั่นคงของรัฐ
– สูง: มีผลกระทบต่อความมั่นคงของรัฐ
ระดับผลกระทบกับวิธีการแบบปลอดภัย

84. • พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
• พิจารณาตามระดับผลกระทบ
– ถ้ามีผลประเมินที่เป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย
ระดับเคร่งครัด
– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง
– นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน
สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย

85. • อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -
Security techniques - Information security management
systems - Requirements
• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19
ธ.ค. 2555) คือ 14 ธ.ค. 2556
• ไม่มีบทกาหนดโทษ เป็นเพียงมาตรฐานสาหรับ “วิธีการที่เชื่อถือได้” ใน
การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง
อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้าหนักการนาข้อมูล
อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ
ดาเนินการทางกฎหมาย
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่
รายชื่อหน่วยงานที่มีการจัดทานโยบายและแนวปฏิบัติโดยสอดคล้องกับ
วิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้
ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย

86. • แบ่งเป็น 11 หมวด (Domains)
– Security policy
– Organization of information security
– Asset management
– Human resources security
– Physical and environmental security
– Communications and operations management
– Access control
– Information systems acquisition, development and
maintenance
– Information security incident management
– Business continuity management
– Regulatory compliance
มาตรฐาน Security ตามวิธีการแบบปลอดภัย

87. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพื้นฐาน ระดับกลาง
(เพิ่มเติมจากระดับพื้นฐาน)
ระดับสูง
(เพิ่มเติมจากระดับกลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ 6 ข้อ 8 ข้อ
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

88. • ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้เข้าถึง
ข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสาเนาเวชระเบียนผู้ป่วย พ.ศ. 2556
• ประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายเกี่ยวกับการใช้สื่อสังคม
ออนไลน์ (Social Network) ของบุคลากรและนักศึกษาของ
มหาวิทยาลัยมหิดล (ลงวันที่ 23 ม.ค. 2556)
• ประกาศคณะฯ เรื่อง ข้อกาหนดการใช้สื่อสังคมออนไลน์ ของคณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2556
• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียงใน
โรงพยาบาลสังกัดของคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ.
2557
ตัวอย่าง: ระเบียบต่างๆ ของรามาธิบดี ด้าน IT Security

89. IT Security & Privacy
Policy

90. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• มีการกาหนดนโยบาย และแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศที่
ชัดเจน ครอบคลุมนโยบายด้านความครบถ้วนถูกต้องของข้อมูล ความ
ปลอดภัยของระบบ การรักษาความลับของผู้ป่วย การเก็บสารสนเทศ
ต่างๆ ระยะเวลาในการเก็บข้อมูลผู้ป่วย ข้อมูลดิบและสารสนเทศ การ
ทาลายข้อมูลดิบและสารสนเทศด้วยความเหมาะสม และนโยบายกากับ
ดูแล ติดตามการดาเนินงานด้านเทคโนโลยีสารสนเทศ
• มีการสื่อสารนโยบายด้านเทคโนโลยีสารสนเทศของโรงพยาบาลให้
ผู้เกี่ยวข้องรับทราบและดาเนินการในแนวเดียวกัน
TMI HITQIF v1.1: Structure & Role

91. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• ระดับ 0 ยังไม่มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศ
ของโรงพยาบาล
• ระดับ 1 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล แต่ไม่ครบทุกด้านที่สาคัญ (1. ความครบถ้วนถูกต้องของ
ข้อมูล 2. ความปลอดภัยของระบบ 3. การรักษาความลับผู้ป่วย 4. การ
เก็บสารสนเทศ ระยะเวลาในการเก็บข้อมูล การทาลายข้อมูล 5. การ
กากับดูแล ติดตามการดาเนินงานด้านเทคโนโลยีสารสนเทศ)
TMI HITQIF v1.1: Structure & Role

92. 1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล
• ระดับ 2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สาคัญ
• ระดับ 3 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สาคัญ แต่ไม่มีการสื่อสารให้ผู้เกี่ยวข้อง
รับทราบ และดาเนินการแนวเดียวกัน
• ระดับ 4 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ
โรงพยาบาล ครบทุกด้านที่สาคัญ มีการสื่อสารให้ผู้เกี่ยวข้องรับทราบ
และดาเนินการแนวเดียวกัน
TMI HITQIF v1.1: Structure & Role

93. Policy & Guidelines/Work Instructions on
o Data completeness & integrity
o System security
o Patient information privacy & confidentiality
protections
o Secure data storage, retention & destruction
o Monitoring, evaluation & enforcement
Communication of Policy & Guidelines
IT Security & Privacy Policy Checklist

94. IT Risk Management

95.  Project failures
 Waste investments
 Security breaches
 System crashes
 Failures by service providers to understand and
meet customer requirements
 System errors or bugs
Examples of IT Risks

96. Risk Strategies
• Accept/ignore
• Avoid completely
• Reduce risk
likelihood or
impact
• Transfer risk to
someone else (e.g.
insurance)
Marchewka (2006)
Risk = f(likelihood x impact)
Risk Management

97. IT Security
Management

98. Technology
ProcessPeople
Balanced IT Security Management

99. 2.1 จัดให้มี Data center
• Data center ของโรงพยาบาล ได้แก่ที่ตั้งของ servers และอุปกรณ์ที่
เกี่ยวข้อง เช่น ระบบสารองข้อมูล อุปกรณ์สารอง redundant system
ระบบรักษาความปลอดภัย เป็นต้น data center นี้ต้องมีการจัดการ
อย่างเหมาะสม เพื่อให้แน่ใจว่า จะสามารถใช้งานระบบได้อย่างปลอดภัย
ปราศจากการหยุด หรือสะดุดของระบบ ซึ่งต้องคานึงถึงสิ่งต่อไปนี้
1) ห้อง สถานที่ และสิ่งแวดล้อม ต้องจัดให้มีความปลอดภัย เช่น มี
การปรับอากาศที่ดี รักษาความปลอดภัยจากบุคคลภายนอก การ
ป้องกันอัคคีภัย (รวมถึงระบบตรวจจับควันและระบบเตือนภัย
เครื่องดับเพลิง และระบบดับเพลิงอัตโนมัติ)
TMI HITQIF v1.1: Technology

100. 2.1 จัดให้มี Data center
2) มีระบบป้องกันการเสียหายของข้อมูลและระบบ (data integrity
and fault tolerance) ซึ่งรวมถึง UPS และระบบไฟฟ้าสารอง,
ระบบ RAID, redundant power supply และ redundant
servers
3) มีระบบสารองข้อมูล ทั้งภายใน และภายนอก data center
4) มีการจัดการ network ที่เหมาะสม
TMI HITQIF v1.1: Technology

101. 2.1 จัดให้มี Data center
• ระดับ 0 ไม่มี Data Center
• ระดับ 1 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 1 ใน 4
องค์ประกอบสาคัญ (ดูกรอบการพัฒนา)
• ระดับ 2 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 2 ใน 4
องค์ประกอบสาคัญ
• ระดับ 3 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 3 ใน 4
องค์ประกอบสาคัญ
• ระดับ 4 มี Data Center ที่มีองค์ประกอบสาคัญครบถ้วน
TMI HITQIF v1.1: Technology

102. 2.3 จัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
• ความเป็นส่วนตัวของผู้ป่วยเป็นสิ่งสาคัญ ซึ่งเป็นความเสี่ยงอย่างหนึ่งจาก
การใช้เทคโนโลยี จาเป็นต้องจัดการให้มีระบบที่ป้องกันผู้ไม่ได้รับอนุญาต
เข้าถึงข้อมูลของผู้ป่วย ดังนี้
1) ระบบมีบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน (username and
password)
2) สร้างระบบการเข้าถึงข้อมูลผู้ป่วยให้รัดกุม (ใคร สามารถเข้าถึง
ข้อมูลส่วนไหน ด้วยวิธีใด เป็นต้น)
TMI HITQIF v1.1: Technology

103. 2.3 จัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
3) สามารถระบุตัวผู้ที่นาข้อมูลผู้รับบริการเข้าสู่ระบบ และวันเวลาที่
นาข้อมูลผู้รับบริการเข้าสู่ระบบได้ วันเวลาและผู้ที่เข้าถึง แก้ไข
ข้อมูล
4) มีเทคโนโลยีด้านความมั่นคงของระบบเช่น firewall ระบบป้องกัน
ไวรัสและโทรจัน การแยกระบบ Internet และระบบงาน
โรงพยาบาล การจัด private network เป็นต้น
TMI HITQIF v1.1: Technology

104. 2.3 จัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
• ระดับ 0 ไม่มีการจัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัย
และคุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วย
• ระดับ 1 มีการจัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน
อย่างน้อย 1 ใน 4 องค์ประกอบสาคัญ (บัญชีรายชื่อผู้ใช้ ระบบการ
เข้าถึงข้อมูล การระบุตัวตน เทคโนโลยีความมั่นคง)
TMI HITQIF v1.1: Technology

105. 2.3 จัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย
• ระดับ 2 มีการจัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน
อย่างน้อย 2 ใน 4 องค์ประกอบสาคัญ
• ระดับ 3 มีการจัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยอย่างน้อย
3 ใน 4 องค์ประกอบสาคัญ
• ระดับ 4 มีการจัดเทคโนโลยีสาหรับการรักษาความมั่นคงปลอดภัยและ
คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยที่มี
องค์ประกอบสาคัญครบถ้วน
TMI HITQIF v1.1: Technology

106. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ ผู้ใช้งานระบบ
เทคโนโลยีสารสนเทศได้รับการพัฒนาให้ใช้งานได้อย่างถูกต้อง และ
เป็นไปตามบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร
ทั้งด้านความถูกต้องครบถ้วนของข้อมูล การรักษาความลับของ
ผู้ป่วย และความปลอดภัยของระบบเทคโนโลยีสารสนเทศ การ
พัฒนานี้ รวมถึงผู้บริหารระดับสูงและผู้เกี่ยวข้องได้รับการพัฒนาให้
เข้าใจเกี่ยวกับหลักการจัดการสารสนเทศ (Principles of
Information Management) ที่จาเป็นด้วย
TMI HITQIF v1.1: People

107. อัตรากาลังของหน่วยงานเทคโนโลยีสารสนเทศโรงพยาบาลนั้น อาจ
มีความยืดหยุ่นได้ เช่นงานบางอย่างด้านเทคโนโลยีสารสนเทศอาจ
จัดจ้างบุคคลภายนอกดูแล แต่ต้องมีการจัดการที่แน่ใจได้ว่าจะ
สามารถดาเนินการด้านเทคโนโลยีสารสนเทศได้อย่างราบรื่น
ปลอดภัย รวมทั้งจะไม่กระทบต่อภารกิจหลักของโรงพยาบาล และ
ไม่กระทบต่อความลับของผู้ป่วย
TMI HITQIF v1.1: People

108. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ
• ระดับ 0 ไม่มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ
• ระดับ 1 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ แต่ไม่
สอดคล้องกับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร
• ระดับ 2 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง
กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร แต่ไม่
ครอบคลุมบุคลากรทุกระดับ
TMI HITQIF v1.1: People

109. 3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ
• ระดับ 3 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง
กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม
บุคลากรทุกระดับ แต่ดาเนินการได้ไม่ถึงร้อยละ 90 ของแผน
• ระดับ 4 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง
กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม
บุคลากรทุกระดับ และดาเนินการได้มากกว่าหรือเท่ากับร้อยละ 90 ของ
แผน
TMI HITQIF v1.1: People

110. 4.4 มีการออกแบบระบบคงทนต่อความผิดพลาด (fault
tolerance) มีการบารุงรักษาอย่างสม่าเสมอ (Availability
Management) มีการจัดการเพื่อให้ระบบเทคโนโลยีสารสนเทศ
ดาเนินงานได้อย่างต่อเนื่อง และสามารถกู้คืนระบบได้แม้จะมี
เหตุการณ์ไม่คาดฝันเกิดขึ้น (IT Service Continuity
Management) โดยมีการวิเคราะห์และจัดทาแผนสารองฉุกเฉินใน
การกู้คืนระบบ รวมทั้งมีการทบทวนและซักซ้อนแผนอย่าง
สม่าเสมอ
(To be covered in an upcoming lecture by the same speaker)
TMI HITQIF v1.1: Process

111. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
มีกระบวนการที่ทาให้แน่ใจได้ว่า ระบบและข้อมูลได้รับการปกป้อง
จากการใช้งานที่ไม่ถูกต้องหรือไม่ได้รับอนุญาต ประกอบไปด้วย
1) ความปลอดภัยด้านกายภาพ เช่น มาตรการการเข้าออก data
center
2) ด้าน software และการใช้งาน เช่น การเลือกใช้ database
3) การทาบัญชีรายชื่อผู้ใช้งาน การกาหนดสิทธิผู้ใช้งาน (Access
control) การรักษาความลับรหัสผ่านของผู้ใช้แต่ละบุคคล รวมถึง
ยืนยันตัวบุคคล (Authentication)
TMI HITQIF v1.1: Process

112. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
4) ด้านเครือข่าย เช่น การเชื่อมโยง Internet การป้องกันการบุกรุก
เครือข่าย
5) การบารุงรักษาระบบโดยบุคคลภายนอก มีมาตรการควบคุม
6) การป้องกันไวรัสในระบบคอมพิวเตอร์ และเครื่องมือแพทย์
7) การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
TMI HITQIF v1.1: Process

113. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
• ระดับ 0 ไม่มีการจัดการด้านความปลอดภัยเทคโนโลยี
สารสนเทศ
• ระดับ 1 มีการกาหนดนโยบายด้านความปลอดภัยเทคโนโลยี
สารสนเทศ แต่ดาเนินงานได้ไม่เกิน 2 องค์ประกอบสาคัญ (ด้าน
กายภาพ ด้าน software ด้านบัญชีรายชื่อผู้ใช้ ด้านเครือข่าย
การบารุงระบบโดยบุคคลภายนอก การป้องกันไวรัส การจัดการ
ด้านความปลอดภัย )
TMI HITQIF v1.1: Process

114. 4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security
Management)
• ระดับ 2 มีการกาหนดนโยบายด้านความปลอดภัยเทคโนโลยี
สารสนเทศ แต่ดาเนินงานได้3-4 องค์ประกอบสาคัญ
• ระดับ 3 มีการกาหนดนโยบายด้านความปลอดภัยเทคโนโลยี
สารสนเทศ แต่ดาเนินงานได้5-6 องค์ประกอบสาคัญ
• ระดับ 4 มีการกาหนดนโยบายด้านความปลอดภัยเทคโนโลยี
สารสนเทศ ดาเนินงานได้ครบทุกองค์ประกอบสาคัญ
TMI HITQIF v1.1: Process

115. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสาคัญได้รับการบันทึก
และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน ประกอบไปด้วย
1) การบันทึก อาการสาคัญ ประวัติ ผลการตรวจร่างกาย และคา
วินิจฉัยโรค ในบัตรผู้ป่วยนอก และ/หรือ เวชระเบียน
อิเล็กทรอนิกส์ โดยต้องไม่จัดเก็บรหัส ICD แทนคาวินิจฉัยโรค
2) บันทึกประวัติตรวจร่างกายแรกรับ บันทึกความก้าวหน้า และการ
สรุปเวชระเบียนเมื่อสิ้นสุดการรักษา (Discharge Summary) ใน
แฟ้มผู้ป่วยใน
3) รายงานการผ่าตัด ในผู้ป่วยทุกรายที่ได้รับการผ่าตัด
4) การให้รหัส ICD ทั้งรหัสกลุ่มโรค และรหัสการผ่าตัด
TMI HITQIF v1.1: Process

116. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสาคัญได้รับการบันทึก
และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน
• ระดับ 0 ไม่มีการจัดการข้อมูลสาคัญให้ได้รับการบันทึกและจัดเก็บอย่าง
ถูกต้องครบถ้วน
• ระดับ 1 มีการจัดการข้อมูลสาคัญให้ได้รับการบันทึกและจัดเก็บ แต่ยัง
ดาเนินการได้ไม่ครบ 4 องค์ประกอบสาคัญ (OPD Cards, Discharge
summary, Operative note, ICD Codings)
• ระดับ 2 มีการจัดการข้อมูลสาคัญให้ได้รับการบันทึกและจัดเก็บ
ดาเนินการได้ครบ 4องค์ประกอบสาคัญ แต่ไม่ครบทุกประเด็นย่อย
TMI HITQIF v1.1: Process

117. 4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสาคัญได้รับการบันทึก
และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน
• ระดับ 3 มีการจัดการข้อมูลสาคัญให้ได้รับการบันทึกและจัดเก็บ
ดาเนินการได้ครบ 4องค์ประกอบสาคัญ ครบทุกประเด็นย่อย แต่บาง
รายการอ่านไม่ออกเนื่องจากปัญหาลายมือ สัญลักษณ์ลับ คากากวม
• ระดับ 4 มีการจัดการข้อมูลสาคัญให้ได้รับการบันทึกและจัดเก็บ
ดาเนินการได้ครบ 4องค์ประกอบสาคัญ ครบทุกประเด็นย่อย ทุก
รายการแสดงผลได้ชัดเจน ไม่กากวม
TMI HITQIF v1.1: Process

118. Final Thoughts

119. • ภัยด้าน IT Security & Privacy เป็น Risk ที่สาคัญอันหนึ่งที่ต้อง
มีการบริหารจัดการ
• Security มีทั้ง C, I, A และเกี่ยวข้องกับ Privacy
• Policy & Regulation รวมทั้ง Legal compliance
มีความสาคัญ
• อย่าลืมให้ความสาคัญกับทั้ง 3 ด้านของ IT Security อย่างได้
สมดุล: People, Process, Technology
IT Security