ISMS Strategy [HSS, MoPH]ict.hss.moph.go.th/fileupload_doc/2020-07-01-1-20...1977/01/01 · 2 DRAFT 2020 ISMS STRATEGY [HSS, MOPH] | 24 February,2020 ภาคผนวก ค การบร

ภาคผนวก ค

2

DRAFT 2020 ISMS STRATEGY [HSS, MOPH] | 24 February,2020

ภาคผนวก ค การบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ

ปงบประมาณ 2563 – 2566 ชอหนวยงาน กรมสนบสนนบรการสขภาพ

1. หลกการและเหตผล จากพระราชบญญตวาดวยการกระทำความผดเกยวกบคอมพวเตอร พ.ศ.2550 ดวยแนวคด “GRC” (Governance

Risk and Compliance) ทำใหหลายองคกรเกดความตนตวในการปฏบตตามกฎหมายและกฎระเบยบตางๆ (Regulatory Compliance) พระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พ.ศ.2562 พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 รวมทงพระราชบญญตขอมลขาวสารของราชการ พ.ศ. 2540 ทเก ยวของกบภารกจของกรมสนบสนนบรการสขภาพ ในการเปนหนวยงานทมโครงสรางพนฐานสำคญทางสารสนเทศ (CII : Critical Information Infrastructure) ส งผลกระทบตอประชาชนโดยตรง ( Impact Security Risk และ Economics Public Health) จากการเชอมโยงขอมลดานระบบบรการสขภาพ (Interconnected Information System) และหนวยงานทเกยวของควรตองผานเกณฑมาตรฐาน เพอใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการในระบบบรการสขภาพรวมทงการทำธรกรรมอเลกทรอนกส จำเปนจะตองมความมนคงปลอดภยไซเบอรในระดบสงเพอคมครองประชาชนหรอประโยชนทสำคญของประเทศ

2. เปาหมายการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ “กรมสนบสนนบรการสขภาพ ผานการประเมนมาตรฐาน ISO/IEC 27001 : 2013 ภายใน ป พ.ศ. 2566”

3. วตถประสงคการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ 1. เพอใหผบรหารและบคลากรทกระดบของกรมสนบสนนบรการสขภาพ รวมทงหนวยงานทเกยวของมความร

ความเขาใจและทกษะในการรกษาความมนคงปลอดภยดานสารสนเทศ 2. เพอใหกรมสนบสนนบรการสขภาพ มแนวทางการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ

(Information Security Management System) รวมทงสงเสรมการทำธรกรรมอเลกทรอนกส (E-Commerce) ดานระบบบรการสขภาพไดอยางมประสทธภาพ ทผานการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013

3. เพอใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการในระบบบรการสขภาพรวมทงการทำธรกรรมอเลกทรอนกส ทจำเปนจะตองมความมนคงปลอดภยไซเบอรในระดบสงเพอคมครองประชาชนหรอประโยชนทสำคญของประเทศ

4. เพอเปนขอเสนอเชงนโยบายในการจดตง “ศนยปฏบตการเฝาระวงความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ : SOC (Security Operations Center)” ในการเปนศนยรวมของทงหนวยงานจรงและในรปแบบเสมอนในการทดสอบระบบเชงยทธศาสตร ตรวจสอบภยคกคาม แจงเตอน กคน เออตอการตอบสนองดานความปลอดภยและเหตการณฉกเฉน (IDR: ปองกนภยคกคามและความเสยง) เหมาะกบองคกรทมเครอขายสอดคลองกบนโยบายกรมสนบสนนบรการสขภาพ ในการเฝาระวงและแจงเตอนสถานพยาบาลตามแนวทางมาตรฐานสถานพยาบาล “ดานการรกษาความมนคงปลอดภยไซเบอร”

4. แนวทางการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ ไดกำหนดแนวทางการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศทเกยวของกบระบบบรการ

สขภาพ เพอใหกรมสนบสนนบรการสขภาพ ไดรบความเชอมนในการเขาถงและใชประโยชนจากขอมลสารสนเทศดานระบบบรการสขภาพภาครฐแบบครบวงจร ตามมาตรฐานความมนคงปลอดภยดานสารสนเทศ ISO/IEC 27001: 2013 พบวา ผลการวเคราะหองคกรเบองตน สามารถกำหนดแนวทางการดำเนนงาน ไดดงน

3


1. ดานบคลากร ไดกำหนดการพฒนาศกยภาพบคลากร กรมสนบสนนบรการสขภาพ ตามแนวทางการพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ ของสำนกงานคณะกรรมการขาราชการพลเรอน (กพ.) (Cyber Security Litearcy)

1.1 ความรพ นฐาน ในการสรางความตระหนกและการเตรยมความพรอมในการรกษาความม นคงปลอดภยสารสนเทศ (IT Security Awareness)

1.2 การฝกซอมรบมอดานความมนคงปลอดภยไซเบอร (Cyber drill) 1.3 แนวทางการตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธ การตรวจสอบชองโหว Vulnerability

Assessment (Web Application Hacking) และการเจาะระบบ (Penetration Testing) สำหรบผดแลระบบ (SysAdmin) 2. ดานงบประมาณ ไดเสนอขอการรจดสรรงบประมาณ สำหรบการตรวจประเมนตามมาตรฐานความมนคง

ปลอดภยดานสารสนเทศ ดวยมาตรฐาน ISO/IEC 27001 : 2013 3. ดานครภณฑ อยระหวางการจดเกบรวบรวมครภณฑคอมพวเตอร ทเกยวของ เพอบรหารจดการความ

เสยงความมนคงปลอดภยดานสารสนเทศ (Risk Assessment) 4. ดานการบรหารจดการ มการบรหารจดการความเสยง (Risk Management) ตามแนวทางมาตรฐานทกำหนดให

เปนไปในแนวปฏบตเดยวกน เพอใหผานการประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามพระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พระราชบญญตคมครองขอมลสวนบคคล รวมทงกฎหมายทเกยวของ

กรมสนบสนนบรการสขภาพมภารกจหลก “การคมครองผบรโภคดานระบบบรการสขภาพและสงเสรมผประกอบการดานบรการสขภาพเพอประชาชนมศกยภาพในการพงพาตนเอง” เปนหนวยงานทเกยวของกบการเกบรกษาขอมลสวนบคคล (Data Privacy Protection) ดานธรกจบรการสขภาพรองรบการดำเนนงานระหวางภาครฐและเอกชน ทสนบสนนการทำธรกรรมอเลกทรอนกส ดานระบบบรการสขภาพทงภายในและตางประเทศ รวมทงการพฒนานวตกรรมดจทล (Digital Innovation) ดานระบบบรการสขภาพตามนโยบายเศรษฐกจดจทล (Digital Economy)

เพอใหกรมสนบสนนบรการสขภาพ ไดรบความเชอมนและมความมนคงปลอดภยดานเทคโนโลยสารสนเทศ รวมทงเพมประสทธภาพการทำธรกรรมอเลกทรอนกสสอดคลองตามกฎหมายทเกยวของ เสนอตอผบรหารกรมสนบสนนบรการสขภาพ พจารณาเหนชอบแนวทางการดำเนนงาน ตดตาม ควบคม กำกบระบบความม นคงปลอดภย (Enterprise Risk Management) ของระบบสารสนเทศใหผานการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 ภายใน 1 ป หลงจากไดมการประกาศใชพระราชบญญตความมนคงปลอดภยไซเบอร ในราชกจจานเบกษา เมอวนท 27 พฤษภาคม พ.ศ.2562 ตามนโยบายการเปนหนวยงานหลกในการกำกบมาตรฐานโครงสรางพนฐานสำคญทางสารสนเทศ (CII) ตลอดจนการเพมความสามารถการแขงขน เรองการพฒนาเศรษฐกจดจทลในการขบเคลอนยทธศาสตรชาตและเปนนโยบายสำคญเรงดวนของรฐบาล ในประเดนระบบบรหารจดการองคกรอยางมประสทธภาพและเพมรายไดสประเทศตามแนวนโยบายของการกาวสเศรษฐกจดจทล

ในปงบประมาณ พ.ศ.2562 กรมสนบสนนบรการสขภาพไดดำเนนการเตรยมความพรอมตามแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ในประเดนบคลากร ดวยการพฒนาศกยภาพบคลากรเกยวกบการสรางความตระหนกและการเตรยมความพรอมในการรกษาความมนคงปลอดภยสารสนเทศ ทผานกระบวนการฝกซอมรบมอดานความมนคงปลอดภยไซเบอร (Cyber drill) การพฒนาความรพนฐานดานความมนคงปลอดภยสารสนเทศ และสำหรบผดแลระบบไดพฒนาศกยภาพบคลากร และกระบวนการทำงานในดานการตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบชองโหว (Vulnerability Assessment) เชน Web Application Hacking การเจาะระบบ (Penetration Testing) และผลการวเคราะหชองวางมาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ (Gap Assessment) พบวากรมสนบสนนบรการสขภาพมความพรอมรองรบการตรวจประเมนผานมาตรฐานการรกษาความมนคงปลอดภยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001 : 2013 ดงนน จงไดกำหนด “แผนการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ พ.ศ. 2563 – 2566” เพอใหมเปาหมายการดำเนนงาน สรางความนาเชอถอ ความไววางใจ (Trust Worthy) ทมงสความยงยน (Sustainability) ดงแผนภาพท 1

4


แผนภาพท 1 แผนการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ พ.ศ.2563 – 2566

5


5. แนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ ปงบประมาณ พ.ศ.2563 – 2566

ตามมต คณะกรรมการเทคโนโลยสารสนเทศ (ICT) กรมสนบสนนบรการสขภาพ พ.ศ. 2557 ไดกำหนดให กรมสนบสนนบรการสขภาพผานเกณฑประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 ซงสามารถกำหนดแนวทางการดำเนนงานได 4 ขนตอน ดงน

ขนตอนท 1 หมายถง การทบทวน กำหนดวตถประสงค รายละเอยด ขนตอนของการดำเนนงาน ขนตอนท 2 หมายถง การทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด กำหนด

แนวทางการดำเนนงานตามมาตรฐาน ISO/IEC 27001 : 2013 ขนตอนท 3 หมายถง การพฒนาและปรบปรงการดำเนนงานตามแนวทางมาตรฐาน ขนตอนท 4 หมายถง การควบคม ตดตาม และประเมนผลตามแนวทางมาตรฐานอยางตอเนอง

ขนตอนท 1 หมายถง การทบทวน กำหนดวตถประสงค รายละเอยด ขนตอนของการดำเนนงาน (ป 2562) 1.1 ทบทวนมาตรการ กำหนดขอบเขตการทำงาน (Scope)(1)

1.1.1 กำหนดขอบเขตการดำเนนงาน Server & Network (HSS Net) ซงประกอบดวย 1) กระบวนการทำงาน (Process) 2) ขอมลและสารสนเทศ (Information) 3) ฮารดแวร (Hardware) 4) การบรหารจดการทรพยสน (Asset management) 5) ซอฟตแวร (Software) 6) เครอขายคอมพวเตอร (Network) 7) เครองแมขายเสมอน (Virtual Machine) 8) บคลากร (Personnel) 9) สถานทและระบบสนบสนน (Site)

1.1.2 ภายนอกขอบเขต Server & Network (HSS Net) 1) ระบบงาน ทไมเกยวของกบระบบงานของกรมสนบสนนบรการสขภาพ (HSS Net) 2) เครอขายคอมพวเตอรระหวางผใชบรการทไมเกยวของกบระบบงานของกรมสนบสนน

บรการสขภาพทกำกบดแลโดยผใหบรการภายนอกองคกร 1.2 ดำเนนการจดตงคณะทำงาน IT Security Steering หรอ IT Security Working Group ซงตองมการทบทวน

ทกปเพราะมการเปลยนแปลงโครงสรางองคกร และประชมชแจงแนวทางการดำเนนงานใหบคลากรทกระดบทราบ 1.3 ศกษามาตรฐาน ISO/IEC 27001: 2013 อยางละเอยดทบทวนและปรบปรงแกไขนโยบายการ

บรหารจดการระบบความมนคงปลอดภยสารสนเทศ (2) ประกอบดวย มาตรการควบคม 14 หวขอ 1.3.1 นโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศ (Information security policies) 1.3.2 โครงสรางความมนคงปลอดภยดานเทคโนโลยสารสนเทศขององคกร (Organization of

information security) 1.3.3 ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทเกยวของกบบคลากร (Human resource security) 1.3.4 การบรหารจดการทรพยสน (Asset management) 1.3.5 การควบคมการเขาถง (Access control) 1.3.6 การเขารหสขอมล (Cryptography) 1.3.7 ความมนคงปลอดภยดานเทคโนโลยสารสนเทศทางกายภาพและสงแวดลอม (Physical

and environmental security) 1.3.8 การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศดานการดำเนนการ (Operations security) 1.3.9 ความมนคงปลอดภยทางดานการสอสาร (Communications security)

6


1.3.10 การจดหา การพฒนา และการบำรงรกษาระบบ (System acquisition, development and maintenance)

1.3.11 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 1.3.12 การบรหารจดการเหตการณความมนคงปลอดภยสนเทศ (Information security

incident management) 1.3.13 ประเดนดานความมนคงปลอดภยดานเทคโนโลยสารสนเทศของการบรหารจดการเพอ

สรางความตอเนองทางธรกจ (Information security aspects of business continuity management) 1.3.14 การปฏบตตามขอกำหนด (Compliance)

1.4 วเคราะหองคกร ในประเดนการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Gap Analysis) เพอดำเนนการขบเคลอนนโยบายการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ไดมประสทธภาพ

1.5 จดทำแผนยทธศาสตรการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ พ.ศ. 2563 – 2566

1.6 จดทำนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ พ.ศ. 2562

1.7 จดทำแผนบรหารความตอเนองในสภาวะวกฤตดานสารสนเทศของกรมสนบสนนบรการสขภาพ พ.ศ. 2563

ขนตอนท 2 หมายถง การทำความเขาใจกบกระบวนการ วางแผนการดำเนนงาน กำหนดตวชวด กำหนดแนวทางการดำเนนงานตามมาตรฐาน ISO/IEC 27001 : 2013 วเคราะหและประเมนองคกร (Gap Analysis) กรมสนบสนนบรการสขภาพ (ป 2563 -2566) ดงน

2.1 การปรบปรงกระบวนงานตามมาตรฐานความม นคงปลอดภยสารสนเทศใหรองรบการตรวจประเมนมาตรฐาน ISO/IEC 27001 : 2013

2.1.1 วางแผนการดำเนนงานตามแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ISO/IEC 27001 : 2013 ประกอบดวย 14 ขอกำหนด (Control Area) 34 ขอควบคม (Control Objectives) และ 114 มาตรการควบคม (Control Points)

1) พฒนาระบบบำรงรกษา 1.1) ครภณฑคอมพวเตอร (Hardware / Software) 1.2) ครภณฑระบบเครอขายคอมพวเตอร (Computer System Network) 1.3) ครภณฑโครงขายเทคโนโลยการสอสาร (Communication Network) 1.4) อปกรณจดเกบขอมล (Data Storage Devices) ไดแก

1.4.1) สอเกบขอมลแบบจานแมเหลก (Magnetic Disk Device) เชน Hard disk 1.4.2) สอเกบขอมลชนดแสง (Optical Storage Devices) เชน CD Rom,

CD-R, CD-RW, DVD Rom, DVD-R, DVD-RW 1.4.3) สอเกบขอมลแบบเทป (Tape Devices) 1.4.4) หนวยความจำแบบแฟลช (Flash Memory) 1.4.5) อปกรณจดเกบขอมลชนดพกพา (External Hard disk) 1.4.6) อปกรณจดเกบขอมลชนดพกพาทไมมจานหมน (Solid-State Drive)

1.5) เซรฟเวอร (Server) 1.5.1) File Server จดเกบไฟลแบบรวมศนย : Centralized Disk Storage 1.5.2) Print Server สำหรบ Printer ราคาแพงบางรน 1.5.3) Database Server เพอจดการฐานขอมล (Database Management System)

7


1.5.4) Application Server เพอจดการโปรแกรมประยกต เชน Mail Server, Proxy Server หรอ Web Server

2) การบรณาการโครงสรางพนฐานเทคโนโลยสารสนเทศดานระบบบรการสขภาพ 2.1) จดหา ซอ เชาครภณฑเทคโนโลยสารสนเทศ (ทดแทน /จดหา) Software ลขสทธ

พรอมครภณฑคอมพวเตอรทดแทน 2.2) พฒนาเครอขายคอมพวเตอร โครงขายการสอสาร และการเชอมโยงขอมลของ

ศนยขอมลดานระบบบรการสขภาพตามเขตบรการสขภาพ (Health Care Sectors) 3) ระบบทำลายขอมลจากอปกรณจดเกบขอมลของสวนราชการตามมาตรฐานการรกษา

ความมนคงปลอดภยสารสนเทศ 2.1.2 การจดการความรดานความมนคงปลอดภยสารสนเทศ

1) การพฒนาทกษะ องคความรดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) สำหรบบคลากร กรมสนบสนนบรการสขภาพ

1.1) การพฒนาศกยภาพบคลากรขนพนฐาน (Digital Government Capacity Building) 1.1.1) การพฒนาศกยภาพบคลากรขนพนฐาน (Digital Government Capacity Building)1 1.1.2) การพฒนาศกยภาพดานการใชระบบเครอขายคอมพวเตอร 1.1.3) การพฒนาศกยภาพดานการใชโครงขายเทคโนโลยการสอสาร 1.1.4) การพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ

(Cyber Security Literacy) 1.1.5) การพฒนาทกษะความรและสรางความตระหนกในการรกษาความมนคง

ปลอดภยสารสนเทศ สำหรบผใชงาน (User Awareness in Cyber Security) 1.2) การพฒนาศกยภาพบคลากรขนสง

1.2.1) การพฒนาศกยภาพดานสารสนเทศขนสง (1) การบรหารจดการฐานขอมล (Database Administrator) (2) การบรหารจดการระบบคอมพวเตอร (System Administrator) (3) การบรหารจดการระบบเครอขายสารสนเทศ (Network Administrator) (4) การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ

(Cyber Security Administrator) (4.1) การรกษาความปลอดภยดานกายภาพ (Physical Security) (4.2) การรกษาความปลอดภยดานการสอสาร (Communication Security) (4.3) การรกษาความปลอดภยการแผรงส (Emission Security) (4.4) การรกษาความปลอดภยคอมพวเตอร (Computer Security) (4.5) การรกษาความปลอดภยเครอขาย (Network Security) (4.6) การรกษาความปลอดภยขอมล (Information Security)

(5) การบรหารจดการนวตกรรมดจทล (Digital Innovation Administrator)

(6) การบรหารจดการคณภาพเทคโนโลยดจทล (Software Quality Assurance Manager)

(7) การบรหารจดการสารสนเทศการตลาด การลงทน (Digital Marketing Administrator)

1 เพอทราบขอมลพนฐานทเกยวของกบระบบเทคโนโลยสารสนเทศ

8


1.3) การพฒนาศกยภาพบคลากรเฉพาะทาง 1.3.1) การพฒนาศกยภาพบคลากรดานการจดการฐานขอมลระบบบรการสขภาพ 1.3.2) การพฒนาศกยภาพบคลากรดานนวตกรรมดจทล เชน Digital Health

Innovation 1.3.3 การพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ

1) พฒนาทกษะบคลากรดานความมนคงปลอดภยสารสนเทศ (1) ผบรหารเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร (2) ผเชยวชาญและจดการเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร (3) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ (4) ผตรวจสอบสภาพแวดลอมภยคกคามไซเบอร (5) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ (6) นกทดสอบชองโหวและภยคกคามระบบเทคโนโลยสารสนเทศ

- การตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบ ชองโหว Vulnerability Assessment (Web Application Hacking) - การเจาะระบบ (Penetration Testing)

(7) นกวจยและวเคราะหงานเทคโนโลยสารสนเทศดานความมนคง ปลอดภยไซเบอร

2) สนบสนนบคลากรสอบผานเกณฑการประเมนความมนคงปลอดภยสารสนเทศ (Cyber Security Certification) เชน ISEC : Information Security Expert Certification, CISSP : Certified Information System Security Professional, CISA, CASP, CISM, CSX เปนตน

3) จดหา/จดจางผ เช ยวชาญดานความม นคงปลอดภยสารสนเทศ /เสนอขอกรอบอตรากำลง/จดสรรอตรากำลงทดแทนและกำหนดเสนทางความกาวหนาในวชาชพ

3.1) เสนอขออนมตจดจางผเชยวชาญภายนอก 3.1.1) ดานการบรหารจดการฐานขอมล (Database Administrator) 3.1.2) ดานการบรหารจดการระบบคอมพวเตอร (Computer System Administrator) 31.3) ดานการบรหารจดการระบบเครอขายสารสนเทศ (Network

Administrator) 3.1.4) ดานการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (Cyber Security

Administrator) 3.1.5) ดานการบรหารจดการนวตกรรมดจทล (Digital Innovation Administrator) 3.1.6) ดานการบรหารจดการคณภาพเทคโนโลยดจทล (Software Quality

Assurance Manager) 3.1.7) ดานการบรหารจดการสารสนเทศการตลาด การลงทน (Digital

Marketing Administrator) 3.2) เสนอกรอบอตรากำลงบคลากรดานความมนคงปลอดภยสารสนเทศ

3.2.1) เสนอโครงสรางบคลากรดานความมนคงปลอดภยสารสนเทศ 3.2.2) เสนอขอจดสรร/ทดแทน อตรากำลง ผเชยวชาญดานความมนคงปลอดภย

สารสนเทศ 3.2.3) กำหนดเสนทางความกาวหนาในวชาชพสายความมนคงปลอดภย

สารสนเทศ

9


2.2 กำหนดตวชวด ควบคม กำกบ ตดตามและประเมนผล ไดกำหนดตวชวดผลสมฤทธ (Critical Success Factors) ใน (ราง) แผนยทธศาสตรดานการพฒนาดจทล กรมสนบสนนบรการสขภาพ ดงน

2.2.1 ระดบความสำเรจในการยกระดบความเชอมนและสรางความมนคงปลอดภยสารสนเทศ 2.2.2 รอยละของบคลกรการผานเกณฑมาตรฐานดานความมนคงปลอดภยสารสนเทศ 2.2.3 ระดบความสำเรจในการบำรงรกษาระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ

2.3 การวเคราะหชองวางมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Gap Assessment) พบวากรมสนบสนนบรการสขภาพ มความพรอมรองรบตามมาตรฐาน ISO/IEC 27001 : 2013

2.4 การกำหนดแนวทางปองกนความเสยง (Risk Assessment/Risk Management Framework) 2.4.1 บรหารจดการความเสยงดานการรกษาความมนคงปลอดภยไซเบอรเพอใหการรกษาความมนคง

ปลอดภยไซเบอรมประสทธภาพและเพอใหมมาตรการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอรอนกระทบตอความมนคงของรฐและความสงบเรยบรอยภายในประเทศ ซงการตราพระราชบญญตนสอดคลองกบเงอนไขทบญญตไวในมาตรา ๒๖ ของรฐธรรมนญแหงราชอาณาจกรไทยแลว ในประเดนตอไปน

1) กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร รวมทงกำหนดมาตรการในการประเมนความเสยง การตอบสนองและรบมอกบภยคกคามทางไซเบอร

2) กำหนดหนาทของหนวยงานโครงสรางพนฐานสำคญทางสารสนเทศ (CII) และหนาทของหนวยงานควบคมหรอกำกบดแล

3) กำหนดระดบของภยคกคามทางไซเบอร พรอมทงรายละเอยดของมาตรการปองกน รบมอ 4) วเคราะหสถานการณ และประเมนผลกระทบจากภยคกคามทางไซเบอร 5) กำหนดมาตรการจดการความเสยงจากภยคกคามไซเบอร ตามพระราชบญญตความ

มนคงปลอดภยไซเบอร พ.ศ.2562 5.1) การระบความเสยงทอาจจะเกดขนแกคอมพวเตอร ขอมลคอมพวเตอร ระบบคอมพวเตอร

ขอมลอนทเกยวของกบระบบคอมพวเตอร ทรพยสนและชวตรางกายของบคคล 5.2) มาตรการปองกนความเสยงทอาจจะเกดขน 5.3) มาตรการตรวจสอบและเฝาระวงภยคกคามทางไซเบอร 5.4) มาตรการเผชญเหตเมอมการตรวจพบภยคกคามทางไซเบอร 5.5) มาตรการรกษาและฟนฟความเสยหายทเกดจากภยคกคามทางไซเบอร

2.4.2 บรหารจดการความเสยงดานการคมครองขอมลสวนบคคล เพอการคมครองขอมลสวนบคคลมประสทธภาพและเพอใหมมาตรการเยยวยาเจาของขอมลสวนบคคลจากการถกละเมดสทธในขอมลสวนบคคลทมประสทธภาพ ตามพระราชบญญตคมครองขอมลสวนบคคล พ.ศ.2562

1) กำหนดประมวลแนวทางปฏบตและกรอบมาตรฐานดานการคมครองขอมลสวนบคคล รวมทงกำหนดมาตรการในการประเมนความเสยงทเกยวของกบขอมลสวนบคคล

2) กำหนดหนาทของหนวยงานทมหนาทควบคม กำกบ ขอมลสวนบคคล 3) กำหนดระดบของขอมลสวนบคคล พรอมทงรายละเอยดของมาตรการปองกนขอมลสวนบคคล 4) วเคราะหสถานการณ และประเมนผลกระทบทเกยวของกบขอมลสวนบคคล 5) กำหนดมาตรการจดการความเสยงดานการคมครองขอมลสวนบคคล

5.1) มาตรการปองกนความเสยงทอาจจะเกดขน 5.2) มาตรการตรวจสอบและเฝาระวงการละเมดขอมลสวนบคคล 5.3) มาตรการเผชญเหตเมอมการตรวจพบการละเมดขอมลสวนบคคล 5.4) มาตรการรกษาและฟนฟความเสยหายทเกดจากการละเมดขอมลสวนบคคล

10


2.5 จดทำรายงานและนำเสนอตอ Board of Director เพอผบรหารระดบสงเขาใจในปญหาทเกดขน และดำเนนการแกไขขอบกพรองจากการทองคกรยงไมไดปฏบตตามมาตรฐานฯ ดงกลาวอยางเปนรปธรรม (Corrective Action)

ขนตอนท 3 หมายถง การพฒนาและปรบปรงการดำเนนงานตามแนวทางมาตรฐาน (ป 2563 - 2566) 3.1 ประเมนระบบความมนคงปลอดภยสารสนเทศในภาพรวม (Gap Analysis Holistic Approach)

ดวยการนำเสนอ Gap Analysis Report ใน 3 มมมอง 3.1.1 มมมองดานบคลากร (People) 3.1.2 มมมองดานกระบวนการ (Process) 3.1.3 มมมองดานเทคโนโลย (Technology)

3.2 ประเมนและปรบปรงความเสยง (Risk Assessment) (ป 2563) 3.3 ควบคมตามแผนทไดกำหนดไว (Re Assessment & Control) เชน Vulnerability

Assessment, Penetration Testing, Hardening เปนตน 3.4 จดทำเอกสารรองรบการประเมน ในรปแบบ Statement of Applicability (SOA) (ป 2563)

เพอรองรบการประเมนตามมาตรฐาน ISO/IEC 27001 : 2013 3.5 กลมตรวจสอบภายในดำเนนการตรวจสอบ (Pre-Assessment) 3.6 จดทำรายงานเสนอผบรหารกรมสนบสนนบรการสขภาพ (Director Board of Health Service

Support Department, Ministry of Public Health)

ขนตอนท 4 หมายถง การควบคม ตดตาม ปรบปรงอยางตอเนอง (ป 2563-2566) 4.1 ควบคม กำกบ (Control) สอบทาน (Review) และการเฝาระวง (Monitor) เตรยมพรอมรองรบ

การตรวจประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามแนวทางการบรหารจดการความเสยง (Risk Management) 4.1.1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 4.1.2 การจดการความรดานความมนคงปลอดภยสารสนเทศ

4.2 ดำเนนการตรวจประเมน ครงท 1 (Assessment) โดย External Auditor ดวยการ Outsource ไปยง Manage Security Service Provider หรอ MSSP ทถอเปนการ “Transfer Risk”

4.3 สรปรายงานผลการดำเนนงานการพฒนา / ตดตาม / ประเมนผลตามตวชวดทกำหนด 4.4 ควบคม กำกบ (Control) สอบทาน (Review) และการเฝาระวง (Monitor) เตรยมพรอมรองรบ

การตรวจประเมนมาตรฐานความมนคงปลอดภยสารสนเทศ ตามแนวทางการบรหารจดการความเสยง (Risk Management) 4.4.1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 4.4.2 การจดการความรดานความมนคงปลอดภยสารสนเทศ

4.5 ดำเนนการตรวจประเมน ครงท 2 (Re - Assessment) โดย External Auditor ทก 3 ป

จากการดำเนนงานตามนโยบายการบรหารจดการระบบความมนคงปลอดภยสารสนเทศของกรมสนบสนนบรการสขภาพทกลาวขางตน เพอจะทำใหกรมสนบสนนบรการสขภาพมมาตรการในการรกษาความม นคงปลอดภยสารสนเทศอยในระดบทปลอดภย ชวยลดความเสยหายตอการดำเนนงาน ทรพยสน บคลากร นโยบายการเขาใชงานระบบสารสนเทศของกรมสนบสนนบรการสขภาพ จดเปนมาตรฐานดานความปลอดภยในการใชงานระบบสารสนเทศของกรมสนบสนนบรการสขภาพ เพอใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการขอมลสารสนเทศดานระบบบรการสขภาพ รวมทงการทำธรกรรมอเลกทรอนกส ทมความมนคงปลอดภยไซเบอรในระดบสง เพอคมครองประชาชนหรอผลประโยชนทสำคญของประเทศ สามารถสรปไดตามแผนภาพท 2 แสดงแนวปฏบตการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ ปงบประมาณ พ.ศ.2563 – 2566

11


แผนภาพท 2 แนวทางการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ ปงบประมาณ พ.ศ.2563 – 2566

ISO/IEC 27001: 2013 Certification Roadmap

Approach

(2.1.1) การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามมาตรฐานทกำหนด

ระยะ (Phase)

วตถประสงค (Aim)

ขนตอน (Activities)

วตถประสงคการดำเนนงานสอดคลองตามนโยบาย

Phase I Scoping & Planning

Phase II Gap Assessment &

Roadmap

Phase III ISMS Implementation

Phase IV Internal & External Audit

กำหนดแนวทางการดำเนน ตามมาตรฐาน

พฒนาและปรบปรงกระบวนงานตามแนวทางมาตรฐาน

ควบคม กำกบ ตดตามและประเมนผล ตามแนวทางมาตรฐาน

แนวคด/แนวทาง การดำเนนงาน (2.1.2) การจดการความรดานความมนคงปลอดภยสารสนเทศ / บคลากรผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ

(1.1) ทบทวนมาตรการ กำหนดขอบเขต (Scope) การดำเนนงาน (1) (1.2) จดตงคณะทำงาน (1.3) ศกษามาตรฐาน ปรบปรงแกไขนโยบายฯ ตามแนวทางการดำเนนงานใหสอดคลองตามทกฎหมายกำหนด (2)

(1.4) วเคราะห และประเมนองคกรเบองตน (Gap Analysis) (3) (1.5) จดทำแผนยทธศาสตรฯ /แนวทางปฏบตฯ

(2.1) ปรบปรงกระบวนงานตามมาตรฐาน (2.2) กำหนดตวชวด ควบคม กำกบ ตดตามและประเมนผล (2.3) วเคราะหชองวางมาตรการควบคมความมนคงปลอดภยสารสนเทศ (Gap Assessment) (2.4) กำหนดแนวทางปองกนความเสยง (Risk Assessment/Risk Management Framework) (2.5) จดทำรายงานเสนอ Board

(3.1) ประเมนระบบในภาพรวม (Holistic Approach) ตาม Gap Analysis Reportปฏบตตามขอกำหนดมาตรฐานฯ (3.2) ประเมนความเสยงตามแผนการดำเนนงานทกำหนด (Risk Assessment) (3.4) จดทำเอกสารรองรบการประเมน (SOA) รองรบการตรวจประเมนจาก MSSP (3.5) กลมตรวจสอบภายในดำเนนการตรวจสอบ (Pre-Assessment) (3.6) จดทำรายงานเสนอ Board of Director

(3.3) การบรหารจดการความเสยง (Risk Management)

(4.1) Gap Analysis Report (4.2) Risk Assessm

ent / Re Assess & Control (4.3) KPI : CSF

(4.4) การประเมนโดยหนวยงานภายใน

(4.5) การประเมนโดยหนวยงานภายนอก

งบประมาณ กำหนดพนท CII : Data Center, DR Site และ OSS รวมทง Server Room 11 แหง

ตารางท 1 แสดงขนตอนการบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ กรมสนบสนนบรการสขภาพ ปงบประมาณ พ.ศ.2563 – 2566

ขนตอนการดำเนนงาน ระยะเวลาดำเนนงาน (เดอนท)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

กจกรรมหลกท 1 การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

กจกรรมยอยท 1 Scoping & Planning : กำหนดวตถประสงคการดำเนนงานสอดคลองตามนโยบาย

(1.1) ทบทวน กำหนดรายละเอยด ขนตอนการดำเนนงาน (1.2) จดตงคณะทำงาน

✓ ✓

(1.3) ศกษามาตรฐาน ทำความเขาใจกบกระบวนการ (1.4) วเคราะหและประเมนองคกร (1.5) จดทำแผนยทธศาสตร/แนวทางปฏบต

✓ ✓

กจกรรมยอยท 2 Gap Assessment & Roadmap : กำหนดแนวทางการดำเนนงาน

(2.1) ปรบปรงกระบวนงานตามมาตรฐาน /จดการความรดานความมนคงปลอดภยสารสนเทศ (2.1.1) การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ (2.1.2) การจดการความรดานความมนคงปลอดภยสารสนเทศ (2.2) วางแผนการดำเนนงาน กำหนดตวชวด ควบคม กำกบ ตดตามและประเมนผล

✓ ✓ ✓

13



1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

(2.3) วเคราะหชองวางมาตรฐานการควบคม หาสาเหต ประเมนตามมาตรฐาน (Gap Assessment) (2.4) กำหนดแนวทางปองกนความเสยง

✓ ✓

(2.5) จดทำรายงานเสนอ Director Board

✓ ✓

กจกรรมยอยท 3 ISMS Implementation : พฒนาและปรบปรงกระบวนงานตามแนวทางมาตรฐาน

(3.1) ประเมนระบบในภาพรวม (Holistic Approach)

✓ ✓

(3.2) ประเมนความเสยงตามแผนการดำเนนงาน (Risk Assessment)

✓ ✓ ✓

(3.3) บรหารจดการความเสยง (Risk Management)

(3.4) จดทำเอกสารรองรบการประเมนมาตรฐานฯ (SOA)

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

(3.5) จดทำรายงานเสนอ Director Board (CIO, CSO, CDO, CEO)

✓ ✓ ✓ ✓ ✓ ✓

กจกรรมยอยท 4 Internal & External Audit : ควบคม กำกบ ตดตามและประเมนผลตามแนวทางมาตรฐาน

(4.1) การควบคม กำกบ ตดตาม ปรบปรงอยางตอเนอง (Gap Analysis Report)

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

14



1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

(4.2) ประเมนความเสยงตามเกณฑมาตรฐาน (Risk Assessment)

✓ ✓ ✓ ✓

4.3 การบรหารจดการความเสยง (Risk Management)

(4.3) ตดตามและรายงานผลตามตวชวดทกำหนด (CSF)

✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

(4.4) กลมตรวจสอบภายในดำเนนการตรวจสอบ (Pre-Assessment) ตามเกณฑมาตรฐาน (Risk Management/ Re-Assess & Control)

✓ ✓ ✓

(4.5) รบการประเมนฯ จากหนวยงานภายนอก (MSSP)

✓ ✓ ✓

กจกรรมหลกท 2 การพฒนาศกยภาพบคลากร ดานความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

2.1 การพฒนาศกยภาพบคลากรดานความมนคงปลอดภยฯ 2.1.1 การพฒนาศกยภาพบคลากรขนพนฐาน 2.1.2 การพฒนาศกยภาพบคลากรขนสง 2.1.3 การพฒนาศกยภาพบคลากรเฉพาะทาง

2.2 บคลากรผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยฯ

15



1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

กจกรรมหลกท 3 การประเมนความคมคา คมทนระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ

การประเมนความคมคา คมทนระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ

หมายเหต : * หมายถง การประเมนโดยผตรวจสอบภายใน กรมสนบสนนบรการสขภาพ (Internal Audit) ** หมายถง การประเมนเพอรบรองมาตรฐานการรกษาความมงคงปลอดภยสารสนเทศ จากผใหบรการภายนอก (External Audit by MSSP)

6. กจกรรมและแผนปฏบตการดานการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ โครงการ ตวชวดและคาเปาหมาย ในแตละประเดนยทธศาสตรของ (1) ดานการพฒนาดจทล กรมสนบสนนบรการสขภาพ

(2) ประเดน

ยทธศาสตร

(3) ภาพรวมสำเรจสำคญ

ระดบโครงการ

(4)

ชอโครงการ/สาระสำคญของโครงการ

(5) ตวชวด

(6) หนวยนบ

(7) คาเปาหมาย/งบประมาณโครงการ (8) ผรบผดชอบ

(หนวยดำเนนการ)

ป 2564 (คา/งบ) ลานบาท





ประเดนยทธศาสตรท 1 ยกระดบหนวยงานภาครฐไปสองคกรดจทล กลยทธท 1 การปรบเปลยนขอมลปจจบนใหเปนขอมลดจทลทไดมาตรฐาน

1. ยกระดบความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ

โครงการท 1 โครงการยกระดบความเชอมนและสรางความมนคงปลอดภยสารสนเทศ

ตวชวดท 1 ระดบความสำเรจในการยกระดบความเชอมนและสรางความมนคงปลอดภยสารสนเทศ (ตามเกณฑตวชวดยอยแตละตวทกำหนด)

ระดบ ระดบ 3 /

15.000

ระดบ 4 /

10.000

ระดบ 5 /

5.000

- / 1.5000 (เงนในงบฯ)

- / 2.5000 (เงนในงบฯ)

เงนนอกงบประมาณ 30 ลานบาท /กลมเทคโนโลยสารสนเทศ

1.1 กรมสนบสนนบรการสขภาพไดรบความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ จำนวน 20 หนวยงาน

กจกรรมท 1.1.1 การบรหารจดการความเสยง ตามมาตรฐานความมนคงปลอดภยสารสนเทศ

ตวชวดยอยท 1.1.1 ระดบความสำเรจของการบรหารจดการความเสยงตามมาตรฐานความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ (ตามเกณฑมาตรฐานการจดการความเสยง)

ระดบ ระดบ 4 / -

ระดบ 5 / -

- - - กลมเทคโนโลยสารสนเทศ

กจกรรมท 1.1.2 การบรหารจดการความเสยง ตามมาตรฐานคมครองขอมลสวนบคคล

ตวชวดยอยท 1.1.2 ระดบความสำเรจของการบรหารจดการความเสยง ตามมาตรฐานคมครองขอมลสวนบคคล กรมสนบสนนบรการสขภาพ (ตามเกณฑมาตรฐานการจดการความเสยง)

ระดบ ระดบ 4 /-

ระดบ 5 / -


แบบฟอรม 2-3





(4)


(5) ตวชวด









กจกรรมท 1.1.3 การประเมนผานมาตรฐานความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

ตวชวดยอยท 1.1.3 จำนวนหนวยงานในกรมสนบสนนบรการสขภาพทประเมนผานมาตรฐานความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

จำนวนหนวยงาน

จำนวน 3

หนวยงาน /-

จำนวน 5

หนวยงาน /-

จำนวน 12

หนวยงาน / -

จำนวน 3

หนวยงาน (Re Audit)

/-

จำนวน 5

หนวยงาน (Re Audit)

/-

กลมเทคโนโลยสารสนเทศ

1.2 สถานพยาบาลไดรบความเชอมนในการเขาถงขอมลดานระบบบรการสขภาพ นำรอง จำนวน 5 แหง

กจกรรมท 1.2.1 การตดตามผล การยกระดบความเชอมนและสรางความมนคงปลอดภยสารสนเทศ ตามมาตรฐานสถานพยาบาลดานความมนคงปลอดภยไซเบอร

ตวชวดท 1.2.1 ระดบความสำเรจของการบรหารจดการระบบความมนคงปลอดภยตามมาตรฐานสถานพยาบาลดานความมนคงคงปลอดภยไซเบอร (ตามเกณฑมาตรฐานการบรหารจดการระบบฯ : ISM)


ระดบ 4 / -

ระดบ 5 / -

- - กลมเทคโนโลยสารสนเทศ

กจกรรมท 1.2.2 การตดตามผล การบรหารจดการความเสยงตามมาตรฐานสถานพยาบาลดานความมนคงปลอดภยไซเบอร

ตวชวดยอยท 1.2.2 ระดบความสำเรจของการบรหารจดการความเสยงตามมาตรฐานสถานพยาบาลดานความมนคงปลอดภยไซเบอรตามเกณฑมาตรฐานการจดการความเสยง)


ระดบ 5 / -


กจกรรมท 1.2.3 การประเมนผานมาตรฐานความมนคงปลอดภยสารสนเทศ ของสถานพยาบาล

ตวชวดยอยท 1.2.3 จำนวนสถานพยาบาลทประเมนผานมาตรฐานความมนคงปลอดภยสารสนเทศ ของสถานพยาบาล

จำนวนแหง 1 แหง /-

2 แหง / -

2 แหง / -






(4)


(5) ตวชวด









กลยทธท 3 สรางความพรอมของบคลากรและเครองมอเพอพฒนาไปสองคกรดจทล

2. กรมสนบสนนบรการสขภาพมความพรอมดานความมนคงปลอดภยสารสนเทศ (Information / Cyber Security Certificated)

โครงการท 2. การพฒนาศกยภาพบคลากรดานความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ (Cyber Security Literacy) สาระสำคญ - สรางความเชอมน และความมนคงปลอดภยระบบเทคโนโลยดานสารสนเทศ สำหรบสถานพยาบาล ประกอบดวย 1) การรกษาความมนคงปลอดภยสารสนเทศ 2) การคมครองขอมลสวนบคคล / ขอมลสขภาพ 3) การปองกนการกระทำความผดดานคอมพวเตอร 4) การสรางความเชอมนในการทำธรกรรมอเลกทรอนกส

ตวชวดท 2 ระดบความพรอมของบคลากร กรมสนบสนนบรการสขภาพ ดานความมนคงปลอดภยสารสนเทศ (ตามเกณฑตวชวดยอยแตละตวทกำหนด)

ระดบ ระดบ 3 /2.0000

ระดบ 4 /2.0000

ระดบ 5 /2.0000

-

-

เงนนอกงบประมาณ6 ลานบาท /กลมเทคโนโลยสารสนเทศ

กจกรรมท 2.1 การพฒนาความรดานความมนคงปลอดภยสารสนเทศสำหรบ

ตวชวดยอยท 2.1.1 รอยละของจำนวนบคลากร กรมสนบสนนบรการสขภาพ ทกระดบทไดรบการพฒนา

รอยละ - / รอยละ

20

- / รอยละ

40

- / รอยละ

60






(4)


(5) ตวชวด









บคลากรทกระดบ กรมสนบสนนบรการสขภาพ สาระสำคญ 1) การพฒนาทกษะความรและสรางความตระหนกในการรกษาความมนคงปลอดภยสารสนเทศสำหรบผใชงาน 2) การพฒนาศกยภาพดานความมนคงปลอดภยสารสนเทศ ชนสง 3) การพฒนาทกษะบคลากรดานความมนคงปลอดภยสารสนเทศ

3.1) ผบรหารเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร

3.2) ผเชยวชาญและจดการเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร

3.3) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ

ความร ความเขาใจดานความมนคงปลอดภยสารสนเทศ เพมขนรอยละ 20





(4)


(5) ตวชวด









3.4) ผตรวจสอบสภาพแวดลอมภยคกคามไซเบอร

3.5) ผประเมนความเสยงและชองโหวระบบเทคโนโลยสารสนเทศ

3.6) นกทดสอบชองโหวและภยคกคามระบบเทคโนโลยสารสนเทศ

- การตรวจสอบระบบเทคโนโลยสารสนเทศดวยวธการตรวจสอบ ชองโหว Vulnerability Assessment (Web Application Hacking)

- การเจาะระบบ (Penetration Testing)

3.7) นกวจยและวเคราะหงานเทคโนโลยสารสนเทศดานความมนคงปลอดภยไซเบอร

ตวชวดยอยท 2.1.2 รอยละของระดบความพงพอใจในการพฒนาความรดานความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ

รอยละ รอยละ 80 / -

รอยละ 80 / -







(4)


(5) ตวชวด









กจกรรมท 2.2 การพฒนาความรดานความมนคงปลอดภยสารสนเทศสำหรบบคลากรกลมเปาหมาย กรมสนบสนนบรการสขภาพ

ตวชวดยอยท 2.2 รอยละของจำนวนบคลากรกลมเปาหมาย กรมสนบสนนบรการสขภาพ ทไดรบการพฒนาความรดานความมนคงปลอดภยสารสนเทศ





การเตรยมความพรอมบคลากรในการจดตง SOC Team รองรบภารกจมาตรฐานสถานพยาบาลดานความมนคงปลอดภยไซเบอร (อยางนอย จำนวน 9 คน)

กจกรรมท 2.3 การสนบสนนบคลากรกลมเปาหมาย กรมสนบสนน บรการสขภาพใหผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ

ตวชวดยอยท 2.3 จำนวนบคลากรกลมเปาหมาย กรมสนบสนนบรการสขภาพ ทผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ (IS Certificated)

จำนวน 3 คน / -

3 คน / -

3 คน / -


กลยทธท 3 สรางความพรอมของบคลากรและเครองมอเพอพฒนาไปสองคกรดจทล

3. สถานพยาบาลไดรบการสงเสรม สนบสนนใหผานการประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ เพอจดตง SOC Team (Information/ Cyber Security Literacy) จำนวน 5 แหง

โครงการท 3 การสนบสนนใหบคลากรสถานพยาบาลผานเกณฑมาตรฐานดานความมนคงปลอดภยสารสนเทศ (Information /Cyber Security Certificated) สาระสำคญ - สรางความเชอมน และความมนคงปลอดภยระบบ

ตวชวดท 3 ระดบความพรอมของบคลากรสถานพยาบาลดานความมนคงปลอดภยสารสนเทศ (ตามเกณฑตวชวดยอยแตละตวทกำหนด)

ระดบ ระดบ 3 /3.0000

ระดบ 4 /3.0000

ระดบ 5 /3.0000

ระดบ 5 /2.0000

ระดบ 5 /5.0000

เงนนอกงบประมาณ9 ลานบาท /กลมเทคโนโลยสารสนเทศ





(4)


(5) ตวชวด









เทคโนโลยดานสารสนเทศ สำหรบสถานพยาบาล ประกอบดวย 1) การรกษาความมนคงปลอดภยสารสนเทศ 2) การคมครองขอมลสวนบคคล / ขอมลสขภาพ 3) การปองกนการกระทำความผดดานคอมพวเตอร 4) การสรางความเชอมนในการทำธรกรรมอเลกทรอนกส

กจกรรมท 3.1 การพฒนาความรดานความมนคงปลอดภยสารสนเทศสำหรบบคลากรทกระดบ ของสถานพยาบาล สาระสำคญ -อบรมเพมทกษะเจาหนาททรบผดชอบสงเสรมและประเมนมาตรฐานระบบบรการสขภาพดานการรกษาความมนคงปลอดภยไซเบอร

ตวชวดยอยท 3.1.1 รอยละของจำนวนบคลากร สถานพยาบาลทกระดบทไดรบการพฒนาความร ความเขาใจดานความมนคงปลอดภยสารสนเทศ เพมขนรอยละ 30 ตวชวดยอยท 3.1.2 รอยละของจำนวนบคลากร สถานพยาบาลเฉพาะทางทไดรบการพฒนาความร ความเขาใจดานความมนคง

รอยละ

รอยละ







- -

- -

กลมเทคโนโลยสารสนเทศ กลมเทคโนโลยสารสนเทศ





(4)


(5) ตวชวด









- สงเสรม สนบสนน สถานพยาบาลรวมกบเขตสขภาพ - การเยยมประเมนสถานพยาบาล อยางนอยเขตละ 1 แหง - ทบทวนและปรบปรงมาตรฐานสถานพยาบาลดานการรกษาความมนคงปลอดภยไซเบอร

ปลอดภยสารสนเทศ เพมขนรอยละ 20

การเตรยมความพรอมบคลากรในการจดตง SOC Team รองรบภารกจมาตรฐานสถานพยาบาลดานความมนคงปลอดภยไซเบอรของสถานพยาบาล (แหงละ 1 คน จำนวน 5 แหง)

สาระสำคญ - การเสนอขออนมตจดจาง/จดสรรกรอบอตรากำลง (Human Resource Management) - การสนบสนนใหสอบผานเกณฑมาตรฐานดานความมนคงปลอดภยสารสนเทศ (IS Certificated)

ตวชวดยอยท 3.1.3 จำนวนบคลากรกลมเปาหมายของสถานพยาบาลดานความมนคงปลอดภยสารสนเทศ

จำนวน 5 คน /-

5 คน /-

5 คน /-


กลยทธท 3 สรางความพรอมของบคลากรและเครองมอ

4.กรมสนบสนนบรการสขภาพมระบบเทคโนโลยสารสนเทศทมประสทธภาพรองรบ

โครงการท 4 โครงการบำรงรกษาระบบเทคโนโลยสารสนเทศ

ตวชวดท 4 ระดบความสำเรจในการบำรงรกษาระบบ

ระดบ

ระดบ 5 /-

(รวม 11.580)

ระดบ 5 /-

(รวม 11.580)

ระดบ 5 /-

(รวม 11.580)

ระดบ 5 /-

(รวม 11.680)

ระดบ 5 /-

(รวม 11.680)






(4)


(5) ตวชวด









เพอพฒนาไปสองคกรดจทล

การใหบรการประชาชนไดตลอด 24 ชวโมง

กรมสนบสนนบรการสขภาพ

เทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ (ตามเกณฑตวชวดยอยแตละตวทกำหนด)

1. มระบบสำรองขอมลระบบโปรแกรมคอมพวเตอรทสำคญของกรมสนบสนนบรการสขภาพไปยงศนยสำรองขอมล (DR-site) อยางมประสทธภาพ จำนวน 1 ระบบ ๒. มระบบปองกนภยคกคามจากไวรสคอมพวเตอร และผไมประสงคดจากภายในและภายนอกหนวยงาน (Cyber Attack)

กจกรรมท 4.1 การบำรงรกษาระบบสำรองขอมล (DR-Site) และระบบปองกนไวรสคอมพวเตอร กรมสนบสนนบรการสขภาพ สาระสำคญ - จดทำระบบสำรองขอมล สาระสำคญ - มระบบปองกนภยคกคามดานเทคโนโลยสารสนเทศ

ตวชวดยอยท 4.1.1 ระดบความสำเรจในการเพมประสทธภาพระบบสำรองขอมลทมประสทธภาพ กรมสนบสนนบรการสขภาพ ตวชวดยอยท 4.1.2 ระดบความสำเรจในการปองกนภยคกคามดานเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ (ตามเกณฑมาตรฐานการปองกนภยคกคามฯ)

ระบบ

ระดบ

1 ระบบ /1.8000

ระดบ 5 / -

1 ระบบ /1.8000

ระดบ 5 / -

1 ระบบ /1.8000

ระดบ 5 / -

1 ระบบ /1.8000

ระดบ 5 / -

1 ระบบ /1.8000

ระดบ 5 / -

กลมเทคโนโลยสารสนเทศ กลมเทคโนโลยสารสนเทศ

ศนยสนบสนนบรการสขภาพท 1-12 และ ศนยพฒนาการสาธารณสขมลฐาน 5 แหง สามารถใชงานระบบเครอขายคอมพวเตอรและอปกรณตอพวง ไดอยาง

กจกรรมท 4.2 การบำรงรกษาระบบเครอขายคอมพวเตอรและอปกรณตอพวง ของเขตสขภาพ สาระสำคญ

ตวชวดยอยท 4.2.1 ระดบความสำเรจของการบำรงรกษาระบบเครอขายคอมพวเตอรและอปกรณตอพวงของเขตสขภาพ กรมสนบสนนบรการสขภาพ

จำนวนระบบ

17 ระบบ/

2.0000

17 ระบบ/

2.0000

17 ระบบ/

2.0000

17 ระบบ/

2.0000

17 ระบบ/

2.0000






(4)


(5) ตวชวด









มประสทธภาพ จำนวน 17 ระบบ

- จดจางบรษทดำเนนการบำรงรกษาระบบเครอขายคอมพวเตอรและอปกรณ ตอพวงของศนยสนบสนนบรการสขภาพท 1-12 และ ศนยพฒนาการสาธารณสขมลฐาน 5 แหง - เฝาระวง การรกษาความมนคงปลอดภยสารสนเทศ ของศนยสนบสนนบรการสขภาพท 1-12 และ ศนยพฒนาการสาธารณสขมลฐาน 5 แหง

ระบบไฟฟาสำรองและระบบปรบอากาศภายในหองศนยขอมล (Data Center) กรมสนบสนนบรการสขภาพ และศนยสำรองขอมล (DR-site) ชลบร ใหมประสทธภาพพรอมใชงานตลอดเวลา ตามมาตรฐาน ISO 27001

กจกรรมท 4.3 การบำรงรกษาระบบไฟฟาสำรองและระบบปรบอากาศหองศนยขอมล (Data Center) กรมสนบสนนบรการสขภาพ และศนยสำรองขอมล (DR-site) ชลบร สาระสำคญ - บำรงรกษาระบบไฟฟาสำรอง - บำรงรกษาระบบปรบอากาศ

ตวชวดยอยท 4.3 รอยละของจำนวนเวลา Downtime ของระบบไฟฟาสำรองและระบบปรบอากาศ

รอยละ

-

-

-

นอยกวารอยละ 5/ 1.0000

นอยกวารอยละ 5/ 1.0000






(4)


(5) ตวชวด









กจกรรมท 4.4 ความพงพอใจในการใชประโยชนจากระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ สาระสำคญ กรมสนบสนนบรการสขภาพมระบบเทคโนโลยสารสนเทศทมประสทธภาพรองรบการใหบรการประชาชนไดตลอด 24 ชวโมง

ตวชวดยอยท 4.4 รอยละของระดบความพงพอใจในการใชประโยชนจากระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ







31

7. การตดตามและประเมนผลการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ 1. กรมสนบสนนบรการสขภาพบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศทมประสทธภาพ

และเกดประสทธผล 2. กรมสนบสนนบรการสขภาพ ดำเนนงานตามมาตรฐานความมนคงปลอดภยดานสารสนเทศ: ISO/IEC 27001: 2013 3. กรมสนบสนนบรการสขภาพไดรบความเชอมนในการเขาถงและใชประโยชนจากขอมลสารสนเทศดานระบบ

บรการสขภาพภาครฐแบบครบวงจรรองรบนโยบายเศรษฐกจดจทล (Digital Economy) ตามท กรมสนบสนนบรการสขภาพไดจดทำ “แผนบรหารจดการระบบความมนคงปลอดภยดานสารสนเทศ

กรมสนบสนนบรการสขภาพ พ.ศ. 2563 – 2566” เพอใหการดำเนนงานสอดคลองตามทกฎหมายกำหนด รวมทงการนำมาตรฐานสากลมาปรบใชในการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ

ดานการตดตาม ประเมนผลทสำคญ คอ 1) ตองรความจรง 2) ตองทนเวลา ไมกอใหเกดความเสยหาย หรอเสยหายนอยท สด 3) ตองสรางสรรค สรางขวญและกำลงใจ 4) ตองสงเสรมการพฒนาตนเอง และ 5) ตองมประสทธภาพสงเพอใหการบรหารจดการบรรลผลสำเรจตามเปาหมาย สงผลใหประชาชนมความปลอดภย เชอมน ในการเขาใชบรการขอมลสารสนเทศดานระบบบรการสขภาพ การเพมมลคาการทำธรกรรมอเลกทรอนกส ทสามารถสรางรายไดสประเทศเพมขน รวมทงการคมครองประชาชนหรอผลประโยชนทสำคญของประเทศ ดงน

ภาพรวมความสำเรจทสำคญ แผนงานและตวชวด ตวดำเนนงาน 1. การยกระดบความเชอมนและสรางความมนคงปลอดภยสารสนเทศ

1. แผนการยกระดบความเชอมนและสรางความมนคงปลอดภยสารสนเทศ - ระดบความสำเรจในการยกระดบความเชอมนและสรางความมนคงปลอดภยสารสนเทศ

(1) การบรหารจดการระบบความมนคงปลอดภย สารสนเทศ

(1) แผนการบรหารจดการระบบความมนคงปลอดภย สารสนเทศ - ระดบความสำเรจของการการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ

(2) การบรหารจดการความเสยงการรกษาความมนคงปลอดภยดานสารสนเทศ

(2) แผนการบรหารจดการความเสยงการรกษาความมนคงปลอดภยดานสารสนเทศ - ระดบความสำเรจการบรหารจดการความเสยงการรกษาความมนคงปลอดภยดานสารสนเทศ

(3) การบรหารจดการความเสยงดานการคมครองขอมลสวนบคคล

(3) แผนการบรหารจดการความเสยงดานการคมครองขอมลสวนบคคล - ระดบความสำเรจการบรหารจดการความเสยงดานการคมครองขอมลสวนบคคล

2. การพฒนาศกยภาพบคลากรใหผานเกณฑประเมนมาตรฐานดานความมนคงปลอดภยสารสนเทศ (Cyber Security Certification)

2. แผนการพฒนาศกยภาพบคลากรเฉพาะทางดานความมนคงปลอดภยสารสนเทศ - รอยละของบคลกรการผานเกณฑมาตรฐานดานความมนคงปลอดภยสารสนเทศ

(1) การพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) สำหรบบคลากรกรมสนบสนนบรการสขภาพ

(1) แผนการพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ กรมสนบสนนบรการสขภาพ - ระดบความพรอมของบคลากรกรมสนบสนนบรการสขภาพ ดานความมนคงปลอดภยสารสนเทศ

32

ภาพรวมความสำเรจทสำคญ แผนงานและตวชวด ตวดำเนนงาน - รอยละ 80 ของบคลากรพงพอใจตอการพฒนา องคความรและทกษะดานความมนคงปลอดภยสารสนเทศ

(2) การพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ (Cyber Security Literacy) สำหรบบคลากรสถานพยาบาล

(2) แผนการพฒนาองคความรและทกษะดานความมนคงปลอดภยสารสนเทศ สถานพยาบาล - ระดบความพรอมของบคลากรสถานพยาบาลดานความมนคงปลอดภยสารสนเทศ

3. การบำรงรกษาระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ

3. แผนการบำรงรกษาระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ - ระดบความสำเรจในการบำรงรกษาระบบเทคโนโลยสารสนเทศ กรมสนบสนนบรการสขภาพ

33

เอกสารอางอง

1. พระราชบญญตขอมลขาวสารของทางราชการ พ.ศ. 2540 2. พระราชบญญตสถานพยาบาล พ.ศ.2541 และทแกไขเพมเตม 3. พระราชบญญตการประกอบโรคศลปะ พ.ศ.2542 และทแกไขเพมเตม 4. พระราชบญญตคมครองเดกทเกดโดยอาศยเทคโนโลยชวยการเจรญพนธทางการแพทย พ.ศ.2558 5. พระราชบญญตสถานประกอบการเพอสขภาพ พ.ศ.2559 6. แผนพฒนาเศรษฐกจและสงคมแหงชาต ฉบบท 12 (พ.ศ.2560 – 2564) 7. นโยบายและยทธศาสตรการวจยของชาต ฉบบท 10 (พ.ศ.2560 – 2564) 8.แผนพฒนารฐบาลดจทลของประเทศไทย ระยะ 3 ป (พ.ศ. 2559 – 2561) 9. ยทธศาสตรการเปนศนยกลางดานระบบบรการสขภาพ (Medical Hub) รองรบยทธศาสตรประเทศ (Country Strategy)

พ.ศ. 2559 – 2563 กระทรวงสาธารณสข 10. ยทธศาสตรการบรหารสถาบนวจยระบบสาธารณสข (สวรส.) 11. แผนแมบทเทคโนโลยสขภาพสารสนเทศ กองสขภาพระหวางประเทศ ปงบประมาณ พ.ศ. 2560 12. แผนยทธศาสตรชาต ระยะ 20 ป (ดานสาธารณสข) กระทรวงสาธารณสข : ระบบบรหารจดการ

(Governance Excellence) ประเดนระบบขอมลและเทคโนโลยสารสนเทศ 13. แผนพฒนาดจทลเพอเศรษฐกจและสงคม ระยะ 3 ป (พ.ศ.2561-2563) กรมสนบสนนบรการสขภาพ

กระทรวงสาธารณสข 14. พระราชบญญตงบประมาณประจำป พ.ศ. 2561 ยทธศาสตรท 4: พฒนาระบบบรหารจดการองคกรอยางม

ประสทธภาพกลยทธท 1: พฒนาระบบบรหารจดการองคกร 15. แผนพฒนาดจทลเพอเศรษฐกจและสงคม กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข ระยะ 3 ป (พ.ศ.

2561 – 2563) 16. แผนพฒนารฐบาลดจทลของประเทศไทย ระยะ 5 ป (พ.ศ. 2560 – 2564) 17. พระราชบญญตวาดวยการกระทำความผดทางคอมพวเตอร พ.ศ. 2560 18. พระราชบญญตการรกษาความมนคงปลอดภยไซเบอร พ.ศ. 2562 19. พระราชบญญตคมครองขอมลสวนบคคล พ.ศ. 2562 20. พระราชบญญตการบรหารงานและการใหบรการภาครฐผานระบบดจทล พ.ศ.2562 21. พระราชบญญตวาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 4) พ.ศ. 2562 และทเกยวของ

Documents

ISMS Strategy [HSS, MoPH]ict.hss.moph.go.th/fileupload_doc/2020-07-01-1-20...1977/01/01 · 2 DRAFT 2020 ISMS STRATEGY [HSS, MOPH] | 24 February,2020 ภาคผนวก ค การบร