Upload
nawanan-theera-ampornpunt
View
8.647
Download
0
Embed Size (px)
Citation preview
มาตรฐานการปองกนความลบของผปวย
นพ.นวนรรน ธระอมพรพนธคณะแพทยศาสตร รพ.รามาธบด
16 ม.ค. 2559
http://www.SlideShare.net/Nawanan
Malware
Threats to Information Security
Privacy Threats & Health Care
http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm
Privacy Threats & Health Care
Sources of the Threats
Hackers
Viruses & Malware
Poorly-designed systems
Insiders (Employees)
People’s ignorance & lack of knowledge
Disasters & other incidents affecting information systems
Information risks Unauthorized access & disclosure of confidential information Unauthorized addition, deletion, or modification of information
Operational risks System not functional (Denial of Service - DoS) System wrongly operated
Personal risks Identity thefts Financial losses Disclosure of information that may affect employment or other
personal aspects (e.g. health information) Physical/psychological harms
Organizational risks Financial losses Damage to reputation & trust
Etc.
Consequences of Security Attacks
Security & Privacy
http://en.wikipedia.org/wiki/A._S._Bradford_House
Security & Privacy
Information Security
Confidentiality
Integrity
Availability
Protecting Information Privacy & Security
Alice
Simplified Attack Scenarios
Server Bob
Eve/Mallory
Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something (malware, phishing & social engineering)
Eve/Mallory
Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or “sniffing”) data in transit
- Modifying data (“Man-in-the-middle” attacks)
- “Replay” attacksEve/Mallory
Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through- Physical means- User accounts & privileges- Attacks through software vulnerabilities- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory
Alice
Simplified Attack Scenarios
Server Bob
Other & newer forms of attacks possible
Eve/Mallory
Alice
Safeguarding Against Attacks
Server Bob
Administrative Security- Security & privacy policy- Governance of security risk management & response- Uniform enforcement of policy & monitoring- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)- Legal obligations, requirements & disclaimers
Alice
Safeguarding Against Attacks
Server Bob
Physical Security- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras- Mobile device security- Secure storage & secure disposition of storage devices
Alice
Safeguarding Against Attacks
Server Bob
User Security- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)- Principle of Least Privilege- “Clear desk, clear screen policy”- Audit trails
- Education, awareness building & policy enforcement- Alerts & education about phishing & social engineering
Alice
Safeguarding Against Attacks
Server Bob
System Security- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities- Redundancy (avoid “Single Point of Failure”)- Honeypots
Alice
Safeguarding Against Attacks
Server Bob
Software Security- Software (clients & servers) that is secure by design- Software testing against failures, bugs, invalid inputs,
performance issues & attacks- Updates to patch vulnerabilities
Alice
Safeguarding Against Attacks
Server Bob
Network Security- Access control (physical & electronic) to network devices- Use of secure network protocols if possible- Data encryption during transit if possible- Bandwidth monitoring & control
Alice
Safeguarding Against Attacks
Server Bob
Database Security- Access control to databases & storage devices- Encryption of data stored in databases if necessary- Secure destruction of data after use- Access control to queries/reports- Security features of database management systems (DBMS)
Privacy Safeguards
Image: http://www.nurseweek.com/news/images/privacy.jpg
Security safeguards
Informed consent
Privacy culture
User awareness building & education
Organizational policy & regulations
Enforcement
Ongoing privacy & security assessments, monitoring, and protection
User Security
Need for Strong Password Policy
So, two informaticianswalk into a bar...
The bouncer says, "What's the password."
One says, "Password?"
The bouncer lets them in.
Credits: @RossMartin & AMIA (2012)
Access control
Selective restriction of access to the system
Role-based access control
Access control based on the person’s role (rather than identity)
Audit trails
Logs/records that provide evidence of sequence of activities
User Security
Identification
Identifying who you are
Usually done by user IDs or some other unique codes
Authentication
Confirming that you truly are who you identify
Usually done by keys, PIN, passwords or biometrics
Authorization
Specifying/verifying how much you have access
Determined based on system owner’s policy & system configurations
“Principle of Least Privilege”
User Security
Recommended Password Policy Length
8 characters or more (to slow down brute-force attacks)
Complexity (to slow down brute-force attacks)
Consists of 3 of 4 categories of characters
Uppercase letters
Lowercase letters
Numbers
Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection)
No meaning (“Dictionary Attacks”)
Not simple patterns (12345678, 11111111) (to slow down brute-force attacks & prevent dictionary attacks)
Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing)
Personal opinion. No legal responsibility assumed.
Recommended Password Policy Expiration (to make brute-force attacks not possible)
6-8 months
Decreasing over time because of increasing computer’s speed
But be careful! Too short duration will force users to write passwords down
Secure password storage in database or system (encrypted or store only password hashes)
Secure password confirmation
Secure “forget password” policy
Different password for each account. Create variations to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.
Clear Desk, Clear Screen Policy
http://pixabay.com/en/post-it-sticky-note-note-corner-148282/
Techniques to Remember Passwords
http://www.wikihow.com/Create-a-Password-You-Can-Remember
Note that some of the techniques are less secure!
One easy & secure way: password mnemonic
Think of a full sentence that you can remember
Ideally the sentence should have 8 or more words, with numbers and symbols
Use first character of each word as password
Sentence: I love reading all 7 Harry Potter books!
Password: Ilra7HPb!
Voila!
Personal opinion. No legal responsibility assumed.
พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ก าหนดการกระท าทถอเปนความผด และหนาทของผใหบรการ
พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 พรบ.วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 2) พ.ศ. 2551
รองรบสถานะทางกฎหมายของขอมลทางอเลกทรอนกส รบรองวธการสงและรบขอมลอเลกทรอนกส การใชลายมอชอ
อเลกทรอนกส (electronic signature) และการรบฟงพยานหลกฐานทเปนขอมลอเลกทรอนกส เพอสงเสรมการท า e-transactions ใหนาเชอถอ
ก าหนดใหมคณะกรรมการธรกรรมทางอเลกทรอนกส และอ านาจหนาท
กฎหมายดานเทคโนโลยสารสนเทศของไทย
หามมใหปฏเสธความมผลผกพนและการบงคบใชทางกฎหมายของขอความใด เพยงเพราะเหตทขอความนนอยในรปของขอมลอเลกทรอนกส (มาตรา 7)
ใหถอวาขอมลอเลกทรอนกส มการลงลายมอชอแลว ถา (1) ใชวธการทระบตวเจาของลายมอชอ และ (2) เปนวธการทเชอถอได (มาตรา 9)
ธรกรรมทางอเลกทรอนกสทไดกระท าตามวธการแบบปลอดภยทก าหนดใน พรฎ. ใหสนนษฐานวาเปนวธการทเชอถอได (มาตรา 25)
ค าขอ การอนญาต การจดทะเบยน ค าสงทางปกครอง การช าระเงน การประกาศ หรอการด าเนนการใดๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระท าในรปของขอมลอเลกทรอนกสตามหลกเกณฑและวธการทก าหนดโดย พรฎ.
ใหถอวามผลโดยชอบดวยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธรกรรมทางอเลกทรอนกส
พรฎ.ก าหนดประเภทธรกรรมในทางแพงและพาณชยทยกเวนมหน ากฎหมายวาดวยธรกรรมทางอเลกทรอนกสมาใชบงคบ พ.ศ. 2549
ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส (บางฉบบทเกยวของ) เรอง การรบรองสงพมพออก พ.ศ. 2555
ก าหนดหลกเกณฑและวธการรบรองสงพมพออก (Print-Out) ของขอมลอเลกทรอนกส เพอใหสามารถใชอางองแทนขอมลอเลกทรอนกส และมผลใชแทนตนฉบบได
เรอง หลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความใหอยในรปของขอมลอเลกทรอนกส พ.ศ. 2553 ก าหนดหลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความท
ไดมการจดท าหรอแปลงใหอยในรปของขอมลอเลกทรอนกสในภายหลง
กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
พรฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549 ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษาความ
มนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 ก าหนดมาตรฐาน Security Policy ของหนวยงานของรฐทมการท า
ธรกรรมทางอเลกทรอนกสภาครฐ ประกาศ เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมล
สวนบคคลของหนวยงานของรฐ พ.ศ. 2553 ก าหนดมาตรฐาน Privacy Policy ของหนวยงานของรฐทมการท า
ธรกรรมทางอเลกทรอนกสภาครฐ
กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 ประกาศ เรอง ประเภทของธรกรรมทางอเลกทรอนกส
และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. 2555 หลกเกณฑการประเมนเพอก าหนดระดบวธการแบบปลอดภย
ขนต า ประกาศ เรอง มาตรฐานการรกษาความมนคงปลอดภย
ของระบบสารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555 ก าหนดมาตรฐานความปลอดภยตามวธการแบบปลอดภยแต
ละระดบ
กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
มาตรา 25 ของ พรบ.วาดวยธรกรรมทางอเลกทรอนกส “ธรกรรมทางอเลกทรอนกสใดทไดกระท าตามวธการแบบ
ปลอดภยทก าหนดในพระราชกฤษฎกา ใหสนนษฐานวาเปนวธการทเชอถอได
พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 วธการแบบปลอดภย ม 3 ระดบ (พนฐาน, กลาง, เครงครด) จ าแนกตามประเภทของธรกรรมทางอเลกทรอนกส (ธรกรรมทม
ผลกระทบตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน) หรอจ าแนกตามหนวยงาน (ธรกรรมของหนวยงานหรอองคกรทถอเปนโครงสรางพนฐานส าคญของประเทศ หรอ Critical Infrastructure)
“วธการแบบปลอดภย”
ธรกรรมทางอเลกทรอนกส ประเภทตอไปน ดานการช าระเงนทางอเลกทรอนกส ดานการเงนของธนาคารพาณชย ดานประกนภย ดานหลกทรพยของผประกอบธรกจหลกทรพย ธรกรรมทจดเกบ รวบรวม และใหบรการขอมลของบคคลหรอ
ทรพยสนหรอทะเบยนตางๆ ทเปนเอกสารมหาชนหรอทเปนขอมลสาธารณะ
ธรกรรมในการใหบรการดานสาธารณปโภคและบรการสาธารณะทตองด าเนนการอยางตอเนองตลอดเวลา
วธการแบบปลอดภยในระดบเครงครด
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)
ผลกระทบดานมลคาความเสยหายทางการเงน ต า: ≤ 1 ลานบาท ปานกลาง: 1 ลานบาท < มลคา ≤ 100 ลานบาท สง: > 100 ลานบาท
ระดบผลกระทบกบวธการแบบปลอดภย
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน) ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบ
อนตรายตอชวต รางกาย หรออนามย ต า: ไมม ปานกลาง: ผลกระทบตอรางกายหรออนามย 1-1,000 คน สง: ผลกระทบตอรางกายหรออนามย > 1,000 คน หรอตอชวตตงแต
1 คน
ระดบผลกระทบกบวธการแบบปลอดภย
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน) ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความ
เสยหายอนใด ต า: ≤ 10,000 คน ปานกลาง: 10,000 < จ านวนผไดรบผลกระทบ ≤ 100,000 คน สง: > 100,000 คน
ผลกระทบดานความมนคงของรฐ ต า: ไมมผลกระทบตอความมนคงของรฐ สง: มผลกระทบตอความมนคงของรฐ
ระดบผลกระทบกบวธการแบบปลอดภย
พจารณาตามประเภทของธรกรรมทางอเลกทรอนกส พจารณาตามระดบผลกระทบ
ถามผลประเมนทเปนผลกระทบในระดบสง 1 ดาน ใหใชวธการแบบปลอดภยระดบเครงครด
ระดบกลางอยางนอย 2 ดาน ใหใชวธการแบบปลอดภยระดบกลาง
นอกจากน ใหใชวธการแบบปลอดภยในระดบพนฐาน
สรปวธการประเมนระดบวธการแบบปลอดภย
อางองมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements
มผลใชบงคบเมอพน 360 วน นบแตวนประกาศในราชกจจานเบกษา (19 ธ.ค. 2555) คอ 14 ธ.ค. 2556
ไมมบทก าหนดโทษ เปนเพยงมาตรฐานส าหรบ “วธการทเชอถอได” ในการพจารณาความนาเชอถอในทางกฎหมายของธรกรรมทางอเลกทรอนกส แตมผลในเชงภาพลกษณและน าหนกการน าขอมลอเลกทรอนกสไปเปนพยานหลกฐานในการตอสคดในศาลหรอการด าเนนการทางกฎหมาย
คณะกรรมการธรกรรมทางอเลกทรอนกสอาจพจารณาประกาศเผยแพรรายชอหนวยงานทมการจดท านโยบายและแนวปฏบตโดยสอดคลองกบวธการแบบปลอดภย เพอใหสาธารณชนทราบเปนการทวไปกได
ประกาศ เรอง มาตรฐาน Security ตามวธการแบบปลอดภย
แบงเปน 11 หมวด (Domains) Security policy Organization of information security Asset management Human resources security Physical and environmental security Communications and operations management Access control Information systems acquisition, development and
maintenance Information security incident management Business continuity management Regulatory compliance
มาตรฐาน Security ตามวธการแบบปลอดภย
มาตรฐาน Security ตามวธการแบบปลอดภย แตละระดบหมวด (Domain) ระดบพนฐาน ระดบกลาง
(เพมเตมจากระดบพนฐาน)ระดบสง
(เพมเตมจากระดบกลาง)
Security policy 1 ขอ 1 ขอ -
Organization of information security 5 ขอ 3 ขอ 3 ขอ
Asset management 1 ขอ 4 ขอ -
Human resources security 6 ขอ 1 ขอ 2 ขอ
Physical and environmental security 5 ขอ 2 ขอ 6 ขอ
Communications & operations management 18 ขอ 5 ขอ 9 ขอ
Access control 9 ขอ 8 ขอ 8 ขอ
Information systems acquisition, development and maintenance
2 ขอ 6 ขอ 8 ขอ
Information security incident management 1 ขอ - 3 ขอ
Business continuity management 1 ขอ 3 ขอ 1 ขอ
Regulatory compliance 3 ขอ 5 ขอ 2 ขอ
รวม 52 ขอ 38 ขอ (รวม 90 ขอ) 42 ขอ (รวม 132 ขอ)
แนวทางปฏบตทวไปส าหรบโรงพยาบาล แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาส
เขาถงขอมลผปวยของโรงพยาบาล แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและ
เจาหนาทฝาย IT ของโรงพยาบาล
แนวทางปฏบตส าหรบโรงพยาบาล
หมายถง การปองกนดแลมใหเกดความเสยงตอความมนคงปลอดภยและความลบผปวย ททกโรงพยาบาลจะตองปฏบตใหไดอยางนอยตามแนวทางปฏบตน รวม 7 เรอง
Physical Security: ก าหนดและแบงแยกพนทจดเกบเวชระเบยนและเครอง server ใหชดเจน ก าหนดเปนเขตหวงหามเฉพาะ ปดหรอใสกญแจประตหนาตางหรอหองเสมอเมอไมมเจาหนาทประจ าอย
Physical Access Logs: จดใหมสมดทะเบยนบนทกการเขาออกหอง server และสมดทะเบยนบนทกการน าเวชระเบยนออกมาใชและการสงเวชระเบยนกลบคน
แนวทางปฏบตทวไปส าหรบโรงพยาบาล
Medical Records Tracking: จดใหมระบบตรวจสอบการสงเวชระเบยนกลบคนทกวนวาครบจ านวนทน าออกไป กอนเวลา 16.00 น. ตดตามกลบคนใหไดกอนเวลา 16.30 น.
Business Continuity: จดใหมระบบฉกเฉนเมอไฟฟาดบหรอระบบใชงานไมได และซอมเปนระยะๆ เชน ทกป และปรบปรงกระบวนการท างานเมอระบบขดของใหเหมาะสมอยเสมอ
แนวทางปฏบตทวไปส าหรบโรงพยาบาล
Medical Records Confidential Handling: ก าหนดชนความลบของขอมลผปวยเปนระดบ “ลบ” และด าเนนการแบบเดยวกบการรบสงเอกสารลบ การท าส าเนา บนทกจ านวนชด ชอ ต าแหนงผด าเนนการ วน
เวลา ฯลฯ ไวทตนฉบบและส าเนา การสงออกเวชระเบยนนอก รพ. ตองบรรจซองทบแสง 2 ชน จา
หนาและแสดงชนความลบตามระเบยบ การจดเกบและท าลายเวชระเบยน (ตายผดธรรมชาต เกบไวไม
ต ากวา 20 ป กรณอนๆ 10 ป) Health Information Disclosure Review: มกระบวนการ
กลนกรองและพจารณาการน าขอมลผปวยทระบตวบคคลได ไปใชประโยชนอยางอน หรอเปดเผยตอภายนอก
Informed Consent: จดใหมระบบยนยอมใหใชขอมลผปวย (ดตวอยางในมาตรฐาน)
แนวทางปฏบตทวไปส าหรบโรงพยาบาล
หมายถง แนวทางการรกษาความมนคงปลอดภยและความลบผปวยทเจาหนาททกคนทมโอกาสเขาถงขอมลผปวย ตองปฏบตใหไดอยางนอยตามแนวทางปฏบตน รวม 9 เรอง
Responsibility: จนท. ทกคนมหนาทปองกน ดแล รกษาไวซง Confidentiality, Integrity และ Availability ของขอมล ตลอดจนเอกสารเวชระเบยนของผปวย
Confidentiality & Integrity: หามเผยแพร ท าส าเนา ถายภาพ เปลยนแปลง ลบทง หรอท าลายขอมลผปวย ในเวชระเบยนและในระบบคอมพวเตอรทกกรณ นอกจากไดรบมอบหมายใหด าเนนการจาก ผอ.
แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาสเขาถงขอมลผปวยของ รพ.
Content Modification: การแกไขขอมลผปวย ใหด าเนนการตามระเบยบปฏบตวาดวยการแกไขขอมล เชน ขดฆาพรอมลงนามก ากบและวนเวลาทแกไข หามใชน ายาลบค าผด ในระบบคอมพวเตอร หามลบขอมลเดมทง แตใหแกไขแลวเชอมโยงขอมลใหรวาขอความใหมใชแทนขอความเดมวาอยางไร
Secure Data Handling: การสงขอมลผปวยภายในสถานพยาบาล ใหด าเนนการตามระเบยบการสงขอมลลบ เชน ไมใหผปวยเปนผถอเวชระเบยนจากจดบรการหนงไปยงจดอนๆ
แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาสเขาถงขอมลผปวยของ รพ.
No Confidential Data in Social Media: หามสงขอมลโดยใชชองทางทไมเหมาะสม เชน สงทาง Line หรอ Social Media
Secure Password Policy: ตงรหสผานทเดาไดยาก ปกปดเปนความลบ ไมใหผอนน าไปใช และเปลยนรหสผานตามก าหนดเวลาทบงคบ
External Files: หามเปดไฟลจากภายนอกทกกรณ ส าหรบการเปดไฟลงานจากหนวยงานภายใน ให scan virus กอนเปดไฟลทกครง
แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาสเขาถงขอมลผปวยของ รพ.
No Rogue Devices: หามน าเครองคอมพวเตอร อปกรณอนๆ รวมถงอปกรณจดเกบขอมล และอปกรณเครอขาย มาเชอมตอกบเครองและระบบเครอขายของ รพ. ทใชฐานขอมลผปวย ยกเวนไดรบอนญาตจาก ผอ.
Network Segmentation: หามใชคอมพวเตอรทเชอมตอกบระบบฐานขอมลผปวย ในการตดตอกบอนเทอรเนตทกกรณ ยกเวนเครองทมภารกจเฉพาะทไดรบอนญาตจาก ผอ.
แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาสเขาถงขอมลผปวยของ รพ.
Audit of Access Logs: ก ากบดแลการลงบนทกสมดทะเบยนบนทกการเขาออกหอง server และสมดทะเบยนบนทกการน าเวชระเบยนออกมาใชและการสงเวชระเบยนกลบคน
Information Asset Management: จดท าทะเบยน information assets ทงเครองคอมพวเตอร อปกรณ ระบบเครอขาย ขอมลสารสนเทศทส าคญของ รพ. และมการดแลควบคมการใชงานใหเหมาะสมและรบผดชอบทรพยสนดงกลาว
แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.
Network Segmentation: ก าหนดใหมการแบงแยกเครอขาย ดงน แบงแยกเครอขายเปน network ยอยๆ ตามอาคารตางๆ
เพอควบคมการเขาถงเครอขายโดยไมไดรบอนญาต แบงเครอขายภายในและภายนอก เพอความปลอดภยใน
การใชงานระบบสารสนเทศภายใน Security Awareness Training: จดอบรมใหความร
หลกการ แนวทางปฏบตตางๆ ให จนท. ใหมทกคนทมาปฏบตงาน และตรวจสอบวาไดปฏบตตามขอก าหนดอยางเครงครด
แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.
User Account Management: ดแลรกษาบญชผใชระบบ ท าให account ใชการไมไดทนททมบคลากรลาออกหรอยายออกไป เพม account รายใหมเมอม จนท. ใหมเขามาท างาน ดแลการเปลยนรหสผานของ user ทกคนตามระยะเวลา
Authentication: ให user ทกคนม account เปนของตนเอง และใหระบบมเทคนคการตรวจสอบตวตนทเพยงพอ
Authorization: มการจ ากดการเขาถงขอมลทเปนความลบ และการใชงานระบบทส าคญ ใหเขาถงเฉพาะทไดรบอนญาต ตามความเหมาะสมและจ าเปน และทบทวนสทธเปนระยะๆ
แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.
Strong Password Policy: มการก าหนดนโยบายการเลอกใชรหสผานอยางปลอดภยตามทหนวยงานก าหนด
Clear Desk, Clear Screen Policy: มนโยบายและการก ากบดแลไมใหมการเกบขอมลทเปนความลบ รวมทงรหสผาน ใหเขาถงไดงายทางกายภาพทโตะท างานหรอบนหนาจอ
Log-out: ก าหนดใหระบบมการตดและหมดเวลาการใชงาน รวมทงปดการใชงาน หลงไมมกจกรรมเปนเวลา 15 นาท
Antivirus: ในการรบสงขอมลคอมพวเตอรผานอนเทอรเนต จะตองตรวจสอบไวรสดวย antivirus กอนทกครง
แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.
Backup: ด าเนนการส ารองขอมลในระบบอยางนอยวนละ 1 ครง ส ารองขอมลในเวชระเบยนอยางนอยสปดาหละ 1 ครง ตามแนวทางทก าหนด เชน ใชระบบ scan หรอใชระบบ backup จากฐานขอมล รพ.
Access Log Monitoring: จดท ารายงานการแกไขขอมลผปวยในระบบเปนระยะๆ อยางนอยสปดาหละ 1 ครง โดยแสดงรายละเอยด สงรายงานให ผอ. พจารณา
Logs: จดเกบ log ขอมลจราจรทางคอมพวเตอร ตามกฎหมาย และมระบบปองกนการเขาถงหรอแกไข log
Update patches: ปรบปรงขอมลส าหรบตรวจสอบ และปรบปรง OS และ software ตางๆ ใหใหมเสมอ
Preventive Maintenance: มการดแลบ ารงรกษาอปกรณสารสนเทศตางๆ อยางเหมาะสม เพอใหอยในสภาพพรอมใชงานอยเสมอและลดความเสยงทจะเกดเหตขดของ
แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.
Remote Access: ก าหนดมาตรการควบคมการใชงาน network & server จากผใชงานภายนอกหนวยงาน ตามแนวทางดงน Written Access Request: บคคลภายนอกทตองการสทธในการเขา
ใชงานระบบ จะตองท าเรองขออนญาตเปนลายลกษณอกษร Securing Network Ports: มการควบคม port ทใชเขาสระบบอยาง
รดกม Authorized Access Methods: วธการใดๆ ทสามารถเขาสขอมล
หรอระบบไดจากระยะไกล ตองไดรบการอนญาตจากหวหนาหนวยงาน
Justification for Remote Access: การเขาสระบบจากระยะไกล user ตองแสดงหลกฐาน ระบเหตผลหรอความจ าเปนในการด าเนนงานกบหนวยงานอยางเพยงพอ
Remote Access Authentication: ตองมการ log-in โดยแสดงตวตนดวยชอผใชงาน และมการพสจนยนยนตวตนดวยการใชรหสผานกอนทกครง
แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.
Line เสยงตอการละเมด Privacy ผปวยไดอยางไร? ขอมลใน Line group มคนเหนหลายคน ขอมลถก capture หรอ forward ไป share ตอได สง/แชร ผดคน ขอมล cache ทเกบใน mobile device อาจถกอานได
(เชน ท าอปกรณหาย หรอเผลอวางเอาไว) ขอมลทสงผาน network ไมไดเขารหส ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ
อาจถก hack ได Password Discovery
ทางออกส าหรบการ Consult Case ผปวย
ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ
ขอมลทระบตวตนผปวยได (รวมทงในภาพ image) ใช app ทปลอดภยกวา Limit คนทเขาถง
(เชน ไมคยผาน Line group) ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,
เชค malware ฯลฯ)
Q & A