การกําหนดนโยบายและระเบียบปฏิบัติ การประเมิน

และควบคุมความเสี่ยง การจัดการความมั่นคงในระบบ

เทคโนโลยีสารสนเทศโรงพยาบาลขั้นต้นนพ.นวนรรน ธีระอัมพรพันธุ์

18 สิงหาคม 2557

SlideShare.net/Nawanan

2003 M.D. (First-Class Honors) (Ramathibodi)2009 M.S. in Health Informatics (U of MN)2011 Ph.D. in Health Informatics (U of MN)

• Faculty of Medicine Ramathibodi HospitalMahidol Universityo Deputy Executive Director for Informatics

(CIO/CMIO), Chakri Naruebodindra Medical Institute

o Lecturer, Department of Community Medicine• Member, TMI Executive Board

nawanan.the@mahidol.ac.thSlideShare.net/Nawananhttp://groups.google.com/group/ThaiHealthIT

Introduction

TMI HITQIF v1.1

• TMI HITQIF Framework• IT Governance• Strategic Planning & IT Master Plan• Structure, Roles, Team Development &

Roadmap to IT Quality• IT Policy, Regulation, Risk & Security

Management• Service Level Management, IT Service Desk &

Data Center Management• Data Management• IT Process, Metrics & Control• Continuous & Sustainable IT Quality

Improvement

Overall Topics of HITQIF Course

Policy

Planning

Implementation

Monitoring &

Evaluation

Enforcement

Big Picture of IT Risk & Security Management

• Overview of IT Security & Privacy• IT Security & Privacy Policy• IT Security Management• IT Risk Management

Outline

Overview of IT Security & Privacy

Malware

Threats to Information Security

Sources of the Threats

Hackers Viruses & Malware Poorly-designed systems Insiders (Employees) People’s ignorance & lack of knowledge Disasters & other incidents affecting information

systems

Information risks Unauthorized access & disclosure of confidential information Unauthorized addition, deletion, or modification of information

Operational risks System not functional (Denial of Service - DoS) System wrongly operated

Personal risks Identity thefts Financial losses Disclosure of information that may affect employment or other

personal aspects (e.g. health information) Physical/psychological harms

Organizational risks Financial losses Damage to reputation & trust

Etc.

Consequences of Security Attacks

Privacy: “The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively.” (Wikipedia)

Security: “The degree of protection to safeguard ... person against danger, damage, loss, and crime.” (Wikipedia)

Information Security: “Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification, perusal, inspection, recording or destruction” (Wikipedia)

Privacy & Security

Confidentiality

• การรักษาความลับของข้อมูล

Integrity

• การรักษาความครบถ้วนและความถูกต้องของข้อมูล

• ปราศจากการเปลี่ยนแปลงแก้ไข ทําให้สูญหาย ทําให้เสียหาย หรือถูกทําลายโดยมิชอบ

Availability

• การรักษาสภาพพร้อมใช้งาน

หลักการของ Information Security

Examples of Confidentiality Risks

http://usatoday30.usatoday.com/life/people/2007-10-10-clooney_N.htm

Examples of Integrity Risks

http://www.wired.com/threatlevel/2010/03/source-code-hacks/http://en.wikipedia.org/wiki/Operation_Aurora

“Operation Aurora”Alleged Targets: Google, Adobe, Juniper Networks, Yahoo!, Symantec, Northrop Grumman, Morgan Stanley, Dow ChemicalGoal: To gain access to and potentially modify source code repositories at high tech, security & defense contractor companies

Examples of Integrity Risks

http://news.softpedia.com/news/700-000-InMotion-Websites-Hacked-by-TiGER-M-TE-223607.shtml

Web Defacements

Examples of Availability Risks

http://en.wikipedia.org/wiki/Blaster_worm

Viruses/worms that led to instability & system restart (e.g. Blaster worm)

Examples of Availability Risks

http://en.wikipedia.org/wiki/Ariane_5_Flight_501

Ariane 5 Flight 501 Rocket Launch Failure

Cause: Software bug on rocket acceleration due to data conversion from a 64-bit floating point number to a 16-bit signed integer without proper checks, leading to arithmatic overflow

Interesting Resources

http://en.wikipedia.org/wiki/List_of_software_bugs http://en.wikipedia.org/wiki/Notable_computer_viruses_an

d_worms http://en.wikipedia.org/wiki/Hacktivism http://en.wikipedia.org/wiki/Website_defacement http://en.wikipedia.org/wiki/Hacker_(computer_security) http://en.wikipedia.org/wiki/List_of_hackers

Protecting Information Privacy & Security

http://www.aclu.org/ordering-pizza

Privacy Protections: Why?

Attack An attempt to breach system security

Threat A scenario that can harm a system

Vulnerability The “hole” that is used in the attack

Common Security Terms

Identify some possible means an attacker could use to conduct a security attack

Class Exercise

Alice

Simplified Attack Scenarios

Server Bob

Eve/Mallory

Alice

Simplified Attack Scenarios

Server Bob

- Physical access to client computer- Electronic access (password)- Tricking user into doing something

(malware, phishing & social engineering)

Eve/Mallory

Alice

Simplified Attack Scenarios

Server Bob

- Intercepting (eavesdropping or “sniffing”) data in transit

- Modifying data (“Man-in-the-middle” attacks)

- “Replay” attacksEve/Mallory

Alice

Simplified Attack Scenarios

Server Bob

- Unauthorized access to servers through- Physical means- User accounts & privileges- Attacks through software vulnerabilities- Attacks using protocol weaknesses

- DoS / DDoS attacks Eve/Mallory

Alice

Simplified Attack Scenarios

Server Bob

Other & newer forms of attacks possible

Eve/Mallory

Alice

Safeguarding Against Attacks

Server Bob

Administrative Security- Security & privacy policy- Governance of security risk management & response- Uniform enforcement of policy & monitoring- Disaster recovery planning (DRP) & Business continuity

planning/management (BCP/BCM)- Legal obligations, requirements & disclaimers

Alice

Safeguarding Against Attacks

Server Bob

Physical Security- Protecting physical access of clients & servers

- Locks & chains, locked rooms, security cameras- Mobile device security- Secure storage & secure disposition of storage devices

Alice

Safeguarding Against Attacks

Server Bob

User Security- User account management

- Strong p/w policy (length, complexity, expiry, no meaning)- Principle of Least Privilege- “Clear desk, clear screen policy”- Audit trails

- Education, awareness building & policy enforcement- Alerts & education about phishing & social engineering

Alice

Safeguarding Against Attacks

Server Bob

System Security- Antivirus, antispyware, personal firewall, intrusion

detection/prevention system (IDS/IPS), log files, monitoring- Updates, patches, fixes of operating system vulnerabilities &

application vulnerabilities- Redundancy (avoid “Single Point of Failure”)- Honeypots

Alice

Safeguarding Against Attacks

Server Bob

Software Security- Software (clients & servers) that is secure by design- Software testing against failures, bugs, invalid inputs,

performance issues & attacks- Updates to patch vulnerabilities

Alice

Safeguarding Against Attacks

Server Bob

Network Security- Access control (physical & electronic) to network devices- Use of secure network protocols if possible- Data encryption during transit if possible- Bandwidth monitoring & control

Alice

Safeguarding Against Attacks

Server Bob

Database Security- Access control to databases & storage devices- Encryption of data stored in databases if necessary- Secure destruction of data after use- Access control to queries/reports- Security features of database management systems (DBMS)

Privacy Safeguards

Image: http://www.nurseweek.com/news/images/privacy.jpg

Security safeguards Informed consent Privacy culture User awareness building & education Organizational policy & regulations Enforcement Ongoing privacy & security assessments, monitoring,

and protection

User Security

Access control Selective restriction of access to the system

Role-based access control Access control based on the person’s role

(rather than identity)

Audit trails Logs/records that provide evidence of

sequence of activities

User Security

Identification Identifying who you are Usually done by user IDs or some other unique codes

Authentication Confirming that you truly are who you identify Usually done by keys, PIN, passwords or biometrics

Authorization Specifying/verifying how much you have access Determined based on system owner’s policy & system

configurations “Principle of Least Privilege”

User Security

Nonrepudiation Proving integrity, origin, & performer of an

activity without the person’s ability to refute his actions Most common form: signatures Electronic signatures offer varying degrees of

nonrepudiationPIN/password vs. biometrics

Digital certificates (in public key infrastructure- PKI) often used to ascertain nonrepudiation

User Security

Multiple-Factor Authentication Two-Factor Authentication Use of multiple means (“factors”) for authentication

Types of Authentication Factors Something you know Password, PIN, etc.

Something you have Keys, cards, tokens, devices (e.g. mobile phones)

Something you are Biometrics

User Security

Need for Strong Password Policy

So, two informaticianswalk into a bar...

The bouncer says, "What's the password."

One says, "Password?"

The bouncer lets them in.

Credits: @RossMartin & AMIA (2012)

Recommended Password Policy Length

8 characters or more (to slow down brute-force attacks)

Complexity (to slow down brute-force attacks)

Consists of 3 of 4 categories of characters

Uppercase letters

Lowercase letters

Numbers

Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection)

No meaning (“Dictionary Attacks”)

Not simple patterns (12345678, 11111111) (to slow down brute-force attacks & prevent dictionary attacks)

Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing)

Personal opinion. No legal responsibility assumed.

Recommended Password Policy Expiration (to make brute-force attacks not possible) 6-8 months Decreasing over time because of increasing computer’s

speed But be careful! Too short duration will force users to write

passwords down

Secure password storage in database or system (encrypted or store only password hashes)

Secure password confirmation Secure “forget password” policy Different password for each account. Create variations

to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.

Techniques to Remember Passwords

http://www.wikihow.com/Create-a-Password-You-Can-Remember Note that some of the techniques are less secure!

One easy & secure way: password mnemonic Think of a full sentence that you can remember Ideally the sentence should have 8 or more words, with

numbers and symbols Use first character of each word as password Sentence: I love reading all 7 Harry Potter books! Password: Ilra7HPb! Voila!

Personal opinion. No legal responsibility assumed.

Dear mail.mahidol.ac.th Email Account User,

We wrote to you on 11th January 2010 advising that you change the password onyour account in order to prevent any unauthorised account access followingthe network instruction we previously communicated.

all Mailhub systems will undergo regularly scheduled maintenance. Accessto your e-mail via the Webmail client will be unavailable for some timeduring this maintenance period. We are currently upgrading our data baseand e-mail account center i.e homepage view. We shall be deleting old[https://mail.mahidol.ac.th/l accounts which are no longer active to createmore space for new accountsusers. we have also investigated a system widesecurity audit to improve and enhanceour current security.

In order to continue using our services you are require to update andre-comfirmed your email account details as requested below. To completeyour account re-comfirmation,you must reply to this email immediately andenter your accountdetails as requested below.

Username :Password :Date of Birth:Future Password :

Social Engineering Examples

Real social‐engineering e‐mail received by Speaker

Phishing

Real phishing e‐mail received by Speaker

Poor grammar Lots of typos Trying very hard to convince you to open

attachment, click on link, or reply without enough detail

May appear to be from known person (rely on trust & innocence)

Signs of a Phishing Attack

Don’t be too trusting of people Always be suspicious & alert An e-mail with your friend’s name & info doesn’t have to

come from him/her Look for signs of phishing attacks Don’t open attachments unless you expect them Scan for viruses before opening attachments Don’t click links in e-mail. Directly type in browser using

known & trusted URLs Especially cautioned if ask for passwords, bank

accounts, credit card numbers, social security numbers, etc.

Ways to Protect against Phishing

Malware

Malicious software - Any code with intentional, undesirable side effects

Virus Worm Trojan Spyware Logic Bomb/Time Bomb Backdoor/Trapdoor Rootkit Botnet

Malware

Virus Propagating malware that requires user action

to propagate Infects executable files, data files with

executable contents (e.g. Macro), boot sectors

Worm Self-propagating malware

Trojan A legitimate program with additional, hidden

functionality

Malware

Spyware Trojan that spies for & steals personal

information

Logic Bomb/Time Bomb Malware that triggers under certain conditions

Backdoor/Trapdoor A hole left behind by malware for future

access

Malware

Rogue Antispyware (Ransomware) Software that tricks or forces users to pay before

fixing (real or hoax) spyware detected

Rootkit A stealth program designed to hide existence of

certain processes or programs from detection

Botnet A collection of Internet-connected computers that

have been compromised (bots) which controller of the botnet can use to do something (e.g. do DDoSattacks)

Malware

Installed & updated antivirus, antispyware, & personal firewall Check for known signatures Check for improper file changes (integrity failures) Check for generic patterns of malware (for unknown

malware): “Heuristics scan” Firewall: Block certain network traffic in and out

Sandboxing Network monitoring & containment User education Software patches, more secure protocols

Defense Against Malware

Social media spams/scams/clickjacking Social media privacy issues User privacy settings Location services

Mobile device malware & other privacy risks Stuxnet (advanced malware targeting certain

countries) Advanced persistent threats (APT) by

governments & corporations against specific targets

Newer Threats

Security in Thailand’s ICT Laws

• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550– กําหนดการกระทําทีถ่ือเป็นความผิด และหน้าที่ของผู้ให้บริการ

• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544

• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551– รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์

– รับรองวิธีการส่งและรับข้อมูลอิเลก็ทรอนิกส ์การใช้ลายมือชื่ออิเล็กทรอนิกส ์(electronic signature) และการรับฟงัพยานหลักฐานที่เป็นข้อมูลอิเล็กทรอนิกส ์เพื่อส่งเสริมการทาํ e-transactions ให้น่าเชื่อถือ

– กําหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ์และอํานาจหน้าที่

กฎหมายด้านเทคโนโลยีสารสนเทศของไทย

• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ (มาตรา 7)

• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9)

• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทําตามวิธีการแบบปลอดภัยที่กําหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)

• คําขอ การอนุญาต การจดทะเบียน คําสั่งทางปกครอง การชําระเงิน การประกาศ หรือการดําเนินการใดๆ ตามกฎหมายกับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทําในรูปของข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กําหนดโดย พรฎ.

• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)

ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• พรฎ.กําหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนํากฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549

• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555

• กําหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูลอิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทนต้นฉบับได้

– เรื่อง หลักเกณฑ์และวิธีการในการจัดทาํหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส ์พ.ศ. 2553

• กําหนดหลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความที่ได้มีการจัดทําหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง

– เรื่อง แนวทางการจัดทาํแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส ์(Certificate Authority) พ.ศ. 2552

• ว่าด้วยการให้บริการออกใบรับรองอเิล็กทรอนิกส์ (Certificate)

กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง

ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553• กําหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง

อิเล็กทรอนิกส์ภาครัฐ

– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลสว่นบุคคลของหน่วยงานของรัฐ พ.ศ. 2553

• กําหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ

กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551

• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครองสําหรับผู้ประกอบธุรกิจให้บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2554

• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552

• ประกาศ ธปท. ที่เกี่ยวข้อง

กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเลก็ทรอนิกส ์และหลักเกณฑ์การ

ประเมินระดับผลกระทบของธุรกรรมทางอิเลก็ทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. 2555

• หลักเกณฑ์การประเมินเพื่อกําหนดระดับวิธีการแบบปลอดภัยขั้นต่ํา

– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555

• กําหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ

กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์• พรบ.ว่าด้วยธรุกรรมทางอิเล็กทรอนิกส์

• พรฎ.วา่ด้วยวธิกีารแบบปลอดภัยในการทํา

ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ

2 ฉบับ)

ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ

จัดทําหรือแปลงเอกสารและข้อความให้อยู่

ในรูปของข้อมูลอิเล็กทรอนิกส์

หน่วยงานของรัฐ

• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทาํธุรกรรม

ทางอิเล็กทรอนิกส์ภาครัฐ

• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ

รักษาความมัน่คงปลอดภัยด้านสารสนเทศของ

หน่วยงานของรัฐ

• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ

คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ

• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

• สํานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สํานักงานปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

• สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ.– Electronic Transactions Development Agency (Public

Organization) - ETDA

หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์

• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์– “ธุรกรรมทางอิเล็กทรอนิกสใ์ดที่ได้กระทาํตามวิธีการแบบปลอดภัยที่

กําหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการทีเ่ชื่อถือได้

• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)

– จําแนกตามประเภทของธุรกรรมทางอิเลก็ทรอนิกส ์(ธุรกรรมที่มีผลกระทบต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจําแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสําคญัของประเทศ หรือ Critical Infrastructure)

“วิธีการแบบปลอดภัย”

ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้

• ด้านการชําระเงินทางอิเล็กทรอนิกส์

• ด้านการเงินของธนาคารพาณิชย์

• ด้านประกันภัย

• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์

• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูลสาธารณะ

• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ต้องดําเนินการอย่างต่อเนื่องตลอดเวลา

วิธีการแบบปลอดภัยในระดับเคร่งครัด

ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)

• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน– ต่ํา: ≤ 1 ล้านบาท

– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท

– สูง: > 100 ล้านบาท

ระดับผลกระทบกบัวธิีการแบบปลอดภัย

ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)

• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามัย– ต่ํา: ไม่มี

– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน

– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน

ระดับผลกระทบกบัวธิีการแบบปลอดภัย

ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)

• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความเสียหายอื่นใด– ต่ํา: ≤ 10,000 คน

– ปานกลาง: 10,000 < จํานวนผู้ได้รับผลกระทบ ≤ 100,000 คน

– สูง: > 100,000 คน

• ผลกระทบด้านความมั่นคงของรัฐ– ต่ํา: ไม่มีผลกระทบต่อความมั่นคงของรัฐ

– สูง: มีผลกระทบต่อความมั่นคงของรัฐ

ระดับผลกระทบกบัวธิีการแบบปลอดภัย

• พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์

• พิจารณาตามระดับผลกระทบ– ถ้ามีผลประเมินทีเ่ป็นผลกระทบในระดับสงู 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย

ระดับเคร่งครัด

– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง

– นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน

สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย

• อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements

• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556

• ไม่มีบทกําหนดโทษ เป็นเพียงมาตรฐานสําหรับ “วิธีการที่เชื่อถือได้” ในการพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทางอิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้ําหนักการนําข้อมูลอิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการดําเนินการทางกฎหมาย

• คณะกรรมการธรุกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่รายชื่อหน่วยงานที่มีการจัดทํานโยบายและแนวปฏิบัติโดยสอดคล้องกับวิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้

ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย

• แบ่งเป็น 11 หมวด (Domains)– Security policy

– Organization of information security

– Asset management

– Human resources security

– Physical and environmental security

– Communications and operations management

– Access control

– Information systems acquisition, development and maintenance

– Information security incident management

– Business continuity management

– Regulatory compliance

มาตรฐาน Security ตามวิธีการแบบปลอดภัย

มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ

หมวด (Domain) ระดับพืน้ฐาน ระดับกลาง

(เพิ่มเติมจากระดบัพืน้ฐาน)

ระดับสงู

(เพิ่มเติมจากระดบักลาง)

Security policy 1 ข้อ 1 ข้อ -

Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ

Asset management 1 ข้อ 4 ข้อ -

Human resources security 6 ข้อ 1 ข้อ 2 ข้อ

Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ

Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ

Access control 9 ข้อ 8 ข้อ 8 ข้อ

Information systems acquisition,

development and maintenance

2 ข้อ 6 ข้อ 8 ข้อ

Information security incident management 1 ข้อ - 3 ข้อ

Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ

Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ

รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551

• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554

• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ป่วย พ.ศ. 2556

• ประกาศมหาวิทยาลัยมหิดล เรื่อง นโยบายเกี่ยวกับการใช้สื่อสังคมออนไลน์ (Social Network) ของบุคลากรและนักศึกษาของมหาวิทยาลัยมหิดล (ลงวันที่ 23 ม.ค. 2556)

• ประกาศคณะฯ เรื่อง ข้อกําหนดการใช้สื่อสังคมออนไลน์ ของคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2556

• ประกาศคณะฯ เรื่อง แนวทางปฏิบัติ การขอบันทึกภาพและเสียงในโรงพยาบาลสังกัดของคณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2557

ตัวอย่าง: ระเบียบต่างๆ ของรามาธิบดี ด้าน IT Security

IT Security & Privacy Policy

1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ

โรงพยาบาล

• มีการกําหนดนโยบาย และแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศที่

ชัดเจน ครอบคลุมนโยบายด้านความครบถ้วนถูกต้องของข้อมูล ความ

ปลอดภัยของระบบ การรักษาความลับของผู้ป่วย การเก็บสารสนเทศ

ต่างๆ ระยะเวลาในการเก็บข้อมูลผู้ป่วย ข้อมูลดิบและสารสนเทศ การ

ทําลายข้อมูลดิบและสารสนเทศด้วยความเหมาะสม และนโยบายกํากับ

ดูแล ติดตามการดําเนินงานด้านเทคโนโลยีสารสนเทศ

• มีการสื่อสารนโยบายด้านเทคโนโลยีสารสนเทศของโรงพยาบาลให้

ผู้เกี่ยวข้องรับทราบและดําเนินการในแนวเดียวกัน

TMI HITQIF v1.1: Structure & Role

1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ

โรงพยาบาล

• ระดับ 0 ยังไม่มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศ

ของโรงพยาบาล

• ระดับ 1 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ

โรงพยาบาล แต่ไม่ครบทุกด้านที่สําคัญ (1. ความครบถ้วนถูกต้องของ

ข้อมูล 2. ความปลอดภัยของระบบ 3. การรักษาความลับผู้ป่วย 4. การ

เก็บสารสนเทศ ระยะเวลาในการเก็บข้อมูล การทําลายข้อมูล 5. การ

กํากับดูแล ติดตามการดําเนินงานด้านเทคโนโลยีสารสนเทศ)

TMI HITQIF v1.1: Structure & Role

1.2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ

โรงพยาบาล

• ระดับ 2 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ

โรงพยาบาล ครบทุกด้านที่สําคัญ

• ระดับ 3 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ

โรงพยาบาล ครบทุกด้านที่สําคัญ แต่ไม่มีการสื่อสารให้ผู้เกี่ยวข้อง

รับทราบ และดําเนินการแนวเดียวกัน

• ระดับ 4 มีนโยบายและแนวทางปฏิบัติด้านเทคโนโลยีสารสนเทศของ

โรงพยาบาล ครบทุกด้านที่สําคัญ มีการสื่อสารให้ผู้เกี่ยวข้องรับทราบ

และดําเนินการแนวเดียวกัน

TMI HITQIF v1.1: Structure & Role

Policy & Guidelines/Work Instructions ono Data completeness & integrityo System securityo Patient information privacy & confidentiality

protectionso Secure data storage, retention & destructiono Monitoring, evaluation & enforcement

Communication of Policy & Guidelines

IT Security & Privacy Policy Checklist

IT Risk Management

Project failures Waste investments Security breaches System crashes Failures by service providers to understand and

meet customer requirements System errors or bugs

Examples of IT Risks

Risk Strategies• Accept/ignore• Avoid completely• Reduce risk

likelihood or impact

• Transfer risk to someone else (e.g. insurance)

Marchewka (2006)

Risk = f(likelihood x impact)

Risk Management

IT Security Management

Technology

ProcessPeople

Balanced IT Security Management

2.1 จัดให้มี Data center

• Data center ของโรงพยาบาล ได้แก่ที่ตั้งของ servers และอุปกรณ์ที่

เกี่ยวข้อง เช่น ระบบสํารองข้อมูล อุปกรณ์สํารอง redundant system

ระบบรักษาความปลอดภัย เป็นต้น data center นี้ต้องมีการจัดการ

อย่างเหมาะสม เพื่อให้แน่ใจว่า จะสามารถใช้งานระบบได้อย่างปลอดภัย

ปราศจากการหยุด หรือสะดุดของระบบ ซึ่งต้องคํานึงถึงสิ่งต่อไปนี้

1) ห้อง สถานที่ และสิ่งแวดล้อม ต้องจัดให้มีความปลอดภัย เช่น มี

การปรับอากาศที่ดี รักษาความปลอดภัยจากบุคคลภายนอก การ

ป้องกันอัคคีภัย (รวมถึงระบบตรวจจับควันและระบบเตือนภัย

เครื่องดับเพลิง และระบบดับเพลิงอัตโนมัติ)

TMI HITQIF v1.1: Technology

2.1 จัดให้มี Data center

2) มีระบบป้องกันการเสียหายของข้อมูลและระบบ (data integrity

and fault tolerance) ซึ่งรวมถึง UPS และระบบไฟฟ้าสํารอง,

ระบบ RAID, redundant power supply และ redundant

servers

3) มีระบบสํารองข้อมูล ทั้งภายใน และภายนอก data center

4) มีการจัดการ network ที่เหมาะสม

TMI HITQIF v1.1: Technology

2.1 จัดให้มี Data center

• ระดับ 0 ไม่มี Data Center

• ระดับ 1 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 1 ใน 4

องค์ประกอบสําคัญ (ดูกรอบการพัฒนา)

• ระดับ 2 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 2 ใน 4

องค์ประกอบสําคัญ

• ระดับ 3 มีการเริ่มจัดตั้ง Data Center บางส่วน อย่างน้อย 3 ใน 4

องค์ประกอบสําคัญ

• ระดับ 4 มี Data Center ที่มีองค์ประกอบสําคัญครบถ้วน

TMI HITQIF v1.1: Technology

2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ

คุ้มครองความลับข้อมลูส่วนบคุคล และการเข้าถึงข้อมูลผู้ป่วย

• ความเป็นส่วนตัวของผู้ป่วยเป็นสิ่งสําคัญ ซึ่งเป็นความเสี่ยงอย่างหนึ่งจาก

การใช้เทคโนโลยี จําเป็นต้องจัดการให้มีระบบที่ป้องกันผู้ไม่ได้รับอนุญาต

เข้าถึงข้อมูลของผู้ป่วย ดังนี้

1) ระบบมีบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน (username and

password)

2) สร้างระบบการเข้าถึงข้อมูลผู้ป่วยให้รัดกุม (ใคร สามารถเข้าถึง

ข้อมูลส่วนไหน ด้วยวิธีใด เป็นต้น)

TMI HITQIF v1.1: Technology

2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ

คุ้มครองความลับข้อมลูส่วนบคุคล และการเข้าถึงข้อมูลผู้ป่วย

3) สามารถระบุตัวผู้ที่นําข้อมูลผู้รับบริการเข้าสู่ระบบ และวันเวลาที่

นําข้อมูลผู้รับบริการเข้าสู่ระบบได้ วันเวลาและผู้ที่เข้าถึง แก้ไข

ข้อมูล

4) มีเทคโนโลยีด้านความมั่นคงของระบบเช่น firewall ระบบป้องกัน

ไวรัสและโทรจัน การแยกระบบ Internet และระบบงาน

โรงพยาบาล การจัด private network เป็นต้น

TMI HITQIF v1.1: Technology

2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ

คุ้มครองความลับข้อมลูส่วนบคุคล และการเข้าถึงข้อมูลผู้ป่วย

• ระดับ 0 ไม่มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัย

และคุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วย

• ระดับ 1 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ

คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน

อย่างน้อย 1 ใน 4 องค์ประกอบสําคัญ (บัญชีรายชื่อผู้ใช้ ระบบการ

เข้าถึงข้อมูล การระบุตัวตน เทคโนโลยีความมั่นคง)

TMI HITQIF v1.1: Technology

2.3 จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ

คุ้มครองความลับข้อมลูส่วนบคุคล และการเข้าถึงข้อมูลผู้ป่วย

• ระดับ 2 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ

คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยบางส่วน

อย่างน้อย 2 ใน 4 องค์ประกอบสําคัญ

• ระดับ 3 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ

คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยอย่างน้อย

3 ใน 4 องค์ประกอบสําคัญ

• ระดับ 4 มีการจัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและ

คุ้มครองความลับข้อมูลส่วนบุคคลและการเข้าถึงข้อมูลผู้ป่วยที่มี

องค์ประกอบสําคัญครบถ้วน

TMI HITQIF v1.1: Technology

3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ ผู้ใช้งานระบบ

เทคโนโลยีสารสนเทศได้รับการพัฒนาให้ใช้งานได้อย่างถูกต้อง และ

เป็นไปตามบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร

ทั้งด้านความถูกต้องครบถ้วนของข้อมูล การรักษาความลับของ

ผู้ป่วย และความปลอดภัยของระบบเทคโนโลยีสารสนเทศ การ

พัฒนานี้ รวมถึงผู้บริหารระดับสูงและผู้เกี่ยวข้องได้รับการพัฒนาให้

เข้าใจเกี่ยวกับหลักการจัดการสารสนเทศ (Principles of

Information Management) ที่จําเป็นด้วย

TMI HITQIF v1.1: People

อัตรากําลังของหน่วยงานเทคโนโลยีสารสนเทศโรงพยาบาลนั้น อาจ

มีความยืดหยุ่นได้ เช่นงานบางอย่างด้านเทคโนโลยีสารสนเทศอาจ

จัดจ้างบุคคลภายนอกดูแล แต่ต้องมีการจัดการที่แน่ใจได้ว่าจะ

สามารถดําเนินการด้านเทคโนโลยีสารสนเทศได้อย่างราบรื่น

ปลอดภัย รวมทั้งจะไม่กระทบต่อภารกิจหลักของโรงพยาบาล และ

ไม่กระทบต่อความลับของผู้ป่วย

TMI HITQIF v1.1: People

3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ

• ระดับ 0 ไม่มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ

• ระดับ 1 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ แต่ไม่

สอดคล้องกับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร

• ระดับ 2 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง

กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร แต่ไม่

ครอบคลุมบุคลากรทุกระดับ

TMI HITQIF v1.1: People

3.4 มีการพัฒนาผู้ใช้งานระบบเทคโนโลยีสารสนเทศ

• ระดับ 3 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง

กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม

บุคลากรทุกระดับ แต่ดําเนินการได้ไม่ถึงร้อยละ 90 ของแผน

• ระดับ 4 มีแผนพัฒนาบุคลากรผู้ใช้งานเทคโนโลยีสารสนเทศ สอดคล้อง

กับบริบทและนโยบายด้านเทคโนโลยีสารสนเทศขององค์กร ครอบคลุม

บุคลากรทุกระดับ และดําเนินการได้มากกว่าหรือเท่ากับร้อยละ 90 ของ

แผน

TMI HITQIF v1.1: People

4.4 มีการออกแบบระบบคงทนต่อความผิดพลาด (fault

tolerance) มีการบํารุงรักษาอย่างสม่ําเสมอ (Availability

Management) มีการจัดการเพื่อให้ระบบเทคโนโลยีสารสนเทศ

ดําเนินงานได้อย่างต่อเนื่อง และสามารถกู้คืนระบบได้แม้จะมี

เหตุการณ์ไม่คาดฝันเกดิขึ้น (IT Service Continuity

Management) โดยมีการวิเคราะห์และจัดทําแผนสํารองฉุกเฉินใน

การกู้คืนระบบ รวมทั้งมีการทบทวนและซักซ้อนแผนอย่าง

สม่ําเสมอ

(To be covered in an upcoming lecture by the same speaker)

TMI HITQIF v1.1: Process

4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security

Management)

มีกระบวนการที่ทําให้แน่ใจได้ว่า ระบบและข้อมูลได้รับการปกป้อง

จากการใช้งานที่ไม่ถูกต้องหรือไม่ได้รับอนุญาต ประกอบไปด้วย

1) ความปลอดภัยด้านกายภาพ เช่น มาตรการการเข้าออก data

center

2) ด้าน software และการใช้งาน เช่น การเลือกใช้ database

3) การทําบัญชีรายชื่อผู้ใช้งาน การกําหนดสิทธิผู้ใช้งาน (Access

control) การรักษาความลับรหัสผ่านของผู้ใช้แต่ละบุคคล รวมถึง

ยืนยันตัวบุคคล (Authentication)

TMI HITQIF v1.1: Process

4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security

Management)

4) ด้านเครือข่าย เช่น การเชื่อมโยง Internet การป้องกันการบุกรุก

เครือข่าย

5) การบํารุงรักษาระบบโดยบุคคลภายนอก มีมาตรการควบคุม

6) การป้องกันไวรัสในระบบคอมพิวเตอร์ และเครื่องมือแพทย์

7) การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security

Management)

TMI HITQIF v1.1: Process

4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security

Management)

• ระดับ 0 ไม่มีการจัดการด้านความปลอดภัยเทคโนโลยี

สารสนเทศ

• ระดับ 1 มีการกําหนดนโยบายด้านความปลอดภยัเทคโนโลยี

สารสนเทศ แต่ดําเนินงานได้ไม่เกิน 2 องค์ประกอบสําคัญ (ด้าน

กายภาพ ด้าน software ด้านบัญชีรายชื่อผู้ใช้ ด้านเครือข่าย

การบํารุงระบบโดยบุคคลภายนอก การป้องกันไวรัส การจัดการ

ด้านความปลอดภัย )

TMI HITQIF v1.1: Process

4.5 การจัดการด้านความปลอดภัยเทคโนโลยีสารสนเทศ (Security

Management)

• ระดับ 2 มีการกําหนดนโยบายด้านความปลอดภยัเทคโนโลยี

สารสนเทศ แต่ดําเนินงานได้3-4 องค์ประกอบสําคัญ

• ระดับ 3 มีการกําหนดนโยบายด้านความปลอดภยัเทคโนโลยี

สารสนเทศ แต่ดําเนินงานได้5-6 องค์ประกอบสําคัญ

• ระดับ 4 มีการกําหนดนโยบายด้านความปลอดภยัเทคโนโลยี

สารสนเทศ ดําเนินงานได้ครบทุกองค์ประกอบสําคัญ

TMI HITQIF v1.1: Process

4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก

และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน ประกอบไปด้วย

1) การบันทึก อาการสําคัญ ประวัติ ผลการตรวจร่างกาย และคํา

วินิจฉัยโรค ในบัตรผู้ป่วยนอก และ/หรือ เวชระเบียน

อิเล็กทรอนิกส์ โดยต้องไม่จัดเก็บรหัส ICD แทนคําวินิจฉัยโรค

2) บันทึกประวัติตรวจร่างกายแรกรับ บันทึกความก้าวหน้า และการ

สรุปเวชระเบียนเมื่อสิ้นสุดการรักษา (Discharge Summary) ใน

แฟ้มผู้ป่วยใน

3) รายงานการผ่าตัด ในผู้ป่วยทุกรายที่ได้รับการผ่าตัด

4) การให้รหสั ICD ทั้งรหัสกลุ่มโรค และรหัสการผ่าตัด

TMI HITQIF v1.1: Process

4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก

และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน

• ระดับ 0 ไม่มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บอย่าง

ถูกต้องครบถ้วน

• ระดับ 1 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ แต่ยัง

ดําเนินการได้ไม่ครบ 4 องค์ประกอบสําคัญ (OPD Cards, Discharge

summary, Operative note, ICD Codings)

• ระดับ 2 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ

ดําเนินการได้ครบ 4องค์ประกอบสําคัญ แต่ไม่ครบทุกประเด็นย่อย

TMI HITQIF v1.1: Process

4.6 มีการจัดการข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญได้รับการบันทึก

และจัดเก็บในระบบ อย่างถูกต้องและครบถ้วน

• ระดับ 3 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ

ดําเนินการได้ครบ 4องค์ประกอบสําคัญ ครบทุกประเด็นย่อย แต่บาง

รายการอ่านไม่ออกเนื่องจากปัญหาลายมือ สัญลักษณ์ลับ คํากํากวม

• ระดับ 4 มีการจัดการข้อมูลสําคัญให้ได้รับการบันทึกและจัดเก็บ

ดําเนินการได้ครบ 4องค์ประกอบสําคัญ ครบทุกประเด็นย่อย ทุก

รายการแสดงผลได้ชัดเจน ไม่กํากวม

TMI HITQIF v1.1: Process

Final Thoughts

• ภัยด้าน IT Security & Privacy เป็น Risk ที่สําคัญอันหนึ่งที่ต้อง

มีการบริหารจัดการ

• Security มีทั้ง C, I, A และเกี่ยวข้องกับ Privacy

• Policy & Regulation รวมทั้ง Legal compliance

มีความสําคญั

• อย่าลืมให้ความสําคญักบัทั้ง 3 ด้านของ IT Security อย่างได้

สมดุล: People, Process, Technology

IT Security

เตรียมเป็น Presentation slides นําเสนอในสัปดาห์หน้า

รวมทุกข้อไม่เกนิ 15 นาที/คน

1. ในองค์กรของท่าน มีนโยบาย/แนวทางปฏิบัติ ด้าน

IT Security และ Privacy หรือไม่

• ถ้ามี วิจารณ์ความครบถ้วน/เหมาะสมของนโยบาย/

แนวทางปฏิบัติดังกล่าว

• ถ้าไม่มี สมมติว่าท่านได้รับมอบหมายให้ร่างนโยบาย

ดังกล่าว ลองร่าง outline หัวข้อที่ควรกล่าวถึง

(ไม่ต้องลงรายละเอียด)

Homework (Individual)

2. ศึกษาระบบงาน IT ขององค์กรของท่าน แล้ววิจารณ์ว่าองค์กร

มีความปลอดภัย (Security) และการคุ้มครอง Privacy

ข้อมูลผู้ป่วย มากน้อยเพียงใด มีความเสี่ยงอะไรที่เห็นได้ชัด

บ้างหรือไม่ (ควรดูทั้งด้าน Technology และ Process)• หากมีรายละเอียดเยอะ ให้เลือกความเสี่ยงสําคัญๆ ที่น่าสนใจ

• การนําเสนอ อย่าระบุรายละเอียดของความเสี่ยงมากเกินไปจน

ผู้อื่นนําไปใช้โจมตีได้จริง

Homework (Individual)

3. ถ้าท่านเพิ่งได้รับมอบหมายให้รับผิดชอบเรื่อง IT Security &

Privacy ขององค์กร ระบุสิ่งที่ท่านจะ focus ใน 1 ปีแรก

Homework (Individual)