Security Management สู่ระดับ 3 (January 18, 2018)

Security Management สระดบ 3

นพ.นวนรรน ธระอมพรพนธคณะแพทยศาสตร รพ.รามาธบด

18 ม.ค. 2561

http://www.SlideShare.net/Nawanan

Security & Privacy

http://en.wikipedia.org/wiki/A._S._Bradford_House

Security & Privacy

Information Security

Confidentiality

Integrity

Availability

Protecting Information Privacy & Security

Alice

Simplified Attack Scenarios

Server Bob

Eve/Mallory

Alice

Simplified Attack Scenarios

Server Bob

- Physical access to client computer

- Electronic access (password)

- Tricking user into doing something (malware, phishing & social engineering)

Eve/Mallory

Alice

Simplified Attack Scenarios

Server Bob

- Intercepting (eavesdropping or “sniffing”) data in transit

- Modifying data (“Man-in-the-middle” attacks)

- “Replay” attacksEve/Mallory

Alice

Simplified Attack Scenarios

Server Bob

- Unauthorized access to servers through- Physical means- User accounts & privileges- Attacks through software vulnerabilities- Attacks using protocol weaknesses

- DoS / DDoS attacks Eve/Mallory

Alice

Simplified Attack Scenarios

Server Bob

Other & newer forms of attacks possible

Eve/Mallory

Alice

Safeguarding Against Attacks

Server Bob

Administrative Security- Security & privacy policy- Governance of security risk management & response- Uniform enforcement of policy & monitoring- Disaster recovery planning (DRP) & Business continuity

planning/management (BCP/BCM)- Legal obligations, requirements & disclaimers

Alice

Safeguarding Against Attacks

Server Bob

Physical Security- Protecting physical access of clients & servers

- Locks & chains, locked rooms, security cameras- Mobile device security- Secure storage & secure disposition of storage devices

Alice

Safeguarding Against Attacks

Server Bob

User Security- User account management

- Strong p/w policy (length, complexity, expiry, no meaning)- Principle of Least Privilege- “Clear desk, clear screen policy”- Audit trails

- Education, awareness building & policy enforcement- Alerts & education about phishing & social engineering

Alice

Safeguarding Against Attacks

Server Bob

System Security- Antivirus, antispyware, personal firewall, intrusion

detection/prevention system (IDS/IPS), log files, monitoring- Updates, patches, fixes of operating system vulnerabilities &

application vulnerabilities- Redundancy (avoid “Single Point of Failure”)- Honeypots

Alice

Safeguarding Against Attacks

Server Bob

Software Security- Software (clients & servers) that is secure by design- Software testing against failures, bugs, invalid inputs,

performance issues & attacks- Updates to patch vulnerabilities

Alice

Safeguarding Against Attacks

Server Bob

Network Security- Access control (physical & electronic) to network devices- Use of secure network protocols if possible- Data encryption during transit if possible- Bandwidth monitoring & control

Alice

Safeguarding Against Attacks

Server Bob

Database Security- Access control to databases & storage devices- Encryption of data stored in databases if necessary- Secure destruction of data after use- Access control to queries/reports- Security features of database management systems (DBMS)

Privacy Safeguards

Image: http://www.nurseweek.com/news/images/privacy.jpg

Security safeguards

Informed consent

Privacy culture

User awareness building & education

Organizational policy & regulations

Enforcement

Ongoing privacy & security assessments, monitoring, and protection

User Security

Need for Strong Password Policy

So, two informaticianswalk into a bar...

The bouncer says, "What's the password."

One says, "Password?"

The bouncer lets them in.

Credits: @RossMartin & AMIA (2012)

Unknown Internet sources, via

http://pikabu.ru/story/interesno_kakoy_zhe_u_nikh_parol_4274737,

via Facebook page “สอนแฮกเวบแบบแมวๆ”

What’s the Password?

Written Password

Access control

Selective restriction of access to the system

Role-based access control

Access control based on the person’s role (rather than identity)

Audit trails

Logs/records that provide evidence of sequence of activities

User Security

Identification

Identifying who you are

Usually done by user IDs or some other unique codes

Authentication

Confirming that you truly are who you identify

Usually done by keys, PIN, passwords or biometrics

Authorization

Specifying/verifying how much you have access

Determined based on system owner’s policy & system configurations

“Principle of Least Privilege”

User Security

Recommended Password Policy Length

8 characters or more (to slow down brute-force attacks)

Complexity (to slow down brute-force attacks)

Consists of 3 of 4 categories of characters

Uppercase letters

Lowercase letters

Numbers

Symbols (except symbols that have special uses by the system or that can be used to hack system, e.g. SQL Injection)

No meaning (“Dictionary Attacks”)

Not simple patterns (12345678, 11111111) (to slow down brute-force attacks & prevent dictionary attacks)

Not easy to guess (birthday, family names, etc.) (to prevent unknown & known persons from guessing)

Personal opinion. No legal responsibility assumed.

Recommended Password Policy Expiration (to make brute-force attacks not possible)

6-8 months

Decreasing over time because of increasing computer’s speed

But be careful! Too short duration will force users to write passwords down

Secure password storage in database or system (encrypted or store only password hashes)

Secure password confirmation

Secure “forget password” policy

Different password for each account. Create variations to help remember. If not possible, have different sets of accounts for differing security needs (e.g., bank accounts vs. social media sites) Personal opinion. No legal responsibility assumed.

{

Dictionary Attack: A story from a

computer security course

Clear Desk, Clear Screen Policy

http://pixabay.com/en/post-it-sticky-note-note-corner-148282/

Techniques to Remember Passwords

http://www.wikihow.com/Create-a-Password-You-Can-Remember

Note that some of the techniques are less secure!

One easy & secure way: password mnemonic

Think of a full sentence that you can remember

Ideally the sentence should have 8 or more words, with numbers and symbols

Use first character of each word as password

Sentence: I love reading all 7 Harry Potter books!

Password: Ilra7HPb!

Voila!

Personal opinion. No legal responsibility assumed.

พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ก าหนดการกระท าทถอเปนความผด และหนาทของผใหบรการ

พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 พรบ.วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 2) พ.ศ. 2551

รองรบสถานะทางกฎหมายของขอมลทางอเลกทรอนกส รบรองวธการสงและรบขอมลอเลกทรอนกส การใชลายมอชอ

อเลกทรอนกส (electronic signature) และการรบฟงพยานหลกฐานทเปนขอมลอเลกทรอนกส เพอสงเสรมการท า e-transactions ใหนาเชอถอ

ก าหนดใหมคณะกรรมการธรกรรมทางอเลกทรอนกส และอ านาจหนาท

กฎหมายดานเทคโนโลยสารสนเทศของไทย

หามมใหปฏเสธความมผลผกพนและการบงคบใชทางกฎหมายของขอความใด เพยงเพราะเหตทขอความนนอยในรปของขอมลอเลกทรอนกส (มาตรา 7)

ใหถอวาขอมลอเลกทรอนกส มการลงลายมอชอแลว ถา (1) ใชวธการทระบตวเจาของลายมอชอ และ (2) เปนวธการทเชอถอได (มาตรา 9)

ธรกรรมทางอเลกทรอนกสทไดกระท าตามวธการแบบปลอดภยทก าหนดใน พรฎ. ใหสนนษฐานวาเปนวธการทเชอถอได (มาตรา 25)

ค าขอ การอนญาต การจดทะเบยน ค าสงทางปกครอง การช าระเงน การประกาศ หรอการด าเนนการใดๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระท าในรปของขอมลอเลกทรอนกสตามหลกเกณฑและวธการทก าหนดโดย พรฎ.

ใหถอวามผลโดยชอบดวยกฎหมาย (มาตรา 35)

ผลทางกฎหมายของ พรบ.ธรกรรมทางอเลกทรอนกส

พรฎ.ก าหนดประเภทธรกรรมในทางแพงและพาณชยทยกเวนมหน ากฎหมายวาดวยธรกรรมทางอเลกทรอนกสมาใชบงคบ พ.ศ. 2549

ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส (บางฉบบทเกยวของ) เรอง การรบรองสงพมพออก พ.ศ. 2555

ก าหนดหลกเกณฑและวธการรบรองสงพมพออก (Print-Out) ของขอมลอเลกทรอนกส เพอใหสามารถใชอางองแทนขอมลอเลกทรอนกส และมผลใชแทนตนฉบบได

เรอง หลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความใหอยในรปของขอมลอเลกทรอนกส พ.ศ. 2553 ก าหนดหลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความท

ไดมการจดท าหรอแปลงใหอยในรปของขอมลอเลกทรอนกสในภายหลง

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

พรฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549 ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษาความ

มนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 ก าหนดมาตรฐาน Security Policy ของหนวยงานของรฐทมการท า

ธรกรรมทางอเลกทรอนกสภาครฐ ประกาศ เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมล

สวนบคคลของหนวยงานของรฐ พ.ศ. 2553 ก าหนดมาตรฐาน Privacy Policy ของหนวยงานของรฐทมการท า

ธรกรรมทางอเลกทรอนกสภาครฐ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 ประกาศ เรอง ประเภทของธรกรรมทางอเลกทรอนกส

และหลกเกณฑการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. 2555 หลกเกณฑการประเมนเพอก าหนดระดบวธการแบบปลอดภย

ขนต า ประกาศ เรอง มาตรฐานการรกษาความมนคงปลอดภย

ของระบบสารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555 ก าหนดมาตรฐานความปลอดภยตามวธการแบบปลอดภยแต

ละระดบ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

มาตรา 25 ของ พรบ.วาดวยธรกรรมทางอเลกทรอนกส “ธรกรรมทางอเลกทรอนกสใดทไดกระท าตามวธการแบบ

ปลอดภยทก าหนดในพระราชกฤษฎกา ใหสนนษฐานวาเปนวธการทเชอถอได

พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553 วธการแบบปลอดภย ม 3 ระดบ (พนฐาน, กลาง, เครงครด) จ าแนกตามประเภทของธรกรรมทางอเลกทรอนกส (ธรกรรมทม

ผลกระทบตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน) หรอจ าแนกตามหนวยงาน (ธรกรรมของหนวยงานหรอองคกรทถอเปนโครงสรางพนฐานส าคญของประเทศ หรอ Critical Infrastructure)

“วธการแบบปลอดภย”

ธรกรรมทางอเลกทรอนกส ประเภทตอไปน ดานการช าระเงนทางอเลกทรอนกส ดานการเงนของธนาคารพาณชย ดานประกนภย ดานหลกทรพยของผประกอบธรกจหลกทรพย ธรกรรมทจดเกบ รวบรวม และใหบรการขอมลของบคคลหรอ

ทรพยสนหรอทะเบยนตางๆ ทเปนเอกสารมหาชนหรอทเปนขอมลสาธารณะ

ธรกรรมในการใหบรการดานสาธารณปโภคและบรการสาธารณะทตองด าเนนการอยางตอเนองตลอดเวลา

วธการแบบปลอดภยในระดบเครงครด

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)

ผลกระทบดานมลคาความเสยหายทางการเงน ต า: ≤ 1 ลานบาท ปานกลาง: 1 ลานบาท < มลคา ≤ 100 ลานบาท สง: > 100 ลานบาท

ระดบผลกระทบกบวธการแบบปลอดภย

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน) ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบ

อนตรายตอชวต รางกาย หรออนามย ต า: ไมม ปานกลาง: ผลกระทบตอรางกายหรออนามย 1-1,000 คน สง: ผลกระทบตอรางกายหรออนามย > 1,000 คน หรอตอชวตตงแต

1 คน

ระดบผลกระทบกบวธการแบบปลอดภย

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน) ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความ

เสยหายอนใด ต า: ≤ 10,000 คน ปานกลาง: 10,000 < จ านวนผไดรบผลกระทบ ≤ 100,000 คน สง: > 100,000 คน

ผลกระทบดานความมนคงของรฐ ต า: ไมมผลกระทบตอความมนคงของรฐ สง: มผลกระทบตอความมนคงของรฐ

ระดบผลกระทบกบวธการแบบปลอดภย

พจารณาตามประเภทของธรกรรมทางอเลกทรอนกส พจารณาตามระดบผลกระทบ

ถามผลประเมนทเปนผลกระทบในระดบสง 1 ดาน ใหใชวธการแบบปลอดภยระดบเครงครด

ระดบกลางอยางนอย 2 ดาน ใหใชวธการแบบปลอดภยระดบกลาง

นอกจากน ใหใชวธการแบบปลอดภยในระดบพนฐาน

สรปวธการประเมนระดบวธการแบบปลอดภย

อางองมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements

มผลใชบงคบเมอพน 360 วน นบแตวนประกาศในราชกจจานเบกษา (19 ธ.ค. 2555) คอ 14 ธ.ค. 2556

ไมมบทก าหนดโทษ เปนเพยงมาตรฐานส าหรบ “วธการทเชอถอได” ในการพจารณาความนาเชอถอในทางกฎหมายของธรกรรมทางอเลกทรอนกส แตมผลในเชงภาพลกษณและน าหนกการน าขอมลอเลกทรอนกสไปเปนพยานหลกฐานในการตอสคดในศาลหรอการด าเนนการทางกฎหมาย

คณะกรรมการธรกรรมทางอเลกทรอนกสอาจพจารณาประกาศเผยแพรรายชอหนวยงานทมการจดท านโยบายและแนวปฏบตโดยสอดคลองกบวธการแบบปลอดภย เพอใหสาธารณชนทราบเปนการทวไปกได

ประกาศ เรอง มาตรฐาน Security ตามวธการแบบปลอดภย

แบงเปน 11 หมวด (Domains) Security policy Organization of information security Asset management Human resources security Physical and environmental security Communications and operations management Access control Information systems acquisition, development and

maintenance Information security incident management Business continuity management Regulatory compliance

มาตรฐาน Security ตามวธการแบบปลอดภย

มาตรฐาน Security ตามวธการแบบปลอดภย แตละระดบหมวด (Domain) ระดบพนฐาน ระดบกลาง

(เพมเตมจากระดบพนฐาน)ระดบสง

(เพมเตมจากระดบกลาง)

Security policy 1 ขอ 1 ขอ -

Organization of information security 5 ขอ 3 ขอ 3 ขอ

Asset management 1 ขอ 4 ขอ -

Human resources security 6 ขอ 1 ขอ 2 ขอ

Physical and environmental security 5 ขอ 2 ขอ 6 ขอ

Communications & operations management 18 ขอ 5 ขอ 9 ขอ

Access control 9 ขอ 8 ขอ 8 ขอ

Information systems acquisition, development and maintenance

2 ขอ 6 ขอ 8 ขอ

Information security incident management 1 ขอ - 3 ขอ

Business continuity management 1 ขอ 3 ขอ 1 ขอ

Regulatory compliance 3 ขอ 5 ขอ 2 ขอ

รวม 52 ขอ 38 ขอ (รวม 90 ขอ) 42 ขอ (รวม 132 ขอ)

แนวทางปฏบตทวไปส าหรบโรงพยาบาล แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาส

เขาถงขอมลผปวยของโรงพยาบาล แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและ

เจาหนาทฝาย IT ของโรงพยาบาล

แนวทางปฏบตส าหรบโรงพยาบาล

หมายถง การปองกนดแลมใหเกดความเสยงตอความมนคงปลอดภยและความลบผปวย ททกโรงพยาบาลจะตองปฏบตใหไดอยางนอยตามแนวทางปฏบตน รวม 7 เรอง

Physical Security: ก าหนดและแบงแยกพนทจดเกบเวชระเบยนและเครอง server ใหชดเจน ก าหนดเปนเขตหวงหามเฉพาะ ปดหรอใสกญแจประตหนาตางหรอหองเสมอเมอไมมเจาหนาทประจ าอย

Physical Access Logs: จดใหมสมดทะเบยนบนทกการเขาออกหอง server และสมดทะเบยนบนทกการน าเวชระเบยนออกมาใชและการสงเวชระเบยนกลบคน

แนวทางปฏบตทวไปส าหรบโรงพยาบาล

Medical Records Tracking: จดใหมระบบตรวจสอบการสงเวชระเบยนกลบคนทกวนวาครบจ านวนทน าออกไป กอนเวลา 16.00 น. ตดตามกลบคนใหไดกอนเวลา 16.30 น.

Business Continuity: จดใหมระบบฉกเฉนเมอไฟฟาดบหรอระบบใชงานไมได และซอมเปนระยะๆ เชน ทกป และปรบปรงกระบวนการท างานเมอระบบขดของใหเหมาะสมอยเสมอ

แนวทางปฏบตทวไปส าหรบโรงพยาบาล

Medical Records Confidential Handling: ก าหนดชนความลบของขอมลผปวยเปนระดบ “ลบ” และด าเนนการแบบเดยวกบการรบสงเอกสารลบ การท าส าเนา บนทกจ านวนชด ชอ ต าแหนงผด าเนนการ วน

เวลา ฯลฯ ไวทตนฉบบและส าเนา การสงออกเวชระเบยนนอก รพ. ตองบรรจซองทบแสง 2 ชน จา

หนาและแสดงชนความลบตามระเบยบ การจดเกบและท าลายเวชระเบยน (ตายผดธรรมชาต เกบไวไม

ต ากวา 20 ป กรณอนๆ 10 ป) Health Information Disclosure Review: มกระบวนการ

กลนกรองและพจารณาการน าขอมลผปวยทระบตวบคคลได ไปใชประโยชนอยางอน หรอเปดเผยตอภายนอก

Informed Consent: จดใหมระบบยนยอมใหใชขอมลผปวย (ดตวอยางในมาตรฐาน)

แนวทางปฏบตทวไปส าหรบโรงพยาบาล

หมายถง แนวทางการรกษาความมนคงปลอดภยและความลบผปวยทเจาหนาททกคนทมโอกาสเขาถงขอมลผปวย ตองปฏบตใหไดอยางนอยตามแนวทางปฏบตน รวม 9 เรอง

Responsibility: จนท. ทกคนมหนาทปองกน ดแล รกษาไวซง Confidentiality, Integrity และ Availability ของขอมล ตลอดจนเอกสารเวชระเบยนของผปวย

Confidentiality & Integrity: หามเผยแพร ท าส าเนา ถายภาพ เปลยนแปลง ลบทง หรอท าลายขอมลผปวย ในเวชระเบยนและในระบบคอมพวเตอรทกกรณ นอกจากไดรบมอบหมายใหด าเนนการจาก ผอ.

แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาสเขาถงขอมลผปวยของ รพ.

Content Modification: การแกไขขอมลผปวย ใหด าเนนการตามระเบยบปฏบตวาดวยการแกไขขอมล เชน ขดฆาพรอมลงนามก ากบและวนเวลาทแกไข หามใชน ายาลบค าผด ในระบบคอมพวเตอร หามลบขอมลเดมทง แตใหแกไขแลวเชอมโยงขอมลใหรวาขอความใหมใชแทนขอความเดมวาอยางไร

Secure Data Handling: การสงขอมลผปวยภายในสถานพยาบาล ใหด าเนนการตามระเบยบการสงขอมลลบ เชน ไมใหผปวยเปนผถอเวชระเบยนจากจดบรการหนงไปยงจดอนๆ

แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาสเขาถงขอมลผปวยของ รพ.

No Confidential Data in Social Media: หามสงขอมลโดยใชชองทางทไมเหมาะสม เชน สงทาง Line หรอ Social Media

Secure Password Policy: ตงรหสผานทเดาไดยาก ปกปดเปนความลบ ไมใหผอนน าไปใช และเปลยนรหสผานตามก าหนดเวลาทบงคบ

External Files: หามเปดไฟลจากภายนอกทกกรณ ส าหรบการเปดไฟลงานจากหนวยงานภายใน ให scan virus กอนเปดไฟลทกครง

แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาสเขาถงขอมลผปวยของ รพ.

No Rogue Devices: หามน าเครองคอมพวเตอร อปกรณอนๆ รวมถงอปกรณจดเกบขอมล และอปกรณเครอขาย มาเชอมตอกบเครองและระบบเครอขายของ รพ. ทใชฐานขอมลผปวย ยกเวนไดรบอนญาตจาก ผอ.

Network Segmentation: หามใชคอมพวเตอรทเชอมตอกบระบบฐานขอมลผปวย ในการตดตอกบอนเทอรเนตทกกรณ ยกเวนเครองทมภารกจเฉพาะทไดรบอนญาตจาก ผอ.

แนวทางปฏบตทวไปส าหรบเจาหนาททกคนทมโอกาสเขาถงขอมลผปวยของ รพ.

Audit of Access Logs: ก ากบดแลการลงบนทกสมดทะเบยนบนทกการเขาออกหอง server และสมดทะเบยนบนทกการน าเวชระเบยนออกมาใชและการสงเวชระเบยนกลบคน

Information Asset Management: จดท าทะเบยน information assets ทงเครองคอมพวเตอร อปกรณ ระบบเครอขาย ขอมลสารสนเทศทส าคญของ รพ. และมการดแลควบคมการใชงานใหเหมาะสมและรบผดชอบทรพยสนดงกลาว

แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.

Network Segmentation: ก าหนดใหมการแบงแยกเครอขาย ดงน แบงแยกเครอขายเปน network ยอยๆ ตามอาคารตางๆ

เพอควบคมการเขาถงเครอขายโดยไมไดรบอนญาต แบงเครอขายภายในและภายนอก เพอความปลอดภยใน

การใชงานระบบสารสนเทศภายใน Security Awareness Training: จดอบรมใหความร

หลกการ แนวทางปฏบตตางๆ ให จนท. ใหมทกคนทมาปฏบตงาน และตรวจสอบวาไดปฏบตตามขอก าหนดอยางเครงครด

แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.

User Account Management: ดแลรกษาบญชผใชระบบ ท าให account ใชการไมไดทนททมบคลากรลาออกหรอยายออกไป เพม account รายใหมเมอม จนท. ใหมเขามาท างาน ดแลการเปลยนรหสผานของ user ทกคนตามระยะเวลา

Authentication: ให user ทกคนม account เปนของตนเอง และใหระบบมเทคนคการตรวจสอบตวตนทเพยงพอ

Authorization: มการจ ากดการเขาถงขอมลทเปนความลบ และการใชงานระบบทส าคญ ใหเขาถงเฉพาะทไดรบอนญาต ตามความเหมาะสมและจ าเปน และทบทวนสทธเปนระยะๆ

แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.

Strong Password Policy: มการก าหนดนโยบายการเลอกใชรหสผานอยางปลอดภยตามทหนวยงานก าหนด

Clear Desk, Clear Screen Policy: มนโยบายและการก ากบดแลไมใหมการเกบขอมลทเปนความลบ รวมทงรหสผาน ใหเขาถงไดงายทางกายภาพทโตะท างานหรอบนหนาจอ

Log-out: ก าหนดใหระบบมการตดและหมดเวลาการใชงาน รวมทงปดการใชงาน หลงไมมกจกรรมเปนเวลา 15 นาท

Antivirus: ในการรบสงขอมลคอมพวเตอรผานอนเทอรเนต จะตองตรวจสอบไวรสดวย antivirus กอนทกครง

แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.

Backup: ด าเนนการส ารองขอมลในระบบอยางนอยวนละ 1 ครง ส ารองขอมลในเวชระเบยนอยางนอยสปดาหละ 1 ครง ตามแนวทางทก าหนด เชน ใชระบบ scan หรอใชระบบ backup จากฐานขอมล รพ.

Access Log Monitoring: จดท ารายงานการแกไขขอมลผปวยในระบบเปนระยะๆ อยางนอยสปดาหละ 1 ครง โดยแสดงรายละเอยด สงรายงานให ผอ. พจารณา

Logs: จดเกบ log ขอมลจราจรทางคอมพวเตอร ตามกฎหมาย และมระบบปองกนการเขาถงหรอแกไข log

Update patches: ปรบปรงขอมลส าหรบตรวจสอบ และปรบปรง OS และ software ตางๆ ใหใหมเสมอ

Preventive Maintenance: มการดแลบ ารงรกษาอปกรณสารสนเทศตางๆ อยางเหมาะสม เพอใหอยในสภาพพรอมใชงานอยเสมอและลดความเสยงทจะเกดเหตขดของ

แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.

Remote Access: ก าหนดมาตรการควบคมการใชงาน network & server จากผใชงานภายนอกหนวยงาน ตามแนวทางดงน Written Access Request: บคคลภายนอกทตองการสทธในการเขา

ใชงานระบบ จะตองท าเรองขออนญาตเปนลายลกษณอกษร Securing Network Ports: มการควบคม port ทใชเขาสระบบอยาง

รดกม Authorized Access Methods: วธการใดๆ ทสามารถเขาสขอมล

หรอระบบไดจากระยะไกล ตองไดรบการอนญาตจากหวหนาหนวยงาน

Justification for Remote Access: การเขาสระบบจากระยะไกล user ตองแสดงหลกฐาน ระบเหตผลหรอความจ าเปนในการด าเนนงานกบหนวยงานอยางเพยงพอ

Remote Access Authentication: ตองมการ log-in โดยแสดงตวตนดวยชอผใชงาน และมการพสจนยนยนตวตนดวยการใชรหสผานกอนทกครง

แนวทางปฏบตทวไปส าหรบเจาหนาทเวชระเบยนและเจาหนาทฝาย IT ของ รพ.

Line เสยงตอการละเมด Privacy ผปวยไดอยางไร? ขอมลใน Line group มคนเหนหลายคน ขอมลถก capture หรอ forward ไป share ตอได สง/แชร ผดคน ขอมล cache ทเกบใน mobile device อาจถกอานได

(เชน ท าอปกรณหาย หรอเผลอวางเอาไว) ขอมลทสงผาน network ไมไดเขารหส ขอมลทเกบใน server ของ Line ทางบรษทเขาถงได และ

อาจถก hack ได Password Discovery

ทางออกส าหรบการ Consult Case ผปวย

ใชชองทางอนทไมมการเกบ record ขอมล ถาเหมาะสม หลกเลยงการระบหรอ include ชอ, HN, เลขทเตยง หรอ

ขอมลทระบตวตนผปวยได (รวมทงในภาพ image) ใช app ทปลอดภยกวา Limit คนทเขาถง

(เชน ไมคยผาน Line group) ใชอยางปลอดภย (Password, ดแลอปกรณไวกบตว,

เชค malware ฯลฯ)

Q & A