กลุ่มเทคโนโลยีสารสนเทศ ... - ส...
TRANSCRIPT
ส ำเนำ
ค ำสงกรมสนบสนนบรกำรสขภำพ
ท 786 /2562 เรอง แตงตงคณะท ำงำนก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ
ส ำหรบสถำนพยำบำลภำครฐและเอกชน กรมสนบสนนบรกำรสขภำพ
อำศยอ ำนำจตำม พระรำชบญญตสถำนพยำบำล พ.ศ. 2541 และทแกไขเพมเตม พ.ศ. 2559 ตำมมำตรำ 5 และอำศยอ ำนำตตำมมำตรำ 35 (3) ไดก ำหนดไว เพอรองรบกำรด ำเนนงำนใหสถำนพยำบำลตองปฏบตใหเปนไปตำมมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และมำตรฐำนควำมมนคงปลอดไซเบอรในระดบสำกล
กรมสนบสนนบรกำรสขภำพ มภำรกจหลก ในกำรคมครองผบรโภคดำนระบบบรกำรสขภำพและสงเสรมผประกอบกำรดำนบรกำรสขภำพเพอประชำชนมศกยภำพในกำรพงพำตนเองได โดยกำรควบคมหรอก ำกบดแลหนวยงำนโครงสรำงพนฐำนส ำคญทำงสำรสนเทศ จงตองด ำเนนกำรจดท ำประมวลแนวทำงปฏบตและกรอบมำตรฐำนดำนกำรรกษำควำมมนคงปลอดภยสำรสนเทศและควำมมนคงปลอดภยไซเบอร รองรบนโยบำยและแผนปฏบตกำรวำดวยกำรรกษำควำมมนคงปลอดภยฯ ดงกลำว โดยเรว จงแตงตงคณะท ำงำนก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ ส ำหรบสถำนพยำบำลภำครฐและเอกชน กรมสนบสนนบรกำรสขภำพ มองคประกอบและอ ำนำจหนำท ดงตอไปน
องคประกอบ 1. อธบดกรมสนบสนนบรกำรสขภำพ ทปรกษำ 2. ผบรหำรระดบสงดำนเทคโนโลยสำรสนเทศ
กรมสนบสนนบรกำรสขภำพ ประธำนคณะท ำงำน
3. ผแทนศนยเทคโนโลยสำรสนเทศและกำรสอสำร ส ำนกงำนปลดกระทรวงสำธำรณสข
คณะท ำงำน
4. ผแทนกองกฎหมำย คณะท ำงำน 5. ผแทนกองวศวกรรมกำรแพทย คณะท ำงำน 6. ผแทนส ำนกสถำนพยำบำลและกำรประกอบโรคศลปะ คณะท ำงำน 7. ผแทนกองสถำนประกอบกำรเพอสขภำพ คณะท ำงำน 8. หวหนำงำนพฒนำนวตกรรมดจทล
กลมเทคโนโลยสำรสนเทศ ส ำนกบรหำร คณะท ำงำน
9. นำยธรพงศ เรอนนอย นกวชำกำรคอมพวเตอร
คณะท ำงำน
10. ผอ ำนวยกำรกลมเทคโนโลยสำรสนเทศ ส ำนกบรหำร คณะท ำงำนและเลขำนกำร 11. นำงสำวธนมำ สงขสวรรณ
นกวชำกำรสำธำรณสขช ำนำญกำร คณะท ำงำนและผชวยเลขำฯฯ
อ ำนำจ...
-2-
อ ำนำจหนำท 1. ทบทวนมำตรกำร วำงแผนก ำหนดแนวทำงปฏบต แบบฟอรมและเอกสำร ทเกยวของกบ
มำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำมมนคงปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน 2. วเครำะห รวบรวม สถำนกำรณกำรก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำม
มนคงปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน 3. ก ำกบ ตดตำม และประเมนผลกำรก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำม
มนคงปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน 4. สรปผลกำรด ำเนนงำนก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำมมนคง
ปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน น ำเสนอผบรหำรกรมสนบสนนบรกำรสขภำพ ทก 3 เดอน 5. หนำทอน ๆ ตำมทไดรบมอบหมำย
ทงน ตงแตบดนเปนตนไป
สง ณ วนท 15 พฤษภำคม พ.ศ. 2562
(ลงชอ) ณฐวฒ ประเสรฐสรพงศ (นำยณฐวฒ ประเสรฐสรพงศ)
อธบดกรมสนบสนนบรกำรสขภำพ
ส ำเนำถกตอง
(นำงสำวธนมำ สงขสวรรณ)
นกวชำกำรสำธำรณสขช ำนำญกำร 21 พฤษภำคม 2562
การประชมหารอพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร
กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสขวนท 1 เมษายน พ.ศ.2562
ระเบยบวาระการประชม01 ประธานแจงใหทประชมทราบ
03 เรองเพอพจารณา 1. มาตรการทางกฎหมายในการก ากบดแลผประกอบการทางแพทยและ
สถานพยาบาลดานพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร
2. หนวยงาน Regulator ศกษา,เตรยมความพรอมในการก ากบดแล3. หนวยงาน Operator ศกษา,เตรยมความพรอมเผชญเหต
04 เรองอน ๆ
02 เรองเพอทราบ
กรมสนบสนนบรการสขภาพ
พรบ.สถานพยาบาลมาตรา 5
“มาตรา ๕ พระราชบญญตนมใหใชบงคบแกสถานพยาบาลซงดาเนนการโดยกระทรวง ทบวง กรม องคกรปกครองสวนทองถน รฐวสาหกจ สถาบนการศกษาของรฐ หนวยงานอนของรฐ สภากาชาดไทย และสถานพยาบาลอน ซงรฐมนตรประกาศกาหนด สถานพยาบาลทไดรบยกเวนตามวรรคหนง ตองมลกษณะของสถานพยาบาลและมาตรฐาน ตามหลกเกณฑ วธการ และเงอนไขทรฐมนตรประกาศกาหนด โดยคาแนะนาของคณะกรรมการ เวนแต สถานพยาบาลทผานการรบรองคณภาพจากหนวยงานซงผอนญาตกาหนดเพอประโยชนแหงการคมครองผบรโภคดานระบบบรการสขภาพ ใหรฐมนตรโดยคาแนะนา ของคณะกรรมการแจงใหสถานพยาบาลตามวรรคหนงซงไมปฏบตตามหลกเกณฑ วธการ และเงอนไข ตามวรรคสอง ดาเนนการปรบปรงหรอแกไขภายในระยะเวลาทกาหนด”
สานกสถานพยาบาลและการประกอบโรคศลปะ
ประกาศกระทรวงสาธารณสข
ขอ 5 ใหสถานพยาบาลมลกษณะโดยทวไปและลกษณะการใหบรการ ดงตอไปน (1) มความปลอดภย มความสะดวก และเหมาะสมตอผใหบรการและผรบบรการ
ในการ ประกอบวชาชพตามประเภทและสาขานน ๆ (2) ตองปฏบตใหเปนไปตามกฎหมายวาดวยควบคมอาคาร(3) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสาธารณสข(4) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการผงเมอง (5) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสงเสรมและรกษาคณภาพสงแวดลอม (6) ตองปฏบตใหเปนไปตามกฎหมายอนทเกยวของ (7) ตองปฏบตใหเปนไปตามพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร
1.มาตรฐานระบบการจดการคณภาพและความปลอดภยดานอาคาร สภาพแวดลอม2.มาตรฐานงานสขศกษา3.เครองมอแพทยในโรงพยาบาล4.มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ
กรมสนบสนนบรการสขภาพ
1.พรบ.สถานพยาบาลมาตรา 52.ประกาศกระทรวงสาธารณสข
สานกสถานพยาบาลและการประกอบโรคศลปะ
กองกฏหมาย
กองแบบแผนกองวศวกรรมการแพทยกองสขศกษาเทคโนโลยสารสนเทศ
มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ
กลมเทคโนโลยสารสนเทศกรมสนบสนนบรการสขภาพ
รพ ภาครฐ
รพ เอกชน/คลนก
ควบคมกากบมาตรฐาน
ปรบปรงประกาศกระทรวง
มาตรฐาน
กฏหมายแนวทางการกาหนดมาตรฐานความมนคงปลอดภยเทคโนโลยสารสนเทศสาหรบ โรงพยาบาลภาครฐและเอกชน
Regu
lato
r
Operator
กรมสนบสนนบรการสขภาพ
สถานพยาบาล
ม.44, 45,46,52ม.54ม.56,57ม.58
Regulator Operator
ม.44,45,46,52ม.53ม.56,57ม.59
มาตราทเกยวของ
ม.73,ม.77,ม.49(7) ดานสาธารณสขบท
ลงโทษ
มาตรา ๕๓ (หนวยงานควบคมหรอกากบดแล )•ตรวจสอบมาตรฐานขนตา•สงใหแกไข •รายงาน กกม. (ถาเพกเฉย)
มาตรา ๕๔ (หนวยงานโครงสรางพนฐาน)•ประเมนความเสยง•ตรวจสอบดานความมนคงปลอดภยไซเบอรอยางนอยปละหนงครง
โครงสรางพนฐานสาคญทางสารสนเทศ Critical InformationInfrastructure (CII)
หนวยงานเฝาระวง ตดตาม ตรวจสอบ เผชญเหต - Health CERT- ICS-CERT- National Health-ISAC
หนวยงานตรวจประเมนความเสยง ระบบ (Audit) ประมวลแนวทางปฏบต (ตามแผนชาต)
ประมวลแนวทางปฏบต/ตรวจสอบการ ปฏบต แผนรบมอ : COBIT/ISO27001/NIST
คณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต (กมช.) อานาจหนาท มาตรา 9
คณะกรรมการกากบดแลดานความมนคงปลอดภยไซเบอร (กกม.) อานาจหนาท มาตรา 11
คณะกรรมการบรหารสานกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอร(กบส.)สานกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต อานาจหนาท ม.22
CSO →กลมงานความมนคงปลอดภยสารสนเทศ ฯ
ใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแลและหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศจดทาประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอรของแตละหนวยงานใหสอดคลองกบนโยบายและแผนวาดวยการรกษาความมนคงปลอดภยโดยเรว
(๑) แผนการตรวจสอบและประเมนความเสยงดานการรกษาความมนคงปลอดภยไซเบอร โดยผตรวจประเมน ผตรวจสอบภายใน หรอผตรวจสอบอสระจากภายนอกอยางนอยปละหนงครง
(๒) แผนการรบมอภยคกคามทางไซเบอร เพอประโยชนในการจดทาประมวลแนวทางปฏบตดานการรกษาความมนคงปลอดภยไซเบอรตามวรรคหนง ใหสานกงานโดยความเหนชอบของคณะกรรมการจดทาประมวลแนวทางปฏบตและกรอบมาตรฐานสาหรบใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแลหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศนาไปใชเปนแนวทางในการจดทาหรอนาไปใชเปนประมวลเปนแนวทางปฏบตของหนวยงานของรฐ หนวยงานควบคมหรอกากบดแลหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศของตนและในกรณทหนวยงานดงกลาวยงไมมหรอมแตไมครบถวนหรอไมสอดคลองกบประมวลแนวทางปฏบตและกรอบมาตรฐานใหนาประมวลแนวทางปฏบตและกรอบมาตรฐานดงกลาวไปใชบงคบ
มาตรา 44
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
หนวยงานของรฐ หนวยงานควบคมหรอกากบดแล และหนวยงาน โครงสรางพนฐานสาคญทางสารสนเทศ มหนาทปองกน รบมอ และลดความเสยงจากภยคกคาม ทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของแตละหนวยงาน และจะตองดาเนนการใหเปนไปตามประมวลแนวทางปฏบตและกรอบมาตรฐาน ดานการรกษาความมนคงปลอดภยไซเบอรตามมาตรา ๑๓ วรรคหนง (๔) ดวย
ในกรณทหนวยงานของรฐ หนวยงานควบคมหรอกากบดแล หรอหนวยงาน โครงสรางพนฐานสาคญทางสารสนเทศไมอาจดาเนนการหรอปฏบตตามวรรคหนงได สานกงาน อาจใหความชวยเหลอดานบคลากรหรอเทคโนโลยแกหนวยงานนนตามทรองขอได
มาตรา 45
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
เพอประโยชนในการรกษาความมนคงปลอดภยไซเบอร ใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแล และหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศ แจงรายชอเจาหนาทระดบบรหารและระดบปฏบตการ เพอประสานงาน ดานการรกษาความมนคงปลอดภยไซเบอรไปยงสานกงาน
ในกรณทมการเปลยนแปลงเจาหนาทตามวรรคหนงใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแล และหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศแจงใหสานกงานทราบโดยเรว
มาตรา 46
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
เพอประโยชนในการตดตอประสานงาน ใหหนวยงานโครงสรางพนฐาน สาคญทางสารสนเทศแจงรายชอและขอมลการตดตอของเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรไปยงสานกงาน หนวยงานควบคมหรอกากบดแลของตน และหนวยงาน ตามมาตรา ๕๐ ภายในสามสบวนนบแตวนทคณะกรรมการประกาศตามมาตรา ๔๙ วรรคสอง และมาตรา ๕๐ วรรคสอง หรอนบแตวนทคณะกรรมการมคาวนจฉยตามมาตรา ๕๑ แลวแตกรณ โดยอยางนอยเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรตองเปน บคคลซงรบผดชอบในการบรหารงานของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศนน
ในกรณทมการเปลยนแปลงเจาของกรรมสทธ ผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรตามวรรคหนง ใหแจงการเปลยนแปลงไปยงหนวยงานทเกยวของตามวรรคหนงกอนการเปลยนแปลงลวงหนาไมนอยกวาเจดวน เวนแตมเหตจาเปนอนไมอาจกาวลวงไดใหแจงโดยเรว
มาตรา 52
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
ในการดาเนนการรกษาความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศ ใหหนวยงานควบคมหรอกากบดแลตรวจสอบมาตรฐานขนตา เรองความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศทอยภายใต การกากบควบคมดแลของตน หากพบวาหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศใด ไมไดมาตรฐาน ใหหนวยงานควบคมหรอกากบดแลนนรบแจงใหหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศทตากวามาตรฐานแกไขใหไดมาตรฐานโดยเรว หากหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศนนยงคงเพกเฉยไมดาเนนการ หรอไมดาเนนการใหแลวเสรจภายในระยะเวลา ทหนวยงานควบคมหรอกากบดแลกาหนด ใหหนวยงานควบคมหรอกากบดแลสงเรองให กกม. พจารณาโดยไมชกชา เมอไดรบคารองเรยนตามวรรคหนง หาก กกม. พจารณาแลวเหนวา มเหตดงกลาว และอาจทาใหเกดภยคกคามทางไซเบอรให กกม. ดาเนนการ ดงตอไปน
(๑) กรณเปนหนวยงานของรฐ ใหแจงตอผบรหารระดบสงสดของหนวยงาน เพอใชอานาจในทางบรหาร สงการไปยงหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศนน เพอใหดาเนนการแกไขจนไดมาตรฐานโดยเรว
(๒) กรณเปนหนวยงานเอกชน ใหแจงไปยงผบรหารระดบสงสดของหนวยงานผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรของหนวยงานโครงสรางสาคญทางสารสนเทศนน เพอใหดาเนนการแกไขจนไดมาตรฐานโดยเรว ใหเลขาธการดาเนนการตดตามเพอใหเปนไปตามความในวรรคสองดวย
มาตรา 53
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator
หนวยงานโครงสรางพนฐานสาคญทางสารสนเทศตองกาหนดใหมกลไกหรอขนตอนเพอการเฝาระวงภยคกคามทางไซเบอรหรอเหตการณทเกยวกบความมนคงปลอดภยไซเบอร ทเกยวของกบโครงสรางพนฐานสาคญทางสารสนเทศของตน ตามมาตรฐาน ซงกาหนดโดยหนวยงานควบคมหรอกากบดแล และตามประมวลแนวทางปฏบต รวมถงระบบ มาตรการทใชแกปญหาเพอรกษาความมนคงปลอดภยไซเบอรทคณะกรรมการหรอ กกม. กาหนด และตองเขารวมการทดสอบสถานะความพรอมในการรบมอกบภยคกคามทางไซเบอร ทสานกงานจดขน
มาตรา 56
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
เมอมเหตภยคกคามทางไซเบอรเกดขนอยางมนยสาคญตอระบบของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศ ใหหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศ รายงานตอสานกงานและหนวยงานควบคมหรอกากบดแล และปฏบตการรบมอ กบภยคกคามทางไซเบอรตามทกาหนดในสวนท ๔ ทงน กกม. อาจกาหนดหลกเกณฑและวธการ การรายงานดวยกได
มาตรา 57
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
ในกรณทเกดหรอคาดวาจะเกดภยคกคามทางไซเบอรตอระบบสารสนเทศซงอยในความดแลรบผดชอบของหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศใด ใหหนวยงานนนดาเนนการตรวจสอบขอมลทเกยวของ ขอมลคอมพวเตอร และระบบคอมพวเตอรของหนวยงานนน รวมถงพฤตการณแวดลอมของตน เพอประเมนวา มภยคกคามทางไซเบอรเกดขนหรอไม หากผลการตรวจสอบปรากฏวาเกดหรอคาดวาจะเกด ภยคกคามทางไซเบอรขน ใหดาเนนการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของหนวยงานนน และแจงไปยงสานกงานและหนวยงานควบคมหรอกากบดแลของตนโดยเรว
ในกรณทหนวยงานหรอบคคลใดพบอปสรรคหรอปญหาในการปองกน รบมอและลดความเสยงจากภยคกคามทางไซเบอรของตน หนวยงานหรอบคคลนนอาจรองขอความชวยเหลอไปยงสานกงาน
มาตรา 58
หนวยงาน : สถานพยาบาล Operator
เมอปรากฏแกหนวยงานควบคมหรอกากบดแล หรอเมอหนวยงานควบคมหรอกากบดแลไดรบแจงเหตตามมาตรา 58 ใหหนวยงานควบคมกากบหรอดแล รวมกบหนวยงานตามมาตรา 50 รวบรวมขอมล ตรวจสอบ วเคราะหสถานการณ และประเมนผลกระทบเกยวกบภยคกคามทางไซเบอร และดาเนนการ ดงตอไปน
(๑) สนบสนนและใหความชวยเหลอแกหนวยงานของรฐหรอหนวยงานโครงสราง พนฐานสาคญทางสารสนเทศทอยในการควบคมหรอกากบดแลของตน และใหความรวมมอและประสานงานกบสานกงาน ในการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร
(๒) แจงเตอนหนวยงานของรฐและหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศทอยในการควบคมหรอกากบดแลของตน รวมทงหนวยงานควบคมหรอกากบดแล หนวยงานของรฐหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศอนทเกยวของโดยเรว
มาตรา 59
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator
มาตรา 73 หนวยงานโครงสรางพนฐานส าคญทางสารสนเทศใดไมรายงานเหตภยคกคามทางไซเบอรตามมาตรา 47 โดยไมมเหตอนควรตองระวางโทษปรบไมเกน สองแสนบาท
มาตรา 77 ในกรณทผกระท าความผดตามพระราชบญญตนเปนนตบคคลถาการกระท าความผดของนตบคคลนนเกดจากการสงการหรอการกระท าของกรรมการหรอผจดการ หรอบคคลใดซงรบผดชอบในการด าเนนงานของนตบคคลนน หรอในกรณทบคคลดงกลาวมหนาท ตองสงการหรอกระท าการและละเวนไมสงการหรอไมกระท าการจนเปนเหตใหนตบคคลนนกระท า ความผด ผนนตองรบโทษตามทบญญตไวส าหรบความผดนน ๆ ดวย
และมาตราทเกยวของ มาตรา 74, มาตรา 75 , มาตรา 76
บทลงโทษ ทเกยวของกบมาตรา 49 ดานสาธารณสข
หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator
การระบIDENTIFY
มาตรการ
ID.AM : Asset Management ID.BE : Business EnvironmentID.GV : GovernanceID.RA : Risk Assessment ID.RM : Risk Management Strategy ID.SC : Supply Chain Risk Management
หนวยงานตองท าการระบวา กระบวนการดาเนนงานและทรพยสนสารสนเทศใดบางทมความเสยงตอการถกโจมตทางไซเบอร และตองไดรบการรกษาความมนคงปลอดภย เพอบรหารจดการความเสยงดานภยคกคามทางไซเบอรทมตอ ระบบ ทรพยสน ขอมล ของหนวยงานไดอยางเหมาะสม
Framework for ImprovingCritical Infrastructure Cybersecurity
การปองกนPROTECT
มาตรการ
PR.AC : Identity Management and Access Control PR.AT : Awareness and Training PR.DS : Data Security PR.IP : Information Protection Processes and Procedures PR.MA: MaintenancePR.PT : Protective Technology
หนวยงานตองมมาตรการปองกนทเหมาะสมเพอจ ากดผลกระทบของเหตการณภยคกคามไซเบอร ซงครอบคลมถง เรองการควบคมการเขาถง การฝกอบรมและการสรางความตระหนกใหแกเจาหนาทและผทเกยวของ ความปลอดภยของ ขอมล และมาตรการดานความมนคงปลอดภยตาง ๆ ทงกระบวนการและวธปฏบต ตลอดจนเทคโนโลย นอกจากน หนวยงานตองท าการบ ารงรกษาอปกรณและซอฟตแวรทเกยวของกบระบบอเลกทรอนกสอยางสม าเสมอเพอใหสามารถ รองรบการด าเนนงานไดอยางตอเนอง รวมทงการเปลยนแปลงแกไข Patch หรอ Update software
Framework for ImprovingCritical Infrastructure Cybersecurity
การตรวจจบDETECT
มาตรการ
DE.AE : Anomalies and Events DE.CM : Security Continuous Monitoring DE.DP : Detection Processes
หนวยงานตองมกระบวนการตดตามเฝาระวง และตรวจจบเหตการณภยคกคามทางไซเบอรอยางตอเนอง และแจงเตอนถงสงทผดปกตตางๆ รวมถงการตดตามเหตการณภยคกคามทางไซเบอรทเกดขนจากทงภายในและภายนอก วเคราะหจดออนหรอชองโหวของภยคกคามทเกดขน เพอเปนขอมลประกอบในการพจารณาทบทวนแนวทางการปองกน ความเสยงและผลกระทบทจะเกดขนกบหนวยงานในอนาคต
Framework for ImprovingCritical Infrastructure Cybersecurity
ดานการรบมอภยคกคาม(Response)
RS.RP : Response Planning มการกาหนดมาตรการและกระบวนการรบมอภยคกคามไซเบอรททนทวงท
RS.CO : Communications มความรวมมอกบหนวยงานทเกยวของทงภายในและภายนอกเกยวกบแผนรบมอภยคกคามไซเบอร
RS.AN : Analysis มการวเคราะหสาเหตภยคกคามหรอตรวจพสจนพยานหลกฐานดจทลRS.MI : Mitigation มมาตรการปองกนการลกลามของภยคกคามRS.IM : Improvements มการทดสอบ ปรบปรงกลยทธและแผนรบมอภยคกคามไซเบอรอยางสม าเสมอ
มาตรการ
Framework for ImprovingCritical Infrastructure Cybersecurity
การกคนขอมลและระบบหลงเหตภยคกคามไซเบอร(Recover)
RC.RP : Recovery Planning มแผนการกคนระบบทงระหวางเกดเหตและหลงเกดเหตภยคกคาม
RC.IM : Improvements มการปรบปรงกลยทธและแผนการกคนอยางสม าเสมอ
RC.CO : Communications มการสอสารใหผบรหารและผทเกยวของทราบภายในองคกรใหทราบถงกระบวนการกคนขอมลหลงเกดเหตภยคกคามไซเบอร
มาตรการ
Framework for ImprovingCritical Infrastructure Cybersecurity