กลุ่มเทคโนโลยีสารสนเทศ ... - ส...

23
สำเนำ คำสั่งกรมสนับสนุนบริกำรสุขภำพ ที786 /2562 เรื่อง แต่งตั้งคณะทำงำนกำหนดมำตรฐำนควำมมั่นคงปลอดภัยสำรสนเทศ สำหรับสถำนพยำบำลภำครัฐและเอกชน กรมสนับสนุนบริกำรสุขภำพ อำศัยอำนำจตำม พระรำชบัญญัติสถำนพยำบำล พ.ศ. 2541 และที่แก้ไขเพิ่มเติม พ.ศ. 2559 ตำมมำตรำ 5 และอำศัยอำนำตตำมมำตรำ 35 (3) ได้กำหนดไว้ เพื่อรองรับกำรดำเนินงำนให้สถำนพยำบำล ต้องปฏิบัติให้เป็นไปตำมมำตรฐำนควำมมั่นคงปลอดภัยสำรสนเทศ และมำตรฐำนควำมมั่นคงปลอดไซเบอร์ในระดับสำกล กรมสนับสนุนบริกำรสุขภำพ มีภำรกิจหลัก ในกำรคุ้มครองผู้บริโภคด้ำนระบบบริกำรสุขภำพและ ส่งเสริมผู้ประกอบกำรด้ำนบริกำรสุขภำพเพื่อประชำชนมีศักยภำพในกำรพึ่งพำตนเองได้ โดยกำรควบคุมหรือ กำกับดูแลหน่วยงำนโครงสร้ำงพื้นฐำนสำคัญทำงสำรสนเทศ จึงต้องดำเนินกำรจัดทำประมวลแนวทำงปฏิบัติและ กรอบมำตรฐำนด้ำนกำรรักษำควำมมั่นคงปลอดภัยสำรสนเทศและควำมมั่นคงปลอดภัยไซเบอร์ รองรับนโยบำย และแผนปฏิบัติกำรว่ำด้วยกำรรักษำควำมมั่นคงปลอดภัยฯ ดังกล่ำว โดยเร็ว จึงแต่งตั้งคณะทำงำนกำหนดมำตรฐำน ควำมมั่นคงปลอดภัยสำรสนเทศ สำหรับสถำนพยำบำลภำครัฐและเอกชน กรมสนับสนุนบริกำรสุขภำพ มี องค์ประกอบและอำนำจหน้ำที่ ดังต่อไปนีองค์ประกอบ 1. อธิบดีกรมสนับสนุนบริกำรสุขภำพ ที่ปรึกษำ 2. ผู้บริหำรระดับสูงด้ำนเทคโนโลยีสำรสนเทศ กรมสนับสนุนบริกำรสุขภำพ ประธำนคณะทำงำน 3. ผู้แทนศูนย์เทคโนโลยีสำรสนเทศและกำรสื่อสำร สำนักงำนปลัดกระทรวงสำธำรณสุข คณะทำงำน 4. ผู้แทนกองกฎหมำย คณะทำงำน 5. ผู้แทนกองวิศวกรรมกำรแพทย์ คณะทำงำน 6. ผู้แทนสำนักสถำนพยำบำลและกำรประกอบโรคศิลปะ คณะทำงำน 7. ผู้แทนกองสถำนประกอบกำรเพื่อสุขภำพ คณะทำงำน 8. หัวหน้ำงำนพัฒนำนวัตกรรมดิจิทัล กลุ่มเทคโนโลยีสำรสนเทศ สำนักบริหำร คณะทำงำน 9. นำยธีรพงศ์ เรือนน้อย นักวิชำกำรคอมพิวเตอร์ คณะทำงำน 10. ผู้อำนวยกำรกลุ่มเทคโนโลยีสำรสนเทศ สำนักบริหำร คณะทำงำนและเลขำนุกำร 11. นำงสำวธนิมำ สังข์สุวรรณ์ นักวิชำกำรสำธำรณสุขชำนำญกำร คณะทำงำนและผู้ช่วยเลขำฯ อำนำจ...

Upload: others

Post on 16-Aug-2021

2 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

ส ำเนำ

ค ำสงกรมสนบสนนบรกำรสขภำพ

ท 786 /2562 เรอง แตงตงคณะท ำงำนก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ

ส ำหรบสถำนพยำบำลภำครฐและเอกชน กรมสนบสนนบรกำรสขภำพ

อำศยอ ำนำจตำม พระรำชบญญตสถำนพยำบำล พ.ศ. 2541 และทแกไขเพมเตม พ.ศ. 2559 ตำมมำตรำ 5 และอำศยอ ำนำตตำมมำตรำ 35 (3) ไดก ำหนดไว เพอรองรบกำรด ำเนนงำนใหสถำนพยำบำลตองปฏบตใหเปนไปตำมมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และมำตรฐำนควำมมนคงปลอดไซเบอรในระดบสำกล

กรมสนบสนนบรกำรสขภำพ มภำรกจหลก ในกำรคมครองผบรโภคดำนระบบบรกำรสขภำพและสงเสรมผประกอบกำรดำนบรกำรสขภำพเพอประชำชนมศกยภำพในกำรพงพำตนเองได โดยกำรควบคมหรอก ำกบดแลหนวยงำนโครงสรำงพนฐำนส ำคญทำงสำรสนเทศ จงตองด ำเนนกำรจดท ำประมวลแนวทำงปฏบตและกรอบมำตรฐำนดำนกำรรกษำควำมมนคงปลอดภยสำรสนเทศและควำมมนคงปลอดภยไซเบอร รองรบนโยบำยและแผนปฏบตกำรวำดวยกำรรกษำควำมมนคงปลอดภยฯ ดงกลำว โดยเรว จงแตงตงคณะท ำงำนก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ ส ำหรบสถำนพยำบำลภำครฐและเอกชน กรมสนบสนนบรกำรสขภำพ มองคประกอบและอ ำนำจหนำท ดงตอไปน

องคประกอบ 1. อธบดกรมสนบสนนบรกำรสขภำพ ทปรกษำ 2. ผบรหำรระดบสงดำนเทคโนโลยสำรสนเทศ

กรมสนบสนนบรกำรสขภำพ ประธำนคณะท ำงำน

3. ผแทนศนยเทคโนโลยสำรสนเทศและกำรสอสำร ส ำนกงำนปลดกระทรวงสำธำรณสข

คณะท ำงำน

4. ผแทนกองกฎหมำย คณะท ำงำน 5. ผแทนกองวศวกรรมกำรแพทย คณะท ำงำน 6. ผแทนส ำนกสถำนพยำบำลและกำรประกอบโรคศลปะ คณะท ำงำน 7. ผแทนกองสถำนประกอบกำรเพอสขภำพ คณะท ำงำน 8. หวหนำงำนพฒนำนวตกรรมดจทล

กลมเทคโนโลยสำรสนเทศ ส ำนกบรหำร คณะท ำงำน

9. นำยธรพงศ เรอนนอย นกวชำกำรคอมพวเตอร

คณะท ำงำน

10. ผอ ำนวยกำรกลมเทคโนโลยสำรสนเทศ ส ำนกบรหำร คณะท ำงำนและเลขำนกำร 11. นำงสำวธนมำ สงขสวรรณ

นกวชำกำรสำธำรณสขช ำนำญกำร คณะท ำงำนและผชวยเลขำฯฯ

อ ำนำจ...

Page 2: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

-2-

อ ำนำจหนำท 1. ทบทวนมำตรกำร วำงแผนก ำหนดแนวทำงปฏบต แบบฟอรมและเอกสำร ทเกยวของกบ

มำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำมมนคงปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน 2. วเครำะห รวบรวม สถำนกำรณกำรก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำม

มนคงปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน 3. ก ำกบ ตดตำม และประเมนผลกำรก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำม

มนคงปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน 4. สรปผลกำรด ำเนนงำนก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำมมนคง

ปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน น ำเสนอผบรหำรกรมสนบสนนบรกำรสขภำพ ทก 3 เดอน 5. หนำทอน ๆ ตำมทไดรบมอบหมำย

ทงน ตงแตบดนเปนตนไป

สง ณ วนท 15 พฤษภำคม พ.ศ. 2562

(ลงชอ) ณฐวฒ ประเสรฐสรพงศ (นำยณฐวฒ ประเสรฐสรพงศ)

อธบดกรมสนบสนนบรกำรสขภำพ

ส ำเนำถกตอง

(นำงสำวธนมำ สงขสวรรณ)

นกวชำกำรสำธำรณสขช ำนำญกำร 21 พฤษภำคม 2562

Page 3: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

การประชมหารอพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร

กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสขวนท 1 เมษายน พ.ศ.2562

Page 4: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

ระเบยบวาระการประชม01 ประธานแจงใหทประชมทราบ

03 เรองเพอพจารณา 1. มาตรการทางกฎหมายในการก ากบดแลผประกอบการทางแพทยและ

สถานพยาบาลดานพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร

2. หนวยงาน Regulator ศกษา,เตรยมความพรอมในการก ากบดแล3. หนวยงาน Operator ศกษา,เตรยมความพรอมเผชญเหต

04 เรองอน ๆ

02 เรองเพอทราบ

Page 5: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

กรมสนบสนนบรการสขภาพ

พรบ.สถานพยาบาลมาตรา 5

“มาตรา ๕ พระราชบญญตนมใหใชบงคบแกสถานพยาบาลซงดาเนนการโดยกระทรวง ทบวง กรม องคกรปกครองสวนทองถน รฐวสาหกจ สถาบนการศกษาของรฐ หนวยงานอนของรฐ สภากาชาดไทย และสถานพยาบาลอน ซงรฐมนตรประกาศกาหนด สถานพยาบาลทไดรบยกเวนตามวรรคหนง ตองมลกษณะของสถานพยาบาลและมาตรฐาน ตามหลกเกณฑ วธการ และเงอนไขทรฐมนตรประกาศกาหนด โดยคาแนะนาของคณะกรรมการ เวนแต สถานพยาบาลทผานการรบรองคณภาพจากหนวยงานซงผอนญาตกาหนดเพอประโยชนแหงการคมครองผบรโภคดานระบบบรการสขภาพ ใหรฐมนตรโดยคาแนะนา ของคณะกรรมการแจงใหสถานพยาบาลตามวรรคหนงซงไมปฏบตตามหลกเกณฑ วธการ และเงอนไข ตามวรรคสอง ดาเนนการปรบปรงหรอแกไขภายในระยะเวลาทกาหนด”

สานกสถานพยาบาลและการประกอบโรคศลปะ

ประกาศกระทรวงสาธารณสข

ขอ 5 ใหสถานพยาบาลมลกษณะโดยทวไปและลกษณะการใหบรการ ดงตอไปน (1) มความปลอดภย มความสะดวก และเหมาะสมตอผใหบรการและผรบบรการ

ในการ ประกอบวชาชพตามประเภทและสาขานน ๆ (2) ตองปฏบตใหเปนไปตามกฎหมายวาดวยควบคมอาคาร(3) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสาธารณสข(4) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการผงเมอง (5) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสงเสรมและรกษาคณภาพสงแวดลอม (6) ตองปฏบตใหเปนไปตามกฎหมายอนทเกยวของ (7) ตองปฏบตใหเปนไปตามพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร

Page 6: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

1.มาตรฐานระบบการจดการคณภาพและความปลอดภยดานอาคาร สภาพแวดลอม2.มาตรฐานงานสขศกษา3.เครองมอแพทยในโรงพยาบาล4.มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

กรมสนบสนนบรการสขภาพ

1.พรบ.สถานพยาบาลมาตรา 52.ประกาศกระทรวงสาธารณสข

สานกสถานพยาบาลและการประกอบโรคศลปะ

กองกฏหมาย

กองแบบแผนกองวศวกรรมการแพทยกองสขศกษาเทคโนโลยสารสนเทศ

มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

กลมเทคโนโลยสารสนเทศกรมสนบสนนบรการสขภาพ

รพ ภาครฐ

รพ เอกชน/คลนก

ควบคมกากบมาตรฐาน

ปรบปรงประกาศกระทรวง

มาตรฐาน

กฏหมายแนวทางการกาหนดมาตรฐานความมนคงปลอดภยเทคโนโลยสารสนเทศสาหรบ โรงพยาบาลภาครฐและเอกชน

Regu

lato

r

Operator

Page 7: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

กรมสนบสนนบรการสขภาพ

สถานพยาบาล

ม.44, 45,46,52ม.54ม.56,57ม.58

Regulator Operator

ม.44,45,46,52ม.53ม.56,57ม.59

มาตราทเกยวของ

ม.73,ม.77,ม.49(7) ดานสาธารณสขบท

ลงโทษ

มาตรา ๕๓ (หนวยงานควบคมหรอกากบดแล )•ตรวจสอบมาตรฐานขนตา•สงใหแกไข •รายงาน กกม. (ถาเพกเฉย)

มาตรา ๕๔ (หนวยงานโครงสรางพนฐาน)•ประเมนความเสยง•ตรวจสอบดานความมนคงปลอดภยไซเบอรอยางนอยปละหนงครง

โครงสรางพนฐานสาคญทางสารสนเทศ Critical InformationInfrastructure (CII)

หนวยงานเฝาระวง ตดตาม ตรวจสอบ เผชญเหต - Health CERT- ICS-CERT- National Health-ISAC

หนวยงานตรวจประเมนความเสยง ระบบ (Audit) ประมวลแนวทางปฏบต (ตามแผนชาต)

ประมวลแนวทางปฏบต/ตรวจสอบการ ปฏบต แผนรบมอ : COBIT/ISO27001/NIST

คณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต (กมช.) อานาจหนาท มาตรา 9

คณะกรรมการกากบดแลดานความมนคงปลอดภยไซเบอร (กกม.) อานาจหนาท มาตรา 11

คณะกรรมการบรหารสานกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอร(กบส.)สานกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต อานาจหนาท ม.22

CSO →กลมงานความมนคงปลอดภยสารสนเทศ ฯ

Page 8: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

ใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแลและหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศจดทาประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอรของแตละหนวยงานใหสอดคลองกบนโยบายและแผนวาดวยการรกษาความมนคงปลอดภยโดยเรว

(๑) แผนการตรวจสอบและประเมนความเสยงดานการรกษาความมนคงปลอดภยไซเบอร โดยผตรวจประเมน ผตรวจสอบภายใน หรอผตรวจสอบอสระจากภายนอกอยางนอยปละหนงครง

(๒) แผนการรบมอภยคกคามทางไซเบอร เพอประโยชนในการจดทาประมวลแนวทางปฏบตดานการรกษาความมนคงปลอดภยไซเบอรตามวรรคหนง ใหสานกงานโดยความเหนชอบของคณะกรรมการจดทาประมวลแนวทางปฏบตและกรอบมาตรฐานสาหรบใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแลหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศนาไปใชเปนแนวทางในการจดทาหรอนาไปใชเปนประมวลเปนแนวทางปฏบตของหนวยงานของรฐ หนวยงานควบคมหรอกากบดแลหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศของตนและในกรณทหนวยงานดงกลาวยงไมมหรอมแตไมครบถวนหรอไมสอดคลองกบประมวลแนวทางปฏบตและกรอบมาตรฐานใหนาประมวลแนวทางปฏบตและกรอบมาตรฐานดงกลาวไปใชบงคบ

มาตรา 44

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

Page 9: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

หนวยงานของรฐ หนวยงานควบคมหรอกากบดแล และหนวยงาน โครงสรางพนฐานสาคญทางสารสนเทศ มหนาทปองกน รบมอ และลดความเสยงจากภยคกคาม ทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของแตละหนวยงาน และจะตองดาเนนการใหเปนไปตามประมวลแนวทางปฏบตและกรอบมาตรฐาน ดานการรกษาความมนคงปลอดภยไซเบอรตามมาตรา ๑๓ วรรคหนง (๔) ดวย

ในกรณทหนวยงานของรฐ หนวยงานควบคมหรอกากบดแล หรอหนวยงาน โครงสรางพนฐานสาคญทางสารสนเทศไมอาจดาเนนการหรอปฏบตตามวรรคหนงได สานกงาน อาจใหความชวยเหลอดานบคลากรหรอเทคโนโลยแกหนวยงานนนตามทรองขอได

มาตรา 45

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

Page 10: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

เพอประโยชนในการรกษาความมนคงปลอดภยไซเบอร ใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแล และหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศ แจงรายชอเจาหนาทระดบบรหารและระดบปฏบตการ เพอประสานงาน ดานการรกษาความมนคงปลอดภยไซเบอรไปยงสานกงาน

ในกรณทมการเปลยนแปลงเจาหนาทตามวรรคหนงใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแล และหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศแจงใหสานกงานทราบโดยเรว

มาตรา 46

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

Page 11: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

เพอประโยชนในการตดตอประสานงาน ใหหนวยงานโครงสรางพนฐาน สาคญทางสารสนเทศแจงรายชอและขอมลการตดตอของเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรไปยงสานกงาน หนวยงานควบคมหรอกากบดแลของตน และหนวยงาน ตามมาตรา ๕๐ ภายในสามสบวนนบแตวนทคณะกรรมการประกาศตามมาตรา ๔๙ วรรคสอง และมาตรา ๕๐ วรรคสอง หรอนบแตวนทคณะกรรมการมคาวนจฉยตามมาตรา ๕๑ แลวแตกรณ โดยอยางนอยเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรตองเปน บคคลซงรบผดชอบในการบรหารงานของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศนน

ในกรณทมการเปลยนแปลงเจาของกรรมสทธ ผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรตามวรรคหนง ใหแจงการเปลยนแปลงไปยงหนวยงานทเกยวของตามวรรคหนงกอนการเปลยนแปลงลวงหนาไมนอยกวาเจดวน เวนแตมเหตจาเปนอนไมอาจกาวลวงไดใหแจงโดยเรว

มาตรา 52

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

Page 12: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

ในการดาเนนการรกษาความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศ ใหหนวยงานควบคมหรอกากบดแลตรวจสอบมาตรฐานขนตา เรองความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศทอยภายใต การกากบควบคมดแลของตน หากพบวาหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศใด ไมไดมาตรฐาน ใหหนวยงานควบคมหรอกากบดแลนนรบแจงใหหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศทตากวามาตรฐานแกไขใหไดมาตรฐานโดยเรว หากหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศนนยงคงเพกเฉยไมดาเนนการ หรอไมดาเนนการใหแลวเสรจภายในระยะเวลา ทหนวยงานควบคมหรอกากบดแลกาหนด ใหหนวยงานควบคมหรอกากบดแลสงเรองให กกม. พจารณาโดยไมชกชา เมอไดรบคารองเรยนตามวรรคหนง หาก กกม. พจารณาแลวเหนวา มเหตดงกลาว และอาจทาใหเกดภยคกคามทางไซเบอรให กกม. ดาเนนการ ดงตอไปน

(๑) กรณเปนหนวยงานของรฐ ใหแจงตอผบรหารระดบสงสดของหนวยงาน เพอใชอานาจในทางบรหาร สงการไปยงหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศนน เพอใหดาเนนการแกไขจนไดมาตรฐานโดยเรว

(๒) กรณเปนหนวยงานเอกชน ใหแจงไปยงผบรหารระดบสงสดของหนวยงานผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรของหนวยงานโครงสรางสาคญทางสารสนเทศนน เพอใหดาเนนการแกไขจนไดมาตรฐานโดยเรว ใหเลขาธการดาเนนการตดตามเพอใหเปนไปตามความในวรรคสองดวย

มาตรา 53

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator

Page 13: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

หนวยงานโครงสรางพนฐานสาคญทางสารสนเทศตองกาหนดใหมกลไกหรอขนตอนเพอการเฝาระวงภยคกคามทางไซเบอรหรอเหตการณทเกยวกบความมนคงปลอดภยไซเบอร ทเกยวของกบโครงสรางพนฐานสาคญทางสารสนเทศของตน ตามมาตรฐาน ซงกาหนดโดยหนวยงานควบคมหรอกากบดแล และตามประมวลแนวทางปฏบต รวมถงระบบ มาตรการทใชแกปญหาเพอรกษาความมนคงปลอดภยไซเบอรทคณะกรรมการหรอ กกม. กาหนด และตองเขารวมการทดสอบสถานะความพรอมในการรบมอกบภยคกคามทางไซเบอร ทสานกงานจดขน

มาตรา 56

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

Page 14: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

เมอมเหตภยคกคามทางไซเบอรเกดขนอยางมนยสาคญตอระบบของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศ ใหหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศ รายงานตอสานกงานและหนวยงานควบคมหรอกากบดแล และปฏบตการรบมอ กบภยคกคามทางไซเบอรตามทกาหนดในสวนท ๔ ทงน กกม. อาจกาหนดหลกเกณฑและวธการ การรายงานดวยกได

มาตรา 57

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

Page 15: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

ในกรณทเกดหรอคาดวาจะเกดภยคกคามทางไซเบอรตอระบบสารสนเทศซงอยในความดแลรบผดชอบของหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศใด ใหหนวยงานนนดาเนนการตรวจสอบขอมลทเกยวของ ขอมลคอมพวเตอร และระบบคอมพวเตอรของหนวยงานนน รวมถงพฤตการณแวดลอมของตน เพอประเมนวา มภยคกคามทางไซเบอรเกดขนหรอไม หากผลการตรวจสอบปรากฏวาเกดหรอคาดวาจะเกด ภยคกคามทางไซเบอรขน ใหดาเนนการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของหนวยงานนน และแจงไปยงสานกงานและหนวยงานควบคมหรอกากบดแลของตนโดยเรว

ในกรณทหนวยงานหรอบคคลใดพบอปสรรคหรอปญหาในการปองกน รบมอและลดความเสยงจากภยคกคามทางไซเบอรของตน หนวยงานหรอบคคลนนอาจรองขอความชวยเหลอไปยงสานกงาน

มาตรา 58

หนวยงาน : สถานพยาบาล Operator

Page 16: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

เมอปรากฏแกหนวยงานควบคมหรอกากบดแล หรอเมอหนวยงานควบคมหรอกากบดแลไดรบแจงเหตตามมาตรา 58 ใหหนวยงานควบคมกากบหรอดแล รวมกบหนวยงานตามมาตรา 50 รวบรวมขอมล ตรวจสอบ วเคราะหสถานการณ และประเมนผลกระทบเกยวกบภยคกคามทางไซเบอร และดาเนนการ ดงตอไปน

(๑) สนบสนนและใหความชวยเหลอแกหนวยงานของรฐหรอหนวยงานโครงสราง พนฐานสาคญทางสารสนเทศทอยในการควบคมหรอกากบดแลของตน และใหความรวมมอและประสานงานกบสานกงาน ในการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร

(๒) แจงเตอนหนวยงานของรฐและหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศทอยในการควบคมหรอกากบดแลของตน รวมทงหนวยงานควบคมหรอกากบดแล หนวยงานของรฐหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศอนทเกยวของโดยเรว

มาตรา 59

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator

Page 17: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

มาตรา 73 หนวยงานโครงสรางพนฐานส าคญทางสารสนเทศใดไมรายงานเหตภยคกคามทางไซเบอรตามมาตรา 47 โดยไมมเหตอนควรตองระวางโทษปรบไมเกน สองแสนบาท

มาตรา 77 ในกรณทผกระท าความผดตามพระราชบญญตนเปนนตบคคลถาการกระท าความผดของนตบคคลนนเกดจากการสงการหรอการกระท าของกรรมการหรอผจดการ หรอบคคลใดซงรบผดชอบในการด าเนนงานของนตบคคลนน หรอในกรณทบคคลดงกลาวมหนาท ตองสงการหรอกระท าการและละเวนไมสงการหรอไมกระท าการจนเปนเหตใหนตบคคลนนกระท า ความผด ผนนตองรบโทษตามทบญญตไวส าหรบความผดนน ๆ ดวย

และมาตราทเกยวของ มาตรา 74, มาตรา 75 , มาตรา 76

บทลงโทษ ทเกยวของกบมาตรา 49 ดานสาธารณสข

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

Page 18: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

การระบIDENTIFY

มาตรการ

ID.AM : Asset Management ID.BE : Business EnvironmentID.GV : GovernanceID.RA : Risk Assessment ID.RM : Risk Management Strategy ID.SC : Supply Chain Risk Management

หนวยงานตองท าการระบวา กระบวนการดาเนนงานและทรพยสนสารสนเทศใดบางทมความเสยงตอการถกโจมตทางไซเบอร และตองไดรบการรกษาความมนคงปลอดภย เพอบรหารจดการความเสยงดานภยคกคามทางไซเบอรทมตอ ระบบ ทรพยสน ขอมล ของหนวยงานไดอยางเหมาะสม

Framework for ImprovingCritical Infrastructure Cybersecurity

Page 19: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

การปองกนPROTECT

มาตรการ

PR.AC : Identity Management and Access Control PR.AT : Awareness and Training PR.DS : Data Security PR.IP : Information Protection Processes and Procedures PR.MA: MaintenancePR.PT : Protective Technology

หนวยงานตองมมาตรการปองกนทเหมาะสมเพอจ ากดผลกระทบของเหตการณภยคกคามไซเบอร ซงครอบคลมถง เรองการควบคมการเขาถง การฝกอบรมและการสรางความตระหนกใหแกเจาหนาทและผทเกยวของ ความปลอดภยของ ขอมล และมาตรการดานความมนคงปลอดภยตาง ๆ ทงกระบวนการและวธปฏบต ตลอดจนเทคโนโลย นอกจากน หนวยงานตองท าการบ ารงรกษาอปกรณและซอฟตแวรทเกยวของกบระบบอเลกทรอนกสอยางสม าเสมอเพอใหสามารถ รองรบการด าเนนงานไดอยางตอเนอง รวมทงการเปลยนแปลงแกไข Patch หรอ Update software

Framework for ImprovingCritical Infrastructure Cybersecurity

Page 20: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

การตรวจจบDETECT

มาตรการ

DE.AE : Anomalies and Events DE.CM : Security Continuous Monitoring DE.DP : Detection Processes

หนวยงานตองมกระบวนการตดตามเฝาระวง และตรวจจบเหตการณภยคกคามทางไซเบอรอยางตอเนอง และแจงเตอนถงสงทผดปกตตางๆ รวมถงการตดตามเหตการณภยคกคามทางไซเบอรทเกดขนจากทงภายในและภายนอก วเคราะหจดออนหรอชองโหวของภยคกคามทเกดขน เพอเปนขอมลประกอบในการพจารณาทบทวนแนวทางการปองกน ความเสยงและผลกระทบทจะเกดขนกบหนวยงานในอนาคต

Framework for ImprovingCritical Infrastructure Cybersecurity

Page 21: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

ดานการรบมอภยคกคาม(Response)

RS.RP : Response Planning มการกาหนดมาตรการและกระบวนการรบมอภยคกคามไซเบอรททนทวงท

RS.CO : Communications มความรวมมอกบหนวยงานทเกยวของทงภายในและภายนอกเกยวกบแผนรบมอภยคกคามไซเบอร

RS.AN : Analysis มการวเคราะหสาเหตภยคกคามหรอตรวจพสจนพยานหลกฐานดจทลRS.MI : Mitigation มมาตรการปองกนการลกลามของภยคกคามRS.IM : Improvements มการทดสอบ ปรบปรงกลยทธและแผนรบมอภยคกคามไซเบอรอยางสม าเสมอ

มาตรการ

Framework for ImprovingCritical Infrastructure Cybersecurity

Page 22: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54

การกคนขอมลและระบบหลงเหตภยคกคามไซเบอร(Recover)

RC.RP : Recovery Planning มแผนการกคนระบบทงระหวางเกดเหตและหลงเกดเหตภยคกคาม

RC.IM : Improvements มการปรบปรงกลยทธและแผนการกคนอยางสม าเสมอ

RC.CO : Communications มการสอสารใหผบรหารและผทเกยวของทราบภายในองคกรใหทราบถงกระบวนการกคนขอมลหลงเกดเหตภยคกคามไซเบอร

มาตรการ

Framework for ImprovingCritical Infrastructure Cybersecurity

Page 23: กลุ่มเทคโนโลยีสารสนเทศ ... - ส ำเนำict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19...1976/01/05  · ม.44, 45,46,52 ม.54