ส ำเนำ

ค ำสงกรมสนบสนนบรกำรสขภำพ

ท 786 /2562 เรอง แตงตงคณะท ำงำนก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ

ส ำหรบสถำนพยำบำลภำครฐและเอกชน กรมสนบสนนบรกำรสขภำพ

อำศยอ ำนำจตำม พระรำชบญญตสถำนพยำบำล พ.ศ. 2541 และทแกไขเพมเตม พ.ศ. 2559 ตำมมำตรำ 5 และอำศยอ ำนำตตำมมำตรำ 35 (3) ไดก ำหนดไว เพอรองรบกำรด ำเนนงำนใหสถำนพยำบำลตองปฏบตใหเปนไปตำมมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และมำตรฐำนควำมมนคงปลอดไซเบอรในระดบสำกล

กรมสนบสนนบรกำรสขภำพ มภำรกจหลก ในกำรคมครองผบรโภคดำนระบบบรกำรสขภำพและสงเสรมผประกอบกำรดำนบรกำรสขภำพเพอประชำชนมศกยภำพในกำรพงพำตนเองได โดยกำรควบคมหรอก ำกบดแลหนวยงำนโครงสรำงพนฐำนส ำคญทำงสำรสนเทศ จงตองด ำเนนกำรจดท ำประมวลแนวทำงปฏบตและกรอบมำตรฐำนดำนกำรรกษำควำมมนคงปลอดภยสำรสนเทศและควำมมนคงปลอดภยไซเบอร รองรบนโยบำยและแผนปฏบตกำรวำดวยกำรรกษำควำมมนคงปลอดภยฯ ดงกลำว โดยเรว จงแตงตงคณะท ำงำนก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ ส ำหรบสถำนพยำบำลภำครฐและเอกชน กรมสนบสนนบรกำรสขภำพ มองคประกอบและอ ำนำจหนำท ดงตอไปน

องคประกอบ 1. อธบดกรมสนบสนนบรกำรสขภำพ ทปรกษำ 2. ผบรหำรระดบสงดำนเทคโนโลยสำรสนเทศ

กรมสนบสนนบรกำรสขภำพ ประธำนคณะท ำงำน

3. ผแทนศนยเทคโนโลยสำรสนเทศและกำรสอสำร ส ำนกงำนปลดกระทรวงสำธำรณสข

คณะท ำงำน

4. ผแทนกองกฎหมำย คณะท ำงำน 5. ผแทนกองวศวกรรมกำรแพทย คณะท ำงำน 6. ผแทนส ำนกสถำนพยำบำลและกำรประกอบโรคศลปะ คณะท ำงำน 7. ผแทนกองสถำนประกอบกำรเพอสขภำพ คณะท ำงำน 8. หวหนำงำนพฒนำนวตกรรมดจทล

กลมเทคโนโลยสำรสนเทศ ส ำนกบรหำร คณะท ำงำน

9. นำยธรพงศ เรอนนอย นกวชำกำรคอมพวเตอร

คณะท ำงำน

10. ผอ ำนวยกำรกลมเทคโนโลยสำรสนเทศ ส ำนกบรหำร คณะท ำงำนและเลขำนกำร 11. นำงสำวธนมำ สงขสวรรณ

นกวชำกำรสำธำรณสขช ำนำญกำร คณะท ำงำนและผชวยเลขำฯฯ

อ ำนำจ...

-2-

อ ำนำจหนำท 1. ทบทวนมำตรกำร วำงแผนก ำหนดแนวทำงปฏบต แบบฟอรมและเอกสำร ทเกยวของกบ

มำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำมมนคงปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน 2. วเครำะห รวบรวม สถำนกำรณกำรก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำม

มนคงปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน 3. ก ำกบ ตดตำม และประเมนผลกำรก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำม

มนคงปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน 4. สรปผลกำรด ำเนนงำนก ำหนดมำตรฐำนควำมมนคงปลอดภยสำรสนเทศ และควำมมนคง

ปลอดภยไซเบอรส ำหรบสถำนพยำบำลภำครฐและเอกชน น ำเสนอผบรหำรกรมสนบสนนบรกำรสขภำพ ทก 3 เดอน 5. หนำทอน ๆ ตำมทไดรบมอบหมำย

ทงน ตงแตบดนเปนตนไป

สง ณ วนท 15 พฤษภำคม พ.ศ. 2562

(ลงชอ) ณฐวฒ ประเสรฐสรพงศ (นำยณฐวฒ ประเสรฐสรพงศ)

อธบดกรมสนบสนนบรกำรสขภำพ

ส ำเนำถกตอง

(นำงสำวธนมำ สงขสวรรณ)

นกวชำกำรสำธำรณสขช ำนำญกำร 21 พฤษภำคม 2562

การประชมหารอพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร

กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสขวนท 1 เมษายน พ.ศ.2562

ระเบยบวาระการประชม01 ประธานแจงใหทประชมทราบ

03 เรองเพอพจารณา 1. มาตรการทางกฎหมายในการก ากบดแลผประกอบการทางแพทยและ

สถานพยาบาลดานพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร

2. หนวยงาน Regulator ศกษา,เตรยมความพรอมในการก ากบดแล3. หนวยงาน Operator ศกษา,เตรยมความพรอมเผชญเหต

04 เรองอน ๆ

02 เรองเพอทราบ

กรมสนบสนนบรการสขภาพ

พรบ.สถานพยาบาลมาตรา 5

“มาตรา ๕ พระราชบญญตนมใหใชบงคบแกสถานพยาบาลซงดาเนนการโดยกระทรวง ทบวง กรม องคกรปกครองสวนทองถน รฐวสาหกจ สถาบนการศกษาของรฐ หนวยงานอนของรฐ สภากาชาดไทย และสถานพยาบาลอน ซงรฐมนตรประกาศกาหนด สถานพยาบาลทไดรบยกเวนตามวรรคหนง ตองมลกษณะของสถานพยาบาลและมาตรฐาน ตามหลกเกณฑ วธการ และเงอนไขทรฐมนตรประกาศกาหนด โดยคาแนะนาของคณะกรรมการ เวนแต สถานพยาบาลทผานการรบรองคณภาพจากหนวยงานซงผอนญาตกาหนดเพอประโยชนแหงการคมครองผบรโภคดานระบบบรการสขภาพ ใหรฐมนตรโดยคาแนะนา ของคณะกรรมการแจงใหสถานพยาบาลตามวรรคหนงซงไมปฏบตตามหลกเกณฑ วธการ และเงอนไข ตามวรรคสอง ดาเนนการปรบปรงหรอแกไขภายในระยะเวลาทกาหนด”

สานกสถานพยาบาลและการประกอบโรคศลปะ

ประกาศกระทรวงสาธารณสข

ขอ 5 ใหสถานพยาบาลมลกษณะโดยทวไปและลกษณะการใหบรการ ดงตอไปน (1) มความปลอดภย มความสะดวก และเหมาะสมตอผใหบรการและผรบบรการ

ในการ ประกอบวชาชพตามประเภทและสาขานน ๆ (2) ตองปฏบตใหเปนไปตามกฎหมายวาดวยควบคมอาคาร(3) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสาธารณสข(4) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการผงเมอง (5) ตองปฏบตใหเปนไปตามกฎหมายวาดวยการสงเสรมและรกษาคณภาพสงแวดลอม (6) ตองปฏบตใหเปนไปตามกฎหมายอนทเกยวของ (7) ตองปฏบตใหเปนไปตามพระราชบญญตวาดวยการรกษาความมนคงปลอดภยไซเบอร

1.มาตรฐานระบบการจดการคณภาพและความปลอดภยดานอาคาร สภาพแวดลอม2.มาตรฐานงานสขศกษา3.เครองมอแพทยในโรงพยาบาล4.มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

กรมสนบสนนบรการสขภาพ

1.พรบ.สถานพยาบาลมาตรา 52.ประกาศกระทรวงสาธารณสข

สานกสถานพยาบาลและการประกอบโรคศลปะ

กองกฏหมาย

กองแบบแผนกองวศวกรรมการแพทยกองสขศกษาเทคโนโลยสารสนเทศ

มาตรฐานความมนคงปลอดภยดานเทคโนโลยสารสนเทศ

กลมเทคโนโลยสารสนเทศกรมสนบสนนบรการสขภาพ

รพ ภาครฐ

รพ เอกชน/คลนก

ควบคมกากบมาตรฐาน

ปรบปรงประกาศกระทรวง

มาตรฐาน

กฏหมายแนวทางการกาหนดมาตรฐานความมนคงปลอดภยเทคโนโลยสารสนเทศสาหรบ โรงพยาบาลภาครฐและเอกชน

Regu

lato

r

Operator

กรมสนบสนนบรการสขภาพ

สถานพยาบาล

ม.44, 45,46,52ม.54ม.56,57ม.58

Regulator Operator

ม.44,45,46,52ม.53ม.56,57ม.59

มาตราทเกยวของ

ม.73,ม.77,ม.49(7) ดานสาธารณสขบท

ลงโทษ

มาตรา ๕๓ (หนวยงานควบคมหรอกากบดแล )•ตรวจสอบมาตรฐานขนตา•สงใหแกไข •รายงาน กกม. (ถาเพกเฉย)

มาตรา ๕๔ (หนวยงานโครงสรางพนฐาน)•ประเมนความเสยง•ตรวจสอบดานความมนคงปลอดภยไซเบอรอยางนอยปละหนงครง

โครงสรางพนฐานสาคญทางสารสนเทศ Critical InformationInfrastructure (CII)

หนวยงานเฝาระวง ตดตาม ตรวจสอบ เผชญเหต - Health CERT- ICS-CERT- National Health-ISAC

หนวยงานตรวจประเมนความเสยง ระบบ (Audit) ประมวลแนวทางปฏบต (ตามแผนชาต)

ประมวลแนวทางปฏบต/ตรวจสอบการ ปฏบต แผนรบมอ : COBIT/ISO27001/NIST

คณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต (กมช.) อานาจหนาท มาตรา 9

คณะกรรมการกากบดแลดานความมนคงปลอดภยไซเบอร (กกม.) อานาจหนาท มาตรา 11

คณะกรรมการบรหารสานกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอร(กบส.)สานกงานคณะกรรมการรกษาความมนคงปลอดภยไซเบอรแหงชาต อานาจหนาท ม.22

CSO →กลมงานความมนคงปลอดภยสารสนเทศ ฯ

ใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแลและหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศจดทาประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอรของแตละหนวยงานใหสอดคลองกบนโยบายและแผนวาดวยการรกษาความมนคงปลอดภยโดยเรว

(๑) แผนการตรวจสอบและประเมนความเสยงดานการรกษาความมนคงปลอดภยไซเบอร โดยผตรวจประเมน ผตรวจสอบภายใน หรอผตรวจสอบอสระจากภายนอกอยางนอยปละหนงครง

(๒) แผนการรบมอภยคกคามทางไซเบอร เพอประโยชนในการจดทาประมวลแนวทางปฏบตดานการรกษาความมนคงปลอดภยไซเบอรตามวรรคหนง ใหสานกงานโดยความเหนชอบของคณะกรรมการจดทาประมวลแนวทางปฏบตและกรอบมาตรฐานสาหรบใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแลหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศนาไปใชเปนแนวทางในการจดทาหรอนาไปใชเปนประมวลเปนแนวทางปฏบตของหนวยงานของรฐ หนวยงานควบคมหรอกากบดแลหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศของตนและในกรณทหนวยงานดงกลาวยงไมมหรอมแตไมครบถวนหรอไมสอดคลองกบประมวลแนวทางปฏบตและกรอบมาตรฐานใหนาประมวลแนวทางปฏบตและกรอบมาตรฐานดงกลาวไปใชบงคบ

มาตรา 44

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

หนวยงานของรฐ หนวยงานควบคมหรอกากบดแล และหนวยงาน โครงสรางพนฐานสาคญทางสารสนเทศ มหนาทปองกน รบมอ และลดความเสยงจากภยคกคาม ทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของแตละหนวยงาน และจะตองดาเนนการใหเปนไปตามประมวลแนวทางปฏบตและกรอบมาตรฐาน ดานการรกษาความมนคงปลอดภยไซเบอรตามมาตรา ๑๓ วรรคหนง (๔) ดวย

ในกรณทหนวยงานของรฐ หนวยงานควบคมหรอกากบดแล หรอหนวยงาน โครงสรางพนฐานสาคญทางสารสนเทศไมอาจดาเนนการหรอปฏบตตามวรรคหนงได สานกงาน อาจใหความชวยเหลอดานบคลากรหรอเทคโนโลยแกหนวยงานนนตามทรองขอได

มาตรา 45

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

เพอประโยชนในการรกษาความมนคงปลอดภยไซเบอร ใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแล และหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศ แจงรายชอเจาหนาทระดบบรหารและระดบปฏบตการ เพอประสานงาน ดานการรกษาความมนคงปลอดภยไซเบอรไปยงสานกงาน

ในกรณทมการเปลยนแปลงเจาหนาทตามวรรคหนงใหหนวยงานของรฐ หนวยงานควบคมหรอกากบดแล และหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศแจงใหสานกงานทราบโดยเรว

มาตรา 46

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

เพอประโยชนในการตดตอประสานงาน ใหหนวยงานโครงสรางพนฐาน สาคญทางสารสนเทศแจงรายชอและขอมลการตดตอของเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรไปยงสานกงาน หนวยงานควบคมหรอกากบดแลของตน และหนวยงาน ตามมาตรา ๕๐ ภายในสามสบวนนบแตวนทคณะกรรมการประกาศตามมาตรา ๔๙ วรรคสอง และมาตรา ๕๐ วรรคสอง หรอนบแตวนทคณะกรรมการมคาวนจฉยตามมาตรา ๕๑ แลวแตกรณ โดยอยางนอยเจาของกรรมสทธ ผครอบครองคอมพวเตอร และผดแลระบบคอมพวเตอรตองเปน บคคลซงรบผดชอบในการบรหารงานของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศนน

ในกรณทมการเปลยนแปลงเจาของกรรมสทธ ผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรตามวรรคหนง ใหแจงการเปลยนแปลงไปยงหนวยงานทเกยวของตามวรรคหนงกอนการเปลยนแปลงลวงหนาไมนอยกวาเจดวน เวนแตมเหตจาเปนอนไมอาจกาวลวงไดใหแจงโดยเรว

มาตรา 52

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

ในการดาเนนการรกษาความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศ ใหหนวยงานควบคมหรอกากบดแลตรวจสอบมาตรฐานขนตา เรองความมนคงปลอดภยไซเบอรของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศทอยภายใต การกากบควบคมดแลของตน หากพบวาหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศใด ไมไดมาตรฐาน ใหหนวยงานควบคมหรอกากบดแลนนรบแจงใหหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศทตากวามาตรฐานแกไขใหไดมาตรฐานโดยเรว หากหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศนนยงคงเพกเฉยไมดาเนนการ หรอไมดาเนนการใหแลวเสรจภายในระยะเวลา ทหนวยงานควบคมหรอกากบดแลกาหนด ใหหนวยงานควบคมหรอกากบดแลสงเรองให กกม. พจารณาโดยไมชกชา เมอไดรบคารองเรยนตามวรรคหนง หาก กกม. พจารณาแลวเหนวา มเหตดงกลาว และอาจทาใหเกดภยคกคามทางไซเบอรให กกม. ดาเนนการ ดงตอไปน

(๑) กรณเปนหนวยงานของรฐ ใหแจงตอผบรหารระดบสงสดของหนวยงาน เพอใชอานาจในทางบรหาร สงการไปยงหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศนน เพอใหดาเนนการแกไขจนไดมาตรฐานโดยเรว

(๒) กรณเปนหนวยงานเอกชน ใหแจงไปยงผบรหารระดบสงสดของหนวยงานผครอบครองคอมพวเตอรและผดแลระบบคอมพวเตอรของหนวยงานโครงสรางสาคญทางสารสนเทศนน เพอใหดาเนนการแกไขจนไดมาตรฐานโดยเรว ใหเลขาธการดาเนนการตดตามเพอใหเปนไปตามความในวรรคสองดวย

มาตรา 53

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator

หนวยงานโครงสรางพนฐานสาคญทางสารสนเทศตองกาหนดใหมกลไกหรอขนตอนเพอการเฝาระวงภยคกคามทางไซเบอรหรอเหตการณทเกยวกบความมนคงปลอดภยไซเบอร ทเกยวของกบโครงสรางพนฐานสาคญทางสารสนเทศของตน ตามมาตรฐาน ซงกาหนดโดยหนวยงานควบคมหรอกากบดแล และตามประมวลแนวทางปฏบต รวมถงระบบ มาตรการทใชแกปญหาเพอรกษาความมนคงปลอดภยไซเบอรทคณะกรรมการหรอ กกม. กาหนด และตองเขารวมการทดสอบสถานะความพรอมในการรบมอกบภยคกคามทางไซเบอร ทสานกงานจดขน

มาตรา 56

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

เมอมเหตภยคกคามทางไซเบอรเกดขนอยางมนยสาคญตอระบบของหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศ ใหหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศ รายงานตอสานกงานและหนวยงานควบคมหรอกากบดแล และปฏบตการรบมอ กบภยคกคามทางไซเบอรตามทกาหนดในสวนท ๔ ทงน กกม. อาจกาหนดหลกเกณฑและวธการ การรายงานดวยกได

มาตรา 57

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

ในกรณทเกดหรอคาดวาจะเกดภยคกคามทางไซเบอรตอระบบสารสนเทศซงอยในความดแลรบผดชอบของหนวยงานของรฐหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศใด ใหหนวยงานนนดาเนนการตรวจสอบขอมลทเกยวของ ขอมลคอมพวเตอร และระบบคอมพวเตอรของหนวยงานนน รวมถงพฤตการณแวดลอมของตน เพอประเมนวา มภยคกคามทางไซเบอรเกดขนหรอไม หากผลการตรวจสอบปรากฏวาเกดหรอคาดวาจะเกด ภยคกคามทางไซเบอรขน ใหดาเนนการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร ตามประมวลแนวทางปฏบตและกรอบมาตรฐานดานการรกษาความมนคงปลอดภยไซเบอร ของหนวยงานนน และแจงไปยงสานกงานและหนวยงานควบคมหรอกากบดแลของตนโดยเรว

ในกรณทหนวยงานหรอบคคลใดพบอปสรรคหรอปญหาในการปองกน รบมอและลดความเสยงจากภยคกคามทางไซเบอรของตน หนวยงานหรอบคคลนนอาจรองขอความชวยเหลอไปยงสานกงาน

มาตรา 58

หนวยงาน : สถานพยาบาล Operator

เมอปรากฏแกหนวยงานควบคมหรอกากบดแล หรอเมอหนวยงานควบคมหรอกากบดแลไดรบแจงเหตตามมาตรา 58 ใหหนวยงานควบคมกากบหรอดแล รวมกบหนวยงานตามมาตรา 50 รวบรวมขอมล ตรวจสอบ วเคราะหสถานการณ และประเมนผลกระทบเกยวกบภยคกคามทางไซเบอร และดาเนนการ ดงตอไปน

(๑) สนบสนนและใหความชวยเหลอแกหนวยงานของรฐหรอหนวยงานโครงสราง พนฐานสาคญทางสารสนเทศทอยในการควบคมหรอกากบดแลของตน และใหความรวมมอและประสานงานกบสานกงาน ในการปองกน รบมอ และลดความเสยงจากภยคกคามทางไซเบอร

(๒) แจงเตอนหนวยงานของรฐและหนวยงานโครงสรางพนฐานสาคญ ทางสารสนเทศทอยในการควบคมหรอกากบดแลของตน รวมทงหนวยงานควบคมหรอกากบดแล หนวยงานของรฐหรอหนวยงานโครงสรางพนฐานสาคญทางสารสนเทศอนทเกยวของโดยเรว

มาตรา 59

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator

มาตรา 73 หนวยงานโครงสรางพนฐานส าคญทางสารสนเทศใดไมรายงานเหตภยคกคามทางไซเบอรตามมาตรา 47 โดยไมมเหตอนควรตองระวางโทษปรบไมเกน สองแสนบาท

มาตรา 77 ในกรณทผกระท าความผดตามพระราชบญญตนเปนนตบคคลถาการกระท าความผดของนตบคคลนนเกดจากการสงการหรอการกระท าของกรรมการหรอผจดการ หรอบคคลใดซงรบผดชอบในการด าเนนงานของนตบคคลนน หรอในกรณทบคคลดงกลาวมหนาท ตองสงการหรอกระท าการและละเวนไมสงการหรอไมกระท าการจนเปนเหตใหนตบคคลนนกระท า ความผด ผนนตองรบโทษตามทบญญตไวส าหรบความผดนน ๆ ดวย

และมาตราทเกยวของ มาตรา 74, มาตรา 75 , มาตรา 76

บทลงโทษ ทเกยวของกบมาตรา 49 ดานสาธารณสข

หนวยงาน : กรมสนบสนนบรการสขภาพ Regulator/สถานพยาบาล Operator

การระบIDENTIFY

มาตรการ

ID.AM : Asset Management ID.BE : Business EnvironmentID.GV : GovernanceID.RA : Risk Assessment ID.RM : Risk Management Strategy ID.SC : Supply Chain Risk Management

หนวยงานตองท าการระบวา กระบวนการดาเนนงานและทรพยสนสารสนเทศใดบางทมความเสยงตอการถกโจมตทางไซเบอร และตองไดรบการรกษาความมนคงปลอดภย เพอบรหารจดการความเสยงดานภยคกคามทางไซเบอรทมตอ ระบบ ทรพยสน ขอมล ของหนวยงานไดอยางเหมาะสม

Framework for ImprovingCritical Infrastructure Cybersecurity

การปองกนPROTECT

มาตรการ

PR.AC : Identity Management and Access Control PR.AT : Awareness and Training PR.DS : Data Security PR.IP : Information Protection Processes and Procedures PR.MA: MaintenancePR.PT : Protective Technology

หนวยงานตองมมาตรการปองกนทเหมาะสมเพอจ ากดผลกระทบของเหตการณภยคกคามไซเบอร ซงครอบคลมถง เรองการควบคมการเขาถง การฝกอบรมและการสรางความตระหนกใหแกเจาหนาทและผทเกยวของ ความปลอดภยของ ขอมล และมาตรการดานความมนคงปลอดภยตาง ๆ ทงกระบวนการและวธปฏบต ตลอดจนเทคโนโลย นอกจากน หนวยงานตองท าการบ ารงรกษาอปกรณและซอฟตแวรทเกยวของกบระบบอเลกทรอนกสอยางสม าเสมอเพอใหสามารถ รองรบการด าเนนงานไดอยางตอเนอง รวมทงการเปลยนแปลงแกไข Patch หรอ Update software

Framework for ImprovingCritical Infrastructure Cybersecurity

การตรวจจบDETECT

มาตรการ

DE.AE : Anomalies and Events DE.CM : Security Continuous Monitoring DE.DP : Detection Processes

หนวยงานตองมกระบวนการตดตามเฝาระวง และตรวจจบเหตการณภยคกคามทางไซเบอรอยางตอเนอง และแจงเตอนถงสงทผดปกตตางๆ รวมถงการตดตามเหตการณภยคกคามทางไซเบอรทเกดขนจากทงภายในและภายนอก วเคราะหจดออนหรอชองโหวของภยคกคามทเกดขน เพอเปนขอมลประกอบในการพจารณาทบทวนแนวทางการปองกน ความเสยงและผลกระทบทจะเกดขนกบหนวยงานในอนาคต

Framework for ImprovingCritical Infrastructure Cybersecurity

ดานการรบมอภยคกคาม(Response)

RS.RP : Response Planning มการกาหนดมาตรการและกระบวนการรบมอภยคกคามไซเบอรททนทวงท

RS.CO : Communications มความรวมมอกบหนวยงานทเกยวของทงภายในและภายนอกเกยวกบแผนรบมอภยคกคามไซเบอร

RS.AN : Analysis มการวเคราะหสาเหตภยคกคามหรอตรวจพสจนพยานหลกฐานดจทลRS.MI : Mitigation มมาตรการปองกนการลกลามของภยคกคามRS.IM : Improvements มการทดสอบ ปรบปรงกลยทธและแผนรบมอภยคกคามไซเบอรอยางสม าเสมอ

มาตรการ

Framework for ImprovingCritical Infrastructure Cybersecurity

การกคนขอมลและระบบหลงเหตภยคกคามไซเบอร(Recover)

RC.RP : Recovery Planning มแผนการกคนระบบทงระหวางเกดเหตและหลงเกดเหตภยคกคาม

RC.IM : Improvements มการปรบปรงกลยทธและแผนการกคนอยางสม าเสมอ

RC.CO : Communications มการสอสารใหผบรหารและผทเกยวของทราบภายในองคกรใหทราบถงกระบวนการกคนขอมลหลงเกดเหตภยคกคามไซเบอร

มาตรการ

Framework for ImprovingCritical Infrastructure Cybersecurity