การพฒนาขั ้อมูลและเทคโนโลย ีสารสนเทศict4.moph.go.th/evaluate/images/stories/pdf/pmqa6/process.pdf · 6.1 กระบวนการพัฒนาระบบข้อมูลสารสนเทศและความร

คมอการปฏบตงาน

การพฒนาขอมลและเทคโนโลยสารสนเทศ

ศนยเทคโนโลยสารสนเทศและการสอสาร สานกงานปลดกระทรวงสาธารณสข

http://www.ddcsecretary.org/index.php?lay=show&ac=photo_view&event_id=2678&pagephoto=1

สารบญ

หวขอ หนา 1. วตถประสงค 1

2. ขอบเขต 1 3. คาจากดความ 1

4. หนาทความรบผดชอบ 2 5. Work Flow กระบวนการ 3 6. รายละเอยดวธปฏบตงาน 4 7. มาตรฐานการปฏบตงาน 4 8. ระบบการตดตามและประเมนผล 10 9. เอกสารอางอง 10 10.แบบฟอรม 10 11. ภาคผนวก 1) Workflow กระบวนการพฒนาระบบขอมลสารสนเทศและความร 11 2) Workflow กระบวนการบรหารความเสยงดานเทคโนโลยสารสนเทศ 12 3) รายละเอยดวธปฏบตการพฒนาระบบขอมลสารสนเทศและความร 13 4) รายละเอยดวธปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศ 16

เรอง การพฒนาขอมลและเทคโนโลยสารสนเทศ เอกสารเลขท SP-ICT-010 แกไขครงท 00 คมอการปฏบตงาน

สานกงานปลดกระทรวงสาธารณสข วนทบงคบใช 1 ตลาคม 2553 หนา 1 ของ 17

1. วตถประสงค เพอเปนแนวทางในการปฏบตงานดานการพฒนาขอมลและเทคโนโลยสารสนเทศ ของ

สานกงานปลดกระทรวงสาธารณสข ใหมความมนคง ความปลอดภย มความถกตอง เปนทยอมรบ เปนทเชอถอได โดยใชหลกบรหารจดการฐานขอมล และ หลกการบรหารความเสยงเปนเครองมอในการดแลรกษาฐานขอมลสารสนเทศและเทคโนโลยเครอขายคอมพวเตอร

2. ขอบเขต การพฒนาขอมลและเทคโนโลยสารสนเทศ ของสานกงานปลดกระทรวงสาธารณสข จะ

เกยวของโดยตรงกบ 2 หนวยงานหลก ไดแก ศนยเทคโนโลยสารสนเทศและการสอสาร (ศทส.) และสานกนโยบายและยทธศาสตร (สนย.) ในฐานะของผเชยวชาญเฉพาะดาน ผใหคาปรกษา และคณะกรรมการพจารณาดาเนนการ นอกจากนยงเกยวกบทกหนวยงานในสงกดสานกงานปลดกระทรวงสาธารณสข ทจะตองถอปฏบตตามคมอเลมนในการดาเนนงานกระบวนการพฒนาขอมลและเทคโนโลยสารสนเทศ

แบงเปน 2 กระบวนการ 1) การพฒนาระบบขอมลสารสนเทศและความร 2) การบรหารความเสยงดานเทคโนโลยสารสนเทศ ครอบคลมตงแตการศกษาวเคราะห การออกแบบ จดทาแผน นาแผนสการปฏบต และ

ตดตามผลการดาเนนงาน

3. คาจากดความ 3.1 การพฒนาระบบขอมลสารสนเทศและความร หมายถง การพฒนาโปรแกรม ระบบงาน

ระบบฐานขอมล ทงทดาเนนการเองโดยเจาหนาทภายในหนวยงานสงกดสานกงานปลดกระทรวงสาธารณสข และดาเนนการโดยการจดจางบรษท หางราน ดวยวธการจดซอจดจางตามระเบยบพสด

3.2 ความเสยง (Risk) หมายถง ภาวะคกคาม ปญหา อปสรรค หรอการสญเสยโอกาส ซงจะมผลทาใหศนยเทคโนโลยสารสนเทศและการสอสาร สานกงานปลดกระทรวงสาธารณสขไมสามารถบรรลวตถประสงคทกาหนดไว หรอกอใหเกดผลเสยหายตอหนวยงาน โดยเฉพาะอยางยงผลเสยตอระบบเทคโนโลยสารสนเทศทสานกงานปลดกระทรวงสาธารณสขใชในการบรหารงานและปฏบตการโดยเฉพาะอยางยงการบรการประชาชน

3.3 การควบคม (Control) หมายถง ขนตอนการปฏบต กระบวนการดาเนนงานหรอกลไกการปฏบตงาน ซงศนยเทคโนโลยสารสนเทศและการสอสาร สานกงานปลดกระทรวงสาธารณสขกาหนดขนเพอใหมนใจวาการบรหารงานจะสามารถบรรลวตถประสงคทไดกาหนดไว



3.4 การบรหารความเสยง (Risk Management) หมายถง การกาหนดแนวทางและกระบวนการในการบงช วเคราะห ประเมน จดการและตดตามความเสยงทเกยวของกบกจกรรม หนวยงาน หรอกระบวนการดาเนนงานของศนยเทคโนโลยสารสนเทศและการสอสาร รวมทงการกาหนดวธการในการบรหารและควบคมความเสยงใหอยในระดบทผบรหารระดบสงยอมรบได

3.5 การบรหารความเสยงศนยเทคโนโลยสารสนเทศและการสอสารโดยรวม (Organization Wide Risk Management) หมายถง การบรหารปจจยและควบคมกจกรรม รวมทงกระบวนการปฏบตงานตางๆ โดยตองลดมลเหตของแตละโอกาสทจะทาใหศนยเทคโนโลยสารสนเทศและการสอสาร สานกงานปลดกระทรวงสาธารณสขเสยหาย

3.6 ระบบเทคโนโลยสารสนเทศและการสอสาร หมายถง ระบบเครอขายคอมพวเตอร ระบบเครองคอมพวเตอร ระบบเครองสอสาร ระบบฐานขอมล และอปกรณประกอบระบบตาง ๆ รวมทง อาคารสถานททใชตดตงอปกรณระบบประมวลผลฐานขอมลทงหมด

3.7 ความปลอดภย หมายถง สภาพหรอสภาวะทแสดงถงการเตรยมการ และการดาเนนการเพอปองกนภย อนตราย จากการปฏบตงานหรอการกระทาตางๆ รวมถงการแกไขและชวยเหลอในกรณฉกเฉน

3.8 ประสทธภาพ หมายถง หมายถง การปฏบตงานหรอบรการทถกตอง รวดเรว ใชเทคนคทสะดวกสบายกวาเดม คมคา และใชทรพยากรนอยทสดในขณะทตองการผลงานมากทสด (Efficiency is to do thing right)

3.9 เสถยรภาพ หมายถง เสถยรภาพ (Stability) หมายถง ระดบความมนคงของระบบเครอขายการสอสารของกระทรวงสาธารณสขทไมผนแปรจนเกนระดบทยอมรบได

3.10 ศทส.สป.สธ. หมายถง ศนยเทคโนโลยสารสนเทศและการสอสาร สานกงานปลดกระทรวงสาธารณสข

4. หนาทความรบผดชอบ 4.1 ผอานวยการ

4.1.1 อนมตแผนดาเนนการ/โครงการ 4.1.2 แตงตงคณะกรรมการ และคณะทางาน 4.1.3 อนมตดาเนนการ

4.2 คณะกรรมการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ ศนยเทคโนโลยสารสนเทศและการสอสาร

4.2.1 ตรวจสอบความมนคงปลอดภยระบบสารสนเทศ แกไขปญหาทนท รายงานผบรหาร

4.2.2 เสนอนโยบาย แนวทางปฏบตดานการปองกนความเสยง



4.2.3 ควบคม กากบ ดแลใหมการปฏบตตามนโยบาย/ระเบยบปฏบตดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

4.2.4 จดทาแผนบรหารความเสยงดานการปฎบตการ (ระบบฐานขอมลสารสนเทศ) สานกงานปลดกระทรวงสาธารณสข

4.2.5 ดาเนนการตามแผน/ตดตามกากบใหหนวยงานทเกยวของดาเนนการตามแผน

4.2.6 จดทารายงานผลการตดตามการปฏบตตามแผนการบรหารความเสยง ดานการปฏบตการ (ระบบฐานขอมลสารสนเทศ)

4.3 คณะกรรมการบรหารและจดหาระบบคอมพวเตอร คณะกรรมการดาเนนงานพฒนาระบบเทคโนโลยสารสนเทศและการสอสาร กระทรวงสาธารณสข

4.3.1 พจารณาความเหมาะสม ความคมคา ของคณลกษณะเฉพาะของระบบฐานขอมลสารสนเทศทตองการพฒนา

4.3.2 ใหคาแนะนา ขอเสนอแนะ ในการพฒนาระบบขอมลสารสนเทศและความร แกหนวยงานเจาของเรอง

4.3.3 เสนอแนวทางการดาเนนงานตามมาตรฐานการบรหารจดการความเสยงดานเทคโนโลยสารสนเทศและการสอสาร

4.4 คณะกรรมการตามระเบยบพสด 4.4.1 กาหนดคณลกษณะเฉพาะของโปรแกรมคอมพวเตอร และ /หรอ

ระบบงานสารสนเทศ (TOR) 4.4.2 พจารณาเกยวกบการเปดซองราคา สอบราคา หาผทเสนอผลประโยชน

สงสดแกราชการ 4.4.3 ตรวจสอบรายละเอยดของโปรแกรมคอมพวเตอร ตามขอกาหนดการจาง

หรอคณลกษณะเฉพาะของโปรแกรมคอมพวเตอร และ/หรอระบบงานสารสนเทศ (TOR)

5. Workflow กระบวนการ 5.1 กระบวนการพฒนาระบบขอมลสารสนเทศและความร (ตามภาคผนวก 1) 5.2 การบรหารความเสยงดานเทคโนโลยสารสนเทศ (ตามภาคผนวก 2)



6. รายละเอยดวธปฏบต 6.1 กระบวนการพฒนาระบบขอมลสารสนเทศและความร (ตามภาคผนวก 3) 6.2 การบรหารความเสยงดานเทคโนโลยสารสนเทศ (ตามภาคผนวก 4)

7. มาตรฐานการปฏบตงาน 7.1 มาตรฐานการพฒนาระบบขอมลสารสนเทศและความร เปนแนวทางทใหทกหนวยงานในสงกดสานกงานปลดกระทรวงสาธารณสข ไดนาไปใช

ในการพฒนาระบบงานฐานขอมลสารสนเทศและโปรแกรมปฏบตงานตางๆ เพอใหไดผลลพธทมประสทธภาพ ดงน

7.1.1 กอนการพฒนาระบบ 1) พจารณาความตองการของระบบหรอโปรแกรม ควรใหสอดคลองกบทศทางและพนธ

กจของหนวยงาน 2) ควรมความชดเจนในเปาประสงคของโปรแกรม และมอบหมายผควบคมการ

ดาเนนงานใหชดเจนเพอทาหนาท กากบดแลใหการพฒนาโปรแกรมอยในขอบเขตทนาไปสเปาประสงค และสามารถพฒนาเสรจไดในระยะเวลาทกาหนด ภายใตงบประมาณและทรพยากรทมอยในปจจบน

3) พจารณาถงผลตอบแทนหรอประโยชนทจะไดรบเมอโปรแกรมพฒนาเสรจ 4) พจารณาเทคโนโลย ภาษาโปรแกรมคอมพวเตอรทเลอกใช วามความเปนไปไดใน

การพฒนาตามความตองการไดจรง และเปนเทคโนโลยทนยมใชแพรหลาย และจะยงคงอยตอไปในอนาคตอยางนอย 3-5 ปเพอลดคาใชจายในการบารงรกษาโปรแกรมหรอระบบ

5) พจารณาถงความตองการดานขอมลทจะนาไปใชกบโปรแกรม ควรตองมความสอดคลองและตอเนอง

6) ทมพฒนา ควรไดรบความชดเจนเรองกลมผใชงาน และเกบรวบรวมขอมลความตองการของโปรแกรมจากกลมผใชงานใหไดมากทสด

7) การออกแบบหนาจอ และขนตอนการทางานของโปรแกรม ตองใหเหมาะสมกบการปฏบตงานจรง ชวยใหทางานไดสะดวก รวดเรว และขนตอนไมซบซอน

8) การออกแบบระบบทงในสวนโปรแกรม และโครงสรางฐานขอมลจะตองรองรบการปรบเปลยน หรอเพมเตมในอนาคตได แตไมควรเผอไวโดยไมไดใชงานจรง เพราะระบบจะมขนาดใหญเกนจาเปนและตองใชทรพยากรเพอดแลรกษาไมคมคากบประโยชนทไดรบ

7.1.2 การเลอกใชเครองมอในการพฒนา 1) พจารณาเลอกใชซอฟตแวรทมลขสทธถกตอง หรอเลอกใชซอฟตแวรทเปน Open

Source



2) พจารณาถงผลกระทบตางๆ เชน การดแลรกษาระบบทยงยาก การพฒนาบคลากรในการเรยนรเทคโนโลยใหม ขอจากดของเทคโนโลยทสงผลใหไมสามารถเชอมโยงการทางานระหวางระบบงานเดมและระบบงานใหมได เปนตน

3) พจารณาถงงบประมาณ ระยะเวลาในการพฒนา ระยะเวลาในการ Implement ระบบ

7.1.3 ขนตอนการพฒนา พจารณาดาเนนงานตามวงจรชวตของการพฒนาระบบฐานขอมล (Database Life Cycle) หรอทเรยกอยางยอวา DBLC เปนขนตอนทกาหนดขน เพอใชเปนแนวทางในการพฒนาระบบฐานขอมลขนใชงาน ซงประกอบดวยขนตอนตางๆ ดงน 1) Database Initial Study วเคราะหความตองการตาง ๆ ของผใช เพอกาหนดจดมงหมาย ปญหา ขอบเขต และกฎระเบยบตาง ๆ ของระบบฐานขอมลทจะพฒนา 2) Database Design นาเอารายละเอยดตาง ๆ ทไดจากการวเคราะหมาเปนแนวทางในการออกแบบ สาหรบแนวทางทนยมใชในการออกแบบฐานขอมล ไดแก แนวทางแบบ Data-driven (ใหความสาคญกบตวขอมล ตองออกแบบตวขอมลจนมความสมบรณกอนทจะทาการออกแบบตวโปรแกรม) และแนวทางแบบ Joint Data- and Function-driven (สามารถตรวจสอบความสมบรณของขอมลควบคไปกบการตรวจสอบการทางานของ Function วามจานวนครบถวนหรอไม) 3) Implementation and Loading สรางฐานขอมลทจะใชเกบขอมลจรง รวมทงทาการแปลงขอมลของระบบงานเดมใหสามารถนามาใชงานในระบบฐานขอมลทพฒนาขนใหม 4) Testing and Evaluation ทดสอบระบบฐานขอมลทพฒนาขน เพอหาขอผดพลาดตาง ๆ รวมทงทาการประเมนความสามารถของระบบฐานขอมลวารองรบความตองการของผใชงานดานตาง ๆ ไดอยางถกตองและครบถวนหรอไม 5) Operation นาระบบฐานขอมลทพฒนาเสรจเรยบรอยไปใชงานจรง 6) Maintenance and Evolution ขนตอนนเกดขนระหวางการใชงานจรง เพอบารงรกษาใหระบบฐานขอมลทางานไดอยางมประสทธภาพ รวมทงเปนขนตอนของการแกไข ปรบปรงระบบฐานขอมล ตามความตองการของผใชงาน

7.1.4 การกาหนดคณลกษณะของระบบหรอโปรแกรม แนวทางในการพจารณาเลอกพฒนาโปรแกรมใดกอนหรอหลง ในชวงระยะเวลาจากด

เวลาหนง ควรพจารณาดงน 1) โครงการเรงดวน ตามนโยบาย 2) ความจาเปนในการใชงานหรอความตองการในการใชงานตามลาดบความสาคญ 3) ความเปนไปไดทางเทคโนโลย เศรษฐกจ และการประยกตใชงาน 4) ระยะเวลาทเหมาะสมในการพฒนาโปรแกรมแตละระบบ



รายละเอยดในการกาหนดคณลกษณะเฉพาะของโปรแกรม ควรมดงน 1) สรประบบงานทปฏบตอย ปญหาอปสรรคทเกดขนจากการปฏบต หรอจากการทไมมระบบโปรแกรมใช 2) ระยะเวลาทเพยงพอในแตละขนตอนของการพฒนา เชน การวเคราะหความตองการ การออกแบบ การพฒนา การทดสอบ เปนตน 3) รายละเอยดฟงกชนและผลลพธทตองการ ควรระบใหชดเจน โดยอาจแยกหวขอตามระบบงาน เชน สาหรบผใชทวไป (End User Tools) สาหรบผดแลระบบ (Administrator Tools) สาหรบผใชเฉพาะกลม (Special User Tools) สาหรบผบรหาร (Management Tools) ระบบการทารายงาน (Reports) ระบบการนาเขา แกไข ปรบปรงขอมล (Editing Data Flow) ซงจาเปนตองระบถงความสามารถทวไปและความสามารถตามภารกจของหนวยงาน (Business Flow) 4) คณสมบตควรมความเปนไปไดในการตรวจรบงาน ไมกวางหรอเจาะจงเกนไป

7.1.5 การทดสอบและตรวจรบระบบหรอโปรแกรม ควรกาหนดวธการตรวจรบรวมกบผพฒนาระบบ โดยจดทาเอกสารทดสอบระบบ (Test

Checklist) ตามรายละเอยดของฟงกชนทระบไวในเอกสารสรปความตองการ ควรใหมการทดสอบกบขอมลจรง โดยหนวยงานเจาของระบบหรอโปรแกรมเปนผจดเตรยมขอมลทใชทดสอบ และทาการทดสอบกอนตดตงใชงานจรง เพอไมใหกระทบกบการปฏบตงาน ควรมการทดสอบ ดงน

1) ทดสอบระหวางการพฒนา ไดแก - การตรวจสอบไวยากรณ (Syntax Checking) โดยใช Compiler วา Code ท

โปรแกรมเมอรเขยนถกตองหรอไม - การทดสอบทละโมดล (Unit Testing หรอ Module Testing) ตรวจสอบ

ผลลพธในระดบโมดล - การทดสอบแบบรวมโมดล (Integration Testing) ทดสอบการรบสงขอมล

ระหวางโมดล ทงแบบบนลงลาง (Top-Down Approach) และแบบลางขนบน (Bottom-Up Approach) - การทดสอบรวม (System Testing) ทดสอบทงระบบงานหรอโปรแกรม 2) ทดสอบภายหลงการพฒนา ไดแก แบบตรวจการณ (Inspection) ตรวจสอบตาม

เอกสารทดสอบระบบ และแบบตามสถานการณจรง (Scenario Testing) ตรวจสอบโดยกาหนดขนตอนการทางานเสมอนจรง มการจดเตรยมขอมลจรง

3) ทดสอบการกคอขอมล (Recovery Testing) 4) ทดสอบความปลอดภย (Security Testing) เพอปองกนการลกลอบใชงานระบบหรอ

เรยกใชขอมลโดยไมไดรบอนญาต



5) ทดสอบประสทธภาพการทางาน (Performance Testing) หรอทดสอบความกดดน (Stress Testing) คอการทดสอบเมอมผใชงานหลายๆคนพรอมกน หรอเมอมการทางานหนกมากกวาปกต เพอดผลลพธทจะเกดขนวาอะไรบางทอาจเปนสาเหตททาใหระบบลมได

7.1.6 การดาเนนงานภายหลงการพฒนาโปรแกรม 1) การฝกอบรมการใชงานโปรแกรม เชน ฝกอบรมการใชงานระบบหลก เพอการตรวจ

รบโปรแกรม หรอกาหนดฝกอบรมโดย On the Job Training โดยใหมการรวมทมพฒนาโปรแกรมดวย เพอสามารถพฒาตอเนองหรอดแลระบบไดเองเมอหมดระยะเวลารบประกน นอกจากนควรมกาหนดจานวนผเรยนในแตละหลกสตร แบงกลมตามระดบการใชงาน และความเกยวของในการปฏบตงาน เชน ผดแลระบบควรจะตองมความรในการใชงานโปรแกรมดวยเพอใหความชวยเหลอผใชงานทวไปได และควรมการวดผลการฝกอบรมเพอใหแนใจวา ผรบการฝกอบรมมความเขาใจระบบและสามารถใชปฏบตงานไดจรง

2) การจดทาเอกสารประกอบโปรแกรม ไดแก เอกสารความตองการระบบโปรแกรม เอกสารการออกแบบฐานขอมล และเอกสารวธการใชงานโปรแกรมประยกต หากหนวยงานมรปแบบมาตรฐานของเอกสารอยแลว ควรจะแนบรปแบบมาตรฐาน (Template) ไวในขอกาหนดดวย

7.1.7 การบารงรกษาโปรแกรม การบารงรกษาควรจะตองมความสอดคลองกนทง Hardware Software และโปรแกรม

จงควรมขอกาหนดสาหรบการจางบารงรกษา ดงน 1) ดาเนนการแกไขขอบกพรอง (Bug) ของโปรแกรมใหสามารถใชงานไดเปนปกต

ภายใน 1 วนทาการหลงจากทไดรบแจง 2) ตดตงโปรแกรมใหสามารถใชงานไดดดงเดม หลงจากมการชารด บกพรอง 3) ใหคาปรกษาในเรองใชงานโปรแกรม และการปรบปรงแกไขโปรแกรมใหม

ความสามารถเพมมากขน 4) ทดสอบการทางานของโปรแกรมรวมกบซอฟตแวรเวอรชนใหม พรอมสงรายงาน

สรปผลการทดสอบเพอใหทราบถงผลกระทบของโปรแกรม 5) ดาเนนการปรบปรงโปรแกรมทบารงรกษาใหสามารถทางานรวมกบซอฟตแวรเวอร

ชนใหมโดยไมคดคาใชจายในกรณทไมมผลกระทบของโปรแกรม 6) ตองสามารถมนใจไดวาระบบหรอโปรแกรม จะใชงานไดตลอดเวลา หรอตองใชงาน

ไดทนทเมอมการรองขอ 7) ตองไมเปนการเพมภาระงานแกบคลากรในการพฒนาโปรแกรม 8) ควรตองมการระบระยะเวลาดาเนนการแกไขปญหาใหเสรจ ตามความสาคญของแต

ละระบบงาน



9) ควรตองทาการตรวจสอบการรกษาความปลอดภยของระบบอยางสมาเสมอเพอปองกนปญหาทเกดจากไวรสคอมพวเตอร

10) กรณทระบบงานมความซบซอน และเปนระบบงานทสาคญมาก ควรจดใหมเจาหนาทมาประจาหนวยงาน (Onsite Support) เพอคอยชวยเหลอและแกไขปญหาไดอยางรวดเรว

11) จดเตรยมงบประมาณการบารงรกษา ซงโดยทวไปจะอยในชวง 15-25% ของราคาคาพฒนาโปรแกรม

7.2 มาตรฐานการบรหารความเสยงดานเทคโนโลยสารสนเทศ เปนแนวทางทใหทกหนวยงานในสงกดสานกงานปลดกระทรวงสาธารณสข ไดนาไปใช

ในการบรหารจดการความเสยงดาน ICT หรอความเสยงดานระบบฐานขอมลและสารสนเทศของหนวยงาน เพอใหสามารถกาจด หรอควบคมความเสยงไดอยางมประสทธภาพ ดงน

7.2.1 การระบความเสยง 1) หนวยงานควรแตงตงคณะทางานหรอกลมบคคลเพอทาหนาทบรหารจดการความ

เสยงทอาจเกดขนกบระบบฐานขอมลและสารสนเทศของหนวยงาน 2) คณะทางานประชมรวมกนเพอพจารณาระบความเสยงทอาจเกดขนกบระบบ

ฐานขอมลสารสนเทศของหนวยงาน ความเสยงทอาจเกดขนกบระบบเทคโนโลยสารสนเทศของหนวยงานวามอะไรบาง และระบวาอะไรบางทเปนปจจยกอใหเกดความเสยงดงกลาว และความเสยงใดบางทเปนความเสยงทควรหลกเลยง (Avoid) หรอเปนความเสยงทยอมรบได (Accept) หรอเปนความเสยงทตองมมาตรการเพอลด (Reduce) หรอเปนความเสยงทโอน/กระจาย (Share) ไปยง Out Source ได

3) จดทาแผนปฏบตการบรหารจดการความเสยงดาน ICT ของหนวยงาน พรอมทงประชาสมพนธใหบคลากรทกคนในหนวยงานรบทราบถงความเสยง ปจจยเสยงของหนวยงาน ทาความเขาใจและรวมมอปฏบตตามแผน

7.2.2 การคนหาความเสยง 1) พฒนาแบบฟอรมเพอใชในการคนหาความเสยง ซงความเสยงแตละเรองอาจตองใช

แบบฟอรมทแตกตางกน 2) กาหนดระยะเวลาในการคนหาความเสยงอยางสมาเสมอ และตอเนอง เชน ทกเดอน

หรอทก 3 เดอนเปนตน 3) กาหนดผรบผดชอบในการคนหาความเสยง เพอเปนผบนทกขอมลลงในแบบฟอรม

และสงใหคณะทางานเกบรวบรวม 7.2.3 การวเคราะหและประเมนความเสยง



1) คณะทางานรวบรวมแบบฟอรมคนหาความเสยง และนามาวเคราะหความเสยงทตรวจพบ ประเมนความรนแรงของความเสยง ประเมนผลกระทบทอาจเกดขน และโอกาสทจะเกดความเสยงแตละเรองไดอก

2) วเคราะหหาปจจยทกอใหเกดความเสยงแตละเรอง 3) กาหนดวธการจดการหรอมาตรการ ในการจดการปจจยเสยง รปแบบการดาเนนการ

ระยะเวลาทควรดาเนนการ และกลมบคคลทเกยวของในการดาเนนงาน 7.2.4 การจดการความเสยง

ตามมาตรฐาน ISO/ IEC 17799 และ ISO/ IEC 27001 ซงถอไดวาเปนมาตรฐานสากล (International Standard) ดานการบรหารจดการเรองของความปลอดภยขอมล ทครอบคลมเรองสาคญตางๆ อาท เชน Security Policy และ Security Incident Management ซงมวตถประสงคของการบรหารความเสยงระบบสารสนเทศ คอการลดความเสยง (Risk Reduction) ใหอยในจดทยอมรบได (Risk Acceptance Level) โดยมสมมตฐานเหมอนกนคอ "เราไมสามารถลดความเสยงใหเทากบศนยได แตเราสามารถบรหารจดการความเสยงใหอยในจดทเรายอมรบในความเสยหายทเกดขนได และ สามารถทาใหองคกรดาเนนงานไดตอเนองอยางไมตดขด" ดงนน ควรเลอกวธการจดการความเสยงใหเหมาะกบโครงสรางและทรพยากรของหนวยงาน และวธการตางๆ หรอกจกรรมดงกลาวตองมการในลกษณะวงจร (Cycle) ทเคลอนหมนอยเสมอ กจกรรมเหลานตองถกเฝาระวงหรอตรวจสอบ ตรวจประเมน ทบทวนอยเปนประจา



7.2.5 ประเมนผลการดาเนนงาน 1) คณะทางานประชมพจารณาผลการดาเนนงานตามแผนปฏบตการบรหารจดการ

ความเสยงดาน ICT ถงผลสาเรจในขนตอนตางๆ ผลกระทบ ปญหาอปสรรคทพบระหวางดาเนนงาน 2) สรปผลการพจารณา ผลการประเมน จดทาเปนรายงานเสนอผบรหารหนวยงาน

รบทราบ 7.2.6 เฝาระวงความเสยงและบรณาการแผน

1) คณะทางานวเคราะหและทบทวนผลการดาเนนงานรวมกบแผนปฏบตการทผานมาเพอหาแนวทางปรบปรง หรอบรณาการแผนปฏบตการใหมความเหมาะสมกบโครงสรางหนวยงาน ทรพยากรของหนวยงานและเทคโนโลยสารสนเทศทมการเปลยนแปลง ทนสมย ในปจจบน

2) คณะทางานนาผลการวเคราะหและทบทวน มาใชเปนขอมลพนฐานเพอเขาสกระบวนการระบความเสยงอกครง

3) ควบคม กากบ และตดตามใหยงคงดาเนนการตามมาตรฐานการบรหารความเสยงเทคโนโลยสารสนเทศครบทกขนตอนอยางตอเนอง

8. ระบบการตดตามและประเมนผลการใชคมอ

ไมม

9. เอกสารอางอง 9.1 นโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศและการสอสาร กระทรวงสาธารณสข 9.2 นโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศและการสอสาร สานกงานปลดกระทรวงสาธารณสข 9.3 พระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ.2550

9.4 ระเบยบปฏบตดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ 9.5 คมอและขอปฏบตสาหรบ USER สป.สธ. 10. แบบฟอรมทใช 10.1 แบบประเมนความเสยงระบบฐานขอมลและสารสนเทศ (Admin Risk Report-01)

10.2 แบบตรวจสอบและดแลบารงรกษาเครองคอมพวเตอรและอปกรณประกอบ (User Maintenance 01) 10.3 แบบบนทกการสารองขอมลระบบฐานขอมลและสารสนเทศ (Admin Backup Form)

หนา 11 ภาคผนวก 1 : การพฒนาระบบขอมลสารสนเทศและความร

START

ทบทวน (Review) ระบบขอมลสารสนเทศท

มอย และองคความรทเกยวของ

วเคราะหขอมลและองคความร สรปเพอ

เสนอกรอบและแนวทางในการพฒนา

(Conceptual Design)

กาหนดกรอบและแนวทางในการพฒนา

ระบบขอมลสารสนเทศ

วเคราะหความตองการ/ทบทวน

การออกแบบ (System Design)

พฒนา (Code Development)

ไมตรงความตองการผใชงาน/

พบขอผดพลาด

สงมอบระบบ

ตรวจสอบคณภาพ

ทดสอบและ

ตรวจรบระบบ

ระบบทางานไดดตาม

ความตองการ

ออกรายงานและตดตามประเมนผลระบบ

ปจจย : ประสทธภาพ

และประสทธผล

1 ปจจย : องคความรและ

เทคโนโลยใหมท

เปลยนแปลงไป 2

3

4

5

6

7

8

STOP

หนา 12 ภาคผนวก 2 : การบรหารความเสยงดานเทคโนโลยสารสนเทศ

START

วเคราะหความเสยง

END

ระบความเสยง

จดลาดบความสาคญของความเสยง

ปจจยทกอใหเกดความเสยง

ความเสยงและผลกระทบตอองคกร

ความเสยงทมความสาคญระดบสง

จดทาแผนบรหารจดการความเสยง

จดทาเอกสารแผน

และวธปฏบต

ความเสยงยงคง

เปนปญหา

ดาเนนการตามแผน ลด/กาจดความเสยง

เฝาระวงความเสยง และบรณาการแผน

ปจจย : องคความรและเทคโนโลยทเปลยนแปลงไป, ประสทธภาพและประสทธผล

ผลการดาเนนงานจรงตรงกบทคาดหวง

ความเสยงหมดไป/ถกควบคมได

ดาเนนการตามแผนอยางเครงครด

ความเสยงเกดขนใหมหรอโอกาสทความเสยงยงคงอย

ความเสยงถกแกไขสาเรจ

ใช

ไมใช

ภาคผนวก 3 รายละเอยดวธปฏบตกระบวนการพฒนาระบบขอมลสารสนเทศและความร

ลาดบ ขนตอนปฏบต รายละเอยดวธปฏบต ระยะเวลา

1 - ทบทวนระบบขอมลและสารสนเทศทมอย และองคความรทเกยวของกบกระบวนการดานสขภาพทงในและนอก

กระทรวงสาธารณสข และตางประเทศ ทงทางเวบไซต เอกสาร หรอการสมภาษณผ เชยวชาญ

(ความถของการทบทวน) ทบทวน master plan ประจาป,ทบทวนตามความจาเปน เชน การพฒนาระบบใหม

- ทบทวนสถานภาพของระบบเทคโนโลยทใชในกระทรวงสาธารณสข ทงสวนกลางและจงหวดเพอนามาวเคราะหหาก

สามารถนามาใชประโยชนรวมกนได

1 สปดาห

2 - นาผลการทบทวนทไดมาสงเคราะหเพอกาหนดระบบในองครวมและวเคราะหเพอกาหนดรายละเอยดหลก

- จดทาขอเสนอแนวทางและกรอบในการพฒนาระบบขอมลและสารสนเทศ

1 สปดาห

3 - ตงคณะกรรมการ/คณะทางานเพอพจารณาขอเสนอและแนวทางในการพจารณา

- กาหนดกาหนดแนวทางในการพฒนาระบบขอมล โครงสรางขอมล ประกอบดวย

- รายการขอมล

- ชนดขอมล

- ขอบเขตขอมล

- ระยะเวลา

- หนวยจดเกบ

- ระดบการจดเกบ

2 สปดาห

ทบทวน (Review) ระบบขอมล

สารสนเทศทมอย และองค

ความรทเกยวของ

วเคราะหขอมลและองคความร

สรปเพอเสนอกรอบและแนวทาง

ในการพฒนา (Conceptual

Design)

กาหนดกรอบและ

แนวทางในการพฒนา

ระบบขอมลสารสนเทศ

4 หนา 13


4

- จดทาแผนภาพระบบขอมลสารสนเทศ (Data Flow Diagram) ตงแต

input (ผใหขอมลสารสนเทศ) กระบวนการ output (ผใชขอมลสารสนเทศ)

- จดทาผงงานระบบ (System Flowchart) เพอแสดงวธการ ขนตอนการทางานและสงตาง ๆ ทเกยวของกบ

ระบบ

- ควรใชหลกการพฒนาแบบววฒนาการ (Evolutionary Development) แบงยอยชวงเวลาของการพฒนาเพอลด

เวลาในการดาเนนการใหครบวงจรการพฒนา ทาใหมโอกาสในการพฒนาและทบทวน เพอเตมเตมขอบกพรอง

ตางๆ ในการวเคราะหความตองการและออกแบบไดดขน ปรบใหตรงตามความตองการเพมเตมจากผใชงานใหด

ขนในแตละวงรอบของการทางาน และทาซาตามกระบวนการหลายรอบ

2 สปดาห หรอ

ขนอยกบความ

ซบซอน/ความยาก

ของระบบ

5

- จดทารายละเอยดของขอมลแตละรายการหรอแตละตวชวดเพอใชเปนคมอในการจดเกบขอมลใหเปนมาตรฐาน

เดยวกน

- จดทาโครงสรางฐานขอมลรวมทงรปแบบของผลลพธทตองการ (Output) การกาหนดรายละเอยดขนตอนการ

ประมวลผล (Process Details), ตารางขอมล (Table),

- ออกแบบระบบในสวนของการปอนขอมล (Input), รายละเอยดขนตอนการประมวลผล (Process Details)

การจดเกบขอมล (Stored), โครงสรางการจดเกบแฟมขอมล (File Structure), เครองมอทใชในการจดเกบ

ขอมล (Storage Device) การสารองขอมล (Backup) การออกแบบตวเครองและอปกรณประกอบตาง ๆ

(Hardware) เพอรองรบกบโปรแกรม (Software) ทพฒนาขน





นาสงตาง ๆ ทวเคราะหและออกแบบมาแลวจากขนท 4 และ 5 มาสรางโปรแกรม/ระบบงาน/ระบบขอมลสารสนเทศ




การออกแบบ (System

Design)

พฒนา (Code

Development)

6

6

วเคราะหความตองการ/

ทบทวน

หนา 14


6 - ทดสอบการทางานของระบบกอนจะนาไปใชงานจรงและผใชงานควรใชขอมลทปฏบตงานจรงเพอดผลลพธทไดวา

ถกตองและตรงตามความตองการของผใชหรอไม

- เมอพบวามขอผดพลาดเกดขนจากการทางานของระบบจะตองมการปรบแกและบารงรกษาระบบ กลบไปขนท 4

วเคราะหความตองการ





- มการทาเอกสารประกอบ ไดแก คมอสาหรบโปรแกรมเมอรใชในการแกไขและบารงรกษาระบบ

- คมอประกอบการใชงานของผ ใช (User Documentation) หรอ

- Training ให User เพอใชงาน

2 สปดาห

7 - ตรวจสอบคณภาพ (ความครบถวน ถกตองของฐานขอมล) ทกาหนด

- user friendly (เปนมตรกบผใช)

2 สปดาห

8

- ทดสอบการสงทารายงานจากระบบขอมลสารสนเทศและความร

- สอบถามความพงพอใจจากผใชงานในระดบตางๆ

3 – 9 เดอน

ทดสอบและ

ตรวจรบ

4

ออกรายงานและการ

ตดตามประเมนผล

ตรวจสอบคณภาพ

การสงมอบระบบ

หนา 15

ภาคผนวก 4 รายละเอยดวธปฏบตการบรหารความเสยงดานเทคโนโลยสารสนเทศ


1 - แตงตงคณะทางานบรหารความเสยงดานเทคโนโลยสารสนเทศ สานกงานปลดกระทรวงสาธารณสข

- แตงตงคณะกรรมการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศและเครอขายคอมพวเตอร

- ทบทวนรายชอคณะทกป

- ประชมคณะทางาน/คณะกรรมการ เพอระบความเสยงและปจจยทกอใหเกดความเสยง

2 สปดาห

2 - นารายการความเสยงมาวเคราะหถงผลกระทบและโอกาสเกด

(ความเสยงทยงคงเหลออย และความเสยงทอาจเกดขนใหมตามสภาพปจจยแวดลอม/เทคโนโลยทเปลยนแปลงไป)

- พจารณาวตถประสงค ภารกจ ความสาเรจดานเทคโนโลยสารสนเทศและการสอสาร และความเสยหายทยอมรบได รวม

ดวย

1 สปดาห

3 - ประชมคณะกรรมการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศและเครอขายคอมพวเตอร เพอ

จดลาดบความสาคญ/ความรนแรงของความเสยงทอาจเกดขน

- จาแนกความเสยงออกเปน หลกเลยงได ยอมรบได ควบคมได และถายโอนได

3 วน

4 - จดทา/ทบทวนปรบปรงแผน ดงน

- ระเบยบปฏบต/นโยบายดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

- แผนบรหารจดการความเสยงดาน ICT ของสานกงานปลดกระทรวงสาธารณสข รวมทง แผนปฏบตการ และ แผน

แกไขปญหาจากสถานการณความไมแนนอนและภยพบต (IT Contingency Plan)

กรณทดาเนนการตามแผนอยางเครงครดแลวแตความเสยงยงคงเปนปญหาอย ตองกลบมาทบทวนและปรบปรงแผนให

เหมาะสม

1 เดอน

จดลาดบความสาคญของความเสยง

จดทาแผนบรหารจดการความเสยง

วเคราะหความเสยง

ระบความเสยง

หนา 16


5 - จดทาเอกสารแผนตางๆ และวธปฏบตหรอคมอการปฏบตเพอคนหา และจดการความเสยง

- ถายทอดแผนและวธปฏบต ใหทกหนวยงานรบทราบและถอปฏบตอยางจรงจง (แจงเวยนหนงสอ/ประชม)

2 สปดาห

6 - ผแทน(ดาน ICT)ของหนวยงาน ถายทอดระเบยบ/แผนและวธปฏบตใหแกเจาหนาททกคนในหนวยงาน รบทราบและ

ตระหนกถงความสาคญของการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

- ทกหนวยงานสวนกลาง สงกด สป.สธ. ดาเนนการตามแผน และวธปฏบต/คมอ

- จดหาอปกรณ/เครองมอ เพอปองกน และจดการความเสยง ICT ทอาจเกดขนกบเครอขายคอมพวเตอร เชน Firewall ,

Anti-virus Server

- หากความเสยงยงคงเปนปญหา เพราะการดาเนนการไมเครงครด จะตองกลบมาดาเนนการตามแผนอยางเครงครด


7 - ทกหนวยงานสวนกลาง สงกด สป.สธ. ดาเนนการตามแผนบรหารความเสยง และคนหา/ตรวจสอบ ผลการดาเนนงานวา

ตรงกบทคาดหวงไวหรอไม

- กรณความเสยงยงคงเปนปญหา ใหดาเนนการขนท 8

- กรณความเสยงหมดไปหรอควบคมความเสยงใหอยในสถานะยอมรบได ใหดาเนนการขนตอนท 9


8 - ตรวจสอบวาไดดาเนนการตามแผนอยางเครงครดแลวหรอไม

ถาดาเนนการอยางเครงครดแลว แตความเสยงยงคงเปนปญหาอย ใหกลบไปทบทวน/ปรบปรง แผนบรหารจดการความ

เสยงใหมอกครง ในขนตอนท 4 ใหเหมาะสมกบสภาพปจจยแวดลอม องคความรและเทคโนโลยใหมๆ ทเปลยนแปลงไป

แตถายงดาเนนการไมเครงครดอยางจรงจง ใหกลบเขาสขนตอนท 6


9 - ทกหนวยงานดาเนนการตามแผนเพอเฝาระวงความเสยงตอไป

- บรณาการ แผนบรหารจดการความเสยง โดยนาประสบการณในการจดการความเสยงทผานมา และความเสยงทเกดขน

ใหม หรอโอกาสทความเสยงยงคงอย มารวมพจารณาปรบปรงแผนและวธการใหเหมาะสมกบสภาพปจจยของ สป.สธ.

และองคความร/เทคโนโลยสารสนเทศทเปลยนแปลงไปในปจจบน (กลบเขาสขนตอนท 2)

- กรณความเสยงถกแกไขสาเรจ ทงหมดจงจบกระบวน แตเนองจากปจจยแวดลอมทเปลยนแปลงตลอดเวลา จงตองเฝา

ระวงอยางตอเนอง

12 เดอน

ดาเนนการตามแผน ลด/กาจดความเสยง

ผลการดาเนนงานจรงตรงกบทคาดหวง

ดาเนนการตามแผนอยางเครงครด

จดทาเอกสารแผน และวธปฏบต

เฝาระวงความเสยง และบรณาการแผน

หนา 17

Documents

การพฒนาขั ้อมูลและเทคโนโลย ีสารสนเทศict4.moph.go.th/evaluate/images/stories/pdf/pmqa6/process.pdf · 6.1 กระบวนการพัฒนาระบบข้อมูลสารสนเทศและความร