Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
กรอบแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ1 กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข
ปงบประมาณ 2562
1 นางสาวธนมา สงขสวรรณ : นกวชาการสาธารณสขช านาญการ กลมเทคโนโลยสารสนเทศ ส านกบรหาร กรมสนบสนนบรการสขภาพ
ISO/IEC 27001 : 2013 Certification Roadmap
Approach
การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามาตรฐานทก าหนด
ระยะ (Phase)
วตถประสงค
(Aim)
ขนตอน
(Activities)
วตถประสงคการด าเนนงานสอดคลองตามนโยบาย
ผรบบรการและผเกยวของ
Phase I
Scoping & Planning
Phase II
Gap Assessment &
Roadmap
Phase III
ISMS
Implementation
Phase IV
Internal & External Audit
ก าหนดแนวทางการด าเนน ตามมาตรฐาน
พฒนาและปรบปรงกระบวนงานตามแนวทางมาตรฐาน
ควบคม ก ากบ ตดตามและประเมนผล ตามแนวทางมาตรฐาน
แนวคด/แนวทาง
การด าเนนงาน การจดการความรดานความมนคงปลอดภยสารสนเทศ
1. ก ำำหนดขอบเขต (Scope) ทจะท ำำ ISO/IEC 27001 : 2013เพอใหมนใจวำสำรสนเทศของระบบงำน หรอกจกรรมนน ๆ มควำมมนคงปลอดภย 2. ประชมชแจงก ำหนดแนวทำงกำรด ำเนนงำน 3. สรปแนวทำงกำรด ำเนนงำนรวมกน
1 ศกษำมำตรฐำน ISO/IEC 27001 ภำยใต ISO/IEC 27001 เพอใหมนใจวำสำรสนเทศของระบบงำน หรอกจกรรมนน ๆ มควำมมนคงปลอดภย 2. วเครำะห และก ำหนดแนวทำง แผนกำรด ำเนนงำน 3. ปรบปรงแนวทำงกำรควบคมใหสอดคลองตำมแนวทำงมำตรฐำนทก ำหนด
1 ปรบปรงผลกำรด ำเนนงำน ตำมแนวทำงมำตรฐำน 2. ปฏบตตำมขอก ำหนด 3. ประเมนควำมเสยง 4. วำงแผนปองกนควำมเสยง 5. จดท ำเอกสำรรองรบกำรตรวจประเมน 6. ประเมนตำมตวชวดทก ำหนด
กำรบรหำรจดกำรควำมเสยง
- ควบคม ก ากบการด าเนนงาน - ตรวจสอบภายใน - เตรยมพรอมรองรบการตรวจประเมน
- กำรประเมนมครงท 1
- กำรประเมนมครงท 2
IT HSS, MoPH /Page 1 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
1
1.1 รวบรวมกฎหมาย กฎระเบยบดาน
เทคโนโลยสารสนเทศทตองปฏบต
1) กฎระเบยบดานความมนคง
ปลอดภยสารสนเทศทมตอหนวยงานท
เกยวของ (Cybersecurity roles and
responsibilities for the entire
workforce and third party
stakeholder)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
1.2 รวบรวมขอมลเอกสารความร และ
ศกษามาตรฐานระบบการจดการความ
มนคงปลอดภยของสารสนเทศ
ISO27001:2013
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
1.3 รวบรวมวสด ครภณฑรวมทงขอมล
ทเกยวของดานเทคโนโลยสารสนเทศ
(Asset Management)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
1.3.1 การจดการวสด ครภณฑ (Assset
Management)
1) ดานอปกรณและระบบทใชภายใน
องคกร (Physical devices and
systems within the organization
are inventoried)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
2) ดานระบบปฏบตการและแอพล
เคชนตางๆ (Software Platforms
and applications)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
3) ดานการสอสารภายในองคกร
(Organizational communication
and Data flows are mapped)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
ขนตอนท 1 : ท าการประเมนในภาพรวม (Plan : Holistic Approach, Policy)
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
IT HSS, MoPH /Page 2 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
4) ดานการสอสารภายนอกองคกร
(External information systems
are catalougued)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
5) ทรพยากรทเกยวของกบงาน
(Resources are prioritized based
on their classification, criticalty
and business value)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
2
2.1 ระบบบรหารจดการองคกร
(Business Environment)
1) การก าหนดกรอบในการจดท า
วตถประสงค (Objectives) รวมถง
ทศทางและหลกการในการด าเนนการ
เกยวกบความมนคงปลอดภย
สารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
2) การค านงถงขอก าหนดทางธรกจ
และกฎหมาย รวมถงขอบงคบตาม
สญญาทเกยวของกบความมนคง
ปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
3) การก าหนดนโยบายการบรหาร
ความเสยงใหสอดคลองตามพนธกจ
ขององคกร
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
4) การบรหารจดการความเสยงเชงกล
ยทธขององคกร
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
ขนตอนท 2 การก าหนดขอบเขต ตวชวดและแนวทางการด าเนนงาน (Do ; Implement, Operate ,Measure)
IT HSS, MoPH /Page 3 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
5) การก าหนดมาตรการบรหาร
จดการความสยงและผลกระทบท
เกดขน
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
6) แตงตงคณะกรรมการอ านวยการ
และคณะท างานรกษาความมนคง
ปลอดภยสารสนเทศ กรมสนบสนน
บรการสขภาพ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
2.2 นโยบายองคกร (Governance
Policy)
1) การก าหนดนโยบายความมนคง
ปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
2) การก าหนดนโยบายการบรหาร
จดการความเสยงตามนโยบายความ
มนคงปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
3) การก าหนดขอกฎหมายและ
ระเบยบทเกยวของกบความมนคง
ปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
2.3 นโยบายการจดการความเสยง (Risk
Management Strategy)
1) การระบความเสยงและการ
จดล าดบความส าคญ ซงสามารถใช
เปนหลกฐาน ตามลกษณะโครงสราง
พนฐานขององคกร
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
2) การด าเนนการจดการเกยวกบการ
คกคามจากสอแหลงตางๆ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
IT HSS, MoPH /Page 4 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
3) การจดท าเอกสารการบรหาร
จดการกรณเกดการบกรกจากภายใน
และภายนอกองคกร
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
4) การระบผลกระทบจากภยคกคาม
และความเสยงทสงผลกระทบตอ
องคกร
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
5) การระบผลกระทบทางธรกจท
อาจจะเกดขนและแนวทางแกไข
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ทกงานใน
กลม IT
2.4 อนมตนโยบายโดยผบรหาร
ระดบสงดานความมนคงปลอดภย
สารสนเทศ กรมสนบสนนบรการสขภาพ
CSO กรมสนบสนนบรการ
สขภาพ
3
3.1 การสรางการรบร ท าความเขาใจ
ใหบคลากรในทกระดบ (Mind Set)
1) ประชมคณะกรรมการอ านวยการ
รกษาความมนคงปลอดภยสารสนเทศ
(IT Security Steering Committee)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
3) ประชมคณะท างานรกษาความ
มนคงปลอดภยสารสนเทศ (IT
Security Working Group)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
(โดยการจดจางบคคลภายนอก) 4) ประชมเชงปฏบตการ : พฒนา
ศกยภาพบคลากรดานการรกษาความ
มนคงปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
ขนตอนท 3 การด าเนนงานตามแนวทางการบรหารจดการความมนคงปลอดภยสารสนเทศ (Check : Monitor, Review and Analysis)
IT HSS, MoPH /Page 5 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
1) ประเมนผลกระทบทางธรกจ ซง
อาจเกดจากความลมเหลวในความ
มนคงปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/
2) ประเมนโอกาสในการเกดขนของ
ความลมเหลวทมตอความมนคง
ปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
3) การค านวณระดบความเสยงดาน
ความมนคงปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
4) การพจารณาความสามารถในการ
ยอมรบความเสยงในเกณฑทยอมรบได
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
5) การประเมนความคมคาคมทน
จากการด าเนนงานตามนโยบายการ
บรหารจดการระบบความมนคง
ปลอดภยสารสนเทศ ทงสวนกลาง (1
แหง) และภมภาค (12+5 แหง)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
3.3 ด าเนนการตามแผนจดการความ
เสยง (Risk Management) ใน 3
มมมอง คอ ดานบคลากร ดาน
กระบวนการและดานเทคโนโลย
1) ด าเนนการตรวจจบความผดพลาด
ของผลลพธทไดจากการประมวลผล
และทบทวนวธการปฏบตงาน เชน
การท า Hardening, การจดฝกอบรม
Security Awareness Training หรอ
การจดท าระบบ centralized Log
Management
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
3.2 ท าการประเมนระบบสารสนเทศใน
ภาพรวม (Holistic Approach) โดยใช
เทคนค Gap Analysis ตามมาตรฐาน
ISO/IEC 27001 (ด าเนนการ
ปงบประมาณ 2563)
IT HSS, MoPH /Page 6 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
2) ทบทวนประสทธผลของการ
ด าเนนงานตามนโยบายความมนคง
ปลอดภยสารสนเทศ ตามทก าหนด
เชน Vulnerability Assessment,
Penetration Testing, Hardening,
การตดตง patch
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
3) วดประสทธผลของการด าเนนงาน
ตามแผนจดการความเสยง
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
4) ทบทวนการประเมนความเสยง
ตามแผนจดการความเสยง
(Continuous Audit)
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)
4
4.1 การตรวจประเมนโดยกลม
ตรวจสอบภายใน กรมสนบสนนบรการ
สขภาพ (Pre Assessment by
Internal Auditor)
1) การประเมนผลตามแนวทางการ
บรหารจดการระบบความมนคง
ปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท) /กลม
ตรวจสอบภายใน
2) การแกไขขอบกพรองจากการ
ตรวจประเมนตามแนวทางการบรหาร
จดการระบบความมนคงปลอดภย
สารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
4.2 การตรวจประเมนจากผเชยวชาญ
ภายนอก (Pre Assessment by
External Auditor)
1) การประเมนผลตามแนวทางการ
บรหารจดการระบบความมนคง
ปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)/กลม
ตรวจสอบภายใน
ขนตอนท 4 การปรบปรงการด าเนนงานตามแนวทางการบรหารจดการความมนคงปลอดภยสารสนเทศ (Act : Maintain and Improve)
IT HSS, MoPH /Page 7 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
2) การแกไขขอบกพรองจากการ
ตรวจประเมนตามแนวทางการบรหาร
จดการระบบความมนคงปลอดภย
สารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
4.3 ผบรหารระดบสงตดสนใจสนบสนน
ในการปฏบตตามมาตรฐาน ISO/IEC
27001
1) ด าเนนการแกไขขอบกพรองจาก
องคกรทยงไมไดปฏบตตามมาตรฐาน
อยางเปนรปธรรม (Corrective
Action)
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
4.4 การจดเตรยมเอกสารแสดงการ
ประยกตใชงาน (SOA : Statement of
Applicability)
1) เปนเอกสารทแสดงถงรายการของ
หวขอในการควบคม (Control)
วตถประสงคในการควบคม (Control
Objectives) และเหตผลในการเลอก
หวขอในการควบคม
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท) / ทก
หนวยงานภายในกรมสนบสนน
บรการสขภาพ
5
5.1 การควบคมก ากบ 1) นโยบายความมนคงปลอดภย :
โดยจะตองไดรบการอนมตจาก
ผบรหารระดบสง เผยแพรอยางทวถง
มการมอบนโยบายการดแลความ
มนคงปลอดภย : ผบรหารระดบสง
จะตองใหการสนบสนนอยางเตมท /
มการก าหนดทศทางชดเจน / มการ
มอบหมายงานและสรางการรบร
รวมถงการสรางรปแบบการ
ประสานงานภายในองคกร
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
ขนตอนท 5 การควบคม ก ากบ ตดตาม (Control)
Plan จดท ำเอกสำร SOA เพอรองรบกำรประเมนป 2563
IT HSS, MoPH /Page 8 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
2) การจดการทรพยสน : สงใดๆ ทม
คณคากบองคกร ซงจะรวมไปถง
เครองมอ อปกรณ ฮารดแวร
ซอฟทแวร ฐานขอมล บคลากร
สาธารณปโภคตางๆ จะตองมการ
จดท าบญชทรพยสนทงหมดตาม
มาตรฐาน
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
3) ความมนคงปลอดภยเกยวกบ
บคลากร : มการก าหนดบทบาท
หนาทความรบผดชอบของบคลากร
พนกงาน รวมทงหนวยงานภายนอกท
ชดเจน โดยจะตองสอดคลองกบ
นโยบายความมนคงปลอดภย
สารสนเทศขององคกร
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
4) ความมนคงปลอดภยทางกายภาพ :
มการก าหนดพนท มการก าหนดแนว
ปฏบตตามมาตรฐานความมนคง
ปลอดภย รวมทงแนวทางการท าลาย
ตามมาตรฐานดวย
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
IT HSS, MoPH /Page 9 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
5) การบรหารการสอสารและการ
ด าเนนการ : มการจดท าเอกสาร
วธการปฏบตงาน มการแบงหนาท
ความรบผดชอบ เพอลดโอกาสการ
เขาถงระบบโดยไมไดรบอนญาต หรอ
มการใชผดวตถประสงคของทรพยสน
ขององคกร
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)/ Info
Security gr.
6) การควบคมการเขาถงระบบ
(Access Control) มการก าหนด
นโยบายในการเขาถงระบบ (Access
Control Policy) มการจดท าเอกสาร
ชดเจนและมการทบทวนความ
ตองการขององคกรและขอก าหนด
ความมนคงปลอดภย
งานพฒนาระบบเทคโนโลย
สารสนเทศ (พท)/ Info
Security gr.
7) การจดหา การพฒนาและการ
บ ารงรกษาระบบสารสนเทศ : องคกร
ตองจดใหมการวเคราะห และระบถง
ขอก าหนดดานความมนคงปลอดภย
สารสนเทศหรอเมอมการปรบปรง
ระบบทมอยในปจจบน ตลอดจน
มาตรการทเหมาะสมในการจดการ
ความเสยง
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
IT HSS, MoPH /Page 10 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
8) การจดการเหตการณทเกยวกบ
ความมนคงปลอดภยสารสนเทศ : ม
การรายงานผานชองทางการรายงาน
อยางเหมาะสมดวยความรวดเรว
เปนไปได ตามบทบาทหนาทความ
รบผดชอบทชดเจน
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
9) การบรหารความตอเนองในการ
ด าเนนธรกจ (Business Continuity)
: องคกรมการจดกระบวนการในการ
สรางความตอเนองทางธรกจ มแผนม
การน าไปปฏบตและมการปรบปรง
แผนอยางตอเนอง สอดคลองตาม
ขอก าหนด (Compliance) : การ
ด าเนนการใหสอดคลองตามขอ
กฎหมาย ตามนโยบายความมนคง
ปลอดภยสารสนเทศและการ
ด าเนนการตรวจประเมนระบบ
สารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
5.2 ความตระหนกและการฝกอบรม
ของบคลากรกรมสนบสนนบรการ
สขภาพ
1) การลงทะเบยนเพอเขาใชงานใน
ระบบ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
IT HSS, MoPH /Page 11 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
2) การสรางความร ความเขาใจ
เกยวกบการรกษาความมนคง
ปลอดภยดานสารสนเทศ ส าหรบ
บคลากรและผเกยวของ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
3) ผบรหารระดบสงของกรม
สนบสนนบรการสขภาพมความร
ความเขาใจ เกยวกบการรกษาความ
มนคงปลอดภยดานสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
5.3 ความปลอดภยของขอมล 1) ขอมลสารสนเทศไดรบการปองกน
ตามเกณฑมาตรฐานทก าหนด
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
2) การสงตอขอมลไดรบการปองกน
ตามเกณฑมาตรฐานทก าหนด
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
3) การบรหารจดการครภณฑท
เกยวของตามเกณฑมาตรฐานทก าหนด
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
4) การบ ารงรกษาครภณฑตามเกณฑ
มาตรฐานทก าหนด
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
5) การตรวจสอบความถกตองในการ
ใชเฟรมแวรและความสมบรณของ
ขอมล
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
6) การจดสภาพแวดลอมในการ
พฒนาระบบสารสนเทศ ออกจาก
สภาพปกต
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
5.4 กระบวนการและขนตอนในการ
ปองกนขอมล
1) การออกแบบระบบในการดแล
ปกปองขอมลตามเกณฑมาตรฐานท
ก าหนด
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
IT HSS, MoPH /Page 12 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
2) การประเมนและปรบปรงขอมล
ตามแผนความมนคงปลอดภยดาน
สารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
3) การควบคม ก ากบ ดแลระบบพนท
หอง Sever และครภณฑ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
4) การด าเนนการส ารองขอมลและ
การทดสอบเปนระยะตามเกณฑท
ก าหนด
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
5) การปฏบตตามนโยบาย ระเบยบ
ขอบงคบทเกยวของกบสภาพแวดลอม
ในการบรหารทรพยสนขององคกร
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
6) การท าลายขอมลตามแนวทาง
นโยบายรกษาความมนคงปลอดภย
สารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
7) การปรบปรงแนวทางการปองกน
ขอมลทมประสทธภาพอยางตอเนอง
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
8) การก าหนดแผนบรหารจดการตอ
การตอบสนองเหตการณผดปกตและ
แผนฟนฟ กคนจากภยพบต
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
5.5 การซอมบ ารง (Maintainance) 1) การจดหา ซอมแซมสนทรพยของ
องคกรตามขอก าหนดรกษาความ
มนคงปลอดภยดานสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
IT HSS, MoPH /Page 13 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
2) การควบคม ก ากบ สนทรพย
ครภณฑคอมพวเตอร ทไมเปนไปตาม
นโยบายความมนคงปลอดภย
สารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
5.6 ระบบการปองกน (Protective
Technology)
1) การเกบบนทกขอมล เอกสารการ
ด าเนนงาน ทบทวนตามนโยบาย
ความมนคงปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
2) แนวทางในการปกปองขอมลจาก
Removable media ตามนโยบาย
ความมนคงปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
3) การมระบบควบคม ก ากบ
ทรพยสน ครภณฑคอมพวเตอรตาม
เกณฑมาตรฐานทก าหนด
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
4) การควบคมเครอขายการสอสาร
และระบบเชอมตอตามเกณฑทก าหนด
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
1) การรวบรวม Incident ของระบบ
สารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
2) การก าหนดแนวทางและมาตรการ
ในการปองกนแกไข ตามแนวทางการ
รกษาความมนคงปลอดภยดาน
สารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
3) การวเคราะหความเสยงและสาเหต
ของผลกระทบทมโอกาสเกดขนใน
ระบบ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
5.7 การรวบรวม Incident ของระบบ
สารสนเทศ เชน ระบบลม, รายงาน
ปญหาไวรส มลแวรตางๆ เปนตน
IT HSS, MoPH /Page 14 : TS.
ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62
2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019
Information Technology, Health Service Support Depatyment, Ministry of Public Health
ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท
เกยวของ
ชวงเวลำด ำเนนกำร
4) การบรหารจดการเหตการณความ
มนคงปลอดภยสารสนเทศ
งานพฒนาระบบเทคโนโลย
สารสนเทศ(พท)
หมายถง ด าเนนการในป 2562
หมายถง อยในแผนด าเนนการ ป 2563