ISO/IEC 27001 : 2013 Certification Roadmap Approachict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19-3179703.pdf · iso/iec 27001: 2013 เพื่อให้มั่นใจว่ำสำรสนเทศของ

กรอบแนวทางการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ1 กรมสนบสนนบรการสขภาพ กระทรวงสาธารณสข

ปงบประมาณ 2562

1 นางสาวธนมา สงขสวรรณ : นกวชาการสาธารณสขช านาญการ กลมเทคโนโลยสารสนเทศ ส านกบรหาร กรมสนบสนนบรการสขภาพ

ISO/IEC 27001 : 2013 Certification Roadmap

Approach

การบรหารจดการระบบความมนคงปลอดภยสารสนเทศ ตามาตรฐานทก าหนด

ระยะ (Phase)

วตถประสงค

(Aim)

ขนตอน

(Activities)

วตถประสงคการด าเนนงานสอดคลองตามนโยบาย

ผรบบรการและผเกยวของ

Phase I

Scoping & Planning

Phase II

Gap Assessment &

Roadmap

Phase III

ISMS

Implementation

Phase IV

Internal & External Audit

ก าหนดแนวทางการด าเนน ตามมาตรฐาน

พฒนาและปรบปรงกระบวนงานตามแนวทางมาตรฐาน

ควบคม ก ากบ ตดตามและประเมนผล ตามแนวทางมาตรฐาน

แนวคด/แนวทาง

การด าเนนงาน การจดการความรดานความมนคงปลอดภยสารสนเทศ

1. ก ำำหนดขอบเขต (Scope) ทจะท ำำ ISO/IEC 27001 : 2013เพอใหมนใจวำสำรสนเทศของระบบงำน หรอกจกรรมนน ๆ มควำมมนคงปลอดภย 2. ประชมชแจงก ำหนดแนวทำงกำรด ำเนนงำน 3. สรปแนวทำงกำรด ำเนนงำนรวมกน

1 ศกษำมำตรฐำน ISO/IEC 27001 ภำยใต ISO/IEC 27001 เพอใหมนใจวำสำรสนเทศของระบบงำน หรอกจกรรมนน ๆ มควำมมนคงปลอดภย 2. วเครำะห และก ำหนดแนวทำง แผนกำรด ำเนนงำน 3. ปรบปรงแนวทำงกำรควบคมใหสอดคลองตำมแนวทำงมำตรฐำนทก ำหนด

1 ปรบปรงผลกำรด ำเนนงำน ตำมแนวทำงมำตรฐำน 2. ปฏบตตำมขอก ำหนด 3. ประเมนควำมเสยง 4. วำงแผนปองกนควำมเสยง 5. จดท ำเอกสำรรองรบกำรตรวจประเมน 6. ประเมนตำมตวชวดทก ำหนด

กำรบรหำรจดกำรควำมเสยง

- ควบคม ก ากบการด าเนนงาน - ตรวจสอบภายใน - เตรยมพรอมรองรบการตรวจประเมน

- กำรประเมนมครงท 1

- กำรประเมนมครงท 2

IT HSS, MoPH /Page 1 : TS.

ตค.61 พย. ธค. มค.62 กพ. มค. เมย. พค. มย. กค. สค. กย.62

1

1.1 รวบรวมกฎหมาย กฎระเบยบดาน

เทคโนโลยสารสนเทศทตองปฏบต

1) กฎระเบยบดานความมนคง

ปลอดภยสารสนเทศทมตอหนวยงานท

เกยวของ (Cybersecurity roles and

responsibilities for the entire

workforce and third party

stakeholder)

งานพฒนาระบบเทคโนโลย

สารสนเทศ (พท)/ทกงานใน

กลม IT

1.2 รวบรวมขอมลเอกสารความร และ

ศกษามาตรฐานระบบการจดการความ

มนคงปลอดภยของสารสนเทศ

ISO27001:2013



กลม IT

1.3 รวบรวมวสด ครภณฑรวมทงขอมล

ทเกยวของดานเทคโนโลยสารสนเทศ

(Asset Management)



กลม IT

1.3.1 การจดการวสด ครภณฑ (Assset

Management)

1) ดานอปกรณและระบบทใชภายใน

องคกร (Physical devices and

systems within the organization

are inventoried)



กลม IT

2) ดานระบบปฏบตการและแอพล

เคชนตางๆ (Software Platforms

and applications)



กลม IT

3) ดานการสอสารภายในองคกร

(Organizational communication

and Data flows are mapped)



กลม IT

ขนตอนท 1 : ท าการประเมนในภาพรวม (Plan : Holistic Approach, Policy)

2019 ISMS MASTER PLAN [ISO 27001:2013] Update : 22 February,2019

Information Technology, Health Service Support Depatyment, Ministry of Public Health

ล ำดบ กจกรรม กจกรรมยอยผรบผดชอบหลก/งำนท

เกยวของ

ชวงเวลำด ำเนนกำร








4) ดานการสอสารภายนอกองคกร

(External information systems

are catalougued)



กลม IT

5) ทรพยากรทเกยวของกบงาน

(Resources are prioritized based

on their classification, criticalty

and business value)



กลม IT

2

2.1 ระบบบรหารจดการองคกร

(Business Environment)

1) การก าหนดกรอบในการจดท า

วตถประสงค (Objectives) รวมถง

ทศทางและหลกการในการด าเนนการ

เกยวกบความมนคงปลอดภย

สารสนเทศ



กลม IT

2) การค านงถงขอก าหนดทางธรกจ

และกฎหมาย รวมถงขอบงคบตาม

สญญาทเกยวของกบความมนคง

ปลอดภยสารสนเทศ



กลม IT

3) การก าหนดนโยบายการบรหาร

ความเสยงใหสอดคลองตามพนธกจ

ขององคกร



กลม IT

4) การบรหารจดการความเสยงเชงกล

ยทธขององคกร



กลม IT

ขนตอนท 2 การก าหนดขอบเขต ตวชวดและแนวทางการด าเนนงาน (Do ; Implement, Operate ,Measure)








5) การก าหนดมาตรการบรหาร

จดการความสยงและผลกระทบท

เกดขน



กลม IT

6) แตงตงคณะกรรมการอ านวยการ

และคณะท างานรกษาความมนคง

ปลอดภยสารสนเทศ กรมสนบสนน

บรการสขภาพ



กลม IT

2.2 นโยบายองคกร (Governance

Policy)

1) การก าหนดนโยบายความมนคง




กลม IT

2) การก าหนดนโยบายการบรหาร

จดการความเสยงตามนโยบายความ

มนคงปลอดภยสารสนเทศ



กลม IT

3) การก าหนดขอกฎหมายและ

ระเบยบทเกยวของกบความมนคง




กลม IT

2.3 นโยบายการจดการความเสยง (Risk

Management Strategy)

1) การระบความเสยงและการ

จดล าดบความส าคญ ซงสามารถใช

เปนหลกฐาน ตามลกษณะโครงสราง

พนฐานขององคกร



กลม IT

2) การด าเนนการจดการเกยวกบการ

คกคามจากสอแหลงตางๆ



กลม IT








3) การจดท าเอกสารการบรหาร

จดการกรณเกดการบกรกจากภายใน

และภายนอกองคกร



กลม IT

4) การระบผลกระทบจากภยคกคาม

และความเสยงทสงผลกระทบตอ

องคกร



กลม IT

5) การระบผลกระทบทางธรกจท

อาจจะเกดขนและแนวทางแกไข



กลม IT

2.4 อนมตนโยบายโดยผบรหาร

ระดบสงดานความมนคงปลอดภย

สารสนเทศ กรมสนบสนนบรการสขภาพ

CSO กรมสนบสนนบรการ

สขภาพ

3

3.1 การสรางการรบร ท าความเขาใจ

ใหบคลากรในทกระดบ (Mind Set)

1) ประชมคณะกรรมการอ านวยการ

รกษาความมนคงปลอดภยสารสนเทศ

(IT Security Steering Committee)


สารสนเทศ (พท)

3) ประชมคณะท างานรกษาความ

มนคงปลอดภยสารสนเทศ (IT

Security Working Group)



(โดยการจดจางบคคลภายนอก) 4) ประชมเชงปฏบตการ : พฒนา

ศกยภาพบคลากรดานการรกษาความ




ขนตอนท 3 การด าเนนงานตามแนวทางการบรหารจดการความมนคงปลอดภยสารสนเทศ (Check : Monitor, Review and Analysis)








1) ประเมนผลกระทบทางธรกจ ซง

อาจเกดจากความลมเหลวในความ



สารสนเทศ (พท)/

2) ประเมนโอกาสในการเกดขนของ

ความลมเหลวทมตอความมนคง




3) การค านวณระดบความเสยงดาน

ความมนคงปลอดภยสารสนเทศ



4) การพจารณาความสามารถในการ

ยอมรบความเสยงในเกณฑทยอมรบได



5) การประเมนความคมคาคมทน

จากการด าเนนงานตามนโยบายการ

บรหารจดการระบบความมนคง

ปลอดภยสารสนเทศ ทงสวนกลาง (1

แหง) และภมภาค (12+5 แหง)



3.3 ด าเนนการตามแผนจดการความ

เสยง (Risk Management) ใน 3

มมมอง คอ ดานบคลากร ดาน

กระบวนการและดานเทคโนโลย

1) ด าเนนการตรวจจบความผดพลาด

ของผลลพธทไดจากการประมวลผล

และทบทวนวธการปฏบตงาน เชน

การท า Hardening, การจดฝกอบรม

Security Awareness Training หรอ

การจดท าระบบ centralized Log

Management



3.2 ท าการประเมนระบบสารสนเทศใน

ภาพรวม (Holistic Approach) โดยใช

เทคนค Gap Analysis ตามมาตรฐาน

ISO/IEC 27001 (ด าเนนการ

ปงบประมาณ 2563)








2) ทบทวนประสทธผลของการ

ด าเนนงานตามนโยบายความมนคง

ปลอดภยสารสนเทศ ตามทก าหนด

เชน Vulnerability Assessment,

Penetration Testing, Hardening,

การตดตง patch



3) วดประสทธผลของการด าเนนงาน

ตามแผนจดการความเสยง



4) ทบทวนการประเมนความเสยง

ตามแผนจดการความเสยง

(Continuous Audit)



4

4.1 การตรวจประเมนโดยกลม

ตรวจสอบภายใน กรมสนบสนนบรการ

สขภาพ (Pre Assessment by

Internal Auditor)

1) การประเมนผลตามแนวทางการ




สารสนเทศ(พท) /กลม

ตรวจสอบภายใน

2) การแกไขขอบกพรองจากการ

ตรวจประเมนตามแนวทางการบรหาร

จดการระบบความมนคงปลอดภย



สารสนเทศ(พท)

4.2 การตรวจประเมนจากผเชยวชาญ

ภายนอก (Pre Assessment by

External Auditor)

1) การประเมนผลตามแนวทางการ




สารสนเทศ(พท)/กลม

ตรวจสอบภายใน

ขนตอนท 4 การปรบปรงการด าเนนงานตามแนวทางการบรหารจดการความมนคงปลอดภยสารสนเทศ (Act : Maintain and Improve)








2) การแกไขขอบกพรองจากการ

ตรวจประเมนตามแนวทางการบรหาร

จดการระบบความมนคงปลอดภย




4.3 ผบรหารระดบสงตดสนใจสนบสนน

ในการปฏบตตามมาตรฐาน ISO/IEC

27001

1) ด าเนนการแกไขขอบกพรองจาก

องคกรทยงไมไดปฏบตตามมาตรฐาน

อยางเปนรปธรรม (Corrective

Action)



4.4 การจดเตรยมเอกสารแสดงการ

ประยกตใชงาน (SOA : Statement of

Applicability)

1) เปนเอกสารทแสดงถงรายการของ

หวขอในการควบคม (Control)

วตถประสงคในการควบคม (Control

Objectives) และเหตผลในการเลอก

หวขอในการควบคม


สารสนเทศ(พท) / ทก

หนวยงานภายในกรมสนบสนน

บรการสขภาพ

5

5.1 การควบคมก ากบ 1) นโยบายความมนคงปลอดภย :

โดยจะตองไดรบการอนมตจาก

ผบรหารระดบสง เผยแพรอยางทวถง

มการมอบนโยบายการดแลความ

มนคงปลอดภย : ผบรหารระดบสง

จะตองใหการสนบสนนอยางเตมท /

มการก าหนดทศทางชดเจน / มการ

มอบหมายงานและสรางการรบร

รวมถงการสรางรปแบบการ

ประสานงานภายในองคกร



ขนตอนท 5 การควบคม ก ากบ ตดตาม (Control)

Plan จดท ำเอกสำร SOA เพอรองรบกำรประเมนป 2563








2) การจดการทรพยสน : สงใดๆ ทม

คณคากบองคกร ซงจะรวมไปถง

เครองมอ อปกรณ ฮารดแวร

ซอฟทแวร ฐานขอมล บคลากร

สาธารณปโภคตางๆ จะตองมการ

จดท าบญชทรพยสนทงหมดตาม

มาตรฐาน



3) ความมนคงปลอดภยเกยวกบ

บคลากร : มการก าหนดบทบาท

หนาทความรบผดชอบของบคลากร

พนกงาน รวมทงหนวยงานภายนอกท

ชดเจน โดยจะตองสอดคลองกบ

นโยบายความมนคงปลอดภย

สารสนเทศขององคกร



4) ความมนคงปลอดภยทางกายภาพ :

มการก าหนดพนท มการก าหนดแนว

ปฏบตตามมาตรฐานความมนคง

ปลอดภย รวมทงแนวทางการท าลาย

ตามมาตรฐานดวย










5) การบรหารการสอสารและการ

ด าเนนการ : มการจดท าเอกสาร

วธการปฏบตงาน มการแบงหนาท

ความรบผดชอบ เพอลดโอกาสการ

เขาถงระบบโดยไมไดรบอนญาต หรอ

มการใชผดวตถประสงคของทรพยสน

ขององคกร


สารสนเทศ(พท)/ Info

Security gr.

6) การควบคมการเขาถงระบบ

(Access Control) มการก าหนด

นโยบายในการเขาถงระบบ (Access

Control Policy) มการจดท าเอกสาร

ชดเจนและมการทบทวนความ

ตองการขององคกรและขอก าหนด

ความมนคงปลอดภย


สารสนเทศ (พท)/ Info

Security gr.

7) การจดหา การพฒนาและการ

บ ารงรกษาระบบสารสนเทศ : องคกร

ตองจดใหมการวเคราะห และระบถง

ขอก าหนดดานความมนคงปลอดภย

สารสนเทศหรอเมอมการปรบปรง

ระบบทมอยในปจจบน ตลอดจน

มาตรการทเหมาะสมในการจดการ

ความเสยง










8) การจดการเหตการณทเกยวกบ

ความมนคงปลอดภยสารสนเทศ : ม

การรายงานผานชองทางการรายงาน

อยางเหมาะสมดวยความรวดเรว

เปนไปได ตามบทบาทหนาทความ

รบผดชอบทชดเจน



9) การบรหารความตอเนองในการ

ด าเนนธรกจ (Business Continuity)

: องคกรมการจดกระบวนการในการ

สรางความตอเนองทางธรกจ มแผนม

การน าไปปฏบตและมการปรบปรง

แผนอยางตอเนอง สอดคลองตาม

ขอก าหนด (Compliance) : การ

ด าเนนการใหสอดคลองตามขอ

กฎหมาย ตามนโยบายความมนคง

ปลอดภยสารสนเทศและการ

ด าเนนการตรวจประเมนระบบ




5.2 ความตระหนกและการฝกอบรม

ของบคลากรกรมสนบสนนบรการ

สขภาพ

1) การลงทะเบยนเพอเขาใชงานใน

ระบบ










2) การสรางความร ความเขาใจ

เกยวกบการรกษาความมนคง

ปลอดภยดานสารสนเทศ ส าหรบ

บคลากรและผเกยวของ



3) ผบรหารระดบสงของกรม

สนบสนนบรการสขภาพมความร

ความเขาใจ เกยวกบการรกษาความ

มนคงปลอดภยดานสารสนเทศ



5.3 ความปลอดภยของขอมล 1) ขอมลสารสนเทศไดรบการปองกน

ตามเกณฑมาตรฐานทก าหนด



2) การสงตอขอมลไดรบการปองกน

ตามเกณฑมาตรฐานทก าหนด



3) การบรหารจดการครภณฑท

เกยวของตามเกณฑมาตรฐานทก าหนด



4) การบ ารงรกษาครภณฑตามเกณฑ

มาตรฐานทก าหนด



5) การตรวจสอบความถกตองในการ

ใชเฟรมแวรและความสมบรณของ

ขอมล



6) การจดสภาพแวดลอมในการ

พฒนาระบบสารสนเทศ ออกจาก

สภาพปกต



5.4 กระบวนการและขนตอนในการ

ปองกนขอมล

1) การออกแบบระบบในการดแล

ปกปองขอมลตามเกณฑมาตรฐานท

ก าหนด










2) การประเมนและปรบปรงขอมล

ตามแผนความมนคงปลอดภยดาน




3) การควบคม ก ากบ ดแลระบบพนท

หอง Sever และครภณฑ



4) การด าเนนการส ารองขอมลและ

การทดสอบเปนระยะตามเกณฑท

ก าหนด



5) การปฏบตตามนโยบาย ระเบยบ

ขอบงคบทเกยวของกบสภาพแวดลอม

ในการบรหารทรพยสนขององคกร



6) การท าลายขอมลตามแนวทาง

นโยบายรกษาความมนคงปลอดภย




7) การปรบปรงแนวทางการปองกน

ขอมลทมประสทธภาพอยางตอเนอง



8) การก าหนดแผนบรหารจดการตอ

การตอบสนองเหตการณผดปกตและ

แผนฟนฟ กคนจากภยพบต



5.5 การซอมบ ารง (Maintainance) 1) การจดหา ซอมแซมสนทรพยของ

องคกรตามขอก าหนดรกษาความ

มนคงปลอดภยดานสารสนเทศ










2) การควบคม ก ากบ สนทรพย

ครภณฑคอมพวเตอร ทไมเปนไปตาม

นโยบายความมนคงปลอดภย




5.6 ระบบการปองกน (Protective

Technology)

1) การเกบบนทกขอมล เอกสารการ

ด าเนนงาน ทบทวนตามนโยบาย




2) แนวทางในการปกปองขอมลจาก

Removable media ตามนโยบาย




3) การมระบบควบคม ก ากบ

ทรพยสน ครภณฑคอมพวเตอรตาม

เกณฑมาตรฐานทก าหนด



4) การควบคมเครอขายการสอสาร

และระบบเชอมตอตามเกณฑทก าหนด



1) การรวบรวม Incident ของระบบ




2) การก าหนดแนวทางและมาตรการ

ในการปองกนแกไข ตามแนวทางการ

รกษาความมนคงปลอดภยดาน




3) การวเคราะหความเสยงและสาเหต

ของผลกระทบทมโอกาสเกดขนใน

ระบบ



5.7 การรวบรวม Incident ของระบบ

สารสนเทศ เชน ระบบลม, รายงาน

ปญหาไวรส มลแวรตางๆ เปนตน








4) การบรหารจดการเหตการณความ




หมายถง ด าเนนการในป 2562

หมายถง อยในแผนด าเนนการ ป 2563

Documents

ISO/IEC 27001 : 2013 Certification Roadmap Approachict.hss.moph.go.th/fileupload_doc/2019-08-05-1-19-3179703.pdf · iso/iec 27001: 2013 เพื่อให้มั่นใจว่ำสำรสนเทศของ