รายงานการบริหารจัดการข้อมูลศอ.ปส.สธ2563

การบริหารจดั การระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 85 ศอ.ปส.สธ. ชั้นความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 ๓) ข้อมูล ส่ือบันทึก วัสดุ และอุปกรณ์ที่จัดเก็บข้อมูลลับต้องไม่ถูกทิ้งไว้โดยลาพังบนโต๊ะทางาน ในหอ้ งประชมุ หรอื ในตูท้ ่ไี ม่ไดล้ อ็ คกุญแจโดยเด็ดขาด ๔) ข้อมูล ส่ือบันทึก วัสดุ และอุปกรณ์ที่จัดเก็บข้อมูลลับต้องไม่ถูกทิ้งลงในถังขยะโดยไม่ได้รับ การทาลายอย่าง เหมาะสม วิธีการทาลายข้อมูล ส่ือบันทึก วัสดุ และอุปกรณ์เหล่านี้โดย ปฏิบัติตามเอกสารระเบียบปฏิบัติ เรื่องการทาลาย ส่ือบันทึกข้อมูลและข้อมูลบนส่ือบันทึก ขอ้ มูล (Disposal of Media Procedure) (P-IT-CO-03) ๕) เจา้ หนา้ ท่ีต้องไม่ยนิ ยอมใหผ้ ู้ใดทาการเคล่อื นยา้ ยเครื่องคอมพิวเตอร์หรือสื่อบันทึกข้อมูลออก จากพื้นท่ีทางาน ของตนโดยเด็ดขาด เว้นแต่บุคคลผู้นั้นเป็นเจ้าหน้าท่ีที่ได้รับอนุญาตให้ ดาเนนิ การ และเปน็ การดาเนนิ การทมี่ คี าส่ังอยา่ งถูกต้องของหนว่ ยงานเท่าน้นั 3.5.1.4 การป้องกันภัยคุกคามจากภายนอกและสิ่งแวดล้อมอื่น ๆ (Protecting against External and Environmental Threats) มีการป้องกันจากการทาลายของธรรมชาติหรือคนที่อาจจะเกิดข้ึน ซ่ึงเป็นภัยคุกคามจากภายนอกต้องมี การเตรียมการปอ้ งกนั เหตทุ อี่ าจเกิดขน้ึ 3.5.1.5 การกาหนดพน้ื ทสี่ าหรับบคุ คลภายนอกใชร้ ับส่งสงิ่ ของ (Delivery and Loading Areas) ๑) มีการจากัดพ้ืนท่ีการเข้าถึงของบุคคลภายนอกท่ีอาจเข้ามาในพื้นที่ได้ หากเป็นไปได้ควร แบ่งแยกพื้นที่ท่ีเก่ียวข้องกับการทางานออกจากพ้ืนท่ีท่ีบุคคลภายนอกเข้ามาได้ เช่น บริเวณ เก็บและจดั ส่งสนิ ค้า จะต้องไม่อยใู่ นพ้นื ท่ีทบี่ คุ คลภายนอกเขา้ ถึงได้ ๒) เจ้าหน้าที่และเจ้าหน้าท่ีของหน่วยงานภายนอก (Third Party) ต้องติดบัตรประจาตัว ตลอดเวลาขณะปฏิบัติ หน้าทใี่ นบริเวณ ศทส. และหากผูใ้ ดพบเห็นผู้ท่ีไม่ติดบัตรประจาตัวถือ เป็นหน้าทีท่ จี่ ะต้องแจง้ เจ้าหน้าที่รักษาความปลอดภยั โดยทนั ที 3.5.2 ความมั่นคงปลอดภยั ของอปุ กรณ์ (Equipment) วัตถุประสงค์: เพ่ือป้องกันการใช้อุปกรณ์คอมพิวเตอร์โดยไม่ได้รับอนุญาต และเพื่อให้ม่ันใจได้ว่าอุปกรณ์ คอมพิวเตอรไ์ ดม้ ี การป้องกนั อย่างเพียงพอจากภยั ธรรมชาติ การโจรกรรม และความเสียหายอนื่ ๆ นโยบาย 3.5.2.1 การจัดตง้ั และการป้องกันอุปกรณ์ (Equipment Setting and Protection) ๑) ใหม้ กี าหนดการบารุงรกั ษาอปุ กรณต์ ามรอบระยะเวลาทแ่ี นะนาโดยผู้ผลิต ๒) ปฏิบตั ิตามคาแนะนาในการบารงุ รกั ษาตามทผ่ี ้ผู ลิตแนะนา

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศูนย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 86 ศอ.ปส.สธ. ชัน้ ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 ๓) จัดเก็บบันทึกกิจกรรมการบารุงรักษาอุปกรณ์สาหรับการให้บริการทุกคร้ัง เพ่ือใช้ในการ ตรวจสอบหรอื ประเมินในภายหลัง ๔) จัดเก็บบันทึกปัญหาและข้อบกพร่องของอุปกรณ์ที่พบ เพื่อใช้ในการประเมินและปรับปรุง อปุ กรณด์ งั กลา่ ว ๕) ควบคุมและสอดส่องดูแลการปฏิบัติงานของผู้ให้บริการภายนอกที่มาทาการบารุงรักษา อปุ กรณภ์ ายใน หน่วยงาน ๖) จัดให้มีการอนุมัติสิทธิ์การเข้าถึงอุปกรณ์ที่มีข้อมูลสาคัญโดยผู้รับจ้างให้บริการจากภายนอก (ทม่ี าทาการ บารุงรกั ษาอุปกรณ์) เพอื่ ปอ้ งกนั การเข้าถงึ ข้อมลู โดยไมไ่ ดร้ บั อนญุ าต 3.5.2.2 การนาทรัพยส์ ินขององค์กรออกนอกสานกั งาน (Removal of Asset) อุปกรณ์สารสนเทศหรือซอฟต์แวร์ ต้องไม่มีการนาออกนอก ศอ.ปส.สธ. โดยไม่ได้รับอนุญาต หากมีความ ประสงค์จะ นาออกจากสานักงานโดยต้องปฏิบัติตามระเบียบปฏิบัติ เร่ือง การขอนาทรัพย์สินขององค์กร ออกนอกสานกั งาน (P-IT-PE-05) 3.5.2.3 การป้องกันอุปกรณ์และทรัพย์สินสารสนเทศท่ีใช้งานอยู่นอกหน่วยงาน (Security of Equipment and asset Off-Premises) หน่วยงานต้องกาหนดให้มีการป้องกันทรัพย์สินและอุปกรณ์ของหน่วยงาน เช่น เคร่ืองคอมพิวเตอร์พกพา โทรศพั ทม์ อื ถือ เป็นต้น เมือ่ ถกู นาไปใช้งานนอกหนว่ ยงาน จะตอ้ งปฏบิ ัติตามระเบยี บในการใช้งานการยืม- คนื 3.5.2.4 การจัดการอุปกรณ์หรือการนาอุปกรณ์กลับมาใช้ใหม่ (Secure Disposal or Re-use of Equipment) หน่วยงานต้องกาหนดให้มีวิธีการในการตรวจสอบอุปกรณ์ซ่ึงมีข้อมูลสาคัญเก็บไว้ เช่น ฮาร์ดแวร์ ซอฟตแ์ วร์ เป็น ตน้ ท้ังนี้ เพื่อป้องกันการร่วั ไหลหรือการเปิดเผยขอ้ มูลดงั กล่าวก่อนนาอปุ กรณไ์ ปแจกจ่าย 3.5.2.5 การควบคุมการไม่ท้ิงทรัพย์สินสารสนเทศที่สาคัญไว้ในท่ีไม่ปลอดภัย (Clear Desk and Clear Screen Policy) เจ้าหน้าท่ีต้องกาหนดการควบคุมเอกสาร ข้อมูล หรือส่ือต่าง ๆ ที่มีข้อมูลสาคัญจัดเก็บ หรือบันทึกอยู่ ไม่ให้วาง ทิ้งไว้บนโต๊ะทางานหรือในสถานที่ไม่ปลอดภัยในขณะไม่ได้นามาใช้งาน ตลอดจนการควบคุม หน้าจอคอมพิวเตอร์ (Desktop) ไมใ่ หม้ ีขอ้ มูลสาคัญ ปรากฏในขณะไมไ่ ด้ใช้งาน

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 87 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 ความมั่นคงปลอดภัยสาหรบั การดาเนินงาน (Operation Security) 3.6.1 ขั้นตอนการปฏิบัติงานและหน้าท่ีความรับผิดชอบ ( Operation Procedures and Responsibilities) วัตถุประสงค์: เพื่อให้การปฏิบัติงานกับอุปกรณ์ประมวลสารสนเทศเป็นไปอย่างถูกต้องและมีความม่ันคง ปลอดภัย นโยบาย 3.6.1.1 การกาหนดข้ันตอนการปฏิบัติงานให้เป็นลายลักษณ์อักษร ( Document Operating Procedures) ๑) ต้องจัดทาคู่มือ และ/หรือ ข้ันตอนการปฏิบัติงานสารสนเทศในหน่วยงาน เช่น ขั้นตอนการ แจ้งเหตุขัดข้อง ขั้นตอนการกู้คืน ขั้นตอนการบารุงรักษาและดูแลระบบ ซึ่งประกอบไปด้วย รายละเอยี ดข้นั ตอนการปฏบิ ตั ิ และ เจ้าหน้าท่ีหรือหน่วยงานผู้รบั ผดิ ชอบ ๒) คู่มือและข้ันตอนการปฏิบัติงานต้องได้รับการปรับปรุงเม่ือมีการปรับเปลี่ยนข้ันตอนและ ผู้รับผิดชอบการ ปฏิบัติงานนั้น ๆ โดยคู่มือและขั้นตอนการปฏิบัติงานทุกฉบับต้องได้รับการ ทบทวนอยา่ งน้อยปลี ะ 1 คร้ัง ๓) มีการกาหนดหน้าที่ความรับผิดชอบ รวมทั้งวิธีปฏิบัติเมื่อมีเหตุการณ์ผิดปกติหรือการละเมิด ความปลอดภัย และดาเนินการตรวจสอบผกู้ ระทาการละเมดิ 3.6.1.2 การจดั การการเปลย่ี นแปลง (Change Management) ๑) ต้องมีการจัดการการเปล่ียนแปลงระบบเครือข่าย ระบบคอมพิวเตอร์ อุปกรณ์ ซอฟต์แวร์ ทกุ คร้ัง โดย ปฏิบัติตามวิธีการปฏิบัติงาน เรื่อง การจัดการการเปลี่ยนแปลงสารสนเทศ (Change Management) (P-IT-CO-06) ๒) เมื่อมีการเปลี่ยนแปลงสภาพแวดล้อมท่ีเก่ียวกับระบบสารสนเทศ เช่น ระบบปรับอากาศ นา้ ไฟฟ้า สัญญาณเตือนภัย อุปกรณ์ตรวจจับ ฯลฯ เจ้าหน้าท่ีต้องประสานงานหรือรายงานกับ ISS (จดั การการเปล่ียนแปลง) ๓) เมื่อมีการเปลี่ยนแปลงสภาพแวดล้อมที่เกี่ยวกับระบบสารสนเทศ ต้องมีเอกสารเป็นทางการ ในการรอ้ งขอ การเปล่ียนแปลงทุกคร้งั ๔) ISS (จดั การการเปลี่ยนแปลง) ต้องจัดให้มีการประชุมเป็นประจาเพื่อตรวจสอบคาร้องขอการ เปลี่ยนแปลง (Change Request) และพิจารณาตรวจสอบ การเปล่ียนแปลงต่าง ๆ ให้เป็นท่ี พอใจและยอมรบั ได้ ๕) ตาราง และ/หรือ แผนการเปลี่ยนแปลงทุกครั้งต้องได้รับความเห็นชอบจาก ISS (จัดการการ เปลย่ี นแปลง) ก่อนจะทาการเปลย่ี นแปลง

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 88 ศอ.ปส.สธ. ชัน้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ๖) บันทึกการเปลี่ยนแปลงทุกครั้งจะต้องแจ้งให้หน่วยงานที่เก่ียวข้องได้รับทราบโดยบันทึกฯ ต้องประกอบด้วย ข้อมูลอยา่ งนอ้ ยดังต่อไปน้ี - วันทร่ี ับเรอื่ ง และวนั ท่ีทาการเปลย่ี นแปลง - เจ้าของขอ้ มูล และผดู้ ูแลระบบ - วิธีการเปล่ยี นแปลง - ผลของการเปลี่ยนแปลง (สาเร็จ หรือ ลม้ เหลว) 3.6.1.3 การจดั การขดี ความสามารถ (Capacity Management) ๑) ต้องมีการติดตามสภาพการใช้งาน และวิเคราะห์ขีดความสามารถของทรัพยากรด้าน เทคโนโลยีสารสนเทศและ การสื่อสารปัจจุบันอย่างสม่าเสมอ ตามความเหมาะสมของ ทรพั ยากรชนิดต่าง ๆ โดยปฏิบัติตามเอกสารระเบยี บปฏิบตั ิ เร่ืองการจดั การขีดความสามารถ ระบบ (Capacity Management) อ้างอิงตามเอกสาร “การจัดการศักยภาพเทคโนโลยี สารสนเทศ (Capacity Management).doc” ๒) ต้องมกี ารวางแผนจัดการขีดความสามารถของระบบ อย่างนอ้ ยปลี ะ 1 คร้ัง โดยพจิ ารณาจาก ความต้องการใช้ งานทรัพยากรด้านเทคโนโลยีสารสนเทศและการสื่อสารในอนาคต (อาทิ ความต้องการใน 1 ปีที่จะถึง เช่น CPU ที่ ความเร็วสูงขึ้น ฮาร์ดดิสก์ท่ีความจุมากข้ึน เป็น ต้น) สภาพการใชง้ านทรพั ยากรในปัจจบุ ัน การเปล่ียนแปลงของ เทคโนโลยี ๓) แผนการจัดการขีดความสามารถของระบบต้องประกอบด้วยวิธีการจัดการขีดความสามารถ อาทิ การ Tuning การจัดหาเพิ่มเติม 3.6.1.4 การแยกเครอ่ื งมอื ในการประมวลผลสารสนเทศในการพฒั นา ทดสอบและสภาพแวดล้อมในการ ปฏบิ ตั งิ าน (Separation of Development, Testing and Operational Environment) ต้องมีการแยกเคร่ืองมือในการประมวลผลสารสนเทศ (ระบบคอมพิวเตอร์และเครือข่าย) ในการพัฒนา และ ทดสอบ อาทิ การพัฒนาซอฟต์แวร์ควรมีการแยกเคร่ืองที่ใช้ในการพัฒนาและทดสอบ ออกจากกับ เคร่อื งท่ีใชง้ านจรงิ หากจาเป็นระบบเครือขา่ ยของการพฒั นาควรแยกออกจากระบบทใี่ ชง้ านจริงดว้ ย 3.6.2 การปอ้ งกนั โปรแกรมไมป่ ระสงคด์ ี (Protection from Malware)

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 89 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 วัตถุประสงค์: เพื่อให้สารสนเทศและอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่างถูกต้องและมั่นคง ปลอดภัย นโยบาย 3.6.2.1 มาตรการป้องกันโปรแกรมไม่ประสงคด์ ี (Control Against Malware) ๑) กระทรวงสาธารณสุข ได้ให้ความสาคัญต่อเรื่องทรัพย์สินทางปัญญา ดังน้ันซอฟต์แวร์ที่ หน่วยงานอนุญาตให้ ใช้งานหรอื ท่ีหน่วยงานมีลิขสิทธ์ิ ผู้ใช้งานสามารถขอใช้งานไดต้ ามหน้าที่ ความจาเป็น และห้ามไม่ให้ผู้ใช้งานทาการ ติดตั้งหรือใช้งานซอฟต์แวร์อ่ืนใดที่ไม่มีลิขสิทธิ์ หากมีการตรวจสอบพบความผิดฐานละเมิดลิขสิทธิ์ ถือว่าเป็นความผิด ส่วนบุคคล ผู้ใช้งาน จะตอ้ งรบั ผิดชอบแต่เพยี งผเู้ ดียว ๒) ซอฟต์แวร์ (Software) ท่ีหน่วยงานได้จัดเตรียมไวใ้ หผ้ ู้ใช้งาน ถือเป็นส่ิงจาเป็นต่อการทางาน ห้ามมิให้ ผู้ใช้งานทาการถอดถอน เปล่ียนแปลง แก้ไข หรือทาสาเนาเพ่ือนาไปใช้งานที่อื่น ๆ ยกเว้นได้รบั การอนญุ าตจาก หวั หน้าหน่วยงานหรือผ้ทู ไี่ ด้รบั มอบหมายท่ีมีสทิ ธิ์ในลขิ สิทธ์ิ ๓) คอมพิวเตอร์ของผู้ใช้งานติดต้ังโปรแกรมป้องกันไวรัสคอมพิวเตอร์ (Anti virus) ตามที่ หน่วยงานได้ประกาศ ให้ใช้ เว้นแต่คอมพิวเตอร์นั้นเป็นเครื่องเพื่อการศึกษา โดยต้องได้รับ อนุญาตจากหัวหนา้ หนว่ ยงาน ๔) บรรดาข้อมูล ไฟล์ ซอฟต์แวร์ หรือสิ่งอ่ืนใด ท่ีได้รับจากผู้ใช้งานอื่นต้องได้รับการตรวจสอบ ไวรัส คอมพวิ เตอร์และโปรแกรมไมป่ ระสงค์ดีกอ่ นนามาใชง้ านหรือเก็บบันทึกทุกครั้ง ๕) ผู้ใชง้ านตอ้ งทาการปรับปรุงข้อมลู สาหรับตรวจสอบและปรับปรงุ ระบบปฏิบัติการ (Update patch) ให้ ใหมเ่ สมอ เพ่ือเป็นการป้องกนั ความเสยี หายท่ีอาจเกดิ ข้นึ ๖) ผู้ใช้งานต้องพึงระวังไวรัสและโปรแกรมไม่ประสงค์ดีตลอดเวลา รวมทั้งเม่ือพบส่ิงผิดปกติ ผู้ใชง้ านต้องแจง้ เหตแุ ก่ผูด้ แู ลระบบ ๗) เมื่อผู้ใช้งานพบว่าเครื่องคอมพิวเตอร์ติดไวรัส ผู้ใช้งานต้องไม่เชื่อมต่อเคร่ืองคอมพิวเตอร์เข้า สูเ่ ครือข่าย และ ต้องแจ้งแกผ่ ้ดู ูแลระบบ ๘) ห้ามลักลอบทาสาเนา เปล่ียนแปลง ลบท้ิง ซึ่งข้อมูล ข้อความ เอกสาร หรือสิ่งใด ๆ ที่เป็น ทรพั ย์สินของหน่วยงาน หรอื ของผู้อ่ืน โดยไม่ได้รบั อนุญาตจากหวั หนา้ หนว่ ยงาน ๙) ห้ามทาการเผยแพร่ไวรัสคอมพิวเตอร์ มัลแวร์ หรือโปรแกรมอันตรายใด ๆ ท่ีอาจก่อให้เกิด ความเสียหายมา สู่ทรัพย์สินของหน่วยงาน สิทธิ์ท่ีจะพัฒนาโปรแกรมหรือฮาร์ดแวร์ใด ๆ สามารถดาเนินการได้ แตต่ อ้ งไม่ดาเนินการ ดงั นี้ 9.1) พัฒนาโปรแกรมหรือฮาร์ดแวร์ใด ๆ ท่ีจะทาลายกลไกรักษาความปลอดภัย ระบบรวมท้ังการกระทาในลักษณะเป็นการแอบใช้รหัสผ่าน การลักลอบทาสาเนา ข้อมูลบคุ คลอน่ื หรือแกะรหสั ผ่านของบุคคลอืน่

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เรมิ่ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 90 ศอ.ปส.สธ. ช้ันความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 9.2) พัฒนาโปรแกรมหรือฮาร์ดแวร์ใด ๆ ซึ่งทาให้ผู้ใช้งานมีสิทธ์ิและลาดับ ความสาคัญในการครอบครองทรัพยากรระบบมากกวา่ ผู้ใชง้ านอ่นื 9.3) พฒั นาโปรแกรมใดที่จะทาซา้ ตวั โปรแกรมหรือแฝงตัวโปรแกรมไปกบั โปรแกรม อ่นื ในลกั ษณะเชน่ เดยี วกบั หนอนหรอื ไวรสั คอมพิวเตอร์ 9.4) พัฒนาโปรแกรมหรือฮาร์ดแวร์ใด ๆ ท่ีจะทาลายระบบจากัดสิทธิการใช้ (License) ซอฟต์แวร์ 9.5) นาเสนอข้อมูลที่ผิดกฎหมาย ละเมิดลิขสิทธ์ิแสดงข้อความรูปภาพไม่เหมาะสม หรอื ขดั ตอ่ ศลี ธรรมประเพณอี ันดีงามของประเทศไทย กรณที ่ผี ใู้ ชง้ านสรา้ งเว็บเพจ บน เครอื ข่ายคอมพิวเตอร์ ๑๐)การพฒั นาซอฟต์แวรโ์ ดยหน่วยงานภายนอก (Outsourced software development) 10.1) จัดให้มีการควบคุมโครงการพัฒนาซอฟต์แวร์โดยผู้รับจ้างให้บริการจาก ภายนอก พิจารณาระบุว่าใครจะเป็นผู้มีสิทธ์ิในทรัพย์สินทางปัญญาสาหรับซอร์สโค้ด ในการพัฒนาซอฟตแ์ วร์โดยผู้รบั จ้างให้บรกิ ารจากภายนอก 10.2) พิจารณากาหนดเรื่องการสงวนสิทธิ์ที่จะตรวจสอบด้านคุณภาพและความ ถูกต้องของซอฟต์แวร์ที่จะมีการพัฒนาโดยผู้ให้บริการภายนอก โดยระบุไว้ในสัญญา จ้างที่ทากับผูใ้ หบ้ รกิ ารภายนอกนัน้ 10.3) ให้มีการตรวจสอบโปรแกรมไม่ประสงค์ดี ในซอฟต์แวร์ต่าง ๆ ท่ีจะทาการติดตัง้ กอ่ นดาเนินการติดต้งั 10.4) หลงั จากการสง่ มอบการพฒั นาซอฟตแ์ วรจ์ ากหนว่ ยงานภายนอก หนว่ ยงานต้อง ดาเนนิ การเปลยี่ นรหัสผ่านต่าง ๆ 10.5) ผพู้ ัฒนาระบบจากภายนอก (Outsource) ต้องลงนามในหนังสือยอมรับเงื่อนไข นโยบายความปลอดภัยระบบสารสนเทศสาหรับผู้ใช้งาน (Acceptable Use Policy: AUP) (F-IT-AC-02.01) และสัญญาไมเ่ ปิดเผยข้อมูล (Non-Disclosure Agreement) กอ่ นดาเนินการ 10.6) ผู้พัฒนาระบบจากภายนอก (Outsource) ต้องถือปฏิบัติตามแนวนโยบาย และ แนวปฏิบตั ใิ นการรกั ษาความมน่ั คงปลอดภยั ดา้ นสารสนเทศ ของกระทรวงสาธารณสุข

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 91 ศอ.ปส.สธ. ชน้ั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.6.3 การสารองข้อมูล (Backup) วัตถุประสงค์: เพื่อเป็นแนวทางในกาหนดการสารองข้อมูล เพ่ือใช้ในการกู้ระบบในกรณีที่เกิดเหตุต่าง ๆ เช่น ภยั ธรรมชาติ ระบบเสียหาย ฯลฯ นโยบาย 3.6.3.1 การสารองข้อมูล (Information Backup) ๑) พิจารณาคัดเลือกระบบสารสนเทศที่สาคัญและจัดทาระบบสารองที่เหมาะสมให้อยู่ในสภาพ พรอ้ มใช้งาน โดยเรยี งลาดบั ความจาเปน็ มากไปนอ้ ย ๒) กาหนดหน้าทแ่ี ละความรบั ผดิ ชอบของเจา้ หนา้ ท่ใี นการสารองข้อมลู ๓) มีการจัดทาบัญชีระบบสารสนเทศท่ีมีความสาคัญท้ังหมดของหน่วยงาน พร้อมทั้งกาหนด ระบบสารสนเทศท่ีจะ - จัดทาระบบสารอง และจัดทาระบบแผนเตรียมพร้อมกรณีฉุกเฉิน อย่างนอ้ ยปลี ะ 1 ครั้ง ๔) กาหนดให้มีการสารองข้อมูลของระบบสารสนเทศแต่ละระบบ และกาหนดความถีใน การ สารองข้อมูล หากระบบใดท่ีมีการเปล่ียนแปลงบ่อยกาหนดให้มีความถี่ในการสารองข้อมูล มากข้นึ โดยให้มวี ธิ ีการสารองขอ้ มลู ดงั นี้ - กาหนดประเภทของข้อมลู ท่ตี ้องทาการสารองเก็บไว้ และความถี่ในการสารอง - กาหนดรูปแบบการสารองข้อมูลให้เหมาะสมกับขอ้ มลู ท่ีจะทาการสารองข้อมูล - บันทึกข้อมูลท่ีเก่ียวข้องกับกิจกรรมการสารองข้อมูล ได้แก่ ผู้ดาเนินการ วัน/เวลา ชอ่ื ขอ้ มูลท่ีสารองสาเร็จ/ไมส่ าเร็จ เป็นตน้ - ตรวจสอบคา่ คอนฟิกกเู รชันต่าง ๆ ของระบบการสารองขอ้ มูล - จัดเก็บข้อมูลท่ีสารองน้ันในสื่อเก็บข้อมูล โดยมีการพิมพ์ช่ือบนส่ือเก็บข้อมูลน้ันให้ สามารถแสดงถึงระบบซอฟต์แวร์ วันท่ี เวลาท่ีสารองข้อมูล และผู้รับผิดชอบในการ สารองข้อมลู ไว้อย่างชดั เจน - จัดเก็บข้อมูลที่สารองไวน้ อกสถานท่ี ระยะทางระหวา่ งสถานที่ที่จัดเก็บข้อมูลสารอง กับหน่วยงานต้อง ห่างกันเพียงพอ เพื่อไม่ให้ส่งผลกระทบต่อข้อมูลท่ีจัดเก็บไว้นอก สถานทีน่ น้ั ในกรณที เี่ กดิ ภยั พิบตั กิ บั หน่วยงาน - ดาเนินการป้องกันทางกายภาพอย่างเพียงพอต่อสถานที่สารองท่ีใช้จัดเก็บข้อมูล นอกสถานที่ - ทดสอบบันทึกข้อมูลสารองอย่างสม่าเสมอ เพ่ือตรวจสอบว่ายังคงสามารถเข้าถึง ข้อมลู ไดต้ ามปกติ - จดั ทาข้ันตอนปฏิบัติสาหรับการก้คู ืนขอ้ มลู ที่เสียหายจากข้อมลู ท่ีได้สารองเกบ็ ไว้

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 92 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 - ตรวจสอบและทดสอบประสิทธิภาพและประสิทธิผลของขั้นตอนปฏิบัติในการกู้คืน ข้อมูลอย่างสม่าเสมออย่างน้อยปีละ 1 คร้ัง หรือตามความเหมาะสมโดยคานึงถึง ความเส่ยี งต่าง ๆ ทจี่ ะเกิดข้ึน - กาหนดใหม้ ีการใชง้ านการเข้ารหสั ข้อมูลกบั ข้อมูลลบั ทีไ่ ด้สารองเกบ็ ไว้ ๕) ต้องจัดทาแผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีที่ไม่สามารถดาเนินการด้วยวิธีการทาง อิเล็กทรอนิกส์ เพือ่ ให้สามารถใชง้ านสารสนเทศไดต้ ามปกติอย่างตอ่ เนื่อง โดย - มกี ารกาหนดหนา้ ที่ และความรับผิดชอบของผู้ทเ่ี กยี่ วข้องทงั้ หมด - มกี ารประเมนิ ความเสี่ยงสาหรับระบบท่ีมคี วามสาคญั เหล่าน้นั และกาหนดมาตรการ เพื่อลดความเสี่ยงเหล่าน้ัน เช่น ไฟดับเป็นระยะเวลานาน ไฟไหม้ แผ่นดินไหว การ ชุมนุมประทว้ ง ทาใหไ้ ม่สามารถเข้ามาใชร้ ะบบงานได้ เป็นตน้ - มีการกาหนดขั้นตอนปฏิบตั ใิ นการกคู้ ืนระบบสารสนเทศ - มกี ารกาหนดข้ันตอนปฏิบัตใิ นการสารองข้อมูล และทดสอบกคู้ นื ขอ้ มูลท่ีสารองไว้ - มีการกาหนดช่องทางในการตดิ ต่อกบั ผู้ให้บริการภายนอก เชน่ ผู้ให้บริการเครือข่าย ฮารด์ แวร์ ซอฟต์แวร์ เปน็ ตน้ เมื่อเกิดเหตุจาเป็นท่จี ะต้องตดิ ต่อ - การสร้างความตระหนัก หรือให้ความรู้แก่เจ้าหน้าที่ผู้ท่ีเก่ียวข้องกับข้ันตอนการ ปฏิบตั ิ หรือ ส่ิงท่ีตอ้ งทาเมือ่ เกิดเหตุเรง่ ด่วน เปน็ ต้น ๖) มีการทบทวนเพ่ือปรับปรุงแผนเตรียมความพร้อมกรณีฉุกเฉินดังกล่าวให้สามารถปรับใช้ได้ อย่างเหมาะสมและสอดคลอ้ งกบั การใชง้ านตามภารกิจ อย่างนอ้ ยปลี ะ 1 คร้งั ๗) ตอ้ งมีการกาหนดหน้าที่และความรับผิดชอบของบุคลากรซึ่งดูแลรับผิดชอบระบบสารสนเทศ ระบบสารอง และการจดั ทาแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีท่ีไมส่ ามารถดาเนินการด้วย วธิ ีการทางอิเล็กทรอนิกส์ ๘) ต้องมีการทดสอบสภาพพร้อมใช้งานของระบบสารสนเทศ ระบบสารอง และระบบแผน เตรียมพร้อมกรณีฉุกเฉิน อย่างน้อยปีละ 1 คร้ัง หรือตามความเหมาะสมโดยคานึงถึงความ เส่ยี งต่าง ๆ ท่จี ะเกดิ ขน้ึ เพื่อใหร้ ะบบมสี ภาพพรอ้ มใชง้ านอยเู่ สมอ ๙) มีการทบทวนระบบสารสนเทศ ระบบสารอง และระบบแผนเตรียมพร้อมกรณีฉุกเฉิน ท่ี เพยี งพอต่อสภาพความเส่ียงทีย่ อมรบั ไดข้ องแตล่ ะหน่วยงาน อยา่ งน้อยปีละ 1 คร้งั

การบริหารจดั การระบบข้อมูลและสารสนเทศ เรมิ่ ใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ที่ 93 ศอ.ปส.สธ. ชัน้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.6.4 การบันทกึ ขอ้ มูลล็อกและการเฝ้าระวัง (Logging and Monitoring) วตั ถปุ ระสงค:์ เพอื่ ให้มีการเก็บหลักฐานหรือบันทึกเหตุการณ์ เพือ่ ใช้เป็นหลักฐานยืนยนั นโยบาย 3.6.4.1 การบนั ทึกขอ้ มูลเหตกุ ารณ์ (Event logging) ต้องกาหนดให้ทาการบันทึกกจิ กรรมการใชง้ านของผูใ้ ช้ การปฏเิ สธการใหบ้ ริการของระบบ และเหตกุ ารณ์ ต่าง ๆ ท่ีเก่ียวข้องกับความม่ันคงปลอดภัยอย่างสม่าเสมอตามระยะเวลาท่ีกาหนดไว้ โดยปฏิบัติตาม เอกสาร ระเบียบปฏิบัติ เร่ือง การเฝ้าระวังการใช้งานระบบ (System Usage Monitoring Procedure) (P-IT-CO-05) 3.6.4.2 การป้องกันขอ้ มลู ลอ็ ก (Protection of Log Information) ตอ้ งกาหนดใหม้ กี ารป้องกนั ขอ้ มลู บันทึกกิจกรรมหรือเหตุการณต์ า่ ง ๆ ท่เี ก่ยี วข้องกบั การใชง้ านสารสนเทศ เพ่ือ ปอ้ งกันการเปลีย่ นแปลง หรอื การแก้ไขโดยไมไ่ ด้รบั อนุญาต 3.6.4.3 ขอ้ มูลล็อกของผดู้ ูแลระบบและเจา้ หน้าที่ปฏิบัติการ (Administrator and operator Logs) ต้องกาหนดให้มีการบันทึกกิจกรรมการดาเนินงานของผู้ดูแลระบบ หรือเจ้าหน้าที่ที่เก่ียวข้องกับระบบอ่ืน ๆ รวมถงึ อปุ กรณค์ อมพิวเตอร์และเครือข่าย 3.6.4.4 การต้งั เวลาใหถ้ กู ต้อง (Clock Synchronization) ต้องตั้งเวลาของเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ในหน่วยงานให้ตรงกัน โดยอ้างอิงจากแหล่ง เวลาที่ ถูกระบุตาม พ.ร.บ. ว่าด้วยการกระทาความผิดเก่ียวกับคอมพิวเตอร์ เพ่ือช่วยในการตรวจสอบ ช่วงเวลาหากเคร่ือง คอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ของ ศอ.ปส.สธ. ถูกบุกรุกตาม พ.ร.บ. ว่าด้วย การกระทาความผดิ เกยี่ วกบั คอมพิวเตอร์

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศูนย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ที่ 94 ศอ.ปส.สธ. ชั้นความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.6.5 การควบคุมการติดตงั้ ซอฟตแ์ วร์บนระบบท่ีใหบ้ รกิ าร (Control of Operation Software) วตั ถปุ ระสงค์: เพื่อใหร้ ะบบทใ่ี ห้บริการ สามารถให้บริการและมกี ารทางานท่ถี กู ต้อง นโยบาย 3.6.5.1 การติดตั้งซอฟต์แวร์บนระบบท่ีให้บริการ (Installation of Software on Operational Systems) ผู้พัฒนาระบบสารสนเทศต้องมีการควบคุมการติดตั้งซอฟต์แวร์ใหม่ ซอฟต์แวร์ไลบารี่ ซอฟต์แวร์อุดช่อง โหว่ ลงใน เครื่องที่ใช้งานหรือเครื่องให้บริการ โดยก่อนการติดต้ังในระบบจริงจะต้องผา่ นการทดสอบการ ใช้งานมาเป็นอย่างดี ว่า ไม่ก่อให้เกิดปัญหากับเครื่องท่ีให้บริการอยู่ โดยปฏิบัติตามวิธีการปฏบิ ัติเรื่องการ ควบคุมระบบสารสนเทศทีใ่ ช้ในการ ปฏบิ ตั งิ าน (Control of operational software) (P-T-S-02) 3.6.6 การบรหิ ารจดั การชอ่ งโหว่ทางเทคนิค (Technical Vulnerability Management) วัตถุประสงค์: เพ่ือสร้างความมั่นคงปลอดภัยใหก้ ับซอฟต์แวร์สาหรับระบบสารสนเทศ รวมทั้งสารสนเทศ ในระบบด้วย เพ่ือ ลดความเสี่ยงจากการโจมตีโดยอาศัยช่องโหว่ทางเทคนิคท่ีมีการเผยแพร่หรือตีพิมพ์ใน สถานท่ตี า่ ง ๆ นโยบาย 3.6.6.1 การบรหิ ารจดั การช่องโหว่ทางเทคนคิ (Management of Technical Vulnerabilities) ต้องมีการติดตามข้อมูลข่าวสารที่เกี่ยวข้องกับช่องโหว่ในระบบต่าง ๆ ที่ใช้งานและประเมินความเส่ียงของ ช่องโหว่ เหล่านน้ั รวมทั้งกาหนดมาตรการรองรับเพือ่ ลดความเส่ียงดังกลา่ ว 3.6.6.2 การจากัดการติดตัง้ ซอฟตแ์ วร์ (Restrictions on Software Installation) ๑) ศอ.ปส.สธ. ต้องปฏิบัติตามข้อกาหนดทางลิขสิทธ์ิ (Copyright) ในการใช้งานทรัพย์สินทาง ปัญญาทีห่ นว่ ยงาน จัดหามาใชง้ านและต้องระมัดระวงั ทจ่ี ะไม่ละเมดิ ๒) ซอฟต์แวร์ (Software) ท่ีหน่วยงานได้จัดเตรียมไว้ใหผ้ ู้ใชง้ าน ถือเป็นสิ่งจาเป็นต่อการทางาน หา้ มมใิ ห้ ผใู้ ช้งานทาการ ถอดถอน เปลย่ี นแปลง แก้ไข หรอื ทาสาเนาเพื่อนาไปใช้งานที่อน่ื ๆ ยกเวน้ ได้รับการอนญุ าตจาก หัวหน้าหนว่ ยงานหรือผู้ทีไ่ ดร้ ับมอบหมายท่ีมสี ทิ ธ์ิในลิขสิทธิ์

การบริหารจดั การระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 95 ศอ.ปส.สธ. ชนั้ ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ความมนั่ คงปลอดภยั สาหรับการส่ือสารขอ้ มลู (Communications Security) 3.7.1 การจดั การระบบรกั ษาความปลอดภยั ระบบเครือขา่ ย (Network Security Management) วัตถุประสงค์: เพื่อป้องกันข้อมูลในระบบเครือข่าย และป้องกันโครงสร้างพื้นฐานท่ีสนับสนุนระบบ เครอื ข่ายของ ศอ.ปส.สธ. นโยบาย 3.7.1.1 การควบคมุ การเขา้ ถงึ เครอื ข่าย (Network Control) ๑) ต้องกาหนดหน้าท่ีความรับผิดชอบ รวมท้ังวิธีปฏิบัติเมื่อมีเหตุการณ์ผิดปกติ หรือการละเมิด ความปลอดภัย และดาเนนิ การตรวจสอบผูก้ ระทาการละเมดิ ๒) การจัดทาคู่มือและขน้ั ตอนการปฏบิ ัตงิ านสารสนเทศในหน่วยงาน ตอ้ งมเี นอื้ หาในสว่ นการใช้ งานอุปกรณ์ เครอื ขา่ ยทีส่ นับสนุนความมั่นคงปลอดภยั ๓) ต้องแบ่งหน้าที่ความรับผิดชอบในการดาเนินงานในส่วนท่ีเก่ียวกับระบบเทคโนโลยี สารสนเทศและเครอื ข่าย ที่หนว่ ยงานนั้นรับผิดชอบ ๔) ต้องบันทึกรายละเอียดการเปลี่ยนแปลงแก้ไขที่สาคัญและแจ้งให้หน่วยงานอื่นๆ ท่ีเก่ียวข้อง ทราบ กรณีทีม่ ี การเปล่ียนแปลงแกไ้ ขระบบเครอื ข่าย ๕) บริหารจัดการกิจกรรมท่ีเกี่ยวข้องให้เหมาะสมและต้องม่ันใจว่าสอดคล้องกับการควบคุม ข้อมูลสารสนเทศท่ี สง่ ผา่ นเครือขา่ ยตลอดจนโครงสรา้ งพืน้ ฐานของ ศอ.ปส.สธ. ดว้ ย 3.7.1.2 ความม่นั คงปลอดภัยสาหรับการใชบ้ ริการเครือข่าย (Security of Network Service) ๑) ระบบเครือขา่ ยทั้งหมดของ ศอ.ปส.สธ. ท่ีมกี ารเชือ่ มต่อไปยังระบบเครือข่ายอื่น ๆ ต้องมีการ ใช้อุปกรณ์หรือ โปรแกรมในการทา Packet Filtering เช่น การใช้ Firewall หรือ ฮาร์ดแวร์ อ่นื ๆ รวมทัง้ ต้องมีความสามารถในการ ตรวจจบั ไวรัสดว้ ย ๒) ตอ้ งจากัดจานวนการเชือ่ มต่อจากภายนอกเข้ามายงั ระบบเครือขา่ ยของ ศอ.ปส.สธ. และต้อง กาหนดให้การ เช่ือมต่อเข้ามายังเครื่องคอมพิวเตอร์ท่ีกาหนดไว้เฉพาะและติดต่อกับ ระบบงานที่กาหนดไว้เฉพาะเท่านั้น และควร กาหนดให้เคร่ืองคอมพิวเตอร์และระบบงาน ดังกล่าวแยกออกจากระบบเครือข่ายที่เป็นส่วนที่ใช้งานจริงของ ศอ.ปส.สธ. ทั้งทางด้าน กายภาพและทางด้าน Logical และต้องไม่อนุญาตให้หน่วยงานภายนอกมีสิทธิ์เข้ามาใช้ คอมพวิ เตอร์หรือ ระบบงานเครือขา่ ย ศอ.ปส.สธ. ได้ ๓) ห้ามผู้ใช้งานติดตั้งซอฟต์แวร์บริการเช่ือมต่อจากภายนอก (Remote Access Service) บน เครื่อง คอมพิวเตอร์ของตน หรือต่อกับจุดใดก็ตามบนระบบเครือข่ายของ ศอ.ปส.สธ. โดย ไม่ได้รบั อนญุ าต

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 96 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ๔) ห้ามบุคคลภายนอกทาการเชื่อมต่อเครื่องคอมพิวเตอร์หรืออุปกรณ์ใดๆ จากภายนอกเข้ากับ ระบบ คอมพิวเตอร์และระบบเครือข่ายของ ศอ.ปส.สธ. โดยเด็ดขาด หากมีความจาเป็นต้อง ใช้งานต้องดาเนนิ การขออนมุ ัตอิ ยา่ ง เหมาะสมก่อนทกุ คร้งั ๕) ห้ามผู้ใช้งานติดต้ังฮาร์ดแวร์หรือซอฟต์แวร์ใด ๆ ที่เก่ียวข้องกับการให้บริการเครือข่าย ตวั อย่างเช่น Router, Switch, Hub และ Wireless Access Point ฯลฯ โดยไมไ่ ด้รับอนุญาต เดด็ ขาด ๖) ห้ามผู้ใช้งานท่ีอยู่บนระบบเครือข่ายของ ศอ.ปส.สธ. ทาการเชื่อมต่อออกไปยังเครือข่าย ภายนอก ผ่านทางโมเด็ม หรืออุปกรณ์เช่ือมต่ออื่นในขณะท่ียังเชื่อมต่ออยู่กับระบบเครือข่าย ภายใน ศอ.ปส.สธ. โดยเดด็ ขาด 3.7.1.3 การจัดแบง่ เครือขา่ ยภายใน ศอ.ปส.สธ. (Segregation in Network) ๑) ต้องออกแบบระบบเครือข่ายตามกลุ่มของการบริการระบบเทคโนโลยีสารสนเทศและการ สื่อสารที่มีการใช้งาน โดยแบ่งตามกลุ่มของผู้ใช้และกลุ่มของระบบสารสนเทศ โดยแบ่งเป็น โซนภายใน (Internal Zone) และโซนภายนอก (External Zone) เพ่ือทาให้การควบคุม และป้องกันการบุกรกุ ไดอ้ ยา่ งเป็นระบบ ๒) ต้องจัดทาแผนผังระบบเครือข่าย (Network Diagram) ต้องมีรายละเอียดเกี่ยวกับขอบเขต ของเครือข่ายภายในและเครือข่ายภายนอก และอุปกรณ์ต่าง ๆ พร้อมทั้งปรับปรุงให้เป็น ปจั จบุ ันอยูเ่ สมอ

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ที่ 97 ศอ.ปส.สธ. ช้นั ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ก า ร จั ด ห า พั ฒ น า แ ล ะ ดู แ ล ร ะ บ บ ส า ร ส น เ ท ศ ( Systems Acquisition, Development and Maintenance) 3.8.1 การจัดการระบบรักษาความปลอดภยั ระบบเครอื ข่าย (Network Security Management) วตั ถปุ ระสงค์: เพ่ือใหแ้ น่ใจวา่ มีการสรา้ งความปลอดภัยสารสนเทศให้กับระบบสารสนเทศ ตลอดวงจรการ พฒั นาระบบ ซึง่ รวมถึงความตอ้ งการด้านความปลอดภัยสารสนเทศทีใ่ ห้บรกิ ารผา่ นเครือข่ายสาธารณะ นโยบาย 3.8.1.1 การกาหนดความต้องการด้านความม่ันคงปลอดภัย (Information Security Requirements Analysis and Specification) ตอ้ งกาหนดความต้องการดา้ นความมน่ั คงปลอดภัยไว้อย่างชัดเจนในระบบทีจ่ ะพฒั นาข้นึ มาใช้งาน หรอื ซ้ือ มาใชง้ าน หน่วยงานดูแลระบบเทคโนโลยีสารสนเทศ จะต้องทาการวิเคราะห์ระบบเทคโนโลยีสารสนเทศว่ามีความ เสย่ี ง ใดบ้างท่จี ะทาให้ข้อมูลเกิดความเสยี หาย โดยมุ่งเน้นในส่วนตา่ ง ๆ ดังน้ี - มาตรการปฏิบัติก่อนที่จะเกิดความเสียหาย เช่น การสารองข้อมูล ระบบเครือข่าย สารอง เป็นต้น - มาตรการปฏิบัติหลังจากเกิดความเสียหาย เช่น แผนการกู้คืนข้อมูล ระยะเวลาใน การกูค้ ืนขอ้ มูล เปน็ ต้น 3.8.1.2 ความม่ันคงปลอดภัยของบริการสารสนเทศบนเครือข่ายสาธารณะ (Securing application services on public networks) สารสนเทศท่ีเกี่ยวข้องกับการบริการสารสนเทศที่มีการส่งผ่านเครือข่ายสาธารณะ ต้องได้รับการป้องกัน และการเปิดเผย หรือเปลีย่ นแปลงข้อมูลโดยไม่ไดร้ ับอนญุ าต

การบริหารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 98 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 3.8.2 ความมั่นคงปลอดภัยสาหรับกระบวนการในการพัฒนาระบบ (Security in Development and Support Processes) วัตถุประสงค์: เพ่ือให้มั่นใจได้ว่ามีระบบสารสนเทศมีความมั่นคงปลอดภัย ครอบคลุมท้ังวงจรการพัฒนา ระบบสารสนเทศ (development lifecycle) นโยบาย 3.8.2.1 นโยบายการพัฒนาระบบใหม้ คี วามม่นั คงปลอดภยั (Secure development policy) ต้องมีการกาหนดหลักเกณฑ์สาหรับการพัฒนาซอฟต์แวร์ และมีการปฏิบัติตามนโยบายหรือข้อกาหนดท่ี องค์กรกาหนด ข้ึนมา เช่น การพัฒนาซอฟต์แวร์ควรคานึงความปลอดภัยในทุกขั้นตอนของการพัฒนา และนักพัฒนา (Developer) ควรมี ความสามารถในการหลีกเลีย่ งไม่ใหโ้ ปรแกรมที่พัฒนามีช่วงโหว่ท่ีร้จู กั กนั (Common Vulnerabilities and Exposures (CVE) และตอ้ งสามารถแก้ไขช่องโหว่ทต่ี รวจพบได้ 3.8.2.2 กระบวนการในการควบคุมการเปล่ียนแปลงแก้ไขซอฟต์แวร์ (System Change Control Procedures) ผู้พัฒนาระบบสารสนเทศต้องมีกระบวนการเพ่ือควบคุมการเปล่ียนแปลงแก้ไขซอฟต์แวร์ สาหรับระบบ สารสนเทศทใ่ี ช้งานจรงิ หรอื ใหบ้ รกิ ารอยแู่ ลว้ เชน่ - คาขอใหแ้ ก้ไขต้องมาจากผู้ที่มสี ทิ ธิ์ - ต้องมกี ารอนมุ ตั คิ าขอโดยผู้มีอานาจ - ตอ้ งมีการควบคมุ ผลขา้ งเคยี งท่อี าจเกิดขนึ้ หลังจากมีการแกไ้ ข - เมอื่ แกไ้ ขเสรจ็ แลว้ ต้องมกี ารตรวจรับจากผ้มู ีอานาจ - ตอ้ งเก็บรายละเอยี ดของคาขอไว้ เป็นต้น โดยดาเนินการตามระเบียบปฏิบัติ เร่ือง การจัดการเปล่ียนแปลงระบบสารสนเทศ ( Change Management) (P-IT-CO-06) 3.8.2.3 การตรวจสอบซอฟต์แวร์หลังจากการเปล่ียนแปลงระบบปฏิบัติการ (Technical Review of Applications After Operating Platform Changes) เม่ือระบบปฏิบัติการมีการแก้ไขหรือเปล่ียนแปลง ผู้พัฒนาระบบสารสนเทศจะต้องตรวจสอบและทดสอบ ซอฟตแ์ วรต์ ่าง ๆ ทใ่ี ช้งานวา่ ไม่มีผลกระทบตอ่ การทางานและความมน่ั คงปลอดภัย

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 99 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.8.2.4 การควบคุมการเปลี่ยนแปลงของซอฟต์แวร์สาเร็จรูป (Restrictions on Changes to Software Packages) เม่ือมีการใช้งานซอฟต์แวร์สาเร็จรูปต้องมีการควบคุมการเปล่ียนแปลงเท่าท่ีจาเป็น และการเปลี่ยนแปลง ท้ังหมดจะต้อง ถูกทดสอบและจัดทาเป็นเอกสารเพ่ือให้สามารถนามาใช้งานได้เมื่อมีการปรับปรุง ซอฟตแ์ วร์ในอนาคต 3.8.2.5 หลักการวิศวกรรมระบบด้านความมั่นคงปลอดภยั (Secure system engineering principles) เพอื่ ใหเ้ กิดความมั่นคงปลอดภยั ทางด้านวิศวกรรมระบบ ต้องมกี ารกาหนดขึน้ มาเป็นลายลักษณ์อักษร โดย มีการปรบั ปรงุ อย่างตอ่ เนอื่ ง และมีการประยกุ ตใ์ ชก้ บั งานพฒั นาระบบ 3.8.2.6 สภาพแวดล้อมของการพัฒนาระบบที่มีความม่ันคงปลอดภัย (Secure development environment) หน่วยงานต้องมีการจัดทาหรือป้องกันสภาพแวดล้อมในการทางานต่าง ๆ ให้มีความเหมาะสมและ ปลอดภยั ทง้ั การพัฒนา และปรับปรงุ ระบบเพม่ิ เติมตลอดวงจรชีวิตของการพฒั นาระบบ 3.8.2.7 การจา้ งหนว่ ยงานภายนอกเพอื่ พฒั นาระบบงาน (Outsourced Development) ในการทาสัญญาว่าจ้างการพัฒนาระบบของ ศอ.ปส.สธ. ต้องมีความชัดเจนและครอบคลุมถึงสัญญา ทางด้านลิขสิทธ์ิ ซอฟต์แวร์ การใช้ระบบ การตรวจสอบระบบ โดยละเอียดก่อนติดตั้งใช้งานจริง รวมถึง การรับรองคณุ ภาพของระบบ และการกาหนดขอบเขตในการจ้างพฒั นาระบบ 3.8.2.8 การทดสอบดา้ นความมัน่ คงปลอดภยั ของระบบ (System security testing) โปรแกรมหรือระบบที่พัฒนาขึ้นมา ควรมีการทดสอบคุณสมบัติด้านความมั่นคงปลอดภัย โดยต้องมีการ ทดสอบอยู่ ในช่วงระหว่างการพฒั นา 3.8.2.9 การทดสอบเพอื่ รับรองระบบ (System acceptance testing) ๑) มีการจัดทาแผนการทดสอบหรือเกณฑ์ที่เกี่ยวข้องเพ่ือรับรองระบบ โดยต้องมีการจัดทาท้ัง สาหรับระบบใหม่ และ ระบบท่ปี รบั ปรุง ๒) ต้องจัดให้มีเกณฑ์ในการยอมรับระบบใหม่ ระบบท่ีจัดซื้อเข้ามาใช้งาน หรือทรัพยากร สารสนเทศอื่น ๆ ก่อนการใช้ งาน รวมท้ังต้องจัดทาเอกสาร Checklist หัวข้อท่ีทาการ ทดสอบระบบก่อนท่ีจะตรวจรับระบบน้ัน และให้มีการเซ็นช่ือเจ้าหน้าท่ี ทาการทดสอบและ ลายเซน็ ผ้สู ่งมอบ

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 100 ศอ.ปส.สธ. ชัน้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.8.3 ข้อมลู สาหรบั การทดสอบ (Test data) วัตถุประสงค:์ เพอ่ื ใหม้ กี ารป้องกนั ขอ้ มลู ที่นามาใช้ในการทดสอบ นโยบาย 3.8.3.1 การป้องกันขอ้ มลู สาหรบั การทดสอบ (Protection of Test Data) ข้อมูลจริงที่จะนาไปใช้ในการทดสอบระบบ จะต้องได้รับอนุญาตจากผู้รับผิดชอบในการรักษาข้อมูลนั้น ๆ ก่อน เม่ือใช้ งานเสร็จจะต้องทาการลบข้อมูลจริงออกจากระบบทดสอบทันที และทาการบันทึกไว้เป็น หลกั ฐานว่าได้นาข้อมูลจริงไป ใชใ้ นการทดสอบอะไรบ้าง รวมถึงวัน เวลา และหน่วยงานที่ทดสอบ แจ้งไป ยงั ผรู้ ับผดิ ชอบในการรักษาข้อมูลนัน้ อีกคร้งั

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศนู ยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 101 ศอ.ปส.สธ. ชน้ั ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ความสัมพนั ธ์กบั ผใู้ หบ้ ริการภายนอก (Supplier relationships) 3.9.1 ความมั่นคงปลอดภัยสารสนเทศกับความสัมพันธ์กับผู้ให้บริการภายนอก (Information security in supplier relationships) วตั ถปุ ระสงค:์ เพ่อื ใหม้ ีการป้องกนั ทรัพยส์ ินขององคก์ ร ทม่ี กี ารเขา้ ถึงโดยผูใ้ หบ้ ริการภายนอก นโยบาย 3.9.1.1 นโยบายความม่ันคงปลอดภัยสารสนเทศด้านความสัมพันธ์กับผู้ให้บริการภายนอ ก (Information security policy for supplier relationships) หน่วยงานจะต้องกาหนดให้มีการจัดทาข้อกาหนด หรือสัญญาร่วมกันระหว่างหน่วยงานกับผู้ให้บริการ ภายนอก และต้อง จัดทาเป็นลายลักษณ์อักษร โดยปฏิบัติตาม Procedure เร่ือง การให้บริการของ หน่วยงานภายนอก (P-IT-TP-01) 3.9.1.2 การระบุความม่ันคงปลอดภัยในข้อตกลงการให้บริการภายนอก (Assessing security within supplier agreements) ๑) เจ้าหน้าท่ีกระทรวงสาธารณสุข ต้องระบุและจัดทาข้อกาหนด ข้อตกลง หรือสัญญาร่วมกัน ระหว่าง หน่วยงานกับผู้ให้บริการภายนอก ที่เก่ียวข้องกับความม่ันคงปลอดภัยสาหรับ สารสนเทศ โดยปฏิบัติตามระเบียบ ปฏิบัติ เร่ือง การให้บริการของหน่วยงานภายนอก (Third Party Service Delivery Management) (P-IT-TP-01) ๒) ผู้ดูแลระบบตอ้ งให้สิทธิการเข้าถึงขอ้ มูลต่อหนว่ ยงานภายนอกเทา่ ท่ีจาเปน็ เท่านน้ั ๓) การเข้าใช้งานระบบสารสนเทศ หรือเข้าถึงข้อมลู ของหน่วยงานจากหน่วยงานภายนอก ต้องมี การขออนุญาตอย่างเปน็ ทางการ และไดร้ บั อนุญาตจากหัวหน้าหน่วยงานหรือผู้ดูแลระบบที่ ได้รับมอบหมายก่อนเสมอ ๔) ผใู้ ห้บรกิ ารภายนอกต้องลงนามในเอกสารนโยบายการใช้งานท่ียอมรบั ได้ (Acceptable Use Policy : AUP) และบันทึกข้อตกลงการไม่เปิดเผยข้อมูล (Non Disclosure Agreement : NDA) ๕) สัญญาระหวา่ งหนว่ ยงาน และ หน่วยงานภายนอก ในการให้บริการ ต้อง ระบุถงึ หัวขอ้ ต่าง ๆ ดงั ตอ่ ไปน้ี - รายละเอียดการให้บริการ แผนการดาเนินงาน วิธีการดาเนินงาน และส่ิงที่ต้องส่ง มอบ - ระดับการใหบ้ รกิ าร (Service Level) - หน้าท่ีและความรับผิดชอบขององค์การและหน่วยงานภายนอก ในการให้บริการใน ครัง้ น้ี

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 102 ศอ.ปส.สธ. ชน้ั ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 - ระยะเวลาในการให้บริการ และการตรวจรับงานบรกิ ารในครง้ั น้ี - ราคา และเง่อื นไขการชาระเงิน - ความเป็นเจ้าของและลิขสิทธ์ิของอุปกรณ์ ฮาร์ดแวร์ หรือซอฟต์แวร์ ที่ทาการจัดซ้ือ หรือพฒั นาขน้ึ (ถา้ ม)ี - การรักษาความลบั ของข้อมูลท่ีไดร้ ับจากการให้บริการแก่องค์การ 3.9.1.3 ห่วงโซ่ของการให้บริการเทคโนโลยีสารสนเทศและการส่ือสารโดยผู้ให้บริการภายนอก (Information and communication technology supply chain) ๑) ขอ้ ตกลงกับผู้ให้บริการภายนอก ต้องรวมถงึ ความต้องการเร่ืองการระบุความเสีย่ งอันเกิดจาก ห่วงโซ่ของการ ใหบ้ ริการเทคโนโลยสี ารสนเทศและการสอื่ สาร ๒) ต้องมีการประเมินความเสย่ี งจากการเข้าถึง ขอ้ มูล และระบบสารสนเทศ หรืออปุ กรณ์ท่ีใช้ใน การประมวลผลโดย หน่วยงานภายนอก และกาหนดมาตรการควบคุมท่ีหมาะสมก่อนท่ีจะ อนุญาตใหเ้ ขา้ ถงึ ขอ้ มลู และระบบสารสนเทศ หรอื อปุ กรณ์ ดงั กลา่ วได้ 3.9.2 การบริหารจัดการ การให้บริการโดยผู้ให้บริการภายนอก (Supplier service delivery management) วัตถุประสงค์: เพ่ือให้มีการรักษาไว้ซึ่งระดับความมั่นคงปลอดภัย และระบบการให้บริการตามท่ีตกลงกัน ไว้ในขอ้ ตกลงการ ใหบ้ ริการ ของผใู้ หบ้ ริการภายนอก นโยบาย 3.9.2.1 การติดตามและทบทวนบริการของผู้ให้บริการภายนอก (Monitoring and review of Supplier Services) ๑) ศอ.ปส.สธ. ต้องจดั ทาข้อตกลง กาหนดสิทธ์ิสาหรับ ศอ.ปส.สธ. ท่ีจะตรวจสอบสภาพแวดลอ้ ม การทางาน รวมทงั้ การ ตรวจสอบการทางานของหนว่ ยงานภายนอก โดยพิจารณาจากสญั ญา จดั ซื้อจัดจา้ งของหนว่ ยงานภายนอก ๒) ต้องมีการทบทวนติดตามและตรวจประเมินการให้บริการของผู้ให้บริการภายนอกอย่าง สม่าเสมอ ๓) การบริการ และการดาเนินงานจากหน่วยงานภายนอก จะต้องปฏบิ ัติตาม นโยบายการรักษา ความมั่นคงปลอดภัยด้าน สารสนเทศ แนวทางการปฏิบัติงาน มาตรฐาน และกฎข้อบังคับ ตา่ ง ๆ ของกระทรวงสาธารณสุข

การบริหารจัดการระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 103 ศอ.ปส.สธ. ชน้ั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.9.2.2 การบริหารจัดการ การเปล่ียนแปลงบริการของผู้ให้บริการภายนอก (Managing Changes to Supplier Services) ๑) การเปล่ยี นแปลงรายละเอียดการให้บริการของหน่วยงานภายนอก ทีเ่ กย่ี วขอ้ งกบั บริการด้าน สารสนเทศของ ศอ.ปส.สธ. ทุกคร้ัง ต้องเป็นไปตามเอกสารระเบียบปฏิบัติ เรื่อง การ ให้บริการของหน่วยงานภายนอก (Third Party Service Delivery Management) (P-IT- TP-01) ๒) การเปลี่ยนแปลงต่อการให้บริการของผู้ให้บริการภายนอกรวมทั้งการปรับปรุงนโยบาย ขนั้ ตอนการปฏิบตั ิ และมาตรการท่ีใช้อยูใ่ นปจั จบุ ันต้องมกี ารบริหารจดั การ โดยตอ้ งนาระดับ ความสาคญั ของสารสนเทศ และ กระบวนการทางธุรกิจทเี่ กย่ี วข้องมาพิจารณาดว้ ย และต้อง มกี ารทบทวนการประเมนิ ความเสี่ยงใหม่

การบริหารจัดการระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 104 ศอ.ปส.สธ. ช้ันความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 การบริหารจัดการเหตุการณ์ด้านความม่ันคงปลอดภัยสารสนเทศ (Information Security Incident Management) 3.10.1 ก า ร บ ริ ห า ร จั ด ก า ร เ ห ตุ ก า ร ณ์ ค ว า ม ม่ั น ค ง ป ล อ ด ภั ย ส า ร ส น เ ท ศ แ ล ะ ก า ร ป รั บ ป รุ ง (Management of information security incidents and improvements) วัตถุประสงค์: เพ่ือให้เหตุการณ์และจุดอ่อนท่ีเก่ียวข้องกับความม่ันคงปลอดภัยต่อระบบสารสนเทศของ สานกั งาน ได้รบั การ ดาเนนิ การท่ีถูกต้องในชว่ งระยะเวลาท่ีเหมาะสม นโยบาย 3.10.1.1 หน้าทคี่ วามรบั ผดิ ชอบและข้ันตอนปฏบิ ตั ิ (Responsibilities and Procedures) เจ้าหน้าที่ระบบบริหารความม่ันคงปลอดภัยสารสนเทศ (Information Security Staff, ISS) ต้องกาหนด หนา้ ทค่ี วามรับผดิ ชอบและข้ันตอนปฏิบัติ เพือ่ รบั มอื กับเหตกุ ารณ์ที่เก่ียวข้องกับความมนั่ คง ปลอดภัยของ หนว่ ยงานและขนั้ ตอนดังกลา่ วตอ้ งมีความรวดเร็ว ได้ผล และมคี วามเปน็ ระบบระเบยี บท่ดี ี (P-T-IM-01) 3.10.1.2 การรายงานเหตุการณ์ท่ีเก่ียวข้องกับความม่ันคงปลอดภัย (Reporting Information Security Events) ๑) ผู้ใช้งานต้องรายงานเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยของ ศอ.ปส.สธ. โดยผ่าน ช่องทางรายงานท่ี กาหนดไว้ ๒) ผู้ใช้งานและบุคคลภายนอกทุกคนมีหน้าท่ีรายงานเหตุละเมิดความม่ันคงปลอดภัย จุดอ่อน หรอื การ กระทาที่ไม่เหมาะสมใด ๆ ที่เกิดข้นึ หรอื ตอ้ งสงสัยว่าเกิดข้ึนภายใน ศอ.ปส.สธ. ตอ่ ผู้บังคับบัญชา หรือหน่วยงานจัดการ ความปลอดภัย (Security Management) ทันทีที่พบ เหตุ เพอ่ื ให้สามารถดาเนนิ การแกไ้ ขปญั หาไดอ้ ยา่ งทนั ทว่ งที ๓) ผู้ใช้งานท่ีพบหรือรับทราบถึงการทางานท่ีผิดปกติ ข้อผิดพลาด หรือจุดอ่อนของซอฟต์แวร์ ตอ้ งรายงานต่อ ISS ทันที ๔) ผู้ใช้งานท่ีพบว่าฮาร์ดแวร์หรืออุปกรณ์ใด ๆ เกิดความเสียหาย หรือทางานผิดปกติ ต้อง รายงานตอ่ ISS (บริหารจัดการเหตุการณ์ด้านความมน่ั คงปลอดภยั สารสนเทศ) ทันที ๕) ผู้ใช้งานและบุคคลภายนอกท่ีพบเหตุละเมิดความม่ันคงปลอดภัยหรือจุดอ่อนใด ๆ ใน ศอ.ปส.สธ. ต้องไม่บอกเล่า เหตุการณ์ที่เกิดข้ึนกับผู้อื่น ยกเว้น ผู้บังคับบัญชา หน่วยงาน จัดการความปลอดภัย (Security Management) และ ห้ามทาการพิสูจน์ข้อสงสัยเก่ียวกับ จดุ อ่อนดา้ นความมน่ั คงปลอดภยั น้นั ด้วยตนเอง

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เรมิ่ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 105 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.10.1.3 การรายงานจุดอ่อนที่เก่ียวข้องกับความมั่นคงปลอดภัย (Reporting Information Security Weaknesses) ISS ต้องบันทึกและรายงานจุดอ่อนท่ีเก่ียวข้องกับความมั่นคงปลอดภัยของ ศอ.ปส.สธ. ที่สังเกตุพบหรือ เกิดความ สงสัยในระบบหรอื บริการทใ่ี ชง้ านอยู่ 3.10.1.4 การประเมินและตัดสินใจต่อสถานการณค์ วามมั่นคงปลอดภัยสารสนเทศ (Assessment of and decision on information security events) ๑) สถานการณ์ความม่ันคงปลอดภัยสารสนเทศต้องมีการประเมินและต้องมีการตัดสินว่า สถานการณ์นน้ั ถอื เป็น เหตุการณ์ความมนั่ คงปลอดภัยสารสนเทศหรือไม่ ๒) จดั ทาเกณฑใ์ นการตดั สนิ เหตกุ ารณ์ท่ีถือว่าเปน็ เหตุการณ์ความมัน่ คงปลอดภยั สารสนเทศ 3.10.1.5 การตอบสนองต่อเหตุการณ์ความม่ันคงปลอดภัยสารสนเทศ ( Response to information security incidents) ๑) ISS ต้องมีการกาหนดข้ันตอนไว้รองรบั กรณีเกิดเหตุการณ์ที่ประเมินแลว้ วา่ ก่อให้เกิดความไม่ ม่ันคงปลอดภัย ๒) เม่ือเกิดเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศต้องได้รับการตอบสนองเพื่อจัดการกับ ปัญหาตามข้ันตอน ปฏบิ ตั ทิ ่จี ดั ทาไวเ้ ป็นลายลักษณอ์ กั ษร ๓) โดยไดจ้ ดั ทาแยกประเภทตามระบบต่าง ๆ ดังน้ี 3.1) ระบบปอ้ งกนั ผู้บุกรกุ 3.1.1) ดาเนินการตรวจสอบ Log File หรือรายงงานของระบบป้องกันการบกุ รกุ สงิ่ ทที่ าการตรวจสอบมี ดังต่อไปนี้ - มีการโจมตมี ากนอ้ ยเพยี งใด และเปน็ การโจมตีประเภทใดมากทีส่ ุด - ลักษณะของการโจมตีที่เกิดขึ้นมีรูปแบบท่ีสามารถคาดเดาได้ หรือไม่ - ระดับความรุนแรงมากนอ้ ยเพยี งใด - หมายเลขไอพีของเครือข่ายทเ่ี ปน็ ผู้โจมตี 3.2) ระบบไฟร์วอลล์ 3.2.1) ดาเนินการตรวจระบบปอ้ งกันการบกุ รกุ อย่างนอ้ ยเดือนละ 1 คร้ัง 3.2.2) ดาเนินการตรวจสอบบันทึกของ Log File และรายงานของไฟร์วอลล์ ส่ิงที่ ต้องตรวจสอบมีดงั ต่อไปน้ี - Packet ทไ่ี ฟรว์ อลลไ์ ด้ทาการ Block - ลกั ษณะของ Packet ที่ถกู Block - Packet ของหมายเลขไอพี ของเครือข่ายใดถูก Block เป็นจานวน มาก

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 106 ศอ.ปส.สธ. ช้ันความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 3.2.3) กรณีตรวจพบการโจมตีระบบหรือเหตุการณ์ละเมิดความปลอดภัยระบบ สารสนเทศให้แจง้ หวั หน้าหน่วยงาน เพ่อื ตัดสินใจดาเนนิ การแกไ้ ขปญั หา 3.3) ระบบปอ้ งกันภยั คุกคามทางอินเทอร์เนต็ หรือมัลแวร์ (Malware) ประกอบด้วย ไวรสั หนอนอินเทอร์เนต็ โทรจนั รวมถึงสปายแวร์ 3.3.1) ดาเนนิ การตรวจสอบ Log File และรายงานของอปุ กรณ์ที่เกี่ยวข้องกับระบบ ปอ้ งกันภยั คุกคามทางอนิ เทอรเ์ น็ต สิง่ ทตี่ อ้ งตรวจสอบมีดังน้ี - มลั แวรป์ ระเภทใดถูกพบเป็นจานวนมาก - มลั แวรถ์ ูกสง่ มาจากเครอื ข่ายใด และถกู สง่ ไปยงั ทใ่ี ด - มีการส่งมัลแวร์จากเครือข่ายภายในกระทรวงสาธารณสุขไปยัง ภายนอกหรือไม่ 3.3.2) ศึกษาหาวิธแี ก้ไขเคร่ืองคอมพวิ เตอร์ทตี่ ิดมลั แวร์ โดยเฉพาะมัลแวร์ประเภทท่ี ตรวจพบวา่ กระจาย อย่ใู นเครอื ข่ายของกระทรวงสาธารณสุข 3.3.3) ตรวจสอบพบว่าเคร่ืองคอมพิวเตอร์ภายในเครือข่ายติดมัลแวร์หรือส่งมัลแวร์ ออกไปข้างนอก ต้องระงับการเชื่อมต่อของเคร่ืองที่ติดมัลแวร์กับระบบ เครอื ข่าย แลว้ ทาการแกไ้ ขเครือ่ งนั้นทันที 3.10.1.6 การเรียนรู้จากเหตุการณ์ท่ีเก่ียวข้องกับความมั่นคงปลอดภัย (Learning from Information Security Incidents) ISS (บริหารจัดการเหตุการณ์ด้านความมั่นคงปลอดภัยสารสนเทศ) ต้องบันทึกเหตุการณ์ละเมิดความ ม่ันคง ปลอดภัย โดยอย่างน้อยจะต้องพิจารณาถึงประเภทของเหตุการณ์ปริมาณท่ีเกิดข้ึนและค่าใช้จ่าย เกิดขึ้นจากความ เสียหาย เพื่อจะได้เรียนรู้จากเหตุการณ์ท่ีเกิดข้ึนแล้วและเตรียมการป้องกันที่จาเป็นไว้ ล่วงหนา้ 3.10.1.7 การเก็บรวบรวมหลักฐาน (Collection of Evidence) ISS (บริหารจัดการเหตุการณ์ด้านความม่ันคงปลอดภัยสารสนเทศ) ต้องรวบรวมและจัดเก็บหลักฐานตาม กฎ หรือหลกั เกณฑ์สาหรบั การเกบ็ หลักฐานอ้างอิงในกระบวนการทางศาลที่เก่ียวข้อง เมอื่ พบว่าเหตุการณ์ ท่ีเกิดข้ึนนั้นมี ความเกย่ี วข้องกับการดาเนนิ การทางกฎหมายแพ่งหรืออาญา

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 107 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 ประเด็นด้านความมนั่ คงปลอดภัยสารสนเทศของการบริหาร จัดการ เพื่อสร้างความ ต่อเน่ืองทางธุรกิจ (Information Security Aspects of Business Continuity Management) 3.11.1ความต่อเน่อื งด้านความมนั่ คงปลอดภยั สารสนเทศ (Information security Continuity) วัตถุประสงค์: เพ่ือป้องกันการหยุดชะงักในการดาเนินงานของ ศอ.ปส.สธ. ที่เป็นผลมาจากความล้มเหลว หรอื การหยุดทางานของระบบ นโยบาย 3.11.1.1 การวางแผนความตอ่ เน่ืองด้านความมนั่ คงปลอดภยั สารสนเทศ (Planning information security continuity) ๑) องคก์ รตอ้ งกาหนดความต้องการด้านความมั่นคงปลอดภยั สารสนเทศ และดา้ นความต่อเนื่อง ในสถานการณ์ ความเสยี หายที่เกดิ ขึน้ เชน่ ในชว่ งทเ่ี กิดวิกฤตหรอื ภัยพิบัติ ๒) ISS (บริหารจัดการแผนสร้างความต่อเน่ืองให้กับธุรกิจ) ต้องจัดทาแนวทางปฏิบัติ ในการ จัดทาแผนรองรบั เหตกุ ารณฉ์ ุกเฉินของระบบเทคโนโลยสี ารสนเทศ ควรพจิ ารณา ดังนี้ ๓) การเตรียมความพร้อมเพื่อป้องกันและลดโอกาสที่จะเกิดเหตุการณ์ท่ีก่อให้เกิดความเสียหาย และมี ผลกระทบต่อการดาเนินงานของ ศอ.ปส.สธ. และการให้บริการด้านเทคโนโลยี สารสนเทศสานกั งาน ฯ ๔) การตอบสนองต่อสถานการณ์ฉุกเฉิน เพ่ือควบคุมและจากัดขอบเขตของความเสียหาย เช่น กาหนดแนวทาง การควบคมุ การแกไ้ ขสถานการณฉ์ กุ เฉิน เปน็ ตน้ ๕) การดาเนินการเพื่อให้ ศอ.ปส.สธ. สามารถดาเนนิ งานเป็นไปได้อย่างต่อเน่ือง เช่น การสารอง ขอ้ มูลและอปุ กรณ์ สาคญั การกู้ระบบงานและขอ้ มูลท่เี สียหาย เป็นต้น ๖) การกลับคืนสู่การทางานปกติ เพื่อให้การดาเนินงาน ศอ.ปส.สธ. กลับสู่สภาวะปกติ เช่น การ กาหนดแนวทางการ ฟ้นื ฟคู วามเสียหายให้กลับเขา้ สูก่ ารปฏิบัตงิ านตามปกติ เปน็ ตน้ 3.11.1.2 การปฏิบัติเพ่ือเตรียมการสร้างความต่อเน่ืองด้านความมั่นคงปลอดภัยสารสนเทศ (Implement information security continuity) ๑) ศอ.ปส.สธ. ต้องจัดต้ัง ISS (บริหารจัดการแผนสร้างความต่อเนื่องให้กับธุรกิจ) ของระบบ เทคโนโลยสี ารสนเทศ ๒) ISS (บริหารจัดการแผนสร้างความต่อเน่ืองให้กับธุรกิจ) ต้องจัดทาแผนรองรับ เหตุการณ์ ฉุกเฉินของระบบ เทคโนโลยีสารสนเทศ ท่ีเป็นลายลักษณ์อักษร และปรับ ปรุงแก้ไขให้ ทันสมัยอยู่เสมอ รวมถึงการจัดให้มีการทดสอบ แผนอย่างน้อยปีละ 1 ครั้ง โดยปฏิบัติตาม

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 108 ศอ.ปส.สธ. ชนั้ ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 เอกสาร ระเบยี บปฏบิ ตั ิ เร่ือง การจัดทาแผนการบริหารความต่อเนอ่ื งใหก้ ับ ธรุ กิจ (Business Continuity Plans Development and Execution Procedure) (P-IT-BC-01) 3.11.1.3 การตรวจสอบ ทบทวน และการประเมินความต่อเน่ืองด้านความมั่นคงปลอดภัย สารสนเทศ (Verify, review and evaluate information security continuity) ๑) ISS (บริหารจัดการแผนสร้างความต่อเนื่องให้กับธุรกิจ) ต้องกาหนดเวลาการทดสอบแผน กาหนดการ ทดสอบแผนฉุกเฉินท่ีชัดเจน รวมถึงกาหนดระยะเวลาท่ีใช้ในการทดสอบตั้งแต่ เรมิ่ ต้น จนสิ้นสดุ กระบวนการทดสอบ ๒) ISS (บริหารจัดการแผนสร้างความต่อเน่ืองให้กับธุรกิจ) ต้องกาหนดเหตุการณ์จาลองที่จะใช้ ทดสอบและ รายละเอียด ในการกาหนดรายละเอียดของเหตุการณ์จาลอง ควรระบุ วัตถุประสงค์ ขอบเขตของระบบงาน หรอื กระบวนการทางานทีเ่ กี่ยวข้องกบั การทดสอบแผน ทั้งหมด รวมถึงการกาหนดข้นั ตอนการทดสอบแผนฉกุ เฉนิ ๓) ISS (บริหารจัดการแผนสร้างความต่อเน่ืองให้กับธุรกิจ) ต้องกาหนดทรัพยากรต่างๆ ท่ีใช้ใน การทดสอบแผน ฉุกเฉิน กาหนดผู้รับผิดชอบที่จะทาหน้าที่ควบคุม ประสานงาน และ รบั ผิดชอบในการจัดการทดสอบแผนฉุกเฉิน รวมถึงสถานท่ี และอปุ กรณ์เครื่องมือตา่ งๆ และ งบประมาณท่ตี อ้ งใช้ดว้ ย ๔) ISS (บริหารจัดการแผนสร้างความต่อเน่ืองให้กับธุรกิจ) ต้องกาหนดแผนงาน แนวทาง และ ระยะเวลาในการ ทบทวนและปรับปรุงแผนอย่างชัดเจน เพ่ือให้แผนน้ันมีความทันสมัย และ เหมาะสมกบั สถานการณ์ปจั จุบัน 3.11.2การเตรยี มอุปกรณ์ประมวลผลสารอง (Redundancies) วตั ถปุ ระสงค์: เพอ่ื จดั เตรยี มสภาพความพรอ้ มใช้งานของอุปกรณป์ ระมวลผลสารสนเทศ นโยบาย 3.11.2.1 สภาพความพร้อมใช้งานของอุปกรณ์ประมวลผลสารสนทศ (Availability of information processing facilities) อุปกรณ์ประมวลผลสารสนเทศต้องมีการเตรียมการสารองไว้อย่างเพียงพอ เพื่อให้ตรงตามความต้องการ ดา้ น สภาพความพร้อมใช้ท่ีกาหนด

การบริหารจัดการระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 109 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 ระเบียบปฏิบัติงานสาหรับผู้ดูแลระบบข้อมูลการบาบัดรักษาและฟ้ืนฟูผู้ติดยาเสพ ตดิ ของประเทศ (บสต.) ผู้รบั ผิดชอบ : ผู้ดูแลส่วนกลาง 1. หา้ มสรา้ ง แกไ้ ข เปลย่ี นแปลง ขอ้ มลู ผู้ใช้งานระบบ บสต. หรอื ต้งั ค่ารหสั ผา่ นใหม่ ใหแ้ กผ่ ูใ้ ช้งานท่ี ร้องขอผ่านทาง โทรศัพท์ ไลน์ หรือ อีเมล การแก้ไขข้อมูลต้องมีหนังสือจากหน่วยงาน และได้รับ การอนุมัตจิ าก ศอ.ปส.สธ. เทา่ น้นั 2. การเข้าถึงข้อมูลผู้ป่วยทาได้เมื่อจาเป็นต่อการทางาน หรือเพื่อช่วยผู้ใช้งานแก้ไขปัญหาในการ ทางานเทา่ นนั้ ห้ามเขา้ ถึงขอ้ มูลผ้ปู ว่ ยโดยไม่จาเปน็ หรือไม่มเี หตุอันควร 3. การสร้างหน่วยงานบาบัดในระบบ บสต. ต้องได้รับหนังสืออนุมัติจากหน่วยงานต้นสังกัด และ อนุมตั จิ าก ศอ.ปส.สธ. จงึ สามารถดาเนนิ การได้ ผู้รับผิดชอบ : ผู้ดแู ลระบบระดบั ศอ.ปส.จ./ศอ.ปส.กทม./ศป.ปส.อ./ศอ.ปส.เขต 1. กาหนดให้มีการลงทะเบียนสาหรับผู้ใช้งานใหม่ตาม “แบบฟอร์มสาหรับลงทะเบียน ผู้ใช้งาน” และกาหนดสิทธิของผู้ใชง้ านตามท่ีระบุไว้ในแบบฟอร์ม แต่ควรให้สิทธิความ จาเป็นในการใช้งาน เทา่ น้ัน 2. ให้ทาการทบทวนบัญชีผู้ใช้งานและสิทธิของผู้ใช้งานในหน่วยงานท่ีรับผิดชอบ อย่างน้อยปีละ 1 ครง้ั และใหท้ าบันทกึ การทบทวนดังกลา่ ว และจัดเกบ็ ไวเ้ พื่อใชใ้ นการตรวจสอบในภายหลงั 3. ใหบ้ ันทกึ ขอ้ มลู ผู้ใชง้ านให้ถูกต้องครบถ้วนตามความเป็นจริง 4. ถอดถอนสิทธิของผู้ท่ีลาออกหรือย้ายหน่วยงานออกจากระบบบสต. ทั้งหมดโดยทันทีที่ได้รับแจ้ง จากหนว่ ยงานทสี่ งั กดั

การบริหารจดั การระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 110 ศอ.ปส.สธ. ช้นั ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 รปู ท่ี 1 แบบฟอร์มผ้ขู อใชบ้ ริการระบบข้อมลู การบาบดั รักษาและฟ้ืนฟผู ู้ติดยาเสพตดิ ของประเทศ (บสต.) สาหรบั ศอ.ปส.จ./ศอ.ปส.กทม./ศป.ปส.อ./ศอ.ปส.เขต

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 111 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 รูปท่ี 2 แบบฟอร์มผขู้ อใชบ้ ริการระบบขอ้ มลู การบาบัดรักษาและฟนื้ ฟผู ตู้ ิดยาเสพตดิ ของประเทศ (บสต.) สาหรบั สสจ./สสอ./รพ./รพ.สต.

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เรมิ่ ใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 112 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 รูปที่ 3 แบบฟอร์มผขู้ อใช้บรกิ ารระบบขอ้ มลู การบาบัดรักษาและฟ้ืนฟผู ตู้ ิดยาเสพตดิ ของประเทศ (บสต.) สาหรบั กรมคมุ ประพฤติ

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 113 ศอ.ปส.สธ. ช้ันความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 รูปที่ 4 แบบฟอร์มผ้ขู อใช้บรกิ ารระบบข้อมลู การบาบัดรักษาและฟนื้ ฟผู ้ตู ิดยาเสพติดของประเทศ (บสต.) สาหรับ กรมราชทณั ฑ์

การบริหารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศนู ยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 114 ศอ.ปส.สธ. ช้นั ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 รูปที่ 5 แบบฟอร์มผู้ขอใชบ้ รกิ ารระบบข้อมูลการบาบัดรักษาและฟน้ื ฟูผู้ติดยาเสพติดของประเทศ (บสต.) สาหรับ กรมพนิ ิจและคมุ้ ครองเดก็ และเยาวชน

การบริหารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 115 ศอ.ปส.สธ. ชน้ั ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 ผู้รบั ผิดชอบ : เจา้ หน้าทที่ ง้ั หมดของผใู้ ช้งานระบบ บสต. 1. เก็บรกั ษารหัสผ่านของตนเองไว้เป็นความลับ หา้ มเปดิ เผยตอ่ ผูอ้ ื่น 2. กาหนดรหัสผ่านให้มีคณุ สมบัติ ตามระเบียบปฏิบัติสาหรบั การตง้ั รหัสผ่าน 3. กาหนดรหสั ผา่ นสาหรบั การใช้ไฟล์ขอ้ มลู รว่ มกนั บนเครอื ขา่ ย 4. ห้ามบันทึกรหัสผ่านไว้ในโปรแกรมคอมพิวเตอร์เพ่ือช่วยในการจารหัสผ่านของตน (เช่น ใน โปรแกรมเวบ็ บราวเซอร์จะสามารถเลือกให้โปรแกรมชว่ ยจารหัสผ่านไว้ให้) 5. ตอ้ งไมจ่ ดหรือบันทึกรหสั ผา่ นไว้ในสถานท่ที ง่ี ่ายต่อการสงั เกตเหน็ โดยบคุ คลอ่ืน 6. กาหนดรหัสผา่ นให้มคี วามยาวไมน่ อ้ ยกวา่ 6 ตัวอักษร 7. กาหนดรหัสผ่านให้มีการผสมผสานกันระหว่างตัวอักษรท่ีเป็นตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และสญั ลักษณเ์ ขา้ ดว้ ยกนั 8. ไม่กาหนดรหัสผ่านจากคาท่ีคาดเดาง่าย เช่น ช่ือ เบอร์โทร หรือคาศัพท์ท่ัวไปที่ปรากฎใน พจนานุกรม 9. กาหนดใหม้ กี ารเปลย่ี นรหัสผา่ นทกุ ๆ 6 เดอื น 10.ประวตั ิผู้ป่วย เปน็ ทรพั ย์สนิ ของโรงพยาบาล สถานบริการและหนว่ ยงานตน้ สงั กดั 11.ข้อมูลประวัติผู้ป่วยเป็นข้อมูลส่วนบุคคลและเป็นความลับ ห้ามเผยแพร่กับบุคคลอ่ืนโดยไม่ได้รับ อนุญาตอย่างถูกต้องตามกฎหมาย 12.การเปิดเผยข้อมูลประวัติผู้ป่วยของหน่วยบริการจึงต้องมีความระมัดระวังอย่างยิ่งเพราะอาจไม่ ถูกตอ้ งตามกฎหมายท่เี กี่ยวข้อง เช่น พระราชบญั ญตั ิข้อมูลข่าวสารของทางราชการ พ.ศ. ๒๕๔๐ พระราชบัญญัติสุขภาพแห่งชาติ พ.ศ. ๒๕๕๐ เป็นต้น และเจ้าหน้าท่ีผู้ปฏิบัติงานอาจมีความผิด ทงั้ ทางแพ่ง อาญา และทางวนิ ยั

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 116 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 ระเบียบปฏิบัติสาหรบั ผู้ใช้ระบบสารสนเทศภายในศนู ย์ ผู้รบั ผิดชอบ : เจา้ หน้าท่ีทง้ั หมดทใ่ี ชง้ านภายในศูนย์ ศอ.ปส.สธ. 1. ปิดเคร่ืองคอมพิวเตอร์ส่วนบุคคลที่ตนเองครอบครองใช้งานอยู่เม่ือใช้งานประจาวันเสร็จส้ินหรือ เมอ่ื มกี ารยตุ ิการใช้งานเกินกว่า 3 ชั่วโมง 2. ทาการต้ังค่า Screen Saver ของเครื่องคอมพิวเตอร์ท่ีตนเองรับผิดชอบให้มีการล็อกหน้าจอ หลังจากท่ีไมไ่ ตใ้ ช้งานเกนิ กว่า 15 นาที 3. ใหอ้ อกจากระบบงานโดยทนั ทีทใี่ ช้งานเสรจ็ 4. เกบ็ รักษารหัสผ่านของตนเองไวเ้ ป็นความลับ ห้ามเปดิ เผยตอ่ ผอู้ นื่ 5. กาหนดรหสั ผา่ นใหม้ ีคุณสมบัติ ตามระเบยี บปฏิบตั สิ าหรบั การตั้งรหสั ผา่ น 6. ห้ามบันทึกรหัสผ่านไว้ในโปรแกรมคอมพิวเตอร์เพ่ือช่วยในการจารหัสผ่านของตน (เช่น ใน โปรแกรมเวบ็ บราวเซอรจ์ ะสามารถเลือกให้โปรแกรมช่วยจารหสั ผา่ นไวใ้ ห้) 7. ต้องไมจ่ ดหรือบันทึกรหัสผา่ นไว้ในสถานท่ีทง่ี า่ ยต่อการสังเกตเห็นโดยบุคคลอน่ื 8. กาหนดรหสั ผา่ นใหม้ คี วามยาวไม่น้อยกว่า 6 ตัวอักษร 9. กาหนดรหัสผ่านให้มีการผสมผสานกันระหว่างตัวอักษรที่เป็นตัวพิมพ์เล็ก ตัวพิมพ์ใหญ่ ตัวเลข และสัญลกั ษณ์เขา้ ดว้ ยกนั 10.ไม่กาหนดรหัสผ่านจาก ข้อมูล หรือคาศัพท์ที่คาดเดาได้ง่าย เช่น ช่ือ หรือเบอร์โทรศัพท์ หรือ คาศัพทท์ ว่ั ไปทป่ี รากฏอยใู่ นพจนานุกรม 11.กาหนดใหม้ ีการเปลี่ยนรหสั ผา่ นทุก ๆ 6 เดอื น 12.ห้ามทาการดาวน์โหลด หรอื สง่ ไฟลป์ ระเภทสอ่ื ลามก อนาจาร 13.ห้ามเลน่ เกมส์ ดภู าพยนตร์ หรือฟังเพลง ผ่านทางอนิ เทอรเ์ นต็ ในเวลาทางาน 14.หา้ มเข้าเวบ็ ไซต์ทีอ่ ยใู่ นประเภทดังตอ่ ไปนี้ - การพนัน - วพิ ากษ์วิจารณ์ท่เี กี่ยวขอ้ งกบั ชาติ ศาสนา และ พระมหากษตั ริย์ - ลามก อนาจาร - อ่ืน ๆ ท่ีเกยี่ วขอ้ งกับส่ิงผิดกฎหมาย ผิดศลี ธรรม หรือผดิ จริยธรรม 15.ห้ามใช้งานข้อมูลที่ได้รับโดยผ่านทางอินเทอร์เน็ต ท่ีมีลักษณะเป็นการละเมิดลิขสิทธ์ิของผู้เป็น เจา้ ของขอ้ มลู นน้ั 16.หา้ มใช้อนิ เทอร์เน็ต เพ่ือสง่ กระจาย หรอื แจกจ่าย ดงั ตอ่ ไปนี้ -ขอ้ มลู ส่วนบุคคลโดยไม่ไดร้ บั อนุญาต -ขอ้ มลู ทีเ่ ปน็ ความลบั ขององคก์ รไปยงั บุคคลที่ไม่ไต้รบั อนุญาต 17.ห้ามใช้อนิ เทอร์เน็ตเพื่อเข้ารว่ มกิจกรรมท่ีก่อใหเ้ กิดความเสียหายต่อภาพลักษณ์และชื่อเสยี ง ของ องคก์ ร 18.ห้ามติดต้ังโปรแกรมคอมพิวเตอร์ท่ีมีลักษณะเป็นการละเมิดสิทธิ์สินทรัพย์สินทางปัญญาของ บุคคลอ่ืน

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 117 ศอ.ปส.สธ. ช้ันความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 19.ระมัดระวังการใช้งานเอกสารหรือข้อมูล ต่าง ๆ ซ่ึงอยู่ในรูปแบบใดก็ตาม และได้มีการกาหนด เงื่อนไขการใช้งานเอาไว้ ต้องปฏิบัติตามเง่ือนไขดังกล่าวอย่างเคร่งครดั เพ่ือไม่ให้เป็นการ ละเมิด ทรัพยส์ นิ ทางปญั ญาของบคุ คลอืน่ ผลการดาเนินงานด้านระเบยี บความปลอดภัย 3.14.1 การประกาศใช้ระเบียบสาหรับผู้ใช้ระบบสารสนเทศภายในศูนยศ์ อ.ปส.สธ. รปู ที่ 8 การแจง้ ระเบียบปฏิบตั ิภายในศูนย์

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 118 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 รูปที่ 9 การแจง้ ระเบยี บปฏิบตั ิภายในศนู ย์

การบริหารจดั การระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 119 ศอ.ปส.สธ. ชน้ั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 รูปท่ี 10 การประกาศแจ้งระเบยี บปฏิบตั ิภายในศูนย์ฯ

การบริหารจัดการระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 120 ศอ.ปส.สธ. ชั้นความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 รูปท่ี 11 การประกาศแจง้ ระเบยี บปฏบิ ตั ิภายในศูนย์

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ที่ 121 ศอ.ปส.สธ. ชน้ั ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.14.2การประชาสมั พนั ธ์ มกี ารจดั อบรมเรือ่ งระเบียบสาหรับผ้ใุ ชร้ ะบบสารสนเทศภายในศูนย์ ศอ.ปส.สธ. ในวนั ที่ 16/7/2563 รปู ท่ี 12 ภาพการอบรมภายในศูยน์ มีผ้เู ข้าร่วมทัง้ หมด 11 ท่านจากเจ้าหน้าที่ท้งั หมด 14 ทา่ น คิดเปน็ 78.5 % รปู ที่ 13 ประกาศประชาสมั พันธ์ภายในศูนย์

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 122 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 3.14.3 การประเมินผล การประเมินผลความเขา้ ใจผใู้ ช้งานภายในศอ.ปส.สธ. มีการตรวจสอบดังนี้ 1. แบบสอบถาม แบง่ ออกเป็น 3 ประเภทการประเมิน ดังน้ี ๑.๑ ประเมินความรบั รู้ ๑.๒ ประเมนิ ความเข้าใจ ๑.๓ ประเมนิ การปฏิบัตติ ามระเบียบ รปู ท่ี 14 แบบประเมินความรับรู้ในระเบียบปฏบิ ตั ิการใช้งานเทคโนโลยสี ารสนเทศของพนักงาน ภายในศนู ย์ ศอ.ปส.สธ.

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 123 ศอ.ปส.สธ. ชน้ั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 รูปที่ 15 แบบประเมนิ เข้าใจในระเบยี บปฏิบัตกิ ารใชง้ านเทคโนโลยีสารสนเทศของพนักงาน ภายในศูนย์ ศอ.ปส.สธ.

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 124 ศอ.ปส.สธ. ชน้ั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 รูปที่ 16 แบบประเมนิ เข้าใจในระเบยี บปฏิบัตกิ ารใชง้ านเทคโนโลยีสารสนเทศของพนักงาน ภายในศูนย์ ศอ.ปส.สธ.

การบริหารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 125 ศอ.ปส.สธ. ชัน้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ผลการประเมนิ โดยแบบสอบถาม - ประเมนิ โดยใหพ้ นักงานทาแบบทดสอบ จานวน 19 ขอ้ - จานวนผู้ทาแบบทดสอบ 12 จาก 12 คน คะแนน (เตม็ 19 คะแนน) ร้/ู ไม่รู้ เขา้ ใจ/ไม่เข้าใจ ปฏบิ ตั ิตามระเบียบ / ไม่ปฏบิ ตั ิตามระเบียบ ชลอวัฒน์ อนิ ปา 19 19 19 อุบล ศรปี ระเสริฐ ชดิ ชนก หวอ่ งสวุ รรณ 19 19 19 ธชั ชนก ดารงวัฒน กษมา ปรไชย 19 19 19 เลิศฤทธิ์ อัครนี โรมศรี 19 19 19 สรุ ัฐนี หวลไหม สพุ ัตรา เศรษฐะ 19 19 19 ปราณี นุชพงษ์ ปุญญิสา สยามล 18 19 19 ชลภชั ร ลนั สุชพี 18 18 19 19 19 17 19 19 19 19 19 19 19 19 19 19 19 16 ประเมินโดยใหพ้ นักงานทาแบบทดสอบ จานวน 19 ข้อ จานวนผ้ทู าแบบทดสอบ 12 จาก 12 คน ผลการประเมินได้คะแนนเฉลย่ี ในแตล่ ะด้าน ดงั นี้ ๑. ประเมนิ ความรับรู้ คะแนนเฉล่ยี 18.8 ๒. ประเมนิ ความเขา้ ใจ คะแนนเฉลีย่ 18.9 ๓. ประเมินการปฏิบัตติ ามระเบยี บ คะแนนเฉลย่ี 18.5

การบริหารจดั การระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 126 ศอ.ปส.สธ. ชั้นความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 4 กระบวนการใหบ้ ริการด้านเทคโนโลยสี ารสนเทศ วตั ถุประสงค์ 1. เพื่อให้ระบบข้อมูลการบาบัดรักษาและฟื้นฟูผู้ติดยาเสพติดของประเทศ สามารถให้บริการได้ อยา่ งมปี ระสิทธิภาพและต่อเนือ่ ง 2. เพ่อื ให้โปรแกรมคอมพิวเตอร์ท่ีใช้ในโครงการได้รบั การตรวจสอบแก้ไขปัญหาให้สามารถใช้งานได้ ตามปกติ 3. เพือ่ ใหห้ น่วยงานสังกดั กระทรวงสาธารณสุขและหนว่ ยงานภาคีได้รับคาปรึกษาเก่ียวกบั การใช้งาน ระบบสารสนเทศของ ศอ.ปส.สธ. ขอบเขต คมู่ ือการปฏิบัตงิ านนค้ี รอบคลมุ ข้ันตอนการบริการดา้ นระบบคอมพวิ เตอร์และเครือขา่ ย 1. การให้บรกิ ารข้อตกลงระดับการใหบ้ รกิ าร Service Level Agreement (SLA) 2. แผนการดาเนินงานศูนยบ์ รกิ ารให้คาปรึกษาแนะนาและแก้ไขปญั หาทางด้านเทคนิค 3. รายงานตดิ ตามตวั ชี้วดั ประเมินผล คาจากดั ความ 1. มาตรฐาน คือ สิ่งที่เอาเป็นเกณฑ์สาหรับเทียบกาหนด ท้ังในด้านปริมาณ และคุณภาพ (พจนานุกรมฉบับราชบณั ฑิตยสถาน พ.ศ. ๒๕๔๒) 2. มาตรฐานการปฏบิ ตั ิงาน (Performance Standard) เป็นผลการปฏบิ ัติงานในระดับใดระดับหน่ึง ซ่ึงถือว่าเป็นเกณฑ์ที่น่าพอใจหรืออยู่ในระดับที่ผู้ปฏิบัติงานส่วนใหญ่ทาได้ โดยจะมีกรอบในการ พิจารณากาหนดมาตรฐานหลาย ๆ ด้าน อาทิ ด้านปริมาณ คุณภาพ ระยะเวลา ค่าใช้จ่าย หรือ พฤตกิ รรมของผปู้ ฏบิ ัตงิ าน 3. IT Help Desk =ศูนย์บริการให้ความช่วยเหลือและแก้ไขปัญหาด้านระบบคอมพิวเตอร์และ เครอื ข่าย 4. ผู้รับบริการ = เจ้าหน้าที่ใช้งานระบบสารสนเทศของศูนย์อานวยการป้องกันและปราบปรามยา เสพติด กระทรวงสาธารณสขุ 5. เจ้าหน้าท่ีเวรรับแจ้ง= เจ้าหน้าท่ีผู้ประสานงานด้านการให้ความช่วยเหลือทางโทรศัพท์ Cell Center 6. เจา้ หน้าทเี่ วรหนา้ งาน=เจา้ หน้าท่ีรบั ผดิ ชอบบรกิ ารหนา้ งานเพื่อช่วยเหลอื แกไ้ ขปญั หา 7. SLA (Service Level Agreement) = ข้อตกลงเพ่ือรับประกันการบริการระหว่างผู้ให้บริการกับ ผู้รับบริการ เพื่อเพิ่มความมั่นใจแก่ผู้รับบรกิ ารว่าเจ้าหน้าที่จะสามารถให้บริการได้ตามระยะเวลา แต่ละกระบวนงานท่กี าหนดไว้ ไม่ถือเปน็ ขอ้ ผกู พนั อาจมีการเปลีย่ นแปลงได้ 8. ใบเสนอ/ส่งซ่อม/ติดต้ัง = แบบบันทึกการรับแจ้งขอความช่วยเหลือและแก้ไขปัญหาด้านระบบ คอมพวิ เตอรแ์ ละเครือข่าย

การบริหารจัดการระบบข้อมูลและสารสนเทศ เรมิ่ ใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 127 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 คุณสมบตั แิ ละประสบการณข์ องบคุ ลากร 1. หวั หนา้ กลุ่มงานขอ้ มลู และสารสนเทศ ตาแหน่ง นกั วิชาการสาธารณสุขชานาญการ จานวน 1 คน - พัฒนาระบบสาระสนเทศด้านการบาบดั รกั ษาและลดอันตรายจากยาและสารเสพตดิ - วเิ คราะห์ขอ้ มลู ดา้ นยาเสพตดิ ของประเทศไทย - พัฒนาบุคคลากรด้านข้อมูลสารสนเทศ (งานบสต. เว็บไซต์ ส่ือประชาสัมพันธ์ รายงาน ประจาปี ทะเบยี นกาลงั พลผู้ปฏิบตั งิ านด้านยาเสพตดิ ) 2. เจ้าหน้าที่ผู้ดูแลระบบ เพ่ือทาหน้าท่ีดาเนินแก้ไขปัญหาเชิงวิศวกรรมระบบโครงสร้าง ทั้ง ซอฟต์แวรแ์ ละอุปกรณ์ (Hardware) ของระบบขอ้ มูลการบาบดั รักษาและฟ้ืนฟูผตู้ ิดยาเสพติดของ ประเทศ (บสต.) เพื่อทาหน้าที่แก้ไข/ปรับปรุงข้อผิดพลาดของระบบ รวมถึงดาเนินการติดต่อกับ หน่วยงานที่เก่ียวข้อง ในการแก้ไขปัญหาที่เกิดข้ึน ตลอดระยะเวลาในสัญญาจ้าง จานวนไม่น้อย กวา่ ๑ คน ตอ้ งมีคุณสมบตั ิดังน้ี - วุฒิการศึกษา ระดับปริญญาตรีสาขาวิศวกรรมศาสตร์ วิทยาศาสตร์คอมพิวเตอร์ หรือ สาขาทีเ่ ก่ยี วขอ้ งกับระบบสารสนเทศ - มีประสบการณ์ทางาน ไมน่ ้อยกว่า ๓ ปี - ต้องเป็นผู้ที่เคยพัฒนาระบบข้อมูลการบาบัดรักษาและฟ้ืนฟูผู้ติดยาเสพติด ในระดับเขต เปน็ อย่างน้อย 3. เจ้าหน้าที่ด้านเทคนิค เพื่อทาหน้าท่ีแก้ไขปัญหาท่ีเกี่ยวข้องกับการทางานท่ัวไปของระบบให้ คาปรึกษาวิธีการใช้งานระบบ และแนววิธีปฏิบัติในการใช้งานระบบ และแจ้งปัญหาทางเทคนิค ให้กับผู้เกยี่ วข้อง เพอ่ื ดาเนนิ การแก้ไขต่อไป ตลอดถึงการติดตามสถานะในการแก้ไขปัญหาตา่ ง ๆ ใหเ้ ปน็ ไปตามข้อกาหนด จานวนไม่น้อยกว่า ๒ คน ตอ้ งมคี ณุ สมบตั ิดงั น้ี - วุฒิการศึกษา ระดับปริญญาตรีสาขาวิศวกรรมศาสตร์ วิทยาศาสตร์คอมพิวเตอร์ หรือ สาขาทีเ่ ก่ยี วขอ้ งกบั ระบบสารสนเทศ - มีประสบการณท์ างาน ไมน่ ้อยกวา่ ๑ ปี 4. ผเู้ ช่ียวชาญด้านระบบการวิเคราะห์ เพอื่ ทาหนา้ ทด่ี าเนินการวิเคราะหป์ ัญหาเชิงลึก หาสาเหตขุ อง ปัญหา และแก้ไขปัญหาเชิงวิศวกรรมระบบโครงสร้างทั้งซอฟท์แวร์และอุปกรณ์ (Hardware) สามารถวิเคราะห์โครงสร้างข้อมูลและผลกระทบของการปรับเปล่ียนโครงสร้างข้อมูล จานวนไม่ น้อยกวา่ ๑ คน - วุฒิการศึกษา ระดับปริญญาตรีสาขาวิศวกรรมศาสตร์ วิทยาศาสตร์คอมพิวเตอร์ หรือ สาขาทเี่ กย่ี วข้องกบั ระบบสารสนเทศ - มปี ระสบการณท์ างาน ไมน่ ้อยกวา่ ๕ ปี

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศนู ยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 128 ศอ.ปส.สธ. ช้ันความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 หนา้ ทค่ี วามรบั ผดิ ชอบ การบารุงรักษา แก้ไขปัญหาและแก้ไขปัญหาระบบข้อมูลการบาบัดรักษาและฟ้ืนฟูผู้ติดยาเสพติดของ ประเทศ (บสต.) 1. ดูแลรักษาระบบการเชื่อมต่อระหว่างระบบข้อมูลการบาบัดรักษาและฟ้ืนฟูผู้ติดยาเสพติดของ ประเทศ (บสต.) และระบบสารสนเทศกรมคุมประพฤติ ให้สามารถรับ-ส่งข้อมูลกันได้อย่าง ถูกต้อง พร้อมตรวจสอบ ความถูกต้องและแก้ไขปัญหาข้อมูลที่ผิดพลาด และประสานงานกับ กรมคุมประพฤติเพ่อื แก้ไขขอ้ มลู ให้ถกู ต้อง 2. กรณีระบบทะเบียนราษฎร์ของกรมการปกครองมีการแก้ไขเปล่ียนแปลงการเชื่อมต่อ เจ้าหน้าที่ ตอ้ งปรบั ปรงุ โปรแกรมการเชื่อมต่อกบั ฐานข้อมลู ทะเบียนราษฎร์ทเี่ คร่ืองคอมพวิ เตอร์แม่ข่าย ให้ เข้ากับระบบของทะเบียนราษฎร์อยู่เสมอ เพื่อให้ระบบข้อมูลการบาบัดรักษาและฟื้นฟูผู้ติดยา เสพตดิ ของประเทศ (บสต.) ทางานได้เปน็ ปกติ 3. กรณีระบบทะเบียนราษฎร์ของกรมการปกครองมีการแก้ไขเปล่ียนแปลงโปรแกรมการอ่านบัตร ประชาชน เจ้าหน้าท่ีต้องปรับปรุงโปรแกรมการอ่านบัตรประชาชน เพ่ือให้ผู้ใช้งานท่ัวประเทศ สามารถค้นหาขอ้ มลู จากระบบทะเบียนราษฎร์ได้ 4. ดูแลและแก้ไขปัญหาการส่งข้อมูลจากระบบข้อมูลการบาบัดรักษาและฟื้นฟูผู้ติดยาเสพติดของ ประเทศ (บสต.) มายงั ระบบวเิ คราะห์ข้อมูลการบาบดั รักษาและฟน้ื ฟผู ู้ตดิ ยาเสพติดของประเทศ พรอ้ มตรวจสอบความถกู ตอ้ งและแก้ไขปัญหาข้อมูลที่ผดิ พลาด 5. ดูแลและแก้ไขปัญหาของโปรแกรมลงทะเบียน คัดกรองผู้เข้ารับการบาบัดจากหน่วยงานต่าง ๆ ทว่ั ประเทศ ดังนี้ - สานักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด (ป.ป.ส.) และหน่วยงานใน สงั กดั - โรงพยาบาล กระทรวงสาธารณสุขและสถานพยาบาล สังกัดกระทรวงสาธารณสุข กระทรวงกลาโหม และกรุงเทพมหานคร - ศูนย์ปฏิบัติการป้องกันและปราบปรามยาเสพติดอาเภอ (ศป.ปส.อ.) สังกัด กระทรวงมหาดไทย และศูนย์ปฏิบัติการป้องกันและปราบปรามยาเสพติดเขต (ศป.ปส. เขต.) สังกดั กรุงเทพมหานคร - เรือนจาและทัณฑสถาน กรมราชทณั ฑ์ - สถานพินิจและคุ้มครองเด็กและเยาวชน และศูนย์ฝึกและอบรมเด็กและเยาวชน กรม พนิ ิจและคมุ้ ครองเด็กและเยาวชน - หนว่ ยงานอ่ืน ๆ ที่ไดร้ บั มอบหมาย 6. ดูแลและแก้ไขปัญหาของโปรแกรมการบาบัดรักษายาเสพติดจากหน่วยงานต่าง ๆ ท่ัวประเทศ ดงั นี้

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 129 ศอ.ปส.สธ. ชน้ั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 - สานักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด (ป.ป.ส.) และหน่วยงานใน สงั กดั - โรงพยาบาล กระทรวงสาธารณสุขและสถานพยาบาล สังกัดกระทรวงสาธารณสุข กระทรวงกลาโหม และกรุงเทพมหานคร - ศูนย์ปฏิบัติการป้องกันและปราบปรามยาเสพติดอา เภอ (ศป.ปส.อ.) สังกัด กระทรวงมหาดไทย และศูนย์ปฏิบัติการป้องกันและปราบปรามยาเสพติดเขต (ศป.ปส. เขต) สงั กดั กรงุ เทพมหานคร - เรอื นจาและทณั ฑสถาน กรมราชทณั ฑ์ - สถานพินิจและคุ้มครองเด็กและเยาวชน และศูนย์ฝึกและอบรมเด็กและเยาวชน กรม พนิ จิ และคุ้มครองเดก็ และเยาวชน - หนว่ ยงานอื่น ๆ ที่ไดร้ ับมอบหมาย 7. ดูแลและแก้ไขปัญหาของโปรแกรมการติดตามและฟื้นฟูผู้ติดยาเสพติดจากหน่วยงานต่าง ๆ ท่ัว ประเทศ ดังนี้ - สานักงานคณะกรรมการป้องกันและปราบปรามยาเสพติด (ป.ป.ส.) และหน่วยงานใน สังกดั - โรงพยาบาล กระทรวงสาธารณสุขและสถานพยาบาล สังกัดกระทรวงสาธารณสุข กระทรวงกลาโหม และกรุงเทพมหานคร - ศูนย์ปฏิบัติการป้องกันและปราบปรามยาเสพติดอา เภอ (ศป.ปส.อ.) สังกัด กระทรวงมหาดไทย และศูนย์ปฏิบัติการป้องกันและปราบปรามยาเสพติดเขต (ศป.ปส. เขต) สังกัดกรุงเทพมหานคร - เรือนจาและทัณฑสถาน กรมราชทณั ฑ์ - สถานพินิจและคุ้มครองเด็กและเยาวชน และศูนย์ฝึกและอบรมเด็กและเยาวชน กรม พินิจและคมุ้ ครองเด็กและเยาวชน - หนว่ ยงานอน่ื ๆ ท่ไี ดร้ ับมอบหมาย 8. ดูแลและแกไ้ ขปญั หาของโปรแกรมการช่วยเหลอื จากหน่วยงานต่าง ๆ ทวั่ ประเทศ ดังนี้ - สานักงานป.ป.ส.และหนว่ ยงานในสังกดั - โรงพยาบาล กระทรวงสาธารณสุขและสถานพยาบาล สังกัดกระทรวงสาธารณสุข กระทรวงกลาโหม และกรุงเทพมหานคร - ศอ.ปส.จ./ศป.ปส.อ. สังกัดกระทรวงมหาดไทย และ ศอ.ปส.กทม./ศป.ปส.เขต สังกัด กรุงเทพมหานคร - เรือนจาและทัณฑสถาน กรมราชทณั ฑ์ - สถานพินิจและคุ้มครองเด็กและเยาวชน และศูนย์ฝึกและอบรมเด็กและเยาวชน กรม พนิ ิจและค้มุ ครองเด็กและเยาวชน - หนว่ ยงานอื่น ๆ ที่ได้รับมอบหมาย

การบริหารจดั การระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 130 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 9. รับข้อร้องเรียนจากผู้ใช้งานในด้านการปฏิบัติงานและการทางาน และดาเนินแก้ปัญหาการ ทางาน หรือประสานงานกบั ผูเ้ กย่ี วข้องเพ่ือแก้ไขปญั หาของผู้ใช้งานจากทวั่ ประเทศ ผ่านช่องทาง ติดต่อที่กาหนดไมต่ า่ กว่า 3 ชอ่ งทาง เช่น โทรศัพท์ อีเมล์ และไลน์ เป็นตน้ 10.รับขอ้ ร้องเรียนจากผใู้ ช้งานในด้านใช้งานระบบ และปญั หาทางเทคนคิ และดาเนนิ แก้ปัญหาด้าน เทคนิค หรอื ประสานงานกบั ผู้เกย่ี วข้องเพือ่ แก้ไขปัญหาของผู้ใชง้ านจากทว่ั ประเทศ ผ่านชอ่ งทาง ติดต่อที่กาหนดไม่ต่ากวา่ 3 ชอ่ งทาง เชน่ โทรศัพท์ อเี มล์ และไลน์ เป็นต้น 11.ตรวจสอบ แก้ปัญหาและปรับปรุงระบบออกรายงานจากฐานข้อมูลของระบบข้อมูลการ บาบัดรกั ษาและฟื้นฟผู ูต้ ิดยาเสพติดของประเทศ (บสต.) ใหข้ ้อมลู มีความถกู ตอ้ ง 12.ตรวจสอบ แก้ปัญหาและปรับปรุงระบบ Workflow ในระบบข้อมูลการบาบัดรักษาและฟื้นฟูผู้ ตดิ ยาเสพติดของประเทศ (บสต.) ให้ทางานได้ดอี ยู่เสมอ 13.ตรวจสอบ แก้ปัญหาและปรับปรุงฐานข้อมูลในระบบข้อมูลการบาบัดรักษาและฟื้นฟูผู้ตดิ ยาเสพ ติดของประเทศ (บสต.) ใหท้ างานได้ดีอยเู่ สมอ 14.ดาเนินการจดั การวางแผนในเรอ่ื งระบบสารองขอ้ มูล และกคู้ ืนข้อมูลในกรณีเกดิ ความเสยี หายกับ ขอ้ มูลที่จดั เกบ็ ในฐานขอ้ มูล 15.รายงานผลการบารุงรักษา การแก้ไขปัญหา และความก้าวหน้าในการพัฒนาระบบข้อมูลการ บาบดั รกั ษาและฟื้นฟูผ้ตู ิดยาเสพติดของประเทศเปน็ ประจาอย่างน้อยเดือนละ 1 ครงั้ 16.รับผิดชอบตรวจสอบปัญหาการใช้งานอุปกรณ์ IT ของ ศอ.ปส.สธ. เช่น เครื่องคอมพิวเตอร์ เคร่ืองพิมพ์ และประสานงานเพ่ือแจ้งซ่อมกับผู้รับประกันอุปกรณ์เหล่านั้น ไม่รวมการแก้ไข ปัญหาเรื่องการใช้งานโปรแกรมประยุกต์ต่าง ๆ บนเคร่ืองคอมพิวเตอร์และอุปกรณ์เคล่ือนท่ี ตา่ ง ๆ

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 131 ศอ.ปส.สธ. ช้ันความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 ข้ันตอนการปฏบิ ัติงาน ขนั้ ตอนการรบั บรกิ ารแจ้งปญั หาขอคาปรกึ ษา 1. แจ้งปัญหา/ขอรับบริการขอความช่วยเหลือผ่านทางโทรศัพท์หมายเลข ๐๒-๕๙๐-๒๔๔๒ หรือ ทาง Line@ ID: @mdf3719h หรอื ทางอีเมล์ e-mail : [email protected] 2. เจ้าหน้าท่ีเวรหน้างานแจ้งสอบสามข้อมูลผู้รับบริการ เช่น ช่ือผู้รับบริการ ชื่อสถานท่ีหน่วยงาน เพ่ือนาไปบนั ทึกลงใบงาน และทาการวเิ คราะห์ปัญหาเบือ้ งตน้ 2.1. หากเจ้าหน้าท่ีเวรหน้างานทาการวิเคราะห์ปัญหา และพบว่าเป็นปัญหาที่สามารถแก้ไขได้ ทันที เจ้าหน้าท่ีเวรหน้างานสามารถแจ้งสาเหตุของปัญหา พร้อมวิธีการดาเนินการแก้ไข ปญั หาให้ผ้รู บั บรกิ ารทราบ 2.2. หากเจ้าหน้าที่เวรหน้างานทาการวิเคราะห์ปัญหา และพบว่าเป็นปัญหาที่ระบบทางาน ผิดพลาด เจ้าหน้าท่ีเวรหน้างานแจ้งเวลาโทรกลับให้ผู้รับบริการทราบ ประสานเจ้าหน้าท่ี ผู้ดูแลระบบหรือผู้เช่ียวชาญให้คาตอบ ทาการแก้ไขระบบเสร็จส้ิน เจ้าหน้าท่ีเวรหน้างาน แจ้งการแกไ้ ขปญั หาใหผ้ ูร้ บั บริการทราบ 3. บันทกึ ลงใบงานและปดิ งาน

การบริหารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 132 ศอ.ปส.สธ. ช้นั ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 4.6.1 Work Flow กระบวนงาน 1. ข้ันตอนการรบั บรกิ ารแจง้ ปัญหาขอคาปรึกษา ลาดบั ผังกระบวนการ เกณฑ์ ผู้รับผิดชอบ ที่ ผรู้ บั บริการ แจง้ ปัญหาขอความ 1 ช่วยเหลอื เจ้าหน้าทีเ่ วรรับแจง้ IT Help Desk 2 วิเคราะห์ปัญหา KPI ตาม ขอ้ ตกลง ระยะเวลา การให้บรกิ าร SLA 3 ดาเนนิ ก (Service Level าร Agreement IT Help Desk 4 เจา้ หน้าที่เวรหน้างานแจง้ ส่งต่อ เจา้ หน้าทเี่ วรหน้างานแจ้ง วิธกี ารแกไ้ ขปัญหา วธิ กี ารแกไ้ ขปัญหา 5 บันทึกลงใบงาน IT Help Desk ผู้เชยี่ วชาญ บันทกึ ลงใบงาน เฉพาะดา้ น บันทกึ ลงใบงาน ผรู้ บั บรกิ าร/ IT Help Desk 6 และปิดงาน จบกระบวนการ รูปท่ี 17 work flow แสดงข้ันตอนการปฏบิ ตั ิงานการให้คาปรกึ ษา 4.6.2 ระยะเวลาร ระยะเวลาในการใหบ้ ริการในการดแู ลบารุงรักษา แกไ้ ขปัญหา ระบบข้อมลู การบาบัดรักษาและฟ้ืนฟู ผู้ตดิ ยาเสพตดิ ของประเทศ ตงั้ แต่เดือน 1 ตุลาคม ๒๕๖2 ถึงเดือน 30 กันยายน ๒๕๖3

การบริหารจดั การระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 133 ศอ.ปส.สธ. ช้ันความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 4.6.3 ช่องทางการใหบ้ รกิ าร วันจันทร์-วันศุกร์ เวลา ๐๘.0๐-20.0๐ น. และกรณีมีปัญหาเร่งด่วน ในวันหยุดราชการและวันหยุด ประจาปขี อง ศอ.ปส.สธ. ให้เจ้าหน้าทเี่ ขา้ มาแก้ไขปญั หา ณ สถานทปี่ ฏบิ ตั งิ าน โทรศพั ทห์ มายเลข 06-1420-8409 ทาง Line@ ID: @mdf3719h ทางอเี มล์ e-mail : [email protected] 4.6.4 ระบบตดิ ตามประเมินผล การรายงานผลคณะเจ้าหน้าท่ีศูนย์บริการให้ความช่วยเหลือและแก้ไขปัญหาด้านระบบคอมพิวเตอร์และ เครือข่ายจะต้องจัดทารายงานสรุปผลการปฏิบัติงานท่ีเก่ียวข้อง ได้แก่ การรับแจ้งปัญหา สาเหตุของ ปัญหา การแก้ไขปัญหา ประเภทของปัญหา ตามความเหมาะสมเป็นรายเดือนและเสนอผู้บังคับบัญชา ทราบทกุ เดือน การติดตามประเมินผลคณะเจ้าหน้าท่ีศูนย์บริการให้ความช่วยเหลือและแก้ไขปัญหาด้านระบบ คอมพิวเตอร์และเครือข่ายจะดาเนินการติดตามประเมินผลจากการสารวจความพึงพอใจในการรับบริการ ใหค้ วามช่วยเหลือและแก้ไขปัญหาดา้ นระบบคอมพวิ เตอร์และเครือข่ายทุก 6 เดือน นโยบายการบริหารจัดการระดับการใหบ้ ริการ (Service Management Policy) 1. ผู้ให้บรกิ ารตอ้ งกาหนดระดบั การให้บริการ โดยบรกิ ารสารสนเทศ (IT Services) ท่ีมีความสาคัญ และบรรจุไวใ้ นบญั ชกี ารให้บรกิ าร (Service Catalog) 2. ผู้ให้บริการต้องทาการทบทวน และปรับปรุงระดับการให้บริการในบญั ชีระดับการใหบ้ ริการตาม ความจาเปน็ 3. ผู้ให้บริการต้องทาการเฝ้าระวังและติดตามการให้บริการสารสนเทศ อย่างสม่าเสมอ หากไม่ เปน็ ไปตามระดบั การให้บริการทก่ี าหนดไวใ้ ห้หาสาเหตุ และดาเนินการ ปรับปรุงหรือแกไ้ ข 4. ผู้ให้บริการตอ้ งปฏบิ ัตติ าม Service Level Agreement ให้อยู่ในระดบั ตามทต่ี กลงไว้ 5. ผู้ให้บริการตอ้ งทาการแจง้ ผลการปฏิบตั ิงานตามใบคารอ้ งเมือ่ ปฏบิ ตั งิ านเสรจ็ สิ้น 6. หากไม่สามารถปฏิบัติงานตามใบคาร้องเสร็จส้ินตามข้อตกลงทางผู้ให้บริการจะต้องทาการแจ้ง ใหผ้ ้ใู ช้บริการทราบตามขอ้ ตกลงในเอกสาร Service Level Agreement 7. ผใู้ ห้บรกิ ารตอ้ งจัดเกบ็ เอกสารตา่ ง ๆ ที่เกี่ยวข้องใหเ้ ปน็ ระเบียบ นิยามศัพท์ Service Desk หรือ IT Help Desk หมายถงึ ศูนย์กลางในการติดต่อ ในการรับแจง้ ปญั หา ทีเ่ กิดขึ้นจาก ผใู้ ช้บริการไอที โดยแจง้ ผา่ นทางโทรศพั ท์ เว็บไซต์ และเปน็ ศูนยก์ ลางในการตดิ ตอ่ สื่อสารและประสานงาน ระหว่างผู้ใช้งานไอที กับ IT Groups และทีมงาน Support เพ่ือทาการแก้ไขปัญหาต่าง ๆ ท่ีเกิดข้ึนให้ สามารถใชง้ านไดเ้ ปน็ ปกตโิ ดยเร็วท่สี ุดเทา่ ท่ีจะเป็นไปได้

การบริหารจดั การระบบข้อมูลและสารสนเทศ เรมิ่ ใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 134 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 Service Level Agreement (SLA) หมายถงึ ขอ้ ตกลงระดบั บริการ ระหว่างผทู้ ีใ่ ห้บรกิ ารกับผ้รู บั บริการ เป็นการระบุเป้าหมายของบริการท่ีสาคัญและหน้าที่รับผิดชอบของท้ังสองฝ่าย เพ่ือเพ่ิมความมั่นใจแก่ ผ้รู บั บรกิ ารวา่ เจ้าหน้าท่ีสามารถให้บริการไดต้ ามระยะเวลาแต่กระบวนงานท่กี าหนดไว้ไม่ถือเป็นข้อผูกพัน อาจเปล่ยี นแปลงได้ ผปู้ ระสานงานดา้ นเทคนคิ หมายถงึ เจา้ หน้าท่ผี ู้ประสานงานด้านความช่วยเหลือและแกป้ ัญหาด้านระบบ คอมพวิ เตอร์และเครือข่ายของศูนย์เทคโนโลยสี ารสนเทศและการสื่อสาร เจา้ หน้าท่ีผ้ปู ฏิบตั ิงาน หมายถึง เจ้าหนา้ ทผี่ รู้ บั มอบหมายใหด้ าเนินการใหค้ วาม ข้อกาหนดระยะเวลาแกไ้ ขปัญหา (Service level agreement: SLA) เจ้าหน้าท่ีจะทาการแก้ไขระบบให้ใช้งานได้ในเวลาที่ทาง ศอ.ปส.สธ. กาหนดตามระดับความสาคัญของ งานดังน้ี ระดับเร่งด่วน เป็นปัญหาขัดข้องท่ีเกิดจากระบบข้อมูลการบาบัดรักษาและฟ้ืนฟูผู้ติดยาเสพติดของ ประเทศ ไม่สามารถใช้งานได้โดยส้ินเชิง หรือไม่สามารถใช้งานไดบ้ างสว่ น ดังนี้ • ความเสียหายท่เี กดิ กบั ระบบฐานขอ้ มูล • โปรแกรมระบบขอ้ มูลการบาบัดรักษาและฟื้นฟูผตู้ ิดยาเสพตดิ ของประเทศขัดข้องใน ระหวา่ งการประมวลผล (Abnormal End) เจ้าหน้าท่ีต้องปรับปรุงแก้ไขให้ใช้งานได้ภายใน 24 ชั่วโมง นับต้ังแต่เวลาที่ได้รับแจ้งจากศอ.ปส.สธ. ยกเว้นในกรณฉี ุกเฉินต้องทาจดหมายชี้แจงเหตุผลความจาเป็นเสนอให้ทาง ศอ.ปส.สธ. ทราบภายใน 3 วัน นับแตไ่ ดร้ บั แจง้ ปัญหา และมแี ผนรองรับการดาเนนิ การเพ่อื ไม่กอ่ ให้เกิดความเสียหายกบั ระบบ โดยขณะท่ี ทาการแกไ้ ขระบบจะยังคงใช้งานต่อไปได้ ระดับปกติ เป็นปัญหาขัดข้องนอกเหนือจากรายการขัดข้องระดับเรง่ ดว่ น เจ้าหนา้ ทต่ี ้องปรบั ปรุงแก้ไข ให้ ใชง้ านได้ภายใน 3 วนั นับตงั้ แตเ่ วลาท่ไี ดร้ ับแจ้งจาก ศอ.ปส.สธ. ข้อตกลงระยะเวลาการให้บริการ SLA (Service Level Agreement) ลาดบั กระบวนงาน ระยะเวลา หมายเหตุ 1 ประกันเวลารับแจ้งปัญหาและเริ่มการแก้ไขใน ภายใน 30 นาที เวลาทาการ