รายงานการบริหารจัดการข้อมูลศอ.ปส.สธ2563

การบริหารจัดการระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 41 ศอ.ปส.สธ. ชั้นความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 - ขโมย - ไวรสั คอมพวิ เตอร์ - กระแสไฟฟ้าขัดข้อง ความเสย่ี ง (Risk) คือความเป็นไปไดห้ รอื โอกาสที่ภัยคุกคามจะเข้ามาสร้างความเสียหายให้กับระบบ โดย จุดอ่อนของระบบจะเพ่ิมโอกาสให้ภัยคุกคามเข้ามาสร้างความเสียหายให้กับระบบเทคโนโลยีสารเทศได้ การจัดการความเส่ียงจึงมีเป้าหมายสาคัญเพื่อลดโอกาสท่ีภัยคุกคามจะเข้ามาสร้างเสียหายให้กับระบบ นั่นเอง ขนั้ ตอนสาคญั ในการจัดการความเส่ียง ข้ันตอนทส่ี าคัญในการจัดการความเสยี่ งประกอบไปด้วยข้ันตอนดังตอ่ ไปนี้ 1. การค้นหาและประเมนิ ความเสี่ยง (Risks Identification and Risks Assessment) 2. การวางแผนกลยุทธ์จัดการความเสย่ี ง (Risk Management Strategic Planning) 3. การดาเนนิ การจัดการความเสย่ี ง (Risk Treatment) การคน้ หาและประเมินความเส่ยี งในระบบเทคโนโลยีสารสนเทศของ ศอ.ปส.สธ. การค้นหาและประเมินความเสี่ยงในระบบเทคโนโลยีสารสนเทศของ ศอ.ปส.สธ. ทาโดยการสารวจระบบ เทคโนโลยีสารสนเทศของ ศอ.ปส.สธ. เพื่อค้นหาจุดอ่อนและภัยคุกคามที่มีโอกาสจะเข้ามาทาความ เสียหายให้กับระบบ แล้วประเมินระดับคะแนนความเสี่ยง เพ่ือนามาพิจารณาวางแผนจัดการความเสี่ยง ตอ่ ไป ความเสี่ยงในระบบเทคโนโลยีสารสนเทศไวม้ ากมาย ดงั อย่างเช่น - Acts of terrorism การกอ่ การรา้ ย - Air conditioning failure ระบบปรับอากาศหยุดทางาน - Airborne particles/dust ฝนุ่ ละออง - Bomb attack การวางระเบิด - Breach of legislation or regulations การละเมิดนโยบายและระเบียบปฏิบัติด้านความ ปลอดภัย - Breaches of contractual obligations การละเมิดข้อตกลงหรอื สญั ญาท่ผี ูกพัน - Compromise of security ความยอ่ หย่อนในระบบรกั ษาความปลอดภยั - Damage caused by penetration tests ความเสียหายจากการทดลองเจาะเข้าระบบ - Damage caused by third parties ความเสียหายจากบุคคลทส่ี าม - Destruction of records ข้อมลู ถูกทาลาย - Destruction of the business continuity plans แผนกู้คืนถกู ทาลาย - Deterioration of media ส่ือที่เก็บข้อมูลเสือ่ มสภาพ

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 42 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 - Disasters (Natural of man-made) ภัยพบิ ตั ิ (จากธรรมชาติ หรือ จากมนษุ ย)์ การกาหนดเกณฑก์ ารประเมินมาตรฐาน เป็นการกาหนดเกณฑ์เฉพาะที่จะใช้ในการประเมินความเส่ียงด้านเทคโนโลยีสารสนเทศและการส่ือสาร ของ ศอ.ปส.สธ. ได้แก่ ระดับโอกาสท่ีจะเกิดความเสี่ยง (Likelihood) ระดับความรุนแรง ของผลกระทบ (Impact) และระดับความเส่ียง (Degree of Risk) ซึ่งสามารถกาหนดเกณฑ์ได้ท้ังเกณฑ์ในเชิง ประมาณ และเชิงคุณภาพทั้งน้ีขึ้นอยู่กับข้อมูลสภาพแวดล้อม โดยได้พิจารณาถึงโอกาสในการเกิดเหตุการณ์ (Likelihood) และความรุนแรงของเหตุการณ์ (Impact) ท่ีจะเกิดผลกระทบต่อ ศอ.ปส.สธ. เกณฑ์การ คะแนนผลกระทบ เป็นดงั นี้ 1. ระดับโอกาสในการเกดิ เหตุการณต์ า่ ง ๆ (Likelihood) กาหนดเกณฑไ์ ว้ 5 ระดับ ดังนี้ ระดบั โอกาสในการเกดิ เหตุการณ์ต่างๆ ระดับ โอกาสที่ คาอธิบาย จะเกิด 5 สูงมาก มโี อกาสเกิดเหตกุ ารณไ์ ด้บ่อยมาก พบทุก ๆ สปั ดาห์ 4 สูง มโี อกาสเกิดเหตกุ ารณไ์ ดบ้ ่อย เดอื นละหลายครั้ง 3 ปานกลาง มีโอกาสเกิดเหตุการณ์ได้บ้าง อยา่ งน้อยเดือนละ 1 ครั้ง 2 ตา่ มโี อกาสเกิดเหตกุ ารณไ์ ด้น้อย อาจพบไดส้ ักคร้ัง ในรอบ 1 ปี 1 ต่ามาก ไม่น่าจะเกดิ เหตุการณน์ ี้ได้ หรอื มีโอกาสเกิดได้น้อยมาก 2. ระดบั ความรุนแรงของผลกระทบของความเสี่ยง (Impact) กาหนดไว้ 5 ระดับ ดงั น้ี ระดบั ความรนุ แรงของผลกระทบของความเสยี่ ง ระดบั ความรุนแรง คาอธบิ าย 5 สูงมาก มผี ลกระทบต่อการใหบ้ ริการของ ศอ.ปส.สธ. เปน็ วงกวา้ ง อาจเกดิ อนั ตรายต่อผใู้ ชบ้ ริการ 4 สงู มีผลกระทบต่อการให้บริการของ ศอ.ปส.สธ. 3-4 แผนก 3 ปานกลาง มผี ลกระทบต่อการให้บรกิ ารของ ศอ.ปส.สธ. 1-2 แผนก 2 ตา่ มีผลกระทบต่อการให้บรกิ ารของ ศอ.ปส.สธ. ในบางจุด 1 ตา่ มาก มีผลกระทบต่อการใหบ้ ริการหรอื มีผลกระทบนอ้ ยมาก

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 43 ศอ.ปส.สธ. ช้ันความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 3. ระดบั ของความเส่ียง (Degree of Risk) กาหนดเกณฑ์ไว้ 4 ระดับ ได้แก่ ความเส่ียง คะแนน แถบสี ความหมาย ตา่ 1-3 รหสั ปานกลาง 4-9 สูง 10-16 L ระดับท่ียอมรับได้ โดยไม่ต้องควบคุมความเสี่ยง ไม่ต้องมี สงู มาก 17-25 การจัดการเพม่ิ เติม M ระดับที่พอยอมรับได้ แตต่ ้องมีการควบคุม เพื่อป้องกัน ไมใ่ ห้ความเส่ียงเคลื่อนย้ายไปยังระดบั ทยี่ อมรับไม่ได้ H ระดับท่ีไม่สามารถยอมรบั ได้โดยตอ้ งจัดการความเสยี่ ง เพ่ือใหอ้ ยใู่ นระดบั ที่ยอมรบั ได้ต่อไป X ระดบั ที่ไมส่ ามารถยอมรบั ไดจ้ าเปน็ ต้องเรง่ จัดการควบคมุ ให้อย่ใู นระดบั ที่ยอมรับไดท้ นั ที ผลการประเมินความเสี่ยงในระบบเทคโนโลยีสารสนเทศของ ศอ.ปส.สธ. ประจาปี 2562 ตามแบบประเมินความเส่ียงในระบบเทคโนโลยีสารสนเทศของศอ.ปส.สธ. พัฒนาโดยสมาคมเวช สารสนเทศไทย ปีพ.ศ. 2556 TMI Risk analysis worksheet (Range of 0.0 to 1.0 for P and I) ตารางประเมนิ ความเส่ยี ง 1 ต.ค. 2562 – 30 ก.ย. 2563 IT Components Probability Impact Risk = P Level (P) (I) x I 1. ปัญหาทางด้านฮารด์ แวร์ 1 44 M 1 33 L 1.1 เคร่ืองเซิรฟ์ เวอร์แมข่ า่ ยเสียหาย หรอื ไมส่ ามารถใชง้ านได้ 2 5 10 H 1.2 เครือ่ งสวติ ช์เครือข่ายขัดขอ้ ง หรือไม่สามารถใช้งานได้ 2 24 M 2. ปญั หาทางด้านซอฟตแ์ วร์ 2 48 M 2 24 M 2.1 ระบบปฏิบตั ิการซอฟตแ์ วรบ์ นเครอื่ งแม่ข่ายขดั ข้อง 2.2 ระบบปฏบิ ตั ิการซอฟต์แวร์บนเครื่องปฏบิ ัติงานขดั ข้อง 2.3 ไม่สามารถเข้าแอปพลิเคช่ันส่วนหน้าได้ (เช่น หน้า Login ระบบ บสต.) 2.4 มรี ายการซ้าบนข้อมลู การบาบดั ผปู้ ่วย

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 44 ศอ.ปส.สธ. ช้นั ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 IT Components Probability Impact Risk = P Level (P) (I) x I M 2.5 มีการแสดงสถานะของงานบาบดั ไม่ถูกต้อง 2 36 M 2 24 H 2.6 ขอ้ มูลแสดงสถานะการตดิ ตามงานผ้ปู ว่ ยไมถ่ ูกต้อง 5 2 10 H 3 4 12 2.7 เกดิ ความผดิ พลาดบนสมารท์ ฟอรม์ (K2 Smart Form) L 2.8 ไม่สามารถใช้งานบนระบบรายงาน และเกิดความผิดพลาด 1 33 H ในรายงานประมวลผล 4 3 12 M 2.9 มีปัญหาระบบการแลกเปลี่ยนข้อมูลWorklist/Workflow 2 24 L ของ คป. 1 22 H 2.10 มปี ญั หาระบบกระบวนการสง่ ขอ้ มูลออก/สง่ ขอ้ มลู เข้า 5 2 10 M 2.11 ไม่สามารถบันทึกข้อมูลบนหน้าขั้นตอนการติดตาม ผู้ปว่ ย 4 28 M บนหน้าเว็บ ASP 2 36 M 2.12 ข้อมลู สญู หายไมส่ ามารถบันทกึ ขอ้ มลู ได้ 2 36 L 2 12 L 2.13 ข้อมูลแสดงผลผิดพลาด หรือไม่ถูกต้อง 3 13 M 5 15 L 2.14 ข้อมูลจากระบบ คุมประพฤติ แสดงไมถ่ ูกต้อง 2 12 L 2 12 2.15 รายงานขอ้ มลู และสถิติตา่ ง ๆ ไมถ่ ูกตอ้ ง L 1 22 2.16 โปรแกรมทางานไมถ่ กู ต้อง แสดงขอ้ ความ error L 1 33 2.17 ไมม่ กี ารแสดงรายงานสถานทฟ่ี ื้นฟปู ลายทางของผปู้ ่วย H 4 3 12 2.18 ไม่มกี ารสง่ ขอ้ มลู การฟื้นฟูของผู้ปว่ ยสง่ กลบั ยังต้นทาง 2.19 มกี ารสง่ ข้อมูลของผปู้ ่วยฟ้นื ฟูผิดสถานท่ี 2.20 มกี ารส่งรายงานตดิ ตามผลผปู้ ว่ ยขา้ มกระบวนการฟนื้ ฟู 2.21 มกี ารสง่ รายงานซา้ ของกระบวนการบาบดั และตดิ ตามผล การบาบัดของผปู้ ่วย 3. ปัญหาดา้ นการสือ่ การ และการเชื่อมต่อเข้าระบบ บสต. 3.1 ไม่สามารถเข้าระบบเครือข่าย หรืออินทราเน็ตภายใน องคก์ รได้ 3.2 ไม่สามารถเข้าระบบเครือข่าย หรือ อินเตอร์เน็ตภายนอก องค์กรได้ 3.3 ไม่สามารถเช่ือมต่อระหว่างกระทรวงสาธารณสุขและ กรมการปกครอง (ทะเบียนราษฏร)์

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศนู ยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 45 ศอ.ปส.สธ. ชั้นความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 IT Components Probability Impact Risk = P Level (P) (I) x I H 3.4 ไม่สามารถเชื่อมต่อระหว่างกระทรวงสาธารณสุขและกรม 5 3 15 คมุ ประพฤติ M 44 M 4. ปญั หาการดูแลระบบ 44 L 4.1 การสารองข้อมลู บนเครอื่ งปฏิบตั ิงานแอดมนิ ขดั ข้อง 1 11 L 11 L 4.2 ปญั หาข้อมลู สูญหาย 1 11 L 11 5. ปญั หาการบรหิ ารจัดการโครงการ L 11 L 5.1 ระบบวิเคราะหข์ อ้ มูลไม่เหมาะสม 1 11 L 11 5.2 ระบบแสดงเค้าโครงขอ้ มูลไม่เหมาะสม 1 L 33 M 5.3 ระบบแสดงการจดั การเค้าโครงขอ้ มลู ไมเ่ พียงพอ 1 44 H 5.4 ระบบแสดงการจดั การเค้าโครงข้อมลู ไม่มีประสิทธิภาพ 1 4 12 M 44 6. ปัญหาดา้ นการพัฒนาภายภาคหน้า M 55 M 6.1 ไม่มี Data dictionary 1 55 M 55 M 6.2 ไม่มี Design document 1 55 L 33 6.3 ไมม่ ีเอกสาร Program specification 1 7. ปญั หาการปฏบิ ัติงานของบริษทั จ้างงานภายนอกและผู้ใหบ้ รกิ ารสนิ คา้ 7.1 บริษทั ดแู ลปญั หาดา้ นฮารดแ์ วร์หยดุ ให้การบริการ 1 7.2 บริษทั ดแู ลปญั หาดา้ นซอฟต์แวร์หยดุ ให้การบรกิ าร 1 8. ปัญหาทางดา้ นความปลอดภัยของระบบ 8.1 พบไวรสั คอมพวิ เตอร,์ สปายแวร์, และมลั แวร์ 3 8.2 ปญั หาการเจาะเข้าฐานขอ้ มูลโดยไมไ่ ด้รบั อนญุ าต 1 9. ปัญหาทเี่ กดิ จากปจั จัยสงิ่ แวดล้อม 9.1 เกดิ วิกฤตอิ ทุ กภัยภายในองค์กร 1 9.2 เกดิ วกิ ฤตอิ ุทกภัยภายนอกองค์กร 1 9.3 เกิดวิกฤติวาตภยั ภายในองค์กร 1 9.4 เกดิ วกิ ฤตอิ ุทกภยั ภายนอกองคก์ ร 1 9.5 เกิดวิกฤติสาธารณูปโภคและไฟฟ้า 1

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 46 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 IT Components Probability Impact Risk = P Level (P) (I) x I M 9.6 เกิดเหตุโจรกรรมทรพั ยส์ นิ 1 55 M 1 55 M 9.7 เกิดเหตบุ กุ รุกภายในพืน้ ท่ี 1 44 9.8 เกิดเหตุการณ์ความไม่สงบในบ้านเมือง เช่น เหตุประท้วง M และกลมุ่ ผชู้ มุ นมุ 2 48 L 10. ปัญหาบนแอพพลิเคชั่นและขอ้ มูล 1 33 L 10.1 ข้อมูลสูญหายไม่สามารถบันทึกข้อมูลลงบนฐานข้อมูลได้ 1 22 L ทัง้ หมด 1 22 M 10.2 ขอ้ มูลแสดงผลผดิ พลาด หรือไม่ถกู ต้อง 2 48 L 10.3 ขอ้ มูลจากระบบ คุมประพฤติ แสดงไมถ่ ูกต้อง 2 12 M 5 15 M 10.4 รายงานขอ้ มูลและสถติ ติ ่าง ๆ ไม่ถกู ตอ้ ง 4 14 M 5 15 L 10.5 โปรแกรมทางานไม่ถกู ตอ้ ง แสดงข้อความ error 3 13 M 5 15 L 11. ปญั หาจากผู้ใชง้ าน 3 13 M 5 15 11.1 ผใู้ ชง้ านมปี ัญหาการเช่อื มต่ออนิ เทอร์เนต็ 11.2 ไม่มสี ทิ ธิเ์ ขา้ ทะเบียนราษฎร์ 11.3 ปัญหาการใช้คอมพิวเตอร์ และอุปกรณ์ต่อพ่วง 11.4 มีปัญหาเครื่องอา่ นบัตรประชาชน 11.5 จาหน่ายผู้ป่วยก่อนจบกระบวนการ/จาหน่ายรายการ ผิดพลาด 11.6 มกี ารนาเข้าขอ้ มลู ผิดและต่างจากความเป็นจรงิ 11.7 มีการลงข้อมูลผู้ป่วยฟื้นฟูไม่ครบถ้วน/มีการลงข้อมูลไม่ ถกู ตอ้ ง 11.8 มปี ญั หาเร่อื งการใช้งาน บสต. หรือไมเ่ ข้าใจวิธีการใชง้ าน การคานวณคะแนนความเสีย่ ง ประเมินโอกาสท่ีจะเกดิ ความเสี่ยง มคี า่ 1 ( ตา่ มาก ) 2 (ต่า ) 3 (ปานกลาง )4 ( สูง ) 5 (สงู มาก) ประเมินผลเสยี หาย มคี ่า 1 ( ตา่ มาก ) 2 ( ต่า ) 3 (ปานกลาง )4 ( สงู ) 5 (สูงมาก) คะแนนความเสี่ยง ค่านวนไดจ้ าก คะแนนโอกาส คณู กับ คะแนนผลเสยี หาย เช่น โอกาสเกดิ ความเสี่ยง = 3 ผลเสียหาย = 5 ดังน้ัน คะแนนความเส่ยี ง = 3x5 = 15

การบริหารจดั การระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศูนย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ที่ 47 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 การวางแผนกลยทุ ธจ์ ัดการความเส่ยี ง (Risk Management Strategic Planning) จากการใช้เกณฑ์ความสามารถในการยอมรับความเสี่ยง เราจะสามารถเรียงลาดับความสาคัญของ เหตุการณ์ท่ีทาให้เกิดความเสี่ยงได้ ช้ันตอนต่อไป คือการกาหนดวิธีแก้ไขความเสี่ยง (Risk Treatment) ให้กบั เหตกุ ารณต์ ่างๆ โดยมีทางเลือกกลยุทธ์ในการแก้ไขความเส่ยี งท้งั หมด 4 กลยุทธ์ดังนี้ กลยุทธ์ในการแก้ไขความเสี่ยง กลยุทธ์ท่ี 1 การลดความเส่ียง เป็นการกาหนดมาตรการควบคุมให้โอกาสเกิดเหตุการณ์ที่ทาให้ เกิดความเสย่ี งลดนอ้ ยลง และ/หรือ ร่วมกับมาตรการควบคมุ ให้ผลเสยี หายลดลง กลยทุ ธ์ที่ 2 การย้ายความเสี่ยง เปน็ การย้ายผลเสียหายทเ่ี กิดขึ้นจากเหตุการณ์ที่ทาใหเ้ กิดความ เสยี่ งไปสบู่ คุ คลอนื่ มกั ใช้ในกรณีที่องคก์ รไม่สามารถลดความเสี่ยงได้ หรอื ไมค่ ุม้ คา่ ทจ่ี ะลงทุนลดความเสย่ี ง กลยุทธ์ที่ 3 การหลีกเลี่ยงความเสี่ยง เป็นการเปลี่ยนแปลงวิธีการทางาน หรือกาหนดกิจกรรม เพิ่มเติมเพื่อให้โอกาสเกดิ เหตุการณ์ท่ีทาใหเ้ กดิ ความเส่ียงลดน้อยลง กลยุทธ์ท่ี 4 การยอมรับความเส่ียง เป็นการบันทึกผลการวิเคราะห์และยอมรับความเส่ียงใน เร่ืองทมี่ โี อกาสเกดิ ได้นอ้ ยและ/หรอื ไม่คุ้มค่าท่ีจะลงทุนในการจัดการความเสยี่ ง จากผลการประเมินความเสี่ยง เม่ือนามาจัดลาดับตามระดับความเส่ียงแล้ว จะสามารถระบุกลยุทธ์และ แนวทางการดาเนินการจดั การความเสยี่ งได้ดังตารางทแ่ี สดงในหนา้ ถัดไป

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ ศนู ยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณส (การทบทวนประจาปงี บประมาณ 2563) ศอ.ปส.สธ. ชั้นความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 วธิ แี ก้ไขความเสี่ยง (Risk treatment) ศนู ย์อานวยการป้องกันและปราบปรามยาเสพตดิ กระทรวงสาธารณสุข (ศอ.ปส.ส ระดบั ความเสี่ยงสูง เหตุการณ์ที่ทาให้ กลยุทธ์ความ โอกาส ระดบั ดัชนี เกดิ ความเสี่ยง เสย่ี ง เกดิ พบไวรสั ลดความเส่ยี ง 4 4 16 1. ตรวจสอบการทา คอมพิวเตอร์, เครอื ข่ายภายนอก (I สปายแวร์, 2. ตดิ ตั้งซอฟต์แวร์ และมลั แวร์ ไวรัสใดเขา้ มาทาควา 3. อัพเดทข้อมลู ไวร 4. ดาเนินการ Bloc 5. ทาการ เผยแพร่ สารสนเทศใหก้ ับบุค 6. เฝา้ ระวงั ตรวจสอ

สุข เรม่ิ ใช้ 1 ตลุ าคม 2562 หนา้ ที่ 48 สธ.) มาตรการควบคุม างานของ Firewall ทรี่ ะบบคอมพิวเตอร์ สว่ นกลางทเ่ี ปน็ ทางผา่ นเข้าออกไปยังระบบ Internet) และ Update Patch ตลอดเวลา Anti Virus ดักจบั ไวรัสที่เข้ามาในเครือขา่ ย และเคร่ืองลกู ข่ายสามารถ ตรวจสอบได้ว่ามี ามเสียหายกบั ระบบเครอื ข่ายคอมพิวเตอร์ รสั อย่างสม่าเสมอ ck web ท่ีมีความเสยี่ งในการติด Virus เชน่ web ทผี่ ิดกฎหมาย และประชาสมั พันธ์ขอ้ มลู เพื่อสรา้ งความตระหนกั ในเรอ่ื งของความม่ันคงปลอดภัย คลากรของ รพ. อบการบุกรุกหรือสงิ่ ผดิ ปกติ ของระบบอยา่ งสม่าเสมอ

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณส (การทบทวนประจาปงี บประมาณ 2563) ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 วธิ แี กไ้ ขความเสยี่ ง (Risk treatment) ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ (ศอ.ปส.ส ระดับความเส่ียงสูง เหตกุ ารณ์ท่ีทาให้ กลยุทธค์ วาม โอกาส ระดับ ดัชนี เกิดความเสยี่ ง เสี่ยง เกดิ ระบบปฏิบัติการ ลดความเสีย่ ง 3 4 12 1. แบง่ การใชง้ านเค ซอฟตแ์ วรบ์ น 2. ติดต้งั เคร่ืองแม่ขา่ เคร่อื งแมข่ ่าย จรงิ หยดุ ทางาน ขดั ข้อง 3. สารองข้อมลู ไวท้ ี่เ 4. จดั ทาแผนก้คู นื แม 5. จดั ซ้ือเคร่ืองคอม HP BL460 20 core C 256 GB o 2x 300 G 2 x 10GE 1x Dual p vSphere S

สขุ เริม่ ใช้ 1 ตุลาคม 2562 หนา้ ที่ 49 สธ.) มาตรการควบคมุ คร่ือง Server ใหเ้ หมาะสม ายสารองที่สามารถกาหนดให้เปน็ เครื่องแม่ขา่ ยจรงิ ท่ีทางานแทนได้ทันทีเมื่อเครื่องแม่ขา่ ย เคร่ืองคอมพวิ เตอร์ของผดู้ ูแลระบบทกุ วัน เพื่อสารองขอ้ มลู อีกชุดนอกเคร่ืองแม่ข่าย ม่ขา่ ยและซ้อมแผนปีละ 2 ครั้ง เคร่ืองคอมพิวเตอรแ์ มข่ ่ายที่สาคญั ลม่ มพวิ เตอรแ์ มข่ ่ายเพ่มิ เติม 0c Gen9 Server CPU of Memory GB 10k rpm SAS (RAID-1) E port (standard bundled) port HBA card Standard

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ ศนู ยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณส (การทบทวนประจาปงี บประมาณ 2563) ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 วธิ ีแกไ้ ขความเส่ียง (Risk treatment) ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพตดิ กระทรวงสาธารณสุข (ศอ.ปส.ส ระดับความเส่ียงสูง เหตกุ ารณท์ ี่ทาให้ กลยทุ ธ์ความ โอกาส ระดับ ดัชนี เกดิ ความเส่ยี ง เส่ยี ง เกิด ไมส่ ามารถใชง้ าน ลดความเสีย่ ง 3 5 15 1. ตรวจสอบและแก บนระบบรายงาน ลดความเสี่ยง 3 2. ตรวจสอบและแก และเกิดความ 3. เพมิ่ ชอ่ งทางของก ผิดพลาดใน รายงาน 4 12 1. เพมิ่ ประสิทธภิ าพ ประมวลผล 2. แกไ้ ขข้อมูลของง 3. ปรับปรุงหนา้ UI ข้อมูลแสดงผล ผดิ พลาด หรอื ไม่ ถูกต้อง

สขุ เรม่ิ ใช้ 1 ตลุ าคม 2562 หน้าที่ 50 สธ.) มาตรการควบคุม ก้ไขข้อมูลของหน่วยงานในฐานขอ้ มลู ก้ไขรหสั ของรายงาน ตง้ั เงอื่ นไขให้ครอบคลุมและถูกต้องมากทสี่ ุด การดรู ายงานผ่าน Power BI เพื่อลดกระทบเร่ืองการประมวลผลขอ้ มลู พการประมวลผลให้เครอื งแม่ข่าย งานใหถ้ ูกต้องและทาการตรวจสอบข้อมูลตา่ ง ๆ ใหถ้ ูกต้องด้วย สาหรบั นาเขา้ ข้อมลู โดยเปล่ียนจาก Smart Form เป็น ASP .NET

การบริหารจัดการระบบข้อมูลและสารสนเทศ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณส (การทบทวนประจาปงี บประมาณ 2563) ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 วิธแี กไ้ ขความเส่ยี ง (Risk treatment) ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ (ศอ.ปส.ส ระดับความเสี่ยงสูง เหตกุ ารณท์ ่ีทาให้ กลยทุ ธ์ความ โอกาส ระดับ ดัชนี เกิดความเสี่ยง เสยี่ ง เกิด ไม่สามารถ ลดความเสย่ี ง 4 3 12 1. ประสานงานให้ศ เช่ือมต่อระหวา่ ง กระทรวง สาธารณสุขและ กรมการปกครอง (ทะเบยี นราษฎร์)

สขุ เร่ิมใช้ 1 ตลุ าคม 2562 หนา้ ท่ี 51 สธ.) มาตรการควบคมุ ศูนยเ์ ทคโนโลยี ของกระทรวงสาธารณสขุ ทาการตรวจสอบและแกไ้ ข

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 52 ศอ.ปส.สธ. ช้ันความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 การดาเนนิ การจดั การความเสี่ยง (Risk Treatment) ประจาปี 2563 การดาเนินการจดั การความเสยี่ งเร่ิมจากการจดั สรรทรัพยากร บุคคล เงนิ และเวลา ทต่ี ้องใชใ้ นการจัดการ ความเส่ียงแต่ละเรื่อง โดยอาจจัดทาเป็นโครงการ และใช้การจัดการโครงการ (Project Management) เป็นเคร่ืองมือช่วยให้การดาเนินการจัดการความเส่ียงประสบผลสาเร็จต่อไป โดยอาจใช้แผนกิจกรรม จดั การความเสย่ี ง เป็นเครอื่ งมือในการตดิ ตามและควบคมุ การดาเนนิ การจัดการความเส่ยี ง การประเมินผลและการพฒั นาคณุ ภาพอยา่ งต่อเนอื่ ง เม่ือหน่วยงานดาเนินการจัดการความเส่ียงไปแล้ว ควรมีการประเมินผลกิจกรรมจัดการความเสี่ยงท่ีได้ ดาเนินการไปแล้ววา่ ไดผ้ ลหรือไม่ทกุ ๆ 3-6 เดือน โดยการเก็บข้อมูลอุบัติการณต์ ่าง ๆอันเป็นเหตุการณ์ท่ี ทาให้เกิดความเสี่ยงทุกรายการ ทาสถิติอุบัติการณ์ และวิเคราะห์แนวโน้มการเปลี่ยนแปลงว่า มีการ เปลี่ยนแปลงไปในทางท่ีดีข้ึนหรือไม่ โดยต้องประเมินคะแนนความเส่ียงใหม่ เพื่อตรวจสอบว่าคะแนน ความเสี่ยงลดลงหรือไม่ถ้าพบว่าแนวโน้มดีขึ้น ย่อมแสดงว่ากิจกรรมจัดการความเส่ียงท่ีได้ดาเนินมาแล้ว เป็นไปอยา่ งถูกต้องสมควร แตห่ ากแนวโน้มความเสี่ยงใดไมล่ ดลง หรือเพ่มิ ข้นึ ก็สมควรปรบั แก้ไขหรือเพ่ิม กจิ กรรมจัดการความเสยี่ ง ให้ดีข้นึ กว่าเดิมอยา่ งตอ่ เนื่อง สรุปผลการประเมนิ ความเสย่ี งเดอื น มิ.ย. 2563 ในสว่ นท่ีมกี ารแผนดาเนนิ การลดความเสยี่ ง ตารางประเมินความเสีย่ งช่วงเวลา 1 ต.ค. 2562 – 1 ก.ย. 2563 IT Components 2562 2563 2562 2563 2562 2563 2562 2563 P P I I Risk Risk Level Level 1. ปญั หาทางดา้ นฮารด์ แวร์ 1.1 เครอ่ื งเซิร์ฟเวอร์แมข่ ่ายเสียหาย 1 1 4 4 4 4 M M หรอื ไมส่ ามารถใช้งานได้ 1.2 เครื่องสวิตชเ์ ครือข่ายขัดขอ้ ง 113333 L L หรือไม่สามารถใชง้ านได้ 2. ปัญหาทางดา้ นซอฟต์แวร์ 2.1 ระบบปฏบิ ัตกิ ารซอฟต์แวร์บน 2 1 5 5 10 5 H M เครอื่ งแมข่ ่ายขดั ข้อง 2.2 ระบบปฏิบัติการซอฟต์แวร์บน 222244 M M เคร่ืองปฏบิ ัติงานขดั ข้อง 2.3 ไม่สามารถเข้าแอปพลิเคชนั่ สว่ น หนา้ ได้ (เช่น หน้า Login ระบบ 224488 M M บสต.)

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศูนย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 53 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 2562 2563 2562 2563 2562 2563 2562 2563 IT Components P P I I Risk Risk Level Level 2.4 มีรายการซ้าบนข้อมูลการบาบัด 2 22 244 M M ผู้ป่วย 2.5 มกี ารแสดงสถานะของงานบาบดั 2 13 363 M L ไม่ถูกต้อง 2.6 ข้อมูลแสดงสถานะการติดตาม 222244 M M งานผปู้ ่วยไม่ถูกตอ้ ง 2.7 เกดิ ความผดิ พลาดบนสมาร์ท 5 5 2 2 10 10 H H ฟอร์ม (K2 Smart Form) 2.8 ไมส่ ามารถใช้งานบนระบบ 3 2 4 4 12 4 H M รายงาน และเกิดความผดิ พลาดใน รายงานประมวลผล 2.9 มีปญั หาระบบการแลกเปลยี่ น 1 1 3 3 3 3 L L ข้อมลู Worklist/Workflow ของ คป. 2.10 มีปญั หาระบบกระบวนการสง่ 4 23 3 12 6 H M ขอ้ มลู ออก/สง่ ข้อมลู เข้า 2.11 ไม่สามารถบนั ทึกข้อมูลบนหน้า ขัน้ ตอนการติดตาม ผปุ้ ่วย บนหน้า 2 2 2 2 4 4 M M เว็บ ASP 2.12 ขอ้ มูลสญู หายไม่สามารถบนั ทกึ 1 2 2 2 2 4 L M ขอ้ มูลได้ 2.13 ขอ้ มลู แสดงผลผิดพลาด 5 2 2 2 10 4 H M หรือไม่ถกู ต้อง 2.14 ขอ้ มูลจากระบบ คุมประพฤติ 4 3 2 2 8 6 M M แสดงไม่ถกู ต้อง 2.15 รายงานข้อมลู และสถิติตา่ ง ๆ 2 13 363 M L ไมถ่ ูกตอ้ ง 2.16 โปรแกรมทางานไม่ถูกต้อง 213363 M L แสดงข้อความ error 2.17 ไมม่ กี ารแสดงรายงานสถานที่ 251125 L M ฟ้นื ฟปู ลายทางของผปู้ ่วย

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 54 ศอ.ปส.สธ. ชัน้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 IT Components 2562 2563 2562 2563 2562 2563 2562 2563 2.18 ไม่มกี ารส่งข้อมูลการฟ้ืนฟูของ P P I I Risk Risk Level Level ผู้ปว่ ยสง่ กลบั ยังต้นทาง 331133 L L 2.19 มกี ารสง่ ขอ้ มูลของผ้ปู ว่ ยฟื้นฟู 551155 M M ผิดสถานที่ 211121 L L 2.20 มกี ารสง่ รายงานติดตามผล ผ้ปู ว่ ยข้ามกระบวนการฟื้นฟู 221122 L L 2.21 มีการสง่ รายงานซา้ ของ กระบวนการบาบัด และติดตามผล 112222 L L การบาบัดของผูป้ ่วย 113333 L L 3. ปัญหาด้านการส่ือการ และการ เชอ่ื มตอ่ เข้าระบบ บสต. 4 2 3 3 12 6 H M 3.1 ไม่สามารถเข้าระบบเครอื ขา่ ย หรืออนิ ทราเน็ตภายในองคก์ รได้ 5 2 3 3 15 6 H M 3.2 ไม่สามารถเขา้ ระบบเครอื ขา่ ย หรอื อนิ เตอร์เน็ตภายนอกองคก์ รได้ 114444 M M 3.3 ไม่สามารถเชอ่ื มต่อระหวา่ ง 114444 M M กระทรวงสาธารณสุขและกรมการ ปกครอง (ทะเบยี นราษฏร์) 111111 L L 3.4 ไม่สามารถเชอื่ มต่อระหว่าง 111111 L L กระทรวงสาธารณสขุ และ กรมคุม ประพฤติ 4. ปัญหาการดแู ลระบบ 4.1 การสารองข้อมูลบนเคร่ือง ปฏิบตั ิงานแอดมนิ ขดั ข้อง 4.2 ปัญหาขอ้ มูลสญู หาย 5. ปญั หาการบรหิ ารจัดการโครงการ 5.1 ระบบวเิ คราะห์ข้อมูลไม่ เหมาะสม 5.2 ระบบแสดงเค้าโครงข้อมูลไม่ เหมาะสม

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศนู ยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 55 ศอ.ปส.สธ. ชั้นความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 IT Components 2562 2563 2562 2563 2562 2563 2562 2563 P P I I Risk Risk Level Level 5.3 ระบบแสดงการจดั การเค้าโครง 111111 L L ข้อมลู ไมเ่ พยี งพอ 5.4 ระบบแสดงการจัดการเค้าโครง 111111 L L ข้อมูลไมม่ ปี ระสทิ ธภิ าพ 6. ปัญหาด้านการพฒั นาภายภาค หน้า 6.1 ไมม่ ี Data dictionary 111111 L L 6.2 ไม่มี Design document 111111 L L 6.3 ไม่มเี อกสาร Program 111111 L L specification 7. ปญั หาการปฏบิ ตั ิงานของบรษิ ัท จา้ งงานภายนอกและผู้ใหบ้ ริการ สินคา้ 7.1 บริษทั ดูแลปัญหาด้านฮารด์แวร์ 1 1 3 3 3 3 L L หยดุ ใหก้ ารบรกิ าร 7.2 บรษิ ทั ดูแลปัญหาด้านซอฟตแ์ วร์ 1 1 4 4 4 4 M M หยดุ ให้การบรกิ าร 8. ปญั หาทางด้านความปลอดภัยของ ระบบ 8.1 พบไวรสั คอมพวิ เตอร์, สปาย 3 1 4 4 12 4 H M แวร์, และมัลแวร์ 8.2 ปัญหาการเจาะเข้าฐานข้อมูล 114444 M M โดยไมไ่ ดร้ ับอนุญาต 9. ปัญหาที่เกิดจากปัจจัยสิ่งแวดล้อม 9.1 เกิดวกิ ฤตอิ ุทกภยั ภายในองค์กร 1 1 5 5 5 5 M M 9.2 เกิดวิกฤติอุทกภัยภายนอก 115555 M M องค์กร 9.3 เกิดวิกฤติวาตภยั ภายในองค์กร 1 1 5 5 5 5 M M 9.4 เกิดวิกฤตอิ ุทกภยั ภายนอก 115555 M M องค์กร

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ที่ 56 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 IT Components 2562 2563 2562 2563 2562 2563 2562 2563 P P I I Risk Risk Level Level 9.5 เกดิ วกิ ฤตสิ าธารณปู โภคและ 113333 L L ไฟฟา้ 9.6 เกดิ เหตโุ จรกรรมทรพั ยส์ ิน 115555 M M 9.7 เกดิ เหตบุ กุ รกุ ภายในพนื้ ที่ 115555 M M 9.8 เกิดเหตุการณ์ความไมส่ งบใน บา้ นเมือง เชน่ เหตุประท้วง และกลมุ่ 1 1 4 4 4 4 M M ผชู้ ุมนุม 10. ปัญหาบนแอพพลเิ คช่ันและ ขอ้ มูล 10.1 ข้อมูลสูญหายไม่สามารถบนั ทึก 2 1 4 4 8 4 M M ข้อมลู ลงบนฐานขอ้ มูลได้ทงั้ หมด 10.2 ข้อมูลแสดงผลผดิ พลาด 113333 L L หรอื ไม่ถูกต้อง 10.3 ข้อมลู จากระบบ คุมประพฤติ 112222 L L แสดงไม่ถกู ต้อง 10.4 รายงานข้อมลู และสถิติต่าง ๆ 112222 L L ไมถ่ ูกต้อง 10.5 โปรแกรมทางานไม่ถูกตอ้ ง 224488 M M แสดงขอ้ ความ error 11. ปัญหาจากผู้ใช้งาน 11.1 ผใู้ ช้งานมีปัญหาการเชอื่ มต่อ 211121 L L อินเทอรเ์ น็ต 11.2 ไมม่ ีสิทธ์เิ ขา้ ทะเบียนราษฎร์ 5 4 1 1 5 4 M M 11.3 ปัญหาการใชค้ อมพวิ เตอร์ และ 4 5 1 1 4 5 M M อุปกรณ์ต่อพว่ ง 11.4 มปี ัญหาเครอื่ งอา่ นบัตร 551155 M M ประชาชน 11.5 จาหน่ายผปู้ ว่ ยกอ่ นจบ 321132 L L กระบวนการ/จาหนา่ ยรายการ ผิดพลาด

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ที่ 57 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 IT Components 2562 2563 2562 2563 2562 2563 2562 2563 11.6 มกี ารนาเขา้ ข้อมูลผิดและต่าง P P I I Risk Risk Level Level จากความเป็นจรงิ 541154 M M 11.7 มีการลงข้อมลู ผูป้ ว่ ยฟื้นฟไู ม่ 321132 L L ครบถ้วน/มกี ารลงขอ้ มลู ไม่ถูกต้อง 551155 M M 11.8 มีปัญหาเรอื่ งการใชง้ าน บสต. หรือไมเ่ ข้าใจวธิ ีการใชง้ าน สรปุ ผลกิจกรรมการประเมินกลยทุ ธใ์ นการแก้ไขความเส่ยี งเดอื นสิงหาคม พ.ศ. 2563 ในสว่ นทมี่ ีการ ดาเนินการลดความเสี่ยง

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 58 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 59 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ ศูนย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณส (การทบทวนประจาปีงบประมาณ 2563) ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 การดาเนนิ การจัดการความเส่ยี ง (Risk Treatment) ประจาปี 25 จากผลการประเมินผลการดาเนินงานตามแผนการจัดการความเสี่ยง ประจาปี 2562 ความเสี่ยง ประจาปี 2563 และตอ่ ๆ ไปได้ดงั นี้ เหตุการณท์ ท่ี าให้เกดิ กลยทุ ธ์ มาตรการ ความเส่ยี ง ความเสยี่ ง 1. จัดให้มีการทดสอบ Security ใช้งานบน internet พบไวรัสคอมพิวเตอร์, สปายแวร์, ลดความเสีย่ ง 1. ติดต้ังเครื่องแม่ข่ายสารองท่ีส และมลั แวร์ ข่ายจริงที่ทางานแทนได้ทันทีเม่ือ (High Availability) ระบบปฏิบัติการซอฟต์แวร์บน ลดความเสีย่ ง 2. จัดให้มีการแยกเคร่ืองท่ีใช้ใน เครอ่ื งแมข่ ่ายขัดขอ้ ง จากกับเครือ่ งที่ใช้งานจรงิ 3. จัดทา DRC (Disaster Reco ลดผลกระทบ ขึน้ Cloud 4. จัดทาระบบสารองข้อมูลเพื่อ ระบบรายงานไม่สามารถใช้ได้/ ลดความเส่ยี ง แมข่ ่าย แบบ Offline รายงานผลผิดพลาด 1. เพ่ิมเติมรายงานให้ใช้งานบนร การใชง้ านมากข้นึ

สุข เร่มิ ใช้ 1 ตุลาคม 2562 หนา้ ที่ 60 563 และในอนาคต 2 ทาให้ทาง ศอ.ปส.สธ. สามารถนาข้อมูลท่ีได้มาประกอบแผนการดาเนินการจัดการ รควบคมุ ผ้รู บั ผิดชอบ งบประมาณ ช่วงเวลา ดาเนินการ y test สาหรับ application ที่ เกรกิ กฤช ปี 2564 สามารถกาหนดใหเ้ ป็นเครอื่ งแม่ อัครเดช 4,000,000 ปี 2565 อเคร่ืองแม่ข่ายจริงหยุดทางาน นการพัฒนาและทดสอบ ออก อคั รเดช 300,000 ปี 2564 overy Center) หรือย้ายระบบ อัครเดช 8,000,000 ปี 2565 อสารองข้อมูลอีกชุดนอกเคร่ือง ชญานนท์ 1,000,000 ปี 2564 ระบบ Power BI ให้ครอบคลุม ชญานนท์ - ปี 2563

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณส (การทบทวนประจาปงี บประมาณ 2563) ศอ.ปส.สธ. ช้ันความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 เหตุการณท์ ที่ าใหเ้ กิด กลยุทธ์ มาตรการ ความเสยี่ ง ความเสยี่ ง 2. จัดทาระบบคลังข้อมูลอัจฉริย สถานะงานไม่ถกู ตอ้ ง รวดเรว็ 1. ปรบั ปรุงระบบ บสต. ในส่วนน ลดความเสย่ี ง

สขุ เร่ิมใช้ 1 ตุลาคม 2562 หน้าที่ 61 รควบคุม ผู้รบั ผิดชอบ งบประมาณ ชว่ งเวลา ดาเนินการ ยะเพื่อให้การประมวลผลทาได้ อัครเดช 30,000,000 ปี 2566 นาเขา้ ขอ้ มูลใหท้ างานได้เรว็ ข้นึ เกริกกฤช - ปี 2563-2564

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 62 ศอ.ปส.สธ. ชัน้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3 นโยบายและระเบียบปฏิบตั ิด้านความมน่ั คงในระบบ IT อภธิ านศพั ท์ คาศัพท์ ความหมาย ระบบเทคโนโลยสี ารสนเทศ ระบบสารสนเทศ ระบบฐานข้อมลู ระบบคอมพวิ เตอร์ ระบบเครือข่าย และกรสื่อสาร ระบบ Security ระบบงาน (ซอฟตแ์ วรส์ าเรจ็ รูป ซอฟต์แวร์ประยุกต)์ และ ระบบส่อื สารของศูนยอ์ านวยการ สธ. กระทรวงสาธารณสขุ ศอ.ปส.สธ. ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ เจ้าหน้าท่ี ขา้ ราชการ พนักงานราชการ ลกู จา้ ง ของศูนย์อานวยการป้องกนั และ ปราบปรามยาเสพติด กระทรวงสาธารณสุข ผูร้ บั จ้างใหบ้ รกิ ารจาก เจ้าหนา้ ทห่ี น่วยงานภายนอกท่ีวา่ จา้ งมาปฏบิ ตั ิงาน (Outsource) ทมี่ ีการ ภายนอก ใช้งานหรอื ใหบ้ รกิ าร เก่ยี วกับระบบสารสนเทศของ ศอ.ปส.สธ. หนว่ ยงาน ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ รวมถึงหน่วยงานภายท่อี ยภู่ ายใต้สังกดั หน่วยงานภายนอก บรษิ ัท/หน่วยงาน ที่ ศอ.ปส.สธ. ไดว้ า่ จ้างหรือมอบหมายให้ดาเนนิ การ ใน เร่ืองระบบเทคโนโลยสี ารสนเทศและการส่อื สาร อาทิ ทีป่ รึกษา ผรู้ บั จ้าง ผู้ขาย ผู้ให้บรกิ าร หรือเป็นผู้ใชบ้ ริการ และ อ่ืน ๆ ที่เก่ยี วข้อง รวมถงึ หนว่ ยงานภายนอกอื่นท่มี าขอใชบ้ รกิ ารด้วย ผู้ใช้งาน/ผูใ้ ชบ้ ริการ ข้าราชการ ลกู จา้ ง และพนักงานราชการ ผู้ดูแลระบบ ผบู้ ริหารองค์กร ผรู้ ับบรกิ าร หรือผ้ทู ี่ได้รับ อนุญาตให้ใชเ้ ครื่องคอมพวิ เตอร์ และระบบ เครอื ข่ายของหนว่ ยงาน ผูบ้ ริหาร ผ้มู ีอานาจในการบังคับบัญชาในหน่วยงาน ไดแ้ ก่ ผู้อานวยการสานัก/ สถาบนั /ศูนย/์ กอง หรือ เทียบเท่า เปน็ ต้น ผบู้ ริหารระดบั สงู สดุ ปลดั กระทรวง อธิบดี รองปลัดกระทรวง รองอธบิ ดี หรือเทียบเท่า ของแต่ ละหนว่ ยงาน สทิ ธิข์ องผู้ใช้งาน/ สิทธท์ิ ใ่ี ช้ในการเข้าถงึ ระบบเทคโนโลยีสารสนเทศและการส่ือสารของ สิทธข์ิ องผ้ใู ชบ้ รกิ าร ศอ.ปส.สธ. ผู้พฒั นาระบบ เจ้าหน้าท่ี/หนว่ ยงานภายนอก ที่ ศอ.ปส.สธ. ได้วา่ จา้ งหรือมอบหมาย ให้ ดาเนินการในเร่ืองการพัฒนาระบบเทคโนโลยสี ารสนเทศของ ศอ.ปส.สธ.

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เรมิ่ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 63 ศอ.ปส.สธ. ช้ันความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 คาศัพท์ ความหมาย ผู้ดแู ลระบบ (System Administrator) หมายถึง ผูท้ ่ีไดร้ ับมอบหมายจากหัวหน้า ISMS หนว่ ยงาน ใหม้ ีหน้าทร่ี บั ผิดชอบดแู ลรักษา หรือจัดการระบบคอมพิวเตอร์ ISMR และระบบเครือขา่ ยไมว่ า่ สว่ นหนงึ่ สว่ นใด IST ระบบบรหิ ารความม่ันคงปลอดภยั สารสนเทศ (Information Security Management System) ผบู้ รหิ ารระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Representative : ISMR) คณะทางานระบบบริหารความมน่ั คงปลอดภัยสารสนเทศ (SMS Working Team : IST) ซึ่งมอี งคป์ ระกอบดังนี้ - หัวหน้าคณะทางานระบบบรหิ ารความมนั่ คงปลอดภยั สารสนเทศ (Information Security Manager: ISM) - เจา้ หน้าท่รี ะบบบรหิ ารความม่นั คงปลอดภยั สารสนเทศ (Information Security Staff: ISS) - เจา้ หนา้ ทีค่ วบคุมเอกสาร (Document Controller: DC)

การบริหารจัดการระบบข้อมูลและสารสนเทศ เรมิ่ ใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 64 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 คาศัพท์ ความหมาย ทรพั ย์สนิ ทรัพย์สนิ ของ ศอ.ปส.สธ. ซง่ึ แบ่งเป็น 5 ประเภท - ทรพั ยส์ นิ ข้อมูล (Information and Document Asset) หมายถึง ฐานขอ้ มลู ไฟล์ข้อมลู เอกสารสัญญา/ขอ้ ตกลง เอกสารระบบ (System Document) เอกสารค่มู อื ผู้ใช้งาน เอกสารการอบรม เอกสารขน้ั ตอนการปฏิบัตงิ านด้านสารสนเทศ แผนดาเนินงานเพ่ือ ความ ตอ่ เนื่อง (Business Continuity Plans) หลกั ฐานการ ตรวจสอบ (Audit Trials) และข้อมูล Archived และอ่ืน ๆ - ทรพั ย์สนิ ซอฟต์แวร์ (Software Asset) หมายถงึ โปรแกรม ประยกุ ต์ (Application Software) ซอฟต์แวร์ระบบ (System Software) โปรแกรมอรรถประโยชน์ (Utilities) และเครอื่ งมอื ท่ี ใช้ในการพฒั นาและบรหิ ารจัดการ (Development Tools) และ อื่นๆ - ทรพั ยส์ ินอปุ กรณ์ (Hardware Asset) หมายถึง อุปกรณ์ คอมพิวเตอร์ อุปกรณ์สื่อสาร สอื จัดเก็บข้อมลู และ อปุ กรณห์ รือ เคร่อื งมืออน่ื ๆ - ทรพั ย์สนิ งานบริการ (Sevice Asset) หมายถึง ทรพั ยส์ ินที่ ศอ.ปส.สธ. ใช้บรกิ ารหรือใหบ้ ริการ เช่น การใหบ้ ริการ อินเทอร์เน็ต การใชบ้ ริการ DR-Site และอื่น ๆ - ทรัพยส์ ินบุคลากร (People Asset) หมายถงึ เจ้าหนา้ ท่ดี แู ลระบบ สารสนเทศ เจา้ หน้าท่ี ดูแลระบบเครือข่าย เจา้ หน้าท่ีดแู ลห้องศนู ย์ ปฏิบัติการ MOPH IDC เจ้าหนา้ ที่ธุรการ และ อนื่ ๆ ลาดบั ชั้นความลบั ของข้อมลู ลาดับชนั้ ความลับของขอ้ มูลแบง่ ออกเปน็ 4 ช้นั ดงั นี้ - ข้อมูลลบั ทส่ี ุด (Top Secret) หมายถงึ หากเปิดเผยทง้ั หมด หรอื เพยี งบางส่วนจะก่อใหเ้ กิดความ เสยี หายอย่างรา้ ยแรงท่สี ดุ - ขอ้ มูลลับมาก (Secret) หมายถงึ หากเปดิ เผยทั้งหมด หรอื เพยี ง บางสว่ นจะกอ่ ให้เกิดความ เสียหายอยา่ งรา้ ยแรง - ขอ้ มลู ลับ หรือ ใช้ภายใน (Internal Use) หมายถึง หากเปิดเผย ท้ังหมดหรอื เพยี งบางสว่ นจะ กอ่ ให้เกิดความเสียหาย - ข้อมลู ทวั่ ไป หรอื สาธารณะ (Public) หมายถงึ ข้อมลู ทสี่ ามารถ เปิดเผยหรอื เผยแพร่ทวั่ ไปได้ ใชภ้ ายใน ใช้ภายใน ศอ.ปส.สธ. (Internal Use)

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 65 ศอ.ปส.สธ. ชนั้ ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 คาศัพท์ ความหมาย การเข้าถงึ หรือควบคมุ การ การอนุญาต การกาหนดสทิ ธ์ิ หรอื การมอบอานาจใหผ้ ใู้ ช้งาน ผู้ใช้บรกิ าร ใช้งานสารสนเทศ เขา้ ถึงหรือใช้งานระบบ เทคโนโลยสี ารสนเทศและการส่ือสาร ความมน่ั คงปลอดภยั ดา้ น การธารงไวซ้ งึ่ ความลบั (Confidential) ความถูกต้องครบถ้วน (Integrety) สารสนเทศ และความพร้อมใช้ งาน (Avaliability) ทงั้ นีร้ วมถงึ คณุ สมบัติในด้าน ความ ถูกต้องแท้จริง ความรบั ผดิ การหา้ มปฏิเสธ ความรับผิดและความน่าเชือ่ ถือ เหตกุ ารณ์ดา้ นความม่ันคง เหตกุ ารณ์ที่ทาให้ระบบเทคโนโลยีสารสนเทศและการสื่อสารของ ปลอดภัย ศอ.ปส.สธ. ขาดคุณสมบัตดิ า้ นความลับ (Confidential) ความถกู ต้อง ครบถว้ น (Integrity) และความพรอ้ มใชง้ าน (Availability) อาทิ การ ปลอมแปลงหน้าเวบ็ ไซต์ การเจาะระบบ การข่มขู่ทางเว็บไซต์ การแฮก เวบ็ ไซต์ การร่ัวไหล ของข้อมูล การแพรร่ ะบาดของไวรสั และหนอน อนิ เทอร์เน็ต ระบบลม่ ไม่สามารถใหบ้ ริการได้ และ การบกุ รกุ เครือข่าย สถานการณ์ด้านความม่ันคง เปน็ สถานการณ์ ซ่ึงอาจทาให้ระบบของ ศอ.ปส.สธ. ถูกบกุ รกุ หรือโจมตี ปลอดภัยท่ไี ม่พงึ ประสงค์ และระบบความมน่ั คงปลอดภัยถกู คุกคาม หรอื ไม่อาจคาดคดิ สานักงาน เปน็ พืน้ ท่ีการทางานทเ่ี ขา้ ไดเ้ ฉพาะบุคลากรทเ่ี ก่ียวข้องกบั งานน้ัน ๆ ใน ศอ.ปส.สธ.

การบริหารจัดการระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 66 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 นโยบายความมัน่ คงปลอดภยั สารสนเทศ (Information Security Policy) วตั ถปุ ระสงค:์ 1. เพื่อให้เกิดความเช่ือม่ันและมีความม่ันคงปลอดภัยในการใช้งานสารสนเทศของศูนย์อานวยการ ป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข ทาให้ดาเนินงานได้อย่างมีประสิทธิภาพ และประสทิ ธผิ ล 2. เพ่ือเผยแพร่ให้เจ้าหน้าท่ีทุกระดับในหน่วยงานสังกัดศูนย์อานวยการป้องกันและปราบปรามยา เสพตดิ กระทรวงสาธารณสขุ ได้รับทราบถือปฏบิ ตั ติ ามนโยบาย อย่างเคร่งครดั 3. เพ่ือกาหนดมาตรฐาน แนวทางปฏิบัติและวิธีการปฏิบัติให้ผู้บริหาร ผู้ใช้งาน ผู้ดูแลระบบ และ บุคคลภายนอกที่ปฏิบัติงาน ให้กับศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวง สาธารณสุข ตระหนักถึงความสาคัญของการรักษาความมั่นคงในการใช้งานด้านสารสนเทศของ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข และปฏิบัติตามอย่าง เคร่งครัด โดยจะตอ้ งมีการทบทวนนโยบายปลี ะ 1 คร้ัง นโยบาย 3.1.1 จัดทานโยบายความมั่นคงปลอดภัยเป็นลายลักษณ์อักษร (Information Security Policy Document) 1. ต้องจดั ทานโยบายระบบบริหารความมัน่ คงปลอดภยั สารสนเทศเป็นลายลักษณ์อักษร เพ่ือให้ เกิดความ เชื่อมั่น และมีความปลอดภัยในการใช้งานระบบเทคโนโลยีสารสนเทศและการ สื่อสาร โดยนโยบายดังกล่าวจะต้อง ได้รับ การอนุมัติจากผู้บริหารเทคโนโลยีสารสนเทศ ระดบั สงู กระทรวงสาธารณสุข ในการนาไปใช้ 2. กาหนดให้มีการเผยแพร่เอกสารนโยบายระบบบริหารความมั่นคงปลอดภัยสารสนเทศให้กับ เจ้าหนา้ ท่ี ของ ศอ.ปส.สธ. และผู้ทเ่ี กย่ี วขอ้ งในขอบเขตรับทราบ 3.1.2 ทาการทบทวนนโยบายความม่ันคงปลอดภัย (Review of the Information Security Policy) 1. ต้องดาเนินการตรวจสอบ ทบทวน และประเมินนโยบายระบบบริหารความมั่นคงปลอดภัย สารสนเทศ ตาม ระยะเวลาท่กี าหนดไว้ หรอื อยา่ งน้อย 1 ครัง้ ตอ่ ปี

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศูนย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 67 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 การรักษาความปลอดภัยด้านทรัพยากรมนษุ ย์ (Human Resource Security) 3.2.1 การจดั หาบุคลากรก่อนการจ้างงาน (Prior to Employment) วัตถุประสงค์: เพื่อให้พนักงานและผทู้ ่ีทาสัญญาจ้างเข้าใจในหน้าท่ีความรบั ผดิ ชอบของตนเองและมีความ เหมาะสมตาม บทบาทหนา้ ที่ท่ีได้รับพิจารณาจา้ งงาน ศอ.ปส.สธ. นโยบาย 3.2.1.1 การสรรหาบคุ ลากร (Screening) ๑) เจ้าหนา้ ทก่ี ลุ่มบรหิ ารงานบุคคล ต้องทาการตรวจสอบคุณสมบัติของผู้สมัครงานทุกคนก่อนที่ จะบรรจุเป็น เจ้าหน้าที่ เจ้าหน้าที่ชั่วคราวหรือนักศึกษาฝึกงาน โดยต้องไม่มีประวัติในการ บุกรุก แก้ไข ทาลาย หรือโจรกรรมข้อมูล ในระบบเทคโนโลยีสารสนเทศของหน่วยงานใดมา ก่อน ๒) เจา้ หน้าทป่ี ระสานงานกล่มุ บริหารงานบุคคล ต้องจัดให้มกี ารลงนามในสญั ญาระหว่าง 2.1“เจ้าหน้าท่ี” และหน่วยงาน ลงนามในหนังสือยอมรับเง่ือนไขนโยบายความปลอดภัย ระบบสารสนเทศสาหรับผู้ใช้งาน (Acceptable Use Policy: AUP) (F-IT-AC-02.01) และบันทกึ ขอ้ ตกลงการไม่เปดิ เผยขอ้ มลู (Non Disclosure Agreement: NDA) (F- IT-HR-01.01) โดยการลงนามนี้จะเป็นส่วนหน่ึงของการวา่ จ้างเจา้ หน้าท่ีน้ัน ๆ ท้ังน้ีตอ้ ง มีผลผูกพันท้ังในขณะที่ทางาน และผูกพันต่อเน่ืองเป็นเวลาไม่น้อยกว่า 1 ปี ภายหลัง จากที่สิ้นสุดการว่าจา้ งแลว้ 2.2“ผู้รับจ้างให้บริการจากภายนอก” และหน่วยงาน ลงนามในหนังสือยอมรับเง่ือนไข นโยบายความ ปลอดภัยระบบสารสนเทศสาหรับผู้ใช้งาน (Acceptable Use Policy: AUP) (F-T-AC-02.01) และบันทึกข้อตกลงการไม่เปิดเผยข้อมูล (Non Disclosure Agreement: NDA) (F-IT-HR 01.01) โดยการลงนามนี้จะเป็นส่วนหน่ึงของการว่าจ้าง เจ้าหน้าท่ีน้ัน ๆ ทั้งนี้ต้องมีผลผูกพันทั้งในขณะท่ีทางานและผูกพันต่อเน่ืองเป็นเวลาไม่ น้อยกวา่ 1 ปี ภายหลงั จากท่ีสิ้นสุดการวา่ จา้ งแล้ว ๓) ปฏิบัติตามระเบียบปฏิบัติ เรื่อง : การบริหารจัดการทรัพยากรบุคคลด้านการรักษาความ มั่นคงปลอดภยั สารสนเทศ (Human resources security) (P-IT-HR-01) ๔) ในการสรรหาบคุ ลากรนอกจากความเหมาะสมตามตาแหน่งแลว้ ต้องมกี ารตรวจสอบสารเสพ ติดในร่างกาย ก่อนรบั เข้าทางาน โดยผสู้ มคั รเพ่ือเข้ารับตาแหน่ง จะต้องมีเอกสารการรับรอง จากแพทยแ์ นบมาพร้อมเอกสารในการสมัคร

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 68 ศอ.ปส.สธ. ชั้นความลบั : สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.2.1.2 ขอ้ กาหนดและเงื่อนไขของการจ้างงาน (Terms and conditions of employment) ๑) เจ้าหน้าท่ีประสานงานกลุ่มบริหารงานบุคคล ต้องกาหนดเง่ือนไขการจ้างงานที่รวมถึงหน้าที่ ความรับผิดชอบ ทางด้านความม่ันคงปลอดภัยทางด้านสารสนเทศ โดยเจ้าหน้าที่กลุ่ม บริหารงานบคุ คล ต้องแจ้งให้ ศทส. ทราบทันที เมอื่ มีเหตดุ ังน้ี - การว่าจา้ งงาน - การเปล่ยี นแปลงสภาพการว่าจา้ งงาน - การลาออกจากงาน หรือการสิ้นสุดการเป็นผู้บริหาร เจ้าหน้าท่ีและลูกจ้าง หรือการ ถึงแกก่ รรม - การโยกย้ายหน่วยงาน - การพักงาน การลงโทษทางวินัย หรือระงับการปฏิบัติหนา้ ท่ี 3.2.2 การสร้างความความมน่ั คงปลอดภยั ขณะเป็นเจา้ หน้าที่ (During employment) วัตถุประสงค์: เพื่อให้พนักงานและผู้ที่ทาสัญญาจ้างตระหนักและปฏิบัติตามหน้าท่ีความรับผิดชอบด้าน ความมัน่ คงปลอดภยั สารสนเทศของ ศอ.ปส.สธ. นโยบาย 3.2.2.1 หน้าท่ีความรับผิดชอบของผู้บริหาร (Management responsibilities) ISMR ต้องกาหนดให้เจ้าหน้าท่ี พนักงานข้าราชการ และผู้รับจ้างให้บริการจากภายนอกรับทราบและ ปฏิบัติตาม นโยบาย กฎ ระเบียบและขั้นตอนการทางานท่ีเก่ียวข้องกับการรักษาความมั่นคงปลอดภัย สารสนเทศของ ศอ.ปส.สธ. ดว้ ย 3.2.2.2 การสร้างความตระหนัก การให้ความรู้และการอบรมให้ความรู้ด้านความม่ันคงปลอดภัย สารสนเทศ (Information Security Awareness, Education and Training) ๑) เจ้าหน้าที่ ศอ.ปส.สธ. ผู้รับจ้างขององค์กรทุกคนต้องได้รับการอบรมให้ความรู้ โดยเน้ือหาที่ แตล่ ะบุคคลจะได้รับ การฝกึ อบรมต้องเหมาะสมกบั บทบาทหนา้ ที่ในการปฏิบัติงานของแต่ละ บุคคล เพอื่ เปน็ การสร้างความตระหนกั และ ฝึกอบรมด้านความมน่ั คงปลอดภัยสารสนเทศ ๒) ต้องจัดอบรมให้ความรู้แก่เจ้าหน้าท่ี ศอ.ปส.สธ. เก่ียวกับความตระหนักและวิธีปฏิบัติเพ่ือ สร้างความม่ันคงปลอดภัย ให้กับระบบเทคโนโลยีสารสนเทศและการส่ือสาร ซึ่งรวมถึงการ แจ้งให้ทราบเกี่ยวกับนโยบายความมั่นคงปลอดภัย และการเปล่ียนแปลงท่ีเกิดขึ้นด้าน เทคโนโลยสี ารสนเทศและการส่อื สารของ ศอ.ปส.สธ. ดว้ ย

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 69 ศอ.ปส.สธ. ชั้นความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 ๓) เจ้าหน้าท่ีของ ศอ.ปส.สธ. ใหม่ทุกคน ต้องได้รับการอบรมเกี่ยวกับนโยบายการรักษาความ มนั่ คงปลอดภัยระบบเทคโนโลยสี ารสนเทศและการสื่อสาร และระเบียบปฏบิ ตั ทิ ่เี กยี่ วข้องกับ หน่วยงานก่อนหรืออย่างน้อยภายใน 90 วัน นับจากเข้าทางานในหน่วยงาน โดยควรเป็น ส่วนหนึ่งของการปฐมนิเทศ และต้องมีการลงนามและเก็บรวบรวมไว้ใน แฟ้มประวัติของ บุคลากรด้วย ๔) เจ้าหน้าท่ีประสานงานกลุ่มบริหารงานบุคคล และ ISM มีหน้าท่ีในการแจ้งให้ทราบเก่ียวกับ นโยบายความ ม่ันคงปลอดภัยระบบเทคโนโลยีสารสนเทศ และการเปลี่ยนแปลงที่เกิดข้ึน ทางด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศและการส่ือสารของ ศอ.ปส.สธ. ให้แก่บคุ ลากรด้วย 3.2.2.3 กระบวนการทางวินัย (Disciplinary Process) ผบู้ ริหาร ศอ.ปส.สธ. ต้องกาหนดบทลงโทษทางวินยั สาหรับผู้ท่ฝี ่าฝืนนโยบาย กฎ และ/หรือระเบยี บปฏิบัติ ของ ราชการและ ศอ.ปส.สธ. แต่หากเป็นการละเมิดข้อกฎหมาย บทลงโทษจะเป็นไปตามฐานความผิดที่ ได้กระทาตามทีร่ ะบุในแต่ ละข้อกฎหมายนั้น ๆ 3.2.3 การสนิ้ สดุ หรือการเปลีย่ นการจ้างงาน (Termination and change of employment) วัตถุประสงค์: เพ่ือป้องกันผลประโยชน์ขององค์กรซึ่งเป็นส่วนหน่ึงของการเปล่ียนหน้าท่ี หรือส้ินสุดการ จ้างงาน นโยบาย 3.2.3.1 การสิ้นสุดหรือการเปลี่ยนหน้าที่ความรับผิดชอบของการจ้างงาน (Termination or Change of Employment Responsibilities) ๑) ต้องมีการกาหนดและสื่อสารให้พนักงานหรือผู้ทาสัญญาได้รับทราบ รวมท้ังมีการควบคุมให้ ปฏิบตั ติ าม ข้อกาหนดในสญั ญา ๒) เจ้าหน้าที่กลุ่มบริหารงานบุคคลมีหน้าที่ดูแลหากมีการแต่งต้ังโยกยา้ ย ปลดหรือเปลี่ยนแปลง ตาแหนง่ ใด ๆ ท่เี กี่ยวข้องกบั ความรบั ผดิ ชอบใน ศอ.ปส.สธ. ๓) เจ้าหน้าท่ีผู้เกี่ยวข้องเมื่อได้รับเร่ืองของผู้ใช้งานที่ส้ินสุดสภาพการจ้างงานหรือเปลี่ยนหน้าที่ ความรับผิดชอบ จากกลุ่มบริหารงานบุคคล ให้ปฏิบัติตามระเบียบปฏิบัติ เร่ือง การ ลงทะเบียนใช้งานระบบสารสนเทศ (P-T-AC-01) เพื่อดาเนินการเพิกถอนสิทธิ์หรือ เปลีย่ นแปลงสิทธิ์

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เร่ิมใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 70 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 การบรหิ ารจดั การทรัพย์สิน (Asset Management) 3.3.1 ความรับผิดชอบต่อทรพั ย์สิน (Responsibility for Assets) วตั ถปุ ระสงค์: เพอื่ ใหท้ รพั ย์สนิ ของ ศอ.ปส.สธ. ได้รบั การป้องกนั และปกป้องอยา่ งเหมาะสม นโยบาย 3.3.1.1 ทะเบียนทรพั ยส์ ิน (Inventory of assets) ๑) ต้องจัดทาและเก็บทะเบียนทรัพย์สิน ซึ่งรวมถึงทรัพย์สินข้อมูล และเอกสาร (Information and Document Asset) ทรัพย์สินซอฟต์แวร์ ( Software Asset) ทรัพย์สินอุปกรณ์ (Hardware Asset) ทรัพย์สินงาน บริการ (Service Asset) และบุคลากร (People Asset) เพ่ือเป็นข้อมูลเบ้ืองต้นสาหรับการนาไปวิเคราะห์ ประเมิน ความเส่ียงและบริหารจัดการ ความเส่ียงท่ีมีต่อทรัพย์สินอย่างเหมาะสม รวมถึงเป็นการควบคุมและจัดการทรัพย์สิน ของ ศอ.ปส.สธ. โดยปฏิบัติตามเอกสาร ระเบียบปฏิบัติ เรื่อง การบริหารจัดการทรัพย์สิน สารสนเทศของ ศอ.ปส.สธ. (Asset Management) (P-IT-AM-01) ๒) ต้องมีการตรวจสอบทรัพย์สิน (Inventory Check) ต้องจัดให้มีการตรวจสอบบัญชีทรัพย์สิน ทุกประเภท อย่าง น้อยปีละ 1 คร้ัง หรือตามระยะเวลาท่ีกาหนดไว้ หรือเม่ือมีการ เปลย่ี นแปลงท่ีสาคญั เกิดขึน้ ๓) ต้องประเมินความเส่ียงตามแนวทางการจัดการความเสี่ยงของทรัพย์สิน เม่ือมีทรัพย์สินใหม่ หรอื ทรพั ย์สนิ ที่ มีการเปลีย่ นแปลงท่ีสาคญั เกิดขน้ึ 3.3.1.2 ความเป็นเจ้าของทรพั ย์สิน (Ownership for Assets) จะต้องกาหนดบุคคล หรือหน่วยงานผู้รับผิดชอบข้อมูลและทรัพย์สินทั้งหมดด้านเทคโนโลยีสารสนเทศ และการ สอ่ื สารของ ศอ.ปส.สธ. อย่างชดั เจน 3.3.1.3 การอนุญาตให้ใช้ทรพั ย์สนิ (Acceptable Use for Assets) ๑) จะต้องกาหนด แสดง บันทึกเป็นเอกสาร และกฎการอนุญาตให้ใช้ข้อมูลและทรัพย์สินอย่าง เหมาะสม ๒) การอนุญาตใหใ้ ชง้ านทรพั ย์สนิ ด้านอปุ กรณ์คอมพิวเตอร์มีดงั น้ี - ระบบเทคโนโลยีสารสนเทศและอุปกรณ์การประมวลผลข้อมูลที่เก่ียวข้องทั้งหมด ท่ี ศอ.ปส.สธ. เปน็ ผู้จัดหามานน้ั มี วตั ถุประสงคเ์ พื่อให้ใช้ในการดาเนินงานของ ศอ.ปส.สธ. การใช้งานระบบและอุปกรณ์ต่าง เพ่ือกิจธุระส่วนตัวนั้น อนุญาตให้สามารถใช้ได้ใน ขอบเขตทจ่ี ากัดตามความเหมาะสม ซึง่ จะตอ้ งไม่รบกวนหรือเปน็ อุปสรรคต่อการ ทางาน ตามหน้าทค่ี วามรบั ผดิ ชอบของเจา้ หน้าที่

การบริหารจดั การระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 71 ศอ.ปส.สธ. ช้ันความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 - เจา้ หน้าท่ี ตลอดจนหน่วยงานภายนอก ที่ไดร้ ับการวา่ จ้างโดย ศอ.ปส.สธ. จะตอ้ งมคี วาม รับผิดชอบต่ออุปกรณ์ คอมพิวเตอร์ที่ได้มอบไว้ให้ใช้งาน รวมทั้งสอดส่องดูแลทรัพยากร เหล่านี้ให้มีความปลอดภัย และคงความ ถูกต้อง โดยหมายรวมถึงข้อมูล และระบบ สารสนเทศของ ศอ.ปส.สธ. - ผู้ใช้งานต้องรับผิดชอบในการใช้งานเคร่ืองคอมพิวเตอร์ และอุปกรณ์ต่าง ๆ ของ ศอ.ปส.สธ. อยา่ งระมัดระวัง และ ใหก้ ารปกปอ้ งเสมือนเป็นทรพั ยส์ ินของตน - เครื่องคอมพิวเตอร์แม่ข่าย เคร่ืองคอมพิวเตอร์ลูกข่าย และเครื่องคอมพิวเตอร์พกพา ท้ังหมดของ ศอ.ปส.สธ. ต้อง ได้รับการปกป้องด้วยรหสั ผา่ นของระบบปฏิบตั ิการทุกครง้ั เมื่อต้องการเข้าใช้งาน และต้องได้รับการปกป้องอัตโนมัติโดยรหัสผ่านของ Screen Saver หรือทาการ Log Off อุปกรณ์ทุกคร้ังเมื่อไม่ได้ใช้งานอุปกรณ์ โดย ระยะเวลา วา่ งเวน้ จากการใชง้ านแล้วตอ้ งทาการ Log Off ตอ้ งไมเ่ กิน 15 นาที - ส่งเสริมสนับสนุนให้ผู้ใช้งานติดต้ังซอฟต์แวร์ลิขสิทธิ์ลงในเครื่องคอมพิวเตอร์ของ ศอ.ปส.สธ. - เครื่องคอมพิวเตอร์พกพาท่ีมีการเก็บข้อมูลลับไว้ ต้องได้รับการปกป้องเทียบเท่ากับ เครื่องคอมพิวเตอรท์ ใี่ ช้ งานอยู่ภายใน ศอ.ปส.สธ. อาทิ การตดิ ต้งั ซอฟต์แวรป์ อ้ งกันไวรัส ซอฟต์แวร์ป้องกันสปายแวร์ และมีการปรับปรุง Security Patch อยู่เสมอ ฯลฯ ท้ังน้ี ผู้ใช้งานต้องทาการปกป้องอุปกรณ์และข้อมูลในอุปกรณ์ตามคาแนะนา ท่ีระบุไว้ใน เอกสารข้ันตอนการปฏิบัติงาน เรื่องการใช้เคร่ืองคอมพิวเตอร์ประเภทพกพาในการ ปฏบิ ัติงานนอกสถานท่ี (Mobile Computing and Communications) (P-IT-MO-01) - อุปกรณ์คอมพิวเตอร์ของ ศอ.ปส.สธ. ต้องไม่ถูกดัดแปลง หรือติดตั้งอุปกรณ์เพิ่มเตมิ ใดๆ ก่อนได้รบั อนุญาตจาก ผู้บริหารของสว่ นงานนนั้ ๆ และเจ้าหนา้ ทีต่ ้องไม่อนญุ าตให้ผู้ไม่มี หน้าท่ีเกี่ยวข้องทาการติดตั้งฮาร์ดแวร์หรือซอฟต์แวร์ใด ๆ บนเคร่ืองคอมพิวเตอร์ของ ศอ.ปส.สธ. อย่างเดด็ ขาด ๓) การอนุญาตให้ใชง้ านทรัพยส์ ินด้านซอฟต์แวร์มีดงั น้ี - ห้ามเจ้าหน้าท่ี ทาการติดตั้งหรือเผยแพร่ซอฟต์แวร์ที่ละเมิดลิขสิทธ์ิบนระบบ คอมพวิ เตอรข์ อง ศอ.ปส.สธ. - ซอฟต์แวร์ที่นามาใช้ในการประมวลผลและจัดเก็บข้อมูลลับหรือข้อมูลสาคัญของ ศอ.ปส.สธ. ท้ังที่ได้มาจากการพัฒนาขึ้นโดยเจ้าหน้าที่ หรือท่ีได้รับการจัดซ้ือมา ต้อง ไดร้ ับการตรวจสอบ ควบคมุ และอนมุ ตั ิอย่าง เหมาะสมโดยหนว่ ยงานเจ้าของระบบหรือ ข้อมูล กอ่ นนามาตดิ ต้ังใชง้ านบนระบบเทคโนโลยสี ารสนเทศของ ศอ.ปส.สธ. - ระบบสารสนเทศทั้งหมดที่ถกู ใช้งานโดยผใู้ ช้งานทั่วไป ต้องมเี อกสารสนบั สนนุ การใช้งาน อย่างเพียงพอ เพ่ือให้ผู้ใช้งานท่ัวไปของ ศอ.ปส.สธ. มีความเข้าใจและสามารถใช้งาน ระบบสารสนเทศได้ ๔) การอนุญาตให้ใชง้ านอนิ เทอร์เนต็ มีดงั นี้

การบริหารจัดการระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 72 ศอ.ปส.สธ. ช้ันความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 - ศอ.ปส.สธ. จัดหาบริการอินเทอร์เน็ตไว้เพ่ือสนับสนุนการดาเนินงาน และอานวยความ สะดวกแก่เจ้าหน้าที่ในการทา วิจัยการค้นหาข้อมูลความรู้ และการติดต่อส่ือสารกับ บุคคลภายนอก เพอ่ื เพ่มิ ประสิทธภิ าพในการทางานและการให้บริการของ ศอ.ปส.สธ. - ผู้ใช้งาน ต้องใช้งานอินเทอร์เน็ตด้วยความระมัดระวัง และการใช้งานน้ันต้องไม่เป็น สาเหตุให้ ศอ.ปส.สธ. และบุคคลผู้ท่ีเก่ียวข้องกับ ศอ.ปส.สธ. เส่ือมเสียชื่อเสียง หรือ เกี่ยวพันกับการกระทาท่ีผิดกฎหมาย ทั้งนี้การใช้งานอินเทอร์เน็ต ในทางที่ผิดถือเป็น ความผิดทางวนิ ัย และอาจถูกดาเนินคดตี ามกฎหมาย - การเขา้ ใช้งานอินเทอร์เน็ตต้องเข้าใช้งานผ่าน Gateway ทีไ่ ด้รบั อนญุ าต หรอื ผา่ นเครื่อง คอมพิวเตอร์ลูกข่าย ท่ีได้รับการจัดเตรียมเพื่อใช้งานเฉพาะกิจเท่าน้ัน ทั้งนี้ ศอ.ปส.สธ. ขอสงวนสิทธิ์ในการตรวจสอบการใช้งานอินเทอร์เน็ตของผู้ใช้งาน เพ่ือตรวจสอบการใช้ งานในลกั ษณะทไ่ี ม่เหมาะสม - หา้ มผ้ใู ชง้ านคลกิ หนา้ ต่างโฆษณาแบบป็อบอัพ หรอื เขา้ สู่เวบ็ ไซต์ใดๆ ทีโ่ ฆษณาโดยสแปม เนื่องจากเว็บไซต์เหล่าน้ีอาจมีโปรแกรมมุ่งร้ายแฝงอยู่ หรืออาจโจรกรรมข้อมูลในเครื่อง คอมพิวเตอร์ของผูใ้ ช้งานโดยท่ีผู้ใชง้ านไมไ่ ดร้ ับทราบหรอื ไม่ได้อนญุ าต - ห้ามผู้ใช้งานเข้าชม ดาวน์โหลด หรือทาซ้าส่ือลามกอนาจาร และส่ืออ่ืนใดที่ไม่เหมาะสม หรือผดิ กฎหมาย - ศอ.ปส.สธ. ไม่สนับสนุนการแสดงความคิดเห็นส่วนตัวในรูปแบบอิเล็กทรอนิกส์ (เช่น ผ่านทางเว็บบอร์ด) ของเจ้าหน้าที่ ทั้งนี้ความเสียหายใดๆ ท่ีอาจเกิดข้ึนจากการแสดง ความคิดเห็นดังกลา่ ว ถอื เป็นความรบั ผิดชอบของเจา้ หน้าทผ่ี ูน้ ้นั กรณเี จา้ หนา้ ที่ ศอ.ปส.สธ. ไมป่ ฏิบัตติ ามท่ี ศอ.ปส.สธ. กาหนด - สาหรับข้าราชการ ให้ดาเนนิ การตามระเบยี บขา้ ราชการพลเรือน พ.ศ. 2551 - สาหรับพนักงานราชการ ให้ดาเนินการตามระเบียบสานกั นายกรัฐมนตรีวา่ ด้วยพนกั งาน ราชการ พ.ศ. 2547 3.3.1.4 การคนื ทรพั ย์สนิ (Return of Assets) เจ้าหน้าท่ี ศอ.ปส.สธ. ซ่ึงพ้นสภาพจากการจ้างงานต้องคืนทรัพย์สินทั้งหมดซึ่งเกี่ยวข้องกับระบบงาน คอมพิวเตอร์ รวมทั้งกุญแจ บัตรประจาตัวเจ้าหน้าที่ บัตรผ่านเข้า-ออก คอมพิวเตอร์และอุปกรณ์ต่อพ่วง คู่มือ และเอกสารต่าง ๆ ให้แก่ผู้บังคับบัญชาก่อนวันสุดท้ายของการว่าจ้างงาน โดยปฏิบัติตามระเบียบ ปฏบิ ัติ เร่อื งการส่งคนื ทรัพย์สนิ (Return of Assets) (P-IT-HR-02) 3.3.2 การจัดหมวดหมู่ข้อมูลและทรพั ยส์ นิ สารสนเทศ (Information Classification) วตั ถุประสงค:์ เพือ่ ทาใหแ้ นใ่ จวา่ สารสนเทศของ ศอ.ปส.สธ. ไดร้ ับการปกป้องในระดบั ที่เหมาะสม

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศนู ย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ท่ี 73 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 นโยบาย 3.3.2.1 การกาหนดชนั้ ความลบั ของสารสนเทศ (Classification of Information) ๑) การแบ่งประเภทของข้อมูลและการจัดลาดับความสาคัญหรือลาดับช้ันความลับของข้อมูล ใชแ้ นวทางตาม ระเบยี บว่าดว้ ยการรักษาความลับของทางราชการ พ.ศ.2544 ซ่ึงระเบียบ ดังกล่าวเป็นมาตรการท่ีละเอียด รอบคอบ ถือว่าเป็นแนวทางที่เหมาะสม ในการจัดการ เอกสารอิเล็กทรอนิกส์ และในการรักษาความปลอดภัย ของเอกสารอิเล็กทรอนิกส์ โดยได้ กาหนดกระบวนการและกรรมวิธีต่อเอกสารที่สาคัญไว้ ดังน้ี 1.1) จดั แบ่งประเภทของข้อมูล ออกเป็น - ข้อมูลสารสนเทศด้านการบริหาร เป็นข้อมูลท่ีเกี่ยวข้องกับข้อมูลนโยบาย ข้อมูล ยุทธศาสตร์และคารับรอง ข้อมลู บคุ ลากร ข้อมลู งบประมาณการเงินและบญั ชี - ข้อมูลสารสนเทศด้านการแพทย์และการสาธารณสุข สาธารณสุข เป็นข้อมูลที่ เก่ียวข้องกับการรักษาผู้ป่วย ประวัติผู้ป่วย ข้อมูลทางการแพทย์และข้อมูล สถานพยาบาล 1.2) จดั แบง่ ระดบั ความสาคัญของข้อมลู ออกเป็น 3 ระดับ คอื - ข้อมูลท่ีมีระดับความสาคัญมาก อาทิ ข้อมูลส่วนตัว ข้อมูลทางการเงิน ข้อมูลทาง ราชการ ประวตั กิ ารรักษาทางการแพทย์ - ข้อมูลท่ีมีระดับความสาคัญปานกลาง อาทิ ข้อมูลทั่วไปเกี่ยวกับตัวบุคคล เช่น สว่ นสูง น้าหนัก - ขอ้ มลู ทมี่ ีระดับความสาคัญนอ้ ย อาทิ ประกาศ ข่าวสาร ความรูท้ เี่ ผยแพร่สาธารณะ 1.3) จัดแบ่งลาดับช้นั ความลับของขอ้ มลู - ข้อมูลลับท่ีสุด (Top Secret) หมายถึง หากเปิดเผยทั้งหมดหรือเพียงบางส่วนจะ กอ่ ให้เกดิ ความเสยี หายอย่างรา้ ยแรงท่ีสุด - ข้อมูลลับมาก (Secret) หมายถงึ หากเปิดเผยทั้งหมดหรอื เพียงบางส่วนจะกอ่ ให้เกิด ความเสียหายอย่างรา้ ยแรง - ข้อมูลลับ หรือ ใช้ภายใน (Internal Use) หมายถึง หากเปิดเผยท้ังหมดหรือเพียง บางส่วนจะกอ่ ใหเ้ กิดความเสียหาย - ขอ้ มูลท่วั ไป หรือ สาธารณะ (Public) หมายถึง ขอ้ มลู ท่ีสามารถเปดิ เผยหรือเผยแพร่ ท่วั ไปได้ 1.4) จดั แบ่งระดับชน้ั การเขา้ ถึง - ระดับช้ันสาหรับผู้บริหาร เข้าถึงได้ตามอานาจหน้าที่ที่และลาดับช้ันในบังคับบัญชา ในหน่วยงานนั้น

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าที่ 74 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 - ระดับช้ันสาหรับผู้ใช้งานท่ัวไป เข้าถึงได้เฉพาะข้อมูลที่ได้รับอนุญาตให้เข้าถึงได้หรอื ไดท้ าการเผยแพรส่ าหรับผู้ใช้งานท่ัวไป - ระดบั ชัน้ สาหรบั ผูด้ แู ลระบบหรือผู้ท่ีได้มอบหมาย เข้าถงึ ข้อมลู หรือระบบไดโ้ ดยสิทธิ์ ทไ่ี ดร้ บั มอบหมายตามอานาจหน้าท่ี 1.5) รูปแบบของเอกสารอิเล็กทรอนิกส์ ให้ถือตามประกาศคณะกรรมการธุรกรรม ทางอิเล็กทรอนิกส์ เรื่องหลักเกณฑ์และวิธีการในการจัดทาหรือแปลงเอกสารและ ขอ้ ความให้อยใู่ นรปู ของขอ้ มลู อเิ ลก็ ทรอนกิ ส์ พ.ศ. 2553 3.3.2.2 การจดั ทาป้ายชอื่ ของข้อมูล (Labeling of Information) ๑) ต้องจัดให้มีวิธีการจัดทาและจัดการป้ายช่ือสาหรับปิดฉลากเอกสารข้อมูลและอุปกรณ์ ทรพั ยส์ นิ สารสนเทศท่ี เกยี่ วขอ้ งกบั การบรหิ ารด้านเทคโนโลยีสารสนเทศและการสื่อสาร ๒) ข้อมลู ทอ่ี ยใู่ นรปู แบบของเอกสาร ท่ถี ูกจัดทาขึ้นจะตอ้ งมีการควบคุมและรักษาความปลอดภัย อย่าง เหมาะสมตั้งแต่การเริ่มพิมพ์ การจัดทาป้ายช่ือ การเก็บรักษา การทาสาเนา การ แจกจ่าย จนถึงการทาลาย และ กาหนดเป็นระเบียบปฏิบัติให้เจ้าหน้าที่ ต้องปฏิบัติตาม เพ่อื ใหม้ ั่นใจวา่ ขอ้ มลู ได้รับการควบคุมและรกั ษาความปลอดภยั 3.3.2.3 การจดั การทรัพยส์ นิ (Handling of Asset) ๑) ข้อมลู ลบั ต้องไม่ถูกเปิดเผยกับผอู้ นื่ เว้นแตม่ คี วามจาเป็นในการปฏิบตั ิงานเทา่ น้นั ๒) ผู้ใช้งานต้องตระหนักถึงการรักษาข้อมูลท่ีถูกเก็บไว้ในเครื่องคอมพิวเตอร์ของผู้ใช้งาน โดยเฉพาะอย่างยิง่ เครอ่ื ง คอมพวิ เตอร์ท่ีมีการใช้งานร่วมกันมากกว่าหน่ึงคนข้นึ ไป ข้อมูลลับ เหล่าน้ตี ้องไดร้ ับการปกป้องโดยการเข้ารหัส หรอื โดย วธิ ีการอืน่ ใดของระบบปฏิบัติการ หรือ ระบบสารสนเทศอยา่ งเหมาะสม ๓) ผู้ใช้งานต้องเก็บรักษาเอกสารลับและส่ือบันทึกข้อมูลท่ีมีข้อมูลลับในตู้ท่ีสามารถปิดล็อคได้ เมือ่ ไม่ได้ใช้งาน โดยเฉพาะอย่างยิ่งเมอื่ อยนู่ อกเวลาทาการ หรือเมือ่ ต้องทิ้งเอกสารหรือสื่อน้ัน ไว้โดยไม่อย่ทู ่ีโต๊ะทางาน ๔) ข้อมูลลับต้องถูกเก็บออกจากอุปกรณ์ประมวลผลต่าง ๆ เช่น เคร่ืองพิมพ์ เครื่องโทรสาร เครื่องถ่ายเอกสาร ฯลฯ โดยทนั ที ๕) เจ้าหน้าท่ีต้องไม่เปิดเผยข้อมูลลับต่อบุคคลภายนอก ยกเว้นในกรณีท่ีการเปิดเผยนั้น ครอบคลุมโดยขอ้ ตกลงการ ไมเ่ ปดิ เผยข้อมูล ๖) เจ้าหน้าท่ีต้องไม่พูดคุยหรือใช้งานข้อมูลลับของ ศอ.ปส.สธ. ในพ้ืนท่ีสาธารณะ เช่น ลิฟท์ รา้ นอาหาร ฯลฯ

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนย์อานวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 75 ศอ.ปส.สธ. ช้ันความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ๗) ส่ือบันทึกข้อมูล และอุปกรณ์คอมพิวเตอร์พกพาต่าง ๆ (เช่น PDA, USB-Drive, CD- Rom เป็นต้น) ท่ีมีข้อมูลลับ ของ ศอ.ปส.สธ. บันทึกอยู่ ต้องได้รับการดูแลรักษาและใช้งาน อยา่ งระมดั ระวงั

การบริหารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 76 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ความการควบคุมการเข้าถึง (Access Control) 3.4.1 การควบคุมการเขา้ ถึงระบบสารสนเทศ (Business Requirement for Access Control) วตั ถปุ ระสงค:์ เพือ่ ควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศให้มคี วามม่ันคงปลอดภัย นโยบาย 3.4.1.1 นโยบายควบคมุ การเข้าถึง (Access Control Policy) ๑) มีการกาหนดให้มีการควบคุมการใช้งานข้อมูลและระบบสารสนเทศ เพื่อควบคุมการเข้าถึง ใหเ้ ขา้ ไดเ้ ฉพาะผู้ ที่ได้รบั อนญุ าตเท่าน้นั ๒) ต้องกาหนดสิทธ์ิการเข้าถึงข้อมูลและระบบสารสนเทศให้เหมาะสมกับการเข้าใช้งานและ หน้าท่ีความ รับผิดชอบของผู้ใช้งานก่อนเข้าใช้ระบบเทคโนโลยีสารสนเทศและการสื่อสาร รวมทง้ั มกี ารทบทวนสิทธ์ิการเขา้ ถึง อย่างสมา่ เสมอ โดยปฏิบตั ิตามระเบียบปฏิบตั ิ เรือ่ ง การ ลงทะเบียนใช้งานระบบสารสนเทศ (P-IT-AC-01) ท้ังน้ี ผู้ใช้งานจะต้องได้รับอนุญาตจาก ผบู้ งั คับบัญชาตามความจาเปน็ ในการใช้งาน ๓) ผ้ดู ูแลระบบเทา่ น้นั ทส่ี ามารถแก้ไขเปลีย่ นแปลงสิทธกิ์ ารเขา้ ถึงข้อมูลและระบบสารสนเทศได้ ๔) ต้องมีการบันทึกและติดตามการใช้งานระบบเทคโนโลยีสารสนเทศและการส่ือสารของ ศอ.ปส.สธ. และเฝ้าระวัง การละเมิดความปลอดภัย ท่ีมีต่อข้อมูลและระบบสารสนเทศท่ี สาคัญ ๕) ต้องบันทึกรายละเอียดการเข้าถึงระบบ การแก้ไขเปล่ียนแปลงสิทธ์ิต่าง ๆ ของท้ังผู้ท่ีได้รับ อนญุ าตและไมไ่ ด้ รบั อนญุ าต เพอ่ื เป็นหลักฐานในการตรวจสอบหากมีปญั หาเกดิ ข้ึน ๖) ตอ้ งกาหนดกฎเกณฑข์ อ้ หา้ มและบทลงโทษการเขา้ ถึงข้อมูลและระบบสารสนเทศ ๗) การเข้าถึงข้อมูล และระบบสารสนเทศของ ศอ.ปส.สธ. จะกระทาได้ก็ต่อเม่ือได้รับการอนุมัติ โดยผู้บังคับบัญชาของ บุคคลน้ัน ๆ และสามารถเข้าใช้ข้อมูล และระบบเฉพาะที่เกีย่ วข้องกับ งานในหน้าท่ีของบุคคลน้ัน ๆ เท่านั้น ความ ปลอดภัยของข้อมูล และกระบวนการรักษา ความลับของข้อมูลถือว่าเป็นส่วนหนึ่งในการกาหนดนโยบาย และขั้นตอน การทางานของ ระบบสารสนเทศ กระบวนการเหล่านหี้ มายรวมถึงการให้สิทธิ์ และการบริหารจัดการรหสั ใน การเขา้ ใช้ งาน การกาหนดขอบเขตในการเขา้ ถงึ ข้อมลู หรอื ระบบคอมพิวเตอร์ และอปุ กรณ์ที่ เก็บข้อมูลประเภทอื่น ๆ การสารอง ข้อมูลและการกู้ข้อมูลที่เสียหายกลับคืนมา (อ้างอิงตาม เอกสารคู่มือ “ATOS_ONCB_K2_Admin_Training_guide_20160722_V1.0.pdf” บทท่ี 6 – Backup and Restore)

การบริหารจดั การระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าที่ 77 ศอ.ปส.สธ. ช้นั ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 3.4.1.2 การเขา้ ถึงเครือข่ายและบริการเครอื ขา่ ย (Access to Network and Network Services) ผู้ใช้งานต้องได้รับสิทธิ์การเข้าถึงเฉพาะเครือข่ายและบริการของเครือข่ายตามท่ีตนได้รับอนุมั ติการเข้าถึง เทา่ นนั้ ๑) ผู้ใช้งานจะนาเคร่ืองคอมพิวเตอร์ อุปกรณ์มาเชื่อมต่อกับเคร่ืองคอมพิวเตอร์ ระบบเครือข่าย ของหน่วยงาน ต้องได้รับอนุญาตจากหัวหน้าหน่วยงานและต้องปฏิบัติตามนโยบายนี้โดย เครง่ ครดั โดยผใู้ ชง้ านต้องกรอกแบบฟอร์ม “การขอเชื่อมต่อเครือขา่ ย” ๒) การขออนุญาตใชง้ านพื้นที่ Web Server ชื่อโดเมนยอ่ ย (Sub Domain Name) ที่หนว่ ยงาน รับผิดชอบอยู่ จะต้องทาหนังสือขออนุญาตต่อหัวหน้าหน่วยงาน และจะต้องไม่ติดต้ัง โปรแกรมใด ๆ ทส่ี ่งผลกระทบต่อการกระทา ของระบบและผใู้ ช้งานอืน่ ๆ ๓) ห้ามผู้ใดกระทาการเคล่ือนย้าย ติดต้ังเพิ่มเติมหรือทาการใด ๆ ต่ออุปกรณ์ส่วนกลาง ได้แก่ อุปกรณ์จัด เส้นทาง (Router) อุปกรณ์กระจายสัญญาณข้อมูล (Switch) อุปกรณ์ที่เช่ือมต่อ กบั ระบบเครือขา่ ยหลัก โดยไมไ่ ด้รับ อนุญาตจากผู้ดูแลระบบ ๔) ผู้ดูแลระบบ ต้องควบคุมการเข้าถึงระบบเครือข่ายเพื่อบริหารจัดการระบบเครือข่ายได้อย่าง มปี ระสทิ ธภิ าพ ดังตอ่ ไปนี้ - ตอ้ งจากัดสิทธก์ิ ารใชง้ านเพื่อควบคุมผู้ใช้งานให้สามารถใชง้ านเฉพาะระบบเครือข่าย ทไี่ ด้รับอนุญาตเท่าน้ัน - ต้องจากดั เสน้ ทางการเขา้ ถึงระบบเครือข่ายที่มกี ารใช้งานรว่ มกัน - ต้องจากัดการใช้เส้นทางบนเครือข่ายจากเคร่ืองคอมพิวเตอร์ไปยังเครื่อง คอมพวิ เตอรแ์ ม่ข่าย เพ่ือไม่ใหผ้ ู้ใชง้ านสามารถใชเ้ สน้ ทางอื่น ๆ ได้ - ระบบเครือข่ายทั้งหมดของหน่วยงานที่มีการเช่ือมต่อไปยังระบบเครือข่ายอื่น ๆ ภายนอกหน่วยงานต้องเชื่อมต่อผ่านอุปกรณ์ป้องกันการบุกรุก รวมท้ังต้องมี ความสามารถในการตรวจจบั โปรแกรมประสงคร์ า้ ย (Malware) ดว้ ย - ระบบเครือข่ายต้องติดตั้งระบบตรวจจับการบุกรุก (Intrusion Prevention System/ Intrusion Detection System) เพ่ือตรวจสอบการใชง้ านของบุคคลท่ีเข้า ใช้งานระบบเครือข่ายของหนว่ ยงานใน ลกั ษณะทผี่ ิดปกติ - การเขา้ สู่ระบบเครอื ข่ายภายในหน่วยงาน โดยผา่ นทางระบบอินเทอร์เนต็ จาเปน็ ต้อง มีการลงบันทึกเข้า ใช้งาน (Login) โดยแสดงตัวตนด้วยช่ือผู้ใช้งาน และต้องมีการ พิสูจน์ยืนยันตัวตน (Authentication) ด้วยการใช้รหัสผ่าน เพื่อตรวจสอบความ ถูกตอ้ งของผ้ใู ช้งานกอ่ นทกุ คร้ัง - ต้องป้องกันมิให้หน่วยงานภายนอกที่เช่ือมต่อสามารถมองเห็น IP Address ภายใน ของระบบเครอื ข่ายภายในของหน่วยงาน - ต้องจัดทาแผนผังระบบเครือข่าย (Network Diagram) ซ่ึงมีรายละเอียดเก่ียวกับ ขอบเขตของระบบ เครือข่ายภายในและเครือข่ายภายนอก และอุปกรณ์ต่าง ๆ พรอ้ มทง้ั ปรับปรุงให้เปน็ ปจั จุบนั อยูเ่ สมอ

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 78 ศอ.ปส.สธ. ช้นั ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 - การระบอุ ปุ กรณบ์ นเครอื ข่าย ▪ ผู้ดูแลระบบมีการเก็บบัญชีการขอเชื่อมต่อเครือข่าย ได้แก่ รายชื่อผู้ขอใช้ บริการ รายละเอียดเคร่ืองคอมพิวเตอร์ท่ีขอใช้บริการ IP Address และ สถานท่ตี ิดตั้ง ▪ อุปกรณ์ท่ีนามาเช่ือมต่อจะได้รับหมายเลข IP Address ตามท่ีกาหนดโดย ผูด้ แู ลระบบเครือขา่ ย ▪ ผ้ดู ูแลระบบต้องจากดั ผใู้ ชง้ านทส่ี ามารถเขา้ ใช้อุปกรณ์ได้ ▪ กรณีอุปกรณ์ท่ีมีการเช่ือมต่อจากเครือข่ายภายนอก ต้องมีการระบุ หมายเลขอุปกรณ์ว่าสามารถเข้าเช่ือมต่อกับเครือข่ายภายในได้หรือไม่ สามารถเชือ่ มตอ่ ได้ ▪ อุปกรณ์เครือข่ายต้องสามารถตรวจสอบ IP Address ของท้ังต้นทางและ ปลายทางได้ ▪ ผู้ขอใช้บริการต้องกรอกแบบฟอร์ม “การขอเช่ือมต่อเครือข่าย” โดยดาวน์ โหลดผา่ น เวบ็ ไซต์ของกระทรวงสาธารณสุข หวั ข้อ Intranet สาธารณสุข ▪ การเข้าใช้งานอุปกรณ์บนเครือข่ายต้องทาการพิสูจน์ตัวตนทุกคร้ังที่ใช้ อุปกรณ์ ๕) กาหนดระยะเวลาผู้ใช้งานที่อยู่ในระบบเครือข่ายให้ออกจากระบบเครือข่ายเมื่อเว้นว่างจาก การใช้งานไม่เกินกว่า 8 ชว่ั โมง ๖) ผู้ดูแลระบบ ต้องบริหารควบคุมเคร่ืองคอมพิวเตอร์แม่ข่าย (Server) และรับผิดชอบในการ ดูแลระบบ คอมพิวเตอร์แม่ข่าย (Server) ในการกาหนดแก้ไข หรือเปลี่ยนแปลงค่าต่าง ๆ ของซอฟตแ์ วร์ระบบ (Systems Software) ๗) การติดตั้งหรือปรับปรุงซอฟต์แวร์ของระบบงานต้องมีการขออนุมัติจากผู้ดูแลระบบให้ติดตั้ง ก่อน ดาเนนิ การ ๘) กาหนดให้มีการจดั เก็บซอร์สโคด้ ไลบรารี่ และเอกสารสาหรับซอฟต์แวรข์ องระบบงาน ไว้ใน สถานทีท่ ม่ี ี ความมน่ั คงปลอดภัย ๙) การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log) เพ่ือให้ข้อมูลจราจรทางคอมพิวเตอร์มีความ ถกู ต้องและ สามารถระบุถึงตัวบุคคลได้ตามแนวทาง พ.ร.บ. คอมพวิ เตอร์ พ.ศ. 2550 ๑๐)กาหนดมาตรการควบคุมการใช้งานระบบเครือข่ายและเครื่องคอมพิวเตอร์แม่ข่าย (Server) จากผ้ใู ช้งาน ภายนอกหนว่ ยงาน เพอื่ ดูแลรกั ษาความปลอดภยั ของระบบ ตามแนวทางปฏบิ ัติ ดงั ตอ่ ไปน้ี - บุคคลจากหน่วยงานภายนอกที่ต้องการสิทธ์ิในการเข้าใช้งานระบบเครือข่ายและ เครื่องคอมพิวเตอร์แม่ข่าย (Server) ของหน่วยงานจะต้องทาเร่ืองขออนุญาตเป็น ลายลักษณอ์ ักษร เพอ่ื ขออนญุ าตจากหัวหน้าหนว่ ยงาน - มีการควบคุมชอ่ งทาง (Port) ทีใ่ ช้ในการเขา้ สู่ระบบอย่างรดั กมุ

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เริ่มใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ที่ 79 ศอ.ปส.สธ. ชนั้ ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 - วิธีการใด ๆ ที่สามารถเข้าสู่ข้อมูล หรือระบบข้อมูลได้จากระยะไกลต้องได้รับการ อนุญาตจากหัวหน้าหน่วยงาน - การเข้าสู่ระบบจากระยะไกล ผู้ใช้งานต้องแสดงหลักฐาน ระบุเหตุผลหรือความ จาเปน็ ในการดาเนนิ งานกบั หน่วยงานอย่างเพียงพอ - การเขา้ สู่ระบบเครือข่ายภายในและระบบสารสนเทศในหนว่ ยงานจากระยะไกลต้อง มีการลงบันทึกเข้าใช้งาน (Login) โดยแสดงตัวตนด้วยช่ือผู้ใช้งาน และต้องมีการ พิสูจน์ยืนยันตัวตน (Authentication) ด้วยการใช้รหัสผ่าน เพ่ือตรวจสอบความ ถกู ตอ้ งของผใู้ ชง้ านก่อนทกุ ครั้ง ๑๑) กาหนดใหม้ ีการแบ่งแยกเครอื ข่าย ดงั ตอ่ ไปน้ี - Internet แบง่ แยกเครือข่ายเป็นเครือข่ายย่อย ๆ ตามอาคารต่าง ๆ เพื่อควบคุมการ เขา้ ถงึ เครือขา่ ยโดยไม่ไดร้ ับอนญุ าต - Intranet แบ่งเครือข่ายภายในและเครือข่ายภายนอก เพ่ือความปลอดภัยในการใช้ งานระบบสารสนเทศภายใน ๑๒) กาหนดการป้องกันเครือข่ายและอุปกรณ์ต่าง ๆ ที่เชื่อมต่อกับระบบเครือข่ายอย่างชัดเจน และต้องทบทวน การกาหนดค่า Parameter ต่าง ๆ เช่น IP Address อย่างน้อยปีละ 1 ครั้ง นอกจากน้ี การกาหนดแก้ไขหรือ เปลี่ยนแปลงค่า parameter ต้องแจ้งบุคคลท่ี เกยี่ วขอ้ งให้รับทราบทกุ คร้ัง ๑๓) ระบบเครือข่ายทั้งหมดท่ีมีการเช่ือมต่อไปยังระบบเครือข่ายอื่น ๆ ภายนอกหน่วยงาน ต้อง เช่ือมต่อผ่าน อุปกรณ์ป้องกันการบุกรุกหรือโปรแกรมในการทา Packet filtering เช่น การ ใช้ไฟร์วอลล์ (Firewall) หรือฮาร์ดแวร์ อ่ืน ๆ รวมท้ังต้องมีความสามารถในการ ตรวจจบั มลั แวร์ (Malware) ด้วย ๑๔) ต้องมีการติดต้ังระบบตรวจจับการบุกรุก (IPS/IDS) เพื่อตรวจสอบการใช้งานของบุคคล ที่ เข้าใช้งานระบบ เครือข่ายของหน่วยงาน ในลักษณะท่ีผิดปกติ โดยมีการตรวจสอบการบุก รุกผ่านระบบเครือข่าย การใช้งานในลักษณะ ท่ีผิดปกติ และการแก้ไขเปลี่ยนแปลงระบบ เครือข่าย โดยบคุ คลที่ไมม่ ีอานาจหน้าที่เก่ียวข้อง ๑๕) IP address ของระบบงานเครือข่ายภายในจาเป็นต้องมีการปอ้ งกันมิให้หน่วยงานภายนอก ท่ีเช่ือมต่อ สามารถมองเห็นได้ เพื่อเป็นการป้องกันไม่ให้บุคคลภายนอกสามารถรู้ข้อมูล เกย่ี วกับโครงสร้างของระบบเครือขา่ ยได้ โดยง่าย ๑๖)การใช้เคร่ืองมือต่าง ๆ (Tools) เพ่ือการตรวจสอบระบบเครือข่ายต้องได้รับการอนุมัติจาก ผู้ดแู ลระบบ และจากัดการใชง้ านเฉพาะเท่าท่ีจาเป็น

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เรม่ิ ใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หนา้ ที่ 80 ศอ.ปส.สธ. ชัน้ ความลบั : สาธารณะ รหสั เอกสาร: : NCMC-IG-1.0 3.4.2 การจดั การการเข้าถงึ ระบบของผูใ้ ช้งาน (User Access Management) วตั ถุประสงค์: เพือ่ ป้องกนั ไม่ใหผ้ ทู้ ่ีไมม่ สี ิทธ์ใิ ช้งานสามารถเข้าถงึ ระบบสารสนเทศได้ นโยบาย 3.4.2.1 การลงทะเบียนและการถอดถอนสทิ ธิผ์ ู้ใชง้ าน (User Registration and De-Registration) การลงทะเบียนผู้ใช้งานใหม่ ต้องกาหนดให้มีระเบียบปฏิบัติอย่างเป็นทางการสาหรับการลงทะเบียน ผู้ใช้งาน ใหม่เพ่ือให้มีสิทธ์ิต่าง ๆ ในการใช้งานตามความจาเป็น รวมทั้งระเบียบปฏิบัติสาหรับการยกเลิก สทิ ธกิ์ ารใช้งาน เช่น เมือ่ ลาออกไป หรือเมือ่ เปล่ียนตาแหน่งงานภายใน ศอ.ปส.สธ. เป็นต้น โดยปฏบิ ตั ติ าม ระเบียบปฏิบัติ เร่ืองการลงทะเบียนใช้ งานระบบสารสนเทศ (อ้างอิงตามเอกสาร “แนวทางการจัดการ ระบบการบันทึกข้อมูล V2.0.docx”) โดยผู้ใช้งานต้องได้รับการทบทวน และพิจารณาอนุมัติตามข้ันตอน ของ ศอ.ปส.สธ. อย่าง เครง่ ครดั 3.4.2.2 การจัดการสิทธ์ิการเข้าถงึ ของผู้ใชง้ าน (User Access Provisioning) การจัดการสิทธ์ิการเข้าถึงของผู้ใช้งาน ต้องกาหนดให้มีวิธีการในการบริหารจัดการสิทธ์ิการเข้าถึง ท้ังการ ให้ สิทธแิ์ ละการถอดถอนสทิ ธิ์ ตอ้ งมีระเบียบวธิ ีการกาหนดไว้สาหรบั ผใู้ ชง้ านทุกประเภท 3.4.2.3 การบรหิ ารจัดการสิทธ์ติ ามระดบั สทิ ธิก์ ารเขา้ ถึง (Management of Privileged Access Right) ๑) ต้องกาหนดสิทธ์ิของผู้ใช้งานในการเข้าถึงระบบสารสนเทศแต่ละระบบ รวมทั้งกาหนดสิทธ์ิ แยกตามหน้าที่ท่ี รบั ผิดชอบด้วย ๒) ผู้ใช้งานต้องไดร้ บั การตรวจพิสจู นต์ วั ตนทุกครัง้ เมือ่ ทาการ Log-on เขา้ สู่ระบบสารสนเทศ 3.4.2.4 การบริหารจัดการข้อมูลความลับสาหรับการพิสูจน์ตัวตนของผู้ใช้งาน (Management of Secret Authentication Information of User) ๑) ต้องมีกระบวนการจัดการท่ีช่วยป้องกันข้อมูลในการส่งมอบให้แก่ผู้ใช้งานเพ่ือพิสูจน์ตัวตน ของผู้ใช้งานซ่ึง เป็นความลับ และการเก็บรักษาข้อมูลความลับของตัวเอง การส่งมอบข้อมูล การพิสจู น์ตัวตนของผ้ใู ชง้ านซงึ่ เป็นข้อมลู ลับ ๒) เจ้าหน้าที่ ศอ.ปส.สธ. ต้องปฏิบัติตามระเบียบปฏิบัติ เร่ือง การลงทะเบียนใช้งานระบบ สารสนเทศ (อ้างอิงตามเอกสาร “แนวทางการจัดการระบบการบันทึกข้อมูล V2.0.docx”) โดยการส่งมอบขอ้ มูลการพิสจู น์ตวั ตนของผู้ใชง้ าน เจา้ หนา้ ทจี่ ะสง่ โดยใช้แบบฟอร์ม “3.แบบ ลงทะเบยี นมหาดไทย.pdf”

การบรหิ ารจดั การระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศนู ย์อานวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 81 ศอ.ปส.สธ. ช้ันความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.4.2.5 การทบทวนสิทธิใ์ นการเข้าถงึ ระบบของผูใ้ ชง้ าน (Review of User Access Rights) 3.4.2.6 ต้องทบทวนสทิ ธใิ์ นการเข้าถงึ ระบบสารสนเทศอย่างน้อยปลี ะ 1 ครั้ง 3.4.2.7 การถอนหรือการจัดการสิทธก์ิ ารเข้าถงึ (Removal or Adjustment of Access Rights) ๑) สิทธิ์การเข้าถึงของพนักงานและลูกจ้างของหน่วยงานภายนอกต่อสารสนเทศและอุปกรณ์ ประมวลผล สารสนเทศตอ้ งได้รับการถอดถอนเมื่อสน้ิ สุดการจ้างงาน หมดสัญญา หรอื ส้นิ สุด ข้อตกลงการจ้าง และต้องได้รับการ ปรับปรุงให้ถูกต้องอย่างสม่าเสมอ ตามระเบียบปฏิบัติ เรือ่ ง การลงทะเบยี นใช้งานระบบสารสนเทศ (อ้างอิงตามเอกสาร “แนวทางการจัดการระบบ การบันทึกขอ้ มูล V2.0.docx”) ๒) ต้องทบทวนสิทธิ์ในการเข้าถึงระบบสารสนเทศตามระยะเวลาที่กาหนดไว้ โดยกาหนดให้ ผ้ดู แู ลระบบ ทบทวนสิทธข์ิ องผูใ้ ช้งานอย่างนอ้ ยปีละ 1 ครัง้ 3.4.3 การควบคุมการเข้าถงึ ระบบ (System and Application Access Control) วัตถปุ ระสงค:์ เพือ่ ป้องกนั การเขา้ ถึงระบบโดยไม่ไดร้ บั อนุญาต นโยบาย 3.4.3.1 การจากัดการเข้าถึงสารสนเทศ (Information Access Restriction) ๑) ต้องมีการควบคุมการใช้งานสารสนเทศในระบบสารสนเทศ ได้แก่ กาหนดสิทธิ์ในการใช้งาน เช่น เขียน อ่าน ลบ ได้ เป็นต้น กาหนดกลุ่มของผู้ใช้ที่สามารถใช้งานได้ ตรวจสอบว่า สารสนเทศทีอ่ นุญาตใหใ้ ชง้ านน้ันมีเฉพาะขอ้ มูลท่ี จาเป็นต้องใช้งาน ๒) บัญชีผู้ใช้งานที่มีสิทธิ์การเข้าถึงร ะบบสารสนเทศในระดับพิเศษ เช่น Root หรือ Administrator ต้องได้รับ การพิจารณามอบหมายให้แก่ผู้ใช้งานตามความจาเป็นและมีการ กาหนดระยะเวลาในการเข้าถงึ อย่างเหมาะสมกบั การ ทางานเท่าน้ัน ๓) บุคคลภายนอก ต้องแสดงความยินยอมปฏิบัติตามนโยบายด้านการรักษาความมั่นคง ปลอดภัยด้านเทคโนโลยีสารสนเทศและการสื่อสาร (ICT Security Policy) ของ ศอ.ปส.สธ. อยา่ งเคร่งครัด กอ่ นทจ่ี ะไดร้ ับอนญุ าตให้ เขา้ ถึงระบบเทคโนโลยีสารสนเทศของ ศอ.ปส.สธ. 3.4.3.2 ขั้นตอนปฏิบัติสาหรับการเข้าสู่ระบบที่มีความม่ันคงปลอดภัย (Secure log-on Procedure) ตอ้ งกาหนดกระบวนการในการเขา้ ถงึ ระบบใหม้ ีความมน่ั คงปลอดภยั โดยกาหนดให้ระบบ มีการหน่วงเวลาการ ให้บริการเป็นเวลา 5 นาที หากผู้ใช้งานพิมพ์รหัสผ่านผดิ พลาดเกิน 3 คร้ัง และต้อง วเิ คราะห์ทบทวนวา่ เป็นการโจมตีหรือไม่ อย่างนอ้ ยเดอื นละ 1 คร้ัง

การบริหารจัดการระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตลุ าคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หนา้ ท่ี 82 ศอ.ปส.สธ. ช้นั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 3.4.3.3 ระบบบรหิ ารจดั การรหัสผา่ น (Password Management System) ต้องจัดให้มีระบบหรือวิธีการในการตรวจสอบคุณภาพของรหัสผ่าน และมีวิธีการควบคุมดูแลให้ผู้ใช้งาน ระบบ เปลยี่ นรหสั ผ่านตามระยะเวลาท่ีกาหนด 3.4.3.4 การควบคุมการเข้าถงึ ซอรส์ โค้ดสาหรับระบบ (Access Control to Program Source Code) ผู้พัฒนาระบบสารสนเทศต้องจัดให้มีการควบคุมการเข้าถึง Source Code ของระบบที่ใช้งานจริงหรือ ใหบ้ ริการ เช่น - ไม่ควรเก็บ Source Code ไว้ในเคร่ืองที่ใช้งานจริงและต้องเก็บ Source Code ไว้ ในท่ีท่ีปลอดภยั - ต้องไม่เก็บ Source Code ท่ีอยู่ในระหว่างทาการทดสอบรวมไว้กับ Source Code ท่ีใชง้ านไดจ้ ริงแลว้

การบรหิ ารจัดการระบบข้อมูลและสารสนเทศ เร่มิ ใช้ ศูนยอ์ านวยการป้องกนั และปราบปรามยาเสพติด กระทรวงสาธารณสุข 1 ตุลาคม 2562 (การทบทวนประจาปงี บประมาณ 2563) หน้าท่ี 83 ศอ.ปส.สธ. ชน้ั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ความมั่นคงปลอดภัยทางด้านกายภาพและส่ิงแวดล้อมขององค์กร (Physical and Environmental Security) 3.5.1 บริเวณทตี่ ้องมกี ารรักษาความมัน่ คงปลอดภยั (Secure Areas) วัตถุประสงค์: เพื่อเป็นมาตรฐานในการรักษาความม่ันคงปลอดภัยทางกายภาพที่เกี่ยวกับสถานที่ซ่ึงเป็น ทตี่ ้ังและพ้นื ที่ใช้งานของระบบเทคโนโลยีสารสนเทศ ตลอดจนอุปกรณ์คอมพวิ เตอร์ ขอ้ มลู และสารสนเทศ ซงึ่ เป็นทรพั ย์สิน ศอ.ปส.สธ. นโยบาย 3.5.1.1 การกาหนดพน้ื ที่มน่ั คงปลอดภยั (Physical Security Perimeter) ๑) หนว่ ยงานจะตอ้ งมีการจาแนก และกาหนดพ้ืนท่ใี นการใช้งานระบบเทคโนโลยสี ารสนเทศต่าง ๆ อย่าง เหมาะสม เพื่อจุดประสงค์ในการเฝ้าระวัง ควบคุม และรักษาความม่ันคงปลอดภัย จากผู้ที่ไม่ได้รับอนุญาต รวมทั้ง ปอ้ งกนั ความเสยี หายอื่น ๆ ที่อาจเกดิ ข้ึนได้ เมื่อมกี ารกาหนด พนื้ ที่แลว้ ให้มีการควบคุมการเขา้ ออก ๒) หน่วยงานจะต้องจาแนก กาหนด และแบ่งบริเวณ “พ้ืนท่ีใช้งานระบบเทคโนโลยีสารสนเทศ (Information System Workspaces)” รวมทั้งจัดทาแผนผังแสดงตาแหน่ง และชนิดของ พ้ืนที่ใช้งานระบบเทคโนโลยีสารสนเทศ และประกาศให้ทราบทั่วกัน (หน่วยงานควรระบุให้ ชัดเจนว่ามีพื้นท่ีใช้งานระบบเทคโนโลยีสารสนเทศประเภทใดบ้าง และมีพื้นท่ีใช้งานระบบ เทคโนโลยีสารสนเทศใดทอ่ี าจจาแนกได้มากกว่า 1 ประเภท) ๓) หน่วยงานต้องกาหนดการติดต้ังอุปกรณ์ระบบเทคโนโลยีสารสนเทศใน “พ้ืนท่ีใช้งานระบบ เทคโนโลยี สารสนเทศ”ให้สอดคล้องกับหมวดหมู่และความสาคัญของข้อมูลหรือสารสนเทศ ทมี่ ีอยใู่ นระบบ ๔) เจ้าหน้าท่ี ศอ.ปส.สธ. ตอ้ งดแู ลรกั ษาสภาพแวดลอ้ มในการทางานเสมือนดูแลบ้านของตน 3.5.1.2 การควบคมุ การเขา้ ออก (Physical Entry Controls) หน่วยงานที่เกี่ยวข้องกับการบริหารจัดการอาคารและสถานท่ี ต้องจัดให้มีการควบคุมการเข้าออกใน บริเวณ “พ้ืนท่ีใช้งานระบบเทคโนโลยีสารสนเทศ” โดยให้ผ่านเข้าออกได้เฉพาะ “เจ้าหน้าที่ ศทส.” ท่ีมี สทิ ธเ์ิ ทา่ นัน้ และมี แนวทางปฏิบตั ิ ดงั น้ี ๑) ต้องกาหนด “เจ้าหน้าที่ ศทส.” ที่มีสิทธิ์ผ่านเข้าออก และช่วงเวลาท่ีมีสิทธ์ิในการผ่านเข้า ออกในแต่ ละ “พนื้ ที่ใช้งานระบบเทคโนโลยสี ารสนเทศ” อยา่ งชดั เจน ๒) “เจ้าหน้าท่ี ศทส.” จะได้รับสิทธิ์ให้เข้าออกสถานท่ีทางานได้เฉพาะบริเวณพ้ืนท่ีที่ถูกกาหนด เพ่ือใช้ใน การทางานเท่าน้นั

การบริหารจัดการระบบข้อมูลและสารสนเทศ เริม่ ใช้ ศูนยอ์ านวยการป้องกันและปราบปรามยาเสพติด กระทรวงสาธารณสขุ 1 ตุลาคม 2562 (การทบทวนประจาปีงบประมาณ 2563) หน้าท่ี 84 ศอ.ปส.สธ. ชน้ั ความลับ: สาธารณะ รหัสเอกสาร: : NCMC-IG-1.0 ๓) หากมีบุคคลอื่นใดทไี่ มใ่ ช่ “เจา้ หน้าที่ ศทส.” ขอเขา้ พ้นื ทโี่ ดยมไิ ดข้ อสิทธ์ใิ นการเขา้ พนื้ ท่ีนั้นไว้ เป็น การล่วงหน้า หนว่ ยงานต้องตรวจสอบเหตุผลและความจาเป็น ก่อนทีจ่ ะอนญุ าต หรอื ไม่ อนุญาตให้บุคคลเข้า พื้นท่ีเป็นการชั่วคราว ท้ังน้ีบุคคลจะต้องแสดงบัตรประจาตัวประชาชน หรือบัตรประจาตัวอื่นท่ีราชการออกให้ โดยหน่วยงานเจ้าของพื้นท่ีต้องจดบันทึกบุคคลและ การขอเข้าออกไว้เป็นหลักฐาน (ท้ังในกรณีที่อนุญาต และไม่ อนุญาตให้เข้าพ้ืนที่) และต้องมี การบันทึกข้อมูลการเข้าออกศูนย์ปฏิบัติการ MOPH IDC ของบุคคลภายนอกทุกครั้ง พร้อม ทงั้ จัดเก็บบันทึกดงั กลา่ วไวอ้ ย่างนอ้ ย 1 ปี ๔) บุคคลภายนอกต้องทาการแลกบัตรประจาตัวของตนท่ีออกให้โดยหน่วยงานของรัฐ ตัวอยา่ งเช่น บัตร ประชาชน ใบขับขี่ พาสปอรต์ ฯลฯ กบั บตั รผ้มู าติดต่อของหน่วยงาน ก่อน ไดร้ ับอนุญาตให้เข้าถึงพ้ืนท่ีสานกั งาน ๕) เจ้าหน้าท่ี ศอ.ปส.สธ. และบุคคลภายนอกต้องติดบัตรเจ้าหน้าท่ี หรือบัตรผู้มาติดต่ อ ตลอดเวลาที่อยู่ในพ้ืนท่ี สานักงาน ทั้งน้ี บัตรประจาตัวและบตั รผูม้ าติดต่อ ไม่อนุญาตให้โอน กรรมสทิ ธ์หิ รือหยบิ ยืมกนั ใชง้ าน ๖) เจ้าหน้าท่ี ศอ.ปส.สธ. ต้องไม่เปิดประตูสานักงานทิ้งไว้ หรือยินยอมให้บุคคลอื่นติดตามเข้า ภายในพ้ืนที่ สานกั งานโดยเดด็ ขาด เว้นแตบ่ ุคคลอ่ืนน้ันสามารถแสดงบัตรประจาตวั หรือบัตร ผู้มาติดต่อได้ เพื่อเป็นการ ป้องกันการเข้าถึงพื้นที่สานักงาน และพ้ืนที่ควบคุมความมั่นคง ปลอดภัยโดยบคุ คลทไ่ี ม่ได้รับอนุญาต ๗) ผู้ใช้งานต้องแจ้งเจ้าหน้าที่รักษาความปลอดภยั ทันที เมื่อพบเห็นบุคคลแปลกหน้าหรือบุคคล ท่ีไม่ แขวนบตั รเจ้าหน้าทีห่ รือบตั รผ้มู าตดิ ต่อในพนื้ ท่ีสานกั งาน ๘) เจ้าหน้าที่ ศอ.ปส.สธ. ควรติดตาม ควบคุมดูแล และให้คาแนะนาผู้ท่ีมาติดต่อกับตน ตลอดเวลาท่ีผู้มาตดิ ต่อ นน้ั อย่ใู นพ้ืนท่ีสานกั งาน 3.5.1.3 การรักษาความมั่นคงปลอดภัยสานักงาน ห้องทางาน และเคร่ืองมือต่าง ๆ (Securing Offices, Rooms and Facilities) ๑) ISMR ต้องจัดให้มีมาตรการในการรักษาความม่ันคงปลอดภัยอ่ืน ๆ ให้กับสานักงาน ห้อง ทางานและเคร่ืองมือ ต่าง ๆ เช่น เครื่องคอมพิวเตอร์หรือระบบที่มีความสาคัญสูง ต้องไม่ ตง้ั อย่ใู นบรเิ วณที่มีการผ่านเข้าออกของบุคคลเป็น จานวนมาก สานักงานหรือห้องจะต้อง ไม่ มีป้าย หรือ สัญลักษณ์ ท่ีบ่งบอกถึงการมีระบบสาคัญอยู่ภายในสถานที่ดังกล่าว ประตู หนา้ ต่างของสานักงาน หรือหอ้ งต้องใส่กุญแจเสมอ เมอื่ ไมม่ ีคนอยู่ ตอ้ งตง้ั เครื่องโทรสารหรือ เครือ่ งถ่ายเอกสารแยก ออกมาจากบรเิ วณท่ตี ้องมกี ารรักษาความม่นั คงปลอดภยั เปน็ ต้น ๒) เจ้าหน้าท่ีควรตรวจสอบความมั่นคงปลอดภัยของพ้ืนท่ีทางานของตนเป็นประจาทุกวันหลัง เลิกงาน เพ่ือให้ ม่ันใจว่าตู้เซฟ ตู้เอกสาร ลิ้นชัก และอุปกรณ์ต่าง ๆ ได้รับการปิดล็อค อย่าง เหมาะสม และกุญแจถูกเก็บรักษาไวอ้ ยา่ ง ปลอดภัย