วันอังคารที่ 27 มีนาคม พ.ศ. 2555

หมวดที่ 6 มาตรฐานการรักษาความปลอดภัย

มาตรฐานการรักษาความปลอดภัยของโรงพยาบาลตัวอย่าง มีรายละเอียดดังนี้

1.มาตรฐานการรักษาความปลอดภัยพื้นที่ห้อง Server
  • ต้องปิดล๊อกประตูหรือหน้าต่างของห้องตลอดเวลา
  • ต้องมีระบบเตือนภัย เช่น ระบบ Door Access Alarm ระบบ Fire Alarm เป็นต้น
  • ต้องมีระบบควบคุมการเข้าออก (Access Control)
  • กรณีบุคคลภายนอกมีความจำเป็นต้องเข้าออกพื้นที่ฯ จะต้องมีเจ้าหน้าที่คอยควบคุมติดตามอยู่ด้วยตลอดเวลา และหากต้องการ Access อุปกรณ์ใด จะต้องได้รับอนุญาตจากเจ้าของระบบหรือผู้มีสิทธิ์อนุญาตก่อน
  • ต้องจัดวางตำแหน่งของอุปกรณ์อย่างเหมาะสม ป้องกันความเสี่ยงจากความร้อนจากแสงแดดฝุ่นละออง และความชื้น
  • ต้องมีการบันทึกตรวจสอบสภาพความพร้อมของระบบUPS,แสงสว่างฉุกเฉิน,ระบบป้องกันฟ้าผ่า, ระบบแอร์ และเก็บบันทึกการตรวจสอบไว้เป็นหลักฐาน
  • ไม่นำอาหารและเครื่องดื่มเข้ามารับประทานในห้อง Server
2. มาตรฐานการรักษาความปลอดภัยของ Server
  • ต้องกำหนดสิทธิ์การเข้าถึงแบบชั่วคราวแก่บุคคลภายนอกที่ต้องการเข้าถึง Server นั้น และต้องมอบหมายให้มีผู้ควบคุมตรวจสอบบันทึกรายการ และลบสิทธิ์ทันที่ที่ปฏิบัติงานเสร็จ
  • ต้องมีบันทึกรายการของ OS,Service Patch,Application ที่ติดตั้งบน Server นั้นๆ
  • ต้องตรวจสอบ Security Log เพื่อค้นหา Invalid attempt access ของผู้บุกรุกและตรวจสอบFault alarm log เพื่อการ Trace back ปัญหาที่เกิดขึ้นเป็นประจำวัน
  • ต้องมีคู่มือการ Start up/shut down server
  • ต้องมีบันทึกการ Backup data และ OS เป็นประจำ (Dairy Backup และ monthly Full Backup)
  • ต้องทำการ Synchronize clock ของ Server และ Network Device ให้มีเวลาตรงกันทั้งหมด
  • ต้องตั้งค่าAdministratoraccount/Passwordให้ยากต่อการคาดเดา(ไม่ต่ำกว่า8 ตัวอักษร) และต้องไม่ใช้คำ Default
  • ต้องกำหนดค่า Limit time to access
  • ต้อง log off System ทุกครั้งเมื่อเลิกใช้ Management console หรือเมื่อลุกออกไปจากหน้าจอ
  • กรณีที่มี System Administrator โยกย้ายหรือเปลี่ยนแปลงหน้าที่ให้ หัวหน้าหน่วยยกเลิกสิทธิ์การเข้าถึงอุปกรณ์ดังกล่าวทันที
  • ต้อง Update Security Patch อย่างสม่ำเสมอ
  • ต้องมีบันทึกสรุปการเกิดปัญหาของอุปกรณ์ และการแก้ไขระบบ
  • ต้องมีขั้นตอนการทำลาย Computer media เช่น Disk, Tape, Print out Report
3.มาตรฐานการรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์และสื่อสาร
  • กำหนด Network Service ที่ไม่อนุญาตให้รับ-ส่งได้บนเครือข่าย
  • มีการทดสอบความปลอดภัยทุกครั้งที่จะเชื่อมต่อกับเครือข่ายของบุคคลภายนอก เพื่อให้มั่นใจว่าไม่มีการเข้าถึง Resources ที่ไม่ได้รับอนุญาต
  • ต้องทำ Secure Authenticate ทุกครั้งที่ต้องการ access อุปกรณ์เพื่อการ Administration และต้องกำหนดสิทธิ์การเข้าถึงแบบชั่วคราวแก่บุคคลภายนอกที่ต้องการเข้าถึงอุปกรณ์นั่น พร้อมมอบหมายให้มีผู้ควบคุม ตรวจสอบและลบสิทธิ์ทันที่ปฏิบัติงานเสร็จ
  • ต้องตรวจสอบ Security Log เพื่อค้นหา Invalid attempt access ของผู้บุกรุก และตรวจสอบFault alarm log เพื่อการ Trace back ปัญหาที่เกิดขึ้นเป็นประจำวัน
  • ต้องตั้งค่า Network Administrator Account/Password ให้ยากต่อการคาดเดา (ไม่ต่ำกว่า 8 Characters) และต้องไม่ใช้คำ Default
  • ต้องป้องกัน Unauthorized access สู่ Remote Access diagnostic port และต้องใช้ Secure Port ในการทำ Remote Administration เท่านั้น
  • ต้องทำการ Synchronize time ของอุปกรณ์ Network /Gateway ทุกเครื่องให้ตรงกันรวมทั้งSynchronize ให้ตรงกับอุปกรณ์ Server ด้วย
  • ต้องมีบันทึก Configuration Change Control ในประเด็นที่เป็น Major Change
  • ต้อง Update Security Patch อย่างสม่ำเสมอ
  • ต้องมีบันทึกสรุปการเกิดปัญหากับอุปกรณ์ และแนวทางแก้ไข
4.มาตรฐานการรักษาความปลอดภัยเคลื่อนย้ายและทำลายข้อมูลของอุปกรณ์ ICT
  • ต้องทำการ Clear ข้อมูลที่บันทึกอยู่ในอุปกรณ์ HD, Backup Tape หรือสื่อที่ใช้เก็บข้อมูลก่อนทำการเปลี่ยนทดแทนอุปกรณ์ รวมทั้งลบข้อมูลที่บันทึกในอุปกรณ์ที่ต้องการทำลายหรือแทงจำหน่ายต้องได้รับความเห็นชอบจากผู้มีอำนาจอนุมัติในการเคลื่อนย้ายอุปกรณ์ออกไปบำรุงรักษาภายนอกสถานที่
5.มาตรฐาน Electronic Data Classification
  • กรรมกาสารสนเทศได้กำหนดให้ผู้เกี่ยวข้องกับการทำ ElectronicDate Classification มีดังนี้- Data Owner หมายถึง เจ้าของข้อมูล- Data Custodian หมายถึง ผู้ปกป้องรักษาข้อมูล- Data User หมายถึง ผู้ใช้ข้อมูล
  • กรรมการสารสนเทศจะทำหน้าที่เป็น Data Custodian ที่ได้รับมอบหมายจากเจ้าของข้อมูลอย่างเป็นทางการเท่านั้น
  • กรรมการสารสนเทศได้กำหนดชั้นระดับความลับข้อมูลออกเป็น 4 ระดับ เรียงตามลำดับต่ำสุดถึงสูงสุด ตามนโยบายเกี่ยวกับความลับองค์กร ดังนี้- ข้อมูลที่เปิดเผยได้ (Public)- ข้อมูลปกปิด (Non Disclosure or Sensitive)- ข้อมูลลับ (Confidential)- ข้อมูลลับมาก (Secret)
  • กรรมการสารสนเทศออกแบบระบบสารสนเทศและจัดหาSoftware Tool ในการป้องกันการเข้าถึง การเปิดเผยข้อมูล ความครบถ้วนของข้อมูล และความพร้อมใช้ของข้อมูลให้ตามความองการของเจ้าของข้อมูลที่สอดคล้องกับทิศทางขององค์กร
  • เจ้าของข้อมูลต้องกำหนดระยะเวลาการเก็บรักษา และการทำลายข้อมูลให้กรรมการสารสนเทศทราบ
  • หน่วยงานเจ้าของข้อมูลมีหน้าที่ทบทวนชั้นความลับข้อมูล
  • หน่วยงานเจ้าของข้อมูลต้องกำหนด Output report และ Screen display ที่สอดคล้องกับระดับชั้นความลับ
  • ผู้ใช้ข้อมูลมีหน้าที่ปฏิบัติตามสิทธิ์ที่เจ้าของข้อมูลกำหนดเท่านั้น

ไม่มีความคิดเห็น:

แสดงความคิดเห็น