หมวดที่ 6 มาตรฐานการรักษาความปลอดภัย
- Details
- Category: ICT
- Published on Sunday, 07 August 2016 14:38
- Written by Super User
- Hits: 8821
หมวดที่ 6 มาตรฐานการรักษาความปลอดภัย
มาตรฐานการรักษาความปลอดภัยของโรงพยาบาลฟากท่า มีรายละเอียดดังนี้
1.มาตรฐานการรักษาความปลอดภัยพื้นที่ห้อง Server
- ต้องปิดล๊อกประตูหรือหน้าต่างของห้องตลอดเวลา
- ต้องมีระบบเตือนภัย เช่น ระบบ Door Access Alarm ระบบ Fire Alarm เป็นต้น
- ต้องมีระบบควบคุมการเข้าออก (Access Control)
- กรณีบุคคลภายนอกมีความจำเป็นต้องเข้าออกพื้นที่ฯ จะต้องมีเจ้าหน้าที่คอยควบคุมติดตามอยู่ด้วยตลอดเวลา และหากต้องการ Access อุปกรณ์ใด จะต้องได้รับอนุญาตจากเจ้าของระบบหรือผู้มีสิทธิ์อนุญาตก่อน
- ต้องจัดวางตำแหน่งของอุปกรณ์อย่างเหมาะสม ป้องกันความเสี่ยงจากความร้อนจากแสงแดดฝุ่นละออง และความชื้น
- ต้องมีการบันทึกตรวจสอบสภาพความพร้อมของระบบUPS,แสงสว่างฉุกเฉิน,ระบบป้องกันฟ้าผ่า, ระบบแอร์ และเก็บบันทึกการตรวจสอบไว้เป็นหลักฐาน
- ไม่นำอาหารและเครื่องดื่มเข้ามารับประทานในห้อง Server
2. มาตรฐานการรักษาความปลอดภัยของ Server
- ต้องกำหนดสิทธิ์การเข้าถึงแบบชั่วคราวแก่บุคคลภายนอกที่ต้องการเข้าถึง Server นั้น และต้องมอบหมายให้มีผู้ควบคุมตรวจสอบบันทึกรายการ และลบสิทธิ์ทันที่ที่ปฏิบัติงานเสร็จ
- ต้องมีบันทึกรายการของ OS,Service Patch,Application ที่ติดตั้งบน Server นั้นๆ
- ต้องตรวจสอบ Security Log เพื่อค้นหา Invalid attempt access ของผู้บุกรุกและตรวจสอบFault alarm log เพื่อการ Trace back ปัญหาที่เกิดขึ้นเป็นประจำวัน
- ต้องมีคู่มือการ Start up/shut down server
- ต้องมีบันทึกการ Backup data และ OS เป็นประจำ (Dairy Backup และ monthly Full Backup)
- ต้องทำการ Synchronize clock ของ Server และ Network Device ให้มีเวลาตรงกันทั้งหมด
- ต้องตั้งค่าAdministratoraccount/Passwordให้ยากต่อการคาดเดา(ไม่ต่ำกว่า8 ตัวอักษร) และต้องไม่ใช้คำ Default
- ต้องกำหนดค่า Limit time to access
- ต้อง log off System ทุกครั้งเมื่อเลิกใช้ Management console หรือเมื่อลุกออกไปจากหน้าจอ
- กรณีที่มี System Administrator โยกย้ายหรือเปลี่ยนแปลงหน้าที่ให้ หัวหน้าหน่วยยกเลิกสิทธิ์การเข้าถึงอุปกรณ์ดังกล่าวทันที
- ต้อง Update Security Patch อย่างสม่ำเสมอ
- ต้องมีบันทึกสรุปการเกิดปัญหาของอุปกรณ์ และการแก้ไขระบบ
- ต้องมีขั้นตอนการทำลาย Computer media เช่น Disk, Tape, Print out Report
3.มาตรฐานการรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์และสื่อสาร
- กำหนด Network Service ที่ไม่อนุญาตให้รับ-ส่งได้บนเครือข่าย
- มีการทดสอบความปลอดภัยทุกครั้งที่จะเชื่อมต่อกับเครือข่ายของบุคคลภายนอก เพื่อให้มั่นใจว่าไม่มีการเข้าถึง Resources ที่ไม่ได้รับอนุญาต
- ต้องทำ Secure Authenticate ทุกครั้งที่ต้องการ access อุปกรณ์เพื่อการ Administration และต้องกำหนดสิทธิ์การเข้าถึงแบบชั่วคราวแก่บุคคลภายนอกที่ต้องการเข้าถึงอุปกรณ์นั่น พร้อมมอบหมายให้มีผู้ควบคุม ตรวจสอบและลบสิทธิ์ทันที่ปฏิบัติงานเสร็จ
- ต้องตรวจสอบ Security Log เพื่อค้นหา Invalid attempt access ของผู้บุกรุก และตรวจสอบFault alarm log เพื่อการ Trace back ปัญหาที่เกิดขึ้นเป็นประจำวัน
- ต้องตั้งค่า Network Administrator Account/Password ให้ยากต่อการคาดเดา (ไม่ต่ำกว่า 8 Characters) และต้องไม่ใช้คำ Default
- ต้องป้องกัน Unauthorized access สู่ Remote Access diagnostic port และต้องใช้ Secure Port ในการทำ Remote Administration เท่านั้น
- ต้องทำการ Synchronize time ของอุปกรณ์ Network /Gateway ทุกเครื่องให้ตรงกันรวมทั้งSynchronize ให้ตรงกับอุปกรณ์ Server ด้วย
- ต้องมีบันทึก Configuration Change Control ในประเด็นที่เป็น Major Change
- ต้อง Update Security Patch อย่างสม่ำเสมอ
- ต้องมีบันทึกสรุปการเกิดปัญหากับอุปกรณ์ และแนวทางแก้ไข
4.มาตรฐานการรักษาความปลอดภัยเคลื่อนย้ายและทำลายข้อมูลของอุปกรณ์ ICT
- ต้องทำการ Clear ข้อมูลที่บันทึกอยู่ในอุปกรณ์ HD, Backup Tape หรือสื่อที่ใช้เก็บข้อมูลก่อนทำการเปลี่ยนทดแทนอุปกรณ์ รวมทั้งลบข้อมูลที่บันทึกในอุปกรณ์ที่ต้องการทำลายหรือแทงจำหน่ายต้องได้รับความเห็นชอบจากผู้มีอำนาจอนุมัติในการเคลื่อนย้ายอุปกรณ์ออกไปบำรุงรักษาภายนอกสถานที่
5.มาตรฐาน Electronic Data Classification
- กรรมกาสารสนเทศได้กำหนดให้ผู้เกี่ยวข้องกับการทำ ElectronicDate Classification มีดังนี้- Data Owner หมายถึง เจ้าของข้อมูล- Data Custodian หมายถึง ผู้ปกป้องรักษาข้อมูล- Data User หมายถึง ผู้ใช้ข้อมูล
- กรรมการสารสนเทศจะทำหน้าที่เป็น Data Custodian ที่ได้รับมอบหมายจากเจ้าของข้อมูลอย่างเป็นทางการเท่านั้น
- กรรมการสารสนเทศได้กำหนดชั้นระดับความลับข้อมูลออกเป็น 4 ระดับ เรียงตามลำดับต่ำสุดถึงสูงสุด ตามนโยบายเกี่ยวกับความลับองค์กร ดังนี้- ข้อมูลที่เปิดเผยได้ (Public)- ข้อมูลปกปิด (Non Disclosure or Sensitive)- ข้อมูลลับ (Confidential)- ข้อมูลลับมาก (Secret)
- กรรมการสารสนเทศออกแบบระบบสารสนเทศและจัดหาSoftware Tool ในการป้องกันการเข้าถึง การเปิดเผยข้อมูล ความครบถ้วนของข้อมูล และความพร้อมใช้ของข้อมูลให้ตามความองการของเจ้าของข้อมูลที่สอดคล้องกับทิศทางขององค์กร
- เจ้าของข้อมูลต้องกำหนดระยะเวลาการเก็บรักษา และการทำลายข้อมูลให้กรรมการสารสนเทศทราบ
- หน่วยงานเจ้าของข้อมูลมีหน้าที่ทบทวนชั้นความลับข้อมูล
- หน่วยงานเจ้าของข้อมูลต้องกำหนด Output report และ Screen display ที่สอดคล้องกับระดับชั้นความลับ
- ผู้ใช้ข้อมูลมีหน้าที่ปฏิบัติตามสิทธิ์ที่เจ้าของข้อมูลกำหนดเท่านั้น