ไทย
ค้นหา

คลังความรู้

Security for Healthcare

ในปัจจุบันโรงพยาบาลหรือสถานประกอบการด้านการแพทย์ เริ่มมีนำเอามาตรฐานด้าน Security เข้ามาใช้มากขึ้น

 

ส่วนหนึ่งคือมาจากการที่กลุ่มธุรกิจนี้มีข้อมูลที่สำคัญอยู่หลายประเภท เช่น ข้อมูลคนไข้ ประวัติการรักษา ค่ายา เป็นต้น ดังนั้นการที่นำเอากระบวนการด้าน Security เข้ามาช่วยจึงเป็นสิ่งสำคัญ

อย่าลืมว่ายุคนี้ Social เร็วมาก ยิ่งถ้ามีข้อมูลรั่วไหล หรือ Data Leakage ที่มีการส่งผ่านข้อมูลสารสนเทศโดยไม่ได้รับอนุญาตจากเจ้าของข้อมูล ก็มีโอกาสสูงที่สามารถถูกฟ้องร้องได้ง่ายๆ

แล้วที่น่ากลัวคือธุรกิจนี้ขายความน่าเชื่อถือของสถานประกอบการและความชำนาญของแพทย์เป็นสำคัญ จึงเป็นความท้าทายสำหรับ CIO หรือ CISO ของหน่วยงานที่จะต้องทำให้องค์กรมีความมั่นคงปลอดภัยสารสนเทศอยู่ตลอด

ซึ่งมีตัวอย่างหลายโรงพยาบาลก็ได้รับรองมาตรฐาน ISO/IEC 27001:2013 ไปเรียบร้อยแล้ว และมีหลายๆ แห่งก็อยู่ในช่วงดำเนินการ ทั้งภาครัฐและเอกชน ทำให้เราๆทั้งหลายเชื่อมั่นได้ว่าการเข้ามาใช้บริการโรงพยาบาล อย่างน้อยข้อมูลเราก็มีการดูแลและป้องกันที่ดีระดับหนึ่ง

Information Security for Data Message Generation, Transfer and Storage Service Provider

เมื่อวันที่ 11 มกราคม 2562 ทางสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) มีประกาศฉบับหนึ่งออกมา

 

ว่าด้วย "ข้อกำหนดและแนวทางปฏิบัติสำหรับผู้ให้บริการจัดทำ และเก็บรักษาใบกำกับภาษีอิเล็กทรอนิกส์ และใบรับอิเล็กทรอนิกส์ ( Digital Services Provider)" โดยอ้างอิงมาตรฐานหรือประกาศหลายๆ ฉบับได้แก่

1. European Union Agency for Network and Information Security (ENISA), Technical guideline for the implementation of minimum security measures for Digital Service Provider, December 2016

2. ISO/IEC 27001:2013 Information Technology – Security Techniques – Information Security Management Systems – Requirements, 2013.

3. ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for Information Security Control, 2013.

4. ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีแบบปลอดภัย พ.ศ. 2555

เพื่อเป็นแนวทางการรักษาความมั่นคงปลอดภัยสารสนเทศสำหรับผู้ให้บริการจัดทำส่งมอบ และเก็บรักษาใบกำกับภาษีอิเล็กทรอนิกส์ และใบรับอิเล็กทรอนิกส์ หรือหน่วยงานอื่นๆ ที่ให้ความสำคัญกับการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ นำไปใช้เป็นแนวปฏิบัติเพื่อช่วยให้บริการมีการความมั่นคงปลอดภัย และสร้างความน่าเชื่อถือให้กับผู้ให้บริการ

ดังนั้นอีกไม่นาน ภาครัฐและเอกชนคงต้องขยับตัวครั้งใหญ่อีกครั้ง ในการเริ่มทำมาตรฐานและกระบวนการต่างๆ ให้สอดคล้องกับประกาศดังกล่าวนี้

Integrated Standards

หลายๆ องค์กรคงเคยประสบปัญหาในการดูแลและบริหารจัดการมาตรฐานหลายๆ มาตรฐาน ที่องค์กรได้รับการรับรอง

 

ยกตัวอย่างมาตรฐานที่หลายองค์กรได้การรับรอง เช่น ISO/IEC 27001:2013, ISO/IEC 20000-1:2018, ISO 22301, CSA STAR, PCI DSS หรือ CMMI เป็นต้น จริงๆ แล้ว Controls หรือ Annex บางหัวข้อในแต่ละมาตรฐาน มีความเชื่อมโยงกันได้อยู่ ที่เห็นได้ชัดคือ Management System ที่ส่วนใหญ่จะพูดถึง Intenal Audit, Management Reivew ซึ่งส่วนนี้สามารถใช้ร่วมกันได้

แต่ก็จะมีบางหัวข้อที่เราก็สามารถเลือก Integrated ได้เช่นกัน เช่น Incident Management, Change Management หรือกระบวนการประเมินความเสี่ยง อย่างไรก็ตามอย่างที่เราทราบๆ มาตรฐานแต่ละอัน ก็มีจุดแข็งของแต่ละมาตรฐาน ดังนั้น Controls พวกนั้นก็อาจจะเชื่อมโยงไม่ได้ 100%

อันหนึ่งที่นิยมนำมาใช้ในการเอามาเป็น Concept ในการ Integrated มาตรฐาน นั้นคือ ISO/IEC 27013:2015 ที่เชื่อมโยงระหว่าง ISO/IEC 27001 และ ISO/IEC 20000-1 นั้นคือกรอบคร่าวๆ ที่นำเข้ามาใช้เพื่อลดจำนวนเอกสารและระยะเวลาในการ Maintain แต่สิ่งที่จำเป็นที่สุดคือองค์กรเหล่านั้นอาจจะจำเป็นต้องใช้ที่ปรึกษาหรือผู้เชี่ยวชาญเข้ามาช่วยวิเคราะห์และพิจารณาเอกสารที่มีอยู่ในแต่ละมาตรฐานว่าเป็นเช่นไร สามารถเชื่อมโยงได้หรือไม่ หรือจะต้องทำเอกสารใหม่ นั้นคือความท้าทายขององค์กรเหล่านี้ ที่ต้องทำตาม PDCA ในการธำรงค์รักษาไว้ซึ่งมาตรฐานในหน่วยงานและขอบเขตที่ดูแล

Update!!! ร่างกฎหมายคุ้มครองข้อมูลส่วนบุุคคลของไทย

สืบเนื่องจากวันที่ 18 ธันวาคม 2561 ที่ผ่านมา คณะรัฐมนตรีได้ให้ความเห็นชอบ "ร่างกฎหมายคุ้มครองข้อมูลส่วนบุุคคลของไทย" เรียบร้อยแล้ว

 

สถานะปัจจุบันของร่างกฎหมายคุ้มครองข้อมูลส่วนบุุคคลของไทย

คงปฏิเสธกันไม่ได้ว่าไม่มีใครไม่รู้จัก "ร่างกฎหมายคุ้มครองข้อมูลส่วนบุุคคลของไทย" วันนี้เราจะมาอัพเดทสถานะปัจจุบัน และใจความสำคัญเกี่ยวกับร่างกฎหมายฉบับนี้กัน

 

ล่าสุดร่างกฎหมายฉบับนี้ ได้ถูกนำเข้าวาระ "การรับฟังความคิดเห็น" ไปเมื่อวันที่ 11 กันยายน 2561 

Don't Make Mistake

ในปัจจุบันมีหลายๆ องค์กรในประเทศไทยเริ่มทำมาตรฐานด้าน Security หรือ Implement ในส่วน Security Framework มากขึ้นเรื่อยๆ

 

 

แต่ก็มีหลายๆ องค์กรที่มีความคิดว่าเราไม่ใช่ Targets ที่ผู้ไม่ประสงค์ดีจะโจมตี ซึ่่งความคิดนี้เป็นคิดที่อาจจะผิด เนื่องจากปัจจุบันการโจมตีทางด้าน Cyber หลายๆท่านจะคิดว่าคือการขโมยหรือ Hack เอาข้อมูลอย่างเดียว แต่บางจุดมุ่งหมายอาจจะต้องการเอาบริษัทหรือหน่วยงานเราเป็นแหล่งในการโจมตีต่อไปที่อื่นก็ได้

ITIL New Version

ITIL คือ Best Practice ที่ใช้บริหารจัดการงานบริการด้านสารสนเทศ (IT Service Management) โดยเป็นการพัฒนาร่วมกันของ OGC และ BSI

 

Gartner Top 10 IT Trend

ปี 2018 ทาง Gartner ได้เผย Top 10 IT Trend ประจำปีออกมา โดยสรุปมีดังนี้

 

 

Facebook Access Token issues

จากที่ Facebook ได้ออกมาประกาศเปิดเผยข้อมูลว่า Web ถูก Hacked

 

Digital Transformation and Security Topics

เมื่อองค์กรดำเนินการปฎิรูประบบ Digital และนำเอาเทคโนโลยีมาใช้กับกระบวนการธุรกิจใหม่มากขึ้น ปัญหาเรื่องความมั่นคงปลอดภัยก็จะเพิ่มมากขึ้น