- แต่งตั้งผู้บริหารความมั่นคงปลอดภัยไซเบอร์และข้อมูลสารสนเทศระดับสูงและคณะทำงานบริหารความมั่นคงปลอดภัยไซเบอร์และข้อมูลสารสนเทศประจำโรงพยาบาลสนามชัยเขต
- หนังสือเวียนคำสั่งแต่งตั้งในโรงพยาบาลสนามชัยเขต
- ประมวลแนวทางปฏิบัติ
| 1. แผนการตรวจสอบ (Cybersecurity Audit Plan) ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ |
| 1.1 Audit Plan Procedure |
| 1.2 Audit Plan |
| 1.3 Audit Program |
| 1.4 Audit Report |
| 2. การประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Risk Assessment) |
| 2.1 Risk Management Policy |
| 2.2 Risk Assessment Procedure |
| 2.3 Risk Assessment and Treatment – Risk Matrix |
| 2.4 Risk Report |
| 2.5 KRI Document |
| 3. แผนการรับมือภัยคุกคามไซเบอร์ (IR Plan) |
| 3.1 IR Plan Procedure / IR Plan Manual |
| 3.2 รายงานการแจ้งเหตุการณ์ |
| เอกสารเพิ่มเติม |
| ORG Chart – 3 Line of Defense |
| หนังสือแจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและระดับปฏิบัติการให้ สสจ, สป, สกมช รับทราบ |
- กรอบมาตรฐานฯ
| Govern |
| 1. Cybersecurity Management System Policy |
| 2. Cybersecurity Risk Management Policy |
| 3. Security Baseline Configuration STD Policy |
| 4. Remote Connection Policy |
| 5. Removable Storage Media Policy |
| 6. Information Sharing Policy |
| 7. PDPA Policy |
| Identify |
| 1. Asset Management |
| 1.1 Asset Management Procedure |
| 1.2 Asset Inventory List |
| 1.3 Asset Register – ทะเบียนทรัพย์สิน |
| 1.4 Risk Assessment of Asset – ประเมินความเสี่ยง |
| 1.5 BIA Procedure |
| 1.6 BIA Evident การวิเคราะห์ผลกระทบทางธุรกิจ (Business Impact Analysis – BIA) |
| 1.7 BIA Report |
| 2. Risk Assessment and Risk Management Strategy |
| 2.1 Risk Assessment and Risk Management Strategy Procedure |
| 2.2 Risk Register – ทะเบียนความเสี่ยง |
| 3. Vulnerability Assessment and Penetration Testing |
| 3.1 Vulnerability Assessment and Penetration Testing Procedure |
| 3.2 เอกสารที่แสดงการประเมินช่องโหว่ โดยแยกตาม IT และ ICS (Host, Network, Architecture) |
| 3.3 เอกสารขั้นตอนการทดสอบเจาะระบบ (Pentest Procedure) |
| 3.4 รายงานสรุปผลการทดสอบเจาะระบบ |
| 3.5 VA Evident |
| 3.6 PT Evident |
| 4. Third Party Management |
| 4.1 Third Part Management Procedure |
| 4.2 กำหนดข้อกำหนดด้านความมั่นคงปลอดภัยไซเบอร์ |
| 4.3 ข้อตกลงระดับการให้บริการ (SLA) |
| 4.4 เงื่อนไขของสัญญากับผู้ให้บริการภายนอก |
| 4.5 การประเมินความเสี่ยงที่เกี่ยวข้องกับบริการและห่วงโซ่อุปทานผลิตภัณฑ์ (Risk Assessment for services and product supply chain) |
| Protect |
| 1. กระบวนการการควบคุมการเข้าถึง (Access Control) |
| 1.1 Access Control Procedure |
| 1.2 Logs of all access |
| 1.3 User Permission Matrix/Review |
| 2. กระบวนการการทำให้ระบบมีความแข็งแกร่ง (System Hardening) |
| 2.1 System Hardening Procedure |
| 2.2 มาตรฐานการกำหนดค่าขั้นต่ำด้านความมั่นคงปลอดภัย (Security Baseline Configuration Standards) สำหรับระบบปฏิบัติการ แอปพลิเคชัน และอุปกรณ์เครือข่ายทั้งหมดของบริการที่สำคัญ |
| 2.3 กระบวนการจัดการเปลี่ยนแปลง (Change Management Process Procedure) |
| 3. กระบวนการการเชื่อมต่อระยะไกล (Remote Connection) |
| 3.1 Remote Connection Procedure |
| 3.2 NDA – Non Disclosure Agreement |
| 4. กระบวนการการใช้สื่อเก็บข้อมูลแบบถอดได้ (Removable Storage Media) |
| 4.1 Removable Storage Media Procedure |
| 5. กระบวนการการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness) |
| 5.1 Cybersecurity Awareness Procedure |
| 5.2 แผนงานในการสร้างตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness) และกฎหมาย สำหรับพนักงาน ผู้รับเหมา และผู้ให้บริการภายนอกบุคคลที่สาม |
| 6. กระบวนการการแบ่งปันข้อมูล (Information Sharing) |
| 6.1 Information Sharing Procedure |
| Detect |
| 1. กระบวนการการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (Cyber Threat Detection and Monitoring) |
| 1.1 Cyber Threat Detection and Monitoring Procedure |
| 1.2 แผนการตรวจสอบและเฝ้าระวังภัยคุกคามไซเบอร์ |
| 1.3 รายงานการตรวจจับเหตุการณ์ (SIEM Report) |
| 1.4 SIEM Evident |
| Respond |
| 1. กระบวนการแผนการรับมือภัยคุกคามทางไซเบอร์ (Cybersecurity Incident Response Plan) |
| 1.1 Cybersecurity Incident Response Plan Procedure |
| 1.2 แผนการรับมือภัยคุกคามทางไซเบอร์ |
| 1.3 รายงานการแจ้งเหตุการณ์ภัยคุกคามทางไซเบอร์ |
| 2. กระบวนการแผนการสื่อสารในภาวะวิกฤต (Crisis Communication Plan) |
| 2.1 Crisis Communication Plan Procedure -01 |
| 2.2 แผนการสื่อสารในภาวะวิกฤต -02 |
| 2.3 ต้องมีการฝีกซ้อม / update |
| 3. กระบวนการการฝึกซ้อมความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Exercise) |
| 3.1 Cybersecurity Exercise Procedure – 03 |
| 3.2 แผนการฝึกซ้อมความมั่นคงปลอดภัยไซเบอร์และต้องมีส่วนร่วมในการฝึกซ้อม -04 |
| 3.3 รายงานผลการฝึกซ้อม |
| Recover |
| 1. กระบวนการการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์ (Cybersecurity Resilience and Recovery) |
| 1.1 Cybersecurity Resilience and Recovery Procedure |
| 1.2 คู่มือแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan : BCP Manual) |
| 1.3 แผนงานและผลการสอบทานแผนของผู้ให้บริการภายนอก |
| 1.4 มีการฝึกซ้อม BCP อย่างน้อย ปีละ 1 ครั้ง |
| 1.5 รายงานแผนความต่อเนื่องทางธุรกิจ (BCP Report) |
| 1.6 คู่มือ Backup and Restore |
| 1.7 คู่มือ Disaster and Recovery |
| 1.8 คู่มือ การติดตั้งระบบต่างๆ |
| 1.9 รายงานการทดสอบระบบต่างๆ ตามที่กำหนด |