1 / 46

Hospital IT Security Management

Hospital IT Security Management. The Second National Conference on Medical Informatics and The Annual Meeting of The Thai Medical Informatics Association 29 พฤศจิกายน 2556. 999 หมู่ 5 ถ.บรมราชชนนี ต.ศาลายา อ.พุทธมลฑล จ.นครปฐม 73170. MAP. การพัฒนาระบบสารสนเทศของศูนย์การแพทย์ฯ. Video

adora
Download Presentation

Hospital IT Security Management

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hospital IT Security Management The Second National Conference on Medical Informatics and The Annual Meeting of The Thai Medical Informatics Association 29 พฤศจิกายน 2556

  2. 999 หมู่ 5 ถ.บรมราชชนนี ต.ศาลายา อ.พุทธมลฑล จ.นครปฐม 73170

  3. MAP

  4. การพัฒนาระบบสารสนเทศของศูนย์การแพทย์ฯการพัฒนาระบบสารสนเทศของศูนย์การแพทย์ฯ Video Conference • ระบบโรงพยาบาลระยะที่ 1 • ระบบเวชระเบียน - ระบบบัญชี (AP, AR, GL) • ระบบห้องตรวจ - ระบบจัดซื้อจัดจ้าง • ระบบเภสัชกรรม - ระบบบริหารคลังสินค้า • ระบบการเงิน - ระบบเงินเดือน • ระบบทันตกรรม - อื่นๆ • ระบบโรงพยาบาลระยะที่ 2 • ระบบงบประมาณ • ระบบทรัพยากรบุคคล • ระบบต้นทุน • ระบบคลังวิศวกรรม • ระบบคลังผ้า 24 พฤษภาคม 2552 พัฒนาระบบรับแจ้งปัญหาออนไลน์ ISO/IEC 27001 ISMS Information Security Management System ติดตั้งระบบเครือ ข่ายไร้สาย พัฒนาระบบรับแจ้งความเสี่ยงออนไลน์ ติดตั้งเครื่องแม่ข่าย ระบบเครือข่าย เครื่องลูกข่าย เครื่องพิมพ์ผล ระบบจัดเก็บเอกสารอิเล็กทรอนิกส์

  5. Quality Road Map กุมภาพันธ์ พฤศจิกายน กรกฏาคม HA+ มีนาคม ISO15190 ISO18001 MUQD MU-Risk 5ส R2R LEAN

  6. Whywe need to secure our information Information Technology Security For Patient Safety

  7. CIA C = Confidentiality (การรักษาความลับ) การรับรองว่าจะมีการเก็บข้อมูลไว้เป็นความลับ และผู้มีสิทธิเท่านั้น จึงจะเข้าถึงข้อมูลนั้นได้ I = Integrity (การรักษาความสมบูรณ์) การรับรองว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงหรือ ทำลายไม่ว่าจะเป็นโดย อุบัติเหตุหรือโดยเจตนา A = Availability (ความพร้อมใช้) การรับรองว่าข้อมูลและบริการการสื่อสารต่าง ๆ พร้อม ที่จะใช้ได้ในเวลาที่ ต้องการใช้งาน

  8. กฏหมายเทคโนโลยีสารสนเทศกฏหมายเทคโนโลยีสารสนเทศ ISO 29100

  9. LAW vs. ISO/IEC 27001 กฏหมาย ISO27001--ISMS 1) การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ Security Policy Organization of information security 2) การจัดการโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศ ทั้งภายในและภายนอกหน่วยงานหรือทั้งองค์กร 3) บริหารจัดการทรัพย์สินสารสนเทศ Asset management Human resources security 4) การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร 5) การสร้างความมั่นคงปลอดภัยด้านกายภาพแบะสภาพแวดล้อม Physical and environmental security 6) การบริหารจัดการด้านการสื่อสารและการดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบวานคอมพิวเตอร์และระบบสารสนเทศ Communication and operations management 7) การความคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศและระบบสารสนเทศ Access control 8) การจัดการหรือจัดให้มี การพัฒนา และการบำรุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ Information systems acquisition, development and maintenance Information security incident management 9) การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์ 10) การบริหารจัดการด้านการบริหารหรือการดำเนินงานของหน่วยงานหรือองค์กรเพื่อให้มีความต่อเนื่อง Business continuity management 11) การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบาย มาตรการหลักเกณฑ์ หรือกระบวนการใดๆ รวมทั้งข้อกำหนดด้านความมั่นคงปลอดภัยของระบบสารสนเทศ Compliance

  10. ISO/IEC 27000 and Member Fundamentals and Vocabulary ISMS Requirement Code Of Practice Implementation Guidelines Measurement Risk Requirement

  11. ISO/IEC 27000 and Member ISO 27006 Accreditation Guidelines for the Accreditation of Bodies regarding and ISMS. ISO 27799 Health informatics -- Information security management in health using ISO/IEC 27002

  12. ISO/IEC 27000 Structure

  13. ISO/IEC 27001 International standard ISO/IEC 27001 Information Security Management System

  14. ISO/IEC 27001 Structure 4. Information security management system 5. Management responsibility ISO/IEC 27001 Information Security Management System 6. Internal ISMS audit 7. Management review of the ISMS 8. ISMS improvement Annex A. Control objectives and controls

  15. Annex A. Control objectives and controls • 11 Domains • 39 • 133 Control Objectives Controls

  16. Annex A. 11 Domains Security Policy Organization of information security Asset management Human resources security Physical and environmental security Communication and operations management Access control Information systems acquisition, development and maintenance Information security incident management Business continuity management Compliance

  17. A.5. Security Policy • A.5.1. Information security policy. • Information security policy document • Review of the information security policy กำหนดนโยบาย ความมั่นคงปลอดภัยสารสนเทศ 47 POLICY

  18. ตัวอย่าง Policy การเทียบเวลานาฬิการะบบสารสนเทศและอุปกรณ์เครือข่ายคอมพิวเตอร์ (A.10.10.6. Clock synchronization) ระบบสารสนเทศและอุปกรณ์เครือข่ายคอมพิวเตอร์ภายใน โรงพยาบาล.. จะต้องตั้งแหล่งเทียบเวลานาฬิกา เช่น โปรโตคอลเวลาเครือข่าย (Network Time Protocol) ให้เป็นไปตามมาตรฐานการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ เพื่อให้เวลาที่ปรากฏในปูมเหตุการณ์ (Log) ที่ได้จากระบบสารสนเทศและอุปกรณ์เครือข่ายคอมพิวเตอร์เป็นเวลาถูกต้อง ตรงกันและสามารถนำไปใช้ในการตรวจสอบได้

  19. A.6. Organization of information security A.6.1. Internal organization. A.6.2. External parties. GJ HR IT FI External Internal

  20. A.7. Asset management • A.7.1. Responsibility for asset. • Inventory of asset • Ownership of asset • Acceptable use of asset ISO/IEC 27002 7. Asset management 7.1 Responsibility for assets 7.1.1 Inventory of assets Databases and data files, System Document Contracts etc. Information: Software asset: Application software, System software development tools. Computer and communication equipment, Removable media. Physical asset: Computing and communication services, Air-conditioning. Services: People: People and their qualifications, skills, and experience. Intangible: Such as reputation and image of the organization.

  21. A.7. Asset management

  22. เกณฑ์การเลือกทรัพย์สินเกณฑ์การเลือกทรัพย์สิน

  23. การประเมินความเสี่ยงของระบบสารสนเทศการประเมินความเสี่ยงของระบบสารสนเทศ • ต้องมีการประเมินความเสี่ยง ตามมาตรฐาน ISO 27005 โดยการให้ความรู้แก่เจ้าหน้าที่งานเวชสารสนเทศและระดมสมองในการให้ความเสี่ยงต่างๆ • Asset ของระบบสารสนเทศที่สำคัญ • Threat • Vulnerabilities

  24. ทางเลือกการตอบสนองความเสี่ยงทางเลือกการตอบสนองความเสี่ยง ระดับความเสี่ยง ( R ) ระดับความเสียหายต่อองค์กร x ระดับโอกาสเกิดเหตุการณ์ ประสิทธิผลการควบคุม ( C ) วุฒิความสามารถการควบคุม x อัตราความผิดพลาดการควบคุม

  25. การประเมินความเสี่ยง

  26. A.7. Asset management • A.7.2. Information classification. • Classification guidelines • Information labelling and handling ลับที่สุด ลับมาก ลับ ภายใน ทั่วไป

  27. Information Labeling Handing and Destroy Destroy Label Move/Copy ลับที่สุด ลับมาก ลับ ภายใน ทั่วไป

  28. Information Labeling Handing and Destroy

  29. Information Labeling Handing and Destroy

  30. A.8. Human resources security • A.8.1. Prior to employment. • Roles and responsibilities • Screening • Terms and conditions of employment

  31. A.8. Human resources security • A.8.2. During employment. • Management responsibilities • Information security awareness, education and training All employees of the organization and, where relevant, contractors and third party users should receive appropriate awareness training and regular updates in organization policies and procedures, as relevant for their job function.

  32. A.8. Human resources security • A.8.3. Termination or change of employment. • Termination responsibilities • Return of assets • Removal of access rights

  33. A.9. Physical and environmental security • A.9.1. Secure areas. • Physical security perimeter • Physical entry controls • Security offices, rooms and facilities • Protecting against external and environment threats • Working in secure areas • Public access, delivery and loading areas

  34. A.10. Communications and operations management A.10.7. Media handling. A.10.7.1. Management of removable media. A.10.7.2. Disposal of media. A.10.7.3. Information handling procedures. A.10.7.4. Security of system document. A.10.1. Operation procedure and responsibilities A.10.1.1. Documented Operating procedures A.10.1.4. Separation of development, test and operational facilities A.10.2. Third party service delivery management A.10.6. Network security management A.10.5. Back-up A10.10. Monitoring Test Production A.10.8. Exchange of information A.10.9. E- commerce service A.10.3. System planning and acceptance A.10.4. Protection against malicious and mobile code

  35. A.10.7. Media handling A.10.7.1. Management of removable media. A.10.7.2. Disposal of media. A.10.7.3. Information handling procedures. A.10.7.4. Security of system document.

  36. A.11. Access control A.11.1. Business requirements for access control. A.11.7. Mobile computing and teleworking. A.11.2. User access management. เปลี่ยนรหัสผ่านทุกๆ 60 วัน ตรวจสอบสิทธิการใช้งานอย่างน้อยปีล่ะ 2 ครั้ง A.11.3. User responsibilities. A.11.4. Network Access Control Test Production A.11.5. Operating System Access Control A.11.5.1. Secure Log-On Procedure A.11.6. Application and information access control.

  37. A.11. Access control Scan หลอดเลือดดำ เพื่อใช้ในการตรวจสอบตัวบุคคล

  38. A.12. Information systems acquisition, development and maintenance A.12.3. Cryptographic controls. A.12.3.1 Policy on the use of cryptographic controls. A.12.3.2 Key management A.12.1. Security requirement of information systems. มีการนำเอาดทคโนโยลีการเข้ารหัสมาใช้การการรักษาความมันคงปลอดภัย A.12.4. Security of system files. A.12.4.1 Control of operation software. A.12.5. Security in development and support process. A.12.5.1 Change control procedure. มีการความคุมและบริหารการเปลี่ยนแปลง Test Production มีการทดสอบการนำเข้าข้อมูลและดูผลลัพธ์ A.12.2. Correct processing in applications. Input Data Validation Output Data Validation

  39. A.13. Information security incident management • A.13.1. Reporting information security events and weaknesses • Collection of evidence security events • Reporting security weaknesses • A.13.2. Management of information security incidents and improvements • Responsibilities and procedures • Learning from information security incidents • Collection of evidence

  40. Service Level Agreements : SLAs

  41. Service Level Agreements : SLAs Priority = Urgency + Impact

  42. A.14. Business continuity management • A.14.1. Information security aspects of business continuity management. • Including information security in the BCM process • Business continuity and risk assessment • Developing and implementing continuity plans including information security • Business continuity planning framework • Testing, maintaining and reassessing business continuity plans ประเมินผลกระทบ กำหนดปัญหา สร้างแผนในการปฏิบัติ ทดสอบแผนการปฏิบัติ ปรับปรุงแผนให้เหมาะสม

  43. A.14. Business continuity management DR Site Main Site

  44. ISO 27001 vs. ISO22301

  45. A.15. Compliance A.15.1. Compliance with legal requirements. A.15.2. Compliance with security policies and standards, and technical compliance A.15.3 Information systems audit considerations

  46. A • Q • & • ? AKANIT.THEERAAT@GMAIL.COM

More Related