ความเสี่ยงสารสนเทศ

Spread the love

มาตรการบริหารความเสี่ยงของระบบสารสนเทศ

งานศูนย์คอมพิวเตอร์โรงพยาบาลเทพสถิต

                      ความเสี่ยง (Risk) เป็นสิ่งที่เกิดจากการรวมตัวกันของข้อจำกัด (Constraint) และความไม่แน่นอน (Uncertainly) การบริหารความเสี่ยง (Risk Management) เป็นการปฏิบัติการควบคุมความเสี่ยง ซึ่งจะประกอบด้วยการวางแผนความเสี่ยง การประเมินความเสี่ยงด้านต่าง ๆ การพัฒนาทางเลือกในการบริหารความเสี่ยง การตรวจสอบความเสี่ยงว่าเป็นไปได้มากน้อยเพียงใด งานศูนย์คอมพิวเตอร์ จึงมีมาตรการในการบริหารความเสี่ยง เพื่อลดโอกาสที่จะเกิดความเสี่ยง ดังนี้

1.การสร้างความปลอดภัยทางกายภาพ เพื่อป้องกันผู้ที่ไม่เกี่ยวข้องเข้ามาในบริเวณซึ่งอาจสร้างความเสียหายแก่ระบบสารสนเทศและระบบคอมพิวเตอร์

 1.1 มาตรการ

1.1.1) ห้ามบุคคลผู้ที่ไม่มีอำนาจหน้าที่เกี่ยวข้องเข้าไปในห้องคอมพิวเตอร์แม่ข่ายหรือห้องที่มีความสำคัญต่าง ๆหากจำเป็นให้เจ้าหน้าที่ของศูนย์คอมฯ ที่เป็นผู้รับผิดชอบในการนำพาเข้าไป และเฝ้าดูตลอดเวลาที่บุคคลนั้นอยู่ในห้องดังกล่าว และนำกลับออกมาเมื่อเสร็จสิ้นภารกิจ

1.1.2) การเข้าใช้งานเครื่องคอมพิวเตอร์แม่ข่าย และอุปกรณ์ของเจ้าหน้าที่ฯ จะต้องทำการใส่บัญชีผู้ใช้ (Username) และ/หรือรหัสผ่าน (Password)

          1.2 การดำเนินการ

                   มีการควบคุมการเข้าออกห้องห้องคอมพิวเตอร์แม่ข่าย (Server) ห้องที่มีความสำคัญต่าง ๆ รวมทั้งการควบคุมและจำกัดการใช้งานเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ต่าง ๆให้เป็นไปตามระเบียบของทางราชการฯ

1.3 สิ่งที่จะต้องดำเนินการในอนาคต

                   ปรับปรุงห้องเครื่องคอมพิวเตอร์แม่ข่าย (Server) และห้องที่มีความสำคัญต่าง ๆ ให้มีความมั่นคงมากยิ่งขึ้น

  1. การป้องกันและแก้ไขปัญหากระแสไฟฟ้าขัดข้อง เพื่อป้องกันและแก้ไขปัญหาจากกระแสไฟฟ้า ซึ่งอาจสร้างความเสียหายแก่ระบบสารสนเทศและระบบคอมพิวเตอร์

2.1 มาตรการ

2.1.1) เปิดใช้งานเครื่องสำรองไฟฟ้าและปรับแรงดันไฟฟ้าอัตโนมัติ (UPS) ตลอดระยะเวลาที่เปิดใช้งานเครื่องคอมพิวเตอร์แม่ข่ายและเครื่องคอมพิวเตอร์ส่วนบุคคล

2.1.2) เมื่อเกิดกระแสไฟฟ้าดับ ให้รีบทำการบันทึกข้อมูล (Save) คอมพิวเตอร์ที่ยังค้างอยู่ และปิดเครื่องคอมพิวเตอร์อย่างปลอดภัย (Safety) รวมทั้งการปิดอุปกรณ์เครื่องใช้ไฟฟ้าอื่นภายในศูนย์คอมพิวเตอร์ด้วย

2.2 การดำเนินการ

  การติดตั้งเครื่องสำรองไฟฟ้าและปรับแรงดันไฟฟ้าอัตโนมัติ (Uninterruptible Power Supply: UPS) เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับอุปกรณ์ คอมพิวเตอร์หรือการประมวลผลของระบบคอมพิวเตอร์ ทั้งในส่วนของเครื่องคอมพิวเตอร์แม่ข่าย (Server) ซึ่งมีระยะเวลาการสำรองไฟฟ้าได้ประมาณ 30 นาที และเครื่องคอมพิวเตอร์ส่วนบุคคล (PC) ซึ่งมีระยะเวลาการสำรองไฟฟ้าได้ประมาณ 5-10 นาที

2.3 สิ่งที่จะต้องดำเนินการในอนาคต

  บำรุงรักษาเครื่องสำรองไฟฟ้าและปรับแรงดันไฟฟ้าอัตโนมัติ ให้อยู่ในสภาพพร้อมใช้งานอยู่เสมอ

  1. การสร้างความปลอดภัยให้กับระบบปฏิบัติการ เพื่อเป็นการสร้างพื้นฐานความปลอดภัยและลดความเสี่ยงจากภัยคุกคามทางคอมพิวเตอร์แก่เครื่องคอมพิวเตอร์แม่ข่าย (Server) และคอมพิวเตอร์ส่วนบุคคล

3.1 มาตรการ

3.1.1) ผู้ใช้งานจะต้องตั้งค่าให้ระบบปฏิบัติการ ทำการปรับปรุงระบบปฏิบัติการให้ทันสมัยอยู่เสมอ (Patch Update)

3.1.2) ผู้ใช้งานจะต้องเปิดใช้งานไฟร์วอลล์ (Firewall) การกู้คืนข้อมูล (Recovery) ของระบบปฏิบัติการตลอดเวลา

3.2 การดำเนินการ

                   มีการควบคุมการติดตั้งระบบปฏิบัติการ และมีการปรับปรุงระบบปฏิบัติการให้ทันสมัยอยู่เสมอและใช้ความสามารถของระบบปฏิบัติการในการสร้างความปลอดภัยให้กับระบบคอมพิวเตอร์ ได้แก่ การควบคุมและจำกัดสิทธิของผู้ใช้ได้ตามอำนาจหน้าที่และความรับผิดชอบ การเปิดใช้งานไฟร์วอลล์ (Firewall) การกู้คืนข้อมูล เป็นต้น

3.3 สิ่งที่จะต้องดำเนินการในอนาคต

                    ให้ความรู้และความเข้าใจแก่บุคลากรของสำนักงานฯ ในการใช้งานระบบปฏิบัติการของคอมพิวเตอร์อย่างมีประสิทธิภาพ

  1. การสร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์แม่ข่าย (Server) เพื่อเป็นการสร้างพื้นฐานความปลอดภัยและลดความเสี่ยงจากภัยคุกคามทางคอมพิวเตอร์แก่เครื่องคอมพิวเตอร์แม่ข่าย (Server)

4.1 มาตรการ

4.1.1) ผู้ดูแลเครื่องคอมพิวเตอร์แม่ข่าย จะต้องเฝ้าระวังภัยคุกคามทางคอมพิวเตอร์ที่อาจเกิดขึ้นกับเครื่องคอมพิวเตอร์แม่ข่ายอย่างต่อเนื่อง

4.1.2) เจ้าหน้าที่ผู้รับผิดชอบจะต้องทำการใส่บัญชีผู้ใช้ (Username) และ/หรือรหัสผ่าน (password) ในการเข้าใช้งานเครื่องคอมพิวเตอร์แม่ข่ายของศูนย์คอมพิวเตอร์เสมอ

4.1.3) เจ้าหน้าที่ดูแลเครื่องคอมพิวเตอร์แม่ข่าย จะต้องทำการตั้งค่าและเปิดใช้งานบริการ (Service) ต่าง ๆของระบบปฏิบัติการเครื่องคอมพิวเตอร์แม่ข่าย ที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบตลอดเวลา

4.2 การดำเนินการ

                   มีการติดตั้งระบบปฏิบัติการสำหรับเครื่องคอมพิวเตอร์แม่ข่าย ซึ่งเป็นระบบปฏิบัติการที่มีความสามารถในการบริหารจัดการความปลอดภัยสูง และใช้ความสามารถของระบบปฏิบัติการ ในการสร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์แม่ข่าย ได้แก่ การควบคุมและจำกัดสิทธิของผู้ใช้ได้ตามอำนาจหน้าที่และความรับผิดชอบ การเปิดใช้งานไฟล์วอลล์ การกู้คืนข้อมูล การสำรองข้อมูลเป็นต้น รวมทั้ง การใช้โปรโตคอล Secure Shell (SSH) ในการติดต่อกับ Server เพื่อเพิ่มความปลอดภัยให้สูงกว่าการ FTP หรือ Telnet

4.3 สิ่งที่จะต้องดำเนินการในอนาคต

การดำเนินการตามมาตรการดังกล่าวอย่างต่อเนื่อง

  1. 5. การพัฒนานโยบายการใช้งานระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ เพื่อให้การใช้งานระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ของงานศูนย์คอมพิวเตอร์โรงพยาบาลเทพสถิต เป็นไปอย่างมีประสิทธิภาพและลดความเสี่ยงจากภัยคุกคามทางคอมพิวเตอร์

5.1 มาตรการ

5.1.1) มีหลักเกณฑ์หรือแนวปฏิบัติในการรักษาความปลอดภัยระบบสารสนเทศและเครือข่ายคอมพิวเตอร์

5.1.2) มีการมอบหมายเจ้าหน้าที่ดูแลระบบสารสนเทศและเครือข่ายคอมพิวเตอร์

5.2 การดำเนินการ

                    6.2.1) ออกระเบียบหรือแนวปฏิบัติในการรักษาความปลอดภัยระบบสารสนเทศและเครือข่ายคอมพิวเตอร์

5.2.2) ออกบันทึกมอบหมายเจ้าหน้าที่ดูแลระบบสารสนเทศและเครือข่ายคอมพิวเตอร์

5.3 สิ่งที่จะต้องดำเนินการในอนาคต

                   กำกับการดำเนินการให้เป็นไปตามระเบียบฯว่าด้วยการรักษาความปลอดภัยระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ อย่างต่อเนื่อง