มาตรการบริหารความเสี่ยงของระบบสารสนเทศ
งานศูนย์คอมพิวเตอร์โรงพยาบาลเทพสถิต
ความเสี่ยง (Risk) เป็นสิ่งที่เกิดจากการรวมตัวกันของข้อจำกัด (Constraint) และความไม่แน่นอน (Uncertainly) การบริหารความเสี่ยง (Risk Management) เป็นการปฏิบัติการควบคุมความเสี่ยง ซึ่งจะประกอบด้วยการวางแผนความเสี่ยง การประเมินความเสี่ยงด้านต่าง ๆ การพัฒนาทางเลือกในการบริหารความเสี่ยง การตรวจสอบความเสี่ยงว่าเป็นไปได้มากน้อยเพียงใด งานศูนย์คอมพิวเตอร์ จึงมีมาตรการในการบริหารความเสี่ยง เพื่อลดโอกาสที่จะเกิดความเสี่ยง ดังนี้
1.การสร้างความปลอดภัยทางกายภาพ เพื่อป้องกันผู้ที่ไม่เกี่ยวข้องเข้ามาในบริเวณซึ่งอาจสร้างความเสียหายแก่ระบบสารสนเทศและระบบคอมพิวเตอร์
1.1 มาตรการ
1.1.1) ห้ามบุคคลผู้ที่ไม่มีอำนาจหน้าที่เกี่ยวข้องเข้าไปในห้องคอมพิวเตอร์แม่ข่ายหรือห้องที่มีความสำคัญต่าง ๆหากจำเป็นให้เจ้าหน้าที่ของศูนย์คอมฯ ที่เป็นผู้รับผิดชอบในการนำพาเข้าไป และเฝ้าดูตลอดเวลาที่บุคคลนั้นอยู่ในห้องดังกล่าว และนำกลับออกมาเมื่อเสร็จสิ้นภารกิจ
1.1.2) การเข้าใช้งานเครื่องคอมพิวเตอร์แม่ข่าย และอุปกรณ์ของเจ้าหน้าที่ฯ จะต้องทำการใส่บัญชีผู้ใช้ (Username) และ/หรือรหัสผ่าน (Password)
1.2 การดำเนินการ
มีการควบคุมการเข้าออกห้องห้องคอมพิวเตอร์แม่ข่าย (Server) ห้องที่มีความสำคัญต่าง ๆ รวมทั้งการควบคุมและจำกัดการใช้งานเครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ต่าง ๆให้เป็นไปตามระเบียบของทางราชการฯ
1.3 สิ่งที่จะต้องดำเนินการในอนาคต
ปรับปรุงห้องเครื่องคอมพิวเตอร์แม่ข่าย (Server) และห้องที่มีความสำคัญต่าง ๆ ให้มีความมั่นคงมากยิ่งขึ้น
- การป้องกันและแก้ไขปัญหากระแสไฟฟ้าขัดข้อง เพื่อป้องกันและแก้ไขปัญหาจากกระแสไฟฟ้า ซึ่งอาจสร้างความเสียหายแก่ระบบสารสนเทศและระบบคอมพิวเตอร์
2.1 มาตรการ
2.1.1) เปิดใช้งานเครื่องสำรองไฟฟ้าและปรับแรงดันไฟฟ้าอัตโนมัติ (UPS) ตลอดระยะเวลาที่เปิดใช้งานเครื่องคอมพิวเตอร์แม่ข่ายและเครื่องคอมพิวเตอร์ส่วนบุคคล
2.1.2) เมื่อเกิดกระแสไฟฟ้าดับ ให้รีบทำการบันทึกข้อมูล (Save) คอมพิวเตอร์ที่ยังค้างอยู่ และปิดเครื่องคอมพิวเตอร์อย่างปลอดภัย (Safety) รวมทั้งการปิดอุปกรณ์เครื่องใช้ไฟฟ้าอื่นภายในศูนย์คอมพิวเตอร์ด้วย
2.2 การดำเนินการ
การติดตั้งเครื่องสำรองไฟฟ้าและปรับแรงดันไฟฟ้าอัตโนมัติ (Uninterruptible Power Supply: UPS) เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับอุปกรณ์ คอมพิวเตอร์หรือการประมวลผลของระบบคอมพิวเตอร์ ทั้งในส่วนของเครื่องคอมพิวเตอร์แม่ข่าย (Server) ซึ่งมีระยะเวลาการสำรองไฟฟ้าได้ประมาณ 30 นาที และเครื่องคอมพิวเตอร์ส่วนบุคคล (PC) ซึ่งมีระยะเวลาการสำรองไฟฟ้าได้ประมาณ 5-10 นาที
2.3 สิ่งที่จะต้องดำเนินการในอนาคต
บำรุงรักษาเครื่องสำรองไฟฟ้าและปรับแรงดันไฟฟ้าอัตโนมัติ ให้อยู่ในสภาพพร้อมใช้งานอยู่เสมอ
- การสร้างความปลอดภัยให้กับระบบปฏิบัติการ เพื่อเป็นการสร้างพื้นฐานความปลอดภัยและลดความเสี่ยงจากภัยคุกคามทางคอมพิวเตอร์แก่เครื่องคอมพิวเตอร์แม่ข่าย (Server) และคอมพิวเตอร์ส่วนบุคคล
3.1 มาตรการ
3.1.1) ผู้ใช้งานจะต้องตั้งค่าให้ระบบปฏิบัติการ ทำการปรับปรุงระบบปฏิบัติการให้ทันสมัยอยู่เสมอ (Patch Update)
3.1.2) ผู้ใช้งานจะต้องเปิดใช้งานไฟร์วอลล์ (Firewall) การกู้คืนข้อมูล (Recovery) ของระบบปฏิบัติการตลอดเวลา
3.2 การดำเนินการ
มีการควบคุมการติดตั้งระบบปฏิบัติการ และมีการปรับปรุงระบบปฏิบัติการให้ทันสมัยอยู่เสมอและใช้ความสามารถของระบบปฏิบัติการในการสร้างความปลอดภัยให้กับระบบคอมพิวเตอร์ ได้แก่ การควบคุมและจำกัดสิทธิของผู้ใช้ได้ตามอำนาจหน้าที่และความรับผิดชอบ การเปิดใช้งานไฟร์วอลล์ (Firewall) การกู้คืนข้อมูล เป็นต้น
3.3 สิ่งที่จะต้องดำเนินการในอนาคต
ให้ความรู้และความเข้าใจแก่บุคลากรของสำนักงานฯ ในการใช้งานระบบปฏิบัติการของคอมพิวเตอร์อย่างมีประสิทธิภาพ
- การสร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์แม่ข่าย (Server) เพื่อเป็นการสร้างพื้นฐานความปลอดภัยและลดความเสี่ยงจากภัยคุกคามทางคอมพิวเตอร์แก่เครื่องคอมพิวเตอร์แม่ข่าย (Server)
4.1 มาตรการ
4.1.1) ผู้ดูแลเครื่องคอมพิวเตอร์แม่ข่าย จะต้องเฝ้าระวังภัยคุกคามทางคอมพิวเตอร์ที่อาจเกิดขึ้นกับเครื่องคอมพิวเตอร์แม่ข่ายอย่างต่อเนื่อง
4.1.2) เจ้าหน้าที่ผู้รับผิดชอบจะต้องทำการใส่บัญชีผู้ใช้ (Username) และ/หรือรหัสผ่าน (password) ในการเข้าใช้งานเครื่องคอมพิวเตอร์แม่ข่ายของศูนย์คอมพิวเตอร์เสมอ
4.1.3) เจ้าหน้าที่ดูแลเครื่องคอมพิวเตอร์แม่ข่าย จะต้องทำการตั้งค่าและเปิดใช้งานบริการ (Service) ต่าง ๆของระบบปฏิบัติการเครื่องคอมพิวเตอร์แม่ข่าย ที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบตลอดเวลา
4.2 การดำเนินการ
มีการติดตั้งระบบปฏิบัติการสำหรับเครื่องคอมพิวเตอร์แม่ข่าย ซึ่งเป็นระบบปฏิบัติการที่มีความสามารถในการบริหารจัดการความปลอดภัยสูง และใช้ความสามารถของระบบปฏิบัติการ ในการสร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์แม่ข่าย ได้แก่ การควบคุมและจำกัดสิทธิของผู้ใช้ได้ตามอำนาจหน้าที่และความรับผิดชอบ การเปิดใช้งานไฟล์วอลล์ การกู้คืนข้อมูล การสำรองข้อมูลเป็นต้น รวมทั้ง การใช้โปรโตคอล Secure Shell (SSH) ในการติดต่อกับ Server เพื่อเพิ่มความปลอดภัยให้สูงกว่าการ FTP หรือ Telnet
4.3 สิ่งที่จะต้องดำเนินการในอนาคต
การดำเนินการตามมาตรการดังกล่าวอย่างต่อเนื่อง
- 5. การพัฒนานโยบายการใช้งานระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ เพื่อให้การใช้งานระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ของงานศูนย์คอมพิวเตอร์โรงพยาบาลเทพสถิต เป็นไปอย่างมีประสิทธิภาพและลดความเสี่ยงจากภัยคุกคามทางคอมพิวเตอร์
5.1 มาตรการ
5.1.1) มีหลักเกณฑ์หรือแนวปฏิบัติในการรักษาความปลอดภัยระบบสารสนเทศและเครือข่ายคอมพิวเตอร์
5.1.2) มีการมอบหมายเจ้าหน้าที่ดูแลระบบสารสนเทศและเครือข่ายคอมพิวเตอร์
5.2 การดำเนินการ
6.2.1) ออกระเบียบหรือแนวปฏิบัติในการรักษาความปลอดภัยระบบสารสนเทศและเครือข่ายคอมพิวเตอร์
5.2.2) ออกบันทึกมอบหมายเจ้าหน้าที่ดูแลระบบสารสนเทศและเครือข่ายคอมพิวเตอร์
5.3 สิ่งที่จะต้องดำเนินการในอนาคต
กำกับการดำเนินการให้เป็นไปตามระเบียบฯว่าด้วยการรักษาความปลอดภัยระบบสารสนเทศและเครือข่ายคอมพิวเตอร์ อย่างต่อเนื่อง