แบบประเมินภัยคุกคามไซเบอร์

สำหรับโรงพยาบาลและหน่วยงานสาธารณสุข

แบบประเมินภัยคุกคามไซเบอร์ สำหรับโรงพยาบาลและหน่วยงานสาธารณสุข

[ฟอร์ม 3] แบบประเมินภัยคุกคามไซเบอร์โรงพยาบาลและหน่วยงานสาธารณสุข ของ NT (#29)

ชื่อสกุล ผู้ทำการประเมิน

ตำแหน่งผู้ประเมิน

รหัสพนักงาน (NT)

Email (@ntplc.co.th)

หมายเลขโทรศัพท์

ชื่อ-สกุล ผู้ให้ข้อมูลสารสนเทศ

ตำแหน่งผู้ให้ข้อมูล

เขตสุขภาพที่

จังหวัด

โรงพยาบาล

1. การสำรองข้อมูล: มีการสำรองข้อมูลโดยต้องสำรองข้อมูลระบบ HIS หรือระบบสารสนเทศที่สำคัญของโรงพยาบาลเป็นอย่างน้อย

มีการสำรองข้อมูล

ไม่มีการสำรองข้อมูล

1.1 มีการสำรองข้อมูล 3 Copy

มี

ไม่มี

ข้อมูลหลักฐาน 1.1

1.2 มีการใช้ 2 เทคโนโลยีในการจัดเก็บ HDD / Tape / External / Cloud

มี

ไม่มี

ข้อมูลหลักฐาน 1.2

1.3 มีการ Backup OS / Backup Software HIS

มี

ไม่มี

ข้อมูลหลักฐาน 1.3

1.4 มีการสำรองข้อมูลวันละครั้ง ย้อนหลังได้ 7 วัน

มี

ไม่มี

ข้อมูลหลักฐาน 1.4

1.5 มีการสำรองข้อมูลแบบ Offsite หรือ Cloud 1 ชุด

มี

ไม่มี

ข้อมูลหลักฐาน 1.5

หมายเหตุ : การสำรองข้อมูล

2. Anti-Virus : มีการติดตั้งระบบป้องกันไวรัสในเครือข่าย ครอบคลุมทั้ง Server และ Client

มีการติดตั้ง NextGen Antivirus/EDR/XDR

ไม่มีการติดตั้ง NextGen Antivirus/EDR/XDR

2.1 มี NextGen Antivirus/EDR/XDR บนเครื่อง Server ทุกเครื่องใน รพ.

มี

ไม่มี

ข้อมูลหลักฐาน 2.1

2.2 มี NextGen Antivirus/EDR/XDR บนเครื่อง Server HIS

มี

ไม่มี

ข้อมูลหลักฐาน 2.2

2.3 มี NextGen Antivirus/EDR/XDR ในทุกเครื่อง Client

มี

ไม่มี

ข้อมูลหลักฐาน 2.3

หมายเหตุ : Antivirus

3. Access Control (Public และ Private) : มีอุปกรณ์ควบคุมการเข้าถึงระบบผ่านทางช่องทาง Public/Private ทั้งจากภายในประเทศและต่างประเทศ

มี Firewall เพื่อใช้ในการควบคุม Access Control

ไม่มี Firewall

3.1 องค์กรมีการใช้ Firewall หรืออุปกรณ์ควบคุมการเข้าถึงระบบสารสนเทศภายในเครือข่าย

มี

ไม่มี

ข้อมูลหลักฐาน 3.1

3.2 องค์กรมีการกำหนด White list Port และไม่เปิด Port ที่มีความเสี่ยงโดนโจมตี

มี

ไม่มี

ข้อมูลหลักฐาน 3.2

3.3 องค์กรมีการแบ่งโซน Network ระหว่าง Server และ Client

มี

ไม่มี

ข้อมูลหลักฐาน 3.3

3.4 ในกรณีที่ต้องการ Access เข้า Server จาก Public ได้ทำการเข้าผ่าน VPN

มี

ไม่มี

ข้อมูลหลักฐาน 3.4

3.5 องค์กรมีการใช้ Terminal server ในการเข้าถึง Server แทนที่ใช้ Computer ต้นทาง

มี

ไม่มี

ข้อมูลหลักฐาน 3.5

หมายเหตุ : Access Control

4. PAM : มีการจัดการสิทธิพิเศษในการเข้าถึงระบบเทคโนโลยีสารสนเทศ โดยครอบคลุมระบบ HIS เป็นอย่างน้อย

มีการจัดการสิทธิ

ไม่มีการจัดการสิทธิ

4.1 องค์กรมีการ Disable Administrator/Root/Admin บนระบบเพื่อป้องกันการโจมตีประเภท Brute Force Password

มี

ไม่มี

ข้อมูลหลักฐาน 4.1

4.2 องค์กรมีการกำหนดการเข้าถึงระบบตามสิทธิและหน้าที่ที่ได้รับหรือไม่ (User Right Matrix)

มี

ไม่มี

ข้อมูลหลักฐาน 4.2

4.3 องค์กรมีการทบทวนสิทธิผู้ใช้งานอย่างน้อยปีละ 1 ครั้ง

มี

ไม่มี

ข้อมูลหลักฐาน 4.3

4.4 องค์กรมีการตั้ง Password ให้ Complex ตามมาตรฐาน (10 ตัวอักษร ใหญ่ เล็ก อักขระพิเศษ)

มี

ไม่มี

ข้อมูลหลักฐาน 4.4

4.5 มี Policy ในการเปลี่ยน Password อย่างน้อยทุก 3 เดือน

มี

ไม่มี

ข้อมูลหลักฐาน 4.5

หมายเหตุ : PAM

5. Business Continuity Plan (BCP) : มีแผนหรือแนวทางการดำเนินการของหน่วยงานเมื่อเกิดสภาวะวิกฤตหรือภัยต่าง ๆ ที่ส่งผลให้กระบวนการทำงานของหน่วยงานหยุดชะงัก เพื่อให้สามารถกลับมาดำเนินการได้อย่างต่อเนื่อง

มีการทำแผน BCP แล้ว

ยังไม่มีแผน BCP

5.1 องค์กรมีการจัดทำรายงานขั้นตอนการดำเนินการแผนความต่อเนื่องทางธุรกิจ (แผน BCP) ที่ชัดเจนรวมถึงระยะเวลาและผู้เกี่ยวข้อง

มี

ไม่มี

ข้อมูลหลักฐาน 5.1

5.2 การทำ BCP ครอบคลุม OS ของระบบ HIS หรือ Software HIS เป็นอย่างน้อย

มี

ไม่มี

ข้อมูลหลักฐาน 5.2

5.3 องค์กรมีการทดสอบ BCP อย่างน้อยปีละ 1 ครั้ง

มี

ไม่มี

ข้อมูลหลักฐาน 5.3

หมายเหตุ : BCP

6. มี Disaster Recovery site (DR site) ในกรณีฉุกเฉินที่เกิดภัยพิบัติ ทำให้ระบบหลักไม่สามารถใช้งานได้ โดย DR-Site จะต้องเป็นไปตามมาตรฐาน ISO27001 (ยังไม่อยู่ในเกณฑ์ประเมิน)

มี DR Site แล้ว

ไม่มี DR Site

7. OS Patching : มีกระบวนการในการแก้ไขจุดบกพร่อง (Patch) ของระบบปฏิบัติการ (OS) หรือปรับปรุงระบบปฏิบัติการให้ทันสมัย และเพิ่มเติมความสามารถในการใช้งานหรือประสิทธิภาพให้ดีขึ้น

องค์กรมีการ Update Security Patch สำหรับ OS ของระบบ HIS อย่างน้อย 6 เดือนครั้งหรือทันทีหากมี Critical patch

ไม่มีการอัปเดต Patch

ข้อมูลหลักฐานข้อ 7. OS Patching

8. Multi-Factor Authentication (2FA) : มีการยืนยันตัวตน 2 ชั้น เป็นการเข้าสู่ระบบบัญชีแบบหลายปัจจัยที่กำหนดให้ผู้ใช้ป้อนข้อมูลเพิ่มเติมนอกเหนือจากรหัสผ่าน

ทำการเปิด MFA แล้ว

ยังไม่ได้ทำการเปิด MFA

8.1 หากองค์กรมีการใช้ VPN ได้ทำการเปิด 2FA แล้ว

มี

ไม่มี

ข้อมูลหลักฐาน 8.1

8.2 องค์กรมีการใช้ 2FA ครอบคลุม OS ของระบบ HIS หรือ Software HIS เป็นอย่างน้อย

มี

ไม่มี

ข้อมูลหลักฐาน 8.2

หมายเหตุ : MFA

9. Web Application Firewall (WAF) : มีระบบป้องกันการโจมตีทางไซเบอร์สำหรับเว็บแอปพลิเคชันโดยเฉพาะ เพื่อป้องกันการโจมตีไปยังระบบเว็บแอปพลิเคชันขององค์กร

มีการใช้ WAF ในรูปแบบ Cloud Security ตามมาตรฐาน OWASP Top 10

ไม่ได้ใช้งาน เพราะไม่มี Website/Web Application

ใช้บริการ WAF ของ NT

ไม่มี WAF

ข้อมูลหลักฐาน 9. WAF

10. Log Management : มีการจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ ตามที่กฎหมายกำหนด

องค์กรมีระบบจัดเก็บ Log อินเตอร์เน็ตและคอมพิวเตอร์ตาม พรบ. อย่างน้อย 90 วัน

ใช้บริการ MINI SIEM / CSM ของ NT

ไม่มี/อยู่ระหว่างดำเนินการ

ข้อมูลหลักฐาน ข้อ 10. Log Management

11. Security Information & Event Management (SIEM) : มีระบบที่ใช้ในการจัดการกับ Log และ Event ต่าง ๆ ซึ่งทำหน้าที่วิเคราะห์หาความเชื่อมโยงของ Event ต่าง ๆ ที่เกี่ยวข้องกับความปลอดภัยทั้งหมด ไปจนถึงการ Alert ระบุตำแหน่งของภัยคุกคามให้ทราบ เมื่อมี Event ที่ผิดปกติ ทำให้สามารถป้องกัน และตอบสนองภัยคุกคามได้อย่างรวดเร็ว

องค์กรมีระบบ Security Information & Event Management (SIEM)

ใช้บริการ MINI SIEM / CSM ของ NT

ไม่มี/อยู่ระหว่างดำเนินการ

ข้อมูลหลักฐาน ข้อ 11. SIEM

12. Vulnerability Assessment (VA Scan) : มีการตรวจสอบช่องโหว่ของระบบ เพื่อให้ทราบถึงความเสี่ยง จุดอ่อน และระดับความรุนแรงของผลกระทบที่อาจเกิดขึ้นจากการถูกโจรกรรมข้อมูลและการโจมตีทางไซเบอร์

มีการทำ VA Scan แล้ว

ใช้บริการ VA Scan ของ NT

ยังไม่ได้ดำเนินการ/อยู่ระหว่างดำเนินการ

12.1 องค์กรมีการตรวจสอบช่องโหว่ หรือทำ VA Scan โดยครอบคลุม OS ของระบบ HIS หรือ Software HIS เป็นอย่างน้อย

มี

ไม่มี

ข้อมูลหลักฐาน 12.1

12.2 หากพบช่องโหว่จากการ Scan แล้วมีการสรุปเป็นรายงานเพื่อนำไปสู่กระบวนการพิจารณาปิดช่องโหว่

มี

ไม่มี

ข้อมูลหลักฐาน 12.2

13. Software Update : มีการตรวจสอบ Version ของ Software ให้เป็น Version Update ล่าสุด เพื่อปิดช่องโหว่ที่เกิดขึ้นใน Software Version ก่อนหน้า

มีการ update Software ของระบบ HIS เป็นอย่างน้อย

ยังไม่ได้มีการอัปเดต Software

ข้อมูลหลักฐาน ข้อ 13. Software Update

14. Penetration Testing : มีการทดสอบการเจาะระบบ โดยบุคคลที่สาม

มีการทำ Pentest แล้ว

ใช้บริการ Pentest ของ NT

ยังไม่มีการทำ Pentest

14.1 องค์กรมีการทดสอบเจาะระบบ หรือทำ Penetration Test อย่างน้อยปีละ 1 ครั้ง

มี

ไม่มี

ข้อมูลหลักฐาน 14.1

14.2 มีการสรุปผลการทดสอบเป็นรายงานเพื่อพิจารณาปรับปรุงความปลอดภัยของระบบ

มี

ไม่มี

ข้อมูลหลักฐาน 14.2

14.3 ทำการแก้ไขช่องโหว่ระดับ Severity Critical และ High แล้ว (ถ้ามี)

มี

ไม่มี

ข้อมูลหลักฐาน 14.3

แบบประเมินภัยคุกคามไซเบอร์ สำหรับโรงพยาบาลและหน่วยงานสาธารณสุข

บริษัท โทรคมนาคมแห่งชาติ จำกัด (มหาชน)

หน้าแรก

กลุ่มบริการ

คลังความรู้ไอที

Why us