Tuesday, December 12, 2023

PDPA Self Check - ทำครบหรือยัง?


PDPA Self Check
  1. แต่งตั้งเจ้าหน้าที่คุัมครองข้อมูลส่วนบุคคล (Data Protection Officer | DPO)
  2. จัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity | RoPA)
  3. การแจ้งคำประกาศการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice)
  4. จัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูล (Security Measure)
  5. จัดให้มีกระบวนการในการขอใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
  6. จัดให้มีกระบวนการในการตอบสนองต่ออุบัติการณ์และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Response)
  7. การจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Sharing Agreement | DSA) หรือข้อตกลงในการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement | DPA) --- ถ้ามี
  8. การจัดทำหลักเกณฑ์/ข้อตกลง การคุ้มครองข้อมูลส่วนบุคคล กรณีที่ส่งหรือโอนข้อมูลไปต่างประเทศ (Cross Border Transfer)
---
ประกาศที่เกี่ยวข้อง:

Wednesday, November 15, 2023

ความมุ่งมั่นของฝ่ายบริหาร (Leadership & Commitment)

มาตรฐานได ๆ ไม่อาจสำเร็จ หรือบรรลุวัตถุประสงค์ได้หากไม่ได้รับการสนับสนุนจากผู้บริหาร ถ้าแค่ไม่ค่อยเห็นความสำคัญอาจจะยังไม่เป็นปัญหาเท่าใหร่ แต่หากผู้บริหารไม่รู้ว่าการดำเนินการเหล่านี้มีไว้ทำไม หรือมีประโยชน์อะไร อันนี้ตัวใครตัวมันแล้ว !!!

ความมุ่งมั่นของฝ่ายบริหาร (Management commitment) เป็นส่วนหนึ่งของข้อกำหนดในมาตรฐานระบบการจัดการ ในที่นี้จะยกมาในส่วนของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO27001 ซึ่งได้วางข้อกำหนดเกี่ยวกับความมุ่งมั่นของผู้บริหารไว้ดังนี้


ซึ่งประเด็นสำคัญของมันก็คือ ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงความมุ่งมั่นในการพัฒนาและนำระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศฯ ไปปฏิบัติใช้ รวมถึงการปรับปรุงประสิทธิภาพของระบบอย่างต่อเนื่อง

คำถามที่ตามมาคือ ในฐานะผู้บริหารจะแสดงความมุ่งมั่นอย่างไร ในฐานะผู้ตรวจปัญหาสำคัญคือจะทำอย่างไรในการเก้บรวบรวมหลักฐานที่แสดงให้เห็นถึงความมุ่งมั่นในการดำเนินการของผู้บริหาร

ผู้บริหารเซ็นต์ลงนามในประกาศนโยบาย และระเบียบปฎิบัติ เพียงพอใหมที่จะบอกว่าผู้บริหารมีความมุ่งมั่น? เอาตามตรงมันอาจจะยังไม่เพียงพอ แต่อย่างไรก็ตามก็สามารถมององค์ประกอบอื่นๆ  เพิ่มเติมได้ ถึงแม้บางอย่างในข้อกำหนดจะให้เก็บเป็นหลักฐานเชิงประจักษ์ยากหน่อยก็เหอะ

แล้วเราจะดูอะไรได้ หรือผู้บริหารจะทำยังไงให้เห็นถึงความมุ่งมั่นหละ สิ่งเหล่านี้อาจจะพอเป็นแนวทางได้นะครับ เช่น ผู้บริหารเข้าร่วมประชุมทบทวนระบบ กำกับดูแล และติดตามผลการดำเนินการ ให้ข้อเสนอแนะ และตัดสินใจในประเด้นที่เกี่ยวข้อง (เช่น แผนการจัดการความเสี่ยง, ประสิทธิผลการดำเนินการ เป็นต้น), ผู้บริหารจัดสรรทรัพยากรที่จำเป็นให้, ผู้บริหารสนับสนุนให้มีการฝึกอบรมพนักงาน เป็นต้น

Tuesday, November 14, 2023

การตัดสินใจเข้าสู่ขั้นตอนการสื่อสารภาวะวิกฤต

ปัญหาหนึ่งที่มักจะเจอในการจัดทำแผนความต่อเนื่องทางธุรกิจ คือการกำหนดจุดตัดสินใจในการเข้าสู่ภาวะวิกฤต แต่เจอการตัดสินใจเข้าสู่ขั้นตอนการสื่อสารภาวะวิกฤต ในคู่มือการสื่อสารประชาสัมพันธ์ในภาวะวิกฤตของกรุงเทพมหานคร แล้วชอบเป็นพิเศษเลยเอามาปรับนิดหน่อย (นิดเดียวจริงๆ) คิดว่ามีหลายหน่วยงานที่สามารถนำไปประยุกต์ใช้ต่อได้




---

คู่มือการสื่อสารประชาสัมพันธ์ในภาวะวิกฤตของกรุงเทพมหานคร (2023). Retrieved 18 September 2023, from https://pr-bangkok.com/insite/03-PRFLIP/mobile/index.html#p=1

Friday, October 13, 2023

ทำไมองค์กรถึงต้องมีระบบการจัดการที่ดี ???

ขอเริ่มต้นด้วยประโยคนี้ 

"ระบบที่ดี ไม่ว่ายูสเซอร์จะเป็นใคร จากใหน อะไร ยังไง ผลลัพธ์ที่ได้ก็เหมือนกัน ถึงจะไม่เหมือนเป๊ะแต่ก็อยู่ในระดับที่คาดหวังได้ แต่เมื่อใหร่ที่ระบบแย่ ... ผลของงานนั้นก็ขึ้นอยู่กับพนักงานแต่ละคน แล้วควรแก้ที่ใคร คน หรือระบบ ???"

ระบบการจัดการที่ดีไม่เพียงแค่ช่วยให้องค์กรสามารถดำเนินงานได้อย่างมีประสิทธิภาพ แต่ยังเป็นปัจจัยสำคัญในการสร้างความยั่งยืนและความสามารถในการแข่งขันในตลาดอีกด้วย การมีระบบการจัดการที่ดีส่งผลต่อองค์กรใหนหลาย ๆ ด้าน ดังนี้

1. ประสิทธิภาพและประสิทธิผลในการดำเนินงาน

ระบบการจัดการที่ดีช่วยให้องค์กรสามารถดำเนินงานได้อย่างเป็นระบบและมีประสิทธิภาพ เมื่อระบบได้รับการออกแบบและจัดการอย่างเหมาะสม พนักงานสามารถปฏิบัติงานได้อย่างมีประสิทธิผล ลดข้อผิดพลาด และใช้ทรัพยากรที่มีอยู่อย่างเต็มที่ ส่งผลให้องค์กรสามารถบรรลุเป้าหมายและวัตถุประสงค์ได้อย่างรวดเร็วและแม่นยำ

Wednesday, September 20, 2023

Risk Management - การจัดการความเสี่ยง ?

 


มีโอกาสได้เข้ามาดูงานการจัดการความเสี่ยงที่ศิริราช 2 อาทิตย์ ได้ดูสไลด์การจัดการความเสี่ยงของ รศ.พญ.ปรียานุช แย้มวงษ์ แล้วชอบนิยามของการจัดการความเสี่ยงของอาจารย์เป็นพิเศษ เราอาจหานิยามที่มีความเป็นวิชาการได้ แต่ของอาจารย์คือให้ความหมายที่ทำให้มองเห็นภาพ เวลาต้องอธิบาย เลยขอยืมอาจารย์ไปใช้อยู่บ่อย ๆ 



 "การจัดการความเสี่ยง เป็นศาสตร์และศิลป์ในการสร้างความสมดุล

เพื่อให้การใช้ชีวิต และการดำเนินงานขององค์กรเป็นไปตามทางสายกลาง

ที่เป็นไปอย่างไม่ประมาท แต่ก็ไม่ทุกขเกินเหตุ”



“ ชีวิตคนเรามีความเสี่ยงตลอดเวลา 

ตั้งแต่เรื่องเล็ก ๆ จนถึงเสี่ยงต่อชีวิต


ถ้าเรากลัวไปหมดซะทุกอย่าง

ก็จะไม่กล้าทำอะไรใหม่ ๆ เลย 

แต่ถ้าไม่สนใจอะไรเลย ก็ประมาท ”





รศ.พญ.ปรียานุช แย้มวงษ์ 

คณะแพทยศาสตร์ศิริราชพยาบาล

Tuesday, September 12, 2023

ผู้บริหารจะมีส่วนอย่างไรในการดำเนินการให้องค์กรบรรลุเป้าหมาย

  1. กำหนดเป้าหมายที่ชัดเจน: กำหนดหลักการสำคัญที่เป็นแนวทางให้กับองค์กร โดยอาจเขียนเป็นนโยบาย กลยุทธ์ และเผยแพร่ให้พนักงานทราบ
  2. สื่อสารอย่างสม่ำเสมอ: พูดถึงหลักนำนี้อย่างสม่ำเสมอ เน้นย้ำให้พนักงานจดจำ เพื่อให้พนักงานทราบว่าผู้บริหารระดับสูงให้ความสำคัญกับเรื่องนี้
  3. เป็นแบบอย่าง: ผู้นำต้องแสดงให้เห็นเป็นตัวอย่างที่ดี ปฏิบัติตามแนวทาง หรือเป้าหมายที่กำหนดไว้
  4. ยกย่องผู้ปฏิบัติตาม: ประกาศยกย่องและให้รางวัลแก่พนักงานที่ปฏิบัติตามแนวทาง หรือเป้าหมายที่กำหนดไว้
  5. ไม่สนับสนุนผู้ละเมิด: ไม่ให้รางวัลหรือยกย่องผู้ที่ฝ่าฝืน แม้จะสร้างผลประโยชน์ระยะสั้นให้กับองค์กรก็ตาม และตักเตือนหรือลงโทษพนักงานที่ละเมิดอย่างจริงจัง

Wednesday, September 6, 2023

Strategic The Series (Part 1) -- แผนยุทธศาสตร์คืออะไร?

วันนี้ฟังสัมนาการจัดทำยุทธศาสตร์คณะฯ เลยเอามาเขียนสรุปตามความเข้าใจของตัวเองสักหน่อย และแบ่งปันกันอ่านครับ ที่เขียนนี่คือเอาตามความเข้าใจของตัวเองที่ได้ฟังนะครับ อาจจะไม่ครบ หรือตกหล่น บางอันก็เขียนเพิ่มเองไม่ได้เกี่ยวกับที่ฟังมาต้องขออภัย

เริ่มต้นอาจารย์ได้เกริ่นก่อนว่าทุกองค์กรมีข้อจำกัดที่เหมือนกัน 3 ประการ คือ เวลา, คน และเงิน ด้วยข้อจำกัดเหล่านี้ เราจึงไม่สามารถทำทุกสิ่งที่เราต้องการได้ ดังนั้นการเพื่อผลลัพธ์ที่ดีภายใต้ข้อจำกัดเราจึงต้องเลือกทำสิ่งที่สำคัญที่สุด เพื่อให้เกิดประโยชน์สูงสุด

แผนยุทธศาสตร์คืออะไร? ก่อนจะตอบคำถามนี้อาจจะต้องทำความเข้าใจไปทีละขั้น เราคงไม่ได้เอานิยามมาคุยกันนะครับ เพราะมีการกำหนดไว้ค่อนข้างหลากหลายเลยทีเดียว 

แผน คือ รายการขั้นตอนที่ต้องทำอะไรบางอย่าง โดยใช้ทรัพยากร เพื่อให้บรรลุเป้าหมาย

แผนยุทธศาสตร์ คือ แผนที่กำหนดทิศทางหรือแนวทางปฏิบัติเพื่อให้บรรลุพันธกิจและวิสัยทัศน์ขององค์กร

องค์ประกอบหลักของแผนยุทธศาสตร์:

  1. วิสัยทัศน์ (Vision): สิ่งที่องค์กรต้องการเป็นในอนาคต เป็นจินตภาพเกี่ยวกับองค์กรในอนาคตที่ต้องการชี้ให้บุคลากร หรือผู้มีส่วนได้เสียเห็นถึงทิศทางที่องค์กรต้องการจะมุ่งไป วิสัยทัศน์จะอธิบายความท้าทายทะเยอทะยานสำหรับอนาคตขององค์กรแต่ไม่ได้ระบุถึงวิธีการที่จะนำไปสู่ความมุ่งหมายนั้นอย่างชัดเจน 
  2. พันธกิจ (Mission): กรอบหรือขอบเขตการดำเนินงานขององค์กร เป็นกิจกรรมหลักและลักษณะงานสำคัญขององค์กรเพื่อนำไปสู่วิสัยทัศน์ที่องค์กรกำหนดขึ้น พันธกิจเป็นภารกิจพื้นฐานขององค์กรหรือหน่วยงานที่ต้องปฏิบัติหรือต้องการพัฒนา
  3. เป้าประสงค์ (Goals): ผลลัพธ์ที่องค์กรต้องการบรรลุ
  4. กลยุทธ์ (Strategies): วิธีการหรือแนวทางในการบรรลุเป้าประสงค์
  5. ตัวชี้วัด (Key Performance Indicators - KPIs): เครื่องมือในการวัดความสำเร็จของแผนยุทธศาสตร์นั้น ๆ

แผนยุทธศาสตร์ที่ดี ควรต้องมี:

  • เป้าหมายที่ชัดเจน (Clear Goals)
  • มีการจัดลำดับความสำคัญ (Priority)
  • มีกลยุทธ์ที่สอดคล้องกับเป้าหมาย และสภาพแวดล้อมที่เปลี่ยนแปลง
ลักษณะสำคัญของแผนยุทธศาสตร์
  • การมององค์การแบบภาพรวม (Holistic View): แผนยุทธศาสตร์จะต้องมององค์การในภาพรวมและเชื่อมโยงทุกส่วนขององค์การเข้าด้วยกัน.
  • การมุ่งเน้นอนาคต (Future-Oriented): แผนยุทธศาสตร์จะต้องมีการวางแผนระยะยาวและมุ่งเน้นไปที่การเตรียมความพร้อมสำหรับอนาคต.
การจัดทำแผนยุทธศาสตร์
  1. วิเคราะห์สภาพแวดล้อม:
    • ภายนอก: มองหาโอกาสและอุปสรรคจากปัจจัยต่างๆ เช่น เศรษฐกิจ สังคม เทคโนโลยี การเมือง กฎหมาย และคู่แข่ง
    • ภายใน: ประเมินจุดแข็ง จุดอ่อน ทรัพยากร และความสามารถขององค์กร

  2. วิเคราะห์ข้อมูลที่ได้จากการวิเคราะห์สภาพแวดล้อม และเลือกกลยุทธ์ที่เหมาะสมกับองค์กรมากที่สุด โดยพิจารณาความได้เปรียบในการแข่งขัน กำหนดแผนปฏิบัติการที่ชัดเจน วัดผลได้ และยืดหยุ่น

  3. นำกลยุทธ์ไปใช้ โดยการสื่อสารกลยุทธ์ให้บุคลากรในองค์กรเข้าใจ จัดสรรทรัพยากรและบุคลากรอย่างมีประสิทธิภาพ มีกระบวนการในการติดตามผลและประเมินผลการดำเนินงาน และที่สำคัญคือปรับเปลี่ยนกลยุทธ์ให้เหมาะสมตามสถานการณ์
ในการดำเนินการให้เป็นไปตามแผนยุทธศาสตร์ที่วางไว้ผู้บริหารเปรียบเสมือนกัปตัน ทำหน้าที่ขับเคลื่อนองค์กรให้นำทางไปสู่เป้าหมาย 

ประโยชน์ของแผนยุทธศาสตร์
  • การกำหนดทิศทางที่ชัดเจน: ช่วยให้องค์การมีทิศทางที่ชัดเจนและสามารถวางแผนการดำเนินงานได้อย่างมีประสิทธิภาพ.
  • การเชื่อมโยงระหว่างยุทธศาสตร์กับการปฏิบัติการ: ช่วยให้องค์การสามารถเชื่อมโยงยุทธศาสตร์กับการปฏิบัติการได้อย่างเป็นรูปธรรม.
  • การปรับปรุงและพัฒนาอย่างต่อเนื่อง: ช่วยให้องค์การสามารถปรับปรุงและพัฒนาแผนยุทธศาสตร์ได้อย่างต่อเนื่องตามสภาพแวดล้อมที่เปลี่ยนแปลง.

>>> จะมีพาร์ทสองไหม?

Tuesday, August 22, 2023

Penetration testing (การทดสอบเจาะระบบ)

Pentest: Penetration testing เป็นการทดสอบเจาะระบบความปลอดภัยขององค์กร เพื่อค้นหาและโจมตี (exploit) ไปยังช่องโหว่ทางด้านความปลอดภัยใน application 

รูปแบบของการทดสอบเจาะระบบแบ่งออกเป็น 3 รูปแบบ คือ 

  1. Black Box เป็นการทดสอบเจาะระบบเสมือนจริง โดยการทดสอบ ผู้ทดสอบหรือ Pentester จะไม่ทราบข้อมูลของเป้าหมาย 
  2. White Box เป็นการทดสอบเจาะระบบที่เน้นมุมมองของภัยคุกคามจากภายในองค์กรมากที่สุด ผู้ทดสอบหรือ Pentester จะทราบข้อมูลภายในขององค์กรทั้งหมดไม่ว่าจะเป็นระบบโครงสร้างเครือข่าย ข้อมูลการให้บริการต่าง ๆ เป็นต้น
  3. Grey Box เป็นการทดสอบโดยที่ผู้ทดสอบหรือ Pentester จะทราบข้อมูลภายในบางส่วน 

Tuesday, August 15, 2023

ความคลาดเคลื่อนทางยา (Medication Error)

ความคลาดเคลื่อนทางยา หมายถึง เหตุการณ์ความผิดพลาดเกี่ยวกับยาซึ่งเกิดขึ้นขณะที่ยาอยู่ในความควบคุมของบุคลากรวิชาชีพด้านสุขภาพ อันอาจเป็นสาเหตุที่นำไปสู่การใช้ยาไม่เหมาะสมหรือเป็นอันตรายต่อผู้ป่วย แต่เป็นเหตุการณ์ที่สามารถป้องกันได้ เหตุการณ์ที่เกิดขึ้นอาจเป็นความผิดพลาดที่เกิดจากตัวบุคคลที่หน้างาน (active หรือ human error) หรืออาจเป็นความล้มเหลวในเชิงระบบที่ฝังตัวมานานแล้ว (latent error) แต่ไม่มีใครสังเกต จนกระทั่งเป็นสาเหตุให้เกิดความผิดพลาดที่หน้างานโดยตัวบุคคล ซึ่งเมื่อวิเคราะห์หาสาเหตุเชิงลึกแล้วพบว่ามีความเกี่ยวโยงกัน ต้องแก้ไขหรือวางระบบใหม่ จึงจะป้องกันการเกิดความคลาดเคลื่อนซ้ำได้อย่างยังยืน

Wednesday, July 12, 2023

Encoding, Encryption และ Hashing: ความแตกต่างที่สำคัญ

Encoding

Encoding เป็นการแปลงข้อมูลให้อยู่ในรูปแบบที่ระบบสามารถเข้าใจได้. จุดประสงค์หลักคือเพื่อความสะดวกในการรับส่งข้อมูล ไม่ใช่เพื่อความปลอดภัย.

เช่น: 

  • ASCII: แปลงตัวอักษรเป็นตัวเลข เช่น 'A' เป็น 65
  • Base64: ใช้ในการส่งข้อมูลผ่านอีเมล เช่น "Hello" เป็น "SGVsbG8="

Encoding สามารถถอดกลับเป็นข้อมูลต้นฉบับได้ง่าย โดยไม่ต้องใช้กุญแจพิเศษ


Encryption

Encryption เป็นการเข้ารหัสข้อมูลเพื่อรักษาความลับ. จุดประสงค์หลักคือป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูล.

เช่น:

  • AES: ใช้ในการเข้ารหัสข้อมูลในฮาร์ดดิสก์
  • RSA: ใช้ในการเข้ารหัสการสื่อสารทางอินเทอร์เน็ต
  • Caesar Cipher: วิธีการเข้ารหัสอย่างง่าย โดยเลื่อนตัวอักษรไปตามจำนวนที่กำหนด

การถอดรหัส Encryption จำเป็นต้องใช้กุญแจ (key) ที่ถูกต้อง.


Hashing

Hashing เป็นการแปลงข้อมูลให้เป็นค่าคงที่ที่ไม่สามารถแก้ไขหรือถอดกลับได้. จุดประสงค์หลักคือเพื่อตรวจสอบความถูกต้องของข้อมูล.

เช่น:

  • SHA-256: ใช้ในการตรวจสอบความถูกต้องของไฟล์ดาวน์โหลด
  • MD5: ใช้ในการตรวจสอบความถูกต้องของข้อมูลในฐานข้อมูล
  • bcrypt: ใช้ในการเก็บรหัสผ่านของผู้ใช้ในระบบ

ตัวอย่างการใช้งาน Hashing:

  • ตรวจสอบความถูกต้องของไฟล์: เปรียบเทียบค่า hash ของไฟล์ที่ดาวน์โหลดกับค่า hash ที่ผู้ให้บริการระบุไว้.
  • เก็บรหัสผ่าน: ระบบเก็บเฉพาะค่า hash ของรหัสผ่าน ไม่ใช่รหัสผ่านจริง เพื่อความปลอดภัย.


การ Hashing มีคุณสมบัติสำคัญคือ:

  • Input เดิมจะได้ output เดิมเสมอ
  • Input ต่างกันจะได้ output ต่างกัน
  • ไม่สามารถย้อนกลับจาก output เป็น input ได้
  • การเปลี่ยนแปลง input เพียงเล็กน้อยจะส่งผลให้ output เปลี่ยนแปลงอย่างมาก

NOTE:

  • Encoding ใช้เพื่อความสะดวกในการส่งข้อมูล 
  • Encryption ใช้เพื่อรักษาความลับของข้อมูล 
  • Hashing ใช้เพื่อตรวจสอบความถูกต้องของข้อมูล. 
โดยในการการเลือกใช้แต่ละวิธีขึ้นอยู่กับวัตถุประสงค์ในการใช้งานข้อมูลนั้น ๆ

Firewall Policy - การตั้งค่าความปลอดภัยสำหรับไฟร์วอล

ซื้อไฟร์วอลมาโครตแพง แต่ Allow all ก็ไม่ได้ช่วยให้เกิดความปลอดภัยมากนัก ซึ่งส่วนใหญ่แล้วมักจะไม่ค่อยเห็นความสำคัญ 

หลักการที่สำคัญในการตั้งค่าให้กับไฟร์วอล คือ เปิดเฉพาะที่จำเป็น เช่น ผู้ใช้ภายในส่วนใหญ่ก็จะใช้งานแค่  HTTP, HTTPS, SSH, DNS, SMTP, POP3 เราก็เปิดแค่นั้น, ในส่วนของการสื่อสารระหว่าง Server ก็มาดูทีละส่วนทีละเครื่องว่าจะเปิดให้เข้าถึงอะไรได้บ้าง และที่สำคัญคือควรจะต้องมีการทบทวน Firewall Policy อย่างน้อยปีละ 1 ครั้ง เพื่อนำพอร์ท หรืออะไรที่ไม่ได้ใช้งานแล้วออก (ปกติถ้าไม่ได้ใช้แล้วก็ควรนำออกเลย แต่มันก็มีผิดพลาด หรือลืมกันได้ เพราะฉะนั้นปีนึงก็มาทบทวนอีกซักรอบว่ายังจำเป็นอยู่หรือปล่าว)

ตัวอย่างการตั้งค่า Access control list: ACL

Tuesday, July 4, 2023

BCP Exercise - การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ เป็นขั้นตอนในการทดสอบและประเมินความพร้อมของแผนปฏิบัติการ และกระบวนการในการตอบโต้สถานการณ์เมื่อเกิดเหตุที่ไม่คาดคิด เพื่อให้ทราบถึงข้อบกพร่องของแผน, ทรัพยากร, กระบวนการทำงาน, ช่องว่างในการประสานงานต่าง ๆ ทั้งภายในและภายนอกหน่วยงาน ตลอดจนประสิทธิภาพของกระบวนการสื่อสาร   โดยมีรูปแบบที่นิยมใช้ในการฝึกซ้อม 3 รูปแบบ คือ
  • การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise)
  • การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise)
  • การฝึกซ้อมเสมือนจริง (Full scale Exercise)
การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการทำความเข้าใจเกี่ยวกับแผน บทบาทหน้าที่ และความร่วมมือต่าง ๆ  โดยใช้การอภิปรายแบบกลุ่มบนสถานะการณ์จำลองที่กำหนดขึ้น โดยผู้บริหาร และผู้ที่มีส่วนเกี่ยวข้อง ข้อดีของการฝึกซ้อมแผนบนโต๊ะคือประหยัด เหมาะสำหรับใช้ในการเตรียมการฝึกซ้อมที่มีความซับซ้อนมากขึ้น

การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการประเมินความสามารถของบุคลากร การสั่งการ และทรัพยากรที่จำเป็น โดยการจำลองสถานะการเฉพาะจุด หรือเฉพาะบทบาทหน้าที่นั้น ๆ ข้อดีของการฝึกซ้อมการฝึกซ้อมเฉพาะหน้าที่ คือความสมจริงของเหตุการณ์ภายไต้งบประมาณที่จำกัด มักถูกใช้ในการเตรียมความพร้อมรับมือเหตุการณ์ต่าง ๆ เช่น การทดสอบการสื่อสารผ่าน Call tree, การทดสอบ hot site เป็นต้น

การฝึกซ้อมเสมือนจริง (Full scale Exercise) เป็นการฝึกซ้อมที่ซับซ้อนและใช้ทรัพยากรมากที่สุดเนื่องจากต้องมีการเคลื่อนย้ายทรัพยากร และบุคลากรที่เกี่ยวข้องเพื่อให้เกิดความสมจริงในการตอบสนองต่อเหตุการณ์ โดยมุ่งเน้นการปฏิบัติตามแผนงานที่ได้กำหนดไว้ ซึ่งรวมทั้งกระบวนการสั่งการ การสื่อสาร การเคลื่อนย้าย การตั้งค่า การรายงาน ฯลฯ โดยใช้สถานการณ์สมมติ

การที่องค์กรจะเลือกรูปแบบการซ้อมแบบไหนก็ขึ้นอยู่กับบริบท และความพร้อมขององค์กรในการดำเนินการ แต่อย่างน้อยควรจะมีการซ้อมปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเมื่อเกิดเหตุขึ้นแผนนี้จะสามารถรับมือได้ 

Wednesday, April 19, 2023

โรงพยาบาล: สถานที่แห่งความหวัง แฝงความเสี่ยง

โรงพยาบาล เปรียบเสมือนบ้านหลังที่สองสำหรับผู้ป่วย ยามเจ็บป่วยผู้คนต่างมุ่งหน้าไปเพื่อขอรับการรักษาพยาบาล เพื่อบรรเทาความทุกข์ทรมานที่เกิดขึ้น  แต่ว่าภายใต้ภาพลักษณ์ของสถานที่แห่งความหวัง  ยังแฝงไปด้วยความเสี่ยงที่หลายคนอาจมองข้าม ความเสี่ยงที่อาจได้เผชิญในการเข้ารับบริการที่โรงพยาบาลเมื่อลองแบ่งเป็นกลุ่ม อาจแบ่งได้ประมาณนี้ คือ

  1. ความเสี่ยงทางคลินิก เป็นความเสี่ยงที่พบได้บ่อยที่สุด เริ่มตั้งแต่การวินิจฉัยผิดพลาด การรักษาที่ไม่ถูกต้อง การติดเชื้อในโรงพยาบาล ภาวะแทรกซ้อนจากการรักษา การแพ้ยา การพลัดตกหกล้มซึ่งมีสาเหตุทั้งมาจากอาการของโรค เป็นภาวะหลังการได้รับยา หรืออาจจะเป็นอุบัติเหตุ สิ่งเหล่านี้ล้วนเป็นสิ่งที่ผู้ป่วยอาจต้องเผชิญ ถึงแม้โรงพยาบาลจะมีระบบ และมาตรการในการป้องกัน แต่ความผิดพลาดก็อาจเกิดขึ้นได้เสมอ

Wednesday, April 5, 2023

เตรียมพร้อมเอกสารสำหรับ Surveillance Audit ISO27001

เวลาจะตรวจ Surveillance Audit ISO27001 ประจำปีแต่ละที ก็จะกังวลว่าเตรียมเอกสารครบหรือยัง? ลองเช็คไปพร้อมๆ  กัน

ตรวจสอบ

  1. มีการเปลี่ยนแปลงของขอบเขตการบริหารจัดการ? -- Scope of ISMS (Clause 4.3) 
  2. มีการเปลี่ยนแปลงของนโยบาย? -- Information Security Policy (Clause 5.2) 
  3. มีการเปลี่ยนแปลงของกระบวนการประเมินความเสี่ยง และกระบวนการการจัดการความเสี่ยง? -- Information Security Risk Assessment Process (Clause 6.1.2), Information Security Risk Treatment Plan (Clause 6.1.3
  4. มีการเปลี่ยนแปลงของเอกสารการประยุกต์ใช้มาตรการควบคุม? -- Statement of Applicability (Clause 6.1.3)
  5. มีการเปลี่ยนแปลงเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศ? -- Information Security Objectives (Clause 6.2)
  6. มีการเปลี่ยนเปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ? -- Change Management (Clause 6.3)
  7. มีการเปลี่ยนแปลงของเอกสารอื่น ๆ ที่เกี่ยวข้อง? -- Documented Information Required by the Standard and Deemed Necessary by the Organization (Clause 7.5.1) 
*** ถ้ามีการเปลี่ยนแปลง 1-7 มีการจัดทำ/ทบทวน/แก้ไขเอกสารหรือยัง? ถ้าแก้ไขแล้วจัดเตรียมไว้

เตรียม

  1. ใบประกาศ, แผนการอบรม ผลการอบรม ของพนักงานที่เกี่ยวข้อง -- Evidence of Competences (Clause 7.2)
  2. ผลการประเมินความเสี่ยง -- Results of Information Security Risk Assessments (Clause 8.2)
  3. แผนการจัดการความเสี่ยง และการติดตามผลการจัดการ -- Results of Risk Treatment (Clause 8.3)
  4. ผลการติดตามและวัดผลประสิทธิผลการดำเนินการ (KPI) -- Evidence of Monitoring and Measurement Results (Clause 9.1) 
  5. แผนการตรวจ, ผลการตรวจ, รายงานการตรวจ, CAR, การตอบกลับ CAR, การติดตาม CAR -- Audit Program and Results (Clause 9.2) - Schedule and outcomes of ISMS audits.
  6. ผลลัพธ์ของกระบวนการที่ได้วางแผนไว้ -- Evidence that the Process Has Been Performed as Planned (Clause 8.1)
  7. ผลการทบทวนของผู้บริหาร -- Evidence of Management Reviews (Clause 9.3) 
  8. ผลการดำเนินการกับความไม่สอดคล้อง -- Nonconformities and Actions Taken (Clause 10.2)
หมายเหตุ: เป็นการตรวจสอบเฉพาะตามข้อกำหนด C4-10 ไม่รวมถึงเอกสารที่เกิดจากการประยุกต์ใช้มาตรการควบคุมตาม Annex A