Wednesday, December 18, 2024

หยุดเข้าใจผิด! #ISO27001 ไม่ใช่เรื่องของไอทีเท่านั้น !!!

แทบทุกหน่วยงานที่มีโอกาสเข้าไปแลกเปลี่ยนเกี่ยวกับมาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISO27001 จะเข้าใจว่า "มันเป็นเรื่องของ IT"

ไม่ใช่แบบนั้นดิ!


ISO27001 ไม่ได้โฟกัสแค่เรื่องไอที แต่มันเกี่ยวกับ “ข้อมูล” ในทุกๆ รูปแบบ ไม่ว่าข้อมูลนั้นจะถูกเก็บไว้ที่ไหนหรือในลักษณะใด เช่น:

  • ข้อมูลในระบบไอที: พวกไฟล์ดิจิทัล, ฐานข้อมูล, หรือแอปพลิเคชัน
  • ข้อมูลบนกระดาษ: เอกสาร, สัญญา หรือแบบฟอร์มต่างๆ
  • ข้อมูลในตู้เอกสาร: เช่น แฟ้มที่ถูกล็อกไว้อย่างดีในตู้
  • ข้อมูลในอุปกรณ์: เช่น ซอฟต์แวร์ที่อยู่ในเครื่องจักรหรืออุปกรณ์เฉพาะ ปัจจุบันเริ่มเยอะขึ้นเรื่อย ๆ 
  • ข้อมูลที่อยู่ในบุคคล: ความรู้เฉพาะที่บางคนในองค์กรเท่านั้นที่รู้

แล้วทำไมไอทีถึงถูกพูดถึงเยอะใน ISO27001?


ก็เพราะในยุคนี้ ข้อมูลส่วนใหญ่ถูกจัดเก็บ, ส่งต่อ, ประมวลผล, ทำให้แสดงผล ในระบบไอที เช่น เซิร์ฟเวอร์, คลาวด์ หรือระบบต่างๆ การปกป้องข้อมูลในระบบเหล่านี้จากภัยคุกคาม เช่น การแฮ็ก การสูญหายของข้อมูล หรือไวรัส ในระบบไอทีจึงเป็นเรื่องสำคัญมาก

 

แต่...ISO27001 ไม่ได้หยุดอยู่แค่ไอที!


ISO27001 ให้ความสำคัญกับ “ความมั่นคงปลอดภัยของข้อมูล (Information Security)” โดยมองในมุมกว้างครอบคลุมข้อมูลทุกประเภท และเน้น 3 หลักการสำคัญที่ช่วยปกป้องข้อมูล:

  1. Confidentiality (ความลับ): ป้องกันไม่ให้ข้อมูลตกไปอยู่ในมือคนที่ไม่ควรเข้าถึง
  2. Integrity (ความถูกต้อง): ทำให้มั่นใจว่าข้อมูลจะไม่ถูกแก้ไขหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
  3. Availability (ความพร้อมใช้งาน): ทำให้ข้อมูลพร้อมใช้งานเมื่อจำเป็น

ตัวอย่างง่ายๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย
  • เอกสารสำคัญในตู้เอกสารที่ถูกล็อกไว้ นั่นคือการปกป้อง Confidentiality
  • ข้อมูลในระบบไอทีที่มีการตรวจสอบสิทธิ์ก่อนแก้ไขไฟล์ นั่นคือการรักษา Integrity
  • ซอฟต์แวร์ในเครื่องจักรที่ต้องมีระบบสำรองข้อมูล หากเกิดปัญหา นั่นคือการรับรอง Availability

สรุปง่ายๆ ISO27001 ไม่ใช่แค่เรื่องของไอที แต่มันคือเรื่องของ "ข้อมูล" และการปกป้องข้อมูลนั้นให้มั่นคงปลอดภัย ไม่ว่าจะอยู่ในคอมพิวเตอร์, กระดาษ, ตู้เอกสาร หรือแม้แต่ในหัวของพนักงาน ถ้าคิดว่า ISO27001 คือเรื่องของไอทีอย่างเดียว นั่นเป็นความเข้าใจผิด เพราะเป้าหมายที่แท้จริงของมันคือการปกป้องข้อมูลในทุกมิติอย่างรอบด้าน

Monday, October 14, 2024

อีก 1 เหตุผลที่เราต้องมี Data Security ให้ครบ Lifecycle


อีก 1 เหตุผลที่เราต้องมี Data Security ให้ครบ Lifecycle เพราะถ้าหลุดจริง 512 Gb ข้อมูลไม่น้อยเลย 

ปล. จากข้อมูลในข่าวถือว่าโรงพยาบาลมีการจัดการที่ดีเลยถ้ามีการดำเนินการจริง แต่อาจจะไม่ได้หลุดจากเครื่องของโรงพยาบาล แต่เป็นเครื่องของเจ้าหน้าที่ก็ได้นะ Root cause analysis และหาทางแก้ไขปรับปรุงกันต่อไป ;)))

Sunday, September 29, 2024

NIST Updates Password Security Guidelines

The National Institute of Standards and Technology (NIST) has released new guidelines for password security, marking a significant shift from traditional practices. Key changes include:

  • Password Complexity: NIST no longer recommends complex requirements like mixing characters. Instead, they emphasize longer passwords, suggesting a minimum of 8 characters and allowing up to 64 characters for passphrases.
  • Periodic Changes: Mandatory periodic password changes are discouraged. Passwords should only be changed when there’s evidence of compromise.
  • Weak Passwords: Organizations should block commonly used or compromised passwords and avoid password hints or knowledge-based questions.
  • Multi-Factor Authentication: NIST strongly encourages the use of multi-factor authentication (MFA) for added security.
---
NIST Special Publication 800-63B. (n.d.). https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver
Baran, G. (2024, September 27). NIST recommends new rules for password security. Cyber Security News. https://cybersecuritynews.com/nist-rules-password-security/#google_vignette

Sunday, September 15, 2024

แนวทางการจัดทำแผนฉุกเฉินด้านไอที (IT Contingency Plan) เพื่อรับมือกับเหตุการณ์วิกฤต

การจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) เป็นกระบวนการที่องค์กรต้องจัดเตรียมเพื่อให้สามารถดำเนินกิจการได้อย่างต่อเนื่องในกรณีที่เกิดเหตุการณ์ไม่คาดคิด เช่น การหยุดชะงักของระบบเทคโนโลยีสารสนเทศ (IT), ภัยธรรมชาติ, หรือการโจมตีทางไซเบอร์ ในส่วนของการจัดการความต่อเนื่องทางธุรกิจที่เกี่ยวข้องกับระบบ IT จำเป็นต้องมีการวางแผนฉุกเฉินที่มีความครอบคลุมเพื่อให้การให้บริการไม่สะดุด และลดความเสี่ยงที่จะส่งผลกระทบต่อธุรกิจหลักขององค์กร

อ่านมาถึงตรงนี้หลายคนน่าจะนึกในใจว่า "รู้แหละว่าสำคัญ แต่จะเริ่มยังไง?" ... ขอเสนอ 6 ขั้นตอนในการจัดทำแผนให้เป็นระบบครับ ;)))

Wednesday, August 28, 2024

Compliance (Why & How)

Compliance in business is a critical component of ensuring that organizations operate within the boundaries of laws, regulations, and ethical standards. It involves adhering to statutory and regulatory laws, rules, and standards applicable to a business, thereby safeguarding the organization from legal and financial liabilities. This article explores the importance of compliance, the consequences of non-compliance, and how businesses can effectively implement compliance programs.

Why Compliance is Important

Compliance is essential for several reasons:

  1. Legal Protection: Adhering to compliance requirements helps organizations avoid fines, penalties, and lawsuits. Non-compliance can lead to severe legal repercussions, including financial losses and damage to the company's reputation
  2. Reputation Management: Companies that consistently comply with regulations are seen as trustworthy and reliable. This can enhance their reputation among customers, partners, and investors, leading to increased business opportunities

Tuesday, August 27, 2024

Endpoint Attacks and Countermeasures

Endpoint security is a critical aspect of safeguarding information systems. An endpoint refers to any device that connects to a network, such as laptops, desktops, mobile devices, or servers. These endpoints are often targeted by attackers due to their accessibility and the critical data they hold. This article outlines the basic concepts of endpoint attacks, the tactics and tools used by attackers, and countermeasures to protect against these threats.

1. User-Initiated Actions

Attack Tactics: Attackers exploit user trust and curiosity through phishing emails, social engineering, and malicious downloads. They impersonate legitimate entities to lure users into clicking malicious links or attachments, leading to malware installation or data breaches.

Countermeasures:

  • Implement robust email filtering and anti-phishing solutions.
  • Educate users on security best practices.
  • Use security software that scans downloads for malicious content.
  • Restrict administrative privileges to minimize damage from user-initiated actions.

Wednesday, August 21, 2024

บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด ถูกปรับเป็นเงิน 7 ล้านบาท


บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด ถูกคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัล และอื่น ๆ) มีคำสั่งตัดสินให้รับโทษปรับทางปกครองภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ปรับเป็นเงิน 7 ล้านบาท เนื่องจากข้อมูลส่วนบุคคลของลูกค้ารั่วไหล

Tuesday, July 30, 2024

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (PII Cross-border Transfer)

"การส่งและรับข้อมูลส่วนบุคคลในลักษณะที่เป็นเพียงสื่อกลาง (intermediary) ในการส่งผ่านข้อมูล (data transit) ระหว่างระบบคอบผิวเตอร์หรือระบบเครือข่าย หรือการเก็บพักขัอมูล (data storage) ในรูปแบบชั่วคราวหรือถาวรที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลนั้น ไม่ถือว่าเป็นการส่งหรือโอนข้อมูลส่วนบุคคล"
--

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)

Friday, July 26, 2024

IAAA: Identification, Authentication, Authorization, and Accountability

Identification involves something unique to the user, such as a name, username, ID number, or Social Security number. It establishes who the individual claims to be.

Authentication ensures that the person is who they claim to be, typically involving multifactor authentication (MFA), which combines:

  • Type 1: Something you know (password, passphrase, PIN).
  • Type 2: Something you have (ID, smart card, token, one-time password).
  • Type 3: Something you are (biometrics like fingerprints, iris scans, facial geometry).

Authorization determines what the authenticated user can access, using various models:

  • DAC (Discretionary Access Control): Users grant rights to objects.
  • MAC (Mandatory Access Control): Strict, least-privilege access, common in military/intelligence sectors.
  • RBAC (Role-Based Access Control): Access based on user roles, common in the private sector.
  • ABAC (Attribute-Based Access Control): Access based on attributes of the user.

Accountability involves tracing actions to users to ensure non-repudiation, often facilitated through auditing.

Monday, July 15, 2024

เกณฑ์การแชร์ข้อมูลภัยคุกคามทางไซเบอร์ (Traffic Light Protocol : TLP) เวอร์ชัน 2.0

---

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ด้านสาธารณสุข (HealthCERT)
เว็บไซต์ข่าวสาร : cyber.moph.go.th

Monday, June 17, 2024

Authentication Factors (ปัจจัยของการตรวจสอบสิทธิ์)

Authentication is a critical aspect of information security, aiming to verify the identity of users accessing systems and data. The most common authentication mechanisms are categorized into several factors, including "Something You Know," "Something You Have," and "Something You Are." These factors can be used individually or combined to enhance security. 

Here is a detailed explanation of each factor:

1. Something You Know (สิ่งที่คุณทราบ)

This factor refers to information that the user knows, such as a password, PIN, or answer to a security question. It is the most common form of authentication but also the most vulnerable to attacks such as phishing, social engineering, and brute force attacks.

Script kiddie, Shadow IT, Hacktivism, White-hat (Definition & Impact)

Script Kiddie

Definition and Characteristics:

A script kiddie is an individual who uses existing computer scripts or codes to hack into computers, networks, or websites, without understanding the underlying concepts or mechanisms. These individuals typically lack the advanced knowledge or skills of professional hackers and rely on pre-written tools and scripts to carry out their activities. The term is often used pejoratively to describe amateur hackers who pose a security threat due to their lack of expertise and understanding of the potential consequences of their actions.

Data Security, Data Privacy, and Data Protection

Data Security, Data Privacy, and Data Protection is one topic

Data privacy cannot exist without data security. Data security cannot be achieved without first determining what needs to be kept private and secure. "

Sunday, June 16, 2024

นายทะเบียนเอกสารคุณภาพ (Document Control: DC)

นายทะเบียนเอกสารคุณภาพ (Document Control: DC) เป็นเจ้าหน้าที่ที่รับผิดชอบเรื่องของการจัดการเรื่องเอกสาร เป็นเป็นบุคคลที่สําคัญมากในการจัดทำระบบการจัดการ เพราะว่าโดยปกติแล้วเวลาเราทําระบบการจัดการตามมาตรฐานไอเอสโอ (ISO) ไม่ว่าจะเป็น ISO9001, 14001, 45001, 27001 แน่นอนว่าเอกสารที่ต้องดำเนินการค่อนข้างเยอะ

คำถามคือแล้วใครจะเป็นคนดูแลจัดการล่ะ ... ??? คำตอบคือ “
Document control” 

Friday, June 14, 2024

A.8.24 Use of cryptography (Implementation, Why & How?)

; Co-writing With AI

Annex A8.24 Use of cryptography 

"Rules for the effective use of cryptography, including cryptographic key management, shall be defined and implemented"
The purpose of this control is to ensure proper and effective use of cryptography to protect the confidentiality, authenticity or integrity of information according to business and information security requirements, and taking into consideration legal, statutory, regulatory and contractual requirements related to cryptography.


How to Implement

Implementing this control requires several key steps and considerations:

1. Identify Relevant Laws, Regulations, and Agreements

The first step in implementing this control is to identify and understand the relevant laws, regulations, and agreements that govern the use of cryptography in your organization's specific context. This may include:

  1. National and international laws and regulations related to cryptography and data protection.
  2. Industry-specific regulations and standards (e.g., PCI DSS for payment card industry).
  3. Contractual agreements with clients, partners, or third-party service providers that specify cryptographic requirements.

Incident Management (Why & How?)

; Co-writing With AI

Incident management plays a crucial role in various domains, including emergency response, cybersecurity, business continuity, and public safety. Its significance can be attributed to several factors:

  1. Minimizing Impacts: Prompt and coordinated incident response efforts can significantly reduce the adverse effects of an incident, such as loss of life, property damage, financial losses, or reputational harm [1].
  2. Ensuring Continuity: By implementing robust incident management protocols, organizations can maintain the continuity of critical operations and services, minimizing disruptions and ensuring the timely restoration of normal activities [2].
  3. Enhancing Preparedness: Effective incident management fosters a culture of preparedness within organizations and communities, enabling them to proactively identify potential risks, develop contingency plans, and allocate necessary resources for effective response [3].
  4. Compliance and Regulatory Requirements: Many industries and sectors are subject to regulatory frameworks and standards that mandate the implementation of incident management processes to ensure compliance and adherence to best practices [4].
  5. Public Trust and Confidence: Efficient incident management demonstrates an organization's commitment to public safety and its ability to respond effectively during crises, thereby fostering trust and confidence among stakeholders and the general public [5].

Key Components of Incident Management

 

Effective incident management encompasses several interconnected components that work in tandem to ensure a coordinated and comprehensive response. These components include:

Thursday, June 13, 2024

ตัวอย่าง: การประเมินความคุ้มค่าในการดำเนินการเพื่อจัดการความเสี่ยง

 

Hospital Information Security Management (Challenging, Why & How?)

; Co-writing With AI

In the era of digital transformation, the healthcare industry has embraced technology to enhance patient care, streamline operations, and improve overall efficiency. However, this technological advancement has also introduced new challenges, particularly in the realm of information security. As healthcare organizations handle vast amounts of sensitive patient data, ensuring the confidentiality, integrity, and availability of this information is of paramount importance. A data breach in a healthcare setting can have severe consequences, including compromised patient privacy, financial losses, reputational damage, and even potential harm to individuals' well-being.

Insider Threats and Human Factor (Motivations & Mitigation)

Insider threats, both intentional and unintentional, pose a significant risk to organizations, and addressing them requires a comprehensive approach that combines technical controls, employee awareness and training, and robust access management policies.

Malicious Insider Threats

Malicious insiders are individuals who intentionally exploit their authorized access to sensitive data and systems for personal gain, revenge, or ideological beliefs. These threats can cause substantial damage to an organization due to the insiders' intimate knowledge of the company's operations, systems, and sensitive information.

Motivations for Malicious Insider Threats

The motivations behind malicious insider threats can vary, but some common drivers include:

  1. Financial Gain: Insiders may seek to profit by stealing and selling sensitive data, engaging in corporate espionage, or committing fraud [5][8][11].
  2. Revenge or Retaliation: Disgruntled employees who feel wronged or mistreated by their current or former employer may seek revenge by exposing sensitive data, sabotaging systems, or disrupting operations [2][5][11].

Wednesday, June 12, 2024

Friday, May 31, 2024

จะขอรับรองมาตรฐาน ISO/IEC27001 ต้องทำอะไรบ้าง?

มีสอบถามเข้ามาหลายท่านว่าถ้าต้องการจะเริ่มจัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO/IEC27001 จะต้องทำอะไรบ้างเพื่อขอรับการรับรอง วันนี้เลยเอาแผนที่เคยจัดทำไว้มาแชร์ว่ามีอะไรบ้างที่ต้องดำเนินการ ทั้งนี้ขึ้นอยู่กับบริบทของแต่ละองค์กรที่จะนำไปปรับใช้นะคับ

Thursday, May 30, 2024

ตัวอย่างความเสี่ยงเกี่ยวกับรหัสผ่าน และมาตรการควบคุม

Risk

Control

Weak Passwords

1.     Password Strength Meter

2.     Password minimum length = 12

3.     Password complexity = 4

(Uppercase (A-Z), Lowercase (a-z), Numbers (0-9), Special characters (#, %, etc.)

Password Reuse

1.     Minimum password duration = 0

2.     Maximum password duration = 0

3.     Password history = 4

Brute Force Attacks

1.     Captcha Implementation

2.     Logon attempt before lockout = 6

3.     Lockout duration = 30 min

4.     Reset logon attempts = 30 min

5.     Account Login/out or Lockout Notification

Credential theft

1.     Least Privilege Principle/Just-In-Time       Privileges

2.     Multi-Factor Authentication (MFA)

3.     Regular Password Changes

4.     Database Activity Monitoring

5.     Encrypted Storage

6.     Behavioral Analytics

7.     Security Awareness Training

Keylogging

1.     Only business devices are allowed to access the internal network.

2.     Anti-Virus/Malware

3.     Patch Management

4.     Endpoint Detection and Response (EDR)

5.     Secure Input Methods

6.     VA/Pentest

7.     Do not allow user to install program/application on device

8.     Device Hardening

Insider Threat

1.     Segregation of duty/Role-Based Access Control (RBAC)

2.     User review

3.     Change Management

4.     Log review

5.     User Behavior Analytics (UBA)

6.     Whistleblower Policy

Data breach

1.     Data Encryption

2.     On-premises

3.     Data Loss Prevention (DLP)

4.     Role-Based Access Control (RBAC)

5.     User review

6.     Monitoring/ Regular Audits

Unplan downtime

1.     Implement High Availability (HA) solutions

2.     Redundancy

3.     Incident response (SLA = ?h)

4.     Backup/Restore

5.     Regular Testing

Saturday, May 25, 2024

Effective Enterprise Risk Management -- ตลาดหลักทรัพย์แห่งประเทศไทย

 

  --

  • ข้อมูลจาก: ห้องเรียนบริษัทจดทะเบียน ตลาดหลักทรัพย์แห่งประเทศไทย

Thursday, May 23, 2024

การเปิดเผยข้อมูลสุขภาพให้ฝ่ายกฎหมายพิจารณาเมื่อเกิดกรณีพิพาท ระหว่างโรงพยาบาล และผู้มารับบริการ

 คำพิพากษาศาลฎีกาที่ 4632/2565 

ตามมาตรา 7 แห่ง พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 แสดงให้เห็นว่า แม้กฎหมายบัญญัติยืนยันสถานะข้อมูลด้านสุขภาพเป็นความลับส่วนบุคคล ซึ่งผู้ที่รู้ข้อมูลหรือปฏิบัติงานเกี่ยวข้องกับข้อมูลดังกล่าวต้องให้ความสำคัญต่อการรักษาข้อมูลดังกล่าวให้เป็นความลับและห้ามเปิดเผย เว้นแต่จะเป็นไปเพื่อประโยชน์ในการตรวจรักษาตามความประสงค์ของเจ้าของข้อมูล หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย ทั้งยังไม่ให้อ้างบทบัญญัติแห่งกฎหมายว่าด้วยข้อมูลข่าวสารของทางราชการหรือกฎหมายอื่นเพื่อขอข้อมูลก็ตาม แต่เมื่อได้ความว่า ภายหลังจากโจทก์ผู้เป็นเจ้าของข้อมูลเข้ารับการรักษากับจำเลยที่ 1 ที่โรงพยาบาลของจำเลยที่ 4 แล้ว โจทก์ได้ไปรักษาตัวที่โรงพยาบาลอื่น และการมาขอข้อมูลการรักษาของโจทก์จากจำเลยที่ 4 ได้มีการเรียกร้องค่าเสียหายเข้ามาด้วย ซึ่งอยู่ในขั้นตอนการไกล่เกลี่ยกัน อันเป็นการแสดงว่ามีข้อพิพาทเกิดขึ้นแล้ว จำเลยที่ 1 ซึ่งเป็นผู้ตรวจรักษาโจทก์ บันทึกและล่วงรู้ข้อมูลด้านสุขภาพของโจทก์ และจำเลยที่ 4 ผู้มีหน้าที่เก็บรักษาสิ่งที่บันทึกข้อมูลด้านสุขภาพของโจทก์ ได้นำข้อมูลด้านสุขภาพ คือ เวชระเบียนและคลิปวีดีโอการผ่าตัดเข้าหารือโดยเปิดเผยข้อมูลดังกล่าวในการประชุมกับพนักงานฝ่ายกฎหมายของจำเลยที่ 4 ซึ่งเป็นบุคลากรภายในที่เกี่ยวข้องเพื่อจะให้ฝ่ายกฎหมายทราบข้อเท็จจริงที่เกิดขึ้นและกลั่นกรองงานภายในโรงพยาบาลของจำเลยที่ 4 ตามปกติ เพื่อแก้ไขปัญหา เมื่อฝ่ายกฎหมายของจำเลยที่ 4 เป็นบุคลากรภายในที่เกี่ยวข้องกับเรื่องดังกล่าว ไม่ถือว่าเป็นบุคคลภายนอก แต่เป็นการเปิดเผยเพื่อให้พนักงานฝ่ายกฎหมายทราบข้อเท็จจริงตามปกติเมื่อเกิดข้อพิพาทขึ้น จึงไม่ใช่เป็นการเปิดเผยข้อมูลตามความหมายของบทบัญญัติตามมาตรา 7 จึงไม่เป็นการกระทำโดยละเมิดต่อโจทก์

ฉบับเต็ม

ที่มา 

การจัดการความเสี่ยง (Risk Management)

การจัดการความเสี่ยง (Risk Management) เป็นหนึ่งในกระบวนการหลักในการกำกับดูแลองค์กร นอกเหนือจากระบบการกำกับดูแลกิจการที่ดี (Good Governance) และระบบควบคุมภายใน (Internal Control) ที่มีประสิทธิผล ในการจัดการความเสี่ยงสรุปเป็น 8 ขั้นตอนดังนี้


1. ระบุความเสี่ยง (Risk Identification):

    ซึ่งอาจได้มาจาก

  • การทบทวนการดำเนินงาน กระบวนการ และทรัพย์สินของบริษัท

  • การสัมภาษณ์พนักงาน ผู้จัดการ และผู้มีส่วนได้ส่วนเสีย

  • พิจารณาปัจจัยภายนอก เช่น แนวโน้มของตลาด การพัฒนาอุตสาหกรรม และการเปลี่ยนแปลงด้านกฎระเบียบ

  • รายงานการตรวจสอบภายใน/ภายนอก และรายงานการตรวจสอบอื่น ๆ เช่น VA/Pentese

  • จำนวนอุบัติการณ์ที่เคยเกิดขึ้น

  • อื่น ๆ


2. จัดหมวดหมู่ความเสี่ยง:

     นำความเสี่ยงที่ได้จากข้อที่ 1 มาจัดหมวดหมู เพื่อให้ง่ายต่อการจัดการ และทำให้เห็นมุมมองความเสี่ยงในภาพกว้างขององค์กร โดยอาจเเบ่งออกเป็น

  •  ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เช่น การแข่งขันทางการค้า, การเปลี่ยนแปลงของตลาด

  •  ความเสี่ยงในการปฏิบัติงาน (Operational Risk) เช่น ความล้มเหลวของกระบวนการ, ข้อผิดพลาดของมนุษย์

  • ความเสี่ยงทางการเงิน (Financial Risk) เช่น ความผันผวนของตลาด, ความเสี่ยงด้านเครดิต, กระแสเงินสด, ลูกหนี้ค้างชำระ, หนี้ NPL

  • ความเสี่ยงในการปฏิบัติตามหฎหมาย/กฎระเบียบ (Compliance Risk) เช่น การไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

  • ความเสี่ยงต่อชื่อเสียง (Reputation Risk) เช่น ความเสียหายต่อแบรนด์ การรับรู้ของสาธารณชน)


3. ประเมินโอกาสและผลกระทบต่อความเสี่ยง (Risk Analysis):

     ประเมินโอกาส (ความน่าจะเป็น) และผลกระทบที่อาจเกิดขึ้น (ความรุนแรง) ของแต่ละความเสี่ยง โดยพิจารณาจาก

  • ข้อมูลในอดีต เกณฑ์มาตรฐานอุตสาหกรรม และความคิดเห็นของผู้เชี่ยวชาญ

  • มาตรการควบคุมที่มีอยู่ในปัจจุบัน

และกำหนดค่าระดับความเสี่ยงโดยอาศัยข้อมูลจากระดับโอกาสและผลกระทบที่เกิดขึ้น โดยทั่วไปจะคำนวนจาก



ค่าระดับความเสี่ยง = ค่าโอกาส X ค่าผลกระทบที่อาจเกิดขึ้น




ตัวอย่างการกำหนดระดับความเสี่ยงโดยวิเคราะห์จากค่าความเสี่ยง (1-5)



หมายเหตุ: ความเสี่ยงหลาย ๆ ความเสี่ยงมีความเชื่อมโยงระหว่างกันอาจส่งผลกระทบซึ่งกันและกัน โดยผลกระทบนั้นอาจมีลักษนะที่เชื่อมโยงแบบโดมิโน


4. จัดลำดับความสำคัญความเสี่ยง (Risk Evaluation):

    นำความเสี่ยงที่วิเคราะห์ได้มาจัดลำดับความสำคัญ โดยพิจารณาเน้นที่ความเสี่ยงที่มีโอกาสเกิดสูง และความเสี่ยงที่มีผลกระทบสูง องค์กรควรพิจารณาในการจัดทำเกณฑ์ หรือระดับการยอมรับความเสี่ยง ซึ่งโดยทั่วไปแล้วความเสี่ยงระดับต่ำ (Low) เป็นความเสี่ยงที่สามารถยอมรับได้ ความเสี่ยงระดับสูงถึงสูงมาก (high-Extreme) เป็นความเสี่ยงที่โดยปกติแล้วไม่ควรยอมรับ นั่นหมายความว่าองค์กรควรต้องหาแนวทางในการจัดการเพื่อลดความเสี่ยงลง ในขณะเดียวกันความเสี่ยงระดับปานกลาง (Medium) เป็นความเสี่ยงที่องค์กรควรพิจารณาถึงความเพียงพอของมาตรการควบคุมที่มีปัจจุบัน ต้นทุนในการลดความเสี่ยงและผลประโยชน์ที่อาจเกิดขึ้น เพื่อพิจารณาดำแนวทางในการดำเนินการต่อไป


โดยทั่วไปแล้วแนวทางในการจัดการความเสี่ยงที่นิยมกันจะมีอยู่ 4 แบบ คือ

  • ยอมรับความเสี่ยง (Accept)

  • การหลีกเลี่ยงความเสี่ยง (Avoid)

  • การกระจาย/โอนความเสี่ยง (Transfer)

  • การลด/การควบคุมความเสี่ยง (Mitigate)


5. จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง:

    เมื่อได้ความเสี่ยงในแต่ละระดับแล้ว และพิจารณาแล้วว่าความเสี่ยงนั้น ๆ จะดำเนินการอย่างไร ก็จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง โดยเจ้าของความเสี่ยง (Risk Owner) แผนการจัดการความเสี่ยงนั้นควรถูกนำเสนอผู้ที่เกี่ยวข้องเพื่อให้ความเห็น และอนุมัติการดำเนินการ


6. ติดตามและทบทวนความเสี่ยง:

    ปัญหาสำคัญที่การจัดการความเสี่ยงไม่มีประสิทธิผลคือไม่ระบบติดตามและทบทวนความเสี่ยง ทั้งนี้เพื่อปรับปรุงการประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อสะท้อนถึงการเปลี่ยนแปลงในการดำเนินงาน สภาวะตลาด หรือปัจจัยอื่น ๆ และติดตามประสิทธิภาพ/ประสิทธิผลการลดความเสี่ยงอย่างต่อเนื่อง


7. รายงานและสื่อสารความเสี่ยง:

    ผู้บริหารมีส่วนสำคัญอย่างยิ่งในการชี้นำ และตัดสินใจ ดังนั้นนำเสนอการประเมินความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบต่อฝ่ายบริหาร คณะกรรมการ และผู้มีส่วนได้เสีย อย่างสม่ำเสมอ และเมื่อมีการเปลี่ยนแปลงของความเสี่ยงสำคัญจะช่วยให้การจัดการความเสี่ยงมีประสิทธิภาพ 


8. การพัฒนาปรับปรุงอย่างต่อเนื่อง:

    ไม่มีหลักเกณฑ์/แนวทางไหนใช้ได้ดีไปได้ตลอด ความเสี่ยงระดับต่ำวันนี้อาจเป็นความเสี่ยงระดับสูงในวันพรุ่งนี้ การจัดการความเสี่ยงที่ดีในวันนี้ วันพรุ่งนี้อาจจะใช้ไม่ได้แล้ว การพัฒนาปรับปรุงอย่างต่อเนื่องจะช่วยให้องค์กรสามารถปรับตัวให้ทันต่อความเสี่ยงที่เกิดขึ้น และพร้อมรับความเปลี่ยนแปลง ทำให้องค์กรเกิดการพัฒนา

Wednesday, May 22, 2024

Spend 15 minutes to save 3 months in SAR

เขียนโดยอาจารย์ Anuwat Supachutikul

เมื่อวานเข้าเฟชบุคแล้วเห็นอาจารย์อนุวัฒน์โพสต์ไว้ฯ มีประโยชน์มากสำหรับคนเริ่มเขียน SAR โรงพยาบาลเพื่อขอรับรองมาตรฐาน HA ครับ ขอก็อบไว้ก่อนเดี๋ยวหาไม่เจออีก >>>

"กัลยาณมิตรท่านหนึ่งบอกว่ากำลังเร่งมือทำรายงานการประเมินตนเอง (SAR) ผมก็เลยบอกว่าลองส่งมาให้ดูสักหมวดหนึ่ง เมื่ออ่านแล้วผมก็ให้ข้อคิดเห็นเพื่อให้ทีมงานได้รับประโยชน์เต็มที่จากการใช้มาตรฐานมาประเมินตนเอง แล้วคิดว่า รพ.อื่นๆ ก็น่าจะได้รับประโยชน์ด้วย จึงนำมาแบ่งปันกันครับ

บริบท

เราน่าจะทบทวนว่าเรากำหนดส่วนตลาดเพื่ออะไร และใช้ประโยชน์จากการกำหนดส่วนตลาดนั้นอย่างไร โดยทั่วไป ภาคเอกชนจะใช้การแบ่งส่วนตลาดเพื่อกำหนดวิธีการ marketing หรือเพื่อเปรียบเทียบกับคู่แข่งว่าสามารถขยายส่วนตลาดที่เป็นเป้าหมายได้อย่างไร  

ขณะที่การแบ่งกลุ่มผู้ป่วยมักจะแบ่งกลุ่มตามความต้องการที่มีลักษณะคล้ายกัน เพื่อกำหนดวิธีการรับฟัง กำหนดบริการที่เหมาะสมกับแต่ละกลุ่ม และกำหนดกลุ่มที่จะมุ่งเน้น (ในบริการภาครัฐ คือกลุ่มที่ยังมีปัญหาในการเข้าถึงบริการ ถ้าเป็นเอกชนคือกลุ่มที่จะทำชื่อเสียงหรือทำกำไรให้มากที่สุด)

I-3.1 ก. การรับฟังผู้ป่วยและผู้รับผลงาน

Purpose เป้าหมายควรเป็นเพื่อให้ได้ข้อมูลความต้องการของผู้รับบริการที่นำไปใช้ประโยชน์ได้ (actionable information) วิธีการรับฟังควรสอดคล้องกับกลุ่มผู้ป่วยที่เราจำแนกไว้ เช่น กลุ่มผู้สูงอายุเรารับฟังอย่างไรจึงได้ความต้องการเฉพาะของกลุ่มนี้  หรือว่ากลุ่มผู้ป่วยประกันสังคม กลุ่ม UC กลุ่มที่ต้องการบริการ rehab ต่อเนื่อง เรามีวิธีพิเศษในการรับฟังอย่างไร

Performance ควรประเมินว่าข้อมูลที่ได้มานั้้นเราเอาไปใช้ประโยชน์ได้มากน้อยเพียงใด เช่น เอาไปปรับปรุงอะไรบ้าง หรือว่ามีข้อมูลอะไรที่เราควรได้รับแต่ยังไม่ได้รับจากการรับฟัง  ตรงนี้อาจจะยากนิดหนึ่งว่าจะประเมินอย่างไร

แต่ถ้าเราได้ข้อมูลที่เป็น insight จำนวนมาก ก็ไม่ต้องเป็นห่วงว่าเรายังขาดข้อมูลที่ควรได้ ปัญหาคือเราไม่ได้ให้ความสำคัญกับการรับฟังอย่างจริงจัง ในสิ่งที่ผู้ป่วยไม่ได้พูดออกมาตามระบบการสอบถามปกติ  

Process กระบวนการรับฟังที่ดีควรเป็นการทำ interview หรือ focus group กับแต่ละกลุ่มเป้าหมาย  แต่หากระยะเวลาจำกัด เราอาจจะใช้วิธีลัด คือถามผู้ป่วยในที่จะจำหน่ายทุกราย 2 ข้อ (1) พอใจกับอะไรมากที่สุด (2) อยากให้ปรับปรุงอะไรมากที่สุด เอามาจำแนกตามกลุ่มผู้ป่วยก็ได้ข้อมูลมากมายที่จะนำไปใช้ประโยชน์ ส่วนผู้ป่วยนอกก็สุ่มเท่าที่ทำได้ ไม่ต้องมากเกินไป

I-3.1 ข(1) การกำหนดกลุ่มผู้ป่วย 

Purpose เป้าหมายน่าจะเป็น มีการจำแนกกลุ่มผู้ป่วยอย่างเหมาะสมเพื่อประโยชน์ในการรับฟัง ออกแบบบริการ และกำหนดกลุ่มที่มุ่งเน้น

 Process กระบวนการน่าจะเริ่มด้วยการทดลองจำแนกกลุ่มผู้ป่วยหลายๆ วิธี แล้วเอาข้อมูลต่างๆ มาประกอบเพื่อพิสูจน์สมมติฐานหรือเหตุของของการจำแนกนั้น  เช่น ถ้าเราจำแนกผู้ป่วยเขตเมืองกับชนบท อะไรคือสมมติฐานว่าสองกลุ่มนนี้มีความต้องการต่างกัน หรือมี demand ในการใช้บริการต่างกัน หรือมีความยากในการติดตามการรักษาต่างกัน แล้วเราจะใช้ข้อมูลอะไรมาพิสูจน์สมมติฐานนั้น  ถ้าข้อมูลสนับสนุน เราก็สามารถใช้การจัดกลุ่มนั้นได้  หรือถ้าเราจะบอกว่ากลุ่มไหนเป็นกลุ่มที่เราจะมุ่งเน้น เราต้องใช้ข้อมูลอะไรมายืนยันเหตุผลของการมุ่งเน้นของเรา

I-3.2 ก. การสร้างความสัมพันธ์และจัดการข้อร้องเรียน

Purpose เป้าหมายน่าจะเป็นเพื่อความสัมพันธ์ที่ดีระหว่างบุคลากรและผู้รับบริการ เอื้อต่อการดูแลรักษา ผู้ป่วยมีความเชื่อมั่น และมีความมุ่งมั่นที่จะรับผิดชอบต่อสุขภาพของตนเอง

ในที่นี้ความผูกพันคือการที่ผู้ป่วยมุ่งมั่นที่จะรับผิดขอบต่อสุขภาพของตนเอง

Process วิธีการมีมากมาย ควรทบทวนดูให้ดี (1) การสร้างความสัมพันธ์เมื่อแรกสัมผัสกับผู้รับบริการ ทั้งผู้ป่วยนอกและผู้ป่วยใน (2) การสร้างความสัมพันธ์เมื่อรับไว้เป็นผู้ป่วยใน (3) การสร้างความสัมพันธ์เพื่อการดูแลต่อเนื่อง (4) การให้ข้อมูลผู้ป่วย (5) การให้ผู้ป่วยร่วมตัดสินใจในแผนการดูแล (6) การเสริมพลังให้ผู้ป่วยและครอบครัวดูแลตนเองต่อเนื่อง (7) การสนับสนุนวัสดุอุปกรณ์และติดตามดูแลต่อเนื่อง เป็นต้น

Performance ในเรื่องนี้สามารถประเมินผ่านความพึงพอใจของผู้ป่วยในด้านต่างๆ เช่น เรื่องการได้รับข้อมูล การมีโอกาสร่วมตัดสินใจ ความมั่นใจในการดูแลตนเองต่อเนื่อง รวมไปถึงการวัดด้วย PAM (patient activation measure)

I-3.2 ข. การประเมินความพึงพอใจ 

ผลลัพธ์น่าจะแสดงทั้งใน I-3 และ IV-2 โดยต้องวิเคราะห์ว่าประเด็นที่ผู้ป่วยให้ความสำคัญคืออะไร และควรแสดง trend อย่างน้อย 3 ปีให้เห็นว่าตัวไหนดีขึ้น ตัวไหนแย่ลง มีการลงมือปฏิบัติอะไรที่ทำให้ดีขึ้น หรือเป็นผลมาจากที่แย่ลง  

 ความพึงพอใจโดยรวมไม่ได้บอกอะไร คือไม่ได้ทำให้เรามีโอกาสอธิบายว่าเราเอาผลการประเมินไปทำอะไรบ้าง ควรทำ graph แสดงให้เห็นความพึงพอใจต่อประเด็นที่เรานำไปปรับปรุง เมื่อปรับปรุงแล้วเห็นการเปลี่ยนแปลงที่ดีขึ้น เช่น เรื่องพฤติกรรมบริการ เรื่องอาคารสถานที่ ก็เอาความพึงพอใจของเรื่องนั้นๆ มาทำเป็นกราฟเฉพาะเรื่องนั้นๆ ไปเลย

หวังว่าการใช้เวลา 15 นาที ทำความเข้าใจแนวคิดเหล่านี้ จะทำให้ทีมงานไม่ต้องเสียเวลาโดยเปล่าประโยชน์ไป 3 เดือน (ตัวเลขสมมติ)"

ที่มา;