มีสอบถามเข้ามาหลายท่านว่าถ้าต้องการจะเริ่มจัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO/IEC27001 จะต้องทำอะไรบ้างเพื่อขอรับการรับรอง วันนี้เลยเอาแผนที่เคยจัดทำไว้มาแชร์ว่ามีอะไรบ้างที่ต้องดำเนินการ ทั้งนี้ขึ้นอยู่กับบริบทของแต่ละองค์กรที่จะนำไปปรับใช้นะคับ
Risk | Control |
Weak Passwords | 1. Password Strength Meter 2. Password minimum length = 12 3. Password complexity = 4 (Uppercase (A-Z), Lowercase (a-z), Numbers (0-9), Special characters (#, %, etc.) |
Password Reuse | 1. Minimum password duration = 0 2. Maximum password duration = 0 3. Password history = 4 |
Brute Force Attacks | 1. Captcha Implementation 2. Logon attempt before lockout = 6 3. Lockout duration = 30 min 4. Reset logon attempts = 30 min 5. Account Login/out or Lockout Notification |
Credential theft | 1. Least Privilege Principle/Just-In-Time Privileges 2. Multi-Factor Authentication (MFA) 3. Regular Password Changes 4. Database Activity Monitoring 5. Encrypted Storage 6. Behavioral Analytics 7. Security Awareness Training |
Keylogging | 1. Only business devices are allowed to access the internal network. 2. Anti-Virus/Malware 3. Patch Management 4. Endpoint Detection and Response (EDR) 5. Secure Input Methods 6. VA/Pentest 7. Do not allow user to install program/application on device 8. Device Hardening |
Insider Threat | 1. Segregation of duty/Role-Based Access Control (RBAC) 2. User review 3. Change Management 4. Log review 5. User Behavior Analytics (UBA) 6. Whistleblower Policy |
Data breach | 1. Data Encryption 2. On-premises 3. Data Loss Prevention (DLP) 4. Role-Based Access Control (RBAC) 5. User review 6. Monitoring/ Regular Audits |
Unplan downtime | 1. Implement High Availability (HA) solutions 2. Incident response (SLA = 1 h) 3. Redundancy 4. Backup/Restore 5. Regular Testing |
--
การจัดการความเสี่ยง (Risk Management) ซึ่งเป็นหนึ่งในกระบวนการหลักในการกำกับดูแลองค์กร นอกเหนือจากระบบการกำกับดูแลกิจการที่ดี (Good Governance) และระบบควบคุมภายใน (Internal Control) ที่มีประสิทธิผล ในการจัดการความเสี่ยงสรุปเป็น 8 ขั้นตอนดังนี้
1. ระบุความเสี่ยง (Risk Identification):
ซึ่งอาจได้มาจาก
การทบทวนการดำเนินงาน กระบวนการ และทรัพย์สินของบริษัท
การสัมภาษณ์พนักงาน ผู้จัดการ และผู้มีส่วนได้ส่วนเสีย
พิจารณาปัจจัยภายนอก เช่น แนวโน้มของตลาด การพัฒนาอุตสาหกรรม และการเปลี่ยนแปลงด้านกฎระเบียบ
รายงานการตรวจสอบภายใน/ภายนอก และรายงานการตรวจสอบอื่น ๆ เช่น VA/Pentese
จำนวนอุบัติการณ์ที่เคยเกิดขึ้น
อื่น ๆ
2. จัดหมวดหมู่ความเสี่ยง:
นำความเสี่ยงที่ได้จากข้อที่ 1 มาจัดหมวดหมู เพื่อให้ง่ายต่อการจัดการ และทำให้เห็นมุมมองความเสี่ยงในภาพกว้างขององค์กร โดยอาจเเบ่งออกเป็น
ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เช่น การแข่งขันทางการค้า, การเปลี่ยนแปลงของตลาด
ความเสี่ยงในการปฏิบัติงาน (Operational Risk) เช่น ความล้มเหลวของกระบวนการ, ข้อผิดพลาดของมนุษย์
ความเสี่ยงทางการเงิน (Financial Risk) เช่น ความผันผวนของตลาด, ความเสี่ยงด้านเครดิต, กระแสเงินสด, ลูกหนี้ค้างชำระ, หนี้ NPL
ความเสี่ยงในการปฏิบัติตามหฎหมาย/กฎระเบียบ (Compliance Risk) เช่น การไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล
ความเสี่ยงต่อชื่อเสียง (Reputation Risk) เช่น ความเสียหายต่อแบรนด์ การรับรู้ของสาธารณชน)
3. ประเมินโอกาสและผลกระทบต่อความเสี่ยง (Risk Analysis):
ประเมินโอกาส (ความน่าจะเป็น) และผลกระทบที่อาจเกิดขึ้น (ความรุนแรง) ของแต่ละความเสี่ยง โดยพิจารณาจาก
ข้อมูลในอดีต เกณฑ์มาตรฐานอุตสาหกรรม และความคิดเห็นของผู้เชี่ยวชาญ
มาตรการควบคุมที่มีอยู่ในปัจจุบัน
และกำหนดค่าระดับความเสี่ยงโดยอาศัยข้อมูลจากระดับโอกาสและผลกระทบที่เกิดขึ้น โดยทั่วไปจะคำนวนจาก
ค่าระดับความเสี่ยง = ค่าโอกาส X ค่าผลกระทบที่อาจเกิดขึ้น
ตัวอย่างการกำหนดระดับความเสี่ยงโดยวิเคราะห์จากค่าความเสี่ยง (1-5)
หมายเหตุ: ความเสี่ยงหลาย ๆ ความเสี่ยงมีความเชื่อมโยงระหว่างกันอาจส่งผลกระทบซึ่งกันและกัน โดยผลกระทบนั้นอาจมีลักษนะที่เชื่อมโยงแบบโดมิโน
4. จัดลำดับความสำคัญความเสี่ยง (Risk Evaluation):
นำความเสี่ยงที่วิเคราะห์ได้มาจัดลำดับความสำคัญ โดยพิจารณาเน้นที่ความเสี่ยงที่มีโอกาสเกิดสูง และความเสี่ยงที่มีผลกระทบสูง องค์กรควรพิจารณาในการจัดทำเกณฑ์ หรือระดับการยอมรับความเสี่ยง ซึ่งโดยทั่วไปแล้วความเสี่ยงระดับต่ำ (Low) เป็นความเสี่ยงที่สามารถยอมรับได้ ความเสี่ยงระดับสูงถึงสูงมาก (high-Extreme) เป็นความเสี่ยงที่โดยปกติแล้วไม่ควรยอมรับ นั่นหมายความว่าองค์กรควรต้องหาแนวทางในการจัดการเพื่อลดความเสี่ยงลง ในขณะเดียวกันความเสี่ยงระดับปานกลาง (Medium) เป็นความเสี่ยงที่องค์กรควรพิจารณาถึงความเพียงพอของมาตรการควบคุมที่มีปัจจุบัน ต้นทุนในการลดความเสี่ยงและผลประโยชน์ที่อาจเกิดขึ้น เพื่อพิจารณาดำแนวทางในการดำเนินการต่อไป
โดยทั่วไปแล้วแนวทางในการจัดการความเสี่ยงที่นิยมกันจะมีอยู่ 4 แบบ คือ
ยอมรับความเสี่ยง (Accept)
การหลีกเลี่ยงความเสี่ยง (Avoid)
การกระจาย/โอนความเสี่ยง (Transfer)
การลด/การควบคุมความเสี่ยง (Mitigate)
5. จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง:
เมื่อได้ความเสี่ยงในแต่ละระดับแล้ว และพิจารณาแล้วว่าความเสี่ยงนั้น ๆ จะดำเนินการอย่างไร ก็จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง โดยเจ้าของความเสี่ยง (Risk Owner) แผนการจัดการความเสี่ยงนั้นควรถูกนำเสนอผู้ที่เกี่ยวข้องเพื่อให้ความเห็น และอนุมัติการดำเนินการ
6. ติดตามและทบทวนความเสี่ยง:
ปัญหาสำคัญที่การจัดการความเสี่ยงไม่มีประสิทธิผลคือไม่ระบบติดตามและทบทวนความเสี่ยง ทั้งนี้เพื่อปรับปรุงการประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อสะท้อนถึงการเปลี่ยนแปลงในการดำเนินงาน สภาวะตลาด หรือปัจจัยอื่น ๆ และติดตามประสิทธิภาพ/ประสิทธิผลการลดความเสี่ยงอย่างต่อเนื่อง
7. รายงานและสื่อสารความเสี่ยง:
ผู้บริหารมีส่วนสำคัญอย่างยิ่งในการชี้นำ และตัดสินใจ ดังนั้นนำเสนอการประเมินความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบต่อฝ่ายบริหาร คณะกรรมการ และผู้มีส่วนได้เสีย อย่างสม่ำเสมอ และเมื่อมีการเปลี่ยนแปลงของความเสี่ยงสำคัญจะช่วยให้การจัดการความเสี่ยงมีประสิทธิภาพ
8. การพัฒนาปรับปรุงอย่างต่อเนื่อง:
ไม่มีหลักเกณฑ์/แนวทางไหนใช้ได้ดีไปได้ตลอด ความเสี่ยงระดับต่ำวันนี้อาจเป็นความเสี่ยงระดับสูงในวันพรุ่งนี้ การจัดการความเสี่ยงที่ดีในวันนี้ วันพรุ่งนี้อาจจะใช้ไม่ได้แล้ว การพัฒนาปรับปรุงอย่างต่อเนื่องจะช่วยให้องค์กรสามารถปรับตัวให้ทันต่อความเสี่ยงที่เกิดขึ้น และพร้อมรับความเปลี่ยนแปลง ทำให้องค์กรเกิดการพัฒนา
เขียนโดยอาจารย์ Anuwat Supachutikul
เมื่อวานเข้าเฟชบุคแล้วเห็นอาจารย์อนุวัฒน์โพสต์ไว้ฯ มีประโยชน์มากสำหรับคนเริ่มเขียน SAR โรงพยาบาลเพื่อขอรับรองมาตรฐาน HA ครับ ขอก็อบไว้ก่อนเดี๋ยวหาไม่เจออีก >>>
"กัลยาณมิตรท่านหนึ่งบอกว่ากำลังเร่งมือทำรายงานการประเมินตนเอง (SAR) ผมก็เลยบอกว่าลองส่งมาให้ดูสักหมวดหนึ่ง เมื่ออ่านแล้วผมก็ให้ข้อคิดเห็นเพื่อให้ทีมงานได้รับประโยชน์เต็มที่จากการใช้มาตรฐานมาประเมินตนเอง แล้วคิดว่า รพ.อื่นๆ ก็น่าจะได้รับประโยชน์ด้วย จึงนำมาแบ่งปันกันครับ
บริบท
เราน่าจะทบทวนว่าเรากำหนดส่วนตลาดเพื่ออะไร และใช้ประโยชน์จากการกำหนดส่วนตลาดนั้นอย่างไร โดยทั่วไป ภาคเอกชนจะใช้การแบ่งส่วนตลาดเพื่อกำหนดวิธีการ marketing หรือเพื่อเปรียบเทียบกับคู่แข่งว่าสามารถขยายส่วนตลาดที่เป็นเป้าหมายได้อย่างไร
ขณะที่การแบ่งกลุ่มผู้ป่วยมักจะแบ่งกลุ่มตามความต้องการที่มีลักษณะคล้ายกัน เพื่อกำหนดวิธีการรับฟัง กำหนดบริการที่เหมาะสมกับแต่ละกลุ่ม และกำหนดกลุ่มที่จะมุ่งเน้น (ในบริการภาครัฐ คือกลุ่มที่ยังมีปัญหาในการเข้าถึงบริการ ถ้าเป็นเอกชนคือกลุ่มที่จะทำชื่อเสียงหรือทำกำไรให้มากที่สุด)
I-3.1 ก. การรับฟังผู้ป่วยและผู้รับผลงาน
Purpose เป้าหมายควรเป็นเพื่อให้ได้ข้อมูลความต้องการของผู้รับบริการที่นำไปใช้ประโยชน์ได้ (actionable information) วิธีการรับฟังควรสอดคล้องกับกลุ่มผู้ป่วยที่เราจำแนกไว้ เช่น กลุ่มผู้สูงอายุเรารับฟังอย่างไรจึงได้ความต้องการเฉพาะของกลุ่มนี้ หรือว่ากลุ่มผู้ป่วยประกันสังคม กลุ่ม UC กลุ่มที่ต้องการบริการ rehab ต่อเนื่อง เรามีวิธีพิเศษในการรับฟังอย่างไร
Performance ควรประเมินว่าข้อมูลที่ได้มานั้้นเราเอาไปใช้ประโยชน์ได้มากน้อยเพียงใด เช่น เอาไปปรับปรุงอะไรบ้าง หรือว่ามีข้อมูลอะไรที่เราควรได้รับแต่ยังไม่ได้รับจากการรับฟัง ตรงนี้อาจจะยากนิดหนึ่งว่าจะประเมินอย่างไร
แต่ถ้าเราได้ข้อมูลที่เป็น insight จำนวนมาก ก็ไม่ต้องเป็นห่วงว่าเรายังขาดข้อมูลที่ควรได้ ปัญหาคือเราไม่ได้ให้ความสำคัญกับการรับฟังอย่างจริงจัง ในสิ่งที่ผู้ป่วยไม่ได้พูดออกมาตามระบบการสอบถามปกติ
Process กระบวนการรับฟังที่ดีควรเป็นการทำ interview หรือ focus group กับแต่ละกลุ่มเป้าหมาย แต่หากระยะเวลาจำกัด เราอาจจะใช้วิธีลัด คือถามผู้ป่วยในที่จะจำหน่ายทุกราย 2 ข้อ (1) พอใจกับอะไรมากที่สุด (2) อยากให้ปรับปรุงอะไรมากที่สุด เอามาจำแนกตามกลุ่มผู้ป่วยก็ได้ข้อมูลมากมายที่จะนำไปใช้ประโยชน์ ส่วนผู้ป่วยนอกก็สุ่มเท่าที่ทำได้ ไม่ต้องมากเกินไป
I-3.1 ข(1) การกำหนดกลุ่มผู้ป่วย
Purpose เป้าหมายน่าจะเป็น มีการจำแนกกลุ่มผู้ป่วยอย่างเหมาะสมเพื่อประโยชน์ในการรับฟัง ออกแบบบริการ และกำหนดกลุ่มที่มุ่งเน้น
Process กระบวนการน่าจะเริ่มด้วยการทดลองจำแนกกลุ่มผู้ป่วยหลายๆ วิธี แล้วเอาข้อมูลต่างๆ มาประกอบเพื่อพิสูจน์สมมติฐานหรือเหตุของของการจำแนกนั้น เช่น ถ้าเราจำแนกผู้ป่วยเขตเมืองกับชนบท อะไรคือสมมติฐานว่าสองกลุ่มนนี้มีความต้องการต่างกัน หรือมี demand ในการใช้บริการต่างกัน หรือมีความยากในการติดตามการรักษาต่างกัน แล้วเราจะใช้ข้อมูลอะไรมาพิสูจน์สมมติฐานนั้น ถ้าข้อมูลสนับสนุน เราก็สามารถใช้การจัดกลุ่มนั้นได้ หรือถ้าเราจะบอกว่ากลุ่มไหนเป็นกลุ่มที่เราจะมุ่งเน้น เราต้องใช้ข้อมูลอะไรมายืนยันเหตุผลของการมุ่งเน้นของเรา
I-3.2 ก. การสร้างความสัมพันธ์และจัดการข้อร้องเรียน
Purpose เป้าหมายน่าจะเป็นเพื่อความสัมพันธ์ที่ดีระหว่างบุคลากรและผู้รับบริการ เอื้อต่อการดูแลรักษา ผู้ป่วยมีความเชื่อมั่น และมีความมุ่งมั่นที่จะรับผิดชอบต่อสุขภาพของตนเอง
ในที่นี้ความผูกพันคือการที่ผู้ป่วยมุ่งมั่นที่จะรับผิดขอบต่อสุขภาพของตนเอง
Process วิธีการมีมากมาย ควรทบทวนดูให้ดี (1) การสร้างความสัมพันธ์เมื่อแรกสัมผัสกับผู้รับบริการ ทั้งผู้ป่วยนอกและผู้ป่วยใน (2) การสร้างความสัมพันธ์เมื่อรับไว้เป็นผู้ป่วยใน (3) การสร้างความสัมพันธ์เพื่อการดูแลต่อเนื่อง (4) การให้ข้อมูลผู้ป่วย (5) การให้ผู้ป่วยร่วมตัดสินใจในแผนการดูแล (6) การเสริมพลังให้ผู้ป่วยและครอบครัวดูแลตนเองต่อเนื่อง (7) การสนับสนุนวัสดุอุปกรณ์และติดตามดูแลต่อเนื่อง เป็นต้น
Performance ในเรื่องนี้สามารถประเมินผ่านความพึงพอใจของผู้ป่วยในด้านต่างๆ เช่น เรื่องการได้รับข้อมูล การมีโอกาสร่วมตัดสินใจ ความมั่นใจในการดูแลตนเองต่อเนื่อง รวมไปถึงการวัดด้วย PAM (patient activation measure)
I-3.2 ข. การประเมินความพึงพอใจ
ผลลัพธ์น่าจะแสดงทั้งใน I-3 และ IV-2 โดยต้องวิเคราะห์ว่าประเด็นที่ผู้ป่วยให้ความสำคัญคืออะไร และควรแสดง trend อย่างน้อย 3 ปีให้เห็นว่าตัวไหนดีขึ้น ตัวไหนแย่ลง มีการลงมือปฏิบัติอะไรที่ทำให้ดีขึ้น หรือเป็นผลมาจากที่แย่ลง
ความพึงพอใจโดยรวมไม่ได้บอกอะไร คือไม่ได้ทำให้เรามีโอกาสอธิบายว่าเราเอาผลการประเมินไปทำอะไรบ้าง ควรทำ graph แสดงให้เห็นความพึงพอใจต่อประเด็นที่เรานำไปปรับปรุง เมื่อปรับปรุงแล้วเห็นการเปลี่ยนแปลงที่ดีขึ้น เช่น เรื่องพฤติกรรมบริการ เรื่องอาคารสถานที่ ก็เอาความพึงพอใจของเรื่องนั้นๆ มาทำเป็นกราฟเฉพาะเรื่องนั้นๆ ไปเลย
หวังว่าการใช้เวลา 15 นาที ทำความเข้าใจแนวคิดเหล่านี้ จะทำให้ทีมงานไม่ต้องเสียเวลาโดยเปล่าประโยชน์ไป 3 เดือน (ตัวเลขสมมติ)"
ที่มา;
กรณีการให้หน่วยงานภายนอกประมวลข้อมูลประเภทลับขึ้นไป แต่ไม่รวมถึงข้อมูลส่วนบุคคล
> กำหนดการรักษาความลับในเอกสารสัญญา/TOR
กรณีการให้หน่วยงานภายนอกประมวลผลข้อมูลส่วนบุคคล (Controller - Processor)
> ให้จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) *มาตรา 40 พรบ.คุ้มครองข้อมูลส่วนบุคคล
กรณีที่มีการแลกเปลี่ยนการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน (Controller - Controller)
> ให้จัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (DSA) *** ไม่ได้มีข้อบังคับตามกฎหมาย แต่ทำไว้ก็ดี
กรณีบุคคลภายนอกที่มีความเสี่ยงในการเข้าถึงข้อมูลประเภทลับขึ้นไป (นักศึกษาฝึกงาน, จิตอาสา, ผู้เยี่ยมสำรวจ, ฯลฯ)
> ให้ลงนามข้อตกลงไม่เปิดเผยความลับ (Non-Disclosure Agreement) *บุคลากรภายในจะกำหนดเป็นนโยบาย หรือจะให้เซ็นต์แล้วแต่องค์กรพิจารณา
|
Parameter
name |
Guidelines |
Explain |
|
|
Aging |
Minimum
password duration |
1 Day |
The shortest time you must wait before changing your password again. เวลาสั้นที่สุดที่จะต้องรอก่อนเปลี่ยนรหัสผ่านอีกครั้ง ทั้งนี้เพื่อป้องกันผู้ใช้ไม่ให้เปลี่ยนรหัสผ่านหลายครั้งในระยะเวลาอันสั้นเพื่อกลับมาใช้รหัสผ่านที่ชื่นชอบ |
|
Maximum
password duration |
90 Day |
The longest time you can use the same password before you need to change it. เวลาที่ยาวที่สุดที่คุณสามารถใช้รหัสผ่านเดิมได้ก่อนที่ต้องเปลี่ยนใหม่ ทั้งนี้การเปลี่ยนรหัสผ่านเป็นประจำช่วยจำกัดความเสียหายที่อาจเกิดจากการละเมิดรหัสผ่าน |
|
|
Password
history |
5 |
The number of previous passwords the system remembers to prevent you from reusing them. จำนวนรหัสผ่านก่อนหน้าที่ระบบจะจำเพื่อป้องกันไม่ให้คุณใช้ซ้ำ ทั้งนี้เพื่อป้องกันไม่ให้ผู้ใช้กลับมาใช้รหัสผ่านเดิมเร็วเกินไป
ทำให้เกิดการสร้างรหัสผ่านใหม่และไม่ซ้ำกัน ซึ่งจะทำให้ยากต่อการคาดเดาของผู้ประสงค์ร้าย |
|
|
Minimum length |
12 |
The fewest characters your password must have. จำนวนตัวอักษรที่น้อยที่สุดที่รหัสผ่านของคุณต้องมี ทั้งนี้แม้การใช้จำนวนอักษรที่มากจะทำให้เกิดความปลอดภัยแต่ก็แลกมาด้วยความยากในการจดจำรหัสผ่านนั้น ๆ ความยาว 12 ตัวอักษรเป็นสมดุลที่ดีระหว่างความปลอดภัยและความสะดวกของผู้ใช้ ทำให้รหัสผ่านมีความยาวเพียงพอในการต่อต้านการโจมตีแบบ brute-force |
|
|
Complexity |
Complexity |
Yes (4 Levels) |
Requirements for your password to include a mix of uppercase letters, lowercase letters, numbers, and special characters. ข้อกำหนดให้รหัสผ่านของคุณมีการผสมผสานระหว่างอักษรตัวพิมพ์ใหญ่, อักษรตัวพิมพ์เล็ก, ตัวเลข และอักขระพิเศษ การกำหนดความซับซ้อนทำให้รหัสผ่านยากต่อการคาดเดาหรือแคร็กโดยใช้วิธีการอัตโนมัติ |
|
Uppercase
(A-Z) |
Yes |
||
|
Lowercase
(a-z) |
Yes |
||
|
Numbers (0-9) |
Yes |
||
|
Special
characters (#, %, etc.) |
Yes |
||
|
Lockout |
Logon attempt
before lockout |
5 |
The number of times you can try to log in before your account is temporarily locked. จำนวนครั้งที่คุณสามารถพยายามล็อกอินได้ก่อนที่บัญชีของคุณจะถูกล็อกชั่วคราว โดยการลดจำนวนครั้งที่อนุญาตให้ล็อกอินก่อนถูกล็อก
ช่วยลดโอกาสที่ผู้โจมตีจะคาดเดารหัสผ่านโดยใช้วิธีการลองผิดลองถูก |
|
Lockout
duration |
30 min |
The time your account will be locked if you exceed the allowed number of login attempts. เวลาที่บัญชีของคุณจะถูกล็อกหากคุณล็อกอินผิดเกินจำนวนครั้งที่อนุญาต น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ
brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป |
|
|
Reset logon attempts |
30 min |
The time after which the count of unsuccessful login attempts is reset. ระยะเวลาที่จำนวนครั้งที่ล็อกอินไม่สำเร็จจะถูกรีเซ็ต น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ
brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป |
|
|
Others |
Password
change at the first logon |
Yes |
Requires you to change your password the first time you log in. กำหนดให้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก เป็นการทำให้มั่นใจว่ารหัสผ่านเริ่มต้น
(ซึ่งมักตั้งโดยผู้ดูแลระบบ) จะถูกเปลี่ยนทันทีโดยผู้ใช้ให้เป็นสิ่งที่ผู้ใช้รู้เพียงคนเดียว |
|
Multi Factor
Authentication |
Required |
An additional security step requiring a second form of verification besides your password. ขั้นตอนการยืนยันตัวตนเพิ่มเติมนอกจากรหัสผ่าน โดย
MFA จะช่วยเพิ่มระดับความปลอดภัยเพิ่มเติม ทำให้ผู้โจมตียากขึ้นมากกว่าการเข้าถึงโดยใช้รหัสผ่านเพียงอย่างเดียว |
