Friday, May 31, 2024

จะขอรับรองมาตรฐาน ISO/IEC27001 ต้องทำอะไรบ้าง?

มีสอบถามเข้ามาหลายท่านว่าถ้าต้องการจะเริ่มจัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO/IEC27001 จะต้องทำอะไรบ้างเพื่อขอรับการรับรอง วันนี้เลยเอาแผนที่เคยจัดทำไว้มาแชร์ว่ามีอะไรบ้างที่ต้องดำเนินการ ทั้งนี้ขึ้นอยู่กับบริบทของแต่ละองค์กรที่จะนำไปปรับใช้นะคับ

Thursday, May 30, 2024

ตัวอย่างความเสี่ยงเกี่ยวกับรหัสผ่าน และมาตรการควบคุม

Risk

Control

Weak Passwords

1.     Password Strength Meter

2.     Password minimum length = 12

3.     Password complexity = 4

(Uppercase (A-Z), Lowercase (a-z), Numbers (0-9), Special characters (#, %, etc.)

Password Reuse

1.     Minimum password duration = 0

2.     Maximum password duration = 0

3.     Password history = 4

Brute Force Attacks

1.     Captcha Implementation

2.     Logon attempt before lockout = 6

3.     Lockout duration = 30 min

4.     Reset logon attempts = 30 min

5.     Account Login/out or Lockout Notification

Credential theft

1.     Least Privilege Principle/Just-In-Time       Privileges

2.     Multi-Factor Authentication (MFA)

3.     Regular Password Changes

4.     Database Activity Monitoring

5.     Encrypted Storage

6.     Behavioral Analytics

7.     Security Awareness Training

Keylogging

1.     Only business devices are allowed to access the internal network.

2.     Anti-Virus/Malware

3.     Patch Management

4.     Endpoint Detection and Response (EDR)

5.     Secure Input Methods

6.     VA/Pentest

7.     Do not allow user to install program/application on device

8.     Device Hardening

Insider Threat

1.     Segregation of duty/Role-Based Access Control (RBAC)

2.     User review

3.     Change Management

4.     Log review

5.     User Behavior Analytics (UBA)

6.     Whistleblower Policy

Data breach

1.     Data Encryption

2.     On-premises

3.     Data Loss Prevention (DLP)

4.     Role-Based Access Control (RBAC)

5.     User review

6.     Monitoring/ Regular Audits

Unplan downtime

1.     Implement High Availability (HA) solutions

2.     Redundancy

3.     Incident response (SLA = ?h)

4.     Backup/Restore

5.     Regular Testing

Saturday, May 25, 2024

Effective Enterprise Risk Management -- ตลาดหลักทรัพย์แห่งประเทศไทย

 

  --

  • ข้อมูลจาก: ห้องเรียนบริษัทจดทะเบียน ตลาดหลักทรัพย์แห่งประเทศไทย

Thursday, May 23, 2024

การเปิดเผยข้อมูลสุขภาพให้ฝ่ายกฎหมายพิจารณาเมื่อเกิดกรณีพิพาท ระหว่างโรงพยาบาล และผู้มารับบริการ

 คำพิพากษาศาลฎีกาที่ 4632/2565 

ตามมาตรา 7 แห่ง พ.ร.บ.สุขภาพแห่งชาติ พ.ศ. 2550 แสดงให้เห็นว่า แม้กฎหมายบัญญัติยืนยันสถานะข้อมูลด้านสุขภาพเป็นความลับส่วนบุคคล ซึ่งผู้ที่รู้ข้อมูลหรือปฏิบัติงานเกี่ยวข้องกับข้อมูลดังกล่าวต้องให้ความสำคัญต่อการรักษาข้อมูลดังกล่าวให้เป็นความลับและห้ามเปิดเผย เว้นแต่จะเป็นไปเพื่อประโยชน์ในการตรวจรักษาตามความประสงค์ของเจ้าของข้อมูล หรือมีกฎหมายเฉพาะบัญญัติให้ต้องเปิดเผย ทั้งยังไม่ให้อ้างบทบัญญัติแห่งกฎหมายว่าด้วยข้อมูลข่าวสารของทางราชการหรือกฎหมายอื่นเพื่อขอข้อมูลก็ตาม แต่เมื่อได้ความว่า ภายหลังจากโจทก์ผู้เป็นเจ้าของข้อมูลเข้ารับการรักษากับจำเลยที่ 1 ที่โรงพยาบาลของจำเลยที่ 4 แล้ว โจทก์ได้ไปรักษาตัวที่โรงพยาบาลอื่น และการมาขอข้อมูลการรักษาของโจทก์จากจำเลยที่ 4 ได้มีการเรียกร้องค่าเสียหายเข้ามาด้วย ซึ่งอยู่ในขั้นตอนการไกล่เกลี่ยกัน อันเป็นการแสดงว่ามีข้อพิพาทเกิดขึ้นแล้ว จำเลยที่ 1 ซึ่งเป็นผู้ตรวจรักษาโจทก์ บันทึกและล่วงรู้ข้อมูลด้านสุขภาพของโจทก์ และจำเลยที่ 4 ผู้มีหน้าที่เก็บรักษาสิ่งที่บันทึกข้อมูลด้านสุขภาพของโจทก์ ได้นำข้อมูลด้านสุขภาพ คือ เวชระเบียนและคลิปวีดีโอการผ่าตัดเข้าหารือโดยเปิดเผยข้อมูลดังกล่าวในการประชุมกับพนักงานฝ่ายกฎหมายของจำเลยที่ 4 ซึ่งเป็นบุคลากรภายในที่เกี่ยวข้องเพื่อจะให้ฝ่ายกฎหมายทราบข้อเท็จจริงที่เกิดขึ้นและกลั่นกรองงานภายในโรงพยาบาลของจำเลยที่ 4 ตามปกติ เพื่อแก้ไขปัญหา เมื่อฝ่ายกฎหมายของจำเลยที่ 4 เป็นบุคลากรภายในที่เกี่ยวข้องกับเรื่องดังกล่าว ไม่ถือว่าเป็นบุคคลภายนอก แต่เป็นการเปิดเผยเพื่อให้พนักงานฝ่ายกฎหมายทราบข้อเท็จจริงตามปกติเมื่อเกิดข้อพิพาทขึ้น จึงไม่ใช่เป็นการเปิดเผยข้อมูลตามความหมายของบทบัญญัติตามมาตรา 7 จึงไม่เป็นการกระทำโดยละเมิดต่อโจทก์

ฉบับเต็ม

ที่มา 

การจัดการความเสี่ยง (Risk Management)

การจัดการความเสี่ยง (Risk Management) เป็นหนึ่งในกระบวนการหลักในการกำกับดูแลองค์กร นอกเหนือจากระบบการกำกับดูแลกิจการที่ดี (Good Governance) และระบบควบคุมภายใน (Internal Control) ที่มีประสิทธิผล ในการจัดการความเสี่ยงสรุปเป็น 8 ขั้นตอนดังนี้


1. ระบุความเสี่ยง (Risk Identification):

    ซึ่งอาจได้มาจาก

  • การทบทวนการดำเนินงาน กระบวนการ และทรัพย์สินของบริษัท

  • การสัมภาษณ์พนักงาน ผู้จัดการ และผู้มีส่วนได้ส่วนเสีย

  • พิจารณาปัจจัยภายนอก เช่น แนวโน้มของตลาด การพัฒนาอุตสาหกรรม และการเปลี่ยนแปลงด้านกฎระเบียบ

  • รายงานการตรวจสอบภายใน/ภายนอก และรายงานการตรวจสอบอื่น ๆ เช่น VA/Pentese

  • จำนวนอุบัติการณ์ที่เคยเกิดขึ้น

  • อื่น ๆ


2. จัดหมวดหมู่ความเสี่ยง:

     นำความเสี่ยงที่ได้จากข้อที่ 1 มาจัดหมวดหมู เพื่อให้ง่ายต่อการจัดการ และทำให้เห็นมุมมองความเสี่ยงในภาพกว้างขององค์กร โดยอาจเเบ่งออกเป็น

  •  ความเสี่ยงด้านกลยุทธ์ (Strategic Risk) เช่น การแข่งขันทางการค้า, การเปลี่ยนแปลงของตลาด

  •  ความเสี่ยงในการปฏิบัติงาน (Operational Risk) เช่น ความล้มเหลวของกระบวนการ, ข้อผิดพลาดของมนุษย์

  • ความเสี่ยงทางการเงิน (Financial Risk) เช่น ความผันผวนของตลาด, ความเสี่ยงด้านเครดิต, กระแสเงินสด, ลูกหนี้ค้างชำระ, หนี้ NPL

  • ความเสี่ยงในการปฏิบัติตามหฎหมาย/กฎระเบียบ (Compliance Risk) เช่น การไม่ปฏิบัติตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล

  • ความเสี่ยงต่อชื่อเสียง (Reputation Risk) เช่น ความเสียหายต่อแบรนด์ การรับรู้ของสาธารณชน)


3. ประเมินโอกาสและผลกระทบต่อความเสี่ยง (Risk Analysis):

     ประเมินโอกาส (ความน่าจะเป็น) และผลกระทบที่อาจเกิดขึ้น (ความรุนแรง) ของแต่ละความเสี่ยง โดยพิจารณาจาก

  • ข้อมูลในอดีต เกณฑ์มาตรฐานอุตสาหกรรม และความคิดเห็นของผู้เชี่ยวชาญ

  • มาตรการควบคุมที่มีอยู่ในปัจจุบัน

และกำหนดค่าระดับความเสี่ยงโดยอาศัยข้อมูลจากระดับโอกาสและผลกระทบที่เกิดขึ้น โดยทั่วไปจะคำนวนจาก



ค่าระดับความเสี่ยง = ค่าโอกาส X ค่าผลกระทบที่อาจเกิดขึ้น




ตัวอย่างการกำหนดระดับความเสี่ยงโดยวิเคราะห์จากค่าความเสี่ยง (1-5)



หมายเหตุ: ความเสี่ยงหลาย ๆ ความเสี่ยงมีความเชื่อมโยงระหว่างกันอาจส่งผลกระทบซึ่งกันและกัน โดยผลกระทบนั้นอาจมีลักษนะที่เชื่อมโยงแบบโดมิโน


4. จัดลำดับความสำคัญความเสี่ยง (Risk Evaluation):

    นำความเสี่ยงที่วิเคราะห์ได้มาจัดลำดับความสำคัญ โดยพิจารณาเน้นที่ความเสี่ยงที่มีโอกาสเกิดสูง และความเสี่ยงที่มีผลกระทบสูง องค์กรควรพิจารณาในการจัดทำเกณฑ์ หรือระดับการยอมรับความเสี่ยง ซึ่งโดยทั่วไปแล้วความเสี่ยงระดับต่ำ (Low) เป็นความเสี่ยงที่สามารถยอมรับได้ ความเสี่ยงระดับสูงถึงสูงมาก (high-Extreme) เป็นความเสี่ยงที่โดยปกติแล้วไม่ควรยอมรับ นั่นหมายความว่าองค์กรควรต้องหาแนวทางในการจัดการเพื่อลดความเสี่ยงลง ในขณะเดียวกันความเสี่ยงระดับปานกลาง (Medium) เป็นความเสี่ยงที่องค์กรควรพิจารณาถึงความเพียงพอของมาตรการควบคุมที่มีปัจจุบัน ต้นทุนในการลดความเสี่ยงและผลประโยชน์ที่อาจเกิดขึ้น เพื่อพิจารณาดำแนวทางในการดำเนินการต่อไป


โดยทั่วไปแล้วแนวทางในการจัดการความเสี่ยงที่นิยมกันจะมีอยู่ 4 แบบ คือ

  • ยอมรับความเสี่ยง (Accept)

  • การหลีกเลี่ยงความเสี่ยง (Avoid)

  • การกระจาย/โอนความเสี่ยง (Transfer)

  • การลด/การควบคุมความเสี่ยง (Mitigate)


5. จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง:

    เมื่อได้ความเสี่ยงในแต่ละระดับแล้ว และพิจารณาแล้วว่าความเสี่ยงนั้น ๆ จะดำเนินการอย่างไร ก็จัดทำแผนหรือกลยุทธ์ในการจัดการความเสี่ยง โดยเจ้าของความเสี่ยง (Risk Owner) แผนการจัดการความเสี่ยงนั้นควรถูกนำเสนอผู้ที่เกี่ยวข้องเพื่อให้ความเห็น และอนุมัติการดำเนินการ


6. ติดตามและทบทวนความเสี่ยง:

    ปัญหาสำคัญที่การจัดการความเสี่ยงไม่มีประสิทธิผลคือไม่ระบบติดตามและทบทวนความเสี่ยง ทั้งนี้เพื่อปรับปรุงการประเมินความเสี่ยงอย่างสม่ำเสมอเพื่อสะท้อนถึงการเปลี่ยนแปลงในการดำเนินงาน สภาวะตลาด หรือปัจจัยอื่น ๆ และติดตามประสิทธิภาพ/ประสิทธิผลการลดความเสี่ยงอย่างต่อเนื่อง


7. รายงานและสื่อสารความเสี่ยง:

    ผู้บริหารมีส่วนสำคัญอย่างยิ่งในการชี้นำ และตัดสินใจ ดังนั้นนำเสนอการประเมินความเสี่ยงและกลยุทธ์การบรรเทาผลกระทบต่อฝ่ายบริหาร คณะกรรมการ และผู้มีส่วนได้เสีย อย่างสม่ำเสมอ และเมื่อมีการเปลี่ยนแปลงของความเสี่ยงสำคัญจะช่วยให้การจัดการความเสี่ยงมีประสิทธิภาพ 


8. การพัฒนาปรับปรุงอย่างต่อเนื่อง:

    ไม่มีหลักเกณฑ์/แนวทางไหนใช้ได้ดีไปได้ตลอด ความเสี่ยงระดับต่ำวันนี้อาจเป็นความเสี่ยงระดับสูงในวันพรุ่งนี้ การจัดการความเสี่ยงที่ดีในวันนี้ วันพรุ่งนี้อาจจะใช้ไม่ได้แล้ว การพัฒนาปรับปรุงอย่างต่อเนื่องจะช่วยให้องค์กรสามารถปรับตัวให้ทันต่อความเสี่ยงที่เกิดขึ้น และพร้อมรับความเปลี่ยนแปลง ทำให้องค์กรเกิดการพัฒนา

Wednesday, May 22, 2024

Spend 15 minutes to save 3 months in SAR

เขียนโดยอาจารย์ Anuwat Supachutikul

เมื่อวานเข้าเฟชบุคแล้วเห็นอาจารย์อนุวัฒน์โพสต์ไว้ฯ มีประโยชน์มากสำหรับคนเริ่มเขียน SAR โรงพยาบาลเพื่อขอรับรองมาตรฐาน HA ครับ ขอก็อบไว้ก่อนเดี๋ยวหาไม่เจออีก >>>

"กัลยาณมิตรท่านหนึ่งบอกว่ากำลังเร่งมือทำรายงานการประเมินตนเอง (SAR) ผมก็เลยบอกว่าลองส่งมาให้ดูสักหมวดหนึ่ง เมื่ออ่านแล้วผมก็ให้ข้อคิดเห็นเพื่อให้ทีมงานได้รับประโยชน์เต็มที่จากการใช้มาตรฐานมาประเมินตนเอง แล้วคิดว่า รพ.อื่นๆ ก็น่าจะได้รับประโยชน์ด้วย จึงนำมาแบ่งปันกันครับ

บริบท

เราน่าจะทบทวนว่าเรากำหนดส่วนตลาดเพื่ออะไร และใช้ประโยชน์จากการกำหนดส่วนตลาดนั้นอย่างไร โดยทั่วไป ภาคเอกชนจะใช้การแบ่งส่วนตลาดเพื่อกำหนดวิธีการ marketing หรือเพื่อเปรียบเทียบกับคู่แข่งว่าสามารถขยายส่วนตลาดที่เป็นเป้าหมายได้อย่างไร  

ขณะที่การแบ่งกลุ่มผู้ป่วยมักจะแบ่งกลุ่มตามความต้องการที่มีลักษณะคล้ายกัน เพื่อกำหนดวิธีการรับฟัง กำหนดบริการที่เหมาะสมกับแต่ละกลุ่ม และกำหนดกลุ่มที่จะมุ่งเน้น (ในบริการภาครัฐ คือกลุ่มที่ยังมีปัญหาในการเข้าถึงบริการ ถ้าเป็นเอกชนคือกลุ่มที่จะทำชื่อเสียงหรือทำกำไรให้มากที่สุด)

I-3.1 ก. การรับฟังผู้ป่วยและผู้รับผลงาน

Purpose เป้าหมายควรเป็นเพื่อให้ได้ข้อมูลความต้องการของผู้รับบริการที่นำไปใช้ประโยชน์ได้ (actionable information) วิธีการรับฟังควรสอดคล้องกับกลุ่มผู้ป่วยที่เราจำแนกไว้ เช่น กลุ่มผู้สูงอายุเรารับฟังอย่างไรจึงได้ความต้องการเฉพาะของกลุ่มนี้  หรือว่ากลุ่มผู้ป่วยประกันสังคม กลุ่ม UC กลุ่มที่ต้องการบริการ rehab ต่อเนื่อง เรามีวิธีพิเศษในการรับฟังอย่างไร

Performance ควรประเมินว่าข้อมูลที่ได้มานั้้นเราเอาไปใช้ประโยชน์ได้มากน้อยเพียงใด เช่น เอาไปปรับปรุงอะไรบ้าง หรือว่ามีข้อมูลอะไรที่เราควรได้รับแต่ยังไม่ได้รับจากการรับฟัง  ตรงนี้อาจจะยากนิดหนึ่งว่าจะประเมินอย่างไร

แต่ถ้าเราได้ข้อมูลที่เป็น insight จำนวนมาก ก็ไม่ต้องเป็นห่วงว่าเรายังขาดข้อมูลที่ควรได้ ปัญหาคือเราไม่ได้ให้ความสำคัญกับการรับฟังอย่างจริงจัง ในสิ่งที่ผู้ป่วยไม่ได้พูดออกมาตามระบบการสอบถามปกติ  

Process กระบวนการรับฟังที่ดีควรเป็นการทำ interview หรือ focus group กับแต่ละกลุ่มเป้าหมาย  แต่หากระยะเวลาจำกัด เราอาจจะใช้วิธีลัด คือถามผู้ป่วยในที่จะจำหน่ายทุกราย 2 ข้อ (1) พอใจกับอะไรมากที่สุด (2) อยากให้ปรับปรุงอะไรมากที่สุด เอามาจำแนกตามกลุ่มผู้ป่วยก็ได้ข้อมูลมากมายที่จะนำไปใช้ประโยชน์ ส่วนผู้ป่วยนอกก็สุ่มเท่าที่ทำได้ ไม่ต้องมากเกินไป

I-3.1 ข(1) การกำหนดกลุ่มผู้ป่วย 

Purpose เป้าหมายน่าจะเป็น มีการจำแนกกลุ่มผู้ป่วยอย่างเหมาะสมเพื่อประโยชน์ในการรับฟัง ออกแบบบริการ และกำหนดกลุ่มที่มุ่งเน้น

 Process กระบวนการน่าจะเริ่มด้วยการทดลองจำแนกกลุ่มผู้ป่วยหลายๆ วิธี แล้วเอาข้อมูลต่างๆ มาประกอบเพื่อพิสูจน์สมมติฐานหรือเหตุของของการจำแนกนั้น  เช่น ถ้าเราจำแนกผู้ป่วยเขตเมืองกับชนบท อะไรคือสมมติฐานว่าสองกลุ่มนนี้มีความต้องการต่างกัน หรือมี demand ในการใช้บริการต่างกัน หรือมีความยากในการติดตามการรักษาต่างกัน แล้วเราจะใช้ข้อมูลอะไรมาพิสูจน์สมมติฐานนั้น  ถ้าข้อมูลสนับสนุน เราก็สามารถใช้การจัดกลุ่มนั้นได้  หรือถ้าเราจะบอกว่ากลุ่มไหนเป็นกลุ่มที่เราจะมุ่งเน้น เราต้องใช้ข้อมูลอะไรมายืนยันเหตุผลของการมุ่งเน้นของเรา

I-3.2 ก. การสร้างความสัมพันธ์และจัดการข้อร้องเรียน

Purpose เป้าหมายน่าจะเป็นเพื่อความสัมพันธ์ที่ดีระหว่างบุคลากรและผู้รับบริการ เอื้อต่อการดูแลรักษา ผู้ป่วยมีความเชื่อมั่น และมีความมุ่งมั่นที่จะรับผิดชอบต่อสุขภาพของตนเอง

ในที่นี้ความผูกพันคือการที่ผู้ป่วยมุ่งมั่นที่จะรับผิดขอบต่อสุขภาพของตนเอง

Process วิธีการมีมากมาย ควรทบทวนดูให้ดี (1) การสร้างความสัมพันธ์เมื่อแรกสัมผัสกับผู้รับบริการ ทั้งผู้ป่วยนอกและผู้ป่วยใน (2) การสร้างความสัมพันธ์เมื่อรับไว้เป็นผู้ป่วยใน (3) การสร้างความสัมพันธ์เพื่อการดูแลต่อเนื่อง (4) การให้ข้อมูลผู้ป่วย (5) การให้ผู้ป่วยร่วมตัดสินใจในแผนการดูแล (6) การเสริมพลังให้ผู้ป่วยและครอบครัวดูแลตนเองต่อเนื่อง (7) การสนับสนุนวัสดุอุปกรณ์และติดตามดูแลต่อเนื่อง เป็นต้น

Performance ในเรื่องนี้สามารถประเมินผ่านความพึงพอใจของผู้ป่วยในด้านต่างๆ เช่น เรื่องการได้รับข้อมูล การมีโอกาสร่วมตัดสินใจ ความมั่นใจในการดูแลตนเองต่อเนื่อง รวมไปถึงการวัดด้วย PAM (patient activation measure)

I-3.2 ข. การประเมินความพึงพอใจ 

ผลลัพธ์น่าจะแสดงทั้งใน I-3 และ IV-2 โดยต้องวิเคราะห์ว่าประเด็นที่ผู้ป่วยให้ความสำคัญคืออะไร และควรแสดง trend อย่างน้อย 3 ปีให้เห็นว่าตัวไหนดีขึ้น ตัวไหนแย่ลง มีการลงมือปฏิบัติอะไรที่ทำให้ดีขึ้น หรือเป็นผลมาจากที่แย่ลง  

 ความพึงพอใจโดยรวมไม่ได้บอกอะไร คือไม่ได้ทำให้เรามีโอกาสอธิบายว่าเราเอาผลการประเมินไปทำอะไรบ้าง ควรทำ graph แสดงให้เห็นความพึงพอใจต่อประเด็นที่เรานำไปปรับปรุง เมื่อปรับปรุงแล้วเห็นการเปลี่ยนแปลงที่ดีขึ้น เช่น เรื่องพฤติกรรมบริการ เรื่องอาคารสถานที่ ก็เอาความพึงพอใจของเรื่องนั้นๆ มาทำเป็นกราฟเฉพาะเรื่องนั้นๆ ไปเลย

หวังว่าการใช้เวลา 15 นาที ทำความเข้าใจแนวคิดเหล่านี้ จะทำให้ทีมงานไม่ต้องเสียเวลาโดยเปล่าประโยชน์ไป 3 เดือน (ตัวเลขสมมติ)"

ที่มา;

Tuesday, May 21, 2024

DPA or DSA or NDA?


คำถามที่มักถูกถามเกี่ยวกับการรักษาความลับของข้อมูลกรณีที่มีการจ้าง Vendor หรือมีการแลกเปลี่ยนข้อมูลกับหน่วยงานภายนอก มันจะต้องทำอะไร  DPA or DSA or NDA?

  1. กรณีการให้หน่วยงานภายนอกประมวลข้อมูลประเภทลับขึ้นไป แต่ไม่รวมถึงข้อมูลส่วนบุคคล

> กำหนดการรักษาความลับในเอกสารสัญญา/TOR 


  1. กรณีการให้หน่วยงานภายนอกประมวลผลข้อมูลส่วนบุคคล (Controller - Processor)
    > ให้จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) *มาตรา 40 พรบ.คุ้มครองข้อมูลส่วนบุคคล


  1. กรณีที่มีการแลกเปลี่ยนการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน (Controller - Controller)
    > ให้จัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (DSA) *** ไม่ได้มีข้อบังคับตามกฎหมาย แต่ทำไว้ก็ดี


  1. กรณีบุคคลภายนอกที่มีความเสี่ยงในการเข้าถึงข้อมูลประเภทลับขึ้นไป (Vendor, นักศึกษาฝึกงาน, จิตอาสา, ผู้เยี่ยมสำรวจ, ฯลฯ)

> ให้ลงนามข้อตกลงไม่เปิดเผยความลับ (Non-Disclosure Agreement) *บุคลากรภายในจะกำหนดเป็นนโยบาย หรือจะให้เซ็นต์แล้วแต่องค์กรพิจารณา

Risk Management -- การจัดการความเสี่ยง

การจัดการความเสี่ยงภาพรวมไม่ได้มีอะไรเยอะ มันก็มีประมาณนี้แหละ แต่รายละเอียดจะแตกต่างกันไปตามบริบทของหน่วยงาน และด้านที่กำลังประเมิน

Friday, May 17, 2024

Password Guideline --- แนวทางการตั้งค่ารหัสผ่าน

Category

Parameter name

Guidelines

Explain

 Aging

 

 

Minimum password duration

1 Day

The shortest time you must wait before changing your password again.

เวลาสั้นที่สุดที่จะต้องรอก่อนเปลี่ยนรหัสผ่านอีกครั้ง

ทั้งนี้เพื่อป้องกันผู้ใช้ไม่ให้เปลี่ยนรหัสผ่านหลายครั้งในระยะเวลาอันสั้นเพื่อกลับมาใช้รหัสผ่านที่ชื่นชอบ

Maximum password duration

90 Day

The longest time you can use the same password before you need to change it.

เวลาที่ยาวที่สุดที่คุณสามารถใช้รหัสผ่านเดิมได้ก่อนที่ต้องเปลี่ยนใหม่

ทั้งนี้การเปลี่ยนรหัสผ่านเป็นประจำช่วยจำกัดความเสียหายที่อาจเกิดจากการละเมิดรหัสผ่าน

Password history

5

The number of previous passwords the system remembers to prevent you from reusing them.

จำนวนรหัสผ่านก่อนหน้าที่ระบบจะจำเพื่อป้องกันไม่ให้คุณใช้ซ้ำ

ทั้งนี้เพื่อป้องกันไม่ให้ผู้ใช้กลับมาใช้รหัสผ่านเดิมเร็วเกินไป ทำให้เกิดการสร้างรหัสผ่านใหม่และไม่ซ้ำกัน ซึ่งจะทำให้ยากต่อการคาดเดาของผู้ประสงค์ร้าย

Minimum length

12

The fewest characters your password must have.

จำนวนตัวอักษรที่น้อยที่สุดที่รหัสผ่านของคุณต้องมี

ทั้งนี้แม้การใช้จำนวนอักษรที่มากจะทำให้เกิดความปลอดภัยแต่ก็แลกมาด้วยความยากในการจดจำรหัสผ่านนั้น ๆ ความยาว 12 ตัวอักษรเป็นสมดุลที่ดีระหว่างความปลอดภัยและความสะดวกของผู้ใช้ ทำให้รหัสผ่านมีความยาวเพียงพอในการต่อต้านการโจมตีแบบ brute-force

 Complexity

 

 

 

Complexity

Yes (4 Levels)

Requirements for your password to include a mix of uppercase letters, lowercase letters, numbers, and special characters.

ข้อกำหนดให้รหัสผ่านของคุณมีการผสมผสานระหว่างอักษรตัวพิมพ์ใหญ่, อักษรตัวพิมพ์เล็ก, ตัวเลข และอักขระพิเศษ

การกำหนดความซับซ้อนทำให้รหัสผ่านยากต่อการคาดเดาหรือแคร็กโดยใช้วิธีการอัตโนมัติ

Uppercase (A-Z)

Yes

Lowercase (a-z)

Yes

Numbers (0-9)

Yes

Special characters (#, %, etc.)

Yes

 Lockout

 

Logon attempt before lockout

5

The number of times you can try to log in before your account is temporarily locked.

จำนวนครั้งที่คุณสามารถพยายามล็อกอินได้ก่อนที่บัญชีของคุณจะถูกล็อกชั่วคราว

โดยการลดจำนวนครั้งที่อนุญาตให้ล็อกอินก่อนถูกล็อก ช่วยลดโอกาสที่ผู้โจมตีจะคาดเดารหัสผ่านโดยใช้วิธีการลองผิดลองถูก

Lockout duration

30 min

The time your account will be locked if you exceed the allowed number of login attempts.

เวลาที่บัญชีของคุณจะถูกล็อกหากคุณล็อกอินผิดเกินจำนวนครั้งที่อนุญาต

น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป

Reset logon attempts

30 min

The time after which the count of unsuccessful login attempts is reset.

ระยะเวลาที่จำนวนครั้งที่ล็อกอินไม่สำเร็จจะถูกรีเซ็ต

น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป

Others

 

Password change at the first logon

Yes

Requires you to change your password the first time you log in.

กำหนดให้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก

เป็นการทำให้มั่นใจว่ารหัสผ่านเริ่มต้น (ซึ่งมักตั้งโดยผู้ดูแลระบบ) จะถูกเปลี่ยนทันทีโดยผู้ใช้ให้เป็นสิ่งที่ผู้ใช้รู้เพียงคนเดียว

Multi Factor Authentication

Required

An additional security step requiring a second form of verification besides your password.

ขั้นตอนการยืนยันตัวตนเพิ่มเติมนอกจากรหัสผ่าน

โดย  MFA จะช่วยเพิ่มระดับความปลอดภัยเพิ่มเติม ทำให้ผู้โจมตียากขึ้นมากกว่าการเข้าถึงโดยใช้รหัสผ่านเพียงอย่างเดียว