เอกสารผลการปฏิบัติราชการ ปี 2559

PMQA 2554 ศทส.สป.สธ.

e-Conference DownLoad


Designed by:
SiteGround web hosting Joomla Templates

คำสั่ง และ แผน ศทส./สป.สธ.
Up

IT6 บริหารความเสี่ยง

ส่วนราชการต้องมีระบบบริหารความเสี่ยงของระบบฐานข้อมูลและสารสนเทศ

 

- แสดง Access Rights ที่ถูกต้องและทันสมัยได้อย่างน้อย 1 ระบบ

- แสดงผลการปฏิบัติตามแผนแก้ไขปัญหาจากสถานการณ์ความไม่แน่นอนและภัยพิบัติที่อาจจะเกิดกับระบบฐานข้อมูลและสารสนเทศ (IT Contingency Plan) หรือมีการซักซ้อมการดำเนินการตามแผน (โดยสมมติว่ามีสถานการณ์หรือภัยพิบัติเกิดขึ้น)

• แสดงรายละเอียดแผนแก้ไขปัญหาจากสถานการณ์ความไม่แน่นอนและภัยพิบัติที่อาจจะเกิดกับระบบฐานข้อมูลและสารสนเทศ (IT Contingency Plan) 
- ระบุได้ว่าเมื่อเกิดภัยอะไรขึ้น มีกระบวนการอย่างไร ใครเป็นผู้รับผิดชอบในขั้นตอนใด กู้คืนระบบอย่างไร โดยอย่างน้อยต้องมีกรณีไฟไหม้ โดนเจาะระบบ

• แสดงระบบรักษาความมั่นคงและปลอดภัย (Security) ของระบบฐานข้อมูลและสารสนเทศ  
- แสดงระบบ โดยมีรายละเอียดที่เกี่ยวข้อง ดังต่อไปนี้ 
◦  มีการระบุขั้นตอนและผู้รับผิดชอบการ back up  ◦ มีการ back up  ◦ มีการระบุขั้นตอนและผู้รับผิดชอบการ recovery  ◦ มีการ Recovery  ◦ มี anti virus   ◦ มี firewall   ◦ มีไฟฟ้าสำรอง   ◦ มีการกำหนดเงื่อนไขการเข้าห้อง server ที่ประกาศให้ทุกคนทราบ (ในระเบียบปฏิบัติฯ)

• โครงการฝึกอบรม “การบริหารจัดการเครื่องคอมพิวเตอร์และเครือข่ายสำหรับการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร” ให้แก่เจ้าหน้าที่ของกระทรวงสาธารณสุขในส่วนกลาง ระหว่างวันที่ 16-31 มีนาคม 2554 เวลา 08.30-16.30 น. ณ ห้องฝึกอบรมคอมพิวเตอร์ ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร อาคาร 2 ชั้น 1 ตึกสำนักงานปลัดกระทรวงสาธารณสุข  หลักฐาน

- มีรายละเอียดระบบสารสนเทศที่มีทั้งหมดในองค์การ นับจนถึง มิถุนายน 2554 ได้แก่  ผังแสดงอุปกรณ์และระบบเครือข่ายคอมพิวเตอร์ของกระทรวง

• แสดงผลการกำหนดหน้าที่ความรับผิดชอบของข้าราชการในการดำเนินงานทางด้านความมั่นคงปลอดภัยสำหรับสารสนเทศองค์การ  
- มีเอกสารที่กำหนดหน้าที่ความรับผิดชอบของบุคลากรในองค์การในการดำเนินการด้านความมั่นคงปลอดภัยสำหรับสารสนเทศขององค์การไว้อย่างชัดเจน ได้แก่

> คำสั่งศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร 3/2552 การมอบหมายข้าราชการรับผิดชอบดูแลรักษาความมั่นคงปลอดภัยระบบสารสนเทศ

> คำสั่งศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร 4/2552 แต่งตั้งคณะกรรมการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ

> แผนปฏิบัติการรักษาความมั่นคงปลอดภัยของระบบเครือข่ายเทคโนโลยีสารสนเทศและการสื่อสาร

> แผนปฏิบัติการสำรองข้อมูล

• แสดงผลการจัดทำนโยบายความมั่นคงปลอดภัยขององค์การอย่างเป็นลายลักษณ์อักษร โดย CIO หรือ CEO เป็นผู้อนุมัติ  
- มีเอกสารนโยบายความมั่นคง ได้แก่

ประกาศกระทรวง นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและการสื่อสาร กระทรวงสาธารณสุข [28 ก.ค.53]

ประกาศสำนักงานปลัด นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและการสื่อสาร [27 ม.ค.53]

ระเบียบปฏิบัติด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ

คู่มือ USER สป.สธ. เล่มคู่มือและข้อปฏิบัติสำหรับ USER สป.สธ. [มี.ค.54]

การประชุมคณะทำงานบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ ครั้งที่ 1/2554 วันพุธที่ 23 กุมภาพันธ์ 2554
- ที่แสดงการทบทวนนโยบายความมั่นคง ซึ่งอย่างน้อยประกอบด้วย
◦ Acceptable use Policy  ◦ Wireless Policy  ◦ Firewall Policy  ◦ E-mail Policy  ◦ Internet Security Policy  ◦ Access control Policy  ◦ IDS/IPS Policy
หมายเหตุ : อ้างอิงตามมาตรฐาน ISO2IEC 27001 Annex A และศึกษารายละเอียดวิธีปฏิบัติทางเทคนิคจาก ISO/IEC 17799:2005

Display Num 
Powered by Phoca Download