Contenu connexe Similaire à Health Information Privacy and Security Similaire à Health Information Privacy and Security (13) Plus de Nawanan Theera-Ampornpunt Plus de Nawanan Theera-Ampornpunt (20) Health Information Privacy and Security7. Privacy & Security
Privacy: “The ability of an individual or group
to seclude themselves or information about
themselves and thereby reveal themselves
selectively.” (Wikipedia)
Security: “The degree of protection to safeguard
... person against danger, damage, loss, and
crime.” (Wikipedia)
Information Security: “Protecting information
and information systems from unauthorized
access, use, disclosure, disruption, modification,
perusal, inspection, recording or destruction”
(Wikipedia)
64. Some Information Security Standards
•
•
•
•
•
•
•
•
•
•
•
•
•
•
ISO/IEC 27000 — Information security management systems — Overview and
vocabulary
ISO/IEC 27001 — Information security management systems — Requirements
ISO/IEC 27002 — Code of practice for information security management
ISO/IEC 27003 — Information security management system implementation guidance
ISO/IEC 27004 — Information security management — Measurement
ISO/IEC 27005 — Information security risk management
ISO/IEC 27031 — Guidelines for information and communications technology readiness
for business continuity
ISO/IEC 27032 — Guideline for cybersecurity (essentially, ʹbeing a good neighborʹ on
the Internet)
ISO/IEC 27033‐1 — Network security overview and concepts
ISO/IEC 27033‐2 — Guidelines for the design and implementation of network security
ISO/IEC 27033‐3:2010 — Reference networking scenarios ‐ Threats, design techniques
and control issues
ISO/IEC 27034 — Guideline for application security
ISO/IEC 27035 — Security incident management
ISO 27799 — Information security management in health using ISO/IEC 27002
101. Thai Privacy Laws
The Official Information Act, B.E. 2540
พรบ.ข้อมูลข่าวสารของราชการ พ.ศ. 2540
“เปิ ดเผยเป็ นหลัก ปกปิ ดเป็ นข้อยกเว้น”
“มาตรา 15 ข้อมูลข่าวสารของราชการทีมลกษณะอย่างหนึ่งอย่างใดดังต่อไปนี้
่ ีั
หน่วยงานของรัฐหรือเจ้าหน้าทีของรัฐอาจมีคาสังมิให้เปิดเผยก็ได้ โดยคํานึงถึง
่
ํ ่
การปฏิบตหน้าทีตามกฎหมาย...ประกอบกัน
ั ิ
่
...
(5) รายงานการแพทย์หรือข้อมูลข่าวสารส่วนบุคคลซึงการเปิดเผยจะเป็ นการรุก
่
ลํ้าสิทธิสวนบุคคลโดยไม่สมควร
่
(6) ข้อมูลข่าวสารของราชการทีมกฎหมายคุมครองมิให้เปิดเผย...
่ ี
้
...”
104. Thai ICT Laws
Electronic Transactions Acts, B.E. 2544 & 2551
พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ พรบ.ว่าด้วยธุรกรรมทาง
อิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์
รับรองวิธการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชืออิเล็กทรอนิกส์ (electronic
ี
่
ั
signature) และการรับฟงพยานหลักฐานทีเป็ นข้อมูลอิเล็กทรอนิกส์ เพือส่งเสริมการทํา e‐
่
่
transactions ให้น่าเชือถือ
่
กําหนดให้มคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอํานาจหน้าที่
ี
Security & privacy requirements for
Determining legal validity & integrity of electronic
transactions and documents, print‐outs, & paper‐to‐
electronic conversions
Governmental & public organizations
Critical infrastructures
Financial sectors
Electronic certificate authorities
106. กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
พรฎ.กําหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ทยกเว้นมิหนํากฎหมายว่าด้วย
่ี
ธุรกรรมทางอิเล็กทรอนิกส์มาใช้บงคับ พ.ศ. 2549
ั
ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
เรือง การรับรองสิงพิมพ์ออก พ.ศ. 2555
่
่
กําหนดหลักเกณฑ์และวิธการรับรองสิงพิมพ์ออก (Print‐Out) ของข้อมูล
ี
่
อิเล็กทรอนิกส์ เพือให้สามารถใช้อางอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทนต้นฉบับ
่
้
ได้
เรือง หลักเกณฑ์และวิธการในการจัดทําหรือแปลงเอกสารและข้อความให้อยูในรูปของ
่
ี
่
ข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553
กําหนดหลักเกณฑ์และวิธการในการจัดทําหรือแปลงเอกสารและข้อความทีได้มการจัดทํา
ี
่ ี
หรือแปลงให้อยูในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
่
เรือง แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และแนวปฏิบติ
่
ั
(Certification Practice Statement) ของผูให้บริการออกใบรับรอง
้
อิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552
ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate)
112. “วิธีการแบบปลอดภัย”
มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
“ธุรกรรมทางอิเล็กทรอนิกส์ใดทีได้กระทําตามวิธการแบบปลอดภัยที่
่
ี
กําหนดในพระราชกฤษฎีกา ให้สนนิษฐานว่าเป็ นวิธการทีเชือถือได้
ั
ี
่ ่
พรฎ.ว่าด้วยวิธการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์
ี
พ.ศ. 2553
วิธการแบบปลอดภัย มี 3 ระดับ (พืนฐาน, กลาง, เคร่งครัด)
ี
้
จําแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมทีมผลกระทบ
่ ี
ต่อความมันคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน)
่
หรือจําแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรทีถอเป็ น
่ ื
โครงสร้างพืนฐานสําคัญของประเทศ หรือ Critical
้
Infrastructure)
118. ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
อ้างอิงมาตรฐาน ISO/IEC 27001:2005 ‐ Information
technology ‐ Security techniques ‐ Information
security management systems ‐ Requirements
มีผลใช้บงคับเมือพ้น 360 วัน นับแต่วนประกาศในราชกิจจานุเบกษา (19 ธ.ค.
ั
่
ั
2555) คือ 14 ธ.ค. 2556
ไม่มบทกําหนดโทษ เป็ นเพียงมาตรฐานสําหรับ “วิธการทีเชือถือได้” ในการ
ี
ี
่ ่
พิจารณาความน่าเชือถือในทางกฎหมายของธุรกรรมทางอิเล็กทรอนิกส์ แต่มผล
่
ี
ในเชิงภาพลักษณ์และนํ้าหนักการนําข้อมูลอิเล็กทรอนิกส์ไปเป็ นพยานหลักฐานใน
การต่อสูคดีในศาลหรือการดําเนินการทางกฎหมาย
้
คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่รายชือ
่
หน่วยงานทีมการจัดทํานโยบายและแนวปฏิบตโดยสอดคล้องกับวิธการแบบ
่ ี
ั ิ
ี
ปลอดภัย เพือให้สาธารณชนทราบเป็ นการทัวไปก็ได้
่
่
119. มาตรฐาน Security ตามวิธีการแบบปลอดภัย
แบ่งเป็ น 11 หมวด (Domains)
Security policy
Organization of information security
Asset management
Human resources security
Physical and environmental security
Communications and operations management
Access control
Information systems acquisition, development and
maintenance
Information security incident management
Business continuity management
Regulatory compliance
120. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain)
ระดับพืนฐาน
้
ระดับกลาง
(เพิ่มเติมจากระดับพืนฐาน)
้
ระดับสูง
(เพิ่มเติมจากระดับกลาง)
Security policy
1 ข้อ
1 ข้อ
-
Organization of information security
5 ข้อ
3 ข้อ
3 ข้อ
Asset management
1 ข้อ
4 ข้อ
-
Human resources security
6 ข้อ
1 ข้อ
2 ข้อ
Physical and environmental security
5 ข้อ
2 ข้อ
6 ข้อ
Communications & operations management
18 ข้อ
5 ข้อ
9 ข้อ
Access control
9 ข้อ
8 ข้อ
8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ
6 ข้อ
8 ข้อ
Information security incident management
1 ข้อ
-
3 ข้อ
Business continuity management
1 ข้อ
3 ข้อ
1 ข้อ
Regulatory compliance
3 ข้อ
5 ข้อ
2 ข้อ
รวม
52 ข้อ
38 ข้อ (รวม 90 ข้อ)
42 ข้อ (รวม 132 ข้อ)