1. การปฏิบัติตามมาตรฐาน
การรักษาความมั่นคง
ปลอดภัยของระบบ
สารสนเทศ ของ
คณะกรรมการธุรกรรม
ทางอิเล็กทรอนิกส์
นพ.นวนรรน ธีระอัมพรพันธุ์
ฝ่ายเวชสารสนเทศ
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
สําหรับการประชุมคณะกรรมการบริหารคณะฯ
วันที่ 5 ก.พ. 2556

2. ภัยคุกคามด้านความปลอดภัยสารสนเทศ
Malware

3. ที่มาของภัยคุกคามด้าน Information Security
• Hackers
• Virus & Malware
• ซอฟต์แวร์ที่ออกแบบอย่างไม่ปลอดภัย
• Insiders (Employees)
• ความรู้เท่าไม่ถึงการณ์ของบุคลากร
• ภัยพิบัติหรือเหตุการณ์อื่นที่สงผลต่อระบบสารสนเทศ
่

4. หลักการของ Information Security
Confidentiality
• การรักษาความลับของข้อมูล
Integrity
• การรักษาความครบถ้วนและความ
ถูกต้องของข้อมูล
• ปราศจากการเปลี่ยนแปลงแก้ไข ทํา
ให้สูญหาย ทําให้เสียหาย หรือถูก
ทําลายโดยมิชอบ
Availability
• การรักษาสภาพพร้อมใช้งาน

5. กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
– กําหนดการกระทําทีถือเป็นความผิด และหน้าที่ของผู้ให้บริการ
่
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551
– รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์
– รับรองวิธีการส่งและรับข้อมูลอิเล็กทรอนิกส์ การใช้ลายมือชื่อ
อิเล็กทรอนิกส์ (electronic signature) และการรับฟังพยานหลักฐานที่
เป็นข้อมูลอิเล็กทรอนิกส์ เพื่อส่งเสริมการทํา e-transactions ให้น่าเชื่อถือ
– กําหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ และอํานาจหน้าที่

6. ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของ
ข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูล
อิเล็กทรอนิกส์ (มาตรา 7)
• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้
วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้
(มาตรา 9)
• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทําตามวิธีการแบบปลอดภัยที่
กําหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
• คําขอ การอนุญาต การจดทะเบียน คําสั่งทางปกครอง การชําระเงิน
การประกาศ หรือการดําเนินการใดๆ ตามกฎหมายกับหน่วยงานของ
รัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทําในรูปของข้อมูล
อิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กําหนดโดย พรฎ.
• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)

7. กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.กําหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนํา
กฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555
• กําหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูล
อิเล็กทรอนิกส์ เพื่อให้สามารถใช้อางอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทน
้
ต้นฉบับได้
– เรื่อง หลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความให้
อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ พ.ศ. 2553
• กําหนดหลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความที่ได้มี
การจัดทําหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
– เรื่อง แนวทางการจัดทําแนวนโยบาย (Certificate Policy) และแนว
ปฏิบติ (Certification Practice Statement) ของผู้ให้บริการออก
ั
ใบรับรองอิเล็กทรอนิกส์ (Certificate Authority) พ.ศ. 2552
• ว่าด้วยการให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certificate)

8. กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553
• กําหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลส่วน
บุคคลของหน่วยงานของรัฐ พ.ศ. 2553
• กําหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ

9. กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทาง
อิเล็กทรอนิกส์ พ.ศ. 2551
• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครอง
สําหรับผู้ประกอบธุรกิจให้บริการการชําระเงินทางอิเล็กทรอนิกส์
พ.ศ. 2554
• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจ
บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552
• ประกาศ ธปท. ที่เกี่ยวข้อง

10. กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเล็กทรอนิกส์ และหลักเกณฑ์การ
ประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์ตามวิธีการแบบ
ปลอดภัย พ.ศ. 2555
• หลักเกณฑ์การประเมินเพื่อกําหนดระดับวิธีการแบบปลอดภัยขั้นต่ํา
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบ
สารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555
• กําหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ

11. สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยวิธการแบบปลอดภัยในการทํา
ี
ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ
2 ฉบับ)
ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ
จัดทําหรือแปลงเอกสารและข้อความให้อยู่
ในรูปของข้อมูลอิเล็กทรอนิกส์
• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
รักษาความมันคงปลอดภัยด้านสารสนเทศของ
่
หน่วยงานของรัฐ หน่วยงานของรัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ

12. หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
• สํานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สํานักงาน
ปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
• สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ
สพธอ.
– Electronic Transactions Development Agency (Public
Organization) - ETDA

13. “วิธีการแบบปลอดภัย”
• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
– “ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทําตามวิธีการแบบปลอดภัยที่
กําหนดในพระราชกฤษฎีกา ให้สนนิษฐานว่าเป็นวิธีการทีเชื่อถือได้
ั ่
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทาง
อิเล็กทรอนิกส์ พ.ศ. 2553
– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
– จําแนกตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์ (ธุรกรรมที่มีผลกระทบ
ต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน)
หรือจําแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็น
โครงสร้างพื้นฐานสําคัญของประเทศ หรือ Critical Infrastructure)

14. วิธีการแบบปลอดภัยในระดับเคร่งครัด
ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชําระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภัย
• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือ
ทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูล
สาธารณะ
• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่
ต้องดําเนินการอย่างต่อเนื่องตลอดเวลา

15. ระดับผลกระทบกับวิธีการแบบปลอดภัย
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมิน
ระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย
(ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน
– ต่ํา: ≤ 1 ล้านบาท
– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท
– สูง: > 100 ล้านบาท

16. ระดับผลกระทบกับวิธีการแบบปลอดภัย
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ
ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มส่วนได้เสียที่อาจได้รับอันตรายต่อ
ี
ชีวิต ร่างกาย หรืออนามัย
– ต่ํา: ไม่มี
– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน

17. ระดับผลกระทบกับวิธีการแบบปลอดภัย
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยี
สารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับ
ผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก
Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มส่วนได้เสียที่อาจได้รับความ
ี
เสียหายอื่นใด
– ต่ํา: ≤ 10,000 คน
– ปานกลาง: 10,000 < จํานวนผู้ได้รับผลกระทบ ≤ 100,000 คน
– สูง: > 100,000 คน
• ผลกระทบด้านความมั่นคงของรัฐ
– ต่ํา: ไม่มผลกระทบต่อความมั่นคงของรัฐ
ี
– สูง: มีผลกระทบต่อความมั่นคงของรัฐ

18. สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย
• พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
• พิจารณาตามระดับผลกระทบ
– ถ้ามีผลประเมินทีเป็นผลกระทบในระดับสูง 1 ด้าน ให้ใช้วิธการแบบปลอดภัย
่ ี
ระดับเคร่งครัด
– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง
– นอกจากนี้ ให้ใช้วธีการแบบปลอดภัยในระดับพื้นฐาน
ิ

19. ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
• อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -
Security techniques - Information security management
systems - Requirements
• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19
ธ.ค. 2555) คือ 14 ธ.ค. 2556
• ไม่มีบทกําหนดโทษ เป็นเพียงมาตรฐานสําหรับ “วิธีการที่เชื่อถือได้” ใน
การพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทาง
อิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้ําหนักการนําข้อมูล
อิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการ
ดําเนินการทางกฎหมาย
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่
รายชื่อหน่วยงานที่มีการจัดทํานโยบายและแนวปฏิบัติโดยสอดคล้องกับ
วิธการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้
ี

20. มาตรฐาน Security ตามวิธีการแบบปลอดภัย
• แบ่งเป็น 11 หมวด (Domains)
– Security policy
– Organization of information security
– Asset management
– Human resources security
– Physical and environmental security
– Communications and operations management
– Access control
– Information systems acquisition, development and
maintenance
– Information security incident management
– Business continuity management
– Regulatory compliance

21. มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพืนฐาน
้ ระดับกลาง ระดับสูง
(เพิ่มเติมจากระดับพืนฐาน)
้ (เพิ่มเติมจากระดับกลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition, 2 ข้อ 6 ข้อ 8 ข้อ
development and maintenance
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)

22. ระเบียบต่างๆ ของคณะฯ ด้าน Information Security
• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะ
แพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รบอนุญาตให้เข้าถึง
ั
ข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ป่วย พ.ศ. 2556

23. สรุป
• ภัยคุกคามด้านความปลอดภัยสารสนเทศ เพิ่มขึ้นมากในปัจจุบัน
• มีการกําหนดมาตรฐานด้านความปลอดภัยขององค์กรในกฎหมาย IT ของ
ไทย
• คณะฯ จําเป็นจะต้องปฏิบัติตามมาตรฐานดังกล่าวและกฎหมายที่
เกี่ยวข้อง โดยมีท้งเรื่องการดําเนินการทางนโยบาย และการดําเนินการ
ั
ในทางปฏิบัติ

24. ข้อเสนอเชิงนโยบายสําหรับคณะกรรมการบริหารคณะฯ
• รับทราบและเห็นความสําคัญถึงความจําเป็นในการปฏิบัติตามมาตรฐาน
ด้านความปลอดภัยสารสนเทศ
• ตระหนักว่า การขับเคลื่อนเรื่องมาตรฐานความปลอดภัยสารสนเทศ เป็น
ความรับผิดชอบของผู้บริหารและบุคลากรทุกคน
• เห็นชอบให้รองคณบดีฝ่ายสารสนเทศเป็นผู้ดําเนินการเรื่องมาตรฐานด้าน
ความปลอดภัยสารสนเทศ โดยให้ประสานงานกับผู้บริหารและหน่วยงาน
ที่เกี่ยวข้อง โดยขอให้ทุกหน่วยงานให้ความร่วมมือในการดําเนินการอย่าง
เต็มที่ เพื่อให้เป็นไปตามมาตรฐาน