Cybersecurity Self Assessment

แบบประเมินความเสี่ยง Cybersecurity ของโรงพยาบาล ด้วยตนเอง

แบบประเมินความเสี่ยงภัยไซเบอร์ด้วยตนเอง

[FORM#1] แบบประเมินตนเองตามเกณฑ์ CO-SIRT (ใช้งาน)

ชื่อสกุล ผู้ตอบแบบประเมิน

ตำแหน่ง

หมายเลขโทรศัพท์

เขตสุขภาพที่

จังหวัด

โรงพยาบาล

1. การสำรองข้อมูลจะต้องสำรองข้อมูลระบบ HIS หรือระบบสารสนเทศที่สำคัญของโรงพยาบาลเป็นอย่างน้อย

มีการสำรองข้อมูล

ไม่มีการสำรองข้อมูล

1.1 โดยมีรายละเอียดการสำรองข้อมูลดังนี้

	มี	ไม่มี
มีการสำรองข้อมูล 3 Copy
มีการใช้ 2 เทคโนโลยีในการจัดเก็บ HDD / Tape / External / Cloud
มีการ Backup OS / Backup Software HIS
มีการสำรองข้อมูลวันละครั้ง ย้อนหลังได้ 7 วัน
มีการสำรองข้อมูลแบบ Offsite หรือ Cloud 1 ชุด

2. Anti-Virus : ระบบป้องกันไวรัสในเครือข่าย ทั้งแบบ Server และ Client

มีการติดตั้ง NextGen Antivirus/EDR/XDR

ไม่มีการติดตั้ง NextGen Antivirus/EDR/XDR

2.1 รายละเอียดการติดตั้ง NextGen Antivirus/EDR/XDR

	มี	ไม่มี
มี NextGen Antivirus/EDR/XDR บนเครื่อง Server ทุกเครื่องใน รพ.
มี NextGen Antivirus/EDR/XDR บนเครื่อง Server HIS
มี NextGen Antivirus/EDR/XDR ในทุกเครื่อง Client

3. Access Control (Public และ Private) : การควบคุมอุปกรณ์หรือการเข้าถึงระบบผ่านทางช่องทาง Public/Private ทั้งภายในประเทศและต่างประเทศ

มี Firewall เพื่อใช้ในการควบคุม Access Control

ไม่มี Firewall

3.1 รายละเอียดการ Control Access

	มี	ไม่มี
องค์กรมีการใช้ Firewall หรืออุปกรณ์ควบคุมการเข้าถึงระบบสารสนเทศภายในเครือข่าย
องค์กรมีการกำหนด White list Port และไม่เปิด Port ที่มีความเสี่ยงโดนโจมตี
องค์กรมีการแบ่งโซน Network ระหว่าง Server และ Client
ในกรณีที่ต้องการ Access เข้า Server จาก Public ได้ทำการเข้าผ่าน VPN
องค์กรมีการใช้ Terminal server ในการเข้าถึง Server แทนที่ใช้ Computer ต้นทาง

4. องค์กรต้องมีการจัดการสิทธิพิเศษในการเข้าถึงระบบเทคโนโลยีสารสนเทศ โดยครอบคลุมระบบ HIS เป็นอย่างน้อย ซึ่งมีรายละเอียดดังนี้

มีการจัดการสิทธิ

ไม่มีการจัดการสิทธิ

4.1 รายละเอียดการจัดการสิทธิ

	มี	ไม่มี
องค์กรมีการ Disable Administrator/Root/Admin บนระบบเพื่อป้องกันการโจมตีประเภท Brute Force Password
องค์กรมีการกำหนดการเข้าถึงระบบตามสิทธิและหน้าที่ที่ได้รับหรือไม่ (User Right Matrix)
องค์กรมีการทบทวนสิทธิผู้ใช้งานอย่างน้อยปีละ 1 ครั้ง
องค์กรมีการตั้ง Password ให้ Complex ตามมาตรฐาน (10 ตัวอักษร ใหญ่ เล็ก อักขระพิเศษ)
มี Policy ในการเปลี่ยน Password อย่างน้อยทุก 3 เดือน

5. Business Continuity Plan (BCP) : แผนที่กำหนดแนวทางการดำเนินการของหน่วยงานเมื่อเกิดสภาวะวิกฤตหรือภัยต่าง ๆ ที่ส่งผลให้กระบวนการทำงานของหน่วยงานหยุดชะงัก เพื่อให้สามารถกลับมาดำเนินการได้อย่างต่อเนื่อง

มีการทำแผน BCP แล้ว

ยังไม่มีแผน BCP

5.1 รายละเอียดของการทำ BCP

	มี	ไม่มี
องค์กรมีการจัดทำรายงานขั้นตอนการดำเนินการแผนความต่อเนื่องทางธุรกิจ (แผน BCP) ที่ชัดเจนรวมถึงระยะเวลาและผู้เกี่ยวข้อง
การทำ BCP ครอบคลุม OS ของระบบ HIS หรือ Software HIS เป็นอย่างน้อย
องค์กรมีการทดสอบ BCP อย่างน้อยปีละ 1 ครั้ง

6. มีระบบ Disaster Recovery site (DR) ในกรณีฉุกเฉินที่ระบบหลักมีปัญหาและไม่สามารถใช้งานได้ โดยจะต้องมี DR-Site โดยยึดจากมาตรฐาน ISO27001 และนำมาปรับใช้งาน (ยังไม่อยู่ในเกณฑ์ประเมิน)

มี DR Site แล้ว

ไม่มี DR Site

7. OS Patching : : การแก้ไขจุดบกพร่อง (Patch) ของระบบปฏิบัติการ (OS) หรือปรับปรุงระบบปฏิบัติการให้ทันสมัย และเพิ่มเติมความสามารถในการใช้งานหรือประสิทธิภาพให้ดีขึ้น

องค์กรมีการ update Security Patch สำหรับ OS ของระบบ HIS อย่างน้อย 6 เดือนครั้งหรือทันทีหากมี Critical patch

ไม่มีการอัปเดต Patch

8. Multi-Factor Authentication (2FA) : การยืนยันตัวตน 2 ชั้น เป็นการเข้าสู่ระบบบัญชีแบบหลายขั้นตอนที่กำหนดให้ผู้ใช้ป้อนข้อมูลเพิ่มเติมนอกเหนือจากรหัสผ่าน

ทำการเปิด MFA แล้ว

ยังไม่ได้ทำการเปิด MFA

8.1 รายละเอียดการเปิด MFA

	มี	ไม่มี
หากองค์กรมีการใช้ VPN ได้ทำการเปิด 2FA แล้ว
องค์กรมีการใช้ 2FA ครอบคลุม OS ของระบบ HIS หรือ Software HIS เป็นอย่างน้อย

9. Web Application Firewall (WAF) : : ระบบป้องกันการโจมตีทางไซเบอร์สำหรับเว็บแอพพลิเคชั่นโดยเฉพาะ เพื่อป้องกันการโจมตีไปยังระบบเว็บแอพพลิเคชั่นขององค์กร

มีการใช้ WAF ในรูปแบบ Cloud Security ตามมาตรฐาน OWASP Top 10

ไม่ได้ใช้งาน เพราะไม่มี Website/Web Application

ไม่มี WAF

10. Log Management : การจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์

องค์กรมีระบบจัดเก็บ Log อินเตอร์เน็ตและคอมพิวเตอร์ตาม พรบ. อย่างน้อย 90 วัน

ไม่มี/อยู่ระหว่างดำเนินการ

11. Security Information & Event Management (SIEM) : : ระบบที่ใช้ในการจัดการกับ Log และ Event ต่าง ๆ ที่คอยทำหน้าที่วิเคราะห์หาความเชื่อมโยงของ Event ต่าง ๆ ที่เกี่ยวข้องกับความปลอดภัยทั้งหมด ไปจนถึงการ Alert ระบุตำแหน่งของภัยคุกคามให้ทราบ เมื่อมีEvent ที่ผิดปกติ ทำให้สามารถป้องกัน และตอบสนองภัยคุกคามได้อย่างรวดเร็ว

องค์กรมีระบบ Security Information & Event Management (SIEM) เพื่อนำมาวิเคราะห์พฤติกรรม Cyber Attack บนระบบที่ให้บริการในระดับ Infrastructure และ OS

ไม่มี/อยู่ระหว่างดำเนินการ

12. Vulnerability Assessment (VA Scan) : : การตรวจสอบช่องโหว่ของระบบ เพื่อให้ทราบถึงความเสี่ยง จุดอ่อน และระดับความรุนแรงของผลกระทบที่อาจเกิดขึ้นจากการถูกโจรกรรมข้อมูลและการโจมตีทางไซเบอร์

มีการทำ VA Scan แล้ว

ยังไม่ได้ดำเนินการ/อยู่ระหว่างดำเนินการ

12.1 รายละเอียดการทำ VA Scan

	มี	ไม่มี
องค์กรมีการตรวจสอบช่องโหว่ หรือทำ VA Scan โดยครอบคลุม OS ของระบบ HIS หรือ Software HIS เป็นอย่างน้อย
หากพบช่องโหว่จากการ Scan แล้วมีการสรุปเป็นรายงานเพื่อนำไปสู่กระบวนการพิจารณาปิดช่องโหว่

13. Software Update : : การตรวจสอบ Version ของ Software ให้เป็น Version Update ล่าสุด เพื่อปิดช่องโหว่ที่เกิดขึ้นใน Software Version ก่อนหน้า

มีการ update Software ของระบบ HIS เป็นอย่างน้อย

ยังไม่ได้มีการอัปเดต Software

14. Penetration Testing : : การทดสอบการเจาะระบบ

มีการทำ Pentest แล้ว

ยังไม่มีการทำ Pentest

14.1 รายละเอียดการทำ Pentest

	มี	ไม่มี
องค์กรมีการทดสอบเจาะระบบ หรือทำ Penetration Test อย่างน้อยปีละ 1 ครั้ง
มีการสรุปผลการทดสอบเป็นรายงานเพื่อพิจารณาปรับปรุงความปลอดภัยของระบบ
ทำการแก้ไขช่องโหว่ระดับ Severity Critical และ High แล้ว (ถ้ามี)