2. 22
S: Social Media and Communication
S 1 Security and Privacy of Information
S 2 Social Media and Communication
Professionalism
Personnel Safety Goals: S in SIMPLE
3. 33
S 1: Security and Privacy of Information
• ข้อมูลส่วนบุคคล (Personal Information) หมายถึง
ข้อมูลของบุคคลหรือเกี่ยวกับบุคคล ที่สามารถระบุตัว
บุคคลนั้นได้ หรือเข้าใจได้ว่าหมายถึงข้อมูลของบุคคลใด
ทั้งที่อยู่ในรูปแบบเอกสารและอิเล็กทรอนิกส์
4. 44
S 1: Security and Privacy of Information
• ความมั่นคงปลอดภัยสารสนเทศ (Information Security)
หมายถึง การคุ้มครองป้องกันข้อมูลและระบบสารสนเทศของ
บุคคลหรือองค์กร จากการถูกเข้าถึง ใช้ เปิดเผย แก้ไข ทาลาย
หรือระงับการใช้งานโดยไม่ได้รับอนุญาต (CIA: Confidentiality,
Integrity, Availability)
• ความเป็นส่วนตัว (Privacy) ของข้อมูลสารสนเทศ หมายถึง การ
คุ้มครองข้อมูลส่วนบุคคล เพื่อให้การเข้าถึง ใช้ และเปิดเผยข้อมูล
สารสนเทศดังกล่าว เป็นไปตามความประสงค์และความยินยอม
ของผู้นั้น ยกเว้นกรณีปฏิบัติตามกฎหมาย
6. 66
S 1: Security and Privacy of Information: Why?
• ลดความเสี่ยงที่จะเกิดความเสียหายต่อสถานพยาบาล
และผู้ให้บริการเอง ไม่ว่าจะเป็นผลกระทบในด้านการ
ให้บริการหรือผลกระทบต่อตัวบุคคล
• ข้อมูลส่วนบุคคลของผู้รับบริการ ถือเป็นความลับของ
ผู้รับบริการที่ผู้ให้บริการมีหน้าที่ทางจริยธรรมในการ
คุ้มครองป้องกัน
7. 77
S 1: Security and Privacy of Information: Process
• Policy & Regulations: นโยบายและระเบียบปฏิบัติที่
เหมาะสมด้านความมั่นคงปลอดภัยสารสนเทศและความ
เป็นส่วนตัว ที่มีการสื่อสารทาความเข้าใจภายในองค์กร
อย่างทั่วถึง
• Risk Management: มีการประเมิน จัดการ และติดตาม
ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศและความ
เป็นส่วนตัวอย่างเหมาะสม
8. 88
S 1: Security and Privacy of Information: Process
• Security Measures: มีมาตรการคุ้มครองป้องกันด้าน
ความมั่นคงปลอดภัยสารสนเทศ ของระบบสารสนเทศที่มี
ข้อมูลส่วนบุคคลเกี่ยวกับบุคลากรหรือผู้ป่วย ในด้าน
– Physical Security
– Administrative Security
– User Security
– Network Security
– System Security
– Data Security
9. 99
S 1: Security and Privacy of Information: Process
• Privacy Measures: มีมาตรการคุ้มครองความเป็น
ส่วนตัว (Privacy) ของข้อมูลสารสนเทศ ทั้งที่เป็นข้อมูล
ส่วนบุคคลเกี่ยวกับบุคลากร และข้อมูลสุขภาพของผู้ป่วย
– Informed Consent
– Access Control according to Need-To-Know Basis
– Privacy in Paper Documents
– Privacy Protection in Secondary Use of Data
11. Alice
Simplified Attack Scenarios
Server Bob
- Physical access to client computer
- Electronic access (password)
- Tricking user into doing something
(malware, phishing & social
engineering)
Eve/Mallory
12. Alice
Simplified Attack Scenarios
Server Bob
- Intercepting (eavesdropping or
“sniffing”) data in transit
- Modifying data (“Man-in-the-middle”
attacks)
- “Replay” attacks
Eve/Mallory
13. Alice
Simplified Attack Scenarios
Server Bob
- Unauthorized access to servers through
- Physical means
- User accounts & privileges
- Attacks through software vulnerabilities
- Attacks using protocol weaknesses
- DoS / DDoS attacks Eve/Mallory
14. Alice
Safeguarding Against Attacks
Server Bob
Administrative Security
- Security & privacy policy
- Governance of security risk management & response
- Uniform enforcement of policy & monitoring
- Disaster recovery planning (DRP) & Business continuity
planning/management (BCP/BCM)
- Legal obligations, requirements & disclaimers
15. Alice
Safeguarding Against Attacks
Server Bob
Physical Security
- Protecting physical access of clients & servers
- Locks & chains, locked rooms, security cameras
- Mobile device security
- Secure storage & secure disposition of storage devices
16. Alice
Safeguarding Against Attacks
Server Bob
User Security
- User account management
- Strong p/w policy (length, complexity, expiry, no meaning)
- Principle of Least Privilege
- “Clear desk, clear screen policy”
- Audit trails
- Education, awareness building & policy enforcement
- Alerts & education about phishing & social engineering
17. Alice
Safeguarding Against Attacks
Server Bob
System Security
- Antivirus, antispyware, personal firewall, intrusion
detection/prevention system (IDS/IPS), log files, monitoring
- Updates, patches, fixes of operating system vulnerabilities &
application vulnerabilities
- Redundancy (avoid “Single Point of Failure”)
- Honeypots
18. Alice
Safeguarding Against Attacks
Server Bob
Software Security
- Software (clients & servers) that is secure by design
- Software testing against failures, bugs, invalid inputs,
performance issues & attacks
- Updates to patch vulnerabilities
19. Alice
Safeguarding Against Attacks
Server Bob
Network Security
- Access control (physical & electronic) to network devices
- Use of secure network protocols if possible
- Data encryption during transit if possible
- Bandwidth monitoring & control
20. Alice
Safeguarding Against Attacks
Server Bob
Database Security
- Access control to databases & storage devices
- Encryption of data stored in databases if necessary
- Secure destruction of data after use
- Access control to queries/reports
- Security features of database management systems (DBMS)
22. 2222
S 1: Security and Privacy of Information: Indicators
• มีนโยบายและระเบียบปฏิบัติที่เหมาะสม
• มีการประเมิน แผน และผลการจัดการความเสี่ยงด้านความมั่นคง
ปลอดภัยสารสนเทศและความเป็นส่วนตัวของข้อมูลสารสนเทศ
• สัดส่วนของบุคลากรที่ได้รับการอบรมสร้างความตระหนัก
(Security Awareness Training)
• จานวนอุบัติการณ์ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
และความเป็นส่วนตัวของข้อมูลสารสนเทศที่เกิดขึ้นใน
สถานพยาบาล
23. 2323
S 1: Security and Privacy of Information: Pitfalls
• เน้นเรื่องการจัดหาเทคโนโลยี แต่ไม่ให้
ความสาคัญกับกระบวนการหรือบุคลากร
• แผนการจัดการความเสี่ยงไม่สอดคล้องกับ
ความเสี่ยงที่ถูกประเมิน หรือการจัดการ
ความเสี่ยงไม่เป็นไปตามแผนหรือไม่มี
ประสิทธิภาพ
• ให้ความสาคัญเฉพาะข้อมูลอิเล็กทรอนิกส์
ในระบบสารสนเทศ แต่ไม่ให้ความสาคัญ
กับข้อมูลส่วนบุคคลในเอกสาร
Technology
ProcessPeople
24. 2424
S: Social Media and Communication
S 1 Security and Privacy of Information
S 2 Social Media and Communication
Professionalism
Personnel Safety Goals: S in SIMPLE
26. 2626
S 2: Social Media: Process
• สถานพยาบาลมีแนวทางปฏิบัติเกี่ยวกับการใช้งาน Social Media
และสื่ออื่นๆ ของบุคลากร ทั้งที่เป็นผู้ประกอบวิชาชีพที่มีกฎหมาย
ควบคุม และบุคลากรอื่นของสถานพยาบาล (ทั้งที่ใช้งานในนาม
ส่วนตัวหรือในนามองค์กร) ที่เหมาะสมกับบริบทขององค์กร โดย
อาจนาแนวทางปฏิบัติที่เป็น Best Practices มาปรับใช้
• สถานพยาบาลมีการสื่อสารทาความเข้าใจแนวทางปฏิบัติดังกล่าว
ภายในองค์กรอย่างทั่วถึง
36. 3636
S 2: Social Media: Process
สถานพยาบาลมีการเฝ้าระวังและกระบวนการสื่อสารใน
ภาวะวิกฤต (Crisis Communication) ซึ่งรวมถึงการ
ตอบสนองในกรณีที่มีเหตุที่อาจส่งผลกระทบด้านลบต่อ
ชื่อเสียง ภาพลักษณ์ และความเชื่อมั่นขององค์กรในวงกว้าง
ที่เหมาะสม คล่องตัว และมีประสิทธิภาพ
37. 3737
S 2: Social Media: Process
สถานพยาบาลมีการเฝ้าระวังและกระบวนการสื่อสารใน
ภาวะวิกฤต (Crisis Communication) ซึ่งรวมถึงการ
ตอบสนองในกรณีที่มีเหตุที่อาจส่งผลกระทบด้านลบต่อ
ชื่อเสียง ภาพลักษณ์ และความเชื่อมั่นขององค์กรในวงกว้าง
ที่เหมาะสม คล่องตัว และมีประสิทธิภาพ
38. 3838
S 2: Social Media: Indicators
• มีแนวทางปฏิบัติเกี่ยวกับการใช้งาน Social Media
• สัดส่วนของบุคลากรที่มีความตระหนักต่อการใช้งานสื่อ
สังคมออนไลน์และสื่อต่างๆ อย่างเหมาะสมและมีความ
เป็นมืออาชีพ
• จานวนอุบัติการณ์ความเสี่ยงด้านการใช้งานสื่อสังคม
ออนไลน์ที่ส่งผลกระทบต่อบุคลากรหรือองค์กรที่สามารถ
ป้องกันได้
56. 5656
Social Media Case Study
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
57. 5757
Social Media Case Study
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
60. 6060
Social Media Case Study #1: พฤติกรรมไม่เหมาะสม
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา
61. 6161
Social Media Case Study #1: พฤติกรรมไม่เหมาะสม
Disclaimer (นพ.นวนรรน):
นาเสนอเป็นกรณีศึกษาเพื่อการเรียนรู้
เรื่อง Social Media เท่านั้น ไม่มี
เจตนาลบหลู่ ดูหมิ่น หรือทาให้ผู้ใด
องค์กรใด หรือวิชาชีพใดเสียหาย
โปรดใช้วิจารณญาณในการอ่านเนื้อหา