กรณีศึกษา: โมเดลทางด้านเทคนิคสำหรับวิธีการประเมินความเสี่ยงความมั่นคงปลอดภัยในระบบสารสนเทศสำหรับโรงพยาบาล
Abstract
บทคัดย่อ
ปัจจุบันการประเมินและจัดลำดับระดับความเสี่ยงความมั่นคงปลอดภัยสารสนเทศสำหรับโรงพยาบาลในประเทศไทยยังไม่มีขั้นตอนหรือเทคนิคที่เป็นมาตรฐาน ดังนั้นในงานวิจัยนี้ผู้วิจัยได้ทำการศึกษาและประยุกต์แนวปฏิบัติรวมถึงมาตรฐานสากลที่เกี่ยวข้องกับการประเมินความเสี่ยงสารสนเทศ และการทดสอบประเมินความมั่นคงปลอดภัยสารสนเทศโดยการประเมินหาช่องโหว่ (Vulnerability Assessment) ด้วยวิธีการใช้เครื่องมือทางเทคนิคเพื่อช่วยในการตรวจสอบประเมิน และนำไปสู่ขั้นตอนการกำหนดโมเดลการประเมินระดับความมั่นคงปลอดภัยสารสนเทศที่สอดคล้องต่อบริบทสารสนเทศสำหรับโรงพยาบาล โดยจากการทดสอบประเมินด้วยโมเดลและวิธีการทางเทคนิคที่ถูกพัฒนาขึ้นพบว่าผลการประเมินมีระดับความเสี่ยงความมั่นคงปลอดภัยสารสนเทศแปรผันตรงตามปัจจัยผลกระทบธุรกิจที่หน่วยงานกำหนดเพื่อให้สอดคล้องและสะท้อนต่อสภาพแวดล้อมจริงของสารสนเทศสำหรับโรงพยาบาล
คำสำคัญ: โมเดลประเมินความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ ระดับความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ ระดับความมั่นคงปลอดภัยสารสนเทศโรงพยาบาล
Abstract
In Thailand, there have not been standard processes or techniques of evaluating and assessing security risk for hospital information system. The researcher has studied and applied a practice and universal standard of security risk assessment in information system by using vulnerability scanning and penetration testing technique for evaluating risk level. This leads to a step of defining a suitable model of security risk assessment in the context of hospital information system. By using the proposed model and technique to assess security risk, it is found that the risk level is a direct variation to a business impact factor that is determined by a hospital in order to reflect an environment of information system.
Keywords: Security Risk Assessment Model, Security Risk Rating, Hospital Security Rating
ISSN: 2985-2145