Data Security Data Management Unit Research Institute for Health Sciences, Chiang Mai University January 15, 2014

วัตถุประสงค์ เพื่อให้บุคลากรที่ปฏิบัติงานด้านข้อมูลและผู้ที่เกี่ยวข้องตระหนัก ถึงความสำคัญด้านการดูแลรักษา การป้องกันด้านการเข้าถึง ฐานข้อมูลการรักษาความปลอดภัยของข้อมูลวิจัย ตลอดจน อุปกรณ์และเครื่องมือที่ใช้ในการจัดเก็บข้อมูล มีความเข้าใจและ สามารถปฏิบัติงานได้ตรงตามแนวทางที่หน่วยงานที่ให้ทุนวิจัย เช่น NIH กำหนด

Data Security Physical Security Logical Security Limiting access to document/computer server Room. All computer servers are stored in a separate room with 24-hour air conditioning and access to the room is by electronic security code ; Finger scan. Individual UPS for electrical power backup. Logical Security Computer systems are protected by a Firewall security system which provides internet protection and stores usage data according to the Computer Crime Act law. Backup ; System backup, File/Database backup (type of media backup ; Tape, DVD, External storage, etc.) Limiting access to authorized personnel ; Authentication, Password Policy, Data Encryption

Electronic Data Security Database security Data transfer security Portable electronic device security

Database Security มีการควบคุมการเข้าถึงฐานข้อมูลวิจัย เฉพาะผู้ที่เกี่ยวข้องกับ โครงการและได้รับการอนุญาตจากหัวหน้าโครงการ มีรหัสผ่าน ในการเข้าถึงฐานข้อมูลวิจัย ข้อมูลวิจัยที่บันทึกลงในแบบฟอร์มจะใช้หมายเลขอาสาสมัคร เป็นหมายเลขอ้างอิง ไม่มีการบันทึกข้อมูลที่ระบุถึงตัว อาสาสมัครลงในแบบฟอร์มที่ใช้บันทึกข้อมูลวิจัย

Database Security (ต่อ) ข้อมูลส่วนตัวเช่น ชื่อ ที่อยู่ หมายเลขบัตรประชาชน ซึ่งสามารถ ใช้ระบุถึงตัวอาสาสมัครได้ ต้องจัดเก็บแยกไว้ต่างหาก จะไม่ รวมอยู่กับฐานข้อมูลวิจัย ข้อมูลวิจัยจะถูกจัดเก็บในรูปแบบไฟล์ เก็บสำรองข้อมูลไว้ใน เครื่องคอมพิวเตอร์ที่กำหนดเป็น Database Server มีการติดตั้งโปรแกรมป้องกัน Virus Update โปรแกรมสม่ำเสมอ

การควบคุมและป้องกันการเข้าถึงฐานข้อมูล กำหนดระบบการป้องกันไว้ 4 ระดับ ระดับ 1 การ Login ผ่าน Work Station ต้องใช้รหัสผ่าน ระดับ 2 ผู้ใช้ฐานข้อมูลต้องลงทะเบียน มีการกำหนดรหัสผ่าน จึงจะมีสิทธิใช้ฐานข้อมูลนั้นๆ ได้ ระดับ 3 การเข้าถึงฐานข้อมูลสามารถทำงานได้เฉพาะโครงการที่ เกี่ยวข้องและได้รับอนุญาตเท่านั้น ระดับ 4 ผู้ใช้งานจะได้รับการกำหนดระดับการทำงานในแต่ละ โครงการ

การกำหนดชื่อผู้ใช้ (User Names) User Name ใดถ้าไม่มีการใช้งาน ไม่สามารถนำ User Name ดังกล่าวไปให้ผู้อื่น ใช้ได้ ถ้าไม่มีการใช้งานภายหลังการ Log On เกินกว่า 10 นาที เครื่องฯ จะมีการ Log Off โดยอัตโนมัติ ในกรณีที่ User ไม่มีการใช้งานเกินกว่า 30 วัน ระบบจะทำการตัดสิทธิ์การใช้งาน อัตโนมัติ ในกรณีที่ผู้ใช้มีการ Log On เข้าระบบอีกครั้งจากสถานที่อีกแห่งหนึ่ง โดยที่ยังไม่มีการ Log Off จากที่เข้าครั้งแรก ผู้ใช้ดังกล่าวจะไม่สามารถ Log On ได้ ทั้งนี้เพื่อเป็นการ ป้องกันการใช้งานซ้ำซ้อน ในกรณีที่มีการกรอก User name และ Password ผิดเกินกว่า 3 ครั้ง เครื่องฯ จะทำ การปิดโปรแกรมอัตโนมัติ

การกำหนดรหัสผ่าน(Password) ประกอบด้วยตัวเลข และตัวอักษรอย่างน้อย 8 ตัวอักษร ขึ้นต้นด้วยตัวอักษร และจะตามด้วยตัวเลขหรือตัวอักษรปนกันก็ได้ มีการเปลี่ยนแปลงอย่างน้อยทุกๆ 90 วัน Password เดิมที่เคยใช้ ไม่ควรนำกลับมาใช้ใหม่(อย่างน้อย 1 ปี) ได้รับการเข้ารหัส (Encrypted) ก่อนนำเข้า และจัดเก็บ รหัสชั่วคราว (Temporary Password) ต้องไม่มีการซ้ำกัน รหัสชั่วคราวต้องได้รับการเปลี่ยน(ภายใน 24 ชม.)ถ้ามีการ Log On ครั้งต่อไป จะต้องเก็บรักษารหัสผ่านเป็นความลับ และต้องไม่ให้ผู้อื่นทราบ หรือใช้โดย เด็ดขาด

Data Transfer Security ต้องทราบแหล่งที่รับข้อมูลปลายทาง ก่อนส่งข้อมูลต้องมีการติดต่อ ยืนยันการรับ-ส่งข้อมูลทุกครั้ง ข้อมูลที่ส่งจะอยู่ในรูปแบบที่สามารถเรียกใช้งานได้เช่น ASCII, Excel, SAS มีระบบป้องกันการเข้าถึงฐานข้อมูลด้วยการ เข้ารหัสในการเรียกใช้ข้อมูล ข้อมูลที่นำเข้าด้วยระบบการจัดการข้อมูลด้วยโปรแกรม DataFax การส่งข้อมูลปฏิบัติตาม SOP RIHES-G

Data Transfer Security(ต่อ) ข้อมูลที่นำเข้าด้วยระบบการจัดการข้อมูลด้วยโปรแกรม e- Data การส่งข้อมูลปฏิบัติตามคู่มือที่กำหนดโดย DMC, Frontier Science Foundation ข้อมูลที่ส่งจะประกอบด้วยหมายเลขอาสาสมัครเท่านั้น