ด้านที่ 9 ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

ระบบประเมินมาตรฐานระบบบริการสุขภาพ
โรงพยาบาลแคนดง
  ด้านที่ 9 ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ ค่าถ่วงน้ำหนัก
100%		 คะแนน
%
1  โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ 20.00 20.00
2  การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ 20.00 20.00
3  การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ 20.00 20.00
4  การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ 20.00 20.00
5  การจัดการห้อง Data Center 20.00 20.00
      100.00

 

 

 ลำดับ

เอกสารเกณฑ์การประเมิน

 1

โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ
1.1 มีการจัดทีมดูแลระบบสารสนเทศของโรงพยาบาลประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ
1.2 มีการจัดทำแผนแม่บทหรือแผนพัฒนาของโรงพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศไว้อย่างชัดเจน
1.3 มีนโยบายและแผนการปฏิบัติด้านเทคโนโลยีสารสนเทศของโรงพยาบาล
1.4 มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของโรงพยาบาลที่เหมาะสม
1.5

มีการกำหนดมาตรฐานด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกับมาตรฐานของประเทศหรือมาตรฐานสากล ได้แก่ มาตรฐานข้อมูล มาตรฐานรหัสข้อมูล

มาตรฐานการปฏิบัติงาน มาตรฐานความปลอดภัยและความลับของผู้ป่วย มาตรฐานระบบเครือข่ายคอมพิวเตอร์ มาตรฐานทางกายภาพและสภาพแวดล้อม

2

การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ
2.1  มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย
2.2  มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน
2.3  มีการดำเนินการตามแผนจัดการความเสี่ยง
2.4  มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงาน
2.5  มีการนำผลการประเมินการดำเนินการจัดการความเสี่ยงมาปรับแผนการจัดการความเสี่ยงให้ดีขึ้น

3

 การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ
3.1  มีการจัดทำนโยบายและระเบียบปฏิบัติด้านความมั่นคงปลอดภัยในระบบ IT
3.2  มีนโยบายและระเบียบปฏิบัติที่อนุญาตให้เฉพาะผู้ที่รับผิดชอบดูแลรักษาผู้ป่วยในช่วงเวลาปัจจุบันเท่านั้นที่จะเข้าถึงข้อมูลผู้ป่วยรายนั้นได้
3.3  มีนโยบายและระเบียบปฏิบัติที่ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน
3.4  มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติให้บุคลากรทุกคนได้รับทราบ
3.5  มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยอย่างเคร่งครัด
3.6  มีการประเมินผลการปฏิบัติตามระเบียบปฏิบัติและนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติต่อไป

4

 การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ
4.1  มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, บุคลากร
4.2  มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network
4.3  มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของบุคลากรด้าน IT ทุกคน ประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล
4.4  มีการดำเนินการตามแผนเพิ่มสมรรถนะและศักยภาพ (Hardware, software, network) และ มีการประเมิน วิเคราะห์ผลการดำเนินตามแผน
4.5 มีการจัดทำทะเบียนทรัพย์สินด้านสารสนเทศที่เกี่ยวข้องกับบริการที่สำคัญ (Critical services) ของหน่วยงาน
4.6  มีการนำผลการวิเคราะห์มาปรับปรุงแผนเพิ่มศักยภาพให้ดีขึ้น

5

 การจัดการห้อง Data Center
5.1 กำหนดมาตรการการรักษาความปลอดภัยทางกายภาพ การทบทวนสิทธิ์บุคลากรที่ได้รับอนุญาตให้เข้าถึง Data Center และการกำหนดหน้าที่ความรับผิดชอบในการดูแล Data Center ของหน่วยงาน
5.2 การกำหนดรอบการสำรองข้อมูล และการทดสอบการกู้คืนข้อมูล รวมถึงป้องกันสื่อบันทึกการสำรองข้อมูลจากความเสียหายและการสูญหาย และการเข้าถึงโดยไม่ได้รับอนุญาต
5.3 มีระบบป้องกันอัคคีภัย เช่น ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงหรือระบบดับเพลิงอัตโนมัติ ให้เหมาะสมกับความเสี่ยง
5.4 มีมาตรการหรือระบบป้องกันความเสียหายของข้อมูล และระบบ เช่น ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server ให้เหมาะสมกับความเสี่ยง
5.5 มีระบบเฝ้าระวัง และรักษาความมั่นคงปลอดภัยทางกายภาพ Data Center ของหน่วยงาน

6

การตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ และแผนการรับมือภัยคุกคามทางไซเบอร์
6.1 จัดให้มีการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit Plan) อย่างน้อยปีละ 1 ครั้ง โดยมีผู้ตรวจสอบภายใน หรือ ภายนอกที่มีความรู้ความสามารถ และจัดทำรายงานผลต่อผู้บริหารที่เกี่ยวข้อง
6.2 จัดให้มีแผนการรับมือภัยคุกคามทางไซเบอร์ (Incident Response Plan) และแจ้งผู้เกี่ยวข้องรับทราบ
6.3 มีการฝึกซ้อม และทบทวนแผนการรับมือภัยคุกคามทางไซเบอร์ (INCIDENT RESPONSE PLAN) อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ
นโยบายคุกกี้ (Cookie Policy)

นโยบายนี้จะให้ข้อมูลเกี่ยวกับคุกกี้ประเภทต่าง ๆ และเทคโนโลยีที่คล้ายกัน ซึ่งมีการใช้งานบนเว็บไซต์ เว็บไซต์ที่แสดงบนอุปกรณ์มือถือ และแอปพลิเคชัน (ต่อไปเรียกรวมกันว่า “เว็บไซต์”) ซึ่งควบคุมและจัดการโดยโรงพยาบาลแคนดง (ต่อไปเรียกว่า “โรงพยาบาลแคนดง”) โดยนโยบายนี้จะอธิบายว่าโรงพยาบาลแคนดงใช้คุกกี้อย่างไร เพื่ออะไร และท่านสามารถควบคุมคุกกี้อย่างไร ซึ่งนโยบายนี้จะใช้ควบคู่ไปกับข้อตกลงการใช้บริการ และนโยบายความเป็นส่วนบุคคล

นโยบายคุกกี้ (Cookie Policy) ยอมรับ