ด้านที่ 9 การรักษาความมั่นคงปลอดภัยไซเบอร์

ประกาศกระทรวงสาธารณสุข 
1. เรื่อง นโยบายและแนวทางปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของกระทรวงสาธารณสุข พ.ศ. 2565

ประกาศงานเทคโนโลยีสารสนเทศ
1. แผนแม่บทศูนย์เทคโนโลยีสารสนเทศ (Information Technology Master Plan) โรงพยาบาลศรีสัชนาลัย จังหวัดสุโขทัย (พ.ศ. 2565 – 2569) 
2. แนวทางการเผยแพร่ข้อมูลต่อสาธารณะ ผ่านเว็บไซต์ โรงพยาบาลศรีสัชนาลัย
3. แนวทางปฏิบัติด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ โรงพยาบาลศรีสัชนาลัย
4. ประกาศนโยบายรักษาความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ พ.ศ. 2565 
5. ระเบียบโรงพยาบาลศรีสัชนาลัยว่าด้วยการบริหารจัดการระบบเทคโนโลยีสารสนเทศ พ.ศ. 2565

ด้าน 9 ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
1.โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ

1.1  มีการจัดทีมดูแลระบบสารสนเทศของโรงพยาบาลประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ
1.2  มีการจัดทำแผนแม่บทหรือแผนพัฒนาของโรงพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศไว้อย่างชัดเจน
1.3  มีนโยบายและแผนการปฏิบัติด้านเทคโนโลยีสารสนเทศของโรงพยาบาล
1.4  มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของโรงพยาบาลที่เหมาะสม
1.5  มีการกำหนดมาตรฐานด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกับมาตรฐานของประเทศหรือมาตรฐานสากล ได้แก่ มาตรฐานข้อมูล มาตรฐานรหัสข้อมูล มาตรฐานการปฏิบัติงาน มาตรฐานความปลอดภัยและความลับของผู้ป่วย มาตรฐานระบบเครือข่ายคอมพิวเตอร์ มาตรฐานทางกายภาพและสภาพแวดล้อม

2. การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ
2.1  มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย
2.2  มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน
2.3  มีการดำเนินการตามแผนจัดการความเสี่ยง

3. การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ
3.1 มีการจัดทำนโยบายและระเบียบปฏิบัติด้านความมั่นคงปลอดภัยในระบบ IT
3.2 มีนโยบายและระเบียบปฏิบัติที่อนุญาตให้เฉพาะผู้ที่รับผิดชอบดูแลรักษาผู้ป่วยในช่วงเวลาปัจจุบันเท่านั้นที่จะเข้าถึงข้อมูลผู้ป่วยรายนั้นได้
3.3 มีนโยบายและระเบียบปฏิบัติที่ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน
3.4 มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติให้บุคลากรทุกคนได้รับทราบ

4. การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ
4.1 มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, บุคลากร
4.2 มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network
4.3 มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของบุคลากรด้าน IT ทุกคน ประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล
4.4 มีการดำเนินการตามแผนเพิ่มสมรรถนะและศักยภาพ (Hardware, software, network) และ มีการประเมิน วิเคราะห์ผลการดำเนินตามแผน
4.5 มีการนำผลการวิเคราะห์มาปรับปรุงแผนเพิ่มศักยภาพให้ดีขึ้น

5. การจัดการห้อง Data Center
5.1 มีการจัดการ Data Center ของโรงพยาบาลให้มีความมั่นคงปลอดภัย
5.2 ห้อง สถานที่ และสิ่งแวดล้อมต้องจัดให้มีความปลอดภัยจากบุคคลภายนอก
5.3 มีระบบป้องกันอัคคีภัย ได้แก่ ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงและระบบดับเพลิงอัตโนมัติ
5.4 มีระบบป้องกันความเสียหายของข้อมูลและระบบ ซึ่งรวมถึง ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server
5.5 มีการวิเคราะห์ความเหมาะสม มาตรฐาน ความเสี่ยงและความคุ้มค่าในการเลือกใช้อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย ห้อง Data Center

Translate »