ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

 1.โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ

1.1 มีการจัดทีมดูแลระบบสารสนเทศของโรงพยาบาลประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ

>> คำสั่งคณะกรรมการ MIS

>> คำสั่คณะกรรมการ บริหารความเสี่ยงด้านสารสนเทศ

>> คณะกรรมการดิจิทัล

1.2 มีการจัดทำแผนแม่บทหรือแผนพัฒนาของโรงพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศไว้อย่างชัดเจน 

>> แผนยุทธศาสตร์ โรงพยาบาลเวียงแก่น ปี 2566

1.3 มีนโยบายและแผนการปฏิบัติด้านเทคโนโลยีสารสนเทศของโรงพยาบาล 

>> นโยบายความแนวทางปฏิบัติในการรักษาความปลอดภัยด้านสารสนเทศ

1.4 มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของโรงพยาบาลที่เหมาะสม 

>> ผังโครงสร้างบุคลากร งานสารสนเทศ

>> บทบาทหน้าที่ความรับผิดชอบในงานสารสนเทศ

1.5 มีการกำหนดมาตรฐานด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกับมาตรฐานของประเทศหรือมาตรฐานสากล ได้แก่ มาตรฐานข้อมูล มาตรฐานรหัสข้อมูล มาตรฐานการปฏิบัติงาน มาตรฐานความปลอดภัยและความลับของผู้ป่วย มาตรฐานระบบเครือข่ายคอมพิวเตอร์ มาตรฐานทางกายภาพและสภาพแวดล้อม

>> มาตราฐานสารสนเทศ โรงพยาบาลเวียงแก่น

 


2.การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ

2.1 มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย 

>> การให้คะแนนความเสี่ยงของระบบสารสนเทศ

2.2 มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน 

>> แผนบริหารความเสี่ยงด้านระบบเทคโนโลยีสารสนเทศ

2.3 มีการดำเนินการตามแผนจัดการความเสี่ยง  

>> การบำรุงรักษาคอมฯ ปี 2565

2.4 มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็น 

>> ระบบติดตาม วิเคราะห์ และ จัดการความเสี่ยง

2.5 มีการนำผลการประเมินการดำเนินการจัดการความเสี่ยงมาปรับแผนการจัดการความเสี่ยงให้ดีขึ้น 

>> ระบบติดตาม วิเคราะห์ และ จัดการความเสี่ยง


3.การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ

3.1 มีการจัดทำนโยบายและระเบียบปฏิบัติด้านความมั่นคงปลอดภัยในระบบ IT 

>> แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและการสื่อสาร

>> ระเบียบปฏิบัติในการรักษาความปลอดภัยด้านสารสนเทศ

3.2 มีนโยบายและระเบียบปฏิบัติที่อนุญาตให้เฉพาะผู้ที่รับผิดชอบดูแลรักษาผู้ป่วยในช่วงเวลาปัจจุบันเท่านั้นที่จะเข้าถึงข้อมูลผู้ป่วยรายนั้นได้ 

>> ระเบียบปฏิบัติในการรักษาความปลอดภัยด้านสารสนเทศ

3.3 มีนโยบายและระเบียบปฏิบัติที่ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน 

>> ระเบียบปฏิบัติในการรักษาความปลอดภัยด้านสารสนเทศ

3.4 มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติให้บุคลากรทุกคนได้รับทราบ 

>> แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและการสื่อสาร

>> ประชาสัมพันธ์ แนวปฏิบัติ

3.5 มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยอย่างเคร่งครัด  

>> หนังสือเวียนแนวทางปฏิบัติในการรักษาความมั่งคงปลอดภัยด้านสารสนเทศ

3.6 มีการประเมินผลการปฏิบัติตามระเบียบปฏิบัติและนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติต่อไป  


4.การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ

4.1 มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, บุคลากร 

>> ภาพรวมระบบเทคโนโลยีสารสนเทศ รพ.เวียงแก่น

>> ระบบ Security รพ.เวียงแก่น

 

 

4.2 มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network 

>> แผนจัดซื้อวัสดุคอมพิวเตอร์ คุรุภัณฑ์คอมพิวเตอร์

>> แผนบำรุงรักษา computer

4.3 มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของบุคลากรด้าน IT ทุกคน ประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล 

>> การกำหนดบทบาทหน้าที่ของบุคลากร IT
>> แบบสรุปประเมินบุคลากรด้าน IT

4.4 มีการดำเนินการตามแผนเพิ่มสมรรถนะและศักยภาพ (Hardware, software, network) และ มีการประเมิน วิเคราะห์ผลการดำเนินตามแผน 

>> แผนบำรุงรักษา computer
>> แบบสรุปประเมินบุคลากรด้าน IT

4.5 มีการนำผลการวิเคราะห์มาปรับปรุงแผนเพิ่มศักยภาพให้ดีขึ้น 

>> ทะเบียนวัสดุ คุรุภัณฑ์ คอมพิวเตอร์ รพ.เก้าเลี้ยว
>> แบบสรุปประเมินบุคลากรด้าน IT


5.การจัดการห้อง Data Center

5.1 มีการจัดการ Data Center ของโรงพยาบาลให้มีความมั่นคงปลอดภัย 

>> การใช้ห้องแม่ข่ายและการสำรองข้อมูล
>> ระบบ Security Cup

5.2 ห้อง สถานที่ และสิ่งแวดล้อมต้องจัดให้มีความปลอดภัยจากบุคคลภายนอก 

>> แบบแปลนห้อง Data Center
>> ห้อง Data Center

5.3 มีระบบป้องกันอัคคีภัย ได้แก่ ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงและระบบดับเพลิงอัตโนมัติ 

>> ห้อง Data Center

5.4 มีระบบป้องกันความเสียหายของข้อมูลและระบบ ซึ่งรวมถึง ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server 

>> การใช้ห้องแม่ข่ายและการสำรองข้อมูล

5.5 มีการวิเคราะห์ความเหมาะสม มาตรฐาน ความเสี่ยงและความคุ้มค่าในการเลือกใช้อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย ห้อง Data Center