ลำดับ | เกณฑ์ | คำชี้แจง/คำอธิบายเพิ่มเติม | เอกสาร/หลักฐาน | หมายเหตุ |
4 | Smart Hospital - Security | |||
4.1 | ความปลอดภัยพื้นฐาน | |||
4.1.1 | ประกาศนโยบายด้านความมั่นคงปลอดภัย | เอกสารชี้แจงระบบ หรือรูปภาพ | *อ้างอิง HAIT บทที่ 4 | |
4.1.2 | มีระเบียบปฏิบัติด้านความมั่นคงปลอดภัยและมีการทบทวน ระเบียบและปรับปรุง อย่างน้อย ปีละ 1 ครั้ง | *อ้างอิง HAIT บทที่ 4 | ||
4.1.3 | ประเมินผลการปฏิบัติตามระเบียบอย่างน้อย ปีละ 1 ครั้ง วิเคราะห์ผลการประเมินและสรุปประเด็น ที่เรียนรู้และปรับปรุงต่อไป | *อ้างอิง HAIT บทที่ 4 | ||
4.1.4 | มีระบบบริหารความเสี่ยง (risk management) ในด้านต่าง ๆ ดังนี้ | *อ้างอิง HAIT บทที่ 3 | ||
4.1.4.1 | ระบุประเด็นความเสี่ยงได้ครบ ทั้งความสี่ยงต่อระบบเทคโนโลยีสารสนเทศ และความเสี่ยงที่การใช้ เทคโนโลยีสารสนเทศจะทำให้เกิดอันตรายต่อผู้ป่วย | |||
4.1.4.2 | มีการทบทวนประเด็นความเสี่ยง การประเมินคะแนนความเสี่ยง อย่างน้อย ปีละ 1 ครั้ง | |||
4.1.4.3 | มีการจัดทำแผนกลยุทธ์ และแผนปฏิบัติการจัดการความเสี่ยงใหม่ ปีละ 1 ครั้ง | |||
4.1.4.4 | สามารถยกระดับการพัฒนาการจัดการความเสี่ยง ได้โดยประเมินจากความเสี่ยงทุกด้านลดลงอย่าง ต่อเนื่องในระยะเวลา 2-3 ปี | |||
4.1.5 | มีระบบความปลอดภัยป้องกันการโจมตีทางไซเบอร์ | |||
4.1.5.1 | มี Next Gen Fire wall ที่เปิด IPS และ IDS | รูปภาพ | ||
4.1.5.2 | มี Antivirus | เอกสารชี้แจงระบบ หรือรูปภาพ | ||
4.1.5.3 | มีการบันทีก Log ในการเข้าใช้งานระบบสารสนเทศโรงพยาบาลอย่างน้อย 90 วัน ตาม พรบ. Cyber crime | เอกสารชี้แจงระบบ หรือรูปภาพ | ||
4.2 | จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและคุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย | **อ้างอิงข้อ 2.3.1- 2.3.3 ของ HAIT | ||
4.2.1 | ระบบมีบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน (username and password) และกลไกการยืนยันตัวบุคคล | เอกสารชี้แจงระบบ หรือรูปภาพ | ||
4.2.2 | สร้างระบบการเข้าถึงข้อมูลผู้ป่วยให้รัดกุม (ใคร สามารถเข้าถึงข้อมูลส่วนไหน ด้วยวิธีใด เป็นต้น) | เอกสารชี้แจงระบบ หรือรูปภาพ | ||
4.2.3 | การแยกระบบ network ให้เหมาะกับความปลอดภัยทางไซเบอร์ เช่น ระบบ internet และระบบงานโรงพยาบาล หรือการจัด private network | เอกสารชี้แจงระบบ หรือรูปภาพ | ||
4.3 | มีแผนตอบโต้ด้านความปลอดภัยไซเบอร์ | |||
4.3.1 | มีการจัดตั้งจุดให้บริการแก่ผู้ใช้งานระบบ (Service Desk) | เอกสารชี้แจงระบบ หรือรูปภาพ | *อ้างอิง HAIT บทที่ 5 | |
4.3.2 | มีข้อตกลงระดับการให้บริการ (Service Level Agreement -SLA) | เอกสารชี้แจงระบบ หรือรูปภาพ | *อ้างอิง HAIT บทที่ 5 | |
4.3.3 | มีระบบการจัดการอุบัติการณ์ (Incident Management) และการจัดการปัญหา (Problem Management) | เอกสารชี้แจงระบบ หรือรูปภาพ | *อ้างอิง HAIT บทที่ 5 | |
4.3.4 | มีการจัดทำสถิติการให้บริการ สถิติอุบัติการณ์ และการรายงานการวิเคราะห์ปัญหา | *อ้างอิง HAIT บทที่ 5 | ||
4.3.5 | 4.3.5 มีการจัดการและจัดสรรทรัพยากรที่เพียงพอ เพื่อให้การดําเนินงานด้านเทคโนโลยีสารสนเทศ เป็นไปอย่างมีประสิทธิภาพ เหมาะสมกับปริมาณงาน (Capacity Management) | **อ้างอิงข้อ 4.3 ของ HAIT | ||
4.3.6 | มีการจัดทำแผนปฏิบัติงานเมื่อระบบล่ม (Business Continuity Plan -BCP) และแผนกู้คืน (Disaster Recovery Pian - DRP) | แผนBCP หรือรูปภาพ | *อ้างอิง HAIT บทที่ 4 | |
4.4 | แอปพลิเคชั่นหรือ software พัฒนาเอง | |||
4.4.1 | การพัฒนา Application ที่มีองค์ประกอบส่วนใหญ่เป็นหน่วยย่อยที่นํามาใช้ใหม่ร่วมกันได้/ website รพ. ต้องมี domain .moph.go.th | **อ้างอิง 2.4.3 ของ HAIT | ||
4.4.2 | การจัดสร้าง/ต่อเติม software/website รพ. ให้เป็นไปอย่างมีประสิทธิภาพ รวมทั้งกํากับดูแล source code/version ของ software | **อ้างอิง 5.1.2ของ HAIT | ||
4.5 | ธรรมาภิบาล | |||
4.5.1 | ระบบควบคุมด้านความมั่น คงปลอดภัยสารสนเทศ (Information Security Management) มีกระบวนการควบคุมที่ทําให้แน่ใจได้ว่า ระบบและข้อมูลได้รับการปกป้องจากการเข้าถึงหรือโจมตีโดยผู้ไม่ประสงค์ดี การใช้งานที่ไม่ถูกต้องหรือไม่ได้รับอนุญาต ประกอบไปด้วย (PDPA ม. 37) | **อ้างอิงข้อ 5.1.3 ของ HAIT | ||
4.5.1.1 | มีทะบียนผู้ใช้งานการควบคุมการเข้าถึง (Access Control) การจัดการการเข้าถึงของผู้ใช้งาน (User access management) รวมถึงการทำบัญชีรายชื่อผู้ใช้งาน การกำหนดสิทธิผู้ใช้งานการรักษาความลับรหัสผ่านของผู้ใช้แต่ละบุคคล รวมถึงยืนยันตัวบุคคล (Authentication) (PDPA ม. 24) | เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ | ||
4.5.1.2 | การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User responsibilities) (PDPA ม. 24) | เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ | ||
4.5.1.3 | มีระบบการควบคุมการเข้าถึงระบบงาน หรือโปรแกรม (System and application access control) | เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ | ||
4.5.1.4 | การบริหารจัดการช่องโหว่ทางเทคนิค (Technical Vulnerability Management) | |||
4.5.1.5 | การป้องกันการบุกรุกเครือข่าย จากการเชื่อมโยง Internet | เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ | ||
4.5.1.6 | การบํารุงรักษาระบบโดยบุคคลภายนอก มีมาตรการควบคุม | |||
4.5.2 | มีระบบควบคุมด้วย application (Application control) เพื่อให้แน่ใจว่า ข้อมูลสารสนเทศที่มีอยู่ในระบบเป็นข้อมูลที่ถูกต้อง ครบถ้วน เชื่อถือได้ ทันเวลา โดยมีระบบควบคุมตรวจสอบดังนี้ | **อ้างอิงข้อ 5.2.1 - 5.2.5 ของ HAIT | ||
4.5.2.1 | การตรวจสอบความครบถ้วน (completeness check) มีระบบที่ทําให้แน่ใจว่ามีการบันทึกข้อมูลผู้รับบริการทุกรายที่เข้ามารับบริการในโรงพยาบาลอย่างครบถ้วน | |||
4.5.2.2 | ข้อมูลผู้รับบริการทุกคนที่มารับบริการ ถูกบันทึกข้อมูลไว้ในระบบอย่างเป็นระบบแบบแผน(input control) | |||
4.5.2.3 | การตรวจสอบความถูกต้อง (validity check) มีระบบที่ทําให้แน่ใจว่าข้อมูลต่างๆ ที่นําเข้าระบบสารสนเทศ มีความถูกต้อง เที่ยงตรง รวมทั้งมีระบบการเรียกดูข้อมูลผู้รับบริการ และตรวจสอบความครบถ้วนของข้อมูลผู้รับบริการอย่างสมํ่าเสมอ โดยการเรียกดูแบบสุ่มตัวอย่าง ดําเนินการโดยแพทย์ พยาบาลและผู้เกี่ยวข้องที่มีอํานาจหน้าที่ในการนําข้อมูลเข้า หรือเรียกดูข้อมูลได้ การเรียกดูข้อมูลผู้รับบริการเน้นไปที่ความตรงต่อเวลา ความครบถ้วนของข้อมูล การเรียกดูข้อมูลครอบคลุมทั้งผู้ที่กําลังรับบริการอยู่และที่กลับไปแล้ว | |||
4.5.2.4 | 4.5.2.4 การระบุเจ้าของข้อมูล (identification) มีการควบคุมที่ทําให้แน่ใจว่า มีการระบุบุคคลได้อย่างชัดเจน ไม่มีข้อมูลซํ้า (ข้อมูลผู้ป่วย 2 ราย ถูกระบุเป็นคนเดียวกันในระบบ) และข้อมูลที่นําเข้าเป็นของผู้ป่วยรายนั้นจริง | |||
4.5.2.5 | การระบุตัวผู้เข้าใช้ระบบ และควบคุมให้ผู้มีสิทธิเท่านั้นที่เข้าใช้งานระบบได้ตามสิทธิ มีการบันทึกข้อมูลการเข้าใช้งาน | |||
4.5.3 | มีระบบควบคุมคุณภาพข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญที่บันทึก และจัดเก็บไว้ในระบบ มีคุณภาพที่ดีขึ้นอย่างต่อเนื่อง | เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ | **อ้างอิงข้อ 5.4 ของ HAIT | |
4.5.4 | มีประกาศ Privacy Policy ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ตามประกาศ ศทส. ที่ สธ.0212/ว 410 ลงวันที่ 25 พฤษภาคม 2565 | เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ | ||
4.5.5 | มีประกาศ Privacy Noticeปฏิบัติตามประกาศ ศทส. แนวปฏิบัติการคุ้มครองฯ ที่ สธ. 0212/ว 11424 ลงวันที่ 25 พฤษภาคม และที่ สธ. 0212/ว 14039 ลงวันที่ 24 มิถุนายน 2565 | |||
4.5.6 | หน่วยงานจัดทำรายการประมวลผลข้อมูลส่วนบุคคล (ROPA) ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ในการจัดทำ ROPA ตามหนังสือ ศทส. ที่ สธ. 0212.07/ว 2823 ลงวันที่ 3 กุมภาพันธ์ 2566 | |||
4.5.7 | มีการแต่งตั้งเจ้าหน้าที่ประสานงานคุ้มครองข้อมูลส่วนบุคคล (DPO) ของหน่วยบริการ | |||
4.6 | จัดตั้งคณะกรรมการพัฒนาสุขภาพดิจิทัลระดับโรงพยาบาล | เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ | ||
4.7 | จัดตั้งคณะกรรมการความปลอดภัยทางไซเบอร์ระดับโรงพยาบาล | เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ |
ยินดีต้อนรับสู่ รพ.สามง่าม (http://www.samngamhos.go.th/) | Powered by Discuz! X3.1 |