ลำดับ | เกณฑ์ | คำชี้แจง/คำอธิบายเพิ่มเติม | เอกสาร/หลักฐาน | หมายเหตุ |
4 | Smart Hospital - Security |
| |
|
4.1 | ความปลอดภัยพื้นฐาน |
| |
|
4.1.1 | ประกาศนโยบายด้านความมั่นคงปลอดภัย |
| เอกสารชี้แจงระบบ หรือรูปภาพ | *อ้างอิง
HAIT บทที่ 4 |
4.1.2 | มีระเบียบปฏิบัติด้านความมั่นคงปลอดภัยและมีการทบทวน ระเบียบและปรับปรุง อย่างน้อย ปีละ 1 ครั้ง |
| | *อ้างอิง
HAIT บทที่ 4 |
4.1.3 | ประเมินผลการปฏิบัติตามระเบียบอย่างน้อย ปีละ 1 ครั้ง วิเคราะห์ผลการประเมินและสรุปประเด็น ที่เรียนรู้และปรับปรุงต่อไป |
| | *อ้างอิง
HAIT บทที่ 4 |
4.1.4 | มีระบบบริหารความเสี่ยง (risk management) ในด้านต่าง ๆ ดังนี้ |
| | *อ้างอิง
HAIT บทที่ 3 |
4.1.4.1 | ระบุประเด็นความเสี่ยงได้ครบ ทั้งความสี่ยงต่อระบบเทคโนโลยีสารสนเทศ และความเสี่ยงที่การใช้ เทคโนโลยีสารสนเทศจะทำให้เกิดอันตรายต่อผู้ป่วย |
| |
|
4.1.4.2 | มีการทบทวนประเด็นความเสี่ยง การประเมินคะแนนความเสี่ยง อย่างน้อย ปีละ 1 ครั้ง |
| |
|
4.1.4.3 | มีการจัดทำแผนกลยุทธ์ และแผนปฏิบัติการจัดการความเสี่ยงใหม่ ปีละ 1 ครั้ง |
| |
|
4.1.4.4 | สามารถยกระดับการพัฒนาการจัดการความเสี่ยง ได้โดยประเมินจากความเสี่ยงทุกด้านลดลงอย่าง ต่อเนื่องในระยะเวลา 2-3 ปี |
| |
|
4.1.5 | มีระบบความปลอดภัยป้องกันการโจมตีทางไซเบอร์ |
| |
|
4.1.5.1 | มี Next Gen Fire wall ที่เปิด IPS และ IDS |
| รูปภาพ |
|
4.1.5.2 | มี Antivirus |
| เอกสารชี้แจงระบบ หรือรูปภาพ |
|
4.1.5.3 | มีการบันทีก Log ในการเข้าใช้งานระบบสารสนเทศโรงพยาบาลอย่างน้อย 90 วัน ตาม พรบ. Cyber crime |
| เอกสารชี้แจงระบบ หรือรูปภาพ |
|
4.2 | จัดเทคโนโลยีสําหรับการรักษาความมั่นคงปลอดภัยและคุ้มครองความลับข้อมูลส่วนบุคคล และการเข้าถึงข้อมูลผู้ป่วย |
| | **อ้างอิงข้อ 2.3.1- 2.3.3 ของ HAIT |
4.2.1 | ระบบมีบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน (username and password) และกลไกการยืนยันตัวบุคคล |
| เอกสารชี้แจงระบบ หรือรูปภาพ |
|
4.2.2 | สร้างระบบการเข้าถึงข้อมูลผู้ป่วยให้รัดกุม (ใคร สามารถเข้าถึงข้อมูลส่วนไหน ด้วยวิธีใด เป็นต้น) |
| เอกสารชี้แจงระบบ หรือรูปภาพ |
|
4.2.3 | การแยกระบบ network ให้เหมาะกับความปลอดภัยทางไซเบอร์ เช่น ระบบ internet และระบบงานโรงพยาบาล หรือการจัด private network |
| เอกสารชี้แจงระบบ หรือรูปภาพ |
|
4.3 | มีแผนตอบโต้ด้านความปลอดภัยไซเบอร์ |
| |
|
4.3.1 | มีการจัดตั้งจุดให้บริการแก่ผู้ใช้งานระบบ (Service Desk) |
| เอกสารชี้แจงระบบ หรือรูปภาพ | *อ้างอิง
HAIT บทที่ 5 |
4.3.2 | มีข้อตกลงระดับการให้บริการ (Service Level Agreement -SLA) |
| เอกสารชี้แจงระบบ หรือรูปภาพ | *อ้างอิง
HAIT บทที่ 5 |
4.3.3 | มีระบบการจัดการอุบัติการณ์ (Incident Management) และการจัดการปัญหา (Problem Management) |
| เอกสารชี้แจงระบบ หรือรูปภาพ | *อ้างอิง
HAIT บทที่ 5 |
4.3.4 | มีการจัดทำสถิติการให้บริการ สถิติอุบัติการณ์ และการรายงานการวิเคราะห์ปัญหา |
| | *อ้างอิง
HAIT บทที่ 5 |
4.3.5 | 4.3.5 มีการจัดการและจัดสรรทรัพยากรที่เพียงพอ เพื่อให้การดําเนินงานด้านเทคโนโลยีสารสนเทศ เป็นไปอย่างมีประสิทธิภาพ เหมาะสมกับปริมาณงาน (Capacity Management) |
| | **อ้างอิงข้อ 4.3 ของ HAIT |
4.3.6 | มีการจัดทำแผนปฏิบัติงานเมื่อระบบล่ม (Business Continuity Plan -BCP) และแผนกู้คืน (Disaster Recovery Pian - DRP) |
| แผนBCP หรือรูปภาพ | *อ้างอิง
HAIT บทที่ 4 |
4.4 | แอปพลิเคชั่นหรือ software พัฒนาเอง |
| |
|
4.4.1 | การพัฒนา Application ที่มีองค์ประกอบส่วนใหญ่เป็นหน่วยย่อยที่นํามาใช้ใหม่ร่วมกันได้/ website รพ. ต้องมี domain .moph.go.th |
| | **อ้างอิง 2.4.3 ของ HAIT |
4.4.2 | การจัดสร้าง/ต่อเติม software/website รพ. ให้เป็นไปอย่างมีประสิทธิภาพ รวมทั้งกํากับดูแล source code/version ของ software |
| | **อ้างอิง 5.1.2ของ HAIT |
4.5 | ธรรมาภิบาล |
| |
|
4.5.1 | ระบบควบคุมด้านความมั่น คงปลอดภัยสารสนเทศ (Information Security Management) มีกระบวนการควบคุมที่ทําให้แน่ใจได้ว่า ระบบและข้อมูลได้รับการปกป้องจากการเข้าถึงหรือโจมตีโดยผู้ไม่ประสงค์ดี การใช้งานที่ไม่ถูกต้องหรือไม่ได้รับอนุญาต ประกอบไปด้วย (PDPA ม. 37) |
| | **อ้างอิงข้อ 5.1.3 ของ HAIT |
4.5.1.1 | มีทะบียนผู้ใช้งานการควบคุมการเข้าถึง (Access Control) การจัดการการเข้าถึงของผู้ใช้งาน (User access management) รวมถึงการทำบัญชีรายชื่อผู้ใช้งาน การกำหนดสิทธิผู้ใช้งานการรักษาความลับรหัสผ่านของผู้ใช้แต่ละบุคคล รวมถึงยืนยันตัวบุคคล (Authentication) (PDPA ม. 24) |
| เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ |
|
4.5.1.2 | การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User responsibilities) (PDPA ม. 24) |
| เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ |
|
4.5.1.3 | มีระบบการควบคุมการเข้าถึงระบบงาน หรือโปรแกรม (System and application access control) |
| เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ |
|
4.5.1.4 | การบริหารจัดการช่องโหว่ทางเทคนิค (Technical Vulnerability Management) |
| |
|
4.5.1.5 | การป้องกันการบุกรุกเครือข่าย จากการเชื่อมโยง Internet |
| เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ |
|
4.5.1.6 | การบํารุงรักษาระบบโดยบุคคลภายนอก มีมาตรการควบคุม |
| |
|
4.5.2 | มีระบบควบคุมด้วย application (Application control) เพื่อให้แน่ใจว่า ข้อมูลสารสนเทศที่มีอยู่ในระบบเป็นข้อมูลที่ถูกต้อง ครบถ้วน เชื่อถือได้ ทันเวลา โดยมีระบบควบคุมตรวจสอบดังนี้ |
| | **อ้างอิงข้อ 5.2.1 - 5.2.5 ของ HAIT |
4.5.2.1 | การตรวจสอบความครบถ้วน (completeness check) มีระบบที่ทําให้แน่ใจว่ามีการบันทึกข้อมูลผู้รับบริการทุกรายที่เข้ามารับบริการในโรงพยาบาลอย่างครบถ้วน |
| |
|
4.5.2.2 | ข้อมูลผู้รับบริการทุกคนที่มารับบริการ ถูกบันทึกข้อมูลไว้ในระบบอย่างเป็นระบบแบบแผน(input control) |
| |
|
4.5.2.3 | การตรวจสอบความถูกต้อง (validity check) มีระบบที่ทําให้แน่ใจว่าข้อมูลต่างๆ ที่นําเข้าระบบสารสนเทศ มีความถูกต้อง เที่ยงตรง รวมทั้งมีระบบการเรียกดูข้อมูลผู้รับบริการ และตรวจสอบความครบถ้วนของข้อมูลผู้รับบริการอย่างสมํ่าเสมอ โดยการเรียกดูแบบสุ่มตัวอย่าง ดําเนินการโดยแพทย์ พยาบาลและผู้เกี่ยวข้องที่มีอํานาจหน้าที่ในการนําข้อมูลเข้า หรือเรียกดูข้อมูลได้ การเรียกดูข้อมูลผู้รับบริการเน้นไปที่ความตรงต่อเวลา ความครบถ้วนของข้อมูล การเรียกดูข้อมูลครอบคลุมทั้งผู้ที่กําลังรับบริการอยู่และที่กลับไปแล้ว |
| |
|
4.5.2.4 | 4.5.2.4 การระบุเจ้าของข้อมูล (identification) มีการควบคุมที่ทําให้แน่ใจว่า มีการระบุบุคคลได้อย่างชัดเจน ไม่มีข้อมูลซํ้า (ข้อมูลผู้ป่วย 2 ราย ถูกระบุเป็นคนเดียวกันในระบบ) และข้อมูลที่นําเข้าเป็นของผู้ป่วยรายนั้นจริง |
| |
|
4.5.2.5 | การระบุตัวผู้เข้าใช้ระบบ และควบคุมให้ผู้มีสิทธิเท่านั้นที่เข้าใช้งานระบบได้ตามสิทธิ มีการบันทึกข้อมูลการเข้าใช้งาน |
| |
|
4.5.3 | มีระบบควบคุมคุณภาพข้อมูล ให้แน่ใจว่า ข้อมูลสําคัญที่บันทึก และจัดเก็บไว้ในระบบ มีคุณภาพที่ดีขึ้นอย่างต่อเนื่อง |
| เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ | **อ้างอิงข้อ 5.4 ของ HAIT |
4.5.4 | มีประกาศ Privacy Policy ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ตามประกาศ ศทส. ที่ สธ.0212/ว 410 ลงวันที่ 25 พฤษภาคม 2565 |
| เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ |
|
4.5.5 | มีประกาศ Privacy Noticeปฏิบัติตามประกาศ ศทส. แนวปฏิบัติการคุ้มครองฯ ที่ สธ. 0212/ว 11424 ลงวันที่ 25 พฤษภาคม และที่ สธ. 0212/ว 14039 ลงวันที่ 24 มิถุนายน 2565 |
| |
|
4.5.6 | หน่วยงานจัดทำรายการประมวลผลข้อมูลส่วนบุคคล (ROPA) ปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลฯ ในการจัดทำ ROPA ตามหนังสือ ศทส. ที่ สธ. 0212.07/ว 2823 ลงวันที่ 3 กุมภาพันธ์ 2566 |
| |
|
4.5.7 | มีการแต่งตั้งเจ้าหน้าที่ประสานงานคุ้มครองข้อมูลส่วนบุคคล (DPO) ของหน่วยบริการ |
| |
|
4.6 | จัดตั้งคณะกรรมการพัฒนาสุขภาพดิจิทัลระดับโรงพยาบาล |
| เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ |
|
4.7 | จัดตั้งคณะกรรมการความปลอดภัยทางไซเบอร์ระดับโรงพยาบาล |
| เอกสารชี้แจงระบบหรือประกาศ หรือรูปภาพ |
|