ลำดับ |
เกณฑ์การประเมิน |
ผลประเมิน
ตนเอง |
ผลประเมิน
โดยผู้ตรวจประเมิน |
คำแนะนำ
โดยผู้ตรวจประเมิน |
1 |
โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ |
|
|
|
1.1 |
มีการจัดทีมดูแลระบบสารสนเทศของโรงพยาบาลประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ |
1 |
|
|
1.2 |
มีการจัดทำแผนแม่บทหรือแผนพัฒนาของโรงพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศไว้อย่างชัดเจน |
1 |
|
|
1.3 |
มีนโยบายและแผนการปฏิบัติด้านเทคโนโลยีสารสนเทศของโรงพยาบาล |
1 |
|
|
1.4 |
มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของโรงพยาบาลที่เหมาะสม |
1 |
|
|
1.5 |
มีการกำหนดมาตรฐานด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกับมาตรฐานของประเทศหรือมาตรฐานสากล ได้แก่ มาตรฐานข้อมูล มาตรฐานรหัสข้อมูล มาตรฐานการปฏิบัติงาน มาตรฐานความปลอดภัยและความลับของผู้ป่วย มาตรฐานระบบเครือข่ายคอมพิวเตอร์ มาตรฐานทางกายภาพและสภาพแวดล้อม |
1 |
|
|
2 |
การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ |
|
|
|
2.1 |
มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย |
1 |
|
|
2.2 |
มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน |
1 |
|
|
2.3 |
มีการดำเนินการตามแผนจัดการความเสี่ยง |
0.5 |
|
|
2.4 |
มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงาน |
0.5 |
|
|
2.5 |
มีการนำผลการประเมินการดำเนินการจัดการความเสี่ยงมาปรับแผนการจัดการความเสี่ยงให้ดีขึ้น |
0.5 |
|
|
3 |
การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ |
|
|
|
3.1 |
มีการจัดทำนโยบายและระเบียบปฏิบัติด้านความมั่นคงปลอดภัยในระบบ IT |
1 |
|
|
3.2 |
มีนโยบายและระเบียบปฏิบัติที่อนุญาตให้เฉพาะผู้ที่รับผิดชอบดูแลรักษาผู้ป่วยในช่วงเวลาปัจจุบันเท่านั้นที่จะเข้าถึงข้อมูลผู้ป่วยรายนั้นได้ |
1 |
|
|
3.3 |
มีนโยบายและระเบียบปฏิบัติที่ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน |
1 |
|
|
3.4 |
มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติให้บุคลากรทุกคนได้รับทราบ |
1 |
|
|
3.5 |
มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยอย่างเคร่งครัด |
0.5 |
|
|
3.6 |
มีการประเมินผลการปฏิบัติตามระเบียบปฏิบัติและนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติต่อไป |
0.5 |
|
|
4 |
การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ |
|
|
|
4.1 |
มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, บุคลากร |
1 |
|
|
4.2 |
มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network |
1 |
|
|
4.3 |
มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของบุคลากรด้าน IT ทุกคน ประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล |
1 |
|
|
4.4 |
มีการดำเนินการตามแผนเพิ่มสมรรถนะและศักยภาพ (Hardware, software, network) และ มีการประเมิน วิเคราะห์ผลการดำเนินตามแผน |
1 |
|
|
4.5 |
มีการนำผลการวิเคราะห์มาปรับปรุงแผนเพิ่มศักยภาพให้ดีขึ้น |
1 |
|
|
5 |
การจัดการห้อง Data Center |
|
|
|
5.1 |
มีการจัดการ Data Center ของโรงพยาบาลให้มีความมั่นคงปลอดภัย |
0.5 |
|
|
5.2 |
ห้อง สถานที่ และสิ่งแวดล้อมต้องจัดให้มีความปลอดภัยจากบุคคลภายนอก |
0.5 |
|
|
5.3 |
มีระบบป้องกันอัคคีภัย ได้แก่ ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงและระบบดับเพลิงอัตโนมัติ |
1 |
|
|
5.4 |
มีระบบป้องกันความเสียหายของข้อมูลและระบบ ซึ่งรวมถึง ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server |
1 |
|
|
5.5 |
มีการวิเคราะห์ความเหมาะสม มาตรฐาน ความเสี่ยงและความคุ้มค่าในการเลือกใช้อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย ห้อง Data Center |
1 |
|
|