เว็บไซต์ โรงพยาบาลโนนศิลา ยินดีต้อนรับ

มาตรฐานระบบบริการสุขภาพ-ด้านที่ 9 ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

เปิดอ่าน 860 views
ลำดับ เกณฑ์การประเมิน ผลประเมิน
ตนเอง
ผลประเมิน
โดยผู้ตรวจประเมิน
คำแนะนำ
โดยผู้ตรวจประเมิน
1  โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ
1.1  มีการจัดทีมดูแลระบบสารสนเทศของโรงพยาบาลประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ   1
1.2  มีการจัดทำแผนแม่บทหรือแผนพัฒนาของโรงพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศไว้อย่างชัดเจน   1
1.3  มีนโยบายและแผนการปฏิบัติด้านเทคโนโลยีสารสนเทศของโรงพยาบาล   1
1.4  มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของโรงพยาบาลที่เหมาะสม   1
1.5  มีการกำหนดมาตรฐานด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกับมาตรฐานของประเทศหรือมาตรฐานสากล ได้แก่ มาตรฐานข้อมูล มาตรฐานรหัสข้อมูล มาตรฐานการปฏิบัติงาน มาตรฐานความปลอดภัยและความลับของผู้ป่วย มาตรฐานระบบเครือข่ายคอมพิวเตอร์ มาตรฐานทางกายภาพและสภาพแวดล้อม   1
2  การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ
2.1  มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย   1
2.2  มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน   1
2.3  มีการดำเนินการตามแผนจัดการความเสี่ยง   0.5
2.4  มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงาน   0.5
2.5  มีการนำผลการประเมินการดำเนินการจัดการความเสี่ยงมาปรับแผนการจัดการความเสี่ยงให้ดีขึ้น   0.5
3  การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ
3.1  มีการจัดทำนโยบายและระเบียบปฏิบัติด้านความมั่นคงปลอดภัยในระบบ IT   1
3.2  มีนโยบายและระเบียบปฏิบัติที่อนุญาตให้เฉพาะผู้ที่รับผิดชอบดูแลรักษาผู้ป่วยในช่วงเวลาปัจจุบันเท่านั้นที่จะเข้าถึงข้อมูลผู้ป่วยรายนั้นได้   1
3.3  มีนโยบายและระเบียบปฏิบัติที่ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน   1
3.4  มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติให้บุคลากรทุกคนได้รับทราบ   1
3.5  มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยอย่างเคร่งครัด   0.5
3.6  มีการประเมินผลการปฏิบัติตามระเบียบปฏิบัติและนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติต่อไป   0.5
4  การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ
4.1  มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, บุคลากร   1
4.2  มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network   1
4.3  มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของบุคลากรด้าน IT ทุกคน ประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล   1
4.4  มีการดำเนินการตามแผนเพิ่มสมรรถนะและศักยภาพ (Hardware, software, network) และ มีการประเมิน วิเคราะห์ผลการดำเนินตามแผน   1
4.5  มีการนำผลการวิเคราะห์มาปรับปรุงแผนเพิ่มศักยภาพให้ดีขึ้น   1
5  การจัดการห้อง Data Center
5.1  มีการจัดการ Data Center ของโรงพยาบาลให้มีความมั่นคงปลอดภัย   0.5
5.2  ห้อง สถานที่ และสิ่งแวดล้อมต้องจัดให้มีความปลอดภัยจากบุคคลภายนอก   0.5
5.3  มีระบบป้องกันอัคคีภัย ได้แก่ ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงและระบบดับเพลิงอัตโนมัติ   1
5.4  มีระบบป้องกันความเสียหายของข้อมูลและระบบ ซึ่งรวมถึง ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server   1
5.5  มีการวิเคราะห์ความเหมาะสม มาตรฐาน ความเสี่ยงและความคุ้มค่าในการเลือกใช้อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย ห้อง Data Center   1