ด้านที่ 9 การรักษาความมั่นคงปลอดภัยไซเบอร์

 

9.1 โครงสร้างและบทบาท การรักษาความมั่นคงปลอดภัยไซเบอร์
     9.1.1 มีการจัดโครงสร้างการดูแลระบบสารสนเทศของโรงพยาบาล ประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ พร้อมกำหนดอำนาจหน้าที่ และความรับผิดชอบ
     9.1.2 มีการจัดทำแผนแม่บทหรือแผนพัฒนาของสถาพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศ เป็นไปตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
     9.1.3 มีนโยบายและแผนงานว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ของสถานพยาบาล
     9.1.4 มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของสถานพยาบาลที่เหมาะสม
     9.1.5 มีการกำหนดมาตรการ/นโยบาย/แนวปฏิบัติด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกฎหมายและกฎระเบียบที่เกี่ยวข้อง เช่น พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2565 กฎหมายและกฎระเบียบที่เกี่ยวข้องอื่น
9.2 การจัดการความเสี่ยง ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
     9.2.1 มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย โดยครอบคลุมทรัพย์สินสารสนเทศ (Information Asset Inventory) ที่อยู่ภายใต้ขอบเขตการให้บริการสาธารณสุขของหน่วยงาน
     9.2.2 มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการหรือกระบวนการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน
     9.2.3 การดำเนินการตามแผนจัดการความเสี่ยง
     9.2.4 มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงานเสนอต่อผู้บริหาร
     9.2.5 มีการนำผลการประเมินหรือความสี่ยงที่ยังคงเหลืออยู่ มาปรับปรุงแผนการจัดการความเสี่ยงอย่างต่อเนื่อง
9.3 การจัดการความมั่นคงปลอดภัย ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
     9.3.1 มีการจัดทำแนวปฏิบัติด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (Specific information security policy) มีหัวข้ออย่างน้อยต่อไปนี้1) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ (Access Control) 2) การสำรองข้อมูลเพื่อให้สารสนเทศอยู่ในสภาพพร้อมใช้งานและการจัดทำแผนเตรียมความพร้อมรับมือภัยคุกคาม 3) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ
     9.3.2 มีนโยบายและระเบียบปฏิบัติหรือมาตรการที่รักษาความเป็นส่วนตัว ปกป้องข้อมูลส่วนบุคคล (PII) ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน
     9.3.3 มีการสร้างความตระหนักรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness) อย่างสม่ำเสมอ
     9.3.4 มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติสร้างความรู้ความเข้าใจ ให้บุคลากรทุกคนได้รับทราบ และ ถือปฏิบัติ      9.3.5 มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และการประเมินผลการปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศอย่างเคร่งครัด และนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติ อย่างต่อเนื่อง
9.4 การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ
     9.4.1 มีการจัดทำทะเบียนทรัพย์สินด้านสารสนเทศที่เกี่ยวข้องกับบริการที่สำคัญ (Critical services) ของหน่วยงาน
     9.4.2 มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, People
     9.4.3 มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network
     9.4.4 มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของบุคลากรด้าน IT ทุกคน และประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล
     9.4.5 มีการนำผลการวิเคราะห์ สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network และ People มาปรับปรุงจัดทำแผนเพิ่มศักยภาพ อย่างต่อเนื่อง
9.5 การรักษาความปลอดภัยทางกายภาพและทางสภาพแวดล้อมของ DATA CENTER
     9.5.1 กำหนดมาตรการการรักษาความปลอดภัยทางกายภาพ การทบทวนสิทธิ์บุคลากรที่ได้รับอนุญาตให้เข้าถึง Data Center และการกำหนดหน้าที่ความรับผิดชอบในการดูแล Data Center ของหน่วยงาน
     9.5.2 การกำหนดรอบการสำรองข้อมูล และการทดสอบการกู้คืนข้อมูล รวมถึงป้องกันสื่อบันทึกการสำรองข้อมูลจากความเสียหายและการสูญหาย และการเข้าถึงโดยไม่ได้รับอนุญาต
     9.5.3 มีระบบป้องกันอัคคีภัย เช่น ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงหรือระบบดับเพลิงอัตโนมัติ ให้เหมาะสมกับความเสี่ยง
     9.5.4 มีมาตรการหรือระบบป้องกันความเสียหายของข้อมูล และระบบ เช่น ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server ให้เหมาะสมกับความเสี่ยง
     9.5.5 มีระบบเฝ้าระวัง และรักษาความมั่นคงปลอดภัยทางกายภาพ Data Center ของหน่วยงาน
9.6 การตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ และแผนการรับมือภัยคุกคามทางไซเบอร์
     9.6.1 จัดให้มีการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit Plan) อย่างน้อยปีละ 1 ครั้ง โดยมีผู้ตรวจสอบภายใน หรือ ภายนอกที่มีความรู้ความสามารถ และจัดทำรายงานผลต่อผู้บริหารที่เกี่ยวข้อง
     9.6.2 จัดให้มีแผนการรับมือภัยคุกคามทางไซเบอร์ (Incident Response Plan) และแจ้งผู้เกี่ยวข้องรับทราบ
     9.6.3 มีการฝึกซ้อม และทบทวนแผนการรับมือภัยคุกคามทางไซเบอร์ (INCIDENT RESPONSE PLAN) อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ