HS4
HS4 ระบบประเมินมาตรฐานระบบบริการสุขภาพ https://hs4.hss.moph.go.th/
ด้านที่ 9 ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
เกณฑ์การประเมิน
1.โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ
1.1มีการจัดทีมดูแลระบบสารสนเทศของโรงพยาบาลประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ
ทีม สารสนเทศ IM
บทบาทหน้าที่
1.วางแผนและออกแบบระบบสารสนเทศที่เหมาะสมเพื่อตอบสนองความต้องการของผู้ใช้ในการดูแลรักษาผู้ป่วย ,การบริหาร และการพัฒนาคุณภาพ
2.เป็นหน่วยงานรวบรมและกระจายสถิติข้อมูลและตัวชี้วัดที่เหมาะสมแก่หน่วยงาน/ทีมนำเฉพาะด้านที่เกี่ยวข้อง
3.สังเคราะห์และแปรผลข้อมูลเพื่อใช้ประโยชน์ในการพัฒนาคุณภาพการดูแลผู้ป่วยและการบริหารงานโรงพยาบาล
4.วางระบบจัดเก็บ และบริการค้นหาเวชระเบียน ข้อมูลการดูแลรักษาผู้ป่วย ที่ตอบสนองต่อการจัดบริการ
5.ให้การสนับสนุนในการให้คำปรึกษา ความรู้และการฝึกอบรม การให้เทคโนโลยีสารสนเทศ แก่บุคลากรในโรงพยาบาล
ประกอบด้วย
1.ภก.สำเริง ชิณพันธ์ ประธาน
2.นพ.นครินทร์ พจน์อริยะ แพทย์ที่ปรึกษา
3.นายวิษณุ จำรูญพงษ์ กรรมการ
4.นางรุ่งนภา ชมเมือง กรรมการ
5.นางทิติภา ทองพิทักษ์ กรรมการ
6.นางจิราพร โมฬีชาติ กรรมการ
7.ทพ.ดนุพันธ์ วรเวทย์มงคล กรรมการ
8.นายวิจิตร โพธิ์งาม กรรมการ
9.นายชัชชัย รัตนแมด กรรมการ
10.นายบัณฑิต พรหมมานนท์ กรรมการ
11.นางสุชาดา ฝางคำ กรรมการ
12.นางศุภณัฏฐ์ กนกรัตนสุนทร กรรมการและเลขานุการ
13.นายนิรุจน์ บุตรบิน กรรมการและผู้ช่วยเลขานุการ
DownLoad คำสั่งแต่งตั้งคณะกรรม IM
1.2มีการจัดทำแผนแม่บทหรือแผนพัฒนาของโรงพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศไว้อย่างชัดเจน
1.3มีนโยบายและแผนการปฏิบัติด้านเทคโนโลยีสารสนเทศของโรงพยาบาล
1.4มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของโรงพยาบาลที่เหมาะสม
1.5มีการกำหนดมาตรฐานด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกับมาตรฐานของประเทศหรือมาตรฐานสากล ได้แก่ มาตรฐานข้อมูล มาตรฐานรหัสข้อมูล มาตรฐานการปฏิบัติงาน มาตรฐานความปลอดภัยและความลับของผู้ป่วย มาตรฐานระบบเครือข่ายคอมพิวเตอร์ มาตรฐานทางกายภาพและสภาพแวดล้อม
2.การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ
2.1มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย
2.2มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน
2.3มีการดำเนินการตามแผนจัดการความเสี่ยง
2.4มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงาน
2.5มีการนำผลการประเมินการดำเนินการจัดการความเสี่ยงมาปรับแผนการจัดการความเสี่ยงให้ดีขึ้น
3.การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ
3.1มีการจัดทำนโยบายและระเบียบปฏิบัติด้านความมั่นคงปลอดภัยในระบบ IT
3.2มีนโยบายและระเบียบปฏิบัติที่อนุญาตให้เฉพาะผู้ที่รับผิดชอบดูแลรักษาผู้ป่วยในช่วงเวลาปัจจุบันเท่านั้นที่จะเข้าถึงข้อมูลผู้ป่วยรายนั้นได้
3.3มีนโยบายและระเบียบปฏิบัติที่ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน
3.4มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติให้บุคลากรทุกคนได้รับทราบ
3.5มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยอย่างเคร่งครัด
3.6มีการประเมินผลการปฏิบัติตามระเบียบปฏิบัติและนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติต่อไป
4.การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ
4.1มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, บุคลากร
4.2มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network
4.3มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของบุคลากรด้าน IT ทุกคน ประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล
4.4มีการดำเนินการตามแผนเพิ่มสมรรถนะและศักยภาพ (Hardware, software, network) และ มีการประเมิน วิเคราะห์ผลการดำเนินตามแผน
4.5มีการนำผลการวิเคราะห์มาปรับปรุงแผนเพิ่มศักยภาพให้ดีขึ้น
5.การจัดการห้อง Data Center
5.1มีการจัดการ Data Center ของโรงพยาบาลให้มีความมั่นคงปลอดภัย
5.2ห้อง สถานที่ และสิ่งแวดล้อมต้องจัดให้มีความปลอดภัยจากบุคคลภายนอก
5.3มีระบบป้องกันอัคคีภัย ได้แก่ ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงและระบบดับเพลิงอัตโนมัติ
5.4มีระบบป้องกันความเสียหายของข้อมูลและระบบ ซึ่งรวมถึง ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server
5.5มีการวิเคราะห์ความเหมาะสม มาตรฐาน ความเสี่ยงและความคุ้มค่าในการเลือกใช้อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย ห้อง Data Center