| ลำดับ |
เกณฑ์การประเมิน |
| 1 |
โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ |
| 1.1 |
มีการจัดทีมดูแลระบบสารสนเทศของโรงพยาบาลประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ |
| 1.2 |
มีการจัดทำแผนแม่บทหรือแผนพัฒนาของโรงพยาบาลฯ |
| 1.3 |
มีนโยบายและแผนการปฏิบัติด้านเทคโนโลยีสารสนเทศของโรงพยาบาล |
| 1.4 |
มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของโรงพยาบาลที่เหมาะสม |
| 1.5 |
มีการกำหนดมาตรฐานด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกับมาตรฐานฯ |
| 2 |
การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ |
| 2.1 |
มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย |
| 2.2 |
มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร ฯ |
| 2.3 |
มีการดำเนินการตามแผนจัดการความเสี่ยง |
| 2.4 |
มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงาน |
| 2.5 |
มีการนำผลการประเมินการดำเนินการจัดการความเสี่ยงมาปรับแผนการจัดการความเสี่ยงให้ดีขึ้น |
| 3 |
การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ |
| 3.1 |
มีการจัดทำนโยบายและระเบียบปฏิบัติด้านความมั่นคงปลอดภัยในระบบ IT |
| 3.2 |
มีนโยบายและระเบียบปฏิบัติที่อนุญาตให้เฉพาะผู้ที่รับผิดชอบดูแลรักษาผู้ป่วยฯเท่านั้นที่จะเข้าถึงข้อมูลผู้ป่วยรายนั้นได้ |
| 3.3 |
มีนโยบายและระเบียบปฏิบัติที่ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน |
| 3.4 |
มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติให้บุคลากรทุกคนได้รับทราบ |
| 3.5 |
มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยอย่างเคร่งครัด |
| 3.6 |
มีการประเมินผลการปฏิบัติตามระเบียบปฏิบัติและนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติต่อไป |
| 4 |
การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ |
| 4.1 |
มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, บุคลากร |
| 4.2 |
มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network |
| 4.3 |
มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น ของบุคลากรด้าน IT ทุกคน ประเมินจัดทำแผนเพิ่มสมรรถนะฯ |
| 4.4 |
มีการดำเนินการตามแผนเพิ่มสมรรถนะและศักยภาพ (Hardware, software, network) ฯ |
| 4.5 |
มีการนำผลการวิเคราะห์มาปรับปรุงแผนเพิ่มศักยภาพให้ดีขึ้น |
| 5 |
การจัดการห้อง Data Center |
| 5.1 |
มีการจัดการ Data Center ของโรงพยาบาลให้มีความมั่นคงปลอดภัย |
| 5.2 |
ห้อง สถานที่ และสิ่งแวดล้อมต้องจัดให้มีความปลอดภัยจากบุคคลภายนอก |
| 5.3 |
มีระบบป้องกันอัคคีภัย ได้แก่ ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงและระบบดับเพลิงอัตโนมัติ |
| 5.4 |
มีระบบป้องกันความเสียหายของข้อมูลและระบบ ซึ่งรวมถึง ระบบ(UPS) ระบบ RAID, Redundant Power supply, Redundant Server |
| 5.5 |
มีการวิเคราะห์ความเหมาะสม มาตรฐาน ความเสี่ยงการเลือกใช้อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย ห้อง Data Center |
1.1คำสั่ง_แต่งตั้งคณะทำงานในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ.pdf73.31 K
