| ข้อที่ | หัวข้อการประเมิน | ไฟล์ปี 2569 | จัดการ |
|---|---|---|---|
| 9.1.1 |
มีการจัดโครงสร้างการดูแลระบบสารสนเทศของโรงพยาบาล ประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ พร้อมกำหนดอำนาจหน้าที่ และความรับผิดชอบ
|
0 |
|
| 9.1.2 |
มีการจัดทำแผนแม่บทหรือแผนพัฒนาของสถาพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศ เป็นไปตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
|
0 |
|
| 9.1.3 |
มีนโยบายและแผนงานว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ของสถานพยาบาล
|
0 |
|
| 9.1.4 |
มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของสถานพยาบาลที่เหมาะสม
|
2 |
|
| 9.1.5 |
มีการกำหนดมาตรการ/นโยบาย/แนวปฏิบัติด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกฎหมายและกฎระเบียบที่เกี่ยวข้อง เช่น พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2565 กฎหมายและกฎระเบียบที่เกี่ยวข้องอื่น
|
0 |
|
| ข้อที่ | หัวข้อการประเมิน | ไฟล์ปี 2569 | จัดการ |
|---|---|---|---|
| 9.2.1 |
มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย โดยครอบคลุมทรัพย์สินสารสนเทศ (Information Asset Inventory) ที่อยู่ภายใต้ขอบเขตการให้บริการสาธารณสุขของหน่วยงาน
|
0 |
|
| 9.2.2 |
มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการหรือกระบวนการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน
|
0 |
|
| 9.2.3 |
การดำเนินการตามแผนจัดการความเสี่ยง
|
1 |
|
| 9.2.4 |
มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงานเสนอต่อผู้บริหาร
|
0 |
|
| 9.2.5 |
มีการนำผลการประเมินหรือความสี่ยงที่ยังคงเหลืออยู่ มาปรับปรุงแผนการจัดการความเสี่ยงอย่างต่อเนื่อง
|
0 |
|
| ข้อที่ | หัวข้อการประเมิน | ไฟล์ปี 2569 | จัดการ |
|---|---|---|---|
| 9.3.1 |
มีการจัดทำแนวปฏิบัติด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (Specific information security policy) มีหัวข้ออย่างน้อยต่อไปนี้1) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ (Access Control) 2) การสำรองข้อมูลเพื่อให้สารสนเทศอยู่ในสภาพพร้อมใช้งานและการจัดทำแผนเตรียมความพร้อมรับมือภัยคุกคาม 3) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ
|
0 |
|
| 9.3.2 |
มีนโยบายและระเบียบปฏิบัติหรือมาตรการที่รักษาความเป็นส่วนตัว ปกป้องข้อมูลส่วนบุคคล (PII) ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน
|
0 |
|
| 9.3.3 |
มีการสร้างความตระหนักรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness) อย่างสม่ำเสมอ
|
0 |
|
| 9.3.4 |
มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติสร้างความรู้ความเข้าใจ ให้บุคลากรทุกคนได้รับทราบ และ ถือปฏิบัติ
|
0 |
|
| 9.3.5 |
มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และการประเมินผลการปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศอย่างเคร่งครัด และนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติ อย่างต่อเนื่อง
|
0 |
|
| ข้อที่ | หัวข้อการประเมิน | ไฟล์ปี 2569 | จัดการ |
|---|---|---|---|
| 9.4.1 |
มีการจัดทำทะเบียนทรัพย์สินด้านสารสนเทศที่เกี่ยวข้องกับบริการที่สำคัญ (Critical services) ของหน่วยงาน
|
0 |
|
| 9.4.2 |
มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, People
|
0 |
|
| 9.4.3 |
มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network
|
0 |
|
| 9.4.4 |
มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของบุคลากรด้าน IT ทุกคน และประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล
|
0 |
|
| 9.4.5 |
มีการนำผลการวิเคราะห์ สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network และ People มาปรับปรุงจัดทำแผนเพิ่มศักยภาพ อย่างต่อเนื่อง
|
0 |
|
| ข้อที่ | หัวข้อการประเมิน | ไฟล์ปี 2569 | จัดการ |
|---|---|---|---|
| 9.5.1 |
กำหนดมาตรการการรักษาความปลอดภัยทางกายภาพ การทบทวนสิทธิ์บุคลากรที่ได้รับอนุญาตให้เข้าถึง Data Center และการกำหนดหน้าที่ความรับผิดชอบในการดูแล Data Center ของหน่วยงาน
|
0 |
|
| 9.5.2 |
การกำหนดรอบการสำรองข้อมูล และการทดสอบการกู้คืนข้อมูล รวมถึงป้องกันสื่อบันทึกการสำรองข้อมูลจากความเสียหายและการสูญหาย และการเข้าถึงโดยไม่ได้รับอนุญาต
|
0 |
|
| 9.5.3 |
มีระบบป้องกันอัคคีภัย เช่น ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงหรือระบบดับเพลิงอัตโนมัติ ให้เหมาะสมกับความเสี่ยง
|
1 |
|
| 9.5.4 |
มีมาตรการหรือระบบป้องกันความเสียหายของข้อมูล และระบบ เช่น ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server ให้เหมาะสมกับความเสี่ยง
|
1 |
|
| 9.5.5 |
มีระบบเฝ้าระวัง และรักษาความมั่นคงปลอดภัยทางกายภาพ Data Center ของหน่วยงาน
|
0 |
|
| ข้อที่ | หัวข้อการประเมิน | ไฟล์ปี 2569 | จัดการ |
|---|---|---|---|
| 9.6.1 |
จัดให้มีการตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit Plan) อย่างน้อยปีละ 1 ครั้ง โดยมีผู้ตรวจสอบภายใน หรือ ภายนอกที่มีความรู้ความสามารถ และจัดทำรายงานผลต่อผู้บริหารที่เกี่ยวข้อง
|
2 |
|
| 9.6.2 |
จัดให้มีแผนการรับมือภัยคุกคามทางไซเบอร์ (Incident Response Plan) และแจ้งผู้เกี่ยวข้องรับทราบ
|
0 |
|
| 9.6.3 |
มีการฝึกซ้อม และทบทวนแผนการรับมือภัยคุกคามทางไซเบอร์ (INCIDENT RESPONSE PLAN) อย่างน้อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ
|
0 |
|