9 การรักษาความมั่นคงปลอดภัยไซเบอร์

9.1.4. มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของสถานพยาบาลที่เหมาะสม 9.1.5. มีการกำหนดมาตรการนโยบายแนวปฏิบัติด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกฎหมายและกฎระเบียบที่เกี่ยวข้อง เช่น พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2565 กฎหมายและกฎระเบียบที่เกี่ยวข้อ 9.1.3. มีนโยบายและแผนงานว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ของสถานพยาบาล 9.1.2. มีการจัดทำแผนแม่บทหรือแผนพัฒนาของสถาพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศ เป็นไปตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ - Copy 9.1.1. มีการจัดโครงสร้างการดูแลระบบสารสนเทศของโรงพยาบาล ประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ พร้อมกำหนดอำนาจหน้าที่ และความรับผิดชอบ นโยบายบริหารความเสี่ยง Cybersecurity Risk Managment policy นโยบายบริหารความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ Cyberseurity Risk managment Policy นโยบายบริหารจัดการด้านการรักษาความมั่นคง Cybersecurity Mananement System Policy 9.2.2. มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการหรือกระบวนการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัด 9.2.3. การดำเนินการตามแผนจัดการความเสี่ยง 9.2.4. มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงานเสนอต่อผู้บริหาร 9.2.5. มีการนำผลการประเมินหรือความสี่ยงที่ยังคงเหลืออยู่ มาปรับปรุงแผนการจัดการความเสี่ยงอย่างต่อเนื่อง นโยบายการเชื่อมต่อสื่อบันทึกข้อมูลแบบถอดได้ removeable Storage Media Policy นโยบายการกำหนดค่าขั้นต่ำด้านความมั่งคงปลอดภัย Security Baseline Configuration Standards Policy กระบวนการประเมินช่องโหว่และการทดสอบเจาะระบบ Penetration Testing Procedure กระบวนการจัดการผู้ให้บริการภายนอก Third Party Management Procedure กระบวนการสร้างความตระหนักรู้ความปลอดภัยด้านไซเบอร์ Cybersecurity Awareness Proceddure 9.3.4. มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติสร้างความรู้ความเข้าใจ ให้บุคลากรทุกคนได้รับทราบ และ ถือปฏิบัติ รายชื่อโรงพยาบาลเกาะสีชัง การประเมินผลการปฏิบัติตาม 5.1Data Center ของโรงพยาบาลมั่นคงปลอดภัยในระดับที่ได้มาตรฐาน 4.1มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis 5.3 มีระบบป้องกันอัคคีภัย ได้แก่ ระบบตรวจจับ 5.4 มีระบบป้องกันความเสียหายของข้อมูลและระบบ มีระบบเฝ้าระวัง และรักษาความมั่นคงปลอดภัยทางกายภาพ Data Center ของหน่วยงาน BCP รพ.เกาะสัชัง โปรแกรม Inventory คอมพิวเตอร์ (2) มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware มีการนำผลการวิเคราะห์ สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware สมรรถนะ BCP รพ.เกาะสัชัง (1) แผนการตรวจสอบ Cybersecurity audit plan แผนการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ Cyber Threat Detection and Monitoring Plan แผนรับมือคุกคามทางไซเบอร์ IR Plan มีการ monitor 24 ชม. (2)