1. · 2017-06-14 ·...

การพัฒนาการจัดการด้านความม่ันคงปลอดภัยและคุณภาพในระบบเทคโนโลยีสารสนเทศ (ฉบับเผยแพร่) 1

การพัฒนาการจัดการด้านความม่ันคงปลอดภัยและคุณภาพในระบบเทคโนโลยีสารสนเทศ (ฉบับเผยแพร่) หน่วยคอมพิวเตอร์และเทคโนโลยีสารสนเทศ โรงพยาบาลหนองบัวล าภู

ปีงบประมาณ 2560

1. หลักการและเหตุผล

เพ่ือก าหนดมาตรฐานการจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ ให้มีความถูกต้องและชัดเจนกับผู้ปฏิบัติงานทุกหน่วยงานในโรงพยาบาลหนองบัวล าภู และเพ่ิมประสิทธิภาพงานบริการทาง it ด้วยข้อตกลง SLA , นโยบายและระเบียบปฏิบัติ

ดังนั้น หน่วยคอมพิวเตอร์และเทคโนโลยีสารสนเทศ โรงพยาบาลหนองบัวล าภู จึงจัดท าโครงการนี้ขึ้น เพ่ือให้เป็นข้อตกลงของการให้บริการด้านสารสนเทศ ต่อไป

2. เอกสารนโยบาย ทั้งหมดจ านวน 4 เรื่อง 2.1 เรื่อง การใช้สื่อสังคมออนไลน์ ที่เกี่ยวข้องกับโรงพบาบาล


2.2 นโยบายเรื่องการประหยัดพลังงานเก่ียวกับคอมพิวเตอร์และอุปกรณ์

2.3 นโยบายเรื่องการป้องกันภัยคุกคามระบบ HOSxP และระบบ PAC


2.4 นโยบายเรื่องมาตรฐานการรักษาความปลอดภัยของระบบ HOSxP

ศูนย์คอมพิวเตอร์และสารสนเทศ ได้ด าเนินการ จัดท าสรุปให้ดูง่ายต่อการจดจ า ตามรูปที่แนบ


ผู้ใช้งานระบบเทคโนโลยีสารสนเทศของโรงพยาบาลทุกคน รับทราบเข้าใจ และปฏิบัติตามระเบียบที่เป็นหน้าที่ผู้ใช้งาน

ศูนย์คอมพิวเตอร์และสารสนเทศ ได้จัดประชุมชี้แจง ให้ความรู้เรื่อง มาตรฐานด้านการรักษาความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ ให้แก่ผู้บริหารและผู้ปฏิบัติ เพ่ือท าความเข้าใจเกี่ยวกับ นโยบาย ระเบียบปฏิบัติ และแนวทางปฏิบัติ และเผยแพร่ประกาศในระบบอินทราเน็ตผ่านหน้าเว็บไซด์ศูนย์คอมพิวเตอร์และสารสนเทศ และจัดท ารูปแบบเอกสารแจกประจ าหน่วยงานสร้างจิตส านึกแก่ผู้ใช้งานในระบบเทคโนโลยีสารสนเทศ เพื่อให้เห็นความแตกต่างระหว่างการมีนโยบาย ระเบียบปฏิบัติ ในเบื้องต้นก็ใช้วิธีควบคุมให้ปฏิบัติตามระเบียบฯ โดยหัวหน้างานจัดประชุมทีมสารสนเทศพยาบาลแต่ละหน่วยเพื่อให้เข้าใจการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ และเข้าใจข้อดี–ข้อเสีย หากเกิดความเสียหายแก่ระบบสารสนเทศของโรงพยาบาล จากการประเมินความเข้าใจเรื่องนโยบายและระเบียบปฏิบัติ เรื่องความมั่นคงปลอดภัยในระบบสารสนเทศของโรงพยาบาล


ข้อตกลงมาตรฐานการให้บริการ SLA ภายใน 15 นาท ี คิดเป็น % เกิน 15 นาท ี คิดเป็น % จ านวนหน่วยงาน

SOFTWARE

1.สามารถแก้ปญัหา HOSxP ภายใน 15 นาที 8 72.73 3 27.27 11

HARDWARE *ข้อนี้เฉพาะ OPD ตอบเท่านั้น

2.ศูนย์คอมเปลี่ยนเครื่องคอมฯ หรือ ปริ้นเตอร์ใหม่ เมื่อใช้งานไมไ่ด ้ 5 62.50 3 37.50 8

0

2

4

6

8

1.สามารถแก้ปัญหา HOSxP ภายใน 15นาที

2.ศูนย์คอมเปล่ียนเครื่องคอมฯ หรือ ปริ้นเตอร์ใหม่ เมื่อใช้งานไม่ได้

8

5

3 3

ข้อตกลงมาตรฐานการให้บริการ SLA

ภายใน 15 นาที เกิน 15 นาที

0

5

10

1. เมื่อท่านแจ้งปัญหา ศูนย์คอมฯสามารถแก้ปัญหาให้ท่านได้

2. เมื่อท่านแจ้งปัญหา ศูนย์คอมฯสามารถช่วยท่านแก้ไขเบ้ืองต้นได้

2 1

6 64

5

การแก้ไขปัญหา ทางโทรศัพท์ระดับความพึงพอใจ น้อย ระดับความพึงพอใจ ปานกลาง ระดับความพึงพอใจ มาก


สรุปผลการประเมินจาก แบบสอบถามจากศนูย์คอมฯ เร่ือง SLA และ ITC Policy

นโยบายและระเบียบปฏิบัติด้านความมั่นคงทางระบบเทคโนโลยีสารสนเทศ ระดับความเข้าใจ จ านวนหน่วยงาน น้อย

คิดเป็น % ปานกลาง คิดเป็น

% มาก คิดเป็น %

1. ท่านเข้าใจนโยบาย Login มากน้อยเพียงใด 1 8.33 2 16.67 9 75.00 12

2. ท่านมีความเข้าใจนโยบาย ปิด มากน้อยเพียงใด 2 16.67 5 41.67 5 41.67 12

3. ท่านมีความเข้าใจนโยบาย เปลีย่น มากน้อยเพียงใด 2 16.67 3 25.00 7 58.33 12

4. ท่านมีความเข้าในนโยบาย ใช้ มากน้อยเพียงใด 2 16.67 3 25.00 7 58.33 12

5. ท่านมีความเข้าใจในนโยบาย เก็บ มากน้อยเพียงใด 2 16.67 4 33.33 6 50.00 12

การแก้ไขปัญหา ทางโทรศัพท์ ระดับความพึงพอใจ จ านวน

หน่วยงาน น้อย คิดเป็น % ปานกลาง คิดเป็น

% มาก คิดเป็น %

1. เมื่อท่านแจ้งปัญหา ศูนย์คอมฯสามารถแก้ปัญหาให้ท่านได ้ 2 16.67 6 50.00 4 33.33 12 2. เมื่อท่านแจ้งปัญหา ศูนย์คอมฯสามารถช่วยท่านแก้ไขเบื้องต้นได ้ 1 8.33 6 50.00 5 41.67 12


เผยแพร่และประชาสัมพันธ์


เฝ้าระวังการละเมิดระเบียบปฏิบัติด้านความม่ันคงปลอดภัยอย่างไร สถานการณ์ด้านการปฏิบัติตามหรือละเมิดระเบียบปฏิบัติในปัจจุบันเป็นอย่างไร

ศูนย์คอมพิวเตอร์และสารสนเทศ มีการเฝ้าระวังการละเมิดระเบียบปฏิบัติด้านความมั่นคงปลอดภัยดังนี้

1. เข้าร่วมประชุมประจ าเดือนร่วมกับทีมบริหาร เพ่ือน าเสนอความส าคัญของระบบสารสนเทศ และทบทวบการรักษาความมั่นคงปลอดภัยในระบบสารสนเทศ

2. จัดท าคู่มือการรักษาความมั่นคงปลอดภัยในระบบเครือข่าย ตามพรบ.กระท าความผิดทางคอมพิวเตอร์

3. จัดท าระบบรายงานผู้บังคับบัญชากรณีมีผู้ละเมิดระเบียบปฏิบัติ เพ่ือหาทางแก้ไขร่วมกับหน่วยงานโดยด่วน

4. จัดระบบเชิงรุกสุ่มตรวจสอบโดยศูนย์คอมพิวเตอร์และสารสนเทศ ตรวจการละเมิดระเบียบปฏิบัติและซักซ้อมความเข้าใจเรื่องการรักษาความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ

Data Center ของโรงพยาบาลม่ันคงปลอดภัยในระดับที่ได้มาตรฐาน

ตามท่ีศูนย์คอมพิวเตอร์และสารสนเทศ ได้ท าการระบบข้อมูลกลาง (Data Center) เพ่ือให้เป็นไปตามเป้าหมายและมาตรฐานที่ก าหนด โดยแบ่งเป็น 2 ส่วน ดังนี้

ส่วนที่ 1มาตรฐานห้องควบคุมการให้บริการแม่ข่ายเซิร์ฟเวอร์ (Data Center)ของโรงพยาบาลนครพนม

1. ด้านห้องควบคุม สถานที่และสิ่งแวดล้อม ต้องมีความปลอดภัยสูง เนื่องจากมีการจัดท าห้องส าหรับติดตั้งแม่ข่ายเซิร์ฟเวอร์ที่ได้มาตรฐาน จัดเก็บม่ันคงภายใน ตู้ RACK มีการจัดวางบนชั้นอย่างเป็นระเบียบ มี label ก ากับอุปกรณ์และสายสัญญาณทุกเส้นและจัดเก็บอย่างเป็นระเบียบ สัญลักษณ์สามารถสื่อสารได้อย่างชัดเจน

Data Center ของโรงพยาบาลม่ันคงปลอดภัยในระดับที่ได้มาตรฐาน ตามท่ีศูนย์คอมพิวเตอร์และสารสนเทศ ได้ท าการระบบข้อมูลกลาง (Data Center) เพ่ือให้เป็นไปตามเป้าหมายและมาตรฐานที่ก าหนด โดยแบ่งเป็น 2 ส่วน ดังนี้

ส่วนที่ 1มาตรฐานห้องควบคุมการให้บริการแม่ข่ายเซิร์ฟเวอร์ (Data Center)ของโรงพยาบาลนครพนม

1. ด้านห้องควบคุม สถานที่และสิ่งแวดล้อม ต้องมีความปลอดภัยสูง เนื่องจากมีการจัดท าห้องส าหรับติดตั้งแม่ข่ายเซิร์ฟเวอร์ที่ได้มาตรฐาน จัดเก็บม่ันคงภายใน ตู้ RACK มีการจัดวางบนชั้นอย่างเป็นระเบียบ มี label ก ากับอุปกรณ์และสายสัญญาณทุกเส้นและจัดเก็บอย่างเป็นระเบียบ สัญลักษณ์สามารถสื่อสารได้อย่างชัดเจน


2. ด้านอุณหภูมิ ติดตั้งเครื่องปรับอากาศ ควบคุมอุณหภูมิที่ 23องศาจ านวน2 เครื่อง มีการเข้ามาตรวจเช็คและสลับแอร์ท างาน ทุกวันในช่วงเวรบ่าย และตรวจสอบความปลอดภัยทางภาพภาพพร้อมกัน


3. การควบคุมการเข้า-ออก ห้องแม่ข่ายเซิร์ฟเวอร์ โดยติดตั้งเครื่องสแกนนิ้ว เพ่ือควบคุมความปลอดภัยจากบุคคลภายนอก

4. อุปกรณ์ดับเพลิง มีติดตั้งเครื่องดับเพลิง ( ถังสีเขียว ) จ านวน 2 ถัง เจ้าหน้าที่ได้รับการอบรมวิธีการใช้เครื่องดับเพลิง


5. ห้องแม่ข่ายเซิร์ฟเวอร์ส ารองติดตั้งอยู่ห่างจากห้องแม่ข่ายเซิร์ฟเวอร์หลัก (แยกคนละตึก

6. จัดระบบไฟฟ้าส ารอง โดยติดตั้งเครื่องสลับกระแสไฟฟ้าอัตโนมัติ เพ่ือใช้ไฟฟ้าส ารองจากเครื่องปั่นไฟของโรงพยาบาล จ านวน 2 สาย และติดตั้งเครื่องส ารองไฟฟ้า (UPS) ประจ าเครื่อง SERVER


7. ระบบส ารองข้อมูลทั้งภายในและภายนอก DATA CENTER และโปรแกรมตรวจสอบความครบถ้วนของการส ารองข้อมูล

8. มีการจัดระบบเครือข่ายและมีแผนผังก าหนดชัดเจน

9. มีเจ้าหน้าที่อยู่เวรประจ าตั้งแต่ 08.30-24.00 น.ทุกวันไม่เว้นวันหยุด ข้อมูลผู้ป่วยม่ันคงปลอดภัย ม่ันใจได้อย่างไรว่าไม่มีผู้ใดที่ไม่ได้ท าหน้าที่ดูแลรักษาผู้ป่วยในขณะนั้นที่สามารถเข้าถึงข้อมูลของผู้ป่วยได้

ศูนย์คอมพิวเตอร์และสารสนเทศได้มั่นใจว่า ความปลอดภัย มั่นคงข้อมูลผู้ป่วย ดังนี้

1. เครื่องแม่ข่ายระบบสารสนเทศทางการแพทย์ ที่มีข้อมูลผู้ป่วย ของโรงพยาบาลนครพนม ได้ถูกจัดเก็บในห้องควบคุมข้อมูล (Data Center) ซึ่งมีความเป็นมาตรฐานตามท่ีระบุ

2. เครื่องแม่ข่ายระบบสารสนเทศทางการแพทย์ HOSxP (หลัก) และเครื่องแม่ข่ายระบบสารสนเทศทางการแพทย์ HOSxP (ส ารอง) ที่มีคุณลักษณะมาตรฐานเดียวกัน ได้ถูกแยกจัดเก็บคนละอาคารและมีระบบส ารองข้อมูลใน HARDDISK แยกต่างหากจัดเก็บคนละที่กัน หากมีปัญหาสามารถน าข้อมูลกลับมาใช้ได้

3. มีระบบแยกเครือข่ายระบบสารสนเทศทางการแพทย์ และอินเตอร์เน็ต 4. มีมาตรการควบคุมการเข้าห้องควบคุมข้อมูล (Data Center) จากบุคคลภายนอกโดยใช้

ระบบ Finger Scanก่อนเข้าห้องเพ่ือความปลอดภัยด้านข้อมูลสารสนเทศ


ศูนย์คอมพิวเตอร์และสารสนเทศ มั่นใจว่าไม่มีผู้ใดที่ไม่ได้มีหน้าที่ดูแลรักษาผู้ป่วยในขณะนั้นที่สามารถเข้าถึงข้อมูลของผู้ป่วยได้ เนื่องจากได้ก าหนดมาตรฐานการปฏิบัติงานดังนี้

1. ระบบสารสนเทศฯ มีการจัดท าระบบบัญชีรายชื่อผู้ใช้งาน และรหัสผ่าน เพ่ืออนุญาตให้เข้าใช้งานเฉพาะรายคน

2. ระบบสารสนเทศฯ มีการจัดล าดับชั้นการเข้าถึงข้อมูล โดยก าหนดสิทธิ์ในการเข้าถึงข้อมูลมีความเฉพาะเจาะจงตามวิชาชีพของบุคลากรแต่ละประเภท และปิดการใช้งานทันทีเมื่อย้ายหรือลาออก


3. ระบบสารสนเทศฯ มีระบบAuto Logout จากโปรแกรมสารสนเทศทางการแพทย์ ทุก 1 ชั่วโมง

4. ระบบสารสนเทศฯ มีระบบยืนยันการเปลี่ยน Password ทุก 30 วัน

1. · 2017-06-14 ·...

Documents

Transcript of 1. · 2017-06-14 ·...