นโยบายความปลอดภัย

Spread the love

ประกาศโรงพยาบาลเทพสถิต จังหวัดชัยภูมิ

เรื่อง  มาตรฐานและการรักษาความมันคงปลอดภัยระบบสารสนเทศ

       ของโรงพยาบาลเทพสถิต จังหวัดชัยภูมิ

              ___________________________________

            มาตรฐานเทคโนโลยีสารสนเทศ(ICTStandard)หมายถึง แนวทางกรอบกติกาและการจัดการเพื่อใช้อ้างอิงในงานที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศของโรงพยาบาลเทพสถิตทั้งทางด้านซอฟท์แวร์เครื่องมือ และเทคโนโลยีเพื่อให้การใช้เทคโนโลยีในองค์กรมีทิศทางเดียวกันและตรงกับความต้องการขององค์กร ที่จะนำไปสู่การลดต้นทุนและลดระดับความซับซ้อนในการใช้งานรวมทั้งเกิดความต่อเนื่องของการใช้สารสนเทศในองค์กร ผู้เกี่ยวข้องกับการจัดทำและใช้มาตรฐานเทคโนโลยีสารสนเทศได้แก่ ผู้จัดหา ผู้ดูแล ผู้บริหารจัดการและผู้ใช้อุปกรณ์สารสนเทศ โดยมีฝ่ายวางแผนเทคโนโลยีสารสนเทศขององค์กรเป็นผู้รับผิดชอบปรับปรุงความทันสมัยของมาตรฐานดังกล่าว

การรักษาความมันคงปลอดภัยระบบสารสนเทศ โรงพยาบาลเทพสถิต เป็นการจัดทําขึ้นเพื่อกำหนดแนวทางไว้เป็นกรอบและเป็นแผนที่นําทางในระดับกลยุทธ์ เพื่อยกระดับมาตรฐานการรักษาความมันคง ปลอดภัยด้านเทคโนโลยีสารสนเทศของโรงพยาบาลเทพสถิต ให้อยูระดับมาตรฐานสากล โดยอ้างอิงจากกรอบ มาตรฐานสากล ISO/IEC 27001 อีกทั้งต้องการลดผลกระทบจากเหตุ ตลอดจนการกู้คืนระบบอย่างรวดเร็ว  หลังจากการโจมตีสิ้นสุดลง

วัตถุประสงค์ของการจัดทำมาตรฐานเทคโนโลยีสารสนเทศ

1.เพื่อเป็นแนวทางในการให้บริการและจัดอุปกรณ์ต่างๆให้กับบุคลากรในองค์กร

2.เพื่อให้บุคลากรในองค์กรมีทักษะ ความสามารถไปในทิศทางเดียวกัน สามารถโยกย้ายงานหรือทำการถ่ายโอนความรู้ (Knowledge Transfer) กันได้ง่าย

3.เพื่อเป็นแนวทางในการจัดทำงบประมาณด้าน ICT ของโรงพยาบาลเทพสถิต กรรมการสารสนเทศได้

แบ่งมาตรฐานเทคโนโลยีสารสนเทศเป็นหมวดใหญ่ๆ 8 หมวดดังนี้

1.นโยบายรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศ

2.การแบ่งแยกอำนาจหน้าที่ (Segregation of Duties)

3.การควบคุมการเข้าออกศูนย์คอมพิวเตอร์และการป้องกันความเสียหาย (Physical Security)

4.การรักษาความปลอดภัยข้อมูล ระบบคอมพิวเตอร์ และระบบเครือข่าย (Information and Network Security)

5.การควบคุมการพัฒนา หรือแก้ไขเปลี่ยนแปลงระบบงานคอมพิวเตอร์    (Change Management)

6.การสำรองข้อมูลและระบบคอมพิวเตอร์ และการเตรียมพร้อมกรณีฉุกเฉิน (Backup and IT Continuity Plan)

7.การควบคุมการปฏิบัติงานประจำด้านคอมพิวเตอร์ (Computer Operation)

8.การควบคุมการใช้บริการด้านงานเทคโนโลยีสารสนเทศจากผู้ให้บริการรายอื่น (IT Outsourcing)

ในแต่ละหมวดแบ่งเป็นรายการต่างๆซึ่งสอดคล้องกับนโยบายยุทธศาสตร์ ระเบียบของโรงพยาบาล และเทคโนโลยีด้าน ICT ในปัจจุบัน รายการต่างๆ ที่นำเสนอในคู่มือนี้เป็นเพียงส่วนหนึ่งซึ่งยังไม่ ครอบคลุมถึงรายการอื่นที่อาจมีขึ้นตามความจำเป็นขององค์กรและเทคโนโลยีในอนาคต เนื่องจากเทคโนโลยีสารสนเทศมีการเปลี่ยนแปลงเร็วมาก ดังนั้นคณะกรรมการสารสนเทศจะดำเนินการทบทวนและปรับปรุงรายการต่างๆ เป็นระยะๆ เพื่อให้มีความทันสมัยตามการเปลี่ยนแปลงของเทคโนโลยี