หมวดที่ 6 มาตรฐานการรักษาความปลอดภัย

  • Print
Details
Details
Category: ICT
Published on Sunday, 07 August 2016 14:38
Written by Super User
Hits: 8162

หมวดที่ 6 มาตรฐานการรักษาความปลอดภัย
มาตรฐานการรักษาความปลอดภัยของโรงพยาบาลฟากท่า มีรายละเอียดดังนี้

1.มาตรฐานการรักษาความปลอดภัยพื้นที่ห้อง Server  

  • ต้องปิดล๊อกประตูหรือหน้าต่างของห้องตลอดเวลา
  • ต้องมีระบบเตือนภัย เช่น ระบบ Door Access Alarm ระบบ Fire Alarm เป็นต้น
  • ต้องมีระบบควบคุมการเข้าออก (Access Control)
  • กรณีบุคคลภายนอกมีความจำเป็นต้องเข้าออกพื้นที่ฯ จะต้องมีเจ้าหน้าที่คอยควบคุมติดตามอยู่ด้วยตลอดเวลา และหากต้องการ Access อุปกรณ์ใด จะต้องได้รับอนุญาตจากเจ้าของระบบหรือผู้มีสิทธิ์อนุญาตก่อน
  • ต้องจัดวางตำแหน่งของอุปกรณ์อย่างเหมาะสม ป้องกันความเสี่ยงจากความร้อนจากแสงแดดฝุ่นละออง และความชื้น
  • ต้องมีการบันทึกตรวจสอบสภาพความพร้อมของระบบUPS,แสงสว่างฉุกเฉิน,ระบบป้องกันฟ้าผ่า, ระบบแอร์ และเก็บบันทึกการตรวจสอบไว้เป็นหลักฐาน
  • ไม่นำอาหารและเครื่องดื่มเข้ามารับประทานในห้อง Server


2. มาตรฐานการรักษาความปลอดภัยของ Server

  • ต้องกำหนดสิทธิ์การเข้าถึงแบบชั่วคราวแก่บุคคลภายนอกที่ต้องการเข้าถึง Server นั้น และต้องมอบหมายให้มีผู้ควบคุมตรวจสอบบันทึกรายการ และลบสิทธิ์ทันที่ที่ปฏิบัติงานเสร็จ
  • ต้องมีบันทึกรายการของ OS,Service Patch,Application ที่ติดตั้งบน Server นั้นๆ
  • ต้องตรวจสอบ Security Log เพื่อค้นหา Invalid attempt access ของผู้บุกรุกและตรวจสอบFault alarm log เพื่อการ Trace back ปัญหาที่เกิดขึ้นเป็นประจำวัน
  • ต้องมีคู่มือการ Start up/shut down server
  • ต้องมีบันทึกการ Backup data และ OS เป็นประจำ (Dairy Backup และ monthly Full Backup)
  • ต้องทำการ Synchronize clock ของ Server และ Network Device ให้มีเวลาตรงกันทั้งหมด
  • ต้องตั้งค่าAdministratoraccount/Passwordให้ยากต่อการคาดเดา(ไม่ต่ำกว่า8 ตัวอักษร) และต้องไม่ใช้คำ Default
  • ต้องกำหนดค่า Limit time to access
  • ต้อง log off System ทุกครั้งเมื่อเลิกใช้ Management console หรือเมื่อลุกออกไปจากหน้าจอ
  • กรณีที่มี System Administrator โยกย้ายหรือเปลี่ยนแปลงหน้าที่ให้ หัวหน้าหน่วยยกเลิกสิทธิ์การเข้าถึงอุปกรณ์ดังกล่าวทันที
  • ต้อง Update Security Patch อย่างสม่ำเสมอ
  • ต้องมีบันทึกสรุปการเกิดปัญหาของอุปกรณ์ และการแก้ไขระบบ
  • ต้องมีขั้นตอนการทำลาย Computer media เช่น Disk, Tape, Print out Report

3.มาตรฐานการรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์และสื่อสาร

  • กำหนด Network Service ที่ไม่อนุญาตให้รับ-ส่งได้บนเครือข่าย
  • มีการทดสอบความปลอดภัยทุกครั้งที่จะเชื่อมต่อกับเครือข่ายของบุคคลภายนอก เพื่อให้มั่นใจว่าไม่มีการเข้าถึง Resources ที่ไม่ได้รับอนุญาต
  • ต้องทำ Secure Authenticate ทุกครั้งที่ต้องการ access อุปกรณ์เพื่อการ Administration และต้องกำหนดสิทธิ์การเข้าถึงแบบชั่วคราวแก่บุคคลภายนอกที่ต้องการเข้าถึงอุปกรณ์นั่น พร้อมมอบหมายให้มีผู้ควบคุม ตรวจสอบและลบสิทธิ์ทันที่ปฏิบัติงานเสร็จ
  • ต้องตรวจสอบ Security Log เพื่อค้นหา Invalid attempt access ของผู้บุกรุก และตรวจสอบFault alarm log เพื่อการ Trace back ปัญหาที่เกิดขึ้นเป็นประจำวัน
  • ต้องตั้งค่า Network Administrator Account/Password ให้ยากต่อการคาดเดา (ไม่ต่ำกว่า 8 Characters) และต้องไม่ใช้คำ Default
  • ต้องป้องกัน Unauthorized access สู่ Remote Access diagnostic port และต้องใช้ Secure Port ในการทำ Remote Administration เท่านั้น
  • ต้องทำการ Synchronize time ของอุปกรณ์ Network /Gateway ทุกเครื่องให้ตรงกันรวมทั้งSynchronize ให้ตรงกับอุปกรณ์ Server ด้วย
  • ต้องมีบันทึก Configuration Change Control ในประเด็นที่เป็น Major Change
  • ต้อง Update Security Patch อย่างสม่ำเสมอ
  • ต้องมีบันทึกสรุปการเกิดปัญหากับอุปกรณ์ และแนวทางแก้ไข


4.มาตรฐานการรักษาความปลอดภัยเคลื่อนย้ายและทำลายข้อมูลของอุปกรณ์ ICT

  • ต้องทำการ Clear ข้อมูลที่บันทึกอยู่ในอุปกรณ์ HD, Backup Tape หรือสื่อที่ใช้เก็บข้อมูลก่อนทำการเปลี่ยนทดแทนอุปกรณ์ รวมทั้งลบข้อมูลที่บันทึกในอุปกรณ์ที่ต้องการทำลายหรือแทงจำหน่ายต้องได้รับความเห็นชอบจากผู้มีอำนาจอนุมัติในการเคลื่อนย้ายอุปกรณ์ออกไปบำรุงรักษาภายนอกสถานที่

5.มาตรฐาน Electronic Data Classification

  • กรรมกาสารสนเทศได้กำหนดให้ผู้เกี่ยวข้องกับการทำ ElectronicDate Classification มีดังนี้- Data Owner หมายถึง เจ้าของข้อมูล- Data Custodian หมายถึง ผู้ปกป้องรักษาข้อมูล- Data User หมายถึง ผู้ใช้ข้อมูล
  • กรรมการสารสนเทศจะทำหน้าที่เป็น Data Custodian ที่ได้รับมอบหมายจากเจ้าของข้อมูลอย่างเป็นทางการเท่านั้น
  • กรรมการสารสนเทศได้กำหนดชั้นระดับความลับข้อมูลออกเป็น 4 ระดับ เรียงตามลำดับต่ำสุดถึงสูงสุด ตามนโยบายเกี่ยวกับความลับองค์กร ดังนี้- ข้อมูลที่เปิดเผยได้ (Public)- ข้อมูลปกปิด (Non Disclosure or Sensitive)- ข้อมูลลับ (Confidential)- ข้อมูลลับมาก (Secret)
  • กรรมการสารสนเทศออกแบบระบบสารสนเทศและจัดหาSoftware Tool ในการป้องกันการเข้าถึง การเปิดเผยข้อมูล ความครบถ้วนของข้อมูล และความพร้อมใช้ของข้อมูลให้ตามความองการของเจ้าของข้อมูลที่สอดคล้องกับทิศทางขององค์กร
  • เจ้าของข้อมูลต้องกำหนดระยะเวลาการเก็บรักษา และการทำลายข้อมูลให้กรรมการสารสนเทศทราบ
  • หน่วยงานเจ้าของข้อมูลมีหน้าที่ทบทวนชั้นความลับข้อมูล
  • หน่วยงานเจ้าของข้อมูลต้องกำหนด Output report และ Screen display ที่สอดคล้องกับระดับชั้นความลับ
  • ผู้ใช้ข้อมูลมีหน้าที่ปฏิบัติตามสิทธิ์ที่เจ้าของข้อมูลกำหนดเท่านั้น

 

หมวดที่ 5 มาตรฐานการจัดเก็บเอกสารแบบอิเลคทรอนิกส์

  • Print
Details
Details
Category: ICT
Published on Sunday, 07 August 2016 14:35
Written by Super User
Hits: 7907

หมวดที่ 5 มาตรฐานการจัดเก็บเอกสารแบบอิเลคทรอนิกส์


มาตรฐานต่างๆที่เกี่ยวข้องกับการจัดเก็บเอกสารแบบอิเล็กทรอนิกส์ โดยพิจารณาแยกเป็นเอกสารจากภายนอกองค์กรและเอกสารภายในองค์กร โดยมีข้อกำหนดดังนี้

  1. มาตรฐานระบบงาน Document Management การเก็บเอกสารสำหรับเอกสารจากภายในหรือภายนอก หรือเอกสารที่จำเป็นต้อง Scan ให้ใช้ซอฟท์แวร์โมดูลงานสารบรรณของ HOSxP ในการจัดเก็บและทำลายตามระเบียบงานสารบรรณ
  2. มาตรฐานการจัดการ Hard disk สำหรับจัดเก็บข้อมูลในเครื่อง PC และ notebook มีดังนี้-Drive C: สำหรับติดตั้งระบบปฏิบัติการและโปรแกรมต่างๆ-Drive D: สำหรับเก็บข้อมูล โดยให้มี Folder ของหน่วยงานโดยตั้งชื่อ Folderของหน่วยงาน
     คือ WORK_<รหัสหน่วยงาน>

    ตัวอย่างการตั้งชื่อ Folder เก็บงานใน Driver D:
    WORK_HAC

  3. มาตรฐานการตั้งชื่อ Folder มี Format ดังนี้ <รหัสหน่วยงาน>--<ชื่อ Folder>

    ตัวอย่างการตั้งชื่อ Folder
    HAC_รูปภาพ

  4. มาตรฐานการตั้งชื่อ File มี Format ดังนี้ <รหัสหน่วยงาน>--<ชื่อ File>

    ตัวอย่างการตั้งชื่อ File
    HAC-540101-service profile.doc

มาตรฐานที่ 4 e-mail ที่ใช้ในสำนักงาน

  • Print
Details
Details
Category: ICT
Published on Sunday, 07 August 2016 14:34
Written by Super User
Hits: 7865

มาตรฐาน e-mail ที่ใช้ในสำนักงาน

การกำหนดมาตรฐานต่างๆ ที่เกี่ยวข้องกับการใช้ e-mail ได้แก่มาตรฐานของ email address โดยคณะกรรมการสารสนเทศได้กำหนดมาตรฐานสำหรับการใช้ email ของบุคลากรโรงพยาบาลฟากท่า ดังนี้
 
มาตรฐาน e-mail address
  1. กำหนดให้บุคลากรต่อไปนี้ต้องมี e-mail ที่ใช้ในการติดต่อสื่อสาร
    - ผู้อำนวยการและคณะกรรมการบริหาร
    - คณะกรรมการทีมประสานทุกคน
    - หัวหน้างานและรองหัวหน้างาน
    - เจ้าหน้าที่บันทึกข้อมูล
  2. กำหนดให้ gmail เป็นมาตรฐานของการใช้ e-mail ในโรงพยาบาล
  3. กำหนดมาตรฐานข้อความท้าย e-mail ดังนี้
    ชื่อ-นามสกุล
    ตำแหน่ง.......................................
    โรงพยาบาลฟากท่า
    โทร.055489339 ต่อ หมายเลขโทรศัพท์ภายใน

    ตัวอย่าง
    จรัส     สีกา
    ตำแหน่งนักวิชาการสาธารณสุข ชำนาญการ
    โรงพยาบาลฟากท่า
    โทร.055489339 ต่อ 117

หมวดที่ 3 มาตรฐาน Software ที่ติดตั้งใน PC และ Notebook

  • Print
Details
Details
Category: ICT
Published on Sunday, 07 August 2016 14:32
Written by Super User
Hits: 8204
หมวดที่ 3 มาตรฐาน Software ที่ติดตั้งใน PC และ Notebook
มาตรฐานซอฟท์แวร์ต่างๆที่จะติดตั้งในเครื่อง PC และ Notebook ได้แก่มาตรฐานการจัดหา Software License และการใช้ Software ในองค์กร มาตรฐาน Font งานเอกสารที่ใช้สื่อสารในองค์กร มาตรฐาน Software ของ Office Desktop ที่ติดตั้งใน PC และ Notebook ทุกเครื่องและSoftware พิเศษ มีรายละเอียดดังนี้
 
การใช้ Software ในองค์กร
 
  1. ศูนย์คอมพิวเตอร์จะเป็นผู้รับผิดชอบการจัดหา ให้บริการติดตั้งและการให้คำแนะนำช่วยเหลือสำหรับ Software ที่กำหนดเป็นมาตรฐานของ Office Desktop และ Software ตามภาระหน้าที่ของหน่วยงาน
  2. รายการ Software นอกเหนือจากรายการที่ระบุ ถือเป็น Software ที่ใช้เฉพาะหน่วยงาน ซึ่งผู้ใช้จะต้องแจ้งคณะกรรมการสารสนเทศเพื่อขอรับความเห็นชอบในการนำมาใช้งาน โดยศูนย์คอมพิวเตอร์จะเป็นหน่วยงานจัดหา ติดตั้ง และแนะนำการใช้งานให้แก่ หน่วยงานที่รับผิดชอบงานต่อไป
  3. ห้ามผู้ใช้ติดตั้ง Software นอกเหนือจากรายการที่ระบุในเครื่องคอมพิวเตอร์ขององค์กร
  4. การกำหนดมาตรฐาน Software ที่ติดตั้ง เพื่อให้เกิดความสอดคล้องของการใช้ข้อมูลร่วมกันในเชิงภาพกว้างแต่หากเครื่องของผู้ใช้ใดยังไม่สามารถติดตั้ง Software ตามมาตรฐานที่กำหนดไว้ ศูนย์คอมพิวเตอร์จะติดตั้ง Software ที่เหมาะสมกับสภาพเครื่องคอมพิวเตอร์ของใช้ในขณะนั้น พร้อมกับแนะนำวิธีการใช้เฉพาะที่จะทำให้เกิดความสอดคล้องกับผู้ใช้ส่วนใหญ่ได้

มาตรฐาน Software ที่ใช้ในโรงพยาบาล

1. มาตรฐาน Font งานเอกสารที่ใช้สื่อสารในองค์กร

  • การกำหนดภาษาใน Software ที่สามารถใช้ภาษาไทยได้ ให้ใช้มาตรฐานของ Unicode Format
  • ลักษณะของรูปแบบตัวอักษร กำหนดเป็น Font : TH SarabunPSK 9หรือCordia New โดยขนาด Font มาตรา 14 หรือเป็นไปตามลักษณะการใช้
  • รูปแบบของเอกสารที่ใช้เป็นไปตามรูปแบบเอกสารที่กำหนดเป็นเอกลักษณ์ขององค์กร

2. มาตรฐาน Software ของ Office Desktop ที่ติดตั้งใน PC และ Notebook ทุกเครื่อง

Software ระบบปฏิบัติการ
  •  Linux CenOS
  • Window XP
  • Windows7

Software สำนักงาน ชุดโปรแกรมพิมพ์เอกสาร
  • Libre office
  • Microsoft office 2003
  • Microsoft office 2007
Software ป้องกันไวรัสคอมพิวเตอร์
  • avira-free-antivirus
  • Panda free antivirus
  • Microsoft Essentials free antivirus
  • Kapersky lisence

Software บีบอัดข้อมูล
  • 7z

Software อ่านไฟล์ PDF
  • Adobe Acrobat
Software สำหรับแต่งภาพ
  • GIMP
  • Picasa 3
Software Utility
  • Mind
  • IPMSG
  • Team viewer
  • Dropbox
  • Join.me
  • cclean

Software ที่ใช้งาน Internet
  • Google chrome
  • Google talk
  • Skype
  • Team talk
Software Multimedia
  • AIMP2
  • VLC Mediaplayer
Software ที่ให้บริการผู้ป่วย
  • HOSxP
  • THCD  EMR viwer
  • OPPP nhso
Software ที่พัฒนาใช้เอง
  • โปรแกรมพิมพ์เช็ค
  • โปรแแกรมบริหารความเสี่ยง

 

 

หมวดที่ 2 มาตรฐาน Hardware

  • Print
Details
Details
Category: ICT
Published on Sunday, 07 August 2016 14:30
Written by Super User
Hits: 7864

หมวดที่ มาตรฐาน Hardware

การกำหนดมาตรฐาน Hardware ซึ่งเป็นข้อแนะนำคุณสมบัติขั้นต่ำ หรือทิศทางของเทคโนโลยีเพื่อให้เกิดความสอดคล้องของการใช้งาน Hardware นั้นๆ ดังนั้นในการออกข้อกำหนดสำหรับการจัดหาใหม่จะต้องพิจารณาSpecification ของอุปกรณ์ที่จะต้องจัดหาเพิ่มเติมจากข้อมูลในท้องตลาดโดยข้อมูลตัวเลขที่ให้เป็นค่าขั้นต่ำ ซึ่งสามารถกำหนดให้สูงกว่าได้ตามความเหมาะสมในการใช้งาน ยกเว้นตัวเลขที่มีการกำกับว่า“ไม่เกิน”ซึ่งถือว่าตัวเลขดังกล่าวเป็นค่าสูงสุดที่ยอมรับได้ ในการจัดทำงบประมาณเพื่อการจัดซื้อ สามารถตรวจสอบคุณสมบัติเฉพาะและราคากลางได้จาก e-Catalog ใน web siteของกระทรวง ICT ในหัวข้อต่อไปนี้เป็นตัวอย่างการกำหนดคุณสมบัติขั้นต่ำสำหรับ Hardware ประเภทต่างๆโดยพยายามหลีกเลี่ยงการกำหนดคุณสมบัติเฉพาะที่เจาะจงเป็นของผู้ผลิตรายใดรายหนึ่ง

เอกสารอ้างอิง
เกณฑ์ราคาพื้นฐานของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร

More Articles...

  1. หมวดที่ 1 มาตรฐานสิทธิ์การเบิก / ยืมอุปกรณ์และการให้บริการ ICT
  2. มาตรฐานเทคโนโลยีสารสนเทศ
  3. มาตรการรักษาความปลอดภัย
  4. นโยบายด้านเทคโนโลยีสารสนเทศ คณะกรรมการสารสนเทศ

Subcategories

   

Covid-19 Online  

   

ระบบสารสนเทศการบริหารจัดการความเสี่ยงของสถานพยาบาล  

   

ระบบรับขอร้องเรียน  

   

ศูนย์พัฒนาคุณภาพ  

   
© โรงพยาบาลฟากท่า อำเภอฟากท่า จังหวัดอุตรดิตถ์