แนวทางปฏิบัติด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ

แนวทางปฏิบัติด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ

  1. การรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
    1. กำหนดพื้นที่ควบคุม กระบวนการควบคุมการเข้าออกเฉพาะบุคคลที่ได้รับอนุญาตเพื่อปฏิบัติงาน ในพื้นที่ควบคุม การป้องกันภัยคุกคามจากภายนอกและสิ่งแวดล้อมการบริหารจัดการระบบ สารสนเทศอุปกรณ์สนับสนุนการปฏิบัติงาน และการบำรุงรักษาอุปกรณ์
  2. การควบคุมการเข้าถึงระบบเทคโนโลยีสารสนเทศและการสื่อสาร
    1. ผู้ดูแลระบบต้องตรวจสอบการอนุมัติและกำหนดรหัสผ่าน การลงทะเบียน ผู้ใช้งานเพื่อให้ผู้ใช้ที่มี สิทธิ์ (User Authentication) เท่านั้น ที่สามารถเข้าถึงระบบได้ และเก็บบันทึกข้อมูลการเข้าถึง และข้อมูลจราจรทางคอมพิวเตอร์
    2. ผู้ดูแลระบบต้องบริหารจัดการการเข้าถึงสิทธิ์การเข้าถึงข้อมูลให้เหมาะสมตามระดับชั้นความลับ ของผู้ใช้งาน การทบทวนสิทธิ์การใช้งานและการตรวจสอบการละเมิดความปลอดภัย
    3. ผู้ดูแลระบบต้องกำหนดเส้นทางการเชื่อมต่อระบบคอมพิวเตอร์เพื่อให้การใช้งานอินเตอร์เน็ต ต้องผ่าน ระบบรักษาความปลอดภัยที่จัดสรรไว้ เช่น Firewall, IPS/IDS, Proxy การตรวจสอบไวรัส คอมพิวเตอร์ เป็นต้น
    4. ผู้ดูแลระบบต้องควบคุมการเข้าใช้งานจากภายนอก (Remote Access) โดยการกำหนดสิทธิ ควบคุมพอร์ต (Port) ที่ใช้เข้าสู่ระบบอย่างรัดกุมและมีการแสดงตัวตนของผู้ใช้และการพิสูจน์ ยืนยันตัวตน (Authentication)
  3. การใช้เครื่องคอมพิวเตอร์ส่วนบุคคลและคอมพิวเตอร์พกพา

3.1 กำหนดให้ใช้เครื่องคอมพิวเตอร์ที่เป็นทรัพย์สินของโรงพยาบาลบางน้ำเปรี้ยว รวมทั้งโปรแกรมใช้ งานต่างๆ ควรมีลิขสิทธิ์ถูกต้องตามกฎหมาย ห้ามติดตั้งโปรแกรมที่ไม่เกี่ยวข้องกับงานที่ปฏิบัติ

  1. กำหนดให้ใช้ Username และ Password ก่อนใช้งานเครื่อง รวมทั้งล็อกหน้าจอ ด้วยโปรแกรม Screen Saver ในเวลาพักงานหรือพักการใช้เครื่องชั่วคราว
  2. ผู้ใช้ต้องรับผิดชอบในการสำรองข้อมูลและกู้คืนข้อมูลบนสื่อเก็บข้อมูลที่มีความเหมาะสมและ ต้องเก็บรักษาไว้ในที่ปลอดภัย
  3. การใช้คอมพิวเตอร์ส่วนตัวในโรงพยาบาล แจ้งศูนย์คอมพิวเตอร์เมื่อต้องการใช้งานคอมพิวเตอร์ ส่วนตัวทุกครั้งของการใช้งาน
  4. การใช้งานอินเตอร์เน็ตและจดหมายอิเล็กทรอนิกส์
    1. ผู้ดูแลระบบจะต้องกำหนดเฉพาะผู้ที่มีสิทธิ์ (User Authentication) จึงจะสามารถเชื่อมต่อ ระบบเพื่อใช้งานอินเตอร์เน็ตหรือจดหมายอิเล็กทรอนิกส์ได้
    2. จัดให้มีระบบรักษาความปลอดภัย เพื่อตรวจสอบการใช้งานและภัยคุกคาม
    3. กำหนดแนวทางปฏิบัติการใช้งานอินเตอร์เน็ตและจดหมายอิเล็กทรอนิกส์ที่ถูกต้อง โดยไม่ละเมิด สิทธิ์หรือกระทำการใดๆ ที่สร้างปัญหาให้แก่ระบบหรือผู้ใช้อื่น
    4. ต้องมีการเก็บข้อมูลการเข้าถึงระบบและข้อมูลจราจรทางคอมพิวเตอร์
  1. การควบคุมการเข้าถึงระบบเครือข่ายไร้สาย
    1. ผู้ดูแลระบบกำหนดรหัสผ่านและสิทธิ์ผู้ใช้งานในการเข้าถึงระบบเครือข่ายไร้สาย (Wireless LAN) และลงทะเบียนอุปกรณ์ไร้สายทุกเครื่อง กำหนดตำแหน่งการวางอุปกรณ์ Access Point ให้เหมาะสม เพื่อป้องกันไม่ให้บุคคลภายนอกที่ไม่เกี่ยวข้อง หรือไม่ได้รับอนุญาตเข้าใช้งานได้
  2. การป้องกันโปรแกรมไม่ประสงค์ดี
    1. ผู้ดูแลระบบตรวจสอบเครื่องคอมพิวเตอร์ทุกเครื่องที่จะนำมาต่อกับระบบเครือข่ายคอมพิวเตอร์ ของโรงพยาบาลบางน้ำเปรี้ยว ต้องได้รับการติดตั้งโปรแกรมป้องกันไวรัสและผู้ใช้จะต้องตรวจสอบ ไวรัสคอมพิวเตอร์จากสื่อเก็บข้อมูลทุกชนิด ก่อนนำมาใช้งานร่วมกับคอมพิวเตอร์หลัก
  3. สำรองข้อมูลโปรแกรม HOSxP แบบ Real time ไปยังเครื่อง Back up และการสำรองแบบ Auto ทุกวัน เวลาเที่ยงคืน

แนวทางปฏิบัติด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ได้กำหนดขึ้นมาเพื่อเป็น แนวทางในการรักษาความมั่นคง ปลอดภัย ช่วยลดความเสียหายต่อการดำเนินงาน ทรัพย์สิน บุคลากร ทำให้ สามารถดำเนินงานได้อย่างมั่นคงปลอดภัย ส่วนแนวทางการปฏิบัติการเข้าใช้งาน ระบบเทคโนโลยีสารสนเทศ และการสื่อสาร จัดเป็นมาตรฐานด้านความปลอดภัยในการใช้งาน ซึ่งเจ้าหน้าที่ ของโรงพยาบาลบางน้ำเปรี้ยว และหน่วยงานภายนอกจะต้องปฏิบัติตามอย่างเคร่งครัด

ประกาศ ณ วันที่ 5 พฤษภาคม พ.ศ. 2565

(นายสรลักษณ์ มิ่งไทยสงค์)

ผู้อำนวยการโรงพยาบาลบางน้ำเปรี้ยว

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
ออกแบบโดย dsite.in.th