แนวทางปฏิบัติด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ
- การรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
- กำหนดพื้นที่ควบคุม กระบวนการควบคุมการเข้าออกเฉพาะบุคคลที่ได้รับอนุญาตเพื่อปฏิบัติงาน ในพื้นที่ควบคุม การป้องกันภัยคุกคามจากภายนอกและสิ่งแวดล้อมการบริหารจัดการระบบ สารสนเทศอุปกรณ์สนับสนุนการปฏิบัติงาน และการบำรุงรักษาอุปกรณ์
- การควบคุมการเข้าถึงระบบเทคโนโลยีสารสนเทศและการสื่อสาร
- ผู้ดูแลระบบต้องตรวจสอบการอนุมัติและกำหนดรหัสผ่าน การลงทะเบียน ผู้ใช้งานเพื่อให้ผู้ใช้ที่มี สิทธิ์ (User Authentication) เท่านั้น ที่สามารถเข้าถึงระบบได้ และเก็บบันทึกข้อมูลการเข้าถึง และข้อมูลจราจรทางคอมพิวเตอร์
- ผู้ดูแลระบบต้องบริหารจัดการการเข้าถึงสิทธิ์การเข้าถึงข้อมูลให้เหมาะสมตามระดับชั้นความลับ ของผู้ใช้งาน การทบทวนสิทธิ์การใช้งานและการตรวจสอบการละเมิดความปลอดภัย
- ผู้ดูแลระบบต้องกำหนดเส้นทางการเชื่อมต่อระบบคอมพิวเตอร์เพื่อให้การใช้งานอินเตอร์เน็ต ต้องผ่าน ระบบรักษาความปลอดภัยที่จัดสรรไว้ เช่น Firewall, IPS/IDS, Proxy การตรวจสอบไวรัส คอมพิวเตอร์ เป็นต้น
- ผู้ดูแลระบบต้องควบคุมการเข้าใช้งานจากภายนอก (Remote Access) โดยการกำหนดสิทธิ ควบคุมพอร์ต (Port) ที่ใช้เข้าสู่ระบบอย่างรัดกุมและมีการแสดงตัวตนของผู้ใช้และการพิสูจน์ ยืนยันตัวตน (Authentication)
- การใช้เครื่องคอมพิวเตอร์ส่วนบุคคลและคอมพิวเตอร์พกพา
3.1 กำหนดให้ใช้เครื่องคอมพิวเตอร์ที่เป็นทรัพย์สินของโรงพยาบาลบางน้ำเปรี้ยว รวมทั้งโปรแกรมใช้ งานต่างๆ ควรมีลิขสิทธิ์ถูกต้องตามกฎหมาย ห้ามติดตั้งโปรแกรมที่ไม่เกี่ยวข้องกับงานที่ปฏิบัติ
- กำหนดให้ใช้ Username และ Password ก่อนใช้งานเครื่อง รวมทั้งล็อกหน้าจอ ด้วยโปรแกรม Screen Saver ในเวลาพักงานหรือพักการใช้เครื่องชั่วคราว
- ผู้ใช้ต้องรับผิดชอบในการสำรองข้อมูลและกู้คืนข้อมูลบนสื่อเก็บข้อมูลที่มีความเหมาะสมและ ต้องเก็บรักษาไว้ในที่ปลอดภัย
- การใช้คอมพิวเตอร์ส่วนตัวในโรงพยาบาล แจ้งศูนย์คอมพิวเตอร์เมื่อต้องการใช้งานคอมพิวเตอร์ ส่วนตัวทุกครั้งของการใช้งาน
- การใช้งานอินเตอร์เน็ตและจดหมายอิเล็กทรอนิกส์
- ผู้ดูแลระบบจะต้องกำหนดเฉพาะผู้ที่มีสิทธิ์ (User Authentication) จึงจะสามารถเชื่อมต่อ ระบบเพื่อใช้งานอินเตอร์เน็ตหรือจดหมายอิเล็กทรอนิกส์ได้
- จัดให้มีระบบรักษาความปลอดภัย เพื่อตรวจสอบการใช้งานและภัยคุกคาม
- กำหนดแนวทางปฏิบัติการใช้งานอินเตอร์เน็ตและจดหมายอิเล็กทรอนิกส์ที่ถูกต้อง โดยไม่ละเมิด สิทธิ์หรือกระทำการใดๆ ที่สร้างปัญหาให้แก่ระบบหรือผู้ใช้อื่น
- ต้องมีการเก็บข้อมูลการเข้าถึงระบบและข้อมูลจราจรทางคอมพิวเตอร์
- การควบคุมการเข้าถึงระบบเครือข่ายไร้สาย
- ผู้ดูแลระบบกำหนดรหัสผ่านและสิทธิ์ผู้ใช้งานในการเข้าถึงระบบเครือข่ายไร้สาย (Wireless LAN) และลงทะเบียนอุปกรณ์ไร้สายทุกเครื่อง กำหนดตำแหน่งการวางอุปกรณ์ Access Point ให้เหมาะสม เพื่อป้องกันไม่ให้บุคคลภายนอกที่ไม่เกี่ยวข้อง หรือไม่ได้รับอนุญาตเข้าใช้งานได้
- การป้องกันโปรแกรมไม่ประสงค์ดี
- ผู้ดูแลระบบตรวจสอบเครื่องคอมพิวเตอร์ทุกเครื่องที่จะนำมาต่อกับระบบเครือข่ายคอมพิวเตอร์ ของโรงพยาบาลบางน้ำเปรี้ยว ต้องได้รับการติดตั้งโปรแกรมป้องกันไวรัสและผู้ใช้จะต้องตรวจสอบ ไวรัสคอมพิวเตอร์จากสื่อเก็บข้อมูลทุกชนิด ก่อนนำมาใช้งานร่วมกับคอมพิวเตอร์หลัก
- สำรองข้อมูลโปรแกรม HOSxP แบบ Real time ไปยังเครื่อง Back up และการสำรองแบบ Auto ทุกวัน เวลาเที่ยงคืน
แนวทางปฏิบัติด้านความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศ ได้กำหนดขึ้นมาเพื่อเป็น แนวทางในการรักษาความมั่นคง ปลอดภัย ช่วยลดความเสียหายต่อการดำเนินงาน ทรัพย์สิน บุคลากร ทำให้ สามารถดำเนินงานได้อย่างมั่นคงปลอดภัย ส่วนแนวทางการปฏิบัติการเข้าใช้งาน ระบบเทคโนโลยีสารสนเทศ และการสื่อสาร จัดเป็นมาตรฐานด้านความปลอดภัยในการใช้งาน ซึ่งเจ้าหน้าที่ ของโรงพยาบาลบางน้ำเปรี้ยว และหน่วยงานภายนอกจะต้องปฏิบัติตามอย่างเคร่งครัด
ประกาศ ณ วันที่ 5 พฤษภาคม พ.ศ. 2565
(นายสรลักษณ์ มิ่งไทยสงค์)
ผู้อำนวยการโรงพยาบาลบางน้ำเปรี้ยว