Security Internet

นโยบาย

 

               เรื่อง

 

             การรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศทางการแพทย์

 

 

 

 

ศูนย์เทคโนโลยีสารสนเทศทางการแพทย์

โรงพยาบาลวารินชำราบ จังหวัดอุบลราชธานี

 

 

  1. นโยบายการรักษาความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
    1. กำหนดพื้นที่ควบคุม กระบวนการควบคุมการเข้าออกเฉพาะบุคคลที่ได้รับอนุญาตเพื่อปฏิบัติงานในพื้นที่ควบคุม การป้องกันภัยคุกคามจากภายนอกและสิ่งแวดล้อม การบริหารจัดการระบบสารสนเทศ อุปกรณ์สนับสนุนการปฏิบัติงาน และการบำรุงรักษาอุปกรณ์
  2. นโยบายการควบคุมการเข้าถึงระบบเทคโนโลยีสารสนเทศทางการแพทย์
    1. กำหนดให้ผู้ดูแลระบบต้องตรวจสอบการอนุมัติและกำหนดรหัสผ่าน การลงทะเบียนผู้ใช้งานเพื่อให้ผู้ใช้มีสิทธิ ( User Authentication ) เท่านั้นที่สามารถเข้าถึงระบบได้ และเก็บบันทึกข้อมูลการเข้าถึงและข้อมูลการจราจรทางคอมพิวเตอร์
    2. ผู้ดูแลระบบต้องบริหารจัดการการเข้าถึงสิทธิ์การเข้าถึงข้อมูลได้เหมาะสมตามระดับชั้นความลับของผู้ใช้งาน การทบทวนสิทธิ์การใช้งานและการตรวจสอบการละเมิดความปลอดภัย
    3. ผู้ดูแลระบบต้องกำหนดเส้นทางการเชื่อมต่อระบบคอมพิวเตอร์เพื่อใช้งานอินเตอร์เนต ต้องผ่านระบบรักษาความปลอดภัยที่จัดสรรไว้ เช่น Firewall , IPS/IDS , Proxy การตรวจสอบไวรัสคอมพิวเตอร์ เป็นต้นและมีการออกแบบระบบเครือข่ายโดยแบ่งเขต ( Zone ) การใช้งานเพื่อทำให้การควบคุมและป้องกันภัยคุกคามได้อย่างเป็นระบบ
    4. ผู้ดูแลระบบต้องควบคุมการเข้าใช้งานจากภายนอก ( Remote Access ) โดยการกำหนดสิทธิ ควบคุมพอร์ต ( Port ) ที่ใช้เข้าสู่ระบบอย่างรัดกุมและมีการแสดงตัวตนของผู้ใช้และการพิสูจน์ยืนยันตัวตน      ( Authentication ) เช่นการใช้รหัสผ่าน Smart Card เป็นต้น
  3. นโยบายการใช้เครื่องคอมพิวเตอร์ส่วนบุคคลและคอมพิวเตอร์พกพา
    1. กำหนดให้ใช้เครื่องคอมพิวเตอร์ที่เป็นทรัพย์สินของโรงพยาบาลวารินชำราบรวมทั้งโปรแกรมใช้งานต่างๆ ควรมีลิขสิทธิ์ถูกต้องตามกฏหมาย ห้ามตั้งโปรแกรมที่ไม่เกี่ยวข้องกับงานที่ปฏิบัติ
    2. กำหนดให้ใช้ Username และ Password ก่อนใช้งานเครื่อง รวมทั้งล๊อกหน้าจอด้วยโปรแกรม Screen Saver ในเวลาพักงานหรือพักการใช้เครื่องชั่วคราว
    3. ผู้ใช้ต้องรับผิดชอบในการสำรองข้อมูลและกู้คืนข้อมูลบนสื่อเก็บข้อมูลที่มีความเหมาะสมและต้องเก็บรักษาไว้ในที่ปลอดภัย
  4. นโยบายการใช้งานอินเตอร์เนตและจดหมายอิเล็กทรอนิกส์
    1. ผู้ดูแลระบบจะต้องกำหนดเฉพาะผู้ที่มีสิทธิ์ ( User Authentication ) จึงจะสามารถเชื่อมต่อระบบเพื่อใช้งานอินเตอร์เนตหรือจดหมายอิเล็กทรอนิกส์ได้
    2. จัดให้มีระบบรักษาความปลอดภัย เพื่อตรวจสอบการใช้งานและภัยคุกคาม
    3. กำหนดแนวทางปฏิบัติการใช้งานอินเตอร์เนตและจดหมายอิเล็กทรอนิกส์ที่ถูกต้องโดยไม่ละเมิดสิทธิ์หรือกระทำการใดๆ ที่สร้างปัญหาให้แก่ระบบหรือผู้ใช้อื่น
    4. ในการติดต่อเรื่องที่เป็นราชการ ผู้ใช้งานต้องใช้จดหมายอิเล็กทรอนิกส์ของหน่วยงานหรือที่จัดไว้ให้เท่านั้นห้ามใช้ Free Mail
    5. ต้องที่การเก็บข้อมูลการเข้าถึงระบบและข้อมูลจราจรทางคอมพิวเตอร์
  5. นโยบายการควบคุมการเข้าถึงระบบเครือข่ายไร้สาย
    1. ผู้ดูแลจะต้องกำหนดรหัสผ่านและสิทธิ์ผู้ใช้งานในการเข้าถึงระบบเครือข่ายไร้สาย ( Wireless LAN ) และลงทะเบียนอุปกรณ์ไร้สายทุกเครื่อง กำหนดตำแหน่งการวางอุปกรณ์ Access Point ให้เหมาะสม เพื่อป้องกันไม่ให้บุคคลภายนอกที่ไม่เกี่ยวข้อง หรือไม่ได้รับอนุญาตเข้าใช้งานได้
  6. นโยบายการจัดเก็บและสำรองข้อมูล
    1. ผู้ดูแลระบบต้องทำการสำรองข้อมูลโปรแกรมให้บริการทางการพยาบาล ( HI ) มีเครื่องสำรอง 2 เครื่อง ซึ่งทำการสำรองในเวลา 03.00 น. และ 16.00 น. และสำรองข้อมูลโปรแกรมอื่นๆ ที่ใช้งานในแต่ละหน่วยงานของโรงพยาบาลสำโรงอาทิตย์ละ 1 ครั้ง
  7. นโยบายการป้องกันโปรแกรมไม่ประสงค์ดี
    1. ผู้ดูแลระบบต้องตรวจสอบเครื่องคอมพิวเตอร์ทุกเครื่องที่นำมาต่อกับระบบเครือข่ายคอมพิวเตอร์ของโรงพยาบาล ต้องได้รับการติดตั้งโปรแกรมป้องกันไวรัสและผู้ใช้จะต้องตรวจสอบไวรัสคอมพิวเตอร์จากสื่อเก็บข้อมูลทุกชนิด ก่อนนำมาใช้งานร่วมกับคอมพิวเตอร์

นโยบายการรักษาความมั่นคงปลอดภัยของระบบเทคโนโลยีสารสนเทศและการสื่อสาร ได้กำหนดขึ้นมาเพื่อเป็นมาตรการและแนวทางในการรักษาความมั่นคง ปลอดภัย ช่วยลดความเสียหายต่อการดำเนินงาน ทรัพย์สิน บุคลากร ทำให้สามารถดำเนินงานได้อย่างมั่นคงปลอดภัย ส่วนนโยบายการเข้าใช้งานระบบเทคโนดลยีสารสนเทศและการสื่อสาร จัดเป็นมาตรฐานด้านความปลอดภัยในการใช้งาน ซึ่งเจ้าหน้าที่ของโรงพยาบาลสำโรงและหน่วยงานภายนอกจะต้องปฏิบัติตามอย่างเคร่งครัด

ประกาศ ณ วันที่     พฤษภาคม พ.ศ. 2559