นโยบายความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Policy)”
เพื่อสร้างความเชื่อมั่นในการใช้บริการสารสนเทศและป้องกันความเสี่ยงจากภัยคุกคามทางไซเบอร์ โรงพยาบาลพรหมพิรามได้กำหนดนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยไซเบอร์สำหรับบุคลากรและระบบสารสนเทศทั้งหมด
วัตถุประสงค์
นโยบายฉบับนี้มีวัตถุประสงค์เพื่อ:
- กำหนดกรอบการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ของโรงพยาบาล
- ป้องกัน, รับมือ, และลดผลกระทบจากภัยคุกคามทางไซเบอร์
- คุ้มครองข้อมูลสารสนเทศที่สำคัญของโรงพยาบาลและข้อมูลส่วนบุคคลของผู้รับบริการ
- สร้างความตระหนักรู้และส่งเสริมวัฒนธรรมความปลอดภัยไซเบอร์ในองค์กร
ขอบเขตการบังคับใช้
นโยบายนี้บังคับใช้กับบุคลากรทุกคน, ผู้รับจ้าง, และบุคคลภายนอกที่เข้าถึงระบบสารสนเทศและเครือข่ายของโรงพยาบาล รวมถึงทรัพย์สินสารสนเทศทั้งหมดไม่ว่าจะอยู่ในรูปแบบอิเล็กทรอนิกส์หรือกายภาพ
แนวปฏิบัติที่สำคัญ
การควบคุมการเข้าถึง (Access Control)
การเข้าถึงระบบสารสนเทศจะต้องเป็นไปตามหลักการ “เท่าที่จำเป็น (Need to Know)” และ “สิทธิ์น้อยที่สุด (Least Privilege)” บุคลากรจะได้รับสิทธิ์ในการเข้าถึงข้อมูลเท่าที่จำเป็นต่อการปฏิบัติหน้าที่เท่านั้น
การจัดการรหัสผ่าน (Password Management)
ผู้ใช้งานทุกคนต้องตั้งรหัสผ่านที่มีความซับซ้อนตามเกณฑ์ที่กำหนด และต้องเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ ห้ามเปิดเผยรหัสผ่านของตนเองแก่ผู้อื่นโดยเด็ดขาด
การรับมือเหตุการณ์ (Incident Response)
ในกรณีที่ตรวจพบหรือสงสัยว่ามีเหตุการณ์ภัยคุกคามทางไซเบอร์เกิดขึ้น ให้รีบแจ้งกลุ่มงานสุขภาพดิจิทัลหรือผู้รับผิดชอบโดยทันที เพื่อดำเนินการตามแผนรับมือเหตุการณ์ที่กำหนดไว้