ISO 27799

เสริมความมั่นคงปลอดภัยข้อมูลสุขภาพในยุคดิจิทัล

เสริมความปลอดภัยข้อมูลสุขภาพด้วย ISO 27799 สำหรับการจัดการข้อมูลผู้ป่วยในระบบสาธารณสุข เพื่อเพิ่มความมั่นใจและลดความเสี่ยงในการจัดการข้อมูลทางการแพทย์

ความสำคัญของ ISO 27799

องค์กรด้านสุขภาพในยุคดิจิทัลต้องเผชิญกับความเสี่ยงจากภัยไซเบอร์ การรั่วไหลของข้อมูล และข้อกำหนดทางกฎหมาย เช่น กฎหมาย PDPA ซึ่งข้อมูลสุขภาพถือเป็นข้อมูลอ่อนไหวที่ต้องได้รับการปกป้องอย่างสูงสุด มาตรฐาน ISO 27799 จึงเป็นมาตรฐานที่ ออกแบบมาเพื่อช่วยให้องค์กรด้านสุขภาพนำแนวทางปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศไปใช้ได้จริง ครอบคลุมทั้งข้อมูลในรูปแบบ กระดาษและอิเล็กทรอนิกส์ เพื่อช่วยวางระบบการปกป้องข้อมูลสุขภาพที่สอดคล้องกับข้อกำหนด และสร้างความเชื่อมั่นให้ผู้ป่วย รวมถึงขยายโอกาสทางธุรกิจในยุค Healthcare Digital Transformation

สิ่งที่องค์กรจะได้รับจากบริการ ให้คำปรึกษาตามมาตรฐาน ISO 27799

องค์กรสามารถควบคุมและปกป้องข้อมูลสุขภาพของผู้ป่วยได้ตามแนวปฏิบัติที่ดีที่สุดในระดับสากล

ลดความเสี่ยงจากการรั่วไหล, การเข้าถึง โดยไม่ได้รับอนุญาตและการใช้งานข้อมูลที่ผิดวัตถุประสงค์

เสริมความมั่นคงปลอดภัยของข้อมูล ผู้ป่วย (Patient Trust) และหลีกเลี่ยง ความเสียหายทางกฎหมายและชื่อเสียง

เพิ่มความเชื่อมั่นให้กับผู้ป่วย พันธมิตร และหน่วยงานกำกับ

ยกระดับประสิทธิภาพและความโปร่งใสในการจัดการข้อมูลสุขภาพ

สร้างความได้เปรียบในการแข่งขันและ โอกาสทางธุรกิจใหม่ ๆ

รองรับการปฏิบัติตามกฎหมายคุ้มครอง ข้อมูลส่วนบุคคลของไทย (PDPA) และ สอดคล้องกับกฎข้อบังคับระหว่างประเทศ เช่น HIPAA

สอดรับกับข้อกำหนดการประเมิน คุณภาพสถานพยาบาล เช่น HA (Hospital Accreditation) และ JCI (Joint Commission International)

แนวทางเฉพาะของ ACinfotec

ACinfotec ให้บริการที่เน้นการนำมาตรฐาน ISO 27799 เพื่อแสดงความมุ่งมั่นในการปกป้องข้อมูลผู้ป่วยอย่างจริงจัง ซึ่งให้ความสำคัญ กับความปลอดภัยของข้อมูลผู้ป่วยเป็นอันดับหนึ่ง บริษัทสามารถแนะนำแนวทางที่สามารถปฏิบัติได้จริงในแต่ละองค์กรสุขภาพ โดยเริ่มจากการประเมินความเสี่ยง และวิเคราะห์ช่องว่างของระบบเดิม พัฒนาและปรับปรุงนโยบายและมาตรการควบคุมด้านความปลอดภัยข้อมูลสุขภาพ จัดฝึกอบรมและสร้างความตระหนักรู้ แก่บุคลากรทุกระดับ พร้อมให้คำปรึกษาและสนับสนุนการตรวจสอบและประเมินผลอย่างต่อเนื่อง จุดแข็งของเราคือการผสมผสานมาตรฐานสากล กับบริบทจริงขององค์กรสุขภาพไทย เพื่อรักษาสิทธิความเป็นส่วนตัวของผู้ป่วย และจริยธรรมทางข้อมูลสุขภาพ

ขอบเขตงานและกิจกรรมที่องค์กรจะได้รับ จากการให้คำปรึกษาตามมาตรฐาน ISO 27799

1. วิเคราะห์ปัจจัยและบริบท (Context Analysis)

ศึกษาและวิเคราะห์ปัจจัยภายในและภายนอกที่ส่งผลกระทบต่อความปลอดภัยของข้อมูลสุขภาพ เพื่อให้เข้าใจบริบทของโรงพยาบาลหรือหน่วยงานอย่างถ่องแท้

ระบุปัจจัยเสี่ยงด้านกฎหมาย (เช่น PDPA) และเทคโนโลยีการแพทย์

วิเคราะห์ผู้มีส่วนได้ส่วนเสีย (Stakeholders) ทั้งแพทย์ พยาบาล และผู้ป่วย

ประเมินขอบเขตของระบบข้อมูลสุขภาพ (HIS) ที่ต้องได้รับการปกป้อง

2. กำหนดบทบาท ความรับผิดชอบ และอำนาจหน้าที่

จัดโครงสร้างและกำหนดผู้รับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศให้ชัดเจน เพื่อให้การบริหารจัดการข้อมูลผู้ป่วยเป็นไปอย่างมีระบบ

จัดตั้งคณะกรรมการความมั่นคงปลอดภัยสารสนเทศ (Information Security Committee)

กำหนดหน้าที่ของเจ้าหน้าที่คุ้มครองข้อมูล (DPO) และผู้ดูแลระบบ

สร้าง Job Description ด้าน Security ให้กับบุคลากรทางการแพทย์

3. ประเมินความเสี่ยง (Risk Assessment)

ค้นหาและประเมินความเสี่ยงที่อาจเกิดกับเวชระเบียนและข้อมูลผู้ป่วย พร้อมวางแผนรับมือเพื่อปิดช่องโหว่ก่อนเกิดเหตุ

ระบุทรัพย์สินสารสนเทศ (Assets) เช่น Server, เวชระเบียน, อุปกรณ์การแพทย์ IoT

ประเมินโอกาสและผลกระทบหากข้อมูลรั่วไหลหรือถูกโจมตี

จัดทำแผนจัดการความเสี่ยง (Risk Treatment Plan) ที่เหมาะสมกับงบประมาณ

4. พัฒนานโยบายและมาตรการ (Policy Development)

ยกร่างและปรับปรุงระเบียบปฏิบัติในการเข้าถึงและใช้งานข้อมูลสุขภาพ ให้สอดคล้องกับมาตรฐานสากลและกฎหมาย

จัดทำนโยบายความมั่นคงปลอดภัยสารสนเทศ (IS Policy) ฉบับสาธารณสุข

สร้างแนวปฏิบัติการส่งต่อข้อมูลสุขภาพ (Data Transfer) อย่างปลอดภัย

5. ฝึกอบรมบุคลากร (Training & Awareness)

สร้างความตระหนักรู้ด้านความปลอดภัยไซเบอร์ให้กับบุคลากรทุกระดับ เพื่อลดความผิดพลาดจากคน (Human Error) ที่อาจทำให้ข้อมูลรั่วไหล

อบรมแพทย์และพยาบาลเรื่องการใช้งานระบบ IT อย่างปลอดภัย

ทดสอบความรู้ (Pre-test/Post-test) เพื่อวัดความเข้าใจ

จัดกิจกรรมรณรงค์ (Campaign) ให้ระวังภัย Phishing และ Social Engineering

6. ตรวจสอบและประเมินผล (Audit & Evaluation)

ดำเนินการตรวจสอบระบบและการปฏิบัติงานจริง เพื่อยืนยันว่ามาตรการที่วางไว้มีประสิทธิภาพและได้รับการปฏิบัติตามอย่างเคร่งครัด

ตรวจสอบภายใน (Internal Audit) ตามข้อกำหนด ISO 27799

ตรวจสอบการปฏิบัติตามกฎหมาย PDPA (Compliance Audit)

สรุปผลการตรวจสอบและข้อบกพร่อง (Non-Conformity) เพื่อแก้ไข

7. ปรับปรุงต่อเนื่อง (Continuous Improvement)

สนับสนุนการแก้ไขข้อบกพร่องและพัฒนาระบบให้ดียิ่งขึ้น เพื่อรักษามาตรฐานความปลอดภัยให้ทันต่อภัยคุกคามยุคใหม่

ติดตามผลการแก้ไข (Follow-up) จากรายงาน Audit

ทบทวนนโยบายประจำปี (Management Review)

ให้คำปรึกษาเมื่อมีการเปลี่ยนแปลงเทคโนโลยีหรือระบบงานใหม่

ISO 27799 เหมาะสำหรับใคร

โรงพยาบาล คลินิก ศูนย์การแพทย์ และองค์กรด้านสุขภาพทุกประเภท

บริษัทประกันสุขภาพและหน่วยงานที่เกี่ยวข้องกับการจัดการข้อมูลสุขภาพ

ผู้ให้บริการด้านสุขภาพดิจิทัล เช่น Telemedicine, Health App, Health Data Platform

ผู้บริหาร IT, Data Protection Officer, เจ้าหน้าที่ความมั่นคงปลอดภัย สารสนเทศ zในองค์กรสุขภาพ

องค์กรที่ต้องการยกระดับการคุ้มครองข้อมูลสุขภาพให้เป็นไปตามมาตรฐาน และกฎหมาย

ผลลัพธ์และประสบการณ์จริงขององค์กรชั้นนำ

เป็นที่ปรึกษาให้โรงพยาบาลเอกชนขนาดใหญ่ได้รับการรับรอง มาตรฐาน ISO 27799 ซึ่งส่งผลให้เหตุการณ์ข้อมูลรั่วไหล ลดลงอย่างมีนัยสำคัญ

ช่วยให้ผู้ให้บริการแพลตฟอร์มข้อมูลสุขภาพ (Health Data Platform) ผ่านการประเมินมาตรฐาน ทำให้สามารถขยาย ตลาดและสร้างความเชื่อมั่น กับพันธมิตรใหม่ได้สำเร็จ