ความสำคัญของมาตรฐาน ISO/IEC27001 และระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศในโรงพยาบาล

ผู้แต่ง

  • จุฑามาศ อยู่เจริญ คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล
  • กิตติศักดิ์ แก้วบุตรดี คณะแพทยศาสตร์ศิริราชพยาบาล มหาวิทยาลัยมหิดล

DOI:

https://doi.org/10.14456/jmu.2023.2

คำสำคัญ:

ระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศในโรงพยาบาล, มาตรฐาน ISO/IEC27001, การบริหารจัดการความเสี่ยง

บทคัดย่อ

            ในปัจจุบันได้มีการนำระบบสารสนเทศเข้ามาใช้ในการดำเนินธุรกิจต่าง ๆ เพื่อเพิ่มประสิทธิภาพในการทำงาน ความรวดเร็วในการให้บริการ รวมถึงความถูกต้องแม่นยำต่าง ๆ ของข้อมูล แต่การใช้ระบบสารสนเทศมักพบปัญหาในหลาย ๆ ด้าน เช่น ด้านความมั่นคงปลอดภัยของระบบ, ความมั่นคงปลอดภัยของข้อมูล หรือเสถียรภาพของระบบโครงสร้างพื้นฐานของระบบสารสนเทศ ดังนั้น การกำหนดนโยบายด้านความมั่นคงปลอดภัยระบบสารสนเทศจึงมีความสำคัญอย่างยิ่งในการควบคุมความเสี่ยงที่อาจจะเกิดขึ้น เช่น ระบบสารสนเทศเพื่อการบริหารจัดการโรงพยาบาล เป็นระบบที่มีความสำคัญที่สุดในการให้บริการแก่ผู้ป่วยที่มารับการรักษาพยาบาลที่โรงพยาบาลศิริราช ดังนั้นการจัดหาเพื่อทำให้ระบบสามารถทำงานได้ตลอดเวลา เช่น การจัดการแหล่งจ่ายไฟฟ้าหลักที่ได้มาตรฐาน หรือแหล่งจ่ายไฟฟ้าสำรองแก่ศูนย์ข้อมูล (Data Center)

            การจัดตั้งสถานที่เก็บข้อมูลไว้สำหรับกู้คืนข้อมูลเมื่อเกิดภัยพิบัติ (Disaster Recovery Site) เพื่อรองรับสถานการณ์ฉุกเฉินทำให้ระบบสามารถกลับมาให้บริการแก่ผู้ป่วยได้อย่างรวดเร็วอีกครั้ง เป็นต้น การจัดการบริหารความเสี่ยงเป็นเครื่องมือทางกลยุทธ์ที่สำคัญตามหลักการกำกับดูแลธุรกิจที่ดี ซึ่งได้มีการนำระบบการจัดการความเสี่ยงด้านระบบสารสนเทศมาใช้ทั้งในหน่วยงานธุรกิจของภาครัฐและเอกชน อีกทั้ง มาตรฐาน ISO ได้ถูกกำหนดและควบคุมโดยองค์การนานาชาติเพื่อเป็นระบบมาตรฐานสากล มาตรฐาน ISO/IEC27001 เป็นแนวทางเกี่ยวกับความเสี่ยงด้านระบบสารสนเทศเพื่อการกำหนดนโยบายและกระบวนการทำงานต่าง ๆ รวมทั้งการควบคุมที่เหมาะสมในการบริหารความเสี่ยง

            ในธุรกิจโรงพยาบาล ระบบสารสนเทศถูกพัฒนาขึ้นเพื่อใช้ในการรวบรวมและจัดเก็บข้อมูลจากแหล่งต่าง ๆ  ซึ่งโรงพยาบาลหลายแห่งได้มีการนำระบบสารสนเทศทางการแพทย์ (Medical Informatics) เข้ามาประยุกต์ใช้ เพื่อเพิ่มขีดความสามารถโดยมีการเชื่อมโยงฐานข้อมูลต่าง ๆ เข้าด้วยกัน เช่น เวชระเบียนผู้ป่วย ประวัติการรักษาหรือการใช้ยา เป็นต้น ดังนั้นข้อมูลระบบสารสนเทศของโรงพยาบาลจึงมีความสำคัญอย่างยิ่ง เพื่อป้องกันไม่ให้เกิดภัยคุกคามต่อระบบสารสนเทศ การจัดทำแนวทางในการจัดการควบคุมความมั่นคงปลอดภัยระบบสารสนเทศจึงเป็นเรื่องจำเป็นของโรงพยาบาล เพื่อให้ระบบมีเสถียรภาพด้านความมั่นคงปลอดภัยในด้านของข้อมูล และความน่าเชื่อถือของระบบ จึงได้ดำเนินการด้านนโยบายด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISO/IEC27001 ซึ่งรวมไปถึงด้านความมั่นคงปลอดภัยของข้อมูล และสารสนเทศที่เกี่ยวข้อง มาเป็นวิธีปฏิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่มีประสิทธิภาพสำหรับโรงพยาบาล

References

กิตติศักดิ์ แก้วบุตรดี และ อัจฉรา กิจเดช. (2561). บทบาทและความสำคัญของผู้ตรวจสอบภายในระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ. วารสาร Mahidol R2R e-Journal. 5(2), 21-34.

กิตติศักดิ์ แก้วบุตรดี และ อัจฉรา กิจเดช. (2562). ความมั่นคงปลอดภัยระบบสารสนเทศ (ISO27001: 2013) - มิติใหม่ของการบริหารจัดการโรงพยาบาล. วารสาร Mahidol R2R e-Journal. 8(2), 26-37.

จิตตกานต์ บุญศิริทิวัตถ์ และ โกวิท รพีพิศาล. (2560). การพัฒนาแนวทางในการจัดการความมั่นคงความปลอดภัยระบบสารสนเทศที่เหมาะสมของโรงพยาบาลเอกชนในกรุงเทพมหานคร. รังสิตสารสนเทศ. 23(1), 61-91.

จตุชัย แพงจันทร์. (2555). Master in Security (2nd ed.). ไอดีซี พรีเมียร์.

โรงพยาบาลแพร่. (2562, พฤศจิกายน). การบริหารจัดการความเสี่ยง (Risk Management) ด้านเทคโนโลยีสารสนเทศโรงพยาบาลแพร่ ปี 2562. http://www.phraehospital.go.th/webinternal/medicalinformatics/images/page/file/20111815364CI8Y1.PDF

ศราวุฒิ จันทะคัด. (2554). การจัดการความปลอดภัยภายในเครือข่ายคอมพิวเตอร์ กรณีศึกษา: บริษัทแซนด์แอนด์ซอยล์อุตสาหกรรม จำกัด[สารนิพนธ์วิทยาศาสตรมหาบัณฑิต สาขาเทคโนโลยีสารสนเทศ]. http://203.188.27.107/thesis/Thesis_2554/082%20Management%20of%20Computer%20Network%20and%20Security%20A%20Case%20Study%20of%20Sand%20And%20Soil%20Industry%20Co.,Ltd.pdf.

สำนักงานปลัดกระทรวงศึกษาธิการ. (2559). แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ. ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร. https://ops.moe.go.th/wpcontent/uploads/2017/08/policy-ict.pdf.

Al-Zahawi, O. S. (2019). Information Security Handbook for ISO 27001 Controls. Helsinki, Finland: UR academy.

International Organization for Standardization. (2018). About ISO. https://www.iso.org/about-us.html

International Organization for Standardization. (2018). ISO Survey of certifications to management system standards. https://isotc.iso.org/livelink/livelink?func=ll&objId=18808772&objAction=browse&viewType=1.

R Moeller, R. (2016). Brink's Modern Internal Auditing: A Common Body of Knowledge. (7th ed.). John Wiley & Sons, Inc.

Pedneault, S. (2009). Techniques and Strategies for Understanding Fraud. (3rd ed.). John Wiley & Sons, Inc.

Pemble, E. I. M. W., & Goucher, W. F. (2018). The CIO's Guide to Information Security Incident Management. Auerbach Publications.

Salomon, D. (2010). Elements of computer security. Springer Science & Business Media.

University of South Carolina Board of Trustees. (2014). Information Technology Security.https://www.uts.sc.edu/itsecurity/threats.shtml.

Downloads

เผยแพร่แล้ว

2023-04-12

ฉบับ

ปีที่ 10 ฉบับที่ 1 (2566): Mahidol R2R e-Journal

บท

บทความทางวิชาการ

License

Copyright (c) 2023 Mahidol R2R e-Journal

Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.