ความปลอดภัยทางไซเบอร์และการปกป้องข้อมูล
เป้าหมายและผลการดำเนินงาน
เป้าหมาย
ผลการดำเนินงานในปี 2568
ความท้าทายและโอกาสทางธุรกิจ
ในฐานะองค์กรที่มุ่งสู่การเป็น AI-Driven Hospital โรงพยาบาลพระรามเก้า จึงให้ความสำคัญกับการใช้ประโยชน์จากข้อมูลและปัญญาประดิษฐ์เพื่อยกระดับบริการสุขภาพ
ควบคู่ไปกับการบริหารความเสี่ยงด้านภัยคุกคามทางไซเบอร์และการละเมิดข้อมูลสุขภาพ (Sensitive Personal Data) ซึ่งเป็นข้อมูลที่มีความละเอียดอ่อน ภายใต้ข้อกำหนดทางกฎหมายที่เข้มงวด การกำกับดูแลด้านนี้จึงเป็นวาระสำคัญในการรักษาความเชื่อมั่นของ ผู้ป่วย และผู้มีส่วนได้ส่วนเสียทุกกลุ่ม
แนวทางการบริหารจัดการและการสร้างคุณค่า
การปฏิบัติตามกฎหมายและมาตรฐานที่เป็นที่ยอมรับในระดับสากล
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA)
บริษัทฯ ได้กำหนดนโยบายการคุ้มครองข้อมูลส่วนบุคคล ที่สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 อย่างเคร่งครัด โดยเฉพาะการจัดการข้อมูลสุขภาพที่อ่อนไหว (Sensitive Personal Data) ซึ่งกำหนดให้ต้องได้รับความยินยอมจากเจ้าของข้อมูลและมีมาตรการรักษาความปลอดภัยในระดับสูง
นโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์
บริษัทได้กำหนดให้มีนโยบายความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศและไซเบอร์ โดยท่านสามารถศึกษาเพิ่มเติมได้จากแบบ 56-1 One Report หัวข้อ นโยบายการจัดการและรักษาความปลอดภัยของข้อมูล และสารสนเทศ และความปลอดภัยทางไซเบอร์ (IT SECURITY)
มาตรฐานสากลและทางการแพทย์
บริษัทฯ ปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยสารสนเทศที่ได้รับการยอมรับในระดับสากล อาทิ ISO/IEC 27001 ระบบการจัดการความมั่นคงปลอดภัยของข้อมูล มาตรฐาน JCI (Joint Commission International) รวมถึงแนวทางของหน่วยงานกำกับดูแลด้านสาธารณสุข เพื่อยกระดับการบริหารจัดการข้อมูลให้เป็นไปตามมาตรฐานสากลและมีความน่าเชื่อถือ
โครงสร้างการกำกับดูแล
บริษัทมีการแต่งตั้งคณะกรรมการจัดการสารสนเทศ เพื่อกำกับดูแลการปฏิบัติตามกฎหมาย และดำเนินการ ประเมินผลกระทบด้านการคุ้มครองข้อมูลส่วนบุคคล (DPIA) สำหรับระบบและนวัตกรรมใหม่ ๆ เช่น 9 SMART Platform ก่อนการใช้งานจริง โดยท่านสามารถศึกษาเพิ่มเติมได้จากแบบ 56-1 One Report หัวข้อ นโยบายการจัดการ และรักษาความปลอดภัยของข้อมูล และสารสนเทศ และความปลอดภัยทางไซเบอร์ (IT SECURITY)
แนวปฏิบัติและมาตรการด้านความมั่นคงปลอดภัย
ความมั่นคงปลอดภัยทางไซเบอร์เชิงป้องกัน
- ศูนย์เฝ้าระวังและตอบสนองต่อภัยคุกคามทางไซเบอร์ (Cyber Security Operations Center : CSOC)
- การสร้างความตระหนักรู้และการพัฒนาบุคลากร: จัดให้มีการฝึกอบรมภาคบังคับด้านการคุ้มครองข้อมูลส่วนบุคคล (PDPA Compliance) และความมั่นคงปลอดภัยทางไซเบอร์ สำหรับพนักงานใหม่ในวันปฐมนิเทศ และกำหนดเป็นหลักสูตรประจำปีสำหรับพนักงานทุกคน พร้อมทั้งมีการประเมินความเข้าใจหลังการอบรม
- มาตรการทางเทคนิค: มีการใช้มาตรการทางเทคนิคขั้นสูงเพื่อป้องกันการโจมตีทางไซเบอร์และการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต เช่น ระบบป้องกันภัยคุกคามขั้นสูง (Advanced Threat Protection), การเข้ารหัสข้อมูล (Encryption), และการตรวจสอบสิทธิ์การเข้าถึงแบบหลายปัจจัย (Multi-Factor Authentication - MFA)
- การจัดการสิทธิ์การเข้าถึงข้อมูล (Access Control): กำหนดสิทธิ์การเข้าถึงข้อมูลของผู้ป่วยโดยใช้หลักการ "จำเป็นต้องรู้" (Need-to-Know Basis) โดยจำกัดเฉพาะบุคลากรที่เกี่ยวข้องกับการรักษาพยาบาลเท่านั้น
- การประเมินช่องโหว่และทดสอบการเจาะระบบ (Vulnerability Assessment และ Penetration Test): อย่างน้อย 2 ครั้งต่อปี
- การประเมินความเสี่ยง Cybersecurity Risk Assessment: อย่างสม่ำเสมอ
การจัดการความเสี่ยงและการตอบสนองต่อเหตุการณ์
- การจัดการคู่ค้า: มีการกำหนดให้คู่ค้าที่เกี่ยวข้องกับการประมวลผลข้อมูลต้องผ่านการประเมินความเสี่ยงด้านความปลอดภัยข้อมูลอย่างเข้มงวดก่อนทำสัญญา
- การตอบสนองต่อเหตุการณ์ (Incident Response): มีแผนการตอบสนองต่อเหตุการณ์ทางไซเบอร์และการละเมิดข้อมูลส่วนบุคคล (Data Breach Response Plan) ที่ชัดเจนและมีการฝึกซ้อมอย่างสม่ำเสมอ เพื่อให้สามารถกู้คืนระบบและควบคุมความเสียหายได้ทันท่วงที
- การสร้างวัฒนธรรมความปลอดภัย: จัดอบรมบุคลากรทุกคนเป็นประจำ ให้มีความรู้ความเข้าใจเกี่ยวกับ PDPA, จริยธรรมในการใช้ข้อมูล, และภัยคุกคามทางไซเบอร์ล่าสุด เพื่อสร้างความตระหนักและยกระดับความสามารถในการเป็นด่านหน้าของการปกป้องข้อมูล
ผู้มีส่วนได้เสียที่เกี่ยวข้อง
ผู้รับบริการ
พนักงาน
