ความสำคัญของมาตรฐาน ISO/IEC27001 และระบบบริหารจัดการความมั่นคงปลอดภัยของสารสนเทศในโรงพยาบาล

Abstract

ในปัจจุบันได้มีการนำระบบสารสนเทศเข้ามาใช้ในการดำเนินธุรกิจต่าง ๆ เพื่อเพิ่มประสิทธิภาพในการทำงาน ความรวดเร็วในการให้บริการ รวมถึงความถูกต้องแม่นยำต่าง ๆ ของข้อมูล แต่การใช้ระบบสารสนเทศมักพบปัญหาในหลาย ๆ ด้าน เช่น ด้านความมั่นคงปลอดภัยของระบบ, ความมั่นคงปลอดภัยของข้อมูล หรือเสถียรภาพของระบบโครงสร้างพื้นฐานของระบบสารสนเทศ ดังนั้น การกำหนดนโยบายด้านความมั่นคงปลอดภัยระบบสารสนเทศจึงมีความสำคัญอย่างยิ่งในการควบคุมความเสี่ยงที่อาจจะเกิดขึ้น เช่น ระบบสารสนเทศเพื่อการบริหารจัดการโรงพยาบาล เป็นระบบที่มีความสำคัญที่สุดในการให้บริการแก่ผู้ป่วยที่มารับการรักษาพยาบาลที่โรงพยาบาลศิริราช ดังนั้นการจัดหาเพื่อทำให้ระบบสามารถทำงานได้ตลอดเวลา เช่น การจัดการแหล่งจ่ายไฟฟ้าหลักที่ได้มาตรฐาน หรือแหล่งจ่ายไฟฟ้าสำรองแก่ศูนย์ข้อมูล (Data Center) การจัดตั้งสถานที่เก็บข้อมูลไว้สำหรับกู้คืนข้อมูลเมื่อเกิดภัยพิบัติ (Disaster Recovery Site) เพื่อรองรับสถานการณ์ฉุกเฉินทำให้ระบบสามารถกลับมาให้บริการแก่ผู้ป่วยได้อย่างรวดเร็วอีกครั้ง เป็นต้น การจัดการบริหารความเสี่ยงเป็นเครื่องมือทางกลยุทธ์ที่สำคัญตามหลักการกำกับดูแลธุรกิจที่ดี ซึ่งได้มีการนำระบบการจัดการความเสี่ยงด้านระบบสารสนเทศมาใช้ทั้งในหน่วยงานธุรกิจของภาครัฐและเอกชน อีกทั้ง มาตรฐาน ISO ได้ถูกกำหนดและควบคุมโดยองค์การนานาชาติเพื่อเป็นระบบมาตรฐานสากล มาตรฐาน ISO/IEC27001 เป็นแนวทางเกี่ยวกับความเสี่ยงด้านระบบสารสนเทศเพื่อการกำหนดนโยบายและกระบวนการทำงานต่าง ๆ รวมทั้งการควบคุมที่เหมาะสมในการบริหารความเสี่ยง ในธุรกิจโรงพยาบาล ระบบสารสนเทศถูกพัฒนาขึ้นเพื่อใช้ในการรวบรวมและจัดเก็บข้อมูลจากแหล่งต่าง ๆ ซึ่งโรงพยาบาลหลายแห่งได้มีการนำระบบสารสนเทศทางการแพทย์ (Medical Informatics) เข้ามาประยุกต์ใช้ เพื่อเพิ่มขีดความสามารถโดยมีการเชื่อมโยงฐานข้อมูลต่าง ๆ เข้าด้วยกัน เช่น เวชระเบียนผู้ป่วย ประวัติการรักษาหรือการใช้ยา เป็นต้น ดังนั้นข้อมูลระบบสารสนเทศของโรงพยาบาลจึงมีความสำคัญอย่างยิ่ง เพื่อป้องกันไม่ให้เกิดภัยคุกคามต่อระบบสารสนเทศ การจัดทำแนวทางในการจัดการควบคุมความมั่นคงปลอดภัยระบบสารสนเทศจึงเป็นเรื่องจำเป็นของโรงพยาบาล เพื่อให้ระบบมีเสถียรภาพด้านความมั่นคงปลอดภัยในด้านของข้อมูล และความน่าเชื่อถือของระบบ จึงได้ดำเนินการด้านนโยบายด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISO/IEC27001 ซึ่งรวมไปถึงด้านความมั่นคงปลอดภัยของข้อมูล และสารสนเทศที่เกี่ยวข้อง มาเป็นวิธีปฏิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่มีประสิทธิภาพสำหรับโรงพยาบาล

At present, the information system has been used in various business operations to increase work efficiency, speed of service including the accuracy of the information. However, the use of information technology often encounters problems in many areas, such as security systems, data security, or stability of the infrastructure of information systems. Therefore, the security policy of information technology is very important in controlling the risk, such as information technology systems for hospital management. It is the most important system in providing services to patients at Siriraj Hospital. The organization should make the hospital system and infrastructure always highly available, such as the main power supply or backup power supply to the data center made with the standard. To establishing the Disaster Recovery Site (DR Site) to support emergency situations which allow the system to recover quickly. Risk management is an important strategic tool for good business governance principles. This has implemented risk management systems for information in both public and private business units, and the ISO standard has been defined and controlled by international organizations to be an international standard system. The ISO/IEC27001 standard is a guideline for information risk for policy-making and work processes including the appropriate controls for risk management. In the hospital business, information systems were developed to be used to collect and store information from various sources. Hospitals applied electronic medical records (Medical Informatics) to increase capacity by linking various databases together such as patient medical records, treatment history, or medication, etc.So, hospital information systems are extremely important. Establishing guidelines for managing information security controls are necessary for the hospital in order to provide the system to be more stable and secure in terms of information security and system reliability. Therefore, we have implemented an information security management system (ISO/IEC27001), which includes information security and related information. This will lead to an effective security management system for the hospital.