| ด้านที่ 9 ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ | ค่าถ่วงน้ำหนัก 100% | คะแนน % | |
| 1 | โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ | 20.00 | 20.00 |
| 2 | การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ | 20.00 | 14.00 |
| 3 | การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ | 20.00 | 20.00 |
| 4 | การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ | 20.00 | 16.00 |
| 5 | การจัดการห้อง Data Center | 20.00 | 20.00 |
| 90.00 | |||
| ลำดับ | เกณฑ์การประเมิน | ผลประเมิน ตนเอง | ผลประเมิน โดยผู้ตรวจประเมิน | คำแนะนำ โดยผู้ตรวจประเมิน |
| 1 | โครงสร้างและบทบาท ระบบเทคโนโลยีสารสนเทศ | |||
| 1.1 | มีการจัดทีมดูแลระบบสารสนเทศของโรงพยาบาลประกอบด้วยผู้บริหารและฝ่ายเทคโนโลยีสารสนเทศ | 1 | ||
| 1.2 | มีการจัดทำแผนแม่บทหรือแผนพัฒนาของโรงพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศไว้อย่างชัดเจน | 1 | ||
| 1.3 | มีนโยบายและแผนการปฏิบัติด้านเทคโนโลยีสารสนเทศของโรงพยาบาล | 1 | ||
| 1.4 | มีการจัดโครงสร้างและอัตรากำลังของหน่วยงานสารสนเทศของโรงพยาบาลที่เหมาะสม | 1 | ||
| 1.5 | มีการกำหนดมาตรฐานด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกับมาตรฐานของประเทศหรือมาตรฐานสากล ได้แก่ มาตรฐานข้อมูล มาตรฐานรหัสข้อมูล มาตรฐานการปฏิบัติงาน มาตรฐานความปลอดภัยและความลับของผู้ป่วย มาตรฐานระบบเครือข่ายคอมพิวเตอร์ มาตรฐานทางกายภาพและสภาพแวดล้อม | 1 | ||
| 2 | การจัดการความเสี่ยงในระบบเทคโนโลยีสารสนเทศ | |||
| 2.1 | มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝ่าย | 0.5 | ||
| 2.2 | มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการ ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน | 1 | ||
| 2.3 | มีการดำเนินการตามแผนจัดการความเสี่ยง | 1 | ||
| 2.4 | มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงาน | 0.5 | ||
| 2.5 | มีการนำผลการประเมินการดำเนินการจัดการความเสี่ยงมาปรับแผนการจัดการความเสี่ยงให้ดีขึ้น | 0.5 | ||
| 3 | การจัดการความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ | |||
| 3.1 | มีการจัดทำนโยบายและระเบียบปฏิบัติด้านความมั่นคงปลอดภัยในระบบ IT | 1 | ||
| 3.2 | มีนโยบายและระเบียบปฏิบัติที่อนุญาตให้เฉพาะผู้ที่รับผิดชอบดูแลรักษาผู้ป่วยในช่วงเวลาปัจจุบันเท่านั้นที่จะเข้าถึงข้อมูลผู้ป่วยรายนั้นได้ | 1 | ||
| 3.3 | มีนโยบายและระเบียบปฏิบัติที่ป้องกันความลับผู้ป่วยมิให้รั่วไหลทุกช่องทาง รวมทั้งช่องทาง Social Media ทุกด้าน | 1 | ||
| 3.4 | มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติให้บุคลากรทุกคนได้รับทราบ | 1 | ||
| 3.5 | มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยอย่างเคร่งครัด | 1 | ||
| 3.6 | มีการประเมินผลการปฏิบัติตามระเบียบปฏิบัติและนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติต่อไป | 1 | ||
| 4 | การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ | |||
| 4.1 | มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, บุคลากร | 0.5 | ||
| 4.2 | มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network | 0.5 | ||
| 4.3 | มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของบุคลากรด้าน IT ทุกคน ประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล | 1 | ||
| 4.4 | มีการดำเนินการตามแผนเพิ่มสมรรถนะและศักยภาพ (Hardware, software, network) และ มีการประเมิน วิเคราะห์ผลการดำเนินตามแผน | 1 | ||
| 4.5 | มีการนำผลการวิเคราะห์มาปรับปรุงแผนเพิ่มศักยภาพให้ดีขึ้น | 1 | ||
| 5 | การจัดการห้อง Data Center | |||
| 5.1 | มีการจัดการ Data Center ของโรงพยาบาลให้มีความมั่นคงปลอดภัย | 1 | ||
| 5.2 | ห้อง สถานที่ และสิ่งแวดล้อมต้องจัดให้มีความปลอดภัยจากบุคคลภายนอก | 1 | ||
| 5.3 | มีระบบป้องกันอัคคีภัย ได้แก่ ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงและระบบดับเพลิงอัตโนมัติ | 1 | ||
| 5.4 | มีระบบป้องกันความเสียหายของข้อมูลและระบบ ซึ่งรวมถึง ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server | 1 | ||
| 5.5 | มีการวิเคราะห์ความเหมาะสม มาตรฐาน ความเสี่ยงและความคุ้มค่าในการเลือกใช้อุปกรณ์คอมพิวเตอร์ อุปกรณ์เครือข่าย ห้อง Data Center | 1 |