ความปลอดภัยของข้อมูล

บริษัทฯ กำหนดนโยบายและแนวปฏิบัติด้านความปลอดภัยของข้อมูลเพื่อเป็นกรอบในการบริหารจัดการข้อมูลและระบบสารสนเทศขององค์กร โดยครอบคลุมการคุ้มครองข้อมูลส่วนบุคคล การรักษาความลับของข้อมูล การควบคุมการเข้าถึงข้อมูล การบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ และการปฏิบัติตามกฎหมายและข้อกำหนดที่เกี่ยวข้อง

การดำเนินงานดังกล่าวสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 รวมถึงแนวปฏิบัติและมาตรฐานสากลด้านความมั่นคงปลอดภัยสารสนเทศที่บริษัทฯ นำมาประยุกต์ใช้ตามความเหมาะสมกับบริบทของธุรกิจโรงพยาบาล บริษัทฯ ยังพัฒนาระบบและมาตรการควบคุมอย่างต่อเนื่อง โดยคำนึงถึงข้อกำหนดด้านคุณภาพ ความปลอดภัยของผู้ป่วย และการให้บริการทางการแพทย์ที่ต้องดำเนินอย่างต่อเนื่องและเชื่อถือได้

บริษัทฯ ให้ความสำคัญกับการกำกับดูแลข้อมูลในระบบบริการสุขภาพดิจิทัล เพื่อป้องกันการเข้าถึง ใช้ เปิดเผย แก้ไข ทำลาย หรือทำให้ข้อมูลสูญหายโดยไม่ได้รับอนุญาต พร้อมส่งเสริมให้การใช้ข้อมูลภายในองค์กรเป็นไปตามวัตถุประสงค์ที่เหมาะสมและสอดคล้องกับสิทธิของเจ้าของข้อมูล

เพื่อรองรับภัยคุกคามที่มีความซับซ้อนและเปลี่ยนแปลงอย่างรวดเร็ว บริษัทฯ ลงทุนและพัฒนาโครงสร้างพื้นฐานด้านความปลอดภัยไซเบอร์อย่างต่อเนื่อง โดยมุ่งให้การป้องกัน การตรวจจับ และการตอบสนองเป็นไปอย่างมีประสิทธิภาพและสอดคล้องกับระดับความเสี่ยงของระบบและข้อมูล

บริษัทฯ ดำเนินมาตรการควบคุมสิทธิ์การเข้าถึงและการยืนยันตัวตนที่รัดกุมสำหรับข้อมูลอ่อนไหว รวมถึงมาตรการป้องกันข้อมูลสูญหาย เช่น การสำรองข้อมูลตามแนวทางที่กำหนด และการเข้ารหัสข้อมูลในระบบจัดเก็บข้อมูลภายใน เพื่อช่วยลดความเสี่ยงจากการรั่วไหลของข้อมูลหรือการถูกโจมตี

ด้านการเฝ้าระวัง บริษัทฯ มีการใช้งานระบบ Security Information and Event Management หรือ SIEM เพื่อรวบรวม วิเคราะห์ และแจ้งเตือนความผิดปกติในระบบเครือข่ายและระบบสำคัญ ซึ่งช่วยให้สามารถตรวจพบสัญญาณผิดปกติและตอบสนองต่อเหตุการณ์ได้รวดเร็วขึ้น นอกจากนี้ บริษัทฯ ยังดำเนินการตรวจสอบและทดสอบช่องโหว่ด้านความปลอดภัยของระบบเครือข่ายและระบบสำคัญ หรือ Vulnerability Assessment & Penetration Testing: VAPT เป็นประจำทุกปี ผ่านการทำงานร่วมกันระหว่างผู้เชี่ยวชาญภายในและที่ปรึกษาภายนอก เพื่อระบุช่องโหว่ แก้ไข และติดตามผลการปรับปรุงอย่างเป็นระบบ

บริษัทฯ ตระหนักว่าความมั่นคงปลอดภัยไซเบอร์ไม่สามารถพึ่งพาเทคโนโลยีเพียงอย่างเดียว แต่ต้องอาศัยความตระหนัก ความเข้าใจ และพฤติกรรมของพนักงานในทุกระดับ บริษัทฯ จึงให้ความสำคัญกับการสื่อสารและอบรมด้านความปลอดภัยของข้อมูลอย่างต่อเนื่อง เพื่อให้บุคลากรเข้าใจความเสี่ยงที่เกี่ยวข้องกับการใช้งานระบบดิจิทัล การจัดการข้อมูลผู้ป่วย การใช้รหัสผ่าน การป้องกันอีเมลหลอกลวง และการใช้งานอินเทอร์เน็ตหรือระบบสารสนเทศอย่างปลอดภัย

การสร้างวัฒนธรรมด้านความมั่นคงไซเบอร์ยังครอบคลุมการสร้างความตระหนักต่อภัยคุกคามที่เกิดจากปัจจัยมนุษย์ เช่น การคลิกลิงก์ที่ไม่ปลอดภัย การเปิดเผยข้อมูลโดยไม่ตั้งใจ หรือการใช้งานข้อมูลเกินความจำเป็นในงานประจำวัน บริษัทฯ จึงมุ่งให้บุคลากรสามารถมีส่วนร่วมในการป้องกันความเสี่ยงด้านข้อมูลได้อย่างเหมาะสม และเข้าใจว่าความปลอดภัยของข้อมูลเป็นความรับผิดชอบร่วมของทุกคนในองค์กร

บริษัทฯ ยังให้ความสำคัญกับการพัฒนาศักยภาพของบุคลากรด้านเทคโนโลยีสารสนเทศและหน่วยงานที่เกี่ยวข้อง เพื่อให้สามารถบริหารจัดการระบบความปลอดภัย ตรวจสอบความผิดปกติ ประสานงานเมื่อเกิดเหตุการณ์ และสนับสนุนการปรับปรุงมาตรการควบคุมได้อย่างมีประสิทธิภาพ

บริษัทฯ ให้ความสำคัญกับการเตรียมความพร้อมต่อเหตุการณ์ด้านความปลอดภัยของข้อมูลและความขัดข้องของระบบสารสนเทศที่อาจส่งผลกระทบต่อการให้บริการทางการแพทย์ โดยพัฒนาแผนรองรับเหตุการณ์ฉุกเฉิน หรือ Incident Response Plan: IRP และแผนความต่อเนื่องทางธุรกิจ หรือ Business Continuity Plan: BCP เพื่อกำหนดแนวทางการรับมือ ประสานงาน ฟื้นฟู และลดผลกระทบจากเหตุการณ์ที่อาจเกิดขึ้น

แผนดังกล่าวครอบคลุมแนวทางการบริหารจัดการเมื่อเกิดเหตุการณ์ที่กระทบต่อข้อมูลหรือระบบสำคัญ เช่น ความขัดข้องของระบบเครือข่าย การโจมตีทางไซเบอร์ เหตุการณ์ที่ทำให้ข้อมูลไม่สามารถใช้งานได้ตามปกติ หรือเหตุการณ์ภายนอกที่อาจกระทบต่อความต่อเนื่องของบริการทางการแพทย์ โดยบริษัทฯ ให้ความสำคัญกับการสำรองข้อมูล การฟื้นฟูระบบ และการรักษาความพร้อมของระบบสำคัญภายใต้ขอบเขตที่เหมาะสม

บริษัทฯ ยังจัดให้มีระบบและแนวทางด้านการกู้คืนข้อมูลและการฟื้นฟูระบบในกรณีเกิดเหตุการณ์ไม่คาดคิด เพื่อสนับสนุนให้ข้อมูลสำคัญได้รับการปกป้อง และสามารถกู้คืนการให้บริการได้อย่างเหมาะสม ทั้งนี้ บริษัทฯ ระมัดระวังในการเปิดเผยรายละเอียดเชิงเทคนิคของแผนและระบบดังกล่าว เพื่อไม่ให้ข้อมูลที่เปิดเผยสร้างความเสี่ยงเพิ่มเติมต่อความมั่นคงปลอดภัยของระบบ