ไฟล์นำเสนอ ผอ.ศทส.

ประเดน็ ที่ 6 : Good Governance หวั ขอ; 6.3 การพฒั นาระบบเทคโนโลยสี ารสนเทศ (ICT) เป=นศนู ยข? Aอมลู กลางดAานสขุ ภาพของประชาชน รอ\" ยละของจังหวดั ทม่ี ีการใช\"บริการศูนย;ข\"อมลู กลางดา\" นสขุ ภาพของประชาชน น.พ.อนันต' กนกศลิ ป. ผอ.ศูนยเ' ทคโนโลยสี ารสนเทศและการสอื่ สาร สป.สธ ประชุมช้แี จงแผนการตรวจราชการกระทรวงสาธารณสขุ ประจำปI 2565 วนั ท่ี 9 พฤศจิกายน 2564



Risk Management Cyber security Management มาตราการปอj งกนั 1. Hardening Infrastructure (สรา8 งความเขม8 แข็ง Recovery Response ของ Hardware , Software , Network) มาตรการเผชิญเหตุ - Vulnerability Assessment (VA) - Firewall , License , Patch , Anti Virus 1. Investigation - Fire Protection , Access - หาสาเหตุ 2. Data Integrity (การรักษาความมั่นคง ปลอดภยั ของข8อมลู ) 2. System Recovery - Backup 3 copy ดว8 ยความถี่ท่ีเหมาะสม , DR site - Cleansing OS , HIS , Network , Client 3. User Awareness (สรา8 งความตระหนักของผู8ใชง8 าน) 3. Data Recovery - e-Mail , Thumb Drive , Share file - Backup Restore 4. System Redundant 4. Business Recovery - Active-Active , Active-Passive , Offline Backup - Maunual 5. จัดทำ BCP (แผนรบั เหตฉุ ุกเฉนิ /แผนความตyอเนอื่ ง) - Business Contingency Plan - Business Continuity Plan

NIST Cybersecurity Framework มีความสอดคล*องกับ พ.ร.บ.การรกั ษาความมั่นคงปลอดภยั ไซเบอร< พ.ศ. 2562 มาตรา 13 คณะกรรมการกำกับดแู ลฯ มหี น*าที่ กำหนดประมวลแนวทางปฏิบัตแิ ละกรอบมาตรฐานขอ* กำหนดขน้ั ต่ำ โดยคำนึงถึงหลักการบริหารความเส่ียง ตอ* งประกอบดว* ย 1. Identify : การระบคุ วามเสี่ยง เขา8 ใจสภาพแวดล8อมของตนเอง ทรพั ยส~ นิ และความเสย่ี งที่มี 2. Protect : มาตรการปอU งกนั ความเส่ียง หาแนวทางทเ่ี หมาะสมในการปกป•องทรัพย~สิน 3. Detect : มาตรการตรวจสอบและเฝUาระวัง ตรวจจบั และเฝ•าระวงั ภัยคกุ คามทอ่ี าจจะเกิดข้นึ 4. Response : มาตรการเผชญิ เหตุ ตอบสนองได8ทนั ทวy งที เพอ่ื ลดผลกระทบหรอื จำกดั ความเสียหาย ใหอ8 ยyูในวงแคบ 5. Recovery : มาตรการรกั ษาและฟ]\\นฟู สามารถกูค8 ืน ระบบขนึ้ มาใหบ8 รกิ ารตามปกติได8อยyางรวดเร็ว ภายใตง8 บประมาณและหลกั การบริหารความเสี่ยงขององค~กร สถาบนั มาตรฐานและเทคโนโลยแี ห5งชาติ (National Institute of Standards and Technology : NIST) ของสหรัฐอเมรกิ า

กระบวนการ PDPA พ.ร.บ.คุม' ครองข'อมูลสว/ นบุคคล พ.ศ. 2562 1. กำหนดให*บคุ คลหรอื นติ บิ คุ คล เปน` ผคู* วบคุมข*อมลู สaวนบคุ คล (Data Controller) ตาม มาตรา 6 และ 19 ทำหนา* ทีต่ ัดสินใจเกย่ี วกับ การเก็บรวบรวม ใช* หรือเปดo เผยขอ* มลู สaวนบุคคล 2. ตอ* งจัดใหม* เี จา* หนา* ท่คี ุม* ครองข*อมูลสวa นบุคคล (Data Protection Officer หรอื DPO) ตาม มาตรา 41 3. ต*องมกี ารแจ*งนโยบายการค*ุมครองข*อมลู สวa นบคุ คลและแจ*งความเป`นสวa นตัว (Privacy Notice) ให*แกเa จ*าของขอ* มูลสaวนบคุ คลน้นั ๆ ทราบโดยชดั เจน 4. กรณีกิจกรรมที่เก่ยี วขอ* งกับขอ* มูลสaวนบุคคลไมใa ชภa ารกิจโดยตรงตามฐานอำนาจทางกฎหมาย จำเป`นตอ* งมกี ระบวนการ ใหเ* จา* ของขอ* มลู สวa นบคุ คลแสดงความยนิ ยอมโดยชัดแจ*ง 5. ตอ* งมมี าตรการแสดงความรบั ผิดชอบ และมาตรการเยยี วยาให*กับเจ*าของข*อมูลสวa นบุคคล หากเกิดความผดิ พลาดหรอื มีการร่วั ไหลของข*อมูลนน้ั ๆ 6. ตอ* งมกี ระบวนการ Implementation and Monitoring อยaางเป`นรูปธรรม และตอa เนอ่ื ง

ธรรมาภิบาลขอ\" มูลภาครฐั ในระดบั หนaวยงาน ต*องประกอบดว* ยเนอ้ื หาอยาa งน*อยในเรือ่ งดังตaอไปนี้ (1) การกำหนดสทิ ธิ หนาq ที่ และความรับผดิ ชอบของผซ*ู ง่ึ มีหนา* ทเี่ กีย่ วข*องกบั การบริหารจัดการข*อมูลของหนวa ยงาน (2) การวางแผนการดำเนนิ งาน การปฏบิ ตั ิตามแผนการดำเนนิ งาน การตรวจสอบและการรายงานผลการดำเนนิ งาน และการ ปรบั ปรุงแผนการดำเนินงานอยaางตaอเนอื่ ง เพ่ือให*ระบบบรหิ ารและกระบวนการจดั การขอ* มูลมปี ระสิทธภิ าพสามารถเชอื่ มโยง แลกเปล่ยี น และบรู ณาการข*อมลู ระหวaางกนั ท้งั ภายในและภายนอกหนaวยงาน และคม*ุ ครองข*อมลู ให*มีประสิทธิภาพ (3) การกำหนดมาตรการควบคมุ และพฒั นาคุณภาพขอq มูล เพือ่ ใหข* *อมูลมคี วามถูกตอ* งครบถว* น เป`นป‚จจบุ นั ม่นั คงปลอดภัย และ ไมถa ูกละเมิดความเป`นสวa นบุคคล รวมทงั้ สามารถเชอ่ื มโยงแลกเปลยี่ น บรู ณาการ และใช*ประโยชน<ได*อยaางมปี ระสิทธิภาพ (4) การวดั ผลการบรหิ ารจัดการขอq มลู โดยอยaางน*อยประกอบด*วย การประเมินความพร*อมของธรรมาภิบาลขอ* มลู ภาครฐั ในระดับ หนวa ยงาน การประเมินคณุ ภาพขอ* มลู และการประเมินความม่นั คงปลอดภยั ของข*อมลู (5) การจำแนกหมวดหมูขv องขอq มูล เพื่อกำหนดนโยบายข*อมูลหรือกฎเกณฑเ< กี่ยวกับผมู* ีสิทธเิ ข*าถงึ และใชป* ระโยชน<จากข*อมลู ตaางๆ ภายในหนวa ยงาน สาหรับให*ผ*ซู ่งึ มีหนา* ทเ่ี ก่ียวข*องปฏบิ ตั ติ ามนโยบายหรือกฎเกณฑ<ไดอ* ยาa งถกู ตอ* ง และสอดคลอ* งตามกฎหมายที่ เกย่ี วข*อง อันจะนำไปสูaการบรหิ ารจดั การขอ* มูลภาครฐั อยาa งเปน` ระบบ (6) การจัดทำคำอธบิ ายชุดขอq มูลดิจทิ ลั ของภาครัฐและบญั ชขี อq มูลให*มคี วามถูกตqอง ครบถวq นและเปxนปจy จุบัน

Public Service System Governance Framework CIO CDO Development Implementation Sustainability Proof of Concept Controller (DPO) Continuous Operating Unit Improvement (POC) Steake Holder SLA Tools Regulation Impact Assesment Compliance Timing Infrastructure Development Resource Assesment Security Investment Investment Compliance Assesment Implement & Operation Cost Development Cost Maintenance & Marketing Cost Anant Kanoksilp

คำนยิ าม ร\"อยละของจังหวัดที่มีการใชบ\" ริการศูนยข; \"อมลู กลางดา\" นสุขภาพของประชาชน ศูนยข% 'อมูลกลางดา' นสขุ ภาพของประชาชน หมายถงึ แหล$งข'อมูลดา' นสขุ ภาพท่บี ริหารจดั การจากศูนย=กลางใหม8 มี ั่นคงปลอดภัยทางไซเบอร~ และมีความ พรอ8 มใช8ใหบ' รกิ ารแกเ$ จ'าของข'อมลู ในรูปแบบของ PHR (Personal Health Record) และความร8สู ขุ ภาพเฉพาะบุคคล (Personal Health Literacy) และพร'อม ใหบ' ริการข'อมูลแกห$ นว$ ยงานตา$ งๆ ทเี่ ก่ียวขอ' งเพอื่ ประโยชน=ในการดูแลรกั ษาชวี ิตและสขุ ภาพของเจา' ของขอ' มูล และเพอ่ื ประโยชน~แกyวงการสขุ ภาพและ สาธารณสุขของประเทศไทย การใช'บริการศนู ย%ข'อมูลกลางด'านสขุ ภาพของประชาชน หมายถงึ โรงพยาบาลเชอ่ื มโยงขอ' มลู ตามชดุ ขอ' มูลท่กี ำหนด ระหว$างกันไดส' ำเร็จผา$ น HIS Gateway และจงั หวัดมีมาตรการในการกำกับดูแลดา' นธรรมาภบิ าล มีการแตงy ตง้ั คณะทำงานธรรมาภิบาลด8านขอ8 มูลและเทคโนโลยสี ขุ ภาพ โรงพยาบาล หมายถึง โรงพยาบาลในสงั กัดสำนักงานปลัดกระทรวงสาธารณสุข สงั กัดกรมการแพทย= สังกัดกรมสุขภาพจิต สังกดั กรมควบคุมโรค คณะทำงานธรรมาภบิ าลดา' นขอ' มลู และเทคโนโลยีสุขภาพ ประกอบดว' ย ผแ8ู ทนจากสำนักงานสาธารณสุขจังหวัด (สสจ.) สำนักงานสาธารณสุขอำเภอ (สสอ.) โรงพยาบาลศูนย~ (รพศ.) โรงพยาบาลทัว่ ไป (รพท.) โรงพยาบาลชมุ ชน (รพช.) โดยมหี นา' ทใี่ นการกำหนดนโยบาย กำกบั ตดิ ตาม ด8านความม่นั คงปลอดภยั ไซเบอร~ (Cyber Security) การคุ8มครองขอ8 มลู สyวนบุคคล (PDPA) การใชป8 ระโยชน~ข8อมลู สุขภาพสวy นบุคคลภายใต8 กฎหมายท่ีเกี่ยวข8อง การรับสyงข8อมูลตามมาตรฐานทต่ี กลงรวy มกนั และการนำข8อมูลสขุ ภาพไปใช8ประโยชน~ในการให8บรกิ ารแกyประชาชน ในรูปแบบตyางๆ (Data Governance)

Small Success รอ\" ยละของจงั หวัดที่มีการใช\"บริการศูนยข; อ\" มูลกลางดา\" นสุขภาพของประชาชน 3 เดอื น 6 เดือน 9 เดือน 12 เดือน ทกุ จังหวดั มกี ารแตNงตัง้ รพ. ท่ีติดตงั้ HIS Gateway และมี - รพ. ที่ตดิ ตัง้ HIS Gateway คณะทำงานธรรมาภิบาล ผลการเชอื่ มโยงขAอมลู สำเรจ็ มี และมผี ลการเช่อื มโยงขAอมูล ดาA นขอA มูลและเทคโนโลยี จำนวนไมนN อA ยกวาN รอA ยละ 20 ของ สำเรจ็ มจี ำนวนไมNนอA ยกวาN สุขภาพ จำนวน รพ.* ท้ังจังหวัด รAอยละ 60 ของจำนวน รพ.* ทง้ั จงั หวดั * โรงพยาบาล หมายถึง โรงพยาบาลในสงั กดั สำนกั งานปลัดกระทรวงสาธารณสุข สังกดั กรมการแพทย> สงั กดั กรมสุขภาพจิต สงั กัดกรมควบคุมโรค

ประเดน็ การตรวจราชการทม่ี ุงS เน;น ร\"อยละของจังหวัดทมี่ กี ารใชบ\" ริการศูนย;ขอ\" มูลกลางด\"านสขุ ภาพของประชาชน เป#าหมาย มาตรการทีด่ ำเนนิ งานในพื้นท่ี แนวทางการตรวจ ตดิ ตาม ผลลพั ธ?ทีต่ อ@ งการ ทกุ จงั หวดั แตง, ต้งั คณะทำงานธรรมาภบิ าลดา; นข;อมลู และ สง, ข;อมลู ให; ศทส.สป. ทุกจงั หวัดมีการประชมุ กำกับติดตาม เทคโนโลยีสขุ ภาพในระดับจังหวดั การดำเนินงานดา; นธรรมาภบิ าลอยา, ง โรงพยาบาลทุกแห,ง สมำ่ เสมอ หน,วยงานทุกแห,ง เชิญชวนให;โรงพยาบาลทุกแห,งเข;ารว, มอบรมการ โรงพยาบาลทกุ แหง, ตดิ ตัง้ ใช;งาน HIS Gateway รน,ุ ปจV จุบัน ดผู ลลัพธXการเข;ารว, มอบรม รพ. ทุกแห,งทั่วประเทศ เขา; ร,วมอบรม กำกบั ตดิ ตามให;หนว, ยงานตอบแบบสอบถามสถานะ และผลทดสอบ ความพร;อมดา; นไซเบอรX ออนไลนX กำกับติดตามให;โรงพยาบาลทกุ แห,งตดิ ตั้ง HIS ศทส.สป. สรปุ ผลการตอบ มีสถานะความพร;อมดา; นไซเบอรใX น Gateway และใชป; ระโยชนXอยา, งสมำ่ เสมอเพอื่ ภาพรวม สธ. คุณภาพของข;อมลู ทปี่ ระชาชนจะได;รบั ศทส. ดู Log การใช; รพ. อน่ื ๆ ที่ ประชาชน เจา; ของข;อมลู HIS Gateway จาก Server เข;ารับบริการ เรยี กใช;ขอ; มูลของ ผู;รับบรกิ ารรายนัน้ จาก โรงพยาบาลอนื่ http://hisgateway.moph.go.th/ ได;อย,างมคี ุณภาพ

แบบสอบถามดา@ นความมัน่ คงปลอดภยั ทางไซเบอร? (Cyber Security Survey) วตั ถปุ ระสงค= เพ่ือนำผลวเิ คราะหไ~ ปใช8 เพอ่ื ใชใ@ นการปรบั ปรงุ ระบบและเตรยี มความพรอ@ มรบั มอื กบั ภยั คุกคามทางไซเบอร? ประกอบการจัดทำแผนเสนอขอรับ สำหรับหนYวยงานสาธารณสุข (Health Sector) ปa 2565 งบประมาณด8านการรักษาความมนั่ คง ปลอดภัยไซเบอร~ ของกระทรวงสาธารณสขุ https://ops-service.moph.go.th/

HIS Gateway เครื่องมือกลางเชือ่ มโยงขอ8 มูลสขุ ภาพเพื่อคุณภาพการให8บริการประชาชนได8อยาy งไร8รอยตyอ บนแพลตฟอร~มระบบสุขภาพดจิ ทิ ัล (NDHP : National Digital Health Platform) http://hisgateway.moph.go.th/ ตัวอย$าง ผลการดำเนนิ งาน : (ณ ต.ค.64) จำนวนหน7วยงานท่ีตดิ ตั้ง HIS Gateway เขต 1 : 20 รพ. คดิ เป`น 20% เขต 4 : 27 รพ. คิดเป`น 38% เขต 9 : 30 รพ. คดิ เปน` 33% เขต 12 : 56 รพ. คิดเป`น 71% MoPH Data Center แผนการอบรมภาคปฏบิ ัติ : เขต 1 : 30 พ.ย. - 3 ธ.ค. 64 (เชยี งใหม)y เขต 4 : 8 - 9 ธ.ค. 64 (นนทบุรี) เขต 9 : 13 - 14 ธ.ค. 64 (โคราช) เขต 12 : 16 - 17 ธ.ค. 64 (ออนไลน)~