ประกาศสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน)
เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของสถาบัน
พ.ศ. 2563
...............................................................................
โดยที่พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 กำหนดให้หน่วยงานของรัฐต้องจัดทำแนวนโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ และประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง แนวนโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553 กำหนดให้หน่วยงานของรัฐต้องจัดให้มีนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ของหน่วยงานเป็นลายลักษณ์อักษร ตลอดจนพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 กำหนดให้หน่วยงานของรัฐมีหน้าที่ดำเนินมาตรการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ เพื่อให้การดำเนินการใด ๆ ด้วยวิธีการทางอิเล็กทรอนิกส์มีความมั่นคงปลอดภัย และเชื่อถือได้
อาศัยอำนาจตามความในมาตรา 45 แห่งพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 และมาตรา 7 แห่งพระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 และมาตรา 26 และมาตรา 27 แห่งพระราชกฤษฎีกาจัดตั้งสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) พ.ศ. 2552 และที่แก้ไขเพิ่มเติมตามพระราชกฤษฎีกาจัดตั้งสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) (ฉบับที่ 2) พ.ศ. 2562 จึงออกประกาศแนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของสถาบันซึ่งครอบคลุมถึงนโยบายเว็บไซต์ของสถาบัน และนโยบายการคุ้มครองข้อมูลส่วนบุคคล ดังนี้
ข้อ 1 ประกาศนี้เรียกว่า “ประกาศสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) เรื่อง นโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของสถาบัน พ.ศ. 2563”
ข้อ 2 ประกาศนี้ให้มีผลใช้บังคับนับตั้งแต่วันที่ประกาศเป็นต้นไป
ข้อ 3 ให้ยกเลิก
(1) ประกาศสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศ (Information Security Policy)
(2) นโยบายการรักษามั่นคงปลอดภัยเว็บไซต์ สถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) พ.ศ. 2558
(3) นโยบายเว็บไซต์ของสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) / www.ha.or.th : Website Policy of Healthcare Accreditation Institute (Public Organization) / www.ha.or.th พ.ศ. 2557
(4) นโยบายการคุ้มครองข้อมูลส่วนบุคคลสถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน) พ.ศ. 2558
ข้อ 4 ในประกาศนี้ “สถาบัน” หมายถึง สถาบันรับรองคุณภาพสถานพยาบาล (องค์การมหาชน)
“คณะกรรมการ” หมายถึง คณะกรรมการพัฒนาระบบเทคโนโลยีสารสนเทศสถาบัน
“ผู้อำนวยการ” หมายถึง ผู้อำนวยการสถาบันรับรองคุณภาพสถานพยาบาล
“ผู้ใช้งาน” หมายถึง เจ้าหน้าที่หรือลูกจ้างของสถาบัน ผู้เยี่ยมสำรวจ และหมายความรวมถึงบุคคลภายนอกซึ่งไม่ได้สังกัดสถาบัน แต่ได้รับอนุญาตให้มีสิทธิ์ในการเข้าถึง และใช้งานข้อมูลหรือสินทรัพย์ต่าง ๆ ของสถาบัน โดยจะได้รับสิทธิ์ในการใช้ระบบตามหน้าที่ และต้องปฏิบัติตามนโยบายการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ และรับผิดชอบในการรักษาความลับของข้อมูล
“แนวนโยบาย” หมายความว่า หลักการเกี่ยวกับการรักษาความมั่นคงปลอดภัย ด้านเทคโนโลยีสารสนเทศของสถาบันซึ่งครอบคลุมถึงนโยบายเว็บไซต์ของสถาบัน และนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่สถาบันกำหนดขึ้นและประกาศใช้ “แนวปฏิบัติ” หมายความว่า ข้อปฏิบัติเกี่ยวกับการรักษาความมั่นคงปลอดภัยด้านเทคโนโลยีสารสนเทศของสถาบันซึ่งครอบคลุมถึงนโยบายเว็บไซต์ของสถาบัน และนโยบายการคุ้มครองข้อมูลส่วนบุคคลที่สถาบันกำหนดขึ้นและประกาศใช้ เพื่อให้ผู้ใช้งานปฏิบัติตามโดยเคร่งครัด