การพัฒนาแนวทางในการจัดการความมั่นคงความปลอดภัยระบบสารสนเทศ ที่เหมาะสมของโรงพยาบาลเอกชนในกรุงเทพมหานคร

A Development of Appropriate Approaches for Managing Information Systems Security of Private Hospitals in Bangkok

บทคัดย่อ

        งานวิจัยนี้มีวัตถุประสงค์เพื่อศึกษาระดับความถี่ของการเกิดภัยคุกคามต่อการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศโรงพยาบาลเอกชนในกรุงเทพมหานคร ภายใต้การควบคุมที่เพิ่มเข้ามาใหม่ในISO 27001:2013 จาก ISO 27001:2005 ทั้งในมุมมองของผู้ใช้ระบบและนักพัฒนาระบบ เพื่อพัฒนาแนวทางในการควบคุมความปลอดภัยของระบบสารสนเทศในโรงพยาบาล ประชากรคือบุคลากรของโรงพยาบาลเอกชนในกรุงเทพมหานครทั้งผู้ใช้ระบบ เช่น แพทย์ พยาบาล พนักงาน และผู้พัฒนาระบบทั้งหมด 82 โรงพยาบาล เครื่องมือที่ใช้ในการวิจัยเป็นแบบสอบถามที่สร้างขึ้นมาตามกรอบแนวคิดของ
มาตรฐาน ISO 27001:2013 มี 3 ส่วน 1) ลักษณะโดยทั่วไปของโรงพยาบาล 2) ลักษณะโดยทั่วไปของผู้ตอบแบบสอบถาม 3) ตัวแปรความมั่นคงปลอดภัยของระบบสารสนเทศ กลุ่มตัวอย่างเป็นผู้ใช้งานทั่วไป 362 คน และนักพัฒนาระบบ 20 คน ผลการวิจัยพบว่า ภัยคุกคามที่เกิดมากที่สุดคือ จากตัวบุคคล, ข้อผิดพลาดทางเทคนิคของฮาร์ดแวร์, ข้อผิดพลาดทางเทคนิคของซอฟต์แวร์ และเทคโนโลยีล้าสมัย ผู้วิจัยได้นำเสนอแนวทาง
แนวทางปฏิบัติสำหรับโรงพยาบาลทั้ง 11 ด้าน โดยการกำหนดกรอบนโยบาย และการนำไปปฎิบัติที่ชัดเจนตามความเหมาะสมของทรัพยากรและความสอดคล้องกับขอบเขตของโรงพยาบาล

Abstract

        This research aims to study the frequency of threats occurrence in private hospitals in Bangkok towards the maintaining of hospital information systems security under controls as per the standard ISO 27001: 2013 and in perspective of users and developers for developing the guideline for security control management in hospitals in term of threat management. The target population of this research are both general users and developers of private hospitals in Bangkok total 82 hospitals. The instrumentation used in this research was a questionnaire created by the standard ISO 27001: 2013. There are 3 parts in the survey: Part one is general hospital’s characteristic. The second part is general respondent’s characteristics and the third part is the variable security of information systems based on the new controls added to the ISO 27001: 2013
from ISO 27001: 2005 by the online and paper questionnaires. The sample 362 users and 20 developers were explored. The research found that most of the threats caused by acts of human error or failure, technical hardware and software failures or errors and technological obsolescence. The researcher has presented the guidelines for 11 hospitals by setting the policy framework and the implementation of the resources as appropriate and consistent with the scope
of the hospital.

ดาวน์โหลด Full Paper