PDPA Self Check - ทำครบหรือยัง?

PDPA Self Check

1. แต่งตั้งเจ้าหน้าที่คุัมครองข้อมูลส่วนบุคคล (Data Protection Officer | DPO)
2. จัดทำบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคล (Record of Processing Activity | RoPA)
3. การแจ้งคำประกาศการประมวลผลข้อมูลส่วนบุคคล (Privacy Notice)
4. จัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูล (Security Measure)
5. จัดให้มีกระบวนการในการขอใช้สิทธิ์ของเจ้าของข้อมูลส่วนบุคคล
6. จัดให้มีกระบวนการในการตอบสนองต่ออุบัติการณ์และการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล (Data Breach Response)
7. การจัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (Data Sharing Agreement | DSA) หรือข้อตกลงในการประมวลผลข้อมูลส่วนบุคคล (Data Processing Agreement | DPA) --- ถ้ามี
8. การจัดทำหลักเกณฑ์/ข้อตกลง การคุ้มครองข้อมูลส่วนบุคคล กรณีที่ส่งหรือโอนข้อมูลไปต่างประเทศ (Cross Border Transfer)

---

ประกาศที่เกี่ยวข้อง:

• พระราชกฤษฎีกากำหนดลักษณะ กิจการ หรือหน่วยงาน ที่ได้รับการยกเว้นไม่ให้นำพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 บางส่วนมาใช้บังคับ
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคลตามมาตรา 41 (2) แห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 พ.ศ. 2566 
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง ผู้ควบคุมข้อมูลส่วนบุคคลและผู้ประมวลผลข้อมูลส่วนบุคคลที่เป็นหน่วยงานของรัฐ ซึ่งต้องจัดให้มีเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2566
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการแจ้งเหตุการละเมิดข้อมูลส่วนบุคคล พ.ศ. 2565
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง การยกเว้นการบันทึกรายการของผู้ควบคุมข้อมูลส่วนบุคคลซึ่งเป็นกิจการขนาดเล็ก พ.ศ. 2565
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง หลักเกณฑ์และวิธีการในการจัดทำและเก็บรักษาบันทึกรายการของกิจกรรมการประมวลผลข้อมูลส่วนบุคคลสำหรับผู้ประมวลผลข้อมูลส่วนบุคคล พ.ศ. 2565
• ประกาศคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล เรื่อง มาตรการรักษาความมั่นคงปลอดภัยของผู้ควบคุมข้อมูลส่วนบุคคล พ.ศ. 2565

Update ประกาศอื่น ๆ > กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม MDES

CCTV Notice -- ตัวอย่างการจัดทำประกาศความเป็นส่วนตัวสำหรับกล้องโทรทัศน์วงจรปิด

 

ข้อกำหนดตามมาตรฐาน ISO 22301:2019

ความมุ่งมั่นของฝ่ายบริหาร (Leadership & Commitment)

มาตรฐานได ๆ ไม่อาจสำเร็จ หรือบรรลุวัตถุประสงค์ได้หากไม่ได้รับการสนับสนุนจากผู้บริหาร ถ้าแค่ไม่ค่อยเห็นความสำคัญอาจจะยังไม่เป็นปัญหาเท่าใหร่ แต่หากผู้บริหารไม่รู้ว่าการดำเนินการเหล่านี้มีไว้ทำไม หรือมีประโยชน์อะไร อันนี้ตัวใครตัวมันแล้ว !!!

ความมุ่งมั่นของฝ่ายบริหาร (Management commitment) เป็นส่วนหนึ่งของข้อกำหนดในมาตรฐานระบบการจัดการ ในที่นี้จะยกมาในส่วนของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศฯ ตามมาตรฐาน ISO27001 ซึ่งได้วางข้อกำหนดเกี่ยวกับความมุ่งมั่นของผู้บริหารไว้ดังนี้

ซึ่งประเด็นสำคัญของมันก็คือ ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงความมุ่งมั่นในการพัฒนาและนำระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศฯ ไปปฏิบัติใช้ รวมถึงการปรับปรุงประสิทธิภาพของระบบอย่างต่อเนื่อง

คำถามที่ตามมาคือ ในฐานะผู้บริหารจะแสดงความมุ่งมั่นอย่างไร ในฐานะผู้ตรวจปัญหาสำคัญคือจะทำอย่างไรในการเก้บรวบรวมหลักฐานที่แสดงให้เห็นถึงความมุ่งมั่นในการดำเนินการของผู้บริหาร

ผู้บริหารเซ็นต์ลงนามในประกาศนโยบาย และระเบียบปฎิบัติ เพียงพอใหมที่จะบอกว่าผู้บริหารมีความมุ่งมั่น? เอาตามตรงมันอาจจะยังไม่เพียงพอ แต่อย่างไรก็ตามก็สามารถมององค์ประกอบอื่นๆ  เพิ่มเติมได้ ถึงแม้บางอย่างในข้อกำหนดจะให้เก็บเป็นหลักฐานเชิงประจักษ์ยากหน่อยก็เหอะ

แล้วเราจะดูอะไรได้ หรือผู้บริหารจะทำยังไงให้เห็นถึงความมุ่งมั่นหละ สิ่งเหล่านี้อาจจะพอเป็นแนวทางได้นะครับ เช่น ผู้บริหารเข้าร่วมประชุมทบทวนระบบ กำกับดูแล และติดตามผลการดำเนินการ ให้ข้อเสนอแนะ และตัดสินใจในประเด้นที่เกี่ยวข้อง (เช่น แผนการจัดการความเสี่ยง, ประสิทธิผลการดำเนินการ เป็นต้น), ผู้บริหารจัดสรรทรัพยากรที่จำเป็นให้, ผู้บริหารสนับสนุนให้มีการฝึกอบรมพนักงาน เป็นต้น

การตัดสินใจเข้าสู่ขั้นตอนการสื่อสารภาวะวิกฤต

ปัญหาหนึ่งที่มักจะเจอในการจัดทำแผนความต่อเนื่องทางธุรกิจ คือการกำหนดจุดตัดสินใจในการเข้าสู่ภาวะวิกฤต แต่เจอการตัดสินใจเข้าสู่ขั้นตอนการสื่อสารภาวะวิกฤต ในคู่มือการสื่อสารประชาสัมพันธ์ในภาวะวิกฤตของกรุงเทพมหานคร แล้วชอบเป็นพิเศษเลยเอามาปรับนิดหน่อย (นิดเดียวจริงๆ) คิดว่ามีหลายหน่วยงานที่สามารถนำไปประยุกต์ใช้ต่อได้

---

คู่มือการสื่อสารประชาสัมพันธ์ในภาวะวิกฤตของกรุงเทพมหานคร (2023). Retrieved 18 September 2023, from https://pr-bangkok.com/insite/03-PRFLIP/mobile/index.html#p=1

ตัวอย่างกระบวนการขึ้นทะเบียนจัดทำเอกสารคุณภาพใหม่

 

ทำไมองค์กรถึงต้องมีระบบการจัดการที่ดี ???

ขอเริ่มต้นด้วยประโยคนี้ 

"ระบบที่ดี ไม่ว่ายูสเซอร์จะเป็นใคร จากใหน อะไร ยังไง ผลลัพธ์ที่ได้ก็เหมือนกัน ถึงจะไม่เหมือนเป๊ะแต่ก็อยู่ในระดับที่คาดหวังได้ แต่เมื่อใหร่ที่ระบบแย่ ... ผลของงานนั้นก็ขึ้นอยู่กับพนักงานแต่ละคน แล้วควรแก้ที่ใคร คน หรือระบบ ???"

ระบบการจัดการที่ดีไม่เพียงแค่ช่วยให้องค์กรสามารถดำเนินงานได้อย่างมีประสิทธิภาพ แต่ยังเป็นปัจจัยสำคัญในการสร้างความยั่งยืนและความสามารถในการแข่งขันในตลาดอีกด้วย การมีระบบการจัดการที่ดีส่งผลต่อองค์กรใหนหลาย ๆ ด้าน ดังนี้

1. ประสิทธิภาพและประสิทธิผลในการดำเนินงาน

ระบบการจัดการที่ดีช่วยให้องค์กรสามารถดำเนินงานได้อย่างเป็นระบบและมีประสิทธิภาพ เมื่อระบบได้รับการออกแบบและจัดการอย่างเหมาะสม พนักงานสามารถปฏิบัติงานได้อย่างมีประสิทธิผล ลดข้อผิดพลาด และใช้ทรัพยากรที่มีอยู่อย่างเต็มที่ ส่งผลให้องค์กรสามารถบรรลุเป้าหมายและวัตถุประสงค์ได้อย่างรวดเร็วและแม่นยำ

ตัวอย่างการพิจารณาประเด็นความต้องการและความคาดหวังของผู้มีส่วนได้เสีย --- ISO45001

 

Risk Management - การจัดการความเสี่ยง ?

 

มีโอกาสได้เข้ามาดูงานการจัดการความเสี่ยงที่ศิริราช 2 อาทิตย์ ได้ดูสไลด์การจัดการความเสี่ยงของ รศ.พญ.ปรียานุช แย้มวงษ์ แล้วชอบนิยามของการจัดการความเสี่ยงของอาจารย์เป็นพิเศษ เราอาจหานิยามที่มีความเป็นวิชาการได้ แต่ของอาจารย์คือให้ความหมายที่ทำให้มองเห็นภาพ เวลาต้องอธิบาย เลยขอยืมอาจารย์ไปใช้อยู่บ่อย ๆ 

 "การจัดการความเสี่ยง เป็นศาสตร์และศิลป์ในการสร้างความสมดุล

เพื่อให้การใช้ชีวิต และการดำเนินงานขององค์กรเป็นไปตามทางสายกลาง

ที่เป็นไปอย่างไม่ประมาท แต่ก็ไม่ทุกขเกินเหตุ”

“ ชีวิตคนเรามีความเสี่ยงตลอดเวลา 

ตั้งแต่เรื่องเล็ก ๆ จนถึงเสี่ยงต่อชีวิต

ถ้าเรากลัวไปหมดซะทุกอย่าง

ก็จะไม่กล้าทำอะไรใหม่ ๆ เลย 

แต่ถ้าไม่สนใจอะไรเลย ก็ประมาท ”

รศ.พญ.ปรียานุช แย้มวงษ์ 

คณะแพทยศาสตร์ศิริราชพยาบาล

ผู้บริหารจะมีส่วนอย่างไรในการดำเนินการให้องค์กรบรรลุเป้าหมาย

1. กำหนดเป้าหมายที่ชัดเจน: กำหนดหลักการสำคัญที่เป็นแนวทางให้กับองค์กร โดยอาจเขียนเป็นนโยบาย กลยุทธ์ และเผยแพร่ให้พนักงานทราบ
2. สื่อสารอย่างสม่ำเสมอ: พูดถึงหลักนำนี้อย่างสม่ำเสมอ เน้นย้ำให้พนักงานจดจำ เพื่อให้พนักงานทราบว่าผู้บริหารระดับสูงให้ความสำคัญกับเรื่องนี้
3. เป็นแบบอย่าง: ผู้นำต้องแสดงให้เห็นเป็นตัวอย่างที่ดี ปฏิบัติตามแนวทาง หรือเป้าหมายที่กำหนดไว้
4. ยกย่องผู้ปฏิบัติตาม: ประกาศยกย่องและให้รางวัลแก่พนักงานที่ปฏิบัติตามแนวทาง หรือเป้าหมายที่กำหนดไว้
5. ไม่สนับสนุนผู้ละเมิด: ไม่ให้รางวัลหรือยกย่องผู้ที่ฝ่าฝืน แม้จะสร้างผลประโยชน์ระยะสั้นให้กับองค์กรก็ตาม และตักเตือนหรือลงโทษพนักงานที่ละเมิดอย่างจริงจัง

Basic Root Cause Analysis Tools

---

• Root Cause Analysis Tools: A List of Essential Ones to Use in RCA (lifetime-reliability.com)

Strategic The Series (Part 1) -- แผนยุทธศาสตร์คืออะไร?

วันนี้ฟังสัมนาการจัดทำยุทธศาสตร์คณะฯ เลยเอามาเขียนสรุปตามความเข้าใจของตัวเองสักหน่อย และแบ่งปันกันอ่านครับ ที่เขียนนี่คือเอาตามความเข้าใจของตัวเองที่ได้ฟังนะครับ อาจจะไม่ครบ หรือตกหล่น บางอันก็เขียนเพิ่มเองไม่ได้เกี่ยวกับที่ฟังมาต้องขออภัย

เริ่มต้นอาจารย์ได้เกริ่นก่อนว่าทุกองค์กรมีข้อจำกัดที่เหมือนกัน 3 ประการ คือ เวลา, คน และเงิน ด้วยข้อจำกัดเหล่านี้ เราจึงไม่สามารถทำทุกสิ่งที่เราต้องการได้ ดังนั้นการเพื่อผลลัพธ์ที่ดีภายใต้ข้อจำกัดเราจึงต้องเลือกทำสิ่งที่สำคัญที่สุด เพื่อให้เกิดประโยชน์สูงสุด

แผนยุทธศาสตร์คืออะไร? ก่อนจะตอบคำถามนี้อาจจะต้องทำความเข้าใจไปทีละขั้น เราคงไม่ได้เอานิยามมาคุยกันนะครับ เพราะมีการกำหนดไว้ค่อนข้างหลากหลายเลยทีเดียว 

แผน คือ รายการขั้นตอนที่ต้องทำอะไรบางอย่าง โดยใช้ทรัพยากร เพื่อให้บรรลุเป้าหมาย

แผนยุทธศาสตร์ คือ แผนที่กำหนดทิศทางหรือแนวทางปฏิบัติเพื่อให้บรรลุพันธกิจและวิสัยทัศน์ขององค์กร

องค์ประกอบหลักของแผนยุทธศาสตร์:

1. วิสัยทัศน์ (Vision): สิ่งที่องค์กรต้องการเป็นในอนาคต เป็นจินตภาพเกี่ยวกับองค์กรในอนาคตที่ต้องการชี้ให้บุคลากร หรือผู้มีส่วนได้เสียเห็นถึงทิศทางที่องค์กรต้องการจะมุ่งไป วิสัยทัศน์จะอธิบายความท้าทายทะเยอทะยานสำหรับอนาคตขององค์กรแต่ไม่ได้ระบุถึงวิธีการที่จะนำไปสู่ความมุ่งหมายนั้นอย่างชัดเจน 
2. พันธกิจ (Mission): กรอบหรือขอบเขตการดำเนินงานขององค์กร เป็นกิจกรรมหลักและลักษณะงานสำคัญขององค์กรเพื่อนำไปสู่วิสัยทัศน์ที่องค์กรกำหนดขึ้น พันธกิจเป็นภารกิจพื้นฐานขององค์กรหรือหน่วยงานที่ต้องปฏิบัติหรือต้องการพัฒนา
3. เป้าประสงค์ (Goals): ผลลัพธ์ที่องค์กรต้องการบรรลุ
4. กลยุทธ์ (Strategies): วิธีการหรือแนวทางในการบรรลุเป้าประสงค์
5. ตัวชี้วัด (Key Performance Indicators - KPIs): เครื่องมือในการวัดความสำเร็จของแผนยุทธศาสตร์นั้น ๆ

แผนยุทธศาสตร์ที่ดี ควรต้องมี:

• เป้าหมายที่ชัดเจน (Clear Goals)
• มีการจัดลำดับความสำคัญ (Priority)
• มีกลยุทธ์ที่สอดคล้องกับเป้าหมาย และสภาพแวดล้อมที่เปลี่ยนแปลง

ลักษณะสำคัญของแผนยุทธศาสตร์

• การมององค์การแบบภาพรวม (Holistic View): แผนยุทธศาสตร์จะต้องมององค์การในภาพรวมและเชื่อมโยงทุกส่วนขององค์การเข้าด้วยกัน.
• การมุ่งเน้นอนาคต (Future-Oriented): แผนยุทธศาสตร์จะต้องมีการวางแผนระยะยาวและมุ่งเน้นไปที่การเตรียมความพร้อมสำหรับอนาคต.

การจัดทำแผนยุทธศาสตร์

1. วิเคราะห์สภาพแวดล้อม:
   
• ภายนอก: มองหาโอกาสและอุปสรรคจากปัจจัยต่างๆ เช่น เศรษฐกิจ สังคม เทคโนโลยี การเมือง กฎหมาย และคู่แข่ง
• ภายใน: ประเมินจุดแข็ง จุดอ่อน ทรัพยากร และความสามารถขององค์กร
  
  
2. วิเคราะห์ข้อมูลที่ได้จากการวิเคราะห์สภาพแวดล้อม และเลือกกลยุทธ์ที่เหมาะสมกับองค์กรมากที่สุด โดยพิจารณาความได้เปรียบในการแข่งขัน กำหนดแผนปฏิบัติการที่ชัดเจน วัดผลได้ และยืดหยุ่น
   
   
3. นำกลยุทธ์ไปใช้ โดยการสื่อสารกลยุทธ์ให้บุคลากรในองค์กรเข้าใจ จัดสรรทรัพยากรและบุคลากรอย่างมีประสิทธิภาพ มีกระบวนการในการติดตามผลและประเมินผลการดำเนินงาน และที่สำคัญคือปรับเปลี่ยนกลยุทธ์ให้เหมาะสมตามสถานการณ์

ในการดำเนินการให้เป็นไปตามแผนยุทธศาสตร์ที่วางไว้ผู้บริหารเปรียบเสมือนกัปตัน ทำหน้าที่ขับเคลื่อนองค์กรให้นำทางไปสู่เป้าหมาย 

ประโยชน์ของแผนยุทธศาสตร์

• การกำหนดทิศทางที่ชัดเจน: ช่วยให้องค์การมีทิศทางที่ชัดเจนและสามารถวางแผนการดำเนินงานได้อย่างมีประสิทธิภาพ.
• การเชื่อมโยงระหว่างยุทธศาสตร์กับการปฏิบัติการ: ช่วยให้องค์การสามารถเชื่อมโยงยุทธศาสตร์กับการปฏิบัติการได้อย่างเป็นรูปธรรม.
• การปรับปรุงและพัฒนาอย่างต่อเนื่อง: ช่วยให้องค์การสามารถปรับปรุงและพัฒนาแผนยุทธศาสตร์ได้อย่างต่อเนื่องตามสภาพแวดล้อมที่เปลี่ยนแปลง.

>>> จะมีพาร์ทสองไหม?

Data life cycle — วงจรชีวิตข้อมูล

Data life cycle & Security requirement

Firewall Policy - การตั้งค่าความปลอดภัยสำหรับไฟร์วอล

ซื้อไฟร์วอลมาโครตแพง แต่ Allow all ก็ไม่ได้ช่วยให้เกิดความปลอดภัยมากนัก ซึ่งส่วนใหญ่แล้วมักจะไม่ค่อยเห็นความสำคัญ 

หลักการที่สำคัญในการตั้งค่าให้กับไฟร์วอล คือ เปิดเฉพาะที่จำเป็น เช่น ผู้ใช้ภายในส่วนใหญ่ก็จะใช้งานแค่  HTTP, HTTPS, SSH, DNS, SMTP, POP3 เราก็เปิดแค่นั้น, ในส่วนของการสื่อสารระหว่าง Server ก็มาดูทีละส่วนทีละเครื่องว่าจะเปิดให้เข้าถึงอะไรได้บ้าง และที่สำคัญคือควรจะต้องมีการทบทวน Firewall Policy อย่างน้อยปีละ 1 ครั้ง เพื่อนำพอร์ท หรืออะไรที่ไม่ได้ใช้งานแล้วออก (ปกติถ้าไม่ได้ใช้แล้วก็ควรนำออกเลย แต่มันก็มีผิดพลาด หรือลืมกันได้ เพราะฉะนั้นปีนึงก็มาทบทวนอีกซักรอบว่ายังจำเป็นอยู่หรือปล่าว)

ตัวอย่างการตั้งค่า Access control list: ACL

BCP Exercise - การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ เป็นขั้นตอนในการทดสอบและประเมินความพร้อมของแผนปฏิบัติการ และกระบวนการในการตอบโต้สถานการณ์เมื่อเกิดเหตุที่ไม่คาดคิด เพื่อให้ทราบถึงข้อบกพร่องของแผน, ทรัพยากร, กระบวนการทำงาน, ช่องว่างในการประสานงานต่าง ๆ ทั้งภายในและภายนอกหน่วยงาน ตลอดจนประสิทธิภาพของกระบวนการสื่อสาร   โดยมีรูปแบบที่นิยมใช้ในการฝึกซ้อม 3 รูปแบบ คือ

• การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise)
• การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise)
• การฝึกซ้อมเสมือนจริง (Full scale Exercise)

การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการทำความเข้าใจเกี่ยวกับแผน บทบาทหน้าที่ และความร่วมมือต่าง ๆ  โดยใช้การอภิปรายแบบกลุ่มบนสถานะการณ์จำลองที่กำหนดขึ้น โดยผู้บริหาร และผู้ที่มีส่วนเกี่ยวข้อง ข้อดีของการฝึกซ้อมแผนบนโต๊ะคือประหยัด เหมาะสำหรับใช้ในการเตรียมการฝึกซ้อมที่มีความซับซ้อนมากขึ้น

การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการประเมินความสามารถของบุคลากร การสั่งการ และทรัพยากรที่จำเป็น โดยการจำลองสถานะการเฉพาะจุด หรือเฉพาะบทบาทหน้าที่นั้น ๆ ข้อดีของการฝึกซ้อมการฝึกซ้อมเฉพาะหน้าที่ คือความสมจริงของเหตุการณ์ภายไต้งบประมาณที่จำกัด มักถูกใช้ในการเตรียมความพร้อมรับมือเหตุการณ์ต่าง ๆ เช่น การทดสอบการสื่อสารผ่าน Call tree, การทดสอบ hot site เป็นต้น

การฝึกซ้อมเสมือนจริง (Full scale Exercise) เป็นการฝึกซ้อมที่ซับซ้อนและใช้ทรัพยากรมากที่สุดเนื่องจากต้องมีการเคลื่อนย้ายทรัพยากร และบุคลากรที่เกี่ยวข้องเพื่อให้เกิดความสมจริงในการตอบสนองต่อเหตุการณ์ โดยมุ่งเน้นการปฏิบัติตามแผนงานที่ได้กำหนดไว้ ซึ่งรวมทั้งกระบวนการสั่งการ การสื่อสาร การเคลื่อนย้าย การตั้งค่า การรายงาน ฯลฯ โดยใช้สถานการณ์สมมติ

การที่องค์กรจะเลือกรูปแบบการซ้อมแบบไหนก็ขึ้นอยู่กับบริบท และความพร้อมขององค์กรในการดำเนินการ แต่อย่างน้อยควรจะมีการซ้อมปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเมื่อเกิดเหตุขึ้นแผนนี้จะสามารถรับมือได้ 

Document Action Request Form | DAR -- (แบบคำร้องขอให้ดำเนินการเกี่ยวกับเอกสารควบคุม)

 

สนใจนำไปประยุกต์ใช้ในหน่วยงาน > https://docs.google.com/document/d/1azwXuAdg5EoBCyCT1-OfiD8zYk1GEyNDwc7HEJ78hBk/edit?usp=sharing

SWOT Analysis Template

สนใจนำไปประยุกต์ใช้ในองค์กร > https://docs.google.com/presentation/d/1VyI6d8BbCbdXCteA5HZw25MzOAiUGQeCokZrZOd9-nA/edit?usp=sharing

โรงพยาบาล: สถานที่แห่งความหวัง แฝงความเสี่ยง

โรงพยาบาล เปรียบเสมือนบ้านหลังที่สองสำหรับผู้ป่วย ยามเจ็บป่วยผู้คนต่างมุ่งหน้าไปเพื่อขอรับการรักษาพยาบาล เพื่อบรรเทาความทุกข์ทรมานที่เกิดขึ้น  แต่ว่าภายใต้ภาพลักษณ์ของสถานที่แห่งความหวัง  ยังแฝงไปด้วยความเสี่ยงที่หลายคนอาจมองข้าม ความเสี่ยงที่อาจได้เผชิญในการเข้ารับบริการที่โรงพยาบาลเมื่อลองแบ่งเป็นกลุ่ม อาจแบ่งได้ประมาณนี้ คือ

1. ความเสี่ยงทางคลินิก เป็นความเสี่ยงที่พบได้บ่อยที่สุด เริ่มตั้งแต่การวินิจฉัยผิดพลาด การรักษาที่ไม่ถูกต้อง การติดเชื้อในโรงพยาบาล ภาวะแทรกซ้อนจากการรักษา การแพ้ยา การพลัดตกหกล้มซึ่งมีสาเหตุทั้งมาจากอาการของโรค เป็นภาวะหลังการได้รับยา หรืออาจจะเป็นอุบัติเหตุ สิ่งเหล่านี้ล้วนเป็นสิ่งที่ผู้ป่วยอาจต้องเผชิญ ถึงแม้โรงพยาบาลจะมีระบบ และมาตรการในการป้องกัน แต่ความผิดพลาดก็อาจเกิดขึ้นได้เสมอ

เตรียมพร้อมเอกสารสำหรับ Surveillance Audit ISO27001

เวลาจะตรวจ Surveillance Audit ISO27001 ประจำปีแต่ละที ก็จะกังวลว่าเตรียมเอกสารครบหรือยัง? ลองเช็คไปพร้อมๆ  กัน

ตรวจสอบ

1. มีการเปลี่ยนแปลงของขอบเขตการบริหารจัดการ? -- Scope of ISMS (Clause 4.3) 
2. มีการเปลี่ยนแปลงของนโยบาย? -- Information Security Policy (Clause 5.2) 
3. มีการเปลี่ยนแปลงของกระบวนการประเมินความเสี่ยง และกระบวนการการจัดการความเสี่ยง? -- Information Security Risk Assessment Process (Clause 6.1.2), Information Security Risk Treatment Plan (Clause 6.1.3
4. มีการเปลี่ยนแปลงของเอกสารการประยุกต์ใช้มาตรการควบคุม? -- Statement of Applicability (Clause 6.1.3)
5. มีการเปลี่ยนแปลงเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศ? -- Information Security Objectives (Clause 6.2)
6. มีการเปลี่ยนเปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ? -- Change Management (Clause 6.3)
7. มีการเปลี่ยนแปลงของเอกสารอื่น ๆ ที่เกี่ยวข้อง? -- Documented Information Required by the Standard and Deemed Necessary by the Organization (Clause 7.5.1) 

*** ถ้ามีการเปลี่ยนแปลง 1-7 มีการจัดทำ/ทบทวน/แก้ไขเอกสารหรือยัง? ถ้าแก้ไขแล้วจัดเตรียมไว้

เตรียม

1. ใบประกาศ, แผนการอบรม ผลการอบรม ของพนักงานที่เกี่ยวข้อง -- Evidence of Competences (Clause 7.2)
2. ผลการประเมินความเสี่ยง -- Results of Information Security Risk Assessments (Clause 8.2)
3. แผนการจัดการความเสี่ยง และการติดตามผลการจัดการ -- Results of Risk Treatment (Clause 8.3)
4. ผลการติดตามและวัดผลประสิทธิผลการดำเนินการ (KPI) -- Evidence of Monitoring and Measurement Results (Clause 9.1) 
5. แผนการตรวจ, ผลการตรวจ, รายงานการตรวจ, CAR, การตอบกลับ CAR, การติดตาม CAR -- Audit Program and Results (Clause 9.2) - Schedule and outcomes of ISMS audits.
6. ผลลัพธ์ของกระบวนการที่ได้วางแผนไว้ -- Evidence that the Process Has Been Performed as Planned (Clause 8.1)
7. ผลการทบทวนของผู้บริหาร -- Evidence of Management Reviews (Clause 9.3) 
8. ผลการดำเนินการกับความไม่สอดคล้อง -- Nonconformities and Actions Taken (Clause 10.2)

หมายเหตุ: เป็นการตรวจสอบเฉพาะตามข้อกำหนด C4-10 ไม่รวมถึงเอกสารที่เกิดจากการประยุกต์ใช้มาตรการควบคุมตาม Annex A