Wednesday, April 19, 2023

โรงพยาบาล: สถานที่แห่งความหวัง แฝงความเสี่ยง

โรงพยาบาล เปรียบเสมือนบ้านหลังที่สองสำหรับผู้ป่วย ยามเจ็บป่วยผู้คนต่างมุ่งหน้าไปเพื่อขอรับการรักษาพยาบาล เพื่อบรรเทาความทุกข์ทรมานที่เกิดขึ้น  แต่ว่าภายใต้ภาพลักษณ์ของสถานที่แห่งความหวัง  ยังแฝงไปด้วยความเสี่ยงที่หลายคนอาจมองข้าม ความเสี่ยงที่อาจได้เผชิญในการเข้ารับบริการที่โรงพยาบาลเมื่อลองแบ่งเป็นกลุ่ม อาจแบ่งได้ประมาณนี้ คือ

  1. ความเสี่ยงทางคลินิก เป็นความเสี่ยงที่พบได้บ่อยที่สุด เริ่มตั้งแต่การวินิจฉัยผิดพลาด การรักษาที่ไม่ถูกต้อง การติดเชื้อในโรงพยาบาล ภาวะแทรกซ้อนจากการรักษา การแพ้ยา การพลัดตกหกล้มซึ่งมีสาเหตุทั้งมาจากอาการของโรค เป็นภาวะหลังการได้รับยา หรืออาจจะเป็นอุบัติเหตุ สิ่งเหล่านี้ล้วนเป็นสิ่งที่ผู้ป่วยอาจต้องเผชิญ ถึงแม้โรงพยาบาลจะมีระบบ และมาตรการในการป้องกัน แต่ความผิดพลาดก็อาจเกิดขึ้นได้เสมอ

Wednesday, April 5, 2023

เตรียมพร้อมเอกสารสำหรับ Surveillance Audit ISO27001

เวลาจะตรวจ Surveillance Audit ISO27001 ประจำปีแต่ละที ก็จะกังวลว่าเตรียมเอกสารครบหรือยัง? ลองเช็คไปพร้อมๆ  กัน

ตรวจสอบ

  1. มีการเปลี่ยนแปลงของขอบเขตการบริหารจัดการ? -- Scope of ISMS (Clause 4.3) 
  2. มีการเปลี่ยนแปลงของนโยบาย? -- Information Security Policy (Clause 5.2) 
  3. มีการเปลี่ยนแปลงของกระบวนการประเมินความเสี่ยง และกระบวนการการจัดการความเสี่ยง? -- Information Security Risk Assessment Process (Clause 6.1.2), Information Security Risk Treatment Plan (Clause 6.1.3
  4. มีการเปลี่ยนแปลงของเอกสารการประยุกต์ใช้มาตรการควบคุม? -- Statement of Applicability (Clause 6.1.3)
  5. มีการเปลี่ยนแปลงเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศ? -- Information Security Objectives (Clause 6.2)
  6. มีการเปลี่ยนเปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ? -- Change Management (Clause 6.3)
  7. มีการเปลี่ยนแปลงของเอกสารอื่น ๆ ที่เกี่ยวข้อง? -- Documented Information Required by the Standard and Deemed Necessary by the Organization (Clause 7.5.1) 
*** ถ้ามีการเปลี่ยนแปลง 1-7 มีการจัดทำ/ทบทวน/แก้ไขเอกสารหรือยัง? ถ้าแก้ไขแล้วจัดเตรียมไว้

เตรียม

  1. ใบประกาศ, แผนการอบรม ผลการอบรม ของพนักงานที่เกี่ยวข้อง -- Evidence of Competences (Clause 7.2)
  2. ผลการประเมินความเสี่ยง -- Results of Information Security Risk Assessments (Clause 8.2)
  3. แผนการจัดการความเสี่ยง และการติดตามผลการจัดการ -- Results of Risk Treatment (Clause 8.3)
  4. ผลการติดตามและวัดผลประสิทธิผลการดำเนินการ (KPI) -- Evidence of Monitoring and Measurement Results (Clause 9.1) 
  5. แผนการตรวจ, ผลการตรวจ, รายงานการตรวจ, CAR, การตอบกลับ CAR, การติดตาม CAR -- Audit Program and Results (Clause 9.2) - Schedule and outcomes of ISMS audits.
  6. ผลลัพธ์ของกระบวนการที่ได้วางแผนไว้ -- Evidence that the Process Has Been Performed as Planned (Clause 8.1)
  7. ผลการทบทวนของผู้บริหาร -- Evidence of Management Reviews (Clause 9.3) 
  8. ผลการดำเนินการกับความไม่สอดคล้อง -- Nonconformities and Actions Taken (Clause 10.2)
หมายเหตุ: เป็นการตรวจสอบเฉพาะตามข้อกำหนด C4-10 ไม่รวมถึงเอกสารที่เกิดจากการประยุกต์ใช้มาตรการควบคุมตาม Annex A