มาตรฐานสถานบริการสุขภาพ

ด้านที่ 1 ด้านการบริหารจัดการ
(Hospital Management)

(1) หมวดนโยบายการจัดการคุณภาพ
HM1.1 สถานพยาบาลมีนโยบายการจัดการคุณภาพ
HM1.2 การสื่อสารจากผู้นำ
HM1.3 การมีสํวนรํวมของบุคลากร
HM1.4 การมีส่วนร่วมของชุมชน หรือผู้รับบริการ หรือญาติ หรือผู้มีส่วนได้ส่วนเสียในการบริการ

(2) หมวดกระบวนการคุณภาพ
HM2.1 คุณภาพบริการและระบบสนับสนุนบริการ
HM2.2 คุณภาพการบริหารสถานพยาบาล

(3) หมวดผลลัพธ์ของการจัดการคุณภาพ
HM3.1 ความพึงพอใจและความมั่นใจของผู้รับบริการและประชาชน
HM3.2 ความสุขและความพึงพอใจของบุคลากรในสถานพยาบาล
HM3.3 ชื่อเสียงของสถานพยาบาล

ด้านที่ 2 ด้านการบริการสุขภาพ
(Health Service)

HS1 โรงพยาบาลต้องจัดให้มีผู้ประกอบวิชาชีพหรือผู้ประกอบโรคศิลปะที่ได้มาตรฐานการประกอบวิชาชีพหรือการประกอบโรคศิลปะที่สภาวิชาชีพหรือคณะกรรมการวิชาชีพกำหนดหรือประกาศกระทรวงสาธารณสุขกำหนด

HS2 แผนกเวชระเบียนจัดให้มีอุปกรณ์การเก็บเวชระเบียน การเก็บเวชระเบียน และการสำรองข้อมูลตามที่กำหนด
HS3 แผนกผู้ป่วยนอก มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS4 แผนกผู้ป่วยใน จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS5 แผนกผู้ป่วยฉุกเฉิน จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS6 แผนกเภสัชกรรม จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS7 แผนกกายภาพบำบัด จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS8 แผนกเทคนิคการแพทย์ จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS9 แผนกรังสีวิทยา จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS10 แผนกผ่าตัด จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS11 แผนกสูติกรรม จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS12 ระบบรถรับส่งผู้ป่วยฉุกเฉิน ต้องได้รับอนุญาตให้ใช้งานจากสำนักงานตำรวจแห่งชาติ และจัดให้มี
HS13 ระบบควบคุมการติดเชื้อ จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS14 หอผู้ป่วยหนัก จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS15 ห้องให้การรักษา จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS16 ห้องผ่าตัดเล็ก จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS17 ห้องตรวจภายในและขูดมดลูก จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS18 ห้องทารกหลังคลอด จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS19 ห้องทันตกรรม จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS20 ห้องไตเทียม จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS21 ห้องซักฟอก จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS22 ห้องโภชนาการ จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS23 ห้องพักศพ ที่ให้บริการเก็บศพตั้งแต่ 24 ชั่วโมงขึ้นไป จัดให้มีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด
HS24 ยานพาหนะสำหรับให้บริการนอกโรงพยาบาล ต้องมีอุปกรณ์พร้อมให้บริการครบถ้วนตามที่กำหนด

ด้านที่ 3 อาคาร สถานที่และสิ่งอำนวยความสะดวก

ด้านที่ 4 สิ่งแวดล้อม

ด้านที่ 5 ด้านความปลอดภัย
(SAFETY : STY)
(1) STY1 การจัดการด้านความปลอดภัย
STY1.1 จัดให้มีนโยบาย และผู้รับผิดชอบหรือคณะทำงานด้านความปลอดภัย อาชีวอนามัย และสภาพแวดล้อมในการท างานของโรงพยาบาล
STY1.2 จัดให้มีแผนงาน งบประมาณ การติดตามประเมินผล การรายงานผลการทบทวนการดำเนินงานด้านความปลอดภัยประจำปี

(2) STY2 กฎ ระเบียบ มาตรฐาน หรือคู่มือปฏิบัติเพื่อความปลอดภัยในการท ำงาน
STY2.1 จัดให้มีคู่มือความปลอดภัยในการทำงานที่เหมาะสมกับบริบทของพยาบาลมาตรฐานระบบบริการสุขภาพ กรมสนับสนุนบริการสุขภาพ กระทรวงสาธารณสุข
STY2.2 จัดทำแผนรองรับกรณีเกิดเหตุฉุกเฉิน เช่น ภัยพิบัติตามธรรมชาติ ระบบวิศวกรรมที่มีความเสี่ยงสูงหรือระบบอื่นๆตามบริบทของโรงพยาบาลไมํสามารถใช้งานได้ เป็นต๎น
STY2.3 มีการติดตาม ประเมินผลการปฏิบัติตามคู่มือความปลอดภัยในการทำงาน และแผนรองรับกรณีเกิดเหตุฉุกเฉิน อย่างน้อยปีละ 1 ครั้ง

(3) STY3 การอบรมบุคลากร
STY3.1 มีการอบรมบุคลากรที่เกี่ยวข้องในด้านความปลอดภัยในการทำงานของโรงพยาบาล ตามระยะเวลาที่เหมาะสม
STY3.2 การฝึกอบรมให้ความรู้เฉพาะด้านของบุคลากรที่ปฏิบัติงานเกี่ยวข้องกับงานในระบบวิศวกรรมที่มีความเสี่ยงสูงหรือลักษณะงานอื่นที่มีความเสี่ยงตามบริบทของโรงพยาบาล อย่างน้อยปีละ 1 ครั้ง

(4) STY4 สภาพแวดล้อม ความปลอดภัยในการทำงานตามปัจจัยเสี่ยงของบุคลากร
STY4.1 จัดให้มีการตรวจประเมินสภาพแวดล้อมในการทำงานตามปัจจัยเสี่ยงของบุคลากรยํางน้อยปีละ 1 ครั้ง
STY4.2 จัดให้มีการตรวจสุขภาพของบุคลากรที่ทำงานเกี่ยวข้องกับปัจจัยเสี่ยงอย่างน้อยปีละ 1 ครั้ง
STY4.3 มีการตรวจสอบวิศวกรรมความปลอดภัย เพื่อค้นหาความเสี่ยงในระบบวิศวกรรมที่มีความเสี่ยงสูงอย่างน้อยปีละ 1 ครั้ง
STY4.4 มีแผนการตรวจสอบ ทดสอบ และบำรุงรักษา เครื่องจักรกล ในระบบวิศวกรรมที่มีความเสี่ยงสูงอย่างเหมาะสม

(5) STY5 การจัดการแบบแปลนแผนผังงานระบบวิศวกรรมที่มีความเสี่ยงสูง
STY5.1 มีแบบแปลนแผนผังหรือรายละเอียดข้อมูลของระบบทางวิศวกรรมที่มีความเสี่ยงสูง เช่น ระบบไฟฟ้า ระบบก๊าซทางการแพทย์ ระบบสุขาภิบาล ระบบปูองกันอัคคีภัย เป็นต้น
STY5.2 มีระบบการจัดเก็บ แบบแปลนแผนผังของระบบทางวิศวกรรมที่มีความเสี่ยงสูง และมีการปรับปรุงให้เป็นปัจจุบัน

(6) STY6 การตรวจสอบประสิทธิภาพระบบทางวิศวกรรมของห้องที่ให้บริการทางการแพทย์ที่ส ำคัญ
STY6.1 มีการตรวจสอบระบบการทำงานของห้องที่ให้บริการทางการแพทย์ที่สำคัญโดยผู้รับผิดชอบ เช่น ห้องผําตัด ห้องคลอด ห้องผู้ปุวยหนัก ห้องที่ต้องมีระบบการควบคุมความดันบวกหรือลบ เป็นต้นมาตรฐานระบบบริการสุขภาพ กรมสนับสนุนบริการสุขภาพ กระทรวงสาธารณสุข
STY6.2 มีการตรวจสอบ และทดสอบระบบการท างานของห้องที่ให้บริการทางการแพทย์ที่สำคัญ ตามมาตรฐาน อย่างน้อยปีละ 1 ครั้ง

(7) STY7 คุณภาพของระบบไฟฟ้า
STY7.1 มีการตรวจติดตาม ประเมินและวิเคราะห์ปริมาณการใช้ไฟฟ้า ในระบบไฟฟ้าหลักและระบบไฟฟ้าสำรองให้เพียงพอ
STY7.2 มีแผนผัง หรือรายละเอียดข้อมูลของระบบการจ่ายไฟฟ้าสำรอง
STY7.3 มีการตรวจสอบ ทดสอบการท างาน และบำรุงรักษาระบบไฟฟ้าส ารองให้พร้อมใช้

(8) STY8 การจัดการระบบปูองกันและระงับอัคคีภัย
STY8.1 มีนโยบายความปลอดภัยด้านการจัดการปูองกันและระงับอัคคีภัย และมีผู้รับผิดชอบหรือคณะทำงานในการจัดการระบบปูองกันและระงับอัคคีภัยของโรงพยาบาล
STY8.2 มีการตรวจประเมิน และจัดการความเสี่ยงที่จะเกิดอัคคีภัย อยํางน้อยปีละ 1 ครั้ง
STY8.3 มีคู่มือ และแผนการปูองกันและระงับอัคคีภัยของโรงพยาบาล
STY8.4 มีการฝึกซ้อมดับเพลิงขั้นต้น และอพยพหนีไฟที่สอดคล้องตามกฎหมาย
STY8.5 มีการตรวจสอบ ทดสอบ บำรุงรักษาระบบปูองกันและระงับอัคคีภัยให้อยู่ในสภาพพร้อมใช้งานอยู่เสมอ
STY8.6 มีแผนผังแสดงเส๎นทางหนีไฟและเส้นทางหนีไฟมีความพร้อมใช้งาน
STY8.7 มีแนวทาง ขั้นตอนการอพยพผู้ป่วยที่ไม่สามารถช่วยเหลือตัวเองได๎
STY8.8 มีการจัดเตรียมพื้นที่จุดรวมพลภายนอกอาคารขณะเกิดอัคคีภัย

(9) STY9 ระบบก๊าซทางการแพทย์
STY9.1 มีมาตรการรองรับกรณีเกิดเหตุฉุกเฉินเพื่อให้ระบบก๊าซทางการแพทย์สามารถใช้งานได้อย่างต่อเนื่อง
STY9.2 มีการดูแลรักษา ซ้อมบำรุงระบบก๊าซทางการแพทย์และอุปกรณ์ประกอบให้อยู่ในสภาพพร้อมใช้
STY9.3 มีการตรวจสอบ ทดสอบระบบสัญญาณเตือนของระบบก๊าซทางการแพทย์
STY9.4 มีป้ายคำเตือนหรือสัญลักษณ์หรือตัวบ่งชี้ที่เกี่ยวกับความปลอดภัย ไว้ที่บริเวณห้องหรือสถานที่เก็บหรือติดตั้งท่อบรรจุ ถังบรรจุ ห้องระบบจ่ายก๊าซทางการแพทย์ แนวเส้นท่อและบริเวณลิ้นควบคุมประจำชั้นหรือพื้นที่

(10) STY10 พื้นที่ก ำเนิดรังสีมาตรฐานระบบบริการสุขภาพ กรมสนับสนุนบริการสุขภาพ กระทรวงสาธารณสุข
STY10.1 มีการกำหนดหรือบ่งชี้บริเวณพื้นที่ที่มีรังสี มีเครื่องหมาย ป้ายเตือนอันตรายจากรังสี สัญญาณเตือนที่สอดคล้องกับกฎหมายหรือมาตรฐาน ติดแสดงให้เห็นโดยชัดเจน
STY10.2 มีเอกสารแสดงผลการตรวจสอบความปลอดภัยของอุปกรณ์ที่ให้กำเนิดรังสีจากหน่วยงานที่รับผิดชอบ

ด้านที่ 6 ด้านเครื่องมืออุปกรณ์ทางการแพทย์และสาธารณสุข
(Healthcare and Medical Equipment: HME)

(1) HME1 การจัดการทรัพยากรที่จำเป็นสำหรับการบำรุงรักษาเครื่องมือทางการแพทย์
HME1.1 มีหน่วยงานที่รับผิดชอบการบำรุงรักษาเครื่องมือทางการแพทย์ที่ชัดเจนในโรงพยาบาล
HME1.2 ผู้ใช้ ผู้ปฏิบัติงาน และผู้ซ่อมบำรุงเครื่องมือทางการแพทย์ต้องมีสมรรถะที่เหมาะสมตามมาตรฐานของวิชาชีพที่เกี่ยวข้อง หรือตามประกาศของกรมสนับสนุนบริการสุขภาพ
HME1.3 สถานที่หรือพื้นที่ปฏิบัติงานบำรุงรักษาเครื่องมือแพทย์ต้องมีการแยกส่วนมาตรฐานระบบบริการสุขภาพ กรมสนับสนุนบริการสุขภาพ กระทรวงสาธารณสุข
HME1.4 เครื่องมือมาตรฐานในงานบำรุงรักษาเครื่องมือทางการแพทย์มีความเหมาะสมเป็นไปตามข้อกำหนดของผู้ผลิต หรือตามมาตรฐานของวิชาชีพที่เกี่ยวข้อง หรือตามประกาศของกรมสนับสนุนบริการสุขภาพ และเครื่องมือมาตรฐานต้องสามารถสอบกลับผลการวัดได้

(2) HME2 การจัดหาและติดตั้งของเครื่องมือทางการแพทย์
HME2.1 เครื่องมือทางการแพทย์ต้องได้รับรองมาตรฐานและมีความปลอดภัยในการใช้งาน โดยผู้ขายต้องปฏิบัติตามพระราชบัญญัติเครื่องมือแพทย์
HME2.2 ต้องทดสอบและตรวจสอบการทำงานของเครื่องมือทางการแพทย์ก่อนการตรวจรับ
HME2.3 ต้องมีการขออนุญาตติดตั้งและใช้งานเครื่องมือทางการแพทย์ หากมีข้อกฎหมายกำหนดไว๎
HME2.4 ต้องจัดทำทะเบียนประวัติเครื่องมือทางการแพทย์ที่เป็นปัจจุบัน และมีการประเมินระดับความเสี่ยงของเครื่องมือที่ต้องการการบำรุงรักษา

(3) HME3 การบำรุงรักษาตามรอบเวลาของเครื่องมือทางการแพทย์
HME3.1 ต้องจัดทำแผนบำรุงรักษาเครื่องมือทางการแพทย์ตามคำแนะนำของผู้ผลิตเครื่องมือทางการแพทย์ หรือตามมาตรฐานของวิชาชีพที่เกี่ยวข๎อง หรือตามประกาศของกรมสนับสนุนบริการสุขภาพ
HME3.2 ต้องมีการเฝ้าระวัง การตรวจสอบแจ้งเตือนและเรียกคืนเครื่องมือแพทย์ภายในโรงพยาบาล
HME3.3 การบำรุงรักษาเครื่องมือทางการแพทย์ ต้องครอบคลุมการทดสอบหรือสอบเทียบประสิทธิภาพการทำงาน การทดสอบความปลอดภัยทางไฟฟ้า การทดสอบทางกายภาพภายนอกและฟังก์ชั่นการทำงาน และการบำรุงรักษาตามรอบเวลาเป็นอยํางน้อย
HME3.4 บ่งชี้สถานะบำรุงรักษาเครื่องมือทางการแพทย์อย่างชัดเจนเป็นปัจจุบัน และสามารถสืบค้นหาผลการตรวจสอบย้อนหลังได้

(4) HME4 การซ่อมบำรุงหรือการบำรุงรักษาเชิงแก้ไขของเครื่องมือทางการแพทย์
HME4.1 จัดให้มีกระบวนการจัดการงานซ่อมบำรุงหรือการบำรุงรักษาเชิงแก้ไขของเครื่องมือทางการแพทย์
HME4.2 ต้องตรวจสอบประสิทธิภาพและความปลอดภัย รวมทั้งปรับเทียบเครื่องมือใหม่ หลังจากซ้อมบำรุงหรือการบำรุงรักษาเชิงแก้ไขแล้วเสร็จ
HME4.3 ผลการซ่อมบำรุงหรือการบำรุงรักษาเชิงแก้ไข ต้องประกอบไปด้วยคำอธิบายปัญหาและอาการที่เกิดขึ้นของเครื่องมือ หมายเลขอะไหล่ที่ทำการเปลี่ยน ผู้ปฏิบัติงานซ่อมบำรุงและแผนกหรือหน่วยงานที่แจ้งการซ่อมบำรุงเป็นอยํางน้อยมาตรฐานระบบบริการสุขภาพ กรมสนับสนุนบริการสุขภาพ กระทรวงสาธารณสุข

(5) HME5 การยกเลิกการใช้งานเครื่องมือทางการแพทย์
HME5.1 จัดให้มีกระบวนการจัดการยกเลิกการใช้งานเครื่องมือทางการแพทย์ โดยต้องมีหลักเกณฑ์ในการตัดสินใจยกเลิกการใช้งานเครื่องมือทางการแพทย์
HME5.2 ต้องมีบ่งชี้และสถานะการยกเลิกการใช้เครื่องมือทางการแพทย์
HME5.3 แจ้งหน่วยงานที่เกี่ยวข้องหากมีข้อกฎหมายกำหนดไว้

ด้านที่ 7 ด้านระบบสนับสนุนบริการที่สำคัญ

(Key Service Support Systems)

KSS1 ระบบเรียกพยาบาล
KSS2 ระบบวิทยุคมนาคม
KSS3 ระบบโทรศัพท์
KSS4 ระบบเสียงประกาศ
KSS5 ระบบกล้องโทรทัศน์วงจรปิด

ด้านที่ 8 ด้านสุขศึกษาและพฤติกรรมสุขภาพ
(Health Education and Health Behavior : HED)

หมวดที่ 1 การบริหารจัดการ
HED1.1 นโยบายด้านสุขศึกษา
HED1.2 บุคลากรขับเคลื่อนงานสุขศึกษา
HED1.3 เครือข่ายการปฏิบัติงานสุขศึกษา
HED1.4 การให้บริการสุขศึกษา

หมวดที่ 2 กระบวนงานสุขศึกษาในชุมชน
HED2.1 การศึกษาพฤติกรรมสุขภาพกลุ่มปกติ/เสี่ยง
HED2.2 การจัดทำแผนกิจกรรมสุขศึกษากลุ่มปกติ/เสี่ยง
HED2.3 การจัดกิจกรรมสุขศึกษากลุ่มปกติ/เสี่ยง
HED2.4 การเฝ้าระวังพฤติกรรมสุขภาพกลุ่มปกติ/เสี่ยง
HED2.5 การประเมินผลการดำเนินงานสุขศึกษากลุ่มปกติ/เสี่ยง

หมวดที่ 3 กระบวนงานสุขศึกษาในสถานพยาบาล
HED3.1 การศึกษาพฤติกรรมสุขภาพกลุ่มป่วย
HED3.2 การจัดทำแผนกิจกรรมสุขศึกษากลุ่มป่วย
HED3.3 การจัดกิจกรรมสุขศึกษากลุ่มป่วย
HED3.4 การเฝ้าระวังพฤติกรรมสุขภาพกลุ่มป่วย
HED3.5 การประเมินผลการดำเนินงานสุขศึกษากลุ่มป่วย

หมวดที่ 4 ผลลัพธ์การดำเนินงานสุขศึกษา
HED4.1 ความพึงพอใจต่อกระบวนงานสุขศึกษา
HED4.2 สภาวะสุขภาพ
HED4.3 เทคโนโลยีในงานสุขศึกษา
HED4.4 งานวิจัยหรือนวัตกรรมด้านสุขศึกษา

ด้านที่ 9 ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
(Cyber Security: CS)

CS.1 โครงสร้างและบทบาท การรักษาความมั่นคงปลอดภัยไซเบอร์
CS.1.1 มีการจัดโครงสร้างการดูแลระบบสารสนเทศของโรงพยาบาล ประกอบด้วยผู้บริหารและฝ้ายเทคโนโลยีสารสนเทศ พร้อมกำหนดอำนาจหน้าที่ และความรับผิดชอบ
CS.1.2 มีการจัดทำแผนแม่บทหรือแผนพัฒนาของสถาพยาบาลโดยมีการกำหนดเป้าหมายและแนวทางการพัฒนาและการใช้งานเทคโนโลยีสารสนเทศ เป็นไปตามนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์
CS.1.3 มีนโยบายและแผนงานวําด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ของสถานพยาบาล
CS.1.4 มีการจัดโครงสร๎างและอัตรากำลังของหนํวยงานสารสนเทศของสถานพยาบาลที่เหมาะสม
CS.1.5 มีการกำหนดมาตรการ/นโยบาย/แนวปฏิบัติด้านเทคโนโลยีสารสนเทศต่าง ๆ ที่จำเป็นสอดคล้องกฎหมายและกฎระเบียบที่เกี่ยวข๎อง เช่น พระราชบัญญัติการคุ้มครองข้อมูลส่วนบุคคล พ.ศ.2565 กฎหมายและกฎระเบียบที่เกี่ยวข้องอื่น
CS.2 การจัดการความเสี่ยง ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
CS.2.1 มีกระบวนการประเมินและให้คะแนนความเสี่ยงของระบบสารสนเทศอย่างเป็นระบบ โดยการมีส่วนร่วมของทุกฝุาย โดยครอบคลุมทรัพย์สินสารสนเทศ (Information Asset Inventory) ที่อยู่ภายใต้ขอบเขตการให้บริการสาธารณสุขของหน่วยงาน
CS.2.2 มีแผนจัดการความเสี่ยงเป็นลายลักษณ์อักษร โดยกำหนดกลยุทธ์โครงการหรือกระบวนการ
ระยะเวลาดำเนินการ ผู้รับผิดชอบ อย่างชัดเจน
CS.2.3 การดำเนินการตามแผนจัดการความเสี่ยง
CS.2.4 มีการติดตาม ประเมินผลการดำเนินการจัดการความเสี่ยง และวิเคราะห์ผลการประเมิน จัดทำเป็นรายงานเสนอต่อผู้บริหาร
CS.2.5 มีการนำผลการประเมินหรือความสี่ยงที่ยังคงเหลืออยูํ มาปรับปรุงแผนการจัดการความเสี่ยงอย่างต่อเนื่องมาตรฐานระบบบริการสุขภาพ กรมสนับสนุนบริการสุขภาพ กระทรวงสาธารณสุข
CS.3 การจัดการความมั่นคงปลอดภัย ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
CS.3.1 มีการจัดทำแนวปฏิบัติด้านความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ (Specific information security policy) มีหัวข้ออย่างน้อยต่อไปนี้
1) การเข้าถึงหรือควบคุมการใช้งานสารสนเทศ (Access Control)
2) การสำรองข้อมูลเพื่อให้สารสนเทศอยู่ในสภาพพร้อมใช้งานและการจัดทำแผนเตรียมความพร้อมรับมือภัยคุกคาม
3) การตรวจสอบและประเมินความเสี่ยงด้านสารสนเทศ
CS.3.2 มีนโยบายและระเบียบปฏิบัติหรือมาตรการที่รักษาความเป็นส่วนตัว ปกป้องข้อมูลส่วนบุคคล(PII) ปูองกันความลับผู๎ปุวยมิให๎รั่วไหลทุกชํองทาง รวมทั้งชํองทาง Social Media ทุกด๎าน
CS.3.3 มีการสร้างความตระหนักรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Awareness) อย่างสม่ำเสมอ
CS.3.4 มีการประชาสัมพันธ์นโยบายและระเบียบปฏิบัติสร้างความรู้ความเข้าใจ ให้บุคลากรทุกคนได้ รับทราบ และ ถือปฏิบัติ
CS.3.5 มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และการประเมินผลการปฏิบัติตามระเบียบปฏิบัติด๎านความมั่นคงปลอดภัยสารสนเทศอย่างเคร่งครัด และนำผลการประเมินมาปรับกระบวนการบังคับใช๎ระเบียบปฏิบัติ อยํางตํอเนื่อง
CS.4 การจัดการศักยภาพของทรัพยากรในระบบเทคโนโลยีสารสนเทศ
CS.4.1 มีการจัดทำทะเบียนทรัพย์สินด้านสารสนเทศที่เกี่ยวข้องกับบริการที่สำคัญ (Critical services) ของหน่วยงาน
CS.4.2 มีการวิเคราะห์สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network, People
CS.4.3 มีการจัดทำแผนเพิ่มหรือจัดการศักยภาพของทรัพยากร ด้าน Hardware, Software, Network
CS.4.4 มีการกำหนดสมรรถนะตามบทบาทหน้าที่ที่จำเป็น (Functional Competency) ของ บุคลากรด้าน IT ทุกคน และประเมินสมรรถนะตามบทบาทหน้าที่ และจัดทำแผนเพิ่มสมรรถนะรายบุคคล
CS.4.5 มีการนำผลการวิเคราะห์ สถานการณ์ปัจจุบันและ Gap Analysis ของทรัพยากรด้าน Hardware, Software, Network และ People มาปรับปรุงจัดทำแผนเพิ่มศักยภาพ อย่าง
ตํอเนื่องมาตรฐานระบบบริการสุขภาพ กรมสนับสนุนบริการสุขภาพ กระทรวงสาธารณสุข
CS.5 การรักษาความปลอดภัยทางกายภาพและทางสภาพแวดล้อมของ DATA CENTER
CS.5.1 กำหนดมาตรการการรักษาความปลอดภัยทางกายภาพ การทบทวนสิทธิ์บุคลากรที่ไดรับ อนุญาตให้เข้าถึง Data Center และการกำหนดหน้าที่ความรับผิดชอบในการดูแล Data Center ของหนํวยงาน
CS.5.2 การกำหนดรอบการสำรองข้อมูล และการทดสอบการกู้คืนข้อมูล รวมถึงป้องกันสื่อบันทึกการ สำรองข้อมูลจากความเสียหายและการสูญหาย และการเข้าถึงโดยไมํได้รับอนุญาต
CS.5.3 มีระบบป้องกันอัคคีภัย เช่น ระบบตรวจจับควัน ระบบเตือนภัย เครื่องดับเพลิงหรือระบบ ดับเพลิงอัตโนมัติ ให๎เหมาะสมกับความเสี่ยง
CS.5.4 มีมาตรการหรือระบบป้องกันความเสียหายของข้อมูล และระบบ เช่น ระบบไฟฟ้าสำรอง (UPS) ระบบ RAID, Redundant Power supply, Redundant Server ให้เหมาะสมกับความเสี่ยง
CS.5.5 มีระบบเฝ้าระวัง และรักษาความมั่นคงปลอดภัยทางกายภาพ Data Center ของหน่วยงาน
CS.6 การตรวจสอบด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Audit Plan) และแผนการรับมือภัยคุกคามทางไซเบอร์ (Incident Response Plan)
CS.6.1 จัดให้มีการตรวจสอบดานการรักษาความมั่นคงปลอดภัยไซเบอร (Cybersecurity Audit Plan) อย่างน้อยปีละ 1 ครั้ง โดยมีผู้ตรวจสอบภายใน หรือ ภายนอกที่มีความรู้ความสามารถ และจัดทำรายงานผลต่อผู้บริหารที่เกี่ยวข้อง
CS.6.2 จัดให้มีแผนการรับมือภัยคุกคามทางไซเบอร (Incident Response Plan) และแจ้งผู้เกี่ยวข้องรับทราบ
CS.6.3 มีการฝึกซ้อม และทบทวนแผนการรับมือภัยคุกคามทางไซเบอร (INCIDENT RESPONSE PLAN) อยํางน๎อยปีละ 1 ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ