Quyết định 4495/QĐ-BYT 2017 xây dựng nội quy an toàn, an ninh thông tin

QUYẾT ĐỊNH

BAN HÀNH HƯỚNG DẪN XÂY DỰNG NỘI QUY AN TOÀN, AN NINH THÔNG TIN TRONG CÁC ĐƠN VỊ TRONG NGÀNH Y TẾ

---------------

BỘ TRƯỞNG BỘ Y TẾ

Căn cứ Nghị định số 63/2012/NĐ-CP ngày 31/8/2012 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Y tế;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;

Căn cứ Thông tư số 53/2014/TT-BYT ngày29/12/2014 của Bộ Y tế quy định điều kiện hoạt động y tế trên môi trường mạng;

Căn cứ Quyết định số 4159/QĐ-BYT ngày13/10/2014 của Bộ Y tế ban hành Quy định về đảm bảo an toàn thông tin y tế điện tử tại các đơn vị trong ngành y tế;

Xét đề nghị của Cục trưởng Cục Công nghệ thông tin,

QUYẾT ĐỊNH:

Điều 1.Ban hành kèm theo quyết định này “Hướng dẫn xây dựng nội quy an toàn, an ninh thông tin trong các đơn vị trong ngành y tế”.

Điều 2.Quyết định này có hiệu lực kể từ ngày ký ban hành.

Điều 3.Chánh văn phòng Bộ, Cục trưởng Cục Công nghệ thông tin, Thủ trưởng các đơn vị thuộc/trực thuộc Bộ Y tế và các tổ chức liên quan chịu trách nhiệm thi hành quyết định này./. 

HƯỚNG DẪN

XÂY DỰNG NỘI QUY AN TOÀN, AN NINH THÔNG TIN TRONG CÁC ĐƠN VỊ TRONG NGÀNH Y TẾ
(Ban hành kèm theo Quyết định số 4495/QĐ-BYT ngày30tháng10năm 2015 của Bộ trưởng Bộ Y tế)

I. Phạm vi áp dụng và đối tượng áp dụng

1.Văn bản này hướng dẫn xây dựng các nội dung về nội quy đảm bảo an toàn, an ninh thông tin trong hoạt động y tế trên môi trường mạng tại các đơn vị trong ngành y tế.

2.Hướng dẫn này áp dụng đối với các đơn vị, tổ chức trong ngành y tế khi áp dụng công nghệ thông tin trong hoạt động của đơn vị.

II. Giải thích từ ngữ

1.Bên thứ ba: là các tổchức, cá nhân có chuyên môn được đơn vị thuê hoặc hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch vụ công nghệ thông tin.

2.Tài sản công nghệ thông tin (gọi tắt là tài sản): là các trang thiết bị, thông tin, dịch vụ thuộc hệ thống công nghệ thông tin của đơn vị, bao gồm:

a)Tài sản vật lý: là các thiết bị công nghệ thông tin, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ thống công nghệ thông tin;

b)Tài sản thông tin: là các dữ liệu, tài liệu liên quan đến hệ thống công nghệ thông tin. Tài sản thông tin được thể hiện bằng văn bản giấy hoặc dữliệu điện tử;

c)Tài sản phần mềm: bao gồm các chương trình ứng dụng, phần mềm hệ thống, cơ sởdữliệu và công cụ phát triển;

d)Dịch vụ:là các dịch vụ công nghệ thông tin thuê bên thứ ba cung cấp.

III. Các quy định trong nội quy an toàn, an ninh thông tin

1.Quy định về kiểm soát truy cập vật lý

Quy định này nhằm ngăn cản các truy nhập vật lý không được phép và giảm thiểu thiệt hại đối với các thông tin y tế quan trọng của đơn vị.

a)Những tài sản quan trọng (như máy chủ chạy các ứng dụng quan trọng, các thiết bị lưu trữthông tin bảo mật) cần được đặt tại các phòng riêng có quy định chế độ bảo mật cao như khóa, hệ thống xác thực cá nhân và các hệ thống kiểm soát truy cập khác.

b)Quy định những cá nhân nào được phép vào phòng quản lý các tài sản quan trọng và quy định về thủ tục xác thực các cá nhân được phép truy cập, cụ thể như ghi nhận và kiểm tra danh sách truy nhập vào phòng định kỳ.

c)Quy định việc mang vào hoặc đem ra các thiết bị lưu trữvà thiết bị điện tử (ổ đĩa, thiết bị USB, hoặc các sao chép vật lý đối với dữ liệu) đối với các phòng quản lý các tài sản quan trọng nhằm tránh việc lây nhiễm các phần mềm độc hại cho các hệ thống này và tránh rò rỉ các thông tin quan trọng ra ngoài. Xây dựng các thủ tục khai báo và kiểm tra việc mang vào hoặc đem ra đối với các thiết bị trước khi vào hoặc rời phòng.

d)Quy định việc kiểm soát công tác gỡ bỏ các dữ liệu bảo mật và các phần mềm quan trọng khi hủy bỏ hoặc không sử dụng các thiết bị lưutrữ vật lý.

đ) Quy định về môi trường làm việc cho phòng quản lý các thiết bị quan trọng bao gồm nhiệt độ, nguồn điện, phòng cháy chữa cháy.

2.Quy định về quản lý, vận hành hệ thống thông tin

Quy định này đảm bảo tránh việc rò rỉ, mất mát thông tin khi quản lý vận hành hệ thống trang thiết bị công nghệ thông tin và mạng máy tính.

a)Hệ thống máy chủ:

-Quản lý an toàn hệ thống: thủ tục cài đặt, kiểm tra và loại bỏ các dịch vụ không cần thiết trên máy chủ; quy định về các cá nhân được phép truy nhập vào máy chủ; thủ tục đặt và thay đổi mật khẩu đối với hệthống máy chủ.

-Quản lý tài khoản truy cập: các thủ tục cấp quyền, thay đổi mật khẩu cũng như hủy bỏ quyền truy cập đối với tài khoản truy cập máy chủ. Quy định về việc đặt mật khẩu cho các tài khoản truy cập.

-Cập nhật bản vá lỗhổng hệ điều hành và phần mềm hệ thống: thủ tục kiểm tra và cập nhật thường xuyên bản vá lỗ hổng hệ điều hành và phần mềm hệ thống.

-Quy định việc cài đặt và cập nhật phiên bản đối với các phần mềm chống vi rút và mã độc.

-Quy định việc sao lưu và phục hồi đối với hệ thống và dữliệu máy chủ.

b)Truy cập Internet:

-Xây dựng quy định việc kiểm soát truy cập trang web. Có chế độ không cho phép truy cập các trang web không được phép.

-Quy định việc cài đặt phần mềm bảo vệ máy chủ và máy tính cá nhân khi truy cập Internet.

c)Truy cập mạng nội bộ:

-Kiểm soát truy cập mạng LAN: quy định việc cấp quyền truy nhập các dịch vụ, hệ thống của đơn vị trong mạng nội bộ theo nhu cầu công việc của từng nhóm người sử dụng.

-Phân tách vùng mạng: Quy định việc phân tách vùng mạng đối với các nhóm người sử dụng, dịch vụ thông tin, hệ thống thông tin quan trọng, đòi hỏi ưu tiên băng thông cần được quy định một cách hợp lý.

-Có quy định việc kết nối vào mạng không dây nội bộ. Đảm bảo việc truy cập mạng không dây nội bộ chỉcho phépởkhu vực quy định và sử dụng cho hoạt động của đơn vị. Có quy định kiểm soát các truy cập không được phép vào mạng không dây nội bộ của đơn vị.

-Truy cập mạng nội bộ từ xa: có thủ tục kiểm soát việc xác thực và hoạt động của người sử dụng yêu cầu truy nhập vào mạng nội bộ từ xa.

d)Thư điện tử:

-Xây dựng các quy định về việc sử dụng thư điện tử để tránh việc gửi, nhận hoặc làm mất mát các thông tin quan trọng trong quá trình sử dụng thư điện tử.

-Quy định về lọc thư điện tử để loại bỏ thư rác và các thư chứa nội dung không mong muốn.

đ) Máy tính cá nhân:

-Quản lý an toàn hệ thống: thủ tục cài đặt, kiểm tra và loại bỏ các dịch vụ, phần mềm không cần thiết trên máy tính cá nhân;

-Quản lý quyền truy cập: quy định việc đặt mật khẩu đối với các máy tính cá nhân và màn hình máy tính cá nhân sử dụng trong công việc hàng ngày.

-Quản lý an toàn dữ liệu: quy định việc mã hóa hoặc đặt mật khẩu đối với những dữliệu, thông tin bảo mật nằm trong máy tính cá nhân.

-Quy định việc cài đặt và cập nhật phiên bản đối với phần mềm chống virus và mã độc.

3.Quy định về quản lý tài sản phần cứng và phần mềm

Quy định việc quản lý tài sản phần cứng và phần mềm nhằm đảm bảotránh việc rò rỉ hoặc mất mát thông tin trên các thiết bị, ứng dụng quản lý, lưutrữ thông tin.

a)Thủ tục cài đặt, di chuyển hoặc sửa chữa các thiết bị hay phương tiện lưu trữ thông tin quan trọng. Đảmbảo các thao tác trên phải được ghi nhận lại và dữ liệu phải được sao lưutrước khi thực hiện các thao tác trên.

b)Thủ tục cài đặt hay gỡ bỏ các phần mềm quan trọng. Đảm bảo phần mềm được khôi phục khi có sự cố và dữ liệu được sao lưu trước khi thực hiện các thao tác cài đặt hay gỡ bỏ phần mềm.

c)Quy định về tuân thủ các quy trình, hướng dẫn sử dụng phần mềm chuyên ngành của đơn vị. Quy định về trách nhiệm phản hồi khi có phát sinh lỗi, vấn đề bảo mật, các yêu cầu về nghiệp vụ khác liên quan đến phần mềm ứng dụng chuyên ngành tại đơn vị.

4.Quy định về việc quản lý thông tin

Quy định về quản lý thông tin cần được xây dựng để ngăn chặn việc rò rỉ, mất mát các thông tinbảo mật và quy định các thông tin được công bố.

a)Có quy định đối với các thông tin được công bố và cách thức công bố thông tin trên môi trường mạng.

b)Thông tin bảo mật: Là các thông tin quan trọng được bảo mật theo quy định của đơn vị và của Bộ Y tế.

-Có quy định kiểm soát truy cập thông tin bảo mật quy định tại mục 1 và mục 2 của Phần III.

-Các cá nhân tạo ra hoặc chỉnh sửa các thông tin bảo mật đều phải được ghi lại phần mềm hoặc các văn bản, tài liệu.

-Quy định việc phân loại và đăng ký đối với các thông tin bảo mật và xây dựng các thủ tục bảo mật và phân phối nội dung của các thông tin này. Các biện pháp đưa ra đối với các văn bản, tài liệu về các thông tin này đảm bảo việc tránh tiết lộ thông tin khi chưa được phép. Các thông tin được lưu trữ dưới dạng điện tử cần có biện pháp bảo vệ đểtránh rò rỉ, mất mát thông tin bởi mã độc, vi rút máy tính hay những cá nhân không có thẩm quyền.

-Các nội dung liên quan hoặc bổ sung của các thông tin bảo mật cũng được bảo vệ giống như đối với các thông tin này. Đảm bảo việc cung cấp các thôngtin quan trọng này cho một tổ chức, hay cá nhân đều phải được phê duyệt bởi cấp có thẩm quyền.

-Việc thông báo, truyền đưa đối với các thông tin bảo mật đều phải được phê duyệt bởi cấp có thẩm quyền. Quy định các biện pháp mã hóa hoặc bảo mật các thông tin bảo mật khi thông báo, truyền đưa các thông tin này qua môi trường mạng.

-Quy định về bảo mật thông tin dữ liệu y tếtheo phân quyền trong hệ thống thông tin của đơn vị và theo quy định của Bộ Y tế.

5.Quy định về việc quản lý bên thứ ba

Quy định về việc quản lý bên thứ ba cần được xây dựng để ngăn chặn việc rò rỉhoặc mất mát thông tin quan trọng cho bên thứ ba.

a)Quy định việc truy cập hệ thống đối với bên thứ ba.

b)Quy định công tác giám sát việc đảm bảo an toàn, an ninh thông tin đối với các hoạt động của bên thứ ba.

c)Quy định về việc cam kết của bên thứ ba trong việc truy cập dữ liệu, phần mềm của đơn vị.

d)Quy định về đảm bảo tính toàn vẹn, ổn định của các hàng hóa, dịch vụ mà bên thứ ba cung cấp và đảm bảo không gây ảnh hưởng xấu đến hệ thống công nghệ thông tin hiện có.

6.Quy định về sự chấp hành, đào tạo và nâng cao nhận thức

Mục tiêu của quy định về sự chấp hành, đào tạo và nâng cao nhận thức nhằm nâng cao nhận thức liên quan đến an toàn, bảo mật cho cán bộ, công chức, viên chức trong đơn vị và đảm bảo tính hiệu quả trong việc triển khai nội quy an toàn, bảo mật trong đơn vị.

a)Quy định chế tài và các biện pháp kỷ luật đối với việc vi phạm nội quy bảo mật và truy cập thông tin không được phép.

b)Quy định việc tổ chức đào tạo, nâng cao nhận thức định kỳ về an toàn, bảo mật thông tin và hậu quả trong việc rò rỉ, mất mát thông tin.

c)Quy định về việc đào tạo nâng cao trình độ chuyên môn nghiệp vụ cho các cánbộ chuyên trách an toàn, an ninh thông tin.

IV. Tổ chức thực hiện

Lãnh đạo các đơn vị trong ngành y tế tổ chức xây dựng, triển khai, cập nhật phổ biến nội quy an toàn bảo mật của đơn vị cho cán bộ, công chức, viên chức của đơn vị. Nội dung cơ bản của nội quy bao gồm:

1.Yêu cầu chung

a)Mục tiêu, yêu cầu đối với việc xây dựng nội quy an toàn, bảo mật thông tin của đơn vị.

b)Các khái niệm, tiêu chuẩn, yêu cầu tuân thủ đối với nội quy an toàn, bảo mật thông tin của đơn vị.

2.Yêu cầu cụ thể

a)Phân loại tài sản, thông tin y tế của đơn vị.

b)Áp dụng các hướng dẫn tại phần II của hướng dẫn này để xây dựng nội quy đảm bảo an toàn, an ninh thông tin y tế của đơn vị

c)Các biện pháp kỹ thuật cụ thể đối với từng nội dung hướng dẫn.

d)Các tiêu chuẩn cần đáp ứng đối với từng nội dung hướng dẫn.

3.Tổ chức thực hiện

a)Trách nhiệm của lãnh đạo trong việc ban hành, hướng dẫn, tổ chức thực hiện. Các cam kết hỗ trợ kinh phí, cơ sở vật chất, trang thiết bị kỹ thuật trong việc triển khai nội quy an toàn, bảo mật thông tin của đơn vị.

b)Trách nhiệm của cán bộ kỹ thuật đối với việc xây dựng, cập nhật, kiểm soát việc thi hành nội quy an toàn, bảo mật thông tin của đơn vị.

c)Trách nhiệm của cán bộ, công chức, viên chức của đơn vị trong việc tuân thủ nội quy an toàn, bảo mật thông tin của đơn vị.

d)Quy định về khen thưởng và kỷ luật đối với việc chấp hành nội quy đảm bảo an toàn, an ninh thông tin của đơn vị./.