Nhóm tiêu chí bảo mật và an toàn thông tin đối với ứng dụng công nghệ thông tin tại bệnh viện
Nhóm tiêu chí bảo mật và an toàn thông tin đối với ứng dụng công nghệ thông tin tại bệnh viện được quy định tại Phụ lục 1 ban hành kèm theo Thông tư 54/2017/TT-BYT về Bộ tiêu chí ứng dụng công nghệ thông tin tại các cơ sở khám bệnh, chữa bệnh do Bộ trưởng Bộ Y tế ban hành, gồm:
|
Tiêu chí |
Mức |
|
|
Kiểm soát người dùng truy cập hệ thống |
Quản lý xác thực |
Cơ bản |
|
Quản lý phiên đăng nhập |
||
|
Phân quyền người dùng |
||
|
Kiểm soát dữ liệu đầu vào |
||
|
|
Kiểm soát dữ liệu đầu ra |
|
|
Kiểm soát ngoại lệ và ghi vết ứng dụng |
||
|
Kiểm soát người dùng truy cập CSDL |
Phải thiết lập chính sách tài khoản và phân quyền an toàn |
|
|
Cấu hình giới hạn truy cập từ địa chỉ IP hợp lệ và ghi vết cho hệ quản trị CSDL |
||
|
Ghi vết (log) toàn bộ tác động lên hệ thống |
Hệ thống phải đảm bảo ghi vết các chức năng cập nhật dữ liệu vào hệ thống và các chức năng khai thác dữ liệu chính |
|
|
Hệ thống có chức năng xem lịch sử tác động hệ thống |
||
|
Phần mềm diệt virus |
Cập nhật CSDL virus thường xuyên. |
|
|
Cơ chế kiểm soát chống sao chép dữ liệu |
Ngăn chặn các thiết bị vật lý lưu trữ sao chép dữ liệu (USB, ổ cứng di động) |
|
|
Cài đặt phần mềm chống sao chép dữ liệu |
||
|
Hệ thống tường lửa chống xâm nhập từ xa |
Có tường lửa chuyên dụng phân tách giữa các vùng Internet, máy chủ ứng dụng và người dùng mạng nội bộ; ngăn chặn các xâm nhập trái phép. |
Nâng cao |
|
Quy định phổ biến và hướng dẫn định kỳ cách phòng ngừa virus |
Quy định rà quét kiểm tra định kỳ phát hiện và phòng chống mã độc (malware) trên hệ thống dịch vụ |
|
|
Hệ thống sao lưu, phục hồi dữ liệu |
Xây dựng phương án sao lưu, dự phòng và khôi phục phù hợp, phải thực hiện sao lưu hàng ngày. |
|
|
Phương thức mã hóa dữ liệu/thông tin |
Các dữ liệu quan trọng, nhạy cảm có thể được mã hóa bằng các kỹ thuật tránh lấy cắp dữ liệu |
|
|
Hệ thống quản lý được các bộ khóa giải mã dữ liệu |
||
|
Người sử dụng giải mã được dữ liệu khi được cung cấp khóa giải mã |
||
|
Phương thức mã hóa mật khẩu của người dùng |
Mật khẩu của người dùng phải được mã hóa bằng các kỹ thuật salt, hash (MD5, SHA) tránh lấy cắp mật khẩu |
|
|
Có kịch bản phòng ngừa, khắc phục sự cố |
Xây dựng các bài kiểm tra, thử nghiệm mô phỏng các hình thức tấn công gây mất an toàn thông tin, từ đó đưa ra phương pháp phòng chống và khắc phục sự cố gây mất an toàn thông tin |
|
|
Có quy trình an toàn, an ninh thông tin |
Xây dựng quy trình, quy định đối với người dùng và đối với quản trị khi tiếp nhận và vận hành hệ thống nhằm tăng cường tính an ninh cho hệ thống dịch vụ |
|
|
Có cơ chế chống tấn công, xâm nhập từ xa (DOS, DDOS) |
Thiết lập cơ chế chống tấn công từ chối dịch vụ trên hệ thống |
|
|
Có cơ chế cảnh báo và chống tấn công có chủ đích đối với các hệ thống cung cấp dịch vụ qua Internet |
|
|
|
Tích hợp chữ ký số |
|
|
Trên đây là tư vấn về nhóm tiêu chí bảo mật và an toàn thông tin đối với ứng dụng công nghệ thông tin tại bệnh viện. Để biết thêm thông tin chi tiết bạn hãy tham khảo tại Thông tư 54/2017/TT-BYT. Mong rằng những tư vấn của chúng tôi sẽ giúp giải đáp được những vướng mắc của bạn.
Chúc sức khỏe và thành công!
Thư Viện Pháp Luật