Mạng nội bộ và Internet về đảm bảo an toàn thông tin y tế điện tử được pháp luật quy định như thế nào?

Nội dung chính

• Thông tin y tế điện tử là gì?
• Mạng nội bộ và Internet về đảm bảo an toàn thông tin y tế điện tử được pháp luật quy định như thế nào?
• Đối với việc đảm bảo an toàn thông tin y tế điện tử cần đảm bảo những nguyên tắc nào?

Thông tin y tế điện tử là gì?

Theo khoản 2 Điều 2 Quy định về đảm bảo an toàn thông tin y tế điện tử tại đơn vị trong ngành y tế do Bộ trưởng Bộ Y tế ban hành kèm theo Quyết định 4159/QĐ-BYT năm 2014 như sau:

Thông tin y tế điện tử: là thông tin y tế được quản lý, sử dụng, lưu trữ, truyền đưa trên môi trường mạng.

Theo đó, thông tin y tế điện tử: là thông tin y tế được quản lý, sử dụng, lưu trữ, truyền đưa trên môi trường mạng.

Thông tin y tế điện tử

Mạng nội bộ và Internet về đảm bảo an toàn thông tin y tế điện tử được pháp luật quy định như thế nào?

Tại Điều 5 Quy định về đảm bảo an toàn thông tin y tế điện tử tại đơn vị trong ngành y tế do Bộ trưởng Bộ Y tế ban hành kèm theo Quyết định 4159/QĐ-BYT năm 2014 quy định như sau:

Mạng nội bộ và Internet

1. Có biện pháp phát hiện và phòng chống xâm nhập, phòng chống phát tán mã độc hại trên mạng nội bộ và Internet.

2. Có biện pháp phòng chống tấn công từ chối dịch vụ từ bên trong mạng nội bộ và bên ngoài Internet.

3. Yêu cầu có các biện pháp xác thực đảm bảo an toàn đối với các kết nối không dây.

4. Có biện pháp phân tách các phân vùng mạng để đảm bảo kiểm soát được các truy cập hệ thống thông tin và đảm bảo truy cập hiệu quả đối với các dữ liệu cần truy cập nhanh chóng.

5. Xác định, xây dựng và triển khai các phương án dự phòng cho các vị trí có mức độ ảnh hưởng cao tới hoạt động của hệ thống mạng hoặc có khả năng làm tê liệt hệ thống mạng của đơn vị khi xảy ra sự cố.

6. Xác định và đảm bảo nhu cầu băng thông của mạng nội bộ và Internet.

7. Thường xuyên cập nhật các bản vá lỗi hệ thống, cập nhật cấu hình cho các thiết bị mạng và các thiết bị bảo mật.

8. Bảo đảm chất lượng và đầy đủ các trang thiết bị mạng, an ninh, bảo mật, phần mềm chống virus, công cụ phân tích, quản trị mạng được cài đặt trong mạng của đơn vị.

Theo đó, mạng nội bộ và Internet về đảm bảo an toàn thông tin y tế điện tử được pháp luật quy định như sau:

- Có biện pháp phát hiện và phòng chống xâm nhập, phòng chống phát tán mã độc hại trên mạng nội bộ và Internet.

- Có biện pháp phòng chống tấn công từ chối dịch vụ từ bên trong mạng nội bộ và bên ngoài Internet.

- Yêu cầu có các biện pháp xác thực đảm bảo an toàn đối với các kết nối không dây.

- Có biện pháp phân tách các phân vùng mạng để đảm bảo kiểm soát được các truy cập hệ thống thông tin và đảm bảo truy cập hiệu quả đối với các dữ liệu cần truy cập nhanh chóng.

- Xác định, xây dựng và triển khai các phương án dự phòng cho các vị trí có mức độ ảnh hưởng cao tới hoạt động của hệ thống mạng hoặc có khả năng làm tê liệt hệ thống mạng của đơn vị khi xảy ra sự cố.

- Xác định và đảm bảo nhu cầu băng thông của mạng nội bộ và Internet.

- Thường xuyên cập nhật các bản vá lỗi hệ thống, cập nhật cấu hình cho các thiết bị mạng và các thiết bị bảo mật.

- Bảo đảm chất lượng và đầy đủ các trang thiết bị mạng, an ninh, bảo mật, phần mềm chống virus, công cụ phân tích, quản trị mạng được cài đặt trong mạng của đơn vị.

Đối với việc đảm bảo an toàn thông tin y tế điện tử cần đảm bảo những nguyên tắc nào?

Tại Điều 3 Quy định về đảm bảo an toàn thông tin y tế điện tử tại đơn vị trong ngành y tế do Bộ trưởng Bộ Y tế ban hành kèm theo Quyết định 4159/QĐ-BYT năm 2014 quy định như sau:

Nguyên tắc chung đối với việc đảm bảo an toàn thông tin y tế

1. Đảm bảo tính bảo mật

a) Đảm bảo thông tin y tế chỉ có thể được truy cập bởi những đối tượng (người, chương trình máy tính...) được cấp quyền truy cập.

b) Mật khẩu truy cập, khóa mã hóa và các mã khóa khác được mã hóa trong quá trình truy cập, trên đường truyền và lưu trữ tại đơn vị quản lý thông tin y tế.

2. Đảm bảo tính toàn vẹn

a) Đảm bảo tính toàn vẹn thông tin là việc thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi.

b) Việc quản lý, sử dụng, lưu trữ, truyền đưa các thông tin y tế phải đảm bảo tính toàn vẹn, không được thay đổi khi chưa được phép của đơn vị quản lý thông tin y tế.

c) Việc đảm bảo tính toàn vẹn phải được thực hiện trong toàn bộ các quá trình truy cập, các quá trình nhập, lưu trữ, sử dụng, xử lý, truyền tải, trích rút và khôi phục dữ liệu.

3. Đảm bảo tính sẵn sàng

a) Đảm bảo khả năng hoạt động liên tục của hệ thống thông tin.

b) Đảm bảo thông tin y tế phải được truy cập nhanh chóng khi có sự yêu cầu từ phía cá nhân, tổ chức được cho phép truy cập thông tin.

c) Đảm bảo nguồn nhân lực trong việc vận hành hệ thống thông tin.

d) Xây dựng, ban hành, tuân thủ các quy trình trong việc quản lý, vận hành hệ thống thông tin.

Theo đó, đối với việc đảm bảo an toàn thông tin y tế cần đảm bảo 3 nguyên tắc sau:

- Đảm bảo tính bảo mật

+ Đảm bảo thông tin y tế chỉ có thể được truy cập bởi những đối tượng (người, chương trình máy tính...) được cấp quyền truy cập.

+ Mật khẩu truy cập, khóa mã hóa và các mã khóa khác được mã hóa trong quá trình truy cập, trên đường truyền và lưu trữ tại đơn vị quản lý thông tin y tế.

- Đảm bảo tính toàn vẹn

+ Đảm bảo tính toàn vẹn thông tin là việc thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi.

+ Việc quản lý, sử dụng, lưu trữ, truyền đưa các thông tin y tế phải đảm bảo tính toàn vẹn, không được thay đổi khi chưa được phép của đơn vị quản lý thông tin y tế.

+ Việc đảm bảo tính toàn vẹn phải được thực hiện trong toàn bộ các quá trình truy cập, các quá trình nhập, lưu trữ, sử dụng, xử lý, truyền tải, trích rút và khôi phục dữ liệu.

- Đảm bảo tính sẵn sàng

+ Đảm bảo khả năng hoạt động liên tục của hệ thống thông tin.

+ Đảm bảo thông tin y tế phải được truy cập nhanh chóng khi có sự yêu cầu từ phía cá nhân, tổ chức được cho phép truy cập thông tin.

+ Đảm bảo nguồn nhân lực trong việc vận hành hệ thống thông tin.

+ Xây dựng, ban hành, tuân thủ các quy trình trong việc quản lý, vận hành hệ thống thông tin.