Nội dung được biên tập từ chuyên mục tư vấn luật Doanh nghiệp của Công ty luật Minh Khuê

>> Luật sư tư vấn pháp luật Doanh nghiệp, gọi:  1900.6162

Cơ sở pháp lý: 

- Luật công nghệ thông tin 2006

- Thông tư 53/2014/TT-BYT quy định về điều kiện hoạt động y tế trên môi trường mạng

- Quyết định 4494/QD-BYT năm 2015 ban hành quy trình phản ứng với các sự cố an toàn, an ninh thông tin tại các đơn vị trong ngành y tế.

1. Hoạt động y tế trên môi trường mạng là gì?

Hoạt động y tế là các hoạt động bảo vệ, chăm sóc và nâng cao sức khỏe nhân dân trong lĩnh vực: y tế dự phòng; khám bệnh, chữa bệnh, phục hồi chức năng; giám định y khoa, pháp y, pháp y tâm thần; y dược cổ truyền; sức khỏe sinh sản; trang thiết bị y tế; dược; mỹ phẩm; an toàn thực phẩm; bảo hiểm y tế; dân số - kế hoạch hóa gia đình.

Hoạt động y tế trên môi trường mạng là việc thông tin y tế được cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông qua cơ sở hạ tầng thông tin.

2. Điều kiện hoạt động y tế trên môi trường mạng

>> Xem thêm:  Tổ chức tín dụng phi ngân hàng là gì ? Điều kiện hoạt động của tổ chức tín dụng phi ngân hàng

2.1. Điều kiện về hạ tầng kỹ thuật công nghệ thông tin

Đối với hoạt động có sử dụng máy chủ và phần mềm hệ thống:

a) Bảo đảm hạ tầng máy chủ và các thiết bị đi kèm có đủ công suất, hiệu năng, tốc độ xử lý truy xuất dữ liệu, đáp ứng yêu cầu triển khai các hoạt động y tế trên môi trường mạng;

b) Bảo đảm hệ thống máy chủ có tính sẵn sàng cao, cơ chế dự phòng linh hoạt để hoạt động liên tục;

c) Bảo đảm hệ điều hành và phần mềm hệ thống cài đặt trên các máy chủ có bản quyền hoặc xuất xứ, nguồn gốc rõ ràng.

Hệ thống mạng:

a) Hệ thống mạng (mạng viễn thông, mạng internet, mạng diện rộng, mạng nội bộ, các kết nối khác) được thiết kế, triển khai phù hợp, có băng thông đáp ứng mục đích sử dụng; trường hợp sử dụng mạng viễn thông phải thực hiện đầy đủ quyền và nghĩa vụ được quy định tại Điều 16 của Luật viễn thông.

b) Trang thiết bị mạng, các phần mềm phân tích, quản lý giám sát mạng phải có bản quyền hoặc xuất xứ, nguồn gốc rõ ràng;

c) Có phương án dự phòng đầy đủ bảo đảm hoạt động của hệ thống mạng.

Cơ sở dữ liệu:

>> Xem thêm:  Điều kiện hoạt động của điểm cung cấp dịch vụ trò chơi điện tử công cộng

a) Cơ sở dữ liệu sử dụng cho các hoạt động y tế trên môi trường mạng phải ổn định; xử lý, lưu trữ được khối lượng dữ liệu theo yêu cầu nghiệp vụ;

b) Hệ quản trị cơ sở dữ liệu có nguồn gốc, xuất xứ rõ ràng hoặc sử dụng các hệ quản trị cơ sở dữ liệu mã nguồn mở được dùng rộng rãi trong nước và quốc tế.

Máy trạm: Có đủ máy trạm, cấu hình phù hợp cho các hoạt động y tế trên môi trường mạng.

2.2. Điều kiện về bảo đảm an toàn, an ninh thông tin

Thứ nhất, có chính sách về an toàn, bảo mật thông tin phù hợp với quy định về an toàn, bảo mật hệ thống công nghệ thông tin của Nhà nước và quy chế an toàn bảo mật thông tin của cơ quan.

Thứ hai, an toàn, an ninh hệ thống mạng:

a) Bảo đảm có biện pháp kỹ thuật cho phép kiểm soát các truy cập đối với hệ thống mạng;

b) Có biện pháp phát hiện và phòng chống xâm nhập, phòng chống phát tán mã độc hại cho hệ thống;

c) Có chính sách cập nhật định kỳ các bản vá lỗi hệ thống, cập nhật cấu hình cho các thiết bị;

d) Có biện pháp bảo đảm an toàn thông tin cho các máy trạm khi kết nối với môi trường mạng;

>> Xem thêm:  Điều kiện hoạt động quan trắc môi trường theo quy định mới nhất hiện nay

đ) Bảo đảm an toàn, an ninh về mặt vật lý tại vị trí đặt các hệ thống máy chủ;

e) Các trang thiết bị mạng, an ninh, bảo mật, phần mềm chống vi rút, công cụ phân tích, quản trị mạng được cài đặt trong mạng của cơ quan phải có nguồn gốc, xuất xứ rõ ràng.

Thứ ba, an toàn, bảo mật thông tin đối với phần mềm ứng dụng:

a) Có quy định ghi lại các lỗi và quá trình xử lý lỗi, đặc biệt là các lỗi về an toàn, bảo mật trong kiểm tra và thử nghiệm các phần mềm ứng dụng;

b) Các phiên bản phần mềm bao gồm cả chương trình nguồn cần được quản lý tập trung, lưu trữ, bảo mật và có cơ chế phân quyền cho từng thành viên trong việc thao tác với các tập tin;

c) Có kế hoạch định kỳ kiểm tra mã nguồn, nhằm loại trừ các đoạn mã độc hại, các lỗ hổng bảo mật;

d) Đơn vị cung cấp phần mềm ứng dụng phải cam kết không có các đoạn mã độc hại trong sản phẩm.

Thứ tư, an toàn dữ liệu:

a) Bảo đảm có cơ chế bảo vệ và phân quyền truy cập đối với các tài nguyên cơ sở dữ liệu;

b) Ghi nhật ký đối với các truy cập cơ sở dữ liệu, các thao tác đối với cấu hình cơ sở dữ liệu;

>> Xem thêm:  Thí nghiệm chuyên ngành xây dựng là gì? Điều kiện hoạt động thí nghiệm chuyên ngành xây dựng

c) Có phương án sao lưu dữ liệu, bảo đảm khôi phục dữ liệu trong trường hợp cần thiết;

d) Bảo đảm có thuật toán mã hóa phù hợp yêu cầu bảo đảm tính bí mật và khả năng xử lý của hệ thống;

đ) Rà soát, cập nhật các bản vá, các bản sửa lỗi hệ quản trị cơ sở dữ liệu theo định kỳ và theo khuyến cáo của nhà cung cấp;

e) Có các giải pháp ngăn chặn các hình thức tấn công cơ sở dữ liệu.

Thứ năm, quản lý sự cố:

a) Có quy trình quản lý sự cố, trong đó phải quy định rõ trách nhiệm của các bộ phận liên quan, chi tiết các bước thực hiện bao gồm cả việc thông báo người sử dụng cũng như bộ phận vận hành hệ thống công nghệ thông tin; trường hợp hạ tầng công nghệ thông tin được thuê ngoài thì đơn vị cung cấp dịch vụ phải cung cấp quy trình xử lý sự cố.

b) Định kỳ rà soát, cập nhật các sự cố và phương án xử lý cho quy trình quản lý sự cố;

c) Áp dụng các giải pháp kỹ thuật để phát hiện, xử lý kịp thời các cuộc tấn công vào hệ thống mạng;

d) Có biện pháp phòng chống rủi ro và thảm họa công nghệ thông tin một cách có hệ thống nhằm hạn chế tối đa những rủi ro của hoạt động y tế trên môi trường mạng.

2.3. Điều kiện về nhân lực

>> Xem thêm:  Điều kiện hoạt động của tổ chức tư vấn xác định giá đất.

Thứ nhất, bảo đảm nhân lực chuyên trách về công nghệ thông tin (về số lượng, trình độ) đáp ứng được yêu cầu hoạt động y tế trên môi trường mạng của cơ quan.

Thứ hai, đối với các cơ quan sự nghiệp hạng đặc biệt, hạng 1 và các trường đại học trong ngành y tế phải có phòng công nghệ thông tin, tối thiểu 5 người, trong đó số người có trình độ từ cao đẳng chuyên ngành công nghệ thông tin trở lên chiếm 60% tổng số nhân lực của phòng.

Thứ ba, đối với các cơ quan sự nghiệp hạng 2, hạng 3 của ngành y tế bảo đảm phải có tổ công nghệ thông tin trở lên với nhân sự tối thiểu là 3 người có trình độ công nghệ thông tin từ trung cấp trở lên.

Thứ tư, xây dựng kế hoạch và tổ chức đào tạo nâng cao trình độ công nghệ thông tin cho nhân lực tham gia vào hoạt động y tế trên môi trường mạng.

Trường hợp thuê nhân lực bên ngoài, nhân lực tham gia hoạt động y tế trên môi trường mạng của đơn vị được thuê phải đáp ứng yêu cầu chuyên môn nghiệp vụ; trong hợp đồng có điều khoản ghi rõ việc thực hiện cam kết đáp ứng qui định tại Khoản 5 Điều 6 Thông tư này.

2.4. Điều kiện về ứng dụng công nghệ thông tin

Thứ nhất, bảo đảm hạ tầng kỹ thuật theo quy định tại Điều 3 Thông tư này.

Thứ hai, chuẩn hóa các quy trình nghiệp vụ bảo đảm ứng dụng công nghệ thông tin hoạt động y tế trên môi trường mạng có hiệu quả.

Thứ ba, áp dụng các tiêu chuẩn quốc gia, quốc tế trong quá trình xây dựng các ứng dụng công nghệ thông tin y tế:

a) Tiêu chuẩn HL7 (bản tin HL7 phiên bản 2.x, bản tin HL7 phiên bản 3, kiến trúc tài liệu lâm sàng CDA);

>> Xem thêm:  Thẩm định giá công nghệ là gì? Điều kiện hoạt động dịch vụ thẩm định giá công nghệ

b) Tiêu chuẩn hình ảnh số và truyền tải trong y tế: DICOM;

c) Tiêu chuẩn kết nối, liên thông và trao đổi dữ liệu giữa các ứng dụng và thiết bị y tế: ISO/IEEE 11073;

d) Tiêu chuẩn trao đổi và chia sẻ các chỉ số, siêu dữ liệu thống kê trong lĩnh vực y tế: SDMX-HD;

đ) Các tiêu chuẩn đã được ban hành theo Thông tư số 22/2013/BTTTT ngày 23 tháng 12 năm 2013 của Bộ trưởng Bộ Thông tin và Truyền thông.

Thứ tư, có Quy chế quản lý và vận hành ứng dụng công nghệ thông tin tại cơ quan.

Thứ năm, việc khai thác và sử dụng dữ liệu thông tin y tế liên quan đến người bệnh phải bảo đảm quyền được tôn trọng bí mật riêng tư của người bệnh theo quy định của Luật khám bệnh, chữa bệnh.

Thứ sáu, được phép sử dụng chữ ký số, chứng thư số theo quy định tại Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2006 của Chính phủ về việc quy định chi tiết thi hành luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số, Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 26/2007/NĐ-CP, Nghị định số 170/2013/NĐ-CP ngày 13 tháng 11 năm 2013 của Chính phủ về việc sửa đổi, bổ sung một số điều của Nghị định số 26/2007/NĐ-CP và Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 26/2007/NĐ-CP.

Thứ bảy, việc lập, lưu trữ và khai thác hồ sơ bệnh án điện tử phải tuân thủ quy định tại Điều 59 của Luật khám bệnh, chữa bệnh.

Thứ tám, trường hợp thuê dịch vụ ứng dụng công nghệ thông tin bên ngoài phải có hợp đồng với các điều khoản quy định về cam kết về sở hữu hợp pháp thông tin, trách nhiệm của mỗi bên khi có sự cố xảy ra.

3. Sự cố an toàn, an ninh thông tin y tế là gì?

>> Xem thêm:  Điều kiện, thủ tục công bố tổ chức đủ điều kiện hoạt động quan trắc môi trường lao động

Sự c an toàn, an ninh thông tin tế: là sự kiện đã, đang, hoặc có khả năng xảy ra gây mất an toàn, an ninh thông tin y tế trên môi trường mạng; được phát hiện thông qua việc giám sát, đánh giá, phân tích của các cơ quan, tổ chức, cá nhân có liên quan hoặc được cảnh báo từ các cá nhân, tổ chức về lĩnh vực an toàn, an ninh thông tin (sau đây gọi tắt là sự cố).

Điều 3 Quyết định 4494/QD-BYT quy định: 

Các sự cố dưới đây cần được xem xét phân loại và xử lý, bao gồm:

a) Các truy cập trái phép, hành vi vi phạm tính bảo mật và tính toàn vẹn thông tin, dữ liệu y tế, ứng dụng triển khai trong ngành y tế;

b) Mã độc, tấn công từ chối dịch vụ;

c) Điểm yếu, lỗ hổng bảo mật của hạ tầng, hệ điều hành, ứng dụng;

d) Hệ thống trục trặc nhiều lần hoặc quá tải gây ảnh hưởng tới hoạt động của hệ thống;

đ) Các trục trặc của phần mềm hay phần cứng không khắc phục được gây ảnh hưởng đến hoạt động của hệ thống;

e) Mất thiết bị, phương tiện công nghệ thông tin;

g) Không tuân thủ chính sách an toàn thông tin hoặc các chỉ dẫn bắt buộc của đơn vị hoặc hành vi vi phạm an ninh vật lý;

>> Xem thêm:  Điều kiện và thủ tục đề nghị cấp Giấy chứng nhận đủ điều kiện hoạt động dịch vụ quan trắc môi trường

h) Các sự cố liên quan tới các thảm họa thiên nhiên như núi lửa, động đất, lũ lụt, sấm sét;

i) Các sự cố khác gây gián đoạn, ảnh hưởng đến hoạt động bình thường của các ứng dụng công nghệ thông tin tại đơn vị.

Các sự cố cần được phân loại theo mức độ nghiêm trọng, bao gồm:

a) Mức 0 (không): sự cố không gây ảnh hưởng có hại tức thời đến hoạt động và dữ liệu của hệ thống. Tuy nhiên, cần phân tích và báo cáo lại để tránh phát sinh những sự cố khác trong tương lai.

b) Mức 1 (thấp): sự cố gây ảnh hưởng tới các hệ thống nói chung, gây ảnh hưởng nhỏ hoặc không đáng kể đến hoạt động của hệ thống hoặc dữ liệu của hệ thống, gây ra những tác động không đáng kể cho đơn vị hoặc cho xã hội.

c) Mức 2 (trung bình): sự cố gây ảnh hưởng tới các hệ thống quan trọng hoặc thông thường, gây ảnh hưởng đáng kể đến hoạt động hoặc dữ liệu của hệ thống, hoặc gây ra những tác động đáng kể cho đơn vị hoặc cho xã hội.

d) Mức 3 (nghiêm trọng): sự cố xảy ra đối với các hệ thống đặc biệt quan trọng hoặc các hệ thống quan trọng, gây ảnh hưởng nghiêm trọng đến hoạt động của hệ thống, bao gồm việc ngừng hoạt động trong một thời gian dài hoặc thiệt hại nghiêm trọng đến dữ liệu của hệ thống; hoặc gây đến những tác động nghiêm trọng cho đơn vị hoặc cho xã hội.

đ) Mức 4 (đặc biệt nghiêm trọng): sự cố xảy ra đối với các hệ thống đặc biệt quan trọng, làm tê liệt hoạt động của hệ thống hoặc thiệt hại rất nghiêm trọng tới dữ liệu của hệ thống; gây nên những tác động đặc biệt nghiêm trọng cho đơn vị hoặc làm ảnh hưởng lớn tới trật tự xã hội, lợi ích công cộng, đe dọa nghiêm trọng tới an ninh, quốc phòng của đất nước.

4. Nguyên tắc xử lý sự cố an toàn, an ninh thông tin y tế

- Đảm bảo việc bảo mật thông tin liên quan tới sự cố theo quy định hiện hành của đơn vị và của Bộ Y tế.

>> Xem thêm:  Điều kiện hoạt động của một số cơ sở khám bệnh, chữa bệnh ở Việt Nam

- Việc trao đổi thông tin liên quan tới sự cố có thể được thực hiện bằng nhiều hình thức như thông báo trực tiếp, công văn, thư điện tử, điện thoại, fax. Các cán bộ tiếp nhận thông tin phải chủ động xác thực đối tượng gửi nhằm đảm bảo thông tin gửi đi là tin cậy.

- Quá trình phát hiện và xử lý sự cố phải được ghi lại trong hồ sơ quản lý sự cố để làm căn cứ theo dõi, báo cáo và rút kinh nghiệm.

- Yêu cầu về thời gian xử lý sự cố:

+ Đối với sự cố mức 0: Ghi nhận và có phương án xử lý tại thời điểm thích hợp.

+ Đối với sự cố mức 1: Xử lý trong vòng 24h kể từ khi phát hiện hay nhận được thông tin về sự cố.

+ Đối với sự cố mức 2: Xử lý trong vòng 8h kể từ khi phát hiện hay nhận được thông tin về sự cố.

+ Đối với sự cố mức 3: Xử lý trong vòng 4h kể từ khi phát hiện hay nhận được thông tin về sự cố.

+ Đối với sự cố mức 4: Xử lý ngay lập tức hoặc ngay khi có thể kể từ khi phát hiện hay nhận được thông tin về sự cố.

Trên đây là tư vấn của chúng tôi. Nếu còn vướng mắc, chưa rõ hoặc cần hỗ trợ pháp lý khác bạn vui lòng liên hệ bộ phận tư vấn pháp luật trực tuyến qua tổng đài điện thoại số: 1900.6162 để được giải đáp.

Rất mong nhận được sự hợp tác!

>> Xem thêm:  Trình tự, thủ tục cấp giấy chứng nhận đủ điều kiện hoạt động dịch vụ quan trắc môi trường

Trân trọng./.

Bộ phận tư vấn pháp luật Doanh nghiệp - Công ty luật Minh Khuê