BỘ Y TẾ
--------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
--------------------

Số: 4495/QĐ-BYT

Hà Nội, ngày 30 tháng 10 năm 2015

QUYẾT ĐỊNH

BAN HÀNH HƯỚNG DẪN XÂY DỰNG NỘI QUY AN TOÀN, AN NINH THÔNG TIN TRONGCÁC ĐƠN VỊ TRONG NGÀNH Y TẾ

BỘ TRƯỞNG BỘ Y TẾ

Căn cứ Nghị định số 63/2012/NĐ-CP ngày31/8/2012 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổchức của Bộ Y tế;

Căn cứ Nghị định số 64/2007/NĐ-CP ngày10/4/2007 của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơquan nhà nước;

Căn cứ Thông tư số 53/2014/TT-BYT ngày29/12/2014 của Bộ Y tế quy định điều kiện hoạtđộng y tế trên môi trường mạng;

Căn cứ Quyết định số 4159/QĐ-BYT ngày13/10/2014 của Bộ Y tế ban hành Quy định về đảmbảo an toàn thông tin y tế điện tử tại các đơn vị trong ngành y tế;

Xét đề nghị của Cục trưởng Cục Côngnghệ thông tin,

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo quyết định này “Hướng dẫn xây dựng nội quyan toàn, an ninh thông tin trong các đơn vị trong ngành y tế”.

Điều 2. Quyết định này có hiệu lực kể từ ngày ký ban hành.

Điều 3. Chánh văn phòng Bộ, Cục trưởng Cục Công nghệ thông tin, Thủtrưởng các đơn vị thuộc/trực thuộc Bộ Y tế và các tổ chức liên quan chịu tráchnhiệm thi hành quyết định này./.


Nơi nhận:

- Như Điều 3;
- Bộ trưng Bộ Y tế (để b/c);
- Các Thứ trưng Bộ Y tế (để phối hợp chđạo);
- SY tế các tnh/thành phố trực thuộc TW;
- Cổng Thông tin điện tử Bộ Y tế;
- Lưu: VT, CNTT (2).

KT. BTRƯỞNG
THỨ
TRƯỞNG




Lê Quang
ng

HƯỚNG DẪN

XÂY DỰNG NỘI QUY AN TOÀN, AN NINH THÔNG TIN TRONG CÁC ĐƠN VỊ TRONGNGÀNH Y TẾ
(Ban hành kèm theo Quyết định s
ố 4495/QĐ-BYTngày 30 tháng 10 năm 2015của Bộ trưởng Bộ Y tế)

I. Phạm vi áp dụng và đối tượngáp dụng

1. Văn bản này hướng dẫn xây dựng cácnội dung về nội quy đảm bảo an toàn, an ninh thông tin trong hoạt động y tế trênmôi trường mạng tại các đơn vị trong ngành y tế.

2. Hướng dẫn này áp dụng đối với các đơnvị, tổ chức trong ngành y tế khi áp dụng công nghệ thông tin trong hoạt độngcủa đơn vị.

II. Giải thích từ ngữ

1. Bên thứ ba: là các tchức, cá nhân có chuyên môn được đơn vịthuê hoặc hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch vụ công nghệ thôngtin.

2. Tài sản công nghệ thông tin (gọitắt là tài sản): là các trang thiết bị, thông tin,dịch vụ thuộc hệ thng công nghệ thông tin của đơn vị, baogồm:

a) Tài sản vật lý: là các thiết bị công nghệ thông tin, phương tiện truyền thông và các thiếtbị phục vụ cho hoạt động của hệ thống công nghệ thông tin;

b) Tài sản thông tin: là các dữ liệu, tài liệu liên quan đến hệ thống công nghệ thông tin. Tài sn thông tin được thể hiện bằngvăn bản giấy hoặc dliệu điện tử;

c) Tài sản phần mềm: bao gồm các chương trình ứng dụng, phần mềm hệ thng, cơ s dliệu và công cụ pháttriển;

d) Dịch vụ: là các dịch vụ công nghệ thông tin thuê bên thứ ba cung cấp.

III. Các quy định trong nội quyan toàn, an ninh thông tin

1. Quy định về kiểm soát truycập vật lý

Quy định này nhằm ngăn cản các truy nhậpvật lý không được phép và giảm thiểu thiệt hại đối với các thông tin y tế quantrọng của đơn vị.

a) Những tài sản quan trọng (như máy chủchạy các ứng dụng quan trọng, các thiết bị lưu trthông tinbảo mật) cần được đặt tại các phòng riêng có quy định chế độ bảo mật cao nhưkhóa, hệ thống xác thực cá nhân và các hệ thống kiểm soát truy cập khác.

b) Quy định những cá nhân nào được phépvào phòng quản lý các tài sản quan trọng và quy định về thủ tục xác thực các cánhân được phép truy cập, cụ thể như ghi nhận và kiểm tra danh sách truy nhậpvào phòng định kỳ.

c) Quy định việc mang vào hoặc đem racác thiết bị lưu trvà thiết bị điện tử (ổ đĩa, thiết bịUSB, hoặc các sao chép vật lý đối với dữ liệu) đi với cácphòng quản lý các tài sản quan trọng nhằm tránh việc lây nhiễm các phần mềm độchại cho các hệ thống này và tránh rò rỉ các thông tin quan trọng ra ngoài. Xây dựngcác thủ tục khai báo và kiểm tra việc mang vào hoặc đem ra đối với các thiết bịtrước khi vào hoặc rời phòng.

d) Quy định việc kiểm soát công tác gỡbỏ các dữ liệu bảo mật và các phần mềm quan trọng khi hủy bỏ hoặc không sử dụngcác thiết bị lưu trữ vật lý.

đ) Quy định về môi trường làm việc chophòng quản lý các thiết bị quan trọng bao gồm nhiệt độ, nguồn điện, phòng cháychữa cháy.

2. Quy định về quản lý, vậnhành hệ thống thông tin

Quy định này đảm bảo tránh việc rò r, mất mát thông tin khi quản lý vận hành hệ thống trang thiết bị công nghệthông tin và mạng máy tính.

a) Hệ thống máy chủ:

- Quản lý an toàn hệ thống: thủ tục càiđặt, kiểm tra và loại bỏ các dịch vụ không cần thiết trên máy chủ; quy định vềcác cá nhân được phép truy nhập vào máy chủ; thủ tục đặt và thay đổi mật khẩu đi với hthống máy chủ.

- Quản lý tài khoản truy cập: các thủtục cấp quyền, thay đổi mật khẩu cũng như hủy bỏ quyền truy cập đối với tài khoảntruy cập máy chủ. Quy định về việc đặt mật khẩu cho các tài khoản truy cập.

- Cập nhật bản vá lhổng hệ điều hành và phần mềm hệ thống: thủ tục kiểm tra và cập nhật thườngxuyên bản vá lỗ hổng hệ điều hành và phần mềm hệ thống.

- Quy định việc cài đặt và cập nhật phiênbản đi với các phần mềm chống vi rút và mã độc.

- Quy định việc sao lưu và phục hồi đi với hệ thống và dliệu máy ch.

b) Truy cập Internet:

- Xây dựng quy định việc kiểm soát truycập trang web. Có chế độ không cho phép truy cập các trang web không được phép.

- Quy định việc cài đặt phần mềm bảo vệmáy chủ và máy tính cá nhân khi truy cập Internet.

c) Truy cập mạng nội bộ:

- Kiểm soát truy cập mạng LAN: quy địnhviệc cấp quyền truy nhập các dịch vụ, hệ thống của đơn vị trong mạng nội bộtheo nhu cầu công việc của từng nhóm người sử dụng.

- Phân tách vùng mạng: Quy định việc phântách vùng mạng đối với các nhóm người sử dụng, dịch vụ thông tin, hệ thống thôngtin quan trọng, đòi hỏi ưu tiên băng thông cần được quyđịnh một cách hợp lý.

- Có quy định việc kết nối vào mạng khôngdây nội bộ. Đảm bảo việc truy cập mạng không dây nội bộ ch cho phép khu vực quy định và sử dụng cho hoạtđộng của đơn vị. Có quy định kiểm soát các truy cập không được phép vào mạngkhông dây nội bộ của đơn vị.

- Truy cập mạng nội bộ từ xa: có thủ tụckiểm soát việc xác thực và hoạt động của người sử dụng yêu cầu truy nhập vàomạng nội bộ từ xa.

d) Thư điện tử:

- Xây dng các quyđịnh về việc sử dụng thư điện tử để tránh việc gửi, nhận hoặc làm mất mát cácthông tin quan trọng trong quá trình sử dụng thư điện tử.

- Quy định về lọc thư điện tử để loạibỏ thư rác và các thư chứa nội dung không mong muốn.

đ) Máy tính cá nhân:

- Quản lý an toàn hệ thống: thủ tục càiđặt, kiểm tra và loại bỏ các dịch vụ, phần mềm không cần thiết trên máy tính cánhân;

- Quản lý quyền truy cập: quy định việcđặt mật khẩu đối với các máy tính cá nhân và màn hình máy tính cá nhân sử dụngtrong công việc hàng ngày.

- Quản lý an toàn dữ liệu: quy định việcmã hóa hoặc đặt mật khẩu đối với những dliệu, thông tinbảo mật nằm trong máy tính cá nhân.

- Quy định việc cài đặt và cập nhật phiênbản đối với phần mềm chống virus và mã độc.

3. Quy định về quản lý tài sảnphần cứng và phần mềm

Quy định việc quản lý tài sản phần cứngvà phần mềm nhằm đảm bảo tránh việc rò rỉ hoặc mất mátthông tin trên các thiết bị, ứng dụng quản lý, lưu trữthông tin.

a) Thủ tục cài đặt, di chuyển hoặc sửacha các thiết bị hay phương tiện lưu trữ thông tin quantrọng. Đảm bảo các thao tác trên phải được ghi nhận lại vàdữ liệu phải được sao lưu trước khi thực hiện các thao táctrên.

b) Thủ tục cài đặt hay gỡ bỏ các phầnmềm quan trọng. Đảm bảo phần mềm được khôi phục khi có sự cố và dữ liệu được saolưu trước khi thực hiện các thao tác cài đặt hay gỡ bỏ phần mềm.

c) Quy định về tuân thủ các quy trình,hướng dẫn sử dụng phần mềm chuyên ngành của đơn vị. Quy định về trách nhiệmphản hồi khi có phát sinh li, vấn đề bo mật, các yêu cầu về nghiệp vụ kc liên quan đếnphn mềm ứng dụng chuyên ngành tại đơn vị.

4. Quy định về việc quản lýthông tin

Quy định về quản lý thông tin cần đượcxây dựng để ngăn chặn việc rò r, mất mát các thông tin bảo mật và quy định các thông tin được công bố.

a) Có quy định đối với các thông tin đượccông bố và cách thức công bố thông tin trên môi trường mạng.

b) Thông tin bảo mật: Là các thông tinquan trọng được bảo mật theo quy định của đơn vị và của Bộ Y tế.

- Có quy định kim soát truy cập thông tin bảo mật quy định tại mục 1 và mục 2 của PhầnIII.

- Các cá nhân tạo ra hoặc chnh sửa các thông tin bảo mật đều phải được ghi lại phần mềm hoặc các vănbản, tài liệu.

- Quy định việc phân loại và đăng ký đốivới các thông tin bảo mật và xây dựng các thủ tục bảo mật và phân phối nội dungcủa các thông tin này. Các biện pháp đưa ra đi với cácvăn bản, tài liệu về các thông tin này đảm bảo việc tránh tiết lộ thông tin khichưa được phép. Các thông tin được lưu trữ dưới dạng điện tử cần có biện phápbảo vệ đtránh rò rỉ, mất mát thông tin bởi mã độc, virút máy tính hay những cá nhân không có thẩm quyền.

- Các nội dung liên quan hoặc bổ sungcủa các thông tin bảo mật cũng được bảo vệ giống như đối với các thông tin này.Đảm bảo việc cung cấp các thông tin quan trọng này cho mộttổ chức, hay cá nhân đều phải được phê duyệt bởi cấp có thẩm quyền.

- Việc thông báo, truyền đưa đối với cácthông tin bảo mật đều phải được phê duyệt bởi cấp có thẩm quyền. Quy định cácbiện pháp mã hóa hoặc bảo mật các thông tin bảo mật khi thông báo, truyền đưacác thông tin này qua môi trường mạng.

- Quy định về bảo mật thông tin dữ liệuy tế theo phân quyền trong hệ thống thông tin của đơn vịvà theo quy định của Bộ Y tế.

5. Quy định về việc quản lýbên thứ ba

Quy định về việc quản lý bên thứ ba cầnđược xây dựng để ngăn chặn việc rò rhoặc mất mát thôngtin quan trọng cho bên thứ ba.

a) Quy định việc truy cập hệ thống đốivới bên thứ ba.

b) Quy định công tác giám sát việcđảm bảo an toàn, an ninh thông tin đối với các hoạt động của bên thứ ba.

c) Quy định về việc cam kết của bên thứba trong việc truy cập dữ liệu, phần mềm của đơn vị.

d) Quy định về đảm bảo tính toàn vẹn,ổn định của các hàng hóa, dịch vụ mà bên thứ ba cung cấp và đảm bảo không gây ảnhhưởng xấu đến hệ thống công nghệ thông tin hiện có.

6. Quy định về sự chấphành, đào tạo và nâng cao nhận thức

Mục tiêu của quy định về sự chấp hành,đào tạo và nâng cao nhận thức nhằm nâng cao nhận thức liên quan đến an toàn,bảo mật cho cán bộ, công chức, viên chức trong đơn vị và đảm bảo tính hiệu quảtrong việc triển khai nội quy an toàn, bảo mật trong đơn vị.

a) Quy định chế tài và các biện pháp kỷluật đối với việc vi phạm nội quy bảo mật và truy cập thông tin không đượcphép.

b) Quy định việc tổ chức đào tạo, nângcao nhận thức định kỳ về an toàn, bảo mật thông tin và hậu quả trong việc ròrỉ, mất mát thông tin.

c) Quy định về việc đào tạo nâng cao trìnhđộ chuyên môn nghiệp vụ cho các cán bộ chuyên trách antoàn, an ninh thông tin.

IV. Tổ chức thực hiện

Lãnh đạo các đơn vị trong ngành y tế tổchức xây dựng, triển khai, cập nhật phổ biến nội quy an toànbảo mật ca đơn vị cho cán bộ, công chức, viên chức củađơn vị. Nội dung cơ bản của nội quy bao gồm:

1. Yêu cầu chung

a) Mục tiêu, yêu cầu đi với việc xây dựng nội quy an toàn, bảo mật thông tin của đơn vị.

b) Các khái niệm, tiêu chuẩn, yêu cầutuân thủ đối với nội quy an toàn, bảo mật thông tin của đơn vị.

2. Yêu cầu cụ thể

a) Phân loại tài sản, thông tin y tế củađơn vị.

b) Áp dụng các hướng dẫn tại phần II củahướng dẫn này để xây dựng nội quy đảm bảo an toàn, an ninh thông tin y tế của đơn vị

c) Các biện pháp kỹ thuật cụ thể đối vớitừng nội dung hướng dn.

d) Các tiêu chuẩn cần đáp ứng đối vớitừng nội dung hướng dẫn.

3. Tổ chức thực hiện

a) Trách nhiệm của lãnh đạo trong việcban hành, hướng dẫn, tổ chức thực hiện. Các cam kết hỗ trợkinh phí, cơ sở vật chất, trang thiết bị kỹ thuật trong việc triển khai nội quyan toàn, bảo mật thông tin của đơn vị.

b) Trách nhiệm của cán bộ kỹ thuật đốivới việc xây dựng, cập nhật, kiểm soát việc thi hành nội quy an toàn, bảo mậtthông tin của đơn vị.

c) Trách nhiệm của cán bộ, công chc, viên chức ca đơn vị trong việc tuân thủ nội quyan toàn, bảo mật thông tin của đơn vị.

d) Quy định về khen thưởng và kỷ luậtđối với việc chấp hành nội quy đảm bảo an toàn, an ninh thông tin của đơn vị./.