BỘ Y TẾ | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 272/CNTT-CSHT | Hà Nội, ngày 18 tháng 05 năm 2018 |
Kính gửi: | - Các Vụ, Cục, Tổng cục, Văn phòng Bộ, Thanh tra Bộ; |
Cục Công nghệ thông tin nhận được nhiều cảnh báo về nguy cơ mất an toàn dữ liệu được quản lý, lưu trữ, truyền tải thông tin trên môi trường mạng. Để đảm bảo an toàn các thông tin bí mật theo quy định của nhà nước, theo quy định của Bộ Y tế và các thông tin quan trọng của đơn vị, Cục Công nghệ thông tin đề nghị các đơn vị nghiêm túc thực hiện các biện pháp sau:
1. Phân loại, xây dựng quy trình quản lý thông tin: Phân loại, xác định các thông tin y tế thuộc phạm vi bí mật theo quy định của nhà nước, của Bộ Y tế và các thông tin quan trọng của đơn vị. Xây dựng quy định quản lý, khai thác các dữ liệu này trên môi trường mạng.
2. Trước mắt tổ chức thực hiện các biện pháp đảm bảo an toàn, bảo mật thông tin cho các dữ liệu trên, cụ thể:
a) Bảo vệ thiết bị
- Thực hiện các biện pháp bảo vệ vật lý (như có cửa bảo vệ, có cán bộ bảo vệ...) khu vực đặt các thiết bị máy tính quản lý, lưu trữ dữ liệu.
- Thực hiện các biện pháp bảo vệ phòng máy chủ quản lý, lưu trữ dữ liệu theo hướng dẫn tại Điều 6 tại Quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ Y tế ban hành quy định về đảm bảo an toàn thông tin y tế điện tử tại các đơn vị trong ngành y tế.
- Thực hiện kiểm tra đối với việc mang thiết bị vào và thiết bị ra đối với phòng máy chủ quản lý, lưu trữ dữ liệu theo quy định tại Điểm b, Điểm c, Mục 1, Phần III tại quyết định 4495/QĐ-BYT ngày 30/10/2015 của Bộ trưởng Bộ y tế về việc ban hành hướng dẫn xây dựng nội quy an toàn, an ninh thông tin trong các đơn vị trong ngành y tế đối với phòng máy chủ lưu trữ dữ liệu.
- Không được chụp ảnh, quay camera các thiết bị tại phòng máy chủ quản lý, lưu trữ dữ liệu khi không được sự đồng ý bằng văn bản của lãnh đạo đơn vị.
- Thực hiện việc hủy bỏ các thiết bị lưu trữ thông tin y tế theo hướng dẫn tại Điều 15 tại Quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ Y tế ban hành quy định về đảm bảo an toàn thông tin y tế điện tử tại các đơn vị trong ngành y tế.
- Cài đặt các phần mềm hoặc thiết bị bảo vệ chống truy cập trái phép đối với các máy tính cá nhân sử dụng trong việc quản lý, lưu trữ, khai thác dữ liệu.
- Các thiết bị mạng đưa vào hoạt động hoặc rời khỏi mạng liên quan tới dữ liệu phải được sự đồng ý bằng văn bản của lãnh đạo đơn vị.
b) Bảo vệ dữ liệu
Thực hiện các biện pháp quản lý việc truy cập dữ liệu, cụ thể:
- Chỉ tạo tài khoản truy cập và gán quyền truy cập cho các nhóm, cá nhân được phép truy cập vào dữ liệu theo quy định của đơn vị và của pháp luật;
- Ngừng ngay lập tức tài khoản truy cập đối với nhóm, cá nhân không còn được phép truy cập vào dữ liệu;
- Xây dựng cơ chế kiểm soát việc truy cập vật lý và trực tuyến đối với dữ liệu theo Điểm a, Điểm đ, Mục 1; Điểm a, Điểm b, Điểm c, Điểm đ Mục 2, Phần III tại quyết định 4495/QĐ-BYT ngày 30/10/2015 của Bộ trưởng Bộ y tế về việc ban hành hướng dẫn xây dựng nội quy an toàn, an ninh thông tin trong các đơn vị trong ngành y tế.
Đối với các hệ thống thông tin khai thác dữ liệu:
- Xây dựng cơ chế kiểm soát truy cập vào hệ thống dựa trên vai trò (Role-based Access Control);
- Áp dụng biện pháp xác thực hai yếu tố khi truy cập vào dữ liệu;
- Áp dụng các biện pháp xác thực, mã hóa, chữ ký số khi gửi và nhận dữ liệu;
- Thực hiện quản lý tài khoản truy cập của người sử dụng theo quy định tại Điều 13, Chương II tại quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ trưởng Bộ Y tế về việc ban hành quy định về đảm bảo an toàn thông tin y tế điện tử;
- Cấu hình hệ thống thông tin được chỉ được cài đặt, thay đổi khi được cho phép bằng văn bản của đơn vị;
- Triển khai cách thức lưu lại lịch sử truy cập vào dữ liệu;
- Thực hiện khóa dữ liệu ngay khi phát hiện có truy cập trái phép;
- Thực hiện các biện pháp bảo vệ cơ sở dữ liệu khi triển khai trên mạng nội bộ và Internet theo Điều 5, Chương II tại quyết định 4159/QĐ-BYT ngày 13/10/2014 của Bộ trưởng Bộ Y tế về việc ban hành quy định về đảm bảo an toàn thông tin y tế điện tử;
- Triển khai hệ thống giám sát truy cập vào hệ thống thông tin để phát hiện các hành vi bất thường khi truy cập, khai thác dữ liệu.
Xin trân trọng cảm ơn!
Nơi nhận: | KT. CỤC TRƯỞNG |
- 1 Chỉ thị 14/CT-TTg năm 2018 về nâng cao năng lực phòng, chống phần mềm độc hại do Thủ tướng Chính phủ ban hành
- 2 Quyết định 201/QĐ-BTC năm 2018 về Quy chế An toàn thông tin mạng Bộ Tài chính
- 3 Công văn 481/BTTTT-CATTT năm 2018 về đánh giá mức độ bảo đảm an toàn thông tin mạng do Bộ Thông tin và Truyền thông ban hành
- 4 Quyết định 1622/QĐ-TTg năm 2017 về phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025 do Thủ tướng Chính phủ ban hành
- 5 Quyết định 4495/QĐ-BYT năm 2015 về Hướng dẫn xây dựng nội quy an toàn, an ninh thông tin trong đơn vị trong ngành y tế do Bộ trưởng Bộ Y tế ban hành
- 6 Quyết định 4159/QĐ-BYT năm 2014 quy định đảm bảo an toàn thông tin y tế điện tử tại đơn vị trong ngành y tế do Bộ trưởng Bộ Y tế ban hành
- 1 Quyết định 1622/QĐ-TTg năm 2017 về phê duyệt Đề án đẩy mạnh hoạt động của mạng lưới ứng cứu sự cố, tăng cường năng lực cho cán bộ, bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng trên toàn quốc đến 2020, định hướng đến 2025 do Thủ tướng Chính phủ ban hành
- 2 Quyết định 201/QĐ-BTC năm 2018 về Quy chế An toàn thông tin mạng Bộ Tài chính
- 3 Công văn 481/BTTTT-CATTT năm 2018 về đánh giá mức độ bảo đảm an toàn thông tin mạng do Bộ Thông tin và Truyền thông ban hành
- 4 Chỉ thị 14/CT-TTg năm 2018 về nâng cao năng lực phòng, chống phần mềm độc hại do Thủ tướng Chính phủ ban hành