Phân loại sự cố và nguyên tắc xử lý sự cố an toàn, an ninh thông tin tại các đơn vị trong ngành y tế ?

An toàn thông tin: bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn, thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.

An ninh thông tin là việc bảo đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.

Sự cố an toàn, an ninh thông tin y tế: là sự kiện đã, đang, hoặc có khả năng xảy ra gây mất an toàn, an ninh thông tin y tế trên môi trường mạng; được phát hiện thông qua việc giám sát, đánh giá, phân tích của các cơ quan, tổ chức, cá nhân có liên quan hoặc được cảnh báo từ các cá nhân, tổ chức về lĩnh vực an toàn, an ninh thông tin (sau đây gọi tắt là sự cố).

Để bảo đảm an toàn, an ninh thông tin trong hoạt động y tế trên môi trường mạng thì phải quản lý sự cố an toàn, an ninh thông tin tại các đơn vị trong ngành y tế. Vậy, sự cố được phân loại như thế nào và nguyên tắc xử lý sự cố ra sao ?

Phân loại sự cố

Căn cứ theo Điều 3 của Quyết định số 4494/QĐ-BYT ngày 30 tháng 10 năm 2015 quy trình phản ứng với các sự cố an toàn, an ninh thông tin tại các đơn vị trong ngành y tế, Bộ trưởng Bộ y tế phân loại sự cố như sau:

1. Các sự cố dưới đây cần được xem xét phân loại và xử lý, bao gồm:

a) Các truy cập trái phép, hành vi vi phạm tính bảo mật và tính toàn vẹn thông tin, dữ liệu y tế, ứng dụng triển khai trong ngành y tế;

b) Mã độc, tấn công từ chối dịch vụ;

c) Điểm yếu, lỗ hổng bảo mật của hạ tầng, hệ điều hành, ứng dụng;

d) Hệ thống trục trặc nhiều lần hoặc quá tải gây ảnh hưởng tới hoạt động của hệ thống;

đ) Các trục trặc của phần mềm hay phần cứng không khắc phục được gây ảnh hưởng đến hoạt động của hệ thống;

e) Mất thiết bị, phương tiện công nghệ thông tin;

g) Không tuân thủ chính sách an toàn thông tin hoặc các chỉ dẫn bắt buộc của đơn vị hoặc hành vi vi phạm an ninh vật lý;

h) Các sự cố liên quan tới các thảm họa thiên nhiên như núi lửa, động đất, lũ lụt, sấm sét;

i) Các sự cố khác gây gián đoạn, ảnh hưởng đến hoạt động bình thường của các ứng dụng công nghệ thông tin tại đơn vị.

2. Các sự cố cần được phân loại theo mức độ nghiêm trọng, bao gồm:

a) Mức 0 (không): sự cố không gây ảnh hưởng có hại tức thời đến hoạt động và dữ liệu của hệ thống. Tuy nhiên, cần phân tích và báo cáo lại để tránh phát sinh những sự cố khác trong tương lai.

b) Mức 1 (thấp): sự cố gây ảnh hưởng tới các hệ thống nói chung, gây ảnh hưởng nhỏ hoặc không đáng kể đến hoạt động của hệ thống hoặc dữ liệu của hệ thống, gây ra những tác động không đáng kể cho đơn vị hoặc cho xã hội.

c) Mức 2 (trung bình): sự cố gây ảnh hưởng tới các hệ thống quan trọng hoặc thông thường, gây ảnh hưởng đáng kể đến hoạt động hoặc dữ liệu của hệ thống, hoặc gây ra những tác động đáng kể cho đơn vị hoặc cho xã hội.

d) Mức 3 (nghiêm trọng): sự cố xảy ra đối với các hệ thống đặc biệt quan trọng hoặc các hệ thống quan trọng, gây ảnh hưởng nghiêm trọng đến hoạt động của hệ thống, bao gồm việc ngừng hoạt động trong một thời gian dài hoặc thiệt hại nghiêm trọng đến dữ liệu của hệ thống; hoặc gây đến những tác động nghiêm trọng cho đơn vị hoặc cho xã hội.

đ) Mức 4 (đặc biệt nghiêm trọng): sự cố xảy ra đối với các hệ thống đặc biệt quan trọng, làm tê liệt hoạt động của hệ thống hoặc thiệt hại rất nghiêm trọng tới dữ liệu của hệ thống; gây nên những tác động đặc biệt nghiêm trọng cho đơn vị hoặc làm ảnh hưởng lớn tới trật tự xã hội, lợi ích công cộng, đe dọa nghiêm trọng tới an ninh, quốc phòng của đất nước.

Trong đó,

+ Hệ thống thông tin y tế (gọi tắt là hệ thống): là một tập hợp có cấu trúc các trang thiết bị phần cứng, phần mềm, cơ sở dữ liệu và hệ thống mạng phục vụ cho một hoặc nhiều hoạt động y tế trên môi trường mạng.

+ Hệ thống đặc biệt quan trọng: là hệ thống có ảnh hưởng đặc biệt quan trọng tới an ninh, xã hội, y tế nói chung; hoặc có ảnh hưởng đặc biệt quan trọng tới hoạt động của đơn vị.

+ Hệ thống quan trọng: là hệ thống thông tin y tế có ảnh hưởng đáng kể tới an ninh, xã hội, y tế nói chung; hoặc có ảnh hưởng đáng kể tới hoạt động của đơn vị.

+ Hệ thống thông thường: là hệ thống thông tin phục vụ các hoạt động thông thường của đơn vị, không ảnh hưởng tới an ninh, xã hội, y tế nói chung và không có ảnh hưởng đáng kể tới hoạt động của đơn vị.

Nguyên tắc xử lý sự cố

Căn cứ theo Điều 4 của Quyết định số 4494/QĐ-BYT ngày 30 tháng 10 năm 2015 quy trình phản ứng với các sự cố an toàn, an ninh thông tin tại các đơn vị trong ngành y tế, Bộ trưởng Bộ y tế đưa ra các nguyên tắc xử lý sự cố như sau:

1. Đảm bảo việc bảo mật thông tin liên quan tới sự cố theo quy định hiện hành của đơn vị và của Bộ Y tế.

2. Việc trao đổi thông tin liên quan tới sự cố có thể được thực hiện bằng nhiều hình thức như thông báo trực tiếp, công văn, thư điện tử, điện thoại, fax. Các cán bộ tiếp nhận thông tin phải chủ động xác thực đối tượng gửi nhằm đảm bảo thông tin gửi đi là tin cậy.

3. Quá trình phát hiện và xử lý sự cố phải được ghi lại trong hồ sơ quản lý sự cố để làm căn cứ theo dõi, báo cáo và rút kinh nghiệm.

4. Yêu cầu về thời gian xử lý sự cố:

a) Đối với sự cố mức 0: Ghi nhận và có phương án xử lý tại thời điểm thích hợp.

b) Đối với sự cố mức 1: Xử lý trong vòng 24h kể từ khi phát hiện hay nhận được thông tin về sự cố.

c) Đối với sự cố mức 2: Xử lý trong vòng 8h kể từ khi phát hiện hay nhận được thông tin về sự cố.

d) Đối với sự cố mức 3: Xử lý trong vòng 4h kể từ khi phát hiện hay nhận được thông tin về sự cố.

đ) Đối với sự cố mức 4: Xử lý ngay lập tức hoặc ngay khi có thể kể từ khi phát hiện hay nhận được thông tin về sự cố.

Như vậy, thông qua bài viết trên, Luật Hoàng Anh đã trình bày quy định về việc phân loại sự cố và nguyên tắc xử lý sự cố an toàn, an ninh thông tin tại các đơn vị trong ngành y tế.

Luật Hoàng Anh

Tổng đài tư vấn pháp luật

Gửi câu hỏi Đặt lịch hẹn

CÔNG TY LUẬT HOÀNG ANH

Dịch vụ Luật Sư uy tín hàng đầu tại Hà Nội.

Số 2/84 - Trần Quang Diệu - Phường Ô Chợ Dừa - Quận Đống Đa - TP Hà Nội

Email: luatsu@luathoanganh.vn

Tin liên quan

Điều kiện về ứng dụng công nghệ thông tin trong hoạt động y tế trên môi trường mạng như thế nào ?

Bưu chính, viễn thông 13/01/2022

Bài viết trình bày các điều kiện về ứng dụng công nghệ thông tin trong hoạt động y tế trên môi trường mạng

Nguyên tắc bảo đảm an toàn thông tin trong hoạt động của cơ quan nhà nước trên môi trường mạng ?

Bưu chính, viễn thông 13/01/2022

Bài viết trình bày về các Nguyên tắc bảo đảm an toàn thông tin trong hoạt động của cơ quan nhà nước trên môi trường mạng

Quy định về việc tổ chức thực hiện ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước ?(P2)

Bưu chính, viễn thông 13/01/2022

Bài viết trình bày các Quy định về việc tổ chức thực hiện ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước

Quy định về việc tổ chức thực hiện ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước ?(P1)

Bưu chính, viễn thông 13/01/2022

Bài viết trình bày các Quy định về việc tổ chức thực hiện ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước

Quy trình quản lý văn bản điện tử như thế nào trong hoạt động của cơ quan nhà nước trên môi trường mạng ?

Bưu chính, viễn thông 13/01/2022

Bài viết trình bày về Quy trình quản lý văn bản điện tử trong hoạt động của cơ quan nhà nước trên môi trường mạng

Ứng dụng công nghệ thông tin trong một số lĩnh vực khác như thế nào ?

Bưu chính, viễn thông 13/01/2022

Bài viết trình bày quy định về việc Ứng dụng công nghệ thông tin trong một số lĩnh vực khác

Ứng dụng công nghệ thông tin trong thương mại như thế nào ?

Bưu chính, viễn thông 13/01/2022

Bài viết trình bày quy định về việc Ứng dụng công nghệ thông tin trong thương mại

Lập kế hoạch xử lý sự cố an toàn, an ninh thông tin y tế như thế nào ?

Bưu chính, viễn thông 14/01/2022

Bài viết trình bày quy định về việc Lập kế hoạch xử lý sự cố an toàn, an ninh thông tin y tế