NỘI QUY
Đảm bảo an toàn, an ninh thông tin trong hoạt động ứng dụng
công nghệ thông tin tại BVĐK Quỳnh Phụ
I./ NHỮNG QUY ĐỊNH CHUNG
1. Phạm vi áp dụng
Quy định này quy định về nội dung, biện pháp đảm bảo an toàn, an ninh thông tin (viết tắt là AT-ANTT) trong lĩnh vực ứng dụng công nghệ thông tin (viết tắt là CNTT) phục vụ cho công tác điều hành và quản lý hệ thống mạng tại BVĐK Quỳnh Phụ
2. Đối tượng áp dụng
Quy định này áp dụng đối với cán bộ, viên chức sử dụng máy vi tính trong các khoa, phòng tại BVĐK Quỳnh Phụ
3. Giải thích từ ngữ
Trong Quy định này, các từ ngữ dưới đây được hiểu như sau:
- An toàn thông tin:Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin tại bệnh viện nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng.
- Website: Là một tập hợp các trang web bao gồm văn bản, hình ảnh, video, flash v.v… Trang web được lưu trữ trên máy chủ có thể truy cập thông qua Internet.
- An ninh thông tin:Là việc bảo đảm thông tin trên mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân.
- Hệ thống mạng LAN:Là hệ thống mạng nội bộ dùng để kết nối các máy tính trong một phạm vi nhỏ (phòng làm việc, khoa,…). Các máy tính trong mạng LAN có thể chia sẻ tài nguyên với nhau, mà điển hình là chia sẻ tập tin, máy in, máy quét và một số thiết bị khác.
- Địa chỉ IP:Là một địa chỉ đơn nhất mà những thiết bị điện tử hiện nay đang sử dụng để nhận diện và liên lạc với nhau trên mạng máy tính bằng cách sử dụng giao thức Internet.
- Bên thứ ba:Là các tổ chức, cá nhân có chuyên môn được đơn vị thuê hoặc hợp tác với đơn vị nhằm cung cấp hàng hóa, dịch vụ công nghệ thông tin.
- Thiết bị lưu trữ ngoài:Là các ổ cứng di động, USB, đĩa CD, DVD,…
- Tài sản công nghệ thông tin:là các trang thiết bị, thông tin dịch vụ thuộc hệ thống công nghệ thông tin của đơn vị, bao gồm:
+Tài sản vật lý:Là các thiết bị công nghệ thông tin, phương tiện truyền thông và các thiết bị phục vụ cho hoạt động của hệ thông thông tin
+ Tài sản thông tin:là các dữ liệu, tài liệu liên quan đến hệ thống công nghệ thông tin. Tài sản thông tin được thể hiện bằng văn bản giấy hoặc dự liệu điện tử .
+ Tài sản phần mềm:bao gồm các chương trình ứng dụng, phần mềm hệ thống cơ sở dữ liệu và công cụ hỗ trợ..
+ Dịch vụ:là các dịch vụ công nghệ thông tin thuê bên thứ ba cung cấp
II./ QUY ĐỊNH ĐẢM BẢO AN TOÀN, AN NINH THÔNG TIN
1. Bộ phận phụ trách đảm bảo an toàn, an ninh thông tin
Phòng Công nghệ thông tin bệnh viện là bộ phận được Giám đốc giao trực tiếp chủ trì, phối hợp với các khoa phòng liên quan tham mưu cho Giám đốc bệnh viện về công tác quản lý và đảm bảo AT-ANTT trong ứng dụng CNTT trong bệnh viện.
2. Quản lý tài khoản người dùng
2.1. Phòng công nghệ thông tin có trách nhiệm tham mưu cho Giám đốc, tạo lập và cung cấp tài khoản truy nhập, tài khoản người dùng cho phòng khám và các khoa, phòng; tạo mới hoặc hủy bỏ tài khoản của phòng khám hay các khoa phòng khi có yêu cầu của Giám đốc.
2.2 Mỗi cá nhân, khoa, phòng phải có trách nhiệm bảo vệ và bảo mật tài khoản, dữ liệu của cá nhân, khoa, phòng và của cơ quan như: Hòmthư điện tử, phần mềm Quản lý…; không tự ý xâm nhập các tài khoản của người khác để sử dụng; không cung cấp thông tin tài khoản của cá nhân, khoa,phòng cho các tổ chức, cá nhân không có liên quan.
Mật khẩu phải thay đổi thường xuyên hoặc định kỳ mỗi tháng 01 lần; không dùng một mật khẩu trong nhiều tài khoản.
3. Quy định đăng bài lên Website bệnh viện.
- Nội dung bài viết, hình ảnh về các hoạt động của của Bệnh viện cần phải được duyệt của Ban giám đốc bệnh viện, sau đó phòng CNTT mới được đăng bài lên Website của bệnh viên
- Phòng CNTT có trách nhiệm đăng tải nội dung đăng trên Website.
4. Quy định về quản lý và kiểm soát truy cập vật lý
4.1. Đối với thiết bị CNTT
a) Mỗi cá nhân, khoa phòng có trách nhiệm quản lý trang thiết bị CNTT (máy vi tính, máy in, thiết bị ngoại vi,…) được giao sử dụng, tự quản lý dữ liệu trên máy tính của cá nhân, tự quyết định việc chia sẻ tài nguyên với các máy tính khác trong mạng lan theo đúng quy định.
b) Phòng công nghệ thông tin chịu trách nhiệm kiểm tra, theo dõi, đánh giá sự hoạt động của máy chủ, máy trạm, các thiết bị mạng và các thiết bị ngoại vi theo đúng tiêu chuẩn kỹ thuật; thực hiện việc sao lưu dữ liệu thường xuyên; các thiết bị CNTT phải thực hiện công tác bảo trì, bảo dưỡng định kỳ, đột xuất, giảm thiểu tối đa các sự cố kỹ thuật.
c) Máy vi tính chứa dữ liệu quan trọng và thường xuyên kết nối Internet phải cài đặt các phần mềm diệt virus có bản quyền; có cơ chế bảo vệ thư mục và tập tin khi chia sẻ tài nguyên dùng chung.
d) Máy tính và các thiết bị CNTT để nơi an toàn, tránh ảnh hưởng của các tác nhân bên ngoài như nắng, mưa…; không để các tài liệu, vật liệu dễ cháy gần máy tính và các thiết bị CNTT để tránh xảy ra cháy nổ; thường xuyên vệ sinh cho máy vi tính; kiểm tra theo dõi sự hoạt động của máy vi tính và các thiết bị... Khi không sử dụng nên tắt máy vi tính và các thiết bị nhằm tiết kiệm điện và phòng, chống các xâm nhập trái phép.
e) Trong quá trình sử dụng các thiết bị CNTT, khi có sự cố xảy ra đối với các thiết bị CNTT , người sử dụng thiết bị CNTT thông báo với phòng công nghệ thông tin; nếu sự cố nhỏ, không phải thay thế hoặc sửa chữa linh kiện thì cán bộ được giao phụ trách CNTT xử lý trực tiếp. Nếu có sự cố lớn, cần phải thay thế linh kiện để sửa chữa thì cá nhân khoa, phòng trực tiếp quản lý và sử dung thiết bị CNTT phải lập dự trù, có xác nhận của lãnh đạo khoa, phòng, cán bộ trực tiếp kiểm tra tình trạng máy gửi về Phòng công nghệ thông tin để được hướng dẫn sửa chữa, thay thế, tuyệt đối không được chuyển cho các tập thể, cá nhân khi chưa được sự thống nhất và đồng ý cua BGĐ.
4.2. Hệ thống mạng LAN
a) CBVC của bệnh viện khi tham gia vào mạng LAN không được tự ý thay đổi các tham số mạng, nếu tự ý thay đổi tham số mạng thì người thay đổi phải chịu hoàn toàn trách nhiệm. Trường hợp cần thiết phải thay đổi tham số mạng, phải báo cán bộ phụ trách CNTT của bệnh viện biết để xử lý.
b) Phòng công nghệ thông tin chịu trách nhiệm kiểm tra, theo dõi, đánh giá sự hoạt động của máy chủ, máy trạm, các thiết bị mạng , máy in và các thiết bị khác theo đúng tiêu chuẩn kỹ thuật; thực hiện công tác bảo trì, bảo dưỡng định kỳ, đột xuất, giảm tối đa các sự cố kỹ thuật; kết nối mạng Internet cho các khoa phòng khi có yêu cầu của cấp trên.
c) Phòng công nghệ thông tin chịu trách nhiệm hướng dẫn, cài đặt hệ thống an ninh mạng theo đúng tiêu chuẩn an toàn bảo mật; thường xuyên kiểm tra, quét virus cho tất cả các máy tính, xử lý khắc phục kịp thời khi xảy ra sự cố, đảm bảo hệ thống mạng máy tính hoạt động ổn định, liên tục.
d) Hàng tháng, quý phòng CNTT phải đề xuất kế hoạch mua sắm các thiết bị CNTT để thay thế sửa chữa kịp thời đảm bảo an toàn cho các máy tính và mạng máy tính luôn trong tạng thái hoạt động ổn định nhất .
5. Cơ chế sao lưu dữ liệu
5.1. Phân loại dữ liệu sao lưu
a) Dữ liệu hệ thống bao gồm các loại thông tin, dữ liệu cài đặt như: Cấp phát tài khoản và địa chỉ IP mạng, đưa thông tin lên Website của bệnh viện,...
b) Dữ liệu các ứng dụng dùng chung được cài đặt trên máy chủ dữ liệu tỉnh đảm bảo AT-ANTT như: phần mềm quản lý tổng thể bệnh viện Medissoft, phần mềm kế toám Misa, Website bệnh viện...
c) Các dữ liệu khác cài đặt trên máy tính cá nhân do các CBVC thuộc các khoa, phòng soạn thảo, tạo lập trên các máy tính trong mạng nội bộ.
5.2. Quy định thiết bị sao lưu
a) Đối với dữ liệu hệ thống: Sử dụng chức năng sao lưu dự phòng của các ứng dụng.
b) Đối với các dữ liệu khác: Các dữ liệu cần lưu trữ, của các khoa, phòng tự sao chép vào các thiết bị lưu trữ để đảm bảo dữ liệu ít nhất lưu trữ ở hai nơi đề phòng ổ đĩa cứng của máy tính bị hỏng.
5.3. Định kỳ sao lưu
Tùy vào mức độ qui định thời hạn mỗi loại thông tin, dữ liệu cần sao lưu.
a) Đối với dữ liệu hệ thống (Dữ liệu máy chủ): Sao lưu hàng ngày vào thời điểm cuối ngày làm việc
b) Đối với các dữ liệu khác: Sao lưu khi có thay đổi thông tin.
6. Giải quyết và khắc phục sự cố về an toàn, an ninh thông tin
6.1. Đối với CBVC
a) Thông báo kịp thời cho cán bộ phòng CNTT của Bệnh viện khi phát hiện các sự cố gây mất AT-ANTT trong hệ thống mạng.
b) Xử lý khẩn cấp: Khi phát hiện hệ thống gặp sự cố, thông qua các dấu hiệu khác thường như: Hệ thống máy tính hoạt động chậm khác thường, nội dung bị thay đổi,… cần báo ngay chocán bộ phòng công nghệ thông tin bệnh viện để có hướng xử lý kịp thời
6.2. Đối với phòng công nghện thông tin.
a) Quản lý việc di chuyển các trang thiết bị CNTT (máy chủ, máy trạm, thiết bị ngoại vi...) .
b) Hướng dẫn người dùng nắm được những nguyên tắc hoạt động cơ bản nhất của máy vi tính và một số giải pháp khắc phục sự cố đơn giản mà hệ thốngCNTT hay gặp phải; trong trường hợp sự cố xảy ra ngoài khả năng giải quyết, kịp thời thông tin ngay với cán bộ phòng CNTT đồng thời phối hợp với các đơn vị có liên quan để cùng phối hợp khắc phục.
d) Thường xuyên theo dõi, tổng hợp, nắm tình hình, tham mưu các văn bản chỉ đạo về AT-ANTT.
e)Tham mưu cho BGĐ các phương án nâng cấp và xử lý đảm bảo hệ thống CNTT luôn hoạt động trong trạng thái ổn định và an toàn.
BỆNH VIỆN ĐA KHOA QUỲNH PHỤ