Tiêu chuẩn ISO 27799:2016 – Kiểm soát an ninh thông tin trong y tế

Ngành y tế hiện nay đã áp dụng khá nhiều công nghệ thông tin trong việc thăm khám chuẩn đoán và điều trị. Chính vì thế việc kiểm soát an ninh thông tin trong y tế đang được quan tâm và chú trọng ngày một nhiều. Một trong những bộ tiêu chuẩn đi đầu trong việc này chính là ISO 27799:2016. Bộ tiêu chuẩn Tin học y tế – Kiểm soát an ninh thông tin trong y tế dựa trên ISO/IEC 27002. Bài viết này, SQC Certification xin chia sẻ cho bạn về thông tin bộ tiêu chuẩn danh cho ngành y tế này. 

Tiêu chuẩn ISO/FDIS 27799 là gì ?

Bộ tiêu chuẩn ISO 27799:2016 – Health informatics — Information security management in health using ISO/IEC 27002 hay Tin học y tế – Quản lý an toàn thông tin trong y tế dựa trên ISO/IEC 27002. Bộ tiêu chuẩn này ngắn gọn là ISO 27799 nhằm cung cấp hướng dẫn triển khai một hệ thống quản lý an toàn thông tin (ISMS) trong ngahf y tế nhằm bảo mật dữ liệu y tế cá nhân của bệnh nhân và thông tin có liên quan đến chăm sóc sức khỏe.

Mục tiêu chính của ISO 27799

Bộ tiêu chuẩn ISO 27799 được xây dựng nhằm một số mục tiêu như sau:

• Bảo mật thông tin y tế cá nhân: ngăn ngừa rò rỉ, mất mát hoặc truy cập trái phép.
• Đảm bảo tính toàn vẹn và sẵn sàng của dữ liệu y tế để phục vụ chẩn đoán, điều trị và nghiên cứu.
• Hướng dẫn áp dụng ISO/IEC 27002 trong môi trường y tế, bổ sung các yêu cầu đặc thù riêng cho bệnh viện, phòng khám, trung tâm y tế.

Kết nối với chuyên gia

Qúa trình hình thành và phát triển của bộ tiêu chuẩn ISO 27799

Bộ tiêu chuẩn ISO 27799 được xuất bản lần đầu tiên vào năm 2008. Phiên bản thứ hai được cập nhật để phản ánh các phiên bản ISO/IEC 27001 và 27002 phát hành vào năm 2013 và được xuất bản vào năm 2016. Phiên bản thứ ba hiện đang được phát triển sau khi ISO/IEC 27002:2022 được phát hành.

Phạm vi và mục đích

Nội dung các yêu cầu của bộ tiêu chuẩn ISO 27799

Bộ tiêu chuẩn ISO 27799 có đưa ra hướng dẫn chi tiết cho việc quản lý và bảo vệ thông tin y tế, dựa trên khung kiểm soát của ISO/IEC 27002. Các nhóm yêu cầu chính gồm:

1. Chính sách an ninh thông tin

Tổ chức cần xây dựng, ban hành và duy trì được các chính sách an ninh thông tin cho tổ chức y tế. Chính sách cần phải đảm bảo phù hợp với luật pháp cũng như quy định và yêu cầu chuyên ngành.

2. Tổ chức quản lý an ninh thông tin

Tổ chức cần xác định rõ vai trò, trách nhiệm cũng như việc phân quyền cho các bộ phận/ cá nhân có liên quan. Từ đó tổ chức của bạn cần phải thiết lập được ban điều phối an toàn thông tin nếu cần.

3. Quản lý tài sản thông tin

Tổ chức, doanh nghiệp cần phải xác định và phân loại cũng như lập danh mục thông tin y tế ( tài liệu, hồ sơ bệnh án, dữ liệu điện tử). Tổ chức cần phải quy định trách nhiệm bảo vệ tài sản thông tin.

4. An ninh nhân sự

Tổ chức của bạn cần phải đào tạo, nâng cao nhận thức về việc bảo mật cho nhân viên y tế và kỹ thuật. Việc này rằng buộc về việc bảo mật trong hợp đồng lao động.

5. Kiểm soát truy cập 

Bộ tiêu chuẩn này có yêu cầu tổ chức phải xác định quyền truy cập dữ liệu y tế theo vai trò cũng như nhu cầu công việc. Việc sử dụng cơ chế này xác thực bảo mật thẻ, sinh trắc học vv. Ngoài ra tổ chức của bạn cần phải giám sát và ghi chép lại hoạt động truy cập.

6. Mã hóa và bảo vệ thông tin

Tổ chức của bạn cần áp dụng các kỹ thuật mã hóa để bảo vệ dữ liệu nhạy cảm khi lưu trữ hoặc truyền tải. Bên cạnh đó bạn cần phải đảm bảo tính toàn vẹn và bảo mật của hồ sơ y tế điện tử.

7. Bảo mật vật lý và môi trường 

Tổ chức của bạn cần phải kiểm soát tốt các khu vực lưu trữ hồ sơ bệnh án cũng như trung tâm dữ liệu. Tổ chức của bạn cần phải bảo vệ tốt các thiết bị cũng như cơ sở hạ tầng CNTT trong bệnh viện hay phòng khám.

8. Quản lý và vận hành hệ thống 

Tổ chức của bạn cần phải thiết lập tốt các quy trình sao lưu cũng như phục hồi dữ liệu y tế. Bên cạnh đó còn cần quản lý thay đổi cũng như lỗi, giám sát hệ thống một cách hiệu quả nhất.

9. An ninh trong truyền thông

Tổ chức của bạn cần phải đảm bảo an toàn khi trao đổi dữ liệu y tế qua mạng

10. Quản lý sự cố an ninh thông tin

Tổ chức của bạn cần phải thiết lập tốt các quy trình phát hiện và ngoài ra cần phải báo cáo và xử lý rõ ự cố rò rỉ trên hồ sơ bệnh án. Ngoài ra cần phân tích và ghi lại những thông tin để có sự phòng ngừa tái diễn.

11. Quản lý tính liên tục hoạt động

Tổ chức của bạn cần phải xây dựng được kế hoạch khắc phục thảm họa và đảm bảo hệ thống CNTT y tế có khả năng phục hồi sau sự cố.

12. Tuân thủ pháp luật và quy định

• Tuân thủ các luật liên quan đến bảo mật dữ liệu cá nhân và thông tin y tế (ví dụ: HIPAA, GDPR, luật bảo vệ dữ liệu Việt Nam).
• Đảm bảo bằng chứng kiểm toán được lưu giữ đầy đủ.

Lợi ích khi doanh nghiệp của bạn áp dụng bộ tiêu chuẩn ISO 27799:2016

Khi các tổ chức, doanh nghiệp làm trong lĩnh vực y tế đảm bảo tốt an toàn thông tin có thể mang lại được nhiều lợi ích thiết thực như sau:

1. Bảo vệ thông tin y tế nhạy cảm

Tổ chức của bạn có thể bảo vệ được thông tin nhạy cảm như hồ sơ bệnh án, dữ liệu cá nhân và lịch sử bệnh án của bệnh nhân một cách hiệu quả nhất.

2. Tuân thủ pháp luật và quy định

Với ISO 27799 tổ chức y tế có thể đáp ứng tốt các yêu càu pháp lý và quy định bảo mật dữ liệu như Luật An toàn thông tin mạng, Luật bảo vệ dữ liệu cá nhân, HIPAA, GDPR…vv Từ đó có thể tránh khỏi những rủi ro bị xử phạt và khiếu kiện gây mất huy tín.

3. Nâng cao uy tín và niềm tin

Tổ chức của bạn cần phải tạo dựng được sự tin tưởng từ phía bệnh nhân cũng như khách hàng và cả đối tác. Đồng thời khẳng định cam kết của bệnh nhân trong việc bảo mật và quản lý thông tin y tế một cách hiệu quả nhất.

4. Giảm thiểu rủi ro và thiệt hại

Việc tổ chức của bạn có thể giúp ngăn ngừa được tốt các sự cố an ninh như tấn công mạng ransomware, đánh cắp dữ liệu bệnh án. Từ đó giúp giảm chi phí xử lý các sự cố và bồi thường cũng như khắc phục tốt các hậu quả.

5. Quản lý hiệu quả thông tin và hệ thống CNTT

Tổ chức của bạn cần phải chuẩn hóa tốt các quy trình quản lý thông tin y tế trong toàn bộ tổ chức. Đồng thời đảm bảo tính toàn vẹn và sẵn sàng bảo mật dữ liệu trong tương lai. Việc hỗ trợ tích hợp tốt với các bộ tiêu chuẩn quản lý khác như tiêu chuẩn ISO 9001:2015, bộ tiêu chuẩn ISO 27001 một cách dễ dàng hơn.

6. Nâng cao năng lực nhân sự

Tổ chức của bạn có thể nâng cao được nhận thức an ninh thông tin cho nhân viên y tế, các cấp quản lý cũng như các kỹ thuật viên trong lĩnh vực y tế. Từ đó giảm nguy cơ rò rỉ thông tin từ yếu tố con người.

7. Hỗ trợ cải tiến liên tục

• Cung cấp khuôn khổ để thường xuyên đánh giá, giám sát và cải tiến hệ thống bảo mật.
• Đáp ứng sự thay đổi nhanh chóng trong công nghệ và mối đe dọa an ninh mạng.

Kết nối với chuyên gia

Dịch vụ chứng nhận ISO 27799:2016 tại SQC Certification

SQC Certification Vietnam là thành viên của SQC Certification India và sự hiện diện toàn cầu, bao gồm Việt Nam. Tại SQC Certification Vietnam, chúng tôi tự hào về việc chứng nhận các tổ chức và thúc đẩy văn hóa cải tiến liên tục thông qua các chương trình Đánh giá và Đào tạo các Hệ thống quản lý tiên tiến trong đó có chứng nhận ISO 27799:2016.

Dịch vụ của SQC Certification bao gồm:

• Đánh giá và chứng nhận Hệ thống Quản lý Chất lượng theo ISO 27799:2016
• Đánh giá sự phù hợp của hệ thống FDIS với tiêu chuẩn ISO 27799:2016.
• Cấp chứng chỉ ISO 27799:2016 có giá trị quốc tế.