Bảo mật và an toàn thông tin môn hệ thống thông tin bệnh viện các tiêu chí về bảo mật và an toàn thông tin bệnh viện

118 Cơ chế kiểm soát chống sao Ngăn chặn các thiết bị vật lý lưu trữ sao chép dữ liệu USB, ổ cứng di động -Bảo vệ dữ liệu khỏi bị sao chép trái phép là vô cùng quan trọng để đảm bảo an t

BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC DUY TÂN -

 -BẢO MẬT VÀ AN TOÀN THÔNG TIN

Môn: Hệ thống thông tin bệnh viện

Mã môn: IS 356 D

Đà Nẵng – 2025

CÁC TIÊU CHÍ VỀ BẢO MẬT VÀ AN TOÀN THÔNG TIN BỆNH VIỆN

I Các tiêu ý, ý nghĩa và ví dụ của các mức cơ bản

114 Kiểm

soát

người

dùng

truy

cập hệ

thống

Quản lý xác thực

- Ngăn truy cập trái phép

Tên đăng nhập và mật khẩu, vân tay, sinh trắc học

Cơ bản

Quản lý phiên đăng

nhập

- Phát hiện và loại

bỏ các đăng nhập khả nghi

Chúng ta có thể kiểm tra được tất cả các phiên đăng nhập của mình Từ đó phát hiện và loại bỏ các phiên đăng nhập khả nghi

Phân quyền người

dùng

- Bảo mật thông tin

ở nhiều cấp độ

- Phân bổ quyền hạn đúng người đúng việc

Bác sĩ có thể sao chép và tải dữ liệu bệnh nhân về máy tính cá nhân thông qua 2 FA (

mã OTP và vân tay) còn điều dưỡng thì không

Kiểm soát dữ liệu đầu

vào

- Giảm thiểu nguy cơ sai sót, đảm bảo độ chính xác trong chẩn đoán và điều trị

→ Tăng cường an toàn cho bệnh nhân

Hệ thống sẽ cảnh báo trong phần mềm kê đơn sẽ không cho phép bác sĩ kê 2 loại thuốc

có tương tác nguy hiểm khi nhập dữ liệu

Kiểm soát dữ liệu đầu

ra

- Giúp đảm bảo kết quả chính xác, an toàn và bảo mật khi

Trước khi trả kết quả xét nghiệm mà hệ thống phát hiện ra do lỗi máy phòng sẽ yêu cầu làm lại xét nghiệm trước khi xuất dữ liệu

thông tin được sử dụng

chính thức Điều này giúp tránh tình trạng bác sĩ đưa ra chẩn đoán sai

Kiểm soát ngoại lệ và

ghi vết ứng dụng

- Phát hiện lỗi, theo dõi và ghi vết các sự

cố trong hệ thống

-> Nhanh chóng can thiệp điều tra và khắc phục sự cố

Bác sĩ nhập mã bệnh nhân sai vào trường thông tin "Mã bệnh nhân" trong phần mềm quản lý bệnh án Thay vì để hệ thống bị

"treo" hoặc đưa ra một lỗi không rõ ràng, phần mềm có thể bắt ngoại lệ và hiển thị một thông báo rõ ràng như: "Mã bệnh nhân không hợp lệ Vui lòng kiểm tra lại mã đã nhập."

115 Kiểm

soát

người

dùng

truy

cập

CSDL

Phải thiết lập chính

sách tài khoản và

phân quyền an toàn

- Chỉ định quyền hạn

cụ thể cho từng vai trò (bác sĩ, điều dưỡng, nhân viên hành chính), giúp tránh sự chồng chéo hoặc xung đột quyền hạn

Bác sĩ có thể xem và truy cập hồ sơ bệnh nhân nhưng không thể xóa dữ liệu

Điều dưỡng chỉ có quyền xem thông tin bệnh nhân để theo dõi tình trạng sức khoẻ nhưng không thể chỉnh sửa

Cấu hình giới hạn truy

cập từ địa chỉ IP hợp

lệ và ghi vết cho hệ

quản trị CSDL

- Quản lý và kiểm soát tài khoản người dùng

- Ngăn chặn truy cập trái phép

Chỉ có nhân viên truy cập từ mạng nội bộ hoặc các phần mềm chuẩn của bệnh viện thì mới có thể xem và truy cập hộ sơ bệnh nhân

Hệ thống ghi lại mọi truy vấn truy cập, chỉnh sửa dữ liệu bệnh nhân, giúp điều tra khi có sự cố

Ghi

vết

(log)

toàn

bộ tác

động

lên hệ

thống

Hệ thống phải đảm

bảo ghi vết các chức

năng cập nhật dữ liệu

vào hệ thống và các

chức năng khai thác

dữ liệu chính

- Ghi nhận mọi hoạt động liên quan đến việc truy xuất, tra cứu, sử dụng hoặc thay đổi dữ liệu trong hệ thống  bảo mật và ngăn ngừa hành vi xâm nhập trái phép

- Khi xảy ra sự cố, có thể xác định người chịu trách nhiệm thông qua nhật ký hoạt động (log)

Nếu bác sĩ truy cập và cập nhật hồ sơ bệnh nhân hệ thống sẽ ghi lại thời gian, người thực hiện và hành động đã làm

Hệ thống có chức năng

xem lịch sử tác động

hệ thống

117

Phần

mềm

diệt

virus

Cập nhật CSDL virus

thường xuyên

- Cập nhật thông tin

về virus để kịp thời loại bỏ nó

- Tăng cường, bảo vệ

hệ thống dữ liệu khỏi các cuộc tấn từ virus, tin tặc

Khi bạn mở 1 file chưa quét virus thì phần mềm diệt virus sẽ phát hiện và thông báo

118 Cơ chế

kiểm

soát

chống

sao

Ngăn chặn các thiết bị

vật lý lưu trữ sao chép

dữ liệu (USB, ổ cứng

di động)

-Bảo vệ dữ liệu khỏi

bị sao chép trái phép

là vô cùng quan trọng để đảm bảo an toàn , bảo mật và

Nếu một nhân viên cố gắng sao chép danh sách bệnh nhân ra USB, hệ thống sẽ chặn ngay lập tức và phát cảnh báo cho quản trị viên

Mã hóa dữ liệu, xác thực 2 yếu tố ( 2FA) khi Cài đặt phần mềm

chép

dữ

liệu

chống sao chép dữ

liệu

tuân thủ các quy định pháp lí

truy cập dữ liệu, giới hạn quyền truy cập theo vai trò, giám sát và ghi nhật kí hoạt động truy cập dữ liệu, hạn chế sử dụng các thiết bị ngoài

II Tiêu chí, Ý nghĩa và Ví dụ của mức nâng cao

119

Hệ thống

tường lửa

chống xâm

nhập từ

xa

Có tường lửa chuyên dụng phân tách giữa các vùng Internet, máy chủ ứng dụng và người dùng mạng nội bộ;

ngăn chặn các xâm nhập trái phép

- Tường lửa giúp ngăn chặn truy cập trái phép, bảo vệ hệ thống trước phần mềm độc hại và giảm nguy cơ

rò rỉ thông tin

Tường lửa giúp ngăn chặn hacker

cố gắng truy cập vào hệ thống hồ

sơ bệnh nhân của bệnh viện và phát cảnh báo cho các nhân viên quản lí

Nâng cao

120

Quy định

phổ biến và

hướng dẫn

định kỳ cách

phòng ngừa

virus

Quy định rà quét kiểm tra định kỳ phát hiện

và phòng chống mã độc (malware) trên hệ thống dịch vụ

- Phòng ngừa, ngăn chặn, phát hiện, phòng chống và tiêu diệt các mã độc hay virus vào hệ thống bệnh viện

Các trường hợp máy tính cá nhân phải thông qua Phòng Công nghệ thông tin xác nhận, sử dụng MAC address và cài đặt các phần mềm theo chuẩn Bệnh viện, phần mềm antivirus để đảm bảo máy tính sạch và an toàn trước khi truy cập vào hệ thống thông tin của bệnh viện

121 Hệ thống sao

lưu,

Xây dựng phương án sao lưu, dự phòng và khôi phục phù hợp,

- Giúp đảm bảo thông tin y tế luôn sẵn có, an toàn và không bị mất

Một bệnh viện gặp sự cố mất điện đột ngột, nhưng nhờ có hệ thống sao lưu dữ liệu các bác sĩ vẫn có

phục hồi dữ

liệu

phải thực hiện sao lưu hàng ngày

mát do các sự cố như lỗi phần cứng, tấn công mạng hoặc thiên tai

thể truy xuất hồ sơ bệnh nhân từ máy chủ dự phòng để tiếp tục điều trị

122

Phương thức

mã hóa

dữ liệu/thông

tin

Các dữ liệu quan trọng, nhạy cảm có thể được

mã hóa bằng các kỹ thuật tránh lấy cắp dữ liệu

- Giúp bảo vệ thông tin bệnh nhân, dữ liệu

y tế và các giao dịch điện tử khỏi bị truy cập trái phép

Dữ liệu bệnh nhân HIV đã được

mã hoá trước khi lưu trữ, ngăn chặn các truy cập trái phép Trong trường hợp dữ liệu bệnh nhân bị hacker đánh cắp nhưng dữ liệu đã được mã hoá thì hacker không thể đọc được thông tin

Hệ thống quản lý được các bộ khóa giải mã dữ liệu

Người sử dụng giải mã được dữ liệu khi được cung cấp khóa giải

123 Phương

thức mã

hóa mật

khẩu của

người dùng

Mật khẩu của người dùng phải được mã hóa bằng các kỹ thuật salt, hash (MD5, SHA) tránh lấy cắp mật khẩu

Việc mã hóa mật khẩu giúp tăng cường bảo mật, bảo

vệ quyền riêng tư của người dùng, giảm thiểu rủi ro bị đánh cắp dữ liệu và ngăn chặn các hình thức tấn công phổ biến

Khi tạo tài khoản người dùng phải đặt mật khẩu có tính bảo mật cao chẳng hạn phải đặt số lượng kí tự nhiều, trong đó phải

có các các chữ cái in hoa, kí tự đặc biệt Khi đăng nhập, ngoài nhập mật khẩu, người dùng cần nhập một mã OTP gửi qua SMS

Đảm bảo sự bảo mật cho người dùng

Nâng cao

124 Có kịch

bản phòng

ngừa, khắc

phục sự cố

Xây dựng các bài kiểm tra, thử nghiệm mô phỏng các hình thức tấn công gây mất an toàn thông tin, từ đó đưa ra phương pháp phòng chống và khắc phục sự cố gây mất an toàn thông tin

Việc xây dựng các bài kiểm tra và thử nghiệm mô phỏng mang tính thực tế, bảo đảm tính hiệu quả, toàn diện và nâng cao tính bảo mật thông tin trong quản lý thông tin bệnh viện

Cách thực hiện: Đầu tiên sẽ thu thập thông tin nhằm kiểm tra cấu hình hệ thống để tìm lỗ hổng tiềm ẩn Sau đó quét lỗ hổng bảo mật Mô phỏng tấn công có thể thực hiện như hacker thực tế

Cuối cùng tổng hợp các lỗ hổng phát hiện được và đưa ra các giải pháp phòng chống

Phòng chống: Cập nhật bản vá bảo mật định kỳ, hạn chế quyền truy cập của người dùng và ứng dụng, kiểm tra bảo mật thường xuyên bằng công cụ tự động,…

Nâng cao

125 Có quy

trình an

toàn, an

ninh thông

tin

Xây dựng quy trình, quy định đối với người dùng và đối với quản trị khi tiếp nhận và vận hành hệ thống nhằm tăng cường tính an ninh cho hệ thống dịch vụ

Bảo vệ dữ liệu bệnh nhân và hệ thống y tế; đảm bảo hoạt động liên tục của hệ thống, tránh gián đoạn; giảm thiểu rủi

ro từ con người và lỗi kỹ thuật

Hệ thống ghi lại toàn bộ lịch sử truy cập bệnh án (ai, khi nào, từ thiết bị nào), tự động phát hiện hành vi truy cập bất thường Khi phát hiện truy cập trái phép, hệ thống gửi thông báo đến bộ phận

IT và ban giám đốc để xử lý kịp thời

Nâng cao

126 Có cơ chế

chống tấn

công, xâm

nhập từ xa

Thiết lập cơ chế chống tấn công từ chối dịch

vụ trên hệ thống

Giúp  vận hành liên tục, bảo vệ dữ liệu

và đảm bảo an toàn cho thiết bị y tế,

Sử dụng tường lửa và hệ thống phát hiện tấn công để ngăn chặn lưu lượng truy cập bất thường

Nâng cao

(DOS,

DDOS)

tránh bị gián đoạn hoặc mất kiểm soát

hệ thống do tấn công mạng

127 Có cơ chế

cảnh báo và

chống tấn

công có

chủ đích

đối với các

hệ thống

cung cấp

dịch vụ qua

Internet

Đảm bảo hoạt động liên tục của hệ thống; Giảm thiểu rủi ro tấn công mạng; Bảo vệ dữ liệu bệnh nhân; Tăng cường sự tin cậy của bệnh viện; Giảm thiểu tổn thất tài chính và pháp lý;

Nâng cao nhận thức

về an toàn thông tin

Hệ thống SIEM phát hiện lượt truy cập tăng đột biến của 1 IP không xác định, hệ thống sẽ tự động chặn IP đó và gửi cảnh báo đến bộ phận IT

Nâng cao

128 Tích hợp

chữ ký số

Xác thực danh tính, chống giả mạo; Tăng tính pháp lý cho tài liệu điện tử; Bảo mật

dữ liệu y tế, chống chỉnh sửa; Tăng tốc

độ xử lý và giảm giấy tờ; Hỗ trợ khám chữa bệnh từ xa

Bác sĩ tạo đơn thuốc trên hệ thống Hệ thống kiểm tra chữ ký

số, đảm bảo đơn thuốc hợp lệ

Bệnh nhân hoặc nhà thuốc có thể quét mã QR để xác minh đơn thuốc thật hay giả

Nâng cao

III Mức độ hỗ trợ, công tác và các hoạt động theo từng mức của bệnh viện

Ở mức độ cơ bản, hệ thống bảo mật và an toàn thông tin góp phần hỗ trợ các dịch vụ y tế như sau:

- Bảo vệ dữ liệu và kiểm soát truy cập: ngăn chặn truy cập trái phép bằng cơ chế đăng nhập tài khoản và phân quyền truy cập, đảm bảo chỉ những người có thẩm quyền mới có thể tiếp cận dữ liệu bệnh nhân Ghi vết (log) giúp truy xuất nhanh sự cố, hỗ trợ điều tra và xử lý lỗi kịp thời Ngăn chặn thất thoát thông tin quan trọng qua biện pháp bảo vệ như diệt virus và chống sao chép dữ liệu

- Kiểm soát dữ liệu đầu vào, bác sĩ tránh được sai sót khi kê đơn, đặc biệt với các tổ hợp thuốc có thể gây ADR nặng nề hoặc gây dị ứng Đồng thời, kiểm soát dữ liệu đầu ra giúp các khoa cận lâm sàng phát hiện sai lệch trước khi gửi kết quả cho bác sĩ, đảm bảo chẩn đoán chính xác

Ở mức độ nâng cao, hệ thống bảo mật và an toàn thông tin góp phần hỗ trợ các dịch vụ y tế như sau:

- Tăng cường an ninh mạng của bệnh viện và bảo vệ dữ liệu: Tường lửa ngăn chặn truy cập trái phép, bảo vệ hệ thống khỏi phần mềm độc hại và giảm nguy cơ rò rỉ thông tin do hacker gây nên Do đó phương thức mã hóa dữ liệu/thông tin đã hỗ trợ khiến thông tin bị đánh cắp cũng khó mà đọc được

- Nâng cao khả năng chống virus và mã độc: Định kỳ rà quét, kiểm tra và phòng chống mã độc, virus, giúp hệ thống mạng bệnh viện an toàn hơn

- Đảm bảo dữ liệu luôn an toàn và sẵn có: thông qua hệ thống sao lưu và phục hồi dữ liệu nếu có lỗi phần cứng, tấn công mạng hoặc thiên tai

- Đảm bảo mật khẩu cá nhân đủ mạnh: thông qua hệ thống quy định mật khẩu bao gồm chữ số, chữ cái và ký tự đặc biệt

- Giả định tình huống tấn công mạng để tìm ra lỗ hổng và các giải pháp can thiệp: luôn cập nhật nâng cấp bảo mật và sẵn sàng trong các tình huống tấn công mạng

- Giám sát và phát hiện truy cập bất thường: Hệ thống ghi lại lịch sử truy cập bệnh án, phát hiện truy cập trái phép và gửi cảnh báo đến nhân sự IT, ban giám đốc Đã có hệ thống SIEM phát hiện IP có truy cập tăng đột biến, tự động chặn và cảnh báo cho nhân sự IT

- Đảm bảo tính xác thực của văn bản điện tử và trong khám bệnh từ xa: thông qua chữ ký số hoặc mã QR

IV Khi 1 bệnh viện thực hiện áp dụng công nghệ thông tin ở mức cao hơn thì có những công tác hỗ trợ như thế nào?

-Đội ngũ bảo mật chuyên gia và phần mềm bảo mật để bảo vệ cơ sở hạ tầng công nghệ thông tin.

-Đào tạo nhân viên nhận diện và phòng ngừa virus

-Hệ thống sao lưu dữ liệu mạnh mẽ và khả năng phục hồi nhanh

-Mã hóa dữ liệu và mật khẩu với phương thức xác thực mạnh mẽ

-Tích hợp chữ ký số từ cơ quan chính phủ

So sánh giữa bệnh viện áp dụng mức nâng cao và mức cơ bản, chỉ ra sự khác biệt, thuận lợi, khó khăn của bệnh viện áp dụng mức nâng cao

Khác biệt:

- Mức cơ bản: Bảo mật và an toàn thông tin chủ yếu tập trung vào việc kiểm soát quyền truy cập và ngăn ngừa các mối đe dọa cơ bản

- Mức nâng cao: Bệnh viện không chỉ tập trung vào bảo mật cơ bản mà còn áp dụng các biện pháp phòng ngừa tấn công mạng tiên tiến hơn, bảo vệ hệ thống khỏi các tấn công có chủ đích và các sự cố nghiêm trọng Việc tích hợp chữ ký số và quy trình an ninh thông tin là yếu tố quan trọng giúp bảo vệ hệ thống bệnh viện khỏi các mối đe dọa

Thuận lợi khi áp dụng công nghệ thông tin ở mức nâng cao:

-Bảo mật tối ưu, đảm bảo tính hợp pháp, giảm thiếu rủi ro mất dữ liệu, chống tấn công và xâm nhập hiệu quả, tự động hóa và phản ứng nhanh khi có sự cố

Khó khăn khi áp dụng công nghệ thông tin ở mức nâng cao:

-Chi phí đầu tư cao, yêu cầu nguồn nhân lực chuyên môn, quản lý phức tạp

So sánh 2 mức, chỉ ra điểm bổ sung ở mức nâng cao.

- Hệ thống tường lửa và cơ chế chống tấn công, xâm nhập từ xa (DOS, DDOS)

+ Mức cơ bản: Không có hệ thống tường lửa chuyên dụng hoặc cơ chế bảo vệ tấn công từ xa

+ Mức nâng cao: Bổ sung triển khai tường lửa và các hệ thống chống tấn công (DOS, DDOS) để bảo vệ các hệ thống khỏi các cuộc tấn công từ xa

- Quy định phổ biến và hướng dẫn định kỳ cách phòng ngừa virus

+ Mức cơ bản: Cung cấp các hướng dẫn cơ bản về phòng ngừa virus và tấn công mạng

+ Mức nâng cao: Bổ sung các chương trình đào tạo và nâng cao nhận thức bảo mật cho nhân viên, bao gồm cả cách phòng ngừa các loại virus, mã độc, và các cuộc tấn công

- Hệ thống sao lưu, phục hồi dữ liệu

+ Mức cơ bản: Hệ thống sao lưu dữ liệu cơ bản, có thể được lưu trữ tại chỗ hoặc trên các thiết bị ngoại vi + Mức nâng cao: Điểm bổ sung là hệ thống sao lưu nâng cao, có khả năng sao lưu tự động và phục hồi nhanh chóng Dữ liệu sao lưu có thể được lưu trữ trên nền tảng đám mây hoặc các trung tâm dữ liệu bảo mật

- Phương thức mã hóa dữ liệu/thông tin, mật khẩu của người dùng

+ Mức cơ bản: Mã hóa dữ liệu cơ bản, chủ yếu là mật khẩu người dùng

+ Mức nâng cao: Mã hóa dữ liệu mạnh mẽ, bao gồm cả dữ liệu nhạy cảm (chẳng hạn như thông tin y tế của bệnh nhân) và sử dụng các phương thức mã hóa tiên tiến cho cả việc truyền tải và lưu trữ dữ liệu ví dụ như mã hóa AES, xác thực đa yếu tố MFA

- Có kịch bản phòng ngừa, khắc phục sự cố

+ Mức cơ bản: Các quy trình phòng ngừa và khắc phục sự cố đơn giản, không có kế hoạch chi tiết

+ Mức nâng cao: Các kịch bản phòng ngừa và khắc phục sự cố được bổ sung chi tiết, bao gồm các biện pháp ứng phó trong trường hợp bị tấn công mạng, mất mát dữ liệu, hoặc các sự cố hệ thống nghiêm trọng

- Có quy trình an toàn, an ninh thông tin

+ Mức cơ bản: Các quy trình bảo mật cơ bản cho việc quản lý dữ liệu và hệ thống

+ Mức nâng cao: Các quy trình bảo mật chuyên sâu, bao gồm việc cập nhật chính sách bảo mật thường xuyên

và kiểm tra định kỳ các lỗ hổng bảo mật

- Có cơ chế cảnh báo và chống tấn công có chủ đích đối với các hệ thống cung cấp dịch vụ qua Internet

+ Mức cơ bản: Không có hệ thống cảnh báo tự động đối với các cuộc tấn công có chủ đích

+ Mức nâng cao: Bổ sung cơ chế cảnh báo và giám sát tự động để phát hiện và ngăn chặn các cuộc tấn công có chủ đích, đặc biệt là đối với các hệ thống cung cấp dịch vụ qua Internet

- Tích hợp chữ ký số

+ Mức cơ bản: Không có tích hợp chữ ký số

+ Mức nâng cao: Tích hợp chữ ký số từ Ban Cơ yếu Chính phủ và các chữ ký EMR để đảm bảo tính hợp pháp của các văn bản và giao dịch điện tử