Trong kỷ nguyên số, dữ liệu sức khỏe của người dân là tài sản quốc gia cần được bảo vệ nghiêm ngặt. Việc phân loại và triển khai bảo đảm an toàn hệ thống thông tin theo cấp độ (từ 1 đến 5) không chỉ là yêu cầu pháp lý theo Nghị định 85/2016/NĐ-CP mà còn là "lá chắn" giúp các cơ sở y tế phòng chống các cuộc tấn công mạng và rò rỉ dữ liệu.
1. Tại sao phải phân loại cấp độ an toàn thông tin?
Việc phân loại cấp độ giúp các đơn vị y tế:
Xác định trọng điểm đầu tư: Tập trung nguồn lực bảo vệ cho các hệ thống quan trọng nhất (như HIS, EMR).
Chuẩn hóa quy trình: Áp dụng đúng các tiêu chuẩn kỹ thuật và quản lý tương ứng với từng mức độ rủi ro.
Tuân thủ pháp luật: Là điều kiện bắt buộc để các hệ thống y tế được phép kết nối liên thông quốc gia.
2. Chi tiết 5 cấp độ bảo đảm an toàn hệ thống thông tin
Cấp độ 1: Hệ thống thông tin phục vụ hoạt động nội bộ
Áp dụng cho các hệ thống mà nếu bị ngừng hoạt động hoặc sai lệch dữ liệu cũng không gây ảnh hưởng đến lợi ích công cộng hay trật tự an toàn xã hội.
Ví dụ: Website tin tức hành chính, hệ thống quản lý văn thư nội bộ đơn giản.
Cấp độ 2: Hệ thống thông tin phục vụ người dân hoặc nghiệp vụ bệnh viện quy mô nhỏ
Áp dụng cho các hệ thống có tác động trực tiếp đến người dùng nhưng phạm vi ảnh hưởng hẹp.
Ví dụ: Hệ thống quản lý phòng khám quy mô nhỏ, các trang dịch vụ công mức độ thấp.
Cấp độ 3: Hệ thống thông tin quan trọng (Tiêu chuẩn cho Bệnh viện hạng I)
Đây là cấp độ phổ biến nhất mà các bệnh viện lớn tại Việt Nam cần đạt được. Hệ thống khi bị sự cố sẽ gây ảnh hưởng nghiêm trọng đến hoạt động quản lý, khám chữa bệnh hoặc ảnh hưởng đến lợi ích công cộng.
Ví dụ: Hệ thống HIS, EMR của bệnh viện tuyến tỉnh/thành phố; trục liên thông dữ liệu y tế địa phương.
Cấp độ 4: Hệ thống thông tin quan trọng quốc gia
Áp dụng cho các hệ thống quy mô lớn, phục vụ đa ngành, đa tỉnh thành. Nếu bị sự cố sẽ gây hậu quả đặc biệt nghiêm trọng.
Ví dụ: Cơ sở dữ liệu quốc gia về Bảo hiểm xã hội, Cổng dịch vụ công quốc gia, Trung tâm dữ liệu y tế quốc gia.
Cấp độ 5: Hệ thống thông tin đặc biệt quan trọng
Hệ thống phục vụ quốc phòng, an ninh hoặc các hạ tầng cốt lõi mà sự cố có thể gây tổn hại trực tiếp đến chủ quyền quốc gia.
3. Quy trình thực thi dành cho Phòng Công nghệ thông tin
Để đảm bảo hệ thống y tế tuân thủ đúng cấp độ, bộ phận IT cần thực hiện 3 bước then chốt:
Xây dựng Hồ sơ đề xuất cấp độ: Mô tả phạm vi, quy mô, tính chất dữ liệu và tự đánh giá cấp độ an toàn phù hợp.
Triển khai phương án bảo vệ: Thiết lập các giải pháp kỹ thuật (Firewall, IPS, mã hóa dữ liệu, xác thực đa lớp) và quy trình quản lý (kiểm soát ra vào phòng máy chủ, quy trình sao lưu) tương ứng với cấp độ đã xác định.
Thẩm định và Phê duyệt: Gửi hồ sơ lên cơ quan có thẩm quyền (như Sở Thông tin và Truyền thông hoặc Bộ Thông tin và Truyền thông) để thẩm định và ra quyết định công nhận.
4. Lợi ích khi hệ thống đạt chuẩn cấp độ an toàn
Chống lại Ransomware: Giảm thiểu nguy cơ bị mã hóa dữ liệu bệnh án đòi tiền chuộc.
Tạo niềm tin cho người bệnh: Người dân yên tâm khi biết thông tin cá nhân và bệnh lý được bảo vệ theo tiêu chuẩn quốc gia.
Đủ điều kiện liên thông: Là "giấy thông hành" để bệnh viện kết nối vào Trục dữ liệu bệnh án điện tử dùng chung và ứng dụng VNeID.