Thông điệp dành cho bệnh viện và phòng khám Lập Hồ sơ đề xuất cấp độ an toàn hệ thống thông tin không chỉ là yêu cầu tuân thủ. Đây là bước giúp bệnh viện nhìn rõ rủi ro, bảo vệ dữ liệu bệnh nhân, giảm nguy cơ gián đoạn khám chữa bệnh và có căn cứ đầu tư an toàn thông tin đúng trọng tâm.

Trong bệnh viện và phòng khám, các hệ thống HIS, LIS, PACS, EMR, website, mail server, camera, Wi-Fi và hạ tầng mạng nội bộ đang trực tiếp phục vụ khám chữa bệnh hằng ngày. dữ liệu y tế không chỉ là thông tin lưu trữ mà còn liên quan trực tiếp đến hoạt động khám chữa bệnh, uy tín tổ chức và trách nhiệm pháp lý. Nếu hệ thống thông tin chưa được phân loại, đánh giá và lập Hồ sơ đề xuất cấp độ đầy đủ, bệnh viện có thể bị động khi kiểm tra, thẩm định, đầu tư an toàn thông tin hoặc xử lý sự cố lộ lọt dữ liệu bệnh nhân.

Không gián đoạn khám chữa bệnh

Sự cố với HIS, LIS, PACS hoặc mạng nội bộ có thể làm chậm tiếp nhận, xét nghiệm, chẩn đoán hình ảnh và trả kết quả.

Sẵn sàng kiểm tra, thẩm định

Hồ sơ cấp độ là căn cứ để trình duyệt, giải trình và làm việc với đơn vị thẩm định hoặc cơ quan quản lý.

Bảo vệ dữ liệu bệnh nhân

Hồ sơ bệnh án, kết quả xét nghiệm, hình ảnh chẩn đoán và dữ liệu cá nhân cần được bảo vệ chặt chẽ.

Đầu tư đúng trọng tâm

Bệnh viện có cơ sở xác định hệ thống cần ưu tiên, giải pháp cần triển khai trước và ngân sách phù hợp.

Hồ sơ đề xuất cấp độ an toàn hệ thống thông tin là bộ hồ sơ giúp bệnh viện xác định cấp độ an toàn của từng hệ thống, đánh giá mức độ ảnh hưởng khi xảy ra sự cố và xây dựng phương án bảo vệ phù hợp.

HSĐXCĐ giúp bệnh viện và phòng khám trả lời 4 câu hỏi chính 1) Bệnh viện đang có những hệ thống thông tin nào? 2) Hệ thống nào quan trọng nhất đối với vận hành và dữ liệu bệnh nhân? 3) Hệ thống đó cần được đề xuất cấp độ an toàn thông tin nào? 4) Cần triển khai biện pháp quản lý, kỹ thuật và vận hành nào để bảo vệ hệ thống?

Nội dung lập HSĐXCĐ cần bám theo các quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ và bảo vệ dữ liệu cá nhân. Các căn cứ thường được sử dụng gồm:

An toàn hệ thống thông tin • Nghị định 85/2016/NĐ-CP • Thông tư 12/2022/TT-BTTTT • TCVN 11930:2017 Căn cứ xác định cấp độ, yêu cầu quản lý, kỹ thuật và phương án bảo vệ hệ thống thông tin.	An ninh mạng & ATTT • Luật An toàn thông tin mạng 2015 • Luật An ninh mạng 2018 Cơ sở để kiểm soát truy cập, phòng ngừa tấn công và bảo vệ hệ thống trên môi trường mạng.
Bảo mật dữ liệu người bệnh • Luật Khám bệnh, chữa bệnh 2023 • Thông tư 46/2018/TT-BYT Liên quan đến bảo mật hồ sơ bệnh án điện tử, dữ liệu y tế và thông tin người bệnh.	Bảo vệ dữ liệu cá nhân • Nghị định 13/2023/NĐ-CP • Luật An toàn thông tin mạng 2015 Căn cứ kiểm soát việc thu thập, xử lý, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân.

Lưu ý: khi triển khai thực tế, phạm vi hồ sơ và yêu cầu chi tiết cần được rà soát theo hệ thống cụ thể của từng bệnh viện/phòng khám.

Bước	Nội dung	VACIF thực hiện	Kết quả cho bệnh viện
1	Chuẩn bị & khảo sát	Xác định phạm vi hệ thống, đơn vị chủ quản, đơn vị vận hành, dữ liệu xử lý và hiện trạng hạ tầng.	Báo cáo hiện trạng, danh mục hệ thống, rủi ro và khoảng cách cần khắc phục.
2	Xác định cấp độ	Đánh giá chức năng, phạm vi người dùng, loại dữ liệu và mức độ ảnh hưởng nếu hệ thống bị xâm phạm hoặc gián đoạn.	Cấp độ dự kiến kèm giải trình căn cứ.
3	Lập hồ sơ & phương án bảo vệ	Soạn thảo thuyết minh, tài liệu thiết kế, quy chế ATTT và phương án bảo đảm an toàn thông tin.	Bộ HSĐXCĐ hoàn chỉnh, phù hợp hiện trạng bệnh viện.
4	Hỗ trợ thẩm định & phê duyệt	Rà soát hồ sơ, tiếp nhận góp ý, điều chỉnh và hỗ trợ giải trình với các bên liên quan.	Hồ sơ sẵn sàng trình duyệt, thẩm định và phê duyệt.
5	Duy trì tuân thủ	Theo dõi sau phê duyệt, đánh giá định kỳ, cập nhật khi hệ thống mở rộng hoặc thay đổi.	Kế hoạch duy trì, đánh giá và đầu tư/thuê ngoài phù hợp.

Hạng mục bàn giao	Giá trị thực tế
Tài liệu thiết kế hệ thống thông tin	Mô tả kiến trúc, thành phần, kết nối, phạm vi và các điểm cần kiểm soát.
Tài liệu thuyết minh HSĐXCĐ	Trình bày căn cứ xác định cấp độ, mức độ ảnh hưởng và phương án bảo vệ.
Quy chế bảo đảm an toàn thông tin	Làm rõ vai trò, trách nhiệm, kiểm soát truy cập, xử lý sự cố và vận hành an toàn.
Báo cáo khảo sát và đánh giá khoảng cách	Cho thấy hiện trạng, rủi ro, điểm thiếu và danh mục ưu tiên khắc phục.
Hồ sơ phục vụ thẩm định, phê duyệt.	Giúp bệnh viện có cơ sở làm việc với đơn vị thẩm định và cơ quan quản lý.

Chủ động tuân thủ Có hồ sơ, căn cứ và phương án bảo vệ để đáp ứng yêu cầu quản lý về an toàn hệ thống thông tin theo cấp độ.	Giảm rủi ro vận hành Đánh giá hiện trạng và phương án bảo vệ giúp hạn chế sự cố gây ảnh hưởng đến hoạt động khám chữa bệnh.
Bảo vệ uy tín bệnh viện Giảm nguy cơ lộ lọt dữ liệu bệnh nhân, tấn công mạng hoặc truy cập trái phép vào hệ thống quan trọng.	Ra quyết định đầu tư tốt hơn Tránh đầu tư rời rạc; ưu tiên ngân sách theo rủi ro, mức độ ảnh hưởng và cấp độ hệ thống.

• Am hiểu đặc thù bệnh viện: HIS, LIS, PACS, EMR, camera, Wi-Fi công cộng, website, mail server và hạ tầng mạng nội bộ.

• Kết hợp tư vấn tuân thủ với năng lực triển khai kỹ thuật thực tế, giúp hồ sơ không chỉ đúng cấu trúc mà còn phù hợp hiện trạng vận hành.

• Đồng hành từ khảo sát, xác định cấp độ, lập hồ sơ, hỗ trợ thẩm định đến duy trì tuân thủ sau phê duyệt.

• Đề xuất lộ trình đầu tư phù hợp, tránh mua sắm trùng lặp hoặc vượt quá nhu cầu thực tế.

• Hỗ trợ lâu dài sau khi hoàn thành HSĐXCĐ, giúp bệnh viện không chỉ có hồ sơ để thẩm định mà còn duy trì tuân thủ và an toàn trong suốt quá trình vận hành.

Đề xuất bước tiếp theo Bệnh viện/phòng khám có thể bắt đầu bằng một buổi tư vấn sơ bộ để xác định phạm vi hệ thống, danh mục dữ liệu quan trọng, cấp độ dự kiến và lộ trình lập hồ sơ. Liên hệ VACIF để được tư vấn lập Hồ sơ đề xuất cấp độ an toàn hệ thống thông tin cho bệnh viện. Website: vacif.com | Hotline: 028.7303.5399.