Qui trình quản lý an toàn thông tin trong y tế điện tử
Diễn đàn - Ngày đăng : 16:34, 13/11/2017
Ảnh minh họa
“Các cuộc tấn công mạng gần đây chỉ ra rằng ngành công nghiệp chăm sóc sức khỏe đặc biệt dễ bị tấn công và điều này có thể làm gián đoạn công việc chăm sóc bệnh nhân và hoạt động của bệnh viện. Do vậy, nhóm các nhà nghiên cứu ở Boston (Mỹ) đang kêu gọi ngành công nghiệp này cần xem các cuộc tấn công mạng là mối đe dọa với sức khỏe cộng đồng”.
Một qui trình quản lý toàn diện vấn đề an toàn an ninh thông tin trong y tế bao gồm các bước:
Bước 1: Thiết lập một nền văn hóa phù hợp, chọn một đội ngũ an ninh thông tin, và xây dựng một cơ sở tri thức. Bao gồm chỉ định một nhân viên an ninh thông tin, sử dụng các chuyên gia có trình độ để hỗ trợ phân tích rủi ro, và xây dựng một nền văn hóa bảo vệ quyền riêng tư và bảo mật thông tin nhận diện cá nhân PII trên toàn tổ chức.
“Có một vài biện pháp an ninh khác nhau nhưng đầu tiên và quan trọng nhất chỉ đơn giản là duy trì doanh nghiệp của họ ở trạng thái sẵn sàng cao. Sau đó là các giải pháp và dịch vụ giám sát nhằm hỗ trợ phát hiện các cuộc tấn công. Và cuối cùng, dùng công nghệ ngăn chặn các phương pháp bòn rút dữ liệu ví dụ như một giải pháp phòng chống mất mát dữ liệu". (Mac McMillan, chuyên gia bảo mật dữ liệu và cũng là giám đốc điều hành của công ty tư vấn Austin - Texas CynergisTek) |
Bước 2: Đưa ra tài liệu về hành động, phát hiện và xử lý. Những hồ sơ này hướng dẫn chi tiết các thao tác để nhân viên trong tổ chức y tế có thểthực hiện các biện pháp đảm bảo ninh an toàn.
Bước 3: Thực hiện phân tích rủi ro an ninh. Phân tích rủi ro đánh giá các mối đe dọa và các lỗ hổng tiềm năng đối với tính bảo mật, toàn vẹn và sẵn sàng của PII điện tử. Nhìn chung, phân tích rủi ro sẽ liên quan đến việc xác định nơi lưu trữ PII điện tử và cách tạo ra, nhận, duy trì, và truyền đi (tạo ra một "bản đồ dữ liệu"); xác định các mối đe dọa tiềm ẩn và các lỗ hổng đối với dữ liệu; và đánh giá rủi ro và mức độ liên quan của chúng - cách các mối đe dọa khai thác lỗ hổng và ảnh hưởng đến tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu. Các kết quả sẽ được thông báo trong chiến lược quản lý rủi ro của tổ chức.
Bước 4: Xây dựng kế hoạch hành động liên quan đến việc giảm thiểu những rủi ro tiềm ẩn được xác định bởi các phân tích rủi ro an ninh, tập trung vào các mối đe dọa và các lỗ hổng ưu tiên cao. Kế hoạch hành động nên tính đến đặc điểm của tổ chức và môi trường - và có tính khả thi và giá cả hợp lý. Kế hoạch hành động nên bao gồm hành chính, hạ tầng vật lý, và các biện pháp kỹ thuật; tiêu chuẩn của tổ chức; và các thủ tục và chính sách.
Bước 5: Quản lý và giảm thiểu rủi ro liên quan đến việc thực hiện kế hoạch hành động, giáo dục và đào tạo lực lượng lao động, giao tiếp với bệnh nhân, và cập nhật các hợp đồng của những nhà cung cấp.
Bước 6: Giám sát, kiểm toán, và cập nhật bảo mật liên tục. Bao gồm cả việc giám sát an toàn và hiệu quả cơ sở hạ tầng an ninh và đánh giá những thay đổi cần thiết, và lưu giữ cấu hình, trạng thái của hệ thống nhằm sẵn sàng đáp ứng cho việc khôi phục lại hoạt động của tổ chức y tế điện tử sau khi xảy ra sự cố.
Sự an toàn của thông tin nhận dạng cá nhân (PII) minh chứng cho chất lượng chăm sóc sức khỏe. Các mối quan tâm của bệnh nhân có thể ảnh hưởng đến việc tiết lộ thông tin y tế quan trọng. Vi phạm PII có thể dẫn đến việc mất nhận dạng y tế, xáo trộn hồ sơ y tế, và thiệt hại vật chất cho bệnh nhân. Mặc dù các hồ sơ chăm sóc sức khỏe điện tử cung cấp nhiều lợi ích cho việc chăm sóc bệnh nhân, nhưng cũng mở ra những con đường mới và phức tạp cho các hành vi vi phạm an ninh. Tin tặc nhận ra giá trị và cả khối lượng ngày càng tăng của dữ liệu sức khỏe. Chúng sẽ khai thác lỗ hổng để có được dữ liệu này, bất kể qui mô hay giá trị của hồ sơ của bất kỳ tổ chức chăm sóc sức khỏe nào.
Một chương trình quản lý bảo mật mạnh sẽ hướng dẫn các tổ chức chăm sóc sức khỏe xác định lỗ hổng bảo mật riêng của họ và môi trường đe dọa và thực hiện một chiến lược giảm thiểu để hạn chế bớt những tác hại cho cả bệnh nhân lẫn tổ chức.
Do nhận thức của bệnh nhân có thể ảnh hưởng đến việc tiết lộ thông tin và điều này liên quan đến chất lượng chăm sóc, vì thế các tổ chức nên chủ động trao đổi với bệnh nhân về an ninh mạng. Trong quá trình truyền thông cần nhấn mạnh việc tổ chức đặt ưu tiên về an ninh và bảo mật của PII, bao gồm cả thông tin y tế. Đồng thời, cách thức truyền thông cần phù hợp với văn hóa và cũng cần tính đến nhu cầu cụ thể của bệnh nhân.
Quan trọng nhất, tổ chức nên xây dựng tài liệu truyền thông và tiếp tục nỗ lực để đạt được và duy trì một nền văn hóa của các cam kết đối với sự riêng tư và bảo mật dữ liệu bệnh nhân. Bằng cách đạt được sự tuân thủ, các tổ chức y tế có thể bảo vệ bản thân và bệnh nhân của mình đồng thời cải thiện chất lượng chăm sóc sức khỏe cho các cá nhân và cộng đồng.