BỘ Y TẾ CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc Số: 53/2014/TT-BYT Hà Nội, ngày 29 tháng 12 năm 2014 THÔNG TƯ QUY ĐỊNH ĐIỀU KIỆN HOẠT ĐỘNG Y TẾ TRÊN MÔI TRƯỜNG MẠNG Căn Luật công nghệ thông tin ngày 29 tháng năm 2006; Căn Nghị định số 63/2012/NĐ-CP ngày 31 tháng năm 2012 Chính phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Bộ Y tế; Theo đề nghị Cục trưởng Cục Công nghệ thông tin; Bộ trưởng Bộ Y tế ban hành Thông tư quy định điều kiện hoạt động y tế môi trường mạng Điều Phạm vi điều chỉnh đối tượng áp dụng Thông tư quy định điều kiện hoạt động y tế môi trường mạng hạ tầng kỹ thuật công nghệ thông tin, bảo đảm an tồn, an ninh thơng tin, nhân lực ứng dụng công nghệ thông tin Thông tư áp dụng với quan, tổ chức, cá nhân tham gia xây dựng triển khai hoạt động y tế môi trường mạng lãnh thổ Việt Nam (sau gọi chung quan) Điều Giải thích từ ngữ Trong Thơng tư này, từ ngữ hiểu sau: Hoạt động y tế hoạt động bảo vệ, chăm sóc nâng cao sức khỏe nhân dân lĩnh vực: y tế dự phòng; khám bệnh, chữa bệnh, phục hồi chức năng; giám định y khoa, pháp y, pháp y tâm thần; y dược cổ truyền; sức khỏe sinh sản; trang thiết bị y tế; dược; mỹ phẩm; an toàn thực phẩm; bảo hiểm y tế; dân số - kế hoạch hóa gia đình Hoạt động y tế môi trường mạng việc thông tin y tế cung cấp, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thông qua sở hạ tầng thông tin Tiêu chuẩn HL7 (Health Level 7) tiêu chuẩn quốc tế cung cấp giao thức chuẩn quản lý, trao đổi tích hợp liệu y tế hệ thống thông tin y tế nhằm hỗ trợ hoạt động y tế 4 Tiêu chuẩn HL7 CDA (Health Level Clinical Document Architecture) tài liệu tiêu chuẩn quy định cấu trúc ngữ nghĩa liệu lâm sàng phục vụ mục tiêu trao đổi liệu bên liên quan Tiêu chuẩn hình ảnh số truyền tải y tế (DICOM - Digital Imaging and Communications in Medicine) tiêu chuẩn quốc tế xác định giao thức trao đổi, lưu trữ, xử lý, thu nhận, in ấn chia sẻ liệu hình ảnh số thiết bị y tế hệ thống thông tin y tế Tiêu chuẩn ISO/IEEE 11073 tiêu chuẩn kết hợp tiêu chuẩn quốc tế: ISO (Tổ chức quốc tế tiêu chuẩn hóa - International Organization for Standardization), IEEE (Viện kỹ sư điện điện tử - Institute of Electrical and Electronics Engineers) CEN (Ủy ban tiêu chuẩn Châu Âu - European Committee for Standardization) nhằm xác định giao thức kết nối, liên thông trao đổi liệu ứng dụng thiết bị y tế Tiêu chuẩn SDMX tiêu chuẩn quốc tế ISO/TS 17369:2005 hỗ trợ trao đổi chia sẻ liệu, siêu liệu thống kê đơn vị, tổ chức Tiêu chuẩn SDMX-HD tiêu chuẩn Tổ chức Y tế giới xây dựng dựa tiêu chuẩn SDMX hỗ trợ sở y tế trao đổi chia sẻ số, siêu liệu thống kê lĩnh vực y tế Điều Điều kiện hạ tầng kỹ thuật công nghệ thông tin Đối với hoạt động có sử dụng máy chủ phần mềm hệ thống: a) Bảo đảm hạ tầng máy chủ thiết bị kèm có đủ công suất, hiệu năng, tốc độ xử lý truy xuất liệu, đáp ứng yêu cầu triển khai hoạt động y tế môi trường mạng; b) Bảo đảm hệ thống máy chủ có tính sẵn sàng cao, chế dự phòng linh hoạt để hoạt động liên tục; c) Bảo đảm hệ điều hành phần mềm hệ thống cài đặt máy chủ có quyền xuất xứ, nguồn gốc rõ ràng Hệ thống mạng: a) Hệ thống mạng (mạng viễn thông, mạng internet, mạng diện rộng, mạng nội bộ, kết nối khác) thiết kế, triển khai phù hợp, có băng thơng đáp ứng mục đích sử dụng; trường hợp sử dụng mạng viễn thông phải thực đầy đủ quyền nghĩa vụ quy định Điều 16 Luật viễn thông b) Trang thiết bị mạng, phần mềm phân tích, quản lý giám sát mạng phải có quyền xuất xứ, nguồn gốc rõ ràng; c) Có phương án dự phòng đầy đủ bảo đảm hoạt động hệ thống mạng Cơ sở liệu: a) Cơ sở liệu sử dụng cho hoạt động y tế môi trường mạng phải ổn định; xử lý, lưu trữ khối lượng liệu theo yêu cầu nghiệp vụ; b) Hệ quản trị sở liệu có nguồn gốc, xuất xứ rõ ràng sử dụng hệ quản trị sở liệu mã nguồn mở dùng rộng rãi nước quốc tế Máy trạm: Có đủ máy trạm, cấu hình phù hợp cho hoạt động y tế môi trường mạng Điều Điều kiện bảo đảm an tồn, an ninh thơng tin Có sách an tồn, bảo mật thơng tin phù hợp với quy định an tồn, bảo mật hệ thống cơng nghệ thông tin Nhà nước quy chế an tồn bảo mật thơng tin quan An tồn, an ninh hệ thống mạng: a) Bảo đảm có biện pháp kỹ thuật cho phép kiểm soát truy cập hệ thống mạng; b) Có biện pháp phát phòng chống xâm nhập, phòng chống phát tán mã độc hại cho hệ thống; c) Có sách cập nhật định kỳ vá lỗi hệ thống, cập nhật cấu hình cho thiết bị; d) Có biện pháp bảo đảm an tồn thơng tin cho máy trạm kết nối với môi trường mạng; đ) Bảo đảm an toàn, an ninh mặt vật lý vị trí đặt hệ thống máy chủ; e) Các trang thiết bị mạng, an ninh, bảo mật, phần mềm chống vi rút, cơng cụ phân tích, quản trị mạng cài đặt mạng quan phải có nguồn gốc, xuất xứ rõ ràng An tồn, bảo mật thơng tin phần mềm ứng dụng: a) Có quy định ghi lại lỗi trình xử lý lỗi, đặc biệt lỗi an toàn, bảo mật kiểm tra thử nghiệm phần mềm ứng dụng; b) Các phiên phần mềm bao gồm chương trình nguồn cần quản lý tập trung, lưu trữ, bảo mật có chế phân quyền cho thành viên việc thao tác với tập tin; c) Có kế hoạch định kỳ kiểm tra mã nguồn, nhằm loại trừ đoạn mã độc hại, lỗ hổng bảo mật; d) Đơn vị cung cấp phần mềm ứng dụng phải cam kết khơng có đoạn mã độc hại sản phẩm An tồn liệu: a) Bảo đảm có chế bảo vệ phân quyền truy cập tài nguyên sở liệu; b) Ghi nhật ký truy cập sở liệu, thao tác cấu hình sở liệu; c) Có phương án lưu liệu, bảo đảm khôi phục liệu trường hợp cần thiết; d) Bảo đảm có thuật tốn mã hóa phù hợp yêu cầu bảo đảm tính bí mật khả xử lý hệ thống; đ) Rà soát, cập nhật vá, sửa lỗi hệ quản trị sở liệu theo định kỳ theo khuyến cáo nhà cung cấp; e) Có giải pháp ngăn chặn hình thức cơng sở liệu Quản lý cố: a) Có quy trình quản lý cố, phải quy định rõ trách nhiệm phận liên quan, chi tiết bước thực bao gồm việc thông báo người sử dụng phận vận hành hệ thống công nghệ thông tin; trường hợp hạ tầng cơng nghệ thơng tin th ngồi đơn vị cung cấp dịch vụ phải cung cấp quy trình xử lý cố b) Định kỳ rà soát, cập nhật cố phương án xử lý cho quy trình quản lý cố; c) Áp dụng giải pháp kỹ thuật để phát hiện, xử lý kịp thời cơng vào hệ thống mạng; d) Có biện pháp phòng chống rủi ro thảm họa cơng nghệ thơng tin cách có hệ thống nhằm hạn chế tối đa rủi ro hoạt động y tế môi trường mạng Điều Điều kiện nhân lực Bảo đảm nhân lực chuyên trách cơng nghệ thơng tin (về số lượng, trình độ) đáp ứng yêu cầu hoạt động y tế môi trường mạng quan Đối với quan nghiệp hạng đặc biệt, hạng trường đại học ngành y tế phải có phòng cơng nghệ thơng tin, tối thiểu người, số người có trình độ từ cao đẳng chun ngành công nghệ thông tin trở lên chiếm 60% tổng số nhân lực phòng Đối với quan nghiệp hạng 2, hạng ngành y tế bảo đảm phải có tổ cơng nghệ thơng tin trở lên với nhân tối thiểu người có trình độ cơng nghệ thơng tin từ trung cấp trở lên Xây dựng kế hoạch tổ chức đào tạo nâng cao trình độ cơng nghệ thơng tin cho nhân lực tham gia vào hoạt động y tế môi trường mạng Trường hợp thuê nhân lực bên ngoài, nhân lực tham gia hoạt động y tế môi trường mạng đơn vị thuê phải đáp ứng yêu cầu chuyên môn nghiệp vụ; hợp đồng có điều khoản ghi rõ việc thực cam kết đáp ứng qui định Khoản Điều Thông tư Điều Điều kiện ứng dụng công nghệ thông tin Bảo đảm hạ tầng kỹ thuật theo quy định Điều Thông tư Chuẩn hóa quy trình nghiệp vụ bảo đảm ứng dụng công nghệ thông tin hoạt động y tế mơi trường mạng có hiệu Áp dụng tiêu chuẩn quốc gia, quốc tế trình xây dựng ứng dụng công nghệ thông tin y tế: a) Tiêu chuẩn HL7 (bản tin HL7 phiên 2.x, tin HL7 phiên 3, kiến trúc tài liệu lâm sàng CDA); b) Tiêu chuẩn hình ảnh số truyền tải y tế: DICOM; c) Tiêu chuẩn kết nối, liên thông trao đổi liệu ứng dụng thiết bị y tế: ISO/IEEE 11073; d) Tiêu chuẩn trao đổi chia sẻ số, siêu liệu thống kê lĩnh vực y tế: SDMX-HD; đ) Các tiêu chuẩn ban hành theo Thông tư số 22/2013/BTTTT ngày 23 tháng 12 năm 2013 Bộ trưởng Bộ Thông tin Truyền thông Có Quy chế quản lý vận hành ứng dụng công nghệ thông tin quan Việc khai thác sử dụng liệu thông tin y tế liên quan đến người bệnh phải bảo đảm quyền tơn trọng bí mật riêng tư người bệnh theo quy định Luật khám bệnh, chữa bệnh Được phép sử dụng chữ ký số, chứng thư số theo quy định Nghị định số 26/2007/NĐ-CP ngày 15 tháng 02 năm 2006 Chính phủ việc quy định chi tiết thi hành luật giao dịch điện tử chữ ký số dịch vụ chứng thực chữ ký số, Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 Chính phủ sửa đổi, bổ sung số điều Nghị định số 26/2007/NĐ-CP, Nghị định số 170/2013/NĐ-CP ngày 13 tháng 11 năm 2013 Chính phủ việc sửa đổi, bổ sung số điều Nghị định số 26/2007/NĐ-CP Nghị định số 106/2011/NĐ-CP ngày 23 tháng 11 năm 2011 Chính phủ sửa đổi, bổ sung số điều Nghị định số 26/2007/NĐ-CP Việc lập, lưu trữ khai thác hồ sơ bệnh án điện tử phải tuân thủ quy định Điều 59 Luật khám bệnh, chữa bệnh Trường hợp thuê dịch vụ ứng dụng công nghệ thông tin bên ngồi phải có hợp đồng với điều khoản quy định cam kết sở hữu hợp pháp thông tin, trách nhiệm bên có cố xảy Điều Hiệu lực thi hành Thông tư có hiệu lực kể từ ngày 01 tháng 03 năm 2015 Điều Điều khoản chuyển tiếp Các quan triển khai hoạt động y tế môi trường mạng trước ngày Thơng tư có hiệu lực, phải thực điều kiện quy định Thông tư trước ngày 01 tháng 01 năm 2017 Điều Điều khoản tham chiếu Trường hợp văn dẫn chiếu Thông tư bị thay sửa đổi, bổ sung áp dụng theo văn thay văn sửa đổi, bổ sung Điều 10 Tổ chức thực Cục Cơng nghệ thơng tin - Bộ Y tế có trách nhiệm đạo, hướng dẫn, kiểm tra việc thực Thơng tư phạm vi tồn quốc Sở Y tế có trách nhiệm đạo, hướng dẫn, kiểm tra, tra việc thực Thông tư địa bàn quản lý Các quan có liên quan chịu trách nhiệm xây dựng, chuẩn hóa qui trình nghiệp vụ phục vụ cho hoạt động y tế mơi trường mạng quan Trong q trình thực hiện, có vướng mắc đề nghị phản ánh kịp thời Bộ Y tế (Cục Công nghệ thông tin) để nghiên cứu, giải quyết./ Nơi nhận: - Văn phòng Chính phủ (Cơng báo, Cổng TTĐT Chính phủ); - Ủy ban quốc gia ứng dụng CNTT; - Các Bộ, quan ngang Bộ, quan thuộc CP; - Bộ trưởng Nguyễn Thị Kim Tiến (để báo cáo); - Các Thứ trưởng (để phối hợp thực hiện); - Bộ Tư pháp (Cục kiểm tra văn QPPL); - Sở Y tế tỉnh, thành phố trực thuộc TW; - Các Vụ, Cục, TC, VPB, TTrB - Bộ Y tế; - Các bệnh viện trực thuộc Bộ, y tế Bộ, ngành; - Cổng TTĐT Bộ Y tế; - Lưu: VT, PC (02b), CNTT (07b) KT BỘ TRƯỞNG THỨ TRƯỞNG Lê Quang Cường ... siêu liệu thống kê lĩnh vực y tế: SDMX-HD; đ) Các tiêu chuẩn ban hành theo Thông tư số 22/2013/BTTTT ngày 23 tháng 12 năm 2013 Bộ trưởng Bộ Thông tin Truyền thơng Có Quy chế quản lý vận hành ứng... phố trực thuộc TW; - Các Vụ, Cục, TC, VPB, TTrB - Bộ Y tế; - Các bệnh viện trực thuộc Bộ, y tế Bộ, ngành; - Cổng TT T Bộ Y tế; - Lưu: VT, PC (02b), CNTT (07b) KT BỘ TRƯỞNG THỨ TRƯỞNG Lê Quang... nghiên cứu, giải quyết./ Nơi nhận: - Văn phòng Chính phủ (Cơng báo, Cổng TT T Chính phủ); - Ủy ban quốc gia ứng dụng CNTT; - Các Bộ, quan ngang Bộ, quan thuộc CP; - Bộ trưởng Nguyễn Thị Kim Tiến