Tài khoản người sử dụng thông tin điện tử tại các đơn vị trong ngành y tế có những yêu cầu gì theo pháp luật hiện hành?
Nội dung chính
Tài khoản người sử dụng thông tin điện tử tại các đơn vị trong ngành y tế có những yêu cầu gì theo pháp luật hiện hành?
Tài khoản người sử dụng thông tin điện tử tại các đơn vị trong ngành y tế quy định tại Điều 13 Quyết định 4159/QĐ-BYT năm 2014 quy định đảm bảo an toàn thông tin y tế điện tử tại đơn vị trong ngành y tế do Bộ trưởng Bộ Y tế ban hành, cụ thể như sau:
- Xây dựng quy trình chính thức bằng văn bản để quy định quyền truy cập vào mạng, máy chủ, phần mềm ứng dụng, cơ sở dữ liệu của từng cán bộ trong đơn vị. Các quy trình này bao gồm tất cả các quy định đối với cán bộ, bao gồm từ lúc đăng ký truy cập tới khi hủy bỏ đăng ký truy cập.
- Cần có quy định kiểm soát và theo dõi chặt chẽ việc truy cập vào các tài khoản đặc quyền.
- Các quy tắc bảo mật cơ bản đối với tài khoản người sử dụng bao gồm:
+ Chỉ cho phép mỗi người sử dụng có một tài khoản truy cập.
+ Áp dụng quy tắc phân quyền tài khoản người sử dụng theo quyền của nhóm tài khoản.
+ Yêu cầu mật khẩu được thay đổi một cách thường xuyên (ít nhất là mỗi tháng một lần).
+ Các đơn vị cần có quy định về mật khẩu mạnh (như quy định số ký tự tối thiểu của mật khẩu, bắt buộc có cả chữ in hoa, chữ thường hay bắt buộc có cả ký tự chữ và số).
+ Khi một người dùng mới được quyền truy cập vào hệ thống thông tin, đảm bảo rằng họ được cấp mật khẩu tạm thời. Sau lần truy cập đầu, người sử dụng cần thay đổi mật khẩu tạm thời này. Nếu hệ thống thông tin cho phép, yêu cầu không sử dụng lại mật khẩu cũ.
+ Có quy trình để loại bỏ ngay lập tức các tài khoản và quyền truy cập hệ thống của người thay đổi công việc, hoặc không còn làm việc tại đơn vị.