よむ、つかう、まなぶ。
【参考資料3-4】サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
【1.平時(平時において、非常時に備え、サイバーセキュリティの体制整備を行う。)】
1-1)情報機器等の把握と適切な管理、全体構成図の作成
必要に応じて医療情報システム事業者等の協力を得ながら、自医療機関が保有する情報機器等の全体を網羅す
る医療情報システムに関する構成図(外部接続点を含むネットワーク構成図等)を作成する。
サーバ、端末 PC、ネットワーク機器を把握できているか。
院内のサーバおよび端末 PC の OS、IP アドレス、使用用途、脆弱性対応状況、ウイルス対策ソフトの稼働状況
等の一覧を整備しておく。なお、各 PC にログオンする際に管理者権限でログオンする PC が分かるようにしておく。また、
院内設置のすべての VPN 装置、ファイアウォール、ルータ-等の所在と、IP アドレス、使用用途等を明記した一覧を作
成する。
(企画管理編:9.1、システム運用編:8.4)
ネットワーク構成図・システム構成図が整備できているか。
HIS 系、インターネット系等の院内 LAN、外部接続点(ファイアフォール、VPN、地域連携、オンライン資格確認
等)のネットワーク構成が判別できるように IP アドレスおよびルーティングがわかる構成図を整備しておく。
(企画管理編:4.4、システム運用編:2、Q&A:概 Q-6)
システム停止が事業継続に与える影響を把握できているか。
各システムが利用できなくなると、どの業務が継続できなくなるか(検査部門システムの場合、検査の受付と検査
結果の電子カルテ送信ができなくなる等)といった被害を想定し、代替運用の手順を作成しておく。また、代替運用
サーバ、参照サーバ、バックアップデータの保持といった非常時対策状況を確認しておく。
(経営管理編:3.4、企画管理編:11)
サーバ、端末 PC、ネットワーク機器の脆弱性への対応ができているか。
サーバ、端末 PC、ネットワーク機器について、医療機関が管理する機器と、事業者が管理する機器を明確化し、
脆弱性情報の収集、脆弱性対応プログラムの適用基準等を定めておく。
(経営管理編:3.4.2、企画管理編:12)
1-2) 非常時に備えたサイバーセキュリティ体制の整備とリスク検知のための情報収集
インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡
体制図が整備できているか。
非常時の役割や手順を定め、医療機関の内部や外部関係機関との緊急連絡先や情報伝達ルートを整備し関
係者へ周知しておく。契約書やサービス・レベル合意書(SLA)により、非常時の責任分界点や役割分担について事
業者等との明示的な合意内容を確認しておく。
(経営管理編:3.4.3、企画管理編:2.1、12.3、Q&A:企 Q-16)
1-1)情報機器等の把握と適切な管理、全体構成図の作成
必要に応じて医療情報システム事業者等の協力を得ながら、自医療機関が保有する情報機器等の全体を網羅す
る医療情報システムに関する構成図(外部接続点を含むネットワーク構成図等)を作成する。
サーバ、端末 PC、ネットワーク機器を把握できているか。
院内のサーバおよび端末 PC の OS、IP アドレス、使用用途、脆弱性対応状況、ウイルス対策ソフトの稼働状況
等の一覧を整備しておく。なお、各 PC にログオンする際に管理者権限でログオンする PC が分かるようにしておく。また、
院内設置のすべての VPN 装置、ファイアウォール、ルータ-等の所在と、IP アドレス、使用用途等を明記した一覧を作
成する。
(企画管理編:9.1、システム運用編:8.4)
ネットワーク構成図・システム構成図が整備できているか。
HIS 系、インターネット系等の院内 LAN、外部接続点(ファイアフォール、VPN、地域連携、オンライン資格確認
等)のネットワーク構成が判別できるように IP アドレスおよびルーティングがわかる構成図を整備しておく。
(企画管理編:4.4、システム運用編:2、Q&A:概 Q-6)
システム停止が事業継続に与える影響を把握できているか。
各システムが利用できなくなると、どの業務が継続できなくなるか(検査部門システムの場合、検査の受付と検査
結果の電子カルテ送信ができなくなる等)といった被害を想定し、代替運用の手順を作成しておく。また、代替運用
サーバ、参照サーバ、バックアップデータの保持といった非常時対策状況を確認しておく。
(経営管理編:3.4、企画管理編:11)
サーバ、端末 PC、ネットワーク機器の脆弱性への対応ができているか。
サーバ、端末 PC、ネットワーク機器について、医療機関が管理する機器と、事業者が管理する機器を明確化し、
脆弱性情報の収集、脆弱性対応プログラムの適用基準等を定めておく。
(経営管理編:3.4.2、企画管理編:12)
1-2) 非常時に備えたサイバーセキュリティ体制の整備とリスク検知のための情報収集
インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡
体制図が整備できているか。
非常時の役割や手順を定め、医療機関の内部や外部関係機関との緊急連絡先や情報伝達ルートを整備し関
係者へ周知しておく。契約書やサービス・レベル合意書(SLA)により、非常時の責任分界点や役割分担について事
業者等との明示的な合意内容を確認しておく。
(経営管理編:3.4.3、企画管理編:2.1、12.3、Q&A:企 Q-16)