よむ、つかう、まなぶ。
【参考資料3-4】サイバー攻撃を想定した事業継続計画(BCP)策定の確認表のための手引き (3 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
リスク検知のための情報収集体制が整備できているか。
自医療機関に重要な脆弱性情報が事業者から報告されるスキーム(保守契約等)を確立しておく。ファイアウォ
ール、VPN 等外部接続点のアクセスログを定期的に確認する体制を整備しておく。
(企画管理編:12.2、システム運用編:8.2、17)
教育訓練が実施できているか。
策定した BCP が迅速かつ適切に利用できるように、教育訓練を定期的に実施する。システムが利用できなくなるこ
とを想定して、障害時マニュアルや伝票運用マニュアルを準備しておく。教育訓練の結果、必要に応じて改善計画を
作成する。
(企画管理編:11.⑥)
バックアップの実施と復旧手順が確認できているか。
オフラインバックアップ等サイバー攻撃を想定したデータとシステムのバックアップの実施と復旧手順の確認をしておく。
また、復旧手順においては、業務フローを意識して復旧するシステムの優先度(復旧する順序)をあらかじめ設定し
ておくことが望ましい。
(経営管理編:3.4.1、企画管理編:11.2、システム運用編:11)
【2.検知(医療情報システム等の障害が見受けられる場合は、早期に医療情報システム部門へ報告し、異常内
容の事実確認を行う。)】
2-1)システム異常の報告先の把握
異常時の連絡体制図が全職員に把握されているか。また、連絡先等を速やかに取得できるか。
相談窓口の一本化や体系化を組織内で行う。連絡先を院内に掲示したり、情報セキュリティマニュアルなどのわか
りやすい箇所に明示する。
(経営管理編:3.4.2)
2-2)システム異常の検知
院内で発生した異常が院内職員によって覚知できるか。
発生部署、発生個所、発生日時、連絡者、異常の状態について、口頭、報告様式等を用いて正確に伝達する。
(経営管理編:3.4.3)
自医療機関に重要な脆弱性情報が事業者から報告されるスキーム(保守契約等)を確立しておく。ファイアウォ
ール、VPN 等外部接続点のアクセスログを定期的に確認する体制を整備しておく。
(企画管理編:12.2、システム運用編:8.2、17)
教育訓練が実施できているか。
策定した BCP が迅速かつ適切に利用できるように、教育訓練を定期的に実施する。システムが利用できなくなるこ
とを想定して、障害時マニュアルや伝票運用マニュアルを準備しておく。教育訓練の結果、必要に応じて改善計画を
作成する。
(企画管理編:11.⑥)
バックアップの実施と復旧手順が確認できているか。
オフラインバックアップ等サイバー攻撃を想定したデータとシステムのバックアップの実施と復旧手順の確認をしておく。
また、復旧手順においては、業務フローを意識して復旧するシステムの優先度(復旧する順序)をあらかじめ設定し
ておくことが望ましい。
(経営管理編:3.4.1、企画管理編:11.2、システム運用編:11)
【2.検知(医療情報システム等の障害が見受けられる場合は、早期に医療情報システム部門へ報告し、異常内
容の事実確認を行う。)】
2-1)システム異常の報告先の把握
異常時の連絡体制図が全職員に把握されているか。また、連絡先等を速やかに取得できるか。
相談窓口の一本化や体系化を組織内で行う。連絡先を院内に掲示したり、情報セキュリティマニュアルなどのわか
りやすい箇所に明示する。
(経営管理編:3.4.2)
2-2)システム異常の検知
院内で発生した異常が院内職員によって覚知できるか。
発生部署、発生個所、発生日時、連絡者、異常の状態について、口頭、報告様式等を用いて正確に伝達する。
(経営管理編:3.4.3)