よむ、つかう、まなぶ。
医療機関におけるサイバーセキュリティ対策チェックリストマニュアル ~医療機関・事業者向け~(令和5年6月) (2 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
出典情報 | 医療機関におけるサイバーセキュリティ対策チェックリスト(令和5年6月)(6/9)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
目次
Ⅰ
チェックリストの使い方 ...................................................................................................................... 3
Ⅱ
各チェック項目の解説 .......................................................................................................................... 5
医療情報システムの有無
【医療機関確認用】 .............................................................................. 5
医療情報システムを導入、運用している。 ......................................................................................... 5
1 体制構築
【医療機関確認用・事業者確認用】 ....................................................................... 5
(1)医療情報システム安全管理責任者を設置している。................................................................ 5
2 医療情報システムの管理・運用
【医療機関確認用・事業者確認用】 .................................. 6
(1)サーバ、端末 PC、ネットワーク機器の台帳管理を行っている。(医療情報システム全般) 6
(2)リモートメンテナンス(保守)を利用している機器の有無を事業者に確認した。
(医療情報システム全般) .................................................................................................... 7
(3)事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提
出してもらう。(医療情報システム全般) .......................................................................... 7
(4)利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
(サーバ、端末 PC) ............................................................................................................. 8
(5)退職者や使用していないアカウント等、不要なアカウントを削除している。
(サーバ、端末 PC) ............................................................................................................. 8
(6)アクセスログを管理している。
(サーバ) ................................................................................ 9
(7)セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
(医療情報システム全般) .................................................................................................. 10
(8)接続元制限を実施している。
(ネットワーク) ....................................................................... 11
(9)バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
(サーバ、端末 PC) ........................................................................................................... 11
3 インシデント発生に備えた対応
【医療機関確認用】 .......................................................... 12
(1)インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)の連絡
体制図がある。 .................................................................................................................... 12
(2)インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバッ
クアップの実施と復旧手順を確認している。 ..................................................................... 13
(3)サイバー攻撃を想定した事業継続計画(BCP)を策定、又は令和6年度中に策定予定
である。 ............................................................................................................................... 13
凡
例
本マニュアルの「Ⅱ各チェック項目の解説」では、それぞれのチ
ェック項目に紐づく「医療情報システムの安全管理に関するガイ
ドライン第 6.0 版」の該当箇所を右側に「▶」で示しています。
2
Ⅰ
チェックリストの使い方 ...................................................................................................................... 3
Ⅱ
各チェック項目の解説 .......................................................................................................................... 5
医療情報システムの有無
【医療機関確認用】 .............................................................................. 5
医療情報システムを導入、運用している。 ......................................................................................... 5
1 体制構築
【医療機関確認用・事業者確認用】 ....................................................................... 5
(1)医療情報システム安全管理責任者を設置している。................................................................ 5
2 医療情報システムの管理・運用
【医療機関確認用・事業者確認用】 .................................. 6
(1)サーバ、端末 PC、ネットワーク機器の台帳管理を行っている。(医療情報システム全般) 6
(2)リモートメンテナンス(保守)を利用している機器の有無を事業者に確認した。
(医療情報システム全般) .................................................................................................... 7
(3)事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提
出してもらう。(医療情報システム全般) .......................................................................... 7
(4)利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
(サーバ、端末 PC) ............................................................................................................. 8
(5)退職者や使用していないアカウント等、不要なアカウントを削除している。
(サーバ、端末 PC) ............................................................................................................. 8
(6)アクセスログを管理している。
(サーバ) ................................................................................ 9
(7)セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
(医療情報システム全般) .................................................................................................. 10
(8)接続元制限を実施している。
(ネットワーク) ....................................................................... 11
(9)バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
(サーバ、端末 PC) ........................................................................................................... 11
3 インシデント発生に備えた対応
【医療機関確認用】 .......................................................... 12
(1)インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)の連絡
体制図がある。 .................................................................................................................... 12
(2)インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバッ
クアップの実施と復旧手順を確認している。 ..................................................................... 13
(3)サイバー攻撃を想定した事業継続計画(BCP)を策定、又は令和6年度中に策定予定
である。 ............................................................................................................................... 13
凡
例
本マニュアルの「Ⅱ各チェック項目の解説」では、それぞれのチ
ェック項目に紐づく「医療情報システムの安全管理に関するガイ
ドライン第 6.0 版」の該当箇所を右側に「▶」で示しています。
2