שאלונים לבחינה האם חברתך ערוכה להתמודדות עם מצבי חירום
- מעוניין לשדרג את המוכנות שלך להתמודדות עם מצב חירום?
- לעבוד לפי תקן ISO 222301 ?
- רוצה לקבל לקבל ייעוץ מקצועי בנושא?
חברת שלומי אדר מתמחה באבטחת מידע, בדגש על איומי סייבר והגנה על מאגרי מידע. אנו מייעצים למגוון גופים בתחום הבריאות, במטרה להפוך את מאגריהם ל"חסינים מאיומים", ומוכנים לכל מצב חירום.
מהו תקן ISO 27799?
תקן בינלאומי המנחה ארגוני שירותי בריאות, וישויות אחרות השומרות על מידע בריאות אישי, באשר לדרך המיטבית להגנה על סודיותו, שלמותו וזמינותו של אותו המידע על ידי יישום התקן. באופן ספציפי מטפל תקן בינלאומי זה בצרכי ניהול ביטחון המידע המיוחדים של מגזר הבריאות ושל סביבותיו התפעוליות הייחודיות.
בעוד שההגנה על מידע אישי וביטחונו חשובים לכל אדם, חברה, ישות וממשלה, במגזר שירותי הבריאות קיימים צרכים ייחודים החייבים למצוא מענה על מנת שיובטחו הסודיות, השלמות, יכולת הבקרה והזמינות של מידע הבריאות האישי. סוג זה של מידע מוערך על ידי רבים כמידע הרגיש ביותר מקרב כלל סוגי המידע האישי. ההגנה על המידע דלעיל הינה חיונית אם אנו שואפים לשמר את פרטיותם של המטופלים בהם המערכת מטפלת.
סקר אבטחת מידע - כלי חיוני לשידרוג האבטחה בארגונך
חשיבות המידע הרפואי
שלמותו של המידע הרפואי חייבת להישמר כדי להבטיח את בטיחותו של המטופל, ומרכיב חשוב של הגנה זו הוא היכולת להבטיח כי מחזור החיים השלם של המידע ניתן לבקרה בשלמותו.זמינותו של מידע הבריאות קריטי גם מן ההיבט של האספקה היעילה של שירותי בריאות.
מערכות מידע בתחומי שירותי הבריאות חייבות לתת מענה לדרישות ייחודיות, כגון ההישרדות במקרים של אסונות טבע, כשלים מערכתיים, והתקפות מניעת שירות יזומות על מאגרי המידע. ההגנה על הסודיות, השלמות והזמינות של מידע בריאות דורשת, אם כן, כי תתקיים מומחיות ספציפית למגזר שירותי הבריאות.
אתגרים מורכבים בעידן הטכנלוגי
הצורך בניהול ביטחון יעיל של מערכות המידע בתחום שירותי הבריאות הופך לדחוף יותר לנוכח השימוש ההולך וגובר בטכנולוגיות אלחוטיות ומבוססות אינטרנט באספקת שירותי הבריאות. אם לא מיישמים אותן כהלכה, טכנולוגיות מורכבות אלה יגבירו את הסיכון הקיים לסודיותו, שלמותו וזמינותו של מידע הבריאות.
ללא קשר לגודלן, מיקומן ומודל אספקת השירות שהן מאמצות, חייבות כלל ישויות שירותי הבריאות ליישם ביקורות קפדניות על מנת להגן על מידע הבריאות המופקד בידיהן. עם זאת, גורמים מקצועיים רבים בתחומי הבריאות פועלים כספקי בריאות עצמאיים, או במסגרת קליניקות קטנות שאינן מייעדות משאבי טכנולוגית מידע לניהול ביטחון המידע שברשותן. ארגוני שירותי בריאות חייבים, על כן, לקבל הנחיות ברורות, תמציתיות וספציפיות באשר לבחירתן ויישומן של בקרות אלה.
קובץ הנחיות זה חייב להיות גמיש די הצורך כדי להיות בר-יישום בעבור קשת רחבה של גדלים, אתרי פעילות ומודלים של שירות בהם אנו נתקלים במגזר שירותי הבריאות. לבסוף, לנוכח החלפת מידע הבריאות האישי האלקטרונית ההולכת ותופסת תאוצה גם בקרב אנשי מקצוע בתחום הבריאות, קיים יתרון ברור באימוצו של מפתח התייחסויות משותף לניהול ביטחון המידע בתעשיית שירותי הבריאות.
תקינה מעודכנת
התקן הבינלאומי 27002ISO/IEC כבר נמצא בשימוש נרחב בתחומי ניהול ביטחון מידע הבריאות על בסיס הנחיות לאומיות, או אזוריות, במדינות שונות כמו אוסטרליה, קנדה, צרפת, הולנד, ניו זילנד, דרום אפריקה והממלכה המאוחדת. תקן 27799 ISO מתבסס על הניסיון שנצבר במאמצים לאומיים אלה בכל הנוגע לטיפול בביטחונו של מידע הבריאות האישי, והוא נועד לשמש מסמך נלווה לתקן 27002ISO/IEC, אך אין הוא אמור להחליף את התקנים 27002ISO/IEC או 27001ISO/IEC. תחת זאת, הוא מהווה השלמה לתקנים דלעיל הגנריים יותר.
תקן בינלאומי זה מיישם את 27002ISO/IEC בתחום שירותי הבריאות, באופן בו ניתן שיקול זהיר לאפשרות יישומן הנאות של בקרות ביטחון שנועדו להגן על מידע הבריאות האישי. שיקולים אלה הובילו את המחברים, במקרים מסוימים, להסיק כי היישום של יעדי בקרה מסוימים הנכללים בתקן 27002ISO/IEC הוא חיוני אם קיימת שאיפה להגן באופן ראוי על מידע בריאות אישי. לכן, מגביל תקן בינלאומי זה את יישומן של בקרות ביטחון מסוימות המפורטות בתקן 27002ISO/IEC. צעד זה, מאידך, הביא להכללתן של מספר הצהרות נורמטיביות בסעיף 7, המציינות כי יישומה של בקרת ביטחון מסוימת היא בגדר חובה.
מי זקוק לתקן ISO 27799?
גופים העוסקים בשירותי רפואה בראיה רחבה (מעבדות, מכוני מחקר, מרפאות , בתי חולים ודומיהם). תקן בינלאומי זה מיועד בעבור אלה הנושאים באחריות לפיקוח על ביטחון מידע הבריאות, לארגוני שירותי בריאות, וגם בעבור ישויות אחרות המחזיקות בקרבן מידע בריאות והמבקשות לקבל הנחיות בנושא זה, לרבות יועצי ביטחון המידע שלהן, יועצים אחרים, מבקרים, ספקים וצדדים שלישיים המהווים ספקי שירותים.
כיצד קבלת התקן תסייע לחברתך?
תקן ISO 27799 הוא תקן רחב יריעה ומורכב, והעצות הכלולות בו אינן מיועדות באופן ספציפי לתעשיית שירותי הבריאות. בסביבת בריאות באופן עקבי, תוך תשומת לב מיוחדת לאתגרים המיוחדים המאפיינים את התעשייה הזו. ארגון המאמץ ומיישם את התקן מסייע להבטיח כי נשמרות סודיותו ושלמותו של המידע המוחזק על ידו, כי מערכות מידע בריאות קריטיות ממשיכות להיות זמינות, וכי הנשיאה באחריות למידע הבריאות נשמרת אף היא.
כיצד להשתמש בתקן?
תקן בינלאומי זה מפרט סדרה של בקרות מפורטות לניהול ביטחון מידע הבריאות, והוא מעניק הנחיות באשר לנהלים המיטביים בביטחון מידע הבריאות. על ידי ״שומו של תקן בינלאומי זה יעלה בידי ארגוני שירותי בריאות, וישויות אחרות המחזיקות בקרבן מידע בריאות, להבטיח רמה מינימאלית של ביטחון המתאימה לנסיבות בהן פועל הארגון שלהם, ואשר יצליחו לשמר את הסודיות, השלמות והזמינות של מידע בריאות אישי.
תקן בינלאומי זה נוגע למידע בריאות בכל היבטיו, ללא קשר למאפייניו וצורתו (מילים וספרות, הקלטות קול, שרטוטים ותרשימים, או תמונות וידיאו ורפואיות מסוגים אחרים), לאמצעים המשמים לאחסונו (הדפסה, כתיבה על נייר, או אחסון אלקטרוני) ולאמצעים המשמשים לשידורו או העברתו (ביד, פקס, הדואר, או באמצעות רשתות מחשב), שכן המידע חייב להיות מוגן כיאות בכל אחד מן המצבים דלעיל.תקן בינלאומי זה הוא ניטראלי מבחינה טכנולוגית.
ניטראליות באשר ליישומן של טכנולוגיות היא מאפיין חשוב. טכנולוגית הביטחון עוברת עדיין שינויים ועדכונים מהירים, כאשר קצב ההתפתחות נמדד בעת הזו בחודשים ולא בשנים. בניגוד לכך, ובכפוף לעדכונים תקופתיים, קיימת ציפייה לכך כי תקנים בכללם ״שארו תקפים לאורך שנים. חשוב באותה המידה, הניטראליות הטכנולוגית היא המעניקה לספקים ולספקי שירותים את החופש להציע טכנולוגיות חדשות או מתפתחות העונות לצרכים הדרושים המתוארים על ידי תקן בינלאומי זה.
כיצד חברתנו תוכל לסייע לך?
אם בעבר תקן ISO 27799 היה חשוב במיוחד רק לגופים אשר ברשותם מידע סודירפואי סודי ורגיש, הרי שבעידן האינטרנט הנוכחי תקן בינלאומי 27799 זה חל על כל סוגי הארגונים הרפואיים. יישום התקן בחברה מגביר את אמינות המידע והשירותים שהוא מספק ובנוסף מאפשר שיפור משמעותי באבטחת המידע.
הסמכה עבור תקן ISO 27799 כרוכה בתהליך עבודה הכולל מפגש ראשוני, לצורך עריכת סקר מקדים אשר בעזרתו יתבצע זיהוי, אפיון וניתוח ממשקי בחברתכם, הבנת אופן ניהול אבטחת המידע בחברה כמו גם את החוקים החלים על חברתכם וקביעת תחום יישום התקן. תהליך העבודה כולל כתיבת נהלים, בניית תכנית עבודה, בניית תכנית להעלאת מודעות, ליווי והדרכה לקראת המבדק המקדים ומבדק ההסמכה לתקן ע”י גורם מוסמך על ידי חברת שלומי אדר מומחים לתשתיות ביטחון מידע.
קבלת ההסמכה לתקן עבור חברתכם מהווה התחייבות לאיכות השירות ולשמירה על ביטחון המידע של הלקוחות שלכם ובכך מהווה יתרון איכותי ותחרותי על פני המתחרים. עמידה בתקן מבטיחה לחברה וללקוחותיו עמידה בדרישות אבטחת המידע המקיפות והעדכניות ביותר.
תקנות GDPR לאבטחת מידע - מידע נוסף
יש לך שאלה? משהו לא ברור? צור עמנו קשר