ISO 27799 | תקן לניהול אבטחת מידע רפואי
יישום והטמעת תקן ISO 27799 - ניהול אבטחת מידע רפואי
השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27799 או התקשרו ל- 03-9550222
ISO 27799 – הצעד הראשון שלך באבטחת מידע רפואי
חברת Nextep הינה החברה הגדולה והמנוסה ביותר להטמעת תקני אבטחת מידע בחברות וארגונים.
אנו מספקים ללקוחותינו מענה מקיף הכולל ייעוץ בתחום התקינה הישראלית והבינלאומית וליווי קבוע בתחומי הגנת ואבטחת מידע, הגנת הסייבר, ניהול סיכונים, המשכיות עסקית, ניהול אירועי אבטחת מידע, בקרת איכות ותחומים רבים נוספים.
בין לקוחותינו נמנים הגופים הציבוריים הגדולים והחברות התעשייתיות המובילות במשק הישראלי.
ISO 27799 – הגנה על מידע במערכות ממוחשבות במערכת הבריאות:
לפי חוזר המנהל הכללי, החל מתאריך 1.1.2014 מוסדות הרפואה במדינת ישראל מחויבים להיות מוסמכים לתקן אבטחת מידע למערכות בריאות – ISO 27799. מוסדות רפואיים אשר לא יעמדו בתקן זה, לא יוכלו לקבל רישיון למוסד רפואי ולא יוכלו לחדש את רישיונם.
החל מתאריך 1.1.2016 ספקים המספקים שירותים למוסדות בריאות מחויבים לעבור הסמכה לתקן בינלאומי לאבטחת מידע ISO 27001, או לתקן אבטחת מידע למערכות בריאות ISO 27799.
ספקים אשר לא יוסמכו לתקנים אלו, לא יוכלו לבצע התקשרות עם מוסדות הבריאות. עמידה בתקנים אלו ייבדקו במסגרת הבקרות שעורך משרד הבריאות.
את החוזר המלא תוכלו לקרוא כאן.
מהו תקן ISO 27799?
תקן ISO 27799, הינו תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות. התקן מגדיר את צורת העבודה במוסדות רפואיים ושם דגש על איכות אבטחת המידע והסביבה בה מידע זה קיים.
תקן ISO 27799 מספק הנחיות, שיטות עבודה וכלים לשמירה על סודיותו, שלמותו וזמינותו של המידע באופן מירבי ומיטבי, תוך הגדרת עקרונות שיטתיים ותכליתיים להקמה, ניהול ותחזוקה של מערכת אבטחת מידע המתאימה לארגון.
מאחר ומוסדות רפואיים פתוחים למבקרים ברוב שעות היום, רמת האבטחה צריכה להיות מתואמת עם גודל המוסד וכמות האנשים החולפת בו מדי יום.
כל מה שצריך לדעת אודות אבטחת המידע בארגון
לקריאת המתודולוגיה של ISO 27001 (מומלץ)
על מי חל התקן?
תקן ISO 27799 רלוונטי עבור כל נותן שירות בתחום הרפואה, אשר נחשף, מעבד ומאחסן על גבי שרתים מידע רפואי (מילים, מספרים, תרשימים, שרטוטים, וידאו, אודיו, תמונות רפואיות, עותקים קשיחים ו/או וירטואליים לרבות שרתי מחשבים, מדיה המשמשת לאחסון או שירותי ענן), בין אם מדובר במוסד בריאות ציבורי או פרטי ובין אם ספק/נותן שירות שהוא צד שלישי, הבא במגע עם מידע רפואי.
להלן מספר דוגמאות:
- בתי חולים.
- מרפאות.
- מעבדות.
- קליניקות.
- עמותות.
- פעילות רווחה.
- פעילות בקהילה.
- שירותי סיעוד.
איומים ייחודיים בתחום אבטחת המידע במערכות הבריאות:
- מניעת שירות (Denial Of Service) – לנוכח התלות הקיימת כיום במערכות מידע לצורך אספקת שירותי רפואה, הרי שקיים איום מוחשי בפגיעה במתן טיפול רפואי בשגרה ובחירום.
- גניבת מידע – לגניבת מידע רפואי אישי עשויות להיות השלכות קשות הן ברמה האישית והן ברמת האמון במוסדות המדינה.
- שיבוש מידע – הנזק אשר יכול להיגרם משינוי מידע בתיקו הרפואי של מטופל עולה לעיתים על הנזק מגניבתו, היות ויש חשש כי יהווה בסיס להחלטות רפואיות שגויות וכתוצאה מכך, לסיכון חיי אדם.
- חשיפת מערכות המידע – מקרים רבים מטופלים השוהים במתקני ספקי שירותי בריאות, כגון בתי חולים ומרפאות, נמצאים באזורים בהם יש גישה למערכות המידע הממוחשבות (עמדת הקבלה, שולחן הרופא המטפל וכו'). עובדה זו מגבירה את הסיכון לחשיפת מערכות המידע לאיומים פיזיים. החשיפה והסיכון גוברים כאשר בסביבה עוברים מטופלים בלתי יציבים מבחינה רגשית/נפשית.
מהם היתרונות בהטמעת תקן 27799 ISO?
- דרישת לקוח/גוף ציבורי – בהתאם לנהלי משרד הבריאות, החל מיום 1.1.2016 על ארגוני בריאות לבצע התקשרויות רק עם ספקים העומדים בתקני אבטחת מידע 27799 ISO ו-27001 ISO.
- דרישות סף – הסמכה לתקן 27799 ISO מהווה תנאי לקבלת רישיון למוסד רפואי ולחידוש הרישיון. עמידה בתנאי התקן תיבדק במסגרת ביקורות שעורך משרד הבריאות (ראה חוזר המנהל הכללי 3/15 של משרד הבריאות).
- מיתוג / תדמית – ההסמכה מאפשרת לארגון לפנות לשוק הבינלאומי ולעבוד עם משרדים ממשלתיים וחברות גדולות במשק.
- התייעלות פנימית – הטמעת תקן 27799 ISO מגבירה ומחזקת את אמינות המידע והשירותים שמספק הארגון וכן את ביטחון ואמון לקוחותיו עקב הבטחת שיפור משמעותי ברמות אבטחת המידע (דבר המהווה יתרון על פני מתחרים).
תהליך המנא"מ (מערכת ניהול אבטחת מידע):
החמרות בהגנת המידע הרפואי והאישי בארגוני הבריאות על פי ISO 27799:
- מערכות ותשתיות המידע, כגון: מערכות הפעלה, רכיבי תקשורת, בסיסי נתונים יאובטחו בהתבסס לנהלים.
- כלים וטכנולוגיות המאושרים לשימוש יתעדכנו על ידי ממונה לאבטחת המידע במשרד הבריאות.
- מדיה המכילה מידע רפואי נדרשת להיות מוגנת באמצעות הצפנת מידע/הגנה פיזית.
- גישה למידע רפואי תחויב באמצעות חובת הזדהות ומתן הרשאות מתאימות לבעלי התפקידים.
למאמרים על תקנות הגנת הפרטיות
למאמרים על ISO 27001
למאמרים על רגולציית הגנת הפרטיות האירופאית GDPR
מדיניות מחשוב ענן במערכת הבריאות:
מחשוב ענן מאפשר למשתמש לצרוך שירותי מחשוב מרחוק באמצעות רשת האינטרנט או קו תקשורת ייעודי. בשנים האחרונות ישנה עליה בשימוש בשירותי ענן בתעשיות רבות המאפשרת לארגוני הבריאות לעשות שימוש בטכנולוגיות מתקדמות שיכולות לסייע להם להתמודד עם האתגרים התשתיתיים, הארגוניים, הטכנולוגיים והכלכליים הניצבים בפניהם, ומעודד את חיזוק היכולות הטכנולוגיות של ארגוני הבריאות כמרכיב חשוב בקידום תחום הבריאות הדיגיטלית.
- מדיניות ענן ארגונית – הגדרת מדיניות ענן ארגונית ואישורה על ידי הנהלת הארגון. יש לקיים דיון תקופתי ולעדכנה בהתאם לשינויים בארגון. מדיניות הארגון תכלול התייחסות לנושאים הבאים:
- התנאים להעברת מידע לענן;
- תהליכי האישור הפנימיים;
- סמכויות ואחריות בעלי התפקידים השונים;
- אמצעי פיקוח ובקרה ועוד.
- הליך פנימי לבחינת השימוש במחשוב ענן – יש לבחון את התועלות הצפויות כתוצאה משימוש במערכות מחשוב ענן, הערכת הסיכונים הנובעים מהשימוש במחשוב ענן, בחינה של התאמת השימוש במחשוב ענן לדרישות הדין ועוד.
- הליך ניהול והערכת סיכונים – הליך ניהול והערכת הסיכונים נועד לבחון את רמת הסיכון הנובעת מהשימוש במערכות מחשוב ענן (נמוכה, בינונית, גבוהה) וכתוצאה מכך, לקבוע את הבקרות ואמצעי אבטחת המידע והגנת המידע שנדרש ליישם בכדי למנוע פרצות אבטחה. הממצאים שיופקו כתוצאה מניהול והערכת סיכונים יאושרו על ידי ממונה אבטחת המידע והגנת הסייבר, נציג הלשכה המשפטית וממונה הגנת הפרטיות.
- כלי עזר לניהול סיכונים – כלי עזר לניהול סיכונים מספק כלים להתמודדות עם חולשות מובנות של ארגוני הבריאות ומכיל רשימה של איומים פוטנציאליים שיש לשקול ולהיערך בהתאם כחלק מתהליך הערכת הסיכונים בארגון. הכלי מכיל שלושה גיליונות המכילים שאלות מנחות סגורות לאפיון המערכת המבוקשת. בהתאם לתשובות, ניתן לכל סיכון ציון, אשר משוקלל יחד עם הציונים של יתר הסיכונים הנבחנים לכדי ציון מסכם הקובע את רמת הסיכון של המערכת/המידע. רמת הסיכון נקבעת באופן הבא: רמת סיכון נמוכה – ציון הנמוך מ-40, רמת סיכון בינונית – ציון בין 75-40 ורמת סיכון גבוהה – ציון גבוה מ-80. בחלק האחרון של כלי ניהול הסיכונים מצורפים גיליונות משלימים שמטרתם לרכז תחת טופס אחד את כל המידע הנדרש עבור ועדת הענן לצורך בחינת הבקשה וקבלת החלטה בה.
בקרות להגברת אבטחת המידע בארגון:
ISO 27799 מפרט את הבקרות הנוספות הבאות (שאינן קיימות ב- ISO 27001) שיש להטמיע בארגון בכדי להגדיל את רמת ההגנה על הנתונים הרפואיים:
- התאמת מדיניות החברה למטרות, תהליכים, מערכות המידע בהם עובר מידע רפואי.
- הקמת פורום אבטחת מידע שיתכנס אחת לתקופה וקבועה וידון בשינויים בתהליכים ובמערכות המידע בחברה.
- סקירת סיכונים בשימוש באמצעים ניידים בהם זורם מידע רפואי אישי.
- הכשרה, מיון, וגיוס עובדים מהימנים להם ניתן יהיה לתת גישה למידע הרפואי.
- הגדרת גישה לנתונים הרפואיים של לקוחות/ מטופלי החברה.
- מתן אפשרות עיבוד של הנתונים רק למטרה שלשמם סופק.
- ניהול מסמכים בהתאם למדיניות ונהלים של מידע רפואי.
- הגדרת נהלים והסכמי סודיות עבור עובדים היכולים לגשת לנתונים אישיים.
- הגדרת נוהל לגיבוי נתונים רפואיים ושמירה על מהימנות, זמינות וסודיות המידע.
- נוהל לגריסה וגריטת מידע רפואי.
היום גם אתם יכולים להפוך לארגון המוסמך לתקן ISO 27799 בעזרת ליווי וייעוץ מקיף של יועצי נקסטפ. השאירו פרטים כאן או התקשרו ל- 03-9550222
בסוף התהליך תקבלו גם:
- סקר סיכונים מקיף לאבטחת המידע הרפואי שלכם
- תכנית המשכיות עסקית
- מנגנון בקרה מובנה ומסודר לניהול אבטחת מידע רפואי
- הצהרת ישימות
היתרונות שלנו
הטמעת תקן קלה ופשוטה
ליווי מקצועי עם יועץ מנוסה
100% הצלחה במבדק ההתעדה
מעל 15 שנות נסיון בתקני אבטחת מידע
מעוניינים לקבל מידע נוסף אודות תקן ISO 27799?
תהליך הטמעת תקן ISO 27799
-
1
פגישת היכרות והבנת התהליכים
אבחון החברה, היכרות ואפיון תכנית עבודה ולוחות זמנים לפרויקט. -
2
כתיבת הנהלים והוראות העבודה
במילים פשוטות: לוקחים את כל התהליכים שקיימים אצלכם היום בעל פה, והופכים אותם לתורה שבכתב. -
3
הטמעת דרישות התקן
נקסטפ מבצעת עבורכם סקר סיכונים לאבטחת המידע, בניית תכנית המשכיות עסקית, הדרכת אבטחת מידע, בקרת איכות לספקים, תיעוד תלונות לקוח וחריגות ועוד. -
4
הכנה למבדק חיצוני שכוללת סקר הנהלה ומבדק פנימי.
ההכנה כוללת ביצוע והכנת סקר הנהלה וביצוע מבדקים פנימיים בכל הארגון, מיפוי הפערים החסרים ותיקונים לפני המבדק. -
5
מבדק חיצוני ע"י מכון ההתעדה
המבדק החיצוני ייערך ע"י גוף בעל הסמכה לנושא ISO 27799, מתחילתו ועד סופו ייערך המבדק בנוכחות מלאה של יועץ Nextep, כולל מענה לשאלות הסוקרים והשלמות מקצועיות ומענה לפעולות המתקנות מהמבדק. -
6
קבלת תעודות ISO 27799
הנפקת תעודות הכוללת את תחום פעילות החברה, ב-2 שפות (אנגלית ועברית).
מוצרים משלימים לתקן זה
אבטחת מידע והגנת הפרטיות
בריאות, מוסדות רפואיים ובתי חולים
האם ניתן לקבל הסמכת GDPR?
החובות שנקבעו במסגרת ה - GDPR
GDPR - רגולציית הגנת הפרטיות האירופאית - כל מה שצריך לדעת
המתודולוגיה של ISO 27001
CCPA חוק הגנת פרטיות הצרכן בקליפורניה
ההבדל בין Data Processor ו-Data Controller
הרשות להגנת הפרטיות | מחלקת אכיפה
החובות החלות על בעל מאגר מידע
אבטחת מידע בארגון - כל מה שצריך לדעת
SOC 2
ניהול אבטחת שרשרת האספקה
הרשות לניירות ערך: גילוי בנושא סייבר
סקר תהליך
סקר ספק
מבדק חדירה – PT) Penetration Test)
CISO as a service - ממונה אבטחת מידע
DPR – Data Protection Representative - נציג אירופאי
