השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27799 או התקשרו ל- 03-9550222
הגנה על מידע במערכות ממוחשבות במערכת הבריאות:
לפי חוזר המנהל הכללי, החל מתאריך 1.1.2014 מוסדות הרפואה במדינת ישראל מחויבים להיות מוסמכים לתקן אבטחת מידע למערכות בריאות – ISO 27799.
מוסדות רפואיים אשר לא יעמדו בתקן זה, לא יוכלו לקבל רישיון למוסד רפואי ולא יוכלו לחדש את רישיונם.
החל מתאריך 1.1.2016 ספקים המספקים שירותים למוסדות בריאות מחויבים לעבור הסמכה לתקן בינלאומי לאבטחת מידע – ISO 27001 או לתקן אבטחת מידע למערכות בריאות – ISO 27799.
ספקים אשר לא יוסמכו לתקנים אלו, לא יוכלו לבצע התקשרות עם מוסדות הבריאות. עמידה בתקנים אלו ייבדקו במסגרת הבקרות שעורך משרד הבריאות.
את החוזר המלא תוכלו לקרוא כאן.
מהו תקן ISO 27799?
תקן ISO 27799, הינו תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות. התקן מגדיר כללי הגנה על מידע רפואי אישי האגור במערכות החברה.
ISO 27799 פורסם בסוף שנת 2010 ומהווה תוספת מחמירה לתקן ISO 27001 – תקן לאבטחת המידע בארגון.
כל מה שצריך לדעת אודות אבטחת המידע בארגון
לקריאת המתודולוגיה של ISO 27001 (מומלץ)
על מי חל התקן?
ISO 27799 חל על ארגונים רפואיים או ארגונים המחזיקים מידע רפואי מכל הסוגים והגדלים, לרבות חברות פרטיות וציבוריות, ישויות ממשלתיות וארגונים ללא כוונת רווח, המספקים ללקוחותיהם שירותי עיבוד מידע רפואי.
איומיים ייחודיים בתחום אבטחת המידע במערכות הבריאות:
- מניעת שירות (Denial Of Service) – פגיעה ישירה במערכות המידע הרפואיות המספקות חלק שירותי הרפואה למטופלים בשגרה ובחירום.
- גניבת מידע – פריצה למערכות המידע וגניבת מידע רפואי אישי אודות מטופלים.
- שיבוש מידע – גישה לנתוני המטופלים והאפשרות לשינוי תוצאות הבדיקות והנתונים בתיק המטופל יכול לגרור להחלטות רפואיות שגויות.
החמרות בהגנת המידע הרפואי והאישי בארגוני הבריאות על פי ISO 27799:
- מערכות ותשתיות המידע, כגון: מערכות הפעלה, רכיבי תקשורת, בסיסי נתונים יאובטחו בהתבסס לנהלים.
- כלים וטכנולוגיות המאושרים לשימוש יתעדכנו על ידי ממונה לאבטחת המידע במשרד הבריאות.
- מדיה המכילה מידע רפואי נדרשת להיות מוגנת באמצעות הצפנת מידע/הגנה פיזית.
- גישה למידע רפואי תחוייב באמצעות חובת הזדהות ומתן הרשאות מתאימות לבעלי התפקידים.
למאמרים על תקנות הגנת הפרטיות
למאמרים על ISO 27001
למאמרים על רגולצית הגנת הפרטיות האירופאית GDPR
מהם הכלים המסופקים על ידי תקן ISO 27799?
התקן מספק כלים להתמודדות עם חולשות מובנות של ארגוני הבריאות ומכיל רשימה של איומים פוטנציאליים שיש לשקול ולהיערך בהתאם כחלק מתהליך הערכת סיכונים בארגון:
- סיכון בחשיפת המידע הרפואי בעקבות תנועה שוטפת של עובדים/מטופלים/ספקים דרך אזורי התפעול בארגון.
- תקצוב חסר בכח אדם הגורם לצוותי הבריאות לעבוד במתכונת לחץ ובחוסר תשומת לב.
- צרכים אדמיניסטרטיביים, המחייבים ארגוני בריאות לנהל מאגרי מידע (כגון: מאגר מרשמי תרופות), לעיתים מאגרים אלו מנוהלים במערכות תפעוליות ישנות ומהוות פירצת אבטחה פוטנציאלית לגניבת זהות.
תהליך השיפור המתמיד PDCA – Plan-Do-Check-Act:

בקרות להגברת אבטחת המידע בארגון:
ISO 27799 מפרט את הבקרות הנוספות הבאות (שאינן קיימות ב- ISO 27001) שיש להטמיע בארגון בכדי להגדיל את רמת ההגנה על הנתונים הרפואיים:
- התאמת מדיניות החברה למטרות, תהליכים, מערכות המידע בהם עובר מידע רפואי.
- הקמת פורום אבטחת מידע שיתכנס אחת לתקופה וקבועה וידון בשינויים בתהליכים ובמערכות המידע בחברה.
- סקירת סיכונים בשימוש באמצעים ניידים בהם זורם מידע רפואי אישי.
- הכשרה, מיון, וגיוס עובדים מהימנים להם ניתן יהיה לתת גישה למידע הרפואי.
- הגדרת גישה לנתונים הרפואיים של לקוחות/ מטופלי החברה.
- מתן אפשרות עיבוד של הנתונים רק למטרה שלשמם סופק.
- ניהול מסמכים בהתאם למדיניות ונהלים של מידע רפואי.
- הגדרת נהלים והסכמי סודיות עבור עובדים היכולים לגשת לנתונים אישיים.
- הגדרת נוהל לגיבוי נתונים רפואיים ושמירה על מהימנות, זמינות וסודיות המידע.
- נוהל לגריסה וגריטת מידע רפואי.
מהם היתרונות בהטמעת תקן 27799 ISO?
- ביטחון לקוחות מוגבר – במידה והחברה עומדת בתקן ISO 27799 אזי ששמירת מידע רפואי בראש מעינייה ומבצעת סקירה תקופתית לעמידה בהגנות שהגדירה החברה.
- דרישת לקוח/גוף ציבורי – עמידה בתקן מאפשרת לפנות לשווקים בינלאומיים ולעבוד עם משרדי הממשלה והחברות הגדולות במשק.
- דרישות חוק – עצם העמידה בדרישות החוקים, תקנות והרגולציה בעיר בעיבוד מידע רפואי, מעמידה את הספק במיצוי יכולות אבטחת המידע שלו וגורמת לשינוי טכני חשוב שבא לידי ביטוי ביצירת שחזורי נתונים, גיבוי חכם והצפנה.
- הימנעות מפרצות אבטחה – בקרה על אי זליגת המידע, אי שימוש במאגרי מידע לצורכי שיווק והקפדה על פרטיות מאגרי המידע המאוחסנים מונעות זליגת מידע רגיש של הארגון ומצמצמות הוצאות על נזקים הקשורים באירועי אבטחה, איבוד מידע או אי זמינות שלו.