ISO 27799 | תקן לניהול אבטחת מידע רפואי

יישום והטמעת תקן ISO 27799 - ניהול אבטחת מידע רפואי

הצעד הראשון שלך באבטחת מידע רפואי

השאירו פרטים כאן לקבלת מידע טלפוני אודות תקן ISO 27799 או התקשרו ל- 03-9550222

 

הגנה על מידע במערכות ממוחשבות במערכת הבריאות:

לפי חוזר המנהל הכללי, החל מתאריך 1.1.2014 מוסדות הרפואה במדינת ישראל מחויבים להיות מוסמכים לתקן אבטחת מידע למערכות בריאות – ISO 27799.

מוסדות רפואיים אשר לא יעמדו בתקן זה, לא יוכלו לקבל רישיון למוסד רפואי ולא יוכלו לחדש את רישיונם.

החל מתאריך 1.1.2016 ספקים המספקים שירותים למוסדות בריאות מחויבים לעבור הסמכה לתקן בינלאומי לאבטחת מידע – ISO 27001 או לתקן אבטחת מידע למערכות בריאות – ISO 27799.

ספקים אשר לא יוסמכו לתקנים אלו, לא יוכלו לבצע התקשרות עם מוסדות הבריאות. עמידה בתקנים אלו ייבדקו במסגרת הבקרות שעורך משרד הבריאות.

את החוזר המלא תוכלו לקרוא כאן.

 

מהו תקן ISO 27799?

תקן ISO 27799, הינו תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות. התקן מגדיר כללי הגנה על מידע רפואי אישי האגור במערכות החברה.

ISO 27799 פורסם בסוף שנת 2010 ומהווה תוספת מחמירה לתקן ISO 27001 – תקן לאבטחת המידע בארגון.

כל מה שצריך לדעת אודות אבטחת המידע בארגון

לקריאת המתודולוגיה של ISO 27001 (מומלץ)

 

על מי חל התקן?

ISO 27799 חל על ארגונים רפואיים או ארגונים המחזיקים מידע רפואי מכל הסוגים והגדלים, לרבות חברות פרטיות וציבוריות, ישויות ממשלתיות וארגונים ללא כוונת רווח, המספקים ללקוחותיהם שירותי עיבוד מידע רפואי.

 

איומיים ייחודיים בתחום אבטחת המידע במערכות הבריאות:

  • מניעת שירות (Denial Of Service) – פגיעה ישירה במערכות המידע הרפואיות המספקות חלק שירותי הרפואה למטופלים בשגרה ובחירום.
  • גניבת מידע – פריצה למערכות המידע וגניבת מידע רפואי אישי אודות מטופלים.
  • שיבוש מידע – גישה לנתוני המטופלים והאפשרות לשינוי תוצאות הבדיקות והנתונים בתיק המטופל יכול לגרור להחלטות רפואיות שגויות.
השארת פרטים
מעוניינים בשיחת ייעוץ עם מומחה בתחום?

החמרות בהגנת המידע הרפואי והאישי בארגוני הבריאות על פי ISO 27799:

  •  מערכות ותשתיות המידע, כגון: מערכות הפעלה, רכיבי תקשורת, בסיסי נתונים יאובטחו בהתבסס לנהלים.
  • כלים וטכנולוגיות המאושרים לשימוש יתעדכנו על ידי ממונה לאבטחת המידע במשרד הבריאות.
  • מדיה המכילה מידע רפואי נדרשת להיות מוגנת באמצעות הצפנת מידע/הגנה פיזית.
  • גישה למידע רפואי תחוייב באמצעות חובת הזדהות ומתן הרשאות מתאימות לבעלי התפקידים.

למאמרים על תקנות הגנת הפרטיות

למאמרים על ISO 27001

למאמרים על רגולצית הגנת הפרטיות האירופאית GDPR

 

מדיניות מחשוב ענן במערכת הבריאות:

מחשוב ענן מאפשר למשתמש לצרוך שירותי מחשוב מרחוק באמצעות רשת האינטרנט או קו תקשורת ייעודי.

בשנים האחרונות ישנה עליה בשימוש בשירותי ענן בתעשיות רבות המאפשרת לארגוני הבריאות לעשות שימוש בטכנולוגיות מתקדמות שיכולות לסייע להם להתמודד עם האתגרים התשתיתיים, הארגוניים, הטכנולוגיים והכלכליים הניצבים בפניהם, ומעודד את חיזוק היכולות הטכנולוגיות של ארגוני הבריאות כמרכיב חשוב בקידום תחום הבריאות הדיגיטלית.

לשם כך, פורסם חוזר המנכ"ל מתווה את מדיניות השימוש במחשוב ענן במערכת הבריאות הישראלית ובשיתוף עם גורמי ממשלה האחראים על תחום הענן – רשות התקשוב, מערך הסייבר הלאומי והרשות להגנת הפרטיות, פיתחו כלי ניהול סיכונים ייעודי אשר מיישם את הוראות החוזר ומייצר פשטות ובהירות לגבי אופן ביצוע הערכת הסיכונים של המעבר לשימוש במחשוב ענן.
  • מדיניות ענן ארגונית – הגדרת מדיניות ענן ארגונית ואישורה על ידי הנהלת הארגון. יש לקיים דיון תקופתי ולעדכנה בהתאם לשינויים בארגון.

מדיניות הארגון תכלול התייחסות לנושאים הבאים:

    • התנאים להעברת מידע לענן;
    • תהליכי האישור הפנימיים;
    • סמכויות ואחריות בעלי התפקידים השונים;
    • אמצעי פיקוח ובקרה ועוד.
  • הליך פנימי לבחינת השימוש במחשוב ענן –  יש לבחון את התועלות הצפויות כתוצאה משימוש במערכות מחשוב ענן, הערכת הסיכונים הנובעים מהשימוש במחשוב ענן, בחינה של התאמת השימוש במחשוב ענן לדרישות הדין ועוד.
  • הליך ניהול והערכת סיכונים – הליך ניהול והערכת הסיכונים נועד לבחון את רמת הסיכון הנובעת מהשימוש במערכות מחשוב ענן (נמוכה, בינונית, גבוהה) וכתוצאה מכך, לקבוע את הבקרות ואמצעי אבטחת המידע והגנת המידע שנדרש ליישם בכדי למנוע פרצות אבטחה. הממצאים שיופקו כתוצאה מניהול והערכת סיכונים יאושרו על ידי ממונה אבטחת המידע והגנת הסייבר, נציג הלשכה המשפטית וממונה הגנת הפרטיות.
  • כלי עזר לניהול סיכונים – כלי עזר לניהול סיכונים מספק כלים להתמודדות עם חולשות מובנות של ארגוני הבריאות ומכיל רשימה של איומים פוטנציאליים שיש לשקול ולהיערך בהתאם כחלק מתהליך הערכת הסיכונים בארגון.

הכלי מכיל שלושה גיליונות המכילים שאלות מנחות סגורות לאפיון המערכת המבוקשת. בהתאם לתשובות, ניתן לכל סיכון ציון, אשר משוקלל יחד עם הציונים של יתר הסיכונים הנבחנים לכדי ציון מסכם הקובע את רמת הסיכון של המערכת/המידע. רמת הסיכון נקבעת באופן הבא: רמת סיכון נמוכה – ציון הנמוך מ-40, רמת סיכון בינונית – ציון בין 75-40 ורמת סיכון גבוהה – ציון גבוה מ-80.

בחלק האחרון של כלי ניהול הסיכונים מצורפים גיליונות משלימים שמטרתם לרכז תחת טופס אחד את כל המידע הנדרש עבור ועדת הענן לצורך בחינת הבקשה וקבלת החלטה בה.

 

בקרות להגברת אבטחת המידע בארגון:

ISO 27799 מפרט את הבקרות הנוספות הבאות (שאינן קיימות ב- ISO 27001) שיש להטמיע בארגון בכדי להגדיל את רמת ההגנה על הנתונים הרפואיים:

  • התאמת מדיניות החברה למטרות, תהליכים, מערכות המידע בהם עובר מידע רפואי.
  • הקמת פורום אבטחת מידע שיתכנס אחת לתקופה וקבועה וידון בשינויים בתהליכים ובמערכות המידע בחברה.
  • סקירת סיכונים בשימוש באמצעים ניידים בהם זורם מידע רפואי אישי.
  • הכשרה, מיון, וגיוס עובדים מהימנים להם ניתן יהיה לתת גישה למידע הרפואי.
  • הגדרת גישה לנתונים הרפואיים של לקוחות/ מטופלי החברה.
  • מתן אפשרות עיבוד של הנתונים רק למטרה שלשמם סופק.
  • ניהול מסמכים בהתאם למדיניות ונהלים של מידע רפואי.
  • הגדרת נהלים והסכמי סודיות עבור עובדים היכולים לגשת לנתונים אישיים.
  • הגדרת נוהל לגיבוי נתונים רפואיים ושמירה על מהימנות, זמינות וסודיות המידע.
  • נוהל לגריסה וגריטת מידע רפואי.

 

מהם היתרונות בהטמעת תקן 27799 ISO?

  • ביטחון לקוחות מוגבר – במידה והחברה עומדת בתקן ISO 27799  אזי ששמירת מידע רפואי בראש מעינייה ומבצעת סקירה תקופתית לעמידה בהגנות שהגדירה החברה.
  • דרישת לקוח/גוף ציבורי – עמידה בתקן מאפשרת לפנות לשווקים בינלאומיים ולעבוד עם משרדי הממשלה והחברות הגדולות במשק.
  • דרישות חוק – עצם העמידה בדרישות החוקים, תקנות והרגולציה בעיר בעיבוד מידע רפואי, מעמידה את הספק במיצוי יכולות אבטחת המידע שלו וגורמת לשינוי טכני חשוב שבא לידי ביטוי ביצירת שחזורי נתונים, גיבוי חכם והצפנה.
  • הימנעות מפרצות אבטחה – בקרה על אי זליגת המידע, אי שימוש במאגרי מידע לצורכי שיווק והקפדה על פרטיות מאגרי המידע המאוחסנים מונעות זליגת מידע רגיש של הארגון ומצמצמות הוצאות על נזקים הקשורים באירועי אבטחה, איבוד מידע או אי זמינות שלו.

 

תהליך השיפור המתמיד PDCA – Plan-Do-Check-Act:

תהליך שיפור מתמיד על פי ISO 27799

בסוף התהליך תקבלו גם:

  • סקר סיכונים מקיף לאבטחת המידע הרפואי שלכם
  • תכנית המשכיות עסקית
  • מנגנון בקרה מובנה ומסודר לניהול אבטחת מידע רפואי
ISO 27799

היתרונות שלנו

הטמעת תקן קלה ופשוטה

אנחנו הופכים את העבודה לפשוטה ונוחה, אנחנו לא נסרבל אתכם, מניסיון שלנו - פשוט זה יעיל.

ליווי מקצועי עם יועץ מנוסה

מיטב המומחים מהתחום הרגולטורי חוברים למומחי אבטחת מידע, לצורך מתן מענה מקיף ומקצועי לדרישות החוק והרגולציה.

100% הצלחה במבדק ההתעדה

במידה ולא תעברו את מבדק ההתעדה בהצלחה, אנו נישא בעלויות המבדק החוזר, אם יידרש.

מעל 15 שנות נסיון בתקני אבטחת מידע

לאורך השנים צברנו ניסיון רב בליווי מאות תהליכי תקינה ורגולציה בקרב ארגונים קטנים וגדולים.
טופס תחתון

מעוניינים לקבל מידע נוסף אודות תקן ISO 27799?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תהליך הטמעת תקן ISO 27799

  1. 1

    פגישת היכרות והבנת התהליכים

    אבחון החברה, היכרות ואפיון תכנית עבודה ולוחות זמנים לפרויקט.
  2. 2

    כתיבת הנהלים והוראות העבודה

    במילים פשוטות: לוקחים את כל התהליכים שקיימים אצלכם היום בעל פה, והופכים אותם לתורה שבכתב.
  3. 3

    הטמעת דרישות התקן

    נקסטפ מבצעת עבורכם סקר סיכונים לאבטחת המידע, בניית תכנית המשכיות עסקית, הדרכת אבטחת מידע, בקרת איכות לספקים, תיעוד תלונות לקוח וחריגות ועוד.
  4. 4

    הכנה למבדק חיצוני שכוללת סקר הנהלה ומבדק פנימי.

    ההכנה כוללת ביצוע והכנת סקר הנהלה וביצוע מבדקים פנימיים בכל הארגון, מיפוי הפערים החסרים ותיקונים לפני המבדק.
  5. 5

    מבדק חיצוני ע"י מכון ההתעדה

    המבדק החיצוני ייערך ע"י גוף בעל הסמכה לנושא ISO 27799, מתחילתו ועד סופו ייערך המבדק בנוכחות מלאה של יועץ Nextep, כולל מענה לשאלות הסוקרים והשלמות מקצועיות ומענה לפעולות המתקנות מהמבדק.
  6. 6

    קבלת תעודות ISO 27799

    הנפקת תעודות הכוללת את תחום פעילות החברה, ב-2 שפות (אנגלית ועברית).

לקוחות מספרים

חברת Nextep ביצעה עבודה מקצועית ויעילה, כל זאת בתיאום עם הנהלת הארגון. העמידה בלוחות הזמנים שהוגדרו לפרויקט הייתה מדויקת להפליא. אנו מודים ליועצי Nextep על היוזמה לשיפור מערך השירות במנרב הנדסה.  
מנרב הנדסה | חברת הייזום והבנייה הגדולה בישראל
חברת Nextep מסייעת לנו בניהול מערך איכות הסביבה בשנה ה-6 ברצף, ביחד ביצענו עשרות סקרי סביבה באתרי הרשות השונים, וגרמנו להתייעלות סביבתית במשרדי הרשות בנתב"ג.
רשות שדות התעופה | אחת מהרשויות הממשלתיות הגדולות במדינה
חברת Nextep מלווה את המכללה הלאומית לשוטרים בשנים האחרונות בתהליכים מקצועיים כגון בקרת הדרכה'  ובצורה יוצאת מן הכלל ומובילה תהליכי שיפור רבים בעבודה השוטפת.
המכללה הלאומית לשוטרים בישראל | מרכז ההדרכה החדש שהוקם בבית שמש
טופס תחתון

מעוניינים לקבל מידע נוסף אודות תקן ISO 27799?

מלאו פרטים או צרו עמנו קשר ונשמח לעמוד לשירותכם!
  • טלפון

    03-9550222

  • מרדכי רוז'נסקי 18 כניסה ב',
    א.ת חדש ראשון לציון

  • א' - ה'
    08:00-17:00

תקנים נוספים בתחום

ISO 27001

תקן לניהול אבטחת מידע
תקן ISO 27001 הוא תקן לניהול אבטחת מידע בארגון, מטרתו לוודא את שמירתו וניהלו התקין של המידע בארגון. כל ארגון מבוסס על המידע ונתונים, התקן מאפשר לוודא ע"י יצירת מנגנון זיהוי סיכונים, נהלים ובקרות שהנתונים בארגון בטוחים, זמינים ונכונים בכל עת.

GDPR

רגולציית הגנת הפרטיות האירופאית
GDPR - General Data Protection Regulation, הינו קודקס הוראות מחייבות שנבנו על מנת להגן על אזרחי האיחוד האירופי בכל הקשור לעיבוד וחשיפה של מידע הקשור לזהותם.

תקנות הגנת הפרטיות

תקנות ישראליות לאבטחת המידע‎
התקנות מטילות חובות משמעותיות על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל לאבטחת המידע שברשותם.

HIPAA

רגולציה אמריקאית להגנה על מידע רפואי
רגולציית HIPAA חלה על גופים בתחום הבריאות והשותפים העסקיים או הספקים שלהם, כגון ספקי שירותי בריאות, ספקי שירותי גבייה וספקי שירותי מערכות המידע הרפואי.

ISO 27018

תקן לניהול אבטחת מידע בענן
תקן 27018 ISO לניהול אבטחת מידע בענן הינו תקן הנחשב כהרחבה לתקן 27001 ISO, ונחשב ליוקרתי בתעשיות ההייטק והתוכנה.

ISO 27017

תקן להגנה על המידע בשירותי בענן
התקן הבינלאומי ISO 27017 מספק הנחיות ספציפיות לבקרות, טיפול באיומים ובסיכוני אבטחת מידע לשירותי ענן. התקן מבוסס על ISO / IEC 27002 ומהווה הרחבה לתקן ISO 27001 לאבטחת מידע.התקן מיועד לספקי שירותי ענן המספקים שירותי ענן ללקוחות קצה.

ISO 27032

תקן לאבטחת סייבר
תקן ISO 27032 הינו תקן לאבטחה, הגנה על פרטיות, שלמות והנגישות של המידע האישי - Cybersecurity. התקן מתמקד בהגנת המידע האישי באמצעות אבטחת הרשת והאינטרנט והגנה על תשתית מחשוב קריטית CIIP -Critical Information Infrastructure Protection במרחב הסייבר –  Cyberspace. התקן הינו נגזרת לתקן ISO 27001 – תקן לניהול אבטחת המידע בארגון.

2019:ISO 27701

תקן לניהול פרטיות המידע
ISO/IEC 27701:2019 הינו תקן לניהול פרטיות המידע ומהווה הרחבה לתקן אבטחת המידע הבינלאומי - ISO 27001.התקן מספק הנחיות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת לניהול פרטיות המידע - PIMS-Privacy Information Management System.