ארגונים וחברות בתחום הבריאות, לרבות בתי חולים, יצרני מכשור רפואי ומפתחי תוכנה, מתמודדים עם איומי אבטחת מידע על בסיס קבוע. תקנים רגולטוריים שונים מתייחסים לנהלים ולפעולות שיש לנקוט על מנת להתמודד עם איומים אלו ועל מנת להגן על המידע הפנימי בארגון ועל המידע הרגיש של לקוחותיו. בכתבה זו נעסוק בשילוב בין תקן ISO 27001, תקן ISO 27799 והסמכת HIPAA, המשלימים זה את זה בצורה מיטבית.
?ISO 27001 מהו תקן
תקן ISO 27001 הוא מודל ניהול אבטחת מידע ארגוני העושה שימוש באמצעים מתאימים להגנה וניהול יעילים של כל המידע הרגיש בארגון. במסגרת סדרת הסרטונים MedDevTalk הסבירה דינה ספרי, מנכ”לית מד-דב סופט, מי בדיוק נדרש להסמכה ובאיזה שלב:
מהי הסמכת HIPAA?
הסמכת HIPAA, כלומר Health Insurance Portability and Accountability Act היא למעשה חוק אמריקאי אשר אומץ באירופה, כולל ישראל. החוק מתייחס לניהול אבטחת מידע בחברות בתחום הבריאות, והוא חל על ארגוני הבריאות עצמם וגםעל הספקים וקבלני המשנה שלהם. התקן מגן על מידע רפואי באמצעות תהליכים ובקרות כמו ניהול סיכונים. בסרטון הבא מפרטת דינה ספרי, מנכ”לית מד-דב סופט, אודות ההסמכה:
?ISO 27799 מהו תקן
תקן ISO 27799 מוסיף מידע ודרישות מיוחדות לתהליך ניהול אבטחת המידע בארגוני בריאות, בדגש על ארגונים המנהלים רשומות רפואיות. התקן עושה שימוש באמצעים מתאימים להגנה על המידע הרפואי הרגיש של לקוחות החברה.
האם נכון לשלב את תקן ISO 27001 עם ISO 27799?
כיום לארגוני בריאות יש גם תשתית טכנולוגית, מערכות מידע ואפליקציות שעלולות להיות פגיעות. מעבר לכך, הם מנהלים מידע בריאותי אישי, כך שהסיכונים לאבטחת המידע גבוהים. ISO 27001 הוא תקן הקובע דרישות למערכת ניהול אבטחת מידע, וניתן לשלב אותו עם תקנים אחרים כמו ISO 27002 ליישום בקרות אבטחה. בארגוני בריאות וסביבה רפואית ISO 27799 מספק בקרות אבטחה ספציפיות, כך שבמקרה זה השילוב של ISO 27001 ו-ISO 27799 נדרש והגיוני.
למה כדאי לשדרג את תהליכי העבודה כך שהחברה והמוצר יעמדו בתקני ISO 27001 ,ISO 27799 ו-HIPAA ולקבל הסמכה רשמית?
• הגברת תחושת הביטחון בקרב לקוחות החברה ושיפור המוניטין של החברה
• עמידה בדרישות הרגולציה וארגוני הבריאות הבינלאומיים
• שדרוג תהליך הניהול והאבטחה של מאגרי המידע ומערכות המידע של החברה
• מניעת דליפה של מידע רגיש (נתונים עסקיים, נתוני לקוחות וכו’)
• הפחתת הוצאות בגין נזקים הקשורים לאירועי אבטחה ואובדן או חוסר זמינות של מידע
• המשכיות עסקית ויכולת התאוששות מאירועי פרצת אבטחה
• זיהוי סיכוני אבטחת מידע קיימים ובניית תוכנית מניעה
• קיום ביקורות פנימיות לקראת ביקורת הסמכה על ידי גוף מאשר (רגולטור)
• עריכת סקירות הנהלה בהתאם לדרישות התקן
מהו תהליך ההקמה של מערכת ניהול אבטחת מידע המשלבת ISO 27001 ,ISO 27799 ו-HIPAA, וכיצד MedDev Soft יכולה ללוות אותך בתהליך?
1. הגדרת מדיניות אבטחת המידע בחברה
2. יישום תהליך זיהוי, הערכה ובקרה של סיכוני אבטחת מידע, לרבות הגדרת פעילויות למניעת התממשותם
3. הגדרת וכתיבת נהלים וכללים למניעת דליפת מידע ודרישות אבטחת המידע במערכות המידע של החברה
4. הגדרת דרישות והנחיות אבטחת מידע במסגרת הנהלים הפנימיים של החברה (נהלים ברמת תהליך העבודה)
5. הגדרת יעדי אבטחת מידע ומדדים
6. הגדרת פעילות לשיפור מתמיד והטמעת נהלי אבטחת המידע כחלק מהתרבות הארגונית
כיצד מתבצע תהליך הייעוץ עבור ISO 27001 או ISO 27799 כולל הסמכת HIPAA?
התהליך מתחיל בפגישות עם אנשי מפתח בחברה על מנת ללמוד את תהליכי העבודה שלכם. יועץ מחברתנו מאפיין את תהליכי העבודה ומפתח את הנהלים, הוראות העבודה והטפסים ובשיתוף עם אנשי הארגון מזהה את סיכוני אבטחת המידע. הנהלים שהוגדרו יעברו אישור על ידי נציגי הנהלת החברה, ולאחר מכן אנו נסייע בתהליך היישום וההטמעה שלהם בארגון. תהליך האינטגרציה מותאם אישית לצרכים של הארגון וכולל בין היתר הדרכות, ביקורות פנימיות, הכנה והשתתפות בסקירת ניהול איכות ועוד.