ISO 27799
ISO 27799 הוא תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות, שפורסם בסוף שנת 2010 על ידי ארגון התקינה הבינלאומי - ISO. התקן מתבסס על התקן הכללי לאבטחת מידע ISO 27002, ומטרתו לתת כלים בידי ארגונים רפואיים, לצורך הגנה על מידע רפואי אישי שברשותם.
רקע
עריכהתקנים לאבטחת מידע
עריכהתקן לאבטחת מידע פורסם כבר במחצית שנות ה-90 של המאה ה-20, במהלך השנים עודכן התקן מספר פעמים עד שבשנת 2007 התייצב על הגרסה הנקראת ISO 27002. תקן זה מספק את הכללים הברורים ביותר לניהול אבטחת מידע בארגון, והוא כולל הנחיות בנושאים הבאים:
- קביעת מדיניות האבטחה, וניהול נכסי המידע.
- היבטי אבטחה לעובדים קיימים וקבלת עובדים חדשים.
- הגנה על סביבת ומתקני המחשוב.
- הקמת מערכות בקרה וניהולן הטכני.
- הגבלת זכויות גישה לרשתות, מערכות, יישומים, ונתונים.
- צפיית אירועי פריצה, וניהול תגובה הולמת.
- אמצעי הגנה, שמירה וניהול שחזור בעת קריסה של המידע.
אבטחת מידע רפואי
עריכההמידע הרפואי האישי האגור בארגוני הרפואה בעולם, הוא מצד אחד רגיש במיוחד, אך מצד שני הוא מצוי בסביבה רוחשת משתמשים ומבקרים. עם הגברת השימוש בארגוני הבריאות בטכנולוגיות אלחוטיות ומבוססות אינטרנט, נוצר צורך הכרחי ומיידי באינטרפרטציה מיוחדת של ISO-27002 המותאמת להגנה על מידע רפואי אישי. צורך זה אובחן על ידי איציק כוכב הממונה על הגנת המידע בשירותי בריאות כללית, בעת שהטמיע את ISO-27001 במוסדות הקופה. בשיתוף פעולה עם מכון התקנים הישראלי, פנה כוכב לארגון התקינה הבינלאומי, והיה שותף פעיל בניסוח התקן[1] מדובר בהליך בינלאומי מורכב, בו מעורבים כל הגופים בתחום הבריאות והרפואה בעולם כמו חברות תרופות, חברות ביטוח, וחברות לציוד רפואי.
התקן וייחודו בתחום הבריאות
עריכהתקן ISO 27799, מתבסס על הניסיון שנצבר במדינות שונות, על סמך המאמצים הלאומיים שנעשו בהן, בכל הנוגע לטיפול בביטחונו של מידע הבריאות האישי וחסיונו. התקן מיועד לנושאים באחריות לפיקוח על ביטחון מידע הבריאות בארגוני שרותי בריאות. כן, מיועד התקן, לישויות אחרות המחזיקות בקרבן מידע בריאות, ומבקשות לפעול על פי כללים בינלאומיים לרבות יועצי ביטחון מידע, אנשי ביקורת וספקים.
התקן עוסק בשמירת כל מידע בריאות אישי, הנוגע לאדם שניתן לזהותו[2], וקשור למצבו הפיזי או הנפשי, או לשירותי הבריאות המסופקים לו. בכלל זה התקן מגדיר את נכסי הארגון ומתקניו הקשורים למידע.
התקן מגדיר תהליכי ציות, כדי לוודא עמידה של הארגון בכללי התקן, וקובע כללים להערכת סיכונים, הניהול והטיפול בהם.
התקן מציין כי אבטחת המידע הרפואי היא מכלול על פיו יש לשמור על סודיות, שלמות, וזמינות המידע. בעוד שלא כל מידע חייב להיות סודי (לדוגמה: מידע סטטיסטי), הרי שכל פרטי המידע חייבים להיות שלמים וזמינים לבעלי ההרשאות.
התקן נותן כלים להתמודדות עם חולשות מובנות של ארגוני הבריאות. בתקן רשימה של סוגי האיומים אותם על הארגונים לשקול, בבואם להעריך סיכונים, כמו:
- כמויות אדם גדולות הנעות דרך אזורי התפעול וחשיפת המערכת בשל כך לאיומים פיזיים.
- תקצוב חסר באופן קבוע הגורם לצוותי הבריאות לעבוד במתכונת לחץ, או כמו אי החלפת מערכות תפעוליות, שזמנן חלף, במועד.
- צרכים אדמיניסטרטיביים, המחייבים ארגוני בריאות לנהל מאגרי מידע (כגון: מאגר מרשמי תרופות), מאגרים המהווים פיתוי למבקשים לגנוב זהויות.
התקן מציג את חובת סיווג המידע, ומבהיר את הכללים לסיווג, תוך שהוא לוקח בחשבון כי לא כל מה שסודי לדעת מטופל זה, ייחשב סודי לדעתו של מטופל אחר.
התקן מדגיש את החשיבות של מחויבות הנהלת הארגון לכללי התקן, לשם הצלחת הטמעתו בארגון.
ISO 27799 בישראל
עריכהבישראל, ממנה כאמור לעיל, הגיעה היוזמה לניסוח התקן, ניתנה לו חשיבות רבה ומוסדות רפואיים בארץ היו חלוצים בנושא. בשנים 2011-2010 הוסמכו כל מוסדות שירותי בריאות כללית לתקן ISO 27001, זאת כהכנה להטמעת תקן ISO 27799 החדש. המוסד הראשון בעולם שהוסמך לתקן הוא המרכז הרפואי כרמל[1]. המוסד הפסיכיאטרי הראשון בעולם שהוסמך לתקן היה המרכז לבריאות הנפש שלוותה שבהוד השרון[3].
ביום 14 בנובמבר 2011, הוציא רוני גמזו מנכ"ל משרד הבריאות חוזר למנהלים הכלליים של כל קופות החולים, בו הוא מנחה אותם כי עד לסוף שנת 2013 יוסמכו מטות קופות החולים לתקן אבטחת המידע הבינלאומי ISO 27799. בהתאם לחוזר זה יוסמכו המחוזות של קופות החולים עד לסוף שנת 2016.
בנוסף הורה מנכ"ל משרד הבריאות להסמכת בתי החולים הממשלתיים לתקן ISO 27799 עד לתאריך 1 באפריל 2014, ללא יוצא מן הכלל.
בעקבות כך החל פרויקט נרחב להסמכת בתי החולים לתקן.
מוסדות רפואיים אשר אינם יעמדו בתקן ISO 27799, לא יוכלו לקבל רישיון למוסד רפואי ולחידוש רישיונם.
החל מיום 1 בינואר 2016 ספקים אשר מספקים שירות למוסדות בריאות מחויבים להיות מוסמכים לתקן הבינלאומי לניהול אבטחת המידע תקן ISO 27001 או בתקן אבטחת מידע למערכות בריאות – ISO 27799.
ספקים אשר אינם יעמדו בתקנים אלו, לא יוכלו לעבוד מול מוסדות הבריאות.
ראו גם
עריכהקישורים חיצוניים
עריכה- תקן ISO 27799 באנגלית
- תקן ISO 27799 בעברית
- תקן ISO 27799 באתר מכון התקנים הישראלי
הערות שוליים
עריכה- ^ 1 2 אבי בליזובסקי, בית החולים כרמל - המוסד הרפואי הראשון בעולם שקיבל את תקן הגנת המידע ISO 27799, אנשים ומחשבים 14 באוגוסט 2011
- ^ מידע בריאות אישי, אינו כולל מידע שעבר תהליך של אנונימיזציה, והוסרו ממנו כל הפרטים המזהים
- ^ שלוותה – מרכז פסיכיאטרי ראשון בעולם עם תקן בינלאומי להגנת מידע, נובמבר 2011