במהלך השנים האחרונות בוצעה עבודה ממוקדת ואינטסיבית מאד בקרב כלל ארגוני הבריאות לצורך העמדה לתקן ISO27799 שכללה הגדרת נהלים ומדיניות, מיפוי מידע רפואי, מוצרים ופתרונות טכנולוגים וכדומה, הכל לצורך קבלת ההסמכה המיוחלת.

חוזר המנהל הכללי של משרד הבריאות מעדכן מדי תקופה את הדגשים הנוספים שעל הארגונים הרפואיים לעמוד בהם. למעשה המשמעות של תקן זה על המוסדות הרפואיים והעדכונים לחוזר הוא שמדי שנה על המוסדות הרפואיים להדק שליטתם באופן הולך וגובר במידע הרפואי הזורם בתווך.

כידוע, חלק בלתי נפרד משגרת ההתנהלות העסקית והתפעולית בארגוני הרפואה מתבססת על קשרי עבודה יומיומיים בהם הארגון מתקשר עם גורמי חוץ כגון לקוחות, ספקים, רגולטורים, שותפים ועובדים חיצוניים.  קשרים אלה מבוססים בעיקר על התשתית הטכנולוגית של הארגון ועל שיתוף ידע ונכסי מידע שחלקם קריטיים לארגון ועל חלקם חלות הוראות רגולטוריות כאלה ואחרות.

אם כן, הגנה על כלל נכסי המידע של הארגון הקשורים במידע רפואי ואופן הציות לרגולציה והמוניטין שבנתה, ברמה הגבוהה ביותר אינה ראלית ואינה אפשרית אלא אם כן נדאג להתאימה למידת הרגישות והסיכון הנובעים בעבודה מול כל אחד ואחד מאותם גורמים. בכלל זה, אובדן חלק מנכסי המידע על ידי ספק חוץ הוא מטריד לכל הפחות ופגיעה בנכסי מידע אחרים יכולה לפגוע בהתנהלות הארגון בצורה אנושה, שלא לאמר אף מסכנת חיים.

אך מה הם אותם נכסי המידע?

נכסי המידע הינם הנכסים והתהליכים הרפואיים אשר במידה ויגנבו, ידלפו או יעשה בהם שימוש לא אחראי על ידי אותם גורמי חוץ, ייצרו נזקים משמעותיים לארגון.

לאור זאת, על הארגון למפות, להחליט ולדעת מי הם אותם ספקי חוץ שהינם בעבודה שוטפת מולו, שיש לגביהם הוראות רגולטוריות ספציפיות שעל הארגון לקיימן ואילו בקרות הגנה יש ליישם בתהליך מולם על מנת לצמצם את הסיכון שבזליגת המידע.

לכן, אם עד עתה חל התקן על המוסדות הרפואיים בלבד:

הרי שמעתה ואילך, בעקבות החוזר חוזר המנהל הכללי מתאריך 15.02.15 יורחב התקן ויכול כחובה גם על ספקי החוץ של המוסדות הרפואיים וזאת החל מתאריך 01.01.16:

הכיוון ברור, רמת המודעות של הארגונים הרפואיים לאבטחת המידע אצל מאות ואלפי ספקי החוץ העובדים איתם הינה בסיסית במקרה הטוב ועל פי רוב נמוכה ביותר. התרשמתי  מכך באופן ישיר בניסיוני המקצועי ובהסמכת כמה גופים רפואיים גדולים לתקן וככל הנראה זו גם התרשמותו של הממונה מטעם משרד הבריאות. אי לכך החוזר מבקש לטפל בצורה מסודרת בנושא מיפוי ספקי החוץ המקבלים ואו מוציאים מידע רפואי רגיש הנמצא באחריות הארגון.

מה זה אומר בפועל?

שלב הראשון, יש למפות את ספקי החוץ בארגון כך שיכלול התייחסות ראשונית לנושאים הבאים לפחות:

על בסיס מיפוי זה נוכל להעריך את אופן ההתקשרות עם הספק ומידת רמת ההגנה שיש ליישם בעבודה מולו. כמו כן, רמת ההגנה שיש לדרוש מאותו ספק לתחזק גם במערכותיו הוא On Premsis.

שלב שני, החל מה- 1.1.2016 יש לבצע התקשרויות רק עם ספקים העומדים בתקנים הנ”ל. כך שלמעשה המיפוי יעזור לארגונים הרפואיים להבין מי הם אותם גורמי חוץ המחזיקים מידע רפואי או מידע על תשתיות מערכות הבריאות ולנהל אותם באופן חד וברור.

חברת InfoGuard פועלת לפי מתודולוגיית עבודה שעל פיה מוכשרים ופועלים כלל היועצים בנושא מיפוי והגנה על נכסי מידע בארגונים. הפרויקטים מבוצעים בהתבסס על מתודולוגיית העבודה ייחודית  ועלGood Practices  מקובלים בעולם בתחום הגנת המידע.

אנו מאמינים כי שימוש במתודולוגיה שנבחנה ויושמה בהצלחה בפרויקטים ובסוגים שונים של חברות, הינה נדבך חשוב בהצלחת הפרויקט וביישומו ביעילות ובאפקטיביות. למותר לציין כי המתודולוגיה נבנתה ומתעדכנת באופן שוטף על בסיס פרויקטים שונים שנעשו על ידי כלל מומחי הגנת המידע של הרשת הגלובלית ולאור התנסותם באתגרים השונים שעולם הגנת המידע מכיל ואופן ההתמודדות עימם.

בכלל זה, ניסיוננו לביצוע שלבי המיפוי על בסיס דרישת החוזר, מטרותיו והכרותינו את הצעדים הנדרשים מאפשרת דרך פשוטה יחסית אך עם תוצאות מדויקות:

 

מיפוי גורמי החוץ והגנה אמיתית על המידע הרפואי היא תעודת הביטוח הטובה ביותר לכל ממונה אבטחת מידע המודע לכמות הגורמים הנמצאים בקשר עם ארגונו והאיומים והסכנות המגיעים עימם.

 

מידע שעשוי לעניין אותך

מבדקי חדירה

בדיקות חדירה הינן תהליך בו מתבצעת בדיקה של מצב אבטחת המידע בארגון בעיניו של פורץ. מבדקי חדירה אלה הנקראים גם

קרא עוד »

הדרכות מודעות

הדרכות מודעות מהי הדרכת מודעות? הדרכות אפקטיביות בנושא אבטחת המידע, בקרב עובדי החברות השונות במשק הינו דבר חשוב אך אינו

קרא עוד »

 

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *