ISO 27799

מתוך המכלול, האנציקלופדיה היהודית
קפיצה לניווט קפיצה לחיפוש

ISO 27799 הוא תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות, שפורסם בסוף שנת 2010 על ידי ארגון התקינה הבינלאומי - ISO. התקן מתבסס על התקן הכללי לאבטחת מידע ISO 27002, ומטרתו לתת כלים בידי ארגונים רפואיים, לצורך הגנה על מידע רפואי אישי שברשותם. היוזמה לניסוח התקן הגיעה מישראל[1].

רקע

תקנים לאבטחת מידע

תקן לאבטחת מידע פורסם כבר במחצית שנות ה-90 של המאה ה-20, במהלך השנים עודכן התקן מספר פעמים עד שבשנת 2007 התייצב על הגרסה הנקראת ISO 27002. תקן זה מספק את הכללים הברורים ביותר לניהול אבטחת מידע בארגון, והוא כולל הנחיות בנושאים הבאים:

  • קביעת מדיניות האבטחה, וניהול נכסי המידע.
  • היבטי אבטחה לעובדים קיימים וקבלת עובדים חדשים.
  • הגנה על סביבת ומתקני המיחשוב.
  • הקמת מערכות בקרה וניהולן הטכני.
  • הגבלת זכויות גישה לרשתות, מערכות, ישומים, ונתונים.
  • צפיית אירועי פריצה, וניהול תגובה הולמת.
  • אמצעי הגנה, שמירה וניהול שחזור בעת קריסה של המידע.

אבטחת מידע רפואי

המידע הרפואי האישי האגור בארגוני הרפואה בעולם, הוא מצד אחד רגיש במיוחד, אך מצד שני הוא מצוי בסביבה רוחשת משתמשים ומבקרים. עם הגברת השימוש בארגוני הבריאות בטכנולוגיות אלחוטיות ומבוססות אינטרנט, נוצר צורך הכרחי ומיידי באינטרפרטציה מיוחדת של ISO-27002 המותאמת להגנה על מידע רפואי אישי. צורך מיוחד זה אובחן על ידי איציק כוכב[1] הממונה על הגנת המידע בשירותי בריאות כללית, בעת שהטמיע את ISO-27001 במוסדות הקופה. בשיתוף פעולה עם מכון התקנים הישראלי, פנה כוכב לארגון התקינה הבינלאומי, והיה שותף פעיל בניסוח התקן[2] מדובר בהליך בינלאומי מורכב, בו מעורבים כל הגופים בתחום הבריאות והרפואה בעולם כמו חברות תרופות, חברות ביטוח, וחברות לציוד רפואי.

התקן וייחודו בתחום הבריאות

תקן ISO 27799, מתבסס על הניסיון שנצבר במדינות שונות, על סמך המאמצים הלאומיים שנעשו בהן, בכל הנוגע לטיפול בביטחונו של מידע הבריאות האישי וחסיונו. התקן מיועד לנושאים באחריות לפיקוח על ביטחון מידע הבריאות בארגוני שרותי בריאות. כן, מיועד התקן, לישויות אחרות המחזיקות בקרבן מידע בריאות, ומבקשות לפעול על פי כללים בינלאומיים לרבות יועצי ביטחון מידע, אנשי ביקורת וספקים.

התקן עוסק בשמירת כל מידע בריאות אישי, הנוגע לאדם שניתן לזהותו[3], וקשור למצבו הפיזי או הנפשי, או לשירותי הבריאות המסופקים לו. בכלל זה התקן מגדיר את נכסי הארגון ומתקניו הקשורים למידע.

התקן מגדיר תהליכי ציות, כדי לוודא עמידה של הארגון בכללי התקן, וקובע כללים להערכת סיכונים, הניהול והטיפול בהם.

התקן מציין כי אבטחת המידע הבריאותי, היא מכלול על פיו יש לשמור על סודיות, שלימות, וזמינות של המידע. בעוד שלא כל מידע חייב להיות סודי (לדוגמה: מידע סטטיסטי), הרי שכל המידעים חייבים להיות שלמים, וזמינים לבעלי ההרשאות.

התקן נותן כלים להתמודדות עם חולשות מובנות של ארגוני הבריאות. בתקן רשימה של סוגי האיומים אותם על הארגונים לשקול, בבואם להעריך סיכונים, כמו:

  1. כמויות אדם גדולות הנעות דרך אזורי התפעול וחשיפת המערכת בשל כך לאיומים פיזיים.
  2. תקצוב חסר באופן קבוע הגורם לצוותי הבריאות לעבוד במתכונת לחץ, או כמו אי החלפת מערכות תפעוליות, שזמנן חלף, במועד.
  3. צרכים אדמיניסטרטיביים, המחייבים ארגוני בריאות לנהל מאגרי מידע (כגון: מאגר מרשמי תרופות), מאגרים המהווים פיתוי למבקשים לגנוב זהויות.

התקן מציג את חובת סיווג המידע, ומבהיר את הכללים לסיווג, תוך שהוא לוקח בחשבון כי לא כל מה שסודי לדעת מטופל זה, ייחשב סודי לדעתו של מטופל אחר.

התקן מדגיש את החשיבות של מחויבות הנהלת הארגון לכללי התקן, לשם הצלחת הטמעתו בארגון.

ISO 27799 בישראל

בישראל, ממנה כאמור לעיל, הגיעה היוזמה לניסוח התקן, ניתנה לו חשיבות רבה ומוסדות רפואיים בארץ היו חלוצים בנושא. בשנים 2011-2010 הוסמכו כל מוסדות שירותי בריאות כללית לתקן ISO 27001, זאת כהכנה להטמעת תקן ISO 27799 החדש. המוסד הראשון בעולם שהוסמך לתקן הוא המרכז הרפואי כרמל[2]. המוסד הפסיכיאטרי הראשון בעולם שהוסמך לתקן היה המרכז לבריאות הנפש שלוותה שבהוד השרון[4].

ביום 14 בנובמבר 2011, הוציא רוני גמזו מנכ"ל משרד הבריאות חוזר למנהלים הכלליים של כל קופות החולים, בו הוא מנחה אותם כי עד לסוף שנת 2013 יוסמכו מטות קופות החולים לתקן אבטחת המידע הבינלאומי ISO 27799. בהתאם לחוזר זה יוסמכו המחוזות של קופות החולים עד לסוף שנת 2016.

בנוסף הורה מנכ"ל משרד הבריאות להסמכת בתי החולים הממשלתיים לתקן ISO 27799 עד לתאריך 1 באפריל 2014, ללא יוצא מן הכלל.

בעקבות כך החל פרויקט נרחב להסמכת בתי החולים לתקן.

מוסדות רפואיים אשר אינם יעמדו בתקן ISO 27799, לא יוכלו לקבל רישיון למוסד רפואי ולחידוש רישיונם.

החל מיום 1 בינואר 2016 ספקים אשר מספקים שירות למוסדות בריאות מחויבים להיות מוסמכים לתקן הבינלאומי לניהול אבטחת המידע תקן ISO 27001 או בתקן אבטחת מידע למערכות בריאות – ISO 27799.

ספקים אשר אינם יעמדו בתקנים אלו, לא יוכלו לעבוד מול מוסדות הבריאות.

ראו גם

קישורים חיצוניים

הערות שוליים

הערך באדיבות ויקיפדיה העברית, קרדיט,
רשימת התורמים
רישיון cc-by-sa 3.0

30200244ISO 27799