תקן ISO 27799

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

תקן ISO 27799 הוא תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות, שפורסם בסוף שנת 2010 על ידי ארגון התקינה הבינלאומי - ISO. התקן מתבסס על התקן הכללי לאבטחת מידע ISO 27002, ומטרתו לתת כלים בידי ארגונים רפואיים, לצורך הגנה על מידע רפואי אישי, שברשותם. היוזמה לניסוח התקן הגיעה מישראל[1].

רקע[עריכת קוד מקור | עריכה]

תקנים לאבטחת מידע[עריכת קוד מקור | עריכה]

תקן לאבטחת מידע פורסם כבר במחצית שנות ה-90 של המאה ה-20, במהלך השנים עודכן התקן מספר פעמים עד שבשנת 2007 התייצב על הגרסה הנקראת ISO 27002. תקן זה מספק את הכללים הברורים ביותר לניהול אבטחת מידע בארגון, והוא כולל הנחיות בנושאים הבאים:

  • קביעת מדיניות האבטחה, וניהול נכסי המידע.
  • היבטי אבטחה לעובדים קיימים וקבלת עובדים חדשים.
  • הגנה על סביבת ומתקני המיחשוב.
  • הקמת מערכות בקרה וניהולן הטכני.
  • הגבלת זכויות גישה לרשתות, מערכות, ישומים, ונתונים.
  • צפיית אירועי פריצה, וניהול תגובה הולמת.
  • אמצעי הגנה, שמירה וניהול שחזור בעת קריסה של המידע.

אבטחת מידע רפואי[עריכת קוד מקור | עריכה]

המידע הרפואי האישי האגור בארגוני הרפואה בעולם, הוא מצד אחד רגיש במיוחד, אך מצד שני הוא מצוי בסביבה רוחשת משתמשים ומבקרים. עם הגברת השימוש בארגוני הבריאות בטכנולוגיות אלחוטיות ומבוססות אינטרנט, נוצר צורך הכרחי ומיידי באינטרפרטציה מיוחדת של תקן ISO-27002 המותאמת להגנה על מידע רפואי אישי. צורך מיוחד זה אובחן על ידי איציק כוכב[1] הממונה על הגנת המידע בשירותי בריאות כללית, בעת שהטמיע את תקן ISO-27001 במוסדות הקופה. בשיתוף פעולה עם מכון התקנים הישראלי, פנה כוכב לארגון התקינה הבינלאומי, והיה שותף פעיל בניסוח התקן‏[2] מדובר בהליך בינלאומי מורכב, בו מעורבים כל הגופים בתחום הבריאות והרפואה בעולם כמו חברות תרופות, חברות ביטוח, וחברות לציוד רפואי.

התקן וייחודו בתחום הבריאות[עריכת קוד מקור | עריכה]

תקן ISO 27799, מתבסס על הניסיון שנצבר במדינות שונות, על סמך המאמצים הלאומיים שנעשו בהן, בכל הנוגע לטיפול בביטחונו של מידע הבריאות האישי וחסיונו. התקן מיועד לנושאים באחריות לפיקוח על ביטחון מידע הבריאות בארגוני שרותי בריאות. כן, מיועד התקן, לישויות אחרות המחזיקות בקרבן מידע בריאות, ומבקשות לפעול על פי כללים בינלאומיים לרבות יועצי ביטחון מידע, אנשי ביקורת וספקים.

התקן עוסק בשמירת כל מידע בריאות אישי, הנוגע לאדם שניתן לזהותו‏[3], וקשור למצבו הפיסי או הנפשי, או לשירותי הבריאות המסופקים לו. בכלל זה התקן מגדיר את נכסי הארגון ומתקניו הקשורים למידע.

התקן מגדיר תהליכי ציות, כדי לוודא עמידה של הארגון בכללי התקן, וקובע כללים להערכת סיכונים, הניהול והטיפול בהם.

התקן מציין כי אבטחת המידע הבריאותי, היא מכלול על פיו יש לשמור על סודיות, שלימות, וזמינות של המידע. בעוד שלא כל מידע חייב להיות סודי (לדוגמה: מידע סטטיסטי), הרי שכל המידעים חייבים להיות שלמים, וזמינים לבעלי ההרשאות.

התקן נותן כלים להתמודדות עם חולשות מובנות של ארגוני הבריאות. בתקן רשימה של סוגי האיומים אותם על הארגונים לשקול, בבואם להעריך סיכונים, כמו:

  1. כמויות אדם גדולות הנעות דרך אזורי התפעול וחשיפת המערכת בשל כך לאיומים פיזיים.
  2. תקצוב חסר באופן קבוע הגורם לצוותי הבריאות לעבוד במתכונת לחץ, או כמו אי החלפת מערכות תפעוליות, שזמנן חלף, במועד.
  3. צרכים אדמניסטרטיביים, המחייבים ארגוני בריאות לנהל מאגרי מידע (כגון: מאגר מרשמי תרופות), מאגרים המהווים פיתוי למבקשים לגנוב זהויות.

התקן מציג את חובת סיווג המידע, ומבהיר את הכללים לסיווג, תוך שהוא לוקח בחשבון כי לא כל מה שסודי לדעת מטופל זה, ייחשב סודי לדעתו של מטופל אחר.

התקן מדגיש את החשיבות של מחויבות הנהלת הארגון לכללי התקן, לשם הצלחת הטמעתו בארגון.

בישראל[עריכת קוד מקור | עריכה]

בישראל, ממנה כאמור לעיל, הגיעה היוזמה לניסוח התקן, ניתנה לו חשיבות רבה ומוסדות רפואיים בארץ היו חלוצים בנושא. בשנים 2011-2010 הוסמכו כל מוסדות שירותי בריאות כללית לתקן ISO 27001 , זאת כהכנה להטמעת תקן ISO 27799 החדש . המוסד הראשון בעולם שהוסמך לתקן הוא המרכז הרפואי כרמל[2]. המוסד הפסיכיאטרי הראשון בעולם שהוסמך לתקן היה המרכז לבריאות הנפש שלוותה שבהוד השרון[4].

ביום 14 בנובמבר 2011, הוציא רוני גמזו מנכ"ל משרד הבריאות חוזר למנהלים הכלליים של כל קופות החולים, בו הוא מנחה אותם כי עד לסוף שנת 2013 יוסמכו מטות קופות החולים לתקן אבטחת המידע הבינלאומי ISO 27799. בהתאם לחוזר זה יוסמכו המחוזות של קופות החולים עד לסוף שנת 2016.

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]