ISO/IEC 27799 אבטחת מידע רפואי
תקן להגנה על מידע רפואי עבור ארגוני בריאות
תקן ISO 27799 הוא תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות. התקן מתבסס על התקן הכללי לאבטחת מידע ISO 27001, ומטרתו לתת כלים בידי ארגונים רפואיים, או כל גוף שיש לו גישה למידע רפואי אישי, לצורך הגנה על נגישות, שלמות וסודיות של מידע רפואי אישי שברשותם.
אודות התקן
התקן פותח על ידי ארגון התקינה הבינלאומי ISO, ולמעשה מהווה תוספת/החמרה לתקן המוכר יותר ISO 27001. התקן שם דגש על סוגי המידע השונים הרלוונטיים ואופן הגנתם.
דרישות התקן
תקן 27799 מבוסס כאמור על תקן ISO 27001, ולכן רוב דרישותיו דומות, אך כולל תוספות והחמרות המתבקשות להגנת מידע רפואי ואישי.
להלן אבני היסוד של התקן:
- קביעת מדיניות האבטחה, וניהול נכסי המידע הרפואי
- היבטי אבטחה לעובדים קיימים וקבלת עובדים חדשים
- הגנה על סביבת ומתקני המחשוב
- הקמת מערכות בקרה וניהולן
- הגבלת זכויות גישה לרשתות, מערכות, יישומים ונתונים הכוללים מידע רפואי אישי
- ניהול אירועי אבטחת מידע
- אמצעי הגנה, שמירה וניהול שחזור בעת קריסה של המידע
- שימת לב מיוחדת לחוקים ותקנות בכל הנוגע למידע רפואי אישי
- ביצוע מבדקים פנימיים וסקרי הנהלה
למי מיועד התקן
התקן מיועד לכל גוף אשר יש לו נגיעה/גישה למידע רפואי אישי. להלן מספר דוגמאות:
- בתי חולים
- מרפאות
- מעבדות
- קליניקות
- חברות ביטוח
- עורכי דין
- חברות שירותי מחשוב
- שירותי ארכיב
- שירותי הובלה
תקנים נוספים בתחום: