27799 ISO הינו תקן לאבטחת מערכות מידע רפואי בתחום הבריאות. תקן 27799 ISO מהווה מסמך הרחבה בינלאומי, אשר בא להוסיף על תקני אבטחת המידע הקיימים ISO 27001/ ISO 27002 והוא אינו בא במקומם, זאת בשל הרגישות הרבה של המידע האישי הרפואי והחובה לשמור בקפידה על חסיון מידע מסוג זה.

מהו תקן ISO 27799 ולמי הוא מיועד? במאמר הבא נסביר את המושג בצורה יסודית.לפרטים נוספים ושירותי ייעוץ צרו עימנו קשר.

ISO 27799 - article by bio chem experts

השירותים שלנו

למי מיועד תקן ISO 27799 ?

תקן ISO 27799 מיועד לארגוני שירותי בריאות, חברות פארמה וישויות אחרות אשר מחזיקות במידע רפואי אישי. למעשה, תקן ISO 27799  רלוונטי עבור כל נותן שירות בתחום הרפואה, אשר נחשף למידע רפואי, בין אם מדובר במוסד בריאות ציבורי או פרטי ובין אם ספק/נותן שירות שהוא צד שלישי, הבא במגע עם מידע רפואי.

על כלל ישויות שירותי הבריאות, כולל חברות הפארמה אשר מחזיקות ועושות שימוש במידע רפואי על מטופלים כחלק מניסויים קליניים, להחיל ביקורות קפדניות תקופתיות על מנת להגן על המידע הרפואי המוחזק בידיהן, וזאת ללא קשר לגודלן או לאופן בו הן מספקות את השירות. על כן, יש לשים לב כי תקן 27799 ISO חל גם על גורמים בתחומי הבריאות, אשר פועלים כספקים עצמאיים ונותני שירותים (לרבות שירותי עיבוד מידע, אחסון על גבי שרתים וכו') ו/או במסגרת מרפאות קטנות ואף במקרה של קליניקה פרטית של רופא יחיד.

מטרתו של תקן ISO 27799

תקן ISO 27799 מספק הנחיות, שיטות עבודה וכלים לשמירה על סודיותו, שלמותו וזמינותו של המידע באופן מירבי ומיטבי, תוך הגדרת עקרונות שיטתיים ותכליתיים להקמה, ניהול ותחזוקה של מערכת אבטחת מידע המתאימה לארגון.

סוגי מידע רפואי עליהם חל תקן ISO 27799

27799 ISO חל על מידע רפואי על כל היבטיו; כל צורה שהמידע מופיע בו (מילים, מספרים, תרשימים, שרטוטים, וידאו, אודיו, תמונות רפואיות וכו'), כל אמצעי המשמש לאחסונו (עותקים קשיחים ו/או וירטואליים לרבות שרתי מחשבים, מדיה המשמשת לאחסון או שירותי ענן) וכל אמצעי המשמש להעברתו (ביד, באמצעות פקס, באינטרנט או בדואר). מידע זה חייב תמיד להיות מוגן בהתאם.

חשיבות המידע הרפואי

למידע רפואי חשיבות גבוהה ביותר. מידע רפואי הינו רגיש, מסוכן ומורכב וישנה חשיבות מכרעת לזיהוי נכון של המטופל, דבר המחייב את ארגוני הבריאות לאסוף מידע מזהה נרחב. ברור לכל כי מתן טיפול רפואי מסוים המיועד למטופל, אשר הגיע בטעות למטופל אחר, מסכן את חיי המטופל בצורה ממשית. כמו כן, יש לשמור על שלמותו, אמינותו וזמינותו המיידית של המידע הרפואי, על מנת להבטיח את בטיחותם של המטופלים תוך קבלת החלטות נכונות ומתן טיפול רפואי מועיל. 

מאידך, עם התגברות האיומים על מערכות מבוססות מחשוב, ובכלל זה התקפות סייבר, המידע הרפואי קורץ לעבריינים ואנו נדרשים להגן עליו בכל רמה אפשרית, במיוחד לנוכח הרגישות הרבה של מידע זה, באם ייחשף "לעיניים הלא נכונות" ולגורמים אחרים בעלי אינטרסים אלה ואחרים.

בנוסף, מערכות מידע בתחומי שירותי הבריאות חייבות לתת מענה לדרישות ייחודיות, כגון הישרדות במקרים של אסונות טבע, מלחמות, מגיפות, כשלים מערכתיים, והתקפות יזומות על מאגרי המידע. ההגנה על הסודיות, השלמות והזמינות של מידע רפואי דורשת, אם כן, מומחיות ספציפית למגזר שירותי הבריאות, אשר מושתתת על ידע והבנה מעמיקים בנוגע למאפיינים הייחודיים לענף זה ועל דרישות הגופים הרגולטוריים בכלל ורשויות הבריאות בפרט.

אתגרים טכנולוגיים ביישום תקן ה- ISO 27799

הצורך בניהול יעיל של אבטחת המידע בתחום שירותי הבריאות הופך חשוב ודחוף יותר לנוכח השימוש הגובר והולך בטכנולוגיות מבוססות אינטרנט, אשר אמור להבטיח אספקה איכותית ורציפה של שירותי בריאות לציבור. טכנולוגיות מורכבות אלה, אמנם מייעלות את תהליכי העבודה ומפחיתות את העלויות, אך מאידך מגבירות את הסיכוי לחשיפת מידע רגיש, ואת הסיכון הקיים לסודיותו, שלמותו וזמינותו של המידע הרפואי.

יש לציין כי תקן 27799 ISO הוא ניטראלי מבחינה טכנולוגית וזהו מאפיין חשוב היות וטכנולוגיות המחשוב מתפתחות ומתעדכנות בקצב מהיר מאוד. ניטרליות זו היא שמאפשרת לעקרונות התקינה להישאר בתוקף גם בתקופה זו וכן מאפשרת לספקי השירותים להציע טכנולוגיות חדשות אשר עונות לדרישות התקן.

מחקר ופיתוח

ייעוץ במגוון תחומים כולל תכנון, מעבדות מחקר וחדרים נקיים, טכנולוגיות פיתוח, מצגות עסקיות למשקיעים, אסטרטגיה רגולטורית, ניתוח שוק, פרוטוקולי ניסויים קליניים, GLP, GCP, ISO 17025, כיול, CMC, הדרכות מקצועיות.

קרא עוד

תכנון והנדסה

תכנון מפעלים, חדרים נקיים ומעבדות, תיעוד הנדסי, הסמכה, בחירת טכנולוגיה, הנדסת תהליכים וולידציה תוך שילוב של ידע תאורתי, ניסיון פרקטי והבנה מעמיקה של הרגולציה והעקרונות הייחודיים המאפיינים את תעשיית הביומד ובהתאם לעקרונות ה- GxP.

קרא עוד

ייצור ואריזה

מייעצים בתכנון מתקני ייצור, פיתוח והנדסת תהליכי ייצור, בחירת הטכנולוגיה המתאימה ביותר, גמלון תהליכים, העברת טכנולוגיה, GMP, שיפור תהליכים, אופטימיזציה ושיפור ניצולת, הדרכות עובדים וולידציה לציוד, מערכות, תהליכי ייצור וניקיון.

קרא עוד

GXP, איכות וולידציה

מייעצים, מקימים, מלווים ומשדרגים מערכות לניהול איכות מסוגים שונים, מבצעים הדרכות וקורסים GMP, הטמעת עקרונות ה- GxP בחברה, ISO 13485, הבטחת איכות והכנה לביקורות רגולטוריות גלובליות תוך ביצוע ניתוח והערכת סיכונים וולידציה לציוד, מערכות, תוכנה, שיטות בדיקה, תהליכי ייצור וניקיון ועד לעמידה בהצלחה בביקורת.

קרא עוד

רגולציה ורישום

יעוץ רגולטורי ורישום תרופות, אמ"ר, CE Mark, תוספי תזונה וקוסמטיקה בישראל ובעולם, תוך בניית אסטרטגיה רגולטורית חכמה, סיוע בהכנת המסמכים והדרישות באופן מקצועי, בזמן קצר, התוויית המוצר, חיי מדף וגרפיקה, אישורי יבוא ופגישות עם הגופים הרגולטוריים ועד לקבלת אישור.

קרא עוד

תוכנה ומערכות

יעוץ בתחומי הבריאות הדיגיטלית, פיתוח תוכנות ואפליקציות רפואיות בהתאם לדרישות ה- 21CFR part 11/Annex 11/HIPAA/GDPR, ISO 13485/27001/27799, CE marking, Risk Assessment, וריפיקציה וולידציה לתוכנה ומערכות בקרה ועד לקבלת אישור שיווק.

קרא עוד

איומים ייחודיים בתחום אבטחת המידע הרפואי

  • מניעת שירות (Denial Of Service) – לנוכח התלות הקיימת כיום במערכות מידע לצורך אספקת שירותי רפואה, הרי שקיים איום מוחשי בפגיעה במתן טיפול רפואי בשגרה ובחירום.
  • גניבת מידע – לגניבת מידע רפואי אישי עשויות להיות השלכות קשות הן ברמה האישית והן ברמת האמון במוסדות המדינה.
  • שיבוש מידע – הנזק אשר יכול להיגרם משינוי מידע בתיקו הרפואי של מטופל עולה לעיתים על הנזק מגניבתו, היות ויש חשש כי יהווה בסיס להחלטות רפואיות שגויות וכתוצאה מכך, לסיכון חיי אדם.
  • איום נוסף המאפיין את ארגוני הבריאות היא העובדה כי במקרים רבים מטופלים השוהים במתקני ספקי שירותי בריאות כגון בתי חולים ומרפאות, שוהים באזורים בהם יש גישה למערכות המידע הממוחשבות (עמדת הקבלה, שולחן הרופא המטפל וכו'). עובדה זו מגבירה את הסיכון לחשיפת מערכות המידע לאיומים פיזיים. החשיפה והסיכון גוברים כאשר בסביבה עוברים מטופלים בלתי יציבים מבחינה רגשית/נפשית .

    לפרטים נוספים






    For further details






    היתרונות בהסמכת תקן 27799 ISO

    ראשית, בהתאם לנהלי משרד הבריאות, החל מיום 1.1.2016 על ארגוני בריאות לבצע התקשרויות רק עם ספקים העומדים בתקנים 27799 ISO ו- 27001 ISO.

    שנית, הסמכה לתקן 27799 ISO מהווה תנאי לקבלת רישיון למוסד רפואי ולחידוש הרישיון. עמידה בתנאי התקן תיבדק במסגרת ביקורות שעורך משרד הבריאות (ראה חוזר המנהל הכללי 3/15 של משרד הבריאות).

    בנוסף, הסמכה לתקן 27799 מאפשרת לארגון לפנות לשוק הבינלאומי ולעבוד עם משרדים ממשלתיים וחברות גדולות במשק.

    על ידי יישום תקן 27799 ISO, ארגונים רפואיים וארגונים אחרים בעלי ו/או מחזיקי מידע רפואי  יספקו רמת אבטחת מידע בהתאם לנסיבות ופעילות הארגון, ובין היתר את:

    • סודיותו ושלמותו של המידע הרפואי
    • זמינותו של המידע הרפואי
    • אחריות למידע הרפואי

    כמו כן, הסמכה לתקן 27799 ISO מגבירה ומחזקת את אמינות המידע והשירותים שמספק הארגון וכן את בטחון ואמון לקוחותיו עקב הבטחת שיפור משמעותי ברמות אבטחת המידע (דבר המהווה יתרון על פני מתחרים).

    לבסוף, לנוכח הצורך בהחלפת מידע רפואי אישי בצורה אלקטרונית, קיים יתרון ברור באימוצו של תקן משותף לניהול ביטחון מידע יעיל בתעשיית שירותי הבריאות.

    תהליך ההסמכה לתקן 27799 ISO

    תהליך ההסמכה לתקןISO 27799  מחולק למספר שלבים:

    1. סקר פערים וסקירה בסיסית של רמת אבטחת מערכות ניהול המידע של הארגון
    2. זיהוי ואפיון צרכי הארגון בהתאמה לתקן 27799 ISO
    3. סקר סיכונים
    4. בניית תכנית עבודה בהתאם לסיכונים ולצרכי הארגון
    5. כתיבת מסמכי מדיניות ונהלים
    6. הדרכות עובדים והעלאת מודעות
    7. יישום והטמעת הנהלים בעבודה היומיומית של הארגון
    8. ליווי והדרכה לקראת בדיקה חיצונית של גוף התעדה חיצוני לקבלת הסמכה ראשונית
    9. חידוש הסמכה תקופתי

    חברת ביו-כם מסייעת לכם בנושאי אבטחת מידע

    אנו גאים ומתרגשים לשתף מהניסיון המקצועי הגלובלי שלנו מה- 15 השנה האחרונות, ולהציג שירות חדש של מסמכי תבנית מקצועיים, (טמפלייטים).

    מטרתם ללמד ולסייע לך בתהליכי תכנון, הקמה, רגולציה, איכות. GXP ואבטחת מידע ועוד מגוון רחב של תחומים תוך חיסכון עצום בזמן וכסף.

    לפרטים נוספים בקרו בחנות המסמכים שלנו

    bio-chem logo
    • מסמכי תבנית להתאמה אישית בהורדה מיידית
    • מגוון רחב של מסמכי מדיניות, נהלים, פרוטוקולים וטפסים בקטגוריות שונות מעולמות הפארמה, המדיקל ואבטחת המידע.
    • הוראות שימוש פשוטות וברורות
    • מבוססים על מאות פרויקטים גלובליים שהושלמו בהצלחה
    • הוראות שימוש ברורות ופשוטות
    • אפשרות לקבלת ייעוץ ובחינת המסמכים לפני ביקורת/הגשה
    Eran Yona Bio-Chem Founder and CEO

    מאמר זה נכתב ע"י ערן יונה CEO, מומחה GXP וטכנולוגיות יצור

    למעלה מ- 20 שנות ניסיון רב-תחומי מתעשיות הפארמה והמדיקל

    אנו בחברת Bio-Chem מייעצים כבר יותר מ- 15 שנה לחברות ביו-מד בארץ ובעולם.

    לשירותי ייעוץ מקצועיים ומקיפים בנושאי וולידציה וניהול סיכונים פנו אלינו.

    כתובת המייל שלנו: info@bio-chem.co.il

    Share This Article

    מאמרים נוספים בנושאי מכשור רפואי

    6 העקרונות החשובים ביותר בסטריליזציה באוטוקלב

    6 העקרונות החשובים ביותר בסטרליזציה באוטוקלב אמנם, מכשירי האוטוקלב התעשייתים ומערכות ה- SIP נחשבים מאוד בטוחים ומבוקרים, אך התנהלות לא נכונה או חוסר הבנה של העקרונות המרכזיים בעיקור באמצעות קיטור, עלולים להוביל לתהליכי סטריליזציה לא יעילים, לעלויות תפעול ואחזקה [...]

    מה זה ולידציה? למה צריך ולידציה? מי מחויב בביצוע ולידציה? מהם סוגי הולידציה?

    מה זה וולידציה?תעשיות הפרמצבטיקה, הביוטכנולוגיה, מזון, תוספי התזונה, מכשור רפואי, קוסמטיקה רפואית ועוד רבות אחרות נדרשות לתהליכי הסמכה וולידציה. מטרת תהליך הולידציה הנה להבטיח כי המוצר הפרמצבטי או המכשור הרפואי יעמדו בכל דרישות האיכות, היעילות והבטיחות שהוגדרו עבור המוצר הסופי, [...]

    ולידציה לתהליך עיקור באמצעות קרני גמא

    ולידציה לתהליך עיקור באמצעות קרני גמא ישנן שיטות מגוונות בשוק לסטרליזציית מוצרים רפואיים כגון שיטות פיזיקליות וכימיקליות וכן הקרנה. לכל שיטה מאפיינים שונים ולכל שיטת סטריליזציה, יתרונות וחסרונות אשר עשויים לפגום באיכות המוצר. בבואנו לבחור שיטת עיקור, עלינו לקחת [...]

    פיתוח תרופה ניסיונית משלב המחקר ועד לפרה-קליניקה

    רשות המזון והבריאות האמריקנית, ה-FDA, מורכבת מחמש חטיבות מרכזיות המובדלות האחת מן השניה בסוגי המוצרים המוגשים לרישום ואישור: CDER- מרכז למחקר והערכת מוצרים תרופתיים CBER- מרכז למחקר והערכת מוצרים ביולוגיים CBRH- מרכז למחקר והערכת של מכשור רפואי CFSAN- מרכז [...]

    קרא עוד

    מזמינים אותך ליצור קשר

      2021-07-24T09:07:08+00:00

      צור קשר