27799 ISO הינו תקן לאבטחת מערכות מידע רפואי בתחום הבריאות. תקן 27799 ISO מהווה מסמך הרחבה בינלאומי, אשר בא להוסיף על תקני אבטחת המידע הקיימים ISO 27001/ ISO 27002 והוא אינו בא במקומם, זאת בשל הרגישות הרבה של המידע האישי הרפואי והחובה לשמור בקפידה על חסיון מידע מסוג זה.
מהו תקן ISO 27799 ולמי הוא מיועד? במאמר הבא נסביר את המושג בצורה יסודית.לפרטים נוספים ושירותי ייעוץ צרו עימנו קשר.
למי מיועד תקן ISO 27799 ?
תקן ISO 27799 מיועד לארגוני שירותי בריאות, חברות פארמה וישויות אחרות אשר מחזיקות במידע רפואי אישי. למעשה, תקן ISO 27799 רלוונטי עבור כל נותן שירות בתחום הרפואה, אשר נחשף למידע רפואי, בין אם מדובר במוסד בריאות ציבורי או פרטי ובין אם ספק/נותן שירות שהוא צד שלישי, הבא במגע עם מידע רפואי.
על כלל ישויות שירותי הבריאות, כולל חברות הפארמה אשר מחזיקות ועושות שימוש במידע רפואי על מטופלים כחלק מניסויים קליניים, להחיל ביקורות קפדניות תקופתיות על מנת להגן על המידע הרפואי המוחזק בידיהן, וזאת ללא קשר לגודלן או לאופן בו הן מספקות את השירות.
על כן, יש לשים לב כי תקן 27799 ISO חל גם על גורמים בתחומי הבריאות, אשר פועלים כספקים עצמאיים ונותני שירותים (לרבות שירותי עיבוד מידע, אחסון על גבי שרתים וכו’) ו/או במסגרת מרפאות קטנות ואף במקרה של קליניקה פרטית של רופא יחיד.
מטרתו של תקן ISO 27799
תקן ISO 27799 מספק הנחיות, שיטות עבודה וכלים לשמירה על סודיותו, שלמותו וזמינותו של המידע באופן מירבי ומיטבי, תוך הגדרת עקרונות שיטתיים ותכליתיים להקמה, ניהול ותחזוקה של מערכת אבטחת מידע המתאימה לארגון.
סוגי מידע רפואי עליהם חל תקן ISO 27799
27799 ISO חל על מידע רפואי על כל היבטיו; כל צורה שהמידע מופיע בו (מילים, מספרים, תרשימים, שרטוטים, וידאו, אודיו, תמונות רפואיות וכו’), כל אמצעי המשמש לאחסונו (עותקים קשיחים ו/או וירטואליים לרבות שרתי מחשבים, מדיה המשמשת לאחסון או שירותי ענן) וכל אמצעי המשמש להעברתו (ביד, באמצעות פקס, באינטרנט או בדואר). מידע זה חייב תמיד להיות מוגן בהתאם.
חשיבות המידע הרפואי
למידע רפואי חשיבות גבוהה ביותר. מידע רפואי הינו רגיש, מסוכן ומורכב וישנה חשיבות מכרעת לזיהוי נכון של המטופל, דבר המחייב את ארגוני הבריאות לאסוף מידע מזהה נרחב. ברור לכל כי מתן טיפול רפואי מסוים המיועד למטופל, אשר הגיע בטעות למטופל אחר, מסכן את חיי המטופל בצורה ממשית.
כמו כן, יש לשמור על שלמותו, אמינותו וזמינותו המיידית של המידע הרפואי, על מנת להבטיח את בטיחותם של המטופלים תוך קבלת החלטות נכונות ומתן טיפול רפואי מועיל.
מאידך, עם התגברות האיומים על מערכות מבוססות מחשוב, ובכלל זה התקפות סייבר, המידע הרפואי קורץ לעבריינים ואנו נדרשים להגן עליו בכל רמה אפשרית, במיוחד לנוכח הרגישות הרבה של מידע זה, באם ייחשף “לעיניים הלא נכונות” ולגורמים אחרים בעלי אינטרסים אלה ואחרים.
בנוסף, מערכות מידע בתחומי שירותי הבריאות חייבות לתת מענה לדרישות ייחודיות, כגון הישרדות במקרים של אסונות טבע, מלחמות, מגיפות, כשלים מערכתיים, והתקפות יזומות על מאגרי המידע.
ההגנה על הסודיות, השלמות והזמינות של מידע רפואי דורשת, אם כן, מומחיות ספציפית למגזר שירותי הבריאות, אשר מושתתת על ידע והבנה מעמיקים בנוגע למאפיינים הייחודיים לענף זה ועל דרישות הגופים הרגולטוריים בכלל ורשויות הבריאות בפרט.
אתגרים טכנולוגיים ביישום תקן ה- ISO 27799
הצורך בניהול יעיל של אבטחת המידע בתחום שירותי הבריאות הופך חשוב ודחוף יותר לנוכח השימוש הגובר והולך בטכנולוגיות מבוססות אינטרנט, אשר אמור להבטיח אספקה איכותית ורציפה של שירותי בריאות לציבור.
טכנולוגיות מורכבות אלה, אמנם מייעלות את תהליכי העבודה ומפחיתות את העלויות, אך מאידך מגבירות את הסיכוי לחשיפת מידע רגיש, ואת הסיכון הקיים לסודיותו, שלמותו וזמינותו של המידע הרפואי.
יש לציין כי תקן 27799 ISO הוא ניטראלי מבחינה טכנולוגית וזהו מאפיין חשוב היות וטכנולוגיות המחשוב מתפתחות ומתעדכנות בקצב מהיר מאוד. ניטרליות זו היא שמאפשרת לעקרונות התקינה להישאר בתוקף גם בתקופה זו וכן מאפשרת לספקי השירותים להציע טכנולוגיות חדשות אשר עונות לדרישות התקן.
איומים ייחודיים בתחום אבטחת המידע הרפואי
- מניעת שירות (Denial Of Service) – לנוכח התלות הקיימת כיום במערכות מידע לצורך אספקת שירותי רפואה, הרי שקיים איום מוחשי בפגיעה במתן טיפול רפואי בשגרה ובחירום.
- גניבת מידע – לגניבת מידע רפואי אישי עשויות להיות השלכות קשות הן ברמה האישית והן ברמת האמון במוסדות המדינה.
- שיבוש מידע – הנזק אשר יכול להיגרם משינוי מידע בתיקו הרפואי של מטופל עולה לעיתים על הנזק מגניבתו, היות ויש חשש כי יהווה בסיס להחלטות רפואיות שגויות וכתוצאה מכך, לסיכון חיי אדם.
- איום נוסף המאפיין את ארגוני הבריאות היא העובדה כי במקרים רבים מטופלים השוהים במתקני ספקי שירותי בריאות כגון בתי חולים ומרפאות, שוהים באזורים בהם יש גישה למערכות המידע הממוחשבות (עמדת הקבלה, שולחן הרופא המטפל וכו’). עובדה זו מגבירה את הסיכון לחשיפת מערכות המידע לאיומים פיזיים. החשיפה והסיכון גוברים כאשר בסביבה עוברים מטופלים בלתי יציבים מבחינה רגשית/נפשית .
היתרונות בהסמכת תקן 27799 ISO
ראשית, בהתאם לנהלי משרד הבריאות, החל מיום 1.1.2016 על ארגוני בריאות לבצע התקשרויות רק עם ספקים העומדים בתקנים 27799 ISO ו- 27001 ISO.
שנית, הסמכה לתקן 27799 ISO מהווה תנאי לקבלת רישיון למוסד רפואי ולחידוש הרישיון. עמידה בתנאי התקן תיבדק במסגרת ביקורות שעורך משרד הבריאות (ראה חוזר המנהל הכללי 3/15 של משרד הבריאות).
בנוסף, הסמכה לתקן 27799 מאפשרת לארגון לפנות לשוק הבינלאומי ולעבוד עם משרדים ממשלתיים וחברות גדולות במשק.
על ידי יישום תקן 27799 ISO, ארגונים רפואיים וארגונים אחרים בעלי ו/או מחזיקי מידע רפואי יספקו רמת אבטחת מידע בהתאם לנסיבות ופעילות הארגון, ובין היתר את:
- סודיותו ושלמותו של המידע הרפואי
- זמינותו של המידע הרפואי
- אחריות למידע הרפואי
כמו כן, הסמכה לתקן 27799 ISO מגבירה ומחזקת את אמינות המידע והשירותים שמספק הארגון וכן את בטחון ואמון לקוחותיו עקב הבטחת שיפור משמעותי ברמות אבטחת המידע (דבר המהווה יתרון על פני מתחרים).
לבסוף, לנוכח הצורך בהחלפת מידע רפואי אישי בצורה אלקטרונית, קיים יתרון ברור באימוצו של תקן משותף לניהול ביטחון מידע יעיל בתעשיית שירותי הבריאות.
תהליך ההסמכה לתקן 27799 ISO
תהליך ההסמכה לתקןISO 27799 מחולק למספר שלבים:
- סקר פערים וסקירה בסיסית של רמת אבטחת מערכות ניהול המידע של הארגון
- זיהוי ואפיון צרכי הארגון בהתאמה לתקן 27799 ISO
- סקר סיכונים
- בניית תכנית עבודה בהתאם לסיכונים ולצרכי הארגון
- כתיבת מסמכי מדיניות ונהלים
- הדרכות עובדים והעלאת מודעות
- יישום והטמעת הנהלים בעבודה היומיומית של הארגון
- ליווי והדרכה לקראת בדיקה חיצונית של גוף התעדה חיצוני לקבלת הסמכה ראשונית
- חידוש הסמכה תקופתי
