מה כוללת ההסמכה לתקן ISO 27799?
התקן לאבטחת מידע ISO 27799 פורסם לראשונה בשנות התשעים של המאה העשרים. מאז ועד היום, התעדכן מספר פעמים.
תקן ISO 27799 מגדיר את הדרישות לניהול מערכת אבטחת מידע בארגון, והוא כולל הנחיות בנושאים כגון:
- הגדרת מדיניות אבטחת המידע
- נהלים מקיפים לפעולה והתנהלות בתחום אבטחת המידע
- הגברת יכולת הזיהוי והניהול של נכסי המידע בארגון
- אבטחת מידע בקרב עובדים וספקים
- הגנה על ציוד ומערכות המכילים מידע
- הגנה על סביבת ומערכות המחשוב בארגון
- הקמת מערכות מתועדת לניהול ובקרה וניהולן
- ניהול הרשאות גישה לציוד, מערכות, רשתות, יישומים, ומסדי נתונים
- הערכה, ניתוח וניהול סיכונים, הנובעים מאבטחת מידע לקויה, מקרי חדירה למערכות המחשוב והיכולת לנקוט את כל אמצעי ההגנה והמניעה על מנת להשיג המשכיות עסקית
- אחסון נתונים ושחזור נתונים לאחר אירוע של קריסת מערכות המידע (Disaster recovery)
עד כאן מדובר על ניהול מערכת אבטחת מידע באופן כללי.
מידע זה יכול להיות מידע עסקי סודי, פטנטים, זכויות יוצרים, מידע חשבונאי, מידע רפואי/בריאותי וכו’.
למה צריך הסמכה לתקן ISO 27799?
מידע רפואי אישי רב ומגוון אצור במאגרי המידע העצומים של ארגוני רפואה, מוסדות רפואה, מרפאות, בתי חולים חברות תרופות וכו’. מידע זה נחשב כמידע רגיש במיוחד היות ומכיל נתונים אישיים ורפואיים, אשר חשיפתם לגורמים לא רלוונטיים/אינטרסנטיים, טומן בחובו סיכון רב, ולרוב בלתי הפיך ולא רק מבחינה כלכלית.
חשוב לזכור כי סביבת השימוש במידע רפואי זה, כגון בתי חולים ומרפאות, נחשבת כסביבה עמוסת עובדים, משתמשים ומבקרים מן החוץ, דבר אשר מעלה את ההסתברות לחשיפת המידע, בין אם באופן חלקי או מלא. מי מאיתנו לא ראה תיקים רפואיים של חולים אחרים כאשר ביקר בחדר המיון?
מידע אשר זלג- לא ניתן יהיה להשיבו והוא עלול להגיע לידי גורמים אשר במקרה הטוב עשויים לעשות בו שימוש לרעה כגון מעבידים, חברות ביטוח, חברות המשווקות תרופות, מכשור רפואי, טיפולים למיניהם או תוספי תזונה. חלקם יוכלו להשתמש במידע זה לצרכי אפליה וסינון מועמדים/לקוחות וחלקם יעשו במידע זה שימוש מסחרי של ממש.
כמו כן, קיים צורך חשוב ואפילו קריטי לשתף מידע רפואי בין ארגונים, סניפים או מחלקות של מוסדות או מתקנים רפואיים הן ברמה הארצית והן ברמה הגלובלית. נפח הנתונים האדיר הקיים בנוגע לפציינטים במוסדות רפואה הוא נכס Big Data לכל דבר ועניין וככזה, ניתוח הנתונים הללו יכול לאפשר קבלת תוצאות מדעיות וקליניות מעניינות מאוד.
לשם כך, יש צורך לשתף את המידע עם צדדים שלישיים על מנת לעבד אותו לצרכים שונים, דבר ששוב מעלה באופן משמעותי את הסיכון לחשיפתו. חשוב גם שהמידע יהיה בעל רמת אמינות ושלמות גבוהות (data integrity). על המידע הרפואי להיות מוגן משינויים בלתי רצויים, מחיקה או עיוות נתונים שעלולים לפגוע במטופל או בהחלטות הרפואיות המתקבלות בהסתמך על נתונים אלה, וזאת באופן בלתי הפיך שאף יכול להגיע לסכנת חיים של ממש.
מי צריך הסמכה לתקן ISO 27799?
מידע רפואי אישי (PHI) מהווה נושא רגיש מאוד, שחובה על ארגוני רפואה כגון בתי חולים, מרפאות בכל העולם לתת את דעתם עליו ולהשיג את ההסמכה עבורו. מידע רפואי יכול להיות כל דבר שקשור למצב הפיזי או הנפשי של האדם, או לשירותי הבריאות המסופקים לו. זה יכול להיות אפילו תאריכי ביקור במרפאה.
חשוב לציין כי זהו נושא אקוטי שרלוונטי לא רק לבתי חולים, מרפאות ומוסדות בריאות אחרים, אלא גם לכל חברה אשר מספקת שירותי מידע מסוגים שונים לארגונים רפואיים כמו שירותי אחסון, עיבוד מידע, תשתיות, תוכנה וכו. למשל חברת המפתחת/מספקת תוכנה רפואית שמעבדת מידע רפואי/אישי ככלי תומך לתהליכי קבלת החלטות רפואיות (SaMD- Software as Medical Device).
לפיכך, מי שצריך הסמכה לתקן ה- ISO 27799 הוא לכל הפחות ארגוני ניהול שירותי רפואה, מרפאות, בתי חולים, ספקי שירותי תוכנה, פארמה וציוד רפואי וכמובן חברות המפתחות ומוכרות תוכנה רפואית, מוצרי בריאות דיגיטלית ושירותי E-Health העושים שימוש במאגרי נתונים של חולים ומטופלים.
על חברות המאחסנות, מנתחות או עושות שימוש במידע אישי רפואי, המתעתדות למכור מוצריהן בשוק האמריקאי חלה דרישה לציית לחוק המקומי, הוא – HIPAA או בשמו המלא- Health Insurance Portability and Accountability Act. חוק זה הוא ארוך מאוד, מורכב מאוד ופעמים רבות לא ברור.
על חברות המאחסנות, מנתחות או עושות שימוש במידע אישי רפואי, המתעתדות למכור מוצריהן בשוק האירופי, לציית לרגולציית ה-GDPR המגינה על מידע אישי מזהה של אינדיבידואל (PII).
לאור כל האמור לעיל, נוצר צורך הכרחי ומיידי בעדכון של הסטנדרט (שהוא למעשה מתווה עבודה כוללני), על מנת שיותאם גם לדרישות ההגנה על מידע רפואי אישי. צורך זה למעשה הוא זה שהוביל לפיתוח ההסמכה לתקן 27799 ISO בשנת 2016 וכן תקן ISO 27701 משנת 2019.
עדכון תקן ISO 27799
היוזמה לעדכון התקן המיועד להגנה על מידע רפואי אישי, הגיעה מישראל מאת הממונה על הגנת המידע בשירותי בריאות כללית. ארגוני הרפואה בישראל מצאו כי לתקן זה חשיבות רבה וכפועל יוצא מכך, מוסדות רפואיים בארץ היו חלוצים בתחום זה. עדכון התקן אינו דבר של מה בכך. מדובר בהליך רגולטורי בינלאומי מורכב, בו מעורבים כל הגופים בתחום הבריאות והרפואה בעולם כמו חברות תרופות, חברות ביטוח וחברות לציוד ומכשור רפואי.
תקן ISO 27799 וייחודו בתחום הבריאות
תקן 27799 ISO מתבסס על הניסיון שנצבר במדינות שונות לאורך השנים. הוא נבנה על סמך המאמצים הלאומיים שנעשו במדינות רבות ובארגוני רפואה מהמובילים בעולם, בכל הנוגע לטיפול בביטחונו של מידע רפואי אישי, חסיונו ופרטיותו. התקן עוסק בשמירת כל מידע רפואי אישי, שניתן לזהות לגביו מיהו “מושא המידע”.
תקן 27799 ISO מגדיר את נכסי המידע של הארגון ותהליכי הציות, כדי לוודא עמידה של הארגון בכללי התקן, וקובע כללים להערכת סיכונים, ניהול וטיפול בהם. התקן מדגיש את החשיבות של מחויבות הנהלת הארגון לכללי התקן, לשם הצלחת הטמעתו בארגון.
התקן מציין כי אבטחת המידע הרפואי, היא מערכת כוללת על פיה יש לשמור על סודיות, שלמות, וזמינות של המידע וכן על פרטיותו (חסיונו). התקן נותן כלים להתמודדות עם חולשות מובנות של ארגוני הבריאות.
בתקן ה- ISO 27799 רשימה של סוגי האיומים אותם על הארגונים לשקול, בבואם להעריך סיכונים, כגון:
- מס’ רב של אנשים הנעים דרך אזורי התפעול
- חשיפת המערכת לאיומים פיזיים
- תקצוב וכוח אדם חסר באופן קבוע הגורם לצוותים הרפואיים לעבוד במצבי לחץ
- אי החלפת מערכות תפעוליות שזמנן חלף, במועד
- צרכים אדמיניסטרטיביים, המחייבים ארגונים רפואיים לנהל מאגרי מידע מורכבים
- מאגרים המהווים פיתוי ל – “גנבי מידע”, לרבות התחזות לאדם אחר על מנת לקבל טיפול רפואי
הסמכה לתקן ISO 27799 בישראל
כפי שהוזכר קודם לכן, הסמכה לתקן ה- ISO 27799 מיועדת לגופים האחראים על מידע רפואי אישי בארגוני שרותי בריאות ומוסדות בריאות, וכן לארגונים, כמו חברות תוכנה, פארמה וציוד רפואי, אשר משתמשים, מעבדים או מאחסנים מידע רפואי אישי. אמנם תקן ה- ISO 27799 עוסק בתחום האבטחה וחסיון המידע של מטופלים, אך יש לו גם לא מעט תועלות עסקיות.
ארגון אשר מקבל את ההסמכה לתקן ISO 2799 למעשה הוכיח בכך לשותפים עסקיים, ללקוחות ולבעלי המניות כי הארגון מהווה מתחרה ראוי, הוא מתקדם, מודע לאיומים ולדרישות הרגולציה והחוק, וכי הוא עומד בקריטריונים לעשיית עסקים בטוחים וככזה מקבל יתרון תחרותי בזירה הבינלאומית.
תחום הבריאות, הפארמה והמדיקל הנם תחומים הנחשבים כרגולטוריים מאוד. משרדי הבריאות השונים והחוקים לפיהם ישנה חובה לפעול, רבים ומורכבים. הסמכה לתקן ISO 2799 תוצג בפני גופי הרגולציה השונים, גם על מנת להוכיח לרשויות כי הארגון מציית לחוקים המקומיים.
תקן ה- ISO 27799 מאפשר לארגונים:
- פעולה על פי סטנדרטים בינלאומיים נאותים
- ייעול את תהליכי העבודה בארגון
- מיקסום רווחים
- מזעור סיכונים
- יתרון תחרותי
- עמידה בדרישות החוק והרגולציה
במקרים של אי עמידה בתקן ISO 27799 בישראל
בישראל, ממנה כאמור הגיעה היוזמה לניסוח התקן, ההנחיה היא כי מוסדות רפואיים אשר לא יעמדו בתקן ISO 27799 לא יוכלו לקבל רישיון למוסד רפואי ולחידוש רישיונם. בתוקף מתאריך 1 בינואר 2016 ספקים אשר מספקים שירות למוסדות בריאות מחויבים להיות מוסמכים לתקן הבינלאומי לניהול אבטחת המידע ISO 27001 או לתקן אבטחת מידע רפואי ISO 27799. ספקים אשר לא עומדים בתקנים אלו, לא יכולים לעבוד מול מוסדות הבריאות.
לסיכום:
תחום אבטחת המידע וחסיון המידע של מטופלים, כרוך בעמידה בדרישות רגולטוריות רבות, מקיפות וכאמור לא ברורות, אשר ברוב המקרים, מניסיוננו, הארגון מתקשה להתמודד איתן. אנחנו בחברת ביו-כם כבר מייעצים מזה כ-15 שנה לחברות מתחום הבריאות, המדיקל הפארמה ואבטחת המידע.
כשנלווה אתכם נעשה סדר בדרישות המורכבות, נסייע לכם להבין את מטרות התקן, ננחה אתכם לאורך כל התהליך, נכתוב עבורכם את מסמכי המדיניות והנהלים המתאימים, נבצע ניתוח סיכונים, נדריך אתכם ונכין אתכם כיצד לעבור את הביקורת הסופית עד להשגת ההסמכה ותעודת ISO 27799 אשר יוכיחו כי הארגון שלכם מציית לדרישות החוק והרגולציה ההכרחיות.
