מה כוללת ההסמכה לתקן ISO 27799?

התקן לאבטחת מידע ISO 27799 פורסם לראשונה בשנות התשעים של המאה העשרים. מאז ועד היום, התעדכן מספר פעמים.

תקן ISO 27799 מגדיר את הדרישות לניהול מערכת אבטחת מידע בארגון, והוא כולל הנחיות בנושאים כגון:

  • הגדרת מדיניות אבטחת המידע
  • נהלים מקיפים לפעולה והתנהלות בתחום אבטחת המידע
  • הגברת יכולת הזיהוי והניהול של נכסי המידע בארגון
  • אבטחת מידע בקרב עובדים וספקים
  • הגנה על ציוד ומערכות המכילים מידע
  • הגנה על סביבת ומערכות המחשוב בארגון
  • הקמת מערכות מתועדת לניהול ובקרה וניהולן
  • ניהול הרשאות גישה לציוד, מערכות, רשתות, יישומים, ומסדי נתונים.
  • הערכה, ניתוח וניהול סיכונים, הנובעים מאבטחת מידע לקויה, מקרי חדירה למערכות המחשוב והיכולת לנקוט את כל אמצעי ההגנה והמניעה על מנת להשיג המשכיות עסקית.
  • אחסון נתונים ושחזור נתונים לאחר אירוע של קריסת מערכות המידע (Disaster recovery)

עד כאן מדובר על ניהול מערכת אבטחת מידע באופן כללי.

מידע זה יכול להיות מידע עסקי סודי, פטנטים, זכויות יוצרים, מידע חשבונאי, מידע רפואי/בריאותי וכו'.

ISO 27799 - article by bio chem experts

למה צריך הסמכה לתקן ISO 27799?

מידע רפואי אישי רב ומגוון אצור במאגרי המידע העצומים של ארגוני רפואה, מוסדות רפואה, מרפאות, בתי חולים חברות תרופות וכו'. מידע זה נחשב כמידע רגיש במיוחד היות ומכיל נתונים אישיים ורפואיים, אשר חשיפתם לגורמים לא רלוונטיים/אינטרסנטיים, טומן בחובו סיכון רב, ולרוב בלתי הפיך ולא רק מבחינה כלכלית. חשוב לזכור כי סביבת השימוש במידע רפואי זה, כגון בתי חולים ומרפאות, נחשבת כסביבה עמוסת עובדים, משתמשים ומבקרים מן החוץ, דבר אשר מעלה את ההסתברות לחשיפת המידע, בין אם באופן חלקי או מלא. מי מאיתנו לא ראה תיקים רפואיים של חולים אחרים כאשר ביקר בחדר המיון?

מידע אשר זלג- לא ניתן יהיה להשיבו והוא עלול להגיע לידי גורמים אשר במקרה הטוב עשויים לעשות בו שימוש לרעה כגון מעבידים, חברות ביטוח, חברות המשווקות תרופות, מכשור רפואי, טיפולים למיניהם או תוספי תזונה. חלקם יוכלו להשתמש במידע זה לצרכי אפליה וסינון מועמדים/לקוחות וחלקם יעשו במידע זה שימוש מסחרי של ממש.

כמו כן, קיים צורך חשוב ואפילו קריטי לשתף מידע רפואי בין ארגונים, סניפים או מחלקות של מוסדות או מתקנים רפואיים הן ברמה הארצית והן ברמה הגלובלית. נפח הנתונים האדיר הקיים בנוגע לפציינטים במוסדות רפואה הוא נכס Big Data לכל דבר ועניין וככזה, ניתוח הנתונים הללו יכול לאפשר קבלת תוצאות מדעיות וקליניות מעניינות מאוד. לשם כך, יש צורך לשתף את המידע עם צדדים שלישיים על מנת לעבד אותו לצרכים שונים, דבר ששוב מעלה באופן משמעותי את הסיכון לחשיפתו.

חשוב גם שהמידע יהיה בעל רמת אמינות ושלמות גבוהות (data integrity). על המידע הרפואי להיות מוגן משינויים בלתי רצויים, מחיקה או עיוות נתונים שעלולים לפגוע במטופל או בהחלטות הרפואיות המתקבלות בהסתמך על נתונים אלה, וזאת באופן בלתי הפיך שאף יכול להגיע לסכנת חיים של ממש.

מי צריך הסמכה לתקן ISO 27799?

מידע רפואי אישי (PHI) מהווה נושא רגיש מאוד, שחובה על ארגוני רפואה כגון בתי חולים, מרפאות בכל העולם לתת את דעתם עליו ולהשיג את ההסמכה עבורו. מידע רפואי יכול להיות כל דבר שקשור למצב הפיזי או הנפשי של האדם, או לשירותי הבריאות המסופקים לו. זה יכול להיות אפילו תאריכי ביקור במרפאה.

חשוב לציין כי זהו נושא אקוטי שרלוונטי לא רק לבתי חולים, מרפאות ומוסדות בריאות אחרים, אלא גם לכל חברה אשר מספקת שירותי מידע מסוגים שונים לארגונים רפואיים כמו שירותי אחסון, עיבוד מידע, תשתיות, תוכנה וכו. למשל חברת המפתחת/מספקת תוכנה רפואית שמעבדת מידע רפואי/אישי ככלי תומך לתהליכי קבלת החלטות רפואיות (SaMD- Software as Medical Device).

לפיכך, מי שצריך הסמכה לתקן ה- ISO 27799 הוא לכל הפחות ארגוני ניהול שירותי רפואה, מרפאות, בתי חולים, ספקי שירותי תוכנה, פארמה וציוד רפואי וכמובן חברות המפתחות ומוכרות תוכנה רפואית, מוצרי בריאות דיגיטלית ושירותי E-Health העושים שימוש במאגרי נתונים של חולים ומטופלים.

על חברות המאחסנות, מנתחות או עושות שימוש במידע אישי רפואי, המתעתדות למכור מוצריהן בשוק האמריקאי חלה דרישה לציית לחוק המקומי, הוא – HIPAA או בשמו המלא- Health Insurance Portability and Accountability Act. חוק זה הוא ארוך מאוד, מורכב מאוד ופעמים רבות לא ברור.

על חברות המאחסנות, מנתחות או עושות שימוש במידע אישי רפואי, המתעתדות למכור מוצריהן בשוק האירופי, לציית לרגולציית ה-GDPR המגינה על מידע אישי מזהה של אינדיבידואל (PII).

לאור כל האמור לעיל, נוצר צורך הכרחי ומיידי בעדכון של הסטנדרט (שהוא למעשה מתווה עבודה כוללני), על מנת שיותאם גם לדרישות ההגנה על מידע רפואי אישי. צורך זה למעשה הוא זה שהוביל לפיתוח ההסמכה לתקן 27799 ISO בשנת 2016 וכן תקן ISO 27701 משנת 2019.

עדכון תקן ISO 27799

היוזמה לעדכון התקן המיועד להגנה על מידע רפואי אישי, הגיעה מישראל מאת הממונה על הגנת המידע בשירותי בריאות כללית. ארגוני הרפואה בישראל מצאו כי לתקן זה חשיבות רבה וכפועל יוצא מכך, מוסדות רפואיים בארץ היו חלוצים בתחום זה.

עדכון התקן אינו דבר של מה בכך. מדובר בהליך רגולטורי בינלאומי מורכב, בו מעורבים כל הגופים בתחום הבריאות והרפואה בעולם כמו חברות תרופות, חברות ביטוח וחברות לציוד ומכשור רפואי.

תקן ISO 27799 וייחודו בתחום הבריאות

תקן 27799 ISO מתבסס על הניסיון שנצבר במדינות שונות לאורך השנים. הוא נבנה על סמך המאמצים הלאומיים שנעשו במדינות רבות ובארגוני רפואה מהמובילים בעולם, בכל הנוגע לטיפול בביטחונו של מידע רפואי אישי, חסיונו ופרטיותו.

התקן עוסק בשמירת כל מידע רפואי אישי, שניתן לזהות לגביו מיהו "מושא המידע".

תקן 27799 ISO מגדיר את נכסי המידע של הארגון ותהליכי הציות, כדי לוודא עמידה של הארגון בכללי התקן, וקובע כללים להערכת סיכונים, ניהול וטיפול בהם.

התקן מדגיש את החשיבות של מחויבות הנהלת הארגון לכללי התקן, לשם הצלחת הטמעתו בארגון.

התקן מציין כי אבטחת המידע הרפואי, היא מערכת כוללת על פיה יש לשמור על סודיות, שלמות, וזמינות של המידע וכן על פרטיותו (חסיונו).

התקן נותן כלים להתמודדות עם חולשות מובנות של ארגוני הבריאות.

השירותים שלנו

בתקן ה- ISO 27799 רשימה של סוגי האיומים אותם על הארגונים לשקול, בבואם להעריך סיכונים, כגון:

  • מס' רב של אנשים הנעים דרך אזורי התפעול
  • חשיפת המערכת לאיומים פיזיים
  • תקצוב וכוח אדם חסר באופן קבוע הגורם לצוותים הרפואיים לעבוד במצבי לחץ
  • אי החלפת מערכות תפעוליות שזמנן חלף, במועד
  • צרכים אדמיניסטרטיביים, המחייבים ארגונים רפואיים לנהל מאגרי מידע מורכבים
  • מאגרים המהווים פיתוי ל- "גנבי מידע", לרבות התחזות לאדם אחר על מנת לקבל טיפול רפואי
bio-chem logo

    לפרטים נוספים






    For further details






    תחומי התמחות

    מחקר ופיתוח

    ייעוץ במגוון תחומים כולל תכנון, מעבדות מחקר וחדרים נקיים, טכנולוגיות פיתוח, מצגות עסקיות למשקיעים, אסטרטגיה רגולטורית, ניתוח שוק, פרוטוקולי ניסויים קליניים, GLP, GCP, ISO 17025, כיול, CMC, הדרכות מקצועיות.

    קרא עוד

    תכנון והנדסה

    תכנון מפעלים, חדרים נקיים ומעבדות, תיעוד הנדסי, הסמכה, בחירת טכנולוגיה, הנדסת תהליכים וולידציה תוך שילוב של ידע תאורתי, ניסיון פרקטי והבנה מעמיקה של הרגולציה והעקרונות הייחודיים המאפיינים את תעשיית הביומד ובהתאם לעקרונות ה- GxP.

    קרא עוד

    ייצור ואריזה

    מייעצים בתכנון מתקני ייצור, פיתוח והנדסת תהליכי ייצור, בחירת הטכנולוגיה המתאימה ביותר, גמלון תהליכים, העברת טכנולוגיה, GMP, שיפור תהליכים, אופטימיזציה ושיפור ניצולת, הדרכות עובדים וולידציה לציוד, מערכות, תהליכי ייצור וניקיון.

    קרא עוד

    GXP, איכות וולידציה

    מייעצים, מקימים, מלווים ומשדרגים מערכות לניהול איכות מסוגים שונים, מבצעים הדרכות וקורסים GMP, הטמעת עקרונות ה- GxP בחברה, ISO 13485, הבטחת איכות והכנה לביקורות רגולטוריות גלובליות תוך ביצוע ניתוח והערכת סיכונים וולידציה לציוד, מערכות, תוכנה, שיטות בדיקה, תהליכי ייצור וניקיון ועד לעמידה בהצלחה בביקורת.

    קרא עוד

    רגולציה ורישום

    יעוץ רגולטורי ורישום תרופות, אמ"ר, CE Mark, תוספי תזונה וקוסמטיקה בישראל ובעולם, תוך בניית אסטרטגיה רגולטורית חכמה, סיוע בהכנת המסמכים והדרישות באופן מקצועי, בזמן קצר, התוויית המוצר, חיי מדף וגרפיקה, אישורי יבוא ופגישות עם הגופים הרגולטוריים ועד לקבלת אישור.

    קרא עוד

    תוכנה ומערכות

    יעוץ בתחומי הבריאות הדיגיטלית, פיתוח תוכנות ואפליקציות רפואיות בהתאם לדרישות ה- 21CFR part 11/Annex 11/HIPAA/GDPR, ISO 13485/27001/27799, CE marking, Risk Assessment, וריפיקציה וולידציה לתוכנה ומערכות בקרה ועד לקבלת אישור שיווק.

    קרא עוד

    הסמכה לתקן ISO 27799 בישראל

    כפי שהוזכר קודם לכן, הסמכה לתקן ה- ISO 27799 מיועדת לגופים האחראים על מידע רפואי אישי בארגוני שרותי בריאות ומוסדות בריאות, וכן לארגונים, כמו חברות תוכנה, פארמה וציוד רפואי, אשר משתמשים, מעבדים או מאחסנים מידע רפואי אישי.

    אמנם תקן ה- ISO 27799 עוסק בתחום האבטחה וחסיון המידע של מטופלים, אך יש לו גם לא מעט תועלות עסקיות.

    ארגון אשר מקבל את ההסמכה לתקן ISO 2799 למעשה הוכיח בכך לשותפים עסקיים, ללקוחות ולבעלי המניות כי הארגון מהווה מתחרה ראוי, הוא מתקדם, מודע לאיומים ולדרישות הרגולציה והחוק, וכי הוא עומד בקריטריונים לעשיית עסקים בטוחים וככזה מקבל יתרון תחרותי בזירה הבינלאומית.

    תחום הבריאות, הפארמה והמדיקל הנם תחומים הנחשבים כרגולטוריים מאוד. משרדי הבריאות השונים והחוקים לפיהם ישנה חובה לפעול, רבים ומורכבים.

    הסמכה לתקן ISO 2799 תוצג בפני גופי הרגולציה השונים, גם על מנת להוכיח לרשויות כי הארגון מציית לחוקים המקומיים.

    תקן ה- ISO 27799 מאפשר לארגונים:

    • פעולה על פי סטנדרטים בינלאומיים נאותים
    • ייעול את תהליכי העבודה בארגון
    • מיקסום רווחים
    • מזעור סיכונים
    • יתרון תחרותי
    • עמידה בדרישות החוק והרגולציה

    במקרים של אי עמידה בתקן ISO 27799 בישראל

    בישראל, ממנה כאמור הגיעה היוזמה לניסוח התקן, ההנחיה היא כי מוסדות רפואיים אשר לא יעמדו בתקן ISO 27799 לא יוכלו לקבל רישיון למוסד רפואי ולחידוש רישיונם.

    בתוקף מתאריך 1 בינואר 2016 ספקים אשר מספקים שירות למוסדות בריאות מחויבים להיות מוסמכים לתקן הבינלאומי לניהול אבטחת המידע ISO 27001 או לתקן אבטחת מידע רפואי ISO 27799.

    ספקים אשר לא עומדים בתקנים אלו, לא יכולים לעבוד מול מוסדות הבריאות.

    לסיכום:

    תחום אבטחת המידע וחסיון המידע של מטופלים, כרוך בעמידה בדרישות רגולטוריות רבות, מקיפות וכאמור לא ברורות, אשר ברוב המקרים, מניסיוננו, הארגון מתקשה להתמודד איתן.

    אנחנו בחברת ביו-כם כבר מייעצים מזה כ-15 שנה לחברות מתחום הבריאות, המדיקל הפארמה ואבטחת המידע.

    כשנלווה אתכם נעשה סדר בדרישות המורכבות, נסייע לכם להבין את מטרות התקן, ננחה אתכם לאורך כל התהליך, נכתוב עבורכם את מסמכי המדיניות והנהלים המתאימים, נבצע ניתוח סיכונים, נדריך אתכם ונכין אתכם כיצד לעבור את הביקורת הסופית עד להשגת ההסמכה ותעודת ISO 27799 אשר יוכיחו כי הארגון שלכם מציית לדרישות החוק והרגולציה ההכרחיות.

    כיצד ביו-כם יכולה לסייע לכם בהליכי הסמכה

    אנו גאים ומתרגשים לשתף מהניסיון המקצועי הגלובלי שלנו מה- 15 השנה האחרונות, ולהציג שירות חדש של מסמכי תבנית מקצועיים, (טמפלייטים).

    מטרתם ללמד ולסייע לך בתהליכי תכנון, הקמה, רגולציה, איכות. GXP ואבטחת מידע ועוד מגוון רחב של תחומים תוך חיסכון עצום בזמן וכסף.

    לפרטים נוספים בקרו בחנות המסמכים שלנו

    bio-chem logo
    • מסמכי תבנית להתאמה אישית בהורדה מיידית
    • מגוון רחב של מסמכי מדיניות, נהלים, פרוטוקולים וטפסים בקטגוריות שונות מעולמות הפארמה, המדיקל ואבטחת המידע.
    • הוראות שימוש פשוטות וברורות
    • מבוססים על מאות פרויקטים גלובליים שהושלמו בהצלחה
    • הוראות שימוש ברורות ופשוטות
    • אפשרות לקבלת ייעוץ ובחינת המסמכים לפני ביקורת/הגשה

    Share This Article

    Eran Yona Bio-Chem Founder and CEO

    מאמר זה נכתב ע"י ערן יונה CEO, מומחה GXP וטכנולוגיות יצור

    למעלה מ- 20 שנות ניסיון רב-תחומי מתעשיות הפארמה והמדיקל

    אנו בחברת Bio-Chem מייעצים כבר יותר מ- 15 שנה לחברות ביו-מד בארץ ובעולם.

    לשירותי ייעוץ מקצועיים ומקיפים בנושאי וולידציה וניהול סיכונים פנו אלינו.

    כתובת המייל שלנו: info@bio-chem.co.il

    מאמרים אחרונים

    6 העקרונות החשובים ביותר בסטריליזציה באוטוקלב

    6 העקרונות החשובים ביותר בסטרליזציה באוטוקלב אמנם, מכשירי האוטוקלב התעשייתים ומערכות ה- SIP נחשבים מאוד בטוחים ומבוקרים, אך התנהלות לא נכונה או חוסר הבנה של העקרונות המרכזיים בעיקור באמצעות [...]

    מה זה ולידציה? למה צריך ולידציה? מי מחויב בביצוע ולידציה? מהם סוגי הולידציה?

    מה זה וולידציה?תעשיות הפרמצבטיקה, הביוטכנולוגיה, מזון, תוספי התזונה, מכשור רפואי, קוסמטיקה רפואית ועוד רבות אחרות נדרשות לתהליכי הסמכה וולידציה. מטרת תהליך הולידציה הנה להבטיח כי המוצר הפרמצבטי או המכשור הרפואי [...]

    ולידציה לתהליך עיקור באמצעות קרני גמא

    ולידציה לתהליך עיקור באמצעות קרני גמא ישנן שיטות מגוונות בשוק לסטרליזציית מוצרים רפואיים כגון שיטות פיזיקליות וכימיקליות וכן הקרנה. לכל שיטה מאפיינים שונים ולכל שיטת סטריליזציה, יתרונות וחסרונות אשר [...]

    פיתוח תרופה ניסיונית משלב המחקר ועד לפרה-קליניקה

    רשות המזון והבריאות האמריקנית, ה-FDA, מורכבת מחמש חטיבות מרכזיות המובדלות האחת מן השניה בסוגי המוצרים המוגשים לרישום ואישור: CDER- מרכז למחקר והערכת מוצרים תרופתיים CBER- מרכז למחקר והערכת מוצרים [...]

    חדרים נקיים בתחום הפארמה והמדיקל

    מה זה חדר נקי? חדר נקי הנו חדר מבוקר אשר משמש להכנה, ייצור, מילוי והרכבה של מוצרים תרופתיים ו/או מכשור רפואי (אמ"ר) המצריכים עבודה בסביבה מבוקרת וברמת ניקיון מתאימה [...]

    תפעול חדר נקי וכללי התנהגות עובדי ייצור בחדרים נקיים

    מדוע יש לייצר תרופות ואמ"ר בחדרים נקיים? כל חברה העוסקת בייצור ו/או אריזה של מוצרים תרופתיים או אמ"ר (תעשיות הפארמה, מכשור רפואי, קוסמטיקה, תוספי תזונה או קנאביס רפואי) מחויבת [...]

    וולידציה לניקיון של מכשור רפואי

    ציוד רפואי או מכשור רפואי מזוהם עלול להוביל לפגיעה חמורה בבריאות המשתמש ואף לסכנת חיים. יצרני מכשור וציוד רפואי חייבים להבטיח מעל לכל ספק כי הם יודעים לזהות, לאפיין [...]

    השפעות הדירקטיבה האירופאית על תעשיית המוצרים הרפואיים (אמ"ר)

    הדירקטיבה האירופאית 93/42/EEC (הידועה גם כדירקטיבה של המכשור הרפואי - MDD) עוסקת במכשור רפואי, מוצרים רפואיים וציוד רפואי וכוללת את הדרישות החיוניות שיצרני ויבואני אמ"ר מחויבים לעמוד בהן על [...]

    קרא עוד

    שיתוף המאמר ברשתות החברתיות.

    מזמינים אותך ליצור קשר

      2021-06-25T09:40:35+00:00מרץ 15th, 2021|

      צור קשר