גודל טקסט:
שינוי צבעי האתר:
מקשי קיצור
S - עבור לתוכן העמוד
1 - עמוד הבית
4 - חיפוש
הצהרת נגישות
תו מידות לאפקטיביות
תקציר מדיניות אבטחת מידע

תקציר מדיניות אבטחת מידע

פעילותו התקינה של ביה"ח אלי"ן מושפעת ותלויה ברמת הסודיות, השלמות, הזמינות, הכלילות  (Integrity) והשרידות של המידע והנכסים שבאחריות ביה"ח. המידע, המערכות המנהלות אותו, האמצעים והציוד עליו הוא מושתת, מהווים נכס מרכזי וחיוני של ביה"ח ויש להגן עליהם כעל משאבים אחרים בעלי ערך ביה"ח.

פגיעה במידע תוביל לנזקים העלולים לתת אותותיהם בהיבטים תפעוליים, טכנולוגיים וכספיים וכן להוביל לפגיעה בצנעת הפרט של אזרחי המדינה, לפגיעה במוניטין ובתדמית ביה"ח. מדיניות אבטחת המידע מבוססת על סיכוני האבטחה הדינמיים תוך התאמה לצרכים התפעוליים והארגוניים של ביה"ח, והעקרונות המונחים במדיניות אבטחת המידע מהווים בסיס לנהלי העבודה בתחומי אבטחת המידע השונים. מדיניות אבטחת המידע של ביה"ח נגזרת מתקן ניהול אבטחת המידע הבינלאומי ISO 27799 ותקן 27001:2013 ISO.

הנהלת בית חולים אלי"ן רואה את ההגנה על המידע בהיבט של שלמות, זמינות ואמינות כנושא בעל חשיבות עליונה. הנהלת בית החולים לוקחת על עצמה להוביל ולהנחיל את כלל הנושאים והפעילויות הנדרשות על מנת לממש הגנה ראויה על המידע כפי שמתחייב עפ"י דרישות החוק, תקן ISO 27001 ו- ISO 27799.

ההנהלה תקצה את המשאבים הנדרשים, על מנת להגן על המידע ועל הנכסים של בית החולים ולעמוד בדרישות מערכת ניהול אבטחת המידע (מנא"מ) כפי שמתחייב בתקנים 27799 ISO ו- 27001 ISO. על עובדי בית החולים אלי"ן להיות מודעים לסיכונים של חשיפת מידע, לעשות את כל האמצעים כדי למנוע חשיפה ואם יתקלו באירוע חריג עליהם לדווח על כך לגורמי אבטחת המידע בבית החולים.

 

להלן מטרות אבטחת מידע בבית החולים:

  • הבטחת סודיות המידע הרפואי החסוי והחסוי ביותר של לקוחות הארגון המטופל ונאגר במערכות המידע ומתקני הארגון.
  • הבטחת זמינות המידע מערכות המידע לצורך המשכיות הפעילות העסקית ומתן השירות ללקוחות.
  • הבטחת אמינות המידע לאורך כל תהליכי העבודה בארגון ווידוא מתן תוצאות אמינות ומדויקות לכלל הלקוחות.
  • אבטחת המידע העסקי הרלוונטי לפעילות הארגון.
  • אבטחת וחיסיון המידע האישי של עובדי הארגון.
  • עמידה ברגולציות ונושאי אבטחת מידע מחייבים.
  • העלאת מודעות לאבטחת מידע בקרב מנהלים ועובדים והעלאת הכשירות המקצועית של העוסקים בתחום אבטחת המידע בארגון.
  • שיפור החוסן של מערכות המידע ורשתות החברה בפני פגיעה בהיבט סודיות, אמינות וזמינות כתוצאה מפעילות זדונית ע"י גורם חיצוני או פנימי

 

עקרונות מדיניות אבטחת המידע יתבססו על מערכת ניהול סיכונים, המזהה, מבקרת ממזערת או מונעת את סיכוני האבטחה העלולים להשפיע על המידע, מאגריו או מערכותיו. הנהלת בית החולים הגדירה את הגורמים והמסגרות הארגוניות, אשר באחריותם ליישם את מדיניות אבטחת המידע בביה"ח:

  • ועדת היגוי לנושא אבטחת מידע – מגדירה את מדיניות ונהלי ביה"ח בתחומים הנוגעים לאבטחת מידע.
  • ממונה על אבטחת מידע – ברטו אלי הממונה על אבטחת המידע, יחד עם אורי ענבר מנהל מערכות המידע בבית החולים, אחראים על הניהול השוטף של ענייני אבטחת מידע בבית החולים.
  • נאמני אבטחת מידע במחלקות – ההנהלה מינתה נציגות אבטחת מידע ביחידות ביה"ח השונות, על מנת להבטיח הטמעה מיטבית של מדיניות אבטחת המידע בכלל חלקי בית החולים.
  • עובדי בית החולים - על כלל עובדי ביה"ח חלה אחריות אישית בכל הנוגע לשמירה על אבטחת המידע וחסיונו.

 

על מנת לממש את אחריותה ומחויבותה של ההנהלה לנושא אבטחת המידע  הוגדרו ונקבעו הכללים לטיפול בנושאים הבאים:

  • אבטחה לוגית - האבטחה הלוגית מהווה את ה"שכבה" העיקרית והקרובה ביותר בהגנה על המידע המצוי במערכות המחשב והתקשורת. ממונה אבטחת המידע בבית החולים יתווה את רמת האבטחה הלוגית המחייבת עבור רכיביהן השונים של מערכות המחשוב והתקשורת. תיושם מדיניות הרשאות ובקרת גישה למידע רפואי בהתאם לתפקיד והצורך המקצועי.
  • אבטחה פיזית - ייושמו הגנות ובקרות פיזיות, על מנת למנוע פעולות אשר תוצאותיה עשויות להיות חשיפה, גניבה, שינוי או הרס של מידע. אמצעי הגנה אלו יתאימו לרמת הסיווג של המידע.
  • אבטחת משאבי אנוש – נקבעו עקרונות אבטחת מידע בכל הקשור לעובדי בית החולים, על מנת לצמצם את הסיכונים הנובעים מבעיות במהימנות עובדים, חוסר מודעות של עובדים או רצון מכוון של עובד לפגוע במידע האגור במערכות בית החולים.
  • פיתוח מאובטח – הוגדרו היבטי אבטחת מידע ששולבו בתהליכי פיתוח מערכות מידע.
  • רכש וספקים – מיושמים היבטי אבטחת מידע בתקשורת ועבודה עם ספקים חיצוניים .
  • גיבויים – בבית החולים הוגדרו תהליכים להבטחת אמינות, שלמות, זמינות וכלילות (Integrity) המידע, וזאת ע"מ להבטיח שסוגי המידע השונים הקיימים בבית החולים מזוהים, וכי דרישות גיבוי לכל סוג של מידע מוגדרות בהתאם לרגישות המידע .
  • בקרת גישה – נקבעו כללים ועקרונות למתן גישה ולמערכות המידע ובקרה אחר התחברות לרשת.
  • שילוב מנגנוני הצפנה – בבית החולים פותחו עקרונות לשילוב מנגנוני הצפנה במערכות ביה"ח, על מנת להגן על מידע רגיש מפני חשיפה ושינוי.
  • עבודה מרחוק – בבית החולים נקבעו כללים והנחיות אבטחת מידע לגישת עובדי ביה"ח וגורמים חיצוניים לרשת החברה מרחוק.
  • אבטחת אמצעי מחשוב ניידים – מבוצע יישום העקרונות, השיטה, תהליכי העבודה והאמצעים ע"מ לאפשר שימוש מאובטח במחשבים נישאים /ניידים ולמנוע פגיעה בשלמות, אמינות, זמינות, סודיות ושרידות המידע המאוחסן על גבי מחשבים ניידים בארגון.

 

הנהלת בית החולים רואה בכלל המנהלים והעובדים שותפים מלאים למאמץ להגנה על המידע ומצפה לשיתוף פעולה ביישום המדיניות והכללים הנגזרים ממנה.