Securitatea Informatiei in Institutii Medicale

AVANTAJELE IMPLEMENTĂRII SISTEMULUI DE MANAGEMENT AL SECURITĂȚII INFORMAȚIEI

în conformitate cu standardele:

ISO27001-Sisteme de Management al Securităţii Informaţiei ISO27799-MANAGEMENTUL SECURITĂȚII INFORMAȚIEI ÎN SĂNĂTATE FOLOSIND ISO27002

Securitatea Informației înInstituții Medicale

Confidențialitatea constituie una dintre cele mai importante valori ale actului medical care stau la baza relației medic-pacient, reprezentând, totodată, și o obligație, stipulată încă din cele mai vechi timpuri. Jurământul lui Hipocrate subliniază importanța secretului medical.

"Orice voi vedea sau auzi în timpul activității profesionale sau în afara ei în legătura cu viața oamenilor - lucruri care nu trebuie discutate în afară, nu le voi divulga, acceptând

că toate acestea trebuie ținute secret“ Hipocrate

© www.iso27001consulting.ro

Amenințările și Costurile posibile ale lipsei implementării eficace a Sistemului de Management al Securității Informației

Divulgarea informației confidențiale.

Întreruperi în activitatea medicală: nefuncționarea rețelei de calculatoare și imposibilitatea accesării serverelor și aplicațiilor. Informatizarea tot mai mare a sistemelor informaționale din domeniului medical duce la imposibilitatea desfășurării activităților în timpul indisponibilității sistemului IT.

Pierderea încrederii pacienților și partenerilor: practica demonstrează că organizațiile atacate de hackeri au pierdut reputația și încrederea și le-a fost foarte greu să o recapete, sau chiar imposibil. Pacienții, asiguratorii și partenerii vor evita să comunice informații personale unei organizații care nu este în stare să o protejeze adecvat. Directiva 2002/58/EC a Parlamentului European privind procesarea datelor personale, interzice comunicarea informației medicale unei organizații care nu poate asigura confidențialitatea acesteia.

Costuri Financiare: Legislația în vigoare prevede răspunderea juridică și financiară pentru pierderea confidențialității datelor pacienților.


Avantajele Implementării Sistemului de Management al Securității Informației

Păstrarea confidenţialităţii, integrităţii şi a disponibilităţii informaţiei;

Îmbunătățirea reputației și încrederii în organizației;

Asigurarea conformității legale și reducerea riscului penalizărilor;

Asigurarea instruirii continue a angajaților în materie de păstrare a confidențialității informației;

Posibilitatea oferirii unor servicii de calitate în timp optim;

Oferă managerilor un control mai bun asupra fluxurilor de informații din organizație;

Sunt identificate și ținute sub control riscurile care pot afecta activitatea organizației;


Ce efecte a avut pierderea confidențialității datelor pacienților în 2010?

În 2010 costul mediu al pierderii unei înregistrări a ajuns la 204$, ceea ce înseamnă că pentru 1000 de înregistrări divulgate costul se poate ridica la 204000$.

(conform Ponemon Institute's annual study 2010 ).

Pe 18.06.2010 Departamentul de Sănătate din California a amendat spitalul San Bernardino Hospital cu 325000$ pentru divulgarea înregistrărilor medicale a 203 pacienți, de către un angajat al spitalului.

Pe 18.09.2010 Lucile Salter Packard Children’s Hospital de la Stanford University a fost amendat cu 250000$ pentru pierderea unui laptop pe care erau stocate datele a 532 pacienți.

În 2009 un hacker a obținut acces la baza de date a agenției naționale de sănătate din UK -

National Health Service cu datele personale ale tuturor pacienților, procesele judiciare continuă.

În 2010 94% din pierderile de confidențialitate ale datelor pacienților au fost cauzate de acțiuni ale

propriilor angajați; 89% dintre datele divulgate conțineau numele pacientului, 66% informații medicale, 47% data

zilei de naștere, 38% adresa pacientului. În perioada ianuarie-octombrie 2010 au fost făcute publice 128 de cazuri de pierdere a

confidențialității informației pacienților, față de doar 46 cazuri în anul 2009. (conform http://www.privacyrights.org/data-breach/new)


Securitatea Informației în Instituții Medicale

Implementarea Sistemului de Management al Securității Informației în conformitate cu ISO27001-SMSI vă ajută să păstrați informațiile organizației în condiții de siguranță și securitate.

Este responsabilitatea fiecărei organizații să prevină, să identifice și să trateze riscurile de securitate care pot avea impact negativ asupra confidențialității, integrității și disponibilității informației pacienților. Având în vedere că, legislația și standardele care prevăd dreptul pacienților la confidențialitatea datelor, se dezvoltă și se multiplică (de ex: Directiva 95/46/EC, Directiva 2002/58/EC, Legea

Drepturilor Pacientului, HIPAA), riscurile devin tot mai mari.


Legislație care obligă protecția datelor cu caracter personal (inclusiv a informației pacienților)

A. Legislație comunitară Directiva 95/46/EC a Parlamentului și a Consiliului European din 24.10.1995 cu privire la

protecția persoanelor referitoare la procesarea datelor personale și la libera circulație a acestor date (OJL 281, 23.11.1995, p.31);

Directiva 2002/58/EC a Parlamentului European și a Consiliului din 12.07.2002 privind procesarea datelor personale și protecția intimității în sectorul comunicațiilor electronice;

B. Legislație internă

Lege nr. 46/2003 din 21.01.2003 - LEGEA DREPTURILOR PACIENTULUI

Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date;

Legea nr. 682/2001 privind ratificarea de către România a Convenției pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981;

Legea nr. 102/2005 privind înființarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal.


Obiectivele Sistemului de Management al Securității Informației

Confidențialitate

Integritate

Disponibilitate

SECURI-TATEA

Informației

Informaţiile pot exista sub diferite forme. Ele pot fi tipărite sau scrise pe hârtie, stocate electronic, transmise prin poştă sau prin echipamente electronice, prezentate pe filme sau comunicate în cadrul unor conversaţii. Orice formă ar avea informaţiile sau orice metode de stocare ar fi folosite, ele trebuie să fie întotdeauna protejate corespunzător.


Obiectivele Sistemului de Management al Securității Informației

Confidenţialitateproprietatea ca informaţia să nu fie făcută disponibilă sau divulgată persoanelor, entităţilor sau proceselor fără autorizare.

Integritateproprietatea de a păstra acurateţea conținutului informației, iar modificarea acesteia să fie posibilă doar în circumstanțe autorizate.

Disponibilitateproprietatea de a fi accesibil şi utilizabil la cerere de către o entitate autorizată la momentul și locul potrivit.


ISO 27002 - Cod de bună practică pentru managementul securităţii informaţiei

Ce reprezintă?Acest standard internaţional stabileşte liniile

directoare pentru iniţierea, implementarea, menţinerea şi îmbunătăţirea managementului securităţii informaţiei într-o organizaţie.

Obiectivele evidenţiate în acest standard internaţional oferă îndrumări privitoare la ţintele general acceptate ale managementului securităţii informaţiei.

ISO27002 conține îndrumări referitoare la implementarea celor 11 domenii de control şi 133 măsuri de securitate din ISO27001.


ISO 27001 - Sisteme de management al securităţii informaţiei. Cerinţe

Ce reprezintă?ISO27001 este standardul de certificare pentru SMSI. Standardul ISO27001 stabilește cerințele și criteriile

pentru implementarea, operarea, monitorizarea, revizia, mentenanța și îmbunătățirea sistemului de management al securității informațiilor în contextul riscurilor de ansamblu la care este supusă organizația. De asemenea, sistemul de management al securității informațiilor oferă managerilor un control mai bun asupra fluxurilor de informații din organizație și reduce costurile aferente managementului riscului.


11 Domenii de control ale ISO27001

A.5 POLITICA DE SE-CURITATE

A.6 ORGANIZAREA SECURITATII INFOR-

MATIEI

A.7 MANAGEMENTUL RESURSELOR (BUNURILOR)

A.8 SECURITATEA RESURSELOR UMANE

A. 9 SECURITATEA FIZ-ICA SI A MEDIULUIA.10 Managementul

comunicatiilor si operatiilor

A.11 Controlul accesului

A.12 Achizitia, dez-voltarea si mentenanta sistemelor informatice

A.13 Managementul incidentelor de securi-

tate a informatiei

A.14 Managementul continuitatii afacerii

A.15 Conformitate


ISO 27799: Managementul Securității Informației în Sănătate folosind ISO27002

Ce reprezintă?Ghid de aplicare a sistemului de management al

securității informației în instituții medicale.Set minim de cerințe care trebuie îndeplinite pentru un

nivel adecvat de securitate în sănătate.Scop?Stabileşte liniile directoare pentru organizațiile din

sănătate și custozii ai datelor pacienților, cum să asigure confidențialitatea, integritatea și disponibilitatea acestor informații.

Se adresează nevoilor speciale de management al securității din domeniul sănătății și mediului sau unic de operare.


Contact

Pentru informații suplimentare referitoare la implementarea și certificarea SMSI contactați-ne:

www.iso27001consulting.ro

Vă asigurăm: Implementarea controalelor de securitate în conformitate cu

ISO27001; Raport centralizat de analiza SWOT din perspectiva securității

informației asupra practicilor din organizație; Teste de penetrare a sistemului informatic al organizației și plan

de măsuri de remediere și îmbunătățire; Recomandări privind achiziția de echipamente și software pentru

îmbunătățirea sistemului IT&C; Backup automatizat al informației din organizație și

implementarea practicilor de continuitate a afacerii.


http://www.iso27001consulting.ro/

Securitatea Informatiei in Institutii Medicale

Business

Transcript of Securitatea Informatiei in Institutii Medicale