אבטחת מידע

תמצית מדיניות אבטחת המידע בבית החולים

1. רקע

1.1 פעילותו התקינה של בית חולים המשפחה הקדושה (להלן: "הבית חולים") מושפעת ותלויה ברמת הסודיות, השלמות, הזמינות, הכלילות  (Integrity)או השרידות של המידע והנכסים שבאחריותו.

1.2 המידע, המערכות המנהלות אותו, האמצעים והציוד עליו הוא מושתת, מהווים נכס מרכזי וחיוני של ויש להגן עליהם כעל משאבים אחרים בעלי ערך בבית החולים.

1.3 פגיעה במידע תוביל לנזקים העלולים לתת אותותיהם בהיבטים תפעוליים, טכנולוגיים וכספיים וכן להוביל לפגיעה בצנעת הפרט של אזרחי המדינה, לפגיעה במוניטין ובתדמית בית החולים.

1.4 מדיניות אבטחת המידע מבוססת על סיכוני האבטחה הדינמיים תוך התאמה לצרכים התפעוליים והארגוניים. העקרונות המונחים במדיניות אבטחת המידע מהווים בסיס לנהלי העבודה בתחומי אבטחת המידע השונים.

1.5 מדיניות אבטחת המידע נגזרת מתקן ניהול אבטחת המידע הבינלאומי 27799 ISO ותקן 27001:2013 ISO.

1.6 על העובדים להיות מודעים לסיכונים של חשיפת מידע, לעשות את כל האמצעים כדי למנוע חשיפה ואם יתקלו באירוע חריג עליהם לדווח על כך לגורמי אבטחת המידע / לנאמני אבטחת המידע במחלקות.

2. מטרות אבטחת מידע בבית החולים:

2.1 הבטחת סודיות המידע הרגיש של מטופלי ועובדי בית החולים.

2.2 הבטחת זמינות המידע.

2.3 הבטחת אמינות המידע.

2.4 אבטחת וחיסיון המידע האישי ועסקי הנאגר במערכות בית החולים.

2.5 עמידה ברגולציות ונושאי אבטחת מידע מחייבים.

2.6 העלאת מודעות לאבטחת מידע.

2.7 שיפור החוסן של מערכות מידע ורשתות בית החולים.

3. עיקרי שיטת הערכת הסיכונים:

עקרונות מדיניות אבטחת המידע יתבססו על מערכת ניהול סיכונים, המזהה, מבקרת ממזערת או מונעת את סיכוני האבטחה העלולים להשפיע על המידע, מאגריו או מערכותיו.

4. אחריות על אבטחת מידע בבית החולים:

4.1 ההנהלה הגדירה את הגורמים והמסגרות הארגוניות, אשר באחריותם ליישם את מדיניות אבטחת המידע:

4.1.1 מנהלי ועובדי בית החולים – חלה אחריות אישית בכל הנוגע לשמירה על אבטחת המידע וחסיונו.

4.1.2 נאמני אבטחת מידע במחלקות –אחראיים על הטמעה מיטבית של מדיניות אבטחת המידע בכל מחלקות בית החולים.

4.1.3 ממונה אבטחת מידע - אחראי על הניהול השוטף של ענייני אבטחת מידע.

4.1.5 ועדת היגוי לנושא אבטחת מידע – מגדירה את המדיניות והנהלים  בתחומים הנוגעים לאבטחת מידע.

5. על מנת לממש את אחריותה ומחויבותה של ההנהלה לנושא אבטחת המידע  הוגדרו ונקבעו הכללים לטיפול בנושאים הבאים :

5.1 אבטחה לוגית - האבטחה הלוגית מהווה את ה"שכבה" העיקרית והקרובה ביותר בהגנה על המידע המצוי במערכות המחשב והתקשורת. ממונה אבטחת מידע יתווה את רמת האבטחה הלוגית המחייבת עבור רכיביהן השונים של מערכות המחשוב והתקשורת. תיושם מדיניות הרשאות ובקרת גישה למידע בהתאם לתפקיד והצורך המקצועי.

5.2 אבטחה פיזית - ייושמו הגנות ובקרות פיזיות, על מנת למנוע פעולות אשר תוצאותיה עשויות להיות חשיפה, גניבה, שינוי או הרס של מידע. אמצעי הגנה אלו יתאימו לרמת הסיווג של המידע.

5.3 אבטחת משאבי אנוש – נקבעו עקרונות אבטחת מידע בכל הקשור לעובדים, על מנת לצמצם את הסיכונים הנובעים מבעיות במהימנות עובדים, חוסר מודעות של עובדים או רצון מכוון של עובד לפגוע במידע האגור במערכות בית החולים.

5.4 רכש וספקים –מיושמים היבטי אבטחת מידע בתקשורת ועבודה עם ספקים חיצוניים.

5.5 גיבויים –הוגדרו תהליכים להבטחת אמינות, שלמות וזמינות המידע, וזאת ע"מ להבטיח שסוגי המידע השונים הקיימים מזוהים, וכי דרישות גיבוי לכל סוג של מידע מוגדרות בהתאם לרגישות המידע .

5.6 בקרת גישה – נקבעו כללים ועקרונות למתן גישה ולמערכות המידע ובקרה אחר התחברות לרשת.

5.7 שילוב מנגנוני הצפנה – יפותחו  עקרונות לשילוב מנגנוני הצפנה במערכות בית החולים, על מנת להגן על מידע רגיש מפני חשיפה ושינוי.

5.8 עבודה מרחוק –נקבעו כללים והנחיות אבטחת מידע לגישת עובדים וגורמים חיצוניים לרשת בית החולים מרחוק.

5.9 אבטחת אמצעי מחשוב ניידים – מבוצע יישום העקרונות, השיטה, תהליכי העבודה והאמצעים ע"מ לאפשר שימוש מאובטח במחשבים נישאים /ניידים ולמנוע פגיעה בשלמות, אמינות, זמינות, סודיות ושרידות המידע המאוחסן על גבי מחשבים ניידים.

הנהלת בית החולים רואה בכלל המנהלים והעובדים שותפים מלאים למאמץ להגנה על המידע ומצפה לשיתוף פעולה ביישום המדיניות והכללים הנגזרים ממנה.