Poskytování zdravotních služeb je významnou měrou závislé na shromažďování a zpracování informací vztahujících se na údaje o pacientech, o zaměstnancích a o ostatních spolupracujících subjektech.
Systém managementu bezpečnosti informací ISMS (Information security management systems) umožňuje realizaci systému řízení orientovaného na ochranu tzv. informačních aktiv. Pro dosažení tohoto cíle se řídíme metodikou podle mezinárodní normy ČSN ISO/IEC 27001. Odpovědnost za bezpečnost informací v organizaci má každý jednotlivý zaměstnanec.
ISMS je uplatňován proto, aby byla společnost schopna vyhodnocovat rizika a uplatňovat náležité kontrolní a řídící mechanismy k zachování důvěrnosti, integrity a dostupnosti informací.
Základním cílem je chránit informační aktiva společnosti.
Deset principů politiky bezpečnosti informací
- Princip soukromí. Soukromí dat je závislé především na zachování důvěrnosti osobních zdravotních údajů pacientů, osobních dat našich zaměstnanců a jiných partnerů. V rámci integrity dat je pro nás nejdůležitějším principem mlčenlivost a bezpečná pravidla pro osobní, písemnou a elektronickou komunikaci.
- Princip dostupnosti. Dostupnost a sdílení dat je z pohledu péče o pacienty velmi důležité. Nastavujeme bezpečnou a vysokou úroveň dostupnosti dat.
- Princip bezpečnosti. Jako každý systém je i zdravotní informační systém vystavován riziku síťových útoků zvenčí, ale také z řad uživatelů uvnitř společnosti. Je důležité věnovat zvýšenou pozornost nastavení zabezpečení a eliminovat možné ataky v systému. Chráníme informace během jejich vstupu, zpracování, uložení, přenosu a výstupu proti ztrátě důvěrnosti. Požadavky na bezpečnost informací řešíme s každým dodavatelem, který může přistupovat k informacím společnosti nebo zajišťuje prvky ICT infrastruktury.
- Princip ochrany. Chráníme klíčové procesy před poškozením a informace před zcizením a následným zneužitím. Prosazujeme systém řízeného přístupu k informacím, fyzického přístupu do prostorů a bezpečnostní pravidla pro přenosná počítačová zařízení a jiné nosiče informací. Zajišťujeme ochranu aktiv, ke kterým mají přístup naši dodavatelé.
- Princip prevence. Systematicky se zabýváme posuzováním možných rizik a oblast bezpečnosti informací kontrolujeme. Pro vytvoření strategie používáme podklady z analýzy informačního systému a auditů. Prevence bezpečnostních incidentů je pro nás zásadní. Prioritně řešíme vysoká rizika v souvislostech možných dopadů do celého systému bezpečnosti informací. Monitorujeme, hodnotíme a přezkoumáváme služby dodavatelů.
- Princip vědomí. Uživatelé si musí být vědomi bezpečnostních hrozeb a otázek s nimi spjatých a být připraveni se podílet na dodržování politiky bezpečnosti informací a vzdělávat se v této oblasti. Kvalifikace zaměstnanců pověřených výkonem bezpečnostních rolí je systematicky rozvíjena. Politika bezpečnosti informací a související dokumentace je závazná pro všechny zaměstnance s přístupem k informacím, a to bez ohledu na zastávanou funkci, pozici či roli ve společnosti. Požadavky bezpečnosti informací komunikujeme s našimi dodavateli a dokumentujeme je v našich dohodách. Porušování zásad politiky bezpečnosti informací je bezpečnostní incident, který má vliv na bezpečnost informací se všemi důsledky z toho plynoucími.
- Princip praxe. Zavádíme požadavky bezpečnostní politiky a standardů do praxe. Budování bezpečnosti je nikdy nekončící proces.
- Princip zdrojů. Vytváříme podmínky k zajišťování všech zdrojů potřebných pro zavedení, udržování a rozvoj systému bezpečnosti informací. Plánované náklady na zajištění bezpečnosti informací jsou přidělovány a koordinovány vyváženě, odpovídají ceně informace vůči nákladům na jejich zabezpečení při dosažení efektivnosti vynaložených zdrojů.
- Princip rozvoje. V souladu s moderními technologiemi a možnostmi zajišťujeme, udržujeme, chráníme a rozvíjíme informační majetky, spolehlivě zálohujeme informační systémy a zajišťujeme odpovídající ochranu shromažďovaných údajů v souladu s platnou legislativou. Naše procesy a činnosti spjaté s ochranou informací neustále zlepšujeme.
- Princip kontinuity. Samotná bezpečnostní politika není neměnným dokumentem. Reagujeme na měnící se vnitřní a vnější prostředí a požadavky legislativy.
Pardubice 10. 5. 2017
MUDr. Tomáš Gottvald
generální ředitel a předseda představenstva Nemocnice Pardubického kraje, a. s.
Politika bezpečnosti informací Nemocnice Pardubického kraje, a. s.