מהו תקן אבטחת מידע רפואי ISO 27799?

doctor is writing down a patient history into the computer

 

תקן 27799 ISO הינו תקן בינלאומי לאבטחת מידע במערכות מידע בתחום הבריאות. התקן הבינלאומי פותח על ידי ארגון התקינה הבינלאומי ISO על בסיס התקן 27001 ISO. זהו תקן כללי לאבטחת מידע בתחום הבריאות  ומטרתו לספק כלים לארגונים הרפואיים השונים ולכל גוף אחר שיש לו גישה למידע רפואי אישי ופרטי. התקן נועד להגן על המידע הרפואי ולהבטיח הגנה על נגישות, שלמות וסודיות המידע הרפואי האישי שבידי הארגונים הרפואיים השונים.

כדאי לדעת כי התקן הבינלאומי לאבטחת מידע רפואי אושר בינואר 2014 על ידי משרד הבריאות בישראל. בתחילת שנת 2014 יצא חוזר של המנהל הכללי המחייב את מוסדות הרפואה בישראל להיות מוסמכים לתקן אבטחת מידע 27799 ISO. החל מינואר 2016 נקבע שגם הספקים המציעים שירותים למוסדות בריאות בישראל חייבים לעבור הסמכה לתקן הבינלאומי לאבטחת מידע מסוג 27001 ISO או לעבור הסמכה לתקן העדכני והמחייב יותר מסוג 27799 ISO. ספק שלא עבר הסמכה לתקנים אלו אינו רשאי לבצע התקשרות עם מוסדות הבריאות בארץ, התקן מחייב גם כל מערכת לניהול מרפאה, לכן אם בכוונתכם להטמיע תוכנה לניהול קליניקה עליכם לוודא כי התוכנה עומדת בדרישות התקן המחייב.

רקע כללי על התקן לאבטחת מידע בתחום הבריאות

מידע רפואי רגיש נמצא בכל מערכות המחשוב של ארגוני הרפואה השונים בארץ ובעולם. למרות חשיבות ורגישות המידע, יש גישה יחסית חופשית למידע הרפואי בגלל ריבוי משתמשים במערכות, במיוחד כיום כאשר מערכות המידע הרפואי הן ממוחשבות ומחוברות לאינטרנט המהיר.

לאור כניסתן של מערכות המידע הממוחשבות לארגוני הבריאות נולד הצורך לתקן אבטחת מידע. התקן הראשון לאבטחת מידע פורסם בשלהי שנות ה-90 של המאה הקודמת, במרוצת השנים התקן עבר לא מעט עדכונים עד שנקבע תקן 27002 ISO המספק כללים ברורים לניהול אבטחת מידע בארגונים השונים. תקן 27002 ISO קבע הנחיות במגוון רחב של נושאים כגון:

  • מדיניות האבטחה וניהול נכסי המידע בארגון.
  • הנחיות אבטחת מידע לעובדים, תוך התייחסות לגיוס עובדים חדשים לארגון.
  • הגנה יעילה על מערכות המחשוב.
  • הנחיות בנושא הקמת מערכות בקרה, כולל ניהול טכני של המערכת.
  • הרשאות והגבלת זכויות גישה למערכות המידע, לרשתות, לאפליקציות ולנתונים השמורים.
  • הנחיות לגבי תגובת הולמת לאירוע פריצה.
  • הנחיות בנושא אמצעי הגנה ושמירה של המידע, כולל נוהל שחזור לאחר קריסת המערכת.

תקן 27002 ISO התגלה כבעייתי כאשר ניסו להטמיע אותו במערכות המחשוב של שירותי בריאות כללית, הקופה יחד עם מכון התקנים הישראלי פנו לארגון התקינה הבינלאומי כדי לנסח תקן בינלאומי רחב ומקיף יותר המותאם להגנה על מידע רפואי אישי, למשל מידע המאובחן בתוכנת יומן רופא ובמערכות הכוללות כלים כמו תיק רפואי ממוחשב.

משמעות התקן בניהול המרפאה מרחוק ובאבטחת מידע

בשנים האחרות תחום הבריאות עובר מהפכה טכנולוגית משמעותית, במרוצת הזמן נכנסו תוכנות מתקדמות לניהול מרכזי רפואה וגם המכשור הרפואי התפתח טכנולוגית. מערכת לניהול מרפאה מרחוק נמצאת בשימוש נרחב כיום, יתרונותיה באים לידי ביטוי גם בתקופת הקורונה, אך מעבר ליתרונות ולנוחות השימוש חשוב להגן על המידע הרגיש ועל הנתונים הרפואיים של המטופלים.

בכל תיק רפואי ממוחשב יש מידע רגיש עליו חשוב להגן מגורמים לא רצויים. תקן 27799 ISO מגדיר את כללי ההגנה על נתונים ומידע רפואי במערכות המחשוב, התקן שפורסם ב-2010 נחשב למחמיר מאוד וספקי השירותים למוסדות הבריאות חייבים לעבור הסמכה לתקן החדש והמחייב יותר.

לכן, כאשר בוחרים מערכת לניהול מרפאה חשוב לוודא מראש כי התוכנה עומדת בדרישות התקן המחמיר. תוכנה לניהול קליניקה העומדת בתקן מבטיחה ביטחון רב למטופלים, עמידה בחוקים ובתקנות לעיבוד מידע רפואי וכלים המונעים פרצות אבטחה והקפדה על פרטיות ומניעת זליגת המידע לגורמים לא מאושרים.