Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v zdravstvenih zavodih v Sloveniji Drago Rudel, MKS d.o.o. drago.rudel@mks.si.

Slides:



Advertisements
Similar presentations
INFORMACIJSKA TEHNOLOGIJA projektna naloga pri predmetu informatika
Advertisements

Strategic Research Agenda Strateška raziskovalna usmeritev D. Gradišar, V. Jovan 14. April 2010.
Wikinomija Stanko Blatnik, IPAK Inštitut eFest Velenje, oktober 2008.
Miha Pihler MCSA, MCSE, MCT, CISSP, Microsoft MVP
INFORMATIVNI DAN ZA RAZISKOVALNE ORGANIZACIJE Univerza v Ljubljani, Fakulteta za strojništvo, Ljubljana, Republika Slovenija Ministrstvo za infrastrukturo.
PREDSTAVITEV SMERNICE Peter Grasselli, CISA, CISSP SLOVENSKI INŠTITUT ZA REVIZIJO Ljubljana G32 Bussiness Continuity Plan (BCP) Review from IT Perspective.
Delovni program 2013 „ENERGIJA“ Razpis s področja „Smart Cities & Communities“ mag. Milena Černilogar Radež, MZIP, Direktorat za energijo nacionalna kontaktna.
Tihomir Ratkajec, MD, PhD.  Work has a very central role  spend a large part of ours life at work.  working situations are changed  the increasing.
PODPORA IKT PRI POUČEVANJU NARAVOSLOVNIH VSEBIN
Prvi razpis programa Jugovzhodna Evropa potek razpisa Tomaž Miklavčič Ministrstvo za okolje in prostor Direktorat za evropske zadeve in investicije Novo.
INTEROPERABILITY Marko Ambrož, MPA Ohrid 2007.
1 EDUKACIJA BOLNIKOV pred uvedbo zdravila MAREVAN (tudi Sintrom) Alenka Mavri.
Pregled programa MED Nacionalni informativni dan ob prvem razpisu Ljubljana, 9. september 2015 mag. Nadja Kobe Služba Vlade RS za razvoj in.
Pravilnik o projektni dokumentaciji Pravilnik o gradbiščih Uredba o ravnanju z odpadki pri gradbenih delih mag. Sabina Jereb, univ.dipl.prav. 9. posvet.
ADD HOME IZOBRAŽEVANJE. II. KAJ JE ADD HOME? VSEBINA Background – how does mobility at home look like nowadays? Potencial – kaj lahko naredimo s poseganjem?
Sodelovanje Ministrstva za izobraževanje, znanost in šport v ERA-NET projektih Doroteja Zlobec
Slovenija in razvoj e-vsebin v primerjavi s svetovnimi trendi
Project management implementation from the practical point of view
SPACE OF OPPORTUNITIES
Center Vlade RS za informatiko
Informacijski model objekta BIM Building Information Modelling
E-poslovanje javne uprave
KOMUNIKACIJSKE NAPRAVE
Utišajmo mobilne telefone !
Utišajmo mobilne telefone !
Poslovni informacioni sistemi
Odprti dostop v Evropskem raziskovalnem prostoru in Sloveniji
Odvisnost podjetja od okolja
Trajnostni razvoj Finalisti: France Ocepek Urška Lušina
Računalniško podprto skupinsko delo
Utišajmo mobilne telefone !
#beatplasticpollution IME PROJEKTA
‚Sintezna bioinformatika‘
Dostop do informacij javnega značaja
Utišajmo mobilne telefone !
Izbrana Poglavja iz Informacijskih Tehnologij (IPIT)
Primož Gričar, Vodja prodaje Februar 2003
Microsoftove rešitve za šolstvo
Operacijski sistemi Lucijan Katan, 1.at Mentor: Branko Potisk.
mednarodna izmenjava študentov
Kaj je izziv pri dajanju zagotovil pri projektih za razvoj rešitev?
ZA SLOVENCE BREZ SLOVENSKEGA DRŽAVLJANSTVA IN TUJE DRŽAVLJANE
ERASMUS+ Strateška partnerstva KA 2
Projekt eMarket Services
UKREPI ZA ZMANJŠANJE STRESA
OSMOSE Predstavitev projekta
Binarna logistična regresija
UML – je standardno pogoj za univerzalno ?
Ela Reven, Katarina urbančič
Ugani število Napišimo program, ki si “izmisli” naključno število, potem pa nas v zanki sprašuje, katero je izmišljeno število. Če število uganemo, nas.
REINOVIRANJE SPOSOBNOST OZAVEŠČENEGA POSLOVNEGA OKOLJA, KI OMOGOČA OBSTOJ PODJETJA NE GLEDE NA VELIKOST, NEPREDVIDLJIVOST SPREMEMB V OKOLJU.
Gorenje, d.d. Organizacija in informatika Peter Tovšak
E-mobilnost in njena integracija v elektroenergetski sistem
24 UR SHAKESPEARA – (MULTI)MEDIJSKA PREDELAVA DOMAČEGA BRANJA
KONZORCIJSKO POVEZOVANJE SLOVENSKIH KNJIŽNIC
FAKTORING KOT ALTERNATIVNI VIR FINANCIRANJA
Boro Štrumbelj, Univerza v Ljubljani, Fakulteta za šport
1. sestanek koordinatorjev
1. Srečanje članov konzorcijev CTK Ljubljana, 2011
Informacijska varnost v Oracle okolju
Zaposlitveni portali v tujini
Mag. Iztok Sirnik Direktorat za e-upravo in upravne procese
Statistični sosvet za zdravje, Ljubljana 4. junija 2009
Univerzitetni podiplomski študij Statistika Seminar Uradna statistika, marec 2003 Uvodne teme Uradna statistika ter njeni pravni, organizacijski in institucionalni.
Utišajmo mobilne telefone !
Poročevalske obveznosti vodne direktive in WISE
Utišajmo mobilne telefone !
Agenda Predstavitev podjetja Tradicionalni pristopi
Referenčni model digitalne knjižnice
Izbrana Poglavja iz Informacijskih Tehnologij (IPIT)
Presentation transcript:

Skupni pristop k vzpostavitvi sistema upravljanja z varnostjo informacij v zdravstvenih zavodih v Sloveniji Drago Rudel, MKS d.o.o. drago.rudel@mks.si

PREDLOG ZdZZ Predlog Združenja zdravstvenih zavodov Slovenije za nacionalni projekt pri Ministrstvu za zdravstvo v okviru projektov "eZdravje 2010" (30.1.2007): "Skupen pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih zavodih v Sloveniji" Cilj: zagotoviti sistemsko podporo sodelujočim zdravstvenim organizacijam pri njihovih prizadevanjih za vzpostavitev sistema varovanja podatkov in informacij.

VSEBINA oddan predlog nacionalnega projekta zavedanje potrebe po varovanje informacij v SLO zdravstvu ZVOP-1, informacijska pooblaščenka in - izpolnitev zakonskih zahtev do varnosti informacij s skladnostjo s standardom za upravljanje z varnostjo informacij mednarodne in domače izkušnje s standardom pobuda za projekt skupnega pristopa, razlogi in model uresničitve osnovni podatki predloga projekta

ATRIBUTI PREDLAGANEGA PROJEKTA Glede na klasifikacijo MZ ima predlog projekta ZdZZ naslednje lastnosti: spada med velike projekte traja 48 mesecev število sodelujočih organizacij >25 število aktivnosti > 300 število različnih tipov vključenih ZO >5 planirana sredstva > 400.000€

POTENCIALNI SODELAVCI IME INSTITUCIJE STATUS Združenje zdravstvenih zavodov Slovenije Nosilec Vse ZO članice ZdrZZ Slovenije Partner 1 MKS Elektronski sistemi d.o.o. (dr. Drago Rudel) Partner 2 Lekarniška zbornica Slovenije (mag. Andreja Čufar) Partner 3 Zdravniška zbornica Slovenije (Brane Dobnikar) Partner 4 Združenje socialnih zavodov Slovenije (Boris Koprivnikar) Partner 5 Univerza v Ljubljani, Medicinska fakulteta, Inštitut za biomedicinsko informatiko (prof.dr. Janez Stare Partner 6 Ustanova PROREC.SI, »Industrijski forum« (Leo Ciglenečki, Smiljana Slavec) Partner 7

VARNOSTNI IZZIVI Primer: Kaj narediti z e-potnim predalom, ko gre direktor v novo službo? Kaj z njegovo arhivirano pošto na varnostnih kopijah? Ali imamo pravilnik, kako uporabljati: e-pošto, Internet službeno informacijsko opremo (prenosni PC)? Kaj se sme, kaj ne? Kaj pa, če kršiš pravila? Ravnanje z občutljivimi osebnimi podatki, zaupnimi informacijami, dokumenti... (Kdo je posredoval info novinarju?)

ZAVEDANJE POMEMBNOSTI INFORMACIJ V ZDRAVSTVU Dosedanje delo ZO na področju varovanja informacij Strokovna srečanje SDMI "Varovanje informacij v zdravstvu", 2003 Slovenj Gradec »E-zdravje za boljše zdravje v Sloveniji«, Zreče 2005 Naloge Komisije za IS pri ZdZZS svetovni standardi in priporočila varnost informacijskih sistemov in podatkov priprava predlogov internih IT standardov, predpisov in priporočil priprava predlogov skupne razvojne, varnostne in poslovne politike Svet za informatiko v zdravstvu pri MZ: Komisija za zdravstveno-informacijske standarde (varnost,...)

SKLADNOST Z ZAKONOM Zakon o varovanju osebnih podatkov – ZVOP-1 (UL RS 86/04 in UL RS 113/05) V skladu z 2.odstavkom 25. člena ZVOP-1 morajo vsi upravljavci osebnih podatkov v svojih aktih urediti zavarovanje osebnih podatkov, ki jih zbirajo in obdelujejo. 1. izdelati »Pravilnik o postopkih in ukrepih za zavarovanje osebnih podatkov« 2. zagotoviti njegovo izvajanje S 1.10.2006 je Informacijski pooblaščenec kot inšpekcijski organ napovedal začetek poostrenega inšpekcijskega nadzora in izrekanja zelo visokih kazni. "Če obdelujete osebne podatke in ne sprejmete pravilnika o zavarovanju, vam Informacijski pooblaščenec lahko z odločbo prepove obdelavo osebnih podatkov, poleg tega pa vas lahko kaznuje z globo od 1.000.000 do 3.000.000 SIT. Za takšen prekršek se lahko kaznuje tudi odgovorna oseba pravne osebe in sicer v višini od 200.000 do 300.000 SIT".

SKLADNOST Z ZAKONOM Nezadostno zavarovanje osebnih podatkov  pacientov Kliničnega centra LJ. Informacijski pooblaščenec izrekel globo (Ljubljana, 20. november 2006) "Nepravilnosti na področju varovanja osebnih podatkov v Kliničnem centru Ljubljana pa so bile ugotovljene pri zavarovanju osebnih podatkov pacientov ter možnosti dostopa do teh podatkov. Zaradi ugotovljenih nepravilnosti pri vodenju evidenc vpogledov in dostopa do podatkov pacientov je Informacijski pooblaščenec odločil, da gre za hudo kršitev na področju varovanja občutljivih osebnih podatkov".

VAROVANJE OSEBNIH PODATKOV Zaščita pravic posameznikov: pacientov zaposlenih kupcev dobaviteljev .... da se preprečuje neustavni, nezakoniti in neupravičeni posegi v zasebnost in dostojanstvo posameznika (1. člen ZVOP-1)

VAROVANJE INFORMACIJ Varovanje informacij ima širši namen: zagotoviti normalno delo v ZO. To pomeni preprečevati: operativno, poslovno in finančno tveganje motnje ali prenehanje delovanja informacijskega sistema motnje v poslovanju (strošek?) izguba podatkov zloraba podatkov, virov informacij izguba dobrega imena (ne)izpolnjevanje zakonskih obveznosti

IZVAJANJE UKREPOV INFORMACIJSKE VARNOSTI Sprejemljivo tveganje pri varovanju informacij dosežemo z organizacijskim in tehničnim pristopom 50% 0% tehnični 100% tehnični PRISTOP 0% organizacijski 100% organizacijski 50%

DO VARNOSTI INFORMACIJ Z MEDNARODNIM STANDARDOM POMOČ: mednarodni standardi HISA, HIPAA, HL7, ISO 11073 – zdravstvena informatika ISO 9000 – upravljanje kakovosti ISO 14000 – upravljanje z okoljem ISO 18000 – upravljanje za zdravje zaposlenih ISO 27000 – upravljanje z varnostjo informacij (prej ISO/IEC 17799) EN ISO 27799 - upravljanje z varnostjo informacij v zdravstvu

DO VARNOSTI INFORMACIJ S STANDARDOM ISO 27001 Vzpostaviti Sistem Upravljanja z Varnostjo Informacij – SUVI (ISMS) Uvajanje SUVI pomeni notranjo ureditev poslovanja, ne zgolj izdelavo pravilnikov. ISO 27001:2005 je nadgrajen ISO/IEC 17799:2005.

PODROČJA ISO 27001:2005 1. Organizacija informacijske varnosti 2.   Klasifikacija informacij in podatkov 3.   Nadzor dostopa do informacij in sistemov 4.   Obdelava informacij in dokumentov 5.   Nakup in vzdrževanje kupljene programske opreme 6.   Naprave za varovanje, periferne naprave in druga oprema 7.   Boj proti informacijskemu/računalniškemu kriminalu 8.   Varnost e-poslovanja Razvoj in vzdrževanje lastne programske opreme Varnost poslovnih prostorov Osebne zadeve in varnost Usklajenost z zakonodajo in predpisi Odkrivanje in odziv na varnostne incidente Načrtovanje neprekinjenega poslovanja Bold: vsebovano tudi v ZVOP-1

DO VARNOSTI INFORMACIJ S STANDARDOM EN ISO 27799 Vzpostaviti Sistem Upravljanja z Varnostjo Informacij – SUVI (ISMS) v zdravstvu EN ISO 27799:2006 temelji na ISO/IEC 17799 (BS 7799-2). Cilj: zagotavljati skladnost zdravstvenih organizacij s standardom (s preverjanjem, vendar brez certificiranja!)

POGLAVJA EN ISO 27799:2006 Foreword Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Symbols (and abbreviated terms) 5 Health information security 6 Practical action plan for implementing ISO/IEC 17799 7 Healthcare implications of ISO/IEC 17799 Annex A Threats to health information security Annex B Tasks and related documents of the Information Security Management System Annex C Potential benefits and required attributes of support tools (informative) Annex D Related standards in health information security (informative) Bibliography

POSLOVNA NARAVNANOST varnost je potrebno upravljati varnostna politika usklajena s poslovnimi cilji varnost gledana s stališča zagotavljanja neprekinjenega delovanja vrednost informacij je ocenjena v luči škode, ki jo povzroči uresničena grožnja poudarjena osebna zavezanost vodstva za uresničevanje vseh faz varnostne politike zajete vse vrst informacij (papir, elektronske, govorjene, prikazane poudarjen pomen trajnega izobraževanja za zagotavljanje varnosti s strani vseh zaposlenih. Z varnostjo je potrebno upravljati, kot s kakovostjo produktov. Torej so potrebni vsi poslovni prijemi. Varnostna politika mora biti po standardu usklajena s poslovnimi cilji. Zagotavljanje varnosti je torej skladno s pomembnostjo pri zagotavljanju ciljev. Varnost ni zgolj strošek ampak pripomoček za doseganje ciljev. Poslovni cilji - kako so ogroženi, če je ogrožena varnost informacij (slaba reputacija za ZO, če bi bili kakršnikoli podatki odtujeni in zlorabljeni - primer: izgubljeni potni listi pri DHL - kaj pa naše kartoteke, ki potujejo po pošti) Zagotavljanje varnosti je gledano s stališča zagotavljanja neprekinjenega delovnega procesa. Vrednost informacije je ocenjena v luči škode, ki jo povzroči uresničena grožnja in motila ali ustavila delovni proces.

NEKATERI UČINKI UVEDBE SUVI 1) izpolnjevanje zakonodaje in predpisov 2) zahteve EU glede varovanja podatkov/informacij – kmalu nasvidenje! 3) povečan ugled v očeh bolnikov, javnosti in poslovnih partnerjev 4) boljše poznavanje in obvladovanje poslovnih tveganj, ki jih prinašajo varnostni incidenti 5) preventivno delo zmanjšuje učinke varnostnih incidentov ter enostavneje zagotavljanje neprekinjenega delovnega procesa 6) zmanjšani stroški odprave posledic varnostnih incidentov 7) upravljanje z varnostjo olajša načrtovanje investicij v IS in zmanjšuje stroške

DOKUMENTI UVAJANJA SUVI ISO 27001:2005 – SUVI je dokumentiran proces

PRIMERI VARNOSTNIH POLITIK varovanje v zvezi z osebjem dodeljevanje gesel in nadzor dostopa uporaba Interneta uporaba elektronske pošte prenosljiva komunikacijska in računalniška opreme delo na daljavo zaščita pred zlonamerno programsko opremo obravnava varnostnih incidentov uničevanje nosilcev informacij posredovanja osebnih podatkov izven ustanove znotraj ustanove

PRIMERI NAVODIL Navodilo o iznosu informacijskih sredstev iz ustanove Navodila za namestitev nove programske in strojne opreme IS v ustanovi Navodilo o označevanju dokumentov Navodilo o ravnanje ob varnostnem incidentu Navodilo o poročanju o dostopih do baze podatkov o pacientih Navodila za izločanje nosilcev informacij .....

PRIMER UREJENOSTI DOKUMENTACIJE SUVI Organ. enota Področje varovanja Dokument - naziv Vrsta dokumenta Lokacija - arhiv Odgov. oseba SPS Interna klinika ISO27001-7.1 Dostop do IT sredstev Politika RC IK Janez Zalar ISO27001-7.1.4 Zaščita pred cyber kriminalom Navodilo ob incidentu RC IK – Navodila operaterjem Radko Tvrdy SO27001-7.5. Nakup/nadgradnja in namestitev SW Varnostne politike Borut Lavrič

ZDRAVSTVO - MEDNARODNE IZKUŠNJE Velika Britanija NHS-National Health Service uporablja ISO/IEC17799:2000. Cilj - v nekaj letih se vse zdravstvene organizacije v sistemu NHS (tudi splošni zdravniki), ki želijo imeti dostop do podatkov o pacientih v elektronski obliki (EHR - elektronski zdravstveni zapis) certificirajo(!) po standardu ISO/IEC17799-2. Izvajajo dvofazne pilotne projekte uvajanja v več pokrajinah UK NHS organizira in sponzorira izvajanje seminarjev po UK za top NHS menedžment Francija, Nizozemska, Nemčija, Norveška, Belgija, Švedska – uvajanje ISO 17799 v zdravstvo + delo v CEN/TC 251 WG3 ter ISO TC 215 WG4 Avstralija & Nova Zelandija navodila za implementacijo ISO/IEC17799 za zdravstvene ustanove!

SLOVENSKE IZKUŠNJE »Slovenski«SIST standardi: Vlada RS - 2002: SIST ISO/IEC 17799:2003 - Informacijska tehnologija – Kodeks upravljanja varovanja informacij SIST BS7799-2:2003 - Sistemi za upravljanje varovanja informacij – Specifikacija z napotki za uporabo oSIST prEN ISO 27799:2006 – Zdravstvena informatika – Upravljanje varovanja informacij v zdravstvu z uporabo ISO/IEC 17799 Vlada RS - 2002: navodilo vsem državnim organom, da uvajajo SUVI, kot ga definira standard BS7799 v skladu s "Priporočila za pripravo informacijske varnostne politike. CVI, 2002". Banka Slovenije: PSIST BS-7799-1995 kot merilo zagotavljanja varnosti informacij v slovenskem bančništvu. ZZV Celje, ZZV Novo mesto

PREDLOG PROJEKTA ZdZZ Predlog projekta Min. za zdravje: »Skupni pristop k vzpostavitvi sistema za upravljanje z varnostjo informacij v zdravstvenih zavodih v Sloveniji«

PREDLOG PROJEKTA ZdZZ Skupen pristop ZO (članic ZdZZ) k uvajanju SUVI, da se zagotovi varovanje informacij s sprejemljivim nivojem tveganja, ki bo omogočalo varno delo in varno izmenjavo podatkov in informacij med ZO. Vse ZO oblikujejo poenoteno celostno politiko upravljanja z varnostjo informacij po priporočilih mednarodnega standarda ISO 27799. Zagotavljanje skladnosti naj bo pogoj za vključitev ZO v nacionalni sistem elektronske izmenjave zdravstvenih podatkov.

RAZLOGI ZA SKUPEN PRISTOP dogovorjena skupna merila informacijske varnosti sinergijski učinek - skupen napor vseh ZO (skupni dokumenti, pristopi...) učinkovitost uvajanja – proces uvajanja teče vzporedno (ni ponavljanja korakov za vsako ZO posebej) zmanjšanje potrebnih investicijskih sredstev zagotavljanje skladnosti na nacionalni ravni ustvarjanje možnosti za povezovanje ZO v organizacijsko povezane enote v regijah, ki bi uporabljale skupno informacijsko infrastrukturo.

URESNIČEVANJE PREDLOGA CILJ: v 4 letih vse ZO dokumentirano upravljajo z varnostjo informacij Nosilec: Združenje zdravstvenih zavodov Slovenije Naročnik –financer: Min. za zdravje RS ("eZdravje 2010") Sofinanserji: sodelujoče zdravstvene organizacije Izvajalci: nosilec partnerji na projektu zunanji izvajalci in svetovalci notranji izvajalci v posameznih ZO Presojevalec: organ pooblaščen s strani Min. za zdravje

MODEL IZVEDBE PROJEKTA

FAZE PROJEKTA I. pripravljalne in promocijske aktivnosti II. skupne aktivnosti vseh sodelujočih ZO po regijah (delavnice, generični dokumenti...) III. pilotna aplikacija in analiza rezultatov IV. izvedbene aktivnosti po regijah V. implementacija rezultatov projekta v posamezni ZO (izdelava delovnih dokumentov posameznih ZO, revizija, svetovanje) VI. preverjanje skladnosti v ZO VII. zaključne aktivnosti

POTEK IMPLEMENTACIJE - IZVEDBA

UVEDBA SUVI - INVESTICIJA Trajanje projekta: 48 mesecev Obseg dela: 736 človek/mesecev = 16.000 človek/dni = 128.000 ur Skupni strošek dela: 3.841.920 € Lastni delež ZO: 54,0% - stroški lastnega dela (400 MM) = 2.088.000 € Podpora SIZ/MZ: 46% stroškov dela + oprema = 1.775.920 €

SKLADNOST PREDLOGA Pobuda je skladna s priporočili Slovenskega društva za med.informatiko SDMI ("Ena ključnih nalog organa za usklajevanje razvoja zdravstvene informatike so varnostni standardi – oblikovati je potrebno generične modele varnosti za posamezne vrste izvajalcev sledeč mednarodnim standardom.") Predlog je skladen s pričakovanji Komisije za IS pri ZdZZ o ureditvi razmer na področju varovanja. Min. za zdravje – Sklep o imenovanju Odbora za zdravstveno informacijske standarde pri Svetu za inf. v zdravstvu (27.11.2006) (področje dela OZIS tudi procesno: zaščita, varnost in kakovost)

PDCA model - Demingov krog SUVI – TRAJEN PROCES NAČRTAJ (PRIPRAVI) IZBOLJŠUJ IZDELAJ (UVEDI) PREVERJAJ PDCA model - Demingov krog

VABLJENI K URESNIČEVANJU POBUDE HVALA ZA POZORNOST, VABLJENI K URESNIČEVANJU POBUDE drago.rudel@mks.si

Feedback: Privacy Policy Feedback
Do Not Sell My Personal Information
About project: SlidePlayer Terms of Service

© 2025 SlidePlayer.com. Inc. All rights reserved.