Your SlideShare is downloading. ×
Securitatea Informatiei in Institutii Medicale
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Securitatea Informatiei in Institutii Medicale

1,036
views

Published on

Securitatea Informatiei in Institutii Medicale.

Securitatea Informatiei in Institutii Medicale.

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,036
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
27
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Securitatea Informației în Instituții MedicaleAVANTAJELE IMPLEMENTĂRII SISTEMULUI DE MANAGEMENT AL SECURITĂțII INFORMAțIEI în conformitate cu standardele: ISO27001-Sisteme de Management al Securităţii Informaţiei ISO27799-MANAGEMENTUL SECURITĂțII INFORMAțIEI ÎN SĂNĂTATE FOLOSIND ISO27002
  • 2. "Orice voi vedea sau auzi în timpul activității profesionale sau în afara ei în legătura cu viața oamenilor - lucruri care nutrebuie discutate în afară, nu le voi divulga, acceptând că toate acestea trebuie ținute secret“ HipocrateConfidențialitatea constituie una dintre cele mai importante valori aleactului medical care stau la baza relației medic-pacient, reprezentând, totodată, și o obligație, stipulată încă din celemai vechi timpuri. Jurământul lui Hipocrate subliniază importanțasecretului medical. © www.iso27001consulting.ro
  • 3. Amenințările și Costurile posibile ale lipsei implementăriieficace a Sistemului de Management al Securității Informației Divulgarea informației confidențiale. Întreruperi în activitatea medicală: nefuncționarea rețelei de calculatoare și imposibilitatea accesării serverelor și aplicațiilor. Informatizarea tot mai mare a sistemelor informaționale din domeniului medical duce la imposibilitatea desfășurării activităților în timpul indisponibilității sistemului IT. Pierderea încrederii pacienților și partenerilor: practica demonstrează că organizațiile atacate de hackeri au pierdut reputația și încrederea și le-a fost foarte greu să o recapete, sau chiar imposibil. Pacienții, asiguratorii și partenerii vor evita să comunice informații personale unei organizații care nu este în stare să o protejeze adecvat. Directiva 2002/58/EC a Parlamentului European privind procesarea datelor personale, interzice comunicarea informației medicale unei organizații care nu poate asigura confidențialitatea acesteia. Costuri Financiare: Legislația în vigoare prevede răspunderea juridică și financiară pentru pierderea confidențialității datelor pacienților. © www.iso27001consulting.ro
  • 4. Avantajele Implementării Sistemului de Management al Securității Informației Păstrarea confidenţialităţii, integrităţii şi a disponibilităţii informaţiei; Îmbunătățirea reputației și încrederii în organizației; Asigurarea conformității legale și reducerea riscului penalizărilor; Asigurarea instruirii continue a angajaților în materie de păstrare a confidențialității informației; Posibilitatea oferirii unor servicii de calitate în timp optim; Oferă managerilor un control mai bun asupra fluxurilor de informații din organizație; Sunt identificate și ținute sub control riscurile care pot afecta activitatea organizației; © www.iso27001consulting.ro
  • 5. Ce efecte a avut pierderea confidențialității datelor pacienților în 2010? În 2010 costul mediu al pierderii unei înregistrări a ajuns la 204$, ceea ce înseamnă că pentru 1000 de înregistrări divulgate costul se poate ridica la 204000$. (conform Ponemon Institutes annual study 2010 ). Pe 18.06.2010 Departamentul de Sănătate din California a amendat spitalul San Bernardino Hospital cu 325000$ pentru divulgarea înregistrărilor medicale a 203 pacienți, de către un angajat al spitalului. Pe 18.09.2010 Lucile Salter Packard Children’s Hospital de la Stanford University a fost amendat cu 250000$ pentru pierderea unui laptop pe care erau stocate datele a 532 pacienți. În 2009 un hacker a obținut acces la baza de date a agenției naționale de sănătate din UK - National Health Service cu datele personale ale tuturor pacienților, procesele judiciare continuă. În 2010 94% din pierderile de confidențialitate ale datelor pacienților au fost cauzate de acțiuni ale propriilor angajați; 89% dintre datele divulgate conțineau numele pacientului, 66% informații medicale, 47% data zilei de naștere, 38% adresa pacientului. În perioada ianuarie-octombrie 2010 au fost făcute publice 128 de cazuri de pierdere a confidențialității informației pacienților, față de doar 46 cazuri în anul 2009. (conform http://www.privacyrights.org/data-breach/new) © www.iso27001consulting.ro
  • 6. Securitatea Informației în Instituții Medicale Implementarea Sistemului de Management al Securității Informației în conformitate cu ISO27001-SMSI vă ajută să păstrați informațiile organizației în condiții de siguranță și securitate. Este responsabilitatea fiecărei organizații să prevină, să identifice și să trateze riscurile de securitate care pot avea impact negativ asupra confidențialității, integrității și disponibilității informației pacienților. Având în vedere că, legislația și standardele care prevăd dreptul pacienților la confidențialitatea datelor, se dezvoltă și se multiplică (de ex: Directiva 95/46/EC, Directiva 2002/58/EC, Legea Drepturilor Pacientului, HIPAA), riscurile devin tot mai mari. © www.iso27001consulting.ro
  • 7. Legislație care obligă protecția datelor cu caracter personal (inclusiv a informației pacienților)A. Legislație comunitară Directiva 95/46/EC a Parlamentului și a Consiliului European din 24.10.1995 cu privire la protecția persoanelor referitoare la procesarea datelor personale și la libera circulație a acestor date (OJL 281, 23.11.1995, p.31); Directiva 2002/58/EC a Parlamentului European și a Consiliului din 12.07.2002 privind procesarea datelor personale și protecția intimității în sectorul comunicațiilor electronice;B. Legislație internă Lege nr. 46/2003 din 21.01.2003 - LEGEA DREPTURILOR PACIENTULUI Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date; Legea nr. 682/2001 privind ratificarea de către România a Convenției pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal, adoptată la Strasbourg la 28 ianuarie 1981; Legea nr. 102/2005 privind înființarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal. © www.iso27001consulting.ro
  • 8. Obiectivele Sistemului de Management al Securității Informației Disponibilitate ConfidențialitateInformaţiile pot existasub diferite forme. Ele potfi tipărite sau scrise pe SECURITATEAhârtie, stocate Informațieielectronic, transmise prinpoştă sau prinechipamenteelectronice, prezentate pefilme sau comunicate încadrul unor conversaţii.Orice formă ar aveainformaţiile sau oricemetode de stocare ar fi Integritatefolosite, ele trebuie să fieîntotdeauna protejatecorespunzător. © www.iso27001consulting.ro
  • 9. Obiectivele Sistemului de Management al Securității Informației Confidenţialitate proprietatea ca informaţia să nu fie făcută disponibilă sau divulgată persoanelor, entităţilor sau proceselor fără autorizare. Integritate proprietatea de a păstra acurateţea conținutului informației, iar modificarea acesteia să fie posibilă doar în circumstanțe autorizate. Disponibilitate proprietatea de a fi accesibil şi utilizabil la cerere de către o entitate autorizată la momentul și locul potrivit. © www.iso27001consulting.ro
  • 10. ISO 27002 - Cod de bună practică pentru managementul securităţii informaţieiCe reprezintă? Acest standard internaţional stabileşte liniile directoare pentru iniţierea, implementarea, menţinerea şi îmbunătăţirea managementului securităţii informaţiei într-o organizaţie. Obiectivele evidenţiate în acest standard internaţional oferă îndrumări privitoare la ţintele general acceptate ale managementului securităţii informaţiei. ISO27002 conține îndrumări referitoare la implementarea celor 11 domenii de control şi 133 măsuri de securitate din ISO27001. © www.iso27001consulting.ro
  • 11. ISO 27001 - Sisteme de management al securităţii informaţiei. CerinţeCe reprezintă? ISO27001 este standardul de certificare pentru SMSI. Standardul ISO27001 stabilește cerințele și criteriile pentru implementarea, operarea, monitorizarea, revizia, menten anța și îmbunătățirea sistemului de management al securității informațiilor în contextul riscurilor de ansamblu la care este supusă organizația. De asemenea, sistemul de management al securității informațiilor oferă managerilor un control mai bun asupra fluxurilor de informații din organizație și reduce costurile aferente managementului riscului. © www.iso27001consulting.ro
  • 12. 11 Domenii de control ale ISO27001 A.15 Conformitate A.5 POLITICA DE SECURITATE A.6 ORGANIZAREA A.14 Managementul SECURITATII continuitatii afacerii INFORMATIEI A.13 Managementul A.7 MANAGEMENTUL incidentelor de securitate RESURSELOR a informatiei (BUNURILOR) A.12 Achizitia, dezvoltarea si A.8 SECURITATEA mentenanta sistemelor RESURSELOR UMANE informatice A. 9 SECURITATEA A.10 Managementul FIZICA SI A MEDIULUI A.11 Controlul accesului comunicatiilor si operatiilor © www.iso27001consulting.ro
  • 13. ISO 27799: Managementul Securității Informației în Sănătate folosind ISO27002Ce reprezintă? Ghid de aplicare a sistemului de management al securității informației în instituții medicale. Set minim de cerințe care trebuie îndeplinite pentru un nivel adecvat de securitate în sănătate.Scop? Stabileşte liniile directoare pentru organizațiile din sănătate și custozii ai datelor pacienților, cum să asigure confidențialitatea, integritatea și disponibilitatea acestor informații. Se adresează nevoilor speciale de management al securității din domeniul sănătății și mediului sau unic de operare. © www.iso27001consulting.ro
  • 14. Contact Pentru informații suplimentare referitoare la implementarea și certificarea SMSI contactați-ne: www.iso27001consulting.roVă asigurăm: Implementarea controalelor de securitate în conformitate cu ISO27001; Raport centralizat de analiza SWOT din perspectiva securității informației asupra practicilor din organizație; Teste de penetrare a sistemului informatic al organizației și plan de măsuri de remediere și îmbunătățire; Recomandări privind achiziția de echipamente și software pentru îmbunătățirea sistemului IT&C; Backup automatizat al informației din organizație și implementarea practicilor de continuitate a afacerii. © www.iso27001consulting.ro