Powiatowy Zakład Opieki Zdrowotnej w Starachowicach
A A A

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji

Zakres Systemu Zarządzania Bezpieczeństwem Informacji

 

System Zarządzania Bezpieczeństwem Informacji (SZBI) w stanowi część całościowego systemu zarządzania, opartą na podejściu wynikającym z ryzyka biznesowego, odnoszącą się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. SZBI został opracowany, wdrożony i jest utrzymywany w Powiatowym Zakładzie Opieki Zdrowotnej w Starachowicach (zwanym dalej PZOZ) w oparciu o normy PN-ISO/IEC 27001, 27002, 27006, 27701, 27799, 22301. Zakres SZBI dotyczy procesów prowadzonej działalności, ze szczególnym uwzględnieniem:

  • Udzielania świadczeń opieki zdrowotnej;
  • Obrotu i dystrybucji produktów leczniczych.

Decyzją Ministra Zdrowia Powiatowy Zakład Opieki Zdrowotnej w Starachowicach został uznany za operatora usługi kluczowej w sektorze ochrony zdrowia w ww. zakresie.

Deklaracja Stosowania

 

Dyrektor Powiatowego Zakładu Opieki Zdrowotnej w Starachowicach, stojąc na stanowisku, że informacja jest priorytetowym zasobem każdej organizacji, wdrożył System Zarządzania Bezpieczeństwem Informacji (SZBI). Bezpieczeństwo informacji oraz systemów, w których są one przetwarzane jest jednym z kluczowych elementów PZOZ oraz warunkiem ciągłego jego rozwoju. Gwarancją sprawnej i skutecznej ochrony informacji jest zapewnienie odpowiedniego poziomu bezpieczeństwa oraz zastosowanie rozwiązań technicznych.

Dyrektor PZOZ wprowadzając Politykę Bezpieczeństwa Informacji, deklaruje, że wdrożony System Zarządzania Bezpieczeństwem Informacji będzie podlegał ciągłemu doskonaleniu zgodnie z wymaganiami normy PN-ISO/IEC 27001 i 27799.

Podejście do bezpieczeństwa informacji w PZOZ opiera się na czterech kluczowych regułach:

  • Reguła poufności – Zapewnienie stosowania zatwierdzonych ograniczeń w zakresie ujawniania i dostępu do informacji, w tym środków ochrony prywatności i informacji osobistych;
  • Reguła integralności – Atrybut bezpieczeństwa informacji oznaczający, że informacja nie uległa nieuprawnionej modyfikacji lub zniszczeniu, w tym świadczący o niezaprzeczalności i autentyczności informacji.
  • Reguła dostępności – Zapewnienie terminowego i niezawodnego dostępu do informacji i możliwość wykorzystania tej informacji;
  • Reguła rozliczalności – Zdolność systemu, w którym działa podmiot do jednoznacznego określenia, jakie działania, kiedy i w odniesieniu do jakich obiektów ten podmiot wykonał.

 

Celem wdrożonego SZBI jest osiągnięcie poziomu organizacyjnego, technicznego i prawnego, który:

  • będzie gwarantem pełnej ochrony danych Pacjentów oraz ciągłości procesu ich przetwarzania,
  • zapewni zachowanie poufności informacji chronionych, integralności i dostępności informacji chronionych oraz jawnych,
  • zagwarantuje odpowiedni poziom bezpieczeństwa informacji, bez względu na jej postać, we wszystkich systemach jej przetwarzania,
  • maksymalnie ograniczy występowanie zagrożeń dla bezpieczeństwa informacji, które wynikają z celowej bądź przypadkowej działalności człowieka, sztucznej inteligencji lub botnetu oraz ich ewentualne wykorzystanie na szkodę PZOZ,
  • zapewni poprawne i bezpieczne funkcjonowanie wszystkich systemów przetwarzania informacji,
  • zapewni gotowość do podjęcia działań w sytuacjach kryzysowych dla bezpieczeństwa PZOZ, jego interesów oraz posiadanych i powierzonych mu informacji.

Powyższe cele realizowane są poprzez:

  • wyznaczenie osób odpowiedzialnych zapewniających optymalny podział i koordynację zadań związanych z zapewnieniem bezpieczeństwa informacji,
  • wyznaczenie właścicieli dla kluczowych aktywów przetwarzających informację, którzy zobowiązani są do zapewnienia im możliwie jak najwyższego poziomu bezpieczeństwa,
  • przyjęcie za obowiązujące przez wszystkich pracowników i współpracowników polityk, procedur i regulaminów bezpieczeństwa obowiązujących w PZOZ,
  • określenie zasad przetwarzania informacji, w tym stref, w których może się ono odbywać,
  • przegląd i aktualizację polityk i procedur postępowania dokonywaną przez wyznaczone osoby w celu jak najlepszej reakcji na zagrożenia i incydenty,
  • ciągłe doskonalenie systemu zapewnia bezpieczeństwa informacji funkcjonującego w PZOZ zgodnie z wymaganiami norm PN-ISO/IEC 27001, 27799 i zaleceniami interesariuszy.

Zasady ogólne

 

Każdy pracownik Powiatowego Zakładu Opieki Zdrowotnej w Starachowicach jest zapoznawany z regułami oraz z aktualnymi procedurami ochrony informacji w swojej komórce organizacyjnej. Poniższe, uniwersalne zasady są podstawą realizacji polityki bezpieczeństwa informacji m.in. :

  • Zasada uprawnionego dostępu – Każdy pracownik i współpracownik przeszedł szkolenie z zasad ochrony informacji, spełnia kryteria dopuszczenia do informacji i podpisał stosowne oświadczenie o zachowaniu poufności;
  • Zasada przywilejów koniecznych – Każdy pracownik i współpracownik posiada prawa dostępu do informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań;
  • Zasada usług koniecznych – Udostępniane powinny być takie usługi, jakie są konieczne do realizacji zadań statutowych.
  • Zasada świadomości zbiorowej – Wszyscy pracownicy i współpracownicy są świadomi konieczności ochrony zasobów informacyjnych PZOZ i aktywnie uczestniczą w tym procesie;
  • Zasada indywidualnej odpowiedzialności – Za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby;
  • Zasada najsłabszego ogniwa – Poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element.
  • Zasada kompletności – Skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje się podejście kompleksowe, uwzględniające wszystkie stopnie i ogniwa ogólnie pojętego procesu przetwarzania informacji.
  • Zasada ewolucji – Każdy system musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych.
  • Zasada odpowiedniości – Używane mechanizmy muszą być adekwatne do sytuacji.
  • Zasada odpowiedzialności za zasoby – Każdy użytkownik odpowiada za udostępnione mu zasoby (komputery, oprogramowanie, systemy, konta, itp.).