System Zarządzania Bezpieczeństwem Informacji (SZBI) w stanowi część całościowego systemu zarządzania, opartą na podejściu wynikającym z ryzyka biznesowego, odnoszącą się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. SZBI został opracowany, wdrożony i jest utrzymywany w Powiatowym Zakładzie Opieki Zdrowotnej w Starachowicach (zwanym dalej PZOZ) w oparciu o normy PN-ISO/IEC 27001, 27002, 27006, 27701, 27799, 22301. Zakres SZBI dotyczy procesów prowadzonej działalności, ze szczególnym uwzględnieniem:

• Udzielania świadczeń opieki zdrowotnej;
• Obrotu i dystrybucji produktów leczniczych.

Decyzją Ministra Zdrowia Powiatowy Zakład Opieki Zdrowotnej w Starachowicach został uznany za operatora usługi kluczowej w sektorze ochrony zdrowia w ww. zakresie.

Dyrektor Powiatowego Zakładu Opieki Zdrowotnej w Starachowicach, stojąc na stanowisku, że informacja jest priorytetowym zasobem każdej organizacji, wdrożył System Zarządzania Bezpieczeństwem Informacji (SZBI). Bezpieczeństwo informacji oraz systemów, w których są one przetwarzane jest jednym z kluczowych elementów PZOZ oraz warunkiem ciągłego jego rozwoju. Gwarancją sprawnej i skutecznej ochrony informacji jest zapewnienie odpowiedniego poziomu bezpieczeństwa oraz zastosowanie rozwiązań technicznych.

Dyrektor PZOZ wprowadzając Politykę Bezpieczeństwa Informacji, deklaruje, że wdrożony System Zarządzania Bezpieczeństwem Informacji będzie podlegał ciągłemu doskonaleniu zgodnie z wymaganiami normy PN-ISO/IEC 27001 i 27799.

Podejście do bezpieczeństwa informacji w PZOZ opiera się na czterech kluczowych regułach:

• Reguła poufności – Zapewnienie stosowania zatwierdzonych ograniczeń w zakresie ujawniania i dostępu do informacji, w tym środków ochrony prywatności i informacji osobistych;
• Reguła integralności – Atrybut bezpieczeństwa informacji oznaczający, że informacja nie uległa nieuprawnionej modyfikacji lub zniszczeniu, w tym świadczący o niezaprzeczalności i autentyczności informacji.
• Reguła dostępności – Zapewnienie terminowego i niezawodnego dostępu do informacji i możliwość wykorzystania tej informacji;
• Reguła rozliczalności – Zdolność systemu, w którym działa podmiot do jednoznacznego określenia, jakie działania, kiedy i w odniesieniu do jakich obiektów ten podmiot wykonał.

Celem wdrożonego SZBI jest osiągnięcie poziomu organizacyjnego, technicznego i prawnego, który:

• będzie gwarantem pełnej ochrony danych Pacjentów oraz ciągłości procesu ich przetwarzania,
• zapewni zachowanie poufności informacji chronionych, integralności i dostępności informacji chronionych oraz jawnych,
• zagwarantuje odpowiedni poziom bezpieczeństwa informacji, bez względu na jej postać, we wszystkich systemach jej przetwarzania,
• maksymalnie ograniczy występowanie zagrożeń dla bezpieczeństwa informacji, które wynikają z celowej bądź przypadkowej działalności człowieka, sztucznej inteligencji lub botnetu oraz ich ewentualne wykorzystanie na szkodę PZOZ,
• zapewni poprawne i bezpieczne funkcjonowanie wszystkich systemów przetwarzania informacji,
• zapewni gotowość do podjęcia działań w sytuacjach kryzysowych dla bezpieczeństwa PZOZ, jego interesów oraz posiadanych i powierzonych mu informacji.

Powyższe cele realizowane są poprzez:

• wyznaczenie osób odpowiedzialnych zapewniających optymalny podział i koordynację zadań związanych z zapewnieniem bezpieczeństwa informacji,
• wyznaczenie właścicieli dla kluczowych aktywów przetwarzających informację, którzy zobowiązani są do zapewnienia im możliwie jak najwyższego poziomu bezpieczeństwa,
• przyjęcie za obowiązujące przez wszystkich pracowników i współpracowników polityk, procedur i regulaminów bezpieczeństwa obowiązujących w PZOZ,
• określenie zasad przetwarzania informacji, w tym stref, w których może się ono odbywać,
• przegląd i aktualizację polityk i procedur postępowania dokonywaną przez wyznaczone osoby w celu jak najlepszej reakcji na zagrożenia i incydenty,
• ciągłe doskonalenie systemu zapewnia bezpieczeństwa informacji funkcjonującego w PZOZ zgodnie z wymaganiami norm PN-ISO/IEC 27001, 27799 i zaleceniami interesariuszy.

Każdy pracownik Powiatowego Zakładu Opieki Zdrowotnej w Starachowicach jest zapoznawany z regułami oraz z aktualnymi procedurami ochrony informacji w swojej komórce organizacyjnej. Poniższe, uniwersalne zasady są podstawą realizacji polityki bezpieczeństwa informacji m.in. :

• Zasada uprawnionego dostępu – Każdy pracownik i współpracownik przeszedł szkolenie z zasad ochrony informacji, spełnia kryteria dopuszczenia do informacji i podpisał stosowne oświadczenie o zachowaniu poufności;
• Zasada przywilejów koniecznych – Każdy pracownik i współpracownik posiada prawa dostępu do informacji, ograniczone wyłącznie do tych, które są konieczne do wykonywania powierzonych mu zadań;
• Zasada usług koniecznych – Udostępniane powinny być takie usługi, jakie są konieczne do realizacji zadań statutowych.
• Zasada świadomości zbiorowej – Wszyscy pracownicy i współpracownicy są świadomi konieczności ochrony zasobów informacyjnych PZOZ i aktywnie uczestniczą w tym procesie;
• Zasada indywidualnej odpowiedzialności – Za bezpieczeństwo poszczególnych elementów odpowiadają konkretne osoby;
• Zasada najsłabszego ogniwa – Poziom bezpieczeństwa wyznacza najsłabszy (najmniej zabezpieczony) element.
• Zasada kompletności – Skuteczne zabezpieczenie jest tylko wtedy, gdy stosuje się podejście kompleksowe, uwzględniające wszystkie stopnie i ogniwa ogólnie pojętego procesu przetwarzania informacji.
• Zasada ewolucji – Każdy system musi ciągle dostosowywać mechanizmy wewnętrzne do zmieniających się warunków zewnętrznych.
• Zasada odpowiedniości – Używane mechanizmy muszą być adekwatne do sytuacji.
• Zasada odpowiedzialności za zasoby – Każdy użytkownik odpowiada za udostępnione mu zasoby (komputery, oprogramowanie, systemy, konta, itp.).