תמצית מדיניות אבטחת המידע של א.מ.מ.ס ביה”ח האנגלי נצרת

1. רקע
   • פעילותו התקינה של בית חולים א.מ.מ.ס ביה”ח האנגלי נצרת (להלן: “הבית חולים”) מושפעת ותלויה ברמת הסודיות, השלמות, הזמינות, הכלילות (Integrity)או השרידות של המידע והנכסים שבאחריות הבית חולים.
   • המידע, המערכות המנהלות אותו, האמצעים והציוד עליו הוא מושתת, מהווים נכס מרכזי וחיוני של הבית חולים ויש להגן עליהם כעל משאבים אחרים בעלי ערך הבית חולים.
   • פגיעה במידע תוביל לנזקים העלולים לתת אותותיהם בהיבטים תפעוליים, טכנולוגיים וכספיים וכן להוביל לפגיעה בצנעת הפרט של אזרחי המדינה, לפגיעה במוניטין ובתדמית הבית חולים והמדינה.
   • מדיניות אבטחת המידע מבוססת על סיכוני האבטחה הדינמיים תוך התאמה לצרכים התפעוליים והארגוניים של הבית חולים. העקרונות המונחים במדיניות אבטחת המידע מהווים בסיס לנהלי העבודה בתחומי אבטחת המידע השונים.
   • מדיניות אבטחת המידע של הבית חולים נגזרת מתקן ניהול אבטחת המידע הבינלאומי 27799ISO ותקן 27001:2013 ISO.
2. מנהיגות ומחויבות הנהלה לנושא אבטחת מידע
   • הנהלת א.מ.מ.ס ביה”ח האנגלי נצרת (להלן: “ההנהלה”) רואה את ההגנה על המידע בהיבט של שלימות, זמינות ואמינות כנושא בעל חשיבות עליונה.
   • הנהלת הבית חולים  לוקחת על עצמה להוביל ולהנחיל את כלל הנושאים והפעילויות הנדרשות על מנת לממש הגנה ראויה על המידע כפי שמתחייב עפ”י דרישות החוק ותקן ISO 27799 ו- ISO 27001.
   • הנהלת הבית חולים תקצה את המשאבים הנדרשים, על מנת להגן על המידע ועל הנכסים של הבית חולים ולעמוד בדרישות מערכת ניהול אבטחת המידע (מנא”מ) כפי שמתחייב בתקן ISO 27799 ו- ISO 27001.
   • על עובדי הבית חולים להיות מודעים לסיכונים של חשיפת מידע, לעשות את כל האמצעים כדי למנוע חשיפה ואם יתקלו באירוע חריג עליהם לדווח על כך לגורמי אבטחת המידע בבית חולים.
3. להלן מטרות אבטחת מידע בהבית חולים
   • הבטחת סודיות המידע החסוי והחסוי ביותר של מטופלי/לקוחות הבית חולים המטופל ונאגר במערכות המידע ומתקני הבית חולים.
   • הבטחת זמינות המידע מערכות המידע לצורך המשכיות הפעילות העסקית ומתן השירות ללקוחות/מטופלים.
   • הבטחת אמינות המידע לאורך כל תהליכי העבודה בבית חולים ווידוא מתן תוצאות אמינות ומדויקות לכלל הלקוחות/מטופלים.
   • אבטחת המידע העסקי הרלוונטי לפעילות הבית חולים.
   • אבטחת וחיסיון המידע האישי של עובדי הבית חולים.
   • עמידה ברגולציות ונושאי אבטחת מידע מחייבים.
   • העלאת מודעות לאבטחת מידע בקרב מנהלים ועובדים והעלאת הכשירות המקצועית של העוסקים בתחום אבטחת המידע בבית חולים.
   • שיפור החוסן של מערכות המידע ורשתות הבית חולים בפני פגיעה בהיבט סודיות, אמינות וזמינות כתוצאה מפעילות זדונית ע”י גורם חיצוני או פנימי.
4. עיקרי שיטת הערכת הסיכונים
   • עקרונות מדיניות אבטחת המידע יתבססו על מערכת ניהול סיכונים, המזהה, מבקרת ממזערת או מונעת את סיכוני האבטחה העלולים להשפיע על המידע, מאגריו או מערכותיו.
5. אחריות על אבטחת מידע בבית חולים
   • הנהלת הבית חולים הגדירה את הגורמים והמסגרות הארגוניות, אשר באחריותם ליישם את מדיניות אבטחת המידע בבית החולים:
     • ועדת היגוי לנושא אבטחת מידע – מגדירה את מדיניות ונהלי הבית חולים בתחומים הנוגעים לאבטחת מידע.
     • ממונה אבטחת מידע – ממונה אבטחת מידע בבית החולים אחראי על הניהול השוטף של ענייני אבטחת מידע בבית החולים.
     • נאמני אבטחת מידע במחלקות – ההנהלה מינתה נציגות אבטחת מידע ביחידות הבית חולים השונות, על מנת להבטיח הטמעה מיטבית של מדיניות אבטחת המידע בכלל חלקי הבית חולים.
     • מנהלי ועובדי הבית חולים – על כלל מנהלי ועובדי הבית חולים חלה אחריות אישית בכל הנוגע לשמירה על אבטחת המידע וחסיונו.

6. על מנת לממש את אחריותה ומחויבותה של ההנהלה לנושא אבטחת המידע הוגדרו ונקבעו הכללים לטיפול בנושאים הבאים :
   • אבטחה לוגית – האבטחה הלוגית מהווה את ה”שכבה” העיקרית והקרובה ביותר בהגנה על המידע המצוי במערכות המחשב והתקשורת. ממונה אבטחת מידע בבית חולים יתווה את רמת האבטחה הלוגית המחייבת עבור רכיביהן השונים של מערכות המחשוב והתקשורת. תיושם מדיניות הרשאות ובקרת גישה למידע בהתאם לתפקיד והצורך המקצועי.
   • אבטחה פיזית – ייושמו הגנות ובקרות פיזיות, על מנת למנוע פעולות אשר תוצאותיה עשויות להיות חשיפה, גניבה, שינוי או הרס של מידע. אמצעי הגנה אלו יתאימו לרמת הסיווג של המידע.
   • אבטחת משאבי אנוש – נקבעו עקרונות אבטחת מידע בכל הקשור לעובדי הבית חולים, על מנת לצמצם את הסיכונים הנובעים מבעיות במהימנות עובדים, חוסר מודעות של עובדים או רצון מכוון של עובד לפגוע במידע האגור במערכות הבית חולים.
   • רכש וספקים –מיושמים היבטי אבטחת מידע בתקשורת ועבודה עם ספקים חיצוניים.
   • גיבויים – בבית החולים הוגדרו תהליכים להבטחת אמינות, שלמות, זמינות וכלילות (Integrity) המידע, וזאת ע”מ להבטיח שסוגי המידע השונים הקיימים בבית החולים מזוהים, וכי דרישות גיבוי לכל סוג של מידע מוגדרות בהתאם לרגישות המידע .
   • בקרת גישה – נקבעו כללים ועקרונות למתן גישה ולמערכות המידע ובקרה אחר התחברות לרשת.
   • עבודה מרחוק – בבית חולים נקבעו כללים והנחיות אבטחת מידע לגישת עובדי הבית חולים וגורמים חיצוניים לרשת הבית חולים מרחוק.
   • אבטחת אמצעי מחשוב ניידים – מבוצע יישום העקרונות, השיטה, תהליכי העבודה והאמצעים ע”מ לאפשר שימוש מאובטח במחשבים נישאים /ניידים ולמנוע פגיעה בשלמות, אמינות, זמינות, סודיות ושרידות המידע המאוחסן על גבי מחשבים ניידים בבית חולים.
7. הנהלת הבית חולים רואה בכלל המנהלים והעובדים שותפים מלאים למאמץ להגנה על המידע ומצפה לשיתוף פעולה ביישום המדיניות והכללים הנגזרים ממנה.

בברכה,

הנהלת בית החולים