Jesteśmy firmą konsultingową, specjalizującą się w usługach SAP, outsourcingu IT i rozwoju oprogramowania. Wspieramy biznes naszych klientów. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP, światowego lidera w zakresie transformacji środowisk SAP

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

ISO 27001 w szpitalach i placówkach ochrony zdrowia

Ochrona danych osobowych i bezpieczeństwo informacji

Udostępnij
Ochrona danych i informacji jest sporym wyzwaniem stojącym przed szpitalami i innymi placówkami ochrony zdrowia. Przetwarzają one wszak bardzo dużo informacji wrażliwych, w tym dane osobowe pracowników i pacjentów, a także dane medyczne, które podlegają szczególnej ochronie. Wdrożony System Zarządzania Bezpieczeństwem Informacji i certyfikat ISO 27001 nie tylko podnosi rangę szpitala w oczach pacjentów, ale ma też wymierną wartość ekonomiczną w postaci dodatkowych punktów przy wycenie kontraktów z NFZ.
 

Wyzwania i ryzyka

W ostatnich latach wiele szpitali i innych placówek ochrony zdrowia przeprowadziło wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, zgodnego z normą ISO/IEC 27001. Jednym z najbardziej mobilizujących argumentów za podjęciem decyzji o wdrożeniu tego systemu i przeprowadzeniu procesu certyfikacji w tych Zarządzenie nr 3/2014/DSOZ Prezesa Narodowego Funduszu Zdrowia z dnia 23 stycznia 2014 r. w sprawie określenia kryteriów oceny ofert w postępowaniu w sprawie zawarcia umowy o udzielanie świadczeń opieki zdrowotnej. Zarządzenie wprowadza nowe kryteria oceny placówek medycznych pod kątem posiadanych certyfikatów ISO. Dodatkowe punkty przy zawieraniu kontraktów z NFZ są przyznawane za: posiadanie certyfikatu ISO/IEC 27001.

Ze względu na specyfikę organizacji projekt wdrożenia ISO/IEC 27001 w szpitalu wiąże się z wieloma wyzwaniami, wśród których największe to:

  • obieg dokumentacji medycznej w formie papierowej i jej archiwizacja,
  • liczba pracowników i różne formy zatrudnienia (umowy o pracę, kontrakty, stażyści, studenci oraz wolontariusze),
  • dostępność do budynku 24 godz. na dobę oraz monitoring CCTV,
  • firmy ...

    Wyzwania i ryzyka

    W ostatnich latach wiele szpitali i innych placówek ochrony zdrowia przeprowadziło wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, zgodnego z normą ISO/IEC 27001. Jednym z najbardziej mobilizujących argumentów za podjęciem decyzji o wdrożeniu tego systemu i przeprowadzeniu procesu certyfikacji w tych Zarządzenie nr 3/2014/DSOZ Prezesa Narodowego Funduszu Zdrowia z dnia 23 stycznia 2014 r. w sprawie określenia kryteriów oceny ofert w postępowaniu w sprawie zawarcia umowy o udzielanie świadczeń opieki zdrowotnej. Zarządzenie wprowadza nowe kryteria oceny placówek medycznych pod kątem posiadanych certyfikatów ISO. Dodatkowe punkty przy zawieraniu kontraktów z NFZ są przyznawane za: posiadanie certyfikatu ISO/IEC 27001.

    Ze względu na specyfikę organizacji projekt wdrożenia ISO/IEC 27001 w szpitalu wiąże się z wieloma wyzwaniami, wśród których największe to:

    • obieg dokumentacji medycznej w formie papierowej i jej archiwizacja,
    • liczba pracowników i różne formy zatrudnienia (umowy o pracę, kontrakty, stażyści, studenci oraz wolontariusze),
    • dostępność do budynku 24 godz. na dobę oraz monitoring CCTV,
    • firmy serwisujące aparaturę medyczną i inni dostawcy mający dostęp do dokumentacji medycznej (umowy serwisowe oraz umowy powierzenia danych osobowych),
    • dynamiczny rozwój w obszarze IT, w tym EDM (Elektroniczna Dokumentacja Medyczna). Do systemów klasy EDM zalicza się takie systemy informatyczne, w których dane są gromadzone w formie elektronicznej bazy danych. W oparciu o te dane drukowana jest dokumentacja w formie papierowej. Taka forma była stosowana przed ogłoszeniem rozporządzenia NFZ i jest stosowana obecnie we wszystkich szpitalach posiadających systemy klasy HIS,
    • ryzyka w zakresie incydentów bezpieczeństwa informacji (phishing, malware, ataki socjotechniczne i inne).

    Kontekst wewnętrzny i zewnętrzny

    Określenie kontekstu wewnętrznego i zewnętrznego jest jednym z pierwszych etapów projektu. Należy go zrealizować wspólnie z zespołem projektowym. Określenie kontekstu organizacji powinno stanowić pierwszy krok do opracowania modelu zarządzania ryzykiem. Do zewnętrznego otoczenia firmy można zaliczyć m.in. czynniki: kulturowe, społeczne, polityczne, prawne, finansowe, technologiczne, ekonomiczne, środowiskowe. Organizacja powinna monitorować trendy zachodzące w otoczeniu, a także brać pod uwagę relacje z zewnętrznymi interesariuszami. Czynnikiem zewnętrznym będą m.in. dostawcy odpowiedzialni za serwisowanie aparatury medycznej.

    Każdy nowoczesny sprzęt medyczny posiada wbudowany komputer lub laptop, za pomocą którego jest obsługiwany. W takim wypadku ważnym krokiem jest analiza umowy z dostawcą pod kątem powierzenia danych osobowych oraz upoważnień do ich przetwarzania. Z uwagi na to, że administrator danych (szpital), mimo ich powierzenia, wciąż pozostaje ich administratorem i ma obowiązek czuwać nad bezpieczeństwem ich przetwarzania, warto jest zastrzec w umowie prawo do wewnętrznej kontroli firm serwisujących, którym dane zostały powierzone. Poza obszarem prawnym należy również zadbać o zabezpieczenia IT, tzn.:

    • Jak przebiega logowanie do komputera?
    • Czy komputer jest podłączony do Internetu?
    • Czy komputer jest podłączony do sieci lokalnej?
    • Kto serwisuje komputer?
    • Czy jest podpisana umowa o powierzeniu danych osobowych?
    • Jaki system operacyjny jest zainstalowany na komputerze?
    • Czy na komputerze jest zainstalowany antywirus?
    • Czy są wykonywane kopie zapasowe?
    • Czy jest możliwy zdalny dostęp?
    • Czy komputer jest na gwarancji?

    Innem przykładem kontekstu zewnętrznego są podmioty ściśle współpracujące ze szpitalem, np. apteka, pogotowie ratunkowe, fundacje, laboratorium, firma ochroniarska odpowiadająca za monitoring, poradnie. Tutaj należy dokładnie zweryfikować, jaki jest dostęp do usług IT, m.in. danych medycznych, domen, Internetu, poczty czy sprzętu IT szpitala).

    Kontekst wewnętrzny organizacji stanowią m.in. struktura organizacyjna, podział zadań, strategia i cele, potencjał organizacji (techniczny, ludzie, zasoby, wiedza itp.), system informacyjny, relacje z wewnętrznymi interesariuszami, kultura organizacyjna, stosowane normy i standardy, kontrakty biznesowe. Jednym z elementów kontekstu wewnętrznego są plany szkoleń z obszaru bezpieczeństwa informacji. Jest to bardzo istotny element w budowaniu świadomości wśród pracowników. Szkolenia powinny by przeznaczone dla konkretnych obszarów lub stanowisk ze struktury organizacyjnej. Powinny kłaść duży nacisk na praktykę, pokazując współczesne ryzyka i zagrożenia w obszarze bezpieczeństwa informacji. Jednym z elementów szkolenia z zakresu bezpieczeństwem może być moduł dotyczący zabezpieczeń haseł pracowników. Podczas szkolenia/warsztatów można zadać pracownikom następujące pytania:

    • Ile różnych kont posiadasz?
    • Jaki jest stosunek liczby unikalnych haseł do liczby użytkowanych kont?
    • Czy stosujesz hasło „uniwersalne”?
    • Z kim podzieliłeś się swoim hasłem (rodzice, dziewczyna, znajomi)?
    • Ile czasu potrzeba na złamanie twojego hasła?
    • Czy w ogóle zmieniasz swoje hasła?
    • Jak bardzo różnią się twoje hasła służbowe od prywatnych?
    • Czy twoje hasło wygląda tak? Duża litera-wyraz-wyraz-cyfry-znak specjalny?
    • Co robisz z hasłami, żeby ich nie zapomnieć?
    • Co powstrzymuje cię przed posiadaniem unikalnych i bezpiecznych haseł?

    Zewnętrzne portale – dane osobowe, medyczne

    Procedura nadawania i zmiany uprawnień jest dużym wyzwaniem dla takiej organizacji, jaką jest szpital. Duża liczba systemów, które są dostępne przez przeglądarkę internetową i nie są zintegrowane z domeną, to obszar do doskonalenia. Jednym z takich systemów jest System Zarządzania Obiegiem Informacji (SZOI) https://nfzuzd.nfz.gov.pl/ap-mzwi/. Dział IT wspólnie z działem HR powinny opracować dokumentację, która będzie uwzględniać następujące aspekty:

    • zasady nadawania i zmiany uprawnień – kto wnioskuje, zatwierdza, zmienia,
    • gdzie przechowywana jest dokumentacja (kto jest odpowiedzialny, jaki jest stan obecny),
    • sposób dokumentowania nadania i zmiany uprawnień – formularze,
    • zgodność danych w systemie z dokumentacją (identyfikowalność osób w systemie),
    • jeżeli są nadane uprawnienia – walidacja, czy rzeczywiście możliwe jest wykonywanie działań w granicach nadanych uprawnień,
    • walidacja prawidłowości działania uprawnień.

    Dokumentacja medyczna, badania kliniczne

    Kolejnym bardzo ważnym elementem jest dokumentacja medyczna w wersji papierowej i elektronicznej. W badaniach klinicznych najważniejsze jest bezpieczeństwo pacjenta i zabezpieczenie jego praw, dlatego wszelkie badania muszą być prowadzone zgodnie z wytycznymi Good Clinical Practice (GCP), czyli Dobrej Praktyki Klinicznej (DPK). Szczegółowe zasady Dobrej Praktyki Klinicznej to m.in. należyte zachowanie poufność danych, w tym danych osobowych uczestników, oraz zagwarantowanie, że uzyskane dane muszą zostać właściwie zapisane i przechowywane, aby umożliwić sprawozdanie, wnioski, weryfikację danych. W tym przypadku należy zweryfikować następujące obszary:

    • dostęp do portali klinicznych – kontrola dostępu (login i hasło),
    • miejsce przechowywania dokumentacji papierowej, w tym m.in. zgody pacjentów na uczestnictwo w badaniach (zabezpieczenie pomieszczeń oraz szafek, w których przechowywane są dokumenty),
    • nośniki, na których mogą znajdować się raporty, rejestry lub inne dokumenty elektroniczne zawierające dane osobowe oraz medyczne, np. laptopy czy zasoby sieciowe (szyfrowanie i polityka kontroli dostępu).

    Przedstawione powyżej to tylko kilka przykładowych wyzwań, z którymi musi się zmierzyć szpital podczas wdrożenia ISO/IEC 27001. Narzędzie w postaci systemu zarządzania bezpieczeństwem informacji pozwala szpitalom osiągnąć wiele korzyści, wśród których możemy wymienić zwiększenie poziomu bezpieczeństwa w obszarze zarządzania:

    • formalne procedury będące podstawą do zdefiniowania wymagań wobec pracowników,
    • uświadomienie pracownikom, że bezpieczeństwo jest ważne dla kierownictwa,
    • czytelne i przejrzyste zasady współpracy i odpowiedzialności za bezpieczeństwo pomiędzy IT a biznesem (odpowiednie rozłożenie akcentów),
    • wskazanie konkretnych osób odpowiedzialnych za bezpieczeństwo,
    • systematyczne eliminowanie zagrożeń,
    • zmiana postrzegania zgłaszania incydentów w zakresie bezpieczeństwa – w kierunku funkcji ciągłego doskonalenia, a nie wytykania błędów (zwiększa się zaangażowanie pracowników i tym samym system bezpieczeństwa niejako „sam się uszczelnia”),
    • kształtowanie mentalności pracowników w kierunku projakościowym i zwiększenie ich zaangażowania w sprawy firmy; uświadomienie, że każdy jest odpowiedzialny za bezpieczeństwo,
    • monitoring skuteczności wdrożonych rozwiązań.

    Wdrożenie systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001 podnosi pozycję jednostki (firmy, szpitala) na rynku w zakresie świadczonych usług. Co dalej? Zgodnie z cyklem Deminga organizacja po certyfikacji systemu wkracza w proces doskonalenia, co powinno się przełożyć na:

    • poprawę wizerunku na zewnątrz organizacji,
    • większe zaufanie do organizacji, większe poczucie bezpieczeństwa klientów/pacjentów,
    • prawidłowość realizacji procesów (zmniejszenie liczby skarg, reklamacji),
    • szybsze i skuteczne reagowanie na incydenty/naruszenie procedur,
    • uszczelnienie systemu zarządzania informacją,
    • samouczenie się organizacji – norma ISO powoduje, że organizacja „napędzana” jest mechanizmami doskonalenia i poprawy, poszukiwania optimum pomiędzy bezpieczeństwem a efektywnością,
    • profesjonalną, świadomą i skuteczną organizację bezpieczeństwa w firmie,
    • uporządkowane warunki pracy (czyste biurko, czysty pulpit),
    • szybszą adaptację nowych pracowników, ochronę informacji w przypadkach rotacji pracowników,
    • standaryzowanie zasad pracy w poszczególnych lokalizacjach,
    • jasne zakresy uprawnień i odpowiedzialności,
    • podniesienie jakości świadczonych usług,
    • zaangażowanie wszystkich pracowników w sprawy firmy i poprawę bezpieczeństwa.

    System Zarządzania Bezpieczeństwem Informacji z SNP

    SNP zapewnia usługi związane z wdrożeniem i rozwojem Systemów Zarządzania Bezpieczeństwem Informacji, wspierając klientów w budowie Planów Ciągłości Działania (Business Continuity Plans).
    Adresatem tej oferty są firmy i organizacje posiadające złożoną infrastrukturę IT, zorientowane na optymalizację zarządzania usługami i zasobami IT. Wśród klientów są także organizacje z dużym zasobem danych wrażliwych przechowywanych w narzędziach IT oraz archiwach tradycyjnych, zobligowane do ich szczególnej ochrony (np. szpitale).
    SNP oferuje wsparcie w przygotowaniu i wdrożeniu procesów zarządzania infrastrukturą IT, zgodnych z zaleceniami ITIL (IT Infrastructure Library) a także wymaganiami norm ISO/IEC 27001 oraz ISO/IEC 20000. Dzięki stosowaniu tych standardów organizacje minimalizują ryzyko związane z niesprawnością lub niedostępnością systemów i usług informatycznych, co przekłada się na wzrost bezpieczeństwa prowadzenia biznesu. Tym samym wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji wpisuje się w koncepcję BCM (Business Continuity Management – zarządzanie ciągłością działania).

    W ramach tej oferty SNP Poland zapewnia usługi:

    • audyt firmy lub działu firmy pod kątem bezpieczeństwa informacji,
    • testy penetracyjne oraz audyty konfiguracji bezpieczeństwa systemów, baz danych, sieci, (web) aplikacji oraz innych elementów infrastruktury IT,
    • szkolenia w zakresie SZBI,
    • przygotowanie firmy do certyfikacji SZBI według norm ISO 27001,
    • wsparcie we wdrożeniu i rozwoju firmowego Systemu Zarządzania Bezpieczeństwem Informacji,
    • outsourcing – zewnętrzny administrator ds. bezpieczeństwa informacji.

Uzyskaj dostęp do Poradników

Pełne teksty poradników są dostępne po zalogowaniu.

Zaloguj się Zarejestruj się
Udostępnij

Nasza oferta

Nasze referencje

Poradniki

Aktualności

Chcesz przeczytać cały artykuł?

Zaloguj się do Lepszego Biznesu!

609
PORADNIKÓW
9195
UŻYTKOWNIKÓW

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00