מדיניות אבטחת מידע

תקציר מדיניות אבטחת המידע במרכז הרפואי "שהם"

1.  מחויבות הנהלה לנושא אבטחת מידע – הנהלת המרכז הרפואי שהם (להלן: "ההנהלה") רואה את ההגנה על המידע בהיבט של שלמות, זמינות ואמינות כנושא בעל חשיבות עליונה. על עובדי מרכז רפואי "שהם" להגן, לדווח ולטפל בכל אירוע המסכן את המידע.

2.  אחריות על אבטחת מידע בבית החולים – הנהלת בית החולים הגדירה את המסגרות הארגוניות, אשר יישמו את מדיניות אבטחת המידע ביה"ח ויבקרו את אופן יישומה:

  • ועדת היגוי לנושא אבטחת מידע – מגדירה את מדיניות ונהלי ביה"ח בתחומים הנוגעים לאבטחת מידע.
  • ממונה על אבטחת מידע – הממונה על אבטחת המידע בבית החולים אחראי על הניהול השוטף של ענייני אבטחת מידע בבית החולים.
  • נאמני אבטחת מידע במחלקות – ההנהלה מינתה נציגות אבטחת מידע ביחידות ביה"ח השונות, על מנת להבטיח הטמעה מיטבית של מדיניות אבטחת המידע בכלל חלקי בית החולים.

3. אבטחה לוגית – האבטחה הלוגית מהווה את ה"שכבה" העיקרית והקרובה ביותר בהגנה על המידע המצוי במערכות המחשב והתקשורת. ממונה אבטחת המידע בבית החולים יתווה את רמת האבטחה הלוגית המחייבת עבור רכיביהן השונים של מערכות המחשוב והתקשורת. תיושם מדיניות הרשאות ובקרת גישה למידע רפואי בהתאם לתפקיד והצורך המקצועי.

4. אבטחה פיזית – יישמו הגנות ובקרות פיזיות, על מנת למנוע פעולות אשר תוצאותיה עשויות להיות חשיפה, גניבה, שינוי או הרס של מידע. אמצעי הגנה אלו יתאימו לרמת הסיווג של המידע.

5. אבטחת משאבי אנוש – נקבעו עקרונות אבטחת מידע בכל הקשור לעובדי בית החולים, על מנת לצמצם את הסיכונים הנובעים מבעיות במהימנות עובדים, חוסר מודעות של עובדים או רצון מכוון של עובד לפגוע במידע האגור במערכות ביה"ח.

6. ניהול וסיווג נכסים – המידע בבית החולים יסווג בהתאם לרגישות המידע וחיוניותו.

7. אבטחת רשומות – הנהלת בית החולים הגדירה את התהליכים וכלי הטיפול ברשומות (מצעים פיזיים נושאי מידע), במטרה לצמצם את סיכוני הפגיעה במידע האגור בהם. אבטחת רשומות חיונית משום קיומו של מידע רגיש רב על-גבי מצעים פיזיים אשר הגעתם לידיים לא מורשות עלולה להוביל לנזקים.

8. פיתוח ורכש – היבטי אבטחת מידע ישולבו בתהליכי פיתוח מערכות מידע ובהתקשרות עם ספקים חיצוניים.

9. ניהול המשכיות עסקית – בית החולים יישם תכנית לניהול המשכיות עסקית. היערכות להמשכיות עסקית נועדה לסכל הפרעות לפעילות השוטפת של ביה"ח ולהגן על נתונים מפני הרס, שיבוש, מחיקה וכדומה, הנגרמים בהשפעת מקרי כשל משמעותיים או מקרי אסון (שריפה, הצפה, אסונות טבע וכדומה), במערכות המידע הפיזיות והלוגיות של ביה"ח.