Információbiztonság fejlesztése önértékeléssel Fábián Zoltán, Dr. Horváth Zsolt (SZTE Szent-Györgyi Albert Klinikai Központ -INFOBIZ Kft.



Hasonló dokumentumok
Információbiztonság fejlesztése önértékeléssel

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

A BELLA PROGRAM SZEGEDI ADAPTÁCIÓJA

Az információbiztonság megjelenése az egészségügyi szolgáltató szervezetek minőségirányítási rendszerében Dr. Horváth Zsolt, Dr.

IT üzemeltetés és IT biztonság a Takarékbankban

Az ISO es tanúsításunk tapasztalatai

ISO Minőségirányítási rendszerek. Útmutató a működés fejlesztéséhez

A minőségügyi munka múltja, jelene, jövője a MOHE CÉGCSOPORT tagjai között

Szabályozók felülvizsgálata Ellenőrzési-mátrix

IRÁNYELVFEJLESZTÉS ÉS KLINIKAI AUDIT

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Standardfejlesztési tevékenység

Jogalkotási előzmények

Információbiztonság irányítása

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

Jászivány Község Önkormányzata évi belső ellenőrzési terve

Vezetői összefoglaló ÁROP /A A pályázati dokumentáció felépítése

Helye: ACHAT Premium Budapest H-1101 Budapest, Hungaria Krt. 5.

Jó ez nekem? az akkreditációs standardokkal szerzett első tapasztalatok. XXIX. Betegbiztonsági Fórum június 12.

2013. évi L. törvény ismertetése. Péter Szabolcs

Gépészmérnöki és Informatikai Karán 2010-BEN VÉGZETT HALLGATÓK FELMÉRÉSÉNEK ÉRTÉKELÉSE

Az akkreditációs rendszer kialakításának helyzete TÁMOP A-12/

The Leader for Exceptional Client Service. szolgáltatások

A Bankok Bázel II megfelelésének informatikai validációja

MEGHÍVÓ ORVOSTECHNIKAI ESZKÖZÖK CE JELÖLÉSE NYÍLT KÉPZÉS

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

IT biztonsági törvény hatása

Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

Nem pedagógus munkakörben foglalkoztatottak teljesítményértékelési szabályzata

A minőségirányítási rendszerek fejlesztési lehetősségei az egészségügyben. Dr. Szecsei Klára 2010.

Informatikai Biztonsági szabályzata

Az Újhartyáni Német Nemzetiségi Általános Iskola IRATKEZELÉSI ÉS ADATKEZELÉSI SZABÁLYZATA

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

BELLA standardok bevezetésével kapcsolatos gyakorlati tapasztalatok a Zala Megyei Kórházban intézeti koordinátori szemmel.

MEGHÍVÓ. MSZ EN ISO 13485:2012 Belső auditor tréning NYÍLT KÉPZÉS

Termék- és tevékenység ellenőrzés tervezése

Standardok bevezetése intézményi koordinátori és felülvizsgálói szemmel

KÉPZÉSI PROGRAM. Helye: HUNOR Hotel, 1039 Budapest, Pünkösdfürdő u. 40. Részvételi díj: ,-Ft

2013. ÉVI L. TÖRVÉNY AZ ÁLLAMI ÉS ÖNKORMÁNYZATI SZERVEK ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGÁRÓL

Minőségfejlesztési kézikönyv

JÓ GYAKORLATOK A BUDAPESTI GAZDASÁGI FŐISKOLA MINŐSÉGFEJLESZTÉSI TEVÉKENYSÉGÉBEN

Minőségcélok és tevékenységek Magyarországon, a GYEMSZI Minőségügyi Főosztály tevékenysége. Dr. Kárpáti Edit

MEGHÍVÓ. MSZ EN ISO 13485:2016 Belső auditor tréning NYÍLT KÉPZÉS

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

A Pécsi Tudományegyetem. minőségbiztosítási. szabályzata

evosoft Hungary Kft.

MINDENNAPOS TESTNEVELÉS ALTERNATÍV LEHETŐSÉGEI. 30 órás akkreditált pedagógus továbbképzés MINŐSÉGBIZTOSÍTÁSI KÉRDŐÍV ÉRTÉKELÉSE

MEGHÍVÓ ORVOSTECHNIKAI ESZKÖZÖK KOCKÁZATIRÁNYÍTÁSI FOLYAMATA NYÍLT KÉPZÉS Jelentkezés

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az ITIL egyszeruen. avagy. híd

MEGHÍVÓ ÚJ IVD ORVOSTECHNIKAI ESZKÖZ RENDELET NYÍLT KÉPZÉS Jelentkezés

BELSŐ AUDIT 2. ELJÁRÁS LEÍRÁSA

Közszolgálati teljesítményértékelés - véleményfelmérés eredmények -

A Népegészségügyi Kar minőségbiztosítása, minő rendszerének és eredményeinek értékelése

BELSŐ ELLENŐRZÉS ÜTEMTERVE

INFOKOMMUNIKÁCI STRATÉGI. Budapest, május 26 Philippovich Ákos

A KKV-k felkészülésének feladatai a GDPR alkalmazására (szabályzatok, tájékoztatók, nyilvántartások és oktatások) Tóth Szilárd

AZ IKIR TANULSÁGAI ÉS KITERJESZTÉSE

Személyügyi gazdálkodó és fejlesztő. Személyügyi gazdálkodó és fejlesztő É 1/6

KÉRDŐÍV. Az iskolarendszerű szakképzést folytató intézményekben történő minőségfejlesztési tevékenység felmérésére.

A Debreceni Egyetem Diplomás Pályakövetési Rendszer (DPR) Szabályzata

Akkreditáció szerepe és lehetőségei a hazai egészségügyi ellátás szakmai minőségfejlesztésében

Gépészmérnöki és Informatikai Karán 2008-BAN VÉGZETT HALLGATÓK FELMÉRÉSÉNEK ÉRTÉKELÉSE

NEMZETKÖZIESÍTÉSI ÉS INTÉZMÉNYFEJLESZTÉSI AUDIT A CAMPUS MUNDI PROGRAMBAN

Végső változat, 2010 Szeptember Integrált Irányítási Rendszer (IIR) a helyi és regionális szintű fenntartható fejlődésért

Pest Megyei Pedagógiai Szakszolgálat A TAGINTÉZMÉNY ÉVES ÖNÉRTÉKELÉSI TERVE

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

KUTATÁSI PROJEKT. Dr. SZŐKE Gergely László Pécsi Tudományegyetem, Állam- és Jogtudományi Kar Informatikai- és Kommunikációs jogi Kutatóintézet (IKJK)

A WHO betegbiztonsági irányelv hazai adaptációja: NEVES (nem-várt események)

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

A 13. Adatvédelmi rendelkezések fejezet a következőként alakult át

Bevezetés az Informatikai biztonsághoz

2013 L. - tapasztalatok Antidotum 2015

Szervezetfejlesztési Program

ISO 9001:2015 ÉS ISO 14001:2015 FELKÉSZÜLT A VÁLTOZÁSOKRA? Move Forward with Confidence

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

Sodródunk vagy (minőség)irányítunk?

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

Biztosítók belső ellenőrzése

MINTA Kereskedelmi és Szolgáltató Kft. FELMÉRÉS EREDMÉNYE

A MEGGYŐZÉS MŰVÉSZETE ÚTON A BIZTONSÁGOS BETEGELLÁTÁS FELÉ 30. BETEGBIZTONSÁGI FÓRUM

Nagykálló Város Önkormányzata

"31. A jegyző és az aljegyző" "Az aljegyző. 56/A. (1) A polgármester a jegyző javaslatára pályázat alapján aljegyzőt nevez ki.

30 MB INFORMATIKAI PROJEKTELLENŐR

8/2011. sz. Szabályzat FOLYAMATBA ÉPÍTETT ELŐZETES ÉS UTÓLAGOS VEZETŐI ELLENŐRZÉS RENDSZERE

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt

Oktatói weboldalak vizsgálata hallgatói szemszögből

Ajánlatkérő adatlap. 1. Kérelmező szervezet adatai: 2. Kérelmező szervezet vezetősége, kapcsolattartója:

AZ EHEALTH FEJLESZTÉSEK MEGHATÁROZÓ PROJEKTJEI Avagy a fejlesztések motorja. Dr. Németh László ÁEEK főigazgató

Kockázatkezelés az egészségügyben

Betegelégedettségi vizsgálat értékelése év. Botos Katalin ápolási igazgató

Önértékelési szabályzat

Átírás:

Információbiztonság fejlesztése önértékeléssel Fábián Zoltán, Dr. Horváth Zsolt (SZTE Szent-Györgyi Albert Klinikai Központ -INFOBIZ Kft.) A. Kiindulás: Kezdetek és keretek Az egészségügyi ellátás során különös jelentősséggel bír az egészségügyi adatok kezelése. Ez valamennyi szervezetre attól függetlenül, hogy kicsi-e vagy nagy, hogy fekvő- vagy járóbeteg ellátó, esetleg mindkettő hatalmas odafigyelést és korrekt szabályozást igényel. Sajátos kettősség és ellentmondás kíséri végig az adatok kezelését. Látszólag ellenérdekelt a beteg és az ellátó: a betegek azt szeretnék, hogy minél titkosabban kezeljük az ellátással kapcsolatos adataikat, az orvosok pedig azt, hogy az ellátás során minél könnyebben és gyorsabban, minél több információval rendelkezzenek a betegeik állapotával kapcsolatban. A Szegedi Tudományegyetem Szent-Györgyi Albert Klinikai Központ adatvédelmi rendszerével megpróbáljuk mindkét fél igényeit kielégíteni. Célunk az, hogy olyan adatvédelmi rendszert alakítsunk ki, amely a törvényi kötelezettségeken túl praktikusan működtethető, és a munkatársainknak is a lehető legkevesebb kényelmetlenséget okozza. Valószínűleg kevés olyan egészségügyi intézmény van ma Magyarországon, amelynek az utóbbi években ne okozott volna problémát az adatvédelmi követelmények teljesítése. Az adatvédelmi feladatok megoldása kinek a feladata egy egészségügyi intézményben, ki irányítsa? Jogász? Hiszen az adatvédelem törvényi szabályozás teljesítése, az előforduló hibák sokszor csak jogi úton rendezhetők. Minőségügyi munkatárs? Hiszen az adatvédelem elsősorban dokumentációs feladat, amelynek felügyeletéért a minőségügy a felelős. Informatikus? Hiszen az egészségügyi adatok az informatikai rendszerben vannak tárolva, amelynek felügyelete az informatikusok feladata. 1

Orvos? Hiszen egészségügyi adatokról van szó, amelyek az egészségügyi ellátás során keletkeznek. Bármelyik lehetőség jó megoldás lehet, azonban mindegyik csak egy esetben: csak a többiekkel együttműködve! A Szegedi Tudományegyetem Szent-Györgyi Albert Klinikai Központ adatvédelmi szervezetének felépítése hasonló a minőségügyi szervezethez: a központi irányítás munkáját minden szervezeti egységben adatvédelmi felelősök segítik. Közösen igyekszünk évek óta lépésenként fejleszteni adatvédelmi rendszerünket. A különböző szakterületek képviselői együttműködésében történő aktivitásokat a PDCA ciklus egy-egy szakaszában más-más terület képviselője irányítja, ennek megfelelően a minőségügy elsősorban az ellenőrzési fázisban tudta kamatoztatni auditálási tapasztalatát. A belső auditok során külön adatvédelmi blokkot alakítottunk ki, hogy minél pontosabb képet kapjunk a Klinikai Központ adatvédelmi gyakorlatáról. Az auditok tapasztalatai alapján úgy ítéltük meg, érdemes lenne minél szélesebb körben felmérni, hogy van-e eltérés a szabályozás és a gyakorlat között, és ha igen, milyen mértékű az. Ehhez igyekeztünk megfelelő módszert és partnert találni. B. Az elvégzett feladatok Az INFOBIZ Kft-vel kialakult együttműködés keretében egy több lépésből álló programot alakítottunk ki, amelynek végső célja a teljes információbiztonsági irányítási rendszer bevezetése. A rendszerépítés és kapcsolódó fejlesztések volumene miatt az egyes lépéseket önálló projektenként hajtjuk végre. Mindegyik önálló lépés végén kézzel foghatóak az abban a lépésben elért eredmények, amelyek során mindig a biztonság egy magasabb szintje érhető el. 2

Az együttműködés lépései a következők: 1. lépés: Önértékelő kérdőíves felmérés, és a kapcsolódó intézkedési javaslatok a statisztikailag feltárt problémák pótlására 2. lépés: Szakértői informatikai és információbiztonsági kezdeti állapotfelmérés, és a kapcsolódó intézkedési javaslatok a feltárt gyenge pontok, problémák javítására 3. lépés: Adatvagyon, információs vagyon és fenyegetettségeinek, kockázatainak felmérése, és a kapcsolódó intézkedési javaslatok az el nem fogadható kockázatok kezelésére 4. lépés: Folyamatos kockázatkezelésen alapuló biztonsági intézkedések beemelése az irányítási rendszerbe (integrált irányítási rendszer ezzel tartalmazza az információbiztonsági irányítási rendszert is) Jelen fázisban ezek közül az első lépést valósítottuk meg. Most bemutatjuk ennek a fázisnak a célját, módszerét, végrehajtásának körülményeit, illetve hasznát. Az ebben a fázisban elérendő célok voltak: a vezetésnek bemutatni az információbiztonság jelentőségét; gyors és költség-hatékony módon az adatvédelem / információbiztonság állapotát nagyságrendileg jellemezni; (Ez nem helyettesíti a későbbi részletes, helyszíni szakértői felmérések szükségességét.) a főbb problémákra rámutatni. A végrehajtott feladatok következők voltak: 1. Képzés: Információbiztonsági tájékoztató, ismeretfrissítő és tudatosságnövelő alapképzés tartása A képzés általános célja az adatvédelmi felelősök és a középvezetők számára ismeretfrissítés, az adatbiztonsági tudatosság erősítése, valamint a figyelem felhívása az információbiztonság és informatikai üzemeltetés hatásának a 3

Szent-Györgyi Albert Klinikai Központ működési- és adatbiztonságára gyakorolt jelentőségére. A képzés résztvevői ennek megfelelően a Szent-Györgyi Albert Klinikai Központ adatvédelmi felelősei, középvezetői, valamint az informatikai és a minőségirányítási terület munkatársai. A képzés során bemutatott témák rövid jellemzése: A. Csapdás esetek, előre nem számított negatív események és ezek tapasztalatai a betegek adatvédelmével kapcsolatban Az előadás célja: Valós eseményekkel, példákkal rávilágítani: - az adatvédelmi tevékenység sérülékenységére - a vezetők és munkatársak adatvédelemmel kapcsolatos felelősségére, - tudatosítani azt, hogy az adatvédelem az egészségügyi szolgáltatók ellátási tevékenységében, törvény által integrált feladat és nem egy valaki más által elvégzendő külön álló, mellékes dolog. Az ismertetésre kerülő Csapdás esetek, előre nem számított negatív események az előadó saját gyakorlatából (több intézményből), illetve irodalmi információkból származnak. B. Az információbiztonság megjelenése az egészségügyi szolgáltató szervezetek működésében Az előadás célja a figyelem ráirányítása arra, hogy mennyire függ az egészségügyi szolgáltató szervezetek, intézmények zavartalan és törvényes működése, eredménye, sikere, léte az információik biztonságától, az informatikai rendszer működésétől. C. A Kórházi Információtechnológiai (IT) adatvédelem főbb gyakorlati szempontjai Az előadás célja rendszerezetten bemutatni az egészségügyi szolgáltató szervezeteknél az információbiztonság területeit, és áttekintést adni a védekezés módjainak megszervezéséről. A prezentáció kiterjed gyakorlati példák bemutatására a következő területeken: 4

- a védendő adatok és információk kategóriái és lehetséges előfordulási helyei, - az adatokat fenyegető lehetséges veszélyek területei, - szempontok a védekezés rendszerszemléletű megközelítéséhez, - gyorsan bevezethető gyakorlati tanácsok az informatikai védekezés egyes területeire. D. A kórházi IT üzemeltetés Az előadás célja a figyelem ráirányítása arra, hogy mennyire függ az egészségügyi szolgáltató szervezetek, intézmények zavartalan, folyamatos és megbízható működése az informatikai szolgáltatók és szolgáltatások színvonalától és megbízhatóságától. Az előadás bemutatja azokat a módszereket, amivel az informatikai szolgáltatások szintje, megbízhatósága mérhetővé, skálázhatóvá válik, és ez által az egészségügyi és informatikai folyamatok együttműködése az igényeknek megfelelően szabályozható lehet. 2. Önértékelések: Az önértékelés elvégzése két, az INFOBIZ Kft. által összeállított önértékelési kérdőív használatát jelentette. Ez a két kérdőív a következő: 1. Általános információbiztonságú témájú, széles felhasználói körnek szóló kérdőív. Ennek az önértékelési kérdőívnek a célja: A teljes szervezetet átfogóan, felhasználói körben az adatvédelem gyakorlatának és tudatosságának szempontjából (előzetesen) felmérni. Ez az önértékelési kérdőív 3 témakörből és 25-30 kérdésből álló, egyszerű feleletválasztós elektronikusan kitöltendő kérdőív, amelynek témakörei a következők: - papíralapú dokumentációk biztonságos / bizalmas kezelésének gyakorlata az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában; 5

- adatvédelmi szabályok és előírások megléte, ismerete és betartásának gyakorlata az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában; - informatikai biztonsági szabályozások megléte, ismerete és betartásának gyakorlata az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában. A kérdőív kitöltését minél szélesebb körben valósítottuk meg: minden betegellátó és adminisztratív egységből több dolgozó is kitöltötte, odafigyelve arra, hogy szervezeti egységenként több orvos, nővér és adminisztratív munkaerő is kitöltse. Az önértékelési kérdőívet minden résztvevő anonim módon, elektronikusan tölti ki. A kiértékelések statisztikai módon történnek egy erre a célra alkalmas informatikai eszközzel. 2. Informatikai / IT biztonsági témájú kérdőív. Ennek az önértékelési kérdőívnek a célja: A Szent-Györgyi Albert Klinikai Központ informatikai rendszere fenyegetettségi és védelmi profilját (előzetesen) felmérni. Ez az önértékelő kérdőív 8 10 oldalas, és az informatikai és informatikai biztonsági rendszer gyakorlati kulcselemeire kérdez rá. Informatikai célú önértékelés kiemelt témái: informatikai infrastruktúra, alkalmazások, üzemeltetés, felhasználói állomány és működési környezet. Mindegyiknél cél a gyakorlati kérdések alapján - az alkalmazott informatikai rendszer kereteinek, működésének jellemzése (fenyegetettségi profil); - az informatika üzemeltetése során meglévő védelmi elemek jellemzése (védelmi profil). Az önértékelési kérdőívet egy példányban a Szent-Györgyi Albert Klinikai Központ informatikai vezetése töltötte ki. 6

3. Kiértékelések, következtetések A kitöltött kérdőíveket összegyűjtöttük, és elektronikusan átküldtük az INFOBIZ Kft. munkatársainak, akik elvégezték a kiértékeléseket. Az általános információbiztonsági kérdőívek esetén statisztikai eszközökkel meghatározták minden kérdésre a jellemző középértéket, és a jellemző szórást is. Ezek alapján valamint a kérdések jellege és felépítése segítségével jól meghatározhatók a mindennapi gyógyítás / betegellátás során az adatvédelem és információbiztonság gyakorlata, tudatosságának foka, a meglévő szabályzatok (pl. adatvédelmi szabályzat) ismertsége és betartása. A feltárt erősségek és gyengeségek jól kimutathatóak mind az egész Klinika vonatkozásában, mind szervezeti egységenként külön-külön is. A gyakorlat ilyen módon történő jellemzésének összevetése a meglévő információbiztonsági ill. adatvédelmi témájú szabályokkal és előírásokkal megállapíthatók azoknak a szabályzatoknak a gyakorlati hasznossága, erőssége és gyengesége is. Az informatikai biztonsági témájú felmérés az informatikai környezet és informatikai működés kereteit és kulcsértékeit figyeli, és ezek alapján a lehetséges fenyegetettségi profilt veti össze a meglévő üzemeltetett védelmi elemek rendszerével. Ezek alapján voltak meghatározhatóak az informatikai védelem lehetséges gyenge pontjai. C. Eredmények, összegző megállapítások Még csak az első lépéseket tettük meg, így eredményekről még csak korlátozottan számolhatunk be, de néhány pozitívumot már most megállapíthatunk. 1. A kérdőív kitöltése során a munkatársak végiggondolták a mindennapos munkájukhoz kapcsolódó adatvédelmi feladataikat. Azt, hogy mely lépésekhez kapcsolódik adatvédelmi követelmény, illetve, hogy ezek mit is jelentenek a napi gyakorlatban. 7

2. A kérdőívvel ki tudtuk terjeszteni az adatvédelemmel aktívan foglalkozók körét. 3. Jelentősen megnőtt az adatvédelmi szabályzat olvasottsága az intranetes felületen (a szabályzatok oldalának statisztikája alapján). 4. Az adatvédelmi feladatokon túl megtettük az első lépéseket az információbiztonság fejlesztésének irányába. Néhány további haszonra és összefüggésre az élő prezentáció során mutatunk rá. 8

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés