Dlaczego ISO/IEC 27001 dla placówek ochrony zdrowia?

Organizacje przechowują informacje w formie cyfrowej, papierowej i wiedzy pracowników. Ochrona informacji jest ważnym czynnikiem jeśli chodzi o bezpieczeństwo pacjentów w instytucjach ochrony zdrowia. Historia choroby pacjentów i dane takie jak raporty laboratoryjne są poufne i powinny być dostępne oraz wykorzystywane tylko przez osoby upoważnione. Czasem, dostęp do aktualnych danych jest istotnym czynnikiem dla personelu medycznego do utrzymania bezpieczeństwa i zapewnienia odpowiedniego leczenia opartego o wiarygodne informacje. Niedostateczny dostęp do istotnych danych o pacjencie, czy też informacji medycznych może, w najgorszym razie kosztować nawet życie. Systemy informacyjne są potrzebne by przechowywać i mieć dostęp do informacji o pacjencie, jak również by prowadzić badania. Efektywny system zarządzania pomoże Państwu w zapewnieniu bezpieczeństwa tak danych, jak i pacjenta.

ISO/ IEC 27001 jest znanym w wielu krajach standardem systemu zarządzania bezpieczeństwem informacji. Dzięki wdrożeniu systemu zarządzania bezpieczeństwem danych zgodnego z normą ISO/ IEC 27001 dajecie gwarancję, że Państwa organizacja identyfikuje i obniża zagrożenia związane z przechowywaniem poufnych i istotnych danych. Certyfikowany system zarządzania jest zgodny ze stosowaną w kraju legislacją i najlepszymi światowymi praktykami. Certyfikacja daje pewność pacjentom, zarządzającym i innym interesariuszom, że uważnie zajmują się Państwo wszelkimi aspektami bezpieczeństwa istotnych danych.

Jak certyfikacja ISO/IEC 27001 wspiera Państwa organizację?

Certyfikowany system zarządzania bezpieczeństwem informacji, pokazuje Państwa zaangażowanie w ochronę informacji i daje pewność, że wszystkie dane są właściwie chronione - niezależnie od tego czy są przechowywane na papierze, w formie cyfrowej czy pozostają w świadomości pracowników. Takie systemy wykorzystują metody systematycznego podejścia do zminimalizowania zagrożenia i zapewnienia zgodności z wymogami m.in. prawnymi. Dokładniej mówiąc, system pomoże Państwu w:

• Kontrolowaniu, zarządzaniu i odpowiednim obchodzeniu się z informacjami posiadanymi przez Waszą organizację.
• Przyjęciu aktywnego podejścia do zarządzania danymi i ochrony ważnych informacji.
• Identyfikowaniu i zmniejszaniu zagrożeń związanych z posiadanymi danymi.
• Byciu w zgodności z ważnymi przepisami krajowymi i międzynarodowymi.
• Zapewnieniu ciągłości operacyjnej w przypadku incydentów związanych z ochroną danych.
• Przekonaniu i zapewnieniu pacjentów, zarządzających i innym interesariuszy, że informacje poufne są bezpieczne. 

Jak zacząć?

Oto ważne kroki jak zacząć prace nad wdrożeniem i certyfikacją systemu:

• Zapoznać się ze standardem ISO 9001. W DNV GL dostępne są programy szkoleniowe, a standard można zakupić poprzez strony: www.iso.org oraz www.pkn.pl
• Poznać wszelkie wymagania prawne, które należy spełnić.
• Mieć wgląd do wszystkich aktywów informacyjnych w Państwa organizacji.
• Przeprowadzić ocenę ryzyka, by poznać i zrozumieć czynniki zagrażające danym w Waszej organizacji. Zewnętrzna ocena wstępna może okazać się bardzo wartościowa na początkowym etapie wdrażania standardu.
• Określić zagrożenia priorytetowe i działania do podjęcia, by obniżyć ryzyko i zapewnić jego odpowiedni poziom.
• Zapewnić pełne zaangażowanie ze strony zarządu. Dobry system zarządzania wymaga zapewnienia zaangażowania tak na najwyższych szczeblach zarządu, jak i w całej organizacji.
• Zaangażować akredytowaną jednostkę certyfikującą DNV GL, by rozpocząć proces certyfikacji.

Certyfikacja i ciągłe doskonalenie Państwa systemu zarządzania jest jak „podróż”. Jako zewnętrzna jednostka certyfikacyjna, DNV GL przeprowadza coroczne audyty, a co trzy lata ponowną certyfikację. Dodatkowo będą Państwo musieli przeprowadzać audyty wewnętrzne i przeglądy zarządzania, żeby rozwijać swój system równorzędnie ze zmianami i zagrożeniami w Państwa obszarze działalności.