Na skutek rozwoju technik teleinformatycznych oraz systemu prawnego i administracyjnego, informacja urosła do rangi jednego z najważniejszych aktywów, posiadającego wysoką wartość dla konkretnych organizacji. Niezależnie od tego, jaką formę przyjmuje informacja – werbalną, papierową, elektroniczną – powinna być zawsze odpowiednio chroniona.
Cele przeprowadzania audytu bezpieczeństwa informacji w szpitalu
Audyt bezpieczeństwa stanowi jedno z najbardziej skutecznych narzędzi kontroli bezpiecznego funkcjonowania jednostki organizacyjnej, w tym podmiotu leczniczego, jakim jest szpital. Jako podstawowe cele audytu bezpieczeństwa można wskazać:
- zapoznanie się z organizacyjną strukturą szpitala,
- poznanie zakresu odpowiedzialności kluczowych stanowisk związanych z bezpieczeństwem,
- zapoznanie się z ogólnie przyjętymi praktykami związanymi z eksploatacją systemów informatycznych,
- rozpoznanie stosunku do wymagań prawnych i normatywnych z zakresu bezpieczeństwa informacji.
By zapewnić odpowiedni poziom bezpieczeństwa informacji, konieczne jest ciągłe monitorowanie jego stanu i wprowadzanie niezbędnych korekt w sytuacji, gdy audyt wykazuje nieprawidłowości. Podstawowym założeniem audytu bezpieczeństwa jest jego niezależność i bezstronność, która pozwala na ocenę faktycznego stanu bezpieczeństwa organizacji szpitala.
Jakie jednostki publiczne muszą przeprowadzić audyt bezpieczeństwa informacji?
Audyt bezpieczeństwa informacji stanowi wymóg prawny stawiany instytucjom publicznym. Podstawą prawną dla audytu jest rozporządzenie z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, konkretnie artykuł 20 ust.2 pkt 14 mówiący o obowiązku zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.
Warto zaznaczyć, że audyt bezpieczeństwa informacji od dawna wykonuje się w organizacjach przeprowadzających cykliczne audyty, w skład których wchodzą szpitale i innego rodzaju placówki medyczne.
Jak wygląda audyt bezpieczeństwa informacji w szpitalu?
W ramach audytu bezpieczeństwa informacji w szpitalu wykonywane są następujące czynności:
- analiza legalności, zakresu, celu oraz adekwatności gromadzonych danych osobowych oraz sposobu ich przetwarzania,
- analiza i weryfikacja zarówno zabezpieczeń fizycznych, jak i infrastruktury informatycznej szpitala,
- weryfikacja prawidłowości identyfikacji zbiorów danych osobowych zarządzanych przez szpital,
- sprawdzenie zabezpieczeń dla zbiorów danych osobowych zarządzanych przez szpital,
- analiza zgromadzonej dokumentacji pracowniczej pod kątem jej zgodności z przepisami dotyczącymi ochrony danych osobowych,
- sprawdzenie stosowanych przez szpital procedur przetwarzania danych osobowych pod kątem aktualności, efektywności oraz ich zgodności z obowiązującymi przepisami.
Fazy przeprowadzania audytu bezpieczeństwa informacji
Audyt bezpieczeństwa informacji w szpitalu przebiega w kilku podstawowych fazach:
- Faza planowania
Na tym etapie osoba sprawująca audyt, zwana audytorem, poddaje analizie cele audytu, zakłada jego kryteria oraz zasięg. W tej fazie następuje również wybór osoby wiodącego audytora oraz składu zespołu audytorów, a następnie dokonuje się podziału prac. Zadaniem głównego audytora jest przy tym rozplanowanie czasu potrzebnego na wykonanie każdego z wyznaczonych zadań, a także ustalenie czasu przeglądowych spotkań i wymiany informacji przez członków zespołu.
- Faza wykonywania
Ten etap audytu polega na jego właściwym rozpoczęciu w siedzibie szpitala. Rozpoczęciem jest przy tym spotkanie otwierające, którego głównym celem jest przedstawienie zespołu audytorów przedstawicielom podmiotu leczniczego oraz upewnienie się, że audytowany rozumie zarówno cele audytu, jak i przyjęte zasady oceny. W trakcie spotkania audytowego omawiane są również kwestie organizacyjne i techniczne oraz metodyka audytu. Następnym etapem jest sam audyt, który przebiega zgodnie z wcześniej ustalonym harmonogramem i jest przeprowadzany w oparciu o listy kontrolne.
- Faza raportowania i działań poaudytowych
Po zakończeniu fazy wykonywania, audytor główny organizuje spotkanie zespołu audytorów, w trakcie którego przygotowywany jest raport podsumowujący. Zawiera on zbiór faktów i ich interpretacji w oparciu o dowody i w odniesieniu do obowiązujących norm. Odbiorcą raportu jest zarząd szpitala, którego dotyczył audyt.
Audyt bezpieczeństwa informacji w szpitalu a sprawdzenie poprawności wdrożenia zasad RODO w medycynie
RODO to rozporządzenie unijne zawierające ogólne przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych wraz z przepisami o swobodnym przepływie danych osobowych. RODO w medycynie, jak w i na pozostałych płaszczyznach, przewiduje zastosowanie odpowiednich środków bezpieczeństwa w dziedzinie organizacyjnej i technicznej oraz przeglądy i uaktualnianie wprowadzonych zabezpieczeń. Z przepisów RODO nie wynika jednak wprost obowiązek przeprowadzania audytu – obligatoryjne jest wyłącznie regularne dokonywanie przeglądów i ocen skuteczności wdrożonych zabezpieczeń. Zakłada to przeprowadzanie kontroli wewnętrznych zależnych od decyzji organizacji, w tym wypadku szpitala.