- +48 737 185 903
- +48 737 185 902
- +48 727 790 662
- Pn - Pt: 9.00 - 17.00
Szukasz rozwiązania? | Potrzebujesz konsultacji? | Skontaktuj się!
Audyt bezpieczeństwa IT – dla szpitali i placówek medycznych
//Audyty IT w służbie zdrowia
Środowiska teleinformatyczne placówek medycznych są przeważnie bardzo złożone. Mamy tutaj na myśli szczególnie większe jednostki, typu szpitale, ale nie tylko. Zazwyczaj w takich jednostkach obok typowego sprzętu komputerowego funkcjonuje jeszcze specjalistyczna aparatura medyczna przetwarzająca duże ilości wrażliwych danych, jakimi są dane medyczne pacjenta.
Sama ilość sprzętu zazwyczaj jest też znaczna – przeciętnej wielkości szpital powiatowy, posiada więcej komputerów klasy PC, niż duży zakład produkcyjny. Niestety bardzo często są niedofinansowane w zakresie informatyki, a szczególnie cyberbezpieczeństwa, mające ewidentne braki w tym zakresie, gdzie dodatkowo potencjalne problemy związane są z efektem skali złożonych środowisk.
Sytuacja w tym względzie nieco poprawiła się po przystąpieniu podmiotów należących do systemu ochrony zdrowia i spełniających określone warunki do projektu mającego na celu podniesienie poziomu cyberbezpieczeństwa, a realizowanego na podstawie Zarządzenia Prezesa NFZ 68/2022/BBIiCD/.
Aktualnie ukazała się nowa odsłona tego zarządzenie 18/2023/BBIiCD/.
Zarówno Ministerstwo Zdrowia jak i Narodowy Fundusz Zdrowia kładą nacisk na budowanie dojrzałości poprzez realizację przez podmioty kolejnych kroków, uszeregowanych w konkretny sposób:
- System kopii zapasowych
- Firewall
- System poczty elektronicznej wraz z systemem bezpieczeństwa
- System klasy endpoint detection and response (EDR)
Kładzony jest również nacisk na świadomość zagrożeń ze strony kadry zarządzającej.
//AUDYT bezpieczeństwa it W szpitalu lub innej PLACÓWCE MEDYCZNEJ
Uwarunkowaniem pozytywnego rozpatrzenia projektu, a w konsekwencji uzyskanie jego refundacji, (co oprócz faktycznego podniesienia poziomu cyberbezpieczeństwa jest nietrywialne przy ograniczonych środkach finansowych), jest przeprowadzenie końcowego audytu weryfikującego. Sam audyt jest obarczony pewnymi wymogami co do osób i instytucji, które mogą go przeprowadzić.
I tutaj wracamy do zadanych wcześniej pytań – jak i kto ma taki audyt przeprowadzić?
Jako osoba zarządzająca działem IT szpitala powiatowego, czyli w przypadku Zarządzeń Prezesa NFZ strona wdrażająca, realizująca cały projekt w zakresie informatyzacji w szeroko pojętym Systemie Ochrony Zdrowia z jednej strony oraz audytor wiodący normy ISO 27001, przeprowadzający audyty w podmiotach uczestniczących w projekcie, czy to mających spełnić obowiązki nakładane na Operatora Usługi Kluczowej z drugiej, mogę z całą stanowczością stwierdzić, że istotna jest znajomość branży medycznej i jej specyficznych uwarunkowań w celu ich uwzględnienia w audycie i poddania analizie.
Należy zwrócić uwagę, że tego typu audytu nie należy traktować jako zło konieczne, a okazję do znalezienia słabych punktów swojej infrastruktury, czy funkcjonujących procedur. Zewnętrzne, niezależne spojrzenie umożliwia zwrócenie uwagi na rzeczy, które osobom widzącym je każdego dnia umykają i traktowane są jako normalny element codzienności.
// Pozwól sobie pomóc
Dlaczego my?
Posiadamy duże doświadczenie we współpracy z jednostkami medycznymi, które ubiegały się w minionym roku o dofinansowanie z NFZ na poprawę cyberbezpieczeństwa.
Każda placówka, która do tej pory nam zaufała i której pomagaliśmy w organizacji audytu, doborze rozwiązań, wsparciu merytorycznym lub formalnym, finalnie otrzymała dofinansowanie z NFZ.
Jeśli potrzebujesz audytu lub po prostu chciałbyś się skonsultować jako administrator placówki medycznej lub innej, zachęcamy do niezobowiązującego kontaktu z naszym głównym audytorem specjalizującym się w audytach dla branży medycznej oraz dla biznesu.
Arkadiusz Śliwa
Kierownik działu IT Szpitala Powiatowego, Audytor wiodący ISO/IEC 27001
Czy audyt może zostać przeprowadzony zdalnie?
Tak, audyt może mieć formę zdalną. Należy jednak zdawać sobie sprawę z tego, że taka forma ma swoje ograniczenia i nie daje możliwości weryfikacji stanu w naturze. Opiera się on wtedy na pozyskaniu materiału dowodowego od audytowanego.
Czy audytowany powinien się w jakiś sposób przygotować do audytu?
Wcześniejsze przygotowanie audytowanego w jakiś szczególny sposób nie jest obligatoryjne. Natomiast uprzednie usystematyzowanie wiedzy, przygotowanie funkcjonujących dokumentów na pewno taki audyt usprawni i przyspieszy.
Jak długo trwa audyt?
Jest to uzależnione od audytowanego obszaru i zakresu. W większości przypadków czas potrzebny na jego realizację nie przekracza 1-2 dni.
Jaki jest koszt audytu?
Koszt audytu wyceniany jest indywidualnie, w zależności od jego formy (zdalny lub na miejscu), czasu trwania, audytowanego zakresu oraz specyfiki danego środowiska.
Co jest weryfikowane podczas audytu?
Podczas audytu weryfikowana jest zgodność funkcjonujących u audytowanego polityk, procedur, sposobu postępowania z normą ISO 27001.
Czy audytu należy się obawiać?
Nie, audytu nie należy się obawiać. Jest on przeprowadzany w przyjaznej atmosferze i ma na celu pomóc audytowanemu, a nie zaszkodzić w jakikolwiek sposób.
Kto ma wziąć udział w audycie?
Nie ma określonych konkretnych osób, które biorą udział w audycie ze strony audytowanego. Powinny to być osoby, bądź osoba, która ma wiedzę na temat audytowanego obszaru, ewentualnie będzie w stanie takie osoby wskazać i umożliwić z nimi kontakt.
Kto przeprowadza audyt?
Audyt przeprowadzają audytorzy wiodący normy ISO 27001. Liczba audytorów i ich kompetencje określone są w warunkach audytu. Są audyty które wymagają udziału np. 2 audytorów.
// Chętnie porozmawiamy i doradzimy
Szukasz audytu dla innej branży niż medyczna?
737 185 903