Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares Shima Ředitel odboru informatiky MZd
Obsah Úvod – kompetence MZ Rada vlády pro informační společnost USNESENÍ VLÁDY ČR č. 677/2007 Systémové normy ISO Dobrá praxe převzatá z KSRZIS Příručka ochrany informací Zavedení a certifikace Cíl ministerstva v oblasti standardizace Závěr
Úvod – kompetence MZ Zákon o zřízení ministerstev a jiných ústředních orgánů státní správy ČSR § 10 zákona č. 2/1969 Sb. (1) Ministerstvo zdravotnictví je ústředním orgánem státní správy pro zdravotní péči, ochranu veřejného zdraví, zdravotnickou vědeckovýzkumnou činnost, zdravotnická zařízení v přímé řídící působnosti, zacházení s návykovými látkami, přípravky, prekursory a pomocnými látkami, vyhledávání, ochranu a využívání přírodních léčivých zdrojů, přírodních léčebných lázní a zdrojů přírodních minerálních vod, léčiva a prostředky zdravotnické techniky pro prevenci, diagnostiku a léčení lidí, zdravotní pojištění a zdravotnický informační systém, pro používání biocidních přípravků a uvádění biocidních přípravků a účinných látek na trh. (2) Součástí Ministerstva zdravotnictví je Český inspektorát lázní a zřídel. (3) Organizační součástí Ministerstva zdravotnictví je Inspektorát omamných a psychotropních látek.
Rada vlády pro informační společnost Byla ustavena na základě usnesení vlády č. 293 z Cíl z pohledu občana: Umožnění komfortní, bezpečné a důvěryhodné elektronické komunikace s veřejnou správou na všech úrovních a v maximu životních situací.
USNESENÍ VLÁDY ČR č. 677/2007 o Akčním plánu plnění opatření Národní strategie informační bezpečnosti České republiky V rámci řízení informační bezpečnosti jsou nejvýznamnější (všeobecně nejvíce podporované) tyto normy: –ČSN ISO/IEC 17799:2001 Informační technologie – Soubor postupů pro řízení informační bezpečnosti. –ČSN BS :2004 Systém managementu bezpečnosti informací - Specifikace s návodem pro použití.
Systémové normy ISO –Bezpečnost informací zavedená v souladu s: ISO 27001, Systémy managementu bezpečnosti informací Systém je zaveden tak, aby byl snadno rozšířitelný –Kvalitu služeb IT ISO , Management služeb –Systém řízení jakosti ISO 9 001, Systém řízení jakosti
Dobrá praxe převzatá z KSRZIS Normy zavedené v KSRZIS: ISO ISMS ISO – systém kvality ISO – kvalita projektu ISO – systém kvality informačních služeb Zavedení v KSRZIS proběhlo úspěšně Prověřeno renomovaným certifikačním orgánem TÜV-SUD První zavedená norma v KSRZIS byla: ČSN EN ISO/IEC – systém řízení ochrany informací
PŘÍRUČKA OCHRANY INFORMACÍ Systém řízení ochrany informací a politika (4-8) + (A.5) Organizace bezpečnosti informací (A.6) Řízení aktiv (A.7) Bezpečnost lidských zdrojů (A.8) Fyzická bezpečnost a bezpečnost prostředí (A.9) Řízení komunikací a řízení provozu (A.10) Řízení přístupu (A.11) Akvizice, vývoj a údržba informačních systémů (A.12) Zvládání bezpečnostních incidentů (A.13) Řízení kontinuity činnosti organizace (A.14) Soulad s požadavky (A.15)
Zavedení a certifikace Analýza rizik - Identifikace a klasifikace aktiv v oblasti působnosti ministerstva Zpracování příručky ochrany informací Školení zaměstnanců Interní audit ISMS (v souladu s ISO 9 011) Certifikace TÜV-SUD duben 2009
Cíl ministerstva v oblasti standardizace Uplatňovat standardy ve všech projektech eHealth Kromě obecných systémových standardů, jako je ISO 27001, postupně zavádět mezinárodní a evropské zdravotnické oborové ITC standardy –ISO TC 215 Health informatics, cca 94 standardů. –CEN TC 251 Health informatics, cca 80 standardů. –WG 1 Information models –WG 2 Terminology and knowledge representation –WG 3 Security, safety and quality –/WG 4 Technology for interoperability
DĚKUJI VÁM ZA POZORNOST Ing. Fares Shima,