Technická normalizace ◦ Informace o vybraných normách E-byznys (V České republice je to: ÚNMZ - Úřad pro technickou normalizaci, metrologii a státní zkušebnictví HK ČR- Hospodářská komora České republiky/Usnadňování procedur mezinárodního obchodu)ÚNMZHK ČR ÚNMZ ÚNMZ V této části najdete přehledy norem, které se týkají následujících oblastí: Bezpečnost informačních systémů Popis datových prvků Elektronická výměna dat Softwarové inženýrství
ISO/IEC zavedena v ČSN ISO/IEC Informační technologie – Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací ISO/IEC/TR zavedena v ČSN ISO/IEC/TR Informační technologie – Směrnice pro řízení IT – Část 3: Techniky pro řízení bezpečnosti ISO zavedena v ČSN ISO/TS Zdravotnická informatika – Infrastruktura veřejného klíče Část 3: Management politiky certifikační autority atd. viz. unmz.cz – Přehledy norem IT – předcházející slajd
Tato norma se zaměřuje na řízení bezpečnosti informací ve specifických podmínkách poskytovaní zdravotní péče. Zatímco ochrana a bezpečnost osobních informací je důležitá ve všech oborech činnosti v oblasti poskytovaní zdravotní péče musí být splněny zvláštní požadavky. Zdravotnické informace jsou považovány za nejdůvěrnější ze všech druhů osobních informací.
Kdo by měl číst tuto mezinárodní normu? Je určena osobám odpovědným za řízení bezpečnosti zdravotnických informací - zdravotnickým organizacím. Výhody používání této mezinárodní normy Průzkum provedený uznávaným Fórem bezpečnosti informací a tržními analytiky ukázal, že dobré a všestranné zabezpečení může mít více než dvouprocentní pozitivní dopad na výsledky hospodaření organizace. Jak používat tuto mezinárodní normu? Implementátoři této normy musí být důkladně seznámeni s obsahem ISO/IEC 27002, protože dále v textu jsou často uvedeny odkazy na příslušné oddíly normy. Norma ISO nemůže být plně pochopena bez znalosti ISO
osobní zdravotní informace; anonymizovaná data získaná z osobní zdravotní dokumentace prostřednictvím některé metodiky pro anonymizovanou identifikaci; statistické a výzkumné údaje včetně anonymizovaných dat, získaných z osobní zdravotní dokumentace odstraněním osobních identifikačních údajů; klinické/lékařské znalosti, které nesouvisí se žádným konkrétním subjektem péče, včetně klinických dat na podporu rozhodování (například údaje o nežádoucích účincích léků);
údaje o odborných zdravotnických pracovnících, zaměstnancích a dobrovolnících; informace, vztahující se k veřejnému dohledu nad zdravotnictvím; data auditních záznamů, vytvářená zdravotnickými informačními systémy, které obsahují osobní zdravotní informace, anonymizovaná data získaná z osobních zdravotních informací nebo obsahující údaje o činnostech uživatelů s ohledem na osobní zdravotní informace; systémová bezpečnostní data pro zdravotnické informační systémy včetně dat řízení přístupu a další údaje související s bezpečností konfigurace systému zdravotnických informačních systémů.
Čím více se zdravotnické organizace stávají kriticky závislé na informačních systémech na podporu péče (například využití technologií pro podporu rozhodování a vývoj směrem ke zdravotní péči založené spíše na „záznamech“, než na „zkušenostech“), tím je více evidentní, že jakákoliv událost vedoucí ke ztrátě integrity,dostupnosti a důvěrnosti může mít významný klinický dopad. Na problémy vyplývající z těchto dopadů bude nahlíženo jako na selhání etických a právních závazků, plynoucích z „povinnosti péče“.
Osobní zdravotní informace (OZI)– klasifikace důvěrné. Srovnávání s klasifikací vládních nebo vojenských dat může být zavádějící. Důvěrnost OZI je víc subjektivní než objektivní. Pouze pacient může náležitě určit relativní důvěrnost různých seskupení dat. Pro osobu, prchající před vztahem je nová adresa a tel. důvěrnější, než údaje o své zlomené ruce. Jméno a adresa na pohotovosti je málo důvěrná, ale seznam pacientů s léčbou impotence je velmi důvěrný.
d) Školení a vzdělávání: pojednává o požadavcích na školení a vzdělávání všech zaměstnanců, smluvních stran, odborných zdravotnických pracovníků a dalších, kdo mají přístup k zdravotnickým informacím. i) Povinnosti lékařů s ohledem na získávání informačního svolení od subjektů péče a na zachování důvěrnosti osobních zdravotních informací.
Popisy procesů obsahují prohlášení o účelu procesu, který popisuje na obecné úrovni celkové cíle vykonávání tohoto procesu společně s množinou výsledků, které prokazují úspěšné dosažení účelu procesu (cílů procesu). Tyto popisy procesu musí splňovat následující požadavky: ◦ proces musí být popsán pomocí jeho účelu (cílů); ◦ v jakémkoli popisu procesu musí být množina výsledků (výstupu) procesu, která je nezbytná a dostatečná, aby se dosáhlo účelu (cílů) procesu;
Ref. model procesů v životním cyklu software (50 str.) Ref. mod. procesů životního cyklu systému (64 str.) Ref. mod. procesů správy softwarových aktiv (28 str.) Referenční model procesů služeb IT (10 str.) Doporučená obecná opatření ISMS (100 str.) Společná kritéria pro hodnocení bezpečnosti informačních technologií ◦ Bezpečnostní funkční požadavky IT (272 str.) ◦ Požadavky na záruky bezpečnosti IT (152 str.)
Neúplný – není implementován nebo nedosahuje svého účelu. Vykonávaný - je implementován a dosahuje svého čelu. ◦ PA 1.1 Atribut výkonnosti procesu Řízený - plánován, monitorován a přizpůsobován. ◦ PA 2.1 Atribut řízení výkonnosti ◦ PA 2.2 Atribut řízení pracovních produktů Zavedený - stanovený. ◦ PA 3.1 Atribut vymezení procesu ◦ PA 3.2 Atribut zavedení procesu Předvídatelný – konzistentně v stanovených omezeních, pro podnik. cíl. ◦ PA 4.1 Atribut měření procesu ◦ PA 4.2 Atribut kontroly procesu Optimalizovaný - předvídatelný proces je neustále zlepšován. ◦ PA 5.1 Atribut inovace procesu ◦ PA 5.2 Atribut optimalizace procesu
Hlavní – produkční, proces může byt řízen na úrovní atributů PA1.1 až PA5.2. Nutné stanovit přiměřeně podle konkrétního procesu. Řídící – proces může být řízen na úrovní PA1.1 až PA3.2. Řízení na úrovní předvídatelného procesu může být nevhodné. U brainstormingu je vhodné řízení pouze na úrovni dosažení atributu PA 1.1 Atribut výkonnosti procesu. Systémy řízení dle ISO 9001, 14001, jsou na úrovni stanoveného a zavedeného procesu. Účelem je řízení produkčních procesů – optimalizované. Podpůrné ◦ Produkční ◦ Řídící