Badania bezpieczeństwa (testy, audyty, przeglądy)
Bezpieczeństwo to proces, a nie jednorazowy projekt. Dlatego ważne jest nie tylko zastosowanie odpowiednich środków w celu osiągnięcia zamierzonego poziomu bezpieczeństwa, ale równie istotne jest ciągłe weryfikowanie i nadzorowanie przez kadrę Szpitala bieżącego stanu zabezpieczeń i ciągłe adaptowanie się do nowych zagrożeń.
Takie badania powinny być planowane i nadzorowane przez kadrę Szpitala.
Rodzaje badań bezpieczeństwa
- Audyty organizacyjne:
- Audyt zgodności Systemu Zagwarantowania Bezpieczeństwa z wymaganiami norm serii ISO/IEC 27001, audyty wewnętrzne i zewnętrzne, certyfikacje zgodności.
- Audyt zgodności z wymaganiami przepisów RODO, audyty wewnętrzne.
- Audyt zgodności z wymaganiami przepisów KSC, audyt zgodności z politykami.
- Audyt zgodności z wymaganiami standardów branżowych (akredytacji) w zakresie cyberbezpieczeństwa.
- Audyt dostawców, np. dostawców systemów HIS, LIS, RIS/PACS, infrastruktury informatycznej.
- Rolą kierownictwa jest zatwierdzanie planu audytów, zapewnienie zasobów, akceptacja ryzyk i planów naprawczych.
- Testy techniczne
- Testy penetracyjne, skanowanie podatności.
- Testy kopii zapasowych i odtwarzania z kopii.
- Testy zasilania awaryjnego.
- Rolą kierownictwa jest zapewnienie środków i niezbędnych do przeprowadzenia testów okien serwisowych; nadzór nad tym, by wyniki były przekładane na działania.
- Przeglądy okresowe
- Przeglądy uprawnień, przeglądy logów, przeglądy konfiguracji systemów.
- Kierownictwo powinno wymagać regularnych raportów (np. kwartalnych) z przeglądów.
- Ćwiczenia
- Ćwiczenia ewakuacyjne.
- Symulacje incydentów, cyberataków.
- Testy planów ciągłości działania.
- Kadra powinna brać udział w ćwiczeniach, dopilnować wyciągania wniosków i aktualizacji procedur.
Standardy akredytacyjne wymagają:
- regularnych przeglądów infrastruktury i urządzeń,
- planowych szkoleń i podnoszenia kwalifikacji,
- planu postępowania na wypadek zdarzeń nadzwyczajnych i jego testowania.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC)
- Badania bezpieczeństwa informatycznego powinny być włączone do systemu zarządzania jakością i bezpieczeństwem pacjenta.
