Bezpečnost informací

Politika bezpečnosti informací FN Plzeň

 

Fakultní nemocnice Plzeň (dále jen „FN Plzeň“) jako největší zdravotnické zařízení v Plzeňském kraji, které poskytuje jak základní, tak i specializovanou a vysoce specializovanou zdravotní péči, považuje, v návaznosti na Politiku kvality a bezpečnosti, zajištění bezpečnosti informací a informačních a komunikačních služeb za jednu ze svých hlavních priorit.

Cílem FN Plzeň je zajistit dostatečnou ochranu důvěrnosti, integrity a dostupnosti všech zpracovávaných informací a poskytovaných služeb pro pacienty, zaměstnance a spolupracující subjekty pomocí přiměřených a odpovídajících opatření tak, aby byla zajištěna maximální úroveň bezpečnosti informací. Tento cíl je naplňován provozováním, kontrolováním, údržbou a neustálým zlepšováním Systému řízení bezpečnosti informací (dále jen „ISMS“) v kontextu rizik a požadavků dopadajících na FN Plzeň v oblasti bezpečnosti informací.

Odpovědnost za bezpečnost informací nese ve FN Plzeň nejen vrcholové vedení, ale každý jednotlivý zaměstnanec, uživatel, dodavatel a partner.

 

Zaměstnanci a uživatelé

FN Plzeň od svých zaměstnanců a uživatelů očekává:

  • aktivní spolupráci při udržování a zlepšování ISMS;
  • důsledné dodržování stanovených pravidel, procesů a bezpečnostních opatření;
  • hlášení bezpečnostních incidentů a událostí;
  • pravidelné školení a zvyšování kompetencí a povědomí v oblasti bezpečnosti informací;
  • zajišťování ochrany zpracovávaných informací

 

Dodavatelé

FN Plzeň od svých dodavatelů a partnerů očekává:

  • důslednou kontrolu dodržování pravidel, procesů a bezpečnostních opatření stanovených bezpečnostními politikami FN Plzeň, smluvním vztahem a platnými právními předpisy od všech svých zaměstnanců, poddodavatelů a partnerů;
  • pravidelné informování o bezpečnostních hrozbách a rizicích, které mohou mít dopad na FN Plzeň;
  • efektivní spolupráci při řešení incidentů a událostí. 

 

Deset principů ISMS ve FN Plzeň

1. Strategický a celistvý přístup

Zajištění centrálního řízení bezpečnosti informací, které mimo jiné zahrnuje řízení kybernetické bezpečnosti, ochrany osobních údajů, komunikaci a spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost, Úřadem pro ochranu osobních údajů, Ministerstvem zdravotnictví i s řadou dalších institucí.

2. Zajišťování souladu

Dodržování a naplňování právních a interních předpisů v oblasti kybernetické bezpečnosti a ochrany osobních údajů.

3. Stanovení rolí a odpovědností

Definování jasných rolí a odpovědností za účelem řízení bezpečnosti informací a dodržování všech pravidel, postupů a bezpečnostních opatření.

4. Dodržování postupů, pravidel a bezpečnostních opatření

Důsledné dodržování, využívání a neustálé zlepšování interních postupů a bezpečnostních opatření, užívání ověřených za účelem zajištění důvěrnosti, dostupnosti a integrity zpracovaných informací a poskytovaných služeb.

5. Přístup založený na riziku

Plánování a realizace bezpečnostních opatření vždy se zaměřením zejména na minimalizaci hrozeb, odstraňování zranitelností a snižování úrovně rizik s ohledem na efektivitu, hospodárnost a soulad se stanovenou mírou přijatelnosti rizik.

6. Sledování a vyhodnocování hrozeb a rizik

Rozvíjení bezpečnosti informací na základě průběžného sledování a vyhodnocování aktuálního vývoje hrozeb a jejich možných dopadů na důvěrnost, integritu a dostupnost zpracovávaných informací a poskytovaných služeb. Pravidelné hodnocení účinnosti a dostatečnosti zavedených bezpečnostních opatření.

7. Školení a zvyšování povědomí

Zvyšování povědomí o bezpečnostních hrozbách, pravidlech a bezpečnostních opatřeních všech zaměstnanců. Informování o požadavcích bezpečnosti informací dodavatele a další externí subjekty.

8. Řízení dodavatelů

Řízení vztahů s dodavateli zahrnující řízení rizik, stanovení jasných a přesných práv a povinností ve smluvní dokumentaci na začátku a v průběhu smluvního vztahu.

9. Zajišťování kontinuity poskytovaných služeb

Zajišťování kontinuity zpracovávání a poskytování informací a služeb pacientům, zaměstnancům a dalším externím subjektům.

10. Neustálé zlepšování

Pravidelný audit a přezkoumávání stavu ISMS.

   MUDr. Václav Šimánek, Ph.D.

                                                                                                ředitel Fakultní nemocnice Plzeň

 

Soubor ke stažení

Politika bezpečnosti informací FN Plzeň (.pdf, 228kB)

Česky