Politika bezpečnosti informací FN Plzeň
Fakultní nemocnice Plzeň (dále jen „FN Plzeň“) jako největší zdravotnické zařízení v Plzeňském kraji, které poskytuje jak základní, tak i specializovanou a vysoce specializovanou zdravotní péči, považuje, v návaznosti na Politiku kvality a bezpečnosti, zajištění bezpečnosti informací a informačních a komunikačních služeb za jednu ze svých hlavních priorit.
Cílem FN Plzeň je zajistit dostatečnou ochranu důvěrnosti, integrity a dostupnosti všech zpracovávaných informací a poskytovaných služeb pro pacienty, zaměstnance a spolupracující subjekty pomocí přiměřených a odpovídajících opatření tak, aby byla zajištěna maximální úroveň bezpečnosti informací. Tento cíl je naplňován provozováním, kontrolováním, údržbou a neustálým zlepšováním Systému řízení bezpečnosti informací (dále jen „ISMS“) v kontextu rizik a požadavků dopadajících na FN Plzeň v oblasti bezpečnosti informací.
Odpovědnost za bezpečnost informací nese ve FN Plzeň nejen vrcholové vedení, ale každý jednotlivý zaměstnanec, uživatel, dodavatel a partner.
Zaměstnanci a uživatelé
FN Plzeň od svých zaměstnanců a uživatelů očekává:
- aktivní spolupráci při udržování a zlepšování ISMS;
- důsledné dodržování stanovených pravidel, procesů a bezpečnostních opatření;
- hlášení bezpečnostních incidentů a událostí;
- pravidelné školení a zvyšování kompetencí a povědomí v oblasti bezpečnosti informací;
- zajišťování ochrany zpracovávaných informací
Dodavatelé
FN Plzeň od svých dodavatelů a partnerů očekává:
- důslednou kontrolu dodržování pravidel, procesů a bezpečnostních opatření stanovených bezpečnostními politikami FN Plzeň, smluvním vztahem a platnými právními předpisy od všech svých zaměstnanců, poddodavatelů a partnerů;
- pravidelné informování o bezpečnostních hrozbách a rizicích, které mohou mít dopad na FN Plzeň;
- efektivní spolupráci při řešení incidentů a událostí.
Deset principů ISMS ve FN Plzeň
1. Strategický a celistvý přístup
Zajištění centrálního řízení bezpečnosti informací, které mimo jiné zahrnuje řízení kybernetické bezpečnosti, ochrany osobních údajů, komunikaci a spolupráci s Národním úřadem pro kybernetickou a informační bezpečnost, Úřadem pro ochranu osobních údajů, Ministerstvem zdravotnictví i s řadou dalších institucí.
2. Zajišťování souladu
Dodržování a naplňování právních a interních předpisů v oblasti kybernetické bezpečnosti a ochrany osobních údajů.
3. Stanovení rolí a odpovědností
Definování jasných rolí a odpovědností za účelem řízení bezpečnosti informací a dodržování všech pravidel, postupů a bezpečnostních opatření.
4. Dodržování postupů, pravidel a bezpečnostních opatření
Důsledné dodržování, využívání a neustálé zlepšování interních postupů a bezpečnostních opatření, užívání ověřených za účelem zajištění důvěrnosti, dostupnosti a integrity zpracovaných informací a poskytovaných služeb.
5. Přístup založený na riziku
Plánování a realizace bezpečnostních opatření vždy se zaměřením zejména na minimalizaci hrozeb, odstraňování zranitelností a snižování úrovně rizik s ohledem na efektivitu, hospodárnost a soulad se stanovenou mírou přijatelnosti rizik.
6. Sledování a vyhodnocování hrozeb a rizik
Rozvíjení bezpečnosti informací na základě průběžného sledování a vyhodnocování aktuálního vývoje hrozeb a jejich možných dopadů na důvěrnost, integritu a dostupnost zpracovávaných informací a poskytovaných služeb. Pravidelné hodnocení účinnosti a dostatečnosti zavedených bezpečnostních opatření.
7. Školení a zvyšování povědomí
Zvyšování povědomí o bezpečnostních hrozbách, pravidlech a bezpečnostních opatřeních všech zaměstnanců. Informování o požadavcích bezpečnosti informací dodavatele a další externí subjekty.
8. Řízení dodavatelů
Řízení vztahů s dodavateli zahrnující řízení rizik, stanovení jasných a přesných práv a povinností ve smluvní dokumentaci na začátku a v průběhu smluvního vztahu.
9. Zajišťování kontinuity poskytovaných služeb
Zajišťování kontinuity zpracovávání a poskytování informací a služeb pacientům, zaměstnancům a dalším externím subjektům.
10. Neustálé zlepšování
Pravidelný audit a přezkoumávání stavu ISMS.
MUDr. Václav Šimánek, Ph.D.
ředitel Fakultní nemocnice Plzeň
Soubor ke stažení
Politika bezpečnosti informací FN Plzeň (.pdf, 228kB)