דוח חדש של חברת ניהול הסיכונים Corl Technologies בו נסקרו 150 ספקים בתחום הבריאות (בעיקר מארה"ב), חושף כי בכל הנוגע לשמירה על התקנים הרלוונטיים. . .
בתחום הפרטיות ואבטחת המידע, 58% מהם קיבלו דירוג נמוך במיוחד, אשר פירושו כי תרבות האבטחה אצלם היא נמוכה ביותר. לשם דירוג הספקים נלקחו בחשבון נתונים שונים, דוגמת מדיניות האבטחה והפרטיות של הספק, כמו גם האם יש לו צוות אבטחה ייעודי או ממונה על אבטחת המידע (CISO).
כל הארגונים שנבדקו מאחסנים, מעבדים או מגנים על מידע רפואי המסופק להם על ידי בתי חולים או תוכניות בריאות. מרביתם, נעדרים רמת מינימלית של התנהלות מאובטחת, ואינם עומדים בתקן האמריקאי לאבטחת מידע בארגוני בריאות (HIPAA). הדוח מציין כי "לעתים קרובות, ארגוני בריאות אינם מודעים להיקף הספקים בעלי הגישה למידע מוגן על פי חוק".
ברקע לדוח, סיום "תקופת החסד" (ספטמבר 2013) של תקן ה-HIPAA במתכונתו החדשה. במסגרת השינויים שחלו בו, מציין התקן את האחריות החוקית המורחבות של ארגוני צד שלישי, דוגמת ספקי בריאות, בכל האמור להגנה על מידע בריאות. בין היתר, קובע התקן כי "שותפים עסקיים" של ישויות הכפופות לתקן מחויבים בנקיטת צעדי אבטחה ופרטיות המפורטים ב-HIPAA. בנוסף, התקן במתכונתו החדש מרחיב את ההגדרה של "שותף עסקי" לכל גורם היוצר, מקבל, מחזיק או משדר מידע רפואי מוגן מטעם הישות הכפופה ל-HIPAA.
תקן ISO 27799 מיועד לנושאים באחריות לפיקוח על ביטחון מידע הבריאות בארגוני שרותי בריאות. כמו כן, מיועד התקן, לישויות אחרות המחזיקות בקרבן מידע בריאות, לרבות יועצי אבטחת מידע, אנשי ביקורת וספקים. לאיי פי וי סקיוריטי צוות מומחים בעל ניסיון רב בהסמכה לתקן, המצוי בקשר שוטף עם נציגי ארגוני התקינה ותעשיית אבטחת המידע בעולם. התוצאה - התאמת מערכת ניהול סיכוני אבטחת המידע למאפייני הארגון (תקנים, רגולציה) בהליך יעיל וממוקד מחד גיסא, ושקיפות וישימות בכל רמות הארגון, מההנהלה ועד רמת העובד מאידך גיסא.
לידיעה המלאה- כאן