ISO 27799:2016 Nedir?
ISO 27799, sağlık sektöründe veya benzer çalışma ortamlarında çalışan herkes için kişisel sağlık verilerinin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin en iyi nasıl korunacağına dair rehberlik sağlayan uluslararası bir standarttır. İlk 2008 yılında yayınlanmıştır ve 2016 yılında da güncellenmiştir.
ISO 27799’da istenen en iyi uygulamalar arasında şunlar yer alır:
- Ayrıcalıklı erişim yönetimi de dahil olmak üzere veri erişim kontrolleri,
- Hassas verilerin kriptografik kontrolü,
- Şifreleme anahtarlarının yönetimi ve korunması,
- “Kullanıcı kimliklerinin ve gizli kimlik doğrulama bilgilerinin kullanımı ve yönetimi ile ilgili tüm önemli olayların” kaydedilmesi ve arşivlenmesi ve bu kayıtların “kurcalama ve yetkisiz erişime” karşı korunması.
ISO 27799:2016 Belgesine Sahip Olmanın Faydaları Nelerdir?
ISO/IEC 27001:2013 Bilgi Güvenliği Yönetim Sistemi çok geniş hatlarıyla bilgi güvenliğini hedeflemektedir ve Sağlık kuruluşları daha kapsamlı bir incelemeye ihtiyaç bulunmaktadır. ISO 27799:2016 sağlık ya da kişisel sağlık bilgisi tutan şirketlere özel tasarlanmış bilgi güvenliği standardı sunar.
Sağlık ile ilgili bilgilerin ulaşılabilirliğini, bütünlüğünü ve gizliliğinin uluslararası standartlarda tutulmasını sağlar. ISO 27799 ana hedefi, kişisel bilgilerin uluslararası standartlarda güvenli ve gizli tutulması ve işlenmesidir.
Avantajlarını aşağıdaki gibi sıralayabiliriz;
- Hastalarınıza, yönetim kurulunuza, yasal otoritelere ve tüm işbirlikçilerinize bilgi güvenliğine verdiğiniz önemi ve bu konuda ki yetkinliğinizi bu belgeye sahip olarak ispatlamış olursunuz.
- Kişisel veri güvenliği ve hasta mahremiyetine önem verdiğiniz için hastalarınızın size olan güveni artar.
- Veri erişim politikasına sahip olursunuz.
- Hangi verilere kimlerin eriştiğini tespit etmiş ve gerekli olduğunda bu verileri erişimden kaldırmanız çok daha kolay olur.
Ülkemizde Sağlık Bilgi Sistemleri Yönetimi
Teknoloji ve bilgi yönetim sistemleri, iş modellerini ve iş süreçlerini yeniden düzenlemeyi gerektirdiği gibi tasarımcı düşünceyi ön plana çıkarmaktadır.
Sağlıkta da buna yönelik yaklaşımlara, uygulamalara ve eğitime ihtiyaç olduğu aşikârdır.
Sağlık bilgi sistemlerini, hekimlerin hastanın tıbbi kayıtlarındaki önemli bilgileri hızlı bir şekilde tespit etmesine, ilgili kanıtları bulmasına ve tedavi seçeneklerini keşfetmesine yardımcı platformlar olarak da düşünmeliyiz.
Sağlık Bakanlığı tarafından hazırlanan ‘Bilgi Güvenliği Politikaları Kılavuzu’na göre; ‘Sağlık Bakanlığı’nın hasta sıfatı ile bir bireyle muhatap olduğunda ve bireyin herhangi bir verisini ve bilgisini kayıt altına aldığında, kayıt altına alınan bireye ait her türlü veri ve bilginin kendisine emanet edilmiş bir değer olduğu düşüncesiyle kendisini bu sorumluluğun yerine getirilmesinde mükellef olarak görmekte’ olduğu belirtilmiştir.
Bilgi Güvenliği Politikaları basılı ve elektronik ortamdaki bilgilerin yasal mevzuat ışığında ve risk metotları kullanılarak “gizlilik, bütünlük ve erişilebilirlik” ilkelerine göre yönetilmesi amacıyla;
- Bilgi Güvenliği Standartlarının gerekliliklerini yerine getirmek,
- Bilgi Güvenliği ile ilgili tüm yasal mevzuata uyum sağlamak,
- Bilgi varlıklarına yönelik riskleri tespit etmek ve sistematik bir şekilde riskleri yönetmek,
- Bilgi Güvenliği Yönetim Sistemini sürekli gözden geçirmek ve iyileştirmek,
- Bilgi Güvenliği farkındalığını artırmak için, teknik ve davranışsal yetkinlikleri geliştirecek şekilde eğitimler gerçekleştirmek için oluşturulmuştur.
Kılavuzda sağlık bilgi sistemleri için bilgi güvenliği organizasyonu belirlenmiştir. Komisyona bağlı olarak çalışmak üzere bilgi güvenliğinin farklı alt alanlarında “çalışma grupları” teşkil edilir. Çalışma gruplarının oluşturulurken teknik, hukuki ve idari disiplinlerden personel bulunmalıdır.
Bakanlık Merkez, bağlı kuruluşlar ve taşra teşkilatları kurumları bünyesinde, bilgi güvenliği faaliyetlerini yürütmek ve koordine etmek üzere “Bilgi Güvenliği Yetkilisi” görevlendirilir. Bilgi Güvenliği Yetkilisinin ana işlevi; bulunduğu kurumdaki bilgi güvenliği faaliyetlerini Genel Müdürlük ile koordineli bir şekilde yürütmektir.
Genel Müdürlük, bilgi güvenliği eğitim planlamasını tüm Bakanlık ve bağlı kuruluşları için yapmak suretiyle her seviyedeki personelin bilgi güvenliği farkındalık düzeylerini artırmak yönünde eğitim faaliyetlerinde bulunur. Yıllık hizmet içi eğitim planlamalarında bilgi güvenliği başlığı planlara dahil edilir.
ISO 27799 Sağlık verisi ile ilgilenenler için kurtarıcı niteliktedir. Adli makamlar, paydaşlar, beraber iş yaptığınız tedarikçiler sizden güvence bekler.
Sağlık hizmetlerinde ISO 27799 ISMS sertifikası almak kurumlara aşağıdakileri sağlar:
- Diğer standartlarla rahat bir şekilde entegre edilebilen ISO 27799 Sağlık kurumları için çok daha uygun bir kapsam sağlar.
- Bu serfikayı almaya hak kazananlar, sağlık verilerinin uluslararası standartlarda koruduğunu kanıtlar.
- Modern sağlık kurumları kendi bilişim teknolojileri üzerinde birçok hassas veri bulundurduğundan her zaman risk taşırlar. ISO 27799 sertifikası, büyüklük ve tür fark etmeksizin tüm sağlık kurumları için faydalıdır.
- ISO 27799 standardının sağladığı ilke ve prensipler sayesinde sağlık kurumları işledikleri ya da tuttukları hassas kişisel verinin güvenli tutulmasığını sağlar.
