Strona główna » Czy Twoja placówka medyczna jest dobrze zabezpieczona?
Czy Twoja placówka medyczna jest dobrze zabezpieczona?
03 lipca 2024 r.
Bezpieczeństwo informatyczne danych medycznych od kilku jeden z najważniejszych elementów funkcjonowania każdej placówki ochrony zdrowia. Zaniedbania w tej sferze mogą prowadzić do poważnych konsekwencji prawnych, finansowych i reputacyjnych. Swoją cegiełkę dokłada do tego dyrektywa NIS 2, pod którą podlegać będzie prawie każda placówka medyczna.
Nasza lista z pytaniami ma na celu pomóc Ci ocenić, czy Twoja placówka medyczna jest odpowiednio zabezpieczona przed potencjalnymi zagrożeniami.
Zawiera ona kluczowe pytania dotyczące różnych aspektów zarządzania danymi i bezpieczeństwa IT. Przeprowadzenie tej oceny pozwoli zidentyfikować obszary wymagające poprawy i podjąć kroki w kierunku wzmocnienia ochrony danych.
1. Zarządzanie ryzykiem:
Czy znasz wszystkie punkty końcowe zbierania danych i czy są one odpowiednio chronione?
Czy przeprowadziłeś ocenę ryzyka dotyczącą zasobów IT i ustaliłeś priorytety ochrony?
Czy wdrożyłeś zabezpieczenia adekwatne do przeprowadzonej analizy ryzyka?
Czy regularnie aktualizujesz ocenę ryzyka?
Czy zidentyfikowałeś i zabezpieczyłeś wszystkie krytyczne systemy i dane?
2. RODO i audyty:
Czy pracownicy znają i stosują zasady ochrony danych pacjentów?
Czy przeprowadzane są audyty RODO i wewnętrzne/zewnętrzne audyty bezpieczeństwa?
Czy wdrożono kodeksy postępowania RODO zatwierdzone przez UODO?
Czy regularnie aktualizujesz dokumentację związaną z ochroną danych?
Czy raportujesz incydenty bezpieczeństwa zgodnie z wymogami RODO?
3. Kontrola dostępu do danych:
Czy dane pacjentów są dobrze chronione przed dostępem osób nieuprawnionych?
Czy personel systematycznie zmienia hasła?
Czy odpowiednio nadano role w systemie IT, aby zarządzać dostępem do danych i czy są one regularnie aktualizowane?
Czy korzystasz z uwierzytelniania wieloskładnikowego?
Czy monitorujesz logi dostępu do krytycznych systemów?
4. Ustawienia prywatności:
Czy komputery na których gromadzona jest EDM, mają włączone auto wylogowanie?
Czy zablokowano porty USB?
Czy lokalizacja komputerów i opcje blokowania ekranu zapewniają prywatność danych?
Czy wprowadzono politykę czystego biurka?
Czy urządzenia przenośne są szyfrowane?
5. Ochrona sprzętu i zasobów:
Czy serwery oraz komputery są odpowiednio chronione?
Czy stosowane są systemy monitoringu zagrożeń, oprogramowanie antywirusowe i filtry antyspamowe?
Czy zostało wdrożone oprogramowanie typu DLP?
Czy został wdrożony system typu NAC?
Czy dane są szyfrowane?
Czy lekarze pracujący zdalnie łączą się z bazą danych poprzez VPN (wirtualną sieć prywatną)?
Czy sprzęt IT jest regularnie serwisowany i aktualizowany?
Czy posiadasz plan awaryjny na wypadek awarii sprzętu?
6. Procedury:
Czy został przygotowany plan spełnienia wymogów dyrektywy NIS 2?
Czy został wdrożony System Zarządzania Bezpieczeństwem Informacji [SZBI]?
Czy został wdrożony System Zarządzania Ciągłością Działania?
Czy monitorujesz dostawców i usługodawców pod względem przestrzegania praktyk bezpieczeństwa?
Czy umowy z dostawcami zawierają klauzule bezpieczeństwa danych?
Czy masz procedury zarządzania zmianą w systemach IT?
Czy regularnie oceniasz i aktualizujesz procedury bezpieczeństwa?
7. Zarządzanie bezpieczeństwem sieciowym:
Czy sieć placówki medycznej została podzielona na część obsługującą wrażliwe dane i systemy (system elektronicznej dokumentacji medycznej) oraz inne zadania (np. korzystanie ze stron internetowych przez pracowników, sieć WiFi dla pacjentów)?
Czy dostęp pracowników do skrzynki e-mail jest bezpieczny?
Czy monitorujesz ruch sieciowy pod kątem nietypowych aktywności?
Czy stosujesz segmentację sieci?
Czy regularnie aktualizujesz oprogramowanie sieciowe?
8. Szkolenia pracowników:
Czy istnieje plan szkoleń z cyberbezpieczeństwa?
Czy przygotowano instrukcje dla nowych pracowników z uwzględnieniem zasad ochrony danych?
Czy pracownicy są regularnie informowani o nowych rodzajach zagrożeń?
Czy pracownicy są świadomi swojej roli w systemie cyberbezpieczeństwa?
Czy prowadzone są kontrolowane testy bezpieczeństwa?
Czy przeprowadzane są symulacje ataków phishingowych?
9. Monitoring ataków cybernetycznych:
Czy posiadasz rozwiązanie techniczne do monitoringu, analizy i zarządzania incydentami? Np. system SIEM, sonda NDR itp…
Czy w razie ataku zostaniesz o nim poinformowany, aby móc niezwłocznie zareagować?
Czy monitorujesz ruch sieciowy i niebezpieczne zachowania użytkowników?
Czy korzystasz z systemów wykrywania włamań (IDS/IPS)?
Czy masz procedury na wypadek wykrycia incydentu?
10. Usuwanie luk w systemie bezpieczeństwa:
Czy istnieje procedura regularnego sprawdzania, czy oprogramowanie i sprzęt są zaktualizowane do najnowszych wersji?
Czy otrzymujesz informacje o nowych łatkach bezpieczeństwa w systemach IT i sprzęcie?
Czy masz system zarządzania łatkami bezpieczeństwa?
Czy w organizacji są przeprowadzane regularne testy penetracyjne i audyty cyberbezpieczeństwa?
11. Reagowanie na incydenty:
Czy w placówce została wdrożona usługa SOC bądź wydzielony zespół ds. zarządzania incydentami?
Czy posiadasz procedurę na wypadek ataku hakerów?
Czy organizacja ćwiczy regularnie scenariusze ataków i usuwania ich skutków?
Czy wiesz jak powstrzymać lub wyeliminować zagrożenie, odzyskać sprawność działania organizacji i przyjęć pacjentów?
Czy pracownicy wiedzą, co robić w przypadku wykrycia zagrożenia?
Czy posiadasz plan komunikacji kryzysowej?
12. Plan komunikacji:
Czy istnieje plan komunikacji z pracownikami w razie skutecznego ataku cybernetycznego?
Czy istnieją procedury komunikacji z pacjentami?
Czy pracownicy wiedzą jak bezpiecznie kontynuować opiekę nad pacjentem w przypadku incydentów cybernetycznych?
Czy komunikujesz się z dostawcami usług IT podczas incydentu?
Czy masz gotowe wzory komunikatów na wypadek różnych scenariuszy?
13. Wiedza o zagrożeniach:
Czy znasz aktualne ostrzeżenia instytucji odpowiedzialnych za bezpieczeństwo danych, jak np. NASK?
Czy wiesz, gdzie zgłosić atak hakerski i wyciek danych?
Czy gromadzisz informacje o udanych atakach i na ich podstawie zwiększasz własne kompetencje?
Czy regularnie analizujesz raporty o bezpieczeństwie IT?
Czy współpracujesz z innymi placówkami medycznymi w zakresie wymiany informacji o zagrożeniach?
14. Inwestycje w podnoszenie cyberbezpieczeństwa:
Czy placówka medyczna ma wydzielony budżet celowy na ochronę danych?
Czy monitorowane są aktualne oferty szkoleń dla ochrony zdrowia oraz programy dofinansowania cyberbezpieczeństwa?
Czy inwestujesz w nowoczesne technologie bezpieczeństwa?
Czy analizujesz zwrot z inwestycji w rozwiązania z zakresu bezpieczeństwa danych?
Jeśli odpowiedziałeś „nie” na którekolwiek z powyższych pytań, koniecznie skontaktuj się z nami, aby lepiej chronić dane zarówno pacjentów, jak i personelu swojej jednostki oraz nie narażać się na kontrole organów nadzorczych z powodu dyrektywy NIS 2!
Ta strona korzysta z ciasteczek. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. ZGODAPolityka prywatności
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are as essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
