Spółka Mediporta przedłuża certyfikat ISO w zakresie bezpieczeństwa informacji oraz rozwijania i utrzymywania systemów informatycznych

Pragniemy poinformować, że w wyniku przeprowadzonego audytu Spółka Mediporta przedłużyła certyfikat potwierdzający zgodność z normą ISO/IEC 27001:2013 (międzynarodowa norma standaryzująca systemy zarządzania bezpieczeństwem informacji), wydany przez jednostkę certyfikującą SGS Polska Sp. z o.o.

Celem przeprowadzonego audytu było określenie zgodności systemu zarządzania wdrożonego w Spółce Mediporta z kryteriami audytu oraz jego:

• zdolności do zapewnienia, że mające zastosowanie wymagania prawne, regulacyjne i umowne zostały spełnione,
• skuteczności w zapewnieniu, że Spółka jest w stanie w uzasadniony sposób osiągać określone cele,
• zdolności do identyfikowania obszarów do doskonalenia.

Zespół niezależnych audytorów stwierdził, że Spółka Mediporta ustanowiła i utrzymuje wdrożony system zarządzania zgodnie z wymaganiami ww. normy oraz wykazuje zdolność do systematycznego spełniania ustalonych wymagań dla wyrobów i usług zgodnie z zakresem certyfikacji oraz celami i polityką organizacji.

Zakres certyfikacji dla Spółki Mediporta obejmuje:

• projektowanie i instalowanie nowych systemów informatycznych i nadzorowanie baz danych,
• produkcję, dostarczanie, uruchamianie, szkolenia i wdrażanie systemów informatycznych Kamsoft,
• utrzymywanie systemów informatycznych i realizację stałego serwisu eksploatacyjnego,
• świadczenie usług doradczych w zakresie IT.

Czym jest norma ISO?

Norma ISO/IEC 27001:2013 jest zbiorem praktyk, podzielonych na kilkanaście obszarów, które wpływają na bezpieczeństwo informacji w organizacji. Wśród nich są m.in.:

• polityka bezpieczeństwa,
• zarządzanie aktywami i zasobami,
• bezpieczeństwo zasobów ludzkich oraz bezpieczeństwo fizyczne i środowiskowe,
• organizacja bezpieczeństwa informacji,
• zarządzanie systemami i sieciami,
• kontrola dostępu,
• zarządzanie ciągłością działania,
• zarządzanie incydentami związanymi z bezpieczeństwem informacji itd.

Norma stanowi podstawę rozwiązania związanego z bezpieczeństwem informacji, jakim jest standard SZBI (System Zarządzania Bezpieczeństwem Informacji). SZBI to podejście systemowe określające w sposób kompleksowy kwestię zarządzania poszczególnymi aktywami informacyjnymi, infrastrukturą wykorzystywaną do ich przetwarzania oraz ryzykiem związanym z bezpieczeństwem informacji. Szerokie spektrum ustanowionych, wdrożonych, stale monitorowanych, weryfikowanych i udoskonalanych zabezpieczeń w ramach SZBI, ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa informacji oraz ciągłości działania organizacji i realizowanych przez nią procesów biznesowych. Na koniec warto dodać, że norma ISO/IEC 27001:2013 stanowi niekwestionowany wzorzec rzetelnego podejścia do zapewnienia bezpieczeństwa informacji, w tym ochrony danych wrażliwych.

Certyfikacja ISO, a przepisy RODO

Cechą charakterystyczną dla regulacji zawartych w RODO jest wprowadzenie zasady, w świetle której celem zwiększenia przejrzystości i poprawy przestrzegania Rozporządzenia, rekomenduje się między innymi ustanowienie mechanizmów certyfikacji w dziedzinie ochrony danych. Dzięki temu możliwa jest szybka ocena stopnia ochrony danych, w związku ze świadczonymi przez daną organizację usługami i produktami. Stanowi o tym między innymi motyw nr 100 ogólnego rozporządzenia o ochronie danych.

Spółka Mediporta w relacji z klientami, świadcząc usługi informatyczne i udostępniając oprogramowanie w modelu usługowym SaaS (Software as a Service), wdrażając System Zarządzania Bezpieczeństwem Informacji (zgody z normą ISO/IEC 27001:2013 ) objęła nim szereg procesów związanych z przetwarzaniem danych w tym także te, które są związane z RODO. Są to procesy dotyczące przetwarzania danych, wobec których Spółka Mediporta występuje zarówno w roli administratora danych (ADO), jak i podmiotu przetwarzającego dane (procesora), których administratorem jest określony klient (o rolach w procesie przetwarzania danych pisaliśmy w jednym z wcześniejszych artykułów na naszym blogu). Proces dostosowywania do przepisów RODO oraz monitorowanie i wdrażanie zaleceń wynikających z wprowadzenia rozporządzenia w życie przebiega w Spółce Mediporta równolegle w dwóch obszarach.

1. Pierwszym obszarem jest analiza ryzyka związanego przetwarzaniem danych osobowych i medycznych w systemie Mediporta. Skutkiem tego jest dobór odpowiednich mechanizmów zabezpieczających oraz chroniących dane osobowe i medyczne pacjentów, które są przetwarzane w systemie.
2. Drugim, równie ważnym obszarem jest analiza ryzyka związanego z zabezpieczeniem danych osobowych w obrębie firmy Mediporta, która w celu zapewnienia odpowiedniego poziomu świadczonych usług (określonych w umowie) oprócz danych przetwarzanych w systemie, przetwarza również dane osobowe swoich klientów.

Zarówno w pierwszym, jak i w drugim przypadku, efektem analizy (która uwzględnia źródło, charakter, prawdopodobieństwo i wagę zagrożenia) jest dobór odpowiednich środków organizacyjnych i technicznych, w celu odpowiedniego zabezpieczenia przetwarzanych danych.

Zwracamy jednak uwagę, iż zapewnienie bezpieczeństwa informacji i danych oraz tworzonego oprogramowania należy rozumieć i traktować, jako proces ciągły, mający na celu dostosowanie się do stale zmieniających się uwarunkowań i przepisów, a nie jako spełnienie zamkniętego katalogu określonych wymagań. Obecnie taki „zamknięty katalog wymagań” nie istnieje, albowiem RODO prezentuje podejście dotyczące ochrony danych osobowych oparte o szacowanie ryzyka w konkretnych stanach faktycznych (kontekstach) i uwzględniające kwestie zarówno samej ochrony danych, jak również przydatności i ergonomii oferowanych rozwiązań.

Certyfikacja ISO jest więc potwierdzeniem, że dana firma spełnia wymogi RODO w obszarze bezpieczeństwa informacji, ale też wymaga od niej ciągłego podnoszenia standardów obsługi procesów dotyczących przetwarzania danych wrażliwych. Ciągłe podnoszenie bezpieczeństwa jest zapewnione m.in. przez charakter certyfikatu, który wymusza cykliczne audyty przedsiębiorstwa zarówno przez wewnętrznych, jak i zewnętrznych – niezależnych audytorów.

Co oznacza otrzymanie certyfikatu przez Mediportę dla jej klientów?

Otrzymanie i stałe utrzymywanie certyfikacji na zgodność z normą ISO/IEC 27001:2013, weryfikowaną przez niezależny podmiot trzeci, stanowi gwarancję dla klientów Mediporty, iż powierzone Spółce dane osobowe są zabezpieczone w sposób należyty i przetwarzane w sposób zgodny nie tylko z umową powierzenia i przepisami prawa (w tym z RODO ), lecz również w sposób zgodny z uznanymi i niekwestionowanymi normami dotyczącymi bezpieczeństwa informacji (w tym danych osobowych). Wypracowane i stosowane przez nasz zespół procedury, pozwalają zminimalizować ryzyko wystąpienia incydentu związanego z bezpieczeństwem informacji naszych klientów, jak również narzucają rygorystyczne normy i zasady związane z koordynacją pracy w organizacji, w dwóch wymiarach:

• fizycznym – odpowiednie zabezpieczenie budynku i stanowisk pracy,
• informatycznym – odpowiednie zabezpieczenia systemowe i kontrola dostępu do zasobów informatycznych.

W praktyce oznacza to np., że przesłanie do Spółki Mediporta danych wrażliwych w sposób nieodpowiedni będzie skutkowało ich odrzuceniem, z uwagi na wewnętrzne procedury dotyczące przetwarzania i ochrony danych (o prawidłowym przesyłaniu danych wrażliwych pisaliśmy w jednym z wcześniejszych artykułów na naszym blogu).

Konsekwentne egzekwowanie przez pracowników Mediporty norm i zasad związanych z bezpieczeństwem danych, gwarantuje wysoki poziom zabezpieczeń i ochrony danych klientów, a otrzymanie certyfikatu potwierdza, że Spółka Mediporta przetwarza dane w sposób zgodny z wdrożonym Systemem Zarządzania Bezpieczeństwem Informacji i normą ISO/IEC 27001:2013.

Certyfikat jednocześnie potwierdza, że Spółka zarówno jako podmiot przetwarzający dane, jak i administrator danych swoich klientów, spełnia zalecenia i rekomendacje dotyczące bezpieczeństwa i ochrony danych wynikające z RODO.

Podsumowanie

Wdrożony, utrzymywany i doskonalony System Zarządzania Bezpieczeństwem Informacji (SZBI), zgodny z otrzymaną przez Spółkę Mediporta normą ISO/IEC 27001:2013, jak również analiza ryzyka przeprowadzona w ramach RODO, pozwalają z optymizmem ocenić podejście organizacji do zagadnień związanych z bezpieczeństwem i ochroną danych. To z kolei przekłada się na solidne podstawy działalności firmy i zaufanie jej klientów, w obszarze związanym z przetwarzaniem szczególnego typu danych, jakimi są dane osobowe i medyczne pacjentów.

Wśród najważniejszych działań w obszarze bezpieczeństwa informacji i ochrony danych, przeprowadzonych przez Spółkę Mediporta, są m.in.:

• wdrożenie i utrzymywanie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z normą ISO/IEC 27001:2013,
• przeprowadzenie analizy ryzyka związanego z przetwarzaniem danych w ramach RODO,
• stały monitoring i wdrażanie zaleceń dotyczących RODO,
• stały monitoring rekomendacji dotyczących bezpieczeństwa publikowany przez serwis ezdrowie.gov.pl oraz Centrum e-Zdrowia,
• cykliczne szkolenia wewnętrzne dla pracowników Spółki Mediporta, mające na celu poszerzenie wiedzy na temat ryzyka związanego z bezpieczeństwem i ochroną danych wrażliwych.