לשיחה עם מומחה

ייעוץ ליווי והסמכה לתקינה

ISO 27799 – תקן אבטחת מידע לארגוני בריאות

ארגוני בריאות מטפלים במידע רגיש במיוחד, מידע קליני, תפעולי ואישי, שעובר בין מערכות, צוותים וספקים. באינפוגארד אנו מספקים ליווי מקצועי ליישום ISO 27799, כדי לבנות שליטה עקבית בהגנה על מידע רפואי לאורך כל מחזור החיים שלו, כולל בסביבות ענן והיברידיות.

התוצאה היא תשתית נהלים ובקרות שמבוססת ניהול סיכונים, תומכת בדרישות לקוח ורגולציה, ומאפשרת למדוד שיפור לאורך זמן.

המטרה היא להגיע ליישום ולהסמכה ל-ISO 27799 בצורה מסודרת, יעילה ומוכחת, כך שהתהליך לא מסתיים רק בתעודה, אלא מייצר נהלים, תרבות ומערכת ISMS שעובדת בפועל לאורך זמן השומרת על ביטחון הלקוחות הספקים והארגון.

ISO 27799  – תקן אבטחת מידע רפואי בארגון

תקן ייעודי לבריאות שמתרגם בקרות אבטחת מידע להגנה ישימה על מידע קליני ואישי

ארגוני בריאות מטפלים במידע רגיש במיוחד שעובר בין מערכות קליניות, צוותים וספקים – ולכן נדרש סט בקרות שמותאם לעולם הבריאות, ולא רק “מדיניות על הנייר”. ISO 27799 מספק בקרות והנחיות יישום לארגוני בריאות על בסיס ISO/IEC 27002:2022, כולל התייחסות גם למערכות ייעודיות כמו רשומה רפואית ומכשור רפואי, ובין אם המידע נשמר On-Prem או בענן.

ליווי להסמכה ISO 27799 דורש: הגדרת היקף, מיפוי זרימות מידע, ניהול סיכונים, הטמעת בקרות ותיק ראיות לביקורות. בישראל התקין מתחבר ישירות לדרישות משרד הבריאות, שמחייבות מוסדות בריאות לעמוד בת״י 27799 כתנאי רישוי, ומ-1.1.2016 לבצע התקשרויות רק עם ספקים שעומדים ב-ISO 27001 או ISO 27799.

מהו ISO 27799?

ISO 27799 הוא תקן אבטחת מידע בתחום הבריאות ומהווה סטאנדרט אבטחת מידע.

ISO 27799 הוא תקן בתחום ה Health Informatics שמספק בקרות והנחיות לניהול אבטחת מידע בארגוני בריאות ובגופים שמטפלים במידע בריאותי.

התקן מוגדר כתקן נלווה ל ISO/IEC 27002, והוא נועד לסייע בבחירה, יישום וניהול של בקרות, בהתאם לסביבת הסיכון של הארגון. בגרסה העדכנית, התקן מבוסס על ISO/IEC 27002:2022 ומציג גם הנחיות יישום ייעודיות לתחום הבריאות.

ISO 27799 הוא תקן ייעודי לבריאות שמרחיב את יישום ISO/IEC 27002 לעולמות אבטחת מידע בתחום הרפואי.

עבור מי ISO 27799 רלוונטי?

לא רק בתי חולים, גם ספקים ונותני שירות שנוגעים במידע בריאותי נדרשים לתקן כסטנדרט בתעשייה

ISO 27799 מתאים לארגוני בריאות, לקופות, למכוני אבחון, לרשתות מרפאות ולגופים המטפלים במידע בריאותי אישי,
וכן לספקי טכנולוגיה ושירות שמחזיקים או מעבדים מידע רפואי כחלק מהשירות.

התקן מסייע לייצר שפה אחידה של בקרות, אחריות ותיעוד, במיוחד כשעובדים עם מערכות קליניות, פתרונות SaaS ושרשראות אספקה מורכבות.

המרכיבים המרכזיים של ISO 27799

חמשת העקרונות המרכזיים של התקן:

  1. Foundation (יסודות התקן): ISO 27799 משמש כתקן משלים (Companion Standard) ל-ISO/IEC 27002 ומותאם ל-Health Informatics, תוך מתן הנחיות יישום מעשיות (Implementation Guidance) לבקרות אבטחת מידע.
  2. Scope (היקף התחולה): התקן חל על כל סוגי ה-Health Information, כולל מידע דיגיטלי, מסמכים מודפסים, תמונות והקלטות.
  3. Goal (מטרת התקן): הגנה על נתוני מטופלים מפני Security Breaches, גישה לא מורשית (Unauthorized Access) ומתקפות סייבר, תוך תמיכה בעמידה ברגולציה כגון GDPR (Regulatory Compliance).
  4. Risk Management (ניהול סיכונים): מיקוד בהערכה וניהול סיכונים (Assessing and Managing Risks) סביב אבטחת מידע רפואי, כדי לתעדף בקרות ולהפחית חשיפה.
  5. Key Requirements (דרישות מרכזיות): הקמת Security Policies, הקשחת סביבות IT, ניהול Access Rights, וביצוע Internal Audits כחלק ממנגנון בקרה ושיפור מתמיד.

מדוע זה יכול ליות חשוב עסקית לכם עסקית?

אמון, רציפות טיפול, וצמצום סיכון שמגיע עם מערכות קריטיות ומידע רגיש.

יישום ISO 27799 מסייע לארגון לצמצם סיכוני דליפה, שיבוש ושימוש לא מורשה במידע רפואי, לשפר מוכנות לאירועי סייבר, ולהציג ללקוחות ולשותפים תשתית בקרה עקבית.

עבור גופים רפואיים, זה משפיע ישירות גם על רציפות שירות, זמינות מערכות קריטיות, ויכולת עבודה בטוחה עם ספקים חיצוניים.
עבור גופים טכנולוגיים וספקים התקן מהווה תנאי התקשרות.

מהו הקשר בין ISO 27799 ל ISO 27001 ו ISO 27002

תקן ייעודי לבריאות שמספק בקרות והנחיות יישום להגנה על מידע רפואי, על בסיס ISO/IEC 27002.

  • ISO 27001 מספק את מסגרת הניהול
  • ISO 27002 מספק הנחיות ופרקטיקות מומלצות Best Practices ושיטות הבקרות
  • ISO 27799 מוסיף שכבת בריאות ייעודית

בארגונים רבים ISO 27001 משמש בסיס למערכת ניהול אבטחת מידע (ISMS), בעוד ISO 27002 מספק ספר בקרות והנחיות יישום.
ISO 27799 משתלב מעליהם ומתרגם את בקרות 27002 לעולם הבריאות, עם דגשים שמותאמים לטיפול במידע בריאותי ולסיכונים אופייניים בסביבות קליניות ותפעוליות.
כך ניתן לבנות תכנית אחת שמשרתת גם ניהול ISMS, גם מוכנות לביקורות לקוח, וגם דרישות ייעודיות במגזר הבריאות.

ISO 27799 הוא תקן שמתרגם את עולם בקרות אבטחת המידע לסביבה רפואית, ומספק לארגוני בריאות סט בקרות והנחיות יישום שמותאמות למאפייני מידע בריאותי ולסיכונים אופייניים במערכות קליניות ותפעוליות. הוא נועד לסייע בבחירה, יישום וניהול בקרות תוך התייחסות לסביבת הסיכון של הארגון, והוא מוגדר כמבוסס על ISO/IEC 27002, עם דגשים והרחבות לעולמות הבריאות.
בנוסף, התקן יכול לשמש ארגוני בריאות בקביעת ויישום בקרות בתוך ISMS שעומד ב ISO/IEC 27001, כחלק מתהליך שיטתי של ניהול סיכונים, יישום בקרות, תיעוד ושיפור מתמיד.

בפועל, Key Aspects של ISO 27799 מתבטאים באותם תחומי ליבה שמוכרים מעולם 27002, רק עם התאמה למערכות, תהליכים וספקים בתחום הבריאות:

  1. מדיניות אבטחת מידע (Information Security Policies)
  2. ממשל וארגון אבטחת מידע (Organization of Information Security)
  3. אבטחת משאבי אנוש (Human Resource Security)
  4. ניהול נכסי מידע וסיווג (Asset Management)
  5. בקרות גישה והרשאות (Access Control)
  6. קריפטוגרפיה והצפנה (Cryptography)
  7. אבטחה פיזית וסביבתית (Physical and Environmental Security)
  8. אבטחה תפעולית (Operations Security)
  9. אבטחת תקשורת ורשת (Communications Security)
  10. אבטחה ברכש, פיתוח ותחזוקת מערכות (System Acquisition, Development and Maintenance)
  11. ניהול ספקים וצדדים שלישיים (Supplier Relationships)
  12. ניהול אירועי אבטחת מידע (Information Security Incident Management)
  13. המשכיות עסקית והתאוששות (Business Continuity Management)
  14. ציות ועמידה בדרישות (Compliance)

מה בודקים ומיישמים במסגרת ISO 27799

המיקוד הוא בשליטה במידע רפואי, זהויות והרשאות, תפעול מאובטח וניהול ספקים.

יש לבסס את הפרויקט על מיפוי סיכונים ונכסי מידע, ולאחר מכן מיישמים בקרות רלוונטיות לתחום הבריאות, לדוגמה:

  • מיפוי זרימות מידע רפואי בין מערכות, יחידות, ספקים ושירותי ענן
  • סיווג מידע והגדרת כללי טיפול במידע רפואי לפי רגישות ושימוש
  • הרשאות וזהויות: תפקידים, גישה מינימלית, הפרדת תפקידים, חשבונות שירות
  • ניהול ספקים והתקשרויות, כולל דרישות אבטחה ובקרות תפעוליות מול צד ג’
  • ניטור ולוגים, טיפול באירועים ותהליכי תגובה מתואמים
  • הקשחות, גיבויים, התאוששות, והגנות זמינות סביב מערכות קריטיות
  • הדרכות והטמעת נהלים לצוותים רלוונטיים בארגון

איך נראה תהליך ליווי בהסמכה ל-ISO 27799?

תהליך מקצה לקצה שמסתיים בהסמכה, בתשתית ישימה ובתיק תוצרים שניתן לבקר.

  1. Scoping והגדרת גבולות: מערכות, תהליכים, סביבות, ספקים ונכסי מידע רפואי
  2. Gap Analysis מול בקרות ISO 27799 ותעדוף לפי סיכון והשפעה
  3. תכנית עבודה וסגירת פערים: נהלים, בקרות, הרשאות, ניטור ותהליכים
  4. יישום והטמעה: עבודה משותפת עם IT, אבטחה, תפעול, וספקים
  5. בנייה של תיק תיעוד וראיות: מדיניות, נהלים, רישומים, דוחות ובקרות
  6. הכנה לביקורת: סימולציית שאלות, בדיקת ראיות, והקשחת תהליכי בקרה

תוצרים אופייניים בפרויקט

מה אתם צרכים לקבל בפועל כדי להפעיל ולתחזק את התקן.

  • מפת נכסי מידע רפואי וזרימות מידע
  • דו״ח פערים ותכנית Remediation מתועדפת
  • סט נהלים ומדיניות, כולל ניהול הרשאות, ספקים, אירועים והמשכיות
  • מטריצת בקרות: בעלים, תדירות, ראיות, KPI
  • תיק ראיות לביקורת פנימית וחיצונית
  • תכנית הדרכות ותיעוד הטמעה

 

מוכנים ל-ISO 27799? כך מתחילים נכון

מיפוי מידע, תיעדוף סיכונים ותוכנית יישום שמחזיקה בביקורות וברגולציה

אם אתם שוקלים הסמכה ל-ISO 27799 או רוצים לחזק את ההגנה על מידע רפואי גם בלי “לרוץ לתעודה”, נכון להתחיל במיפוי מדויק: אילו סוגי מידע בריאותי אתם מנהלים, היכן הוא נשמר ונע בין מערכות, מי נחשף אליו בפועל, ומה התלות שלכם בספקים, ענן וממשקי צד ג’. משם בונים מסלול יישום ריאלי הכולל הגדרת Scope, תיעדוף פערים לפי סיכון והשפעה על רציפות טיפול, והקמה של תיק תוצרים וראיות שמחזיק בביקורות, בשאלוני ספקים ובדרישות רגולציה.

אנחנו תומכים בארגונים במגוון סקטורים וורטיקלים בתהליכי ייעוץ, ליווי והסמכה לתקני אבטחת מידע, כך שהתהליך לא נשאר פרויקט נקודתי, אלא הופך לשגרה ניתנת למדידה שמצמצמת חשיפה לאורך זמן.

Share
יצירת קשר

שלחו לנו הודעה ונדאג לחזור אליכם בהקדם.

  • כל המאמרים, סקרי סיכונים

5 דק׳ קריאה

סניטריזציה והלבנת קבצים (CDR): להפוך "קובץ נכנס" לקובץ בטוח

קבצים נכנסים מגיעים ממייל, הורדות, העברות ו-USB, ולכולם יש פוטנציאל לשאת קוד זדוני שמופעל ברגע פתיחה. הגישה “detection-less”, שבה מנגנון CDR מאמת את מבנה הקובץ ברמת הבינארי, מנטרל רכיבים זדוניים
קראו עוד
  • אבטחת מידע, כל המאמרים, סקרי סיכונים

5 דק׳ קריאה

סקרי ציות

ארגונים רבים כגון בתי השקעות, בנקים וגופים נוספים תלויים במתן רישיונות ובפיקוח שוטף של רגולציה כזו או אחרת מצד הרגולטור. הוראות החוק הינן נוקשות, כמו גם החוזרים והנחיות הרגולטור. בד

קראו עוד
computer with a lock
  • אבטחת מידע, כל המאמרים

5 דק׳ קריאה

אבטחת מידע ושירותי סייבר לעסקים

התקפות הסייבר – פריצות לרשת המחשוב הארגונית המגיעות מכיוון האינטרנט – הפכו נפוצות מאוד בשנים האחרונות ומכוונות היום לכל עסק המחובר לרשת האינטרנט ולא משנה מה גודלו. פריצה לרשת המחשוב

קראו עוד

כל השירותים

שירותים נוספים שיכולים לעניין אותך
GRC

GRC – Governance, Risk & Compliance

עם שירות ה-GRC של Infoguard תהפכו דרישות תקינה ורגולציה לשגרה מנוהלת: סיכונים מתועדפים, בקרות עובדות, ו-Evidence שמוכיח עמידה בכל ביקורת.
מידע נוסף
אייקון תעודת מבחן

סקר הקשחות אבטחת מידע

סקר הקשחות לתשתיות, ענן, שרתים ועמדות קצה, כולל Application Security Assessment. דוח ממצאים ותכנית תיקון ישימה.
מידע נוסף
אייקון תעודת מבחן

סקרים באבטחת מידע והגנת הפרטיות

מגוון סקרי סקירה והערכה של אינפוגארד: הקשחה, תשתיות, ענן, אפליקציות ופרטיות, לבניית תמונת מצב ותכנית פעולה.
מידע נוסף

שירותי הגנה ותקיפה

כל שירותי אבטחת המידע, שלנו באינפוגארד. מסקרי הקשחה והערכות סיכונים, תקינה ורגולציה, ועד תרגולים ומבדקי חדירה, אנחנו כאן לספק את הפתרון המדוייק לארגון שלכם.
מידע נוסף
אייקון תעודת מבחן

סקר פערים Security GAP Assessment באבטחת מידע וסייבר

סקר פערים (GAP) באבטחת מידע מציג איפה אתם עומדים מול דרישות יעד, ומה צריך לסגור – עם תעדוף ותוכנית עבודה ישימה.
מידע נוסף

SOC As A Service – מוקד מנוהל לאיומים סייבר

SOC as a Service של אינפוגארד מעניק מוקד SOC מנוהל שמנטר, מנתח ומתעדף אירועי סייבר, עם עבודה על גבי המערכות שלכם ותוצרים מדידים.
מידע נוסף

בדיקת חדירה תשתיתית Infrastructure Penetration Testing

בדיקת חדירה תשתיתית שמדמה תקיפה אמיתית כדי לגלות איך אפשר להיכנס לרשת, להתקדם פנימה ולהגיע לנכסים קריטיים ומה לתקן קודם.
מידע נוסף
WALL ICON

בדיקת חדירה אפליקטיבית Application Penetration Testing

Application Penetration Testing מבדק חדירה אפליקטיבי שמגלה חולשות ניתנות לניצול באפליקציות Web/API ומתרגם אותן לתכנית תיקון יעילה וישימה.
מידע נוסף
אייקון הדרכות

BCP – Business Continuity Plan

שירות BCP של Infoguard בונה תוכנית המשכיות עסקית ישימה, מתורגלת ומדידה שמחברת אנשים, תהליכים וטכנולוגיה לרציפות אמיתית בזמן שיבוש.
מידע נוסף
ISO 27002 ICON

ISO 27002 – תקן הנחיות אבטחת מידע

באינפוגארד אנו מלווים ארגונים ביישום ISO/IEC 27002:2022, בבניית בקרות, נהלים ותיק ראיות, ובחיבור התהליך למסלול הסמכה של ISO/IEC 27001 לפי הצורך
מידע נוסף

SIEM SOC מנוהל – ניטור ותגובה לאיומים סייבר

שירות SIEM/SOC מנוהל שמתרגם לוגים והתראות ליכולת תפעולית אמיתית של ניטור, תחקור ותגובה, עם אפשרות לניהול כל מערכת SIEM באמצעות צוות אנליסטים מקצועי.
מידע נוסף
ISO ICON

ISO Compliance – תקינה בעולמות אבטחת המידע

ייעוץ וליווי לתקני ISO/IEC באבטחת מידע במגוון סקטורים: בחירת התקן הנכון, יישום בקרות וניהול סיכונים, והיערכות לביקורות ולהסמכה.

מידע נוסף
ISO 27001

ISO 27001 – תקן לניהול אבטחת מידע

המטרה שלנו ב-Infoguard היא להוביל את הארגון להסמכה לתקן ISO 27001 בצורה מסודרת, יעילה ומוכחת, עם תהליך שמסתיים לא רק בתעודת הסמכה, אלא בנהלים, תרבות ומערכת ISMS שעובדת בפועל.
מידע נוסף
ccpa cpra - ICON

CCPA | CPRA – מדיניות הגנת הפרטיות בקליפורניה

CCPA/CPRA הם סטנדרט שוק בקליפורניה בנושאי תקנות וחוקי הגנה על הפרטיות ומהווים כוכב צפון גלובלי.
מידע נוסף
PIA ICON

PIA – תסקיר פרטיות למיפוי וניהול סיכונים

תסקיר פרטיות (PIA) של Infoguard הוא הדרך הפרקטית לזהות ולצמצם סיכוני פרטיות בעיבוד מידע אישי – עם דו״ח ותכנית פעולה ישימה שמוכנים גם לביקורת וגם להטמעה.
מידע נוסף

DPO as a Service – הגנת פרטיות במיקור חוץ

שירות DPO במיקור חוץ של אינפוגארד לניהול פרטיות מקצה לקצה: ממשל ותיעוד, ספקים והעברות מידע, הדרכות ובקרה רציפה, בהתאמה לתיקון 13 ו GDPR.
מידע נוסף
הגנת הפרטיות תיקון 13 אייקון

חוק הגנת הפרטיות ותיקון 13

Infoguard עוזרת לארגונים לעמוד בתיקון 13 בצורה יישומית ומוכנה לאכיפה – עם מיפוי, מדיניות פרטיות, DPO, נהלים והטמעה תפעולית.
מידע נוסף

Cyber Security Services for organizations

שירותי אבטחת מידע וסייבר לעסקים: הגנה היקפית, ניטור והתראה, הצפנה, מבדקי חדירה (Pen Testing), פישינג ומודעות עובדים, וייעוץ טכנולוגי להטמעת מערכות הגנה.

מידע נוסף
WALL ICON

Penetration Testing – מבדקי חדירה

מבדקי חדירה Pen Testing / Penetration Testing לתשתיות, אפליקציות וענן. סימולציית תקיפה אמיתית, דוח מנהלים, ממצאים לפי חומרה והמלצות ישימות. אינפוגארד.
מידע נוסף
אייקון הדרכות

Phishing – הדרכות ותרגילי פישינג

פישינג הוא עדיין הדרך המהירה ביותר לחדור לארגון דרך העובדים. אנחנו באינפוגארד מפעילים הדרכות ותרגולי פישינג מתקדמים שמדמים תרחישי אמת אצלכם, מודדים תוצאות ומשפרים התנהגות לאורך זמן.
מידע נוסף
אייקון הדרכות

מודעות עובדים לאבטחת מידע

אנחנו באינפוגארד בונים ומעבירים הדרכות מודעות עובדים שמחזקות את קו ההגנה הראשון בארגון. אנחנו משלבים הדרכה פרונטלית ותכני E-Learning עם סימולציות פישינג ותרגול מצבי אמת, כדי לצמצם טעויות אנוש ולשפר דיווח מהיר. לאורך הדרך אנחנו מודדים מגמות, מזהים נקודות חולשה חוזרות ומבצעים התאמות שמייצרות שיפור עקבי. בסוף אתם מקבלים תכנית מודעות מסודרת, תוצאות מדידות ותרבות אבטחה חזקה יותר.
מידע נוסף
אייקון תעודת מבחן

סקר סיכוני אבטחת מידע

אנחנו באינפוגארד מבצעים סקר סיכונים וסקר פערים לאבטחת מידע, מקצה לקצה.
אנחנו ממפים חולשות, מדרגים סיכון, ומתרגמים הכול לתכנית עבודה ישימה.
אתם מקבלים דוח ברור, סדר עדיפויות, וליווי עד סגירת פערים.
מידע נוסף

ייעוץ אבטחת מידע לפי דרישה

ייעוץ אבטחת מידע ופרטיות לפי דרישה עם תוצרים וליווי עד יישום בפועל.
מידע נוסף

CISO as a Service – ניהול אבטחת מידע במיקור חוץ

מנהל אבטחת מידע במיקור חוץ עם אחריות כוללת, תוכנית עבודה, ניהול סיכונים וליווי תקנים. התחילו בשיחת מיפוי ראשונית.

מידע נוסף
medal- 1 ICON

NIST CSF ו-NIST 800-171

ליווי לעמידה ב-NIST CSF ו-NIST 800-171 לשוק הפדרלי בארה״ב: מיפוי CUI, סקר פערים, הטמעת בקרות ואיסוף Evidence לביקורת.
מידע נוסף
אייקון תעודת מבחן

SOC 2 – תקן אמריקאי לבקרה על אבטחה מידע והגנת פרטיות

שירותי SOC 2 של Infoguard מספקים מסלול מוכנות מקצה לקצה, עם בקרות, תיעוד ו-Evidence מסודר שמאפשרים להיכנס לביקורת בביטחון ולהציג ללקוחות הוכחה ברורה לניהול סיכונים.
מידע נוסף
HIPPA ICON

HIPPA – הגנת פרטיות ואבטחת מידע לארגוני בריאות בארה"ב

שירות HIPAA של Infoguard מספק ליווי מקיף לבניית תהליכים, בקרות ותיעוד להגנה על PHI/ePHI ולהיערכות לתגובה ודיווח לאירועים, בהתאם לדרישות השוק האמריקאי.
מידע נוסף
אייקון pci dss

PCI DSS – דרישות אבטחה וסליקה של חברות אשראי

ליווי מקצועי לעמידה בתקן PCI DSS – ממילוי SAQ שנתי ועד הכנה לאימות/הסמכה, עם מיפוי פערים, תכנית סגירה ותמיכה מלאה לאורך התהליך.
מידע נוסף
GDRP ICON

GDPR – תקנות הגנת הפרטיות של האיחוד האירופי

שירות GDPR של Infoguard מספק ליווי מקצה לקצה להפיכת דרישות ה-GDPR לתהליכים, מסמכים ובקרות מעשיות שמייצרות מנגנון הגנה על פרטיות לאורך זמן.
מידע נוסף
לשיחה עם מומחה