مختصری درباره کتاب
محافظت از اطلاعات بیماران و کارکنان مراکز بهداشتی و درمانی و فراهم آوری امنیت در این مراکز، بر اساس استانداردهای ملی
امروزه امنيت اطلاعات سلامت و محافظت از حريم خصوصي بيماران، بزرگترين چالش در عصر نظام هاي سلامت الكترونيك محسوب شده و حفاظت از اطلاعات سلامت در مقابل دسترسي غيرمجاز، خرابكاري و افشا، امري ضروري و اجتناب ناپذير به شمار مي رود. از اين رو، امنيت دارايي هاي اطلاعاتي سلامت براي تمامي سازمان هاي بهداشت و درمان، مسأله اي حياتي بوده و مستلزم يك مديريت اثربخش است.
اين كتاب با توجه به اهميت موارد ذكر شده، راهنمايي هاي لازم را براي فراهم آوري صحت و تماميت اطلاعات سلامت، بر اساس استانداردهاي ملي ايران ارايه مي کند.
سایر اطلاعات
شناسنامه کتاب
نویسنده: محمد مهدی واعظی نژاد
تعداد صفحات: 328 صفحه
سال چاپ: 1391
شماره شابک: 978-964-04-9289-5
مقدمه کتاب
امروزه امنيت اطلاعات سلامت و محافظت از حريم خصوصي بيماران، بزرگترين چالش در عصر نظام هاي سلامت الكترونيك محسوب شده و حفاظت از اطلاعات سلامت در مقابل دسترسي غيرمجاز، خرابكاري و افشا، امري ضروري و اجتناب ناپذير به شمار مي رود. از اين رو، امنيت دارايي هاي اطلاعاتي سلامت، براي تمامي سازمان هاي بهداشت و درمان، مسئله اي حياتي بوده و مستلزم يك مديريت اثربخش مي باشد.
فراهم آوري صحت و تماميت اطلاعات سلامت، به گونه اي كه در زمان مناسب، اطلاعات در دسترس افراد مجازي قرار بگيرد كه نيازمند آن مي باشند عاملي است كه منجر به اثربخشي كسب و كار و حفظ حريم خصوصي بيماران مي گردد. به همين منظور، استانداردهاي خانواده سامانه مديريت امنيت اطلاعات، شامل استانداردهاي ملي ايران به شماره هاي 27000 (فناوري اطلاعات – فنون امنيتي – سامانه هاي مديريت امنيت اطلاعات – مرور كلي و واژگان)، 27001 (فناوري اطلاعات – فنون امنيتي – سامانه هاي مديريت امنيت اطلاعات – الزام ها)، 27002 (فناوري اطلاعات – فنون امنيتي – آيين كار مديريت امنيت اطلاعات) و 13220 (فناوري سلامت – مديريت امنيت اطلاعات سلامت با استفاده از استاندارد ايران – ايزو – آي اي سي 27002) مي توانند سازمان هاي حفظ سلامت را در تحقق اين اهداف، ياري نمايند.
انتظار مي رود كه سازمان هاي ايراني متولي حفظ سلامت و بهداشت به خصوص بيمارستان ها، بهداري ها، مراكز بهداشتي درماني و كلينيك ها با طراحي و استقرار سامانه مديريت امنيت اطلاعات بر اساس استانداردهاي ملي كشورمان و همچنين راهنمايي هاي اين كتاب، بتوانند از منافع رويكردي مؤثر در امنيت فناوري اطلاعات سلامت، بهره مند گشته و امنيتي پايدار را براي مردم عزيز كشورمان و به خصوص بيماران فراهم نمايند.
فهرست مطالب
ردیف |
عنوان |
|
|
سخني با خوانندگان |
|
i |
پيش گفتار |
|
ii |
مروركلي |
|
iii |
هدف و دامنه كاربرد |
|
a |
هدف و دامنه كاربرد استاندارد ملي ايران به شماره 27000 |
|
b |
هدف و دامنه كاربرد استاندارد ملي ايران به شماره 27001 |
|
c |
هدف و دامنه كاربرد استاندارد ملي ايران به شماره 27002 |
|
d |
هدف و دامنه كاربرد استاندارد ملي ايران به شماره 13220 |
|
iv |
سازگاري با ساير سيستم هاي مديريتي |
|
v |
مراجع الزامي |
|
1 |
اصطلاح ها و تعريف ها |
|
2 |
اطلاعات |
|
2-1 |
امنيت اطلاعات |
|
2-2 |
چرا امنيت اطلاعات لازم است؟ |
|
2-3 |
چگونه نيازهاي امنيت شناسايي مي شوند؟ |
|
2-4 |
الزام هاي امنيت اطلاعات |
|
2-5 |
برآورد ريسك هاي امنيت اطلاعات |
|
2-6 |
نقش ارزيابي ريسك امنيت اطلاعات در حوزه سلامت و بهداشت |
|
2-6-1 |
ويژگي هاي ارزيابي ريسك با منابع و نمونه هاي حفظ اطلاعات سلامت |
|
2-6-2 |
همكاري ها و مهارت هاي مورد نياز |
|
2-6-3 |
خروجي هاي مورد نياز |
|
2-7 |
مديريت ريسك |
|
2-7-1 |
ارزيابي ريسك |
|
2-7-2 |
مقابله با ريسك |
|
2-7-3 |
معيارهاي پذيرش ريسك |
|
2-7-4 |
برنامه هاي اداره نواحي پر خطر |
|
2-8 |
برنامه ريزي بهبود امنيت |
|
2-9 |
بيانيه كاربست پذيري |
|
2-10 |
ايجاد برنامه مدون برطرف سازي ريسك |
|
2-11 |
انتخاب و پياده سازي كنترل هاي امنيت اطلاعات |
|
2-12 |
نقطه آغازين امنيت اطلاعات |
|
2-13 |
تأمين امنيت اطلاعات سلامت |
|
2-13-1 |
اهداف امنيت اطلاعات سلامت |
|
2-13-2 |
ساماندهي اطلاعات و سازماندهي |
|
2-13-3 |
تلفيق سازماندهي اطلاعات و نظارت پزشكي |
|
2-13-4 |
اطلاعات سلامت حفاظت شده |
|
2-13-5 |
تهديدها و آسيب پذيري ها در امنيت اطلاعات سلامت |
|
2-14 |
مديريت |
|
2-15 |
سامانه مديريت |
|
2-16 |
سامانه مديريت امنيت اطلاعات |
|
2-17 |
ديدگاه فرآيندگرا |
|
2-18 |
استانداردهاي خانواده سامانه مديريت امنيت اطلاعات |
|
2-18-1 |
استاندارد توصيف كننده مرور كلي و واژگان |
|
2-18-1-1 |
استاندارد ملي ايران به شماره 27000 (ISO/IEC 27000 ) |
|
2-18-2 |
استانداردهاي مشخص كننده الزام ها |
|
2-18-2-1 |
استاندارد ملي ايران به شماره 27001 (ISO/IEC 27001 ) |
|
2-18-2-2 |
استاندارد ملي ايران به شماره 27006 (ISO/IEC 27006 ) |
|
2-18-3 |
استانداردهاي توصيف كننده راهنماي مرور كلي |
|
2-18-3-1 |
استاندارد ملي ايران به شماره 27002 (ISO/IEC 27002 ) |
|
2-18-3-2 |
استاندارد ملي ايران به شماره 27003 (ISO/IEC 27003 ) |
|
2-18-3-3 |
استاندارد ملي ايران به شماره 14096 (ISO/IEC 27004 ) |
|
2-18-3-4 |
استاندارد ملي ايران به شماره 27005 (ISO/IEC 27005 ) |
|
2-18-3-5 |
استاندارد بين المللي ISO/IEC 27007 |
|
2-18-4 |
استانداردهاي توصيف كننده راهنماي بخش خاص |
|
2-18-4-1 |
استاندارد ملي ايران به شماره 27011 (ISO/IEC 27011 ) |
|
2-18-4-2 |
استاندارد ملي ايران به شماره 13220 (ISO 27799 ) |
|
2-19 |
روابط بين استانداردهاي ملي ايران به شماره هاي 27001، 27002 و 13220 |
|
2-20 |
مزاياي پياده سازي استانداردهاي خانواده سامانه مديريت امنيت اطلاعات |
|
2-21 |
برنامه ريزي و استقرار سامانه مديريت امنيت اطلاعات |
|
2-21-1 |
انتخاب و تعريف دامنه پيروي |
|
2-21-2 |
معياري براي تعريف دامنه |
|
2-21-3 |
تحليل و بررسي ها در هنگام تعريف دامنه پيروي |
|
2-21-4 |
دخالت كنترل شده شخص سوم |
|
2-21-5 |
موافقت نامه هاي سطح رضايت از خدمات و قراردادها |
|
2-21-6 |
تأييد و انتشار گزارش هاي مرتبط با دامنه |
|
2-21-7 |
بررسي اختلاف ها |
|
2-22 |
تشكيل يا افزايش گروه هاي تأمين اطلاعات حوزه سلامت و بهداشت |
|
2-23 |
مجموعه مدارك سامانه مديريت امنيت اطلاعات |
|
2-24 |
تسهيل فرآيند با استفاده از ابزار |
|
2-25 |
ايجاد سامانه مديريت امنيت اطلاعات |
|
2-26 |
پياده سازي و اجراي سامانه مديريت امنيت اطلاعات |
|
2-27 |
الزام هاي مستندسازي |
|
2-27-1 |
كنترل مدارك |
|
2-27-2 |
كنترل سابقه ها |
|
2-28 |
مسئوليت و تعهد مديريت |
|
2-29 |
مديريت منابع |
|
2-29-1 |
فراهم آوري منابع |
|
2-29-2 |
آموزش، آگاه سازي و صلاحيت |
|
2-30 |
مديريت وقايع امنيتي |
|
2-31 |
پايش سامانه مديريت امنيت اطلاعات |
|
2-31-1 |
لزوم حصول اطمينان |
|
2-31-2 |
خود ارزيابي |
|
2-32 |
بازنگري مديريت سامانه مديريت امنيت اطلاعات |
|
2-32-1 |
بازنگري هاي هم تراز |
|
2-32-2 |
ورودي هاي بازنگري |
|
2-32-3 |
خروجي هاي بازنگري |
|
2-33 |
بهبود اثربخشي سامانه مديريت امنيت اطلاعات |
|
2-33-1 |
بهبود مستمر |
|
2-33-2 |
اقدام پيشگيرانه |
|
2-34 |
مميزي داخلي سامانه مديريت امنيت اطلاعات |
|
2-34-1 |
مميزي مستقل |
|
2-34-2 |
گواهي مميزي بر اساس استاندارد ملي ايران به شماره 27001 |
|
2-35 |
عوامل مهم موفقيت سامانه مديريت امنيت اطلاعات |
|
2-36 |
توسعه رهنمودهاي مربوط به خود |
|
3 |
ساختار استاندارد ملي ايران به شماره 27002 |
|
3-1 |
بندها |
|
3-2 |
طبقه هاي امنيتي عمده |
|
4 |
برآورد و برطرف سازي ريسك |
|
4-1 |
برآورد ريسك هاي امنيتي |
|
4-2 |
برطرف سازي ريسك هاي امنيتي |
|
5 |
خط مشي امنيتي |
|
5-1 |
خط مشي امنيتي |
|
5-1-1 |
مدرك خط مشي امنيت اطلاعات |
|
5-1-2 |
بازبيني خط مشي امنيت اطلاعات |
|
6 |
سازمان امنيت اطلاعات |
|
6-1 |
سازمان داخلي |
|
6-1-1 |
تعهد مديريت به امنيت اطلاعات |
|
6-1-2 |
هماهنگي امنيت اطلاعات |
|
6-1-3 |
تخصيص مسئوليت هاي امنيت اطلاعات |
|
6-1-4 |
فرآيند مجوزدهي براي امكانات پردازش اطلاعات |
|
6-1-5 |
توافق نامه هاي محرمانگي |
|
6-1-6 |
برقراري ارتباط با مراجع داراي اختيار |
|
6-1-7 |
برقراري ارتباط با گروه هاي با منافع خاص |
|
6-1-8 |
بازنگري مستقل امنيت اطلاعات |
|
6-2 |
اشخاص بيروني |
|
6-2-1 |
شناسايي ريسك هاي مرتبط با اشخاص بيروني |
|
6-2-2 |
نشاني دهي امنيت، هنگام سر و كار داشتن با مشتريان |
|
6-2-3 |
نشاني دهي امنيت در توافق هاي شخص سوم |
|
7 |
مديريت دارايي |
|
7-1 |
مسئوليت دارايي ها |
|
7-1-1 |
ليست موجودي اموال |
|
7-1-2 |
مالكيت دارايي ها |
|
7-1-3 |
استفاده قابل قبول از دارايي ها |
|
7-2 |
طبقه بندي اطلاعات |
|
7-2-1 |
رهنمودهاي طبقه بندي |
|
7-2-2 |
برچسب گذاري و اداره كردن اطلاعات |
|
8 |
امنيت منابع انساني |
|
8-1 |
پيش از اشتغال |
|
8-1-1 |
نقش ها و مسئوليت ها |
|
8-1-2 |
گزينش |
|
8-1-3 |
ضوابط و شرايط استخدام |
|
8-2 |
حين خدمت |
|
8-2-1 |
مسئوليت هاي مديريت |
|
8-2-2 |
آگاهي رساني، تحصيل و آموزش امنيت اطلاعات |
|
8-2-3 |
فرآيند انضباطي |
|
8-3 |
خاتمه استخدام يا تغيير شغل |
|
8-3-1 |
مسئوليت هاي خاتمه خدمت |
|
8-3-2 |
بازگرداندن دارايي ها |
|
8-3-3 |
حذف حقوق دسترسي |
|
9 |
امنيت فيزيكي و محيطي |
|
9-1 |
نواحي امن |
|
9-1-1 |
حصار امنيت فيزيكي |
|
9-1-2 |
كنترل هاي مداخل فيزيكي ورودي |
|
9-1-3 |
ايمن سازي دفاتر، اتاق ها و امكانات |
|
9-1-4 |
محافظت در برابر تهديدهاي بيروني و محيطي |
|
9-1-5 |
كار در نواحي امن |
|
9-1-6 |
نواحي دسترسي عمومي، نواحي تحويل و بارگيري |
|
9-2 |
امنيت تجهيزات |
|
9-2-1 |
استقرار و حفاظت تجهيزات |
|
9-2-2 |
امكانات و پشتيباني |
|
9-2-3 |
امنيت كابل كشي |
|
9-2-4 |
نگهداري تجهيزات |
|
9-2-5 |
امنيت تجهيزات خارج از ابنيه اماكن سازمان |
|
9-2-6 |
امحا يا استفاده دوباره از تجهيزات به صورت امن |
|
9-2-7 |
خروج اموال |
|
10 |
مديريت ارتباطات و عملكرد |
|
10-1 |
روش هاي اجرايي عملياتي و مسئوليت ها |
|
10-1-1 |
روش هاي اجرايي عملياتي مستند شده |
|
10-1-2 |
مديريت تغيير |
|
10-1-3 |
تفكيك وظايف |
|
10-1-4 |
جداسازي امكانات توسعه، آزمون و عملياتي |
|
10-2 |
مديريت تحويل خدمت شخص سوم |
|
10-2-1 |
تحويل خدمت |
|
10-2-2 |
پايش و بازبيني خدمات شخص سوم |
|
10-2-3 |
مديريت تغييرات در خدمات شخص سوم |
|
10-3 |
طرح ريزي و پذيرش سيستم |
|
10-3-1 |
مديريت ظرفيت |
|
10-3-2 |
پذيرش سيستم |
|
10-4 |
حفاظت در برابر كدهاي مخرب و سيار |
|
10-4-1 |
كنترل هايي در برابر كدهاي مخرب |
|
10-4-2 |
كنترل هايي در برابر كدهاي سيار |
|
10-5 |
نسخه هاي پشتيبان |
|
10-5-1 |
ايجاد پشتيبان از اطلاعات |
|
10-6 |
مديريت امنيت شبكه |
|
10-6-1 |
كنترل هاي شبكه |
|
10-6-2 |
امنيت خدمات شبكه |
|
10-7 |
اداره كردن محيط هاي ذخيره سازي |
|
10-7-1 |
مديريت محيط هاي ذخيره سازي قابل جابجايي |
|
10-7-2 |
امحاي محيط هاي ذخيره سازي |
|
10-7-3 |
روش هاي اجرايي جابجايي اطلاعات |
|
10-7-4 |
امنيت مستندات سيستم |
|
10-8 |
تبادل اطلاعات |
|
10-8-1 |
خط مشي ها و روش هاي اجرايي تبادل اطلاعات |
|
10-8-2 |
توافق نامه هاي تبادل |
|
10-8-3 |
محيط هاي ذخيره سازي (رسانه) فيزيكي، حين حمل و نقل |
|
10-8-4 |
پيام رساني الكترونيكي |
|
10-8-5 |
سيستم هاي اطلاعاتي كسب و كار |
|
10-9 |
خدمات تجارت الكترونيك |
|
10-9-1 |
تجارت الكترونيك |
|
10-9-2 |
تراكنش هاي برخط |
|
10-9-3 |
اطلاعات قابل دسترس عموم |
|
10-10 |
پايش |
|
10-10-1 |
واقعه نگاري مميزي |
|
10-10-2 |
پايش كاربرد سيستم |
|
10-10-3 |
حفاظت از اطلاعات ثبت شده وقايع |
|
10-10-4 |
اطلاعات ثبت شده وقايع مربوط به راهبر و اپراتور سيستم |
|
10-10-5 |
واقعه نگاري خرابي |
|
10-10-6 |
همزمان سازي ساعت ها |
|
11 |
كنترل دسترسي |
|
11-1 |
الزام هاي كسب و كار براي كنترل دسترسي |
|
11-1-1 |
خط مشي كنترل دسترسي |
|
11-2 |
مديريت دسترسي كاربر |
|
11-2-1 |
ثبت كاربر |
|
11-2-2 |
مديريت اختيارات ويژه |
|
11-2-3 |
مديريت كلمه عبور كاربر |
|
11-2-4 |
بازنگري حقوق دسترسي كاربر |
|
11-3 |
مسئوليت های كاربر |
|
11-3-1 |
استفاده از كلمه عبور |
|
11-3-2 |
تجهيزات بدون مراقبت كاربر |
|
11-3-3 |
خط مشي ميز پاك و صفحه پاك |
|
11-4 |
كنترل دسترسي به شبكه |
|
11-4-1 |
خط مشي استفاده از خدمات شبكه |
|
11-4-2 |
احراز اصالت (تصديق هويت) كاربر براي اتصالات بيروني |
|
11-4-3 |
شناسايي تجهيزات در شبكه ها |
|
11-4-4 |
حفاظت از درگاه عيب يابي و پيكربندي راه دور |
|
11-4-5 |
تفكيك در شبكه ها |
|
11-4-6 |
كنترل اتصال به شبكه |
|
11-4-7 |
كنترل مسيريابي در شبكه |
|
11-5 |
كنترل دسترسي به سيستم عامل |
|
11-5-1 |
روش هاي اجرايي برقراري ارتباط امن |
|
11-5-2 |
شناسايي و احراز اصالت كاربر |
|
11-5-3 |
سيستم مديريت كلمه عبور |
|
11-5-4 |
استفاده از برنامه هاي كمكي سيستم |
|
11-5-5 |
خروج زماني از لايه ارتباطي |
|
11-5-6 |
محدودسازي زمان اتصال |
|
11-6 |
كنترل دسترسي به برنامه هاي كاربردي و اطلاعات |
|
11-6-1 |
محدوديت دسترسي به اطلاعات |
|
11-6-2 |
جداسازي سيستم هاي حساس |
|
11-7 |
محاسبه سيار و كار از راه دور |
|
11-7-1 |
محاسبه و ارتباطات سيار |
|
11-7-2 |
كار از راه دور |
|
12 |
اكتساب، بهبود، حفظ و نگهداري سيستم هاي اطلاعاتي |
|
12-1 |
الزام هاي امنيتي سيستم هاي اطلاعاتي |
|
12-1-1 |
مشخصات و تحليل الزام هاي امنيتي |
|
12-2 |
پردازش صحيح در برنامه هاي كاربردي |
|
12-2-1 |
صحه گذاري داده ورودي |
|
12-2-2 |
كنترل پردازش دروني |
|
12-2-3 |
تماميت پيغام |
|
12-2-4 |
صحه گذاري داده خروجي |
|
12-3 |
كنترل هاي رمزنگاري |
|
12-3-1 |
خط مشي استفاده از كنترل هاي رمزنگاري |
|
12-3-2 |
مديريت كليد |
|
12-4 |
امنيت فايل هاي سيستم |
|
12-4-1 |
كنترل نرم افزار عملياتي |
|
12-4-2 |
حفاظت از داده هاي آزمون سيستم |
|
12-4-3 |
كنترل دسترسي به كد منبع برنامه |
|
12-5 |
امنيت در فرآيندهاي بهبود و پشتياني |
|
12-5-1 |
روش هاي اجرايي كنترل تغيير |
|
12-5-2 |
بازنگري فني نرم افزارهاي كاربردي پس از تغييرات سيستم عامل |
|
12-5-3 |
محدودسازي در اعمال تغييرات در بسته هاي نرم افزاري |
|
12-5-4 |
نشت اطلاعات |
|
12-5-5 |
بهبود نرم افزار برون سپاري شده |
|
12-6 |
مديريت آسيب پذيري فني |
|
12-6-1 |
كنترل آسيب پذيري هاي فني |
|
13 |
مديريت رخدادهاي امنيت اطلاعات |
|
13-1 |
گزارش دهي وقايع و ضعف هاي امنيت اطلاعات |
|
13-1-1 |
گزارش دهي وقايع امنيت اطلاعات |
|
13-1-2 |
گزارش دهي ضعف هاي امنيتي |
|
13-2 |
مديريت رخدادها و بهبودهاي امنيت اطلاعات |
|
13-2-1 |
مسئوليت ها و روش هاي اجرايي |
|
13-2-2 |
يادگيري از رخدادهاي امنيت اطلاعات |
|
13-2-3 |
گردآوري شواهد |
|
14 |
مديريت استمرار كسب و كار |
|
14-1 |
جنبه هاي امنيت اطلاعات مديريت استمرار كسب و كار |
|
14-1-1 |
لحاظ كردن امنيت اطلاعات در فرآيند مديريت استمرار كسب و كار |
|
14-1-2 |
استمرار كسب و كار و ارزيابي ريسك |
|
14-1-3 |
ايجاد و پياده سازي طرح هاي استمرار دربرگيرنده امنيت اطلاعات |
|
14-1-4 |
چارچوب طرح ريزي استمرار كسب و كار |
|
14-1-5 |
حفظ و نگهداري آزمون و ارزيابي دوباره طرح هاي استمرار كسب و كار |
|
15 |
انطباق |
|
15-1 |
انطباق با الزام هاي قانوني |
|
15-1-1 |
شناسايي قوانين قابل اجرا |
|
15-1-2 |
حقوق مالكيت فكري |
|
15-1-3 |
حفاظت از سوابق سازماني |
|
15-1-4 |
حفاظت از داده ها و حريم خصوصي افراد |
|
15-1-5 |
پيشگيري از استفاده نابجا از امكانات پردازش اطلاعات |
|
15-1-6 |
مقررات كنترل هاي رمزنگاري |
|
15-2 |
انطباق با خط مشي ها و استانداردهاي امنيتي |
|
15-2-2 |
بررسي انطباق فني |
|
15-3 |
ملاحظه هاي مميزي سيستم هاي اطلاعاتي |
|
15-3-1 |
كنترل هاي مميزي سيستم هاي اطلاعاتي |
|
15-3-2 |
حفاظت از ابزارهاي مميزي سيستم هاي اطلاعاتي |
|
پيوست الف |
اصطلاح هاي فعلي بيان شرط |
|
پيوست ب |
اصول سازمان همكاري و توسعه اقتصادي و استاندارد ملي ايران به شماره 27001 |
|
پيوست پ |
اصطلاح هاي دسته بندي شده |
|
پيوست ت |
تهديدها عليه امنيت سامانه هاي اطلاعات سلامت |
|
پيوست ث |
وظايف و ارتباطات مستندهاي سامانه مديريت امنيت اطلاعات |
|
پيوست ج |
مزاياي بالقوه و ويژگي هاي لازم ابزار حمايتي |
|