ГОСТРИСО 27799—2015
Условия приема на работу должны:
a) Включать в себя ссылки на взыскания, возможные при обнаружении нарушения политики за
щиты информации.
b
) Гарантировать, что условия, связанные с конфиденциальностью персональной медицинской
информации, сохранятся при приеме на работу на неограниченный срок.
По отношению к персоналу клиники условия приема на работу должны указывать, какие права на
доступ к записям об объектах оказания медицинской помощи и к связанным информационным систе
мам здравоохранения в случае заявлений третьих сторон будет иметь этот персонал.
Если между приемом на работу и датой начала работы сотрудника прошло много времени, сле
дует серьезно задуматься о повторе процесса отбора или его основных элементов.
7.5.2 В период работы
7.5.2.1 Ответственности руководства
Руководство по внедрению
В дополнение к руководствам, данным в ИСО/МЭК 27002. важно отметить, что стоит сделать ак
цент на обеспокоенность объектов оказания медицинской помощи, которые не хотят, чтобы к их пер
сональной медицинской информации имели доступ медицинские работники, которые являются их со
седями. коллегами или родственниками. Такие опасения часто составляют большой процент жалоб от
тех. кто опасается за конфиденциальность своей персональной медицинской информации. Точно так
же. сотрудники часто не хотят сталкиваться с обзором информации о друзьях, родственниках или
со седях. Эффективное управление информационных систем здравоохранения необходимо для
решения этих проблем.
7.5.2.2 Осведомленность, обучение и подготовка в области защиты информации
Контроль
В дополнение к следованию руководствам, данным в ИСО/МЭК 27002. все организации, занима
ющиеся обработкой персональной медицинской информации, должны гарантировать предоставление
обучения и подготовки в области защиты информации при введении в курс обязанностей, а также то, что
регулярные обновления в политике безопасности и методиках организации доводятся до персона ла и.
где это уместно, до сторонних подрядчиков, исследователей, студентов и волонтеров, занимаю щихся
обработкой персональной медицинской информации.
7.5.2.3 Дисциплинарный процесс
Руководство по внедрению
В дополнение к следованию руководствам, данным в ИСО/МЭК 27002. дисциплинарные процессы
организации здравоохранения по отношению к нарушениям защиты информации должны следовать
методикам, отраженным в политике и. следовательно, известным объекту дисциплинарного процесса. В
дополнение к соответствию применимым законам, такие процессы должны соответствовать соглаше
ниям. достигнутым между работниками здравоохранения и профессиональными органами здравоохра
нения.
7.5.3 Окончание срока работы или смена работы
7.5.3.1 Ответственности при окончании срока работы и возврат активов
Руководство по внедрению
В дополнение к руководствам, данным в ИСО/МЭК 27002, важно отметить, что в здравоохранении
многие виды сотрудников, например, доктора и медсестры обычно развиваются посредством обучаю
щих программ и других «перемещений», при которых их права доступа могут значительно измениться.
Для обеспечения прекращения предыдущих прав, которые в их новойдолжности не требуются, процесс
смены работы должен проходить по тому же алгоритму, что и в случае с людьми, прекращающими ра
боту в организации.
7.5.3.2
Л
ишение прав на доступ
Контроль
Все организации, занимающиеся обработкой персональной медицинской информации, должны
как можно скорее лишить пользовательских прав на доступ к этой информации увольняющихся по
стоянных или временных сотрудников, сторонних подрядчиков или волонтеров по окончанию срока
работы, контракта или волонтерской деятельности.
Руководство по внедрению
В дополнение к руководствам, данным в ИСО/МЭК 27002, важно отметить, что в здравоохране
нии существует множество примеров студентов, временных заместителей, у которых после окончания
работы остались права на доступ. Особенно в больших больницах, большое количество временных
24