Penilaian Risiko Dari Elektronik Kesehatan

by macamjenisiso

Penilaian Risiko Dari Elektronik Kesehatan

Penilaian Risiko Dari Elektronik Kesehatan

Manajemen risiko memainkan peran penting dalam pelaksanaan keamanan informasi dan merupakan salah satu persyaratan bahwa ISO / IEC keamanan standar set untuk sertifikasi. Selain itu pihak yang terlibat dalam penanganan informasi pribadi secara hukum diperlukan untuk mempersiapkan penilaian risiko dan untuk meninjau penilaian tersebut secara teratur.

Kesehatan sistem komputer perawatan dan Elektronik Kesehatan EHRs dapat berisi informasi yang sangat penting termasuk informasi pribadi dan sensitif yang termasuk dalam tindakan dan peraturan tentang perlindungan dan pengolahan data pribadi. Pada saat yang sama ada permintaan yang besar pada memiliki EHRs mudah diakses bagi penyedia layanan kesehatan. Masalah privasi perlu ditangani dengan kontrol yang memadai untuk meminimalkan risiko penyalahgunaan dan pengungkapan disengaja.

Ketika mempersiapkan penilaian risiko penting untuk menggunakan metode yang sistematis untuk menilai risiko yaitu sebuah metode yang memastikan bahwa orang lain melakukan penilaian risiko yang sama mencapai kesimpulan yang sama.

Para sub-ayat berikut ini menjelaskan metodologi yang standar dan sesuai dengan ISO / IEC pedoman manajemen risiko keamanan informasi. Metodologi ini membantu penilai untuk memperhitungkan semua aspek persyaratan penilaian risiko dari standar ISO / IEC keamanan.

. . Metodologi
Penilaian risiko dilakukan dengan cara yang metodologis sesuai dengan standar ISO / IEC .

. . . Menentukan Ruang Lingkup dan Kriteria
Langkah pertama ketika melakukan penilaian risiko adalah konteks pembentukan yang melibatkan penetapan kriteria risiko dasar mendefinisikan ruang lingkup dan batas-batas dan mendirikan operasi organisasi yang sesuai dengan manajemen risiko keamanan informasi. Ruang lingkup dapat menjadi bisnis keseluruhan atau bagian dari itu. Dalam kasus EHRs ruang lingkup harus mencakup seluruh operasi tapi bisa ditangani di bagian yang lebih mudah dikelola jika dipastikan bahwa tidak ada yang ditinggalkan. Kriteria risiko dasar harus menyatakan tingkat minimum risiko yaitu apa yang tingkat risiko yang dapat diterima.

. . . Identifikasi Aset dan Nilai mereka
Langkah berikutnya adalah mengidentifikasi aset informasi dalam lingkup. Aset Informasi adalah setiap informasi yang berharga kepada organisasi dan operasi. Aset informasi seperti aset lain dari perusahaan harus dilindungi untuk menjamin bahwa operasi perusahaan memenuhi harapan dan untuk memastikan bahwa tidak ada diskontinuitas dalam operasi. Semua aset informasi dari operasi harus didaftarkan ketika keamanan informasi diimplementasikan. Aset ini dapat berupa berwujud atau nyata. Aset berwujud seperti peralatan rumah komputer dan furnitur. Aktiva tidak berwujud meliputi hubungan bisnis reputasi prosedur pelayanan pengetahuan dan sumber daya manusia. Nilai aset operasi harus dinilai dan sesuai dengan ISO / IEC kerahasiaan integritas dan ketersediaan harus dikaji juga.

Untuk setiap aset penting dan persyaratan dari standar ISO / IEC untuk mengidentifikasi pemilik dari semua aset. Menurut standar pemilik istilah mengidentifikasi orang pribadi atau badan yang telah disetujui tanggung jawab manajemen untuk mengendalikan produksi pengembangan pemeliharaan penggunaan dan keamanan aset. Istilah pemilik tidak berarti bahwa orang yang sebenarnya memiliki hak milik apapun untuk aset.

Daftar berikut adalah contoh dari beberapa aset informasi diidentifikasi untuk EHR Reputasi EHR data EHR kontrak dengan penyedia layanan hosting komponen fisik dan logis dari sistem profesional perawatan kesehatan pengguna publik dan prosedur penggunaan EHR.

. . . Mengidentifikasi dan Mengevaluasi Ancaman
Untuk setiap aset semua ancaman yang mungkin dan sumber mereka harus diidentifikasi. Ancaman mungkin asal yang berbeda atau alam dan mungkin timbul dalam atau dari luar organisasi. Beberapa ancaman dapat mempengaruhi lebih dari satu aset dan dampak yang dihasilkan mungkin berbeda tergantung pada aset. Untuk setiap ancaman kemungkinan terjadinya dan dampaknya perlu diperkirakan dan kerentanan suatu aset terhadap ancaman harus dievaluasi juga.

Berikut ini adalah contoh dari ancaman diidentifikasi untuk beberapa aset

Reputasi EHR
Ceroboh komunikasi informasi kepada penerima tidak sah
publisitas yang merugikan di media
Hilangnya ketersediaan untuk pengguna yang berwenang
Fisik dan logis komponen sistem
Lalu Lintas overloading
Kegagalan Teknis komponen jaringan Perangkat lunak berbahaya
misalnya virus
penggunaan perangkat lunak ilegal
Jaringan akses oleh pengguna yang tidak sah

. . . Evaluasi Risiko dan Perlakuan Resiko
Dari aset dievaluasi dan ancaman adalah mungkin untuk menghitung risiko perkiraan yang di sini disebut basis risiko keamanan. Risiko keamanan dasar merupakan risiko sebelum kontrol mitigasi telah dilaksanakan. Pada titik ini penting untuk mengevaluasi risiko dan membandingkannya dengan kriteria risiko diputuskan penentuan konteks. Risiko kriteria keputusan dan konteks dapat ditinjau kembali dan diberikan lebih detail karena pada saat ini ada pengetahuan lebih lanjut tentang risiko yang teridentifikasi. Ini harus ditentukan apakah risiko dapat diterima atau memerlukan pengobatan.

Setelah risiko telah dievaluasi itu harus diidentifikasi dan dievaluasi mana risiko pilihan pengobatan digunakan untuk risiko-risiko yang menonjol dari kriteria resiko. Tindakan yang mungkin termasuk emreducing risiko / em dengan menerapkan kontrol yang tepat risiko emaccepting / em menyediakan mereka jelas memenuhi kebijakan dan kriteria untuk menerima risiko risiko emavoiding / em dan emtransferring risiko / em kepada pihak lain seperti asuransi.

Untuk risiko di mana pilihan pengobatan yang dipilih adalah mengurangi resiko maka kontrol yang tepat dan dibenarkan harus dipilih sebagai kontrol mitigasi. Pemilihan harus mempertimbangkan kriteria penerimaan risiko serta persyaratan hukum peraturan dan kontrak. Secara umum kontrol dapat memberikan satu atau lebih dari jenis berikut perlindungan koreksi eliminasi pencegahan minimalisasi dampak pencegahan deteksi pemulihan pengawasan dan kesadaran. Status pelaksanaan kontrol masing-masing kemudian ditentukan dan pembenaran untuk status mencatat.

Berikut ini adalah contoh dari kontrol dipilih untuk beberapa risiko yang sebelumnya diidentifikasi sebagai contoh

Reputasi EHR
Ceroboh komunikasi informasi kepada penerima tidak sah
A. . . Informasi kebijakan keamanan didokumentasikan
A. . . perjanjian Kerahasiaan
A. . . Informasi kesadaran keamanan pendidikan dan pelatihan
Fisik dan logis komponen sistem Perangkat lunak berbahaya
misalnya virus
A. . . Kontrol terhadap kode berbahaya
A. . . Jaringan manajemen keamanan
penggunaan perangkat lunak ilegal
A. . . Peran dan tanggung jawab
A. . . Kedisiplinan proses

. . Hasil
Setelah menyelesaikan pengobatan resiko adalah penting untuk mendapatkan persetujuan manajemen risiko residual yang diusulkan dan untuk memperoleh auhorization untuk menerapkan dan mengoperasikan Sistem Keamanan Informasi Management.

Hasil dari proses manajemen risiko muncul dalam Pernyataan Berlakunya SOA laporan yang disajikan sebagai konfirmasi keadaan keamanan informasi dalam operasi. Hal ini penting bagi manajer klien dan badan pengawas misalnya Perlindungan Data Otoritas yang meminta informasi tentang masalah keamanan dari organisasi atau perusahaan yang bersangkutan. Laporan SOA harus meliputi

. Kontrol tujuan dan kontrol dipilih dalam proses pengobatan risiko dan alasan pilihan mereka.
. Tujuan kontrol dan kontrol yang diterapkan.
. Pengecualian dari setiap tujuan pengendalian dan kontrol dalam Lampiran A dari standar ISO / IEC dan pembenaran untuk pengecualian mereka.