Norma ISO 27001 została opracowana na podstawie brytyjskiego standardu bezpieczeństwa BS 7799 w 2005 r. W Polsce opublikowano ją 4 stycznia 2007 r. jako PN-ISO/IEC 27001:2007. ISO 27001 jest zgodny z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. ISO 27001 to System Zarządzania Bezpieczeństwem Informacji, który ma na celu zapewnić bezpieczeństwo przechowywanych i przetwarzanych danych wrażliwych w firmie. Ze względu na przechowywane dane osobowe wdrożenie wymagań ISO 27001 adresowane jest w dużej mierze do placówek medycznych, które przechowują dane medyczne pacjentów, zaklasyfikowane przez system prawny jako dane wrażliwe. Wymagania ISO 27001 zostały opisane w jedenastu rozdziałach i obejmują m.in.: politykę bezpieczeństwa, organizację bezpieczeństwa informacji, bezpieczeństwo zasobów ludzkich, zarządzanie systemami i sieciami oraz zgodność z wymaganiami prawnymi.
Przebieg wdrażania Systemu
Wdrożenie systemu ISO 27001 przebiega zgodnie z poniższymi etapami:
Etap I - Analiza
Osoba odpowiedzialna za wdrożenie Systemu w placówce zapoznaje się ze specyfiką Państwa podmiotu sprawdzając w jakim stopniu rozwiązania stosowane przez firmę spełniają wymagania normy ISO 27001 oraz wymagania prawne z zakresu bezpieczeństwa informacji i ochrony danych osobowych nałożone przez Ustawodawcę.
Etap II - Opracowanie dokumentacji
Polega on na opracowaniu pełnej dokumentacji systemu przypisanej indywidualnie do każdej placówki medycznej. W jej skład wchodzi między innymi:
- Księgi jakości,
- Księga procedur systemowych,
- Księga procedur procesowych,
- Księga procedur wspierających,
- Księga formularzy.
Etap III – Wdrożenie opracowanej dokumentacji systemowej
W tym etapie pracownik CPDM razem z Kierownikiem placówki wdraża dokumentację systemową systemu ISO 27001.
Etap IV - Szkolenia pracowników
W ramach tego etapu przeprowadzane są szkolenia mające na celu zapoznanie Kierownictwa placówki oraz pracowników z wymaganiami normy ISO 27001. W trakcie szkolenia personel dowiaduje się w jaki sposób należy odpowiednio zabezpieczać informacje, postępować z dokumentacją systemową oraz jak się zachować w sytuacji naruszenia normy.
Etap V - Audyt wewnętrzny
Jest to ostatni przed Certyfikacją etap wdrażania Systemu, w którym pracownik CDPM wraz z wyznaczonymi przez Kierownika placówki audytorami wewnętrznymi przeprowadza audyt mający na celu sprawdzenie przygotowania placówki do audytu certyfikującego.
Etap VI - Certyfikacja
W tym etapie placówka medyczna poddawana jest Certyfikacji przez firmę zewnętrzną. CDPM pomaga w doborze Jednostki Certyfikującej, a jego pracownicy są obecni w trakcie audytu certyfikującego jako głos doradczy.