ארגוני בריאות, חברות מדטק, קופות, בתי חולים, מעבדות, חברות ביטוח בריאות וספקי שירותים רפואיים לא מנהלים "עוד מידע רגיש". הם מנהלים מידע רפואי אישי, רציף, קריטי ולעיתים גם מציל חיים. בדיוק בגלל זה, הבחירה בספק תשתית או ספק ענן עבור מערכות בריאות לא יכולה להתבסס רק על מחיר, ביצועים או זמינות. היא חייבת להתבסס גם על מסגרת אבטחת מידע שמותאמת לעולם הבריאות. כאן בדיוק נכנס ISO 27799.
ISO 27799 הוא תקן ייעודי לעולם ה–health informatics. הוא מספק הנחיות לאבטחת מידע בארגוני בריאות, ומסביר כיצד ליישם בקרות אבטחה וניהול סיכונים עבור מידע רפואי על בסיס ISO/IEC 27002. במילים פשוטות: אם ISO 27001 מגדיר את המסגרת הכללית לניהול אבטחת מידע, ISO 27799 מתרגם את הדרישות האלה לעולם הבריאות, עם התאמות למערכות רפואיות, רשומות רפואיות אלקטרוניות, מערכות קליניות, הדמיה רפואית, תהליכי טיפול, וסביבות שבהן מידע רפואי עובר בין גורמים רבים.
למה ISO 27799 חשוב יותר דווקא בבריאות
במערכות בריאות, פגיעה במידע איננה רק אירוע IT. היא יכולה להפוך מיידית לאירוע תפעולי, משפטי, רגולטורי ותדמיתי. דליפה של נתוני מטופלים, שינוי לא מורשה במידע רפואי, גישה לא מבוקרת לתיקי מטופלים, או השבתה של מערכת קלינית – כל אלה יכולים לפגוע ברציפות הטיפול, באמון המטופלים, בעמידה ברגולציה וביכולת של הארגון לפעול. ISO 27799 מתייחס בדיוק למורכבות הזו, ומכוון להגנה על סודיות, שלמות וזמינות של מידע רפואי אישי.
הייחוד של התקן הוא בכך שהוא לא מסתפק באמירה כללית של "צריך לאבטח מידע". הוא מכוון את הארגון לחשוב במונחים של סיכוני בריאות אמיתיים: מי ניגש למידע, מתי, מאיפה, על אילו מערכות, באילו ממשקים, באיזה הקשר רפואי, ואיך מונעים חשיפת יתר או שימוש שגוי. בנוסף, התקן חל על מידע רפואי בכל הצורות: טקסט, תמונות, וידאו, סריקות, דוחות, קול, מסמכים מודפסים ומידע אלקטרוני, וכן על כל אופן העברה או אחסון שלו.
מה התקן באמת בודק
ISO 27799 נשען על עקרונות אבטחת מידע מוכרים, אך דורש ליישם אותם בהקשר הבריאותי. המשמעות המעשית היא התייחסות רחבה לנושאים כמו בקרת גישה למידע רפואי, ניהול זהויות והרשאות, הצפנה, ניהול אירועי אבטחה, הפרדת סביבות, אבטחת מערכות רפואיות, ניהול ספקים, אבטחה פיזית, המשכיות עסקית, תיעוד ובקרה. המטרה היא לא רק לעבור ביקורת, אלא לבנות סביבה שבה מידע רפואי מוגן לאורך כל מחזור החיים שלו.
התקן גם מסייע לארגונים להתאים את בקרות האבטחה למציאות הקלינית. בעולם הבריאות, לא כל תהליך יכול להיות "נעול" באופן תיאורטי, כי לפעמים נדרש איזון בין זמינות גבוהה לבין הגבלות גישה, בין מהירות טיפול לבין בקרת אבטחה, ובין אינטגרציה בין מערכות לבין צמצום חשיפה. ISO 27799 עוזר לנהל את המתח הזה באופן מבוקר ומבוסס סיכון.
למה ISO 27001 לא תמיד מספיק
ISO 27001 הוא בסיס חשוב, ולעיתים קרובות הוא תנאי יסוד לכל מסגרת אבטחת מידע ארגונית. אבל עבור גופי בריאות, הוא לא תמיד מספיק לבדו. הוא מגדיר את מערכת ניהול אבטחת המידע ברמת המאקרו, אך לא נותן את כל הפרשנות המעשית שנדרשת כאשר המידע הוא מידע רפואי אישי, כאשר מערכות רפואיות מחוברות למגוון ספקים, וכאשר גישה למידע משפיעה ישירות על תהליכים קליניים. ISO 27799 משלים את הפער הזה, משום שהוא מספק הנחיות ספציפיות לבריאות על בסיס עקרונות מוכרים של ISO/IEC 27002.
לכן, עבור ארגון בריאות או עבור ספק תשתית שמשרת ארגוני בריאות, השאלה הנכונה היא לא "האם יש לכם ISO 27001", אלא "איך אתם מיישמים אבטחת מידע מותאמת לעולם הבריאות". כאן ISO 27799 הופך מ–nice-to-have לדרישת סף אמיתית.
מה זה אומר כשבוחרים ספק ענן או תשתית
כאשר ארגון בריאות בוחר ספק ענן, ספק קולוקציה או פלטפורמת DR, הוא לא רוכש רק משאבי מחשוב. הוא בוחר שותף שמחזיק חלק מהאחריות על הגנה על מידע רפואי רגיש. לכן, הספק צריך להוכיח לא רק אבטחה כללית, אלא גם הבנה עמוקה של סיכוני בריאות, של דרישות רגולציה ושל אופן העבודה של מערכות רפואיות. ISO 27799 הוא אינדיקציה חזקה לכך שהספק פועל לפי מסגרת שמכירה את ההבדל בין מידע עסקי רגיל לבין מידע רפואי.
בפועל, ארגונים צריכים לשאול את הספק שאלות ברורות:
- האם קיימת מסגרת אבטחת מידע ייעודית למידע רפואי?
- איך מנוהלות הרשאות גישה למידע רגיש?
- איך מתבצעת הפרדה בין לקוחות, סביבות, מערכות וצוותים?
- איך נראים תהליכי ניטור, תיעוד ותגובה לאירועי אבטחה?
- איך מגנים על מידע בתנועה ובמנוחה?
- מהי מדיניות ניהול הספקים והצדדים השלישיים?
- כיצד מבטיחים זמינות גבוהה ורציפות עסקית גם בזמן תקלה או מתקפה?
אם לספק אין תשובות מסודרות לשאלות האלה, או אם אין לו מסגרת תקנים מתאימה, הארגון נושא בסיכון גבוה יותר לא רק טכנולוגית, אלא גם רגולטורית ועסקית.
איך זה מחזק את המיצוב של MedOne
עבור ארגונים בתחום הבריאות, ספק תשתית צריך להציע יותר מ-data center או יותר מ–"ענן מאובטח". הוא צריך להציע סביבת אירוח שמבוססת על נהלים, בקרות, תהליכים ותקנים שמתאימים לארגונים שעובדים תחת פיקוח, ביקורות ודרישות ציות. זה בדיוק המקום שבו המיצוב של MedOne צריך להיות חד: לא רק תשתית בישראל, אלא תשתית לארגונים שלא יכולים להרשות לעצמם פשרות על אבטחת מידע, זמינות וציות.
המסר השיווקי הנכון לקהל הזה איננו "יש לנו ענן" אלא "יש לנו תשתית שמתאימה לארגונים שצריכים להגן על מידע רפואי ולהוכיח את זה". זה מסר הרבה יותר חזק לבתי חולים, ארגוני בריאות דיגיטלית, חברות תוכנה רפואית, מערכי דימות, מעבדות, חברות פארמה וספקי שירותים רפואיים שעובדים עם מידע קליני או מידע מטופלים.
ISO 27799 הוא גם יתרון עסקי
הדיון על ISO 27799 נתפס לפעמים כעניין של compliance בלבד, אבל בפועל מדובר גם ביתרון עסקי. כאשר ספק תשתית או ספק ענן מראה התאמה למסגרת אבטחת מידע בריאותית, הוא מקל על ארגונים לעבור ביקורות, לענות על שאלוני אבטחה, להוכיח בקרה מול שותפים ולקוחות, ולצמצם חיכוך בתהליכי רכש ובדיקות נאותות. עבור ארגונים שפועלים בסביבה מרובת רגולציה, זה לא רק מנגנון הגנה זה מאיץ עסקי.
מעבר לכך, בשוק שבו יותר ויותר מערכות בריאות מחוברות לפלטפורמות דיגיטליות, מכשירים חכמים, שירותים מרחוק, אינטגרציות API ופתרונות AI, המשמעות של מסגרת אבטחה ייעודית לבריאות רק גדלה. העדכון של תקן ISO 27799 ב–2025 חיזק עוד יותר את הקשר בין הגנת מידע רפואי, מערכות תוכנה רפואיות, וחילופי מידע מאובטחים בין גופים.
השורה התחתונה
אם הארגון מנהל נתוני בריאות, הבחירה בספק תשתית או ספק ענן היא החלטת אבטחת מידע, החלטת רגולציה והחלטה עסקית לא רק החלטת IT. ISO 27799 הוא לא תו איכות שיווקי, אלא אינדיקציה למסגרת עבודה שמותאמת למידע רפואי, לסיכוני בריאות ולדרישות ציות אמיתיות.
לכן, השאלה כבר לא צריכה להיות האם הספק מאובטח "באופן כללי". השאלה צריכה להיות הרבה יותר מדויקת: האם הספק יודע לארח, להגן ולנהל מידע רפואי לפי הסטנדרטים של עולם הבריאות. אם התשובה לא עוברת דרך ISO 27799, כנראה שהיא לא מספיק טובה.