Polityka bezpieczeństwa informacji
W Pleszewskim Centrum Medycznym w Pleszewie Sp. z o.o. ustanawia się, wdraża, eksploatuje, monitoruje oraz utrzymuje i doskonali System Zarządzania Bezpieczeństwem Informacji (dalej: „SZBI”) zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność oraz utrzymanie ciągłości realizacji kluczowych procesów i zadań.
SZBI oparty został na podejściu wynikającym z ryzyka i odnosi się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji oraz ciągłości działania, tj. ochrony informacji w każdym zidentyfikowanym przez Szpital procesie jej przetwarzania oraz skutecznego zarządzania odtworzeniem kluczowych procesów na minimalnym akceptowalnym poziomie przed, w trakcie oraz po wystąpieniu sytuacji kryzysowej.
Zarząd PCM deklaruje:
1) zapewnienie dostępności zasobów potrzebnych do utrzymania, rozwoju i ciągłego doskonalenia SZBI;
2) zaangażowanie w odniesieniu do ustanowionego SZBI, w tym w kompleksową ochronę informacji i aktywów wspierających ich przetwarzanie oraz utrzymanie ciągłości działania Szpitala;
3) promowanie ciągłego doskonalenia ustanowionego SZBI;
4) kierowanie i aktywne wspieranie osób przyczyniających się do osiągnięcia skuteczności SZBI oraz stałe podnoszenie świadomości personelu Szpitala w zakresie bezpieczeństwa informacji i ciągłości działania.
Zarząd PCM deklaruje wdrożenie środków technicznych i organizacyjnych mających na celu zapewnienie:
1) zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
2) zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
3) regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,
4) pseudonimizacji i szyfrowania danych osobowych,
5) ochrony przed sytuacjami losowymi lub nieprzewidzianym oddziaływaniem czynników zewnętrznych na zasoby sytemu,
6) ochrony przed niewłaściwymi parametrami środowiska, które mogą zakłócać pracę urządzeń komputerowych,
7) ochrony przed awariami sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne naruszenie ochrony danych, czy niewłaściwe działanie serwisantów,
8) ochrony przed podejmowaniem pracy w systemie z przełamaniem lub zaniechaniem stosowania procedur ochrony danych,
9) ochrony przed celowym lub przypadkowym rozproszeniem danych w internecie, z ominięciem zabezpieczeń systemu lub wykorzystaniem błędów systemu informatycznego administratora danych,
10) ochrony przed atakami z internetu,
11) ochrony przed naruszeniem zasad wynikających z obowiązujących procedur ochrony danych.