Вимоги постачальників охорони здоров'я
Організації охорони здоров'я мають особливі вимоги до своїх постачальників.
ISO 27001 на практиці
ISO 27001 вимагає:
- Управління доступом — контроль роботи
- Шифрування — дані в спокої та при передачі
- Аудит безпеки — регулярна оцінка ризиків
- Реагування на інциденти — план припинення порушень
- Безперервність — план відновлення після аварії
HIPAA BAA: договірні обов'язки
BAA встановлює:
- Якість обробки PHI
- Повідомлення про порушення
- Припинення обробки у разі невідповідності
- Обов'язки під час перевірок
Контрольний список для постачальників
- Отримати сертифікацію ISO 27001
- Укласти HIPAA BAA
- Задокументувати всі засоби безпеки
- Надати звіти про аудит
- Продемонструвати регулярне тестування безпеки