Какие организации обязаны получить аккредитацию хостов медицинских данных?
Все государственные или частные организации, занимающиеся здравоохранением и хранящие медицинские данные пациентов, должны иметь сертификат HDS. Сюда входят компании, которые выполняют резервное копирование от имени медицинского учреждения или третьей стороны.
Медицинским учреждениям, которые управляют своими собственными системами медицинской информации, не нужно проходить сертификацию HDS.
Любой издатель или оператор сертифицированной HDS медицинской информационной системы, использующий аутсорсинг для размещения, должен быть в состоянии гарантировать безопасность данных. Однако есть два способа обеспечить безопасность информации субподрядчика:
Используйте субподрядчика, сертифицированного HDS
Настройте процесс управления информационной безопасностью своего субподрядчика и его аудита.
Различные типы сертификации HDS
Также существует два типа сертификатов в зависимости от вида деятельности:
Сертификация хоста физической инфраструктуры:
Обеспечение, поддержание в рабочем состоянии материальной инфраструктуры информационной системы, используемой для обработки медицинских данных
Обеспечение, поддержание в рабочем состоянии физических объектов, позволяющих размещать материальную инфраструктуру ИТ-системы, используемой для обработки медицинских данных
Сертификация хост- аутсорсера:
Оперативное обеспечение и обслуживание виртуальной инфраструктуры информационной системы здравоохранения
Оперативное предоставление и обслуживание платформы размещения приложений информационной системы
Оперативное администрирование ИТ-системы, содержащей данные о состоянии здоровья
Резервное копирование медицинских данных, переданное на аутсорсинг
Как проводится сертификация HDS?
После того как вы внедрили свою систему менеджмента и убедились, что соответствуете различным требованиям стандарта, процесс выглядит следующим образом:
Процесс аудита и сертификации HDS
Подача файла в орган по сертификации (который должен быть аккредитован COFRAC)
Через месяц проведите день перед аудитом, чтобы ознакомиться с системой с документальной точки зрения и проверить ее пригодность.
По истечении первого года будет проведен сертификационный аудит на техническом и организационном уровнях на месте.
Отчет будет рассмотрен комитетом.
Примерно через месяц после экзамена будет дан ответ о сертификации (положительный или несоответствующий).
Как правило, организации выдают вам ISO 27001 и сертификат HDS.
Если у вас уже есть сертификат ISO 27001, вы получите упрощенный аудит.
Какую стратегию лучше всего использовать для сертификации HDS?
В большинстве случаев полезно инициировать процесс сертификации по стандарту 27001: 2013, который включает в себя большую часть требований стандарта HDS. Кроме того, сертификация ISO 27001 признана на международном уровне во всех секторах деятельности.
Затем необходимо провести исследование, чтобы определить точную сферу и конкретные виды деятельности, которые будут сертифицированы, и ответить на следующие вопросы:
Сертификация хостинга физической инфраструктуры (40 требований / 45) Или сертификация аутсорсингового хостинга (45 требований)?
Какие дополнительные сертификаты? (27001, 20000-1, 9001, SecNumCloud, …)
Как интегрироваться с GDPR?
Каков мой текущий уровень соответствия требованиям?