Ing. Fares Shima Ředitel odboru informatiky MZd

1. Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shoděs ISO 27 001 a ISO 19 011na Ministerstvu zdravotnictví ČR Ing. FaresShima Ředitel odboru informatiky MZd

2. Obsah Úvod – kompetence MZ Rada vlády pro informační společnost USNESENÍ VLÁDY ČR č. 677/2007 Systémové normy ISO Dobrá praxe převzatá z KSRZIS Příručka ochrany informací Zavedení a certifikace Cíl ministerstva v oblasti standardizace Závěr

3. Úvod – kompetence MZ Zákon o zřízení ministerstev a jiných ústředních orgánů státní správy ČSR § 10 zákona č. 2/1969 Sb. (1) Ministerstvo zdravotnictví je ústředním orgánem státní správy pro zdravotní péči, ochranu veřejného zdraví, zdravotnickou vědeckovýzkumnou činnost, zdravotnická zařízení v přímé řídící působnosti, zacházení s návykovými látkami, přípravky, prekursory a pomocnými látkami, vyhledávání, ochranu a využívání přírodních léčivých zdrojů, přírodních léčebných lázní a zdrojů přírodních minerálních vod, léčiva a prostředky zdravotnické techniky pro prevenci, diagnostiku a léčení lidí, zdravotní pojištění a zdravotnický informační systém, pro používání biocidních přípravků a uvádění biocidních přípravků a účinných látek na trh. (2) Součástí Ministerstva zdravotnictví je Český inspektorát lázní a zřídel. (3) Organizační součástí Ministerstva zdravotnictví je Inspektorát omamných a psychotropních látek.

4. Rada vlády pro informační společnost Byla ustavena na základě usnesení vlády č. 293 z 28.3.2007. Cíl z pohledu občana: Umožnění komfortní, bezpečné a důvěryhodnéelektronické komunikace s veřejnou správou na všech úrovních a v maximu životních situací.

5. USNESENÍ VLÁDY ČR č. 677/2007 • o Akčním plánu plnění opatření Národní strategie informační bezpečnosti České republiky • V rámci řízení informační bezpečnosti jsou nejvýznamnější (všeobecně nejvíce podporované) tyto normy: • ČSN ISO/IEC 17799:2001 Informační technologie – Soubor postupů pro řízení informační bezpečnosti. • ČSN BS 7799-2:2004 Systém managementu bezpečnosti informací - Specifikace s návodem pro použití.

6. Systémové normy ISO • Bezpečnost informací zavedená v souladu s: ISO 27001, Systémy managementu bezpečnosti informací Systém je zaveden tak, aby byl snadno rozšířitelný • Kvalitu služeb IT ISO 20 000-1, Management služeb • Systém řízení jakosti ISO 9 001, Systém řízení jakosti

7. Dobrá praxe převzatá z KSRZIS Normy zavedené v KSRZIS: ISO 27 001 - ISMS ISO 9 001 – systém kvality ISO 10 006 – kvalita projektu ISO 20 000-1 – systém kvality informačních služeb Zavedení v KSRZIS proběhlo úspěšně Prověřeno renomovaným certifikačním orgánem TÜV-SUD První zavedená norma v KSRZIS byla: ČSN EN ISO/IEC 27001 – systém řízení ochrany informací

8. Příručka ochrany informací Systém řízení ochrany informací a politika (4-8) + (A.5) Organizace bezpečnosti informací (A.6) Řízení aktiv (A.7) Bezpečnost lidských zdrojů (A.8) Fyzická bezpečnost a bezpečnost prostředí (A.9) Řízení komunikací a řízení provozu (A.10) Řízení přístupu (A.11) Akvizice, vývoj a údržba informačních systémů (A.12) Zvládání bezpečnostních incidentů (A.13) Řízení kontinuity činnosti organizace (A.14) Soulad s požadavky (A.15)

9. Zavedení a certifikace • Analýza rizik - Identifikace a klasifikace aktiv v oblasti působnosti ministerstva • Zpracování příručky ochrany informací • Školení zaměstnanců • Interní audit ISMS (v souladu s ISO 9 011) • Certifikace TÜV-SUD duben 2009

10. Cíl ministerstva v oblasti standardizace • Uplatňovat standardy ve všech projektech eHealth • Kromě obecných systémových standardů, jako je ISO 27001, postupně zavádět mezinárodní a evropské zdravotnické oborové ITC standardy • ISO TC 215 Healthinformatics, cca 94 standardů. • CEN TC 251 Healthinformatics, cca 80 standardů. • WG 1 Informationmodels • WG 2 Terminology andknowledgerepresentation • WG 3 Security, safetyandquality • /WG 4 Technology forinteroperability

11. DĚKUJI VÁM ZA POZORNOST Ing. FaresShima, fares.shima@mzcr.cz