روح اله شیخ ابومسعودی؛ نیلوفر امینی؛ نازیلا اسماعیلی
دوره 12، شماره 4 ، آبان 1394، ، صفحه 393-404
چکیده
مقدمه: امروزه سازمان های مراقبت بهداشتی اطلاعات بیماران را در قالب پرونده های کاغذی و الکترونیکی جمع آوری می کنند. به طور کلی مالکیت فیزیکی پرونده ی پزشکی در اختیار بیمارستان است، اما بیمار مالک منطقی اطلاعات داخل پرونده می باشد، بنابراین دسترسی هر فرد دیگر به پرونده ی بیمار به اجازه ی بیمار نیاز دارد. هدف از این مطالعه شناسایی شاخص ...
بیشتر
مقدمه: امروزه سازمان های مراقبت بهداشتی اطلاعات بیماران را در قالب پرونده های کاغذی و الکترونیکی جمع آوری می کنند. به طور کلی مالکیت فیزیکی پرونده ی پزشکی در اختیار بیمارستان است، اما بیمار مالک منطقی اطلاعات داخل پرونده می باشد، بنابراین دسترسی هر فرد دیگر به پرونده ی بیمار به اجازه ی بیمار نیاز دارد. هدف از این مطالعه شناسایی شاخص های محرمانگی اطلاعات بیماران در دو بیمارستان شهدای لنجان شهرستان زرین شهر و بیمارستان محمد رسول الله (ص) شهرستان مبارکه، در استان اصفهان، بود.روش بررسی: پژوهش حاضر از دسته ی کاربردی است که به صورت کیفی (Qualitative) انجام شد. جامعه ی پژوهش دو بیمارستان بزرگ استان اصفهان، بیمارستان محمد رسول الله (ص) مبارکه و بیمارستان شهدای لنجان زرین شهر، در سال 1392 خورشیدی بود. چک لیستی معتبر و جهانی، منتشر شده از جانب انجمن پزشکی بریتیش کلمبیای کانادا، به عنوان ابزار گردآوری داده ها انتخاب گردید، که 25 سوال در 6 حیطه ی را شامل می شود. روایی این چک لیست پس از ترجمه توسط محققین و اعمال اصلاحات مورد نیاز بر روی آن از جانب اساتید مربوطه تأیید گردید. داده های مورد نیاز از طریق مصاحبه و مشاهده و توسط پژوهشگران گردآوری گردید. سپس اطلاعات مورد نیاز استخراج و فرآیند تحلیل و مقایسه به صورت کیفی انجام گرفت.یافته ها: اصول محرمانگی در رابطه با چاپ، انتقال، ذخیره سازی و افشای اطلاعات پرونده ی بیماران در هر دو بیمارستان، به طور کلی رعایت می شود. سیاست گذاری هر دو بیمارستان در ارتباط با شاخص های حفظ محرمانگی در حیطه کارکنان ضعیف می باشد. در هیچ کدام از دو بیمارستان اطلاعیه ای مبنی بر آگاهی بیمار نسبت به حریم خصوصی بیمار و شیوه ی دسترسی به اطلاعاتش وجود ندارد. مسئولین IT(Information Technology) بیمارستان ها به کمک مسئولین بخش ها و با توجه به حیطه کاری هر فرد سطوح دسترسی کاربران را مشخص کرده و شناسه کاربری مناسب را به هر فرد اختصاص می دهند، که رمز عبور توسط هر کاربر قابل تغییر می باشد. هر دو بیمارستان از فرآیندها و کنترل های فنی استفاده نمی کنند. در هر دو بیمارستان کنترل مناسبی به منظور تأمین امنیت در شبکه محلی و جلوگیری از ورود افراد غیر مجاز وجود ندارد.نتیجه گیری: با توجه به اهمیت رعایت شاخص های محرمانگی در رابطه با اطلاعات بیماران لازم است اقدامات و فرآیندهای جدیدی درهر دو بیمارستان اعمال شود. هر دو بیمارستان مورد بررسی در زمینه های مورد مطالعه دارای نقاط ضعف و قوت می باشند. بنابراین رعایت نکات ضروری در رابطه با حفظ امنیت و محرمانگی اطلاعات بیماران الزامی است.
روح الله شیخ ابو مسعودی؛ سحر کوهی حبیبی؛ مریم عطایی؛ نازیلا اسماعیلی
چکیده
مقدمه: با توجه به خطرات تهدیدکننده ی اطلاعات و نیاز مبرم به رویه های ایجاد و تقویت امنیت و محرمانگی، سازمان بین المللی استاندارد (ISO: International Organization for Standardization) اقدام به تدوین استانداردی در زمینه ی امنیت اطلاعات تحت عنوان ISO/IEC 27001 نموده است. کسب تأییده ی ممیزی این استاندارد دارای منافع بسیار زیادی برای سازمان بوده و علاوه بر شناسایی عیوب ...
بیشتر
مقدمه: با توجه به خطرات تهدیدکننده ی اطلاعات و نیاز مبرم به رویه های ایجاد و تقویت امنیت و محرمانگی، سازمان بین المللی استاندارد (ISO: International Organization for Standardization) اقدام به تدوین استانداردی در زمینه ی امنیت اطلاعات تحت عنوان ISO/IEC 27001 نموده است. کسب تأییده ی ممیزی این استاندارد دارای منافع بسیار زیادی برای سازمان بوده و علاوه بر شناسایی عیوب موجود در بخش ها و فرآیندهای اطلاعاتی، باعث افزایش اعتبار سازمان در محیط رقابتی و ایجاد مزیت رقابتی می گردد. هدف از این پژوهش ارزیابی سیستم های مدیریت اطلاعات دانشگاه علوم پزشکی اصفهان با استفاده از استاندارد ISO/IEC 27001 در سال 1390 خورشیدی بوده است.روش بررسی: این پژوهش کاربردی و از دسته مطالعات توصیفی-کیفی است. جامعه ی پژوهش کلیه ی بخش های فناوری اطلاعات دانشگاه علوم پزشکی اصفهان، شامل مراکز کامپیوتر دانشکده ها (9 مرکز)، بیمارستان ها (13 مرکز) و مرکز آمار و اطلاع رسانی (جمعا 23 مرکز) در سال 1390 خورشیدی، می باشد. ابزار گردآوری اطلاعات در این پژوهش استاندارد ISO/IEC 27001: 2005 می باشد که در قالب چک لیست بین المللی ارائه شده است. چک لیست مورد استفاده دارای 11 بخش اصلی است، که هر کدام در برگیرنده ی چندین بخش فرعی و سؤال می باشد. داده ها از طریق مصاحبه و همچنین مشاهده و مستندات پژوهشگران، گردآوری و به کمک نرم افزار2010 Excel تجزیه و تحلیل گردید. یافته ها: نتایج ممیزی مرکز آمار و اطلاع رسانی دانشگاه علوم پزشکی اصفهان نشان می دهد که این سازمان در حیطه های اصلی استاندارد که عبارتند از سیاست امنیتی، تشکیلات امنیت اطلاعات، مدیریت سرمایه، امنیت منابع انسانی، امنیت محیطی و فیزیکی، مدیریت عملیات ها و ارتباطات، کنترل دسترسی، بکارگیری، توسعه و نگهداری از سیستم های اطلاعاتی، مدیریت رویداد امنیت اطلاعات، مدیریت استمرار کسب و کار و تطابق توانسته است به ترتیب 31، 40، 28، 65، 73، 54، 54، 44، 58، 38 و 54 درصد از موارد مورد نظر را اجرایی نماید.نتیجه گیری: با توجه به اهمیت استاندارد جهانی ISO/IEC 27001 در استقرار فرآیندهای مبتنی بر امنیت اطلاعات و حفظ محرمانگی، یکپارچگی و دسترس پذیری، سازمان می بایستی تلاش بیشتری را نسبت به بکارگیری آن در فرآیندهای خود معطوف دارد. نتایج نشان دهنده ی این موضوع هستند که جز در حیطه های امنیت منابع انسانی و همچنین امنیت محیطی و فیزیکی، سازمان عملکرد خوبی در قبال مدیریت امنیت اطلاعات در فرآیندهای داخلی خود نداشته است.