مدیریت اطلاعات سلامت

ارزیابی امنیت سیستم‌های اطلاعات بیمارستانی

زهرا میدانی؛ محمد امین عصاری؛ سید غلامعباس موسوی؛ علی عطایی اندزق

دوره 14، شماره 5 ، دی 1396، ، صفحه 187-193

چکیده

مقدمه: امنیت سیستم شامل مجموعه‌ای از حفاظت‌های امنیتی مرتبط با نرم‌افزار، سخت‌افزار، کارکنان و سیاست‌های سازمانی می‌باشد که از سیستم‌های اطلاعاتی در برابر تهدیدات داخلی و خارجی محافظت می‌کند. مطالعه حاضر با هدف ارزیابی امنیت سیستم‌های اطلاعات بیمارستانی HIS (Hospital Information Systems) در سه حوزه امنیت مدیریتی، فیزیکی و فنی انجام شد.روش ... بیشتر مقدمه: امنیت سیستم شامل مجموعه‌ای از حفاظت‌های امنیتی مرتبط با نرم‌افزار، سخت‌افزار، کارکنان و سیاست‌های سازمانی می‌باشد که از سیستم‌های اطلاعاتی در برابر تهدیدات داخلی و خارجی محافظت می‌کند. مطالعه حاضر با هدف ارزیابی امنیت سیستم‌های اطلاعات بیمارستانی HIS (Hospital Information Systems) در سه حوزه امنیت مدیریتی، فیزیکی و فنی انجام شد.روش بررسی: این مطالعه از نوع کیفی- توصیفی و جامعه پژوهش شامل چهار بیمارستان آموزشی دولتی از مناطق مختلف کشور بود که هر کدام HIS متفاوتی داشتند. داده‌ها با استفاده از چک‌لیستی مشتمل بر 134 سؤال جمع‌آوری گردید. به منظور طراحی چک‌لیست، ابتدا معیارهای امنیتی لازم از روی استانداردهای امنیتی شناسایی و سپس الزامات امنیت HIS با استفاده از تکنیک Delphi اصلاح شده در سه حیطه امنیت مدیریتی، فیزیکی و فنی تعیین شد. پاسخ هر یک از سؤالات چک‌لیست به صورت بله (نمره 1) و خیر (نمره صفر) در نظر گرفته شد. سطوح امنیتی HIS نیز از صفر تا 100 درصد و در پنج سطح خیلی پایین تا خیلی بالا تعیین گردید. داده‌ها با استفاده از آمار توصیفی مانند فراوانی و درصد مورد تجزیه و تحلیل قرار گرفت.یافته‌ها: امنیت مدیریتی HIS در بیمارستان‌های مورد بررسی با 8/31 درصد و امنیت فیزیکی با 0/25 درصد در سطح پایینی قرار داشت. امنیت فنی HIS نیز در بیمارستان‌ها با 6/42 درصد، در سطح متوسطی بود.نتیجه‌گیری: نتایج مطالعه حاضر با آشکار ساختن نقاط ضعف امنیت HIS، بستر مناسبی را برای مدیران بخش‌های مدیریت اطلاعات سلامت و فن‌آوری اطلاعات بیمارستان‌ها فراهم می‌آورد تا در زمینه تدوین خط‌مشی‌ها، آموزش کاربران، کنترل دسترسی، مدیریت خطر و سایر ابعاد استانداردهای مدیریتی و فیزیکی اقدامات اصلاحی مناسبی را اجرا نمایند.

شاخص های محرمانگی اطلاعات بیمار

روح اله شیخ ابومسعودی؛ نیلوفر امینی؛ نازیلا اسماعیلی

دوره 12، شماره 4 ، آبان 1394، ، صفحه 393-404

چکیده

مقدمه: امروزه سازمان های مراقبت بهداشتی اطلاعات بیماران را در قالب پرونده های کاغذی و الکترونیکی جمع آوری می کنند. به طور کلی مالکیت فیزیکی پرونده ی پزشکی در اختیار بیمارستان است، اما بیمار مالک منطقی اطلاعات داخل پرونده می باشد، بنابراین دسترسی هر فرد دیگر به پرونده ی بیمار به اجازه ی بیمار نیاز دارد. هدف از این مطالعه شناسایی شاخص ... بیشتر مقدمه: امروزه سازمان های مراقبت بهداشتی اطلاعات بیماران را در قالب پرونده های کاغذی و الکترونیکی جمع آوری می کنند. به طور کلی مالکیت فیزیکی پرونده ی پزشکی در اختیار بیمارستان است، اما بیمار مالک منطقی اطلاعات داخل پرونده می باشد، بنابراین دسترسی هر فرد دیگر به پرونده ی بیمار به اجازه ی بیمار نیاز دارد. هدف از این مطالعه شناسایی شاخص های محرمانگی اطلاعات بیماران در دو بیمارستان شهدای لنجان شهرستان زرین شهر و بیمارستان محمد رسول الله (ص) شهرستان مبارکه، در استان اصفهان، بود.روش بررسی: پژوهش حاضر از دسته ی کاربردی است که به صورت کیفی (Qualitative) انجام شد. جامعه ی پژوهش دو بیمارستان بزرگ استان اصفهان، بیمارستان محمد رسول الله (ص) مبارکه و بیمارستان شهدای لنجان زرین شهر، در سال 1392 خورشیدی بود. چک لیستی معتبر و جهانی، منتشر شده از جانب انجمن پزشکی بریتیش کلمبیای کانادا، به عنوان ابزار گردآوری داده ها انتخاب گردید، که 25 سوال در 6 حیطه ی را شامل می شود. روایی این چک لیست پس از ترجمه توسط محققین و اعمال اصلاحات مورد نیاز بر روی آن از جانب اساتید مربوطه تأیید گردید. داده های مورد نیاز از طریق مصاحبه و مشاهده و توسط پژوهشگران گردآوری گردید. سپس اطلاعات مورد نیاز استخراج و فرآیند تحلیل و مقایسه به صورت کیفی انجام گرفت.یافته ها: اصول محرمانگی در رابطه با چاپ، انتقال، ذخیره سازی و افشای اطلاعات پرونده ی بیماران در هر دو بیمارستان، به طور کلی رعایت می شود. سیاست گذاری هر دو بیمارستان در ارتباط با شاخص های حفظ محرمانگی در حیطه کارکنان ضعیف می باشد. در هیچ کدام از دو بیمارستان اطلاعیه ای مبنی بر آگاهی بیمار نسبت به حریم خصوصی بیمار و شیوه ی دسترسی به اطلاعاتش وجود ندارد. مسئولین IT(Information Technology) بیمارستان ها به کمک مسئولین بخش ها و با توجه به حیطه کاری هر فرد سطوح دسترسی کاربران را مشخص کرده و شناسه کاربری مناسب را به هر فرد اختصاص می دهند، که رمز عبور توسط هر کاربر قابل تغییر می باشد. هر دو بیمارستان از فرآیندها و کنترل های فنی استفاده نمی کنند. در هر دو بیمارستان کنترل مناسبی به منظور تأمین امنیت در شبکه محلی و جلوگیری از ورود افراد غیر مجاز وجود ندارد.نتیجه گیری: با توجه به اهمیت رعایت شاخص های محرمانگی در رابطه با اطلاعات بیماران لازم است اقدامات و فرآیندهای جدیدی درهر دو بیمارستان اعمال شود. هر دو بیمارستان مورد بررسی در زمینه های مورد مطالعه دارای نقاط ضعف و قوت می باشند. بنابراین رعایت نکات ضروری در رابطه با حفظ امنیت و محرمانگی اطلاعات بیماران الزامی است.

ارزیابی سیستم های مدیریت اطلاعات دانشگاه علوم پزشکی اصفهان با استفاده از استاندارد ISO/IEC 27001

روح الله شیخ ابو مسعودی؛ سحر کوهی حبیبی؛ مریم عطایی؛ نازیلا اسماعیلی

دوره 12، شماره 3 ، شهریور 1394، ، صفحه 306-316

https://doi.org/10.22122/him.v12i3.1897

چکیده

مقدمه: با توجه به خطرات تهدیدکننده ی اطلاعات و نیاز مبرم به رویه های ایجاد و تقویت امنیت و محرمانگی، سازمان بین المللی استاندارد (ISO: International Organization for Standardization) اقدام به تدوین استانداردی در زمینه ی امنیت اطلاعات تحت عنوان ISO/IEC 27001 نموده است. کسب تأییده ی ممیزی این استاندارد دارای منافع بسیار زیادی برای سازمان بوده و علاوه بر شناسایی عیوب ... بیشتر مقدمه: با توجه به خطرات تهدیدکننده ی اطلاعات و نیاز مبرم به رویه های ایجاد و تقویت امنیت و محرمانگی، سازمان بین المللی استاندارد (ISO: International Organization for Standardization) اقدام به تدوین استانداردی در زمینه ی امنیت اطلاعات تحت عنوان ISO/IEC 27001 نموده است. کسب تأییده ی ممیزی این استاندارد دارای منافع بسیار زیادی برای سازمان بوده و علاوه بر شناسایی عیوب موجود در بخش ها و فرآیندهای اطلاعاتی، باعث افزایش اعتبار سازمان در محیط رقابتی و ایجاد مزیت رقابتی می گردد. هدف از این پژوهش ارزیابی سیستم های مدیریت اطلاعات دانشگاه علوم پزشکی اصفهان با استفاده از استاندارد ISO/IEC 27001 در سال 1390 خورشیدی بوده است.روش بررسی: این پژوهش کاربردی و از دسته مطالعات توصیفی-کیفی است. جامعه ی پژوهش کلیه ی بخش های فناوری اطلاعات دانشگاه علوم پزشکی اصفهان، شامل مراکز کامپیوتر دانشکده ها (9 مرکز)، بیمارستان ها (13 مرکز) و مرکز آمار و اطلاع رسانی (جمعا 23 مرکز) در سال 1390 خورشیدی، می باشد. ابزار گردآوری اطلاعات در این پژوهش استاندارد ISO/IEC 27001: 2005 می باشد که در قالب چک لیست بین المللی ارائه شده است. چک لیست مورد استفاده دارای 11 بخش اصلی است، که هر کدام در برگیرنده ی چندین بخش فرعی و سؤال می باشد. داده ها از طریق مصاحبه و همچنین مشاهده و مستندات پژوهشگران، گردآوری و به کمک نرم افزار2010 Excel تجزیه و تحلیل گردید. یافته ها: نتایج ممیزی مرکز آمار و اطلاع رسانی دانشگاه علوم پزشکی اصفهان نشان می دهد که این سازمان در حیطه های اصلی استاندارد که عبارتند از سیاست امنیتی، تشکیلات امنیت اطلاعات، مدیریت سرمایه، امنیت منابع انسانی، امنیت محیطی و فیزیکی، مدیریت عملیات ها و ارتباطات، کنترل دسترسی، بکارگیری، توسعه و نگهداری از سیستم های اطلاعاتی، مدیریت رویداد امنیت اطلاعات، مدیریت استمرار کسب و کار و تطابق توانسته است به ترتیب 31، 40، 28، 65، 73، 54، 54، 44، 58، 38 و 54 درصد از موارد مورد نظر را اجرایی نماید.نتیجه گیری: با توجه به اهمیت استاندارد جهانی ISO/IEC 27001 در استقرار فرآیندهای مبتنی بر امنیت اطلاعات و حفظ محرمانگی، یکپارچگی و دسترس پذیری، سازمان می بایستی تلاش بیشتری را نسبت به بکارگیری آن در فرآیندهای خود معطوف دارد. نتایج نشان دهنده ی این موضوع هستند که جز در حیطه های امنیت منابع انسانی و همچنین امنیت محیطی و فیزیکی، سازمان عملکرد خوبی در قبال مدیریت امنیت اطلاعات در فرآیندهای داخلی خود نداشته است.

مقالات آماده انتشار

شماره جاری

دوره 20 (1402)

دوره 19 (1401)

دوره 18 (1400)

دوره 17 (1399)

دوره 16 (1398)

دوره 15 (1397)

دوره 14 (1396)

دوره 13 (1395)

دوره 12 (1394)

دوره 11 (1393)

دوره 10 (1392)

دوره 9 (1391)

دوره 8 (1390)

دوره 7 (1389)

دوره 6 (1388)

دوره 5 (1387)

دوره 4 (1386)

دوره 3 (1385)

دوره 2 (1384)

دوره 1 (1383)

کلیدواژه‌ها = امنیت

ارزیابی امنیت سیستم‌های اطلاعات بیمارستانی

چکیده

شاخص های محرمانگی اطلاعات بیمار

چکیده

ارزیابی سیستم های مدیریت اطلاعات دانشگاه علوم پزشکی اصفهان با استفاده از استاندارد ISO/IEC 27001

چکیده