Výsledek auditu mimo jiné znamená, že Nemocnice Pardubického kraje úspěšně obhájila certifikaci, kterou získala v roce 2018. „Během šetření nebyly zjištěny žádné významné neshody, jež by byly překážkou k obhájení certifikace,“ řekl Martin Coufal, ředitel úseku ICT Nemocnice Pardubického kraje.
Podle vyjádření auditorů je systém řízení bezpečnosti informací (ISMS) v Nemocnici Pardubického kraje velmi dobře řešen. „Bezpečnost informací považujeme za klíčovou oblast, které věnujeme značnou pozornost. Potvrzení certifikace ukazuje, že naše společnost má správně nastavená pravidla a že je dodržuje,“ konstatoval generální ředitel a předseda představenstva Nemocnice Pardubického kraje Tomáš Gottvald.
Certifikát ISO/EIC 27001:2014 je udělován na tři roky. Nemocnice Pardubického kraje ho obdržela s platností do července roku 2024. „Každý rok však musí absolvovat řádný dozorový audit, kterým prochází všech pět nemocnic naší společnosti. Ten kontroluje, zda společnost v uplynulém období odstranila případné nedostatky zjištěné při předchozím auditu a zda stále splňuje požadavky kladené na informační bezpečnost,“ upřesnil Martin Coufal.
Vedle auditů i cvičení v oblasti kybernetické bezpečnosti
Nemocnice legislativou určená jako provozovatel základní služby státu v oblasti zdravotnictví s velkým množstvím chráněných informací o pacientech a zaměstnancích musí zajistit maximální bezpečí svěřených dat. Je proto třeba čas od času simulovat, jak postupovat v případě, kdy jsou data v ohrožení. Naposledy se tomu věnovalo cvičení Národního úřadu pro kybernetickou bezpečnost, které se konalo v říjnu v Brně. Nemocnice Pardubického kraje tam společně s dalšími tzv. páteřními nemocnicemi trénovala, jak reagovat a co mít nastavené v případě, že nemocniční systémy někdo napadne.
„Kdo je připraven, nebývá překvapen, asi tak bychom mohli shrnout cíl cvičení,“ vysvětlil Martin Coufal a dodal, že řešení jakékoli krizové situace je vždycky týmovou záležitostí. „A náš nemocniční mikrotým, ve kterém nechyběli kromě IT specialistů a zdravotníků zástupci z oblasti krizového managementu, práva nebo komunikace, si mohl na konkrétním případu nejen ověřit, zda máme funkčně nastavené postupy, ale i sdílet zkušenosti s ostatními kolegy z celé republiky.“