Audyty bezpieczeństwa zgodne z zarządzeniem NFZ nr 8/2023/BBIICD
Oferujemy wsparcie dotyczące finansowania działań mających na celu podniesienie poziomu bezpieczeństwa teleinformatycznego w placówkach medycznych
Przeprowadzamy kompleksowe audyty zgodnie z wytycznymi z rozporządzenia i obejmującymi poniższe obszary. Rozszerzamy zakres audytu o testy sieci, testy penetracyjne lub socjotechniczne w zależności od potrzeb klienta.
Kogo dotyczy usługa?
O środki mogą wnioskować szpitale, które realizują świadczenia w ramach leczenia szpitalnego, rehabilitacji leczniczej, lecznictwa uzdrowiskowego oraz opieki psychiatrycznej i leczenia uzależnień.
Jakie obszary są objęte zarządzaniem NFZ?
| Nazwa obszaru | Opis działań skutkujących podniesieniem poziomu bezpieczeństwa teleinformatycznego u Świadczeniodawców |
| Skuteczność działania infrastruktury | -Urządzenia i konfiguracja w zakresie ochrony poczty. -Urządzenia i konfiguracja w zakresie ochrony sieci. -Urządzenia i konfiguracja w zakresie systemów serwerowych. -Urządzenia i konfiguracja w zakresie stacji roboczych. -Urządzenia i konfiguracja w zakresie systemów bezpieczeństwa. |
| Procesy zarządzania bezpieczeństwem informacji. | -Nośniki wymienne – udokumentowany sposób postępowania. -Zarządzanie tożsamością/dostępdo systemów w zakresie: -przydzielanie dostępu, -odbieranie dostępu. -Pomieszczenie w dyspozycji struktur zespołu odpowiedzialnego za cyberbezpieczeństwo w przypadku podmiotów, które otrzymały decyzję uznającą taki podmiot za operatora usługi kluczowej, o którym mowa w art. 5 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa |
| Monitorowanie i reagowanie na incydenty bezpieczeństwa. | -Procedury zarządzania incydentami. -Raportowanie poziomów pokrycia scenariuszami znanych incydentów. -Dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/sektorowego zespołu cyberbezpieczeństwa. -Monitorowanie i wykrycie incydentów bezpieczeństwa. -Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów. |
| Zarządzanie ciągłością działania. | -Konfiguracja oraz polityki systemów do wykonywania kopii bezpieczeństwa. -Raport z przeglądów i testów odtwarzania kopii bezpieczeństwa. -Procedury wykonywania i przechowywania kopii zapasowych. -Strategia i polityka ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP). -Procedury utrzymaniowe |
| Utrzymanie systemów informacyjnych. | -Harmonogramy skanowania podatności. -Aktualny status realizacji postępowania z podatnościami. -Procedury związane ze z identyfikowaniem (wykryciem) podatności. -Współpraca z osobami odpowiedzialnymi za procesy zarządzania incydentami |
| Zarządzanie bezpieczeństwem i ciągłością działania łańcucha usług. | -Polityka bezpieczeństwa w relacjach z dostawcami. -Standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa. -Dostęp zdalny. -Metody uwierzytelnienia. |
| Weryfikacja podniesienia poziomu bezpieczeństwa. | Przeprowadzony audyt wykazał podniesienie poziomu bezpieczeństwa teleinformatycznego w stosunku do stanu sprzed przystąpienia do działań mających na celu podniesienie poziomu bezpieczeństwa teleinformatycznego finansowanych w ramach zarządzenia. |