Documentos relacionados
Eliminação do Papel em Saúde

Alencar Instalações. Resolvo seu problema elétrico

Herança. Herança. Especialização. Especialização

Proposta de Revisão Metodológica


Aula 1- Distâncias Astronômicas

Estratégico. III Seminário de Planejamento. Rio de Janeiro, 23 a 25 de fevereiro de 2011

Planejamento, Desenvolvimento e Implementac a o de Sistemas

7dicas para obter sucesso em BYOD Guia prático com pontos importantes sobre a implantação de BYOD nas empresas.

Matemática. Aula: 07 e 08/10. Prof. Pedro Souza. Visite o Portal dos Concursos Públicos

RESULTADOS DA PESQUISA DE SATISFAÇÃO DO USUÁRIO EXTERNO COM A CONCILIAÇÃO E A MEDIAÇÃO

NPQV Variável Educação Prof. Responsáv el : Ra ph a el B i c u d o


1 3Centrs e PP esq is II DD C n MM n Astr l i Astri C h i n Re. C h e H n g K n g F i n l n i I n i F rn 0 4 C n I n n si Al e m n h E st s U n i s I

A va lia ç ã o de R is c o s A plic a da à Q ua lida de em D es envo lvim ento de S o ftw a re

PATR IMÔNIO PALEONTOLÓG IC O

SAÚDE SEM PAPEL ADRIANO DUARTE CEO

Metanálise MTC: o uso combinado de evidência direta e indireta

Revisão ISO ISO Sistema de Gestão Ambiental. DQS do Brasil Ltda. Página 1

Glossário Apresenta a definição dos termos, siglas e abreviações utilizadas no contexto do projeto Citsmart.

EXPERIÊNCIA DE USO DE ARQUITETURA CORPORATIVA NO PROJETO DE RES

Processos Técnicos - Aulas 4 e 5

Assessoria Técnica de Tecnologia da Informação. Sistemas de Informação no SUS Informação para Gestão

Ac esse o sit e w w w. d e ca c lu b.c om.br / es t u dos e f a ç a s u a insc riçã o cl ica nd o e m Pa r t i c i p e :

ilupas da informação e comunicação na área de Saúde entrevista

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Os Desafios da Segurança para Mobilidade

CLINICAGENDA - MANUAL VERSÃO Manual de auxílio à utilização do sistema Clinicagenda.

Ciclo de Palestras. Celeb ra r o d ia d o p ro fissiona l fa rm a c êutic o c om c a p a c ita ç ões q ue p ossa m Instrum enta liza r e

ELO Group tel:

ACORDO DE PARIS: A RECEITA PARA UM BOM RESULTADO

Necessidade e construção de uma Base Nacional Comum

A Informação e as Boas Práticas da Gestão na Saúde. Prof. Renato M.E. Sabbatini UNICAMP e Instituto Edumed

Artigo: Lista de verificação dos documentos obrigatórios da ISO 22301

Case de Sucesso. Integrando CIOs, gerando conhecimento. FERRAMENTA DE BPM TORNA CONTROLE DE FLUXO HOSPITALAR MAIS EFICAZ NO HCFMUSP

o bje tiv o f in a l d o C oa c h in g é fa z e r c o m qu e o s c lie n te s t o rn e m -s e a u tô no m o s.

you d solutions MÍDIA KIT

FANESE Faculdade de Administração e Negócios de Sergipe

RESOLUÇÃO ATIVIDADE ESPECIAL

ORIENTAÇÕES PARA APCN

CÂMARA LEGISLATIVA DO DISTRITO FEDERAL GABINETE DO DEPUTADO RODRIGO DELMASSO. PROJETO DE LEI Nº 173/2015 (Do Senhor Deputado RODRIGO DELMASSO - PTN)

O que é necessário para ter Resultados no Marketing Digital

E v o lu ç ã o d o c o n c e i t o d e c i d a d a n i a. A n t o n i o P a i m

NORMA ISO Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio

1. A cessan do o S I G P R H

Módulo 3. Estrutura da norma ISO Sistemas de Gestão da Qualidade Requisitos Requisitos 4.2, 5.1, 5.2 e 5.3 Exercícios

Por efeito da interação gravitacional, a partícula 2 exerce uma força F sobre a partícula 1 e a partícula 1 exerce uma força F sobre a partícula 2.

Correntes de Participação e Critérios da Aliança Global Wycliffe [Versão de 9 de maio de 2015]

Gerenciamento de Serviços de TIC. ISO/IEC / ITIL V2 e V3

FACULDADE PITÁGORAS DISCIPLINA: SISTEMAS DE INFORMAÇÃO

Sistemas de Gestão Ambiental O QUE MUDOU COM A NOVA ISO 14001:2004

PROVA DISCURSIVA - PROFISSIONAL BÁSICO (FORMAÇÃO DE ANÁLISE DE SISTEMAS - DESENVOLVIMENTO) 2 a FASE

MUDANÇAS NA ISO 9001: A VERSÃO 2015

Conflito de Interesses e Imparcialidade dos Auditores dos Organismos Certificadores

Carta para a Preservação do Patrimônio Arquivístico Digital Preservar para garantir o acesso

Integração dos Modelos de Gestão de TI

PROCEDIMENTO SISTÊMICO DE GESTÃO INTEGRADO

ITIL - Information Technology Infraestructure Library

CONCURSO PÚBLICO PARA DOCENTES DO MAGISTÉRIO SUPERIOR

PLANOS DE CONTINGÊNCIAS

Fábrica de Software 29/04/2015

Responsáveis. Conceito. COBIT Control objectives for information and related technology (Controle e governança de TI)

A Biblioteca: Gerenciamento de Serviços de TI. Instrutor : Cláudio Magalhães cacmagalhaes@io2.com.br

Resolução de Matemática da Prova Objetiva FGV Administração

O termo compliance é originário do verbo, em inglês, to comply, e significa estar em conformidade com regras, normas e procedimentos.

ENQUALAB 2013 QUALIDADE & CONFIABILIDADE NA METROLOGIA AUTOMOTIVA. Elaboração em planos de Calibração Interna na Indústria Automotiva

ITIL: Valerá a Pena? Quais os processos mais Afetados?

ABNT/CB-38 Comitê Brasileiro de Gestão Ambiental

APRENDA COMO GERENCIAR SEUS SERVIÇOS

A solução do BANCO i para aprovação de crédito

(Às Co missões de Re la ções Exteriores e Defesa Na ci o nal e Comissão Diretora.)

3 Os impostos sobre dividendos, ganhos de capital e a legislação societária brasileira

Prontuário Eletrônico do Paciente é Fator Crítico de Sucesso

Visão Macro Modelo de Suporte

Análise do Padrão de Troca de Informações em Saúde Suplementar em um Sistema de Registro Eletrônico em Saúde

Origem do SCO O SCO é baseado no ICS, desenvolvido nos EUA durante as décadas de 70/80, inicialmente para coordenar a resposta a incêndios florestais.

Conceitos Básicos de Rede. Um manual para empresas com até 75 computadores

3º Seminário Internacional de Renda Fixa Andima e Cetip Novos Caminhos Pós-Crise da Regulação e Autorregulação São Paulo 19 de março de 2009

Transcrição:

Reviso sobre Normas e Parões e Seg u ran ç a a I n f ormaç o p ara o Reg ist ro E l et rô n ic o em Saú e H e i t o r G o t t b e r g 1, T h i a g o M a r t i n i a C o s t a 2, Be a t r i z e F a r i a L e o 3, I v a n T o r r e s P i s a 4 1 Programa e Pó s-grauaç o em Saúe C oletiv a, Univ ersiae F eeral e S o Paulo (UN IF ESP) 2 Programa e Pó s-grauaç o em Informática em Saúe, UN IF ESP 3 Z ilics Sistemas e Informaç o em Saúe, Brasil 4 Departamento e Informática em Saúe, UN IF ESP Resumo. A migraç o para um amb iente totalmente sem-papel no processo assistencial torna-se hoj e possí v el graç as aos av anç os a tecnologia a informaç o (TI) aplicaa à saúe. Instituiç õ es internacionais, como a International Organiz ation for Stanariz ation (ISO) e Health L ev el 7 (HL 7 ), e nacionais, como C onselho F eeral e Meicina (C F M), Socieae Brasileira e Informática em Saúe (SBIS) e Agê ncia N acional e Saúe Suplementar (AN S) esenv olv eram normas e parõ es que v isam garantir que esta migraç o n o traga prej uí z os ao paciente nem à instituiç o. A certificaç o e processos as organiz aç õ es em saúe e os sistemas e R egistro Eletrô nico em Saúe (R ES). Este artigo apresenta rev is o sob re as normas e seguranç a a informaç o quanto o uso os R ES e propõ e as aç õ es necessárias para garantir a seguranç a a informaç o em saúe. Palav ras-chav e. Informática em Saúe, G erenciamento e Informaç o, Seguranç a (computaç o); Armaz e- namento e R ecuperaç o a Informaç o. A b st r a c t. The migration to a patient-care paper-less env ironment is toay possib le ue to the latest av ance in information technology (IT) applie to healthcare. International institutions, such as the International Organiz ation for Stanariz ation (ISO) an Health L ev el 7 (HL 7 ), an Braz ilian organiz ations, e.g. the N ational C ouncil of Meicine (C F M), Braz ilian Society for Healthcare Informatics (SBIS) an the N ational Agency of Supplementary Healthcare (AN S) hav e ev elope regulations an stanars to assure that this migration is harmless to patients an health care prov iers. certifications of the healthcare organiz ations processes an Electronic Health R ecors (EHR ) sy stems. So, it is possib le to foresee that w e w ill b e ab le to mak e use of av antages on igital healthcare. A concern rises ab out the information security of those igitaliz e ata. This article focuses on highlighting the eb ates aroun information security w hen using EHR s, concluing w ith actions that the C hief Information Officer (C IO) of a healthcare organiz ation shall pay attention w hen ex pose to the challenge of igitaliz ing the healthcare processes. K ey w ors: Health Informatics, Information Management, R ules Health Information Security, Information Storage an R etriev al. I n t r o uç o O tema o Prontuário Eletrô nico o Paciente (PEP), ou R egistro Eletrô nico em Saúe (R ES) é amplo e circunao atualmente por v ários eb a- tes na área a Informática em Saúe. Em N o- v emb ro e 20 0 7, o Brasil eu mais um importante passo na v iab iliz aç o o uso o R ES pelas Organiz aç õ es em Saúe (OS) com a pub licaç o no Diário Oficial a R esoluç o 18 21/ 0 7 que aprov a as normas técnicas concernentes à igitaliz aç o e uso os sistemas informatiz aos para a guara e manuseio os ocumentos os prontuários os pacientes, autoriz ano a eliminaç o o papel e a troca e informaç o ientificaa em saúe [1]. C om esta resoluç o estab elece-se o amparo legal para o uso o registro e saúe em meio ex clusiv amente igital. Ao mesmo tempo, a quest o a seguranç a a informaç o ganha uma nov a imens o quano os aos confienciais e pacientes passam a estar armaz enaos em computaores e iscos rí gios. Um relató rio [2] sob re um estuo iscos rí gios escartaos e práticas e limpez a os aos mostrou que, em Agosto e 20 0 2, o C entro Méico e Aministraç o os V eteranos os EUA, em Inianó polis, v eneu ou oou 139 computaores sem remov er aos confienciais, incluino nomes e pacientes e AIDS e oenç as mentais. Em Maio e 20 0 6 um artigo e j ornal [2] enunciou que uma falha nos computaores poe ter lev ao ao roub o e aos referentes a 60.0 0 0 pacientes que v isitaram o C entro Méico a Univ ersiae e Ohio. Estes ex emplos serv iram e motiv aç o para que pesquisássemos o que v em seno eb atio em relaç o a parõ es e regulamentaç õ es e seguranç a a informaç o igital em saúe e quano o uso o R ES. Este artigo apresenta os resultaos e um lev antamento as normas e iretriz es nacionais e internacionais sob re a e seguranç a a informaç o na área e saúe.. 1

M é t o os Para compor o foco este artigo, consieramos 2 imensõ es a preparaç o a organiz a- ç o para o uso o R ES: a aequaç o e processos organiz acionais e a utiliz aç o e Sistemas e R ES (S-R ES) aequaos, b uscano os trab alhos que ex põ em os requisitos que garantam o chamao tripé a seguranç a a informaç o, isto é, confiencialiae, integriae e isponib iliae a informaç o. A F igura 1 representa graficamente este escopo. C oe of Practice for Information Security Management [5]. N o Brasil, as normas a ISO s o rev isaas e eitaas pela Associaç o Brasileira e N ormas Técnicas (ABN T), tornano-se, uma v ez aprov a- as, normas ABN T N BR ISO. A N orma ABN T N BR ISO 27 0 0 1 [3] escrev e um ciclo e ativ iaes o qual, uma v ez seguio, lev a à implementaç o e um Sistema e G est o a Seguranç a a Informaç o (SG SI) rob usto e com reconhecimento internacional no que se refere à garantia, pela organiz aç o, a seguranç a a informaç o entro e uma instituiç o [4]. A F igura 2 mostra os passos sugerios pela ISO com um estaque na seleç o os controles e seguranç a a informaç o. Figura 1: Representaç o o f oc o este artigo. Para atingir o mapeamento esej ao foram estuaas as normas e regulamentaç õ es em instituiç õ es inicaas por especialistas no tema. As instituiç õ es inicaas foram: C onselho F eeral e Meicina (C F M), Socieae Brasileira e Informática em Saúe (SBIS), Unite States Department of Health an Human Serv ices (US- HHS), International Organiz ation for Stanariz a- tion (ISO), Associaç o Brasileira e N ormas Técnicas (ABN T) e Instituto Health L ev el 7 (HL 7 ). Artigos sob re o tema que complementassem as informaç õ es ob tias tamb ém foram estuaos. Resul t a os Ab aix o mostramos o resultao a rev is o os materiais encontraos sob re o tema em caa uma as instituiç õ es, separano em parõ es internacionais e seguranç a a informaç o em saúe (one estuamos a ISO/ ABN T e o HL 7 ) e as legislaç õ es e regulamentaç õ es os EUA e o Brasil referentes ao tema. ISO e ABN T A ISO tem como ob j etiv o o esenv olv imento e parõ es internacionais nas mais iv ersas áreas. N o que se refere à seguranç a a informaç o, pub licou, por ex emplo, a ISO/ IEC 27.0 0 2; 20 0 5 - Information Technology - Security Techniques - Figura 2: Passos e im pl em entaç o e um sistem a e gest o a seguranç a a inf orm aç o. A apta o e [ 4]. Para suportar a efiniç o os controles e seguranç a em TI, a ISO esenv olv eu a norma ISO/ IEC 27 0 0 2 [5] hoj e j á com sua v ers o b rasileira a N BR ISO/ IEC 27 0 0 2:20 0 5 [6] que é um par o reconhecio internacionalmente e que prov ê controles e seguranç a a informaç o em ez áreas, como, por ex emplo, gerenciamento e ativ os; gerenciamento as operaç õ es e a comunicaç o, e gerenciamento a continuiae os negó cios. Os 127 controles listaos nesta norma s o irecionaos a toos os segmentos e Mercao. C aa organiz aç o ev e escolher um sub - conj unto estes controles que se aeque à sua realiae e metas quano o estab elecimento e um SG SI [5]. A ISO 27 0 0 2 (antigamente conhecia com ISO 17 7 9 9 ) j á v em seno usaa pelas áreas e informática para a gest o a seguranç a a informaç o. Além isso, a ISO formou um comitê técnico chamao e TC 215 Health Informatics para eb ater as especificiaes as emanas o segmento e saúe, propono parõ es especí ficos que atenam às caracterí sticas a prestaç o e serv iç os em saúe. Este comitê está atualmente finaliz ano o esenv olv imento o par o ISO-DIS 27 7 9 9 Health informatics - Information security management in health using ISO/ IEC 2

e 17 7 9 9 que b usca prov er alguns controles aicionais e uma ex plicaç o mais aprofunaa os controles escritos na ISO 27 0 0 2, para proteger a confiencialiae, integriae e isponib iliae a informaç o quano se trata o segmento e saúe [4]. A ISO/ DIS 27 7 9 9 recomena, por ex emplo, que a infra-estrutura e TI sej a capaz e prov er uma sincroniz aç o e tempo os ev entos e forma certificaa e v ália legalmente uma v ez que, em saúe, a linha cronoló gica os fatos e os registros e atenimento poe ser necessária e inv estigaç õ es. A norma ressalta aina ameaç as aicionais para as quais as organiz aç õ es e saúe ev em atentar, como a ameaç a e repuiaç o, ou sej a, e um usuário negar ter env iao ou receb io uma mensagem, fato que poe ser muito relev ante com a transmiss o e aos e pacientes entre instituiç õ es e tamb ém em auitorias ou inv estigaç õ es [7 ]. N o Brasil, as iniciativ as a ISO v ê m seno replicaas pela ABN T, que formou a C EE 1.7 8 C omiss o e Estuo Especial e Informática em Saúe, que está trab alhano em conj unto com a ISO na av aliaç o aequaç o as normas internacionais para a realiae b rasileira e possí v eis construç õ es e normas especí ficas ao contex to b rasileiro. Dentro esta C EE, um os grupos e trab alho é focao nas questõ es relativ as à seguranç a. Health L ev el 7 (HL 7 ) O HL 7 é uma as organiz aç õ es esenv olv eoras e parõ es certificaas pelo AN SI (sigla para Institutos N acionais Americanos e Paroniz a- ç o) operano na área e saúe com foco especí fico em normas para aos clí nicos e aministrativ os. N o Brasil, em fev ereiro e 20 0 7, foi criao o Instituto HL 7 Brasil com o fim e representar as ativ iaes o Instituto HL 7 no paí s [8 ]. Em F ev ereiro e 20 0 7 o Instituto HL 7 eitou o Moelo F uncional para S-R ES (em inglê s: EHR Sy stem F unctional Moel) que fornece uma lista com mais e 160 funç õ es que ev em estar presentes em um S-R ES. C omo v emos na representaç o a F igura 3, este moelo funcional é iv iio em 3 seç õ es: atenimento ireto; suporte e infra-estrutura e informaç o, seno que uma sub seç o esta última se refere à seguranç a [9 ]. Figura 3: Representaç o o m o el o f unc ional o H L 7 para sistem as e RES. Os requisitos a sub seç o e seguranç a v isam garantir que o S-R ES ex ecute suas funç õ es nas áreas e atenimento ireto e suporte, em um amb iente seguro. N a Tab ela 1 s o apresentaos quais os tó picos s o ab oraos pelo moelo funcional sugerio pelo HL 7 no que se refere à seguranç a e quantiae e critérios e conformiae que os S-R ES ev er o cumprir para estarem em conformiae com o moelo. m G â m b V T m H L Sub item a Sub seç o Nú ero e Seguranç a Crité rios Autentic aç o e Enti a e 4 Autoriz aç o e Enti a e 7 Control e e Ac esso e Enti a e 4 est o o Ac esso o Pac iente 1 N o-repu iaç o 4 Interc io Seguro e Da os 5 Roteam ento Seguro e Da os 3 al i aç o a Inf orm aç o 7 Priv ac i a e e Conf i enc ial i a e o 10 Pac iente ab el a 1: Req uisitos e seguranç a para S-RES segun- o o o el o ref erenc ial o 7. O etalhamento os critérios poe ser encontrao no ocumento o moelo referencial o HL 7. Por ex emplo, o item n o-repuiaç o eclara que o S-R ES ev e limitar a possib iliae e um usuário e negar (repuiar) a origem, o receb imento ou a autoriz aç o e uma troca e aos na qual o usuário participou. Em saúe, esta informaç o é e v ital importâ ncia para o acompanhamento os profissionais que ateneram eterminao paciente, b em como em comprov aç õ es j urí icas e legais. Para cumprir tal requisito, o moelo o HL 7 coloca como critérios ob rigató rios, que o S-R ES tenha um registro temporal (t i m s t a m p ) as aç õ es nele ex ecutaas além e funç õ es especificas e n o-repuiaç o epeneno a prática méica, as polí ticas a instituiç o e a legislaç o [9 ]. Estas normas e parõ es esenv olv ios por organiz aç õ es internacionais, como ISO e HL 7, acab am serv ino e b ase para as legislaç õ es e 3

caa paí s para o uso o R ES, somaas às especificiaes e caa naç o. R egulamentaç õ es e L egislaç õ es e Uso o R ES A seguranç a a informaç o na atenç o à saúe n o é só um tema as organiz aç õ es em saúe. Em muitos paí ses há um env olv imento gov ernamental no estab elecimento e uma regulamentaç o que garantas a confiencialiae, isponib iliae e integriae os aos o paciente e as informaç õ es e saúe uma v ez que se tornam igitais. Estuamos as regulamentaç õ es os EUA e o Brasil. N os EUA, esta regulamentaç o é b aseaa na lei e 19 9 6 chamaa e HIPAA, sigla para Health Insurance Portab ility an Accountab ility Act, a qual etermina a paroniz aç o nas transaç õ es e aos entre prov eores e pagaores os serv iç os e saúe. Determina aina a ex istê ncia e polí ticas formais para proteger e manter o acesso aos aos e pacientes e que tamb ém forneç a aos clientes o ireito e ter acesso à informaç o e como e por quem seus aos pessoais ser o usaos, permitino aos mesmos inspecionar e possiv elmente aicionar informaç õ es [10 ]. A HIPAA cob re os planos e saúe e prov eores e serv iç o que transacionem informaç õ es e saúe e moo eletrô nico. Esta lei foi promulgaa b uscano aumentar a eficiê ncia e eficácia o sistema e saúe com meias e simplificaç o aministrativ a. Estas meias forç a- v am a aoç o e parõ es nacionais para a troca e informaç õ es e saúe em meio igital. Para garantir que a informatiz aç o os aos e pacientes n o prej uicasse a confiencialiae e a priv aciae, a legislaç o incluiu proteç õ es feerais à priv aciae a informaç o iniv iual ientificaa em saúe [11]. A parte a HIPAA referente à priv aciae e seguranç a (parte no. 164) estab elece os requisitos que a organiz aç o em saúe ev e implementar. Estes requisitos env olv em proteç õ es nos â mb itos aministrativ o, fí sico e técnico. N a parte e seguranç a, uma atenç o especial é aa à priv aciae a informaç o ientificaa em saúe [12]. O número e requisitos e caa um os 3 b locos e proteç õ es a HIPAA s o mostraos na Tab ela 2. Proteç õ es Dem an a as pel a H IPAA No. e Req uisitos a Serem Im pl em enta- os õ m õ f í õ c Proteç es a inistrativ as 23 Proteç es sic as 10 Proteç es té nic as 9 T ab el a 2: Nú m ero e req uisitos a serem im pl em enta os nas proteç õ es em an a as pel a H IPAA. Se compararmos a HIPAA à ISO 27 0 0 2 v e- remos que a iferenç a funamental é que esta regulamentaç o americana é focaa na proteç o a informaç o em saúe enquanto a norma ISO v isa a proteç o e qualquer tipo e informaç o [13]. N o Brasil, o C onselho F eeral e Meicina (C F M) pub licou recentemente a R esoluç o 18 21/ 20 7 que regula o uso e métoos e igitaliz aç o e aos e pacientes e ou uso e S-R ES com registro e informaç õ es e saúe e moo informatiz ao. Esta resoluç o aprov ou o Manual e C ertificaç o para Sistemas e R egistro Eletrô - nico em Saúe, elab orao em conv ê nio com a Socieae Brasileira e Informática em Saúe (SBIS) [1]. O manual eitao pela SBIS/ C F M etalha os requisitos que os S-R ES ev em atener separaos em (1) requisitos e seguranç a, (2) conteúo e funcionaliaes e (3) requisitos o par o Troca e Informaç õ es em Saúe Suplementar (TISS), a Agê ncia N acional e Saúe Suplementar (AN S), como poemos v er na representaç o a F igura 4 [14]. Figura 4: Req uisitos para o S-RES segun o SB IS/ CFM. A certificaç o os S-R ES é passo funamental para a igitaliz aç o total o prov imento e serv iç os e saúe e o ab anono os registros em papel. N o que se refere a esta meta, o manual estab elece ois ní v eis e garantia e seguranç a chamaos e N G S1 e N G S2 (conforme F igura 4). A F igura 5 mostra qual o uso e caa um estes ní v eis pelas organiz aç õ es em saúe [14]. Figura 5: Ní v eis e garantia e seguranç a para S-RES. O N G S1 é um grupo e requisitos que o S- R ES ev e atener e forma a poer ser utiliz ao em hospitais e outras instituiç õ es prestaoras e serv iç os em saúe. Estes requisitos usam como b ase o moelo funcional o HL 7, normas ISO e seguranç a a Informaç o (i.e, ISO N BR 27 0 0 1) e e certificaç o e softw are (p.ex, ISO 8 60 1), além e normas efinias pela SBIS/ C F M. Estes requisitos est o iv iios em 11 categorias, caa uma com uma quantiae e itens a serem atenios, como mostrao na Tab ela 3 [14]. 4

V Categoria No. e Req uisitos Control e a ers o o Sof tw are 4 I entif ic aç o e Autentic aç o e Usuário 5 Control e e Sess o e Usuário 2 Autoriz aç o e Control e e Ac es- 9 T O c so Disponib il i a e o RES 2 Com unic aç o Rem ota 6 Seguranç a e Da os 8 Au itoria 4 Doc um entaç o 8 em po 2 Notif ic aç o e orrê nc ias 1 T ab el a 3: Req uisitos q ue os S-RES ev em aten er para NG S1 O N G S2 introuz a utiliz aç o e certificaos igitais permitino à organiz aç o eliminar o uso o registro em papel os aos e saúe e atenç o aos pacientes. Para isso, estab elece requisitos aicionais ao N G S1 que o S-R ES ev e atener, b aseaos na IC P-Brasil além e normas b aseaas em resoluç õ es o C F M, SBIS e a Electronic Signatures Infrastructure (ETSI). A Tab ela 4 mostra as categorias e a quantiae e requisitos [14]. z ( c G T q Categoria No. e Req uisitos Certif ic aç o Digital 4 Assinatura Digital 8 Autentic aç o e Usuário Util i- an o Certif ic a o Digital 4 Digital iz aç o e Doc um entos apenas para S-RES a ategoria ED-G est o El etrô nic a e 9 Doc um entos) ab el a 4: Req uisitos a ic ionais ue os S-RES ev em aten er para NG S2. C omo mostramos no iní cio o artigo, um S- R ES que garanta a seguranç a a informaç o e saúe precisa estar aliao a um SG SI a organiz aç o como um too. N o que se refere a esta emana, o C F M/ SBIS recomena a utiliz aç o as práticas e gest o a seguranç a a informaç o escritas na N BR ISO/ IEC 27 0 0 2 e a certificaç o e aerê ncia à N orma ABN N BR ISO/ IEC 27 0 0 1:20 0 6 [14]. Além a regulamentaç o para o uso o R ES no fornecimento e saúe, no Brasil, a AN S estab eleceu a R N 153/ 20 0 7 como par o ob rigató rio para a troca e informaç õ es entre operaoras e planos priv aos e assistê ncia à saúe e prestaores e serv iç os e saúe sob re os ev entos e saúe, realiz aos em b eneficiários e plano priv ao e assistê ncia à saúe, o TISS. A F igura 6 mostra as 4 partes componentes este par o [15]. Figura 6: Partes c om ponentes o T ISS. N o que se refere à seguranç a o par o estab elece os requisitos mí nimos as proteç õ es aministrativ as, técnicas e fí sicas necessárias à garantia a confiencialiae as informaç õ es em saúe. Para isso, ex ige iferentes ní v eis e seguranç a para iferentes serv iç os. Para as empresas que optem pela transmiss o v ia internet, sej a por conex o pró pria ou e terceiras, ex ige-se o N G S1 o manual eitao pelo SBIS/ C F M citao acima, além a ob serv â n- cia os controles citaos na N BR ISO/ IEC 17 7 9 9 (hoj e, ISO 27 0 0 2). J á para empresas que optem pelo uso e serv iç os w eb (SOAP/ X ML ), recomena-se a aequaç o ao N G S2. Q uanto à transmiss o remota e aos i- entificaos, o TISS ex ige que os sistemas possuam um certificao igital emitio pela IC P Brasil [15]. A v ers o final o primeiro manual que etalha o processo e certificaç o está atualmente (J ulho e 20 0 8 ) em consulta púb lica e, uma v ez aprov ao, será possí v el que fab ricantes e S- R ES iniciem os trab alhos e testes e certificaç o j unto à SBIS/ C F M. C on c l usõ es C oncluí mos com este estuo que há material e conhecimento esenv olv io para suportar a migraç o para a saúe igital no que iz respeito à seguranç a a informaç o. As principais normas b rasileiras e internacionais, como ISO, HL 7, SBIS/ C F M e AN S, eicam um foco especial ao tema. Ientificamos que a preparaç o para a eliminaç o o papel na atenç o à saúe passa pela escolha e S-R ESs que sej am certificaos, mas tamb ém por uma preparaç o organiz acional com o estab elecimento e um SG SI que faç a com que os processos a organiz aç o sej am tamb ém seguros o suficiente para a prestaç o e serv iç os em saúe. N este momento em que temos a efetiv aç o e passos importantes para que a saúe igital se estab eleç a no Brasil, como a pub licaç o a resoluç o 18 21/ 0 7 o C F M, a pergunta que nos fica é: qu o preparaas est o nossas instituiç õ es e saúe para garantir a seguranç a a informaç o igital?. É sob re esta pergunta que a pesquisa seguirá em seus pró x imos passos, b uscano formas e irecionar uma metoologia para responer tal quest o. 5

Ref er ê n c i a s [1] C onselho F eeral e Meicina (C F M), R esoluç o C F M N º 1.8 21, Diário Oficial a Uni o; Poer Ex ecutiv o, Brasí lia, DF, 23 nov. 20 0 7. Seç o I, p. 252. (cerca e 6 páginas) isponí v el em: http:/ / w w w.portalmeico.org.b r/ resolucoes/ cfm/ 20 0 7 / 18 21_ 20 0 7.htm.20 0 7. [2] Hoffman S, Pogursk i A, " In Sick ness, Health, an C y b erspace: Protecting the Security of Electronic Priv ate Health Information" ; isponí v el em: http:/ / ssrn.com/ ab stract= 9 310 69. 20 0 6. [3] ABN T N BR ISO/ IEC 27.0 0 1; Sistemas e G est o e Seguranç a a Informaç o R equisitos. Disponí v el em: http:/ / w w w.ab ntnet.com.b r/ ecommerce/ efault.asp. 20 0 6. [4] ISO TC 215, 20 0 6; ISO/ Draft of international stanar 27 7 9 9 : health informatics security management in health using ISO/ IEC 17 7 9 9, IC S 35.240.8 0 ; International Stanar Organiz ation Technical C ommittee 215 Health Informatics. 20 0 6. [5] ISO/ IEC 27.0 0 2; Information technology - Security techniques -- C oe of practice for information security management. Disponí v el em: http:/ / w w w.iso.org/ iso/ iso_ catalogue/ catalogue_ tc/ catalogue_ etail.htm? csnumb er= 50 29 7. 20 0 5. [6] ABN T N BR ISO/ IEC 27.0 0 2; C ó igo e Prática para a G est o a Seguranç a a Informaç o. Disponí v el em: http:/ / w w w.ab ntnet.com.b r/ ecommerce/ efault.asp. 20 0 5. [7 ] G ottb erg H, Pisa I, L e o B ; Dealing w ith the complex ities w hen implementing information security practices in healthcare organiz ations; HealthIN F 20 0 8, Portugal. 20 0 8. [8 ] Instituto Health L ev el 7 Brasil; (cerca e 1 página) isponí v el em: http:/ / w w w.hl7 b raz il.org/. 20 0 8. [9 ] HL 7 Institute; 20 0 7 ; HL 7 - EHR -S F unctional Moel; isponí v el em: http:/ / w w w.hl7.org/ ehr/ ow nloas/ inex _ 20 0 7.asp.20 0 7. [10 ] Shortliffe E, C imino J ; Biomeical Informatics: C omputer Applications in Health C are an Biomeicine, 3r E.; Springer Science+ Business Meia, L L C. 20 0 6. [11] US-HHS,; G eneral ov erv iew of stan-ars for priv acy of iniv iually ientifiab le health information; Unite States Dept. of Health an Human Serv ices; isponí v el em: http:/ / w w w.hhs.gov / ocr/ hipaa/ guielines/ ov erv iew. pf. 20 0 3. [12] US-HHS,HIPAA Aministrativ e Simplification R egulation Tex t; Unite States Dept. of Health an Human Serv ices isponí v el em: http:/ / w w w.hhs.gov / ocr/ AminSimpR egtex t.pf;.20 0 6. [13] Bork in S; HIPAA F inal Security Stanars an ISO/ IEC 17 7 9 9 ; SAN S Institute. 20 0 3. [14] L e o B, C osta C, F orman J, Silv a M, G alv ao D (e); Manual e C ertificaç o para Sistemas e R egistro Eletrô nico em Saúe Manual v ers o 3.1; isponí v el em: http:/ / w w w.sb is.org.b r/ certificacao/ Manual_ C ertific cao_ SBIS_ C F M_ F ase2_ v 3.1_ C onsulta_ Pub lica.p f.; 20 0 8. [15] Agê ncia N acional e Saúe Suplementar (AN S); 20 0 7 ; R esoluç o N ormativ a 153 e 28 / Maio/ 20 0 7. 20 0 7. C on t a t o O autor principal poe ser encontrao atrav és o e mail heitor@ cisco.com e e sua página no L ink ein: http:/ / w w w.link ein.com/ in/ heitor. Os e- mails os emais autores s o: thiagopg@ is.epm.b r; b fleao@ terra.com.b r e iv an.pisa@ unifesp.b r. 6

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback