Rządowy projekt ustawy o systemie informacji w ochronie zdrowia
Rządowy projekt ustawy o systemie informacji w ochronie zdrowia
- Kadencja sejmu: 6
- Nr druku: 3485
- Data wpłynięcia: 2010-10-15
- Uchwalenie: Projekt uchwalony
- tytuł: o systemie informacji w ochronie zdrowia
- data uchwalenia: 2011-04-28
- adres publikacyjny: Dz.U. Nr 113, poz. 657
3485-001
4) wymagania standaryzujące w zakresie bezpieczeństwa, wydajności i rozwoju
systemów monitorowania.
§ 2. Określenia użyte w rozporządzeniu oznaczają:
1) cykl życia - działania dotyczące systemu od chwili opracowania koncepcji do chwili
jego wycofania z eksploatacji;
2) działanie - zestaw czynności wymagających czasu i zasobów, których wykonanie jest
niezbędne, aby system zmienił stan lub aby zaszło zdarzenie dotyczące systemu
teleinformatycznego;
3) naruszenie bezpieczeństwa informacji - zdarzenie, mające lub mogące mieć
niekorzystny wpływ na bezpieczeństwo informacji;
4) proces cyklu życia - ciąg działań realizowanych na określonym etapie cyklu życia
systemu;
5) system zarządzania bezpieczeństwem informacji – zespół środków i przedsięwzięć
organizacyjnych i technicznych stosowanych w celu zabezpieczenia zasobów systemu
teleinformatycznego oraz ochrony informacji przed utratą poufności, integralności i
dostępności;
6) walidacja systemu – sprawdzenie prawidłowości działania systemu w jego środowisku
użytkowym w odniesieniu do zdefiniowanych wymagań użytkownika.
§ 3. 1. Na opis systemów monitorowania składa się:
1) opis struktury systemów monitorowania;
2) opis komunikacji systemów monitorowania.
2. Struktura systemów monitorowania określa podział systemów na elementy, uwzględniając
ich hierarchię, organizację i komunikację.
3. Elementy systemów monitorowania komunikują się ze sobą przez zastosowanie jednolitych
standardów przesyłania danych w formacie XML.
§ 4. 1. ZSMO w zakresie swojej minimalnej funkcjonalności udostępnia usługi związane z :
2) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2006 r. Nr 12, poz.65 i Nr 73, poz. 501, z 2008 r.
Nr 127, poz. 817, z 2009 r. Nr 157, poz. 1241 oraz z 2010 r. Nr 40, poz. 230, Nr 167, poz. 1131 i Nr 182, poz.
1228.
2
1) przekazywaniem w postaci elektronicznej kwartalnych raportów dotyczących
wielkości obrotu produktami leczniczymi, o których mowa w przepisach wydanych
na podstawie art. 78 ust. 3 ustawy z dnia 6 września 2001 r. - Prawo
farmaceutyczne (Dz. U. z 2008 r. Nr 45, poz. 271, z późn. zm.3));
2) przekazywaniem przez kierownika apteki informacji o obrocie i stanie posiadania
określonych produktów leczniczych i wyrobów medycznych poprzez:
a) pobranie wzoru raportu w formacie umożliwiającym jego wygenerowanie z
systemu obsługującego aptekę,
b) możliwość przesłania raportu drogą elektroniczną,
c) możliwość uzyskania zestawień z raportów według zadanych kryteriów;
3) gromadzenia danych dotyczących obrotu produktami leczniczymi –
wygenerowanymi z Systemu Informacji Medycznej, zwanego dalej „SIM” poprzez:
a) dostęp do zestawień statystycznych w zakresie obrotu produktami
leczniczymi i wyrobami medycznymi ewidencjonowanymi w SIM,
b) dostęp do danych ewidencjonowanych w SIM i możliwość ich zestawienia z
danymi zawartymi w Systemie Monitorowania Zagrożeń – w
przypadkach zagrożenia zdrowia lub życia usługobiorców;
2. SMKP w zakresie swojej minimalnej funkcjonalności udostępnia usługi związane z:
1) gromadzeniem informacji pozwalających na określenie zapotrzebowania na
miejsca szkoleniowe w określonych dziedzinach medycyny;
2) monitorowaniem kształcenia podyplomowego pracowników medycznych;
3) monitorowaniem przebiegu kształcenia specjalizacyjnego pracowników
medycznych;
4) wspomaganiem procesu zarządzania systemem kształcenia pracowników
medycznych;
- zgodnie z wymogami określonymi w przepisach określonych w art. 30 ust. 2 ustawy
z dnia ... o systemie informacji w ochronie zdrowia.
3. Usługi, o których mowa w ust. 1, są udostępniane z wykorzystaniem drogi elektronicznej w
rozumieniu i zgodnie z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą
elektroniczną (Dz. U. Nr 144, poz. 1204, z późn. zm.4)).
3) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2008 r. Nr 227, poz. 1505 i Nr
234, poz. 1570 oraz z 2009 r. Nr 18, poz. 97, Nr 31, poz. 206, Nr 92, poz. 753, Nr 95, poz. 788 i Nr 98, poz. 817
oraz z 2010 r. Nr 78, poz. 513 i Nr 107, poz. 679.
4) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2004 r. Nr 96, poz. 959 i Nr 173, poz. 1808, z 2007
r. Nr 50, poz. 331, z 2008 r. Nr 171, poz. 1056 i Nr 216, poz. 1371 oraz z 2009 r. Nr 201, poz. 1540.
3
§ 5. 1. Administratorzy systemów monitorowania w zakresie niezbędnym dla właściwego
działania przypisanych im systemów ustanawiają, dokumentują, wdrażają, nadzorują i
utrzymują oraz stale usprawniają system zarządzania bezpieczeństwem informacji, zwany
dalej „SZBI”.
2. Administrator systemu jest zobowiązany dostosowywać opracowane przez siebie SZBI, w
taki sposób, aby administrowany system był odporny na dokonywanie naruszeń
bezpieczeństwa informacji w realizowanych systemach.
§ 6. 1. W skład SZBI wchodzą następujące działania:
1) zidentyfikowanie i analiza zagrożeń bezpieczeństwa informacji oraz określenie
zabezpieczeń odpowiednich do stwierdzonych zagrożeń;
2) zabezpieczenia organizacyjne i prawne w kontaktach z innymi osobami i
podmiotami;
3) klasyfikacja i kontrola dostępu do zasobów systemu teleinformatycznego oraz do
informacji przetwarzanych przez ten system;
4) dobór, szkolenie i sprawdzanie personelu obsługującego system
teleinformatyczny;
5) zabezpieczenie fizyczne obiektów i urządzeń systemu teleinformatycznego;
6) opracowywanie i utrzymywanie systemów teleinformatycznych z
uwzględnieniem wymogów bezpieczeństwa i stosowaniem kryptograficznej
ochrony danych zwłaszcza w czasie transmisji;
7) zarządzanie ciągłością działania systemu teleinformatycznego, zwłaszcza w
warunkach wystąpienia naruszenia bezpieczeństwa informacji albo zagrożenia
jego wystąpienia.
2. Działań, o których mowa w ust. 1, dokonuje się z zachowaniem wymagań określonych w
ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. nr 182, poz. 1228)
w przypadku przetwarzania w systemie informacji niejawnych oraz w ustawie z dnia 29
sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn.
zm.5)) w przypadku przetwarzania w systemie danych osobowych.
5) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z
2004 r. Nr 25, poz. 219, Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz. 1170, Nr 176,
poz. 1238, z 2010 r. Nr 41, poz. 233.
4
§ 7. Na czas przekazywania systemu monitorowania do eksploatacji administrator systemu
dla każdego z systemów opracowuje:
1) strategię i zakres SZBI właściwe dla podmiotu publicznego i zakresu zadań
publicznych, które realizuje;
2) zasady postępowania w przypadku wystąpienia naruszenia bezpieczeństwa
informacji;
3) zasady postępowania zapobiegającego wystąpieniu naruszenia bezpieczeństwa
informacji wraz z oceną ryzyka wystąpienia naruszenia bezpieczeństwa
informacji;
4) uzasadnienie ochrony grup informacji;
5) zasady nadzoru nad sporządzaniem i dostępem do dokumentacji SZBI, w zakresie
określonym w pkt 1-4.
§ 8. 1. Administratorzy systemów monitorowania, zgodnie z określeniem zakresu
odpowiedzialności, prowadzą w regularnych odstępach czasu audyt SZBI w celu kontroli
stopnia przestrzegania wymagań SZBI, o których mowa w § 5-7.
2. Audyt SZBI powinien być prowadzony przez audytora lub audytorów dających rękojmię
wykonania należytej kontroli SZBI.
3. Uzyskane w wyniku audytu SZBI dane, świadczące o możliwości zaistnienia lub
zaistnieniu naruszenia bezpieczeństwa informacji powinny być zabezpieczone i
przechowywane w celach dowodowych.
§ 9. Administratorzy systemów monitorowania odpowiadają za koordynację działań w
zakresie uzyskania zgodności systemów z celami określonymi w ustawie z dnia … o systemie
informacji w ochronie zdrowia.
§ 10. System monitorowania spełnia wymagania określone w rozporządzeniu jeżeli:
1) w zakresie funkcjonalności:
a) realizuje funkcje odpowiednie do realizacji założonych celów,
b) daje poprawne albo uzgodnione wyniki lub efekty z wystarczającą dokładnością,
c) jest zdolny do współdziałania z innymi systemami,
d) chroni informacje i dane przed odczytem lub modyfikacją będącą efektem
nieupoważnionego działania osoby lub innego systemu teleinformatycznego;
5
2) w zakresie niezawodności:
a) nie powoduje awarii w następstwie wystąpienia błędu w oprogramowaniu lub
ograniczać skutki takiej awarii,
b) zachowuje zdolność do utrzymywania możliwości utrzymania minimalnej
funkcjonalności w przypadku wystąpienia awarii,
c) umożliwia odzyskanie i odtworzenie stanu działania sprzed awarii;
3) w zakresie używalności:
a) umożliwia użytkownikowi zrozumienie, czy oprogramowanie jest dla niego
właściwe i czy może być wykorzystane do wykonania określonego zadania w
określonych warunkach,
b) umożliwia nauczenie się korzystania z systemu,
c) jest ergonomiczny;
4) w zakresie wydajności:
a) umożliwia uzyskiwanie prawidłowych odpowiedzi systemu w założonym czasie
reakcji,
b) umożliwia efektywne uzyskiwanie poprawnych wyników działania systemu przy
dostępnych zasobach.
§ 11. 1. Szczegółowe kryteria definiowania i oceny wymagań, o których mowa w § 10,
określa norma ISO / IEC 9126, zgodnie z klasyfikacją właściwości systemu monitorowania.
2. Wymagania, o których mowa w § 10, uwzględnia się podczas projektowania, wdrażania i
modyfikowania systemu.
3. W celu oceny spełnienia przez system monitorowania wymagań, o których mowa w § 10,
prowadzi się weryfikację systemu, a - jeżeli jest to możliwe i uzasadnione – także jego
walidację.
§ 12. Zakres komunikacji między elementami struktury systemów w tym zestawienie struktur
dokumentów elektronicznych niezbędnych do realizacji tej komunikacji wynika z prac
implementacyjnych dotyczących poszczególnych systemów i jest opracowywany nie później,
niż na czas przekazywania poszczególnych systemów do eksploatacji.
§ 13. 1. System monitorowania w czasie opracowywania i eksploatacji podlega cyklowi życia.
Etapy cyklu życia systemu określa załącznik do rozporządzenia.
6
systemów monitorowania.
§ 2. Określenia użyte w rozporządzeniu oznaczają:
1) cykl życia - działania dotyczące systemu od chwili opracowania koncepcji do chwili
jego wycofania z eksploatacji;
2) działanie - zestaw czynności wymagających czasu i zasobów, których wykonanie jest
niezbędne, aby system zmienił stan lub aby zaszło zdarzenie dotyczące systemu
teleinformatycznego;
3) naruszenie bezpieczeństwa informacji - zdarzenie, mające lub mogące mieć
niekorzystny wpływ na bezpieczeństwo informacji;
4) proces cyklu życia - ciąg działań realizowanych na określonym etapie cyklu życia
systemu;
5) system zarządzania bezpieczeństwem informacji – zespół środków i przedsięwzięć
organizacyjnych i technicznych stosowanych w celu zabezpieczenia zasobów systemu
teleinformatycznego oraz ochrony informacji przed utratą poufności, integralności i
dostępności;
6) walidacja systemu – sprawdzenie prawidłowości działania systemu w jego środowisku
użytkowym w odniesieniu do zdefiniowanych wymagań użytkownika.
§ 3. 1. Na opis systemów monitorowania składa się:
1) opis struktury systemów monitorowania;
2) opis komunikacji systemów monitorowania.
2. Struktura systemów monitorowania określa podział systemów na elementy, uwzględniając
ich hierarchię, organizację i komunikację.
3. Elementy systemów monitorowania komunikują się ze sobą przez zastosowanie jednolitych
standardów przesyłania danych w formacie XML.
§ 4. 1. ZSMO w zakresie swojej minimalnej funkcjonalności udostępnia usługi związane z :
2) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2006 r. Nr 12, poz.65 i Nr 73, poz. 501, z 2008 r.
Nr 127, poz. 817, z 2009 r. Nr 157, poz. 1241 oraz z 2010 r. Nr 40, poz. 230, Nr 167, poz. 1131 i Nr 182, poz.
1228.
2
1) przekazywaniem w postaci elektronicznej kwartalnych raportów dotyczących
wielkości obrotu produktami leczniczymi, o których mowa w przepisach wydanych
na podstawie art. 78 ust. 3 ustawy z dnia 6 września 2001 r. - Prawo
farmaceutyczne (Dz. U. z 2008 r. Nr 45, poz. 271, z późn. zm.3));
2) przekazywaniem przez kierownika apteki informacji o obrocie i stanie posiadania
określonych produktów leczniczych i wyrobów medycznych poprzez:
a) pobranie wzoru raportu w formacie umożliwiającym jego wygenerowanie z
systemu obsługującego aptekę,
b) możliwość przesłania raportu drogą elektroniczną,
c) możliwość uzyskania zestawień z raportów według zadanych kryteriów;
3) gromadzenia danych dotyczących obrotu produktami leczniczymi –
wygenerowanymi z Systemu Informacji Medycznej, zwanego dalej „SIM” poprzez:
a) dostęp do zestawień statystycznych w zakresie obrotu produktami
leczniczymi i wyrobami medycznymi ewidencjonowanymi w SIM,
b) dostęp do danych ewidencjonowanych w SIM i możliwość ich zestawienia z
danymi zawartymi w Systemie Monitorowania Zagrożeń – w
przypadkach zagrożenia zdrowia lub życia usługobiorców;
2. SMKP w zakresie swojej minimalnej funkcjonalności udostępnia usługi związane z:
1) gromadzeniem informacji pozwalających na określenie zapotrzebowania na
miejsca szkoleniowe w określonych dziedzinach medycyny;
2) monitorowaniem kształcenia podyplomowego pracowników medycznych;
3) monitorowaniem przebiegu kształcenia specjalizacyjnego pracowników
medycznych;
4) wspomaganiem procesu zarządzania systemem kształcenia pracowników
medycznych;
- zgodnie z wymogami określonymi w przepisach określonych w art. 30 ust. 2 ustawy
z dnia ... o systemie informacji w ochronie zdrowia.
3. Usługi, o których mowa w ust. 1, są udostępniane z wykorzystaniem drogi elektronicznej w
rozumieniu i zgodnie z ustawą z dnia 18 lipca 2002 r. o świadczeniu usług drogą
elektroniczną (Dz. U. Nr 144, poz. 1204, z późn. zm.4)).
3) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2008 r. Nr 227, poz. 1505 i Nr
234, poz. 1570 oraz z 2009 r. Nr 18, poz. 97, Nr 31, poz. 206, Nr 92, poz. 753, Nr 95, poz. 788 i Nr 98, poz. 817
oraz z 2010 r. Nr 78, poz. 513 i Nr 107, poz. 679.
4) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2004 r. Nr 96, poz. 959 i Nr 173, poz. 1808, z 2007
r. Nr 50, poz. 331, z 2008 r. Nr 171, poz. 1056 i Nr 216, poz. 1371 oraz z 2009 r. Nr 201, poz. 1540.
3
§ 5. 1. Administratorzy systemów monitorowania w zakresie niezbędnym dla właściwego
działania przypisanych im systemów ustanawiają, dokumentują, wdrażają, nadzorują i
utrzymują oraz stale usprawniają system zarządzania bezpieczeństwem informacji, zwany
dalej „SZBI”.
2. Administrator systemu jest zobowiązany dostosowywać opracowane przez siebie SZBI, w
taki sposób, aby administrowany system był odporny na dokonywanie naruszeń
bezpieczeństwa informacji w realizowanych systemach.
§ 6. 1. W skład SZBI wchodzą następujące działania:
1) zidentyfikowanie i analiza zagrożeń bezpieczeństwa informacji oraz określenie
zabezpieczeń odpowiednich do stwierdzonych zagrożeń;
2) zabezpieczenia organizacyjne i prawne w kontaktach z innymi osobami i
podmiotami;
3) klasyfikacja i kontrola dostępu do zasobów systemu teleinformatycznego oraz do
informacji przetwarzanych przez ten system;
4) dobór, szkolenie i sprawdzanie personelu obsługującego system
teleinformatyczny;
5) zabezpieczenie fizyczne obiektów i urządzeń systemu teleinformatycznego;
6) opracowywanie i utrzymywanie systemów teleinformatycznych z
uwzględnieniem wymogów bezpieczeństwa i stosowaniem kryptograficznej
ochrony danych zwłaszcza w czasie transmisji;
7) zarządzanie ciągłością działania systemu teleinformatycznego, zwłaszcza w
warunkach wystąpienia naruszenia bezpieczeństwa informacji albo zagrożenia
jego wystąpienia.
2. Działań, o których mowa w ust. 1, dokonuje się z zachowaniem wymagań określonych w
ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. nr 182, poz. 1228)
w przypadku przetwarzania w systemie informacji niejawnych oraz w ustawie z dnia 29
sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn.
zm.5)) w przypadku przetwarzania w systemie danych osobowych.
5) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z
2004 r. Nr 25, poz. 219, Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz. 1170, Nr 176,
poz. 1238, z 2010 r. Nr 41, poz. 233.
4
§ 7. Na czas przekazywania systemu monitorowania do eksploatacji administrator systemu
dla każdego z systemów opracowuje:
1) strategię i zakres SZBI właściwe dla podmiotu publicznego i zakresu zadań
publicznych, które realizuje;
2) zasady postępowania w przypadku wystąpienia naruszenia bezpieczeństwa
informacji;
3) zasady postępowania zapobiegającego wystąpieniu naruszenia bezpieczeństwa
informacji wraz z oceną ryzyka wystąpienia naruszenia bezpieczeństwa
informacji;
4) uzasadnienie ochrony grup informacji;
5) zasady nadzoru nad sporządzaniem i dostępem do dokumentacji SZBI, w zakresie
określonym w pkt 1-4.
§ 8. 1. Administratorzy systemów monitorowania, zgodnie z określeniem zakresu
odpowiedzialności, prowadzą w regularnych odstępach czasu audyt SZBI w celu kontroli
stopnia przestrzegania wymagań SZBI, o których mowa w § 5-7.
2. Audyt SZBI powinien być prowadzony przez audytora lub audytorów dających rękojmię
wykonania należytej kontroli SZBI.
3. Uzyskane w wyniku audytu SZBI dane, świadczące o możliwości zaistnienia lub
zaistnieniu naruszenia bezpieczeństwa informacji powinny być zabezpieczone i
przechowywane w celach dowodowych.
§ 9. Administratorzy systemów monitorowania odpowiadają za koordynację działań w
zakresie uzyskania zgodności systemów z celami określonymi w ustawie z dnia … o systemie
informacji w ochronie zdrowia.
§ 10. System monitorowania spełnia wymagania określone w rozporządzeniu jeżeli:
1) w zakresie funkcjonalności:
a) realizuje funkcje odpowiednie do realizacji założonych celów,
b) daje poprawne albo uzgodnione wyniki lub efekty z wystarczającą dokładnością,
c) jest zdolny do współdziałania z innymi systemami,
d) chroni informacje i dane przed odczytem lub modyfikacją będącą efektem
nieupoważnionego działania osoby lub innego systemu teleinformatycznego;
5
2) w zakresie niezawodności:
a) nie powoduje awarii w następstwie wystąpienia błędu w oprogramowaniu lub
ograniczać skutki takiej awarii,
b) zachowuje zdolność do utrzymywania możliwości utrzymania minimalnej
funkcjonalności w przypadku wystąpienia awarii,
c) umożliwia odzyskanie i odtworzenie stanu działania sprzed awarii;
3) w zakresie używalności:
a) umożliwia użytkownikowi zrozumienie, czy oprogramowanie jest dla niego
właściwe i czy może być wykorzystane do wykonania określonego zadania w
określonych warunkach,
b) umożliwia nauczenie się korzystania z systemu,
c) jest ergonomiczny;
4) w zakresie wydajności:
a) umożliwia uzyskiwanie prawidłowych odpowiedzi systemu w założonym czasie
reakcji,
b) umożliwia efektywne uzyskiwanie poprawnych wyników działania systemu przy
dostępnych zasobach.
§ 11. 1. Szczegółowe kryteria definiowania i oceny wymagań, o których mowa w § 10,
określa norma ISO / IEC 9126, zgodnie z klasyfikacją właściwości systemu monitorowania.
2. Wymagania, o których mowa w § 10, uwzględnia się podczas projektowania, wdrażania i
modyfikowania systemu.
3. W celu oceny spełnienia przez system monitorowania wymagań, o których mowa w § 10,
prowadzi się weryfikację systemu, a - jeżeli jest to możliwe i uzasadnione – także jego
walidację.
§ 12. Zakres komunikacji między elementami struktury systemów w tym zestawienie struktur
dokumentów elektronicznych niezbędnych do realizacji tej komunikacji wynika z prac
implementacyjnych dotyczących poszczególnych systemów i jest opracowywany nie później,
niż na czas przekazywania poszczególnych systemów do eksploatacji.
§ 13. 1. System monitorowania w czasie opracowywania i eksploatacji podlega cyklowi życia.
Etapy cyklu życia systemu określa załącznik do rozporządzenia.
6
Projekty ustaw
Wielkanoc 2025 będzie kosztować średnio 588 zł
