Rządowy projekt ustawy o systemie informacji w ochronie zdrowia
Rządowy projekt ustawy o systemie informacji w ochronie zdrowia
- Kadencja sejmu: 6
- Nr druku: 3485
- Data wpłynięcia: 2010-10-15
- Uchwalenie: Projekt uchwalony
- tytuł: o systemie informacji w ochronie zdrowia
- data uchwalenia: 2011-04-28
- adres publikacyjny: Dz.U. Nr 113, poz. 657
3485-001
2. Przejście między etapami cyklu życia systemu odbywa się wskutek realizacji
zaplanowanych, zarządzanych i udokumentowanych procesów.
3. Podjęcie decyzji o przejściu między etapami jest dokumentowane przez kierownika
podmiotu odpowiedzialnego za system monitorowania.
§ 14. 1. Poszczególne procesy realizowane są przez dostawcę systemu monitorowania przy
udziale administratora systemu. Zakres współudziału dostawcy określa administrator systemu
monitorowania.
2. Administrator systemu monitorowania podejmuje wszelkie możliwe działania, aby ryzyko
niepowodzenia przedsięwzięcia rozwoju systemu monitorowania było możliwie najmniejsze.
3. Poszczególne procesy powinny być planowane, zarządzane, monitorowane, analizowane i
doskonalone. W czasie realizacji procesu należy sporządzać zapisy w celu dostarczenia
dowodów zgodności z wymaganiami i ustaleniami umów oraz skuteczności podejmowanych
działań.
4. W przypadku, gdy cel procesu nie zostanie osiągnięty lub w jego osiągnięciu wystąpi
przekroczenie zaplanowanych środków, w szczególności planowanego budżetu lub czasu
realizacji, należy podjąć i udokumentować działania mające ustalić tego przyczyny, podjąć,
jeżeli to możliwe i uzasadnione, działania korygujące oraz wdrożyć działania zapobiegające
ponownemu przekroczeniu środków z tej samej przyczyny.
5. W realizacji każdego z systemów monitorowania, jeżeli administrator systemu
monitorowania stwierdzi taką potrzebę, dopuszczalne jest wykorzystywanie niezależnych
ekspertów. Wybierając eksperta należy uwzględnić i udokumentować jego wiedzę, w
szczególności:
1) pierwsze miejsce pracy, publikacje naukowe, udział w konferencjach;
2) wykształcenie (dziedzina i tytuł lub stopień naukowy i zawodowy);
3) doświadczenie ze szczególnym zwróceniem uwagi na udział w zbliżonych
przedsięwzięciach.
§ 15. 1. Administrator systemu monitorowania zapewnia odpowiednie zasoby materialne,
wykształcenie, możliwość wymiany informacji i szkolenia pracowników tak, aby stosowali
oni najlepsze praktyki zabezpieczania informacji w zakresie:
1) kształtowania świadomości utrzymania bezpieczeństwa informacji;
2) skutecznego działania;
3) zachowania etyki postępowania;
7
4) oceny ryzyka wystąpienia incydentów bezpieczeństwa informacji.
2. Zakres obowiązków pracowników zatrudnionych przy realizacji systemu monitorowania
powinien zawierać wymagania związane z obowiązkami utrzymania bezpieczeństwa
informacji, jak również znajomości zagadnień, o których mowa w ust. 1.
§ 16. 1. Do pracy z systemem monitorowania dopuszcza się personel, który odbył szkolenie.
2. Szkolenie, o którym mowa w ust. 1, obejmuje co najmniej zasady:
1) ochrony przed wirusami i niepożądanym oprogramowaniem;
2) tworzenia haseł;
3) ochrony przed incydentami naruszania zasad bezpieczeństwa;
4) korzystania z poczty elektronicznej i Internetu;
5) korzystania z systemu monitorowania.
3. Zakres szkolenia obejmuje dokumentację użytkownika systemu monitorowania oraz co
najmniej następujące rozdziały normy PN ISO 17799:2000:
1) rozdział 6.2 Szkolenie użytkowników – 6.2.1 Szkolenie i edukacja w zakresie
bezpieczeństwa informacji;
2) rozdział 6.3 Reagowanie na incydenty bezpieczeństwa i awarie;
3) rozdział 7.3 Ogólne środki kontroli;
4) rozdział 8.3 Ochrona przed złośliwym oprogramowaniem;
5) rozdział 8.7 Wymiana informacji i oprogramowania;
6) rozdział 9.3 Obowiązki użytkownika.
§ 17. Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia.
MINISTER ZDROWIA
W porozumieniu
MINISTER SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
8
Załącznik do rozporządzenia
Ministra Zdrowia z dnia ....
(poz. ....)
Etapy cyklu życia systemów monitorowania
Lp.
Etap cyklu życia
Działania
Udokumentowane,
możliwe decyzje
1.
Identyfikacja potrzeb
zainteresowanych stron; ocena
Prace koncepcyjne
pomysłów rozwiązań,
propozycje realnych rozwiązań
2.
Uszczegółowienie wymagań
dotyczących systemu;
Przejście do następnego
Opracowywanie
stworzenie opisu rozwiązania,
etapu
budowa systemu, weryfikacja i Kontynuowanie etapu
walidacja
Przejście do
3.
Produkcja i/ lub wdrożenie,
poprzedniego etapu
Produkcja
sprawdzanie (kontrola) i testy
Zatrzymanie
4.
Korzystanie z systemu w celu
przedsięwzięcia
Korzystanie
spełnienia wymagań
Zakończenie
użytkownika
przedsięwzięcia
5. Utrzymanie
Podtrzymywanie założonej
(pielęgnacja)
wydajności systemu
6.
Zapisanie, archiwowanie i
Wycofywanie
zatrzymanie systemu,
przeniesienie danych
9
UZASADNIENIE
Projekt rozporządzenia, zwany dalej „projektem”, stanowi wykonanie upoważnienia określonego
w art. 31 ustawy z dnia ............... o systemie informacji w ochronie zdrowia (Dz. U. Nr ......, poz. .......),
zwanej dalej „ustawą”.
Projekt określa opis, minimalną funkcjonalność Systemu Monitorowania Dostępności do
Świadczeń Opieki Zdrowotnej, Zintegrowanego Systemu Monitorowania Obrotu Produktami
Leczniczymi, Systemu Monitorowania Kształcenia Pracowników Medycznych oraz zakres komunikacji
między elementami struktury systemu, w tym zestawienie struktur dokumentów elektronicznych,
formatów danych oraz protokołów komunikacyjnych i szyfrujących oraz wymagania standaryzujące w
zakresie bezpieczeństwa, wydajności i rozwoju systemów. Systemy wymienione powyżej są systemami
teleinformatycznymi w rozumieniu art. 2 pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą
elektroniczną (Dz. U. Nr 144, poz. 1204, z późn. zm.). Stanowią one komponenty, będące
teleinformatyczną implementacją ważnych składowych systemu informacyjnego ochrony zdrowia.
Realizacja systemu informacyjnego ochrony zdrowia jest jednym z kluczowych zadań realizowanych
przez ministra właściwego do spraw zdrowia. Z uwagi na to, że rozporządzenie będzie określać
wyszczególniony powyżej zakres wymagań minimalnych dla wskazanych systemów
teleinformatycznych, rozporządzenie porządkuje konkretne aspekty dotyczące realizacji i eksploatacji
tych systemów. Są to reguły generalne, dotyczącego dowolnego systemu teleinformatycznego i dlatego
będą one omawiane łącznie z ewentualnym wyszczególnieniem zaleceń indywidualnych, dotyczących
konkretnego z systemów.
W ramach systemu informacji funkcjonują tzw. dziedzinowe systemy teleinformatyczne, które
obsługują jednorodne zadaniowo obszary działalności państwa w zakresie ochrony zdrowia. W zakresie
przedmiotowym projektu wyodrębniono następujące systemy teleinformatyczne połączone ze sobą w
ramach systemu informacji w ochronie zdrowia relacjami umożliwiającymi wymianę i automatyczną
aktualizację danych z jednoczesnym otwarciem na systemy informacyjne obsługujące organy
administracji publicznej:
1) Zintegrowany System Monitorowania Obrotu Produktami Leczniczymi – jest systemem
gromadzącym dane zbierane przez wojewódzkich inspektorów farmaceutycznych i
Głównego Inspektora Farmaceutycznego na podstawie przepisów ustawy Prawo
farmaceutyczne oraz dane zgromadzone w SIM dotyczące obrotu produktami leczniczymi,
co pozwoli na stworzenie pełnego obrazu obrotu tymi produktami.
2) System monitorowania kształcenia pracowników medycznych – jest systemem, którego
zadaniem jest gromadzenie informacji pozwalających na określenie zapotrzebowania na
10
miejsca szkoleniowe w określonych dziedzinach medycyny; monitorowanie kształcenia
podyplomowego pracowników medycznych; monitorowanie przebiegu kształcenia
specjalizacyjnego pracowników medycznych; wspomaganie procesu zarządzania
systemem kształcenia pracowników medycznych. Wdrożenie tego systemu związane
będzie z koniecznością zmiany aktów wykonawczych wydanych na podstawie przepisów
określonych w art. 30 ust. 2 ustawy.
W przedłożonym projekcie określono minimalną funkcjonalność ww. systemów.
Z uwagi na to, że przedmiotowe systemy umożliwiają przetwarzanie informacji wrażliwej, której
niedozwolone ujawnienie może nieść poważne, negatywne konsekwencje, jako podstawę warunków
organizacyjnych przyjęto odpowiednie zorganizowanie i audytowanie tzw. systemu zarządzania
bezpieczeństwem informacji (SZBI) dla każdego z tych systemów. Zgodnie ze wskazanym w projekcie
zakresem SZBI, stanowi on kluczową podstawę wszelkich działań związanych z przetwarzaniem danych
za pomocą systemu.
W projekcie przyjęto, że warunki organizacyjne przetwarzania danych, wpływające na sposób
funkcjonowania systemu będą realizowane z zachowaniem wymogów ustawy z dnia 22 sierpnia 2010r.
o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228, z późn. zm.) w przypadku przetwarzania w
systemie informacji niejawnych, oraz wymogów ustawy z dnia 29 sierpnia 1997
o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późń. zm.) w przypadku
przetwarzania w systemie jakichkolwiek danych w rozumieniu art. 2 pkt 4 i 7 ustawy.
Warunki techniczne funkcjonowania systemów wskazują w ślad za normą ISO/IEC 9126 kluczowe
właściwości systemu, których łączne spełnienie jest tożsame z poprawnością realizowanego procesu
projektowania, wdrażania, eksploatacji i modyfikacji systemu, a co za tym idzie implikuje to możliwość
osiągnięcia przez poszczególne systemy pożądanego przez ich użytkowników poziomu jakości
funkcjonowania. Jakkolwiek w dorobku współczesnej inżynierii oprogramowania można znaleźć wiele
różnych klasyfikacji właściwości oprogramowania, mających kluczowy wpływ na jego jakość, to
uzasadnione jest wprowadzenie jako obowiązującej klasyfikacji ujętej we wskazanej normie
międzynarodowej. Wprowadzona klasyfikacja właściwości oprogramowania dopełnia w pewnym sensie
warunki funkcjonowania systemu. Ponadto w projekcie zamieszczono regulacje dotyczące wymagań w
zakresie komunikacji struktury dokumentów elektronicznych i rozwoju systemów, o których mowa
powyżej.
Kolejnym zagadnieniem uregulowanym w projekcie rozporządzenia jest niezbędne dla właściwego
rozwoju systemów unormowanie poszczególnych etapów cyklu życia systemów informatycznych,
działań w ramach poszczególnych etapów i uzyskiwanych w wyniku tych działań produktów. Zakłada
się, że ustalanie konkretnego modelu cyklu życia oprogramowania nie powinno być regulowane w
11
zaplanowanych, zarządzanych i udokumentowanych procesów.
3. Podjęcie decyzji o przejściu między etapami jest dokumentowane przez kierownika
podmiotu odpowiedzialnego za system monitorowania.
§ 14. 1. Poszczególne procesy realizowane są przez dostawcę systemu monitorowania przy
udziale administratora systemu. Zakres współudziału dostawcy określa administrator systemu
monitorowania.
2. Administrator systemu monitorowania podejmuje wszelkie możliwe działania, aby ryzyko
niepowodzenia przedsięwzięcia rozwoju systemu monitorowania było możliwie najmniejsze.
3. Poszczególne procesy powinny być planowane, zarządzane, monitorowane, analizowane i
doskonalone. W czasie realizacji procesu należy sporządzać zapisy w celu dostarczenia
dowodów zgodności z wymaganiami i ustaleniami umów oraz skuteczności podejmowanych
działań.
4. W przypadku, gdy cel procesu nie zostanie osiągnięty lub w jego osiągnięciu wystąpi
przekroczenie zaplanowanych środków, w szczególności planowanego budżetu lub czasu
realizacji, należy podjąć i udokumentować działania mające ustalić tego przyczyny, podjąć,
jeżeli to możliwe i uzasadnione, działania korygujące oraz wdrożyć działania zapobiegające
ponownemu przekroczeniu środków z tej samej przyczyny.
5. W realizacji każdego z systemów monitorowania, jeżeli administrator systemu
monitorowania stwierdzi taką potrzebę, dopuszczalne jest wykorzystywanie niezależnych
ekspertów. Wybierając eksperta należy uwzględnić i udokumentować jego wiedzę, w
szczególności:
1) pierwsze miejsce pracy, publikacje naukowe, udział w konferencjach;
2) wykształcenie (dziedzina i tytuł lub stopień naukowy i zawodowy);
3) doświadczenie ze szczególnym zwróceniem uwagi na udział w zbliżonych
przedsięwzięciach.
§ 15. 1. Administrator systemu monitorowania zapewnia odpowiednie zasoby materialne,
wykształcenie, możliwość wymiany informacji i szkolenia pracowników tak, aby stosowali
oni najlepsze praktyki zabezpieczania informacji w zakresie:
1) kształtowania świadomości utrzymania bezpieczeństwa informacji;
2) skutecznego działania;
3) zachowania etyki postępowania;
7
4) oceny ryzyka wystąpienia incydentów bezpieczeństwa informacji.
2. Zakres obowiązków pracowników zatrudnionych przy realizacji systemu monitorowania
powinien zawierać wymagania związane z obowiązkami utrzymania bezpieczeństwa
informacji, jak również znajomości zagadnień, o których mowa w ust. 1.
§ 16. 1. Do pracy z systemem monitorowania dopuszcza się personel, który odbył szkolenie.
2. Szkolenie, o którym mowa w ust. 1, obejmuje co najmniej zasady:
1) ochrony przed wirusami i niepożądanym oprogramowaniem;
2) tworzenia haseł;
3) ochrony przed incydentami naruszania zasad bezpieczeństwa;
4) korzystania z poczty elektronicznej i Internetu;
5) korzystania z systemu monitorowania.
3. Zakres szkolenia obejmuje dokumentację użytkownika systemu monitorowania oraz co
najmniej następujące rozdziały normy PN ISO 17799:2000:
1) rozdział 6.2 Szkolenie użytkowników – 6.2.1 Szkolenie i edukacja w zakresie
bezpieczeństwa informacji;
2) rozdział 6.3 Reagowanie na incydenty bezpieczeństwa i awarie;
3) rozdział 7.3 Ogólne środki kontroli;
4) rozdział 8.3 Ochrona przed złośliwym oprogramowaniem;
5) rozdział 8.7 Wymiana informacji i oprogramowania;
6) rozdział 9.3 Obowiązki użytkownika.
§ 17. Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia.
MINISTER ZDROWIA
W porozumieniu
MINISTER SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
8
Załącznik do rozporządzenia
Ministra Zdrowia z dnia ....
(poz. ....)
Etapy cyklu życia systemów monitorowania
Lp.
Etap cyklu życia
Działania
Udokumentowane,
możliwe decyzje
1.
Identyfikacja potrzeb
zainteresowanych stron; ocena
Prace koncepcyjne
pomysłów rozwiązań,
propozycje realnych rozwiązań
2.
Uszczegółowienie wymagań
dotyczących systemu;
Przejście do następnego
Opracowywanie
stworzenie opisu rozwiązania,
etapu
budowa systemu, weryfikacja i Kontynuowanie etapu
walidacja
Przejście do
3.
Produkcja i/ lub wdrożenie,
poprzedniego etapu
Produkcja
sprawdzanie (kontrola) i testy
Zatrzymanie
4.
Korzystanie z systemu w celu
przedsięwzięcia
Korzystanie
spełnienia wymagań
Zakończenie
użytkownika
przedsięwzięcia
5. Utrzymanie
Podtrzymywanie założonej
(pielęgnacja)
wydajności systemu
6.
Zapisanie, archiwowanie i
Wycofywanie
zatrzymanie systemu,
przeniesienie danych
9
UZASADNIENIE
Projekt rozporządzenia, zwany dalej „projektem”, stanowi wykonanie upoważnienia określonego
w art. 31 ustawy z dnia ............... o systemie informacji w ochronie zdrowia (Dz. U. Nr ......, poz. .......),
zwanej dalej „ustawą”.
Projekt określa opis, minimalną funkcjonalność Systemu Monitorowania Dostępności do
Świadczeń Opieki Zdrowotnej, Zintegrowanego Systemu Monitorowania Obrotu Produktami
Leczniczymi, Systemu Monitorowania Kształcenia Pracowników Medycznych oraz zakres komunikacji
między elementami struktury systemu, w tym zestawienie struktur dokumentów elektronicznych,
formatów danych oraz protokołów komunikacyjnych i szyfrujących oraz wymagania standaryzujące w
zakresie bezpieczeństwa, wydajności i rozwoju systemów. Systemy wymienione powyżej są systemami
teleinformatycznymi w rozumieniu art. 2 pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą
elektroniczną (Dz. U. Nr 144, poz. 1204, z późn. zm.). Stanowią one komponenty, będące
teleinformatyczną implementacją ważnych składowych systemu informacyjnego ochrony zdrowia.
Realizacja systemu informacyjnego ochrony zdrowia jest jednym z kluczowych zadań realizowanych
przez ministra właściwego do spraw zdrowia. Z uwagi na to, że rozporządzenie będzie określać
wyszczególniony powyżej zakres wymagań minimalnych dla wskazanych systemów
teleinformatycznych, rozporządzenie porządkuje konkretne aspekty dotyczące realizacji i eksploatacji
tych systemów. Są to reguły generalne, dotyczącego dowolnego systemu teleinformatycznego i dlatego
będą one omawiane łącznie z ewentualnym wyszczególnieniem zaleceń indywidualnych, dotyczących
konkretnego z systemów.
W ramach systemu informacji funkcjonują tzw. dziedzinowe systemy teleinformatyczne, które
obsługują jednorodne zadaniowo obszary działalności państwa w zakresie ochrony zdrowia. W zakresie
przedmiotowym projektu wyodrębniono następujące systemy teleinformatyczne połączone ze sobą w
ramach systemu informacji w ochronie zdrowia relacjami umożliwiającymi wymianę i automatyczną
aktualizację danych z jednoczesnym otwarciem na systemy informacyjne obsługujące organy
administracji publicznej:
1) Zintegrowany System Monitorowania Obrotu Produktami Leczniczymi – jest systemem
gromadzącym dane zbierane przez wojewódzkich inspektorów farmaceutycznych i
Głównego Inspektora Farmaceutycznego na podstawie przepisów ustawy Prawo
farmaceutyczne oraz dane zgromadzone w SIM dotyczące obrotu produktami leczniczymi,
co pozwoli na stworzenie pełnego obrazu obrotu tymi produktami.
2) System monitorowania kształcenia pracowników medycznych – jest systemem, którego
zadaniem jest gromadzenie informacji pozwalających na określenie zapotrzebowania na
10
miejsca szkoleniowe w określonych dziedzinach medycyny; monitorowanie kształcenia
podyplomowego pracowników medycznych; monitorowanie przebiegu kształcenia
specjalizacyjnego pracowników medycznych; wspomaganie procesu zarządzania
systemem kształcenia pracowników medycznych. Wdrożenie tego systemu związane
będzie z koniecznością zmiany aktów wykonawczych wydanych na podstawie przepisów
określonych w art. 30 ust. 2 ustawy.
W przedłożonym projekcie określono minimalną funkcjonalność ww. systemów.
Z uwagi na to, że przedmiotowe systemy umożliwiają przetwarzanie informacji wrażliwej, której
niedozwolone ujawnienie może nieść poważne, negatywne konsekwencje, jako podstawę warunków
organizacyjnych przyjęto odpowiednie zorganizowanie i audytowanie tzw. systemu zarządzania
bezpieczeństwem informacji (SZBI) dla każdego z tych systemów. Zgodnie ze wskazanym w projekcie
zakresem SZBI, stanowi on kluczową podstawę wszelkich działań związanych z przetwarzaniem danych
za pomocą systemu.
W projekcie przyjęto, że warunki organizacyjne przetwarzania danych, wpływające na sposób
funkcjonowania systemu będą realizowane z zachowaniem wymogów ustawy z dnia 22 sierpnia 2010r.
o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228, z późn. zm.) w przypadku przetwarzania w
systemie informacji niejawnych, oraz wymogów ustawy z dnia 29 sierpnia 1997
o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późń. zm.) w przypadku
przetwarzania w systemie jakichkolwiek danych w rozumieniu art. 2 pkt 4 i 7 ustawy.
Warunki techniczne funkcjonowania systemów wskazują w ślad za normą ISO/IEC 9126 kluczowe
właściwości systemu, których łączne spełnienie jest tożsame z poprawnością realizowanego procesu
projektowania, wdrażania, eksploatacji i modyfikacji systemu, a co za tym idzie implikuje to możliwość
osiągnięcia przez poszczególne systemy pożądanego przez ich użytkowników poziomu jakości
funkcjonowania. Jakkolwiek w dorobku współczesnej inżynierii oprogramowania można znaleźć wiele
różnych klasyfikacji właściwości oprogramowania, mających kluczowy wpływ na jego jakość, to
uzasadnione jest wprowadzenie jako obowiązującej klasyfikacji ujętej we wskazanej normie
międzynarodowej. Wprowadzona klasyfikacja właściwości oprogramowania dopełnia w pewnym sensie
warunki funkcjonowania systemu. Ponadto w projekcie zamieszczono regulacje dotyczące wymagań w
zakresie komunikacji struktury dokumentów elektronicznych i rozwoju systemów, o których mowa
powyżej.
Kolejnym zagadnieniem uregulowanym w projekcie rozporządzenia jest niezbędne dla właściwego
rozwoju systemów unormowanie poszczególnych etapów cyklu życia systemów informatycznych,
działań w ramach poszczególnych etapów i uzyskiwanych w wyniku tych działań produktów. Zakłada
się, że ustalanie konkretnego modelu cyklu życia oprogramowania nie powinno być regulowane w
11
Projekty ustaw
Wielkanoc 2025 będzie kosztować średnio 588 zł
