Bu makalenin
- İlk bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 1 / Giriş
- İkinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 2 / Kapsam-Terimler&Tanımlar
- Üçüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 3 / Hedefler – Bilgi Yönetişimi
- Dördüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 4 / Tehditler & Zayıflıklar
- Beşinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 5 / Eylem Planı
- Altıncı bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 6 / Planlama
başlıkları altında okuyabilirsiniz.
7.Sağlık bilgilerine ilişkin risklerin değerlendirilmesi
Risk değerlemesi ISO/IEC 27002’nin kontrol öğelerinin tespit edilmesini öngören çerçevesinin belirlenmesini sağlayan mekanizmadır. Bu süreç ISO/IEC/TR 13335-3 ‘te son derecek açık bir şekilde dokümante edilmiştir. Sağlık sektöründe üzerinde tartışılması gereken bir dizi düşünce mevcuttur.
7.1.Sağlık sektöründe bilgi güvenliği risk değerlemesinin rolü
Sağlık sektörü özellikle laboratuarlar, acil servis departmanları ve ameliyathaneler gibi alanlar bakımından nispeten yüksek risk taşımaktadır. Sağlık sektöründe bilgi güvenliği risk değerlemesinin hem nitel hem de nicel faktörler gözönünde bulundurularak yapılması gerekir.
7.2.ISO/IEC 13335’e atıfle ve sağlık sektörüne ilişkin örneklerle risk değerlemesinin özellikleri
Bir risk, çok sayıda risk kaynağı arasındaki nedensel bir ilişkiden oluşmaktadır. Şekil 3, bir risk değerinin çevresel aktif değerler, tehditler ve zayıflıklar tarafından belirlendiğini ortaya koyarak, ISO/IEC 13335’deki risk ve risk kaynakları arasındaki ilişkiyi göstermektedir:
Bilgi güvenliği risk değerlemesi ve müteakip yönetimi, aşağıda Şekil 4’te gösterilmektedir:
Hem ISO/IEC 27001 hem de ISO/IEC TR 13335-3 risk analizi ve yönetiminin bileşenlerini aşağıdaki şekilde belirlemektedir:
- a) Kurumsal varlıkların, tehdit ve zayıflıkların belirlenmesi,
b) Kurmsal etki değerlemesi,
c) Tehdit olasılığı ve zayıflık değerlemesi,
d) Risk seviyelerinin belirlenmesi,
e) Önerilen güvenlik kontrollerinin belirlenmesi,
f) Mevcut kontrollerle karşılaştırma, artık risk alanlarının tespit edilmesine olanak sağlama;
g) Doğrudan yönetim, risk kabul, önleme gibi konular da dahil olmak üzere riskin giderilmesi için opsiyonlar,
h) Risk değerleme ve risk giderme planları,
i) ISO/IEC 27002’deki kontrol listelerine karşı alınan kararların gösterilmesi.
Makalenin devamını Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 8 / Beceri ve Çıktılar başlığı altında okuyabilirsiniz.
Kaynak : 