|
שינוי |
גרסה |
מחבר |
תאריך |
|
כתיבה ואישור הנוהל |
1.0 |
ראובן אליהו |
24.9.2024 |
קביעת הוראות והנחיות בנוגע לאבטחת מידע בהליך אספקת מוצרי קנביס בבתי מרקחת – שימוש בAPI און ליין.
2.1. א-15.2 אבטחה בתהליכי פיתוח, תמיכה ותחזוקת מערכות.
2.2. א -7.9.2 נוהל פיתוח מערכות מאובטחות.
2.3. א-6.2 גורמים חיצוניים.
2.4. הנחיות אבטחת מידע לספקים משרד הבריאות.
2.5. מסמך פיתוח מאובטח Open MRI.
2.6. שאלון ספקים או 1.41.2.
3.1 בכל מקרה בו מאושר לצד שלישי כלשהו להתחבר לשירות API קנביס למשרד הבריאות (להלן: "השירות" ו"הצד השלישי" בהתאמה), יידרש הצד השלישי לעמוד בהוראות לעניין אבטחת מידע ושמירת סודיות, כמפורט להלן ובהתאמות נדרשות בהתאם לעניין, הצורך, הרלוונטיות ומהות העניין.
3.2 תהליך ביצוע אישור צד שלישי המבקש להתחבר לשירות משרד הבריאות על הצד השלישי להגיש את המסמכים הבאים:
א. הגשת תעודת הסמכה לתקן ISO 27001 אבטחת מידע.
ב. חתימה מנכ"ל / בעלים / יועץ משפטי על מסמך התחייבות לאפשר למשרד הבריאות / מערך הסייבר או כל גורם אחר מטעמם לבצע בדיקה אבטחת מידע בכל רגע נתון בארגון.
ג. חתימה מנכ"ל / בעלים על מסמך התחייבות על עמידה נהלי אבטחת מידע משרד הבריאות.
ד. החתימת כלל העובדים ה על מסמך סודיות.
ה. חתימת מנכ"ל / בעלים / יועץ משפטי על מסמך התחייבות על עמידה תקנות הגנת הפרטיות.
ו. הצהרה במערכת יובל של מערך הסייבר, ספקים קיימים יתחייבו להגשת אישור הצהרה תוך 30 יום מפרסום נוהל זה.
ז. הגשת מסמך ארכיקטטורה של הפתרון המוצע תוך דגש על רכיבי אבטחת מידע.
ח. הגשת שאלון ספקים 1.2
1. גליון מענה כללי בנושאי אבטחת מידע
2. גליון הנחיות לספקים תנאי סף
א. הנחיות לספקים פרט לסעיפים הבאים שיוחרגו מנוהל זה
i. פרק תנאי סף סעיף 4
ii. פרק 1 דרישות סייבר סעיף 1.4.1.3
3.3 ביצוע מבדק על ידי צוות בקרה אבטחת מידע משרד הבריאות לאישור הצד השלישי.
3.4 ביקורת תקופתית בהתאם לדרישות משרד הבריאות.
מנכ"ל הצד השלישי המבקש להתחבר לשירות.
ממונה אבטחת המידע הינו הבעלים של מסמך זה והינו האחראי לוודא כי הנוהל תואם את הדרישות המובאות במנא"מ.