عضویت / ورود

بلاگ

مقررات عمومی(اتحادیه اروپا) حفاظت از داده ،طبقه بندی و مدیریت اطلاعات در آزمایشگاه

18 دی 1404
ارسال شده توسط
ایزو 17025 ، مقالات
58 بازدید
COOKBOOK1
کوک بوک (COOK BOOK) سند 22: راهنمای عملی GDPR برای آزمایشگاه‌ها | HZEINAL.IR
تاریخ تهیه: ۲۰ دی‌ماه ۱۴۰۴
منبع: EUROLAB "Cook Book" – Doc No. 22
نسخه: Rev. n. 1 - Approv. 10/2019

مقدمه‌ای بر GDPR برای آزمایشگاه‌ها

از می‌سال ۲۰۱۸، مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) چارچوب قانونی جدیدی را برای مدیریت کلیه داده‌های مرتبط با افراد (داده‌های شخصی) ایجاد کرده است. این مقررات نه تنها بر کسب‌وکارهای سنتی، بلکه بر آزمایشگاه‌های آزمون و کالیبراسیون نیز اعمال می‌شود، هم در حوزه داده‌های منابع انسانی و هم در حوزه داده‌های فنی و عملیاتی تولید شده در فرآیندهای آزمایشگاهی.

این سند (کوک بوک شماره ۲۲ یورولاب) به تفسیر عملی این مقررات در محیط آزمایشگاهی می‌پردازد.

تعاریف کلیدی GDPR

درک اصطلاحات پایه‌ای GDPR برای اجرای صحیح آن ضروری است. بر اساس ماده ۴ مقررات:

  • داده شخصی: هر اطلاعاتی که به یک شخص حقیقی شناسایی‌شده یا قابل شناسایی مرتبط باشد.
  • پردازش: هر عمل یا مجموعه عملیات انجام شده روی داده‌های شخصی (جمع‌آوری، ثبت، ذخیره، استفاده، پاک کردن و ...).
  • کنترل‌کننده: شخص یا نهادی که اهداف و روش‌های پردازش داده را تعیین می‌کند (معمولاً خود آزمایشگاه).
  • پردازنده: شخص یا نهاد ثالثی که داده را به دستور کنترل‌کننده پردازش می‌کند.
  • رضایت: بیان آزادانه، مشخص، آگاهانه و بدون ابهام رضایت صاحب داده.
  • نقض داده: هر حادثه امنیتی که منجر به تخریب، از دست‌دادن، تغییر یا افشای غیرمجاز داده‌های شخصی شود.

دو رکن اصلی اجرای GDPR

۱. اصل اطلاع‌رسانی شفاف و اخذ رضایت

کنترل‌کننده (آزمایشگاه) موظف است هدف، مبنای قانونی و مدت زمان پردازش داده‌ها را به روشنی و معمولاً در قالب یک "اعلامیه حریم خصوصی" به صاحب داده اطلاع دهد. در مواردی که پردازش مبتنی بر رضایت است، این رضایت باید آگاهانه، خاص و قابل اثبات باشد.

نکته عملی برای آزمایشگاه: برای داده‌های کارکنان، پیمانکاران و حتی نمونه‌دهندگان، باید اعلامیه‌های حریم خصوصی مناسب تهیه و رضایت‌های لازم ثبت و بایگانی گردد.

۲. اصل حفاظت و امنیت داده

پس از جمع‌آوری داده، باید با تدابیر فنی و سازمانی مناسب از آن در برابر دسترسی، افشا، تغییر یا نابودی غیرمجاز محافظت کرد. این اصل مستلزم اجرای مدیریت ریسک امنیت اطلاعات است.

نکته عملی برای آزمایشگاه: ارزیابی خطر برای سیستم‌های اطلاعاتی، سوابق فنی (Technical Records)، آرشیوهای کاغذی و ایمیل‌ها ضروری است.

جزئیات اقدامات حفاظتی و امنیتی

بر اساس مواد ۳۲ تا ۳۴ GDPR، اقدامات زیر (متناسب با سطح خطر) باید در نظر گرفته شوند:

🔐 اقدامات فنی پایه

  • احراز هویت و کنترل دسترسی: سیستم‌های لاگین با نام کاربری و رمز عبور قوی، تعریف سطوح مجوز.
  • رمزنگاری: برای داده‌های حساس یا هنگام انتقال.
  • پشتیبان‌گیری امن و دوره‌ای: همراه با تست بازیابی.
  • نرم‌افزارهای امنیتی: آنتی‌ویروس، فایروال، به‌روزرسانی منظم.

📄 امنیت داده‌های غیرالکترونیکی

  • آرشیوهای کاغذی: نگهداری در کمدهای قفل‌دار، کنترل دسترسی فیزیکی.
  • مدیریت اسناد: سیاست‌های واضح برای طبقه‌بندی، نگهداری و امحای اسناد حاوی داده شخصی.

⚠️ مدیریت پایان چرخه عمر داده

داده‌های شخصی پس از اتمام هدف اولیه پردازش یا انقضای مدت قانونی حفظ، باید حذف یا ناشناس‌سازی شوند. این شامل داده‌های در پشتیبان‌ها نیز می‌شود.

مثال در آزمایشگاه: داده‌های تماس اضطراری کارمند بلافاصله پس از ترک خدمت حذف می‌شوند، اما نام و صلاحیت‌های اپراتور در گزارش آزمایش ممکن است مطابق الزامات accreditation به مدت طولانی (مثلاً ۱۰ سال) حفظ شود.

مسئول محتوا (منبع اصلی): آقای لوکا بونیاردی، EUROLAB Italy

ترجمه، بازنگری و آماده‌سازی برای انتشار: HZEINAL.IR

تاریخ انتشار در وبسایت: ۲۰ دی‌ماه ۱۴۰۴

© کلیه حقوق برای HZEINAL.IR محفوظ است. استفاده با ذکر منبع بلامانع است.

کوک بوک (COOK BOOK) سند 21: طبقه‌بندی و مدیریت اطلاعات در آزمایشگاه | HZEINAL.IR
تاریخ تهیه: ۲۰ دی‌ماه ۱۴۰۴
منبع: EUROLAB "Cook Book" – Doc No. 21
نسخه: Rev. n. 4 - Approv. 10/2019
مسئول محتوا: آقای مگنوس هولمگرن، یورولاب سوئد

مقدمه

یک آزمایشگاه انواع مختلفی از اطلاعات را مدیریت می‌کند. الزامات متعددی برای مدیریت این اطلاعات وجود دارد که می‌تواند منشأ قانونی، استانداردها، مشتری یا اعتباربخشی داشته باشد. برای پاسخگویی به این الزامات، آزمایشگاه باید یک سیستم مدیریت اطلاعات آزمایشگاهی (LIMS) داشته باشد. اما یک مدل طبقه‌بندی اطلاعات نیز می‌تواند مدیریت اطلاعات را بسیار کارآمدتر کند.

الزامات و پایه استانداردی

این راهنما و مدل طبقه‌بندی اطلاعات مبتنی بر مدل آژانس مدیریت بحران سوئد (MSB)، توسعه موسسه تحقیقاتی سوئد (RISE) از آن مدل، و در نهایت مبتنی بر سری استانداردهای ISO/IEC 27000 است. در استاندارد ISO/IEC 17025:2017 نیز الزامات متعددی برای مدیریت اطلاعات وجود دارد (مانند بندهای ۴.۲.۱، ۷.۱۱.۱ و ۷.۱۱.۲). به ویژه بند ۷.۱۱.۳ الزاماتی را برای خود سیستم مدیریت اطلاعات از نظر حفاظت از داده، شرایط محیطی عملیات و نگهداری برای اطمینان از یکپارچگی داده و مدیریت اطلاعات تعیین می‌کند. طبقه‌بندی می‌تواند به تحقق این الزامات کمک کند.

چرخه حیات اطلاعات

اطلاعات یک چرخه حیات دارند. طبقه‌بندی اطلاعات باید در ابتدا و در ارتباط با خلق اطلاعات انجام شود. با این حال، در طول عمر اطلاعات، طبقه‌بندی ممکن است به دلیل پردازش، تغییر اطلاعات یا صرفاً گذشت زمان تغییر کند.

خلق اطلاعات

ایجاد یا دریافت اطلاعات جدید

استفاده و پردازش

کاربرد، ویرایش و بهره‌برداری

بایگانی

ذخیره‌سازی سازمان‌یافته

انتخاب‌زدایی

تعیین اطلاعات برای امحا

امحا

نابودی امن اطلاعات

مدل طبقه‌بندی اطلاعات

طبقه‌بندی اطلاعات به اطمینان از سطح حفاظت صحیح کمک می‌کند. این طبقه‌بندی به عملکرد و اهمیت اطلاعات برای سازمان بستگی دارد. مدل پیشنهادی بر پایه ارزیابی پیامدهای ناشی از تأثیرات ناخواسته بر کیفیت اطلاعات است. این پیامدها از نظر تأثیر بر سازمان سنجیده می‌شوند.

جنبه‌های امنیتی مدل

  • محرمانگی (Confidentiality): اطلاعات چقدر باز است؟ برای همه قابل دسترسی است یا محرمانه نگه داشته می‌شود؟
  • دقت و صحت (Accuracy): اطلاعات باید قابل اعتماد، صحیح و کامل باشد و نباید به اشتباه، خطای عملکردی یا دستکاری غیرمجاز تغییر یا تخریب شود.
  • دسترس‌پذیری (Accessibility): اطلاعات باید در یک دوره زمانی توافق شده، در دسترس پرسنل مرتبط با دسترسی صحیح قرار گیرد.
  • ردیابی‌پذیری (Traceability): هر فعالیتی که روی اطلاعات انجام می‌شود باید قابل ردیابی باشد و مشخص باشد که چه کسی آن را انجام داده است.

سطوح پیامد

پیامدهای از دست رفتن محرمانگی، صحت، دسترس‌پذیری یا ردیابی‌پذیری برای سازمان، سایر سازمان‌ها یا افراد را می‌توان به سطوح زیر طبقه‌بندی کرد:

سطح تعریف
بدون آسیب یا آسیب ناچیزهیچ تأثیر منفی یا تأثیر بسیار جزئی
آمت متوسطآسیب قابل جبران با هزینه معقول
آمت قابل توجهآسیب جدی به عملیات یا اعتبار
آمت شدیدآسیب گسترده با پیامدهای قانونی یا مالی عمده
آمت فاجعه‌بارتهدید وجودی برای سازمان

بر اساس این سطوح، هر یک از جنبه‌های امنیتی می‌توانند در سطوح مختلف (مثلاً از ۰ تا ۴) درجه‌بندی شوند. برای مثال برای محرمانگی:

  • سطح ۰: اطلاعات باز (عمومی)
  • سطح ۱: اطلاعات داخلی (درون سازمانی)
  • سطح ۲: اطلاعات محدود داخلی
  • سطح ۳: اطلاعات محرمانه
    • سطح ۴: اطلاعات محرمانه واجد شرایط

طبقه‌بندی و مدیریت عملی

ابزارهای مختلفی (مانند صفحه‌گسترده) برای محاسبه طبقه‌بندی نهایی می‌توانند استفاده شوند. از آنجا که در نظر گرفتن تمام جنبه‌ها پیچیده است، اغلب تمرکز بر یک یا دو جنبه (معمولاً محرمانگی) صورت می‌گیرد.

لازم است سیستم‌هایی که اطلاعات طبقه‌بندی شده در آنها مدیریت می‌شوند (مانند سیستم‌های فناوری اطلاعات، آرشیوها، محل‌ها) نیز طبقه‌بندی شوند. پس از طبقه‌بندی اطلاعات، سازمان می‌تواند سطح حفاظت مورد نیاز و چگونگی مدیریت هر نوع اطلاعات را تعیین کند (مثلاً مدیریت اطلاعات «محرمانه» در یک سیستم اطلاعاتی باز مجاز نیست).

سطح حفاظت مورد نیاز

ارزیابی کلی جنبه‌های امنیتی و پیامدها به الزامات سطح حفاظت برای اطلاعات و سیستم‌های مربوطه منجر می‌شود. این الزامات شامل موارد زیر است:

  • مدت نگهداری (Retention Time)
  • رسانه بایگانی (Media for Archiving)
  • مکان‌یابی آرشیو (Localisation of the Archive)
  • سطح پشتیبانی و خدمات (Support and Service Level)

مثال عملی (برای جنبه محرمانگی)

این ارزیابی باید برای هر نوع اطلاعات (یا سیستم اطلاعاتی) و برای هر مرحله از چرخه حیات آن انجام شود:

روش کار:

  1. پیامد افشای غیرمجاز اطلاعات در هر مرحله از چرخه حیات را ارزیابی کنید.
  2. با استفاده از یک چارچوب تصمیم‌گیری (مانند شکل ۲ در سند اصلی)، سطح محرمانگی (۰ تا ۴) را برای هر مرحله تعیین کنید.
  3. نتایج را در یک جدول مشابه جدول ۱ ثبت کنید (انگیزه و توضیحات را اضافه کنید).
  4. معمولاً بالاترین سطح در طول چرخه حیات به عنوان سطح نهایی برای آن نوع اطلاعات در نظر گرفته می‌شود.
  5. بر اساس سطح نهایی، الزامات حفاظتی (مانند دسترسی، ذخیره‌سازی، انتقال) را تعیین کنید.

مراجع اصلی: مدل MSB سوئد، دستورالعمل‌های RISE، سری استانداردهای ISO/IEC 27000 و ISO/IEC 17025:2017

ترجمه، بازنگری و آماده‌سازی برای انتشار: HZEINAL.IR

تاریخ انتشار در وبسایت: ۲۰ دی‌ماه ۱۴۰۴

© کلیه حقوق برای HZEINAL.IR محفوظ است. استفاده با ذکر منبع بلامانع است.

اشتراک گذاری:
برچسب ها:
در تلگرام
کانال ما را دنبال کنید!
در اینستاگرام
ما را دنبال کنید!
Created by potrace 1.14, written by Peter Selinger 2001-2017
در آپارات
ما را دنبال کنید!

مطالب زیر را حتما مطالعه کنید

دیدگاهتان را بنویسید