Segio 1 ~ Gestdo Organizacional Subsegao 1.7 Gestao da Tecnologia e Seguranga da Informagdo Descrigdo: Contempla o conjunto da seguranca dos dados e informagdes em meio fisico e digital, considerando a coleta, a integracdo, a organizacao, 0 controle, a disponibilizacdo, a movimentacao, 0 recebimento, o armazenamento, a conservagao e o descarte das informacées. Padréo Nivel 1: Apresenta atividades relacionadas 8 seguranca das informagdes em meio fisico e digital, contemplando coleta, processamento, armazenagem, distribuic3o de informacées, controle e manutengdo da infraestrutura tecnolégica apropriada ao perfil e complexidade da organizago. Ne Requisito 1. | Dimensiona recursos huma- nos, tecnoldgicas ¢ insumos de acordo com a necessida- de do servigo. Ca (0 dimensionamento dos profssionais est alinhado a pardmetros téenicos oficais aplicéveis, a fim de oferecar um servigo com qualidade e seguranca e propiciar um ambiente de trabalho mais seguro. O ddimensionamento dos profssionais no clnicos, de~ ve considerar 0 volume de atendimento, a produti- Vidade, entre outros. Estima os recursos, infraestru ‘uras,instalagdes e equipamentos necessérios para a implementa eficaz dos processos de gestdo da Informagdo de acordo com as necessidades priori rias € atuais da organizasao, Se Escalas de trabalho. Disponibilidade de pessoal treinado, Disponibilidade de recursos técnicos. Evidéncias de plane- Jamento para atender as necessidades ‘eprocessos de gestio da informacio e ‘comunicagdo. Infraestrutura @ condi- ‘es operacionais adequadas e adap- tadas as necessidades do servico. 2 [Estabelece, implementa e ‘mantém um plano de con- ‘ingéncia para situagdes de descontinuidade de acesso 05 dados e informagdes. © plano de contingBncia deve considerar quando a confidencialidade, seguranca ou integridade dos dados e informagses (em meio fisico,eletrénico ou digital) so violadas ou comprometidas. Documenta institucional padronizado ‘com versio. Simulagies do Plano de ‘contingénci. Histrico de acionamen- tos do plano de contingéncia e condu- tas realizadas. Lista de presenca sobre a cepacitagao dos envoividos, Entrevs- ‘2 com profissionas sobre ofiuxo 2 ser adotado em caso de inoperiincia, 3 | Dispie de informagses in- tegradas do paciente/ciente permitindo acesso a0 histé- rico dos atendimentos real- zados pela equipe multidis- ipliar. Rinstituigao deve dispar de meios para que ocorra a Integracio das informacSes do paciente, permitindo acesso a0 histérico a todos os atendimentos reali os pelos diferentes profisionats durantes 0 seu tr tamento (sea via sistema informatizado ou através a disponibilzagdo de documentos fisicos). Todos 0s profissionais que prestam assisténcia ao paciente também devem ter acesso a0s regstros dos demais. profisionals ervolvides, desde que com as suas de- Vidas restrgBes de acesso conforme 0 cargo @ a sua relagSo direta com o paciente. Além disso, pode ser importante estabelecer um fluxo junto com todos as tenvolvidos e um mapeamento dos rscos envolvidos lem cada uma das etapas desse proceso, estudando estratégias para implementar barreiras de seguran- {nos casos abaixo (por exerplo: ‘+ Vrios prontuarios em diferentes éreas para um mesmo paciente; 1+ Sistemas informatizados de servgos terceiriza- {dos ni integrados ao prontuério do paciente na mesma Insttuiedo (exames, consultas etc} “+ Disponibilizagio da informagio com necessidade ‘de movimentario do prontuariofisico entre dife- rentes dreas e profissionais, para a continuidade do cuidado. Sistema informatizado (prontuério ‘letrénico) ou documentagdo reunida ‘em um prontuiio fisico, demonstran- do 0 registros das evolucées de dife- rentes profissionals das éreas em que © paciente percorreu ao longo de sua linha de cuidado, com integragso entre as informagGes. Fluxos de movimen- tagio do prontusro fisico e/ou regras e acesso 20 prontusrio eletrinico em suas diferentes abas/campos de anota- ‘Go pelos profissionais. 68 | ©2022 oresizaio Nacional de Actas, Yess deo reserSubsegao 17 Gestdo da Tecnologia e Seguranga da Informagao Ne Requisito 4 [Estabelece, implementa e mantém sistemética para registros e evolugées da equipe multidisciplinar per- mitindo 2 continuidade 60 cuidado, Co Convém que a sistemética considere por exem- plo: identificagio do paciente, admissio, hstérico, anamnese, evolugso didria do paciente (evolucao médico, enfermeiro, anotagdo dos técnicos de enfer- ‘magem e profissionals ue compte o plano terapéu- tico/plano de cuidado do paciente, prescricso mé- ica, prescricdo de enfermagem, com data e hora, aiscriminago de todos os procedimentos aos quals ele fol submetido e identficaco dos profissionas, ‘termos de consentimentos, resultados de exames, Giagnésticos e a definigdo de outras Informacdes ecessérias para apolar e justificar todas as acbies realizadas 20 paciente, faciltando a continuidade assistenclal. Adicionalmente, convém considerar © estabelecimento de sistemética para garantir 0 uso uniforme em toda a organizacio de simbolos e abreviaturas aprovadas, se a organizagio permitir testa pritica. A sistemdtica deve abranger também a pontualidade, preciso, consisténcia e completude e legiblidade dos registros do prontuario do paciente/ sudrio do servigo. Segio 1 ~ Gestio Organizacional Pree Definigdo de um documento institucio- nal norteador (procedimento, retina, instrusdo de trabalho ou outro), Resultados de ausitoriasclincas 5 [Estabelece, implementa e mantém procedimento pa- ra avaliagso sistemtica da qualidade das evolugées, re- Bistros e informacoes relatl- vas dassisténciaprestada 20 paciente/cliente ‘A qualidade e integridade deve considerar: pontua- lidade, preciso, consisténcia e completude elegibi- lidade dos registros do prontuario do paciente, vie sando a comunicasao oportuna entre membros da equipe multirofissional e a continuidade da assis téncia prestada,cisponibilizados de forma integrada fede facil acesso 8 equipe de trabalho nos pontos de cuidado. Deve considerar o estabelecimento de uma sistemtica para gerantir: ‘Uso uniforme em toda 2 organizacso de cédigos ‘padronizados de dlagnésticos e procedimentos. ‘+ Uso uniforme em toda a organizacio de simbolos « abreviaturas aprovacas, se a organizaclo per itr esta pritica, ‘+ Uso apropriado do recurso “copiar e colar” (ou “copy and paste"). + O.uso de formulérios pacronizados no prontusrio eletrénico do paciente, bem como, o monitora- ‘mento de seu uso, + A avaliasdo da qualidade deve contempiar os ogists dos profissionals envolvidos na assis- téncia, considerando as caractersticas de cada corganizacio. Procedimentas descrites. Formulério de avaliagio dos registros. Avaliacso dda comissdo de prontusrio. Registros das falhas de processo com _agbes de correcio e proposicao de me- Iori. Auditoria de Prontusrio. 6 | Estabelece, implementa e rmantém sistematica para a ‘esto e seguranca da infor- macho. {A gestdo da seguranca da informacao refere-se 20s processos de movimenta¢io, disponiblizacao, ras- treablidade, siglo, seguranca, conservacdo, arqui- vamento e descarte da informacéo (em meio fisico, cletrénico ou digital) do paciente/cliente/colabora- or (exemplos: termos de sigilo e confidencialidade os colaboradores, termos de consentimento, entre outros}. Deve-se estabelecer mecanismos e proce: imentos para 2 armazenamento, movimentacdo, aisponiblizagso, rastreablidade, sillo, seguranca, Procedimentos descritos. Fluxos definidos e descrits. Mapeamento de rscos do process Testes de stress.Su Segio 1 ~ Gestdo Organizacional bsecdo 1.7 Gestdo da Tecnologia e Seguranga da Informagao a Requisito Gd conservaclo, backup e restore e descarte da infor- rmacéo do paciente/cliente. Gestdo da seguranca quanto a0 seu armazenamento seguro, realzac30 de backup e recuperacdo de dados. Os processos internos precisam conseguir se manter seguros con- ‘tra as ameacas cibernéticas de maneira muito mais coesa e preventiva. Mapeamento e classiicagdo dos dados, para a elaboracio de pianos, estratégias, po Iticas, medidas e controles em prol da seguranca da Informacao, com foco na implementaco, monitor fo, andlse, manuten¢do e otimizacdo da seguranca da instituigao. vid Sugest Estabelece, implementa e rmantém um método de co- leta, avaliacSo e disponibil zagio de dados para apolar a tomada de decislo. (© método deve apoiar a assisténcia ao paciente, © gerenclamento da organizacio e o programa de qualidade ¢ seguranga, bem como, a participacso fem bancos de dados externos, Adicionalmente, de- ve identifiear e abordar as priridades de medicio de resultados e de melnoria da qualidade na orga- riaagSo, Os dados estatisticos e epidemiolégicos de- vem fornecer um peril da organizacio a0 longo do tempo e permitira comparagao do seu desempenho com outras organizagbes similares (nacionais ou in- ternacionais). Procedimento, programa ou outro do: cumento normative escrito, Dados e informagées selacionadas analisadas. Estabelece e orienta os usud- rios quanto as regras de se- jguranca da informacio. ‘orientaglo quanto as regres, deve contemplar um processo continuo de educacdo e treinamento sobre sistemas de informagio, seguranca da informacio e princpios de uso e gerenciamento de informasées, especialmente para aqueles que geram, coletam, in- serem, revisam, analisam e usam dados e informa Bes. Estabelecimento de sistemética de se- ‘guranga de acesso as informacbes ins- tituclonais, como por exemplo através de: controles via senhas do sistema de ‘gestio informatizada, restrigdes no en- Vlo/recedimento de e-mails, arobicso no uso de dispositivos méveis e portas USB/HDMI e bluetooth travadas, res- trigdo na Instalagi0 de softwares ex. ternos somente por pessoas autoriza- ‘das, antivirus, além de monitoramento ativo das informacdes que estdo sendo ‘enviada para ambientes externos Ins tituido. Orientacées verbaisetermos escritos a ‘todos 05 profissionas (incluindo Corpo Clinica) sobre as regras de seguranca de acesso as informagdes e sobre os riscos envolvidos em: compartlha- mento de seninas, paginas de pron- tuérios (fisico ou eletsBnico) abertas e © pofssional responsével ausente do local, retificagdo de laudos etc. ‘Treinamentos periédicos e campanhas ‘de conscientizacdo sobre o tema de se- suranga da informacéo. Estabelece e implementa di retrizes para as permissoes de acesso a0 prontuario vi sando & privacidade e confi dencialidade da informacio. Elaborar um documento institucional que detalhe uals profssionais/setores poder acessar 0 pron- tuario, quais informacées podem registrar & quals podem visualizar, bem como estruturando ume re- Visto periédica da base de usuarios. Documenta institucional com as dire- traes. Lista de presenca sobre a capa sitagao dos envolvides. Observacie in loco das permissdes de acess. mISubsegao 17 Gestdo da Tecnologia e Seguranga da Informagdao o 10 Requisito Estabelece, implementa ¢ mantém uma sstemética para organizagio e padroni- 2ag30 do contetico, do pron- tuario/dados do paciente Co ‘A organizacio e padronizacdo dos documentos do prontuirio/dados deve considerar a seguranca da informagéo, sigilo ea disponibilizagéo em quaisquer meio tals como fsic e eletrénico. Considerar 0 perflecaracteristicas da organizacao. SegSo 1 ~ Gestio Organlzacional prmoee Instrugdo de trabalho descrevendo os ‘mecanismos de organizacSo e padroni- aso estabelecidos. Fluxo de padronizacio de novos im- pressos a0 prontusrio. Lsta de verifcago (checklist) de orga- sizacio do prontusro. Padronizagéo e aprovacio pela Comis- so de prontuarios dos impressos que ‘compbem o prontuéric. Fluxo de padronizacio de solctacées, ppedidos,laudos e outros dados e docu 'mentos Gos pacientes, considerando 0 perfil e caractristicas da organizaglo, a Estabelece programa de go- vvernanca de privacidade, es- Pecificando ofluxo de acesso € teatativa das informagbes. Programa que orienta as praticas de privacidade de {éados, pautado na seguranga da informagao, com 3 escricdo das permissbes e fluxos para acesso 20s ados os tramites para sua tratativa. A institicgo eve realizar 0 mapeamento dos dados e avaliar © Fisco do uso etratativa Diretriz com as orientagdes. Evidéncia das agdes implementadas. Observaga0 da realizagd0 da atividade de acesso e tratativa dos dados. 12 Disponibilaa canal para 2 notifieagdo de incidentes de seguranga da Informagio ¢ possuiflixo para tratare pro- mover melhorias, comuri- cando as partes inceressadas, Refere-se a disponibilizagdo de um canal com a fi rnalidade de notificagdo de incidentes relacionados a seguranca da informacdo tais como: alteragio de dados, utilizagéo inadequada da informacSo, acesso 205 sistemas, acesso inadequado aos sistemas den- ‘re outros, A comunicagao com as partes interessa- as deve ser pririzada garantindo a transparéncia e tica na abordagem dos incidentes. As notiicagdes evem ser avaliadas tratadas promovendo melho- fias no processo. (Canal disponivel Registro de melhorias. Fluxo deserito, 3 Estabelece mecanismos de seguranca em comunicacées Virtuais com pacientes/clien- tes, profissionals de sade, visitantes e acompanhantes, ‘A comunieagao virtual refere-se 2 utilizagio de ‘melas tals como WhatsApp, ligagdes de videocha- rmadas, plataformas Microsoft Teams, Zoom, Meet, sistemas préprios, dentre outros. Pode ser comuni- cagio sincrona ou assincrona, Insere-se neste contexto a telemedicina,teleconsul- ‘3, telemonitoramento,telecrurgi, dentre outras. Para garantir a seguranga deve ser considerado, + Asinformagées 6 podem ser transmitidasa outro profisional com prévia permisséo do paciente; + Confidencialidade e ntegridade das informacdes; + Confidencialidade na transmissio e no recebi- mento dos dads, Procedimento descrito Canals de comunicagSo. 14 Monitora Menutengio pre- vventivae corretva dos sist ‘mas de informatica, 'A manutengao preventiva tem como objetivo man- ter ofuncionamento do sistema, enquanto a manu- ‘tengo corretiva refere-se d substitulgdo ou reparo e um sistema ou de seus componentes que apre- sentaram falhas,Inclui-se hardware e software. Indimeras medidas podem ser realizadas na manu- ‘tengo preventiva tals como a instalagdo de atualiza- es do Windows, verificagdo de vius e malware ea execusio de programas de limpeza, verficacées de Relatérios/laudos de manutencéo. InSegio 1 ~ Gestdo Organizacional Subsegao 17 Gestao da Tecnologia e Seguranga da Informagdo a Requisite Gm Ete antivirus e antimalware dentre outros. Para manter a seguranca da rede, pode utilizar firewall e estabe- lecer prticas de seguranga para downloads. Deve- -se estabelecer um planejamento das manutensSes preventivas, 25 | Estabelece, implementa e | A sistematica deve considerar a veriicagdo da fun- | Procedimenta descrite dfinido rmantém sistemstica para | cionalidade, desempenho, segurang2 dos dados | checklist qualifcar e testar os siste- | dentre outros. ‘mas de informiticae softwa- fe antes de entrar em uso, periodicamente 26 | Capacita os usuarios perio- | A capacitagao deve considerar os critérios para uso | Lista de treinamento. dlicamente para utilizacio | seguro dos sistemas de informatica sendo estes | plano de treinamento. corteta dos sistemas de in: | hardware e software. formética e software 37 [Estabelece, implementa [Os critérios para aquisifao de novas tecnologias | Critérios definidos descritos, critérios para aquisigio e | devem considerar melhoria da seguranca dos 910- | procedimento descrit. incorporagio de novas tee: | cessos, seguranga da informagso, sistemas de infor- nologias. rmética, seguranga do paciente e fluxos assistencials dentre outros. 0 estabelecimenta dos critérios deve ser elaborado por uma equipe multi 38 | Identifica, planeja © imple- | As agBes devem considerar avallagdo da deprecia. | Fluxo de agbes descrito rmenta agBes para aquisi¢do, | cdo do parque tecnoldgico (hardware, software) e | procedimento documentado. rmanutengio © atualiza¢éo | atencimento das necessidades da instituigéo, Estas de softwares © hardwares | agdes devem envolver a equipe mulkidisciplinar ga- com a participacao da equi- | rantindo 2 seguranca da utiizagdo dos sistemas e be multieseipinar equipamentos. heck Padrao Nivel 2: Estabelece modelo para a gesto dos dados, garantindo a sua seguranga e tornando- os acessivels a lideranca pare a tomiada de decisdes. Gerencia a infraestrutura tecnolégica, buscando um continuo aprimoramento na forma de atingir melhorias relacionadas a informagao da organizagao. a Requisito God Be 1. | Acompanhs e avalia as inter-] 0 gerenciamento das interagbes possiiita 3 and | Andlises das notifcagdes de no con- relagdes de processos, pro- | ise da interface com os clientes do processo e a formidades de processos e definicdo movende agées de melhoria. | identifieago de oportunidades de melhorias. Pode | de plans de ago. contemplar fontes ativas (pesquisas de satsfacao, auditorias)e reativas (notificago de nBo conformi- ddades) para mensurar a satisfaco dos clientes com 0s resultados dos pracessos. 2 | Utilza os resultados da and- | A andlise dos resultados do prontuario deve con-| indieadores, lise de prontudrios para pro- | siderar a seguranca das informagées, conciséo © | checkist. mover agbes de melhoria. | clareza dos registros, gerando confianca das partes Interessadas e subsidiando a promogSo de ciclos de Fraiaris Andlise da comissio de prontuario. ‘Auditoria Clinica. 3 | Estabelece plano de treina- | Fluxo estruturado do ciclo de vida das mudangas em | Diretriz com as orientagdes do fluxo de ‘mento para modificagdes ¢ | prontuario, permitindo que os profissionas sejam | treinamento e sensibilizagdo sobre mu- Incorporagées de novos do- | perlodicamente capacitados sobre os documentos | dancas no prontuério. cumentos de prontusrio. | incluldose atuaizados quanto &sistemstica vigente. | Lista de presence. CCronograma de treinamentos Histérico de noves documentos. 72 | 0202 oresnzareNadonlde Ae