IME - AZ EGÉSZSÉGÜGYI VEZETŐK SZAKLAPJA

Tudományos folyóirat

   +36-30/459-9353       ime@nullimeonline.hu

   +36-30/459-9353

   ime@nullimeonline.hu

Általános irányelvek az egészségügyi intézmények információbiztonsági rendszerének kialakításához

  • Cikk címe: Általános irányelvek az egészségügyi intézmények információbiztonsági rendszerének kialakításához
  • Szerzők: Dr. Baross Szabolcs
  • Intézmények: Qualiprod Kft.
  • Évfolyam: II. évfolyam
  • Lapszám: 2003. / 6
  • Hónap: szeptember
  • Oldal: 42-46
  • Terjedelem: 5
  • Rovat: INFOKOMMUNIKÁCIÓ
  • Alrovat: INTERNET, ADATBIZTONSÁG

Absztrakt:

Az intézmények működésével és a kezelt betegekkel kapcsolatos információk kezelésére az egészségügy területén különböző szakmai-etikai normák alakultak ki és meghatározott törvényi előírások vonatkoznak. A markáns, ámbár kellően általános szabályok megléte mellett örömmel üdvözlendő az információbiztonság megteremtésére és fenntartására vonatkozó, konkrét követelményeket rendszerbe foglaló – nemzetközi érvényességű – szabvány (MSZ ISO/IEC 1779: 2002) megjelenése. A cikk a szabvány előírásaival, az információbiztonság hangsúlyának megnövekedését eredményező változásokkal, a védelem eszközeivel foglalkozik, és összegzés formájában megadja az információbiztonság megteremtésének sikerkritériumait.

Cikk Író(k) Státusz
Beköszöntő Dr. Sinkó Eszter
Az input finanszírozás részleges visszaállításáról Dr. Bordás István
A járóbeteg-szakellátás finanszírozása, a 2003. évi szabálykönyv bevezetésének tapasztalatai Dr. Illyés Sarolta
A bankszektor szerepe az egészségügy forráshelyzetének javításában Dr. Ivády Vilmos
Irányított Betegellátási Modell (IBM): a fejkvótaszámítás szerepe és módszertana Dr. Dózsa Csaba, Prof. Dr. Boncz Imre, Nagy Balázs
Kommunikáció az ellátó rendszer elemei között, az ennek javítására hozott intézkedések Dr. Pongrácz József, Dr. Szekeres Zsuzsanna, Törőcsik Kálmán, Dr. Faragó Katalin
Onychomycosis antifungális kezelése a költséghatékonyság tükrében - Farmakoökonómiai modellek az egészségpolitikai döntéshozásban Dr. Várkonyi István Zsolt
Gondolatok az egészségügyi informatika fejlesztéséről Prof. Dr. Kozmann György, Szakolczai Krisztina
Az információ biztonság követelményrendszere Fazekas Tibor
Általános irányelvek az egészségügyi intézmények információbiztonsági rendszerének kialakításához Dr. Baross Szabolcs
Teendők és tanulságok - Magyar delegáció a 2003. májusi, brüsszeli konferencián Dr. Balkányi László
Elektronikus egészségügyi ügyfélkezelési és kapacitásgazdálkodási rendszer Dés Tamás
Pályázni tudni kell Dr. Dobrev Klára tájékoztatója az EU-támogatásokról Boromisza Piroska
XXIII. Neumann Kollokvium-MEDICA 2003 szakvásár – Düsseldorf-SAP Tihanyi Konferencia IME Szerkesztőség

Szerző Intézmény
Szerző: Dr. Baross Szabolcs Intézmény: Qualiprod Kft.
INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG Általános irányelvek az egészségügyi intézmények információbiztonsági rendszerének kialakításához Baross Szabolcs, Baross Vezetési Tanácsadó Bt. Az intézmények működésével és a kezelt betegekkel kapcsolatos információk kezelésére az egészségügy területén különböző szakmai-etikai normák alakultak ki és meghatározott törvényi előírások vonatkoznak. A markáns, ámbár kellően általános szabályok megléte mellett örömmel üdvözlendő az információbiztonság megteremtésére és fenntartására vonatkozó, konkrét követelményeket rendszerbe foglaló – nemzetközi érvényességű – szabvány (MSZ ISO/IEC 1779: 2002) megjelenése. A cikk a szabvány előírásaival, az információbiztonság hangsúlyának megnövekedését eredményező változásokkal, a védelem eszközeivel foglalkozik, és összegzés formájában megadja az információbiztonság megteremtésének sikerkritériumait. A TÉMA FONTOSSÁGA Információkezelési szempontból az egészségügyi intézmények speciális helyzetben vannak: tevékenységük végzéséhez személyre vonatkozó információkat vesznek át, állítanak elő, dolgoznak fel, továbbítanak elektronikusan, és ezek alapján határoznak meg a személyre vonatkozó információkat befolyásoló kezelési eljárásokat. E tevékenységeket a szakmai-etikai normák mellett a Polgári törvénykönyv személyhez fűződő jogok között szereplő – a nyilvántartott adatok kezelésére – és az Egészségügyi Törvény betegjogok között felsorolt • tájékoztatáshoz, • egészségügyi dokumentációk megismeréséhez, • orvosi titoktartáshoz való jogokra vonatkozó előírások keretein belül kell, hogy végezzék. kezelésére vonatkozó konkrét szabályok területeire és követelményeire vonatkozó – nemzetközi érvényességű – szabvány megjelenése (MSZ ISO/IEC 17799: 2002), mely a minőségbiztosításra és a környezetirányításra vonatkozó szabványokhoz hasonlóan • felkészülési követelményeket és • tanúsítási eljárást fogalmaz meg. Az előbb említett kettő és az utóbbi – az információbiztonságra vonatkozó – szabvány között azonban lényeges különbség van. Míg a minőségbiztosítási szabvány elsősorban az ügyfél, esetünkben a kezelt beteg – mint közvetlen vevő – szempontjából fogalmaz meg követelményeket, a környezetirányítás a jelen és a jövő társadalmának szempontjait tartja meghatározónak, addig az információbiztonság elsősorban az adott intézmény érdekeit védi. Közvetlenül, amikor a saját információra, illetve közvetve, amikor a partneri körre, a betegekre vonatkozó információk kezelésére ad ajánlásokat, előírásokat. Az intézményi célok elérését (pl. tervszerű működés, szakmai vonzás, igénybevevői kör, kutatási megbízások alakulása), illetve azok sérelmének elkerülését, a törvényi előírások betartását tekinti szem előtt, amikor a veszélyforrásokat veszi számba és fogalmaz meg kezelési feladatokat és lehetőségeket. Veszélyforrások • • • • Természetesen az egészségügyi intézményeknél foglalkoztatott vezetőkre és beosztott munkatársakra – a más egyéb intézményeknél foglalkoztatott vezetőkhöz és alkalmazottakhoz hasonlóan – vonatkoznak az intézmény érdekeinek védelmével, illetve az intézmények működésével kapcsolatos károkozás elkerülésére vonatkozó foglalkoztatási-magatartási, ezen belül az információ kezelésére vonatkozó szabályok is. Mindenesetre a markáns, ámbár kellően általános szabályok megléte mellett örömmel üdvözlendő az információk 42 IME II. ÉVFOLYAM 6. SZÁM 2003. SZEPTEMBER • a szándékos cselekményekből fakadó fenyegetettségek, a csalás, kémkedés, szabotázs, vandalizmus, a havária események, a tűzesetek, a vízkár, a földrengés, a villámcsapás, a kapcsolati veszélyek mind az ügyfelek, mind a beszállítók, alvállalkozók, mind pedig az együttműködő partnerek részéről, az alkalmazott technikák, azon belül is kiemelten az információ feldolgozási és hírközlési technikák alkalmazásával együtt járó veszély lehetőségek, a belső személyzet szándékos vagy vétlen veszély cselekedetei. A teljes biztonság érdekében az összes veszélyforrás kiszűrése volna a cél. Azonban annak szervezési, eljárásbeli és szervezeti megoldásai gyakorlatilag blokkolnák az intézmények működését. Így valószínűségi megfontolások és ezzel együtt kockázatok vállalása, a lényeges veszélyforrásokra való fókuszálás a javasolt megoldás. INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG A SZABVÁNY ELÔÍRÁSAI Az információbiztonsági szabvány a minőségbiztosítási és a környezetirányítási szabványokkal analóg módon határoz meg feladatokat. íÍgy kiemelten hangsúlyos • a vezetés felelőssége, deklarációk megtétele, • információbiztonság menedzselési fórumainak létrehozása és működtetése, • biztonsági szabályzat kibocsátása, alkalmazásra vétele, karbantartása, • rendszeres felülvizsgálatok és ezek alapján intézkedések meghozatala. A szabályzatok az intézményi élet különböző területeire (szervezetre, személyzetre, eszközök használatára, üzemeltetésre, fejlesztésre stb.) vonatkoznak. • A személyzeten belül például a munkaköri felelősség pontos meghatározására, a személyzetről való informálódásra, a titoktartási megállapodásra, az alkalmazási megállapodásra. • A biztonsági eseményekre való reagálásokon belül például a jelentések, dokumentálások kérdésére, az öntanulásra, a fegyelmezés folyamatára. • A fizikai és környezeti biztonságon belül például a védősávra, a beléptetésre, a munkaszobák és -eszközök biztonságba helyezésére, a munkavégzés biztonságára, az eszközök, anyagok, adatok kiszállítására. • A berendezések biztonságára, a hálózatok hozzáférési lehetőségeinek ellenőrzésére, a távmunkára. • A rendszerfejlesztések és karbantartások információbiztonsági követelményeire. Valamennyi előírás három fő követelmény köré csoportosítható. Ezek • a titkosság (megvédeni az információt, hogy csak az férhessen hozzá, aki erre jogosult), • a sértetlenség (megvédeni az információnak és a feldolgozás módszerének a pontosságát és teljességét), • a rendelkezésre állás (gondoskodni arról, hogy amikor a jogosult használónak szükséges, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésére álljanak az ezzel kapcsolatos eszközök). A MEGVÁLTOZOTT KÖRÜLMÉNYEK Miért kapott nagyobb hangsúlyt az információbiztonság az utóbbi években? Nézzük meg melyek azok a – elsősorban a titkosság és a sértetlenség kérdéseivel összefüggő – változások, amelyek indokolttá tették az információbiztonság hangsúlyos, komplex feladat csomagként való kezelését! Változott a kritikus információk köre • Korábban az eljárások, a munkavégzési módok, a felhasznált anyagok, a norma jellegű előírások képezték az • intézményeknek azokat a „drága kincseit”, amelyeket védeni kellett, amelyek munkájuk eredményességét, minőségét meghatározták. Jelenleg az ügyfélkör, a beszállítók, a különböző partnerekkel történt megállapodások, a tervezett fejlesztési irányok, új tevékenységek, szolgáltatások beindítására irányuló akciók is nagyobb hangsúlyt kaptak a védendő információk köréből. Ezek azonban nehezebben védhetők, mert nem egy-egy személy tudásához vagy elzárható, elkülöníthető dokumentációkhoz kötöttek, hanem intézményen belül többszörösen kinyilvánított vezetői szándékok, meghirdetett megoldások, több személy, esetenként szakma bevonásával előkészített cselekvési programok. Változott az informatikai eszközök köre és használata • A dokumentálás, irattározás egyre inkább nemcsak hagyományos módon – elzárható szekrényben, irattári rend szerint lerakott dossziékban, tasakokban, kartonokon – történik, hanem laptopokon, egyedi és hálózatba kötött asztali gépeken, szervereken, hazavitt lemezeken, otthoni gépeken. Sokszor nyomon követhetetlen változatokban, módosításokkal is találhatók olyan információk, amelyek azelőtt számozott példányban egy iratszekrény zárásával védetté váltak. • A kommunikálás különidejűségének lehetőségét teremtette meg az e-mail segítségével történő levelezés, az egyes résztvevők „ráérésétől” függő időpontban születhetnek irományok, juthatnak el tájékoztatások, kérdések és történhetnek reagálások. Talán ez is hozzájárult e forgalmazási forma gyors és széles körű elterjedéséhez. A levelek könyvtárba rendezésére a hozzájuk csatolt fileok elkülönített és védett tárolására a legtöbb felhasználó nem fordít gondot, az intézmény hálózatára rákapcsolt gépeknél gyakorlatilag a teljes levelezéshez és mellékleteihez hozzá lehet férni, az egyedi gépeknél a karbantartások, javítások, szoftver cserék ugyanezt a lehetőséget adják meg. Valójában átgondolt védelem helyett sokszor emberi jóindulatra hagyatkozunk. • A belső hálózatok a távoktatásra, a szakmai konzultációkra, a különböző belső iratanyagok terjesztésére (pl. szabályzatok, aktuális hírek, intézményi tervek, célok, tényadatok, teljesítmények és elszámolások, beteg adatok stb.) és további alkalmazásokra új perspektívákat nyitottak meg. A belső hozzáférési szabályok a nagyobb intézményeknél többnyire elfogadható szinten kialakultak. Ugyanakkor a belső hálózatok a legjobb célpontjai a külső betöréseknek, illetéktelen hozzáféréseknek, rongálásoknak. • Az internetről történő lekérdezések ugyancsak kitágították a rövid időn belül hozzáférhető információk körét, és lehetővé tették a pontatlanul, vagy kevés információval megfogalmazott kérdések esetén is a pontos válaszok megtalálását. A böngészés azonban nyomon követhető, meghatározható a rendszeresen felhasznált információ kör, az esetenkénti érdeklődés területei IME II. ÉVFOLYAM 6. SZÁM 2003. SZEPTEMBER 43 INFOKOMMUNIKÁCIÓ • ADATBIZTONSÁG stb. Ez is eredményezhet nem kívánatos információ kikerülést. Az értekezletek előkészítésében, a helyszíni prezentációban, a határozatok rögzítésében (pl. projektorral, kivetítővel összekötve), vagy feladatkiadásnál, feladatvégzés nyomon követésénél, beszámoltatásnál a számítógép és számos alapszoftver mind-mind ma már szinte nélkülözhetetlen hatékonyság növelő eszköz. Az így rögzített, forgalmazott és tárolt információk sérthetőségénél, illetéktelenek által történő hozzáféréseknél azonban ugyan azokkal a problémákkal kell számolnunk, mint az előbbi esetekben. Változott a számítógép használatának üzemmódja • Az autonóm üzemmódú asztali gépek az előzőekben felsorolt előnyök jelentős részének kihasználását nem teszik lehetővé. A mai kornak megfelelő munkahelyeken • a hálózatba kötés, • a különböző helyen dolgozó és ott számítógépet használó személyek számára a laptop, • a „24 órás” munkát végző emberek (pl. szellemi munkások, vállalkozók, magasabb beosztású vezetők) számára a máshonnan – pl. otthonról, nyaralóból, külföldről stb. – történő betárcsázás az intézmény belső hálózatába szinte nélkülözhetetlen. Ezek azonban mind-mind önállóan kezelendő veszélyforrások. • Az állandósult rendszer felügyelet, a folytonos informatikai fejlesztés, a távjavítás személyi megbízhatóság szempontjából az egyik legkritikusabb munkakörré tette a rendszergazdai munkakört. Változtak az információ szerzés módjai, a potenciális kiáramlási pontok • Számtalan szakterületen az egy intézmény által végzett kutatás és fejlesztés nem járható út. A különböző intézményekkel történő közös fejlesztések meggyorsíthatják a fejlesztési eredmények elérését, alkalmazásba vételét. • Ugyanígy, a minden fő-, kapcsolódó- és kiszolgáló tevékenység végzésére való berendezkedés sem követhető megoldás. Az outsourcing, a beszállítói rendszerek számtalan gondtól szabadították meg az intézmények vezetőit, jó lehetőséget teremtve arra, hogy a fő tevékenységre koncentráljanak. Ugyanakkor az együttműködések mind-mind információ kiáramlási pontok. • Az elmúlt időszakban, hazánkban is különböző mozgalmak, szervezetek, szakmák mozdultak meg abban az irányban, hogy – különösen a közösségi szolgáltatásokat nyújtó – intézmények a működésének minél nagyobb része a nyilvánosság előtt történjen. Az információ átadás szabályozása, tartalmi kérdések, felhatalmazások, szűrők beiktatása tekintetében még nem rendelkezünk kiforrott gyakorlattal. • „Add a neved a munkádhoz” – jelenjen meg a név az intézmény falán, a tájékoztató anyagban, a honlapon, a konferenciákon, a szaklapokon – gyorsan elterjedt, sok 44 IME II. ÉVFOLYAM 6. SZÁM 2003. SZEPTEMBER • szempontból helyeselhető irányzat. Ezek figyelése, rendezett gyűjtése azonban megadja más intézmények számára a szakember és az információ szerzés célpontjait. A korábbiakban, ha egy ismeretlen intézményről összefüggéseiben lényeges információ halmazt kívántunk megtudni, akkor kiindulásként célszerű volt feldolgozni (visszamenőleg vagy folyamatos figyeléssel) a sajtó megnyilvánulásokat, cikkeket, közölt adatokat, nyilatkozatokat. Ma ezeken túl adattárak és információgyűjtésre szakosodott cégek állnak rendelkezésünkre a konkurens, a beszállító cég, az együttműködő partner adatainak megismeréséhez. Ezek jól felhasználhatók a „másik” megismeréséhez, illetve a védelem oldaláról fogalmazva jó szabályozás szükséges, hogy a különböző megnyilvánulások, adatközlések ne legyenek az ellenünk fordítható információk forrásai. A VÉDELEM ESZKÖZEI A veszélyforrások után tekintsük át a védelem eszközeit. Ezek egy része nem több és nem más, mint a klasszikus munka-, folyamat- és ügyvitel szervezési elvek precíz és következetes alkalmazása az információkezelésnél, döntéstelepítésnél. Más részük új megoldási elemeket is tartalmaz, így pl. átgondolt szűrők alkalmazását, technikai korlátok használatát, használatdokumentálást és annak ellenőrzését. A védelem eszközei között különös hangsúlyt kapnak a személy kiválasztási és ellenőrzési feladatok mind a felhasználóknál, mind pedig az informatikai munkakörbe kerülő személyek alkalmazásánál. Szervezési megoldások Az információbiztonság alapjainak megteremtéséhez pontos munkaköri leírások, annak részeként döntési hatáskörök rögzítése, feladathoz és döntéshez rendelt információ hozzáférés meghatározások szükségesek. Ezek kialakításánál, alapszabály: információ felhasználások, döntéshozatal nem történhet a szervezetben az ellenőrzés lehetőségének megteremtése nélkül. • Fontosnak tartjuk a biztonsági szempontból kritikusnak tekintett információk felhasználása esetén a feladatvégzéshez, vagy döntéshez szükséges információk tételes meghatározását is. Az ilyen jellegű szabályozás akkor hozza meg a kívánt eredményt, ha alulról – a szükséges minimális informáltság mértékének megadásával – és felülről – a maximálisan figyelembeveendő információk körének meghatározásával – egyaránt állít korlátokat. Az alsó korlát az információ hiányos döntéseket segít elkerülni a felső korlát az illetéktelen hozzáférést teszi kézben tarthatóvá. Kísérletek bizonyították, hogy az információ telítettség érzete az információ mennyiségi skála elején gyorsabban nő, mint a telítettség tényleges értéke. INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG • A híráramlás átfutási ideje csökkenthető mind az adó, mind pedig a vevő oldalánál. Minden gyorsítást azonban az ellenőrzési lehetőség megtartásával, vagy más módon történő megteremtésével kell egybekötni. Erre lehet megoldási példa, amikor az ellenőrzési pont számára időtartammal korlátozott tiltási lehetőség biztosítunk. Így az információáramlásban – normál esetben – nem lép fel a megállás veszélye, ugyanakkor a hagyományos kiadványozás (adó függelmi felettese dönt a kiadványozásról) szerinti egyedi ellenőrzés lehetősége megmaradt. 1. ábra Információtelítettség • Célszerű a szervezetben elhelyezni információszűrőket. Ez érzékelhető azonnali hasznot többnyire a csúcsvezetés (ábránkban Vezetés I.) és a nagyobb önálló egységek vezetése (ábránkban Vezetés II.) közé történő beiktatás esetén hoz. A szűrő egység e két szint számára a bejövő és kimenő információkat kezeli, továbbá szabályozások és szinteket átlépő döntések tekintetében közvetlen és folyamatos kapcsolatot teremt a két vezetői szint között. 3. ábra Ellenőrzési lehetőségek 2. ábra Információ szűrő alkalmazása • Az információ áramlások szabályozásánál mind az adó, mind pedig a vevő oldaláról különböző meghatározási és ellenőrzési pontokat kell beiktatni. Így pl. az adó oldalán • az elkészítésért való felelősség, • a tartalmi helyesség ellenőrzéséért való felelősség, • a kibocsáthatóság megállapítása, • a szervezeti érdek kontrollja kérdéseit kell tartalmilag tisztázni és meghatározott személyhez, vagy testülethez, fórumhoz kötni. Ugyanígy a vevő oldalán is szükséges tisztázni az alapvető felelősségeket, ezek • a megbízhatóság mértékének megállapítása, • a terítés meghatározása, címzettek kijelölése, • a felhasználási útvonal, hozzáférések kijelölése, • a felhasználás körülményeinek, kontrolljának, algoritmusainak meghatározása. Technikai megoldások • A technikai megoldások közül a használatdokumentálást és az automatikus ellenőrzéseket emeljük ki. Az adatbázis lekérdezés, a használt szoftverek, az adatfelvitel, a forgalmazás, az illetékességi körön kívüli próbálkozások jól regisztrálhatók akár a hálózatra kötött gépeknél, akár az autonóm üzemmódúaknál. Ezek időszakos áttekintése jó ellenőrzési lehetőség a szervezet számára. Személyzet kiválasztás és ellenőrzés • Az IT területén foglalkoztatottak esetében a szakmai szempontokon túl a személyi kiválasztás egyik legfontosabb szempontja az erkölcsi megbízhatóság, az általános, a szakmából fakadó és az intézmény által előírt normák betartása. Ennek megismerése, különösen pedig jövőbeni helyzetekre történő vetítése a legnehezebb feladatok közé tartozik. Hiszen a valós viselkedés nemcsak az etikai normák ismeretén múlik, hanem a helyzet kihívó erejéhez mért akaraterőn és a legkülönbözőbb hatások eredőjeként jelentkező emberi szándékokon is. Az információtechnológián foglalkoztatottak esetében célszerű törekedni a személyes garanciák szerzésére is. Az előzőekben tárgyalt eszközök felsorolása korántsem teljes, a kapcsolódó feladatok sora még kevésbé. Az infor- IME II. ÉVFOLYAM 6. SZÁM 2003. SZEPTEMBER 45 INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG mációbiztonsági szabvány szerinti felkészülés és tanúsítás várhatóan hasonló pályát fog befutni, mint a minőségbiztosítási és környezetirányítási szabványok szerinti felkészülések és tanúsítások. Túlzott és elnagyolt alkalmazások, auditálások után az intézmények, a felkészítők és a tanúsítók megtalálják a fókuszterületeket és megoldásokat. Ezt a folyamatot gyorsíthatja, ha intézménycsoportonként pilot programok keretében kidolgozásra és bevezetésre kerülnek az adekvát megoldások, gyakorlatok. ÖSSZEGZÉS Az eddigi tapasztalataink szerint felsorolás jelleggel megadjuk az információbiztonság megteremtésére vonatkozó legfontosabb feladatokat, sikerkritériumokat: • Az intézmény egészét átlátni képes biztonsági menedzser kiválasztása és megbízása. • Megfelelő összetételű informatikai menedzselési fórum létrehozása és hatékony működési feltételek megteremtése. • Az alaprend megteremtése munkakörök, feladatok, döntési hatáskörök írásbeli és egyértelmű szabályozásával. • Valószínűségen és kockázat számításon alapuló szelek- tivitás az információk kezelésében, szervezési és technikai megoldások alkalmazásában. • Egyértelmű szabályok az információkezeléssel kapcsolatban, ezek betanítása, tudatosítása, ellenőrzése és folyamatos felülvizsgálata • Technikai megoldások, korlátok, nyomon követhetőség, azonosíthatóság biztosítása a teljes információáramlási folyamatban. • Az intézményt védő foglalkoztatási szabályok és munkaszerződések kialakítása, alkalmazása, következetes eljárás a szabályok megsértése esetén. • Információ technológiai munkakörben leinformált személy alkalmazása a szükséges felvilágosításokkal, kiképzésekkel. •. Partneri információs kapcsolatok intézményt védő szabályozása, érvényesítése a különböző megállapodásokban él. • Részletes biztonsági előírások és megállapodások erőforrás kihelyezéseknél, outsourcing-nál, beszállítói rendszerek kialakításánál. • Felkészülés és felkészítés váratlan helyzetekben való reagálásokra. • Hardver és szoftver elemek, szolgáltatók kiválasztásánál kapjon prioritást a megfizetett biztonság. A SZERZÔ BEMUTATÁSA Dr. Baross Szabolcs A Miskolci Egyetem Gépészmérnöki Karán végzett. Első munkahelye az Ipargazdaságtani Tanszék volt, ahol munkaszervezéssel és költségtannal foglalkozott. Ezt követően a Hungalu Rt-ben a csoporthoz tartozó cégek szervezését fogta össze, irányította a működésfejlesztési munkákat. 1982-től vezetési tanácsadóként dolgozik, vezeti saját tanácsadó cégét. Főbb szakmai területei a stratégiakészítés, szervezetfejlesztés, cégcsoporti modellek 46 IME II. ÉVFOLYAM 6. SZÁM 2003. SZEPTEMBER kialakítása, szervezetszabályozás, vezetésszervezés, projekt menedzsment. Az egészségügy területén részt vett: a háziorvosok vállalkozóvá válásának előkészítő munkáiban, a gyógyszerészek vállalkozóvá válásának felkészítő képzésében, vezetett több intézményátvilágítást, részt vett egyházi intézmény visszaadásának előkészítésében. Oktatási tevékenységet végzett, illetve végez több hazai egyetemen, főiskolán, vezetőképző intézetben. A CEU, illetve a jogelőd IMC menedzser képzési programjaiban oktatóként 10 éve vesz részt.