דלג לתוכן ראשי

קוד ההתנהגות של Health-ISAC

כדי להגן ולקדם את חילופי המידע המוערכים כחלק משיתוף הפעולה הדרוש כדי לאפשר את ההגנה ההדדית שלנו, Health-ISAC, Inc. (Health-ISAC) קבעה קוד התנהגות זה כדי להבהיר את הציפיות לכל חברי Health-ISAC, העובדים , קצינים, דירקטורים, ספקים, קבלנים, מתנדבים, משתתפי אירועים ואורחיהם (יחד, "משתתפים"). למשתתפים יש את ההזדמנות הייחודית לקיים אינטראקציה ולהשתתף בקבוצות עבודה, סדנאות, פסגות, פגישות, פעילויות, תוכניות ואירועים של Health-ISAC (ביחד "אירועים") ולשתף מידע דרך ערוץ הצ'אט המאובטח, HTIP ופורומי דיון אחרים. כדי לשמור על סביבה שבה כל המשתתפים יכולים לשתף מידע באופן חופשי וכדי להבטיח את סודיות המידע המתקבל באמצעות Health-ISAC (באמצעות כל המדיומים), Health-ISAC יצרה קוד התנהגות זה.

כל המשתתפים מכירים ומסכימים לקיים את העקרונות הבאים:

1. עמידה בפרוטוקול רמזור.
  1. כל המידע שנחשף, או נמסר בדרך אחרת לדיווח, שיתוף או ניתוח על ידי כל משתתף, כולל כל מידע שעובד, שותף, מאוחסן, אוחסן בארכיון או נחשף על ידי משתתף או Health-ISAC בקשר עם התוכניות והשירותים המסופקים על ידי Health-ISAC ( המכונה ביחד "מידע משותף") יסווג בזמן החשיפה הראשונית על ידי הצד החושף (משתתף או Health-ISAC) ולאחר מכן יתקבל ומטופלים על ידי משתתפים אחרים ו-Health-ISAC אך ורק בהתאם לסיווג שלו לפי פרוטוקול Health-ISAC Traffic Lights ("TLP"). ניתן לראות ולהוריד את ה-TLP בכתובת https://www.heath-isac.org/landing-page/tlp/. כל מידע משותף שנשלח ללא ייעוד TLP ספציפי, ייחשב כ-TLP AMBER.
  2. כל המידע המשותף שנחשף על ידי משתתף עשוי לשמש את Health-ISAC באופן אנונימי ו/או מצטבר לטובת Health-ISAC וחבריה בהתאם לסיווג ה-TLP שיועד במקור. ייחוס למשתתף מסוים לא ייכלל, אלא אם אושר במפורש על ידי המשתתף החושף.
  3. כל משתתף המקבל מידע משותף יורשה להשתמש במידע המשותף למטרות האבטחה הפנימית שלו בלבד, והוא יהיה אחראי להבטיח שהמידע המשותף יופץ רק לצוות שלו על בסיס צורך לדעת ובהתאם בהחלט ל- פרוטוקול רמזור ("נמענים"). במקרה שמשתתף התקשר עם ספק שירותי אבטחה מנוהלים (MSSP) או ספקים אחרים או התקשר עם תמיכה ("קבלנים") אשר יקבלו מידע משותף בשמו של משתתף, המשתתף מאשר כי הוא אחראי להבטיח שהקבלנים שלו יבינו ה-TLP, יצייתו ל-TLP, וכי בשום פנים ואופן אין לחשוף מידע משותף אל הקבלנים או להשתמש בהם עבור תועלת של עצמו או כל לקוח אחר. המשתתפים יוודא שכל הנמענים והקבלנים שלו מודעים ומבינים את מערכת הסיווג של ה-TLP וסופקו להם עותק של ה-TLP.
  4. המשתתפים יספקו וישמרו על אמצעים, מדיניות ונהלים פיזיים וסייבר הולמים ומתאימים כדי (i) להבטיח את האבטחה והסודיות, וטיפול נאות במידע המשותף בהתאם לסיווג ה-TLP שלו, (ii) להגן מפני כל איומים צפויים או נקודות תורפה לאבטחה או לשלמות של מידע משותף כזה, (iii) להגן מפני גישה בלתי מורשית או שימוש במידע משותף זה המפר את סיווג ה-TLP שלו ו-(iv) כאשר אפשרי, להבטיח סילוק מלא, מאובטח וקבוע של מידע משותף כאמור, למעט מידע על המשתתפים המשותף בהתאם לסעיף 5(ב), כפי שעשוי להיות מורה על ידי המשתתף או הנדרש על פי החוק החל.
  5. המשתתף יודיע מיידית ל-Health-ISAC ולמשתתף החושף (המכונה ביחד "הצד החושף") אם יש גישה ממשית או חשודה באופן סביר (א) גישה בלתי מורשית או בלתי חוקית או חשיפה או הפצה של מידע משותף כלשהו תוך הפרה של מידע זה. סיווג TLP, או (ב) גישה בלתי מורשית לכל מתקן, חומרה, רשת מחשבים או מערכת המכילים מידע משותף כלשהו (ביחד, "אירועי ביטחון"). בנוסף להודעה כאמור לעיל, כאשר התרחש אירוע אבטחה, המשתתף ינקוט מיידית בכל הצעדים הדרושים כדי לצמצם את הנזקים שנגרמו כתוצאה מהתקרית האבטחה.
  6. רשימת החברות של Health-ISAC, בין אם נערכה בספריית חברות ובין אם אחרת, היא המידע הסודי והקנייני של Health-ISAC, ויש להתייחס אליה בכל עת כ-TLP AMBER. לא תותר חשיפה של חברות של ארגון כלשהו ב-Health-ISAC ללא אישור מראש ובכתב של Health-ISAC וחבר כזה.
  7. המשתתף יציית לסיווגי TLP ולסעיף 1 זה בכל עת ויכיר בכך שכל אי טיפול במידע משותף בהתאם לסיווגי TLP או לסעיף 1 זה עלול לגרום להשעיה מיידית, סיום או ביטול של האישורים של המשתתף בכל אירוע, ולבקשה. לעזוב את האירוע באופן מיידי.
2. התנהלות כנה ואתית.

דיאלוג פתוח ושיתוף מידע ותגובות הם קריטיים לעסקי Health-ISAC ולהצלחת המשתתפים שלנו. על המשתתפים להשתדל לפעול ביושר, אתית והוגנת בהתנהלות פנימית וחיצונית כאחד, לרבות אינטראקציות עם משתתפים אחרים, Heath-ISAC ועובדיה וכל צד שלישי אחר שאיתו המשתתפים או Health-ISAC עשויים לנהל עסקים. הצהרות ומידע המשותף בין המשתתפים לא יפרו את חוקי ההגבלים העסקיים, ולא יהיו מזלזלים, לא נכונים, מטעים, מטעים או הונאה. המשתתפים לא ינצלו יתרונות לא הוגנים של אף אחד באמצעות מניפולציה, הסתרה, שימוש לרעה במידע חסוי, מצג שווא של עובדות מהותיות או כל נוהג אחר של התמודדות בלתי הוגנת.

3. הגבלים עסקיים.

אירועי בריאות-ISAC מעצם טבעם מפגישים בין מתחרים. בכל אירועי Health-ISAC, המשתתפים יצפו לפעול בהתאם לחוקי ההגבלים העסקיים והתחרות החלים, ולהימנע מדיונים בנושאים רגישים שעלולים ליצור חששות לגבי הגבלים עסקיים כגון דיונים בתמחור (כולל אלמנטים של תמחור כגון קצבאות ותנאי אשראי) . הדיונים כוללים הן בעל פה והן בכתב, כולל פוסטים ברשתות חברתיות או בחדרי צ'אט. משתתפים באירועי בריאות-ISAC צריכים לזכור את החשיבות שבהימנעות לא רק מפעילויות בלתי חוקיות, אלא אפילו ממראה של פעילות בלתי חוקית.

4. זכויות יוצרים
  1. המשתתפים לא ישתמשו, יחשפו, ישדרו, יאחסנו, ישחררו או יגרמו לשחרור הקניין הרוחני של Health-ISAC או של כל משתתף אחר אלא בקשר לאירוע Health-ISAC ובקפדנות בהתאם ל-TLP.
  2. בהתאם ל-Digital Millennium Copyright Act ("DMCA") ולחוקים החלים אחרים, Health-ISAC אימצה מדיניות של הפסקת חברות או השתתפות באירועי Health-ISAC, בנסיבות מתאימות, של משתתפים המפרים את זכויות הקניין הרוחני של אחרים. הפרות ידועות או חשדות של זכויות יוצרים עשויות להיות מדווחות כאן:
    ATTN: הפרת DMCA/IPR
    Health-ISAC, Inc.
    12249 Science Drive, Suite 370
    אורלנדו, פלורידה 32826
    או במייל לכתובת: support@h-isac.org
    עם שורת נושא של הפרת DMCA/IPR
5. פעולות אסורות במהלך אירועי Health-ISAC

Health-ISAC מחויבת לספק סביבה בטוחה, פרודוקטיבית ומסבירת פנים לכל המשתתפים בכל אירועי Health-ISAC בין אם הם משתתפים וירטואליים או אישיים. Health-ISAC מחויבת לספק חווית אירוע נטולת הטרדות לכולם, ללא הבדל מגדר, זהות מגדרית והבעה, גיל, נטייה מינית, מוגבלות, מראה גופני, גודל גוף, גזע, מוצא אתני, דת או בחירה טכנולוגית. אנחנו לא סובלים הטרדה בשום צורה. משתתפים באירוע המפרים מדיניות זו עלולים להרחיק ללא החזר מהאירוע, ומאירועים עתידיים, לפי שיקול דעתה של Health-ISAC. המשתתפים אינם רשאים לעסוק בפעולות הבאות במהלך או בקשר עם אירוע Health-ISAC כלשהו:

א. שיתוף חשבון
שיתוף או מעורבות בהחלפת אישורי חשבון Health-ISAC עם כל אדם או ישות שאינם בעלי החשבון.

ב. ללא שיווק
שיווק מוצרים או שירותים ו/או שידול מכל סוג שהוא, מחוץ לפעילות חסות שאושרה רשמית. מצגות, פרסומים והודעות לא צריכים להכיל חומרי קידום מכירות, הצעות מיוחדות, הצעות עבודה, הודעות על מוצרים או שידול לשירותים. Health-ISAC שומרת לעצמה את הזכות להסיר הודעות כאלה ועלול לאסור מקורות של פניות אלה.

ג. שימוש בהערות מטרידות או לשון הרע או שפה לא הולמת או פוגענית
קידום או השתתפות בשפה או התנהגות מגונה, וולגרית או בלתי הולמת מבחינה מקצועית. הטרדה או השמצה של כל אדם, או קידום, שיתוף או הצגה של כל חומר או סמל המכילים או מרמזים לשנאה גזעית/אתנית, או הכוללים תוכן בעל אופי מיני, פורנוגרפי או אלים, או המתייחסים לנטייה מינית או מוגבלות של כל אדם אחר. אָדָם. זה כולל התעללות מילולית בכל משתתף, דובר, מתנדב, מציג, איש צוות Health-ISAC, ספק שירות או אורח אחר בפגישה. דוגמאות להתעללות מילולית כוללות, בין היתר, הערות מילוליות הקשורות למגדר, נטייה מינית, מוגבלות, מראה פיזי, גודל גוף, גזע, דת, מוצא לאומי, שימוש בלתי הולם בעירום ו/או בתמונות מיניות במרחבים ציבוריים או ב מצגות, או איום או מעקב אחר משתתף, דובר, מתנדב, מציג, איש צוות Health-ISAC, ספק שירות או אורח אחר בפגישה. מדיניות זו חלה באופן שווה על פעילות מקוונת והפניות בשפה ברורה ומסווה כאחד ו/או קישורים לאתרי אינטרנט המכילים שפה או תמונות כאלה.

ד. איומים והפרעות
איום על כל אדם בפגיעה פיזית, או לגרום לאחרים לעשות זאת, בשפה ברורה או במסווה, לרבות פעילות מקוונת והפניות או קישורים לאתרי אינטרנט המכילים שפה או תמונות כאלה. שיבוש מצגות במהלך הפעלות, באולם התצוגה, באינטרנט או באירועים אחרים שמאורגנים על ידי Health-ISAC. כל המשתתפים חייבים לציית להנחיות של המנחה וכל צוות אירוע Health-ISAC.

ה. פרסום מקוון של תוכניות זדוניות
(i) פרסום תוכניות זדוניות, בין אם מתוך כוונה לסכן את הסודיות, היושרה או הזמינות של Health-ISAC, כל משתתף או אדם או המידע השייך לאותם אנשים או לא; או (ii) אי עמידה חוזרת ונשנית של כל פרוטוקול שיתוף Health-ISAC.

ו. הפצת מידע אישי
שחרור לא מורשה או הפצה של שחרור מידע אישי של כל משתתף. זה כולל שפה ו/או קישורים לאתרי אינטרנט המכילים שפה, תמונות או תוכן כאמור.

ז. סמים
התייחסות ישירה או עקיפה למכירה אישית, הפצה או צריכה של סמים לא חוקיים או סמים נרקוטיים.

ח. קטינים
ללא אישור מפורש, אישור או רכישת השתתפות בכל פורום, כנס או הצעה אחרת של כל אדם מתחת לגיל 18.

אֲנִי. פעילויות לא חוקיות אחרות
עיסוק בפעילות בלתי חוקית אחרת שאינה מפורטת לעיל, הנחשבת, לפי שיקול דעתה הבלעדי של Health-ISAC, כמזיקה לעצמה, החברות בכל ISAC אחר או תשתית קריטית אחרת.

י. לבוש
לבוש מתאים הוא מזדמן לעסקים. מגישי אירועים צפויים ללבוש לבוש מתאים שיכלול שמלה עסקית קז'ואל (חולצת צווארון, מכנסיים ושמלה) ולהיות מטופחים בצורה מכובדת.

ק. צילום
אסור למשתתפים לצלם, להעתיק או לצלם צילומי מסך מצגות, שאלות ותשובות או כל פעילות בחדר צ'אט שמתקיימת באירוע.

6. דיווח על הפרות

אם משתתף כלשהו חווה הטרדה, או עד לאירועים של התנהגות בלתי מקובלת, על המשתתף ליידע את איש צוות Health-ISAC או מחלקת משאבי אנוש של Health-ISAC בכתובת HR@h-isac.org כדי שנוכל לנקוט בפעולה מתאימה מיידית. אחרת, יש לדווח אל הפרות של קוד התנהגות זה support@h-isac.org. על מנת שההפרות יטופלו באופן מיידי, כל דיווח צריך לכלול את הפרטים הבאים:

  1. התאריך והשעה של האירוע
  2. כל הצדדים המעורבים
  3. העבירה הידועה או החשודה
  4. פרטי התקשרות לשאלות נטייה ומעקב (דיווחים אנונימיים עדיין ייבדקו).
7. תרופות

Health-ISAC רואה בהפרה של קוד התנהגות זה עניין חמור. כל הפרה עלולה להטיל על כל חבר צעדים משמעתיים. אירועים יוערכו על בסיס כל מקרה לגופו ועשויים לגרום להסרה מיידית מהאירוע ללא אזהרה או החזר, השעיה או איסור קבוע מכל אירועי Health-ISAC, הפסקת חברות, דיווח להנהלת החברה אצל העבריין מעסיק, ו/או הפניה לרשויות אכיפת החוק. במקרה שההתנהגות הבלתי הולמת באה לידי ביטוי באירוע אישי, צוות Health-ISAC באתר מוכן לסייע לכל משתתף בחיבור לאבטחת המלון, או לרשויות אכיפת החוק המקומיות. Health-ISAC שומרת לעצמה את הזכות להגביל את השתתפותם של כל משתתף או משתתפי אירוע אחרים שאינם מקיימים קוד התנהגות זה באופן מלא.

8. חובות חבר

החברים יהיו אחראים לוודא שכל העובדים, הסוכנים והנציגים המורשים שלהם הפועלים בשמם נודעו להם והיתה להם הזדמנות לעיין בקוד התנהגות זה, וכל העדכונים שלו.

9. הסתמכות על מידע משותף

המשתתפים מסכימים שהתפקיד המגדיר של Health-ISAC הוא לשתף מידע ומודיעין על איומים בסייבר ופיזיים על מגזר הבריאות לקידום הרתעה וניהול אפקטיביים יותר ויותר של איומים ומסכימים של-Health-ISAC לא תהיה אחריות לתוצאות כלשהן הנובעות מתוצאות יישום המידע המשותף בין משתתפים, שותפים ו/או משתתפים באירוע.

10. שינוי

קוד התנהגות זה עשוי להשתנות על ידי Health-ISAC בכל עת. כל שינוי כזה יופיע באתר ו-Health-ISAC תמסור הודעה על כל שינוי מהותי לחברי Health-ISAC.

עדכון אחרון: פברואר 2025