Przejdź do głównej zawartości

Kodeks postępowania Health-ISAC

Aby chronić i promować cenną wymianę informacji jako część współpracy niezbędnej do umożliwienia naszej wzajemnej obrony, Health-ISAC, Inc. (Health-ISAC) ustanowiło niniejszy Kodeks postępowania, aby wyjaśnić oczekiwania dla wszystkich członków Health-ISAC, pracowników, urzędników, dyrektorów, dostawców, wykonawców, wolontariuszy, uczestników wydarzeń i ich gości (łącznie „Uczestnicy”). Uczestnicy mają wyjątkową możliwość interakcji i uczestnictwa w grupach roboczych Health-ISAC, warsztatach, szczytach, spotkaniach, działaniach, programach i wydarzeniach (łącznie „Wydarzenia”) oraz dzielenia się informacjami za pośrednictwem bezpiecznego kanału czatu, HTIP i innych forów dyskusyjnych. Aby utrzymać środowisko, w którym wszyscy Uczestnicy mogą swobodnie dzielić się informacjami i zapewnić poufność informacji otrzymanych za pośrednictwem Health-ISAC (za pośrednictwem wszystkich mediów), Health-ISAC stworzyło niniejszy Kodeks postępowania.

Wszyscy Uczestnicy potwierdzają i zgadzają się przestrzegać następujących zasad:

1. Zgodność z protokołem Traffic Light.
  1. Wszystkie informacje ujawnione lub w inny sposób przesłane do raportowania, udostępniania lub analizy przez dowolnego Uczestnika, w tym wszelkie informacje przetworzone, udostępnione, przechowywane, zarchiwizowane lub ujawnione przez Uczestnika lub Health-ISAC w związku z programami i usługami dostarczanymi przez Health-ISAC (zwane łącznie „Udostępnianymi Informacjami”) zostaną sklasyfikowane w momencie początkowego ujawnienia przez stronę ujawniającą (Uczestnika lub Health-ISAC), a następnie odebrane i obsługiwane przez innych Uczestników i Health-ISAC ściśle zgodnie z ich klasyfikacją w ramach Protokołu Świateł Ruchu Drogowego Health-ISAC („TLP”). TLP można przeglądać i pobierać pod adresem https://www.heath-isac.org/landing-page/tlp/. Wszelkie Udostępnione Informacje przesłane bez konkretnego oznaczenia TLP będą uważane za TLP AMBER.
  2. Wszystkie Udostępnione Informacje ujawnione przez Uczestnika mogą być wykorzystywane przez Health-ISAC w sposób anonimowy i/lub zagregowany na korzyść Health-ISAC i jego Członków zgodnie z pierwotnie wyznaczoną klasyfikacją TLP. Przypisanie do konkretnego Uczestnika nie będzie uwzględniane, chyba że zostanie to wyraźnie upoważnione przez ujawniającego Uczestnika.
  3. Każdy Uczestnik otrzymujący Udostępnione Informacje ma prawo używać Udostępnionych Informacji wyłącznie do własnych wewnętrznych celów bezpieczeństwa i ponosi odpowiedzialność za zapewnienie, że Udostępnione Informacje są rozpowszechniane wyłącznie wśród jego personelu na zasadzie „need-to-know” i ściśle zgodnie z Protokołem Świateł Ruchu („Odbiorcy”). W przypadku, gdy Uczestnik zatrudnił Dostawcę Usług Zarządzania Bezpieczeństwem (MSSP) lub innych dostawców lub zakontraktowane wsparcie („Kontrahenci”), którzy otrzymają jakiekolwiek Udostępnione Informacje w imieniu Uczestnika, Uczestnik potwierdza, że ​​jest odpowiedzialny za zapewnienie, że jego Kontrahenci rozumieją TLP, przestrzegają TLP i że w żadnych okolicznościach żadne Udostępnione Informacje nie zostaną ujawnione ani wykorzystane przez Kontrahentów na korzyść ich samych lub jakiegokolwiek innego klienta. Uczestnicy mają obowiązek zapewnić, że wszyscy jego Odbiorcy i Kontrahenci są świadomi i rozumieją system klasyfikacji TLP i otrzymali kopię TLP.
  4. Uczestnicy zapewniają i utrzymują odpowiednie i właściwe środki fizyczne i cybernetyczne, zasady i procedury w celu (i) zapewnienia bezpieczeństwa i poufności oraz prawidłowego przetwarzania Udostępnianych Informacji zgodnie z ich klasyfikacją TLP, (ii) ochrony przed wszelkimi przewidywanymi zagrożeniami lub lukami w zabezpieczeniach dla bezpieczeństwa lub integralności takich Udostępnianych Informacji, (iii) ochrony przed nieautoryzowanym dostępem do takich Udostępnianych Informacji lub ich wykorzystaniem, które narusza ich klasyfikację TLP oraz (iv) w miarę możliwości zapewnienia całkowitego, bezpiecznego i trwałego usunięcia takich Udostępnianych Informacji, z wyjątkiem Informacji Uczestników udostępnianych zgodnie z Sekcją 5(b), zgodnie z zaleceniami Uczestnika lub wymogami obowiązującego prawa.
  5. Uczestnik niezwłocznie powiadomi Health-ISAC i ujawniającego Uczestnika (zwanych łącznie „Stroną ujawniającą”), jeśli istnieje jakikolwiek rzeczywisty lub zasadnie podejrzewany (a) nieautoryzowany lub niezgodny z prawem dostęp do lub ujawnienie lub rozpowszechnienie jakichkolwiek Udostępnionych Informacji z naruszeniem ich klasyfikacji TLP lub (b) nieautoryzowany dostęp do jakiegokolwiek obiektu, sprzętu, sieci komputerowej lub systemu zawierającego jakiekolwiek Udostępnione Informacje (zwane łącznie „Incydentami Bezpieczeństwa”). Oprócz powiadomienia, jak określono powyżej, w przypadku wystąpienia Incydentu Bezpieczeństwa, Uczestnik niezwłocznie podejmie wszelkie niezbędne kroki w celu złagodzenia szkód spowodowanych Incydentem Bezpieczeństwa.
  6. Lista członków Health-ISAC, niezależnie od tego, czy została sporządzona w katalogu członków, czy w inny sposób, jest poufną i zastrzeżoną informacją Health-ISAC i należy ją traktować w każdym czasie jako TLP AMBER. Żadne ujawnienie członkostwa jakiejkolwiek organizacji w Health-ISAC nie jest dozwolone bez uprzedniej pisemnej zgody Health-ISAC i takiego Członka.
  7. Uczestnik jest zobowiązany do przestrzegania klasyfikacji TLP oraz niniejszej Sekcji 1 w każdym przypadku i przyjmuje do wiadomości, że jakiekolwiek naruszenie zasad postępowania z Udostępnianymi Informacjami zgodnie z klasyfikacjami TLP lub niniejszą Sekcją 1 może skutkować natychmiastowym zawieszeniem, rozwiązaniem lub unieważnieniem uprawnień Uczestnika na dowolnym Wydarzeniu oraz żądaniem natychmiastowego opuszczenia Wydarzenia.
2. Uczciwe i etyczne postępowanie.

Otwarty dialog i dzielenie się informacjami i odpowiedziami są kluczowe dla działalności Health-ISAC i sukcesu naszych Uczestników. Uczestnicy powinni starać się działać uczciwie, etycznie i sprawiedliwie zarówno w kontaktach wewnętrznych, jak i zewnętrznych, w tym w interakcjach z innymi Uczestnikami, Heath-ISAC i jego pracownikami oraz wszelkimi innymi stronami trzecimi, z którymi Uczestnicy lub Health-ISAC mogą prowadzić działalność. Oświadczenia i informacje udostępniane między Uczestnikami nie mogą naruszać przepisów antymonopolowych i nie mogą być poniżające, nieprawdziwe, wprowadzające w błąd, oszukańcze lub nieuczciwe. Uczestnicy nie mogą wykorzystywać nieuczciwej przewagi nad nikim poprzez manipulację, ukrywanie, nadużywanie uprzywilejowanych informacji, przeinaczanie istotnych faktów lub jakiekolwiek inne nieuczciwe praktyki handlowe.

3. Prawo antymonopolowe.

Wydarzenia Health-ISAC z samej swojej natury jednoczą konkurentów. Na wszystkich wydarzeniach Health-ISAC uczestnicy będą musieli działać zgodnie z obowiązującymi przepisami antymonopolowymi i o ochronie konkurencji oraz unikać dyskusji na drażliwe tematy, które mogą budzić obawy antymonopolowe, takie jak dyskusje o cenach (w tym o elementach cen, takich jak dodatki i warunki kredytowe). Dyskusje obejmują zarówno wypowiedzi ustne, jak i pisemne, w tym posty w mediach społecznościowych lub na czatach. Uczestnicy wydarzeń Health-ISAC powinni pamiętać o tym, jak ważne jest unikanie nie tylko działań niezgodnych z prawem, ale nawet pozorów działań niezgodnych z prawem.

4. Własność intelektualna
  1. Uczestnicy nie mogą używać, ujawniać, przesyłać, przechowywać, udostępniać ani nakłaniać do udostępniania własności intelektualnej Health-ISAC lub innego Uczestnika, z wyjątkiem sytuacji związanych z wydarzeniem Health-ISAC i ściśle zgodnie z TLP.
  2. Zgodnie z Digital Millennium Copyright Act („DMCA”) i innymi obowiązującymi przepisami, Health-ISAC przyjęło politykę kończenia członkostwa lub uczestnictwa w wydarzeniach Health-ISAC, w odpowiednich okolicznościach, Uczestników naruszających prawa własności intelektualnej innych osób. Znane lub podejrzewane naruszenia praw własności intelektualnej można zgłaszać tutaj:
    UWAGA: Naruszenie DMCA/IPR
    Zdrowie-ISAC, Inc.
    12249 Science Drive, Apartament 370
    Orlando, Floryda 32826
    lub poprzez e-mail: wsparcie@h-isac.org
    z tematem DMCA/naruszenie praw własności intelektualnej
5. Zabronione działania podczas wydarzeń Health-ISAC

Health-ISAC zobowiązuje się do zapewnienia bezpiecznego, produktywnego i przyjaznego środowiska dla wszystkich uczestników wszystkich wydarzeń Health-ISAC, niezależnie od tego, czy uczestniczą w nich wirtualnie, czy osobiście. Health-ISAC zobowiązuje się do zapewnienia wszystkim uczestnikom wydarzenia wolnego od nękania, niezależnie od płci, tożsamości płciowej i ekspresji, wieku, orientacji seksualnej, niepełnosprawności, wyglądu fizycznego, rozmiaru ciała, rasy, pochodzenia etnicznego, religii lub wyborów technologicznych. Nie tolerujemy nękania w żadnej formie. Uczestnicy wydarzenia naruszający tę politykę mogą zostać wykluczeni bez zwrotu kosztów z wydarzenia i przyszłych wydarzeń według uznania Health-ISAC. Uczestnicy nie mogą podejmować następujących działań podczas lub w związku z jakimkolwiek wydarzeniem Health-ISAC:

a. UDOSTĘPNIANIE KONTA
Udostępnianie lub wymiana danych uwierzytelniających konta Health-ISAC z jakąkolwiek osobą lub podmiotem, który nie jest posiadaczem konta.

b. BRAK MARKETINGU
Marketing produktów lub usług i/lub wszelkiego rodzaju zachęty, poza oficjalnie zatwierdzoną działalnością sponsorską. Prezentacje, posty i wiadomości nie powinny zawierać materiałów promocyjnych, ofert specjalnych, ofert pracy, ogłoszeń o produktach ani zachęt do świadczenia usług. Health-ISAC zastrzega sobie prawo do usuwania takich wiadomości i potencjalnego blokowania źródeł tych zachęt.

c. UŻYCIE KOMENTARZY NĘKAJĄCYCH LUB OSZCZERCZYCH LUB NIEODPOWIEDNIEGO LUB OBRAŹLIWEGO JĘZYKA
Promowanie lub uczestnictwo w obscenicznym, wulgarnym lub zawodowo niewłaściwym języku lub zachowaniu. Nękanie lub zniesławianie jakiejkolwiek osoby lub promowanie, udostępnianie lub wyświetlanie jakichkolwiek materiałów lub symboli zawierających lub nawiązujących do nienawiści rasowej/etnicznej lub obejmujących treści o charakterze seksualnym, pornograficznym lub brutalnym lub odnoszących się do orientacji seksualnej lub niepełnosprawności jakiejkolwiek innej osoby. Obejmuje to werbalne znęcanie się nad uczestnikiem, mówcą, wolontariuszem, wystawcą, członkiem personelu Health-ISAC, dostawcą usług lub innym gościem spotkania. Przykłady werbalnego znęcania się obejmują, ale nie ograniczają się do, werbalnych komentarzy dotyczących płci, orientacji seksualnej, niepełnosprawności, wyglądu fizycznego, rozmiaru ciała, rasy, religii, pochodzenia narodowego, niewłaściwego użycia nagości i/lub obrazów seksualnych w przestrzeni publicznej lub podczas prezentacji lub grożenie lub prześladowanie uczestnika, mówcy, wolontariusza, wystawcy, członka personelu Health-ISAC, dostawcy usług lub innego gościa spotkania. Niniejsza polityka ma zastosowanie w równym stopniu do aktywności online i odniesień zarówno w języku wyraźnym, jak i zamaskowanym i/lub linków do stron internetowych zawierających taki język lub obrazy tego samego.

d. ZAGROŻENIA I ZAKŁÓCENIA
Grożenie komukolwiek krzywdą fizyczną lub nakłanianie innych do tego, za pomocą jasnego lub zamaskowanego języka, w tym aktywności online i odniesień lub linków do stron internetowych zawierających taki język lub obrazy. Zakłócanie prezentacji podczas sesji, w hali wystawowej, online lub na innych wydarzeniach organizowanych przez Health-ISAC. Wszyscy uczestnicy muszą stosować się do instrukcji moderatora i personelu wydarzenia Health-ISAC.

e. PUBLIKOWANIE ZŁOŚLIWYCH PROGRAMÓW W INTERNECIE
(i) Publikowanie złośliwych programów, niezależnie od tego, czy miało to na celu naruszenie poufności, integralności lub dostępności Health-ISAC, któregokolwiek Uczestnika lub osoby bądź informacji należących do tych osób; lub (ii) powtarzające się nieprzestrzeganie protokołu udostępniania danych Health-ISAC.

f. DYSTRYBUCJA DANYCH OSOBOWYCH
Nieuprawnione ujawnianie lub propagowanie ujawniania danych osobowych dowolnego Uczestnika. Obejmuje to język i/lub linki do stron internetowych zawierających taki język, obrazy lub treści.

g. NARKOTYKI
Bezpośrednie lub pośrednie odniesienie do osobistej sprzedaży, dystrybucji lub spożycia nielegalnych narkotyków lub środków odurzających.

h. NIELETNI
Bez wyraźnej zgody, zezwalanie lub zapewnianie uczestnictwa w jakimkolwiek forum, konferencji lub innej ofercie osobom poniżej 18 roku życia.

i. INNE DZIAŁANIA NIELEGALNE
Podejmowanie innych działań niezgodnych z prawem, które nie zostały opisane powyżej, a które według wyłącznej oceny Health-ISAC są szkodliwe dla tej organizacji, członkostwa w innym ISAC lub infrastruktury krytycznej.

j. UBIÓR
Właściwy ubiór to business casual. Od prezenterów wydarzeń oczekuje się noszenia odpowiedniego ubioru, w tym business casual dress (koszula z kołnierzykiem, spodnie i sukienka) i bycia zadbanym w sposób pełen szacunku.

k. FOTOGRAFIA
Uczestnicy nie mogą fotografować, kopiować ani robić zrzutów ekranu prezentacji, sesji pytań i odpowiedzi ani żadnej aktywności na czacie, która ma miejsce w trakcie Wydarzenia.

6. Zgłaszanie naruszeń

Jeżeli Uczestnik doświadczy nękania lub będzie świadkiem jakichkolwiek incydentów nieakceptowalnego zachowania, powinien powiadomić o tym pracownika Health-ISAC lub Dział Zasobów Ludzkich Health-ISAC pod numerem telefonu: HR@h-isac.org abyśmy mogli podjąć natychmiastowe odpowiednie działania. W przeciwnym razie naruszenia niniejszego Kodeksu Postępowania należy zgłaszać wsparcie@h-isac.orgAby naruszenia mogły być rozpatrywane szybko, każdy raport powinien zawierać następujące szczegóły:

  1. Data i godzina wydarzenia
  2. Wszystkie zaangażowane strony
  3. Znane lub podejrzewane przestępstwo
  4. Dane kontaktowe w celu podjęcia działań i udzielenia odpowiedzi na pytania dodatkowe (anonimowe zgłoszenia będą nadal rozpatrywane).
7. Środki zaradcze

Health-ISAC uważa naruszenie niniejszego Kodeksu postępowania za poważną sprawę. Każde naruszenie może narazić każdego Członka na podjęcie działań dyscyplinarnych. Incydenty będą oceniane indywidualnie i mogą skutkować natychmiastowym usunięciem z Wydarzenia bez ostrzeżenia lub zwrotu pieniędzy, zawieszeniem lub trwałym zakazem uczestnictwa we wszystkich Wydarzeniach Health-ISAC, zakończeniem Członkostwa, zgłoszeniem sprawy do kierownictwa firmy w miejscu pracy sprawcy i/lub skierowaniem sprawy do organów ścigania. W przypadku, gdy niewłaściwe zachowanie ujawni się podczas Wydarzenia osobistego, personel Health-ISAC na miejscu jest gotowy pomóc każdemu Uczestnikowi w nawiązaniu kontaktu z ochroną hotelu lub lokalnymi organami ścigania. Health-ISAC zastrzega sobie prawo do ograniczenia uczestnictwa każdego Uczestnika lub innych uczestników Wydarzenia, którzy nie przestrzegają w pełni niniejszego Kodeksu postępowania.

8. Obowiązki Członka

Członkowie odpowiadają za zapewnienie, że wszyscy ich upoważnieni pracownicy, agenci i przedstawiciele działający w ich imieniu zostali poinformowani o niniejszym Kodeksie postępowania i wszelkich jego aktualizacjach oraz mieli możliwość zapoznania się z nim.

9. Poleganie na udostępnianych informacjach

Uczestnicy zgadzają się, że definiującą funkcją Health-ISAC jest dzielenie się informacjami i danymi wywiadowczymi na temat zagrożeń cybernetycznych i fizycznych dla sektora opieki zdrowotnej w celu zwiększenia skuteczności odstraszania i zarządzania zagrożeniami oraz zgadzają się, że Health-ISAC nie ponosi żadnej odpowiedzialności za jakiekolwiek skutki wynikające z wykorzystania informacji udostępnianych pomiędzy Uczestnikami, podmiotami stowarzyszonymi i/lub uczestnikami Wydarzenia.

10. Modyfikacja

Niniejszy Kodeks postępowania może być modyfikowany przez Health-ISAC w dowolnym momencie. Wszelkie takie modyfikacje będą widoczne na stronie internetowej, a Health-ISAC powiadomi członków Health-ISAC o wszelkich istotnych zmianach.

Ostatnia aktualizacja: luty 2025 r