Hoppa till huvudinnehåll

Health-ISAC:s uppförandekod

För att skydda och främja det värdefulla informationsutbytet som en del av det samarbete som krävs för att möjliggöra vårt ömsesidiga försvar, har Health-ISAC, Inc. (Health-ISAC) upprättat denna uppförandekod för att klargöra förväntningarna för alla Health-ISAC-medlemmar, anställda , tjänstemän, direktörer, leverantörer, entreprenörer, volontärer, evenemangsdeltagare och deras gäster (tillsammans "Deltagare"). Deltagarna har den unika möjligheten att interagera och delta i Health-ISAC-arbetsgrupper, workshops, toppmöten, möten, aktiviteter, program och evenemang (tillsammans "Events") och dela information via den säkra chattkanalen, HTIP och andra diskussionsforum. För att upprätthålla en miljö där alla deltagare fritt kan dela information och för att säkerställa konfidentialitet för information som tas emot via Health-ISAC (genom alla medier) skapade Health-ISAC denna uppförandekod.

Alla deltagare erkänner och samtycker till att upprätthålla följande principer:

1. Överensstämmelse med Traffic Light Protocol.
  1. All information som avslöjas eller på annat sätt lämnas in för rapportering, delning eller analys av någon deltagare, inklusive all information som bearbetas, delas, lagras, arkiveras eller avslöjas av en deltagare eller Health-ISAC i samband med de program och tjänster som tillhandahålls av Health-ISAC ( gemensamt kallad "Delad information") ska sekretessbeläggas vid tidpunkten för det första avslöjandet av den avslöjande parten (deltagare eller Health-ISAC) och därefter mottas och hanteras av andra deltagare och Health-ISAC strikt i enlighet med dess klassificering enligt Health-ISAC Traffic Light Protocol ("TLP"). TLP kan ses och laddas ner på https://www.heath-isac.org/landing-page/tlp/. All delad information som lämnas utan en specifik TLP-beteckning ska anses vara TLP AMBER.
  2. All delad information som avslöjas av en deltagare kan användas av Health-ISAC på ett anonymt och/eller aggregerat sätt till förmån för Health-ISAC och dess medlemmar i enlighet med den ursprungligen angivna TLP-klassificeringen. Tillskrivning till en viss deltagare kommer inte att inkluderas utom om det uttryckligen godkänts av den avslöjande deltagaren.
  3. Varje deltagare som tar emot delad information ska tillåtas att använda den delade informationen endast för sina egna interna säkerhetsändamål, och ska ansvara för att se till att delad information endast sprids till dess personal på grundval av behov att veta och strikt i enlighet med Traffic Light Protocol ("Mottagare"). Om en deltagare har anlitat en Managed Security Service Provider (MSSP) eller andra leverantörer eller kontrakterat support (“Contractors”) som kommer att ta emot delad information på uppdrag av en deltagare, erkänner deltagaren att den är ansvarig för att säkerställa att dess leverantörer förstår TLP, följa TLP, och att någon delad information inte under några omständigheter får lämnas ut till eller användas av entreprenörerna för fördel för sig själv eller någon annan kund. Deltagarna ska säkerställa att alla dess mottagare och entreprenörer är medvetna om och förstår TLP-klassificeringssystemet och att de har fått en kopia av TLP.
  4. Deltagarna ska tillhandahålla och upprätthålla adekvata och lämpliga fysiska och cyberåtgärder, policyer och förfaranden för att (i) säkerställa säkerhet och konfidentialitet och korrekt hantering av den delade informationen i enlighet med dess TLP-klassificering, (ii) skydda mot alla förutsedda hot eller sårbarheter för sådan delad informations säkerhet eller integritet, (iii) skydda mot obehörig åtkomst till eller användning av sådan delad information som bryter mot dess TLP-klassificering och (iv) där möjligt, säkerställa ett fullständigt, säkert och permanent förfogande av sådan delad information, förutom deltagarinformation som delas i enlighet med avsnitt 5(b), som kan föreskrivas av deltagaren eller krävs enligt tillämplig lag.
  5. Deltagaren ska omedelbart meddela Health-ISAC och den avslöjande deltagaren (kollektivt kallad "avslöjande part") om det finns någon faktisk eller rimligen misstänkt (a) obehörig eller olaglig tillgång till eller avslöjande eller spridning av delad information i strid med dess TLP-klassificering, eller (b) obehörig åtkomst till någon anläggning, hårdvara, datornätverk eller system som innehåller delad information (sammantaget "Säkerhetsincidenter"). Utöver meddelandet enligt ovan, om en säkerhetsincident har inträffat, ska deltagaren omedelbart vidta alla nödvändiga åtgärder för att mildra skadorna som orsakats av säkerhetsincidenten.
  6. Health-ISAC-medlemslistan, oavsett om den är sammanställd i en medlemskatalog eller på annat sätt, är den konfidentiella och proprietära informationen för Health-ISAC och ska alltid behandlas som TLP AMBER. Inget avslöjande av någon organisations medlemskap i Health-ISAC ska tillåtas utan föregående skriftligt godkännande från Health-ISAC och sådan medlem.
  7. Deltagaren ska alltid följa TLP-klassificeringarna och detta avsnitt 1 och erkänna att varje underlåtenhet att hantera delad information i enlighet med TLP-klassificeringarna eller detta avsnitt 1 kan resultera i omedelbar avstängning, uppsägning eller återkallelse av deltagarens referenser vid något evenemang, och en begäran att lämna evenemanget omedelbart.
2. Ärligt och etiskt uppförande.

Öppen dialog och delning av information och svar är avgörande för Health-ISAC-verksamheten och framgången för våra deltagare. Deltagare bör sträva efter att agera ärligt, etiskt och rättvist i både interna och externa affärer, inklusive interaktioner med andra deltagare, Heath-ISAC och dess anställda och alla andra tredje parter som deltagare eller Health-ISAC kan göra affärer med. Uttalanden och information som delas mellan deltagarna ska inte bryta mot antitrustlagar och ska inte vara nedsättande, osanna, vilseledande, vilseledande eller bedrägliga. Deltagare får inte dra orättvisa fördelar av någon genom manipulation, döljande, missbruk av privilegierad information, felaktig framställning av väsentliga fakta eller annan orättvis affär.

3. Antitrust.

Health-ISAC Events förenar till sin natur tävlande. Vid alla Health-ISAC-evenemang förväntas deltagarna agera i enlighet med tillämpliga antitrust- och konkurrenslagar och undvika diskussioner om känsliga ämnen som kan skapa antitrustproblem som diskussioner om prissättning (inklusive delar av prissättning som tillägg och kreditvillkor) . Diskussioner inkluderar både muntliga och skriftliga, inklusive inlägg på sociala medier eller chattrum. Deltagare i Health-ISAC Events bör komma ihåg vikten av att undvika inte bara olagliga aktiviteter, utan även sken av olaglig aktivitet.

4. Immateriell äganderätt
  1. Deltagare får inte använda, avslöja, överföra, lagra, släppa eller framkalla frigivning av immateriella rättigheter tillhörande Health-ISAC eller någon annan deltagare förutom i samband med ett Health-ISAC-evenemang och strikt i enlighet med TLP.
  2. I enlighet med Digital Millennium Copyright Act (“DMCA”) och andra tillämpliga lagar, har Health-ISAC antagit en policy att avsluta medlemskap eller deltagande i Health-ISAC-evenemang, under lämpliga omständigheter, för deltagare som gör intrång i de immateriella rättigheterna för andra. Kända eller misstänkta immaterialrättsintrång kan rapporteras här:
    ATTN: DMCA/IPR-intrång
    Health-ISAC, Inc.
    12249 Science Drive, Suite 370
    Orlando, Florida 32826
    eller via mail till: support@h-isac.org
    med en ämnesrad för DMCA/IPR-intrång
5. Förbjudna handlingar under Health-ISAC-evenemang

Health-ISAC har åtagit sig att tillhandahålla en säker, produktiv och välkomnande miljö för alla deltagare i alla Health-ISAC-evenemang oavsett om de deltar virtuellt eller personligen. Health-ISAC är dedikerade till att tillhandahålla en trakasseringsfri evenemangsupplevelse för alla, oavsett kön, könsidentitet och uttryck, ålder, sexuell läggning, funktionshinder, fysiskt utseende, kroppsstorlek, ras, etnicitet, religion eller tekniska val. Vi tolererar inte trakasserier i någon form. Evenemangsdeltagare som bryter mot denna policy kan uteslutas utan återbetalning från evenemanget och framtida evenemang, enligt Health-ISACs gottfinnande. Deltagare får inte delta i följande åtgärder under eller i samband med något Health-ISAC-evenemang:

a. KONTODELNING
Dela eller delta i utbyte av Health-ISAC-kontouppgifter med någon person eller enhet som inte är kontoinnehavaren.

b. INGEN MARKNADSFÖRING
Marknadsföra produkter eller tjänster och/eller värvning av något slag, utanför officiellt godkänd sponsringsaktivitet. Presentationer, inlägg och meddelanden får inte innehålla reklammaterial, specialerbjudanden, jobberbjudanden, produktannonser eller förfrågan om tjänster. Health-ISAC förbehåller sig rätten att ta bort sådana meddelanden och potentiellt förbjuda källor till dessa uppmaningar.

c. ANVÄNDNING AV TRASSANDE ELLER ÄREKÄNKANDE KOMMENTARER eller OLÄMPLIGA eller stötande språk
Att främja eller delta i obscent, vulgärt eller yrkesmässigt olämpligt språk eller beteende. Att trakassera eller förtala någon person, eller främja, dela eller visa material eller symboler som innehåller eller anspelar på ras-/etniskt hat, eller involverar innehåll av sexuell, pornografisk eller våldsam karaktär, eller hänvisar till någon annans sexuella läggning eller funktionshinder. person. Detta inkluderar verbala övergrepp mot deltagare, talare, volontärer, utställare, Health-ISAC-personal, tjänsteleverantörer eller andra mötesgäster. Exempel på verbala övergrepp inkluderar, men är inte begränsade till, verbala kommentarer relaterade till kön, sexuell läggning, funktionshinder, fysiskt utseende, kroppsstorlek, ras, religion, nationellt ursprung, olämplig användning av nakenhet och/eller sexuella bilder i offentliga utrymmen eller i presentationer, eller hota eller förfölja någon deltagare, talare, volontär, utställare, Health-ISAC-personal, tjänsteleverantör eller annan mötesgäst. Denna policy gäller lika för onlineaktivitet och referenser på både tydliga och maskerade språk och/eller länkar till webbplatser som innehåller sådant språk eller bilder av detsamma.

d. HOT OCH STÖRNINGAR
Att hota någon person med fysisk skada, eller att förmå andra att göra det, med antingen tydligt eller maskerat språk, inklusive onlineaktivitet och referenser eller länkar till webbplatser som innehåller sådana språk eller bilder. Avbrott i presentationer under sessioner, i utställningshallen, online eller vid andra evenemang som anordnas av Health-ISAC. Alla deltagare måste följa instruktionerna från moderatorn och eventuell personal på Health-ISAC-evenemanget.

e. PLATSNING ONLINE AV SKADLIGA PROGRAM
(i) Lägga ut skadliga program, oavsett om det är i avsikt att äventyra konfidentialitet, integritet eller tillgänglighet för Health-ISAC, någon deltagare eller person eller informationen som tillhör dessa personer; eller (ii) upprepad underlåtenhet att följa något Health-ISAC-delningsprotokoll.

f. DISTRIBUTION AV PERSONUPPGIFTER
Obehörig utlämnande eller spridning av utlämnande av personlig information från någon deltagare. Detta inkluderar språk och/eller länkar till webbplatser som innehåller sådant språk, bilder eller innehåll.

g. NARKOTIKA
Att direkt eller indirekt hänvisa till personlig försäljning, distribution eller konsumtion av illegala droger eller narkotika.

h. OMYNDIGARE
Utan uttryckligt tillstånd, tillåtande eller upphandling av deltagande i något forum, konferens eller annat erbjudande av någon person under 18 år.

i. ANDRA OLAGLIGA AKTIVITETER
Att engagera sig i annan olaglig aktivitet som inte specifikt beskrivs ovan som enligt Health-ISAC:s enda bedömning anses vara skadlig för sig själv, medlemskapet i någon annan ISAC eller kritisk infrastruktur.

j. KLÄDSEL
Korrekt klädsel är business casual. Evenemangspresentatörer förväntas bära lämpliga kläder som inkluderar affärsklänning (skjorta med krage, byxor och klänning) och vara välvårdade på ett respektfullt sätt.

k. FOTOGRAFI
Deltagare bör inte fotografera, kopiera eller ta skärmdumpar av presentationer, frågor och svar eller någon aktivitet i chattrum som äger rum i evenemanget.

6. Rapportering av överträdelser

Om någon deltagare upplever trakasserier eller blir vittne till incidenter av oacceptabelt beteende, ska deltagaren informera en Health-ISAC-personal eller Health-ISACs personalavdelning på HR@h-isac.org så att vi kan vidta omedelbara lämpliga åtgärder. Annars ska brott mot denna uppförandekod rapporteras till support@h-isac.org. För att överträdelser ska kunna åtgärdas omedelbart bör varje anmälan innehålla följande detaljer:

  1. Datum och tid för händelsen
  2. Alla inblandade parter
  3. Det kända eller misstänkta brottet
  4. Kontaktuppgifter för disposition och uppföljningsfrågor (anonyma anmälningar kommer fortfarande att utredas).
7. Rättsmedel

Health-ISAC anser att ett brott mot denna uppförandekod är en allvarlig fråga. Varje överträdelse kan utsätta vilken medlem som helst för disciplinära åtgärder. Incidenter kommer att utvärderas från fall till fall och kan resultera i omedelbar borttagning från evenemanget utan förvarning eller återbetalning, avstängning eller permanent avstängning från alla Health-ISAC-evenemang, uppsägning av medlemskap, rapportering till företagsledningen hos gärningsmannen arbetsgivare och/eller remiss till brottsbekämpning. I händelse av att det olämpliga beteendet visar sig vid ett personligt evenemang, är Health-ISAC-personalen på plats villiga att hjälpa alla deltagare att få kontakt med hotellsäkerhet eller lokal brottsbekämpning. Health-ISAC förbehåller sig rätten att begränsa deltagandet av deltagare eller andra evenemangsdeltagare som inte fullt ut upprätthåller och följer denna uppförandekod.

8. Medlemmarnas skyldigheter

Medlemmar ska ansvara för att se till att alla deras tillåtna anställda, agenter och representanter som agerar på deras vägnar har blivit medvetna om och har haft möjlighet att granska denna uppförandekod, och eventuella uppdateringar av den.

9. Beroende på delad information

Deltagarna är överens om att den avgörande funktionen för Health-ISAC är att dela information och underrättelser om cyber- och fysiska hot mot hälsosektorn för att främja en allt mer effektiv avskräckning och hantering av hot och är överens om att Health-ISAC inte ska ha något ansvar för eventuella resultat som härrör från tillämpningen av information som delas mellan deltagare, affiliates och/eller eventdeltagare.

10. Modifiering

Denna uppförandekod kan ändras av Health-ISAC när som helst. Alla sådana ändringar kommer att visas på webbplatsen och Health-ISAC kommer att meddela alla väsentliga ändringar till Health-ISAC-medlemmar.

Senast uppdaterad: februari 2025