ISO27799认证

ISO27799认证标准介绍

ISO27799:2016健康信息学-使用ISO/IEC 27002的健康信息安全管理标准为医疗保健行业和各种医疗组织(医院,实验室,手术室,医疗保险公司等)提供了有关信息安全管理和信息安全控制的指南。

ISO27799认证提供了组织信息安全标准和信息安全管理实践的指南,其中包括考虑组织的信息安全风险环境的控制的选择,实施和管理。它定义了支持ISO/IEC 27002健康信息学中的解释和实施的准则,并且是该国际标准的补充。

ISO27799:2016为ISO/IEC 27002中描述的控件提供了实施指南,并在必要时对其进行了补充,以便可以将其有效地用于管理健康信息安全。通过实施ISO27799:2016,医疗保健组织和其他健康信息保管人将能够确保最低安全级别的最低要求,该最低要求要求的级别适合其组织的情况,并在其护理过程中维护个人健康信息的机密性,完整性和可用性。它适用于所有方面的健康信息,无论其采用何种形式(文字和数字,录音,图画,视频和医学图像),采用何种存储方式(在纸上打印或书写或以电子方式存储),以及用于传输它的任何方式。

ISO27799:2016和ISO/IEC 27002共同定义了医疗保健信息安全方面的要求,但没有定义如何满足这些要求。也就是说,ISO27799:2016在最大程度上是技术中立的。

ISO27799认证范围和目的

该国际标准为医疗保健组织和其他个人健康信息保管人提供了有关如何通过实施ISO/IEC 27002最佳地保护此类信息的机密性,完整性和可用性的指南。特别是,该国际标准满足了以下方面的特殊信息安全管理需求:卫生部门及其独特的运营环境。尽管个人信息的保护和安全对所有个人,公司,机构和政府都很重要,但在医疗卫生领域仍需要满足一些特殊要求,以确保个人健康信息的机密性,完整性,可审计性和可用性。在许多个人信息中,这类信息被认为是最机密的信息之一。如果要维护护理对象的隐私,则必须保护此机密性。必须保护健康信息的完整性,以确保患者的安全,并且保护的重要组成部分是确保对信息的整个生命周期进行全面审核。健康信息的可用性对于有效提供医疗保健也至关重要。卫生信息系统必须满足独特的需求,才能在自然灾害,系统故障和拒绝服务攻击下保持运行。因此,保护健康信息的机密性,完整性和可用性需要特定于健康部门的专业知识,并不打算取代ISO/IEC 27002或ISO/IEC27001。相反,它是对这些更通用标准的补充。 附件A描述了对健康信息的一般威胁。附件B简要描述了可应用于健康信息安全特定方面的其他标准。附件C讨论了支持工具有助于实施的优势。

尽管规定的范围是健康,但该标准的价值超出了预期的受众。例如,有关定义范围,分析差距和建立信息安全管理论坛的建议将适用于其他行业实施ISO27000的组织。有关风险管理的建议大量采用了ISO/IEC TR 13335,并且超出了ISO/IEC 27002中提供的建议。甚至治理也值得一提。

ISO27799标准现状

该标准于2008年首次发布。

第二版已更新,以反映ISO/IEC 27001和27002的2013版,于2016年发布。

下列信息安全领域不在ISO27799:2016认证的范围内:
a)有效匿名个人健康信息的方法和统计测试;
b)个人健康信息假名化的方法(有关专门针对该主题的技术规范的简要说明,请参见参考书目);
c)网络服务质量和测量用于卫生信息学的网络可用性的方法;
d)数据质量(与数据完整性不同)。