iso27799認證
ISO27799認證標準介紹
ISO27799:2016健康信息學-使用ISO/IEC 27002的健康信息安全管理標準為醫療保健行業和各種醫療組織(醫院,實驗室,手術室,醫療保險公司等)提供了有關信息安全管理和信息安全控制的指南。
ISO27799認證提供了組織信息安全標準和信息安全管理實踐的指南,其中包括考慮組織的信息安全風險環境的控制的選擇,實施和管理。它定義了支持ISO/IEC 27002健康信息學中的解釋和實施的準則,并且是該國際標準的補充。
ISO27799:2016為ISO/IEC 27002中描述的控件提供了實施指南,并在必要時對其進行了補充,以便可以將其有效地用于管理健康信息安全。通過實施ISO27799:2016,醫療保健組織和其他健康信息保管人將能夠確保最低安全級別的最低要求,該最低要求要求的級別適合其組織的情況,并在其護理過程中維護個人健康信息的機密性,完整性和可用性。它適用于所有方面的健康信息,無論其采用何種形式(文字和數字,錄音,圖畫,視頻和醫學圖像),采用何種存儲方式(在紙上打印或書寫或以電子方式存儲),以及用于傳輸它的任何方式。
ISO27799:2016和ISO/IEC 27002共同定義了醫療保健信息安全方面的要求,但沒有定義如何滿足這些要求。也就是說,ISO27799:2016在最大程度上是技術中立的。
ISO27799認證范圍和目的
該國際標準為醫療保健組織和其他個人健康信息保管人提供了有關如何通過實施ISO/IEC 27002最佳地保護此類信息的機密性,完整性和可用性的指南。特別是,該國際標準滿足了以下方面的特殊信息安全管理需求:衛生部門及其獨特的運營環境。盡管個人信息的保護和安全對所有個人,公司,機構和政府都很重要,但在醫療衛生領域仍需要滿足一些特殊要求,以確保個人健康信息的機密性,完整性,可審計性和可用性。在許多個人信息中,這類信息被認為是最機密的信息之一。如果要維護護理對象的隱私,則必須保護此機密性。必須保護健康信息的完整性,以確保患者的安全,并且保護的重要組成部分是確保對信息的整個生命周期進行全面審核。健康信息的可用性對于有效提供醫療保健也至關重要。衛生信息系統必須滿足獨特的需求,才能在自然災害,系統故障和拒絕服務攻擊下保持運行。因此,保護健康信息的機密性,完整性和可用性需要特定于健康部門的專業知識,并不打算取代ISO/IEC 27002或ISO/IEC27001。相反,它是對這些更通用標準的補充。 附件A描述了對健康信息的一般威脅。附件B簡要描述了可應用于健康信息安全特定方面的其他標準。附件C討論了支持工具有助于實施的優勢。
盡管規定的范圍是健康,但該標準的價值超出了預期的受眾。例如,有關定義范圍,分析差距和建立信息安全管理論壇的建議將適用于其他行業實施ISO27000的組織。有關風險管理的建議大量采用了ISO/IEC TR 13335,并且超出了ISO/IEC 27002中提供的建議。甚至治理也值得一提。
ISO27799標準現狀
該標準于2008年首次發布。
第二版已更新,以反映ISO/IEC 27001和27002的2013版,于2016年發布。
下列信息安全領域不在ISO27799:2016認證的范圍內:
a)有效匿名個人健康信息的方法和統計測試;
b)個人健康信息假名化的方法(有關專門針對該主題的技術規范的簡要說明,請參見參考書目);
c)網絡服務質量和測量用于衛生信息學的網絡可用性的方法;
d)數據質量(與數據完整性不同)。