ISO 27799:2016 健康信息学 卫生信息安全管理
ISO 27799:2016《健康信息学 使用ISO/IEC 27002进行卫生信息安全管理》是一个专门为医疗健康信息安全管理而设立的国际标准。它提供了如何在医疗保健组织中实施信息安全管理系统(ISMS)的指导,特别强调了使用ISO/IEC 27002标准的重要性。下面是这个标准的目的、适用范围和主要内容概述:
一、目的
提高医疗信息的保密性、完整性和可用性:通过确保医疗信息的安全,减少信息泄露、篡改或丢失的风险。
制定特定的医疗保健信息安全指导方针:提供了一套详细的指导方针和最佳实践,帮助医疗保健机构建立、实施、运行、监控、审查、维护和改进信息安全管理系统。
符合法律和规范要求:帮助医疗保健组织遵守适用的信息安全法律、规章和政策要求。
二、适用范围
适用于所有医疗保健组织:包括医院、诊所、保健中心等,无论其规模大小。
覆盖各类健康信息:包括电子的和非电子的医疗健康信息。
三、主要内容
1、管理职责:定义了医疗保健组织管理层在信息安全管理系统中的职责。
2、风险管理:指导如何进行信息安全风险评估和风险处理。
3、信息安全政策:如何制定、发布和维护信息安全政策。
4、人员安全:包括员工的选拔、培训、意识提升和在信息安全方面的职责。
5、物理和环境安全:涉及到物理访问控制和保护信息系统免受环境威胁和灾害的策略。
6、操作安全:操作程序和责任、防病毒和恶意软件控制、备份、网络安全等。
7、通信安全:包括电子邮件、即时通讯、网络服务和信息传输的安全控制。
8、访问控制:用户访问管理、用户责任、系统和应用访问控制。
9、信息系统获取、开发和维护:安全要求的集成、信息系统的安全测试和审计。
10、信息安全事件管理:事件响应和管理流程,以及信息安全弱点的管理。
11、业务连续性管理:确保在发生灾害或其他中断事件时,关键业务活动的持续性。
12、合规性:监控和审查信息安全政策和措施的符合性。
通过遵循ISO 27799:2016标准,医疗保健组织可以更有效地保护患者和其他敏感健康信息,同时提高整体的信息安全水平。