ISO27799认证标准介绍
ISO27799:2016健康信息学-使用ISO/IEC 27002的健康信息安全管理标准为医疗保健行业和各种医疗组织(医院,实验室,手术室,医疗保险公司等)提供了有关信息安全管理和信息安全控制的指南。
ISO27799认证提供了组织信息安全标准和信息安全管理实践的指南,其中包括考虑组织的信息安全风险环境的控制的选择、实施和管理。它定义了支持ISO/IEC 27002健康信息学中的解释和实施的准则,并且是该国际标准的补充。通过实施ISO27799:2016,医疗保健组织和其他健康信息保管人将能够确保最低安全级别的最低要求,该最低要求要求的级别适合其组织的情况,并在其护理过程中维护个人健康信息的机密性、完整性和可用性。它适用于所有方面的健康信息,无论其采用何种形式(文字和数字,录音,图画,视频和医学图像),采用何种存储方式(在纸上打印或书写或以电子方式存储),以及用于传输它的任何方式。
ISO27799认证范围和目的
该国际标准为医疗保健组织和其他个人健康信息保管人提供了有关如何通过实施ISO/IEC 27002最佳地保护此类信息的机密性、完整性和可用性的指南。特别是,该国际标准满足了以下方面的特殊信息安全管理需求:卫生部门及其独特的运营环境。尽管个人信息的保护和安全对所有个人、公司、机构和政府都很重要,但在医疗卫生领域仍需要满足一些特殊要求,以确保个人健康信息的机密性、完整性、可审计性和可用性。在许多个人信息中,这类信息被认为是最机密的信息之一。如果要维护护理对象的隐私,则必须保护此机密性。必须保护健康信息的完整性,以确保患者的安全,并且保护的重要组成部分是确保对信息的整个生命周期进行全面审核。健康信息的可用性对于有效提供医疗保健也至关重要。卫生信息系统必须满足独特的需求,才能在自然灾害,系统故障和拒绝服务攻击下保持运行。
ISO27799标准适用于医疗健康行业(不论规模大小、何地和何种服务模式)的所有组织。包括但不限于以下类型组织:
1、卫生健康政府管理部门及非营利组织;
2、医疗机构;
3、体检机构;
4、保险公司;
5、基因检测机构;
6、制药厂商;
7、卫生健康云服务及信息化建设服务商;
8、互联网+智慧医疗企业、AI医疗;
9、医疗器械制造厂商;
ISO27799标准有几种类型的信息,其保密性、完整性和可用性需要受到保护:
1、个人健康信息;
2、通过某种方式进行假名识别而得自个人健康信息的假名数据;
3、统计和研究数据,包括通过删除个人身份识别数据而从个人健康信息中获得的匿名数据;
4、与特定护理对象无关的临床/医学知识,包括临床决策支持数据(例如关于药物不良反应的数据);
5、健康专业人员、工作人员和志愿者的数据;
6、与公共健康监测有关的信息;
7、由健康信息系统生成的审核跟踪数据,其中包含个人健康信息或从个人健康信息中得出的假名数据,或者包含有关用户在个人健康信息方面的行为的数据;
8、健康信息系统的系统安全数据,包括健康信息系统的访问控制数据和其他安全相关的系统配置数据。
1、营业执照
2、组织机构代码证
3、税务登记证
4、体系申请表(公司注册地址、办公地址、认证的业务范围及人数规模、管理者代表、办理人联系电话、传真)
5、组织架构图、
6、其他相关资质等
ISO27799健康信息安全管理 解决哪些痛点?
维护信息的机密性,可用性和完整性(包括真实性,问责制和可审核性)是健康信息安全的首要目标。
a)遵守适用的数据安全法律和法规中保护受治疗者(患者)的法律义务是隐私权;
b)维护健康信息学方面既定的隐私和安全最佳实践;
c)维持卫生组织和卫生专业人员之间的个人和组织问责制;
d)支持卫生组织内部实施系统的风险管理;
e)满足常见医疗情况下确定的安全需求;
f)通过以支持(不是限制)当前卫生活动的安全,采用可靠和良好的管理方式促进更多技术的使用,从而降低运营成本;
g)维持公众对卫生组织及其依赖的信息系统的信任;
h)维护与健康有关的专业组织所确立的专业标准和道德规范(由于信息安全对健康信息的保密性和完整性进行了保护);
i)在安全环境(采用适当保护、免受威胁)的环境中操作电子健康信息系统;
j)促进卫生系统之间的互操作性,因为健康信息越来越多地在组织之间和跨辖区流动(尤其是这种互操作性增强了对健康信息的正确处理,以确保其持续的机密性,完整性和可用性)。
