ISO27799认证范围和目的
该国际标准为医疗保健组织和其他个人健康信息保管人提供了有关如何通过实施ISO/IEC 27002最佳地保护 此类信息的机密性,完整性和可用性的指南。特别是,该国际标准满足了以下方面的特殊信息安全管理需求;卫 生部门及其独特的运营环境。尽管个人信息的保护和安全对所有个人,公司,机构和政府都很重要,但在医疗卫 生领域仍需要满足一些特殊要求,以确保个人健康信息的机密性,完整性,可审计性和可用性。在许多个人信息 中,这类信息被认为是最机密的信息之一。如果要维护护理对象的隐私,则必须保护此机密性。必须保护健康信 息的完整性,以确保患者的安全,并且保护的重要组成部分是确保对信息的整个生命周期进行全面审核。健康信 息的可用性对于有效提供医疗保健也至关重要。卫生信息系统必须满足独特的需求,才能在自然灾害,系统故障 和拒绝服务攻击下保持运行。因此,保护健康信息的机密性,完整性和可用性需要特定于健康部门的专业知识, 并不打算取代ISO/IEC 27002或ISO/IEC27001。相反,它是对这些更通用标准的补充。附件A描述了对健康信 息的一般威胁。附件B简要描述了可应用于健康信息安全特定方面的其他标准。附件C讨论了支持工具有助于实 施的优势。
尽管规定的范围是健康,但该标准的价值超出了预期的受众。例如,有关定义范围,分析差距和建立信息安全管理论坛的建议将适用于其他行业实施ISO27000的组织。有关风险管理的建议大量采用了ISO/IEC TR13335,并且超出了ISO/IEC 27002中提供的建议。甚至治理也值得—提。
ISO27799标准现状
该标准于2008年首次发布。
第二版已更新,以反映ISO/IEC 27001和27002的2013版,于2016年发布。
下列信息安全领域不在IS027799:2016认证的范围内:
a)有效匿名个人健康信息的方法和统计测试;
b)个人健康信息假名化的方法(有关专门针对该主题的技术规范的简要说明,请参见参考书目);
C)网络服务质量和测量用于卫生信息学的网络可用性的方法;
d)数据质量(与数据完整性不同)。