Стандарт разработан техническим комитетом ИСО TC 215 «Информатизация здравоохранения» (Health informatics). Он заменил предыдущую редакцию ISO 27799:2016.
В России данный стандарт ранее был адаптирован, на основе первой редакции 2008 года, как ГОСТ Р ИСО 27799-2015 «Информатизация здоровья. Менеджмент защиты информации в здравоохранении по ИСО/МЭК 27002», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=195431 .
В стандарте рассматриваются особенности применения в здравоохранении стандартов системы менеджмента информационной безопасности, и, в частности, стандарта ISO/IEC 27002:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Меры и средства обеспечения информационной безопасности» (Information security, cybersecurity and privacy protection - Information security controls), см. https://www.iso.org/standard/75652.html и https://www.iso.org/obp/ui/#!iso:std:75652:en , а также мой пост http://rusrim.blogspot.com/2023/06/isoiec-270022022.html . В России этот стандарт был адаптирован как ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230363 , на основе боле ранней редакции ISO/IEC 27002, выпущенной в 2013 году.
«Настоящий документ предлагает меры и средства обеспечения информационной безопасности для медицинских организаций (вместе с рекомендациями по их внедрению). Он основан на стандарте ISO/IEC 27002:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Меры и средства обеспечения информационной безопасности».
Помимо типового ИКТ-оборудования и программного обеспечения общего назначения, используемого во многих других средах, данный документ также охватывает программное обеспечение и системы, специально предназначенные для здравоохранения, такие как системы управления электронными медицинскими документами (ЭМК) и медицинские устройства со встроенным в них медицинских программным обеспечением. Подобные медицинские устройства могут быть программными и/или программируемыми, и могут содержать программное обеспечение и/или встроенное микропрограммное обеспечение («прошивки»).
Документ также охватывает иное цифровое оборудование (например, для контроля окружающей среды и инфекционного контроля, для управления зданиями и для обеспечения физической безопасности), которое может использоваться в помещениях, в которых оказываются медицинские услуги.
Данный документ применим к информации во всех её аспектах, - независимо от формы представления информации (включая текст и числа, звукозаписи, чертежи, изображения и видеозаписи), независимо от способа её приобретения и захвата, независимо от способа её хранения (например, печать или запись на бумаге, или же хранение в электронном виде), и независимо от способа ее передачи или обмена (устно, вручную, по почте, посредством транспортировки носителей информации, предоставления прямые ссылок или использования сети).
Данный документ применим в организациях любого типа и размера, которые предоставляют медицинские услуги или же являются ответственными хранителями медицинских персональных данных по иным причинам. Информация, за которую эти организации несут ответственность, может храниться и обрабатываться многими различными способами и в разных местах, в том числе локально или в облаке – она в любом случае остается в рамках сферы охвата данного документа.
Данный документ распространяется на все физические среды, где предполагается оказание медицинской помощи, такие как больницы, клиники и иные места, строения или транспортные средства, предназначенные для медицинских целей, - например, машины скорой помощи, мобильные пункты диагностики и получения диагностических изображений. Документ также распространяется на медицинскую помощь, оказываемую в иных местах - например, в жилых помещениях. Помимо перечисленных сред, данный документ распространяется на все методы оказания услуг, включая дистанционное и виртуальное медицинское обслуживание.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Общие положения
5. Меры организационного контроля и управления
6. Управления персоналом
7. Меры и средства физического контроля и управления
8. Меры и средства технологического контроля и управления
Приложение A: Справочник мер и средств контроля и управления информационной безопасности в здравоохранении
Приложение B: Соответствие данного документа положениям стандарта ISO 27799:2016
Приложение C: Информационная безопасность в организациях здравоохранения
Приложение D: Примеры требований в отношении безопасности и защиты персональных данных для медицинских информационных систем, и их соответствие мерам и средствам из ISO 27799 и возможностям обеспечения безопасности из IEC TS 81001-2-2:2025 «Безопасность программного обеспечения и IT-систем в здравоохранении. Часть 2-2. Координация. Руководство по внедрению, раскрытию и информированию о потребностях в области безопасности, рисках и средствах контроля» (Health software and health IT systems safety, effectiveness and security - Part 2-2: Coordination - Guidance for the implementation, disclosure and communication of security needs, risks and controls), см. https://webstore.iec.ch/en/publication/78673
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/84647.html
https://www.iso.org/obp/ui/en/#!iso:std:84647:en
Комментариев нет:
Отправить комментарий