一、ISO27799 概述

標(biāo)準(zhǔn)背景

隨著信息技術(shù)在醫(yī)療保健領(lǐng)域的廣泛應(yīng)用，健康信息的安全性變得至關(guān)重要。

ISO27799 是在 ISO27001 信息安全管理體系的基礎(chǔ)上，針對(duì)健康信息的特點(diǎn)和需求制定的專門(mén)標(biāo)準(zhǔn)。

適用于各類醫(yī)療保健機(jī)構(gòu)、健康信息管理服務(wù)提供商、醫(yī)藥企業(yè)等涉及健康信息處理的組織。

涵蓋了健康信息的收集、存儲(chǔ)、傳輸、處理和披露等各個(gè)環(huán)節(jié)。

二、ISO27799 的主要內(nèi)容

管理體系要求

與 ISO27001 類似，ISO27799 要求組織建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)健康信息安全管理體系。

包括制定信息安全方針、目標(biāo)和策略，明確信息安全管理的職責(zé)和權(quán)限等。

組織需要對(duì)健康信息面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估，確定風(fēng)險(xiǎn)的可能性和影響程度。

風(fēng)險(xiǎn)評(píng)估應(yīng)考慮健康信息的敏感性、價(jià)值、法律法規(guī)要求等因素。

根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，組織應(yīng)采取適當(dāng)?shù)目刂拼胧﹣?lái)降低風(fēng)險(xiǎn)。

控制措施包括技術(shù)措施（如加密、訪問(wèn)控制、備份等）和管理措施（如人員培訓(xùn)、安全管理制度等）。

強(qiáng)調(diào)對(duì)健康信息的保密性、完整性和可用性的保護(hù)。

采取措施防止健康信息被未經(jīng)授權(quán)的訪問(wèn)、披露、篡改或破壞。

建立安全事件管理流程，及時(shí)發(fā)現(xiàn)、報(bào)告和處理安全事件。

對(duì)安全事件進(jìn)行調(diào)查和分析，采取措施防止類似事件的再次發(fā)生。

組織應(yīng)遵守相關(guān)的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，確保健康信息的處理符合法律要求。

定期進(jìn)行合規(guī)性審查，確保體系的持續(xù)有效性。

三、ISO27799 認(rèn)證的好處

提高健康信息的安全性

通過(guò)建立完善的信息安全管理體系，有效保護(hù)健康信息的安全，降低信息泄露的風(fēng)險(xiǎn)。

獲得 ISO27799 認(rèn)證可以向客戶、合作伙伴和監(jiān)管機(jī)構(gòu)展示組織對(duì)健康信息安全的重視和承諾，提高組織的信譽(yù)度。

幫助組織滿足相關(guān)的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)要求，避免因違規(guī)而面臨的法律風(fēng)險(xiǎn)。

在醫(yī)療保健市場(chǎng)競(jìng)爭(zhēng)日益激烈的情況下，ISO27799 認(rèn)證可以成為組織的競(jìng)爭(zhēng)優(yōu)勢(shì)，吸引更多客戶和合作伙伴。

認(rèn)證過(guò)程要求組織不斷改進(jìn)信息安全管理體系，提高信息安全管理水平。

四、ISO27799 認(rèn)證的流程

準(zhǔn)備階段

組織確定認(rèn)證需求，了解 ISO27799 標(biāo)準(zhǔn)要求。

成立信息安全管理團(tuán)隊(duì)，制定認(rèn)證計(jì)劃。

對(duì)組織現(xiàn)有的信息安全管理體系進(jìn)行評(píng)估，找出與 ISO27799 標(biāo)準(zhǔn)的差距。

根據(jù)差距分析的結(jié)果，制定改進(jìn)措施，完善信息安全管理體系。

組織內(nèi)部對(duì)信息安全管理體系進(jìn)行審核，確保體系的有效性和符合性。

高層管理者對(duì)信息安全管理體系進(jìn)行評(píng)審，提出改進(jìn)意見(jiàn)和決策。

選擇認(rèn)證機(jī)構(gòu)，提交認(rèn)證申請(qǐng)。

認(rèn)證機(jī)構(gòu)進(jìn)行審核，包括文件審核和現(xiàn)場(chǎng)審核。

如果審核通過(guò)，組織將獲得 ISO27799 認(rèn)證證書(shū)。

五、認(rèn)證后的維護(hù)和持續(xù)改進(jìn)

持續(xù)監(jiān)控

組織應(yīng)持續(xù)監(jiān)控信息安全管理體系的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和處理安全問(wèn)題。

按照規(guī)定的時(shí)間間隔進(jìn)行內(nèi)部審核和管理評(píng)審，確保體系的持續(xù)有效性。

根據(jù)內(nèi)部審核、管理評(píng)審和外部審核的結(jié)果，不斷改進(jìn)信息安全管理體系。

定期對(duì)員工進(jìn)行信息安全培訓(xùn)，提高員工的安全意識(shí)和技能。

一、組織基本信息

營(yíng)業(yè)執(zhí)照副本復(fù)印件。

組織機(jī)構(gòu)代碼證復(fù)印件（若有）。

稅務(wù)登記證復(fù)印件（若有）。

組織簡(jiǎn)介，包括組織的業(yè)務(wù)范圍、規(guī)模、組織結(jié)構(gòu)、人員情況等。

組織的健康信息安全管理方針和目標(biāo)。

二、健康信息安全管理體系文件

健康信息安全管理手冊(cè)，應(yīng)包括以下內(nèi)容：

管理體系的范圍。

引用的標(biāo)準(zhǔn)和文件。

管理體系的過(guò)程和相互作用的描述。

健康信息安全方針和目標(biāo)。

管理職責(zé)和權(quán)限的描述。

風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理程序。

信息安全控制措施選擇和實(shí)施程序。

健康信息的分類和標(biāo)識(shí)程序。

訪問(wèn)控制程序。

加密控制程序。

備份和恢復(fù)程序。

安全事件管理程序。

合規(guī)性管理程序。

作業(yè)指導(dǎo)書(shū)和記錄表單，應(yīng)與程序文件和管理手冊(cè)相配套，包括但不限于以下內(nèi)容：

風(fēng)險(xiǎn)評(píng)估報(bào)告模板。

控制措施實(shí)施記錄表單。

健康信息分類和標(biāo)識(shí)指南。

訪問(wèn)控制權(quán)限申請(qǐng)表。

加密密鑰管理記錄表單。

備份和恢復(fù)計(jì)劃及記錄表單。

安全事件報(bào)告和處理記錄表單。

合規(guī)性審查記錄表單。

三、健康信息安全管理相關(guān)記錄

風(fēng)險(xiǎn)評(píng)估記錄，包括風(fēng)險(xiǎn)評(píng)估的方法、過(guò)程、結(jié)果和風(fēng)險(xiǎn)處理計(jì)劃。

控制措施實(shí)施記錄，包括技術(shù)措施和管理措施的實(shí)施情況、驗(yàn)證記錄等。

健康信息分類和標(biāo)識(shí)記錄，包括信息的分類標(biāo)準(zhǔn)、標(biāo)識(shí)方法和實(shí)施情況。

訪問(wèn)控制記錄，包括用戶權(quán)限設(shè)置、訪問(wèn)日志等。

加密控制記錄，包括加密算法、密鑰管理、加密和解密記錄等。

備份和恢復(fù)記錄，包括備份計(jì)劃、備份執(zhí)行情況、恢復(fù)測(cè)試記錄等。

安全事件記錄，包括事件的報(bào)告、處理過(guò)程和結(jié)果。

合規(guī)性審查記錄，包括對(duì)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)的遵守情況的審查結(jié)果。

四、人員培訓(xùn)和意識(shí)提升材料

健康信息安全培訓(xùn)計(jì)劃和記錄，包括培訓(xùn)內(nèi)容、培訓(xùn)對(duì)象、培訓(xùn)時(shí)間和培訓(xùn)效果評(píng)估。

員工信息安全意識(shí)調(diào)查問(wèn)卷和分析報(bào)告。

信息安全宣傳材料，如海報(bào)、手冊(cè)等。

五、其他相關(guān)材料

與健康信息安全管理相關(guān)的合同、協(xié)議等。

相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)清單。

組織內(nèi)部審計(jì)報(bào)告和管理評(píng)審報(bào)告。

認(rèn)證機(jī)構(gòu)要求的其他材料。

相關(guān)知識(shí)

ISO27799 醫(yī)療健康信息安全管理體系
平安健康通過(guò)ISO27799個(gè)人醫(yī)療健康信息安全管理體系認(rèn)證
互聯(lián)網(wǎng)醫(yī)療領(lǐng)域首個(gè)！平安健康通過(guò)DNV ISO27799個(gè)人醫(yī)療健康信息安全管理體系認(rèn)證
健康安全環(huán)境管理體系認(rèn)證，健康安全環(huán)境管理體系認(rèn)證證書(shū)
職業(yè)健康安全管理體系認(rèn)證 協(xié)助申請(qǐng) 方便快捷 ISO45001認(rèn)證材料
健康安全環(huán)境管理體系，健康安全環(huán)境管理體系認(rèn)證證書(shū)
職業(yè)健康安全管理體系認(rèn)證規(guī)則
職業(yè)安全健康管理體系認(rèn)證的申請(qǐng)人須提交的材料包括？
申報(bào)職業(yè)健康安全管理體系認(rèn)證證書(shū)要什么材料
京東健康榮獲BSI ISO 27799個(gè)人健康信息安全管理體系認(rèn)證

網(wǎng)址: ISO27799健康信息安全管理體系認(rèn)證及材料清單 http://m.u1s5d6.cn/newsview1287456.html