ISO 27799医疗健康信息安全管理体系标准解读

ISO 27799医疗健康信息安全管理体系标准解读

【标准定位】

ISO 27799 是 ISO/IEC 27001 信息安全管理和 ISO/IEC 27002 安全控制措施在医疗健康领域的应用。针对医疗行业特殊信息安全需求，为医疗保健组织和其他个人健康信息保管人提供有关如何最好地保护个人健康信息（PHI）的机密性、完整性和可用性的指南，并协助组织遵守世界各地相关的医疗健康法规。ISO 27799 基于 ISO/IEC 27002:2013，同时扩展了 ISO/IEC 27002 在医疗行业的具体实践要求。

【覆盖范围与价值】

该标准涉及到的健康信息通常包括个人医疗记录、病历记录、诊断数据、基因信息、医疗设备数据等。这个标准强调了保护这些敏感信息的必要性，并要求采取适当的措施来防止未经授权的访问、篡改或丢失。该标准的主要目标是确保信息的保密性、完整性和可用性，同时符合相关法规和政策的要求。在实施 ISO 27799 时，组织需要建立一套全面的信息安全管理体系，包括安全策略、安全控制措施、安全审计和合规性检查等。

【与 ISO 27001 的关系】

ISO 27799 不是独立的认证标准，而是 ISO/IEC 27001 在医疗健康行业的实施指南。它将 ISO 27001 通用要求与医疗行业特殊要求进行整合，帮助医疗机构、医院、医疗信息化服务商、医疗器械企业、基因检测公司、互联网医疗平台等明确健康信息保护的特定控制措施。组织通常应先建立 ISO 27001 体系，再针对医疗健康业务特点应用 ISO 27799 的特殊指南。

【实施建议】

该标准还强调了与医疗保健行业合作伙伴和利益相关者之间的协作和沟通的重要性，以确保整个组织范围内的信息安全管理和最佳实践的实施。建议医疗信息化相关企业从以下方面着手：一是建立完整的健康信息资产清单，识别临床数据、患者数据、医疗设备数据等高价值资产；二是应用 ISO 27002 控制措施的同时，重点加强患者同意管理、临床研究数据保密、医疗设备网络安全、最小化使用原则等医疗行业特殊控制；三是与主要监管框架（GDPR、HIPAA、《个人信息保护法》《医疗数据安全管理规定》等）对齐，构建合规驱动的信息安全体系；四是定期开展专项健康信息安全审计，确保持续合规。