ISO 27799
随着现代社会对工作场所安全与健康的日益关注,健康安全管理体系的建立和实施成为组织可持续发展的关键环节。这一体系旨在确保组织的运作中充分考虑员工的健康与安全,并通过科学的策略、方法和技术,预防和减少工作场所中的健康安全风险。
随着医疗行业的快速发展,医疗健康信息安全在保障患者权益、提高医疗服务质量、促进医疗技术创新等方面发挥着越来越重要的作用。通过加强信息安全管理,可以有效避免患者信息的泄露和不当使用,保护患者的隐私权和人格尊严。这有助于建立患者信任,提高医疗服务满意度。确保医疗数据的完整性、准确性和可靠性,防止数据被篡改或损坏,有助于保障医疗工作的正常进行,提高医疗服务的可靠性。
随着互联网技术的普及和信息化程度的提高,医疗系统的稳定性变得越来越重要。通过加强医疗健康信息安全保障,可以降低因网络攻击和数据泄露导致的医疗系统瘫痪风险,确保医疗服务的连续性和稳定性。
ISO 27799是ISO/IEC27001信息安全管理和ISO/EC27002安全控制措施在医疗健康领域的具体应用,针对医疗行业特殊信息安全需求,为医疗保健组织和其它个人健康信息保管人提供指导,包括组织如何保护个人健康信息(PHI),并协助组织遵守世界各地相关的医疗健康法规,
ISO 27799并不打算取代ISO/IEC 27002或ISO/EC27001在医疗健康领域的应用。相反,它是对这些更通用标准的补充。
ISO 27799健康信息安全管理体系实施的价值
1、除了所有与计算机有关系统共有的安全要求外,重点关注提供健康服务的电子健康信息服务的安全要求。
2、在医疗健康环境中以一致的方式实施ISO/IEC27002,特别关注医疗保健部门面临的独特挑战。参考本标准,可确保组织护理数据的机密性和完整性,关键医疗健康信息系统可用性,以及维持医疗健康信息的问责。
3、司法管辖区内和司法管辖区之间的医疗健康组织,采用本国际标准有助于相互运作,使人们能安全采用新的协作技术来提供医疗保健服务,健康信息共享可以显著改善医疗结果。
4、通过实施本国际标准,医疗保健组织可以预期减少安全事件数量和降低其严重性,从而允许将资源重新部署到生产活动中,使健康资源能够以具有成本效益和生产效率的方式部署。
5、采取所有参与医疗保障的人都可以理解的、一致的IT安全方法,将提高员工的士气,并增加公众对维护个人健康信息系统的信任。
认证流程
管理体系相关认证的流程基本一致,企业申请时不需要特别记录。流程一般包括:提交申请、签订合同和交预付款;初审(第一阶段审核/文件审查,第二阶段审核/现场审核);认证决定;结算费用,注册发证;每年的监督审核(次数略有不同);证书期满后的再认证等环节。
受理条件
组织(企业)申请认证须具备以下基本条件:
(1) 具备独立的法人资格或经独立的法人授权的组织。
(2) 按照ISO 27799:2016标准的要求建立文件化的健康信息安全管理体系。
(3) 已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。
认证范围
ISO 27799质量管理体系适用于各行各业,且不限制企业的规模大小。
资料清单
认证组织需要提交的基本资料有:
1、法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等);
2、有效的资质证明、产品生产许可证、强制性产品认证证书等涉及法律法规规定的行政许可的须提交相应
的行政许可证件复印件(需要时);
3、临时场所清单;
4、至少应提供以下文件化信息:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组
织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确
说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对 IT 的应用等;
5、关于认证活动的限制条件(如出于安全和/或保密等原因,存在时)。
认证报价
认证的费用包括申请费、评审费、审核员的差旅和食宿费、证书费等。
具体报价多少要看评审工作的复杂程度等因素进行核算。如:初评、监督、复评与扩大认可领域、扩大业
务领域、扩大业务范围和增加关键场所的文件审查、现场评审、见证评审、不符合验证等评审活动所发生
的费用等。
证书样本
ISO 27799
