ISO27799健康信息安全管理体系认证及材料清单

一、ISO27799 概述

标准背景

随着信息技术在医疗保健领域的广泛应用，健康信息的安全性变得至关重要。

ISO27799 是在 ISO27001 信息安全管理体系的基础上，针对健康信息的特点和需求制定的专门标准。

适用于各类医疗保健机构、健康信息管理服务提供商、医药企业等涉及健康信息处理的组织。

涵盖了健康信息的收集、存储、传输、处理和披露等各个环节。

二、ISO27799 的主要内容

管理体系要求

与 ISO27001 类似，ISO27799 要求组织建立、实施、维护和持续改进健康信息安全管理体系。

包括制定信息安全方针、目标和策略，明确信息安全管理的职责和权限等。

组织需要对健康信息面临的风险进行评估，确定风险的可能性和影响程度。

风险评估应考虑健康信息的敏感性、价值、法律法规要求等因素。

根据风险评估的结果，组织应采取适当的控制措施来降低风险。

控制措施包括技术措施（如加密、访问控制、备份等）和管理措施（如人员培训、安全管理制度等）。

强调对健康信息的保密性、完整性和可用性的保护。

采取措施防止健康信息被未经授权的访问、披露、篡改或破坏。

建立安全事件管理流程，及时发现、报告和处理安全事件。

对安全事件进行调查和分析，采取措施防止类似事件的再次发生。

组织应遵守相关的法律法规和行业标准，确保健康信息的处理符合法律要求。

定期进行合规性审查，确保体系的持续有效性。

三、ISO27799 认证的好处

提高健康信息的安全性

通过建立完善的信息安全管理体系，有效保护健康信息的安全，降低信息泄露的风险。

获得 ISO27799 认证可以向客户、合作伙伴和监管机构展示组织对健康信息安全的重视和承诺，提高组织的信誉度。

帮助组织满足相关的法律法规和行业标准要求，避免因违规而面临的法律风险。

在医疗保健市场竞争日益激烈的情况下，ISO27799 认证可以成为组织的竞争优势，吸引更多客户和合作伙伴。

认证过程要求组织不断改进信息安全管理体系，提高信息安全管理水平。

四、ISO27799 认证的流程

准备阶段

组织确定认证需求，了解 ISO27799 标准要求。

成立信息安全管理团队，制定认证计划。

对组织现有的信息安全管理体系进行评估，找出与 ISO27799 标准的差距。

根据差距分析的结果，制定改进措施，完善信息安全管理体系。

组织内部对信息安全管理体系进行审核，确保体系的有效性和符合性。

高层管理者对信息安全管理体系进行评审，提出改进意见和决策。

选择认证机构，提交认证申请。

认证机构进行审核，包括文件审核和现场审核。

如果审核通过，组织将获得 ISO27799 认证证书。

五、认证后的维护和持续改进

持续监控

组织应持续监控信息安全管理体系的运行情况，及时发现和处理安全问题。

按照规定的时间间隔进行内部审核和管理评审，确保体系的持续有效性。

根据内部审核、管理评审和外部审核的结果，不断改进信息安全管理体系。

定期对员工进行信息安全培训，提高员工的安全意识和技能。

一、组织基本信息

营业执照副本复印件。

组织机构代码证复印件（若有）。

税务登记证复印件（若有）。

组织简介，包括组织的业务范围、规模、组织结构、人员情况等。

组织的健康信息安全管理方针和目标。

二、健康信息安全管理体系文件

健康信息安全管理手册，应包括以下内容：

管理体系的范围。

引用的标准和文件。

管理体系的过程和相互作用的描述。

健康信息安全方针和目标。

管理职责和权限的描述。

风险评估和风险管理程序。

信息安全控制措施选择和实施程序。

健康信息的分类和标识程序。

访问控制程序。

加密控制程序。

备份和恢复程序。

安全事件管理程序。

合规性管理程序。

作业指导书和记录表单，应与程序文件和管理手册相配套，包括但不限于以下内容：

风险评估报告模板。

控制措施实施记录表单。

健康信息分类和标识指南。

访问控制权限申请表。

加密密钥管理记录表单。

备份和恢复计划及记录表单。

安全事件报告和处理记录表单。

合规性审查记录表单。

三、健康信息安全管理相关记录

风险评估记录，包括风险评估的方法、过程、结果和风险处理计划。

控制措施实施记录，包括技术措施和管理措施的实施情况、验证记录等。

健康信息分类和标识记录，包括信息的分类标准、标识方法和实施情况。

访问控制记录，包括用户权限设置、访问日志等。

加密控制记录，包括加密算法、密钥管理、加密和解密记录等。

备份和恢复记录，包括备份计划、备份执行情况、恢复测试记录等。

安全事件记录，包括事件的报告、处理过程和结果。

合规性审查记录，包括对法律法规和行业标准的遵守情况的审查结果。

四、人员培训和意识提升材料

健康信息安全培训计划和记录，包括培训内容、培训对象、培训时间和培训效果评估。

员工信息安全意识调查问卷和分析报告。

信息安全宣传材料，如海报、手册等。

五、其他相关材料

与健康信息安全管理相关的合同、协议等。

相关法律法规和行业标准清单。

组织内部审计报告和管理评审报告。

认证机构要求的其他材料。

相关知识

ISO27799 医疗健康信息安全管理体系
平安健康通过ISO27799个人医疗健康信息安全管理体系认证
互联网医疗领域首个！平安健康通过DNV ISO27799个人医疗健康信息安全管理体系认证
健康安全环境管理体系认证，健康安全环境管理体系认证证书
职业健康安全管理体系认证 协助申请 方便快捷 ISO45001认证材料
健康安全环境管理体系，健康安全环境管理体系认证证书
职业健康安全管理体系认证规则
职业安全健康管理体系认证的申请人须提交的材料包括？
申报职业健康安全管理体系认证证书要什么材料
京东健康荣获BSI ISO 27799个人健康信息安全管理体系认证

网址: ISO27799健康信息安全管理体系认证及材料清单 https://www.trfsz.com/newsview1287456.html