面向醫療行業的信息安全管理體系指南示例

B.1 說明

本附錄參考 ISO 27799：2016，依據信息安全管理體系在醫療行業具體應用實踐，形成面向醫療行業的信息安全管理體系標準。其中“5與GB/T 22081—2016相關的醫療行業指南”中， 從ISO 27799：2016的5.1.1、6.1.5和9.1.1選取部分控制、實現指南和其他信息，補充或修改后作為醫療行業指南示例。

本附錄的目的不是為了形成完善的面向醫療行業的信息安全管理體系指南，僅是給出面向行業的信息安全管理體系指南的示例，便于理解本標準并推動本標準落地實施。

B.2面向醫療的信息安全管理體系

如下為依據附錄A選取醫療行業給出的面向醫療行業的信息安全管理體系指南。

1范圍

本標準規定了 GB/T 22080 應用于醫療行業時補充、細化和作出解釋的要求，以及和 GB/T 22081應用于醫療行業時補充和修改的指南。

本標準適用于醫療行業構建包含其特定要求的信息安全管理體系。

2規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。

GB/T 22080-2016 信息技術 安全技術 信息安全管理體系 要求(ISO/IEC27001：2013，IDT)

GB/T 22081-2016 信息技術 安全技術 信息安全控制實踐指南(ISO/IEC27002：2013，IDT)

GB/T 29246-2017 信息技術 安全技術 信息安全管理體系概述和詞匯(ISO/IEC 27000：2016， IDT)

3術語和定義

GB/T 29246-2017 界定的術語和定義適用于本文件。

4與GB/T22080相關的醫療行業要求
4.1本標準結構

本標準是與 GB/T 22080 相關的具體行業標準。

醫療行業具體參考控制目標和控制參見附錄A。

4.2醫療行業要求

對 GB/T 22080-2016 第4章~第10章的所有要求，未在下面列出的，仍適用。

GB/T 22080-2016 要求7.1解釋如下：

在醫療行業，機構應提供信息安全管理體系所需的醫療專業人員、醫療設備、場地、醫療信息系統、辦公設備等醫療資源。

GB/T 22080-2016要求7.2細化如下：

醫療行業機構工作人員應：

a)定期核查經過專業認證的醫療專業人員的能力，可通過測試、現場操作等方式進行；

b)定期組織相關醫療專業能力培訓、進修等相關活動，組織新進人員參加相關培訓、進修活動，并對參加活動人員進行考核后方可進行上崗；

c)對醫療專業人員的考核成績進行定期分析，作為后續開展核查、培訓等工作的依據。

GB/T 22080-2016中7.3補充如下：

醫療行業機構工作人員應了解個人醫療信息保護的相關政策和要求。

GB/T 22080-2016中6.1.3c)的要求細化如下：

將6.1.3b)確定的控制、GB/T 22080-2016中附錄A以及本文件附錄A中的控制進行比較，并驗證沒有忽略必要的控制。

GB/T 22080-2016中6.1.3d)的要求細化如下：

制定一個適用性聲明，包含：

– 必要的控制「見 GB/T 22080-2016，6.1.3b)和c)]；

– 選擇這些控制的合理性說明(無論這些必要的控制是否已實現)；

– 對 GB/T 22080-2016 中附錄A或本文件附錄A中的控制刪減的合理性說明。

5與GB/T22081—2016相關的醫療行業指南

對 GB/T 22081-2016 所有的章節、控制目標、控制、實現指南和其他信息，未在下面列出的，仍適用。

GB/T 22081-2016 中5.1.1[信息安全策略]修改如下：

處理醫療信息(包括個人醫療信息)的組織，需有書面的信息安全策略，由管理者批準，并發布傳達給所有醫療人員和外部相關方。

GB/T 22081-2016中6.1.5[項目管理中的信息安全]]的控制補充如下：

在涉及個人醫療信息處理的項目中，醫療項目管理宜將患者安全視為項目風險。

GB/T 22081-2016 中6.1.5[項目管理中的信息安全]實現指南補充如下：

在涉及個人醫療信息處理的項目中，患者安全是項目風險評估的重要組成部分。需對患者安全的風險進行仔細的分析和明確的處理。

GB/T 22081-2016 中9.1.1[訪問控制策略]的其他信息補充如下：

關于醫療保健相關應用程序的訪問控制的補充指南參見 ISO 22600。

附錄A

(規范性附錄)

醫療行業具體參考控制目標和控制

表A.1中所列的補充或修改的控制目標和控制，是直接來源于本標準并與之相對應，并用于本標準細化的GB/T 22080-2016，6.1.3環境中。