面向医疗的信息安全管理体系

面向医疗的信息安全管理体系

B.1说明

GB/T 22081-2016本附录参考ISO 27799:2016健康信息- 依据[6]时的医疗信息安全管理，应用

信息安全管理体系在医疗行业具体应用实践，形成面向医疗的信息安全管理体系标准。仅是给出面向行业的信本附录目的不是为了形成完善的面向医疗的信息安全管理体系，息安全管理体系的示例，便于理解本标准并推动本标准落地实施。面向医疗的信息安全管理体系B.2A选取医疗行业给出的面向医疗的信息安全管理体系。如下为依据附录

0简介（引言

本标准为医疗机构如何更好保护医疗信息保密性、完整性和可用性提供指导。它基GB/TGB/T 22081-201提供的通用指南，解决医疗行业特定的信息安全要求。本标准22081-201中信息安全控制应用于医疗行业，保护个人健康信息范1

所述的控制应用于医疗行业提22081-20122081-201基础上，GB/T本标准GB/T

GB/T 22081-201实现指南，并在必要时对其补充，以便有效管理医疗信息安全。本标准本标准适用于医疗行业构建包含其特定需求的信息安共同规定了医疗信息安全方面控制管理体系规范性引用文2

仅所注日期的版凡是注日期的引用文件下列文件对于本文件的应用是必不可少的适用于本文件其最新版（包括所有的修改单适用于本文件凡是不注日期的引用文件ISO/IEC概述和词汇信息技安全技信息安全管理体GB/T 29246-XXXX

27000:2016,IDGB/T信息安全控制实践信息技安全技GB/T 22081-2016

22081-2016:2013,ID术语和定3

界定的术语和定义适用于本文件ISO/IEC 27000本标准结构4

项控制基个主要安全类别及114个安全控制章节、22081-2016包含的1435GB/T 本标准在础上，给出针对医疗行业的附加或修改的信息安全控制指南。本标准控制的描述结构如下：控制Health

基础上，给出针对医疗行业的附加或修改的信息安全控制。如无附GB/T 22081-2016在加的控制，本项将不给出。 Health 实现指南如无附加的实现指南，提供更详细的信息。为支持Health 控制的实现并满足控制目标，则陈述如下：“针对医疗行业没有附加的信息安全管理指南”。

其他信息Health

提供需要考虑的进一步的信息。如无附加的其他信息，本项将不给出。

医疗行业具体参考控制目标和控制详见附录A。

5 信息安全策略

5.1 信息安全管理指导

目标：依据业务要求和相关法律法规，为信息安全提供管理指导和支持。

5.1.1 信息安全策略

控制

对GB/T 22081-2016，5.1.1节控制不加修改的适用。

Health 控制

处理医疗相关信息（包括个人医疗信息）的组织，宜有书面的信息安全策略，由管理者批准，并发布传达给所有员工和外部相关方。

实现指南

对GB/T 22081-2016，5.1.1节实现指南不加修改的适用。

Health 实现指南

医疗行业信息安全策略宜包含：

a）医疗信息安全的需求；

b）医疗信息安全的目标；

c）法律、法规要求；

d）合同要求。

医疗行业组织在制定其信息安全策略文件时，需要特别考虑下列因素：

a）医疗信息的传输范围；

b）员工的权利；

c）医疗信息安全措施对病人安全的影响；

d）医疗信息安全措施对医疗信息系统性能的影响。

其他信息

对GB/T 22081-2016，5.1.1节其他信息不加修改的适用。

5.1.2 信息安全策略的评审

控制

对GB/T 22081-2016，5.1.2节控制不加修改的适用。

Health 控制

宜持续的、阶段性的对医疗信息安全策略进行评审。

实现指南

对GB/T 22081-2016，5.1.2节实现指南不加修改的适用。

Health 实现指南

下列情况宜对信息安全策略进行评审：

a）医疗相关组织的业务性质发生变化，导致风险配置和风险管理需求发生变化；b）组织IT基础设施变更及后续变化，使组织引入了新的风险。

6 信息安全组织

对GB/T 22081-2016，第6章控制、实现指南和其他信息不加修改的适用。

7 人力资源安全

7.1 任用前

目标：确保员工和合同方理解其责任，并适合其角色。

审查7.1.1

控制．

对GB/T 22081-2016，7.1.1节控制不加修改的适用。

Health 控制

所有任用候选者的背景验证核查宜包括经过专业认证的医疗专业资格的核查。

实现指南

对GB/T 22081-2016，7.1.1节实现指南不加修改的适用。

Health 实现指南

针对医疗行业没有附加的信息安全管理指南。

7.1.2 任用条款及条件

控制

对GB/T 22081-2016，7.1.2节控制不加修改的适用。

Health 控制

宜特别注意医疗机构临时或短期工作人员的角色和责任。

实现指南

对GB/T 22081-2016，7.1.2节实现指南不加修改的适用。

Health 实现指南

针对医疗行业没有附加的信息安全管理指南。

其他信息

对GB/T 22081-2016，7.1.2节其他信息不加修改的适用。

7.2任用中

对GB/T 22081-2016，7.2节控制、实现指南和其他信息不加修改的适用。7.3任用的终止和变更

对GB/T 22081-2016，7.3节控制、实现指南和其他信息不加修改的适用。

8 资产管理

对GB/T 22081-2016，第8章控制、实现指南和其他信息不加修改的适用。

9 访问控制

对GB/T 22081-2016，第9章控制、实现指南和其他信息不加修改的适用。10 密码

对GB/T 22081-2016，第10章控制、实现指南和其他信息不加修改的适用。

11 物理和环境安全

11.1 安全区域

目标：防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。11.1.1 物理安全边界

控制

对GB/T 22081-2016，11.1.1节控制不加修改的适用。

Health 控制

处理医疗信息的组织宜使用安全边界，以保护包含医疗信息的信息处理设施。实现指南

对GB/T 22081-2016，11.1.1节实现指南不加修改的适用。

Health 实现指南

针对医疗行业没有附加的信息安全管理指南。

其他信息

对GB/T 22081-2016，11.1.1节附加信息不加修改的适用。

11.1.2 物理入口控制

控制．

对GB/T 22081-2016，11.1.2节控制不加修改的适用。

实现指南

对GB/T 22081-2016，11.1.2节实现指南不加修改的适用。

Health 实现指南

针对医疗行业没有附加的信息安全管理指南。

11.1.3 办公室、房间和设施的安全保护

控制

对GB/T 22081-2016，11.1.3节控制不加修改的适用。

实现指南

对GB/T 22081-2016，11.1.3节实现指南不加修改的适用。

Health 实现指南

针对医疗行业没有附加的信息安全管理指南。

11.1.4 外部和环境威胁的安全防护