ISO 27799:2008
Informática de la salud - Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002
- Estándar No.
- ISO 27799:2008
- Fecha de publicación
- 2008
- Organización
- International Organization for Standardization (ISO)
- Estado
- Remplazado por
- ISO 27799:2016
- Ultima versión
- ISO 27799:2016
- Alcance
- 1.1 General Esta norma internacional define directrices para respaldar la interpretación e implementación en informática de la salud de ISO/IEC 27002 y es un complemento de esa norma2). Esta norma internacional especifica un conjunto de controles detallados para gestionar la seguridad de la información sanitaria y proporciona directrices de mejores prácticas en seguridad de la información sanitaria. Mediante la implementación de esta Norma Internacional. Las organizaciones de atención médica y otros custodios de información de salud podrán garantizar un nivel mínimo de seguridad requerido que sea apropiado para las circunstancias de su organización y que mantendrá la confidencialidad, integridad y disponibilidad de la información de salud personal. Esta Norma Internacional se aplica a la información de salud en todos sus aspectos, cualquiera que sea la forma que adopte (palabras y números, grabaciones de sonido, dibujos, videos e imágenes médicas), cualquiera que sea el medio utilizado para almacenarla (impresión o escritura en papel o almacenamiento electrónico). y cualquiera que sea el medio que se utilice para transmitirla (en mano, por fax, a través de redes informáticas o por correo postal), ya que la información siempre debe estar adecuadamente protegida. Esta Norma Internacional y la ISO/IEC 27002 en conjunto definen lo que se requiere en términos de seguridad de la información en la atención médica; no definen cómo deben cumplirse estos requisitos. Es decir, en la mayor medida posible, esta norma internacional es tecnológicamente neutral. La neutralidad con respecto a la implementación de tecnologías es una característica importante. La tecnología de seguridad todavía está experimentando un rápido desarrollo y el ritmo de ese cambio ahora se mide en meses en lugar de años. Por el contrario, si bien están sujetas a revisiones periódicas, se espera que en general sigan siendo válidas durante años. Igual de importante es que la neutralidad tecnológica deja a los vendedores y proveedores de servicios la libertad de sugerir tecnologías nuevas o en desarrollo que cumplan con los requisitos necesarios que describe esta norma internacional. Como se señaló en la introducción, la familiaridad con ISO/IEC 27002 es indispensable para comprender esta norma internacional. 1.2 Exclusiones del alcance Las siguientes áreas de seguridad de la información están fuera del alcance de esta Norma Internacional: a) metodologías y pruebas estadísticas para la anonimización efectiva de la información de salud personal; b) metodologías para la seudonimización de información personal de salud (ver Referencia bibliográfica [10] para un ejemplo de una Especificación Técnica IS~ que trata específicamente este tema); c) calidad de servicio de la red y métodos para medir la disponibilidad de las redes utilizadas para la informática sanitaria; d) calidad de los datos (a diferencia de la integridad de los datos). 2) Esta directriz es consistente con la versión revisada de ISO/IEC 27002:2005.
ISO 27799:2008 Documento de referencia
- ISO/IEC 27002:2005 Tecnología de la información - Técnicas de seguridad - Código de prácticas para la gestión de la seguridad de la información
ISO 27799:2008 Historia
- 2016 ISO 27799:2016
- 2008 ISO 27799:2008 Informática de la salud - Gestión de la seguridad de la información en salud utilizando ISO/IEC 27002
