International Organization for Standardization (ISO)
Ultima versión
ISO 27799:2016
Alcance
Esta Norma Internacional brinda pautas para los estándares de seguridad de la información organizacional y las prácticas de gestión de la seguridad de la información, incluida la selección, implementación y gestión de controles teniendo en cuenta los entornos de riesgo de seguridad de la información de la organización. Esta Norma Internacional define directrices para apoyar la interpretación e implementación en informática de la salud de ISO/IEC 27002 y es un complemento de esa Norma Internacional.4) Esta Norma Internacional proporciona orientación de implementación para los controles descritos en ISO/IEC 27002 y los complementa cuando sea necesario. , para que puedan utilizarse eficazmente para gestionar la seguridad de la información sanitaria. Al implementar esta Norma Internacional, las organizaciones de atención médica y otros custodios de información de salud podrán garantizar un nivel mínimo de seguridad requerido que sea apropiado para las circunstancias de su organización y que mantendrá la confidencialidad, integridad y disponibilidad de la información de salud personal bajo su cuidado. Esta Norma Internacional se aplica a la información de salud en todos sus aspectos, cualquiera que sea la forma que adopte (palabras y números, grabaciones de sonido, dibujos, videos e imágenes médicas), cualquiera que sea el medio utilizado para almacenarla (impresión o escritura en papel o almacenamiento electrónico). ), y cualquiera que sea el medio utilizado para transmitirla (en mano, por fax, a través de redes informáticas o por correo postal), ya que la información estará siempre adecuadamente protegida. Esta Norma Internacional y la ISO/IEC 27002 en conjunto definen lo que se requiere en términos de seguridad de la información en la atención médica, no definen cómo se deben cumplir estos requisitos. Es decir, en la mayor medida posible, esta norma internacional es tecnológicamente neutral. La neutralidad con respecto a la implementación de tecnologías es una característica importante. La tecnología de seguridad todavía está experimentando un rápido desarrollo y el ritmo de ese cambio ahora se mide en meses en lugar de años. Por el contrario, si bien están sujetas a revisiones periódicas, se espera que, en general, las Normas Internacionales sigan siendo válidas durante años. Igual de importante es que la neutralidad tecnológica deja a los vendedores y proveedores de servicios la libertad de sugerir tecnologías nuevas o en desarrollo que cumplan con los requisitos necesarios que describe esta norma internacional. Como se señaló en la introducción, la familiaridad con ISO/IEC 27002 es indispensable para comprender esta norma internacional. Las siguientes áreas de seguridad de la información están fuera del alcance de esta Norma Internacional: a) metodologías y pruebas estadísticas para la anonimización efectiva de la información de salud personal; c) calidad de servicio de la red y métodos para medir la disponibilidad de las redes utilizadas para la informática sanitaria; b) metodologías para la seudonimización de información personal de salud (ver Bibliografía para una breve descripción de una Especificación Técnica que trata específicamente este tema); d) calidad de los datos (a diferencia de la integridad de los datos). 4) Esta norma internacional es consistente con la versión revisada de ISO/IEC 27002. 1
ISO 27799:2016 Documento de referencia
ISO 15489-1:2016 Información y documentación - Gestión de registros - Parte 1: Conceptos y principios
ISO 17090-1:2013 Informática de la salud. Infraestructura de clave pública. Parte 1: Descripción general de los servicios de certificados digitales.
ISO 17090-2:2015 Informática de la salud - Infraestructura de clave pública - Parte 2: Perfil del certificado
ISO 17090-3:2008 Informática de la salud - Infraestructura de clave pública - Parte 3: Gestión de políticas de la autoridad de certificación
ISO 21091:2013 Informática de la salud: servicios de directorio para proveedores de atención médica, sujetos de atención y otras entidades
ISO 22301:2012 Seguridad social - Sistemas de gestión de la continuidad del negocio - Requisitos
ISO/IEC 11770-2:2008 Tecnologías de la información - Técnicas de seguridad - Gestión de claves - Parte 2: Mecanismos que utilizan técnicas simétricas
ISO/IEC 11770-3:2015 Tecnologías de la información - Técnicas de seguridad - Gestión de claves - Parte 3: Mecanismos que utilizan técnicas asimétricas
ISO/IEC 18028-4:2005 Tecnología de la información - Técnicas de seguridad - Seguridad de la red de TI - Parte 4: Proteger el acceso remoto
ISO/TR 17791:2013 Informática de la salud. Orientación sobre estándares para permitir la seguridad en el software de salud.
ISO/TS 14441:2013 Informática de la salud. Requisitos de seguridad y privacidad de los sistemas EHR para su uso en la evaluación de la conformidad.
ISO/TS 17975:2015 Informática de la salud: principios y requisitos de datos para el consentimiento en la recopilación, uso o divulgación de información de salud personal
ISO/TS 21298:2008 Informática de la salud - Roles funcionales y estructurales