ISO 27799-2016 PDF

Полное наименование и описание

ISO 27799:2016 — Health informatics — Information security management in health using ISO/IEC 27002. Международный стандарт, дающий руководство по применению и интерпретации положений ISO/IEC 27002 в области информатики здравоохранения для управления безопасностью информации, хранящейся или обрабатываемой организациями здравоохранения и прочими хранителями персональной медицинской информации.

Аннотация

Стандарт представляет рекомендации по выбору, внедрению и сопровождению мер (контролей) информационной безопасности применительно к здравоохранению, с целью обеспечения конфиденциальности, целостности и доступности медицинской информации в любых формах (бумажных, электронных, аудио/видео, изображений и т.д.). ISO 27799:2016 дополняет ISO/IEC 27002, приводя практические указания и уточнения, специфичные для сектора здравоохранения.

Общая информация

• Статус: Отозван (Withdrawn).
• Дата публикации: Июль 2016 (издание 2, 2016).
• Организация-издатель: ISO — International Organization for Standardization (технический комитет ISO/TC 215).
• ICS / категории: 35.240.80 (IT‑приложения в здравоохранении / Health informatics).
• Редакция / версия: Edition 2 (2016).
• Количество страниц: Около 99 страниц (в базовом международном издании; количество страниц в национальных перекладках/версиях может различаться).

Область применения

Применяется ко всем организациям и структурам, которые создают, хранят, обрабатывают или передают медицинскую информацию — больницы, клиники, лаборатории, поставщики электронных медицинских систем, организации телемедицины, а также иные хранители персональных данных в здравоохранении. Стандарт охватывает информацию в любых форматах и способах передачи, но не задаёт конкретных технических решений, оставаясь нейтральным по отношению к технологиям.

Ключевые темы и требования

• Интерпретация и использование контролей ISO/IEC 27002 применительно к здравоохранению.
• Управление рисками информационной безопасности для медицинских данных (идентификация, оценка, обработка рисков).
• Политики и организационные меры для защиты здоровья‑информации (роли и ответственности, обучение персонала, аудит и контроль доступа).
• Классификация и обработка персональных медицинских данных; требования к конфиденциальности и согласия пациентов.
• Технические и процедурные меры: управление доступом, криптография, ведение логов и аудита, резервное копирование и восстановление, управление инцидентами.
• Специфические аспекты: безопасность электронных медицинских записей, мобильных и дистанционных медицинских сервисов, интеграция медицинских устройств, передача данных между организациями и за национальные границы.
• Ограничения стандарта — например, он не содержит методик для анонимизации/псевдонимизации и не описывает измерения качества сетевой доступности.

Применение и пользователи

Рекомендации стандарта предназначены для: служб информационной безопасности в медицинских организациях, IT‑подразделений больниц и клиник, разработчиков и поставщиков электронных медицинских систем (EHR/EMR), консультантов по защите данных, аудиторов и регуляторов, а также команд по управлению рисками при внедрении цифровых и телемедицинских сервисов. Внедрение положений ISO 27799 помогает согласовать практики здравоохранения с международными требованиями к информационной безопасности.

Связанные стандарты

Ключевые связанные документы: ISO/IEC 27002 (кодекс практики по информационной безопасности), ISO/IEC 27001 (система менеджмента информационной безопасности — требования), предыдущее издание ISO 27799:2008 и пересмотрённая версия ISO 27799:2025, а также другие стандарты и технические спецификации, касающиеся управления данными, медицинских устройств и защиты персональных данных.

Ключевые слова

информатика здравоохранения; информационная безопасность; медицинские данные; конфиденциальность; ISO/IEC 27002; управление рисками; EHR; аудит; доступ; защита персональных данных.

FAQ

В: Что это за стандарт?

О: Международный практический стандарт для применения мер информационной безопасности в сфере здравоохранения на основе ISO/IEC 27002, адаптирующий общие контролы к специфике медицинской информации.

В: Что он регулирует?

О: Предоставляет руководство по выбору, внедрению и управлению контролями информационной безопасности применительно к медицинской информации: политики, организационные меры, технические и процедурные меры для обеспечения конфиденциальности, целостности и доступности данных. Он не навязывает конкретных технологий и не содержит детальных методик анонимизации.

В: Кто обычно использует?

О: Медицинские организации (больницы, клиники, лаборатории), разработчики медицинского ПО и устройств, поставщики облачных услуг для здравоохранения, специалисты по информационной безопасности, консультанты, аудиторы и регуляторы.

В: Он актуален или заменён?

О: ISO 27799:2016 официально отозван; его функциональность и руководство были переработаны и заменены новой версией ISO 27799, опубликованной в 2025 году. Рекомендуется ориентироваться на актуальную редакцию 2025 года при подготовке и приведении практик безопасности в соответствие с международными требованиями.

В: Это часть серии?

О: Да — стандарт связан с семейством стандартов по информационной безопасности и информатике здравоохранения (в частности, ISO/IEC 27000‑серия и работа технического комитета ISO/TC 215). ISO 27799 служит прикладным руководством к ISO/IEC 27002 в контексте здравоохранения.

В: Какие ключевые слова?

О: Информатика здравоохранения, информационная безопасность, медицинские данные, конфиденциальность, ISO/IEC 27002, управление рисками, электронные медицинские записи, аудит доступа.