ISO 27799:2008 醫療資訊安全管理國際標準

資安重點關注產業
1. 醫療
  1. ISO 27799
    1. 以ISO 27002為基礎
2. 通信
  1. ISO 27011
3. 金控
  1. Topic
  2. 相關
    1. ISO 13569
醫療資訊安全 (HIS) Health Information Security
1. 具體目標
  1. 機密性 Confidentiality
    1. 個人醫療病歷
  2. 完整性 Integrity
    1. 病人安全
  3. 可用性 Availability
    1. 時間緊急性
      1. 7*24小時
2. 醫療法第七十條
  1. 病歷保存
    1. 至少7年
    2. 未成年者
      1. 保存至成年後七年
3. 通過
  1. ISO 27001資安驗證
    1. 驗證範圍
      1. 資訊單位
      2. 資訊機房
      1. 涵蓋部分
        醫療資訊系統 (HIS) or
        電子病歷系統
    2. 主導稽核員 Lead Auditor
      1. 至少1人
    3. 參與
      1. 衛生署輔導醫院
        2010年
    4. 申請
      1. 醫療機構實施電子病歷與互通補助計畫
        申請金額 >820萬
  2. 資安檢查
    1. 檢核項目
      1. 8類
        28項
    2. 檢核結果
      1. 合格
      2. 不合格
      3. 限期改善
    3. 申請
      1. 醫療機構實施電子病歷與互通補助計畫
        申請金額 <820萬
關係與比較
1. ISO 27001 / 27002
  1. ISMS Process Overview
  2. Simplified Risk Model (Ref. ISO 13335)
  3. 11個領域 Domain 章節
    1. 安全政策
      1. Ａ5
      2. 7.2
    2. 資訊安全組織
      1. 7.3
      2. A.6
    3. 資產管理
      1. A.7
      2. 7.4
    4. 人力資源管理
      1. A.8
      2. 7.5
    5. 實體與環境管理
      1. A.9
      2. 7.6
    6. 通訊與作業管理
      1. A.10
      2. 7.7
    7. 存取控制
      1. A.11
      2. 7.8
    8. 資訊系統獲取,發展與維護
      1. A.12
      2. 7.9
    9. 資訊安全事故管理
      1. A.13
      2. 7.10
    10. 營運持續管理
      1. A.14
      2. 7.11
    11. 遵循性
      1. A.15
      2. 7.12
2. Control / Implementation
  1. 選擇性
    1. SHOULD
  2. 強制性
    1. SHALL
  3. 修訂
    1. 修增
      1. 82項
    2. 新增
      1. 2項
  1. 部分內容要求不一致