Zakres
W niniejszej Normie Międzynarodowej podano wytyczne dotyczące organizacyjnych standardów bezpieczeństwa informacji w organizacjach i praktyk zarządzania bezpieczeństwem informacji, w tym wyboru, wdrażania i zarządzania zabezpieczeniami z uwzględnieniem środowiska (środowisk), w których w organizacji występuje(-ą) ryzyka w bezpieczeństwie informacji. W niniejszej Normie Międzynarodowej określono wytyczne w celu wsparcia interpretacji i wdrażania ISO/IEC 27002 w informatyce w ochronie zdrowia i jest normą towarzyszącą tej Normie Międzynarodowej .4).
Niniejsza Norma Międzynarodowa dostarcza wytyczne dotyczące wdrażania zabezpieczeń opisanych w ISO / IEC 27002 i uzupełnia je tam, gdzie jest to konieczne, tak aby mogły one być skutecznie wykorzystywane do zarządzania bezpieczeństwem informacji w ochronie zdrowia. Dzięki wdrożeniu niniejszej Normy Międzynarodowej, organizacje ochrony zdrowia i inni opiekunowie informacji dotyczących zdrowia będą w stanie zapewnić minimum wymaganego poziomu bezpieczeństwa, który jest odpowiedni do sytuacji ich organizacji i który będzie utrzymywał poufność, integralność i dostępność osobistych informacji o zdrowiu będących w ich posiadaniu. Niniejsza Norma Międzynarodowa ma zastosowanie do informacji o zdrowiu we wszystkich jej aspektach, bez względu na postać tej informacji (słowa i liczby, nagrania dźwiękowe, rysunki, wideo i obrazy medyczne), niezależnie od zastosowanego sposobu jej przechowywania (druk lub pismo na papierze albo forma elektroniczna ) oraz bez względu na sposób jej przekazywania (do ręki, za pośrednictwem faksu, poprzez sieć komputerową lub listownie), ponieważ informacja ta jest zawsze właściwie chroniona.
Niniejsza Norma Międzynarodowa i ISO / IEC 27002 wzięte razem określają co jest wymagane w zakresie bezpieczeństwa informacji w ochronie zdrowia, ale nie definiują jak te wymagania mają być spełnione. To znaczy, niniejsza Norma Międzynarodowa, w najszerszym możliwym zakresie, jest technologicznie neutralna. Neutralność, w odniesieniu do technologii wdrożeniowych, jest ważną cechą. Technologie zabezpieczeń wciąż przeżywają gwałtowny rozwój, a tempo tych zmian jest teraz mierzone raczej w miesiącach niż w latach. Natomiast Normy Międzynarodowe, gdy podlegają okresowym przeglądom, na ogół powinny być ważne przez lata. Co równie ważne, neutralność technologiczna pozostawia dostawcom i usługodawcom dowolność zaproponowania nowych lub rozwijających się technologii, spełniających niezbędne wymagania opisane w tej Normie Międzynarodowej. Jak wspomniano we wstępie, znajomość ISO / IEC 27002 jest niezbędna do zrozumienia niniejszej Normy Międzynarodowej. Następujące obszary bezpieczeństwa informacji są poza zakresem niniejszej Normy Międzynarodowej: a) metodologie i testy statystyczne dotyczące skutecznej anonimizacji osobistych informacji o zdrowiu; b) metodologie pseudonimizacji osobistych informacji o zdrowiu (szukaj w bibliografii krótkiego opisu Specyfikacji Technicznej dotyczącej konkretnie tego tematu); c) jakość usług sieciowych i metod pomiaru dostępności sieci wykorzystywanych w informatyce ochrony zdrowia; d) jakość danych (w odróżnieniu od integralności danych).
