Zakres
W niniejszej Normie Międzynarodowej zawarto wytyczne dotyczące organizacyjnych standardów bezpieczeństwa informacji i praktyk zarządzania bezpieczeństwem informacji, w tym wyboru, wdrożenia i zarządzania zabezpieczeniami, z uwzględnieniem środowisk bezpieczeństwa informacji w organizacji.
W niniejszej Normie Międzynarodowej określono wytyczne, mające na celu wsparcie interpretacji i wdrożenia ISO/IEC 27002 w informatyce w ochronie zdrowia; niniejsza norma jest dla niej normą towarzyszącą.4)
Niniejsza Norma Międzynarodowa zawiera wskazówki dotyczące wdrażania zabezpieczeń, opisanych w ISO/IEC 27002 i uzupełnia je w razie potrzeby, tak aby mogły być skutecznie wykorzystywane do zarządzania bezpieczeństwem informacji w ochronie zdrowia. Dzięki wdrożeniu niniejszej Normy Międzynarodowej organizacje opieki zdrowotnej i inni dysponenci informacji w opiece zdrowotnej będą w stanie zapewnić minimalny wymagany poziom bezpieczeństwa, który jest odpowiedni w przypadku ich organizacji i który zachowa poufność, integralność i dostępność informacji o stanie zdrowia indywidualnych osób, będących pod ich opieką.
Niniejsza Norma Międzynarodowa odnosi się do informacji w ochronie zdrowia we wszystkich ich aspektach, niezależnie od formy informacji (słowa i liczby, nagrania dźwiękowe, rysunki, nagrania wideo i obrazy medyczne), sposobu ich przechowywania (drukowanie lub zapisywanie na papierze, lub przechowywanie w formie elektronicznej) i bez względu na środki wykorzystywane do ich przesyłania (własnoręcznie, faksem, za pośrednictwem sieci komputerowych lub pocztą), ponieważ informacje mają być zawsze odpowiednio chronione.
Niniejsza Norma Międzynarodowa i norma ISO/IEC 27002 razem określają, co jest wymagane pod względem bezpieczeństwa informacji w opiece zdrowotnej; nie określają, w jaki sposób te wymagania mają zostać spełnione. To znaczy, w najpełniejszym możliwym zakresie, niniejsza Norma Międzynarodowa jest technologicznie neutralna. Neutralność w odniesieniu do technologii wdrażania jest ważną cechą. Technologia bezpieczeństwa wciąż podlega gwałtownemu rozwojowi, a tempo zmian mierzone jest teraz w miesiącach, a nie latach. W przeciwieństwie do tego oczekuje się, że Normy Międzynarodowe, choć podlegają okresowym przeglądom, będą aktualne przez wiele lat. Co równie ważne, neutralność technicznologiczna pozostawia producentom i usługodawcom swobodę proponowania nowych lub rozwijających się technologii spełniających niezbędne wymagania opisane w niniejszej Normie Międzynarodowej. Jak wspomniano we wprowadzeniu, znajomość ISO/IEC 27002 jest niezbędna do zrozumienia niniejszej Normy Międzynarodowej. Następujące obszary bezpieczeństwa informacji nie wchodzą w zakres niniejszej Normy Międzynarodowej: a) metodologie i badaniastatystyczne służące skutecznej anonimizacji informacji o stanie zdrowia indywidualnych osób; b) metodologie pseudonimizacji informacji o stanie zdrowia indywidualnych osób (Patrz: Bibliografia w celu uzyskania krótkiego opisu Specyfikacji Technicznej, która dotyczy konkretnie tego tematu); c) jakość usług sieciowych i metody pomiaru dostępności sieci wykorzystywanych w informatyce w ochronie zdrowia;d) jakość danych (w odróżnieniu od integralności danych).