DIN EN ISO 27799-2016 Health informatics - Information security management in health using ISO IEC 27002 (ISO 27799 2016) English version EN ISO 27799 2016《健康信息学 使用ISO IEC 27002的健康.pdf

1、Dezember 2016DEUTSCHE NORM Preisgruppe 33DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 35.240.80!%0Y“2561354www.din.deDIN EN ISO 27799Medizinische Informatik Informations

2、sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (ISO 27799:2016);Englische Fassung EN ISO 27799:2016Health informatics Information security management in health using ISO/IEC 27002 (ISO 27799:2016);English version EN ISO 27799:2016Informatique de sant Management de la scur

3、it de linformation relative la sant en utilisant lISO/IEC 27002 (ISO 27799:2016);Version anglaise EN ISO 27799:2016Alleinverkauf der Normen durch Beuth Verlag GmbH, 10772 BerlinErsatz frDIN EN ISO 27799:2008-10www.beuth.deGesamtumfang 117 SeitenDDIN-Normenausschuss Medizin (NAMed)DIN EN ISO 27799:20

4、16-12 2 Nationales Vorwort Dieses Dokument (EN ISO 27799:2016) wurde vom Technischen Komitee ISO/TC 215 Health informatics“ (Sekretariat: ANSI, Vereinigte Staaten) in Zusammenarbeit mit dem Technischen Komitee CEN/TC 251 Medizinische Informatik“ (Sekretariat: NEN, Niederlande) unter Beteiligung deut

5、scher Experten erarbeitet. Das zustndige nationale Normungsgremium ist der Arbeitsausschuss NA 063-07-04 AA Sicherheit“ des DIN-Normenausschusses Medizin (NAMed). Dieses Dokument enthlt unter Bercksichtigung des Prsidialbeschlusses 1/2004 nur die englische Originalfassung von EN ISO 27799:2016 und I

6、SO 27799:2016. Fr die im Abschnitt 2 zitierten Internationalen Normen wird im Folgenden auf die entsprechenden Deutschen Normen hingewiesen: ISO/IEC 27000 siehe DIN EN ISO/IEC 27000 (in Vorbereitung)*)ISO/IEC 27002 siehe DIN ISO/IEC 27002 ISO/DIS 25237 siehe DIN EN ISO 25237 Zusammenfassung Diese In

7、ternationale Norm stellt einen Leitfaden fr die Entwicklung von organisationsbezogenen Informationssicherheitsnormen und Methoden zum Management der Informationssicherheit auf einschlielich der Auswahl, Umsetzung und Verwaltung von Manahmen, die die Risikoumgebung(en) der Informationssicherheit der

8、Organisation bercksichtigen. Diese Internationale Norm definiert einen Leitfaden, um die Interpretation und Umsetzung der ISO/IEC 27002 in der medizinischen Informatik zu untersttzen und ist ein begleitendes Dokument zu jener Internationalen Norm. Die vorliegende Internationale Norm untersttzt die U

9、msetzung der in ISO/IEC 27002 beschriebenen Manahmen und ergnzt diese an geeigneter Stelle, damit sie zum Management der Sicherheit von Gesundheitsinformationen effektiv eingesetzt werden knnen. Mit der Umsetzung dieser Internationalen Norm ist es Organisationen der Gesundheitsversorgung und anderen

10、 Verwahrern von Gesundheitsinformationen mglich, ein erforderliches Mindestsicherheitsniveau sicherzustellen, das den Randbedingungen der Organisationen angemessen ist und das die Vertraulichkeit, Integritt und Verfgbarkeit von persnlichen Gesundheitsinformationen in der Versorgung aufrechterhlt. Di

11、ese Internationale Norm gilt fr alle Aspekte von Gesundheitsinformationen; denn, in welcher Form auch immer die Informationen vorliegen (Worte und Zahlen, Tonaufzeichnungen, Abbildungen, Videomaterial und medizinische Bilder), welche Mittel auch immer zur Speicherung genutzt werden (ausgedruckt, auf

12、geschrieben oder elektronisch gespeichert) und welche Mittel auch immer zur bertragung genutzt werden (manuell, per Fax, ber Computernetzwerke oder per Post), die Informationen werden immer angemessen geschtzt. *)Auf Basis der ISO/IEC 27000:2016 luft ein Verfahren zur europischen bernahme als EN ISO

13、/IEC 27000. Vorbehaltlich der Annahme des Projektes auf europischer Ebene wird die Deutsche Fassung vorbereitet. DIN EN ISO 27799:2016-12 3 Diese Internationale Norm definiert gemeinsam mit ISO/IEC 27002, was in Bezug auf die Informationssicherheit in der Gesundheitsversorgung erforderlich ist; sie

14、definieren nicht, wie diese Anforderungen zu erfllen sind. Somit ist diese Internationale Norm soweit es irgendwie mglich ist technologieneutral. Neutralitt im Hinblick auf die Umsetzung von Technologien ist ein wesentliches Kennzeichen. Sicherheitstechnologien unterliegen immer noch einer schnellen

15、 Entwicklung und die Geschwindigkeit dieser nderungen wird derzeit in Monaten und nicht in Jahren gemessen. Im Gegensatz dazu wird von Internationalen Normen erwartet, auch wenn sie einer periodischen berarbeitung unterliegen, dass sie im Groen und Ganzen fr Jahre gltig bleiben. Ebenso wichtig ist e

16、s, dass Anbieter und Dienstleister dank der Technologieneutralitt in der Lage sind, neue oder sich entwickelnde Technologien anzubieten, die die in dieser Internationalen Norm beschriebenen notwendigen Anforderungen erfllen. Fr das Verstndnis dieser Internationalen Norm ist die Kenntnis der ISO/IEC

17、27002 unverzichtbar. Die folgenden Gebiete der Informationssicherheit liegen auerhalb des Anwendungsbereiches dieser Internationalen Norm: a) Methoden und statistische Tests zur effektiven Anonymisierung persnlicher Gesundheitsinformationen; b) Methoden zur Pseudonymisierung persnlicher Gesundheitsi

18、nformationen (siehe dazu ISO/DIS 25237); c) Dienstgte des Netzwerks und Methoden, um die Verfgbarkeit von Netzwerken, die fr die medizinische Informatik genutzt werden, zu messen; d) Datenqualitt (in Abgrenzung zur Datenintegritt). nderungen Gegenber DIN EN ISO 27799:2008-10 wurden folgende nderunge

19、n vorgenommen: a) nderung des Titels von Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002“ in Informationssicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002“; b) Anpassung des gesamten Dokuments an ISO/IEC FDIS 27002:2013. Frhere Ausgaben DIN EN ISO

20、27799: 2008-10 DIN EN ISO 27799:2016-12 4 Nationaler Anhang NA (informativ) Begriffe Die Benummerung der folgenden Begriffe ist identisch mit der Benummerung in der Englischen Fassung. Fr die Anwendung dieses Dokuments gelten die Begriffe nach ISO/IEC 27000 und die folgenden Begriffe. 3.1 medizinisc

21、he Informatik wissenschaftliche Fachrichtung, die sich mit den kognitiven, informationsverarbeitenden und kommunikativen Aufgabenstellungen der Praxis, Ausbildung und Forschung in der Gesundheitsversorgung befasst einschlielich der Informationswissenschaft und -technologie, um diese Aufgabenstellung

22、en zu untersttzen QUELLE: ISO/TR 18307:2001, 3.73 3.2 Gesundheitsinformationssystem Ablage fr Informationen, die die Gesundheit eines Subjekts der Pflege betreffen, in einer von Computern zu verarbeitenden Form, sicher gespeichert und bermittelt sowie zugnglich fr mehrere autorisierte Nutzer QUELLE:

23、 ISO/TR 20514:2005 3.3 Gesundheitsversorgung Art von Dienstleistungen mit Auswirkungen auf den Gesundheitszustand, der von Heilberuflern oder Hilfskrften erbracht wird QUELLE: Europisches Parlament, 1998, wie von der WHO zitiert 3.4 Organisation der Gesundheitsversorgung Organisation, die Dienstleis

24、tungen der Gesundheitsversorgung erbringt QUELLE: ISO/TR 18307:2001, 3.74*)3.5 Heilberufler Person, deren Qualifikation zur Erbringung bestimmter medizinischer Dienstleistungen von einer anerkannten Stelle autorisiert ist QUELLE: ISO 17090-1:2013*)*)Die Definition weicht von ISO/TR 18307:2001, 3.74

25、ab. *)Die Definition weicht von ISO 17090-1:2013, 3.1.9 ab. DIN EN ISO 27799:2016-12 5 3.6 identifizierbare Person jemand, der direkt oder indirekt identifiziert werden kann, insbesondere ber die Referenz zu einer Identifizierungsnummer oder zu einem oder mehreren Kennzeichen, die bezglich seiner kr

26、perlichen, physiologischen, geistigen, konomischen, kulturellen oder sozialen Identitt spezifisch sind QUELLE: ISO 22857:2013, 3.7 3.7 Patient Subjekt der Pflege (3.9) bestehend aus einer Person 3.8 persnliche Gesundheitsinformationen Informationen ber eine identifizierbare Person, die sich auf den

27、krperlichen oder geistigen Gesundheits-zustand der betreffenden Person beziehen Anmerkung 1 zum Begriff: Diese Informationen dienen der Erbringung von Gesundheitsdienstleistungen und knnen Folgendes enthalten: a) Informationen ber die Anmeldung der betreffenden Person zur Erbringung von Gesundheitsd

28、ienstleistungen; b) Informationen ber Zahlungen oder Berechtigungen zum Empfang medizinischer Dienstleistungen bezglich der betreffenden Person; c) eine Nummer, ein Symbol oder ein Kennzeichen, die/das einer bestimmten Person zugeteilt wurde, um diese fr medizinische Zwecke eindeutig zu identifizier

29、en; d) jegliche Informationen ber die bestimmte Person, die im Rahmen der Erbringung von medizinischen Dienstleistungen erhoben wurden; e) Informationen, die von der Prfung oder Untersuchung eines Krperteils oder einer krpereigenen Substanz abgeleitet wurden; f) Identifizierung einer Person (z. B. e

30、ines Heilberuflers) als Erbringer von Gesundheitsversorgung fr die bestimmte Person. Anmerkung 2 zum Begriff: Persnliche Gesundheitsinformationen schlieen keine Informationen ein, die, entweder allein fr sich oder in Kombination mit anderen Informationen, die fr den Halter verfgbar sind, anonymisier

31、t sind, d. h. die Identitt der betroffenen Person, die Gegenstand der Informationen ist, kann aus den Informationen nicht abgeleitet werden. 3.9 Subjekt der Pflege eine oder mehrere Personen, die einen Termin zum Erhalt einer Gesundheitsdienstleistung haben, diese gerade erhalten oder diese bereits

32、erhalten haben ISO 18308:2011, 3.47*)*)Die Definition weicht von ISO 18308:2011, 3.47 ab. DIN EN ISO 27799:2016-12 6 Nationaler Anhang NB (informativ) Literaturhinweise DIN EN ISO/IEC 27000, Informationstechnik IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme berblick und Terminolog

33、ie (in Vorbereitung) DIN ISO/IEC 27002, Informationstechnik IT-Sicherheitsverfahren Leitfaden fr das Informationssicherheits-Management (zurzeit Norm-Entwurf) DIN EN ISO 25237, Medizinische Informatik Pseudonymisierung (zurzeit Norm-Entwurf) EUROPEAN STANDARD NORME EUROPENNE EUROPISCHE NORM EN ISO 2

34、7799 August 2016 ICS 35.240.80 Supersedes EN ISO 27799:2008English Version Health informatics - Information security management in health using ISO/IEC 27002 (ISO 27799:2016) Informatique de sant - Management de la scurit de linformation relative la sant en utilisant lISO/IEC 27002 (ISO 27799:2016)

35、Medizinische Informatik - Informationsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (ISO 27799:2016) This European Standard was approved by CEN on 18 June 2016. CEN members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this

36、European Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical references concerning such national standards may be obtained on application to the CEN-CENELEC Management Centre or to any CEN member. This European Standard exists in three official ver

37、sions (English, French, German). A version in any other language made by translation under the responsibility of a CEN member into its own language and notified to the CEN-CENELEC Management Centre has the same status as the official versions. CEN members are the national standards bodies of Austria

38、, Belgium, Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden,

39、Switzerland, Turkey and United Kingdom. EUROPEAN COMMITTEE FOR STANDARDIZATION COMIT EUROPEN DE NORMALISATION EUROPISCHES KOMITEE FR NORMUNG CEN-CENELEC Management Centre: Avenue Marnix 17, B-1000 Brussels 2016 CEN All rights of exploitation in any form and by any means reserved worldwide for CEN na

40、tional Members. Ref. No. EN ISO 27799:2016 EEN ISO 27799:2016 (E) t European foreword This document (EN ISO 27799:2016) has been prepared by Technical Committee ISO/TC 215 “Health informatics” in collaboration with Technical Committee CEN/TC 251 “Health informatics” the secretariat of which is held

41、by NEN. This European Standard shall be given the status of a national standard, either by publication of an identical text or by endorsement, at the latest by February 2017, and conflicting national standards shall be withdrawn at the latest by February 2017. Attention is drawn to the possibility t

42、hat some of the elements of this document may be the subject of patent rights. CEN and/or CENELEC shall not be held responsible for identifying any or all such patent rights. This document supersedes EN ISO 27799:2008. According to the CEN-CENELEC Internal Regulations, the national standards organiz

43、ations of the following countries are bound to implement this European Standard: Austria, Belgium, Bulgaria, Croatia, Cyprus, Czech Republic, Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Ma

44、lta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey and the United Kingdom. Endorsement notice The text of ISO 27799:2016 has been approved by CEN as EN ISO 27799:2016 without any modification. DIN EN ISO 27799:2016-12 ISO 27799:2016(E)Foreword

45、 viiIntroduction viii1 Scope . 12 Normative references 23 Terms and definitions . 24 Structure of this International Standard . 35 Information security policies 45.1 Management direction for information security . 45.1.1 Policies for information security 45.1.2 Review of the policies for information

46、 security 56 Organization of information security . 66.1 Internal organization . 66.1.1 Information security roles and responsibilities . 66.1.2 Segregation of duties 76.1.3 Contact with authorities 76.1.4 Contact with special interest groups 76.1.5 Information security in project management . 86.2

47、Mobile devices and teleworking 86.2.1 Mobile device policy . 86.2.2 Teleworking 97 Human resource security 97.1 Prior to employment 97.1.1 Screening 97.1.2 Terms and conditions of employment 107.2 During employment . 117.2.1 Management responsibilities . 117.2.2 Information security awareness, educa

48、tion and training .117.2.3 Disciplinary process .117.3 Termination and change of employment 127.3.1 Termination or change of employment responsibilities 128 Asset management 128.1 Responsibility for assets 128.1.1 Inventory of assets 128.1.2 Ownership of assets .138.1.3 Acceptable use of assets . 13

49、8.1.4 Return of assets .138.2 Information classification . 148.2.1 Classification of information 148.2.2 Labelling of information . 158.2.3 Handling of assets 158.3 Media handling 168.3.1 Management of removable media 168.3.2 Disposal of media .168.3.3 Physical media transfer . 179 Access control .179.1 Business requirements of access control 179.1.1 Access control policy .179.1.2 Access to networks and network services 1