ГОСТ Р ИСО 27799-2015; Страница 17

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 26624-2016 2-этилгексанол технический. Технические условия Technical 2-ethylhexanol. Specifications (Настоящий стандарт распространяется на технический 2-этилгексанол . (2-этилгексанол-1, изооктиловый спирт), получаемый из н-масляного альдегида, . н-бутилового спирта, уксусного альдегида и предназначенный для синтеза пластификаторов, стабилизаторов, присадок к смазочным маслам, для использования в качестве растворителя) ГОСТ 12.2.026.0-2015 Оборудование деревообрабатывающее. Требования безопасности к конструкции Woodworking equipment. Safety requirements for construction (Настоящий стандарт распространяется на деревообрабатывающее оборудование производственного назначения, предназначенного для использования в климатических условиях УХЛ 1-УХЛ 4 по ГОСТ 15150 и устанавливает общие и специальные требования безопасности к конструкции станков всех типов и конкретных групп, а также на применяемые совместно с ними устройства, рассчитанные на подключение к питающей сети переменного тока напряжением до 660 В и частотой до 200 Гц) ГОСТ Р 56842-2015 Информатизация здоровья. Информационное взаимодействие с персональными медицинскими приборами. Часть 10101. Номенклатура Health informatics. Point-of-care medical device communication. Part 10101. Nomenclature (Область применения данного стандарта это архитектура номенклатуры для информационного взаимодействия с персональными медицинскими приборами. Стандарт состоит из трех частей: основной текст стандарта, определяющий общую архитектуру организации и отношения между компонентами номенклатуры; нормативные приложение A и B, содержащие спецификации семантики и синтаксиса, соответственно; информационное приложение C и библиография)

Страница 17

Страница 1

Untitled document

ГОСТР ИСО 27799—2015

6.4.3 Создание или усовершенствование форума по защите медицинской информации

В основе СМИБ должен быть создан соответствующий форум по управлению защитой информа

ции (ISMF) для контроля и управления защитой информации. И то, что является «соответствующим» в

этом контексте, варьируется в зависимости от организаций, а также в зависимости от области

здраво охранения.

Структурирование форума будет сложным, так как его придется приспособить к взглядам многих

заинтересованных сторон, и настроить для соответствия многим нормативным обязательствам. Как

функции ISMF нельзя передать или распределить без потери эффективности, так и создание ISMF

нельзя воспринимать как полномочие на создание «еще одного комитета». Как правило, лучше рас

ширить направленность существующего комитета, такого, например, как тот. который занимается рас

смотрением рисков или управлением информацией.

Форум должен состоять из представителей всех служб защиты информации и управления инфор

мацией. а также представителей различных групп пользователей и представителей ключевых функций

поддержки. Также туда обычно включены представители службы внутреннего аудита и управления пер

соналом.

Ответственный за защиту информации организации (виртуальный или реальный) должен, кроме

всего прочего, делать доклады на форуме и предоставлять на нем услуги секретариата, а также должен

быть ответственным за проверку, публикацию и комментирование сообщений, получаемых участника ми

форума.

Как описано в 5.2 и 5.3. центральный характер защиты информации в рамках управления инфор

мациейделает размещение ISMF в структуре управления информации очень разумным, но толькоесли

последняя группа, в свою очередь, связана со структурой управления клинической практикой. Управле

ние клинической практикой затрагивает вопросы безопасности пациента, а они часто тесно связаны с

защитой медицинской информации, в чем и заключается управление информацией.

Использование подхода управления информацией подчеркивает критический характер защиты

информации, а также делает возможным интегрированный процесс при содействии анализа рисков,

что напрямую поддерживает управление клинической практикой. Отказ от замкнутого мышления, раз

деляющего защиту информации, защиту данных, свободу информации, и т. д. может только помочь

избежать двойных затрат и обеспечить повышенную уверенность в целостности процесса.

6.4.4 Оценка рисков медицинской информации

6.4.4.1 Общие положения

Оценка рисков является механизмом, посредством которого должна идентифицироваться систе

ма элементов управления, которая выполняет задачи ИСО/МЭК 27002. Этот процесс хорошо отобра

жен в ИСО/МЭК/ТО 13335-3.

Существует ряд особых соображений в сфере здравоохранения, которые следует обсудить.

6.4.4.2 Роль оценки рисков защиты информации в здравоохранении

Очевидно, что здравоохранение подвержено относительно высоким рискам, особенно в таких об

ластях. как лаборатории, отделения неотложной помощи и операционные. Поэтому наличие низких ри

сков в действиях, связанных с медицинской информацией, поддерживающих вышеуказанные области,

следовало бы поставить под вопрос, хотя было бы ошибкой предполагать, что любая деятельность,

напрямую связанная с медицинской информацией имеет отношение к предоставлению медицинских

услуг.

Оценка рисков защиты информации в здравоохранении должна включать в себя рассмотрение

как качественных, так и количественных факторов. Финансовые потери не должны быть одной из ос

новных рассматриваемых проблем, но могут быть приняты во внимание там. где есть доказательства

выплаты крупных сумм за халатность. Потребуется тщательная разработка рекомендаций по оценке,

имеющих отношение к здравоохранению, например, руководств, признающих важность безопасности

пациентов, непрерывной доступности аварийных служб, профессиональной аттестации и регулирова

ния клинической практики.

6.4.4.3 Свойства оценки рисков с примерами из здравоохранения и ссылками на ИСО/МЭК 13335

Риск состоит из причинно-следственной связи между несколькими источниками риска. На рисун

ке 3 показана взаимосвязь между рисками и источников риска в ИСО/МЭК 13335, показывающая, что

значение риска определяется исходя из окружающих значений активов, угроз и уязвимостей.