ГОСТРИСО 27799—2015
используемый для SOA, также обычно подходит для использования в качестве инструмента оценки или
подтверждения в поддержку внешнего аудита, клинического обеспечения идругих надзорных проверок.
План по улучшению защиты, описанный в 6.4.6, также является важным инструментом в демон
страции прогресса и усовершенствования процессов.
7 Использование ИСО/МЭК 27002 в здравоохранении
7.1 Общие положения
Данный раздел содержит конкретные рекомендации по одиннадцати пунктам управления защи
той и 39 основным категориям управления защитой, описанным в ИСО/МЭК 27002.
Основным принципом, указанным в ИСО/МЭК 27002, является то, что каждая организация может
рассматривать и трактовать данный документ в своем собственном контексте и с учетом нормативных и
бизнес-требований. Тем не менее, опыт, накопленный в ряде стран, включая Австралию. Канаду,
Францию. Нидерланды, Новую Зеландию. Южную Африку и Великобританию, показал необходимость
включения определенных разделов и категорий управления, если речь идет о защите персональной
медицинской информации. Основываясь на этом опыте, в соответствующих случаях указаны мини
мальные требования, а в некоторых случаях изложены нормативные руководства, описывающие над
лежащее применение определенных элементов контроля защиты, описанных в ИСО/МЭК 27002, для
защиты медицинской информации. Эти минимальные требования имеют настолько большое значение
для обеспечения защиты персональной медицинской информации, что любые медицинские организа
ции, которые не соответствуют им. не могут считаться соответствующими этому стандарту.
В каждом последующем подразделе даны руководства в дополнение к руководствам, имеющимся
в ИСО/МЭК 27002, но не в качестве замены для них.
7.2 Политика защиты информации
7.2.1 Документы по политике защиты информации
Контроль
Организации, занимающиеся обработкой медицинской информации, в том числе личной меди
цинской информации, должны иметь политику по защите информации в письменном виде, одобрен
ную руководством, опубликованную, а затем доведенную до всех сотрудников и соответствующих сто
ронних организаций.
Руководство по внедрению
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002. касательно того, что должен со
держать документ о политике по защите информации, этот документ должен содержать заявления:
a) о необходимости защиты медицинской информации;
b
) целях защиты информации;
c) области применения соответствия, как описано в 6.4.1.6:
d) законодательных, нормативных и контрактных требованиях, включая те, которые касаются за
щиты персональной медицинской информации, а также юридических и этических обязанностей работ
ников здравоохранения для защиты этой информации;
e) средствах для оповещения об инцидентах в системе защиты информации, в том числе канал
связи для поднятия вопроса о конфиденциальности, не опасаясь обвинений или взаимных упреков.
Теоретически пересмотр содержания этой политики будет зависеть от результатов оценки рисков
организации, хотя сама политика должна только задавать направление, устанавливать принципы и ука
зывать на другие документы, где следует найти (чаще меняющиеся) особенности.
При создании своего документа о политике по защите информации, медицинские организации
должны будут специально учитывать следующие факторы, которые являются специфичными для сек
тора здравоохранения:
f) объем медицинской информации;
д) права и этические обязанности персонала, как оговорено в законе и принято членами профес
сиональных организаций;
h) где возможно, права объектов оказания медицинской помощи на неприкосновенность частной
жизни и на доступ к записям о ней;
i) обязанности практикующих врачей касательно получения согласия на получение информации
от объектов оказания медицинской помощи и сохранения конфиденциальности персональной меди
цинской информации:
18