ГОСТР ИСО 27799—2015
l
j) законные основания практикующих врачей и медицинских организаций при необходимости не
следовать протоколам системы безопасности, если приоритеты здравоохранения, часто связанные с
неспособностью отдельных объектов оказания медицинской помощи выразить свои предпочтения, тре
буют подобное несоблюдение протокола; также процедуры, которые необходимо осуществлять для
достижения этой цели;
k) обязанности соответствующих медицинских организаций и объектов оказания медицинской по
мощи в случае, когда оказание медицинских услуг происходит на основе «совместного ухода» или «ста
ционарной помощи с реабилитацией»;
) протоколы и процедуры, которые должны применяться при обмене информацией с целью про
ведения исследования и клинических испытаний;
т) средства и пределы полномочий для временных работников, таких как временные заместите
ли врачей, студенты и персонал, являющийся на работу «по вызову»;
п) средства и установленные ограничения на доступ к персональной медицинской информации
для волонтеров и вспомогательного персонала, такого как священники и персонал, работающий на
благотворительной основе.
Многие организации здравоохранения посчитали полезным сделать документ о политике доступ
ным для сотрудников в электронном виде посредством использования области защиты информации во
внутренней сети организации здравоохранения.
Если медицинская организация получает поддержку от сторонних организаций или сотрудничает
с третьими сторонами, в частности в случаях, когда она получает услуги от других юрисдикций, структу
ра политики должна включать в себя задокументированную политику, средства контроля и процедуры,
которые охватывают эти взаимодействия и указывают обязанности всех сторон. В случаях, когда лич
ные данные передаются за пределы страны, должны применяться положения ИСО 22857.
7.2.2 Проверка документа о политике защиты информации
Контроль
Политика защиты информации медицинской организации должна подлежать постоянной поэтап
ной проверке, так чтобы вся совокупность политики подлежала ежегодному рассмотрению. Эту полити
ку следует пересмотреть после возникновения серьезного инцидента в системе безопасности.
Руководство по внедрению
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002. такая проверка должна охваты
вать:
a) изменчивый характер работы медицинских организаций и сопутствующие изменения, вноси
мые в профили рисков и управление рисками;
b
) изменения, вносимые в IT-инфраструктуру организации, и сопутствующие изменения в профи
ле рисков организации;
c) изменения, обнаруженные во внешней среде, которые схожим образом влияют на профиль
рисков организации;
d) новейшие средства контроля, требования по соответствию и обеспечению соответствия, а так
же средства, установленные органами здравоохранения юрисдикции или новыми законодательными
актами или постановлениями в качестве обязательных;
e) новейшие руководства и рекомендации в отношении персональной медицинской информации
от профессиональных ассоциаций здравоохранения и от комиссий по конфиденциальности информа
ции;
0 результаты судебных дел. проверенные в судах, которые установили или опровергли прецеден
ты или общепринятые практики;
д) задачи и вопросы касательно политики, поставленные перед организацией ее персоналом,
объектами оказания медицинской помощи, а также их партнерами и медработниками, исследователя ми
и органами государственного управления (например, представителями комиссий по обеспечению
конфиденциальности).
7.3 Организация защиты информации
7.3.1 Общие сведения
Руководство медицинской организации несет ответственность за защиту персональной медицин
ской информации и других защищенных данных о здоровье, обрабатываемых организацией. На это
19