ГОСТРИСО 27799—2015
особенно стоитобратить внимание организациям, которые полагаются на услуги внешнего управления,
предоставляемые третьими сторонами. Эффективное взаимодействие также является важным эле
ментом в поддержании защиты информации. И то. и другое требуют явной и четкой инфраструктуры
менеджмента информационной безопасности.
7.3.2 Внутренняя организация
7.3.2.1 Направленность руководства на защиту информации, согласование защиты информации
и распределение ответственностей за защиту информации
Контроль
Организации, занимающиеся обработкой персональной медицинской информации, должны:
a) четко определять и распределять ответственность за защиту информации,
b
) иметь ISMF для уверенности в том. что существует четкое управление и ощутимая поддержка
руководства в мероприятиях по обеспечению защиты, затрагивающих защиту медицинской информа
ции, как указано в 6.4.3.
Минимум один человек должен нести ответственность за защиту медицинской информации в
организации.
Форум по защите медицинской информации должен проводить собрания минимум раз в месяц.
(Как правило, наиболее эффективно собираться в промежутке между собраниями руководящего орга
на, во время которого Форум предоставляет отчеты. Это позволяет обсудить неотложные вопросы на
собрании за небольшое время.)
Должно быть составлено официальное описание области применения, которое определяет гра
ницы мероприятий по обеспечению соответствия в отношении людей, процессов, мест, платформ и
приложений.
Руководство
по
внедрению
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002. важно отметить существенный
характер ответственности руководства в организациях, которые являются хранителями персональной
медицинской информации, как описано в 6.2. Подотчетность и согласование можно обеспечить только в
долгосрочной перспективе, если организация имеет явную инфраструктуру менеджмента информа
ционной безопасности.
Независимо от утвержденной организационной структуры, очень важно, чтобы она была спроек
тирована и структурирована таким образом, чтобы облегчить доступ объектов оказания медицинской
помощи (например, чтобы сделать запросы на получение персональной медицинской информации),
чтобы облегчить отчетность в рамках организационной структуры и обеспечить своевременное предо
ставление информации.
Как отмечалось в 6.4.3, ответственный за защиту информации организации (виртуальный или ре
альный) должен, кроме всего прочего, делать доклады на форуме и предоставлять услуги секретаря. Он
должен быть ответственным за проверку, публикацию и комментирование сообщений, получаемых
участниками форума.
Медицинские организации должны обнародовать описание области применения в пределах ор
ганизации. затем пересмотреть его и убедиться, что оно принято информацией организации, группами
управления клинической практикой и организацией.
7.3.2.2 Процесс авторизации средств обработки информации
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.3.2.3 Соглашения о конфиденциальности
Контроль
Помимо соблюдения инструкций, указанных в ИСО/МЭК 27002, организации, занимающиеся об
работкой персональной медицинской информации, должны иметь соглашение о конфиденциальности,
определяющее конфиденциальный характер этой информации. Соглашение должно быть применимо к
персоналу, имеющему доступ к медицинской информации.
Руководство по внедрению
Вышеуказанное соглашение должно включать в себя ссылки на взыскания, возможные при обна
ружении нарушения политики защиты информации.
7.3.2.4 Связь с властями, связь со специальными группами по интересам и независимый обзор
защиты информации
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
20