ГОСТР ИСО 27799—2015
о защите данных между юрисдикциями и со сторонними организациями и их сотрудниками. Идентифи
кация и маркировка информационных активов также является важным компонентом ИСО/МЭК 27002.
В дополнение к традиционной классификации данных на основе их чувствительности к раскры
тию. в классификации также нуждается критичность информации, т.е. насколько большое значение
имеют наличие и целостность информации для непрерывного предоставления медицинской помощи.
Факторы времени, вовлеченные в процессы клинической практики, часто играют решающую роль в
определении требований к доступности для персональной медицинской информации. Классифика
ция в отношении доступности, целостности и критичности также должна применяться к методикам.
IT-устройствам, программному обеспечению, расположению и персоналу. Критичность должна быть
идентифицирована с помощью оценки рисков.
7.4.2.2 Маркировка и обработка информации
Контроль
Все информационные системы здравоохранения, занимающиеся обработкой персональной ме
дицинской информации, должны информировать пользователей о конфиденциальности персональ
ной медицинской информации, к которой система имеет доступ (например, при запуске или входе в
систему) и должны маркировать печатную копию как конфиденциальную, когда она содержит персо
нальную медицинскую информацию.
Руководство по внедрению
Не вся медицинская информация является конфиденциальной, и не все информационные систе
мы здравоохранения предоставляют пользователям доступ к персональной медицинской информации.
Пользователи информационных систем здравоохранения должны знать, когда данные, к которым они
имеют доступ, содержат персональную медицинскую информацию.
7.5 Безопасность человеческих ресурсов
7.5.1 До поступления на работу
7.5.1.1 Роли и ответственности
Руководство по внедрению
В дополнение к следованию руководствам, данным в ИСО/МЭК 27002. все организации, чей пер
сонал участвует в обработке персональной медицинской информации, должны документировать фак ты
такого участия в соответствующихдолжностных инструкциях. Роли иответственности по защите, как
указано в политике защиты информации организации, должны также оговариваться в соответствующих
должностных инструкциях.
Стоит обратить особое внимание на роли и ответственности временного или работающего по
краткосрочным контрактам персонала, такого как временные заместители, студенты, врачи-интерны
ит. д.
7.5.1.2 Отбор
Контроль
В дополнение к следованию руководствам, данным в ИСО/МЭК 27002. все организации, чей пер
сонал. подрядчики или волонтеры обрабатывают (или должны обрабатывать) персональную меди
цинскую информацию, должны, по моньшей море, проверять личность, действующий адрес и место
предыдущей работы такого персонала, подрядчиков и волонтеров при подаче заявления о приеме на
работу.
Руководство по внедрению
Важно знать, как и где связываться с медицинским персоналом, хотя, так как некоторые медицин
ские работники постоянно перемещаются, адрес может иметь ограниченную ценность. Поэтому ме
дицинские организации должны рассматривать возможность сбора необходимого количества ссылок
и использования других форм проверки, например, профессиональными органами и академическими
учреждениями.
По возможности должны осуществляться проверки криминального прошлого. См. также 7.8.2.1.
7.5.1.3 Условия приема на работу
Руководство по внедрению
В дополнение к следованию руководствам, данным в ИСО/МЭК 27002, все организации, занима
ющиеся обработкой персональной медицинской информации, должны включать в условия приема на
работу персонала, который обрабатывает или будет обрабатывать персональную медицинскую инфор
мацию. заявление об ответственности персонала за защиту информации.
23