ГОСТРИСО 27799—2015
кода, и не только для самой технологии, но и для обучения медицинских кадров смежным специаль
ностям.
Планирование непрерывности бизнеса в здравоохранении является особенно сложной задачей
для специалистов защиты информации, так как любые планы должны быть соответствующим обра
зом объединены с планами по организации исправления сбоев питания, реализации инфекционного
контроля и работе с другими чрезвычайными ситуациями клинической практики. Действительно, за
пуск любого из них. вероятно, приведет непосредственно к запуску плана управления непрерывностью
бизнеса, если только обеспечить дополнительную поддержку к той. которая имеется обычно. Тем не
менее, недавние инциденты, такие как вспышки атипичной пневмонии, показали, что серьезные инци
денты могут привести к нехватке персонала, которая затем может серьезно ограничить возможность
успешной реализации планов управления непрерывностью бизнеса.
Медицинские организации здравоохранения должны гарантировать то. что их планирование не
прерывности бизнеса управления включает в себя планирование управления в кризисных ситуациях
здравоохранения.
Медицинские организации также должны гарантировать то. что планы, которые они разраба
тывают, регулярно тестируются на «программной» основе. Испытания, включенные в эту программу,
должны выстраиваться друг на друге, от стационарных испытаний к модульным испытаниям, от них — к
обобщению вариантов вероятного времени восстановления, а затем, наконец, к генеральной репети ции.
Таким образом, подобная программа имеет низкий уровень риска и обеспечивает действительное
улучшение общего уровня осведомленности среди ее пользователей.
7.12 Соответствие
7.12.1 Общие положения
Руководство по внедрению
Помимо соблюдения инструкций, указанных ИСО/МЭК 27002. медицинские организации должны
запустить программу проверки соответствия, которая учитывала бы весь жизненный цикл действий, т.е.
не только процессы, в которых имеются проблемы, но и те, что делают обзор результатов и принимают
решения об обновлениях в СМИБ.
Программы аудита медицинских организаций должны быть формально выстроены так, чтобы
охватить все элементы настоящего международного стандарта, все области риска и все внедренные
элементы управления, в пределах 12—18-месячного цикла.
В строго управляемой и проверяемой среде многих медицинских организаций ISMF должен по
ставить перед собой цель создать основу для аудита градуированного соответствия, нижним слоем ко
торой является внутренняя проверка, осуществляемая квалифицированными рабочими и руководите
лями. После этого аудит СМИБ от лица ISMF. внутренний аудит, оценка работы элементов управления и
внешний аудит должны быть определены таким образом, чтобы каждый слой черпал уверенность из всех
нижележащих.
7.12.2 Соответствие законодательным требованиям
7.12.2.1 Определение применимого законодательства, прав на интеллектуальную собственность
и защиту организационной документации
Нет дополнительных руководств по менеджменту защиты информации в здравоохранении.
7.12.2.2 Защита данных и конфиденциальности персональной информации
Контроль
Помимо инструкций, указанных в ИСО/МЭК 27002. организации, занимающиеся обработкой пер
сональной медицинской информации, должны контролировать согласие объектов оказания медицин
ской помощи на предоставление информации.
По возможности, согласие объектов оказания медицинской помощи на предоставление инфор
мации должно быть получено до того, как персональная медицинская информация будет передана по
электронной почте, по факсу или по телефону, или разглашена иным способом сторонам, не входящим в
медицинскую организацию.
Руководство по внедрению
Примером законодательства или предписания, требующего согласия объектов оказания меди
цинской помощи на предоставление информации, является Ре
к
омендация Совета Европы R (97)5 «О
защите медицинс
к
ой информации». Совет Европы. Страсбург. 12 февраля 1997 (Council of Europe
Recommendation, R (97)5 On the Protection ofMedicalData. CouncilofEurope. Strasbourg. 12 Feb ruary
1997):
36