ISO 27799:2008
(Main)Health informatics - Information security management in health using ISO/IEC 27002
Health informatics - Information security management in health using ISO/IEC 27002
ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard. ISO 27799:2008 specifies a set of detailed controls for managing health information security and provides health information security best practice guidelines. By implementing this International Standard, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information. ISO 27799:2008 applies to health information in all its aspects; whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), whatever means are used to store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand, via fax, over computer networks or by post), as the information must always be appropriately protected.
Informatique de santé — Management de la sécurité de l'information relative à la santé en utilisant l'ISO/CEI 27002
L'ISO 27799:2008 fournit des lignes directrices permettant d'interpréter et de mettre en œuvre l'ISO/CEI 27002 dans le domaine de l'informatique de santé et constitue un complément à cette dernière. L'ISO 27799:2008 spécifie une série de contrôles détaillés en vue de la gestion de la sécurité des informations de santé et apporte des indications de bonne pratique en matière de sécurité des informations de santé. La mise en œuvre de la présente Norme internationale permettra aux organismes de santé et aux autres dépositaires d'informations de santé de garantir le niveau minimal requis en termes de sécurité propre aux dispositifs de leur organisme et de garantir la confidentialité, l'intégrité et la disponibilité des informations personnelles de santé. L'ISO 27799:2008 s'applique à tous les aspects de l'information de santé, quelle que soit la forme (mots, chiffres, enregistrements sonores, dessins, vidéos et images médicales), le support utilisé pour les stocker (imprimés, écrits papier, stockage électronique) ou les moyens mis en œuvre pour leur transmission (en main propre, par fax, par réseau informatique ou par la poste), car l'information doit toujours être protégée efficacement.
General Information
Relations
Frequently Asked Questions
ISO 27799:2008 is a standard published by the International Organization for Standardization (ISO). Its full title is "Health informatics - Information security management in health using ISO/IEC 27002". This standard covers: ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard. ISO 27799:2008 specifies a set of detailed controls for managing health information security and provides health information security best practice guidelines. By implementing this International Standard, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information. ISO 27799:2008 applies to health information in all its aspects; whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), whatever means are used to store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand, via fax, over computer networks or by post), as the information must always be appropriately protected.
ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard. ISO 27799:2008 specifies a set of detailed controls for managing health information security and provides health information security best practice guidelines. By implementing this International Standard, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information. ISO 27799:2008 applies to health information in all its aspects; whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), whatever means are used to store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand, via fax, over computer networks or by post), as the information must always be appropriately protected.
ISO 27799:2008 is classified under the following ICS (International Classification for Standards) categories: 35.240.80 - IT applications in health care technology. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO 27799:2008 has the following relationships with other standards: It is inter standard links to ISO 27799:2016. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO 27799:2008 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 27799
First edition
2008-07-01
Health informatics — Information security
management in health using
ISO/IEC 27002
Informatique de santé — Gestion de la sécurité de l'information relative
à la santé en utilisant l'ISO/CEI 27002
Reference number
©
ISO 2008
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO 2008
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2008 – All rights reserved
Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
1.1 General. 1
1.2 Scope exclusions. 1
2 Normative references . 2
3 Terms and definitions. 2
3.1 Health terms . 2
3.2 Information security terms . 3
4 Abbreviated terms . 5
5 Health information security . 5
5.1 Health information security goals. 5
5.2 Information security within information governance. 6
5.3 Information governance within corporate and clinical governance. 7
5.4 Health information to be protected. 7
5.5 Threats and vulnerabilities in health information security . 8
6 Practical action plan for implementing ISO/IEC 27002 . 8
6.1 Taxonomy of the ISO/IEC 27002 and ISO/IEC 27001 standards. 8
6.2 Management commitment to implementing ISO/IEC 27002 . 9
6.3 Establishing, operating, maintaining and improving the ISMS . 10
6.4 Planning: establishing the ISMS . 10
6.5 Doing: implementing and operating the ISMS. 18
6.6 Checking: monitoring and reviewing the ISMS . 19
6.7 Acting: maintaining and improving the ISMS . 20
7 Healthcare implications of ISO/IEC 27002.20
7.1 General. 20
7.2 Information security policy. 21
7.3 Organizing information security . 22
7.4 Asset management. 25
7.5 Human resources security. 26
7.6 Physical and environmental security . 29
7.7 Communications and operations management . 30
7.8 Access control . 36
7.9 Information systems acquisition, development and maintenance. 39
7.10 Information security incident management . 41
7.11 Information security aspects of business continuity management . 42
7.12 Compliance. 42
Annex A (informative) Threats to health information security . 45
Annex B (informative) Tasks and related documents of the Information Security Management
System . 50
Annex C (informative) Potential benefits and required attributes of support tools . 54
Bibliography . 57
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 27799 was prepared by Technical Committee ISO/TC 215, Health informatics.
iv © ISO 2008 – All rights reserved
Introduction
This International Standard provides guidance to healthcare organizations and other custodians of personal
health information on how best to protect the confidentiality, integrity and availability of such information by
1)
implementing ISO/IEC 27002 . Specifically, this International Standard addresses the special information
security management needs of the health sector and its unique operating environments. While the protection
and security of personal information is important to all individuals, corporations, institutions and governments,
there are special requirements in the health sector that need to be met to ensure the confidentiality, integrity,
auditability and availability of personal health information. This type of information is regarded by many as
being among the most confidential of all types of personal information. Protecting this confidentiality is
essential if the privacy of subjects of care is to be maintained. The integrity of health information must be
protected to ensure patient safety, and an important component of that protection is ensuring that the
information’s entire life cycle be fully auditable. The availability of health information is also critical to effective
healthcare delivery. Health informatics systems must meet unique demands to remain operational in the face
of natural disasters, system failures and denial-of-service attacks. Protecting the confidentiality, integrity and
availability of health information therefore requires health-sector-specific expertise.
The need for effective IT security management in healthcare is made all the more urgent by the increasing
use of wireless and Internet technologies in healthcare delivery. If not implemented properly, these complex
technologies will increase the risks to the confidentiality, integrity and availability of health information.
Regardless of size, location and model of service delivery, all healthcare organizations need to have stringent
controls in place to protect the health information entrusted to them. Yet many health professionals work as
solo health providers or in small clinics that lack the dedicated IT resources to manage information security.
Healthcare organizations must therefore have clear, concise and healthcare-specific guidance on the
selection and implementation of such controls. This guidance must be adaptable to the wide range of sizes,
locations, and models of service delivery found in healthcare. Finally, with increasing electronic exchange of
personal health information between health professionals, there is a clear benefit in adopting a common
reference for information security management in healthcare.
ISO/IEC 27002 is already being used extensively for health informatics IT security management through the
agency of national or regional guidelines in Australia, Canada, France, the Netherlands, New Zealand, South
Africa and the United Kingdom. Interest is growing in other countries as well. This International Standard
(ISO 27799) draws upon the experience gained in these national endeavours in dealing with the security of
personal health information and is intended as a companion document to ISO/IEC 27002. It is not intended to
supplant ISO/IEC 27002 or ISO/IEC 27001. Rather, it is a complement to these more generic standards.
This International Standard applies ISO/IEC 27002 to the healthcare domain in a way that carefully considers
the appropriate application of security controls for the purposes of protecting personal health information.
These considerations have, in some cases, led the authors to conclude that application of certain
ISO/IEC 27002 control objectives is essential if personal health information is to be adequately protected. This
International Standard therefore places constraints upon the application of certain security controls specified
in ISO/IEC 27002. This in turn has led to the inclusion in Clause 7 of several normative statements stating that
the application of a given security control is mandatory. For example, 7.2.1 states that
Organizations processing health information, including personal health information, shall have a written
information security policy that is approved by management, published, and then communicated to all
employees and relevant external parties.
1) This guideline is consistent with the revised version of ISO/IEC 27002:2005.
In the health domain, it is possible for an organization (a hospital, say) to be certified using ISO/IEC 27001
without requiring certification against, or even acknowledgement of, this International Standard. It is to be
hoped, however, that as healthcare organizations strive to improve the security of personal health information,
conformance with this International Standard, as a stricter standard for healthcare, will also become
widespread.
All of the security control objectives described in ISO/IEC 27002 are relevant to health informatics but some
controls require additional explanations with regard to how they can be used best to protect the confidentiality,
integrity and availability of health information. There are also additional health-sector-specific requirements.
This International Standard provides additional guidance in a format that persons responsible for health
information security can readily understand and adopt.
This International Standard's authors do not intend to write a primer on computer security, nor to restate what
has already been written in ISO/IEC 27002 or in ISO/IEC 27001. There are many security requirements that
are common to all computer-related systems, whether used in financial services, manufacturing, industrial
control, or indeed in any other organized endeavour. A concerted effort has been made to focus on security
requirements necessitated by the unique challenges of delivering electronic health information that supports
the provision of care.
Who should read this International Standard?
This International Standard is intended for those responsible for overseeing health information security and for
healthcare organizations and other custodians of health information seeking guidance on this topic, together
with their security advisors, consultants, auditors, vendors and third-party service providers.
Benefits of using this International Standard
ISO/IEC 27002 is a broad and complex standard and its advice is not tailored specifically to healthcare. This
International Standard allows for the implementation of ISO/IEC 27002, within health environments, in a
consistent fashion and with particular attention to the unique challenges that the health sector poses. By
following it, healthcare organizations help to ensure that the confidentiality and integrity of data in their care
are maintained, that critical health information systems remain available, and that accountability for health
information is upheld.
The adoption of this guidance by healthcare organizations both within and among jurisdictions will assist
interoperation and enable the safe adoption of new collaborative technologies in the delivery of healthcare.
Secure and privacy-protective information sharing can significantly improve healthcare outcomes.
As a result of implementing this guidance, healthcare organizations can expect to see the number and
severity of their security incidents reduced, allowing resources to be redeployed to productive activities. IT
security will thereby allow health resources to be deployed in a cost-effective and productive manner. Indeed,
research by the respected Information Security Forum and by market analysts has shown that good all-round
security can have as much as a 2 % positive effect upon organizations’ results.
Finally, a consistent approach to IT security, understandable by all involved in healthcare, will improve staff
morale and increase the trust of the public in the systems that maintain personal health information.
How to use this International Standard
Readers not already familiar with ISO/IEC 27002 are urged to read the introductory sections of that
International Standard before continuing. Implementers of this Intenational Standard (ISO/IEC 27799) must
first thoroughly read ISO/IEC 27002, as the text below will frequently refer the reader to the relevant sections
of that International Standard. The present document cannot be fully understood without access to the full text
of ISO/IEC 27002.
General readers not already familiar with health information security and its goals, challenges, and broader
context, will benefit from reading a brief introduction, to be found in Clause 5.
vi © ISO 2008 – All rights reserved
Readers seeking guidance on how to implement ISO/IEC 27002 in a health environment will find a practical
action plan described in Clause 6. No mandatory requirements are contained in this clause. Instead, general
advice and guidance are given on how best to proceed with the implementation of 27002 in healthcare. The
clause is organized around a cycle of activities (plan/do/check/act) that are described in ISO/IEC 27001 and
that, when followed, will lead to a robust implementation of an information security management system.
Readers seeking specific advice on the eleven security control clauses and 39 main security control
categories described in ISO/IEC 27002 will find it in Clause 7. This clause leads the reader through each of
the eleven security control clauses of ISO/IEC 27002. Minimum requirements are stated where appropriate
and, in some cases, normative guidelines are set out on the proper application of certain ISO/IEC 27002
security controls to the protection of health information.
This International Standard concludes with three informative annexes. Annex A describes the general threats
to health information. Annex B briefly describes tasks and related documents of the information security
management system. Annex C discusses the advantages of support tools as an aid to implementation. The
Bibliography lists related standards in health information security.
INTERNATIONAL STANDARD ISO 27799:2008(E)
Health informatics — Information security management in
health using ISO/IEC 27002
1 Scope
1.1 General
This International Standard defines guidelines to support the interpretation and implementation in health
2)
informatics of ISO/IEC 27002 and is a companion to that standard .
This International Standard specifies a set of detailed controls for managing health information security and
provides health information security best practice guidelines. By implementing this International Standard,
healthcare organizations and other custodians of health information will be able to ensure a minimum requisite
level of security that is appropriate to their organization’s circumstances and that will maintain the
confidentiality, integrity and availability of personal health information.
This International Standard applies to health information in all its aspects, whatever form the information takes
(words and numbers, sound recordings, drawings, video and medical images), whatever means are used to
store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand,
via fax, over computer networks or by post), as the information must always be appropriately protected.
This International Standard and ISO/IEC 27002 taken together define what is required in terms of information
security in healthcare; they do not define how these requirements are to be met. That is to say, to the fullest
extent possible, this International Standard is technology-neutral. Neutrality with respect to implementing
technologies is an important feature. Security technology is still undergoing rapid development and the pace
of that change is now measured in months rather than years. By contrast, while subject to periodic review,
standards are expected on the whole to remain valid for years. Just as importantly, technological neutrality
leaves vendors and service providers free to suggest new or developing technologies that meet the necessary
requirements that this International Standard describes.
As noted in the introduction, familiarity with ISO/IEC 27002 is indispensable for an understanding of this
International Standard.
1.2 Scope exclusions
The following areas of information security are outside the scope of this International Standard:
a) methodologies and statistical tests for effective anonymization of personal health information;
[10]
b) methodologies for pseudonymization of personal health information (see bibliographic Reference for
an example of an ISO Technical Specification that deals specifically with this subject);
c) network quality of service and methods for measuring availability of networks used for health informatics;
d) data quality (as distinct from data integrity).
2) This guideline is consistent with the revised version of ISO/IEC 27002:2005.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/IEC 27002:2005, Information technology — Security techniques — Code of practice for information
security management
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1 Health terms
3.1.1
health informatics
scientific discipline that is concerned with the cognitive, information-processing and communication tasks of
healthcare practice, education and research, including the information science and technology to support
these tasks
[ISO/TR 18307:2001, definition 3.73]
3.1.2
health information system
repository of information regarding the health of a subject of care in computer-processable form, stored and
transmitted securely, and accessible by multiple authorized users
NOTE Adapted from ISO/TR 20514:2005, definition 2.25.
3.1.3
healthcare
any type of service provided by professionals or paraprofessionals with an impact on health status
[European Parliament, 1998, as cited by WHO]
3.1.4
healthcare organization
generic term used to describe many types of organizations that provide healthcare services
[ISO/TR 18307:2001, definition 3.74]
3.1.5
health professional
person who is authorized by a recognised body to be qualified to perform certain health duties
NOTE Adapted from ISO/TS 17090-1:2002, definition 3.18.
3.1.6
healthcare provider
any person or organization who is involved in, or associated with, the delivery of healthcare to a client, or
caring for client wellbeing
3.1.7
identifiable person
one who can be identified, directly or indirectly, in particular by reference to an identification number or one or
more factors specific to his physical, physiological, mental, economic, cultural or social identity
[ISO 22857:2004, definition 3.7]
2 © ISO 2008 – All rights reserved
3.1.8
patient
subject of care
(See below, 3.1.10).
3.1.9
personal health information
information about an identifiable person which relates to the physical or mental health of the individual, or to
provision of health services to the individual, and which may include:
a) information about the registration of the individual for the provision of health services;
b) information about payments or eligibility for healthcare with respect to the individual;
c) a number, symbol or particular assigned to an individual to uniquely identify the individual for health
purposes;
d) any information about the individual collected in the course of the provision of health services to the
individual;
e) information derived from the testing or examination of a body part or bodily substance;
f) identification of a person (e.g. a health professional) as provider of healthcare to the individual.
NOTE Personal health information does not include information that, either by itself or when combined with other
information available to the holder, is anonymized, i.e. the identity of the individual who is the subject of the information
cannot be ascertained from the information.
3.1.10
subject of care
one or more persons scheduled to receive, receiving, or having received a health service
[ISO/TS 18308:2004, definition 3.40]
3.2 Information security terms
3.2.1
asset
anything that has value to the organization
[ISO/IEC 13335-1:2004, definition 2.2]
NOTE In the context of health information security, assets include:
a) health information;
b) IT services;
c) hardware;
d) software;
e) communications facilities;
f) media;
g) IT facilities;
h) medical devices that record or report data.
3.2.2
accountability
property that ensures that the actions of an entity may be traced uniquely to the entity
[ISO 7498-2:1989, definition 3.3.3]
3.2.3
assurance
result of a set of compliance processes through which an organization achieves confidence in the status of its
information security management
3.2.4
availability
property of being accessible and usable upon demand by an authorized entity
[ISO 7498-2:1989, definition 3.3.11]
3.2.5
compliance assessment
processes by which an organization confirms that the information security controls put in place remain both
operational and effective
NOTE Legal compliance relates specifically to the security controls put in place to deliver the requirements of
relevant legislation such as the European Union Directive on the Protection of Personal Data.
3.2.6
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or processes
[ISO 7498-2:1989, definition 3.3.16]
3.2.7
data integrity
property that data has not been altered or destroyed in an unauthorized manner
[ISO 7498-2:1989, definition 3.3.21]
3.2.8
information governance
processes by which an organization obtains assurance that the risks to its information, and thereby the
operational capabilities and integrity of the organization, are effectively identified and managed
3.2.9
information security
preservation of confidentiality, integrity and availability of information
NOTE Other properties, particularly accountability of users but also authenticity, non-repudiation, and reliability, are
often mentioned as aspects of information security but could be considered as derived from the three core properties in
the definition.
3.2.10
risk
combination of the probability of an event and its consequence
[ISO Guide 73:2002, definition 3.1.1]
3.2.11
risk assessment
overall process of risk analysis and risk evaluation
[ISO Guide 73:2002, definition 3.3.1]
4 © ISO 2008 – All rights reserved
3.2.12
risk management
coordinated activities to direct and control an organization with regard to risk
NOTE Risk management typically includes risk assessment, risk treatment, risk acceptance and risk communication.
[ISO Guide 73:2002, definition 3.1.7]
3.2.13
risk treatment
process of selection and implementation of measures to modify (typically reduce) risk
NOTE Adapted from ISO Guide 73:2002, definition 3.4.1.
3.2.14
system integrity
property that a system performs its intended function in an unimpaired manner, free from deliberate or
accidental unauthorized manipulation of the system
3.2.15
threat
potential cause of an unwanted incident, that may result in harm to a system or organization
[ISO/IEC 13335-1:2004, definition 2.25]
3.2.16
vulnerability
weakness of an asset or group of assets that can be exploited by one or more threats
[ISO/IEC 13335-1:2004, definition 2.26]
4 Abbreviated terms
ISMF Information Security Management Forum
ISMS Information Security Management System
IT Information Technology
SLA Service Level Agreement
SOA Statement of Applicability
5 Health information security
5.1 Health information security goals
Maintaining information confidentiality, availability, and integrity (including authenticity, accountability and
auditability) are the overarching goals of information security. In healthcare, privacy of subjects of care
depends upon maintaining the confidentiality of personal health information. To maintain confidentiality,
measures must also be taken to maintain the integrity of data, if for no other reason than that it is possible to
corrupt the integrity of access control data, audit trails, and other system data in ways that allow breaches in
confidentiality to take place or to go unnoticed. In addition, patient safety depends upon maintaining the
integrity of personal health information; failure to do this can also result in illness, injury or even death.
Likewise, a high level of availability is an especially important attribute of health systems, where treatment is
often time-critical. Indeed, disasters that could lead to outages in other non-health-related IT systems may be
the very times when the information contained in health systems is most critically needed. Moreover, denial of
service attacks against networked systems are increasingly common.
The controls discussed in Clause 7 are those identified as appropriate in healthcare to protect confidentiality,
integrity and availability of personal health information and to ensure that access to such information can be
audited and accounted for. These controls help to prevent errors in medical practice that might ensue from
failure to maintain the integrity of health information. In addition, they help to ensure that the continuity of
medical services is maintained.
There are additional considerations that shape the goals of health information security. They include:
a) honouring legislative obligations as expressed in applicable data protection laws and regulations
3)
protecting a subject of care's right to privacy ;
b) maintaining established privacy and security best practices in health informatics;
c) maintaining individual and organizational accountability among health organizations and health
professionals;
d) supporting the implementation of systematic risk management within health organizations;
e) meeting the security needs identified in common healthcare situations;
f) reducing operating costs by facilitating the increased use of technology in a safe, secure, and well-
managed manner that supports – but does not constrain – current health activities;
g) maintaining public trust in health organizations and the information systems these organizations rely
upon;
h) maintaining professional standards and ethics as established by health-related professional organizations
(insofar as information security maintains the confidentiality and integrity of health information);
i) operating electronic health information systems in an environment appropriately secured against threats;
j) facilitating interoperability among health systems, since health information increasingly flows among
organizations and across jurisdictional boundaries (especially as such interoperability enhances the
proper handling of health information to ensure its continued confidentiality, integrity and availability).
4)
5.2 Information security within information governance
In recent years, corporate governance has become a critical issue for organizations of all types, in response to
the regulatory drives embodied in initiatives such as the United States’ Sarbanes Oxley Act and Health
Insurance Portability and Accountability Act, the European Basel II Accords, the UK’s Turnbull Code and
Germany’s KontraG. Also, the increasing dependence of organizations on information and its supporting
technologies makes information governance an important component of operational risk management
processes.
Many areas of information management, such as accreditation and data protection, can be considered to fall
within the scope of information governance. It is vitally important that the scope of information governance
embrace and aid the ongoing deployment of information security so that due attention is always paid to
confidentiality, integrity and availability. Information security is clearly a critical component enabling the
broader aspects of information governance.
3) In addition to legal obligations, a wealth of information is available on ethical obligations relating to health information,
e.g. the code of ethics of the World Health Organization. These ethical obligations may also, in certain circumstances,
have an impact on health information security policy.
4) Note that in some countries, information governance is referred to as information assurance.
6 © ISO 2008 – All rights reserved
5.3 Information governance within corporate and clinical governance
While health organizations may differ in their positions on clinical governance and corporate governance, the
importance of integrating and attending to information governance ought to be beyond debate as a vital
support to both. As health organizations become ever more critically dependent on information systems to
support care delivery (e.g. by exploiting decision support technologies and trends towards “evidence-based”
rather than “experience-based” healthcare), it becomes increasingly evident that events in which losses of
integrity, availability and confidentiality occur may have a significant clinical impact and that problems arising
from such impacts will be seen to represent failures in the ethical and legal obligations inherent in a “duty of
care”.
All countries and jurisdictions will undoubtedly have case studies where such breaches have led to
misdiagnoses, deaths or protracted recoveries. Clinical governance frameworks therefore need to treat
effective information security risk management as equal in importance to care treatment plans, infection
management strategies and other “core” clinical management matters.
5.4 Health information to be protected
5)
There are several types of information whose confidentiality, integrity and availability need to be protected:
a) personal health information;
b) pseudonymized data derived from personal health information via some methodology for pseudonymous
identification;
c) statistical and research data, including anonymized data derived from personal health information by
removal of personally identifying data;
d) clinical/medical knowledge not related to any specific subjects of care, including clinical decision support
data (e.g. data on adverse drug reactions);
e) data on health professionals, staff and volunteers;
f) information related to public health surveillance;
g) audit trail data, produced by health information systems that contain personal health information, or
pseudonymous data derived from personal health information, or that contain data about the actions of
users with regard to personal health information;
h) system security data for health information systems, including access control data and other security-
related system configuration data for health information systems.
The extent to which confidentiality, integrity and availability need to be protected depends upon the nature of
the information, the uses to which it is put, and the risks to which it is exposed. For example, statistical data
[c) above] may not be confidential, but protecting its integrity may be very important. Likewise, audit trail data
[g) above] might not require high availability (frequent archiving with a retrieval time measured in hours rather
than seconds might suffice in a given application) but its content might be highly confidential. Risk assessment
can properly determine the level of effort needed to protect confidentiality, integrity and availability (see 6.4.4).
The results of regular risk assessment must be fitted to the priorities and resources of the implementing
organization.
5) Level of availability depends upon the uses to which the data will be put.
5.5 Threats and vulnerabilities in health information security
Types of information security threats and vulnerabilities vary widely, as do their descriptions. While none is
truly unique to healthcare, what is unique in healthcare is the array of factors to be considered when
assessing threats and vulnerabilities.
By their nature, health organizations operate in an environment where visitors and the public at large can
never be totally excluded. In large health organizations, the sheer volume of people moving through
operational areas is significant. These factors increase the vulnerability of systems to physical threats. The
likelihood that such threats will occur may increase when emotional or mentally ill subjects of care or relatives
are present.
Many health organizations are chronically underfunded and their staff members are sometimes obliged to
work under significant stress. This can often result in heightened error rates, including the performance of
incorrect procedures. Other consequences of such resource constraints include systems designed,
implemented and operated in an overly casual manner or systems kept in service long after they ought to
have been retired. These factors can increase the potential for certain types of threat and can exacerbate
vulnerabilities. On the other hand, clinical care is still a process that involves a range of professional, technical,
administrative, ancillary and voluntary staff, many of whom see their work as a vocation. Their dedication and
diversity of experience can often usefully reduce exposure to vulnerabilities. The high level of professional
training received by many health professionals also sets healthcare apart from many other industrial sectors in
reducing the incidence of insider threats.
The critical importance of correctly identifying subjects of care and correctly matching them to their health
records leads health organizations to collect detailed identifying information. Regional or jurisdictional patient
registries (i.e. registries of subjects of care) are sometimes the most comprehensive and up-to-date
repositories of identifying information available in a jurisdiction. This identifying information is of great potential
value to those who would use it to commit identity theft and so must be rigorously protected.
The health environment, with its unique threats and vulnerabilities, should therefore be considered with
special care. Annex A contains an informative list of the types of threat that need to be considered by health
organizations when they assess risks to the confidentiality, integrity and availability of health information and
to the integrity and availability of related information systems.
6 Practical action plan for implementing ISO/IEC 27002
6.1 Taxonomy of the ISO/IEC 27002 and ISO/IEC 27001 standards
ISO/IEC 27002 provides a standard checklist of control objectives in 11 areas containing a total of 39 main
security categories, each with a description of one or more security controls. Implementers of ISO/IEC 27002
in health environments will find that most of the control objectives apply in almost all situations. However,
users of the standards in healthcare also need to recognise situations in which additional control objectives
may be needed. This is often the case where clinical processes intersect with specialist devices such as
scanners, infusion machines, etc., even if the security controls only relate to maintenance of device data
integrity. Different jurisdictions will also have different legal frameworks that may change the required scope of
compliance activities.
ISO/IEC 27001 introduces the concept of an “Information Security Management System (ISMS)” and
describes the need for this detailed framework of controls when an effort is made to meet the security
objectives revealed as relevant by risk assessment. International experience and recognised information
security best practice principles indicate that ongoing compliance with ISO/IEC 27002 can best be ensured by
the implementation of a management system as depicted in Figure 1.
8 © ISO 2008 – All rights reserved
Driven by “process”
ISMS documentation set
Events
documentation
� Information security policy
Security incidents
� Scope statemen t
Suspected weaknesses
� Statement of applicabili ty
� Inventory of information &
Malfunctions
system assets to prot ect
� Risk assessmen t
Audit observations
� Procedures and applicable
Testing findings
standards
Spot-check findings
� Contracts (service level
Business
agreements, acceptable use
processes
agreements, etc. )
Review and
Recording
update ISMS and analysis
Report(s) “Evidential”
documentation
into forum
Figure 1 — The Information Security Management System
Health organizations should, where possible, integrate their ISMS with the information governance processes
described in 5.2 and 5.3, and take account of the guidance given in 6.2 to 6.7.
A common mistake made, especially by public health organizations where there is typically no central
requirement for formal accreditation or certification, is to describe compliance with ISO/IEC 27002 as being a
matter of adopting a checklist. To be truly compliant, organizations need to be able to demonstrate an
operational ISMS in which there are appropriate compliance auditing processes. This compliance fits well with
the regulatory frameworks under which health organizations typically operate. See also 7.12.
6.2 Management commitment to implementing ISO/IEC 27002
It is essential that a health organization have the evident support of management before trying to achieve
compliance with ISO/IEC 27002. Clearly, management's active involvement and support are essential for
success. That involvement should include written and verbal statements of commitment to the importance of
health information security and recognition of its benefits.
Risk assessment brings with it the potential for discovering serious risks that, in turn, require substantial
changes to existing processes in order for these risks to be mitigated. The personal willingness of
management to subjec
...
NORME ISO
INTERNATIONALE 27799
Première édition
2008-07-01
Informatique de santé — Gestion de la
sécurité de l'information relative à la
santé en utilisant l'ISO/CEI 27002
Health informatics — Information security management in health using
ISO/IEC 27002
Numéro de référence
©
ISO 2008
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2008
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2008 – Tous droits réservés
Sommaire Page
Avant-propos. iv
Introduction . v
1 Domaine d'application. 1
1.1 Généralités . 1
1.2 Exclusions du domaine d'application . 1
2 Références normatives . 2
3 Termes et définitions. 2
3.1 Termes médicaux. 2
3.2 Termes relatifs à la sécurité de l'information . 3
4 Termes abrégés . 5
5 Sécurité de l'information de santé . 6
5.1 Objectifs de la sécurité de l'information de santé. 6
5.2 Sécurité de l'information au sein du contrôle de l'information . 7
5.3 Contrôle de l'information au sein de la gouvernance clinique et d'entreprise . 7
5.4 Informations de santé devant être protégées. 7
5.5 Les menaces et les vulnérabilités relatives à la sécurité des informations de santé . 8
6 Plan d'action pratique pour la mise en œuvre de l'ISO/CEI 27002 . 9
6.1 Taxinomie de l'ISO 27002 et de l'ISO 27001 . 9
6.2 Engagement de la direction pour la mise en œuvre de l'ISO/CEI 27002. 10
6.3 Mise en œuvre, fonctionnement, entretien et perfectionnement de l'ISMS. 10
6.4 Planification: mise en œuvre de l'ISMS. 11
6.5 Application: Mise en œuvre et fonctionnement de l'ISMS . 20
6.6 Contrôle: surveillance et révision de l'ISMS.21
6.7 Actions: entretien et amélioration de l'ISMS.23
7 Les implications médicales de l'ISO/CEI 27002. 23
7.1 Généralités . 23
7.2 Politique d'information de la sécurité. 23
7.3 Organisation de la sécurité des informations . 25
7.4 Gestion du patrimoine. 28
7.5 Sécurité des ressources humaines . 30
7.6 Sécurité physique et environnementale.32
7.7 Gestion de l'exploitation et des communications. 34
7.8 Contrôle d'accès . 40
7.9 Acquisition, développement et maintenance des systèmes d'information. 44
7.10 Gestion des incidents relatifs à la sécurité de l'information. 46
7.11 Aspects de la sécurité de l'information en matière de gestion de la continuité de l'activité . 47
7.12 Conformité. 48
Annexe A (informative) Menaces pesant sur la sécurité des informations de santé. 50
Annexe B (informative) Tâches et documents relatifs au système de gestion de la sécurité
informatique . 55
Annexe C (informative) Avantages potentiels et attributs requis des outils d'assistance. 59
Bibliographie . 62
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 27799 a été élaborée par le comité technique ISO/TC 215, Informatique de santé.
iv © ISO 2008 – Tous droits réservés
Introduction
La présente Norme internationale fournit des recommandations aux organismes de santé et aux autres
dépositaires d'informations personnelles de santé sur la meilleure façon de protéger la confidentialité,
1)
l'intégrité et la disponibilité de ces informations en mettant en œuvre l'ISO/CEI 27002 . Plus précisément, la
présente Norme internationale traite des besoins de gestion de la sécurité de l'information spécifiques au
domaine de la santé et à son environnement de mise en œuvre particulier. Même si la protection et la sécurité
des informations personnelles sont importantes pour tous les individus, les entreprises, les institutions et les
gouvernements, il existe, dans le secteur de la santé, des exigences particulières à satisfaire pour garantir la
confidentialité, l'intégrité, l'auditabilité et la disponibilité des informations personnelles de santé. Beaucoup
considèrent que ces informations sont parmi les informations personnelles les plus confidentielles. La
protection de cette confidentialité est essentielle chaque fois que le respect de la vie privée des sujets de
soins doit être assuré. L'intégrité des informations de santé doit être protégée afin de garantir la sécurité du
patient. L'un des principes clés de cette protection est de pouvoir garantir que le cycle de vie complet de
l'information est auditable de bout en bout. La disponibilité des informations de santé est aussi critique pour
fournir des soins médicaux de manière efficace. Les systèmes d'informations de santé doivent répondre à des
demandes particulières afin de rester opérationnels en cas de catastrophes naturelles, de pannes de système
ou d'attaques par refus de service. Protéger la confidentialité, l'intégrité et la disponibilité des informations de
santé requiert donc une expertise spécifique du secteur de la santé.
L'utilisation croissante des technologies sans fil et de l'Internet dans la délivrance de soins rend plus urgent de
gérer efficacement la sécurité des technologies de l'information dans le domaine de la santé. Ces
technologies complexes, si elles ne sont pas appliquées correctement, augmenteront les risques de perte de
la confidentialité, de l'intégrité et de la disponibilité des informations de santé. Quels que soient leur taille, leur
situation ou les types de prestations, tous les organismes de santé ont besoin de mettre en œuvre des
contrôles stricts pour protéger les informations de santé qui leur sont confiées. Pourtant, beaucoup de
professionnels exercent de manière isolée ou dans des petites cliniques qui ne disposent pas des ressources
informatiques nécessaires pour gérer la sécurité des informations. Les organismes de santé doivent donc
définir des recommandations claires, concises et spécifiques au domaine de la santé sur la sélection et
l'application de tels contrôles. Ces recommandations doivent s'adapter à toutes les prestations de service du
domaine de la santé et ce, quel que soit leur taille, leur situation et leur modèle. En bref, l'accroissement des
échanges électroniques d'informations personnelles de santé entre professionnels de la santé justifie l'utilité
de l'adoption d'une référence commune en matière de gestion de la sécurité des informations de soins.
L'ISO/CEI 27002 est déjà largement déployée pour la gestion de la sécurité des informations de santé par
l'intermédiaire des directives nationales ou régionales dans les pays suivants: Australie, Canada, France,
Pays-Bas, Nouvelle-Zélande, Afrique du Sud et Royaume-Uni. L'intérêt se développe également dans
d'autres pays. La présente Norme internationale rassemble l'expérience acquise au cours de ces
expérimentations nationales dans la gestion de la sécurité des informations personnelles de santé et se
présente comme un document complémentaire de la norme générique ISO/CEI 27002. Elle n'a pas pour
objectif de supplanter l'ISO/CEI 27002 ni l'ISO/CEI 27001, mais plutôt de compléter ces normes plus
générales.
La présente Norme internationale transpose l'ISO/CEI 27002 au domaine de la santé en prenant soin de
considérer l'application appropriée des contrôles de sécurité dans l'objectif de la protection des informations
personnelles de santé. Dans certains cas, ces considérations ont conduit les auteurs à conclure que
l'application de certains objectifs de contrôle de l'ISO/CEI 27002 est essentielle si les informations
personnelles de santé devaient être protégées de manière adéquate. La présente Norme internationale
contraint ainsi à mettre en œuvre certaines mesures de sécurité spécifiées dans l'ISO/CEI 27002, ce qui a
conduit à inclure dans l'Article 7 plusieurs mentions normatives instituant comme obligatoire l'application de
certaines mesures de sécurité. Par exemple 7.2.1 établit que
1) Ces recommandations s'appuient sur la version révisée de l'ISO/CEI 27002:2005.
Les organisations traitant des informations de santé, y compris des informations personnelles de santé,
doivent posséder une politique formelle de sécurité de l'information approuvée par la direction, publiée,
puis communiquée à l'ensemble des employés ainsi qu'aux tiers concernés.
Dans le domaine de la santé, un organisme (par exemple un hôpital) peut être certifié conformément
à l'ISO/CEI 27001 sans être certifié, ni même reconnu, de la présente Norme internationale. Alors que les
organismes de santé s'efforcent d'améliorer la sécurité des informations personnelles de santé, la conformité
à la présente Norme internationale, en tant que norme plus rigoureuse dans le domaine de la santé, se
répandra pour le plus grand nombre.
Tous les objectifs de contrôle de la sécurité décrits dans l'ISO/CEI 27002 sont applicables à l'informatique de
santé mais certaines mesures requièrent des explications supplémentaires sur la façon de les optimiser afin
de protéger la confidentialité, l'intégrité et la disponibilité des informations de santé. Il existe également des
exigences spécifiques supplémentaires dans le secteur de la santé. La présente Norme internationale apporte
des recommandations supplémentaires dans un format que les personnes responsables de la sécurité des
informations de santé peuvent aisément comprendre et adopter.
Les auteurs de la présente Norme internationale n'ont pas pour intention d'écrire une introduction sur la
sécurité informatique, ils ne veulent pas non plus réitérer ce qui a déjà été écrit dans l'ISO/CEI 27002 ou dans
l'ISO/CEI 27001. De nombreuses exigences de sécurité sont communes à tous les systèmes informatisés,
que ce soit dans la finance, la fabrication, le contrôle industriel ou dans n'importe quel système organisé. Un
effort commun a été accompli pour se concentrer sur les exigences de sécurité nécessaires dans l'unique but
de délivrer des informations électroniques de santé sur lesquels les services de soins peuvent s'appuyer.
À quel public la présente Norme internationale est-elle destinée ?
La présente Norme internationale est destinée aux responsables de la supervision de la sécurité des
informations de santé, ainsi qu'aux organismes de santé et autres dépositaires d'informations de santé qui
cherchent des indications sur ce sujet. Sont aussi concernés leur conseiller en sécurité, les consultants, les
auditeurs, les fournisseurs et les prestataires de services tiers.
Avantages de l'utilisation de la présente Norme internationale
L'ISO/CEI 27002 est une Norme internationale vaste et complexe et les conseils qui y sont donnés ne sont
pas spécialement adaptés au domaine de la santé. La présente Norme internationale prend en compte la
mise en œuvre de l'ISO/CEI 27002 dans le domaine de la santé et prête une attention particulière aux défis
propres à ce domaine. En respectant cette Norme internationale, les organismes de santé s'engagent à
garantir que la confidentialité et l'intégrité des données en leur possession sont maintenues, que les systèmes
d'informatique de santé primordiaux restent disponibles et que l'imputabilité des informations de santé est
respectée.
L'adoption de ces recommandations par les organismes de santé à la fois au sein et au-delà de leur juridiction
facilitera la coopération et permettra l'adoption en toute sécurité de nouvelles technologies coopératives en
matière de soins médicaux. Le partage d'informations sécurisées et dans le respect de la vie privée peut
considérablement améliorer les résultats des soins médicaux.
En suivant ces recommandations, les organismes de santé peuvent s'attendre à une diminution des incidents
de sécurité tant en nombre qu'en gravité. Les ressources peuvent ainsi être redistribuées vers des activités
productives. La sécurité informatique permet ainsi aux ressources de santé d'être distribuées de manière
rentable et productive. En effet, une étude réalisée par le très reconnu Forum sur la sécurité de l'information
en partenariat avec des analystes de marché a démontré que, grâce à une sécurité correctement développée
des organismes ont enregistré une hausse sur leurs résultats allant jusqu'a 2 %.
Enfin, une approche cohérente de la sécurité de l'information, accessible à tous les individus liés au secteur
médical, améliorera le moral des employés ainsi que la confiance du public dans les systèmes détenteurs de
ces informations personnelles.
vi © ISO 2008 – Tous droits réservés
Comment utiliser la présente Norme internationale ?
Les lecteurs qui ne connaissent pas encore l'ISO/CEI 27002 sont encouragés à lire les paragraphes
introductifs de la présente Norme internationale avant de continuer leur lecture. Les personnes chargées de la
mise en œuvre de la présente Norme internationale doivent lire attentivement l'ISO/CEI 27002, étant donné
que le texte ci-dessous fait fréquemment référence aux paragraphes correspondants de celle-ci. Le présent
document ne peut être pleinement compris sans consulter l'intégralité du texte de l'ISO/CEI 27002.
Les lecteurs qui ne connaissent pas la sécurité des informations de santé ainsi que ses objectifs, ses défis et
tout ce qui l'entoure trouveront un véritable intérêt dans la lecture de la brève introduction de l'Article 5.
Les lecteurs à la recherche de recommandations relatives à la mise en œuvre de l'ISO/CEI 27002 dans un
environnement relatif à la santé trouveront un plan d'action pratique dans l'Article 6. Aucune exigence
impérative n'est présente dans cet article. Au contraire, des conseils et des indications d'ordre général sont
donnés sur la meilleure façon de procéder à la mise en œuvre de l'ISO/CEI 27002 dans le domaine de la
santé. L'article est organisé selon un cycle d'activités (planifier-déployer-contrôler-agir) décrit dans
l'ISO/CEI 27001. Le respect de ce cycle aboutira à une mise en œuvre fiable d'un système de gestion de la
sécurité de l'information.
Les lecteurs à la recherche de conseils particuliers sur les 11 articles relatifs aux mesures de sécurité et sur
les 39 catégories de contrôle principales décrits dans l'ISO/CEI 27002 les trouveront dans l'Article 7. Cet
article accompagne le lecteur à travers chacun des 11 articles relatifs aux mesures de sécurité de
l'ISO/CEI 27002. Les exigences minimales sont indiquées lorsque besoin est et, dans certains cas, des
directives normatives sur l'application correcte de certaines mesures de sécurité de l'ISO/CEI 27002 sont
données en vue de la protection des informations de santé.
La présente Norme internationale se conclut par trois annexes informatives. L'Annexe A décrit les menaces
générales qui planent sur les informations de santé. L'Annexe B décrit brièvement les tâches et les
documents relatifs au système de gestion de la sécurité des informations. L'Annexe C présente les avantages
des outils d'aide à la mise en place de cette sécurité. Enfin, une bibliographie fournit une liste des normes
relatives à la sécurité des informations de santé.
NORME INTERNATIONALE ISO 27799:2008(F)
Informatique de santé — Gestion de la sécurité de l'information
relative à la santé en utilisant l'ISO/CEI 27002
1 Domaine d'application
1.1 Généralités
La présente Norme internationale fournit des lignes directrices permettant d'interpréter et de mettre en œuvre
2)
l'ISO/CEI 27002 dans le domaine de l'informatique de santé et constitue un complément à cette dernière.
La présente Norme internationale spécifie une série de contrôles détaillés en vue de la gestion de la sécurité
des informations de santé et apporte des indications de bonne pratique en matière de sécurité des
informations de santé. La mise en œuvre de la présente Norme internationale permettra aux organismes de
santé et aux autres dépositaires d'informations de santé de garantir le niveau minimal requis en termes de
sécurité propre aux dispositifs de leur organisme et de garantir la confidentialité, l'intégrité et la disponibilité
des informations personnelles de santé.
La présente Norme internationale s'applique à tous les aspects de l'information de santé, quelle que soit la
forme (mots, chiffres, enregistrements sonores, dessins, vidéos et images médicales), le support utilisé pour
les stocker (imprimés, écrits papier, stockage électronique) ou les moyens mis en œuvre pour leur
transmission (en main propre, par fax, par réseau informatique ou par la poste), car l'information doit toujours
être protégée efficacement.
La présente Norme internationale conjointement à l'ISO/CEI 27002 définissent les exigences en termes de
sécurité de l'information dans le domaine des soins médicaux, mais elles ne définissent pas la façon de
satisfaire à ces exigences. En d'autres termes, dans toute la mesure du possible, la technologie est absente
de la présente Norme internationale. La neutralité en matière de mise en œuvre des différentes technologies
est une caractéristique importante. La technologie en matière de sécurité ne cesse de se développer
rapidement. Le rythme de cette évolution se mesure actuellement en mois et non plus en années. En
revanche, bien que les normes soient soumises à des révisions régulières, leur validité peut se compter en
années. De manière également importante, l'absence de conseils technologiques laisse aux fournisseurs et
aux prestataires de services l'entière liberté de suggérer des technologies nouvelles ou en développement
capables de répondre aux exigences décrites dans la présente Norme internationale.
Comme mentionné dans l'introduction, la connaissance de l'ISO/CEI 27002 est indispensable à la
compréhension de la présente Norme internationale.
1.2 Exclusions du domaine d'application
Les domaines suivants de la sécurité de l'information n'entrent pas dans le cadre de la présente Norme
internationale:
a) les méthodologies et les essais statistiques en vue d'un anonymisation efficace des informations
personnelles de santé;
b) les méthodologies en vue de la pseudonymisation des informations personnelles de santé (voir la
référence bibliographique [10] pour un exemple de Spécification technique qui traite spécifiquement de ce
sujet);
2) Ces recommandations s'appuient sur la version révisée de l'ISO/CEI 27002:2005.
c) la qualité des services fournis par le réseau et les méthodes pour évaluer la disponibilité des réseaux
utilisés pour l'informatique de santé;
d) la qualité des données (opposée à l'intégrité des données).
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO/CEI 27002:2005, Technologies de l'information — Techniques de sécurité — Code de bonne pratique
pour la gestion de la sécurité de l'information
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
3.1 Termes médicaux
3.1.1
informatique de santé
discipline scientifique relative aux tâches cognitives du traitement de l'information et de la communication
liées à la pratique, l'enseignement et la recherche de la médecine, comprenant également la science et la
technologie de l'information qui accompagnent ces tâches
[ISO/TR 18307:2001, définition 3.73]
3.1.2
système d'information de santé
dépôt d'informations relatives à la santé d'un sujet de soins sous une forme pouvant être informatisée,
conservée, transmise de manière sûre et accessible par une multitude d'utilisateurs autorisés
NOTE Adapté de l'ISO/TR 20514:2005, définition 2.25.
3.1.3
soins de santé
tout type de services fournis par des professionnels ou des paraprofessionnels ayant une conséquence sur
l'état de santé d'un individu
[Parlement européen, 1998, d'après la définition de l'OMS]
3.1.4
organisme de santé
terme générique utilisé pour définir les différents types d'organismes prestataires de soins de santé
[ISO/TR 18307:2001, définition 3.74]
3.1.5
professionnel de santé
personne habilitée par un organisme reconnu à effectuer certaines tâches liées à la santé
NOTE Adapté de l'ISO/TS 17090-1:2002, définition 3.18.
3.1.6
prestataire de soins de santé
toute personne ou tout organisme impliqué ou associé à la prestation de soins de santé, ou se chargeant du
bien-être d'un patient
2 © ISO 2008 – Tous droits réservés
3.1.7
personne identifiable
personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro
d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique,
psychique, économique, culturelle ou sociale
[ISO 22587:2004, définition 3.7]
3.1.8
patient
sujet recevant des soins
Voir 3.1.10.
3.1.9
information personnelle de santé
information relative à la santé physique ou mentale d'un individu identifiable ou à la prestation de services de
santé, incluant les informations suivantes:
a) informations à propos de l'inscription d'un individu souhaitant bénéficier de services de santé;
b) informations relatives à la solvabilité d'un individu ou à sa légitimité à recevoir à des soins de santé;
c) numéro, symbole ou signe particulier attribué à un individu dans le seul but de pouvoir l'identifier à des
fins médicales;
d) toute information consignée à propos d'un individu lors de la prestation de services de santé;
e) informations issues d'un essai ou d'un examen effectué sur une partie du corps ou sur une substance
corporelle;
f) identification d'une personne (par exemple un professionnel de la santé) en tant que prestataire de soins
de santé à un individu.
NOTE Une information personnelle de santé ne rentre pas dans le cadre d'informations isolées ou accompagnées
d'autres informations disponibles, et qui ont été rendues anonymes, c'est-à-dire que l'identité de l'individu sur lequel porte
ces informations ne peut pas être formellement identifié à partir de cette seule information.
3.1.10
sujet de soins
une ou plusieurs personnes devant recevoir, recevant ou ayant reçu une prestation de santé
[ISO/TS 18308:2004, définition 3.40]
3.2 Termes relatifs à la sécurité de l'information
3.2.1
bien
tout élément représentant de la valeur pour l'organisme
[ISO/CEI 13335-1:2004, définition 2.2]
NOTE Dans le contexte de la sécurité de l'information, les biens comprennent
a) l'information de santé,
b) les services informatiques,
c) le matériel informatique,
d) les logiciels,
e) les systèmes de communication,
f) les média,
g) les systèmes informatiques, et
h) les appareils médicaux enregistrant ou consignant des données.
3.2.2
imputabilité
propriété qui garantit que les actions d'une entité ne peuvent être imputées qu'à cette entité
[ISO 7498-2:1989, définition 3.3.3]
3.2.3
assurance
résultat d'un ensemble de processus de conformité grâce auquel un organisme peut se fier à l'état de sa
gestion en matière de sécurité de l'information
3.2.4
disponibilité
propriété d'être accessible et utilisable sur demande par une entité autorisée
[ISO 7498-2:1989, définition 3.3.11]
3.2.5
évaluation de conformité
processus par le biais desquels un organisme vient confirmer le fonctionnement et l'efficacité de ses contrôles
de sécurité de l'information
NOTE La conformité juridique se rapporte uniquement aux contrôles de sécurité mis en place pour fournir les
exigences de la législation concernée, à l'image de la directive de l'union européenne relative à la protection des données
personnelles.
3.2.6
confidentialité
propriété d'une information qui n'est ni disponible, ni divulguée aux personnes, entités ou processus non
autorisés
[ISO 7498-2:1989, définition 3.3.16]
3.2.7
intégrité des données
propriété assurant que des données n'ont pas été modifiées ou détruites de façon non autorisée
[ISO 7498-2:1989, définition 3.3.21]
3.2.8
contrôle de l'information
processus par lesquels un organisme obtient l'assurance que les risques relatifs à l'information, assurance
elle-même étroitement liée aux capacités fonctionnelles et à l'intégrité de l'organisme, sont correctement
identifiés et gérés
3.2.9
sécurité de l'information
protection de la confidentialité, de l'intégrité et de la disponibilité de l'information
NOTE D'autres propriétés, telles que la comptabilité des utilisateurs mais aussi l'authenticité, la non-répudiation et la
fiabilité sont souvent cités comme des aspects relatifs à la sécurité de l'information. Cependant, il est possible de les
considérer comme des dérivés des trois propriétés principales énoncées dans la définition.
4 © ISO 2008 – Tous droits réservés
3.2.10
risque
combinaison de la probabilité d'un événement et de ses conséquences
[ISO Guide 73:2002, définition 3.1.1]
3.2.11
appréciation du risque
ensemble du processus d'analyse du risque et d'évaluation du risque
[ISO Guide 73:2002, définition 3.3.1]
3.2.12
management du risque
activités coordonnées visant à diriger et piloter un organisme vis-à-vis du risque
NOTE Le management du risque inclut généralement l'appréciation du risque, le traitement du risque, l'acceptation
du risque et la communication relative au risque.
[ISO Guide 73:2002, définition 3.1.7]
3.2.13
traitement du risque
processus de sélection et de mise en œuvre des mesures visant à modifier (en général à diminuer) le risque
NOTE Adapté de l'ISO Guide 73:2002, définition 3.4.1.
3.2.14
intégrité du système
propriété établissant qu'un système accomplit la fonction prévue de manière constante sans risque d'être la
cible d'une manipulation non autorisée, qu'elle soit accidentelle ou volontaire
3.2.15
menace
cause potentielle d'un incident indésirable pouvant entraîner des dommages au sein d'un système ou d'un
organisme
[ISO/CEI 13335-1:2004, définition 2.25]
3.2.16
vulnérabilité
point faible d'un bien ou d'un groupe de biens pouvant être utilisé pour une menace
[ISO/CEI 13335-1:2004, définition 2.26]
4 Termes abrégés
ISMF Forum sur la gestion de la sécurité de l'information (Information Security Management Forum)
ISMS Système de gestion de la sécurité de l'information (Information Security Management System)
IT Technologie informatique (Information Technology)
SLA Contrat de service (Service Level Agreement)
SOA Déclaration d'applicabilité (Statement of Applicability)
5 Sécurité de l'information de santé
5.1 Objectifs de la sécurité de l'information de santé
Les principaux objectifs de la sécurité de l'information résident dans la protection de la confidentialité, de la
disponibilité et de l'intégrité (dont l'authenticité, l'imputabilité et l'auditabilité) des informations. Dans le
domaine des soins médicaux, le respect de la vie privée des sujets de soins dépend de la protection de la
confidentialité des informations personnelles de santé. Afin de protéger cette confidentialité, des mesures
doivent également être prises pour conserver l'intégrité des données. Si ce n'est que parce qu'il est possible
de corrompre l'intégrité des données de contrôle d'accès, des traces d'audit, et d'autres systèmes de données
par le biais de techniques permettant la violation de documents confidentiels, et ce de manière parfois
totalement invisible. De plus, la sécurité des patients dépend de la protection de l'intégrité des informations
personnelles de santé. L'absence de protection peut entraîner des maladies, des blessures ou même la mort.
De même, une disponibilité élevée en matière d'information est une qualité très importante pour les systèmes
de santé puisque le temps est un facteur primordial dans l'administration des traitements. En effet, des
incidents pourraient provoquer des ruptures dans des systèmes informatiques ne relevant pas du domaine de
la santé au moment où l'obtention de l'information est une question de vie ou de mort. De même, les attaques
par refus de service contre les systèmes réseau sont de plus en plus fréquentes.
Les contrôles abordés dans l'Article 7 sont propres au domaine de la santé afin de protéger la confidentialité,
l'intégrité et la disponibilité des informations personnelles de santé ainsi que pour garantir l'auditabilité et
l'imputabilité de l'accès à ces informations. Ces contrôles contribuent à éviter les erreurs médicales qui
peuvent survenir lorsque l'intégrité des informations de santé n'a pas su être préservée. Elles contribuent
également à garantir une certaine cohérence dans les soins médicaux prodigués.
Des considérations supplémentaires déterminent les objectifs de la sécurité des informations médicales. Elles
comprennent
a) l'observation des obligations législatives, telles qu'exprimées dans les droits et les réglementations de
3)
données de protection applicables à la protection du respect de la vie privée du patient ;
b) préserver ledit respect de la vie privée et des meilleures pratiques de sécurité dans le domaine de
l'informatique de santé;
c) préserver l'imputabilité de chacun et de l'organisme au sein de l'ensemble des organismes et des
professionnels de la santé;
d) aider à la mise en œuvre de la gestion systématique des risques au sein des organismes de santé;
e) répondre aux besoins en matière de sécurité identifiés lors de situations médicales communes;
f) diminuer les coûts d'exploitation en facilitant l'utilisation croissante de la technologie dans un
environnement sûr, sécurisé et bien géré qui soutient, sans les entraver, les activités médicales en cours;
g) garder la confiance du public dans les organismes de santé ainsi que dans les systèmes sur lesquels
reposent ces organismes;
h) préserver les normes professionnelles et la déontologie, telles que les organismes professionnels relatifs
à la santé les ont établies (à partir du moment où la sécurité de l'information préserve la confidentialité et
l'intégrité des informations de santé);
i) mettre en place des systèmes électroniques d'informations de santé au sein d'un environnement
correctement sécurisé contre les menaces;
3) Outre les obligations légales, une importante source d'informations sur les obligations éthiques relatives aux
informations de santé est disponible, par exemple le code éthique de l'OMS. Ces obligations éthiques peuvent dans
certains cas avoir des répercussions sur la politique de sécurité des informations de santé.
6 © ISO 2008 – Tous droits réservés
j) faciliter l'interopérabilité parmi les systèmes de santé étant donné que les informations de santé circulent
de plus en plus entre les organismes et à travers les frontières juridictionnelles (particulièrement quand
une telle interopérabilité renforce la bonne gestion des informations de santé dans le but de garantir la
continuité de leur confidentialité, de leur intégrité et de leur disponibilité).
4)
5.2 Sécurité de l'information au sein du contrôle de l'information
Ces dernières années, la gouvernance d'entreprise est devenue un problème majeur pour les organismes en
tout genre, en réponse aux mouvements réglementaires incarnés par des initiatives telles la loi Sarbanes
Oxley et la loi Health Insurance Portability and Accountability aux États-Unis, l'accord européen de Bâle II, le
rapport Turnbull au Royaume-Uni ou encore par la loi KontraG en Allemagne. De même, la dépendance
croissante des organismes vis-à-vis des informations et des technologies connexes donne énormément
d'importance au contrôle de l'information dans le cadre des processus de gestion des risques fonctionnels.
De nombreux domaines de la gestion de l'information, telles l'accréditation et la protection de données,
peuvent être considérés comme appartenant au domaine du contrôle de l'information. Il est extrêmement
important que le domaine du contrôle de l'information se joigne à l'effort de déploiement actuel en termes de
sécurité de l'information afin que soit toujours portée l'attention requise à la confidentialité, à l'intégrité et à la
disponibilité. La sécurité de l'information apparaît clairement comme un aspect essentiel de l'élargissement
des aspects de la gouvernance des informations.
5.3 Contrôle de l'information au sein de la gouvernance clinique et d'entreprise
Alors que les organismes de santé peuvent différer à propos de la gouvernance clinique et de la gouvernance
d'entreprise, l'importance de l'intégration et du suivi du contrôle de l'information devrait les mettre d'accord.
Tandis que les organismes de santé deviennent de plus en plus dépendants des systèmes d'informations
relatifs à l'administration de soins (en exploitant, par exemple, les technologies d'aide à la prise de décision ou
en s'appuyant davantage sur des soins fondés sur des preuves plutôt que sur l'expérience), il semble de plus
en plus évident que les pertes d'intégrité, de disponibilité et de confidentialité engendrent des conséquences
cliniques importantes. Les problèmes issus de ces conséquences seront considérés comme des
manquements aux obligations éthiques et légales inhérentes à l'obligation de diligence.
Tous les pays et toutes les juridictions possèdent sans aucun doute des études de cas dans lesquelles ces
failles ont conduit à des erreurs de diagnostic, à des décès ou à des rétablissements retardés. Les
fondements de la gouvernance clinique doivent donc accorder autant d'importance à la gestion efficace du
management du risque relatif à la sécurité de l'information qu'aux programmes d'administration de soins,
stratégies de gestion des infections et autres problèmes de gestion à contenu médical.
5.4 Informations de santé devant être protégées
5)
Il existe plusieurs types d'informations dont la confidentialité, l'intégrité et la disponibilité doivent être
protégées:
a) les informations personnelles de santé;
b) les données de pseudonymisation issues des informations personnelles de santé par le biais d'une
certaine méthodologie d'identification des pseudonymes;
c) les données statistiques et de recherche, dont les données d'anonymisation issues des informations
personnelles de santé par suppression des données d'identification personnelle;
d) les connaissances cliniques/médicales sans rapport avec un sujet de soins particulier, dont les données
d'aide à la décision médicale (par exemple les données sur les réactions indésirables conséquentes à la
prise d'un médicament);
4) Dans certains pays, l'expression «assurance des informations» est synonyme de «contrôle de l'information».
5) Le degré de disponibilité dépend des utilisations dont ces données feront l'objet.
e) les données sur les professionnels de santé, sur le personnel médical et sur les bénévoles;
f) les informations liées à la surveillance de la santé publique;
g) les données des traces d'audit émises par les systèmes d'information de santé qui contiennent des
informations personnelles de santé, des données de pseudonyme issus d'informations personnelles de
santé, ou qui contiennent des données relatives aux actes des utilisateurs vis-à-vis de ces informations
personnelles de santé;
h) les données de sécurité système traitant des informations de santé, dont les données de contrôle d'accès
et autres données liées à la sécurité de la configuration du système pour les systèmes d'informations de
santé.
L'ampleur de la nécessité de protéger la confidentialité, l'intégrité et la disponibilité dépend de la nature des
informations, de leur utilité et du degré de risque auquel elles sont soumises. Par exemple, des données
statistiques [c) ci-dessus] ne sont pas toujours confidentielles mais la protection de leur intégrité peut relever
de la plus haute importance. De même, les données des traces d'audit [g) ci-dessus] peuvent ne pas exiger
une grande disponibilité (un archivage régulier en terme d'heures et non de secondes peut suffire pour
certaines applications) mais leur contenu pourrait être strictement confidentiel. Une appréciation du risque
peut déterminer précisément le degré d'effort nécessaire à la protection de la confidentialité, de l'intégrité et
de la disponibilité (voir 6.4.4). Les résultats d'une appréciation régulière du risque doivent être incorporés aux
ressources et priorités de l'organisme mettant en œuvre cette norme.
5.5 Les menaces et les vulnérabilités relatives à la sécurité des informations de santé
Les types ainsi que les descriptions ou les profils des menaces et des vulnérabilités qui affectent la sécurité
des informations varient amplement. Aucune n'est vraiment propre au domaine de la santé, cependant, la
singularité dans ce domaine réside dans la multitude de facteurs à considérer lors de l'évaluation de ces
menaces et de ces vulnérabilités.
De par leur nature, les organismes de santé opèrent dans un environnement qui peut difficilement être fermé
aux visiteurs et au grand public. Au sein des grands organismes de santé, la masse de personnes se
déplaçant dans les zones opérationnelles est conséquente. Ces facteurs augmentent la vulnérabilité des
systèmes face aux menaces physiques. La probabilité que de telles menaces se réalisent peut augmenter
quand des sujets de soins ou des proches émotifs ou att
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...