ISO 27799:2008
(Main)Health informatics — Information security management in health using ISO/IEC 27002
Health informatics — Information security management in health using ISO/IEC 27002
ISO 27799:2008 defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that standard. ISO 27799:2008 specifies a set of detailed controls for managing health information security and provides health information security best practice guidelines. By implementing this International Standard, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information. ISO 27799:2008 applies to health information in all its aspects; whatever form the information takes (words and numbers, sound recordings, drawings, video and medical images), whatever means are used to store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand, via fax, over computer networks or by post), as the information must always be appropriately protected.
Informatique de santé — Management de la sécurité de l'information relative à la santé en utilisant l'ISO/CEI 27002
L'ISO 27799:2008 fournit des lignes directrices permettant d'interpréter et de mettre en œuvre l'ISO/CEI 27002 dans le domaine de l'informatique de santé et constitue un complément à cette dernière. L'ISO 27799:2008 spécifie une série de contrôles détaillés en vue de la gestion de la sécurité des informations de santé et apporte des indications de bonne pratique en matière de sécurité des informations de santé. La mise en œuvre de la présente Norme internationale permettra aux organismes de santé et aux autres dépositaires d'informations de santé de garantir le niveau minimal requis en termes de sécurité propre aux dispositifs de leur organisme et de garantir la confidentialité, l'intégrité et la disponibilité des informations personnelles de santé. L'ISO 27799:2008 s'applique à tous les aspects de l'information de santé, quelle que soit la forme (mots, chiffres, enregistrements sonores, dessins, vidéos et images médicales), le support utilisé pour les stocker (imprimés, écrits papier, stockage électronique) ou les moyens mis en œuvre pour leur transmission (en main propre, par fax, par réseau informatique ou par la poste), car l'information doit toujours être protégée efficacement.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 27799
First edition
2008-07-01
Health informatics — Information security
management in health using
ISO/IEC 27002
Informatique de santé — Gestion de la sécurité de l'information relative
à la santé en utilisant l'ISO/CEI 27002
Reference number
ISO 27799:2008(E)
©
ISO 2008
---------------------- Page: 1 ----------------------
ISO 27799:2008(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2008
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2008 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 27799:2008(E)
Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
1.1 General. 1
1.2 Scope exclusions. 1
2 Normative references . 2
3 Terms and definitions. 2
3.1 Health terms . 2
3.2 Information security terms . 3
4 Abbreviated terms . 5
5 Health information security . 5
5.1 Health information security goals. 5
5.2 Information security within information governance. 6
5.3 Information governance within corporate and clinical governance. 7
5.4 Health information to be protected. 7
5.5 Threats and vulnerabilities in health information security . 8
6 Practical action plan for implementing ISO/IEC 27002 . 8
6.1 Taxonomy of the ISO/IEC 27002 and ISO/IEC 27001 standards. 8
6.2 Management commitment to implementing ISO/IEC 27002 . 9
6.3 Establishing, operating, maintaining and improving the ISMS . 10
6.4 Planning: establishing the ISMS . 10
6.5 Doing: implementing and operating the ISMS. 18
6.6 Checking: monitoring and reviewing the ISMS . 19
6.7 Acting: maintaining and improving the ISMS . 20
7 Healthcare implications of ISO/IEC 27002.20
7.1 General. 20
7.2 Information security policy. 21
7.3 Organizing information security . 22
7.4 Asset management. 25
7.5 Human resources security. 26
7.6 Physical and environmental security . 29
7.7 Communications and operations management . 30
7.8 Access control . 36
7.9 Information systems acquisition, development and maintenance. 39
7.10 Information security incident management . 41
7.11 Information security aspects of business continuity management . 42
7.12 Compliance. 42
Annex A (informative) Threats to health information security . 45
Annex B (informative) Tasks and related documents of the Information Security Management
System . 50
Annex C (informative) Potential benefits and required attributes of support tools . 54
Bibliography . 57
© ISO 2008 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 27799:2008(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the
International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 27799 was prepared by Technical Committee ISO/TC 215, Health informatics.
iv © ISO 2008 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 27799:2008(E)
Introduction
This International Standard provides guidance to healthcare organizations and other custodians of personal
health information on how best to protect the confidentiality, integrity and availability of such information by
1)
implementing ISO/IEC 27002 . Specifically, this International Standard addresses the special information
security management needs of the health sector and its unique operating environments. While the protection
and security of personal information is important to all individuals, corporations, institutions and governments,
there are special requirements in the health sector that need to be met to ensure the confidentiality, integrity,
auditability and availability of personal health information. This type of information is regarded by many as
being among the most confidential of all types of personal information. Protecting this confidentiality is
essential if the privacy of subjects of care is to be maintained. The integrity of health information must be
protected to ensure patient safety, and an important component of that protection is ensuring that the
information’s entire life cycle be fully auditable. The availability of health information is also critical to effective
healthcare delivery. Health informatics systems must meet unique demands to remain operational in the face
of natural disasters, system failures and denial-of-service attacks. Protecting the confidentiality, integrity and
availability of health information therefore requires health-sector-specific expertise.
The need for effective IT security management in healthcare is made all the more urgent by the increasing
use of wireless and Internet technologies in healthcare delivery. If not implemented properly, these complex
technologies will increase the risks to the confidentiality, integrity and availability of health information.
Regardless of size, location and model of service delivery, all healthcare organizations need to have stringent
controls in place to protect the health information entrusted to them. Yet many health professionals work as
solo health providers or in small clinics that lack the dedicated IT resources to manage information security.
Healthcare organizations must therefore have clear, concise and healthcare-specific guidance on the
selection and implementation of such controls. This guidance must be adaptable to the wide range of sizes,
locations, and models of service delivery found in healthcare. Finally, with increasing electronic exchange of
personal health information between health professionals, there is a clear benefit in adopting a common
reference for information security management in healthcare.
ISO/IEC 27002 is already being used extensively for health informatics IT security management through the
agency of national or regional guidelines in Australia, Canada, France, the Netherlands, New Zealand, South
Africa and the United Kingdom. Interest is growing in other countries as well. This International Standard
(ISO 27799) draws upon the experience gained in these national endeavours in dealing with the security of
personal health information and is intended as a companion document to ISO/IEC 27002. It is not intended to
supplant ISO/IEC 27002 or ISO/IEC 27001. Rather, it is a complement to these more generic standards.
This International Standard applies ISO/IEC 27002 to the healthcare domain in a way that carefully considers
the appropriate application of security controls for the purposes of protecting personal health information.
These considerations have, in some cases, led the authors to conclude that application of certain
ISO/IEC 27002 control objectives is essential if personal health information is to be adequately protected. This
International Standard therefore places constraints upon the application of certain security controls specified
in ISO/IEC 27002. This in turn has led to the inclusion in Clause 7 of several normative statements stating that
the application of a given security control is mandatory. For example, 7.2.1 states that
Organizations processing health information, including personal health information, shall have a written
information security policy that is approved by management, published, and then communicated to all
employees and relevant external parties.
1) This guideline is consistent with the revised version of ISO/IEC 27002:2005.
© ISO 2008 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 27799:2008(E)
In the health domain, it is possible for an organization (a hospital, say) to be certified using ISO/IEC 27001
without requiring certification against, or even acknowledgement of, this International Standard. It is to be
hoped, however, that as healthcare organizations strive to improve the security of personal health information,
conformance with this International Standard, as a stricter standard for healthcare, will also become
widespread.
All of the security control objectives described in ISO/IEC 27002 are relevant to health informatics but some
controls require additional explanations with regard to how they can be used best to protect the confidentiality,
integrity and availability of health information. There are also additional health-sector-specific requirements.
This International Standard provides additional guidance in a format that persons responsible for health
information security can readily understand and adopt.
This International Standard's authors do not intend to write a primer on computer security, nor to restate what
has already been written in ISO/IEC 27002 or in ISO/IEC 27001. There are many security requirements that
are common to all computer-related systems, whether used in financial services, manufacturing, industrial
control, or indeed in any other organized endeavour. A concerted effort has been made to focus on security
requirements necessitated by the unique challenges of delivering electronic health information that supports
the provision of care.
Who should read this International Standard?
This International Standard is intended for those responsible for overseeing health information security and for
healthcare organizations and other custodians of health information seeking guidance on this topic, together
with their security advisors, consultants, auditors, vendors and third-party service providers.
Benefits of using this International Standard
ISO/IEC 27002 is a broad and complex standard and its advice is not tailored specifically to healthcare. This
International Standard allows for the implementation of ISO/IEC 27002, within health environments, in a
consistent fashion and with particular attention to the unique challenges that the health sector poses. By
following it, healthcare organizations help to ensure that the confidentiality and integrity of data in their care
are maintained, that critical health information systems remain available, and that accountability for health
information is upheld.
The adoption of this guidance by healthcare organizations both within and among jurisdictions will assist
interoperation and enable the safe adoption of new collaborative technologies in the delivery of healthcare.
Secure and privacy-protective information sharing can significantly improve healthcare outcomes.
As a result of implementing this guidance, healthcare organizations can expect to see the number and
severity of their security incidents reduced, allowing resources to be redeployed to productive activities. IT
security will thereby allow health resources to be deployed in a cost-effective and productive manner. Indeed,
research by the respected Information Security Forum and by market analysts has shown that good all-round
security can have as much as a 2 % positive effect upon organizations’ results.
Finally, a consistent approach to IT security, understandable by all involved in healthcare, will improve staff
morale and increase the trust of the public in the systems that maintain personal health information.
How to use this International Standard
Readers not already familiar with ISO/IEC 27002 are urged to read the introductory sections of that
International Standard before continuing. Implementers of this Intenational Standard (ISO/IEC 27799) must
first thoroughly read ISO/IEC 27002, as the text below will frequently refer the reader to the relevant sections
of that International Standard. The present document cannot be fully understood without access to the full text
of ISO/IEC 27002.
General readers not already familiar with health information security and its goals, challenges, and broader
context, will benefit from reading a brief introduction, to be found in Clause 5.
vi © ISO 2008 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 27799:2008(E)
Readers seeking guidance on how to implement ISO/IEC 27002 in a health environment will find a practical
action plan described in Clause 6. No mandatory requirements are contained in this clause. Instead, general
advice and guidance are given on how best to proceed with the implementation of 27002 in healthcare. The
clause is organized around a cycle of activities (plan/do/check/act) that are described in ISO/IEC 27001 and
that, when followed, will lead to a robust implementation of an information security management system.
Readers seeking specific advice on the eleven security control clauses and 39 main security control
categories described in ISO/IEC 27002 will find it in Clause 7. This clause leads the reader through each of
the eleven security control clauses of ISO/IEC 27002. Minimum requirements are stated where appropriate
and, in some cases, normative guidelines are set out on the proper application of certain ISO/IEC 27002
security controls to the protection of health information.
This International Standard concludes with three informative annexes. Annex A describes the general threats
to health information. Annex B briefly describes tasks and related documents of the information security
management system. Annex C discusses the advantages of support tools as an aid to implementation. The
Bibliography lists related standards in health information security.
© ISO 2008 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO 27799:2008(E)
Health informatics — Information security management in
health using ISO/IEC 27002
1 Scope
1.1 General
This International Standard defines guidelines to support the interpretation and implementation in health
2)
informatics of ISO/IEC 27002 and is a companion to that standard .
This International Standard specifies a set of detailed controls for managing health information security and
provides health information security best practice guidelines. By implementing this International Standard,
healthcare organizations and other custodians of health information will be able to ensure a minimum requisite
level of security that is appropriate to their organization’s circumstances and that will maintain the
confidentiality, integrity and availability of personal health information.
This International Standard applies to health information in all its aspects, whatever form the information takes
(words and numbers, sound recordings, drawings, video and medical images), whatever means are used to
store it (printing or writing on paper or electronic storage) and whatever means are used to transmit it (by hand,
via fax, over computer networks or by post), as the information must always be appropriately protected.
This International Standard and ISO/IEC 27002 taken together define what is required in terms of information
security in healthcare; they do not define how these requirements are to be met. That is to say, to the fullest
extent possible, this International Standard is technology-neutral. Neutrality with respect to implementing
technologies is an important feature. Security technology is still undergoing rapid development and the pace
of that change is now measured in months rather than years. By contrast, while subject to periodic review,
standards are expected on the whole to remain valid for years. Just as importantly, technological neutrality
leaves vendors and service providers free to suggest new or developing technologies that meet the necessary
requirements that this International Standard describes.
As noted in the introduction, familiarity with ISO/IEC 27002 is indispensable for an understanding of this
International Standard.
1.2 Scope exclusions
The following areas of information security are outside the scope of this International Standard:
a) methodologies and statistical tests for effective anonymization of personal health information;
[10]
b) methodologies for pseudonymization of personal health information (see bibliographic Reference for
an example of an ISO Technical Specification that deals specifically with this subject);
c) network quality of service and methods for measuring availability of networks used for health informatics;
d) data quality (as distinct from data integrity).
2) This guideline is consistent with the revised version of ISO/IEC 27002:2005.
© ISO 2008 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO 27799:2008(E)
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/IEC 27002:2005, Information technology — Security techniques — Code of practice for information
security management
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1 Health terms
3.1.1
health informatics
scientific discipline that is concerned with the cognitive, information-processing and communication tasks of
healthcare practice, education and research, including the information science and technology to support
these tasks
[ISO/TR 18307:2001, definition 3.73]
3.1.2
health information system
repository of information regarding the health of a subject of care in computer-processable form, stored and
transmitted securely, and accessible by multiple authorized users
NOTE Adapted from ISO/TR 20514:2005, definition 2.25.
3.1.3
healthcare
any type of service provided by professionals or paraprofessionals with an impact on health status
[European Parliament, 1998, as cited by WHO]
3.1.4
healthcare organization
generic term used to describe many types of organizations that provide healthcare services
[ISO/TR 18307:2001, definition 3.74]
3.1.5
health professional
person who is authorized by a recognised body to be qualified to perform certain health duties
NOTE Adapted from ISO/TS 17090-1:2002, definition 3.18.
3.1.6
healthcare provider
any person or organization who is involved in, or associated with, the delivery of healthcare to a client, or
caring for client wellbeing
3.1.7
identifiable person
one who can be identified, directly or indirectly, in particular by reference to an identification number or one or
more factors specific to his physical, physiological, mental, economic, cultural or social identity
[ISO 22857:2004, definition 3.7]
2 © ISO 2008 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 27799:2008(E)
3.1.8
patient
subject of care
(See below, 3.1.10).
3.1.9
personal health information
information about an identifiable person which relates to the physical or mental health of the individual, or to
provision of health services to the individual, and which may include:
a) information about the registration of the individual for the provision of health services;
b) information about payments or eligibility for healthcare with respect to the individual;
c) a number, symbol or particular assigned to an individual to uniquely identify the individual for health
purposes;
d) any information about the individual collected in the course of the provision of health services to the
individual;
e) information derived from the testing or examination of a body part or bodily substance;
f) identification of a person (e.g. a health professional) as provider of healthcare to the individual.
NOTE Personal health information does not include information that, either by itself or when combined with other
information available to the holder, is anonymized, i.e. the identity of the individual who is the subject of the information
cannot be ascertained from the information.
3.1.10
subject of care
one or more persons scheduled to receive, receiving, or having received a health service
[ISO/TS 18308:2004, definition 3.40]
3.2 Information security terms
3.2.1
asset
anything that has value to the organization
[ISO/IEC 13335-1:2004, definition 2.2]
NOTE In the context of health information security, assets include:
a) health information;
b) IT services;
c) hardware;
d) software;
e) communications facilities;
f) media;
g) IT facilities;
h) medical devices that record or report data.
© ISO 2008 – All rights reserved 3
---------------------- Page: 10 ----------------------
ISO 27799:2008(E)
3.2.2
accountability
property that ensures that the actions of an entity may be traced uniquely to the entity
[ISO 7498-2:1989, definition 3.3.3]
3.2.3
assurance
result of a set of compliance processes through which an organization achieves confidence in the status of its
information security management
3.2.4
availability
property of being accessible and usable upon demand by an authorized entity
[ISO 7498-2:1989, definition 3.3.11]
3.2.5
compliance assessment
processes by which an organization confirms that the information security controls put in place remain both
operational and effective
NOTE Legal compliance relates specifically to the security controls put in place to deliver the requirements of
relevant legislation such as the European Union Directive on the Protection of Personal Data.
3.2.6
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or processes
[ISO 7498-2:1989, definition 3.3.16]
3.2.7
data integrity
property that data has not been altered or destroyed in an unauthorized manner
[ISO 7498-2:1989, definition 3.3.21]
3.2.8
information governance
processes by which an organization obtains assurance that the risks to its information, and thereby the
operational capabilities and integrity of the organization, are effectively identified and managed
3.2.9
information security
preservation of confidentiality, integrity and availability of information
NOTE Other properties, particularly accountability of users but also authenticity, non-repudiation, and reliability, are
often mentioned as aspects of information security but could be considered as derived from the three core properties in
the definition.
3.2.10
risk
combination of the probability of an event and its consequence
[ISO Guide 73:2002, definition 3.1.1]
3.2.11
risk assessment
overall process of risk analysis and risk evaluation
[ISO Guide 73:2002, definition 3.3.1]
4 © ISO 2008 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 27799:2008(E)
3.2.12
risk management
coordinated activities to direct and control an organization with regard to risk
NOTE Risk management typically includes risk assessment, risk treatment, risk acceptance and risk communication.
[ISO Guide 73:2002, definition 3.1.7]
3.2.13
risk treatment
process of selection and implementation of measures to modify (typically reduce) risk
NOTE Adapted from ISO Guide 73:2002, definition 3.4.1.
3.2.14
system integrity
property that a system performs its intended function in an unimpaired manner, free from deliberate or
accidental unauthorized manipulation of the system
3.2.15
threat
potential cause of an unwanted incident, that may result in harm to a system or organization
[ISO/IEC 13335-1:2004, definition 2.25]
3.2.16
vulnerability
weakness of an asset or group of assets that can be exploited by one or more threats
[ISO/IEC 13335-1:2004, definition 2.26]
4 Abbrevia
...
NORME ISO
INTERNATIONALE 27799
Première édition
2008-07-01
Informatique de santé — Gestion de la
sécurité de l'information relative à la
santé en utilisant l'ISO/CEI 27002
Health informatics — Information security management in health using
ISO/IEC 27002
Numéro de référence
ISO 27799:2008(F)
©
ISO 2008
---------------------- Page: 1 ----------------------
ISO 27799:2008(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2008
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2008 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 27799:2008(F)
Sommaire Page
Avant-propos. iv
Introduction . v
1 Domaine d'application. 1
1.1 Généralités . 1
1.2 Exclusions du domaine d'application . 1
2 Références normatives . 2
3 Termes et définitions. 2
3.1 Termes médicaux. 2
3.2 Termes relatifs à la sécurité de l'information . 3
4 Termes abrégés . 5
5 Sécurité de l'information de santé . 6
5.1 Objectifs de la sécurité de l'information de santé. 6
5.2 Sécurité de l'information au sein du contrôle de l'information . 7
5.3 Contrôle de l'information au sein de la gouvernance clinique et d'entreprise . 7
5.4 Informations de santé devant être protégées. 7
5.5 Les menaces et les vulnérabilités relatives à la sécurité des informations de santé . 8
6 Plan d'action pratique pour la mise en œuvre de l'ISO/CEI 27002 . 9
6.1 Taxinomie de l'ISO 27002 et de l'ISO 27001 . 9
6.2 Engagement de la direction pour la mise en œuvre de l'ISO/CEI 27002. 10
6.3 Mise en œuvre, fonctionnement, entretien et perfectionnement de l'ISMS. 10
6.4 Planification: mise en œuvre de l'ISMS. 11
6.5 Application: Mise en œuvre et fonctionnement de l'ISMS . 20
6.6 Contrôle: surveillance et révision de l'ISMS.21
6.7 Actions: entretien et amélioration de l'ISMS.23
7 Les implications médicales de l'ISO/CEI 27002. 23
7.1 Généralités . 23
7.2 Politique d'information de la sécurité. 23
7.3 Organisation de la sécurité des informations . 25
7.4 Gestion du patrimoine. 28
7.5 Sécurité des ressources humaines . 30
7.6 Sécurité physique et environnementale.32
7.7 Gestion de l'exploitation et des communications. 34
7.8 Contrôle d'accès . 40
7.9 Acquisition, développement et maintenance des systèmes d'information. 44
7.10 Gestion des incidents relatifs à la sécurité de l'information. 46
7.11 Aspects de la sécurité de l'information en matière de gestion de la continuité de l'activité . 47
7.12 Conformité. 48
Annexe A (informative) Menaces pesant sur la sécurité des informations de santé. 50
Annexe B (informative) Tâches et documents relatifs au système de gestion de la sécurité
informatique . 55
Annexe C (informative) Avantages potentiels et attributs requis des outils d'assistance. 59
Bibliographie . 62
© ISO 2008 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 27799:2008(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO 27799 a été élaborée par le comité technique ISO/TC 215, Informatique de santé.
iv © ISO 2008 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 27799:2008(F)
Introduction
La présente Norme internationale fournit des recommandations aux organismes de santé et aux autres
dépositaires d'informations personnelles de santé sur la meilleure façon de protéger la confidentialité,
1)
l'intégrité et la disponibilité de ces informations en mettant en œuvre l'ISO/CEI 27002 . Plus précisément, la
présente Norme internationale traite des besoins de gestion de la sécurité de l'information spécifiques au
domaine de la santé et à son environnement de mise en œuvre particulier. Même si la protection et la sécurité
des informations personnelles sont importantes pour tous les individus, les entreprises, les institutions et les
gouvernements, il existe, dans le secteur de la santé, des exigences particulières à satisfaire pour garantir la
confidentialité, l'intégrité, l'auditabilité et la disponibilité des informations personnelles de santé. Beaucoup
considèrent que ces informations sont parmi les informations personnelles les plus confidentielles. La
protection de cette confidentialité est essentielle chaque fois que le respect de la vie privée des sujets de
soins doit être assuré. L'intégrité des informations de santé doit être protégée afin de garantir la sécurité du
patient. L'un des principes clés de cette protection est de pouvoir garantir que le cycle de vie complet de
l'information est auditable de bout en bout. La disponibilité des informations de santé est aussi critique pour
fournir des soins médicaux de manière efficace. Les systèmes d'informations de santé doivent répondre à des
demandes particulières afin de rester opérationnels en cas de catastrophes naturelles, de pannes de système
ou d'attaques par refus de service. Protéger la confidentialité, l'intégrité et la disponibilité des informations de
santé requiert donc une expertise spécifique du secteur de la santé.
L'utilisation croissante des technologies sans fil et de l'Internet dans la délivrance de soins rend plus urgent de
gérer efficacement la sécurité des technologies de l'information dans le domaine de la santé. Ces
technologies complexes, si elles ne sont pas appliquées correctement, augmenteront les risques de perte de
la confidentialité, de l'intégrité et de la disponibilité des informations de santé. Quels que soient leur taille, leur
situation ou les types de prestations, tous les organismes de santé ont besoin de mettre en œuvre des
contrôles stricts pour protéger les informations de santé qui leur sont confiées. Pourtant, beaucoup de
professionnels exercent de manière isolée ou dans des petites cliniques qui ne disposent pas des ressources
informatiques nécessaires pour gérer la sécurité des informations. Les organismes de santé doivent donc
définir des recommandations claires, concises et spécifiques au domaine de la santé sur la sélection et
l'application de tels contrôles. Ces recommandations doivent s'adapter à toutes les prestations de service du
domaine de la santé et ce, quel que soit leur taille, leur situation et leur modèle. En bref, l'accroissement des
échanges électroniques d'informations personnelles de santé entre professionnels de la santé justifie l'utilité
de l'adoption d'une référence commune en matière de gestion de la sécurité des informations de soins.
L'ISO/CEI 27002 est déjà largement déployée pour la gestion de la sécurité des informations de santé par
l'intermédiaire des directives nationales ou régionales dans les pays suivants: Australie, Canada, France,
Pays-Bas, Nouvelle-Zélande, Afrique du Sud et Royaume-Uni. L'intérêt se développe également dans
d'autres pays. La présente Norme internationale rassemble l'expérience acquise au cours de ces
expérimentations nationales dans la gestion de la sécurité des informations personnelles de santé et se
présente comme un document complémentaire de la norme générique ISO/CEI 27002. Elle n'a pas pour
objectif de supplanter l'ISO/CEI 27002 ni l'ISO/CEI 27001, mais plutôt de compléter ces normes plus
générales.
La présente Norme internationale transpose l'ISO/CEI 27002 au domaine de la santé en prenant soin de
considérer l'application appropriée des contrôles de sécurité dans l'objectif de la protection des informations
personnelles de santé. Dans certains cas, ces considérations ont conduit les auteurs à conclure que
l'application de certains objectifs de contrôle de l'ISO/CEI 27002 est essentielle si les informations
personnelles de santé devaient être protégées de manière adéquate. La présente Norme internationale
contraint ainsi à mettre en œuvre certaines mesures de sécurité spécifiées dans l'ISO/CEI 27002, ce qui a
conduit à inclure dans l'Article 7 plusieurs mentions normatives instituant comme obligatoire l'application de
certaines mesures de sécurité. Par exemple 7.2.1 établit que
1) Ces recommandations s'appuient sur la version révisée de l'ISO/CEI 27002:2005.
© ISO 2008 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 27799:2008(F)
Les organisations traitant des informations de santé, y compris des informations personnelles de santé,
doivent posséder une politique formelle de sécurité de l'information approuvée par la direction, publiée,
puis communiquée à l'ensemble des employés ainsi qu'aux tiers concernés.
Dans le domaine de la santé, un organisme (par exemple un hôpital) peut être certifié conformément
à l'ISO/CEI 27001 sans être certifié, ni même reconnu, de la présente Norme internationale. Alors que les
organismes de santé s'efforcent d'améliorer la sécurité des informations personnelles de santé, la conformité
à la présente Norme internationale, en tant que norme plus rigoureuse dans le domaine de la santé, se
répandra pour le plus grand nombre.
Tous les objectifs de contrôle de la sécurité décrits dans l'ISO/CEI 27002 sont applicables à l'informatique de
santé mais certaines mesures requièrent des explications supplémentaires sur la façon de les optimiser afin
de protéger la confidentialité, l'intégrité et la disponibilité des informations de santé. Il existe également des
exigences spécifiques supplémentaires dans le secteur de la santé. La présente Norme internationale apporte
des recommandations supplémentaires dans un format que les personnes responsables de la sécurité des
informations de santé peuvent aisément comprendre et adopter.
Les auteurs de la présente Norme internationale n'ont pas pour intention d'écrire une introduction sur la
sécurité informatique, ils ne veulent pas non plus réitérer ce qui a déjà été écrit dans l'ISO/CEI 27002 ou dans
l'ISO/CEI 27001. De nombreuses exigences de sécurité sont communes à tous les systèmes informatisés,
que ce soit dans la finance, la fabrication, le contrôle industriel ou dans n'importe quel système organisé. Un
effort commun a été accompli pour se concentrer sur les exigences de sécurité nécessaires dans l'unique but
de délivrer des informations électroniques de santé sur lesquels les services de soins peuvent s'appuyer.
À quel public la présente Norme internationale est-elle destinée ?
La présente Norme internationale est destinée aux responsables de la supervision de la sécurité des
informations de santé, ainsi qu'aux organismes de santé et autres dépositaires d'informations de santé qui
cherchent des indications sur ce sujet. Sont aussi concernés leur conseiller en sécurité, les consultants, les
auditeurs, les fournisseurs et les prestataires de services tiers.
Avantages de l'utilisation de la présente Norme internationale
L'ISO/CEI 27002 est une Norme internationale vaste et complexe et les conseils qui y sont donnés ne sont
pas spécialement adaptés au domaine de la santé. La présente Norme internationale prend en compte la
mise en œuvre de l'ISO/CEI 27002 dans le domaine de la santé et prête une attention particulière aux défis
propres à ce domaine. En respectant cette Norme internationale, les organismes de santé s'engagent à
garantir que la confidentialité et l'intégrité des données en leur possession sont maintenues, que les systèmes
d'informatique de santé primordiaux restent disponibles et que l'imputabilité des informations de santé est
respectée.
L'adoption de ces recommandations par les organismes de santé à la fois au sein et au-delà de leur juridiction
facilitera la coopération et permettra l'adoption en toute sécurité de nouvelles technologies coopératives en
matière de soins médicaux. Le partage d'informations sécurisées et dans le respect de la vie privée peut
considérablement améliorer les résultats des soins médicaux.
En suivant ces recommandations, les organismes de santé peuvent s'attendre à une diminution des incidents
de sécurité tant en nombre qu'en gravité. Les ressources peuvent ainsi être redistribuées vers des activités
productives. La sécurité informatique permet ainsi aux ressources de santé d'être distribuées de manière
rentable et productive. En effet, une étude réalisée par le très reconnu Forum sur la sécurité de l'information
en partenariat avec des analystes de marché a démontré que, grâce à une sécurité correctement développée
des organismes ont enregistré une hausse sur leurs résultats allant jusqu'a 2 %.
Enfin, une approche cohérente de la sécurité de l'information, accessible à tous les individus liés au secteur
médical, améliorera le moral des employés ainsi que la confiance du public dans les systèmes détenteurs de
ces informations personnelles.
vi © ISO 2008 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 27799:2008(F)
Comment utiliser la présente Norme internationale ?
Les lecteurs qui ne connaissent pas encore l'ISO/CEI 27002 sont encouragés à lire les paragraphes
introductifs de la présente Norme internationale avant de continuer leur lecture. Les personnes chargées de la
mise en œuvre de la présente Norme internationale doivent lire attentivement l'ISO/CEI 27002, étant donné
que le texte ci-dessous fait fréquemment référence aux paragraphes correspondants de celle-ci. Le présent
document ne peut être pleinement compris sans consulter l'intégralité du texte de l'ISO/CEI 27002.
Les lecteurs qui ne connaissent pas la sécurité des informations de santé ainsi que ses objectifs, ses défis et
tout ce qui l'entoure trouveront un véritable intérêt dans la lecture de la brève introduction de l'Article 5.
Les lecteurs à la recherche de recommandations relatives à la mise en œuvre de l'ISO/CEI 27002 dans un
environnement relatif à la santé trouveront un plan d'action pratique dans l'Article 6. Aucune exigence
impérative n'est présente dans cet article. Au contraire, des conseils et des indications d'ordre général sont
donnés sur la meilleure façon de procéder à la mise en œuvre de l'ISO/CEI 27002 dans le domaine de la
santé. L'article est organisé selon un cycle d'activités (planifier-déployer-contrôler-agir) décrit dans
l'ISO/CEI 27001. Le respect de ce cycle aboutira à une mise en œuvre fiable d'un système de gestion de la
sécurité de l'information.
Les lecteurs à la recherche de conseils particuliers sur les 11 articles relatifs aux mesures de sécurité et sur
les 39 catégories de contrôle principales décrits dans l'ISO/CEI 27002 les trouveront dans l'Article 7. Cet
article accompagne le lecteur à travers chacun des 11 articles relatifs aux mesures de sécurité de
l'ISO/CEI 27002. Les exigences minimales sont indiquées lorsque besoin est et, dans certains cas, des
directives normatives sur l'application correcte de certaines mesures de sécurité de l'ISO/CEI 27002 sont
données en vue de la protection des informations de santé.
La présente Norme internationale se conclut par trois annexes informatives. L'Annexe A décrit les menaces
générales qui planent sur les informations de santé. L'Annexe B décrit brièvement les tâches et les
documents relatifs au système de gestion de la sécurité des informations. L'Annexe C présente les avantages
des outils d'aide à la mise en place de cette sécurité. Enfin, une bibliographie fournit une liste des normes
relatives à la sécurité des informations de santé.
© ISO 2008 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 27799:2008(F)
Informatique de santé — Gestion de la sécurité de l'information
relative à la santé en utilisant l'ISO/CEI 27002
1 Domaine d'application
1.1 Généralités
La présente Norme internationale fournit des lignes directrices permettant d'interpréter et de mettre en œuvre
2)
l'ISO/CEI 27002 dans le domaine de l'informatique de santé et constitue un complément à cette dernière.
La présente Norme internationale spécifie une série de contrôles détaillés en vue de la gestion de la sécurité
des informations de santé et apporte des indications de bonne pratique en matière de sécurité des
informations de santé. La mise en œuvre de la présente Norme internationale permettra aux organismes de
santé et aux autres dépositaires d'informations de santé de garantir le niveau minimal requis en termes de
sécurité propre aux dispositifs de leur organisme et de garantir la confidentialité, l'intégrité et la disponibilité
des informations personnelles de santé.
La présente Norme internationale s'applique à tous les aspects de l'information de santé, quelle que soit la
forme (mots, chiffres, enregistrements sonores, dessins, vidéos et images médicales), le support utilisé pour
les stocker (imprimés, écrits papier, stockage électronique) ou les moyens mis en œuvre pour leur
transmission (en main propre, par fax, par réseau informatique ou par la poste), car l'information doit toujours
être protégée efficacement.
La présente Norme internationale conjointement à l'ISO/CEI 27002 définissent les exigences en termes de
sécurité de l'information dans le domaine des soins médicaux, mais elles ne définissent pas la façon de
satisfaire à ces exigences. En d'autres termes, dans toute la mesure du possible, la technologie est absente
de la présente Norme internationale. La neutralité en matière de mise en œuvre des différentes technologies
est une caractéristique importante. La technologie en matière de sécurité ne cesse de se développer
rapidement. Le rythme de cette évolution se mesure actuellement en mois et non plus en années. En
revanche, bien que les normes soient soumises à des révisions régulières, leur validité peut se compter en
années. De manière également importante, l'absence de conseils technologiques laisse aux fournisseurs et
aux prestataires de services l'entière liberté de suggérer des technologies nouvelles ou en développement
capables de répondre aux exigences décrites dans la présente Norme internationale.
Comme mentionné dans l'introduction, la connaissance de l'ISO/CEI 27002 est indispensable à la
compréhension de la présente Norme internationale.
1.2 Exclusions du domaine d'application
Les domaines suivants de la sécurité de l'information n'entrent pas dans le cadre de la présente Norme
internationale:
a) les méthodologies et les essais statistiques en vue d'un anonymisation efficace des informations
personnelles de santé;
b) les méthodologies en vue de la pseudonymisation des informations personnelles de santé (voir la
référence bibliographique [10] pour un exemple de Spécification technique qui traite spécifiquement de ce
sujet);
2) Ces recommandations s'appuient sur la version révisée de l'ISO/CEI 27002:2005.
© ISO 2008 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO 27799:2008(F)
c) la qualité des services fournis par le réseau et les méthodes pour évaluer la disponibilité des réseaux
utilisés pour l'informatique de santé;
d) la qualité des données (opposée à l'intégrité des données).
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO/CEI 27002:2005, Technologies de l'information — Techniques de sécurité — Code de bonne pratique
pour la gestion de la sécurité de l'information
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
3.1 Termes médicaux
3.1.1
informatique de santé
discipline scientifique relative aux tâches cognitives du traitement de l'information et de la communication
liées à la pratique, l'enseignement et la recherche de la médecine, comprenant également la science et la
technologie de l'information qui accompagnent ces tâches
[ISO/TR 18307:2001, définition 3.73]
3.1.2
système d'information de santé
dépôt d'informations relatives à la santé d'un sujet de soins sous une forme pouvant être informatisée,
conservée, transmise de manière sûre et accessible par une multitude d'utilisateurs autorisés
NOTE Adapté de l'ISO/TR 20514:2005, définition 2.25.
3.1.3
soins de santé
tout type de services fournis par des professionnels ou des paraprofessionnels ayant une conséquence sur
l'état de santé d'un individu
[Parlement européen, 1998, d'après la définition de l'OMS]
3.1.4
organisme de santé
terme générique utilisé pour définir les différents types d'organismes prestataires de soins de santé
[ISO/TR 18307:2001, définition 3.74]
3.1.5
professionnel de santé
personne habilitée par un organisme reconnu à effectuer certaines tâches liées à la santé
NOTE Adapté de l'ISO/TS 17090-1:2002, définition 3.18.
3.1.6
prestataire de soins de santé
toute personne ou tout organisme impliqué ou associé à la prestation de soins de santé, ou se chargeant du
bien-être d'un patient
2 © ISO 2008 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 27799:2008(F)
3.1.7
personne identifiable
personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro
d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique,
psychique, économique, culturelle ou sociale
[ISO 22587:2004, définition 3.7]
3.1.8
patient
sujet recevant des soins
Voir 3.1.10.
3.1.9
information personnelle de santé
information relative à la santé physique ou mentale d'un individu identifiable ou à la prestation de services de
santé, incluant les informations suivantes:
a) informations à propos de l'inscription d'un individu souhaitant bénéficier de services de santé;
b) informations relatives à la solvabilité d'un individu ou à sa légitimité à recevoir à des soins de santé;
c) numéro, symbole ou signe particulier attribué à un individu dans le seul but de pouvoir l'identifier à des
fins médicales;
d) toute information consignée à propos d'un individu lors de la prestation de services de santé;
e) informations issues d'un essai ou d'un examen effectué sur une partie du corps ou sur une substance
corporelle;
f) identification d'une personne (par exemple un professionnel de la santé) en tant que prestataire de soins
de santé à un individu.
NOTE Une information personnelle de santé ne rentre pas dans le cadre d'informations isolées ou accompagnées
d'autres informations disponibles, et qui ont été rendues anonymes, c'est-à-dire que l'identité de l'individu sur lequel porte
ces informations ne peut pas être formellement identifié à partir de cette seule information.
3.1.10
sujet de soins
une ou plusieurs personnes devant recevoir, recevant ou ayant reçu une prestation de santé
[ISO/TS 18308:2004, définition 3.40]
3.2 Termes relatifs à la sécurité de l'information
3.2.1
bien
tout élément représentant de la valeur pour l'organisme
[ISO/CEI 13335-1:2004, définition 2.2]
NOTE Dans le contexte de la sécurité de l'information, les biens comprennent
a) l'information de santé,
b) les services informatiques,
c) le matériel informatique,
d) les logiciels,
© ISO 2008 – Tous droits réservés 3
---------------------- Page: 10 ----------------------
ISO 27799:2008(F)
e) les systèmes de communication,
f) les média,
g) les systèmes informatiques, et
h) les appareils médicaux enreg
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.