健康信息安全管理體系認證

一、業(yè)務(wù)背景

隨著(zhù)醫療行業(yè)的快速發(fā)展，醫療健康信息安全在保障患者權益、提高醫療服務(wù)質(zhì)量、促進(jìn)醫療技術(shù)創(chuàng )新等方面發(fā)揮著(zhù)越來(lái)越重要的作用。通過(guò)加強信息安全管理，可以有效避免患者信息的泄露和不當使用，保護患者的隱私權和人格尊嚴。這有助于建立患者信任，提高醫療服務(wù)滿(mǎn)意度。確保醫療數據的完整性、準確性和可靠性，防止數據被篡改或損壞，有助于保障醫療工作的正常進(jìn)行，提高醫療服務(wù)的可靠性。

隨著(zhù)互聯(lián)網(wǎng)技術(shù)的普及和信息化程度的提高，醫療系統的穩定性變得越來(lái)越重要。通過(guò)加強醫療健康信息安全保障，可以降低因網(wǎng)絡(luò )攻擊和數據泄露導致的醫療系統癱瘓風(fēng)險，確保醫療服務(wù)的連續性和穩定性。

二、業(yè)務(wù)介紹

ISO 27799是ISO/IEC27001信息安全管理和ISO/EC27002安全控制措施在醫療健康領(lǐng)域的具體應用，針對醫療行業(yè)特殊信息安全需求，為醫療保健組織和其它個(gè)人健康信息保管人提供指導，包括組織如何保護個(gè)人健康信息(PHI)，并協(xié)助組織遵守世界各地相關(guān)的醫療健康法規,

ISO 27799并不打算取代ISO/IEC 27002或ISO/EC27001在醫療健康領(lǐng)域的應用。相反，它是對這些更通用標準的補充。

根據企業(yè)的申請，為企業(yè)提供ISO/IEC 27001符合性認證。滿(mǎn)足現行標準要求的，為企業(yè)頒發(fā)相關(guān)證書(shū)。

三、實(shí)施該業(yè)務(wù)的價(jià)值

1、除了所有與計算機有關(guān)系統共有的安全要求外，重點(diǎn)關(guān)注提供健康服務(wù)的電子健康信息服務(wù)的安全要求。

2、在醫療健康環(huán)境中以一致的方式實(shí)施ISO/IEC27002，特別關(guān)注醫療保健部門(mén)面臨的獨特挑戰。參考本標準，可確保組織護理數據的機密性和完整性，關(guān)鍵醫療健康信息系統可用性，以及維持醫療健康信息的問(wèn)責。

3、司法管轄區內和司法管轄區之間的醫療健康組織，采用本國際標準有助于相互運作，使人們能安全采用新的協(xié)作技術(shù)來(lái)提供醫療保健服務(wù)，健康信息共享可以顯著(zhù)改善醫療結果。

4、通過(guò)實(shí)施本國際標準，醫療保健組織可以預期減少安全事件數量和降低其嚴重性，從而允許將資源重新部署到生產(chǎn)活動(dòng)中，使健康資源能夠以具有成本效益和生產(chǎn)效率的方式部署。

5、采取所有參與醫療保障的人都可以理解的、一致的IT安全方法，將提高員工的士氣，并增加公眾對維護個(gè)人健康信息系統的信任。

四、業(yè)務(wù)流程

申請認證的組織組織應建立符合ISO 27799標準要求的文件化信息安全管理體系，在申請認證之前應完成內部審核和管理評審，并保證體系有效、充分運行三個(gè)月以上；     

組織應向賽西認證提供健康信息安全管理體系運行的充分信息，對于多現場(chǎng)應說(shuō)明各現場(chǎng)的認證范圍、地址及人員分布等情況，賽西認證將以抽樣的方式對多現場(chǎng)進(jìn)行審核；

認證分兩個(gè)階段進(jìn)行：第一階段審核，主要進(jìn)行文件審核并確認第二階段審核準備的充分性；第二階段審核，主要對體系的符合性和有效性進(jìn)行評價(jià)，作出現場(chǎng)審核的推薦結論；

證書(shū)有效期3年，獲得認證后每年進(jìn)行一次監督，兩次監督間隔不得超過(guò)12個(gè)月。