Národní předmluva
Změny proti předchozí normě
Proti předchozí normě
dochází ke změně způsobu převzetí EN ISO 27799:2016 do soustavy norem
ČSN. Zatímco ČSN EN ISO 27799 (98 2021) z února
2017 převzala EN ISO 27799:2016 schválením k přímému používání
jako ČSN oznámením ve Věstníku ÚNMZ, tato norma ji přejímá překladem.
Informace o citovaných dokumentech
ISO/IEC 27000 zavedena
v ČSN EN ISO/IEC 27000 (36 9790) Informační
technologie – Bezpečnostní techniky – Systémy řízení
bezpečnosti informací – Přehled a slovník
ISO/IEC 27002 zavedena
v ČSN EN ISO/IEC 27002 (36 9798) Informační
technologie – Bezpečnostní techniky – Soubor postupů pro
opatření bezpečnosti informací
Souvisící ČSN
ČSN P CEN ISO/TS 14441:2014 (98 2026) Zdravotnická
informatika – Požadavky na bezpečnost a důvěrnost systémů EHR při
ověřování shody
ČSN ISO 15489-1 (97 1500) Informace
a dokumentace – Správa dokumentů – Část 1: Pojmy a principy
TNI ISO/TR 17791:2015 (98 0025) Zdravotnická
informatika – Pokyn k normám pro zabezpečení zdravotnického softwaru
ČSN EN ISO 21091 (98 2023) Zdravotnická
informatika – Služby adresáře pro poskytovatele zdravotní péče, subjekty
péče a ostatní entity
ČSN EN ISO 21298 (98 2017) Zdravotnická
informatika – Funkční a strukturální role
ČSN EN ISO 22301 (01 2306) Ochrana
společnosti – Systémy managementu kontinuity podnikání – Požadavky
ČSN EN ISO 22313 (01 2316) Ochrana
společnosti – Systémy managementu kontinuity podnikání – Pokyny
ČSN EN ISO 22600-1 (98 0023) Zdravotnická
informatika – Privilegium vedení a řízení přístupu – Část 1:
Přehled a politika
ČSN EN ISO 22600-2 (98 0023) Zdravotnická
informatika – Privilegium vedení a řízení přístupu – Část 2:
Formální modely
ČSN EN ISO 22600-3 (98 0023) Zdravotnická
informatika – Privilegium vedení a řízení přístupu – Část 3:
Implementace
ČSN EN ISO 25237 (98 2020) Zdravotnická
informatika – Pseudonymizace
ČSN EN ISO/IEC 27001:2014 (36 9797) Informační
technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti
informací – Požadavky
ČSN ISO/IEC 27005 (36 9790) Informační
technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti
informací
ČSN ISO/IEC 27007 (36 9790) Informační
technologie – Bezpečnostní techniky – Směrnice pro audit systémů
řízení
ČSN ISO/IEC 27031 (36 9801) Informační
technologie – Bezpečnostní techniky – Směrnice pro připravenost
informačních a komunikačních technologií pro kontinuitu činnosti
organizace
ČSN ISO/IEC 27033-1 (36 9701) Informační
technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 1:
Přehled a pojmy
ČSN ISO/IEC 27033-2 (36 9701) Informační
technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 2:
Směrnice pro návrh a implementaci bezpečnosti sítě
ČSN ISO/IEC 27033-3 (36 9701) Informační
technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 3:
Referenční síťové scénáře – Hrozby, techniky návrhu a otázky řízení
ČSN ISO/IEC 27033-4 (36 9701) Informační
technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 4:
Zabezpečení komunikace mezi sítěmi s využitím bezpečnostních bran
ČSN ISO/IEC 27033-5 (36 9701) Informační
technologie – Bezpečnostní techniky – Bezpečnost sítě – Část 5:
Zabezpečení komunikace napříč sítěmi použitím virtuálních privátních sítí (VPN)
ČSN EN ISO/IEC 27037 (36 9846) Informační
technologie – Bezpečnostní techniky – Směrnice pro identifikaci,
sběr, získávání a uchovávání digitálních důkazů
ČSN EN ISO 27789:2013 (98 2025) Zdravotnická
informatika – Auditní záznamy elektronických zdravotních
záznamů
ČSN ISO 22857 (98 2024) Zdravotnická
informatika – Směrnice pro ochranu přeshraničních toků osobních zdra-
votních údajů
ČSN ISO/IEC 29100 (36 9705) Informační
technologie – Bezpečnostní techniky – Rámec soukromí
ČSN ISO/IEC 29101 (36 9708) Informační
technologie – Bezpečnostní techniky – Rámec architektury soukromí
ČSN ISO 31000 (01 0351) Management
rizik – Principy a směrnice
Vysvětlivky k textu převzaté normy
V souladu s ČSN ISO/IEC 27002:2014 byl
pro účely této normy použit překlad anglického termínu „control“ jako
„opatření“, „řízení“ nebo „kontrola“ s ohledem na význam v textu
normy.
Pro účely této normy byl použit překlad anglického termínu
„guidance“ jako „pokyny“ vzhledem k jeho používání v oblasti IT
a v souladu s vydanými normami z oblasti IT, zejména
normami řady ISO/IEC 27XXX a řady ISO/IEC 29XXX. Český
ekvivalent „návod“ je vzhledem ke kontextu nevhodný a v praxi se
v souvislosti s uvedenými řadami norem nepoužívá.
Pro účely této normy byly použity následující anglické
termíny v původní podobě, vzhledem k rozšíření těchto termínů v odborné
komunitě a/nebo absenci českého ekvivalentu:
malware, benchmarking
Upozornění na národní poznámky
Do kapitoly B.4 byly doplněny národní poznámky upozorňující
na nesprávné číslování článků v této kapitole.
Vypracování normy
Zpracovatel: Ing. Jindřich Kodl, CSc., IČO 63957108
Technická normalizační komise: TNK 20 Informační
technologie
Pracovník České agentury pro standardizaci: Ing. Miroslav
Škop
Česká agentura pro standardizaci je státní příspěvková
organizace zřízená Úřadem pro technickou normalizaci, metrologii a státní
zkušebnictví na základě ustanovení § 5 odst. 2 zákona č. 22/1997 Sb.,
o technických požadavcích na výrobky a o změně a doplnění
některých zákonů, ve znění pozdějších předpisů.
ICS 35.240.80 Nahrazuje
EN ISO 27799:2008
Zdravotnická informatika – Systémy řízení bezpečnosti
informací ve zdravotnictví využívající ISO/IEC 27002
(ISO 27799:2016)
Health informatics – Information
security management in health using ISO/IEC 27002
(ISO 27799:2016)
|
Informatique de santé – Management de la sécurité
de l’information relative à la santé en utilisant
l’ISO/IEC 27002
(ISO 27799:2016)
|
Medizinische Informatik – Informationsmanagement
im Gesundheitswesen bei Verwendung
der ISO/IEC 27002
(ISO 27799:2016)
|
Tato evropská norma byla schválena CEN dne 2016-06-18.
Členové CEN jsou povinni splnit vnitřní předpisy
CEN/CENELEC, v nichž jsou stanoveny podmínky, za kterých se této evropské
normě bez jakýchkoliv modifikací uděluje status národní normy. Aktualizované
seznamy a biblio-
grafické citace týkající se těchto národních norem lze obdržet na vyžádání
v Řídicím centru CEN-CENELEC nebo u kteréhokoliv člena CEN.
Tato evropská norma existuje ve třech oficiálních verzích
(anglické, francouzské, německé). Verze v každém jiném jazyce přeložená
členem CEN do jeho vlastního jazyka, za kterou zodpovídá a kterou
notifikuje Řídicím centru CEN-CENELEC, má stejný status jako oficiální verze.
|
Evropský
výbor pro normalizaci
European
Committee for Standardization
Comité
Européen de Normalisation
Europäisches
Komitee für Normung
Řídicí centrum
CEN-CENELEC: Avenue Marnix 17, B-1000 Brusel
© 2016 CEN Veškerá
práva pro využití v jakékoli formě a jakýmikoli prostředky Ref.
č. EN ISO 27799:2016 E
jsou celosvětově vyhrazena národním členům CEN.
|
Členy CEN jsou národní normalizační orgány Belgie,
Bulharska, Bývalé jugoslávské republiky Makedonie, České republiky, Dánska, Estonska, Finska, Francie,
Chorvatska, Irska, Islandu, Itálie, Kypru, Litvy, Lotyšska, Lucemburska, Maďarska, Malty, Německa, Nizozemska, Norska,
Polska, Portugalska, Rakouska, Rumunska, Řecka, Slovenska, Slovinska,
Spojeného království, Srbska, Španělska, Švédska, Švýcarska a Turecka.
Tento dokument (EN ISO 27799:2016) vypracovala
technická komise ISO/TC 215 Zdravotnická informatika ve spolupráci
s technickou komisí CEN/TC 251 Zdravotnická informatika, jejíž
sekretariát zajišťuje NEN.
Této evropské normě je nutno nejpozději do února 2017 udělit
status národní normy, a to buď vydáním identického textu, nebo schválením
k přímému používání, a národní normy, které jsou s ní v rozporu,
je nutno zrušit nejpozději do února 2017.
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv. CEN [a/nebo CELENEC] nelze činit
odpovědným za identifikaci jakéhokoliv nebo všech patentových práv.
Tento dokument nahrazuje EN ISO 27799:2008.
Podle vnitřních předpisů CEN-CENELEC jsou tuto evropskou
normu povinny zavést národní normalizační organizace následujících zemí:
Belgie, Bulharska, Bývalé jugoslávské republiky Makedonie, České republiky,
Dánska, Estonska, Finska, Francie, Chorvatska, Irska, Islandu, Itálie, Kypru,
Litvy, Lotyšska, Lucemburska, Maďarska, Malty,
Německa, Nizozemska, Norska, Polska, Portugalska, Rakouska, Rumunska, Řecka,
Slovenska, Slovinska, Spojeného království, Srbska, Španělska, Švédska,
Švýcarska a Turecka.
Oznámení o schválení
Text ISO 27799:2016 byl schválen CEN jako
EN ISO 27799:2016 bez jakýchkoliv modifikací.
Strana
Evropská
předmluva.................................................................................................................................................................................... 6
Předmluva................................................................................................................................................................................................... 11
Úvod............................................................................................................................................................................................................. 12
1............ Předmět normy........................................................................................................................................................................... 16
2............ Citované
dokumenty.................................................................................................................................................................. 16
3............ Termíny a definice..................................................................................................................................................................... 16
4............ Struktura normy.......................................................................................................................................................................... 18
5............ Politiky
bezpečnosti informací................................................................................................................................................. 18
5.1......... Pokyny
managementu organizace k bezpečnosti informací............................................................................................ 18
5.1.1...... Politiky pro
bezpečnost informací........................................................................................................................................... 18
5.1.2...... Přezkoumání
politik pro bezpečnost informací.................................................................................................................... 19
6............ Organizace
bezpečnosti informací......................................................................................................................................... 20
6.1......... Interní
organizace....................................................................................................................................................................... 20
6.1.1...... Role a odpovědnosti
bezpečnosti informací......................................................................................................................... 20
6.1.2...... Princip oddělení
povinnosti...................................................................................................................................................... 21
6.1.3...... Kontakt s autoritami................................................................................................................................................................... 21
6.1.4...... Kontakt se
zvláštními zájmovými skupinami........................................................................................................................ 21
6.1.5...... Bezpečnost
informací v řízení projektu.................................................................................................................................. 21
6.2......... Mobilní zařízení
a práce na dálku........................................................................................................................................... 22
6.2.1...... Politika mobilních
zařízení........................................................................................................................................................ 22
6.2.2...... Práce na dálku............................................................................................................................................................................ 22
7............ Bezpečnost
lidských zdrojů...................................................................................................................................................... 23
7.1......... Před vznikem
pracovního poměru.......................................................................................................................................... 23
7.1.1...... Prověřování................................................................................................................................................................................. 23
7.1.2...... Podmínky
pracovního poměru................................................................................................................................................ 23
7.2......... Během pracovního
poměru..................................................................................................................................................... 24
7.2.1...... Odpovědnosti
managementu organizace............................................................................................................................. 24
7.2.2...... Povědomí,
vzdělávání a školení o bezpečnosti informací................................................................................................. 24
7.2.3...... Disciplinární
řízení...................................................................................................................................................................... 24
7.3......... Ukončení a změna
pracovního poměru................................................................................................................................ 25
7.3.1...... Odpovědnosti při
ukončení nebo změně pracovního poměru.......................................................................................... 25
8............ Řízení aktiv................................................................................................................................................................................... 25
8.1......... Odpovědnost za
aktiva.............................................................................................................................................................. 25
8.1.1...... Seznam aktiv............................................................................................................................................................................... 25
8.1.2...... Vlastnictví aktiv............................................................................................................................................................................ 25
8.1.3...... Přípustné použití
práv................................................................................................................................................................ 26
8.1.4...... Vrácení aktiv................................................................................................................................................................................ 26
8.2......... Klasifikace
informací................................................................................................................................................................. 26
8.2.1...... Klasifikace
informací................................................................................................................................................................. 26
8.2.2...... Označování
informací............................................................................................................................................................... 27
8.2.3...... Manipulace s aktivy.................................................................................................................................................................... 27
8.3......... Manipulace
s médii.................................................................................................................................................................... 28
8.3.1...... Správa výměnných
médií......................................................................................................................................................... 28
Strana
8.3.2...... Likvidace médií........................................................................................................................................................................... 28
8.3.3...... Přeprava fyzických
médií.......................................................................................................................................................... 28
9............ Řízení přístupu............................................................................................................................................................................ 29
9.1......... Požadavky
organizací na řízení přístupu............................................................................................................................... 29
9.1.1...... Politika řízení
přístupu............................................................................................................................................................... 29
9.1.2...... Přístup k sítím
a síťovým službám.......................................................................................................................................... 29
9.2......... Správa a řízení
přístupu uživatelů........................................................................................................................................... 30
9.2.1...... Registrace a zrušení
registrace uživatele.............................................................................................................................. 30
9.2.2...... Zřízení přístupu
uživatele.......................................................................................................................................................... 30
9.2.3...... Řízení
privilegovaných přístupových práv............................................................................................................................. 30
9.2.4...... Řízení tajných
autentizačních informací uživatelů............................................................................................................... 31
9.2.5...... Přezkoumání
přístupových práv uživatelů............................................................................................................................. 31
9.2.6...... Odebrání nebo
úprava přístupových práv............................................................................................................................. 32
9.3......... Odpovědnosti
uživatele............................................................................................................................................................. 32
9.3.1...... Použití tajných
autentizačních informací............................................................................................................................... 32
9.4......... Řízení přístupu
k systémům a aplikacím............................................................................................................................... 32
9.4.1...... Omezení přístupu
k informacím.............................................................................................................................................. 32
9.4.2...... Běžné postupy
přihlášení......................................................................................................................................................... 33
9.4.3...... Systém správy
hesel.................................................................................................................................................................. 33
9.4.4...... Použití
privilegovaných obslužných programů..................................................................................................................... 33
9.4.5...... Řízení přístupu ke
zdrojovému kódu programu................................................................................................................... 33
10.......... Kryptografie................................................................................................................................................................................. 34
10.1....... Kryptografická
opatření............................................................................................................................................................. 34
10.1.1... Politika použití
kryptografických opatření.............................................................................................................................. 34
10.1.2... Správa klíčů................................................................................................................................................................................. 34
11.......... Fyzická
bezpečnost a bezpečnost prostředí......................................................................................................................... 34
11.1....... Zabezpečené
oblasti................................................................................................................................................................. 34
11.1.1... Fyzický bezpečnostní
perimetr................................................................................................................................................ 34
11.1.2... Fyzické kontroly
vstupu............................................................................................................................................................. 35
11.1.3... Zabezpečení
kanceláří, místností a vybavení....................................................................................................................... 35
11.1.4... Ochrana před
vnějšími a přírodními hrozbami..................................................................................................................... 35
11.1.5... Práce v zabezpečených
oblastech......................................................................................................................................... 35
11.1.6... Oblasti pro nakládku
a vykládku.............................................................................................................................................. 35
11.2....... Zařízení......................................................................................................................................................................................... 36
11.2.1... Umístění zařízení
a jeho ochrana........................................................................................................................................... 36
11.2.2... Podpůrné služby......................................................................................................................................................................... 36
11.2.3... Bezpečnost
kabelových rozvodů............................................................................................................................................. 36
11.2.4... Údržba zařízení........................................................................................................................................................................... 37
11.2.5... Přemístění aktiv.......................................................................................................................................................................... 37
11.2.6... Bezpečnost zařízení
a aktiv mimo prostory organizace..................................................................................................... 37
11.2.7... Bezpečná likvidace
nebo opakované použití zařízení........................................................................................................ 37
11.2.8... Neobsluhovaná
uživatelská zařízení...................................................................................................................................... 38
11.2.9... Politika prázdného
stolu a prázdné obrazovky..................................................................................................................... 38
12.......... Bezpečnost
provozu.................................................................................................................................................................. 38
Strana
12.1....... Provozní postupy
a odpovědnosti........................................................................................................................................... 38
12.1.1... Dokumentace provozních
postupů......................................................................................................................................... 38
12.1.2... Řízení změn................................................................................................................................................................................. 38
12.1.3... Řízení kapacit.............................................................................................................................................................................. 39
12.1.4... Princip oddělení
prostředí vývoje, testování a provozu....................................................................................................... 39
12.2....... Ochrana před
malwarem.......................................................................................................................................................... 39
12.2.1... Opatření na ochranu
proti malwaru........................................................................................................................................ 39
12.3....... Zálohování................................................................................................................................................................................... 39
12.3.1... Zálohování informací................................................................................................................................................................. 40
12.4....... Zaznamenávání
formou logů a monitorování...................................................................................................................... 40
12.4.1... Zaznamenávání
událostí formou logů................................................................................................................................... 40
12.4.2... Ochrana logů............................................................................................................................................................................... 41
12.4.3... Logy o činnosti
administrátorů a operátorů........................................................................................................................... 42
12.4.4... Synchronizace hodin................................................................................................................................................................. 42
12.5....... Řízení a kontrola
provozního softwaru................................................................................................................................... 42
12.5.1... Instalace softwaru
na provozních systémech....................................................................................................................... 42
12.6....... Správa a řízení
technických zranitelností............................................................................................................................... 43
12.6.1... Správa a řízení
technických zranitelností............................................................................................................................... 43
12.6.2... Omezení instalace
softwaru..................................................................................................................................................... 43
12.7....... Hlediska auditu
informačních systémů.................................................................................................................................. 43
12.7.1... Opatření k auditu
informačních systémů............................................................................................................................... 43
13.......... Bezpečnost
komunikací............................................................................................................................................................ 43
13.1....... Správa bezpečnosti
sítě............................................................................................................................................................ 43
13.1.1... Opatření v sítích.......................................................................................................................................................................... 43
13.1.2... Bezpečnost síťových
služeb..................................................................................................................................................... 44
13.1.3... Princip oddělení
v sítích............................................................................................................................................................ 44
13.2....... Přenos informací........................................................................................................................................................................ 44
13.2.1... Politiky a postupy
při přenosu informací................................................................................................................................ 44
13.2.2... Dohody o přenosu
informací................................................................................................................................................... 45
13.2.3... Elektronické
předávání zpráv................................................................................................................................................... 45
13.2.4... Dohody o důvěrnosti
nebo mlčenlivosti................................................................................................................................. 45
14.......... Akvizice, vývoj
a údržba systému............................................................................................................................................ 46
14.1....... Bezpečnostní
požadavky informačních systémů................................................................................................................. 46
14.1.1... Analýza a specifikace
požadavků bezpečnosti informací................................................................................................. 46
14.1.2... Zabezpečení
aplikačních služeb ve veřejných sítích........................................................................................................... 47
14.1.3... Ochrana transakcí
aplikačních služeb.................................................................................................................................... 47
14.2....... Bezpečnost v procesech
vývoje a podpory........................................................................................................................... 47
14.2.1... Politika bezpečného
vývoje...................................................................................................................................................... 47
14.2.2... Postupy řízení změn
systémů.................................................................................................................................................. 48
14.2.3... Technické
přezkoumání aplikací po změnách provozní platformy.................................................................................. 48
14.2.4... Omezení změn softwarových
balíků...................................................................................................................................... 48
14.2.5... Principy inženýrství
bezpečných systémů............................................................................................................................. 48
14.2.6... Bezpečné vývojové
prostředí................................................................................................................................................... 49
14.2.7... Vývoj zajišťovaný
externími zdroji.......................................................................................................................................... 49
Strana
14.2.8... Testování
bezpečnosti systému.............................................................................................................................................. 49
14.2.9... Testování akceptace
systému.................................................................................................................................................. 49
14.3....... Data pro testování...................................................................................................................................................................... 49
14.3.1... Ochrana dat pro
testování......................................................................................................................................................... 49
15.......... Dodavatelské
vztahy.................................................................................................................................................................. 50
15.1....... Bezpečnost
informací ve vztazích s dodavateli.................................................................................................................... 50
15.1.1... Politika bezpečnosti
informací v oblasti vztahů s dodavateli............................................................................................. 50
15.1.2... Řešení bezpečnosti
v rámci smluv s dodavateli.................................................................................................................. 50
15.1.3... Řetězec dodavatelů
informačních a komunikačních technologií..................................................................................... 50
15.2....... Řízení dodávky
služeb dodavatelem...................................................................................................................................... 51
15.2.1... Monitorování a přezkoumání
služeb dodavatelů................................................................................................................. 51
15.2.2... Řízení změn služeb
dodavatelů.............................................................................................................................................. 51
16.......... Řízení incidentů
bezpečnosti informací................................................................................................................................. 51
16.1....... Řízení incidentů
bezpečnosti informaci a zlepšování......................................................................................................... 51
16.1.1... Odpovědnosti a postupy........................................................................................................................................................... 51
16.1.2... Podávání zpráv
o událostech bezpečnosti informací......................................................................................................... 51
16.1.3... Podávání zpráv
o slabých místech bezpečnosti informací................................................................................................ 52
16.1.4... Posuzování a rozhodování
o událostech bezpečnosti informací..................................................................................... 52
16.1.5... Reakce na incidenty bezpečnosti
informací......................................................................................................................... 53
16.1.6... Poučení se z incidentů
bezpečnosti informací..................................................................................................................... 53
16.1.7... Shromažďování důkazů............................................................................................................................................................ 53
17.......... Aspekty řízení
kontinuity činností organizace z hlediska bezpečnosti informací........................................................... 53
17.1....... Kontinuita
bezpečnosti informací............................................................................................................................................ 53
17.1.1... Plánování kontinuity
bezpečnosti informací......................................................................................................................... 53
17.1.2... Implementace
kontinuity bezpečnosti informací................................................................................................................. 54
17.1.3... Verifikace,
přezkoumání a vyhodnocení kontinuity bezpečnosti informací.................................................................... 54
17.2....... Redundance................................................................................................................................................................................ 55
17.2.1... Dostupnost vybavení
pro zpracování informací................................................................................................................... 55
18.......... Soulad s požadavky................................................................................................................................................................... 55
18.1....... Soulad se
zákonnými a smluvními požadavky.................................................................................................................... 55
18.1.1... Identifikace
příslušné legislativy a smluvních požadavků.................................................................................................. 55
18.1.2... Práva k duševnímu
vlastnictví.................................................................................................................................................. 55
18.1.3... Ochrana záznamů...................................................................................................................................................................... 56
18.1.4... Soukromí a ochrana
osobních údajů..................................................................................................................................... 56
18.1.5... Regulace
kryptografických opatření....................................................................................................................................... 56
18.2....... Přezkoumání
bezpečnosti informací...................................................................................................................................... 57
18.2.1... Nezávislé
přezkoumání bezpečnosti informací................................................................................................................... 57
18.2.2... Soulad s bezpečnostními
politikami a normami.................................................................................................................. 57
18.2.3... Přezkoumání
technického souladu........................................................................................................................................ 57
Příloha A (informativní) Hrozby
bezpečnosti zdravotnických informací......................................................................................... 58
Příloha B (informativní) Praktický
akční plán pro implementaci ISO/IEC 27002 ve zdravotnictví............................................. 62
Příloha C (informativní) Kontrolní
seznam na shodu s ISO 27799.................................................................................................. 74
Bibliografie................................................................................................................................................................................................ 101
ISO (Mezinárodní
organizace pro normalizaci) je celosvětová federace národních normalizačních
orgánů (členů ISO). Mezinárodní normy obvykle vypracovávají technické
komise ISO. Každý člen ISO, který se zajímá o předmět, pro který byla
vytvořena technická komise, má právo být v této technické komisi
zastoupen. Práce se zúčastňují také vládní i nevládní mezinárodní
organizace, s nimiž ISO navázala pracovní styk. ISO úzce spolupracuje
s Mezinárodní elektrotechnickou komisí (IEC) ve všech záležitostech
normalizace v elektrotechnice.
Postupy použité při tvorbě tohoto dokumentu a postupy
určené pro jeho další udržování jsou popsány ve směrnicích ISO/IEC, část 1.
Zejména se má věnovat pozornost rozdílným schvalovacím kritériím potřebným pro
různé druhy dokumentů ISO. Tento dokument byl vypracován v souladu s redakčními
pravidly uvedenými ve směrnicích ISO/IEC, část 2. (viz www.iso.org/directives).
Upozorňuje se na možnost, že některé prvky tohoto dokumentu
mohou být předmětem patentových práv. ISO nelze činit odpovědnou za
identifikaci jakéhokoliv nebo všech patentových práv. Podrobnosti o jakýchkoliv
patentových právech identifikovaných během přípravy dokumentu budou uvedeny
v úvodu a/nebo v seznamu patentových prohlášení obdržených ISO (viz www.iso.org/patents).
Jakýkoliv obchodní název použitý v tomto dokumentu se
uvádí jako informace pro usnadnění práce uživatelů a neznamená schválení.
Vysvětlení významu specifických termínů a výrazů ISO,
které se vztahují k posuzování shody, jakož i informace o tom,
jak ISO dodržuje principy WTO týkající se technických překážek obchodu (TBT),
jsou uvedeny na tomto odkazu URL: Foreword – Supplementary information.
Za tento dokument je odpovědná komise ISO/TC 215 Zdravotnická
informatika.
Toto druhé vydání zrušuje a nahrazuje první vydání
(ISO 27799:2008), které bylo technicky zrevidováno.
Tato norma poskytuje pokyny zdravotnickým organizacím
a jiným správcům osobních zdravotních informací, jak nejlépe ochránit
důvěrnost, integritu a dostupnost takových informací. Je založená na
a rozšiřuje obecné pokyny stanovené v ISO/IEC 27002:2013 a zaměřuje
se na specifické potřeby řízení bezpečnosti informací v resortu
zdravotnictví a v jeho specifických provozních podmínkách. Ačkoliv
ochrana a bezpečnost osobních zdravotních informací je důležitá pro všechny jednotlivce, organizace, instituce
a vlády, sektor zdravotnictví má zvláštní požadavky, které musí být splněny, aby byla zajištěna
důvěrnost, integrita, auditovatelnost a dostupnost osobních zdravotních
informací. Tento druh informací je považován za nejdůvěrnější ze všech druhů
osobních informací. Ochrana této důvěrnosti je nezbytná, pokud má být
zajištěno soukromí subjektů péče. Integrita zdravotnických informací musí být
chráněna, aby bylo zajištěno bezpečí pacientů, a důležitou součástí této
ochrany je zajištění auditovatelnosti celého životního cyklu informací.
Dostupnost zdravotnických informací je také rozhodující z hlediska
efektivity výkonu zdravotní péče. Zdravotnické informační systémy musí splňovat
zvláštní požadavky, aby byly akceschopné při přírodních katastrofách, selháních
systému a při útocích typu odmítnutí služby. Ochrana důvěrnosti, integrity
a dostupnosti zdravotnických informací proto vyžaduje odbornou způsobilost
v resortu zdravotnictví.
Bez ohledu na velikost, umístění a formu poskytování
služeb všechny zdravotnické organizace musí mít zavedena nezbytná přísná
opatření, aby chránila jim svěřené zdravotnické informace. Stále ještě mnoho
odborných pracovníků ve zdravotnictví pracuje jako samostatný poskytovatel
zdravotních služeb nebo v malých klinikách, kterým chybí specializované IT
zdroje na řízení bezpečnosti informací. Zdravotnické organizace proto musí mít
jasné, stručné a zdravotně-specifické pokyny týkající se výběru a provozování
těchto opatření. Tato norma musí být přizpůsobitelná široké škále poskytovatelů
služeb ve zdravotnictví dle rozsahu, umístění nebo formy. Konečně v souvislosti
s elektronickou výměnou osobních zdravotních informací mezi odbornými
pracovníky ve zdravotnictví (včetně použití bezdrátových a internetových
služeb), existuje jasný přínos v přijetí společných doporučení pro řízení
bezpečnosti informací ve zdravotnictví.
ISO/IEC 27002 je již široce používána pro zdravotnickou
informatiku řízení bezpečnosti IT prostřednictvím působení národních nebo regionálních směrnic v Austrálii, Kanadě,
Francii, Nizozemí, Novém Zélandu, Jižní Africe a ve Velké Británii
a jinde. ISO 27799 staví na zkušenostech získaných v rámci
těchto národních snah při řešení bezpečnosti osobních zdravotních informací
a je určena jako doprovodný dokument k ISO/IEC 27002. Není
určena k nahrazení norem řady ISO/IEC 27000. Spíše se jedná o doplnění
těchto více obecných norem.
ISO 27799 aplikuje ISO/IEC 27002 do oblasti
zdravotnictví způsobem, který pečlivě zvažuje vhodné uplatnění bezpečnostních
kontrol za účelem ochrany osobních zdravotních informací. V některých
případech vedly tyto úvahy autory k závěru, že použití určitých
kontrolních cílů ISO/IEC 27002 je nezbytné, pokud mají být osobní
zdravotní informace odpovídajícím způsobem chráněny. ISO 27799 proto
omezuje aplikaci některých bezpečnostních kontrol definovaných v ISO/IEC 27002.
Všechny cíle bezpečnostních opatření popsané v ISO/IEC 27002
jsou důležité pro zdravotnickou informatiku, ale některá opatření vyžadují další vysvětlení, jak mohou být nejlépe
použita k ochraně důvěrnosti, integrity a dostupnosti
zdravotních informací. Existují také další specifické požadavky pro sektor
zdravotnictví. Tato norma poskytuje další pokyny ve formátu, který osoby
odpovědné za bezpečnost zdravotních informací snadno pochopí a přijmou.
V oblasti zdravotnictví je možné, aby organizace (řekněme
nemocnice) byla certifikována tím, že používá ISO/IEC 27001 bez požadavku
certifikace dle nebo i přijetí ISO 27799. Je třeba doufat že, jak se
zdravotnické organizace snaží zlepšit bezpečnost osobních zdravotních
informací, tak se rozšíří soulad s ISO 27799 jako přísnější normy pro
poskytování zdravotní péče.
Cíle
Zachování důvěrnosti, dostupnosti a integrity informací
(včetně autenticity, odpovědnosti a auditovatelnosti) je zastřešujícím
cílem bezpečnosti informací. V oblasti zdravotní péče závisí soukromí
subjektů péče na zachování důvěrnosti osobních zdravotních informací. K zachování
důvěrnosti musí být také přijata opatření k zachování integrity dat
přinejmenším z důvodu, že je možné poškodit integritu dat řízení přístupu,
auditních záznamů a jiných systémových dat způsobem, který umožní, aby
došlo k narušení důvěrnosti nebo že tato narušení zůstanou bez povšimnutí.
Kromě toho je na zachování integrity osobních zdravotních informací závislá
bezpečnost pacienta, nesplnění tohoto požadavku, může také mít za následek
onemocnění, zranění nebo dokonce i úmrtí. Rovněž vysoká úroveň dostupnosti
je zvláště důležitým atributem zdravotnických systémů, kde je ošetření často
náročné na včasnost. Zajisté přírodní katastrofy, které mohou vést k výpadkům
jiných, nikoliv zdravotnických, IT systémů, mohou být právě tím okamžikem, kdy
informace obsažené ve zdravotnických systémech jsou co nejvíce zapotřebí. Kromě
toho útoky na systémy sítí typu odmítnutí služby jsou stále častější.
Opatření popisovaná v této normě jsou identifikována
jako vhodná pro zdravotní péči při ochraně důvěrnosti, integrity a dostupnosti osobních zdravotních informací a k zajištění,
že přístup k těmto informacím může být auditován a zdůvodněn. Tato opatření napomáhají
zabránit chybám v lékařské praxi, které by mohly být důsledkem selhání
v zajištění integrity zdravotnických informací. Kromě toho pomáhají
zachovat kontinuitu lékařských služeb.
Existují ještě další
aspekty, které formují cíle bezpečnosti zdravotnických informací. Zahrnují
následující:
a)
dodržování legislativních závazků uvedených v platných zákonech
a předpisech zajišťujících ochranu práva subjektů péče na soukromí;
b)
zachování stanovených osvědčených postupů na soukromí a bezpečnost
ve zdravotnické informatice;
c)
udržování individuální a organizační odpovědnosti mezi
zdravotnickými organizacemi a odbornými pracovníky ve zdravotnictví;
d)
podpora implementace systematického řízení rizik v rámci
zdravotnických organizací;
e)
plnění bezpečnostních potřeb zjištěných v běžné zdravotnické praxi;
f)
snižování provozních nákladů usnadněním většího využívání technologií
bezpečným, zabezpečeným a dobře řízením způsobem, který podporuje, ale
neomezuje stávající zdravotnické aktivity;
g)
udržování důvěry veřejnosti ve zdravotnické organizace a informační
systémy, na které tyto organizace spoléhají;
h)
udržování profesionálních standardů a etických zásad stanovených
profesními lékařskými organizacemi (vzhledem k tomu, že bezpečnost
informací zachovává důvěrnost a integritu zdravotnických informací);
i)
provozování elektronických zdravotnických informačních systémů v prostředí
vhodně zabezpečeném proti hrozbám;
j) usnadnění interoperability mezi zdravotnickými
systémy, protože zdravotnické informace rostoucí měrou obíhají mezi zdravotnickými organizacemi a přes
hranice soudní působnosti (zvláště když taková interoperabilita zdokonaluje
správné zacházení se zdravotními informacemi k zajištění jejich stálé
důvěrnosti, integrity a dostupnosti).
Vztah k řízení
informací, řízení organizace a klinické
řízení
Zatímco postoje
zdravotnických organizací ke klinickému řízení a řízení organizace se
mohou lišit, důležitost začleňování
a věnování pozornosti řízení informací, jako životně důležité opory obou,
by měla být mimo veškerou diskusi. Čím více se zdravotnické organizace stávají
kriticky závislé na informačních systémech na podporu péče (například
využití technologií pro podporu rozhodování a vývoje směrem ke
zdravotnické péči založené spíše na „důkazech“ než na „zkušenostech“), tím je
více zřejmé, že události vedoucí ke ztrátě integrity, dostupnosti a důvěrnosti
mohou mít velký klinický dopad, a na
problémy vyplývající z těchto dopadů bude pohlíženo jako na selhání
etických a zákon-
ných povinností plynoucích z „povinné péče“.
Všechny země a jurisdikce budou nepochybně mít
případové studie, kdy tato porušení vedla k chybným diagnózám, úmrtím nebo
ke zdlouhavé rekonvalescenci. Pro systém klinického řízení je proto efektivní
řízení rizik bezpečnosti informací stejně důležité jako plány léčebné péče,
strategie pro řízení infekčních onemocnění a jiné „klíčové“ záležitosti
klinického řízení. Tato norma bude nápomocna těm, kteří jsou zodpovědní za
klinické řízení, aby pochopili přínos vytvořený účinnými strategiemi
bezpečnosti informací.
Zdravotnické informace, které mají být chráněny
Existuje několik typů
informací, jejichž důvěrnost, integritu a dostupnost je
třeba chránit:
a)
osobní zdravotní informace,
b)
pseudonymizovaná data získaná z osobní zdravotní informace
prostřednictvím některé metodiky pro pseudonymní identifikaci,
c)
statistické a výzkumné údaje, včetně anonymizovaných dat, získaných
z osobní zdravotní informace odstraněním osobních identifikačních údajů,
d)
lékařské znalosti, které nesouvisí se žádným konkrétním subjektem péče,
včetně klinických dat na podporu rozhodování (například údaje o nežádoucích
účincích léků),
e)
údaje o odborných pracovnicích ve zdravotnictví, zaměstnancích
a dobrovolnících,
f)
informace týkající se veřejného dohledu nad zdravotnictvím,
g) data auditních záznamů vytvářená zdravotnickými
informačními systémy, které obsahují osobní zdravotní informace nebo
pseudonymizovaná data získaná z osobních zdravotních informací nebo
obsahují údaje o činnostech uživatelů, pokud jde o osobní zdravotní
informace, a
h)
systémová bezpečnostní data pro zdravotnické informační systémy, včetně
dat řízení přístupu, a další data souvisící s bezpečností konfigurace
systému pro zdravotnické informační systémy.
Rozsah potřebné úrovně ochrany důvěrnosti, integrity a dostupnosti
závisí na povaze informací, jejich použití a rizicích, kterým jsou
vystaveny. Například statistické údaje (písm. c) výše) nemusí být důvěrné, ale
ochrana jejich integrity může být velmi důležitá. Podobně jako data auditních
záznamů (písm. g) výše) nevyžadují vysokou dostupnost (častá archivace s dobou
pro vyhledání řádu spíše hodin, než vteřin by měla být pro danou aplikaci
dostačující), ale jejich obsah by mohl být vysoce důvěrný. Hodnocení rizik
umožňuje správně určit úroveň intenzity potřebné pro ochranu důvěrnosti,
integrity a dostupnosti (viz B.4.4). Výsledky pravidelného posuzování
rizik musí odpovídat prioritám a zdrojům organizace, která je provádí.
Hrozby a zranitelnosti bezpečnosti zdravotnických
informací
Druhy ohrožení a zranitelnosti bezpečnosti informací se
velice liší, stejně jako jejich popisy. I když žádný z nich není pro
zdravotnictví specifický, co je však pro zdravotnictví specifické, je řada
faktorů, které je třeba zvážit při posuzování hrozeb a zranitelností.
Vzhledem ke své povaze
zdravotnické organizace fungují v takovém prostředí, kde přítomnost
návštěvníků a široké veřejnosti nemůže být nikdy zcela vyloučena.
Ve velkých zdravotnických organizacích je objem lidí pochybujících se
provozními prostory značný. Tyto faktory zvyšují zranitelnost systémů vůči
fyzickým hrozbám. Pravděpodobnost výskytu takových hrozeb se může zvýšit
přítomností citově založených nebo duševně nemocných subjektů péče nebo jejich
příbuzných.
Kritický význam správné identifikace subjektů péče a jejich
správné porovnání s jejich lékařskými záznamy vede zdravotnické organizace ke sběru detailních identifikačních informací.
Regionální registry pacientů a registry pacientů jiné jurisdikce
(například registry subjektů péče) jsou někdy nejucelenější a nejaktuálnější
úložiště identifikačních informací dostupných v jurisdikci. Tyto
identifikační informace mají velkou potenciální hodnotu pro ty, kteří by je
chtěli využít ke krádeži identity, a proto musí být důsledně chráněny.
Mnoho zdravotnických organizací je chronicky podfinancováno
a jejich zaměstnanci někdy pracují pod značným stresem a se systémy, které jsou používány dlouho potom, co měly
být vyřazeny. Tyto faktory mohou zvýšit potenciál určitých typů hrozeb
a mohou zhoršit zranitelnosti. Na druhé straně klinická péče zahrnuje
škálu odborných, technických, administrativních, pomocných a dobrovolných
zaměstnanců, z nichž mnozí chápou svou práci jako poslání. Jejich
obětavost a rozsah zkušeností mohou často účinně snížit vystavení se
zranitelnostem. Vysoká úroveň odborné přípravy, kterou obdrží odborní
pracovníci ve zdravotnictví, staví zdravotnictví do jiné pozice než mnoho
jiných průmyslových odvětví při snižování výskytu vnitřních hrozeb.
Zdravotnickému prostředí, s jeho specifickými hrozbami
a zranitelnostmi, je proto třeba věnovat zvláštní péči. Příloha A obsahuje
informativní seznam typů hrozeb, které by měly být zdravotnickými organizacemi
zváženy při posuzování rizik ve vztahu k důvěrnosti, integritě a dostupnosti
zdravotnických informací a integritě a dostupnosti souvisících
informačních systémů.
Kdo by měl číst tuto normu?
Tato norma je určena pro ty, kteří jsou zodpovědní za
kontrolování bezpečnosti zdravotnických informací a pro zdravotnické
organizace a další správce zdravotnických informací, hledající radu
k tomuto tématu, spolu s jejich bezpečnostními poradci, konzultanty,
auditory, prodejci a třetími stranami poskytujícími služby.
Autoři této normy nemají v úmyslu psát učebnici
počítačového zabezpečení, ani přepisovat to, co už bylo uvedeno v ISO/IEC 27001.
Existuje mnoho bezpečnostních požadavků, které jsou společné pro všechny
počítačové systémy, ať jsou používány v oblasti finančních služeb, výroby,
řízení průmyslu nebo v jakémkoliv jiném organizovaném úsilí. Intenzivní
úsilí se soustředilo na bezpečnostní požadavky, vyžadované specifickými výzvami
při předávání elektronických zdravotnických informací, které podporují
poskytnutí péče.
Výhody používání této normy
ISO/IEC 27002 je rozsáhlá a komplexní norma
a její informace nejsou specificky uzpůsobené pro zdravotnictví.
ISO 27799 umožňuje implementaci ISO/IEC 27002 do prostředí
zdravotnictví konzistentním způsobem a se zvláštním zřetelem na specifické
problémy, které sektor zdravotnictví představuje. Její implementace pomáhá
zdravotnickým organizacím zajistit dodržování důvěrnosti a integrity dat
v jejich péči, zachování dostupnosti kritických zdravotnických
informačních systémů a prosazování odpovědnosti za zdravotnické informace.
Přijetí této normy zdravotnickými organizacemi jak uvnitř,
tak i mezi jurisdikcemi přispěje k součinnosti a umožní bezpečné
přijetí nově vznikajících technologií při poskytování zdravotní péče. Bezpečné
a soukromí ochraňující sdílení informací může výrazně zlepšit lékařské
výsledky.
V důsledku zavedení
této normy mohou zdravotnické organizace očekávat snížení počtu a závažnosti
jejich bezpečnostních incidentů, což umožní přesunout zdroje do produktivních
činností. Bezpečnost IT pak umožní rozmístění zdravotnických prostředků
rentabilním a efektivním způsobem. Průzkum provedený uznávaným Fórem
bezpečnosti informací a tržními analytiky skutečně ukázal, že dobré
všestranné zabezpečení může mít více než 2 % pozitivní dopad na výsledky
organizace.
Konečně pak důsledný přístup k bezpečnosti IT, který je
srozumitelný pro všechny zúčastněné ve zdravotní péči, povede ke zlepšení pracovní morálky a zvýšení důvěry veřejnosti
v systémy, které spravují osobní zdravotní informace.
Jak používat tuto normu
Čtenářům, kteří ještě nejsou seznámeni s ISO/IEC 27002,
se doporučuje, aby si nejprve přečetli úvodní část této normy, než budou
pokračovat. Implementátoři ISO 27799 se musí nejdříve důkladně seznámit
s ISO/IEC 27002, protože dále v textu je čtenář často odkazován
na příslušné kapitoly této normy. Současná norma nemůže být plně pochopena bez
přístupu k plnému znění ISO/IEC 27002.
Čtenáři hledající pokyny, jak implementovat
ISO/IEC 27002 do zdravotnického prostředí, najdou praktický akční plán
popsaný v příloze B. V této kapitole nejsou uvedeny žádné závazné
požadavky. Místo toho jsou uvedeny obecné rady a pokyny, jak nejlépe
provést implementaci ISO/IEC 27002 ve zdravotnictví. Kapitola je
uspořádána v rámci cyklu aktivit (plánovat/dělat/kontrolovat/jednat),
které jsou popsány v ISO/IEC 27001, a to, pokud bude dodrženo,
povede k plné implementaci systému řízení bezpečnosti informací.
Čtenáři hledající
specifickou radu ohledně kategorií bezpečnostních opatření a kapitol
popsaných v ISO/IEC 27002 je naleznou v kapitolách této
normy pod stejným číslem kapitoly a názvem, jak je uvedeno v ISO/IEC 27002.
Tato kapitola povede čtenáře každou z jedenácti kapitol bezpečnostních
opatření v ISO/IEC 27002. Tam, kde je to vhodné, jsou uvedeny
minimální požadavky a v některých v případech jsou stanoveny
pokyny pro správné zavedení bezpečnostních opatření dle ISO/IEC 27002 pro
ochranu zdravotnických informací.
Po zavedení normy ISO/IEC 27002 je trvalé řízení
považováno za zásadní, pokud výhody normy mají být zachovány. Kapitola 18 pojednává o posuzování shody a požadavcích
na trvalé řízení bezpečnosti informací. Příloha C
obsahuje tabulku vlastního posuzování, pokud jde o shodu.
Tuto normu uzavírají čtyři informativní přílohy.
Příloha A popisuje obecné hrozby pro zdravotnické
informace. Příloha B stručně popisuje praktický akční plán pro
implementaci doplňujících norem týkajících se bezpečnosti informací. Příloha
C obsahuje kontrolní seznam pro shodu
s ISO 27799. Kapitola 2 obsahuje normy, které jsou citovány
normativním způsobem; Bibliografie obsahuje další normy týkající se
bezpečnosti zdravotnických informací.
Tato norma poskytuje směrnice
pro organizační normy bezpečnosti informací a postupy pro řízení
bezpečnosti informací, včetně výběru,
implementace a řízení opatření, s přihlédnutím k prostředí
rizika (rizik) bezpečnosti informací organizace.
Tato norma definuje směrnice pro
podporu interpretace a implementace zdravotnické informatiky
ISO/IEC 27002 a je doprovodná k této normě.
Tato norma poskytuje pokyny
k implementaci všech opatření uvedených v ISO/IEC 27002 a doplňuje
je, kde je to nezbytné, aby mohly být efektivně použity pro řízení bezpečnosti
informací ve zdravotnictví. Zavedením této normy budou zdravotnické organizace
a ostatní správci zdravotnických informací schopni zajistit nezbytnou
minimální úroveň zabezpečení, která odpovídá poměrům v organizaci a zachová
důvěrnost, integritu a dostupnost osobních zdravotních informací v jejich
péči.
Tato norma se vztahuje na
zdravotnické informace ve všech jejich aspektech, bez ohledu na to, jakou má
informace formu (slovní a číselnou, zvukové nahrávky, kresby, video
a lékařské snímky), na prostředky k jejich ukládání (tisk nebo
zápis na papíře nebo elektronické uložení) a na prostředky využívané
k jejich přenosu (ručně, faxem, přes počítačové sítě nebo poštou), protože
tyto informace musí být vždy náležitě chráněny.
Tato norma a ISO/IEC 27002
společně určují, jaké jsou požadavky na bezpečnost informací ve zdravotnictví,
ale nedefinují, jak by měly být tyto požadavky splněny. To znamená, že tato
norma je v co největším možném rozsahu technologicky neutrální. Neutralita
ve vztahu k zavádění technologií je důležitým rysem. Bezpečnostní
technologie stále prochází rychlým vývojem a jeho tempo se v současné
době měří spíše v měsících než v letech. Oproti tomu mezinárodní
normy, přestože jsou předmětem periodických revizí, by měly celkově zůstat
v platnosti po celé roky. Důležité také je, že tato technologická
neutralita umožňuje prodejcům a poskytovatelům služeb navrhovat nové
a rozvíjející se služby, které budou splňovat nezbytné požadavky popsané
v této normě.
Jak již bylo uvedeno v úvodu,
dobrá znalost ISO/IEC 27002 je k pochopení této normy nezbytná.
Následující oblasti bezpečnosti
informací jsou mimo rozsah této normy:
a)
metodika a statistické testy pro efektivní anonymizaci osobních
zdravotních informací;
b)
metodika pro pseudonymizaci osobních zdravotních informací (viz
Bibliografie pro stručný popis technické specifikace, která konkrétně pojednává
o tomto tématu);
c)
síť kvality služeb a metody pro měření dostupnosti sítí používaných
pro zdravotnickou informatiku;
d)
kvalita dat (na rozdíl od integrity dat).
Konec
náhledu - text dále pokračuje v placené verzi ČSN.
ČESKÁ TECHNICKÁ NORMA