Health informatics — Information security management in health using ISO/IEC 27002
医疗信息学—使用ISO/IEC 27002的医疗信息安全管理

该标准已于2008年6月正式发布。

标准介绍：

该标准是由ISO负责医疗信息学的技术委员会TC215发布的，而不是由负责ISO27K的ISO+IEC联合技术委员会JTC1/SC27发布。因此，ISO 27799是否是ISO/IEC 27000系列标准中的一个还存在争议。

ISO 27799:2008为在医疗信息领域理解和实施ISO/IEC 27002提供支持，是ISO/IEC 27002的伴随标准。

标准目录：

1 范围

 1.1 总则

 1.2 范围除外

2 引用标准

3 术语和定义

 3.1 医疗术语

 3.2 信息安全术语

4 缩写术语

5 医疗信息安全

 5.1 医疗信息安全目标

 5.2 信息治理范围内的信息安全

 5.3 公司治理和临床管理范围内的信息治理

 5.4 要保护的医疗信息

 5.5 医疗信息安全中的威胁和薄弱点

6 实施ISO/IEC 27002的实际行动计划

 6.1 ISO/IEC 27002和ISO/IEC 27001的分类

 6.2 管理者对实施ISO/IEC 27002的承诺

 6.3 建立、运作、维持和改进ISMS

 6.4 策划：建立ISMS

 6.5 实行：实施和运作ISMS

 6.6 检查：监控和评审ISMS

 6.7 行动: 维持和改进ISMS

7 ISO/IEC 27002在医疗保健领域解释

 7.1 总则

 7.2 信息安全方针

 7.3 组织信息安全

 7.4 资产管理

 7.5 人力资源安全

 7.6 物理和环境安全

 7.7 通信与运作安全

 7.8 访问控制

 7.9 信息系统的获取、开发和维护

 7.10 信息安全事件管理

 7.11 业务持续性管理中的信息安全

 7.12 符合

附录A（参考性）医疗信息安全的威胁

附录B（参考性）信息安全管理体系的目标和相关文件

附录C（参考性）潜在收益和支持工具的属性要求

参考书目