健康信息安全管理体系认证

一、业务背景

随着医疗行业的快速发展，医疗健康信息安全在保障患者权益、提高医疗服务质量、促进医疗技术创新等方面发挥着越来越重要的作用。通过加强信息安全管理，可以有效避免患者信息的泄露和不当使用，保护患者的隐私权和人格尊严。这有助于建立患者信任，提高医疗服务满意度。确保医疗数据的完整性、准确性和可靠性，防止数据被篡改或损坏，有助于保障医疗工作的正常进行，提高医疗服务的可靠性。

随着互联网技术的普及和信息化程度的提高，医疗系统的稳定性变得越来越重要。通过加强医疗健康信息安全保障，可以降低因网络攻击和数据泄露导致的医疗系统瘫痪风险，确保医疗服务的连续性和稳定性。

二、业务介绍

ISO 27799是ISO/IEC27001信息安全管理和ISO/EC27002安全控制措施在医疗健康领域的具体应用，针对医疗行业特殊信息安全需求，为医疗保健组织和其它个人健康信息保管人提供指导，包括组织如何保护个人健康信息(PHI)，并协助组织遵守世界各地相关的医疗健康法规,

ISO 27799并不打算取代ISO/IEC 27002或ISO/EC27001在医疗健康领域的应用。相反，它是对这些更通用标准的补充。

根据企业的申请，为企业提供ISO/IEC 27001符合性认证。满足现行标准要求的，为企业颁发相关证书。

三、实施该业务的价值

1、除了所有与计算机有关系统共有的安全要求外，重点关注提供健康服务的电子健康信息服务的安全要求。

2、在医疗健康环境中以一致的方式实施ISO/IEC27002，特别关注医疗保健部门面临的独特挑战。参考本标准，可确保组织护理数据的机密性和完整性，关键医疗健康信息系统可用性，以及维持医疗健康信息的问责。

3、司法管辖区内和司法管辖区之间的医疗健康组织，采用本国际标准有助于相互运作，使人们能安全采用新的协作技术来提供医疗保健服务，健康信息共享可以显著改善医疗结果。

4、通过实施本国际标准，医疗保健组织可以预期减少安全事件数量和降低其严重性，从而允许将资源重新部署到生产活动中，使健康资源能够以具有成本效益和生产效率的方式部署。

5、采取所有参与医疗保障的人都可以理解的、一致的IT安全方法，将提高员工的士气，并增加公众对维护个人健康信息系统的信任。

四、业务流程

申请认证的组织组织应建立符合ISO 27799标准要求的文件化信息安全管理体系，在申请认证之前应完成内部审核和管理评审，并保证体系有效、充分运行三个月以上；     

组织应向赛西认证提供健康信息安全管理体系运行的充分信息，对于多现场应说明各现场的认证范围、地址及人员分布等情况，赛西认证将以抽样的方式对多现场进行审核；

认证分两个阶段进行：第一阶段审核，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段审核，主要对体系的符合性和有效性进行评价，作出现场审核的推荐结论；

证书有效期3年，获得认证后每年进行一次监督，两次监督间隔不得超过12个月。