홈메뉴 > ISO인증 > 인증서비스 분야 > ISO/IEC 27799

ISO/IEC 27799

인증개요

ISO/IEC27799는 개인건강 정보의 의료기관과 기타 관리자에게 정보의 기밀성, 무결성, 가용성을 최상으로 보호하는 방법에 대한 지침을 제공합니다.

이 표준은 ISO/IEC27002에서 제공하는 일반지침을 기반으로 하고 이를 확대하며 보건의료 부문 및 이 분야의 고유 운영환경에서 제기되는 특수한 정보보호관리 요구사항을 다룹니다. 개인정보보호의 보안이 모든 개인 및 회사, 기관, 정부에게 중요하지만 보건의료 분야에는 개인건강 정보의 기밀성, 무결성, 가용성을 감사가 가능하도록 보장하기위해 충족되어야 하는 특별한 요구사항이 있습니다.

이러한 유형의 정보를 모든 유형의 개인정보 중 가장 기밀성이 높은 것으로 많은 사람들이 생각합니다. 이와 같은 비밀성의 보호는 환자의 개인정보가 유지되어야 하는 경우 필수적 요소입니다.

이 표준은 개인건강 정보보호를 위해 의료영역에 적절한 ISO/IEC27002 보안통제를 신중하게 적용합니다. 이와 같은 고려에 의해 경우에 따라 어떤 특정 ISO/IEC27002 통제목적이 개인건강 정보를 적절하게 보호하기 위하여 반드시 적용되어야 합니다. 따라서, 이 표준은 ISO/IEC27002에 명시된 특정한 보안 통제에 적용하도록 하는 제약조건이 됩니다.

ISO/IEC27002에 기술된 모든 보안통제 목적은 보건의료정보와 관련이 있지만, 일부통제는 보건의료정보의 기밀성, 무결성, 가용성을 보호하기 위해 최선의 방법을 사용할지에 대한 추가 설명이 필요합니다. 또한, 보건의료 분야에 필요한 특수한 요구사항도 있습니다.

이 표준은 건강 정보보호 책임자가 쉽게 이해하고 채택할 수 있는 형식으로 추가지침을 제공합니다.

필요성 및 인증의 기대효과

개인정보보호와 보안은 모든 개인 및 기업, 기관, 정부에게 중요하지만, 개인건강 정보의 기밀성, 무결성, 가용성의 감사를 보장하기 위해 충족되어야 하는 특별한 요건이 있습니다. 이러한 유형의 정보는 모든 유형의 개인정보 중 가장 기밀인 것으로 많은 사람들이 간주합니다.

보호대상의 사생활이 유지되려면 이러한 비밀을 보호하는 것이 필수적입니다. 건강정보의 무결성은 환자의 안전을 보장하기 위해 보호되어야하며, 그 보호의 중요한 구성요소는 정보의 전체 라이프사이클을 완전히 감사할 수 있도록 보장됩니다.

건강정보의 가용성은 효과적인 의료 제공에도 중요하다. 보건정보 시스템은 자연재해, 시스템 고장 및 서비스 거부 공격에 직면하여 운영상태를 유지하기 위한 독특한 요구를 충족시키는 것입니다. 따라서, 건강정보의 기밀성, 무결성, 가용성을 보호하려면 보건 부문의 특정 전문 지식이 필요합니다.

서비스 전달의 크기, 위치 및 모델에 관계없이 모든 의료기관은 그들에게 위임된 건강정보를 보호하기 위해 엄격한 통제를 해야 합니다. 그러나 많은 보건 전문가들은 정보보안을 관리하기 위한 전용 IT자원이 부족한 단독 의료 제공업체 또는 소규모 클리닉에서 일한다. 따라서 의료기관은 그러한 통제의 선택과 구현에 대한 명확하고 간결하며 건강관리 특유의 지침이 필요합니다.

이 표준은 의료 분야에서 발견되는 광범위한 크기, 위치 및 서비스 제공 모델에 적응할 수 있습니다.

의료 전문가 간의 개인건강 정보의 전자교환(무선과 인터넷서비스 사용 포함)이 증가함에 따라, 의료분야에서 정보보안 관리를 위한 공통된 참조를 채택하는 데는 분명한 이점이 있다.

ISO/IEC27799를 구현함으로써, 의료기관과 다른 의료정보 관리자들은 조직의 상황에 적합하고, 의료에서 개인 건강정보의 기밀성, 무결성, 가용성을 유지하는 최소요건 수준의 보안을 보장할 수 있을 것이다. 그것은 모든 측면에서 건강정보에 적용됩니다. 정보가 어떤 형태고 어떤 형태로든, 그것을 저장하는 데 어떤 수단을 사용하든, 그리고 정보를 전송하는 데 어떤 수단을 사용하든 정보는 항상 적절하게 보호될 수 있습니다.

요구사항
5 정보보호 정책
5.1 정보보호를 위한 경영방침
6 정보보호 조직
6.1 내부 조직
6.2 모바일 기기 및 원격근무
7 인적자원 보안
7.1 고용 전
7.2 조용 중
7.3 고용 종료 및 직무 변경
8 자산관리
8.1 자산에 대한 책임
8.2 정보 등급 분류
8.3 매체 취급
9 접근통제
9.1 접근통제 업무 요구사항
9.2 사용자 접근관리
9.3 사용자 책임
9.4 시스템 및 애플리케이션 접근통제
10 암호화
10.1 암호통제
11 물리적 및 환경적 보안
11.1 보안 구역
11.2 장비
12 운영보안
12.1 운영 절차 및 책임
12.2 악성코드 방지
12.3 백업
12.4 로그기록 및 모니터링
12.5 운영 소프트웨어 통제
12.6 기술적 취약점 관리
12.7 정보시스템 감사 고려사항
13 통신보안
13.1 네트워크 보안관리
13.2 정보 전송
14 시스템 도입, 개발, 유지보수
14.1 정보시스템 보안 요구사항
14.2 개발 및 지원 프로세스 보안
14.3 시험 데이터
15 공급자 관계
15.1 공급자 관계 정보보호
15.2 공급자 서비스 전달관리
16 정보보호 사고 관리
16.1 정보보호 사고 관리 및 개선
17 업무연속성 관리의 정보보호 측면
17.1 정보보호 연속성
17.2 이중화
18 준거성
18.1 법적 및 계약 요구사항 준수
18.2 정보보호 검토

Annex
A : 보건의료정보보호 위협
B : 보건의료 분야에서의 ISO/IEC 27002 구축을 위한 실행 계획
C : ISO 27799 적합화를 위한 체크리스트

ISO/IEC 27799;
Health informatics - Information security management in health using ISO/IEC 27002

ISO/IEC 27017;
Information technology - Security techniques - Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 27701;
Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management
- Requirements and guidelines

ISO/IEC 27001;
Information technology - Security techniques -- Information security management systems - Requirements

ISO/IEC 27002;
Information technology - Security techniques - Code of practice for information security controls

ISO/IEC 27018;
Information technology - Security techniques - Code of practice for protection of personally identifiable information
(PII) in public clouds acting as PII processors

ISO/IEC 29001;
Information technology - Security techniques - Privacy framework

한국경영인증원 고객지원팀
T. 02-6309-9023, 9016, 9022, 9026 / E-mail. lsh@ikmr.co.kr