DNV GL China

ISO/IEC 27001 - 可用于医院领域的管理体系标准 - 保护重要信息的安全

很少有组织能够像医疗组织这样可以处理并获得患者如此多的个人敏感信息。

联系我们

联系您当地的DNV GL办事处

办事处联系方式

联系我们的专家

发送您的查询
分享:
打印:
ISO 27001 for healthcare

为什么在医疗领域采用ISO/IEC 27001 标准?  

医疗组织以数字化形式、纸质形式保存信息,并为员工所知晓。在涉及患者在医疗组织的安全性时,信息安全成为一项重要因素。病例和化验报告等患者资料属敏感性资料,因此,应只有经过正确授权的人员才可以接触和使用。另外,及时获得最新信息对于医务人员确保患者安全并基于正确信息给予对症治疗也是至关重要的。未及时提供患者的必要信息或未及时提供必要的医疗信息,严重时,可能会导致患者死亡。IT信息系统对于存储和使用患者信息以及开展医学研究必不可少。高效的管理体系能够帮助您确保信息安全和患者安全。

ISO/IEC 27001标准是一套经过国际认可的、针对信息安全的管理体系标准。通过执行符合ISO/IEC 27001标准的信息安全管理体系,将确保医院能够识别和减轻与处理敏感资料和重要数据有关的风险。获得认证的管理体系符合本国适用法律,符合最佳国际惯例。认证可向患者、监管和其他利益相关方保证,您正在妥善处理所有相关信息的安全问题。

ISO/IEC 27001 认证为医疗提供支持的方式

经过认证的信息安全管理体系证明了信息保护的承诺,并让人们确信,信息——无论是纸质形式、数字形式存在的信息还是为员工所知晓的信息——都已得到有效保护。该体系采用一种系统方法,能够最大程度地降低风险,同时确保其符合法律和其他各种要求。具体来说,它有助于您:

  • 控制、管理和正确处理医院所需要的信息。
  • 采用主动的数据管理和重要信息保护方法。
  • 识别和降低有关信息处理危险。
  • 遵守相关国际国内法律
  • 在出现信息安全事件之后,确保业务的连续性。
  • 向患者、监管和其他利益相关方保证敏感信息的安全性。

医院认证准备 

  • 熟悉 ISO/IEC 27001标准。培训计划要到位,标准可能在iso.org上获得。
  • 确定需要遵守的所有适用法律要求。
  • 了解医院相关信息资产的概况。
  • 进行风险评估,识别和了解的资料风险。第三方预评估在实施过程的早期大有裨益。
  • 列出风险因素的优先顺序,挑选能够降低风险的执行方案,确保风险水平处于可接受范围。
  • 获取最高管理层承诺。管理体系的有效实施需要上至最高层、下至整个医院的承诺。
  • 聘请一家权威认证机构,如DNV GL,启动认证程序。

医院的管理体系认证和持续改进是一个长久的过程。作为第三方认证机构,DNV GL还会每年年审一次,每三年进行一次换证审核。另外,医院还需要进行内部审核和管理评审,从而开发出一套可以适应风险类型变化的管理体系。