ISO 27799 并非独立的认证体系,而是 ISO 27001(信息安全管理体系)在医疗行业的专项实施指南—— 它针对医疗信息的特殊性(如患者隐私、诊疗数据敏感性、医疗系统连续性要求),为医院将 ISO 27001 落地提供更精准的框架。因此,医院 “进行 ISO 27799 认证”,本质是在ISO 27001 认证基础上,融入 ISO 27799 的医疗专项要求,通过认证机构对 “医疗信息安全适配性” 的审核,证明体系符合医疗行业特性。
以下是医院结合 ISO 27799 要求、推进 ISO 27001 认证的完整流程,全程需紧扣医疗场景的信息安全需求(如电子病历、医疗设备数据、远程会诊安全等):
医院需先锚定自身的医疗信息安全痛点,避免 “为认证而认证”,核心工作包括 3 项:
- 范围界定:明确覆盖的医疗信息资产,包括:
- 核心数据:电子病历(EMR)、检验报告(LIS)、影像数据(PACS)、患者隐私信息(身份证、病史、支付记录);
- 信息系统:医院信息系统(HIS)、手术麻醉系统、重症监护(ICU)物联网设备(如心电监护仪、输液泵)、远程会诊平台;
- 关联方:医保机构、第三方检验公司、合作医院(数据共享场景)、医护人员(操作端风险)。
- 风险排查:重点排查医疗场景特有的风险,例如:
- 操作风险:医护人员因忙碌导致的 “弱密码”“账号共用”(如护士站共用账号查看患者信息);
- 系统风险:电子病历系统漏洞导致的数据篡改(如住院天数、用药记录被误改);
- 传输风险:远程会诊时未加密的数据泄露(如传染病患者信息在传输中被窃取);
- 设备风险:医疗物联网(IoT)设备(如可穿戴血糖仪)的安全漏洞(被黑客劫持获取患者数据)。
- 合规对标:确保符合医疗行业法规,如《个人信息保护法》《医疗机构病历管理规定》《电子病历应用规范(2018 版)》中对 “患者信息保密”“病历存储年限”“数据不可篡改” 的要求。
ISO 27799 的落地需医疗业务端与信息技术端深度配合,团队需包含:
- 牵头部门:信息科(负责系统安全、技术防护);
- 业务部门:医务科(诊疗流程合规)、护理部(护理数据安全)、病案科(病历存储与调阅管理)、医保科(医保数据传输安全);
- 支持部门:法务科(合规审核)、人力资源科(人员安全培训)、院办(高层决策与资源支持)。
- 时间周期:通常 6-12 个月(视医院规模而定,三甲医院因系统复杂可能需 10-12 个月);
- 资源投入:包括技术投入(如加密软件、备份设备)、人员培训(医护人员信息安全意识培训)、咨询费用(若聘请第三方机构辅导)。
基于 ISO 27001 的通用框架,补充医疗场景的专项设计,核心是 “让信息安全措施适配医疗流程,而非阻碍诊疗效率”。
按 “敏感度 + 业务重要性” 对医疗信息分级,例如:
结合 ISO 27799 的建议,制定医疗专属的控制措施:
- 患者隐私保护:
- 电子病历访问:实行 “最小权限原则”,如实习医生仅能查看病历 “非隐私部分”(如症状描述),无法查看患者身份证号、联系方式;
- 病历展示:门诊诊室的电子屏需 “防窥设计”,避免其他患者看到当前患者的病历内容;
- 废弃病历处理:纸质病历需粉碎销毁,电子病历删除需 “不可恢复”(避免被恶意恢复)。
- 医疗系统与设备安全:
- 系统连续性:电子病历系统需部署 “双机热备”(一台故障时,另一台立即切换,不影响急救时的病历调取);
- IoT 设备管控:医疗监护仪、输液泵等设备需禁用 “默认密码”,定期升级固件(修复漏洞),禁止连接外部公共 WiFi;
- 第三方接入:与医保平台、合作医院的数据共享,需通过 “加密专线” 传输,签订《数据保密协议》(明确数据使用范围)。
- 应急响应:保障诊疗不中断
- 系统瘫痪时:启用离线备份病历(如纸质应急病历),优先保障急诊、手术的诊疗需求;
- 数据泄露时:1 小时内启动溯源(查泄露渠道),24 小时内通知受影响患者(如告知 “病史信息未被滥用”),并向主管部门报备。
- 场景预案:针对 “系统瘫痪”“数据泄露”“勒索病毒攻击” 等场景,制定医疗专属预案,例如:
在 ISO 27001 通用文件(如《信息安全管理手册》《风险评估程序》)基础上,补充医疗专项文件,确保操作可落地:
- 《电子病历隐私保护操作规程》:明确病历的创建、存储、调阅、删除流程,例如 “调阅非本人管床患者病历需经科主任审批”;
- 《医疗物联网设备安全管理办法》:规定设备采购(需含 “安全认证”)、使用(禁止私自改装)、报废(数据清零)的要求;
- 《远程会诊数据传输规范》:明确会诊数据的加密方式(如采用 SSL/TLS 协议)、传输后的数据销毁(如会诊结束后删除临时文件);
- 《医护人员信息安全行为准则》:针对医疗场景的行为规范,例如 “禁止用私人手机拍摄患者病历”“禁止将账号借给他人使用”。
文件需经过医务科、护理部等业务部门审核,确保不与诊疗流程冲突(如避免 “过度管控” 导致急救时病历调取延迟)。
体系文件发布后,需试运行 3-6 个月,通过 “培训 + 监督 + 整改” 确保全员执行:
- 医护人员:重点培训 “患者隐私保护”“操作风险规避”,例如:如何识别 “钓鱼邮件”(避免点击伪装成 “检验报告” 的恶意链接)、如何正确存储患者的身份证照片(需加密);
- 信息科人员:培训 “医疗系统漏洞排查”“应急响应技术”,例如:如何检测电子病历系统的异常访问、如何快速恢复被加密的医疗数据;
- 行政人员:培训 “办公数据安全”,例如:医保数据的纸质文件需锁入保险柜,禁止随意复印。
每 3 个月开展 1 次内部审核,重点检查:
- 医疗数据管控:抽查电子病历访问日志,看是否存在 “越权访问”(如护士查看非本病房患者的病历);
- 设备安全:检查 ICU 的监护仪是否已修改默认密码、是否存在未授权的外部设备接入(如私人 U 盘);
- 应急演练:模拟 “勒索病毒攻击 HIS 系统”,测试应急团队的响应速度(如是否在 30 分钟内启动离线预案)。
对审核发现的问题(如 “部分医生仍用弱密码”),需制定整改计划(如强制密码升级、定期提醒),并跟踪整改结果。
医院需选择具备医疗行业审核资质的认证机构(如 SGS、DNV、中国质量认证中心 CQC),审核分 2 阶段:
审核员检查体系文件是否覆盖 ISO 27001 要求,且融入 ISO 27799 的医疗专项内容,例如:
- 查看《电子病历隐私保护规程》是否符合《医疗机构病历管理规定》;
- 查看风险评估报告是否包含 “医疗物联网设备风险”“远程会诊风险”。
若文件存在漏洞(如未考虑 “传染病数据的特殊保密要求”),需修改后重新提交审核。
审核员到医院现场,通过 “查记录、访谈、看现场” 验证体系落地情况,医疗专项重点审核:
- 访谈医护人员:询问 “如何处理患者的隐私信息”“遇到系统故障怎么办”,验证培训效果;
- 查记录:抽查电子病历访问日志、医疗设备维护记录、应急演练报告,看是否按文件执行;
- 看现场:检查门诊诊室的电子屏防窥措施、ICU 的设备接入管控、病案科的病历存储加密情况。
若审核通过,认证机构将颁发ISO 27001 认证证书,并在证书备注或审核报告中注明 “符合 ISO 27799 医疗信息安全指南要求”;若存在轻微不符合项(如 “某台设备未及时升级固件”),医院需在规定时间内整改,整改通过后即可拿证。
ISO 27799 的落地不是 “一劳永逸”,医院需定期优化体系,应对新风险:
- 年度管理评审:每年由院级领导组织评审,分析新风险(如 AI 诊疗系统的数据安全、区块链病历的隐私保护),调整体系(如新增《AI 医疗数据安全管理规程》);
- 法规更新适配:若《电子病历应用规范》等法规修订,需同步更新文件(如延长病历存储年限至 30 年);
- 技术升级同步:新上医疗系统(如 5G 远程手术系统)前,需先做安全评估,确保系统符合 ISO 27799 要求(如数据传输加密、操作权限管控)。
- 避免 “技术导向”:不能只靠信息科推进,需医务科、护理部等业务部门参与,确保安全措施不影响诊疗效率(如急诊时病历调取需 “便捷 + 安全” 平衡);
- 重视人员意识:医护人员的 “疏忽” 是最大风险(如误发患者信息到微信群),需通过案例培训(如 “某医院因泄露患者信息被处罚”)提升重视度;
- 控制成本投入:优先解决高风险问题(如电子病历加密),再逐步完善(如物联网设备管控),避免过度投入导致资源浪费。
通过以上流程,医院可将 ISO 27799 的医疗专项要求融入信息安全体系,既通过 ISO 27001 认证,又切实保障患者隐私与医疗数据安全,避免因信息泄露引发的法律风险(如患者投诉、监管处罚)。
