SFS-EN ISO 27799:2016

Soveltamisala

Tässä kansainvälisessä standardissa esitetään organisaation tietoturvastandardeja ja tietoturvallisuuden hallintakäytänteitä koskevaa ohjeistusta, johon sisältyy hallintakeinojen valinta, toteuttaminen ja hallinta ottaen huomioon organisaation tietoturvallisuuden riskiympäristöt.
Tässä kansainvälisessä standardissa määritellään ohjeet, jotka tukevat standardin ISO/IEC 27002 tulkitsemista ja toteuttamista terveydenhuollon toimialalla, ja tämä standardi toimii kyseistä kansainvälistä standardia täydentävänä oppaana.4
Tämän kansainvälisen standardin nykyinen painos tarjoaa standardissa ISO/IEC 27002 esitettyjä hallintakeinoja koskevaa ohjeistusta, ja standardissa annetaan tarvittaessa täydentävää ohjeistusta, jotta hallintakeinoja voidaan hyödyntää terveydenhuollon tietoturvallisuuden vaikuttavaan hallintaan. Soveltamalla tätä kansainvälistä standardia terveydenhuollon organisaatiot ja muut terveystietoja säilyttävät tahot kykenevät varmistamaan, että organisaation kannalta asianmukainen vähimmäisturvallisuustaso on toteutettu ja että organisaation käytössä olevien henkilökohtaisten terveystietojen luottamuksellisuus, eheys ja saatavuus kyetään säilyttämään.
Tämä kansainvälinen standardi koskee terveystietoja kokonaisuudessaan riippumatta tiedon muodosta (sanoja, numeroita, äänitallenteita, piirroksia, videota ja lääketieteellisiä kuvia), tallennustavasta (tulostettuna tai kirjoitettuna paperille, tallennettuna sähköisesti) ja siirtokeinosta (kädestä käteen, faksilla, tietoverkossa tai postissa), sillä tiedon on aina oltava asianmukaisesti suojattua.
Tämä kansainvälinen standardi ja standardi ISO/IEC 27002 yhdessä määrittelevät, mitä terveydenhuollon tietoturvallisuudelta vaaditaan, mutta eivät sitä, miten nämä vaatimukset pitää täyttää. Tällä tarkoitetaan sitä, että tämä kansainvälinen standardi on mahdollisimman pitkälti riippumaton teknologisista ratkaisuista. Riippumattomuus toteutusteknologioista on tärkeä ominaisuus. Turvallisuusteknologioiden kehitys on yhä nopeaa, ja muutosvauhti mitataan nykyään kuukausissa eikä niinkään vuosissa. Vaikka kansainvälisiä standardeja uudistetaan säännöllisesti, niiden oletetaan kuitenkin pysyvän voimassa vuosia. Riippumattomuus teknologioista mahdollistaa myös sen, että myyjät ja palveluntuottajat voivat ehdottaa uusia ja kehittyviä teknologioita, jotka täyttävät tässä kansainvälisessä standardissa kuvaillut vaatimukset.
Kuten johdannossa todettiin, tutustuminen standardiin ISO/IEC 27002 on välttämätöntä tämän kansainvälisen standardin ymmärtämisen kannalta.
Seuraavat tietoturvallisuuden osa-alueet eivät sisälly tämän kansainvälisen standardin soveltamisalaan:
a) henkilökohtaisen terveystiedon vaikuttavaan anonymisointiin käytettävät menettelyt ja tilastolliset testit
b) henkilökohtaisen terveystiedon pseudonymisoinnin menettelyt (Kirjallisuudessa on lyhyt kuvaus teknisestä spesifikaatiosta, joka käsittelee tätä asiaa)
c) terveydenhuollon tietotekniikassa käytettyjen verkkojen palvelutaso sekä verkon saatavuuden mittaamisen menetelmät
d) tiedon laatu (erotuksena tiedon eheydestä).

Tämän julkaisun valmistelusta Suomessa vastaa SFS Suomen Standardit, puh. 09 149 9331.

Sisällysluettelo

Esipuhe (CEN)
Esipuhe (ISO)
Johdanto
1 Soveltamisala
2 Velvoittavat viittaukset
3 Termit ja määritelmät
4 Tämän kansainvälisen standardin rakenne
5 Tietoturvapolitiikat

5.1 Johdon ohjaus tietoturvallisuutta koskevissa asioissa

6 Tietoturvallisuuden organisointi

6.1 Sisäinen organisaatio
6.2 Mobiililaitteet ja etätyö

7 Henkilöstöturvallisuus

7.1 Ennen työsuhteen alkua
7.2 Työsuhteen aikana
7.3 Työsuhteen päättyminen tai muuttuminen

8 Suojattavan omaisuuden hallinta

8.1 Vastuu suojattavasta omaisuudesta
8.2 Tietojen luokittelu
8.3 Tietovälineiden käsittely

9 Pääsynhallinta

9.1 Pääsynhallinnan liiketoiminnalliset vaatimukset
9.2 Pääsyoikeuksien hallinta
9.3 Käyttäjän vastuut
9.4 Järjestelmien ja sovellusten pääsynhallinta

10 Salaus

10.1 Salauksen hallinta

11 Fyysinen turvallisuus ja ympäristön turvallisuus

11.1 Turva-alueet
11.2 Laitteet

12 Käyttöturvallisuus

12.1 Toimintaohjeet ja velvollisuudet
12.2 Haittaohjelmilta suojautuminen
12.3 Varmuuskopiointi
12.4 Kirjaaminen ja seuranta
12.5 Tuotantokäytössä olevien ohjelmistojen hallinta
12.6 Teknisten haavoittuvuuksien hallinta
12.7 Tietojärjestelmien auditointinäkökohtia

13 Viestintäturvallisuus

13.1 Verkon turvallisuuden hallinta
13.2 Tietojen siirtäminen

14 Järjestelmien hankkiminen, kehittäminen ja ylläpito

14.1 Tietojärjestelmiä koskevat turvallisuusvaatimukset
14.2 Kehitys- ja tukiprosessien turvallisuus
14.3 Testiaineisto

15 Suhteet toimittajiin

15.1 Tietoturvallisuus toimittajasuhteissa
15.2 Toimittajien palveluiden hallinta

16 Tietoturvahäiriöiden hallinta

16.1 Tietoturvahäiriöiden ja tietoturvallisuuden parannusten hallinta

17 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia

17.1 Tietoturvallisuuden jatkuvuus
17.2 Vikasietoisuus

18 Vaatimustenmukaisuus

18.1 Lainsäädäntöön ja sopimuksiin sisältyvien vaatimusten noudattaminen
18.2 Tietoturvallisuuden katselmoinnit

Liite A Terveystietojen turvallisuuteen kohdistuvat uhkat (opastava)
Liite B Käytännön toimintasuunnitelma standardin ISO/IEC 27002 toteuttamisesta terveydenhuollon toimialalla (opastava)
Liite C Tarkistusluettelo standardissa ISO 27799 määritellyn vaatimustenmukaisuuden tarkistamiseen (opastava)

Kirjallisuus

Näytä kaikki

Esipuhe (CEN)
Esipuhe (ISO)
Johdanto
1 Soveltamisala
2 Velvoittavat viittaukset
3 Termit ja määritelmät
4 Tämän kansainvälisen standardin rakenne
5 Tietoturvapolitiikat

5.1 Johdon ohjaus tietoturvallisuutta koskevissa asioissa

6 Tietoturvallisuuden organisointi

6.1 Sisäinen organisaatio
6.2 Mobiililaitteet ja etätyö

7 Henkilöstöturvallisuus

7.1 Ennen työsuhteen alkua
7.2 Työsuhteen aikana
7.3 Työsuhteen päättyminen tai muuttuminen

8 Suojattavan omaisuuden hallinta

8.1 Vastuu suojattavasta omaisuudesta
8.2 Tietojen luokittelu
8.3 Tietovälineiden käsittely

9 Pääsynhallinta

9.1 Pääsynhallinnan liiketoiminnalliset vaatimukset
9.2 Pääsyoikeuksien hallinta
9.3 Käyttäjän vastuut
9.4 Järjestelmien ja sovellusten pääsynhallinta

10 Salaus

10.1 Salauksen hallinta

11 Fyysinen turvallisuus ja ympäristön turvallisuus

11.1 Turva-alueet
11.2 Laitteet

12 Käyttöturvallisuus

12.1 Toimintaohjeet ja velvollisuudet
12.2 Haittaohjelmilta suojautuminen
12.3 Varmuuskopiointi
12.4 Kirjaaminen ja seuranta
12.5 Tuotantokäytössä olevien ohjelmistojen hallinta
12.6 Teknisten haavoittuvuuksien hallinta
12.7 Tietojärjestelmien auditointinäkökohtia

13 Viestintäturvallisuus

13.1 Verkon turvallisuuden hallinta
13.2 Tietojen siirtäminen

14 Järjestelmien hankkiminen, kehittäminen ja ylläpito

14.1 Tietojärjestelmiä koskevat turvallisuusvaatimukset
14.2 Kehitys- ja tukiprosessien turvallisuus
14.3 Testiaineisto

15 Suhteet toimittajiin

15.1 Tietoturvallisuus toimittajasuhteissa
15.2 Toimittajien palveluiden hallinta

16 Tietoturvahäiriöiden hallinta

16.1 Tietoturvahäiriöiden ja tietoturvallisuuden parannusten hallinta

17 Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia

17.1 Tietoturvallisuuden jatkuvuus
17.2 Vikasietoisuus

18 Vaatimustenmukaisuus

18.1 Lainsäädäntöön ja sopimuksiin sisältyvien vaatimusten noudattaminen
18.2 Tietoturvallisuuden katselmoinnit

Liite A Terveystietojen turvallisuuteen kohdistuvat uhkat (opastava)
Liite B Käytännön toimintasuunnitelma standardin ISO/IEC 27002 toteuttamisesta terveydenhuollon toimialalla (opastava)
Liite C Tarkistusluettelo standardissa ISO 27799 määritellyn vaatimustenmukaisuuden tarkistamiseen (opastava)

Kirjallisuus

Tuoteryhmä(t)

35.240.80 Terveydenhuollon teknologian tietotekniset sovellukset »
96.210.30 Terveydenhuollon järjestelmien tietoturvallisuus »

Sidokset

Velvoittavat viittaukset

ISO/IEC 27000:2016 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls

Tekninen komitea

CEN/TC 251 Health informatics »

Vahvistuspäivä

19.08.2016

Julkaisupäivä

13.12.2016

Painos

1

Sivumäärä

216

Julkaisun kieli

suomi/englanti