31/08/2022 - Equipe Target
NBR ISO 27799 de 04/2019 - Informática em saúde - Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002
A NBR ISO 27799 de 04/2019 - Informática em saúde - Gestão de segurança da informação em saúde utilizando a ISO/IEC 27002 fornece diretrizes para normas de segurança de informações organizacionais e práticas de gestão de segurança da informação, incluindo a seleção, implementação e gestão de controles levando em consideração os ambientes de riscos de segurança da informação da organização. Este documento define as diretrizes para apoiar a interpretação e implementação em informática em saúde da NBR ISO/IEC 27002 e é um complemento daquela norma. Fornece orientações de implementação para os controles descritos na NBR ISO/IEC 27002 e os complementa quando necessário, para que possam ser efetivamente utilizados para gerenciar a segurança da informação de saúde.
Ao implementar esta norma, as organizações de saúde e outros guardiões das informações de saúde serão capazes de garantir um nível mínimo de segurança que seja apropriado às circunstâncias da sua organização e que manterá a confidencialidade, integridade e disponibilidade das informações pessoais de saúde sob seus cuidados. Este documento aplica-se às informações de saúde em todos os seus aspectos, independentemente das formas que tomem as informações (palavras e números, gravações de som, desenhos, vídeos e imagens médicas), quaisquer que sejam os meios utilizados para armazená-las (impressão ou escrita em papel ou armazenamento eletronicamente) e quaisquer meios utilizados para transmiti-las (manualmente, por meio de fax, por redes de computadores ou por correio), uma vez que a informação deve ser sempre devidamente protegida.
Este documento e a NBR ISO/IEC 27002, tomadas em conjunto, definem o que é necessário em termos de segurança da informação nos cuidados de saúde, mas não definem como estes requisitos são cumpridos. Ou seja, na medida do possível, este documento é neutro em termos de tecnologia. A neutralidade com relação à implementação de tecnologias é uma característica importante. A tecnologia de segurança ainda está em rápido desenvolvimento e o ritmo dessa mudança agora é medido em meses, em vez de anos.
Em contrapartida, embora sujeitas à revisão periódica, espera-se que as normas permaneçam válidas durante anos. Igualmente importante, a neutralidade tecnológica deixa fornecedores e provedores de serviços livres para sugerir tecnologias novas ou em desenvolvimento que atendam aos requisitos necessários descritos neste documento. Conforme observado, a familiaridade com a NBR ISO/IEC 27002 é indispensável para a compreensão deste documento. As seguintes áreas de segurança da informação estão fora do escopo desta norma: as metodologias e testes estatísticos para a efetiva anonimização das informações pessoais de
saúde; as metodologias para a pseudoanonimização de informações pessoais de saúde; a qualidade de serviço da rede e métodos de medição da disponibilidade de redes utilizadas para a informática em saúde; e a qualidade dos dados (distinta da integridade dos dados).
Target Genius Respostas Diretas:Como deve ser realizada a organização da segurança da informação?
