一、ISO 27799:2016 5.1 标准原文
条款原文:组织应建立、批准、发布并定期评审信息安全策略;在医疗健康场景中,这些策略应覆盖患者和护理对象信息、临床支持流程、医疗设备、健康信息交换、日志与留痕、可移动介质、远程访问以及相关法律和伦理责任。
理解重点:5.1在医疗健康场景下关注的不只是“有政策”,而是政策是否真正覆盖临床和健康信息处理中的高风险边界。
二、条款解读说明
2.1 5.1是整套健康信息安全治理的政策起点
任何控制如果没有进入政策层,往往都难以稳定执行。对医疗健康机构而言,这一点更为明显。原因在于健康信息处理涉及临床、管理、医工、科研、医保、远程协作和外部监管等多方角色,如果没有统一的管理指导文件,大家会按照各自专业惯性理解信息安全:IT团队强调系统稳定,临床强调救治效率,科研强调数据可用,管理层强调合规和品牌,结果往往形成彼此都合理、整体却不一致的局面。5.1要求的正是把这些分散理解统一到组织级政策中。
在27799语境下,政策不应只是“保护信息安全”这种空泛表述,而要对健康信息的边界、访问、共享、保留、应急、责任、审计和例外做出明确导向。政策层越清楚,后续访问控制、日志、终端、介质和人员管理越容易落地;政策层越模糊,后续控制越容易碎片化。
2.2 医疗健康场景中的策略内容应明显区别于一般行业
| 策略主题 | 通用行业关注 | 医疗健康特定关注 | 管理意义 |
|---|---|---|---|
| 信息对象 | 客户信息、业务数据、员工数据 | 患者信息、护理记录、病历、影像、检验、设备数据 | 决定策略范围 |
| 业务目标 | 保密、完整、可用 | 还需兼顾临床连续性、救治时效、伦理和法定病历要求 | 决定策略平衡方式 |
| 例外场景 | 运维、排障、审计 | 急诊抢救、会诊、转诊、科研、公共卫生报告 | 决定例外管理要求 |
| 外部环境 | 合同、监管、市场要求 | 卫生主管部门、医保、伦理审查、医院等级评审等 | 决定政策更新触发点 |
2.3 医疗机构最容易犯的错误是“有总策略,没有健康信息策略”
很多医疗机构确实已有信息安全总方针,但这些文件往往更适合办公信息化环境,例如终端合规、网络安全、账号管理和备份恢复等内容写得比较充分,可一旦进入患者信息流转和临床工作流,就缺乏足够具体的管理导向。例如抢救场景下如何平衡快速访问与留痕,会诊和转诊如何控制外发信息,护理和医技终端是否允许共享登录,科研数据如何脱敏使用,医疗设备日志是否纳入安全审查等。如果这些问题没有进入策略层,组织后续很难形成统一口径。
5.1因此不仅要求建立政策,更要求政策具有健康行业可解释性。换句话说,策略要能回答“在医疗健康环境中,我们究竟如何看待患者信息和相关系统的保护边界”。
2.4 策略评审在健康机构中尤其重要
27799明确强调政策应定期评审,这在健康行业中不是形式要求,而是现实需要。医疗机构的业务模式、远程医疗方式、设备接入、科研合作和外部监管要求都在变化,如果政策长期不更新,就很容易出现“制度与临床实践脱节”的情况。健康信息策略的成熟度,很大程度上取决于它是否随着业务和监管变化同步演进。
三、实施要点
- 建立健康信息安全总策略,并在其下设置患者信息、临床终端、远程访问、科研数据和设备安全等专题规则。
- 明确管理层批准、医疗业务部门参与和信息安全部门牵头的政策治理机制。
- 将急诊、会诊、移动护理、医学影像、医疗设备接入等高风险场景纳入政策覆盖范围。
- 建立年度复审和重大变化触发机制,确保政策与临床实践和监管要求保持一致。
四、常用工具与实施方法
| 工具/方法 | 适用场景 | 实施重点 | 关键输出 |
|---|---|---|---|
| 健康信息安全方针模板 | 策略建立 | 覆盖患者信息、系统、设备和共享 | 策略文件 |
| 政策评审清单 | 年度复审 | 核查监管变化、业务变化和事件经验 | 评审记录 |
| 高风险场景映射表 | 策略适配 | 识别临床和健康特定场景 | 场景清单 |
| 多角色宣贯材料 | 内部落地 | 按临床、医工、运维、科研分别解读 | 培训记录 |
五、典型案例
案例一:医院总策略存在,但临床高风险场景无明确导向
某医院在信息安全总策略中规定了权限、日志和终端管理,但未明确急诊场景下的例外访问、会诊资料外发和护理工作站账户使用边界。发生审计问题后,医院依据5.1补建健康信息安全专题政策,才使临床与信息部门拥有共同的治理口径。
案例二:互联网医疗平台政策长期不更新
某平台最初政策只覆盖在线问诊和用户资料,后续新增处方流转、远程复诊和第三方药事服务后,旧政策并未更新。结果多个新场景处于灰区。项目复盘中,平台把政策更新机制纳入发布治理,才逐步修复制度与业务脱节问题。
六、成文信息管理要求
- 健康信息安全总策略及专题政策文件。
- 政策审批、发布、签收和培训记录。
- 政策评审、版本更新和变更原因说明。
- 高风险健康信息场景与政策条款映射材料。
- 政策例外审批和补救措施记录。
七、常见误区及踩坑提醒
| 误区 | 常见表现 | 正确做法 |
|---|---|---|
| 有总方针就等于满足要求 | 患者信息和临床场景无专项导向 | 建立健康信息特定策略和专题规则 |
| 策略由信息科单独编写 | 临床、医工、科研场景无法被真实覆盖 | 采用跨部门联合制定和评审机制 |
| 政策只在认证前更新 | 与新业务和监管要求长期脱节 | 建立定期与触发式双重评审机制 |
| 只写原则,不写边界 | 一线执行仍然各凭经验 | 围绕高风险健康信息场景明确边界和例外 |
八、审核关注点与成熟度判断
审核时,5.1不会只看组织有没有一份策略,而会看策略是否真正覆盖患者信息、临床工作流、移动终端、远程访问、设备接入和外部共享等关键场景。若策略只停留在通用IT安全语言,而无法解释健康行业高风险边界,说明成熟度有限。成熟机构则能够展示清晰的策略层级、专题规则、更新机制和多角色宣贯记录。
进一步的成熟度还体现在管理层是否真正使用这些策略来指导例外判断和资源投入。如果策略只是信息安全部门内部文件,而非组织治理依据,则很难称为真正有效的管理指导。
九、发布级补强建议
写好5.1的关键,是把“政策存在”提升为“政策能否支撑健康信息场景治理”。只要文章能清楚说明医疗健康行业为何需要在通用策略基础上增加患者信息和临床场景导向,并解释政策评审为何是持续治理关键,第5.1条就能够体现足够的专业深度和行业针对性。