ISO 27799:2025 — 医疗健康信息安全控制

ISO 27799:2025 标准简介

ISO 27799:2025 提供了针对医疗健康领域的信息安全控制指南，基于 ISO/IEC 27002:2022 建立的安全框架。第三版取代了 ISO 27799:2016 和 ISO/TS 14441:2013，包含了重大更新，包括与修订后的 ISO/IEC 27002:2022 控制结构对齐、新增的医疗专属控制以及更新的医疗机构网络安全指南。该标准解决了在不同医疗环境中保护个人健康信息（PHI）的独特挑战。

医疗机构面临的平均数据泄露成本超过 1000 万美元——是所有行业中最高的。ISO 27799 提供了解决医疗行业独特风险概况所需的行业特定控制框架，从医疗设备安全到电子健康记录的保护。

关键控制领域与医疗专属补充

该标准将控制措施分为组织（5.1-5.43）、人员（6.1-6.9）、物理（7.1-7.14）和技术（8.1-8.35）四大类别。医疗专属控制（标记为”HL7″）包括唯一识别受照护对象、显示/打印数据验证、公开健康信息政策、紧急通信程序、外部事件报告、管理层培训要求，以及值得注意的是医疗环境的零信任原则。

控制类别	医疗专属控制	关键实施考虑
组织（HL7）	安全需求分析、唯一受照护对象识别、数据验证、公共健康信息、紧急通信、外部事件报告	平衡临床安全与信息安全；跨辖区合规
人员	管理层培训	临床医生、行政人员和志愿者有不同培训需求
物理	安全边界和设备	7×24 运营需要特别考虑物理访问控制
技术	零信任原则（HL7）	医疗设备网络需要微隔离和持续验证

将零信任原则（控制 8.35）作为医疗专属要求引入，反映了互联医疗设备和物联网医疗传感器带来的日益增长的攻击面。在医疗领域实施零信任架构的工程师必须考虑不支持现代认证协议的遗留医疗设备。

医疗安全实施工程见解

ISO 27799 强调了几个工程关键方面：平衡临床安全与信息安全的必要性（医疗行业独有的张力）、医疗服务持续可用性的要求（正常情况下 7×24 加灾害期间激增容量），以及在具有多个相互依赖系统的高度分布式信息环境中管理安全的挑战。

该标准与 ISO/IEC 27002:2022 的对齐意味着医疗机构可以将 ISO 27799 作为其现有信息安全管理体系（ISMS）实施的行业专属覆盖层。附录 D 提供了 ISO 27799 控制措施与 IEC/TS 81001-2-2 健康软件和医疗设备安全能力之间的详细映射，这对于将安全集成到产品开发生命周期中的医疗设备制造商特别有价值。

对于医疗 IT 架构师而言，2025 版中最有影响力的新增内容是与 ISO/IEC 27002:2022 现代化控制结构（82 项控制措施分为 4 个主题）的对齐，以及将威胁情报（控制 5.7）明确作为组织控制的一部分——实现主动而非被动的安全态势管理。

常见问题

问：ISO 27799 与 ISO/IEC 27001 认证有何关系？
答：ISO 27799 是行业特定实施指南，而非可认证标准本身。寻求认证的组织应使用 ISO/IEC 27001 作为可认证框架，ISO 27799 提供医疗特定的控制实施指导。

问：从 2016 版到 2025 版的主要变化有哪些？
答：主要变化包括与 ISO/IEC 27002:2022 重构控制结构（4 大主题 82 项控制措施）对齐、新增医疗专属控制（包括零信任原则）、删除已纳入 ISO/IEC 27002:2022 的重复内容，以及反映当前医疗威胁形势的更新指南。

问：ISO 27799 是否直接涉及医疗设备安全？
答：是的，通过其与 IEC/TS 81001-2-2 的对齐（附录 D 中映射）以及涉及 ICT 供应链安全（5.21）、网络隔离（8.22）和新的零信任原则（8.35）的控制措施。包含健康软件的医疗设备被明确标识为需要医疗专属安全控制的主要示例。

ISO 27799:2025 标准简介

关键控制领域与医疗专属补充

医疗安全实施工程见解

常见问题

发表回复取消回复

Trending now