Denna internationella standard ger riktlinjer för organisationers informationssäkerhetsstandarder och praxis för
ledning av informationssäkerhet inklusive val, tillämpning och ledning av säkerhetsåtgärder med beaktande av
organisationens informationssäkerhetsmässiga riskmiljö(er).
Denna internationella standard ställer upp riktlinjer för tolkning och införande av ISO/IEC 27002 inom hälso- och
sjukvårdsinformatik, och är ett komplement till den internationella standarden.4
Denna internationella standard ger vägledning för införande av de säkerhetsåtgärder som beskrivs i
ISO/IEC 27002 och kompletterar dem när så behövs, så att de kan användas effektivt för ledning av
informationssäkerhet i hälso- och sjukvården. Genom att införa denna internationella standard kommer hälsooch
sjukvårdsorganisationer och andra förvaltare av hälsoinformation att kunna säkerställa en lägsta
säkerhetsnivå som är lämplig för varje berörd organisation vilket kommer att bibehålla personuppgifters
konfidentialitet, riktighet och tillgänglighet inom hälso- och sjukvården.
Denna internationella standard kan tillämpas på hälsoinformation i alla dess aspekter, oavsett vilken form
informationen har (ord och siffror, ljudupptagningar, teckningar, video och medicinska bilder), oavsett vilka
medel som används för att lagra den (tryckt eller skriven på papper eller elektroniskt lagrad) och oavsett de
medel som används för att förmedla den (för hand, via fax, via datornät eller per post), eftersom informationen
alltid måste skyddas på ett tillfredsställande sätt.
Tillsammans med ISO/IEC 27002 anger denna internationella standard vad som krävs gällande
informationssäkerhet i hälso- och sjukvården. Standarderna anger dock inte hur dessa krav ska uppfyllas. Detta
betyder att denna internationella standard i största möjliga utsträckning är teknikneutral. Neutralitet med
avseende på införande av teknik är en viktig princip. Säkerhetstekniken är fortfarande under snabb utveckling
och takten i denna förändring mäts nu i månader snarare än i år. Internationella standarder däremot underkastas
visserligen en periodisk översyn men förväntas dock förbli giltiga under flera år. Men lika viktig är principen om
teknisk neutralitet. Den tillåter tillverkare och tjänsteleverantörer att fritt föreslå ny teknik eller teknik under
utveckling som uppfyller de nödvändiga kraven i denna internationella standard.
Som nämndes i inledningen är förtrogenhet med ISO/IEC 27002 oumbärlig för förståelsen av denna
internationella standard.
Följande områden av informationssäkerhet omfattas inte av denna internationella standard:
a) metoder och statistiska tester för effektiv anonymisering av personuppgifter i hälso- och sjukvården;
b) metoder för pseudonymisering av personuppgifter i hälso- och sjukvården (se litteraturförteckningen för en
kort beskrivning av en teknisk specifikation som behandlar detta ämne);
c) kvalitet på nätverkstjänster och metoder för att mäta tillgänglighet för nätverk som används för hälso- och
sjukvårdsinformatik;
d) datakvalitet (till skillnad från dataintegritet).