面向医疗的信息安全管理体系B.1说明GB/T 22081-2016本附录参考ISO 27799:2016健康信息- 依据[6]时的医疗信息安全管理，应用信息安全管理体系在医疗行业具体应用实践，形成面向医疗的信息安全管理体系标准。

仅是给出面向行业的信本附录目的不是为了形成完善的面向医疗的信息安全管理体系，息安全管理体系的示例，便于理解本标准并推动本标准落地实施。

面向医疗的信息安全管理体系B.2A选取医疗行业给出的面向医疗的信息安全管理体系。

如下为依据附录0简介（引言本标准为医疗机构如何更好保护医疗信息保密性、完整性和可用性提供指导。

它基GB/TGB/T 22081-201提供的通用指南，解决医疗行业特定的信息安全要求。

本标准22081-201中信息安全控制应用于医疗行业，保护个人健康信息范1所述的控制应用于医疗行业提22081-20122081-201基础上，GB/T本标准GB/TGB/T 22081-201实现指南，并在必要时对其补充，以便有效管理医疗信息安全。

本标准本标准适用于医疗行业构建包含其特定需求的信息安共同规定了医疗信息安全方面控制管理体系规范性引用文2仅所注日期的版凡是注日期的引用文件下列文件对于本文件的应用是必不可少的适用于本文件其最新版（包括所有的修改单适用于本文件凡是不注日期的引用文件ISO/IEC概述和词汇信息技安全技信息安全管理体GB/T 29246-XXXX27000:2016,IDGB/T信息安全控制实践信息技安全技GB/T 22081-201622081-2016:2013,ID术语和定3界定的术语和定义适用于本文件ISO/IEC 27000本标准结构4项控制基个主要安全类别及114个安全控制章节、22081-2016包含的1435GB/T 本标准在础上，给出针对医疗行业的附加或修改的信息安全控制指南。

本标准控制的描述结构如下：控制Health基础上，给出针对医疗行业的附加或修改的信息安全控制。

如无附GB/T 22081-2016在加的控制，本项将不给出。

Health 实现指南如无附加的实现指南，提供更详细的信息。

为支持Health 控制的实现并满足控制目标，则陈述如下：“针对医疗行业没有附加的信息安全管理指南”。

其他信息Health提供需要考虑的进一步的信息。

如无附加的其他信息，本项将不给出。

医疗行业具体参考控制目标和控制详见附录A。

5 信息安全策略5.1 信息安全管理指导目标：依据业务要求和相关法律法规，为信息安全提供管理指导和支持。

5.1.1 信息安全策略控制对GB/T 22081-2016，5.1.1节控制不加修改的适用。

Health 控制处理医疗相关信息（包括个人医疗信息）的组织，宜有书面的信息安全策略，由管理者批准，并发布传达给所有员工和外部相关方。

实现指南对GB/T 22081-2016，5.1.1节实现指南不加修改的适用。

Health 实现指南医疗行业信息安全策略宜包含：a）医疗信息安全的需求；b）医疗信息安全的目标；c）法律、法规要求；d）合同要求。

医疗行业组织在制定其信息安全策略文件时，需要特别考虑下列因素：a）医疗信息的传输范围；b）员工的权利；c）医疗信息安全措施对病人安全的影响；d）医疗信息安全措施对医疗信息系统性能的影响。

其他信息对GB/T 22081-2016，5.1.1节其他信息不加修改的适用。

5.1.2 信息安全策略的评审控制对GB/T 22081-2016，5.1.2节控制不加修改的适用。

Health 控制宜持续的、阶段性的对医疗信息安全策略进行评审。

实现指南对GB/T 22081-2016，5.1.2节实现指南不加修改的适用。

Health 实现指南下列情况宜对信息安全策略进行评审：a）医疗相关组织的业务性质发生变化，导致风险配置和风险管理需求发生变化；b）组织IT基础设施变更及后续变化，使组织引入了新的风险。

6 信息安全组织对GB/T 22081-2016，第6章控制、实现指南和其他信息不加修改的适用。

7 人力资源安全7.1 任用前目标：确保员工和合同方理解其责任，并适合其角色。

审查7.1.1控制．对GB/T 22081-2016，7.1.1节控制不加修改的适用。

Health 控制所有任用候选者的背景验证核查宜包括经过专业认证的医疗专业资格的核查。

实现指南对GB/T 22081-2016，7.1.1节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

7.1.2 任用条款及条件控制对GB/T 22081-2016，7.1.2节控制不加修改的适用。

Health 控制宜特别注意医疗机构临时或短期工作人员的角色和责任。

实现指南对GB/T 22081-2016，7.1.2节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

其他信息对GB/T 22081-2016，7.1.2节其他信息不加修改的适用。

7.2任用中对GB/T 22081-2016，7.2节控制、实现指南和其他信息不加修改的适用。

7.3任用的终止和变更对GB/T 22081-2016，7.3节控制、实现指南和其他信息不加修改的适用。

8 资产管理对GB/T 22081-2016，第8章控制、实现指南和其他信息不加修改的适用。

9 访问控制对GB/T 22081-2016，第9章控制、实现指南和其他信息不加修改的适用。

10 密码对GB/T 22081-2016，第10章控制、实现指南和其他信息不加修改的适用。

11 物理和环境安全11.1 安全区域目标：防止对组织信息和信息处理设施的未授权物理访问、损坏和干扰。

11.1.1 物理安全边界控制对GB/T 22081-2016，11.1.1节控制不加修改的适用。

Health 控制处理医疗信息的组织宜使用安全边界，以保护包含医疗信息的信息处理设施。

实现指南对GB/T 22081-2016，11.1.1节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

其他信息对GB/T 22081-2016，11.1.1节附加信息不加修改的适用。

11.1.2 物理入口控制控制．对GB/T 22081-2016，11.1.2节控制不加修改的适用。

实现指南对GB/T 22081-2016，11.1.2节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

11.1.3 办公室、房间和设施的安全保护控制对GB/T 22081-2016，11.1.3节控制不加修改的适用。

实现指南对GB/T 22081-2016，11.1.3节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

11.1.4 外部和环境威胁的安全防护控制对GB/T 22081-2016，11.1.4节控制不加修改的适用。

实现指南对GB/T 22081-2016，11.1.4节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

11.1.5 在安全区域工作控制对GB/T 22081-2016，11.1.5节控制不加修改的适用。

实现指南对GB/T 22081-2016，11.1.5节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

11.1.6 交接区控制对GB/T 22081-2016，11.1.6节控制不加修改的适用。

实现指南对GB/T 22081-2016，11.1.6节实现指南不加修改的适用。

Health 实现指南值得注意的是，医疗信息的提供包含了大量关于人身体相关的敏感信息。

收集健康信息的相关领域应进行额外的安全审查。

11.2 设备对GB/T 22081-2016，11.2节控制、实现指南和其他信息不加修改的适用。

12 运行安全对GB/T 22081-2016，第12章控制、实现指南和其他信息不加修改的适用。

13 通信安全对GB/T 22081-2016，第13章控制、实现指南和其他信息不加修改的适用。

14 系统获取、开发和维护对GB/T 22081-2016，第14章控制、实现指南和其他信息不加修改的适用。

15 供应商关系供应商关系中的信息安全15.115.1.1 供应商关系的信息安全策略控制对GB/T 22081-2016，15.1.1节控制不加修改的适用。

Health 控制组织处理医疗信息时，宜评估与信息相关系统和数据的风险。

实现指南对GB/T 22081-2016，15.1.1节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

其他信息对GB/T 22081-2016，15.1.1节其他信息不加修改的适用。

15.1.2 在供应商协议中强调安全控制对GB/T 22081-2016，15.1.2节控制不加修改的适用。

实现指南对GB/T 22081-2016，15.1.2节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

其他信息对GB/T 22081-2016，15.1.2节其他信息不加修改的适用。

15.1.3 信息与通信技术供应链控制对GB/T 22081-2016，15.1.3节控制不加修改的适用。

实现指南对GB/T 22081-2016，15.1.3节实现指南不加修改的适用。

Health 实现指南针对医疗行业没有附加的信息安全管理指南。

其他信息对GB/T 22081-2016，15.1.3节其他信息不加修改的适用。

15.2 供应商服务交付管理对GB/T 22081-2016，15.2节控制、实现指南和其他信息不加修改的适用。

16 信息安全事件管理对GB/T 22081-2016，第16章控制、实现指南和其他信息不加修改的适用。

17 业务连续性管理的信息安全方面对GB/T 22081-2016，第17章控制、实现指南和其他信息不加修改的适用。

18 符合性对GB/T 22081-2016，第18章控制、实现指南和其他信息不加修改的适用。

附录A（规范性附录）医疗行业具体参考控制目标和控制表A.1中所列的附加或修改的控制目标和控制，是直接源自本标准并与之相对应，在本标准细化的GB/T 22080-2016，6.1.3环境中使用。

表A.1 附加或修改的控制目标和控制信息安全策略A.5A.5.1 信息安全管理指导无附加的控制目标Health控制 A.5.1.1信息安全策略处理医疗相关信息（包括个人医疗信息）的组织，应有书面的信息安全策略，由管理者批准，并发传达给所有员工和外部相关方Healt控A.5.1.2信息安全策略的评应持续的阶段性的对医疗信息安全策略进行评审A.6信息安全组无附加的控制目无附加的控A.7人力资源安A.7.1任用无附加的控制目Healt控审A.7.1.1所有任用候选者的背景验证核查应包括经过专业证的医疗专业资格的核查Healt控任用条款及条A.7.1.2应特别注意医疗机构临时或短期工作人员的角色责任A.7.2任用无附加的控制目无附加的控A.7.3任用的终止和变无附加的控制目无附加的控A.8资产管无附加的控制目无附加的控A.9访问控无附加的控制目无附加的控A.10密无附加的控制目无附加的控A.11物理和环境安A.11.1安全区无附加的控制目Healt控物理安全边A.11.1.1处理医疗信息的组织宜使用安全边界，以保护包医疗信息的信息处理设施A.11.1.2物理入口控无附加的控无附加的控办公室、房间和设施的A.11.1.3全保护A.11.1.4 外部和环境威胁的安全防无附加的控制护无附加的控制 A.11.1.5 在安全区域工作无附加的控制交接区 A.11.1.6A.11.2设无附加的控制目无附加的控A.12运行安无附加的控制目无附加的控A.13通信安无附加的控制目无附加的控A.14系统获取、开发和维无附加的控制目无附加的控A.15供应商关A.15.1供应商关系中的信息安无附加的控制目Healt控供应商关系的信息安全A.15.1.1组织处理医疗信息时，宜评估与信息相关系统和据的风险A.15.1.2在供应商协议中强调安无附加的控信息与通信技术供应无附加的控A.15.1.3A.15.2供应商服务交付管无附加的控制目无附加的控A.16信息安全事件管无附加的控制目无附加的控A.1业务连续性管理的信息安全方无附加的控制目无附加的控A.18符合无附加的控制目无附加的控。