この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部または全部を特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自発的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html .
この文書は、技術委員会 ISO/TC 215, 健康情報学によって作成されました。
この第 2 版は、技術的に改訂された第 1 版 (ISO/TR 11633-2:2009) を取り消して置き換えるものです。
前作からの主な変更点は以下の通り。
- 参考文献の完全な改訂。
- 図 1 の更新。
- 附属書 A の更新。
ISO 11633 シリーズのすべての部品のリストは、ISO Web サイトで見つけることができます。
序章
情報通信技術分野における技術の進歩と普及、およびそれらを基盤とするインフラストラクチャーは、現代社会におけるテクノロジーとネットワークの使用方法に多くの変化をもたらしました。同様に、ヘルスケアにおいても、各ヘルスケア施設(HCF)のクローズドなシステムであった情報システムがネットワークでつながり、情報システムに蓄積された健康情報を相互に利用できるようになってきています。このような情報通信ネットワークは、HCF 間だけでなく、HCF と医療機器や医療情報システムのベンダとの間にも広がっています。このようなシステムのメンテナンスは、システムを最新の状態に保つために最も重要です。いわゆる「リモート メンテナンス サービス」(RMS)を実践することで、このメンテナンス アクティビティのダウンタイムを短縮し、コストを削減することが可能になります。
リモート保守には利点がありますが、外部組織とのこのようなリモート接続は、HCF とベンダーを情報とシステムの機密性、完全性、および可用性に関するリスクにさらします。以前にスキャンされた考慮事項を受けたリスク。
このドキュメントでは、患者の安全性、適用される要件、プライバシー保護などの医療分野の特性を考慮して、リモート メンテナンス活動を保護するためのリスク アセスメントを規定しています。通常のリモートメンテナンスは契約ベースで行うのが一般的ですが、医療機器の場合はリスクアセスメントが法的な前提条件となるのが一般的です。したがって、あらゆるヘルスケアのコンテキストでリモート メンテナンスが提供される適切なリスク評価を実施する必要があります。このドキュメントで提供されているリスク評価の例は、HCF と RMS プロバイダーがリスク評価を効果的に実施することをサポートしています。
リスク評価プロセスを実装し、このドキュメントで参照されている制御を採用することにより、HCF の所有者と RMS プロバイダーは次の利点を得ることができます。
- リスク評価により、効率が向上する可能性があります。この文書を使用して作成されたリスク評価文書が完全に準拠していない場合、その文書は不適合な領域のリスク評価で部分的に使用される可能性があり、必要なリスク評価の労力が削減されます。
- 実施されている RMS セキュリティ対策の文書化された有効性は、第三者が利用できるようになります。
- RMS を 2 つ以上のサイトに提供する場合、プロバイダーは対策を一貫して効果的に適用できます。
1 スコープ
このドキュメントは、医療機器または健康情報システムのベンダーが提供する、医療施設 (HCF) の情報システムのリモート保守サービス (RMS) に関するリスク分析の実践例を示すことにより、ISMS の実装に関するガイドラインを提供し、双方を保護します。情報資産 (主に情報システム自体と個人の健康データ) を安全かつ効率的な (つまり経済的な) 方法で。
このドキュメントは以下で構成されています。
- RMS への ISMS の適用。
- RMS のセキュリティ管理手段。
- ISMSで定義された「管理」に基づく評価と有効性の例。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/TS 11633-1, ヘルスインフォマティクス — 医療機器および医療情報システムの遠隔保守のための情報セキュリティ管理 — 1: 要件とリスク分析
3 用語と定義
このドキュメントの目的のために、ISO/TS 11633-1 に記載されている用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
参考文献
| [1] | ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [2] | ISO/IEC 27002:2013, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [3] | ISO/TS 11633-1:2019, 健康情報学 — 医療機器および医療情報システムの遠隔保守のための情報セキュリティ管理 — 1: 要件とリスク分析 |
| [4] | ISO/IEC 27005:2018, 情報技術 - セキュリティ技術 - 情報セキュリティ リスク管理 |
| [5] | ISO 27799:2016, 健康情報学 — ISO/IEC 27002 を使用した健康における情報セキュリティ管理 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 215, Health informatics.
This second edition cancels and replaces the first edition (ISO/TR 11633-2:2009), which has been technically revised.
The main changes compared to the previous edition are as follows:
- complete revision of the bibliography;
- update of Figure 1;
- update of Annex A.
A list of all parts in the ISO 11633 series can be found on the ISO website.
Introduction
The advancement and spread of technology in the information and communication technology field, and the infrastructure based on them, have brought many changes in how technology and networks are used in modern society. Similarly, in healthcare, information systems once closed systems in each healthcare facility (HCF) are now connected by networks, and are progressing to the point of being able to facilitate mutual use of health information accumulated in these information systems. Such information and communication networks are spreading not only in between HCFs but also between HCFs and vendors of medical devices and healthcare information systems. Maintenance of such systems is paramount to keeping them up-to-date. By practicing so-called 'remote maintenance services' (RMS), it becomes possible to reduce down-time and lower costs for this maintenance activity.
Whilst there are benefits to remote maintenance, such remote connections with external organizations also expose HCFs and vendors to risks regarding confidentiality, integrity and availability of information and systems; risks which previously received scant consideration.
This document stipulates the risk assessment to protect remote maintenance activities, taking into consideration the special characteristics of the healthcare field such as patient safety, and applicable requirements and privacy protections. Although normal remote maintenance is generally done on a contract basis, in the case of medical devices, risk assessment is commonly a legal prerequisite. Therefore, appropriate risk assessment where remote maintenance is provided in any healthcare context should be implemented. The risk assessment examples provided in this document support for HCFs and RMS providers to implement risk assessment effectively.
By implementing the risk assessment process and employing controls referenced in this document, HCFs owners and RMS providers will be able to obtain the following benefits:
- Risk assessment can result in improved efficiency. If the risk assessment document, created through the use of this document, does not fully conform, it may be used in part in a risk assessment of an incompatible area, thus reducing the risk assessment effort required.
- Documented validity of the RMS security countermeasures in place will be available to third parties.
- If providing RMS to two or more sites, the provider can apply countermeasures consistently and effectively.
1 Scope
This document gives a guideline for implementation of an ISMS by showing practical examples of risk analysis on remote maintenance services (RMS) for information systems in healthcare facilities (HCFs) as provided by vendors of medical devices or health information systems in order to protect both sides’ information assets (primarily the information system itself and personal health data) in a safe and efficient (i.e. economical) manner.
This document consists of:
- application of ISMS to RMS;
- security management measures for RMS;
- an example of the evaluation and effectiveness based on the “controls” defined in the ISMS.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/TS 11633-1, Health informatics — Information security management for remote maintenance of medical devices and medical information systems — 1: Requirements and risk analysis
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/TS 11633-1 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
Bibliography
| [1] | ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements |
| [2] | ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls |
| [3] | ISO/TS 11633-1:2019, Health informatics — Information security management for remote maintenance of medical devices and medical information systems — 1: Requirements and risk analysis |
| [4] | ISO/IEC 27005:2018, Information technology — Security techniques — Information security risk management |
| [5] | ISO 27799:2016, Health informatics — Information security management in health using ISO/IEC 27002 |