ISO 27799:2008

Recientemente se ha publicado la ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002. Esta Norma Internacional, como puede deducirse por su título, proporciona una guía para la gestión de la seguridad en el sector sanitario utilizando la ISO 27002.

El sector sanitario tiene unas características particulares, que provocan que garantizar la confidencialidad, integridad y disponibilidad de la información sea especialmente relevante, dada la sensibilidad de la información que manejan. La ISO 27799 pretende aclarar estas particularidades partiendo, como base, de los controles de la ISO 27002.

Aunque todos los objetivos de control descritos en la ISO 27002 son relevantes para el sector sanitario, algunos requieren de explicaciones complementarias, y, además, deben establecerse requisitos adicionales, específicos para el sector sanitario.

Por lo tanto, la ISO 27799 no pretende sustituir a la ISO 27002, si no ser un complemento a ella, estableciendo en algunos casos la obligatoriedad de aplicar ciertos controles, por ejemplo:

Organizations processing health information, including personal health information, shall have a griten information security policy that is approved by management, published, and then communicated to all employees and relevant external parties.

De todas formas, la ISO 27799 no establece que para que una empresa del sector sanitario (por ejemplo un hospital) certifique su SGSI utilizando la ISO 27001 deba seguir o ni tan siquiera tener conocimiento de esta Norma, aunque si lo considera deseable.

La Norma comienza describiendo las características particulares de la seguridad en el sector sanitario. A continuación describe un plan de acción para implantar los controles de la ISO 27002 a través de un SGSI. El punto principal de la Norma recorre los once objetivos de control de la ISO 27002 describiendo las implicaciones concretas para el sector sanitario. Concluye con tres anexos que describen las amenazas generales en el sector sanitario, las tareas y documentos relacionados a un SGSI, y los beneficios potenciales y características requeridas de las herramientas de apoyo.

La publicación de esta norma es una idea muy buena, y servirá, por un lado, para facilitar la implantación de los controles, y por otro, para hacer ver a la gente que la ISO 27002 no es algo cerrado de donde no se puede salir, y que a veces es necesario implantar otros controles adicionales. De hecho, esta previsto publicar otras normas específicas para diferentes sectores, actualmente se encuentra en proceso de desarrollo la ISO/IEC FDIS 27011 Information technology -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 para el sector de las telecomunicaciones.