ISO 27001 :2013 nueva norma seguridad

La ISO 27001 y la 27002: 2013 estan a punto de publicarse.

Es de esperar que cuando se establezca la historia clinica electronica unificada en España se tenga en consideracion , al igual que cuando se establezca la tarjeta sanitaria unica.

El estándar ISO-27002 ya no es una referencia normativa para ISO-27001:2013, aunque continúa considerándose necesario en el desarrollo de la declaración de aplicabilidad (SOA, por sus siglas en inglés). El estándar ISO 27000:2013 se convierte en una referencia normativa obligatoria y única, ya que contiene todos los nuevos términos y definiciones en el apartado 3.

LIDERAZGO:

Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo:

  • Garantizando que los objetivos del SGSI y “La política de seguridad de la información”, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.
  • Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera).
  • Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.
  • PLANEACION de la evaluacion de riesgos
    • Se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.
    • Se adopta el termino de “Propietario del Riesgo”
  • SOPORTE
    • Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI.
    • El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.

De todos modos el desarrollo del acceso ubicuo a las informaciones de salud, el uso del BYOD (bring you own device) y la nube obliga a gestionar la seguridad de nivel 3 como corresponde a la seguridad sanitaria de un modo diferente.

Aqui os dejo Privacy Ubiquitous health, un ejemplo de como gestionar los nuevos riesgos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*