|
|
会員ログイン |
JAHIS標準09-002
第1章 適応範囲
第2章 引用規格・引用文献
第3章 用語の定義
第4章 記号および略語 第5章 リモートサービスセキュリティ
5.1 リモートサービスセキュリティとは
5.2 法的適合性
第6章 リモートサービスへのISMSの適用
6.1 セキュリティ要件
6.2 リモートサービスにおけるセキュリティ基本方針
6.3 標準的事例におけるリスクの評価
6.4 標準的事例における管理すべきリスク
6.5 本ガイドラインに記載のないリスクの識別
6.6 リスク対応
6.7 セキュリティ監査と外部監査の推奨
第7章 運用モデル
7.1 リモートサービスの運用モデル
第8章 リスク分析とセキュリティ対策
8.1 リスク分析
8.2 セキュリティ対策方針の決定(安全管理措置の例)
8.3 セキュリティ対策
第9章 技術的・制度的変化への対応
附属書 A リスクアセスメントシートの使い方
附属書 B ISMS準拠リモートサービスリスクアセスメント表
付録1:参考文献
付録2:作成者名簿
ま え が き
医療のIT 化は医事会計システム、部門システム、オーダエントリシステム、電子カルテの順に整備され、今後、電子化された医療情報は、施設間連携などの医療行為のなかでやりとりされるだけでなく、ネットワークを介してシームレスに流通することが考えられます。特に医療機関と医療機器ベンダとをネットワークで結び、医療機器の保守を安全にかつ効率的に行うためには、扱う患者データ等の個人情報の持ち出しやシステムの運用妨害などのリスクを漏れなく把握し、医療機関と医療機器ベンダ双方がセキュリティ対策を講じていかなければなりません。
JAHIS セキュリティ委員会ではJIRA(社団法人 日本画像医療システム工業会)セキュリティ委員会と共同でリモートサービスセキュリティWG を発足させ、医療分野における遠隔保守(リモートサービス)のあり方と、情報セキュリティマネジメントと個人情報保護の視点からリモートサービスのリスクアセスメントを研究し、医療機関と医療機器ベンダがそれぞれどのようなセキュリティ対策を取るべきかの検討を行ってきました。その成果として、2003 年度にはJAHIS 技術文書「リモートサービスセキュリティガイド」(技術文書04-101)を、2005年度にはより踏み込んだ内容のJAHIS標準「リモートサービスセキュリティガイドライン」(JAHIS標準06-001)を制定し、リモートサービスを安全に行うための実践的なガイドラインを示しました。
上記の2つの文書で示されたリモートサービスにおけるセキュリティマネジメントの考え方は、国内に限らずどこでも参考になることから、本WGでは2008年度に、これらの記述から日本固有の法令、制度等に係る部分を取り除いたものを国際標準とすることを考え、ISO/TC215に提案しました。この提案はISO参加各国の賛同を受け、同作業会議における審議と修正を経て、「ISO TR 11633 Part 1&2」として2009年度に出版されることになっています 。
本書は、この「ISO TR 11633 Part 1&2」で施された修正や新たに加えられた記述に、再度国内での固有の法令、制度等に関する記述を加え直したものであり、従来のガイド(技術文書04-101)とガイドライン(JAHIS標準06-001)をガイドラインver.2.0として統合したものです。
本ガイドラインが、医療情報の普及・推進に多少とも貢献できれば幸いです。
JAHIS セキュリティ委員会ではJIRA(社団法人 日本画像医療システム工業会)セキュリティ委員会と共同でリモートサービスセキュリティWG を発足させ、医療分野における遠隔保守(リモートサービス)のあり方と、情報セキュリティマネジメントと個人情報保護の視点からリモートサービスのリスクアセスメントを研究し、医療機関と医療機器ベンダがそれぞれどのようなセキュリティ対策を取るべきかの検討を行ってきました。その成果として、2003 年度にはJAHIS 技術文書「リモートサービスセキュリティガイド」(技術文書04-101)を、2005年度にはより踏み込んだ内容のJAHIS標準「リモートサービスセキュリティガイドライン」(JAHIS標準06-001)を制定し、リモートサービスを安全に行うための実践的なガイドラインを示しました。
上記の2つの文書で示されたリモートサービスにおけるセキュリティマネジメントの考え方は、国内に限らずどこでも参考になることから、本WGでは2008年度に、これらの記述から日本固有の法令、制度等に係る部分を取り除いたものを国際標準とすることを考え、ISO/TC215に提案しました。この提案はISO参加各国の賛同を受け、同作業会議における審議と修正を経て、「ISO TR 11633 Part 1&2」として2009年度に出版されることになっています 。
本書は、この「ISO TR 11633 Part 1&2」で施された修正や新たに加えられた記述に、再度国内での固有の法令、制度等に関する記述を加え直したものであり、従来のガイド(技術文書04-101)とガイドライン(JAHIS標準06-001)をガイドラインver.2.0として統合したものです。
本ガイドラインが、医療情報の普及・推進に多少とも貢献できれば幸いです。
2009年12月
保健医療福祉情報システム工業会
セキュリティ委員会
JAHIS/JIRA合同リモートサービスセキュリティWG
保健医療福祉情報システム工業会
セキュリティ委員会
JAHIS/JIRA合同リモートサービスセキュリティWG
目 次
第1章 適応範囲
第2章 引用規格・引用文献
第3章 用語の定義
第4章 記号および略語 第5章 リモートサービスセキュリティ
5.1 リモートサービスセキュリティとは
5.2 法的適合性
第6章 リモートサービスへのISMSの適用
6.1 セキュリティ要件
6.2 リモートサービスにおけるセキュリティ基本方針
6.3 標準的事例におけるリスクの評価
6.4 標準的事例における管理すべきリスク
6.5 本ガイドラインに記載のないリスクの識別
6.6 リスク対応
6.7 セキュリティ監査と外部監査の推奨
第7章 運用モデル
7.1 リモートサービスの運用モデル
第8章 リスク分析とセキュリティ対策
8.1 リスク分析
8.2 セキュリティ対策方針の決定(安全管理措置の例)
8.3 セキュリティ対策
第9章 技術的・制度的変化への対応
附属書 A リスクアセスメントシートの使い方
附属書 B ISMS準拠リモートサービスリスクアセスメント表
付録1:参考文献
付録2:作成者名簿