{"id":9487,"date":"2016-06-14T10:42:52","date_gmt":"2016-06-14T10:42:52","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=9487"},"modified":"2022-12-29T08:27:21","modified_gmt":"2022-12-29T08:27:21","slug":"como-a-iso-27001-e-a-iso-27799-se-complementam-em-organizacoes-de-saude","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/06\/14\/como-a-iso-27001-e-a-iso-27799-se-complementam-em-organizacoes-de-saude\/","title":{"rendered":"Como a ISO 27001 e a ISO 27799 se complementam em organiza\u00e7\u00f5es de sa\u00fade"},"content":{"rendered":"

Mais e mais hospitais est\u00e3o interessados em proteger as informa\u00e7\u00f5es de seus pacientes, mas eles n\u00e3o veem a\u00a0ISO 27001<\/a> como sendo espec\u00edfica o bastante. Embora ela cubra muitos aspectos gerais sobre seguran\u00e7a da informa\u00e7\u00e3o, voc\u00ea pode integr\u00e1-la com outras normas para cobrir aspectos espec\u00edficos \u2013 por exemplo, a ISO 27799 para a prote\u00e7\u00e3o de informa\u00e7\u00f5es pessoais de sa\u00fade. Esta integra\u00e7\u00e3o \u00e9 similar a da ISO 27001 com a ISO 27002.<\/p>\n

O b\u00e1sico da ISO 27799<\/strong><\/h2>\n

O principal objetivo da ISO 27799 \u00e9 prover controles de seguran\u00e7a para proteger informa\u00e7\u00f5es pessoais de sa\u00fade. Ela na verdade usa os controles da ISO 27002, adaptados para o ambiente de sa\u00fade. Mas, voc\u00ea tamb\u00e9m precisar\u00e1 da ISO 27001. Deixe-me explicar isso a seguir. (Veja tamb\u00e9m:\u00a0ISO 27001 vs ISO 27002<\/a>.)<\/p>\n

Mais uma coisa deveria ser esclarecida \u2013 a \u00faltima vers\u00e3o da norma ISO 27799 n\u00e3o est\u00e1 alinhada com as vers\u00f5es atuais da ISO 27001:2013 e ISO 27002:2013, porque a ISO 27799 (\u00faltima vers\u00e3o de 2008) explicitamente de refere a ISO 27002:2005, mas um mapeamento pode ser feito, porque existem poucas mudan\u00e7as entre a ISO 27002:2005 e a ISO 27002:2013. Este artigo pode ajud\u00e1-lo: Principais mudan\u00e7as na nova ISO 27002<\/a>.<\/p>\n

A prop\u00f3sito, nos EUA existe o HIPAA (Health Insurance Portability and Accountability Act), que regula o uso e a divulga\u00e7\u00e3o de informa\u00e7\u00f5es de sa\u00fade protegidas. Esta regulamenta\u00e7\u00e3o tem muitos pontos em comum com a ISO 27799, assim voc\u00ea pode usar esta norma para estar em conformidade com a HIPAA, mas voc\u00ea precisa atender requisitos mais espec\u00edficos para estar em conformidade com o HIPAA (por exemplo, regras especificamente relacionadas a privacidade). E, vice-versa: se voc\u00ea implementou o HIPAA voc\u00ea precisa atender alguns requisitos a mais para estar em conformidade com a ISO 27799 (por exemplo, gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o).<\/p>\n

Principais similaridades e diferen\u00e7as<\/strong><\/h2>\n

A principal similaridade entre ambas as normas \u00e9 que elas falam sobre um SGSI e controles de seguran\u00e7a, mas a principal diferen\u00e7a \u00e9 que a ISO 27799 n\u00e3o define requisitos para o SGSI (\u00e9 a ISO 27001 que define requisitos para a avalia\u00e7\u00e3o & tratamento de riscos<\/a>, SoA<\/a>, etc.). A ISO 27799 \u00e9 apenas um c\u00f3digo de melhores pr\u00e1ticas \u2013 como a ISO 27002 \u2013 \u00e9 focada principalmente em controles de seguran\u00e7a. A prop\u00f3sito, na ISO 27001 os controles de seguran\u00e7a est\u00e3o inclu\u00eddos no Anexo, enquanto que na ISO 27799 os controles de seguran\u00e7a s\u00e3o uma parte fundamental da norma.<\/p>\n

Assim, em um ambiente de sa\u00fade voc\u00ea pode implementar um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (baseado na ISO 27001), e implementar os controles de seguran\u00e7a da ISO 27799 (os quais, como voc\u00ea acabou de saber, s\u00e3o na realidade os controles da ISO 27002, mas adaptados para o ambiente de sa\u00fade).<\/p>\n

Por que implementar a ISO 27001 em conjunto com a ISO 27799?<\/strong><\/h2>\n

Hospitais, assim como qualquer outro tipo de organiza\u00e7\u00e3o, tamb\u00e9m tem uma infraestrutura tecnol\u00f3gica, sistemas de informa\u00e7\u00e3o e aplica\u00e7\u00f5es que podem estar vulner\u00e1veis, e elas gerenciam informa\u00e7\u00f5es de sa\u00fade pessoais, assim tamb\u00e9m existem riscos<\/a>\u00a0que precisam ser gerenciados.<\/p>\n

A ISO 27001 \u00e9 uma norma que estabelece requisitos para um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o, e pode ser integrada com outras normas tais como a ISO 27002 para implementar controles de seguran\u00e7a, mas em um ambiente de sa\u00fade a ISO 27799 prov\u00ea controles de seguran\u00e7a espec\u00edficos, assim neste caso a integra\u00e7\u00e3o da ISO 27001 e ISO 27799 faz sentido.<\/p>\n

Amea\u00e7as<\/strong><\/h2>\n

A ISO 27001 e a ISO 27002 n\u00e3o s\u00e3o especificamente desenvolvidas para um ambiente de sa\u00fade (ou qualquer outro ambiente), mas na ISO 27799 temos uma lista de amea\u00e7as espec\u00edficas para este setor, que podem ser encentradas no Anexo A. Elas est\u00e3o listadas abaixo:<\/p>\n

    \n
  1. Pessoal interno se passando por outra pessoa<\/li>\n
  2. Pessoas se passando por provedores de servi\u00e7o<\/li>\n
  3. Pessoal externo se passando por outra pessoa<\/li>\n
  4. Uso n\u00e3o autorizado de uma aplica\u00e7\u00e3o de informa\u00e7\u00e3o e sa\u00fade<\/li>\n
  5. Introdu\u00e7\u00e3o de software danoso ou de interrup\u00e7\u00e3o<\/li>\n
  6. Mau uso de recursos de sistemas<\/li>\n
  7. Infiltra\u00e7\u00e3o de comunica\u00e7\u00f5es<\/li>\n
  8. Intercepta\u00e7\u00e3o de comunica\u00e7\u00f5es<\/li>\n
  9. Rep\u00fadio<\/li>\n
  10. Falha de conex\u00e3o<\/li>\n
  11. Incorpora\u00e7\u00e3o de c\u00f3digo malicioso<\/li>\n
  12. Erro acidental de roteamento<\/li>\n
  13. Falha t\u00e9cnica de hospedagem, instala\u00e7\u00f5es de armazenamento ou de infraestrutura de rede<\/li>\n
  14. Falha de suporte ambiental<\/li>\n
  15. Falha de sistema ou de software de rede<\/li>\n
  16. Falha de aplica\u00e7\u00e3o de software<\/li>\n
  17. Erro de operador<\/li>\n
  18. Erro de manuten\u00e7\u00e3o<\/li>\n
  19. Erro de usu\u00e1rio<\/li>\n
  20. Falta de pessoal<\/li>\n
  21. Furto por pessoal interno<\/li>\n
  22. Furto por pessoal externo<\/li>\n
  23. Dano intencional por pessoal interno<\/li>\n
  24. Dano intencional por pessoal externo<\/li>\n
  25. Terrorismo<\/li>\n<\/ol>\n

    As consequ\u00eancias da materializa\u00e7\u00e3o destas amea\u00e7as podem ser desastrosas, n\u00e3o apenas para a imagem do hospital, mas tamb\u00e9m para a sa\u00fade do paciente. Podemos imaginar o que aconteceria em um hospital onde tudo depende de sistemas de informa\u00e7\u00e3o (gera\u00e7\u00e3o e armazenamento de radiografias, sistemas de sa\u00fade conectados me rede, etc.), e se eles pararem de funcionar devido a falhas t\u00e9cnicas, ou n\u00e3o funcionarem apropriadamente. Imagine um paciente que sofreu um s\u00e9rio acidente e necessita urgentemente de um raio x, mas o Sistema n\u00e3o funciona devido a uma falha relacionada a software malicioso.<\/p>\n

    Proteger as pessoas e suas informa\u00e7\u00f5es pessoais de sa\u00fade \u00e9 compat\u00edvel<\/strong><\/h2>\n

    Hospitais se preocupam com a sa\u00fade dos pacientes porque sua principal miss\u00e3o \u00e9 curar doen\u00e7as e condi\u00e7\u00f5es m\u00e9dicas, mas tamb\u00e9m deveriam estar preocupados com informa\u00e7\u00f5es pessoais de sa\u00fade, uma vez que vimos neste artigo que existem muitas amea\u00e7as, que caso se realizem, poderiam trazer danos a imagem do hospital, ou nos piores casos, at\u00e9 mesmo danos irrepar\u00e1veis para a sa\u00fade de seus pacientes.<\/p>\n

    Assim, o setor de sa\u00fade deveria estar feliz, porque ele pode usar uma norma internacional como prest\u00edgio da ISO 27001 para implementar os controles de seguran\u00e7a da ISO 27799, de forma a proteger informa\u00e7\u00f5es pessoais de sa\u00fade. Obviamente, a sa\u00fade das pessoas e as informa\u00e7\u00f5es relacionadas a sa\u00fade delas s\u00e3o muito importantes.<\/p>\n

    Caso voc\u00ea queira aprender mais sobre a ISO 27001 e seus requisitos, use nossos cursos online gratuitos \u00a0<\/em>ISO 27001 Online Courses<\/a>.<\/em><\/p>\n

    N\u00f3s agradecemos a Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Mais e mais hospitais est\u00e3o interessados em proteger as informa\u00e7\u00f5es de seus pacientes, mas eles n\u00e3o veem a\u00a0ISO 27001 como sendo espec\u00edfica o bastante. Embora ela cubra muitos aspectos gerais sobre seguran\u00e7a da informa\u00e7\u00e3o, voc\u00ea pode integr\u00e1-la com outras normas para cobrir aspectos espec\u00edficos \u2013 por exemplo, a ISO 27799 para a prote\u00e7\u00e3o de informa\u00e7\u00f5es …<\/p>\n","protected":false},"author":35,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-9487","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9487","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=9487"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9487\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=9487"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=9487"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=9487"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}