ISO 27799:2025

This document provides information security controls, including implementation guidance, for health organizations. It is based on ISO/IEC 27002:2022

In addition to generic ICT equipment and software used in many other environments, the scope of this document includes software and systems specifically for healthcare, such as electronic health record systems and medical devices incorporating health software. Such medical devices can be programmed or programmable and can contain software, firmware or both.

Other digital equipment (such as that for environmental and infection control, building management, and physical security), which can be used in premises where healthcare is provided, is also in scope.

This document applies to information in all its aspects, whatever form the information takes (including text and numbers, sound recordings, drawings, images and video), by whatever means it has been acquired or captured, whatever means are used to store it (such as printing or writing on paper or storage electronically), and whatever means are used to transfer or exchange it (orally, by hand, by post, movement of storage media, direct links or networking).

This document is for organizations of all types and sizes that provide healthcare or are custodians of personal health information for other reasons. The information that they are responsible for can be stored and processed in many possible ways and locations, including on premises or in the cloud, but remains in scope.

This document applies to all physical settings where healthcare is intended to be delivered, such as hospitals, clinics and other locations or facilities designated for healthcare purposes such as ambulances and mobile imaging or diagnostic units. It also applies to care provided elsewhere, such as in residential premises. In addition to the range of settings, this document applies to all methods of service provision including remote or virtual healthcare.

Le présent document fournit des contrôles de sécurité de l'information, y compris des recommandations pour leur mise en œuvre, à l'intention des organismes de santé. Il est basé sur la norme ISO/IEC 27002:2022.

Outre les équipements et logiciels TIC génériques utilisés dans de nombreux autres environnements, le domaine d'application du présent document comprend les logiciels et systèmes spécifiquement destinés aux soins de santé, tels que les systèmes de dossiers médicaux électroniques et les dispositifs médicaux intégrant des logiciels de santé. Ces dispositifs médicaux peuvent être programmés ou programmables et peuvent contenir des logiciels, des microprogrammes ou les deux.

D'autres équipements numériques (tels que ceux destinés au contrôle de l'environnement et des infections, à la gestion des bâtiments et à la sécurité physique), qui peuvent être utilisés dans les locaux où des soins de santé sont dispensés, entrent également dans le domaine d'application.

Le présent document s'applique à l'information sous tous ses aspects, quelle que soit sa forme (y compris les textes et les chiffres, les enregistrements sonores, les dessins, les images et les vidéos), quels que soient les moyens utilisés pour l'acquérir ou la saisir, quels que soient les moyens utilisés pour la stocker (tels que l'impression ou l'écriture sur papier ou le stockage électronique) et quels que soient les moyens utilisés pour la transférer ou l'échanger (oralement, en main propre, par courrier, par déplacement de supports de stockage, par liens directs ou par mise en réseau).

Le présent document s'adresse aux organisations de tous types et de toutes tailles qui fournissent des soins de santé ou qui sont dépositaires d'informations de santé à caractère personnel pour d'autres raisons. Les informations dont ils sont responsables peuvent être stockées et traitées de nombreuses manières et dans de nombreux endroits possibles, y compris dans les locaux ou dans le cloud, mais elles restent dans le domaine d'application.

Le présent document s'applique à tous les lieux physiques où les soins de santé sont censés être dispensés, tels que les hôpitaux, les cliniques et autres lieux ou installations désignés à des fins de soins de santé, comme les ambulances et les unités mobiles d'imagerie ou de diagnostic. Elle s'applique également aux soins dispensés ailleurs, par exemple dans des locaux résidentiels. Outre l'éventail des contextes, ce document s'applique à toutes les méthodes de prestation de services, y compris les soins de santé à distance ou virtuels.