8ª Reunião Plenária da CEE 78 IS - 15/09/2015 - Relato do GT4 – Segurança da Informação e do...

8ª Reunião Plenária da CEE 78 IS- 15/09/2015 -

Relato do GT4 – Segurança da Informação e do Paciente

Data da Última Reunião: 02/09/2015Horário: 08:10 às 09:27Local: http://meet52658369.adobeconnect.com/abnt_cee78is_gt4/

Participantes: Rodrigo Mendonça Queiroga; Marcelo Carvalho; Fernado Gebara; Renata Abreu; David Rissardo; Luiz Felipe Biason; Giuliana Cardoso; Eduardo Zinader.

Ausentes Justificados:. Juliana Machado.

GT4 – Segurança da Informação e do Paciente

http://meet52658369.adobeconnect.com/abnt_cee78is_gt4/

Pauta e Resoluçõesa)Acompanhamento do Plano de Trabalho para entrega das normas traduzidas (22600 Partes I, II e III; 21298; 27799; 21091; 21547)ISO 22600-1: Em harmonização com a versão de 2014, por Lucas Arantes.ISO 22600-2: Em harmonização com versão de 2014, por Carlos Frederico HollerbachISO 22600-3: Harmonização concluída por Marcelo Caravalho e disponibilizada para formatação técnica em 29/08/2015.ISO 27799: Formatação técnica concluída por Renata Abreu e David Rissardo em 11/09/2015. Apresentação agendada para a Plenária do dia 15/09/2015.ISO 21298: Em avaliação da qualidade da tradução . Marcelo Carvalho se disponibilizou a ajudar e previu a conclusão deste trabalho para o dia 15/09/2015.ISO 21547: Em avaliação da qualidade da tradução por Rodrigo Queiroga. ISO 21091: Em avaliação da qualidade da tradução por Giuliana Cardoso e Ana Silvia Barraviera.. GT4 – Segurança da Informação e do Paciente

Pauta e Resoluções

b)Discussão sobre ballots vencendo em Setembro/2015:

- Systematic Review ISOTC 215 ISO 21549 Health informatics Patient ‐ ‐ ‐ ‐healthcard data Part 8: Links Vencimento: 15/09/2015‐ ‐Do ponto de vista do uso do cartão para identificação unívoca do cidadão o grupo considera o texto desta norma interessante, porém sugerirá sua revisão com a inclusão de uma parte para abordar o uso de novas tecnologias (dispositivos móveis)

- Ballot 20429 Principles and guidelines for protection of personal health ‐information Vencimento: 17/09/2015‐Solicitado aos membros do grupo que tiverem oportunidade para analisar essa norma encaminharem seus comentários até o dia 16/09/2015 para o Redator do GT4



c) NWIP: Cloud computing requirements for health information system deployment: Andamento do trabalho

Grupo 1- Coleta de normas e documentos técnicos existentes sobre o assunto: 09 participantes, porém somente 02 contribuindo até o momento (Marcelo Carvalho e Fernando Gebara); Reuniões virtuais semanais para follow-up.Grupo 2 - Obtenção, por meio de survey de opiniões sobre pontos importantes a serem abordados no documento a ser elaborado pelo GT4: 03 participantes, porém trabalho não iniciado ainda por falta de participação, definido então fazer nova divulgação do trabalho via lista de distribuição, site e página do CEE78IS para ingresso de novos participantes; Necessárias reuniões semanais para discussões e encaminhamentos.



d) Informativo sobre outros ballots a vencer:- Ballot ISO/DIS 82304 1 Health software — Part 1: General ‐ ‐requirements for product safety Vencimento: 06/11/20015‐e) Assuntos gerais (se houver tempo hábil) (aceitamos sugestões).- Fernando Gebara participará da próxima reunião do comitê ISO/IEC JTC 1/SC 38 Cloud Computing and Distributed Platforms em Dublin, em Setembro/2015, e divulgará informalmente o NWIP - Cloud computing requirements for health information system deployment que o GT4 está conduzindo e se eles demonstrarem interesse , sugerirá como Coordenador do comitê espelho no Brasil (ABNT/CE-21:000.38) uma aproximação com Eduardo Mugnai, Coordenador da CEE78IS, e especialistas para trabalhar a norma nacional.- Em paralelo, sobre esse assunto, Rodrigo Queiroga solicitará ao Eduardo Mugnai, Coordenador da CEE78IS, fazer um contato com o ISO/IEC JTC 1/SC 38 Cloud Computing and Distributed Platforms tendo vista um trabalho conjunto para elaboração dessa norma.-Fernando já falou do NWIP - Cloud computing requirements for health information system deployment com a ANATEL.


Observações sobre a formatação técnica da norma 277991) Revisão de termos em inglês - Nº de ocorrências: 329 Shall: 43 / Shall not: 3 Should: 119 / Should not: 3 May: 61 Can: 93 / Cannot: 7

2) Revisão da tradução de textos:

Versão em inglês: Versão em inglês: 6.4.1.3 Potential summary level gap analysis while defining the compliance scopeBefore making the final selection of a scope, it may be appropriate to undertake a gap analysis on a sampling basis to therefore get a “feel” for how much work different areas may involve before making the final selection. Whether an “easy” or “hard” area is chosen is a matter for the organization to decide, although, logically, commensurately more corporate benefit is to be gained from taking on the “hard” aspects of the scope.



Versão traduzida:Versão traduzida:6.4.1.3 Análise de lacunas potenciais em nível de sumário ao definir o escopo de conformidadeAntes de se fazer a seleção final de um escopo, pode ser apropriado levar a cabo uma análise de lacunas com base em uma amostra para “sentir” quanto trabalho será necessário para as diferentes áreas antes da seleção final. Se for escolhida uma área “fácil” ou “difícil” é questão para a organização decidir embora, logicamente, benefícios corporativos comparavelmente maiores serão obtidos com os aspectos “difíceis” do escopo.

Versão revisada:Versão revisada:6.4.1.3 Análise de lacunas potenciais em nível de sumário ao definir o escopo de conformidadeAntes de se fazer a seleção final de um escopo, pode ser apropriado levar a cabo uma análise de lacunas com base em uma amostra para “sentir” quantas áreas diferentes de trabalho podem ser envolvidas antes da seleção final. Se for escolhida uma área “fácil” ou “difícil” é questão para a organização decidir embora, logicamente, benefícios corporativos comparavelmente maiores serão obtidos com os aspectos “difíceis” do escopo.


2) Revisão da tradução de textos

Versão em inglês: Versão em inglês: 7.7.9.2 Publicly available health informationControlsPublicly available health information (as distinct from personal health information) should be archived.The integrity of publicly available health information should be protected to prevent unauthorized modification.The source (authorship) of publicly available health information should be stated and its integrity should be protected.

Versão traduzida:Versão traduzida:Disponibilidade pública da informação em saúdeControlesA disponibilidade pública da informação em saúde (a diferença da informação pessoal de saúde) deve ser arquivada.A integridade da disponibilidade pública da informação em saúde deve ser protegida para prevenir alteração não autorizada.A fonte (autoria) da disponibilidade pública da informação em saúde deve ser mencionada e sua integridade protegida.



Versão revisada:Versão revisada:7.7.9.2 Informações em saúde disponíveis publicamenteControlesAs informações em saúde disponíveis publicamente (distinta da informação pessoal de saúde) convêm que sejam arquivadas. É recomendado que a integridade das informações em saúde disponíveis publicamente seja protegida para evitar alteração não autorizada.É indicado que a fonte (autoria) das informações em saúde disponíveis publicamente seja mencionada e sua integridade protegida.

Versão em inglês:Versão em inglês:Anexo A 14) Environmental support failure (including power failures and disruptions of service arising from natural or man-made disasters)Health information systems can be critical during natural disasters and other events that can be life-threatening to large numbers of people. These same disasters can wreak havoc on the environmental support systems needed to maintain operations. A proper threat and risk assessment of health information will include an assessment of how critical such systems are in times of natural disaster and how robust their operations will be under such disaster scenarios.


2) Revisão de tradução de textos:

Versão traduzida:Versão traduzida:14) Falha de suporte ambiental (inclusive quedas de energia e interrupções do serviço resultantes de desastres naturais ou provocados pelo homem).O sistema de informação em saúde pode ser crítico durante desastres naturais e outros eventos capazes de causar grande número de mortes. Estes mesmos desastres podem provocar o caos nos sistemas de suporte ambiental necessários para manter as operações. Uma adequada avaliação das ameaças e riscos à informação em saúde deve incluir quão críticos e robustos esses sistemas podem ser em caso de desastre natural.

Versão revisada:Versão revisada:Anexo A 14) Falha de suporte ambiental (inclusive quedas de energia e interrupções do serviço resultantes de desastres naturais ou provocados pelo homem).O sistema de informação em saúde pode ser crítico durante desastres naturais e outros eventos que podem ameaçar as vidas de um grande número de pessoas. Estes mesmos desastres podem provocar o caos nos sistemas de suporte ambiental necessários para manter as operações. Uma adequada avaliação das ameaças e riscos à informação em saúde deverá incluir um levantamento de quão críticos esses sistemas são em caso de desastre natural e quão robusto suas operações serão nestes cenários de desastres.


Próxima reunião: 07/10/2015, quarta-feiraHorário: 08:00 às 09:00Local: http://meet52658369.adobeconnect.com/abnt_cee78is_gt4/


http://meet52658369.adobeconnect.com/abnt_cee78is_gt4/


Id. Nome do Projeto de Norma

Responsável Entrega da Tradução

pela AVESTA

Conclusão da

Revisão

Conclusão da Harmonização

NºPgs

NºFig.

Concl. Formata

ção

Apresent. Plenária

1 ISO 27799 Danilo 10/10/14 08/06/15 - 49 8 04/09/15 15/09/15

2 ISO/TS 21298 Denise 10/10/14 28/08/15 - 29 5 14/09/15 15/09/15

3 ISO 22600 - Part 1 Lucas 10/10/14 14/07/15 28/08/15 30 1 21/09/15 20/10/15

4 ISO 22600 - Part 2 Rodrigo/Fred 10/10/14 12/05/15 17/09/15 25 14 05/10/15 20/10/15

5 ISO 22600 - Part 3 Marcelo 10/10/14 22/06/15 21/08/15 81 5 21/10/15 20/10/15

6 ISO/TS 21547 Rodrigo 03/07/15 08/09/15 - 88 14 09/11/15 17/11/15

7 SO 21091 Giuliana/Ana 03/07/15 30/09/15 - 53 1 20/11/15 17/11/15

8 ISO/TS 14265 ?? - - - - - - -

PROJETOS DE NORMAS DO GT4 – PLANO DE TRABALHO


Escopo de Trabalho:a) Projetos de normas em estudo para adoção:1.ISO 22600 - Health informatics — Privilege management and access control -- Part 1: Overview and policy management (Informática em saúde — Gerenciamento de privilégios e controle de acesso - Parte 1: Visão geral e gerenciamento da política)2.ISO 22600 - Health informatics — Privilege management and access control -- Part 2: Formal models (Informática em saúde — Gerenciamento de privilégios e controle de acesso - Parte 2: Modelos formais)3.ISO 22600 - Health informatics — Privilege management and access control -- Part 3: Implementations (Informática em saúde — Gerenciamento de privilégios e controle de acesso - Parte 3: Implementações)4.ISO/TS 21298 - Health informatics, Functional and structural roles (Informática em saúde – Papéis estruturais e funcionais)5.ISO 27799 -Health informatics - Information security management in health using ISO/IEC 27002 (Informática em saúde — Gestão de segurança da informação em saúde utilizando ISO/IEC 27002)


6. ISO 21091 - Health informatics - Directory services for healthcare providers, subjects of care and other entities (Informática em saúde – Serviços de diretório para provedores de atenção a saúde, sujeitos de cuidado e outras entidades)

7. ISO/TS 14265 - Health Informatics - Classification of purposes for processing personal health information (Informática em saúde - Classificação dos propósitos para o processamento de informações pessoais de saúde)

8. ISO/TS 21547 - Health informatics - Security requirements for archiving of electronic health records – Principles (Informática em saúde – Requisitos de segurança para arquivamento de registros eletrônicos de saúde - Princípios)

b) Projeto de norma em elaboração pelo grupo:1. NWIP: Cloud computing requirements for health information system deployment

(Requisitos para desenvolvimento de sistemas de informação em saúde utilizados em computação em nuvem)

8ª Reunião Plenária da CEE 78 IS - 15/09/2015 - Relato do GT4 – Segurança da Informação e do...

Documents

Transcript of 8ª Reunião Plenária da CEE 78 IS - 15/09/2015 - Relato do GT4 – Segurança da Informação e do...