放課後に居残って夜

調べたこと、気になったことなどをアーカイブする場所にしたい。 This is a place to throw a quick learn, study, and research of my random interests.

情報セキュリティ関係の標準

情報セキュリティ関係の標準で見るものを並べ、HIPAAに関してexploreしていこうと思う。CISSPの勉強のリファレンスとして。

 

27002 Code of practice for infromation security management (ISMS

27003 Guidance for ISMS implimentation

27005 Guidance for infosec Risk Management

27031 Guideline for info&communication tech readiness for business continuity

42010 Recommended practice design/concept of software architecture

 

NISTではSP800-36, 800-66をよくみる。800-66はHIPAA

 

HIPAAはヘルスケア系のレギュレーション。EPHI (Electronic Protected Health Information) と呼称される、個人の健康情報を扱う関係者 Covered Entity に適用される規制。政府系にはFISMAがあり、それの医療機関バージョンという理解でまずは良さそう。

 

NIST SP800-66:

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-66r1.pdf

 

 HIPAAのSecurity Rule実装のガイドとしては、どこに守るべきデータが存在するかを明らかにし、ポリシーの策定、役割のアサイン、脅威とリスクの決定、機密にするための取り組み(暗号化など)、アクセス管理、継続的な監査、事故発生時の対応方針と対応の実装、一連のドキュメント化など。HIPAAだからというトリッキーな部分は見当たらないようだ。