ISO 27799:2025 – Bezpieczeństwo informacji w ochronie zdrowia. Nowe wymagania dla szpitali i systemów medycznych
ISO 27799:2025 to nowy standard bezpieczeństwa danych medycznych. Poznaj wymagania dla szpitali i systemów ochrony zdrowia oraz dowiedz się, co zmieniła edycja 2025.
Czy Twoja organizacja jest gotowa na nowe wymagania bezpieczeństwa danych medycznych?
Wprowadzenie do nowej edycji
Dane pacjentów są warte na czarnym rynku nawet dziesięć razy więcej niż dane finansowe. Ataki ransomware na szpitale — jak pamiętny WannaCry z 2017 roku, który sparaliżował NHS i wymusił odwołanie tysięcy operacji — pokazują, że cyberbezpieczeństwo w ochronie zdrowia to dosłownie kwestia życia i śmierci. ISO 27799:2025 to opublikowana w grudniu 2025 roku trzecia edycja międzynarodowego standardu definiującego kontrole bezpieczeństwa informacji dostosowane specjalnie do środowisk medycznych. Norma zastępuje ISO 27799:2016, gruntownie dostosowuje się do ISO/IEC 27002:2022 i dodaje cztery nowe kontrole specyficzne dla sektora zdrowia.
Standard skierowany jest do szpitali, klinik, laboratoriów diagnostycznych, producentów wyrobów medycznych, dostawców systemów IT dla zdrowia oraz organów regulacyjnych i akredytacyjnych. Jeśli Twoja organizacja planuje wdrożenie systemu zarządzania bezpieczeństwem informacji lub certyfikację, sprawdź: 👉 Certyfikacja ISO 27001 – Centrum Certyfikacji QSCert: https://coe.biz.pl/uslugi/centrum-certyfikacji-qscert/iso-27001-certyfikacja/
Kluczowe wymagania i elementy normy ISO 27799:2025
ISO 27799:2025 przyjmuje strukturę ISO/IEC 27002:2022 i obejmuje cztery domeny kontroli: organizacyjne (Klauzula 5), dotyczące ludzi (Klauzula 6), fizyczne (Klauzula 7) i technologiczne (Klauzula 8). Kontrole specyficzne dla ochrony zdrowia oznaczono prefiksem HLT (HeaLTh).
Kontrole organizacyjne i nowe wymagania HLT
Norma wymaga klasyfikowania danych o stanie zdrowia pacjenta (PHI) jako co najmniej poufnych, a dostęp do nich musi opierać się na zasadzie potrzeby wiedzy — pracownik uzyskuje wgląd do dokumentacji wyłącznie jako część zespołu terapeutycznego lub działając w imieniu pacjenta. Nowa kontrola HLT External Incident Reporting (5.43) nakłada obowiązek zidentyfikowania i dokumentowania wszystkich regulacyjnych wymogów raportowania incydentów bezpieczeństwa — bezpośrednie wsparcie dla zgodności z dyrektywą NIS2 i RODO. Przełomowa kontrola HLT Emergency Communication (5.42) wymaga zaplanowania i testowania kanałów komunikacji awaryjnej działających bez infrastruktury ICT — scenariusz krytyczny dla oddziałów ratunkowych i bloków operacyjnych.
Zarządzanie ludźmi i szkolenia kierownictwa
Nowa kontrola HLT Management Training (6.9) nakłada na zarząd obowiązek regularnych szkoleń w zakresie bezpieczeństwa informacji, w tym symulacji kryzysowych dotyczących ataków ransomware i naruszeń danych. Odpowiedzialność za bezpieczeństwo nie może być delegowana wyłącznie do działu IT. Norma podkreśla szczególne zagrożenie atakami socjotechnicznymi — podszywaniem się pod lekarzy, krewnych pacjentów czy inspekcję sanitarną — i wymaga, by szkolenia obejmowały rozpoznawanie tych technik. Wszyscy pracownicy z dostępem do PHI muszą być formalnie zobowiązani do zachowania poufności.
Kontrole technologiczne i zasada Zero Trust
Nowa kontrola HLT Zero Trust Principles (8.35) wprowadza zasadę „nigdy nie ufaj, zawsze weryfikuj” jako wymóg dla sieci medycznych: segmenty sieci powinny być możliwie małe, a dostęp między nimi możliwy wyłącznie po wzajemnym uwierzytelnieniu obu stron. To odpowiedź na rosnącą liczbę urządzeń medycznych podłączonych do sieci szpitalnych — od respiratorów po pompy infuzyjne — które mają ograniczone możliwości aktualizacji oprogramowania z powodów klinicznych. Standard wymaga co najmniej dwuskładnikowego uwierzytelniania dla systemów przetwarzających PHI (8.5), szyfrowania kopii zapasowych danych medycznych (8.13) i szyfrowania wszystkich danych PHI na wymiennych nośnikach.
Proces wdrożenia ISO 27799:2025
Wdrożenie ISO 27799:2025 trwa typowo od 9 do 18 miesięcy w zależności od wielkości organizacji i dojrzałości istniejących systemów bezpieczeństwa: 9–12 miesięcy dla małych podmiotów leczniczych, 15–18 miesięcy dla dużych szpitali wielooddziałowych.
Pierwszym krokiem jest analiza luk (gap analysis) względem wymagań normy. Organizacja mapuje istniejące kontrole, identyfikując obszary niedoborów — szczególnie w zakresie nowych kontroli HLT. W podmiotach medycznych ta faza obejmuje specyficzne wyzwanie: audyt urządzeń medycznych podłączonych do sieci, które często pracują na przestarzałych systemach i wymagają kompensacyjnych środków bezpieczeństwa zamiast standardowych aktualizacji.
Projektowanie systemu obejmuje politykę bezpieczeństwa informacji zatwierdzoną przez najwyższe kierownictwo, procedury kontroli dostępu do PHI — w tym mechanizm awaryjnego dostępu „break the glass” z pełną audytowalnością — klasyfikację informacji i procesy zarządzania incydentami. Norma wymaga wyznaczenia co najmniej jednej osoby odpowiedzialnej za bezpieczeństwo informacji, a dla organizacji powyżej 500 pracowników rekomenduje powołanie formalnego komitetu.
Wdrożenie obejmuje zabezpieczenia techniczne (MFA, szyfrowanie, segmentacja sieci Zero Trust), szkolenia personelu w zakresie zagrożeń specyficznych dla medycyny, system zarządzania logami oraz testowanie procedur ciągłości działania. ISO 27799:2025 może być stosowana samodzielnie lub jako uzupełnienie certyfikacji ISO/IEC 27001 — Załącznik A normy może być bezpośrednio włączony do Deklaracji Stosowalności wymaganej przez ISO 27001.
👉 Wsparcie we wdrożeniu systemu ciągłości działania: https://coe.biz.pl/uslugi/ciaglosc-dzialania/ 👉
Podsumowanie
ISO 27799:2025 wyznacza nowy standard ochrony danych medycznych w erze rosnących cyberzagrożeń i cyfryzacji ochrony zdrowia. Cztery nowe kontrole HLT — Zero Trust, Emergency Communication, Management Training i External Incident Reporting — adresują specyficzne wyzwania, których żaden ogólny standard bezpieczeństwa nie obejmuje. Dla organizacji medycznych wdrożenie normy to konkretna redukcja ryzyka finansowego i reputacyjnego oraz realna ochrona bezpieczeństwa pacjentów.
Jeśli Twoja organizacja potrzebuje wsparcia w analizie luk lub przygotowaniu do wdrożenia, skontaktuj się z nami: 👉 Certyfikacja ISO 27001 – Centrum Certyfikacji QSCert: https://coe.biz.pl/uslugi/centrum-certyfikacji-qscert/iso-27001-certyfikacja/
FAQ: ISO 279799
Q1: Czym jest ISO 27799:2025?
ISO 27799:2025 to międzynarodowy standard bezpieczeństwa informacji dla sektora ochrony zdrowia, oparty na ISO/IEC 27002:2022. Norma definiuje kontrole dostosowane do specyfiki środowisk medycznych — ochronę danych pacjentów (PHI), bezpieczeństwo urządzeń medycznych i ciągłość opieki. Edycja 2025 zastępuje ISO 27799:2016 i wprowadza cztery nowe kontrole HLT, w tym Zero Trust i Emergency Communication.
Q2: Kto powinien wdrożyć ISO 27799:2025?
Norma przeznaczona jest dla wszystkich organizacji przetwarzających dane zdrowotne: szpitali, klinik, laboratoriów diagnostycznych, producentów wyrobów medycznych z oprogramowaniem, dostawców systemów IT dla zdrowia oraz organów regulacyjnych i akredytacyjnych. Jest szczególnie istotna dla podmiotów wdrażających elektroniczną dokumentację medyczną lub telemedycynę.
Q3: Czym różni się ISO 27799 od ISO 27001?
ISO 27001 to ogólny standard systemu zarządzania bezpieczeństwem informacji dla każdej branży. ISO 27799:2025 jest standardem sektorowym rozszerzającym ISO 27001 o wymagania specyficzne dla ochrony zdrowia — bezpieczeństwo urządzeń medycznych, ochronę PHI i ciągłość opieki. Obie normy mogą być stosowane jednocześnie; ISO 27799 uzupełnia certyfikację ISO 27001.
Q4: Jakie nowe kontrole wprowadza ISO 27799:2025 względem edycji 2016?
Edycja 2025 dodaje cztery nowe kontrole HLT: Emergency Communication (5.42) — komunikacja awaryjna przy braku ICT; External Incident Reporting (5.43) — raportowanie incydentów do organów zewnętrznych; Management Training (6.9) — szkolenia kierownictwa w zakresie bezpieczeństwa; Zero Trust Principles (8.35) — segmentacja sieci i wzajemne uwierzytelnianie. Norma jest też gruntownie dostosowana do ISO/IEC 27002:2022.
Q5: Jak długo trwa wdrożenie ISO 27799:2025?
Typowy czas wdrożenia to 9–12 miesięcy dla małych podmiotów leczniczych, 12–15 miesięcy dla średnich i 15–18 miesięcy dla dużych szpitali wielooddziałowych. Czas zależy od dojrzałości istniejących systemów bezpieczeństwa, liczby systemów IT i urządzeń medycznych podłączonych do sieci.
Q6: Czy ISO 27799:2025 jest obowiązkowa?
ISO 27799:2025 nie jest prawnie obowiązkowa, jednak jej wymagania są coraz silniej odzwierciedlone w regulacjach sektorowych. Polskie organizacje ochrony zdrowia podlegają RODO, ustawie o działalności leczniczej i dyrektywie NIS2. ISO 27799:2025 stanowi uznany framework wykazania zgodności z tymi obowiązkami.
Q7: Ile kosztuje wdrożenie ISO 27799:2025?
Koszt zależy od wielkości organizacji i stanu istniejących zabezpieczeń. Dla małych podmiotów leczniczych typowe koszty konsultingowe wynoszą 20 000–50 000 PLN, dla średnich 50 000–120 000 PLN. Należy uwzględnić koszty szkoleń, inwestycji technicznych oraz opcjonalnej certyfikacji ISO 27001 wymagającej audytu przez akredytowaną jednostkę.
Bibliografia:
Artykuł został przygotowany na podstawie następujących źródeł:
Oficjalne dokumenty:
- ISO 27799:2025 Health informatics — Information security controls in health based on ISO/IEC 27002, ISO.org, 2025, https://www.iso.org/standard/83930.html
- EN ISO 27799:2026, European Committee for Standardization (CEN), styczeń 2026
- ISO/IEC 27002:2022 Information security controls, ISO.org, 2022, https://www.iso.org/standard/75652.html
- ISO/IEC 27001:2022 Information security management systems, ISO.org, 2022, https://www.iso.org/standard/27001
Publikacje eksperckie:
- ENISA Threat Landscape for the Health Sector 2023, ENISA, 2023, https://www.enisa.europa.eu/publications/health-threat-landscape
- IBM Cost of a Data Breach Report 2024, IBM Security, 2024, https://www.ibm.com/security/data-breach
Dodatkowe materiały:
- ISO Survey of Management System Standard Certifications 2023, ISO.org, 2024, https://www.iso.org/iso-survey.html