Die internationale Norm ISO 27799 ist Teil der ISO-27000-Normenreihe und wurde 2008 vom Technical Committee ISO/TC 215 der International Organization for Standardization (ISO) veröffentlicht. Sie trägt den offiziellen Titel „Health informatics — Information security management in health using ISO/IEC 27002“.

Die ISO 27799 ist als branchenspezifische Ergänzung zur Norm ISO 27001 zu sehen und trägt den besonderen Sicherheitsanforderungen im Gesundheitssektor Rechnung. Dementsprechend ist auch eine Zertifizierung nur nach ISO 27001 möglich. Als Implementierungsleitfaden ist für beide Standards die ISO 27002 heranzuziehen. Mit der Einführung der ISO 27799 haben Gesundheitseinrichtungen die Möglichkeit, ein erforderliches Minimum an Informationssicherheit sicherzustellen und so die Vertraulichkeit, Verfügbarkeit und Integrität persönlicher, gesundheitsbezogener Daten zu gewährleisten. Besondere Bedrohungen und Schwachstellen in Gesundheitseinrichtungen

Naturgemäß lässt sich in Gesundheitseinrichtungen der Zutritt von Besuchern bzw. der allgemeinen Öffentlichkeit nicht vermeiden. Besonders bei großen Institutionen kann die unüberschaubare Anzahl an Menschen, die sich frei im Gebäude bewegen, ein hohes Sicherheitsrisiko darstellen: Physische Schäden an den Systemen sind hier deutlich wahrscheinlicher als in anderen Branchen.

Neben den besonderen Bedrohungen ist auch der erhöhte Schutzbedarf von Patientenakten zu berücksichtigen: Diese enthalten sensible, personenbezogene Daten, deren Vertraulichkeit sichergestellt werden muss. Darüber hinaus sind die Datenintegrität und -verfügbarkeit für die Patientensicherheit essenziell, da in vielen Fällen die richtige und rechtzeitige Behandlung davon abhängt.