在醫療領域內，解決醫療安全問題的方法已被使用很久。由一位風險管理人領導並採取醫療安全措施的團隊，已經形成以有系統模式在醫療實踐過程中防止錯誤，並且已經在分析事件過程中起積極作用。借助於他們，醫療護理過程已經繼續改進，取得更安全的醫療護理。目前，因為醫療護理站點使用越來越多的資訊技術(IT)，資訊系統未來在醫療組織的企業活動中起重要作用。保持資訊安全變成為我國醫療組織管理者的一個重要目標。美國健康保險可攜性與責任法案(HIPAA)中明訂許多規範，在美國執行效能雖仍有待觀察、但已成為醫療產業資訊安全治理的標竿。目前國內取材自HIPAA且已擬訂了「醫療資訊安全與隱私保護指導綱領草案」[12]，共計九大原則、12條條文。相較於美國HIPAA條文而言，目前國內「醫療資訊安全與隱私保護指導綱領草案」的內容較少，而且原則上也未涵括技術性層面，只具有宣導作用。本文將探討ISO/DIS 27799國際標準草案(Draft International Standard)應用於國內醫療組織的可行性及其ISMS管理層面的細節，期能建構出一符合機密性、完整性及可用性安全要求的醫療資訊系統及其管理使用環境。