在醫療領域內,解決醫療安全問題的方法已被使用很久。由一位風險管理人領導並採取醫療安全措施的團隊,已經形成以有系統模式在醫療實踐過程中防止錯誤,並且已經在分析事件過程中起積極作用。借助於他們,醫療護理過程已經繼續改進,取得更安全的醫療護理。目前,因為醫療護理站點使用越來越多的資訊技術(IT),資訊系統未來在醫療組織的企業活動中起重要作用。保持資訊安全變成為我國醫療組織管理者的一個重要目標。美國健康保險可攜性與責任法案(HIPAA)中明訂許多規範,在美國執行效能雖仍有待觀察、但已成為醫療產業資訊安全治理的標竿。目前國內取材自HIPAA且已擬訂了「醫療資訊安全與隱私保護指導綱領草案」[12],共計九大原則、12條條文。相較於美國HIPAA條文而言,目前國內「醫療資訊安全與隱私保護指導綱領草案」的內容較少,而且原則上也未涵括技術性層面,只具有宣導作用。本文將探討ISO/DIS 27799國際標準草案(Draft International Standard)應用於國內醫療組織的可行性及其ISMS管理層面的細節,期能建構出一符合機密性、完整性及可用性安全要求的醫療資訊系統及其管理使用環境。