该国际标准为医疗保健组织和其他个人健康信息保管人提供了有关如何通过实施ISO/IEC 27002最佳地保护此类信息的机密性，完整性和可用性的指南。特别是，该国际标准满足了以下方面的特殊信息安全管理需求：卫生部门及其独特的运营环境。尽管个人信息的保护和安全对所有个人，公司，机构和政府都很重要，但在医疗卫生领域仍需要满足一些特殊要求，以确保个人健康信息的机密性，完整性，可审计性和可用性。在许多个人信息中，这类信息被认为是最机密的信息之一。如果要维护护理对象的隐私，则必须保护此机密性。必须保护健康信息的完整性，以确保患者的安全，并且保护的重要组成部分是确保对信息的整个生命周期进行全面审核。健康信息的可用性对于有效提供医疗保健也至关重要。卫生信息系统必须满足独特的需求，才能在自然灾害，系统故障和拒绝服务攻击下保持运行。因此，保护健康信息的机密性，完整性和可用性需要特定于健康部门的专业知识，并不打算取代ISO/IEC 27002或ISO/IEC27001。相反，它是对这些更通用标准的补充。 附件A描述了对健康信息的一般威胁。附件B简要描述了可应用于健康信息安全特定方面的其他标准。附件C讨论了支持工具有助于实施的优势。

尽管规定的范围是健康，但该标准的价值超出了预期的受众。例如，有关定义范围，分析差距和建立信息安全管理论坛的建议将适用于其他行业实施ISO27000的组织。有关风险管理的建议大量采用了ISO/IEC TR 13335，并且超出了ISO/IEC 27002中提供的建议。甚至治理也值得一提。