воскресенье, 5 июля 2020 г.

ИСО: Завершается работа над новой редакцией стандарта ISO 27789 «Журналы аудита для электронных медицинских документов»


Как сообщил сайт Международной организации по стандартизации, идёт голосование по проекту международного стандарта ISO/DIS 27789 «Информатизация здравоохранения – Журналы аудита для электронных медицинских документов» (Health informatics - Audit trails for electronic health records) объёмом 43 страницы основного текста, см. https://www.iso.org/standard/75313.html и https://www.iso.org/obp/ui/#!iso:std:75313:en .

Документ, подготовленный техническим комитетом ИСО TC 215 «Информатизация здравоохранения» (Health informatics) заменит одноимённый действующий стандарт ISO 27789:2013 (см. мой пост http://rusrim.blogspot.com/2013/03/blog-post_2015.html ), который в России был адаптирован как ГОСТ Р ИСО 27789-2016 «Информатизация здоровья. Журналы аудита для электронных медицинских карт», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=196542 и мой пост о нём http://rusrim.blogspot.com/2016/08/blog-post_0.html .

По ряду признаков можно предположить, что новая редакция будет мало отличаться от действующей.

Во вводной части документа отмечается следующее:
«Настоящий документ определяет общую концепцию журналов аудита для электронных медицинских документов (electronic health records, EHR) в плане ключевых событий-триггеров аудита (audit trigger events) и данных аудита, с целью обеспечить возможность аудита полного набора персональной медицинской информации во всех соответствующих информационных системах и областях.

Стандарт применим к системам, обрабатывающим персональную медицинскую информацию (personal health information, PHI), которые, в соответствии с требованиями ISO 27799, создают защищенную запись аудита всякий раз, когда пользователь через систему получает доступ, создает, обновляет или архивирует персональную медицинскую информацию.

Примечание: Такие записи аудита, как минимум, однозначно идентифицируют пользователя, однозначно идентифицируют субъекта медицинского ухода, идентифицируют выполняемую пользователем функцию (создание документа, доступ, обновление и т.д.), и документируют дату и время, когда эта функция была выполнена.

Настоящий документ охватывает только те действия, выполняемые в отношении электронных медицинских документов, которые регламентируются политикой доступа для предметной области, в которой находятся электронные медицинские документы. Он не имеет отношения к какой-либо персональной медицинской информации в составе электронной медицинской документации, за исключением идентификаторов; записи аудита содержит только ссылки на сегменты электронной медицинской документации, в соответствии с положениями политики доступа.

Стандарт не содержит спецификации и не регламентирует использование журналов аудита для целей управления системой и обеспечения её безопасности, таких, как выявление проблем с производительностью и дефектов программных приложений, или же поддержка восстановления данных, которые рассматриваются в более общих стандартах компьютерной безопасности, таких как ISO/IEC 15408.

В Приложении A приведены примеры сценариев аудита. Приложение B содержит сервисов, связанных с журналами аудита.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения 
5. Требования к данным аудита и их использование
6. События-триггеры 
7. Структура записи аудита
8. Записи аудита об отдельных событиях
9. Защищённый менеджмент данных аудита
Приложение A: Сценарии аудита
Приложение B: Сервисы, связанные с журналами аудита
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/75313.html
https://www.iso.org/obp/ui/#!iso:std:75313:en

Комментариев нет:

Отправка комментария