Документ, подготовленный техническим комитетом ИСО TC 215 «Информатизация здравоохранения» (Health informatics) заменит одноимённый действующий стандарт ISO 27789:2013 (см. мой пост http://rusrim.blogspot.com/2013/03/blog-post_2015.html ), который в России был адаптирован как ГОСТ Р ИСО 27789-2016 «Информатизация здоровья. Журналы аудита для электронных медицинских карт», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=196542 и мой пост о нём http://rusrim.blogspot.com/2016/08/blog-post_0.html .
По ряду признаков можно предположить, что новая редакция будет мало отличаться от действующей.
Во вводной части документа отмечается следующее:
«Настоящий документ определяет общую концепцию журналов аудита для электронных медицинских документов (electronic health records, EHR) в плане ключевых событий-триггеров аудита (audit trigger events) и данных аудита, с целью обеспечить возможность аудита полного набора персональной медицинской информации во всех соответствующих информационных системах и областях.Содержание стандарта следующее:
Стандарт применим к системам, обрабатывающим персональную медицинскую информацию (personal health information, PHI), которые, в соответствии с требованиями ISO 27799, создают защищенную запись аудита всякий раз, когда пользователь через систему получает доступ, создает, обновляет или архивирует персональную медицинскую информацию.
Примечание: Такие записи аудита, как минимум, однозначно идентифицируют пользователя, однозначно идентифицируют субъекта медицинского ухода, идентифицируют выполняемую пользователем функцию (создание документа, доступ, обновление и т.д.), и документируют дату и время, когда эта функция была выполнена.
Настоящий документ охватывает только те действия, выполняемые в отношении электронных медицинских документов, которые регламентируются политикой доступа для предметной области, в которой находятся электронные медицинские документы. Он не имеет отношения к какой-либо персональной медицинской информации в составе электронной медицинской документации, за исключением идентификаторов; записи аудита содержит только ссылки на сегменты электронной медицинской документации, в соответствии с положениями политики доступа.
Стандарт не содержит спецификации и не регламентирует использование журналов аудита для целей управления системой и обеспечения её безопасности, таких, как выявление проблем с производительностью и дефектов программных приложений, или же поддержка восстановления данных, которые рассматриваются в более общих стандартах компьютерной безопасности, таких как ISO/IEC 15408.
В Приложении A приведены примеры сценариев аудита. Приложение B содержит сервисов, связанных с журналами аудита.»
ПредисловиеИсточник: сайт ИСО
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Требования к данным аудита и их использование
6. События-триггеры
7. Структура записи аудита
8. Записи аудита об отдельных событиях
9. Защищённый менеджмент данных аудита
Приложение A: Сценарии аудита
Приложение B: Сервисы, связанные с журналами аудита
Библиография
https://www.iso.org/standard/75313.html
https://www.iso.org/obp/ui/#!iso:std:75313:en
Комментариев нет:
Отправить комментарий