Как сообщил сайт Международной организации по стандартизации (ИСО), в октябре 2021 года была опубликована новая, вторая редакция стандарта ISO 27789:2021 «Медицинская информатика – Журналы аудита для электронных медицинских документов» (Health informatics - Audit trails for electronic health records) объёмом 56 страниц, см. https://www.iso.org/standard/75313.html и https://www.iso.org/obp/ui/#!iso:std:75313:en .
Документ подготовлен техническим комитетом ИСО TC 215 «Медицинская информатика (информатизация здравоохранения)» (Health informatics). Он заменил ранее действовавший стандарт ISO 27789:2013.
«Персональная медицинская информация рассматривается многими как одна из самых конфиденциальных среди всех типов персональных данных, и защита её конфиденциальности имеет важнейшее значение для обеспечения неприкосновенности частной жизни субъектов лечения и ухода. Для обеспечения согласованности медицинской информации также важно, чтобы весь её жизненный цикл полностью охватывался аудитом. Медицинские документы должны создаваться, обрабатываться и управляться таким способами, которые обеспечивают целостность и конфиденциальность их контента и поддерживают возможность законного контроля со стороны субъектов лечения и ухода в отношении того, как эти документы создаются, используются и поддерживаются
… Настоящий документ определяет общую концепцию журналов аудита (audit trails) для электронных медицинских документов (electronic health records, EHR) в плане ключевых событий-триггеров аудита (audit trigger events) и данных аудита, с целью обеспечить возможность аудита полного набора персональной медицинской информации во всех соответствующих информационных системах и областях.
Стандарт применим к системам, обрабатывающим персональную медицинскую информацию (personal health information, PHI), которые создают защищенную запись аудита (audit record) всякий раз, когда пользователь через систему читает, создает, обновляет или архивирует персональную медицинскую информацию.
Примечание: Такие записи аудита, как минимум, однозначно идентифицируют пользователя, однозначно идентифицируют субъекта медицинского ухода, идентифицируют выполняемую пользователем функцию (создание документа, чтение, обновление и т.д.), и документируют дату и время, когда эта функция была выполнена.
Настоящий документ охватывает только те действия, выполняемые в отношении электронных медицинских документов, которые регламентируются политикой доступа для зоны, в которой находятся электронные медицинские документы. Он не имеет отношения к какой-либо персональной медицинской информации в составе электронной медицинской документации, за исключением идентификаторов; записи аудита содержит только ссылки на сегменты электронной медицинской документации, в соответствии с положениями политики доступа.
Стандарт не содержит спецификаций и не регламентирует использование журналов аудита для целей управления системой и обеспечения её безопасности, таких, как выявление проблем с производительностью и дефектов программных приложений, или же поддержка восстановления данных, которые рассматриваются в более общих стандартах компьютерной безопасности, таких как ISO/IEC 15408 (все части).
В Приложении A приведены примеры сценариев аудита. Приложение B содержит обзор сервисов, связанных с журналами аудита.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Требования к данным аудита и их использование
6. События-триггеры
7. Структура записи аудита
8. Записи аудита об отдельных событиях
9. Защищённый менеджмент данных аудита
Приложение A: Сценарии аудита
Приложение B: Сервисы, связанные с журналами аудита
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/75313.html
https://www.iso.org/obp/ui/#!iso:std:75313:en
Комментариев нет:
Отправить комментарий