ГОСТР ИСО 27789—2016
сколькими ролями, а каждую роль к одной или нескольким системным функциям, как рекомендовано в
ИСО 27799:2008. 7.8.2.2, Управление полномочиями.
Функциональные и структурные роли задокументированы в ИСО/ТС 21298 [4). Дополнительные
руководства по управлению полномочиями в здравоохранении представлены в ИСО/ТС 22600 [6]
5.1.5 Защищенные записи аудита
Защищенные записи аудита должны создаваться каждый раз. когда к персональной медицинской
информации осуществляется доступ или когда она создается, обновляется или архивируется в соот
ветствии с ИСО 27799:2008, 7.7.10.2. Ведение журнала аудита. Записи аудита должны поддерживаться
управлением защищенными записями.
5.2 Пользователи данных аудита
5.2.1 Управление и контроль
Аудиторские следы должны предоставлять данные, позволяющие ответственным органам оцени
вать соответствие с политикой организации и оценивать ее эффективность.
Под этим подразумевается.
- обнаружение несанкционированного доступа к медицинским картам,
- оценка экстренного доступа.
- обнаружение злоупотребления полномочиями
и поддерживается:
- документально оформленный доступ к предметным областям и
- оценка политик доступа.
П р и м е ч а н и е — Полная оценка соответствия политике организации может потребовать предоставление
дополнительных данных, которые не содержатся в записи аудита, таких как информация о пользователе, таблица
полномочий или записи по физическому доступу к защищенным помещениям. См. в приложении В информацию о
сервисах журналов аудита.
Аудиторские следы должны предоставлять достаточный объем данных для определения всех
случаев доступа к картам субъектов получения медицинской помощи конкретным пользователем в
пределах заданного промежутка времени.
Аудиторские следы должны предоставлять достаточный объем данных для определения всех
случаев доступа к картам субъектов получения медицинской помощи, о которых известно, что для них
повышен риск нарушения конфиденциальности.
5.2.2 Осуществление прав субъектов получения медицинской помощи
Аудиторские следы должны предоставлять достаточный объем данных для того, чтобы позволить
субъектам получения медицинской помощи:
- определять, какие авторизованные пользователи имели доступ к его/ее медицинской карте и
когда это происходило,
- оценивать учетность для содержания карты.
- определять соответствие с директивами согласия субъекта получения медицинской помощи на
доступ или разглашение данных субъекта получения медицинской помощи и
- определять экстренный доступ {при наличии такового), предоставляемый пользователю, к карте
субъекта получения медицинской помощи, включая идентификацию пользователя, время доступа и
место доступа.
5.2.3 Этические и юридические доказательства деятельности поставщика медицинской по
мощи
Аудиторские следы должны предоставлять данные для обеспечения поставщиков медицинской
помощи документальными доказательствами того, как демонстрировалась информация и какие дей
ствия были выполнены (создание, просмотр, чтение, исправление, обновление, выделение, выведе
ние. архивирование и т. д.). с информацией, когда и кем они были предприняты.
Сохранение записей аудита должно быть согласовано с юридическими условиями учетности в
пределах юрисдикции.
См. Управление документами и подтверждение доказательствами (RM-ES) для EHR в HL7.
5