ГОСТ Р ИСО 27789—2016
Н А Ц И О Н А Л Ь Н Ы ЙС Т А Н Д А Р ТР О С С И Й С К О ЙФ Е Д Е Р А Ц И И
ИНФОРМАТИЗАЦИЯ ЗДОРОВЬЯ
Журналы аудита для электронных медицинских карт
Health informatics. Audit trails for electronic health records
Дата введения — 2017—07—01
1 Область применения
Настоящий стандарт определяет общую структуру аудиторских следов для электронных медицин
ских карт (EHR). в терминах контрольных событий аудита и данных аудита, для поддержки контроли
руемости всего набора персональной медицинской информации в разных информационных системах и
предметных областях.
Настоящий стандарт применим к системам обработки персональной медицинской информации,
которые в соответствии с ИСО 27799 создают защищенную запись аудита каждый раз. когда пользова
тель получает доступ, создает, обновляет или архивирует персональную медицинскую информацию в
системе.
П р и м е ч а н и е — Такие записи аудита, как минимум, однозначно идентифицируют пользователя, одно
значно идентифицируют субьект получения медицинской помощи, идентифицируют функцию, выполняемую поль
зователем (создание, доступ, обновление записи и т. д.), и записывают дату и время, в которое была выполнена эта
функция.
Настоящий стандарт охватывает только действия, выполняемые с помощью EHR. которые под
чиняются политике обеспечения доступа к предметной области, для которой электронная медицинская
карта была выпущена. Настоящий стандарт не относится к какой-либо персональной медицинской ин
формации из электронной медицинской карты, кроме идентификаторов, запись аудита содержит толь ко
ссылки на разделы EHR. как указано в применяемой политике доступа.
В настоящем стандарте не рассматриваются характеристики и использование журналов аудита в
целях управления системой и обеспечения защиты системы, таких как определение проблем произво
дительности. недостатков программы или поддержка при восстановлении данных, которые рассматри
ваются в общих стандартах по компьютерной безопасности, таких как ИСО/МЭК 15408-2 (9].
В приложении А представлены примеры сценариев аудита. Приложение В содержит обзор серви
сов журнала аудита.
2 Нормативные ссылки
Следующие нормативные документы являются обязательными для применения настоящего до
кумента. Для датированных ссылок применяется только цитированное издание. Для недатированных
ссылок применяется последнее издание ссылочного документа (включая все поправки).
ИСО 8601:2004 Элементы данных и форматы для обмена информацией. Обмен информацией.
Представление дат и времени (ISO 8601:2004. Data elements and interchange formats — Information
interchange — Representation of dates and times)
ИСО 27799:2008 Информатизация здоровья. Менеджмент безопасности информации по стандар
ту ИСО/МЭК 27002 (ISO 27799:2008. Health informatics — Information secunty management in health using
ISO/МЭК 27002)
Издание официальное
1