この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
1 スコープ
この国際規格は、監査トリガー イベントと監査データの観点から、電子医療記録 (EHR) の監査証跡の共通フレームワークを指定して、情報システムとドメイン全体で監査可能な個人の健康情報の完全なセットを維持します。
これは、ISO 27799 に準拠し、ユーザーがシステムを介して個人の健康情報にアクセス、更新を作成、またはアーカイブするたびに安全な監査記録を作成する、個人の健康情報を処理するシステムに適用できます。
注記このような監査記録は、少なくとも、ユーザーを一意に識別し、ケアの対象を一意に識別し、ユーザーによって実行された機能 (記録の作成、アクセス、更新など) を識別し、機能が実行された日時を記録します。実行したもの。
この国際規格は、電子医療記録が存在するドメインのアクセス ポリシーによって管理される、EHR で実行されるアクションのみを対象としています。監査レコードには、管理アクセス ポリシーで定義されている EHR セグメントへのリンクのみが含まれています。
ISO などの一般的なコンピューター セキュリティ標準で扱われている、パフォーマンスの問題、アプリケーションの欠陥、データの再構築のサポートなどのシステム管理およびシステム セキュリティ目的での監査ログの仕様と使用については説明しません。/IEC 15408- [9]
附属書 A は、監査シナリオの例を示しています。付録 B は、監査ログ サービスの概要を示しています。
1 Scope
This International Standard specifies a common framework for audit trails for electronic health records (EHR), in terms of audit trigger events and audit data, to keep the complete set of personal health information auditable across information systems and domains.
It is applicable to systems processing personal health information which, complying with ISO 27799, create a secure audit record each time a user accesses, creates, updates or archives personal health information via the system.
NOTE Such audit records, at a minimum, uniquely identify the user, uniquely identify the subject of care, identify the function performed by the user (record creation, access, update, etc.), and record the date and time at which the function was performed.
This International Standard covers only actions performed on the EHR, which are governed by the access policy for the domain where the electronic health record resides. It does not deal with any personal health information from the electronic health record, other than identifiers, the audit record only containing links to EHR segments as defined by the governing access policy.
It does not cover the specification and use of audit logs for system management and system security purposes, such as the detection of performance problems, application flaw, or support for a reconstruction of data, which are dealt with by general computer security standards such as ISO/IEC 15408-2.[9]
Annex A gives examples of audit scenarios. Annex B gives an overview of audit log services.