ImageVerifierCode 换一换
格式:PDF , 页数:58 ,大小:1.27MB ,
资源ID:682736      下载积分:10000 积分
快捷下载
登录下载
邮箱/手机:
温馨提示:
如需开发票,请勿充值!快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝扫码支付 微信扫码支付   
注意:如需开发票,请勿充值!
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【http://www.mydoc123.com/d-682736.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(DIN EN ISO 27789-2013 Health informatics - Audit trails for electronic health records (ISO 27789 2013) German version EN ISO 27789 2013《健康信息学 电子健康记录的审计跟踪(ISO 27789-2013) 德文版本EN ISO.pdf)为本站会员(unhappyhay135)主动上传,麦多课文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知麦多课文库(发送邮件至master@mydoc123.com或直接QQ联系客服),我们立即给予删除!

DIN EN ISO 27789-2013 Health informatics - Audit trails for electronic health records (ISO 27789 2013) German version EN ISO 27789 2013《健康信息学 电子健康记录的审计跟踪(ISO 27789-2013) 德文版本EN ISO.pdf

1、Juni 2013DEUTSCHE NORM Normenausschuss Medizin (NAMed) im DINPreisgruppe 21DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 35.240.80!$r“1927904www.din.deDDIN EN ISO 27789Me

2、dizinische Informatik Audit-Trails fr elektronische Gesundheitsakten (ISO 27789:2013);Deutsche Fassung EN ISO 27789:2013Health informatics Audit trails for electronic health records (ISO 27789:2013);German version EN ISO 27789:2013Informatique de sant Historique dexpertise des dossiers de sant infor

3、matiss (ISO 27789:2013);Version allemande EN ISO 27789:2013Alleinverkauf der Normen durch Beuth Verlag GmbH, 10772 Berlin www.beuth.deGesamtumfang 58 SeitenDIN EN ISO 27789:2013-06 2 Nationales Vorwort Dieses Dokument (EN ISO 27789:2013) wurde vom Technischen Komitee ISO/TC 215 Health informatics“ e

4、rarbeitet und wird parallel im CEN/TC 251 Medizinische Informatik“ (Sekretariat: NEN, Niederlande) abgestimmt. Der Fachbereich 7 Medizinische Informatik“ und insbesondere die Mitarbeiter des Arbeitsausschuss NA 063-07-04 AA Sicherheit“ im Normenausschusses Medizin (NAMed) im DIN haben an der Erarbei

5、tung mitgewirkt. Fr die in den Normativen Verweisungen zitierten Internationalen Normen wird im Folgenden auf die ent-sprechenden Deutschen Normen hingewiesen: ISO 8601:2004 siehe DIN ISO 8601:2006-09 ISO 27799:2008 siehe DIN EN ISO 27799:2008-10 Nationaler Anhang NA (informativ) Literaturhinweise D

6、IN ISO 8601:2006-09, Datenelemente und Austauschformate Informationsaustausch Darstellung von Datum und Uhrzeit (ISO 8601:2004) DIN EN ISO 27799:2008-10, Medizinische Informatik Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (ISO 27799:2013); Deutsche Fassung EN ISO 27799

7、:2008 EUROPISCHE NORM EUROPEAN STANDARD NORME EUROPENNE EN ISO 27789 Mrz 2013 ICS 35.240.80 Deutsche Fassung Medizinische Informatik Audit-Trails fr elektronische Gesundheitsakten (ISO 27789:2013) Health informatics Audit trails for electronic health records (ISO 27789:2013) Informatique de sant His

8、torique dexpertise des dossiers de sant informatiss (ISO 27789:2013) Diese Europische Norm wurde vom CEN am 16. Februar 2013 angenommen. Die CEN-Mitglieder sind gehalten, die CEN/CENELEC-Geschftsordnung zu erfllen, in der die Bedingungen festgelegt sind, unter denen dieser Europischen Norm ohne jede

9、 nderung der Status einer nationalen Norm zu geben ist. Auf dem letzten Stand befindliche Listen dieser nationalen Normen mit ihren bibliographischen Angaben sind beim Management-Zentrum des CEN-CENELEC oder bei jedem CEN-Mitglied auf Anfrage erhltlich. Diese Europische Norm besteht in drei offiziel

10、len Fassungen (Deutsch, Englisch, Franzsisch). Eine Fassung in einer anderen Sprache, die von einem CEN-Mitglied in eigener Verantwortung durch bersetzung in seine Landessprache gemacht und dem Management-Zentrum mitgeteilt worden ist, hat den gleichen Status wie die offiziellen Fassungen. CEN-Mitgl

11、ieder sind die nationalen Normungsinstitute von Belgien, Bulgarien, Dnemark, Deutschland, der ehemaligen jugoslawischen Republik Mazedonien, Estland, Finnland, Frankreich, Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, den Niederlanden, Norwegen, sterreich, Pol

12、en, Portugal, Rumnien, Schweden, der Schweiz, der Slowakei, Slowenien, Spanien, der Tschechischen Republik, der Trkei, Ungarn, dem Vereinigten Knigreich und Zypern. EUROPISCHES KOMITEE FR NORMUNG EUROPEAN COMMITTEE FOR STANDARDIZATION COMIT EUROPEN DE NORMALISATION Management-Zentrum: Avenue Marnix

13、17, B-1000 Brssel 2013 CEN Alle Rechte der Verwertung, gleich in welcher Form und in welchem Verfahren, sind weltweit den nationalen Mitgliedern von CEN vorbehalten. Ref. Nr. EN ISO 27789:2013 D EN ISO 27789:2013 (D) 2 Inhalt Seite Vorwort 3 Einleitung .4 1 Anwendungsbereich .6 2 Normative Verweisun

14、gen 6 3 Begriffe .6 4 Symbole und Abkrzungen . 10 5 Anforderungen an und Verwendung von Auditdaten . 10 5.1 Ethische und formale Anforderungen 10 5.2 Verwendung von Auditdaten . 11 6 Auslsende Ereignisse 12 6.1 Allgemeines . 12 6.2 Einzelheiten zu den Ereignistypen und deren Inhalten 13 7 Einzelheit

15、en zum Auditeintrag 14 7.1 Allgemeines Eintragsformat 14 7.2 Identifizierung von auslsenden Ereignissen . 15 7.3 Benutzeridentifizierung 18 7.4 Identifizierung des Zugriffspunkts 22 7.5 Identifizierung der Auditquelle 23 7.6 Identifizierung des Teilnehmerobjekts . 25 8 Auditeintrge fr einzelne Ereig

16、nisse 31 8.1 Zugriffereignisse . 31 8.2 Abfrageereignisse. 34 9 Sichere Verwaltung von Auditdaten . 36 9.1 berlegungen zur Sicherheit . 36 9.2 Sichern der Verfgbarkeit des Auditsystems 36 9.3 Anforderungen an die Aufbewahrung 36 9.4 Sicherung der Vertraulichkeit und Integritt von Audit-Trails . 37 9

17、.5 Zugriff auf Auditdaten 37 Anhang A (informativ) Auditszenarien . 38 Anhang B (informativ) Auditprotokolldienste . 46 Literaturhinweise . 56 DIN EN ISO 27789:2013-06EN ISO 27789:2013 (D) 3 Vorwort Dieses Dokument (EN ISO 27789:2013) wurde vom Technischen Komitee ISO/TC 215 Health informatics“ in Z

18、usammenarbeit mit dem Technischen Komitee CEN/TC 251 Medizinische Informatik“ erarbeitet, dessen Sekretariat vom NEN gehalten wird. Diese Europische Norm muss den Status einer nationalen Norm erhalten, entweder durch Verffentlichung eines identischen Textes oder durch Anerkennung bis September 2013,

19、 und etwaige entgegenstehende nationale Normen mssen bis September 2013 zurckgezogen werden. Es wird auf die Mglichkeit hingewiesen, dass einige Elemente dieses Dokuments Patentrechte berhren knnen. CEN und/oder CENELEC sind nicht dafr verantwortlich, einige oder alle diesbezglichen Patentrechte zu

20、identifizieren. Entsprechend der CEN-CENELEC-Geschftsordnung sind die nationalen Normungsinstitute der folgenden Lnder gehalten, diese Europische Norm zu bernehmen: Belgien, Bulgarien, Dnemark, Deutschland, die ehemalige jugoslawische Republik Mazedonien, Estland, Finnland, Frankreich, Griechenland,

21、 Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Norwegen, sterreich, Polen, Portugal, Rumnien, Schweden, Schweiz, Slowakei, Slowenien, Spanien, Tschechische Republik, Trkei, Ungarn, Vereinigtes Knigreich und Zypern. Anerkennungsnotiz Der Text von ISO 27789:2013

22、wurde vom CEN als EN ISO 27789:2013 ohne irgendeine Abnderung genehmigt. DIN EN ISO 27789:2013-06EN ISO 27789:2013 (D) 4 Einleitung 0.1 Allgemeines Persnliche Gesundheitsinformationen gehren mit zu den vertraulichsten Arten von persnlichen Informa-tionen berhaupt; die Wahrung ihrer Vertraulichkeit i

23、st daher von entscheidender Bedeutung im Zusammen-hang mit dem Schutz der Privatsphre von behandelten Personen. Um die Konsistenz von Gesundheitsinfor-mationen zu schtzen, ist es auerdem wichtig, dass ihr gesamter Lebenszyklus vollstndig auditierbar ist. Gesundheitsakten sollten so erstellt, verarbe

24、itet und verwaltet werden, dass die Integritt und Vertraulichkeit ihres Inhalts garantiert ist und Behandelte die legitime Mglichkeit haben, die Art und Weise der Erstellung, Verwendung und Verwaltung ihrer Akte zu kontrollieren. Um das Vertrauen in elektronische Gesundheitsakten herzustellen, sind

25、physikalische und technische Sicherheitselemente sowie Datenintegrittselemente erforderlich. Zu den wichtigsten Sicherheitsanforde-rungen im Zusammenhang mit dem Schutz persnlicher Gesundheitsinformationen und der Integritt von Eintrgen gehren die Anforderungen an Auditierung und Protokollierung. Di

26、ese helfen dabei sicherzustellen, dass die Zurechenbarkeit fr die zu Behandelnden, die ihre Informationen eGA-Systemen (eGA = elektro-nische Gesundheitsakte) anvertrauen, erkennbar ist. Darber hinaus tragen sie zum Schutz der Integritt der Eintrge bei, da sie Benutzer dieser Systeme dazu anhalten, o

27、rganisationsinterne Leitlinien zur Verwendung dieser Systeme einzuhalten. Eine wirksame Auditierung und Protokollierung kann dazu beitragen, die missbruchliche Verwendung von eGA-Systemen oder eGA-Daten aufzudecken und Organisationen und Behandelten dabei helfen, Schaden-ersatz gegen Benutzer einzuf

28、ordern, die ihre Zugriffsrechte missbraucht haben. Fr eine wirksame Auditie-rung mssen die Audit-Trails ausreichend Informationen enthalten, um eine Vielzahl von Szenarien abdecken zu knnen (siehe Anhang A). Auditprotokolle stellen eine Ergnzung der Zugriffskontrolle dar. Sie bieten ein Mittel zur B

29、ewertung der Ein-haltung organisationsinterner Zugriffsleitlinien und knnen zur Verbesserung und Verfeinerung der Leitlinien selbst beitragen. Da die Leitlinien jedoch das Auftreten von unvorhergesehenen Fllen oder Notfllen bercksichtigen mssen, ist fr diese Flle die Auswertung der Auditprotokolle d

30、as wichtigste Mittel zur Sicherstellung der Zugriffskontrolle. Die vorliegende Norm beschrnkt sich ausschlielich auf die Protokollierung von Ereignissen. Es wird davon ausgegangen, dass nderungen von Datenwerten in den Feldern einer elektronischen Gesundheitsakte nicht im Auditprotokoll, sondern im

31、eGA-Datenbanksystem selbst aufgezeichnet werden. Dabei wird weiterhin davon ausgegangen, dass das eGA-System selbst sowohl den vorherigen als auch den aktualisierten Wert jedes Felds enthlt. Dies entspricht den aktuellen Point-in-time“-Datenbankarchitekturen. Fr das Audit-protokoll wird angenommen,

32、dass es auer den Bezeichnern und Verknpfungen zum Eintrag keine persn-lichen Gesundheitsinformationen enthlt. Die Eintrge der elektronischen Gesundheitsakte einer einzelnen Person knnen in vielen unterschiedlichen Informationssystemen innerhalb einer Organisation oder auch organisations- oder sogar

33、zustndigkeits-bereichsbergreifend liegen. Um die bersicht ber alle Aktionen zu behalten, die Eintrge zu einer bestimmten behandelten Person betreffen, ist ein gemeinsamer Rahmen erforderlich. Diese Norm stellt einen derartigen Rahmen bereit. Fr die Untersttzung domnenbergreifender Audit-Trails ist e

34、s wichtig, in diesem Rahmen auch auf die Leitlinien zu verweisen, die die Anforderungen innerhalb der jeweiligen Domne festlegen, zum Beispiel Zugriffskontrollregeln und Aufbewahrungsfristen. Domnenleitlinien drfen implizit durch Identifizierung der Audiprotokollquelle referenziert werden. DIN EN IS

35、O 27789:2013-06EN ISO 27789:2013 (D) 5 0.2 Vorteile der Anwendung dieser Norm Die Normung von Audit-Trails im Zusammenhang mit dem Zugriff auf elektronische Gesundheitsakten erfllt zwei Zwecke: Sicherstellung, dass die in einem Auditprotokoll erfassten Informationen ausreichend sind, um eine detaill

36、ierte Chronologie der Ereignisse zu rekonstruieren, die den Inhalt einer elektronischen Gesundheitsakte geformt haben; Sicherstellung, dass die Audit-Trails zu den Aktionen im Zusammenhang mit der Akte eines Behandelten zuverlssig nachvollzogen werden knnen, und zwar auch ber Organisationsbereiche h

37、inweg. Diese Norm richtet sich an all jene, die fr die berwachung der Sicherheit bzw. den Schutz von Gesundheits-informationen verantwortlich sind, sowie an Organisationen des Gesundheitswesens und sonstige Verwalter von Gesundheitsinformationen, die sich zu Audit-Trails informieren mchten, sowie an

38、 deren Sicherheits-referenten, Berater, Auditoren, Lieferanten und Drittdienstleister. 0.3 Vergleich mit verwandten Normen zu Audit-Trails fr elektronische Gesundheitsakten Diese Norm stimmt mit den Anforderungen von ISO 27799:2008 berein, soweit sich diese auf Auditierung und Audit-Trails beziehen.

39、 Einige Leser sind mglicherweise mit dem RFC 3881 13 der Internet Engineering Task Force (IETF) vertraut. (Leser, die den IETF RFC 3881 nicht kennen, brauchen sich mit dem Dokument nicht vertraut zu machen, da sein Inhalt keine Voraussetzung fr das Verstndnis der vorliegenden ISO-Norm ist.) Der info

40、rmative (Informational) RFC 3381 vom September 2004, der in der IETF-Datenbank nicht mehr als aktiv gelistet ist, war ein frher und ntzlicher Versuch, den Inhalt von Auditprotokollen fr das Gesundheitswesen festzulegen. Soweit mglich, sttzt sich diese ISO-Norm im Hinblick auf den Zugriff auf die ele

41、ktronische Gesundheitsakte auf die im RFC 3881 begonnene Arbeit. 0.4 Hinweis zur Terminologie In Abschnitt 3 (Begriffe) sind einige eng miteinander verwandte Begriffe definiert. Ein Auditprotokoll ist eine chronologische Folge von Auditeintrgen; jeder Auditeintrag enthlt einen Nachweis darber, dass

42、er unmittelbar zur Ausfhrung einer Prozess- oder Systemfunktion gehrt und sich aus dieser ergibt. Da es sich bei eGA-Systemen um komplexe Aggregationen von Systemen und Datenbanken handeln kann, gibt es mglicherweise mehr als ein Auditprotokoll mit Informationen zu Systemereignissen, die zu einer nd

43、erung in der elektronischen Gesundheitsakte eines Behandelten gefhrt haben. Zwar werden die Benennungen Audit-Trail und Auditprotokoll oft synonym verwendet, in der vorliegenden Norm bezeichnet Audit-Trail jedoch die Sammlung aller Auditeintrge aus einem oder mehreren Auditprotokollen, die sich auf

44、einen bestimmten Behandelten, eine bestimmte elektronische Gesundheitsakte oder einen bestimmten Benutzer beziehen. Ein Auditsystem stellt alle Informationsverarbeitungsfunktionen bereit, die zur Fhrung eines oder mehrerer Auditprotokolle erforderlich sind. DIN EN ISO 27789:2013-06EN ISO 27789:2013

45、(D) 6 1 Anwendungsbereich Diese Internationale Norm legt einen gemeinsamen Rahmen fr Audit-Trails fr elektronische Gesundheitsakten (eGA), fr die auslsenden Ereignisse eines Audits und fr Auditdaten fest, um die Auditierbarkeit des vollstndigen Satzes der persnlichen Gesundheitsinformationen ber Inf

46、ormations-systeme und Zustndigkeitsbereiche hinweg aufrechtzuerhalten. Sie ist anwendbar fr Systeme die persnliche Gesundheitsinformationen verarbeiten, entsprechend ISO 27799, und jedes Mal, wenn ein Benutzer ber das System auf diese Informationen zugreift, sie erzeugt, aktualisiert oder archiviert

47、, einen sicheren Auditeintrag erstellen. ANMERKUNG Bei diesem Auditeintrag handelt es sich mindestens um eine eindeutige Identifizierung des Benutzers, eine eindeutige Identifizierung des Behandelten, eine Angabe der vom Benutzer ausgefhrten Funktion (Erzeugung, Zugriff auf, Aktualisierung eines Ein

48、trags usw.) und die Aufzeichnung des Datums und der Uhrzeit, zu dem die Funktion ausgefhrt wurde. Diese Internationale Norm beschrnkt sich auf an elektronischen Gesundheitsakten ausgefhrte Aktionen, welche durch die Zugriffsleitlinien fr die Domne bestimmt werden, in der die elektronische Gesundheit

49、sakte liegt. Sie enthalten abgesehen von Bezeichnern keinerlei persnliche Gesundheitsinformationen aus der elektronischen Gesundheitsakte. Der Auditeintrag enthlt lediglich entsprechend den jeweiligen Zugriffsleitlinien definierte Verknpfungen zu eGA-Segmenten. Die Spezifikation und Anwendung von Auditprotokollen fr die Systemverwaltung und Systemsicherheit, zum Beispiel zur Erkennung von Leis

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1