1、Juni 2013DEUTSCHE NORM Normenausschuss Medizin (NAMed) im DINPreisgruppe 21DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 35.240.80!$r“1927904www.din.deDDIN EN ISO 27789Me
2、dizinische Informatik Audit-Trails fr elektronische Gesundheitsakten (ISO 27789:2013);Deutsche Fassung EN ISO 27789:2013Health informatics Audit trails for electronic health records (ISO 27789:2013);German version EN ISO 27789:2013Informatique de sant Historique dexpertise des dossiers de sant infor
3、matiss (ISO 27789:2013);Version allemande EN ISO 27789:2013Alleinverkauf der Normen durch Beuth Verlag GmbH, 10772 Berlin www.beuth.deGesamtumfang 58 SeitenDIN EN ISO 27789:2013-06 2 Nationales Vorwort Dieses Dokument (EN ISO 27789:2013) wurde vom Technischen Komitee ISO/TC 215 Health informatics“ e
4、rarbeitet und wird parallel im CEN/TC 251 Medizinische Informatik“ (Sekretariat: NEN, Niederlande) abgestimmt. Der Fachbereich 7 Medizinische Informatik“ und insbesondere die Mitarbeiter des Arbeitsausschuss NA 063-07-04 AA Sicherheit“ im Normenausschusses Medizin (NAMed) im DIN haben an der Erarbei
5、tung mitgewirkt. Fr die in den Normativen Verweisungen zitierten Internationalen Normen wird im Folgenden auf die ent-sprechenden Deutschen Normen hingewiesen: ISO 8601:2004 siehe DIN ISO 8601:2006-09 ISO 27799:2008 siehe DIN EN ISO 27799:2008-10 Nationaler Anhang NA (informativ) Literaturhinweise D
6、IN ISO 8601:2006-09, Datenelemente und Austauschformate Informationsaustausch Darstellung von Datum und Uhrzeit (ISO 8601:2004) DIN EN ISO 27799:2008-10, Medizinische Informatik Sicherheitsmanagement im Gesundheitswesen bei Verwendung der ISO/IEC 27002 (ISO 27799:2013); Deutsche Fassung EN ISO 27799
7、:2008 EUROPISCHE NORM EUROPEAN STANDARD NORME EUROPENNE EN ISO 27789 Mrz 2013 ICS 35.240.80 Deutsche Fassung Medizinische Informatik Audit-Trails fr elektronische Gesundheitsakten (ISO 27789:2013) Health informatics Audit trails for electronic health records (ISO 27789:2013) Informatique de sant His
8、torique dexpertise des dossiers de sant informatiss (ISO 27789:2013) Diese Europische Norm wurde vom CEN am 16. Februar 2013 angenommen. Die CEN-Mitglieder sind gehalten, die CEN/CENELEC-Geschftsordnung zu erfllen, in der die Bedingungen festgelegt sind, unter denen dieser Europischen Norm ohne jede
9、 nderung der Status einer nationalen Norm zu geben ist. Auf dem letzten Stand befindliche Listen dieser nationalen Normen mit ihren bibliographischen Angaben sind beim Management-Zentrum des CEN-CENELEC oder bei jedem CEN-Mitglied auf Anfrage erhltlich. Diese Europische Norm besteht in drei offiziel
10、len Fassungen (Deutsch, Englisch, Franzsisch). Eine Fassung in einer anderen Sprache, die von einem CEN-Mitglied in eigener Verantwortung durch bersetzung in seine Landessprache gemacht und dem Management-Zentrum mitgeteilt worden ist, hat den gleichen Status wie die offiziellen Fassungen. CEN-Mitgl
11、ieder sind die nationalen Normungsinstitute von Belgien, Bulgarien, Dnemark, Deutschland, der ehemaligen jugoslawischen Republik Mazedonien, Estland, Finnland, Frankreich, Griechenland, Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, den Niederlanden, Norwegen, sterreich, Pol
12、en, Portugal, Rumnien, Schweden, der Schweiz, der Slowakei, Slowenien, Spanien, der Tschechischen Republik, der Trkei, Ungarn, dem Vereinigten Knigreich und Zypern. EUROPISCHES KOMITEE FR NORMUNG EUROPEAN COMMITTEE FOR STANDARDIZATION COMIT EUROPEN DE NORMALISATION Management-Zentrum: Avenue Marnix
13、17, B-1000 Brssel 2013 CEN Alle Rechte der Verwertung, gleich in welcher Form und in welchem Verfahren, sind weltweit den nationalen Mitgliedern von CEN vorbehalten. Ref. Nr. EN ISO 27789:2013 D EN ISO 27789:2013 (D) 2 Inhalt Seite Vorwort 3 Einleitung .4 1 Anwendungsbereich .6 2 Normative Verweisun
14、gen 6 3 Begriffe .6 4 Symbole und Abkrzungen . 10 5 Anforderungen an und Verwendung von Auditdaten . 10 5.1 Ethische und formale Anforderungen 10 5.2 Verwendung von Auditdaten . 11 6 Auslsende Ereignisse 12 6.1 Allgemeines . 12 6.2 Einzelheiten zu den Ereignistypen und deren Inhalten 13 7 Einzelheit
15、en zum Auditeintrag 14 7.1 Allgemeines Eintragsformat 14 7.2 Identifizierung von auslsenden Ereignissen . 15 7.3 Benutzeridentifizierung 18 7.4 Identifizierung des Zugriffspunkts 22 7.5 Identifizierung der Auditquelle 23 7.6 Identifizierung des Teilnehmerobjekts . 25 8 Auditeintrge fr einzelne Ereig
16、nisse 31 8.1 Zugriffereignisse . 31 8.2 Abfrageereignisse. 34 9 Sichere Verwaltung von Auditdaten . 36 9.1 berlegungen zur Sicherheit . 36 9.2 Sichern der Verfgbarkeit des Auditsystems 36 9.3 Anforderungen an die Aufbewahrung 36 9.4 Sicherung der Vertraulichkeit und Integritt von Audit-Trails . 37 9
17、.5 Zugriff auf Auditdaten 37 Anhang A (informativ) Auditszenarien . 38 Anhang B (informativ) Auditprotokolldienste . 46 Literaturhinweise . 56 DIN EN ISO 27789:2013-06EN ISO 27789:2013 (D) 3 Vorwort Dieses Dokument (EN ISO 27789:2013) wurde vom Technischen Komitee ISO/TC 215 Health informatics“ in Z
18、usammenarbeit mit dem Technischen Komitee CEN/TC 251 Medizinische Informatik“ erarbeitet, dessen Sekretariat vom NEN gehalten wird. Diese Europische Norm muss den Status einer nationalen Norm erhalten, entweder durch Verffentlichung eines identischen Textes oder durch Anerkennung bis September 2013,
19、 und etwaige entgegenstehende nationale Normen mssen bis September 2013 zurckgezogen werden. Es wird auf die Mglichkeit hingewiesen, dass einige Elemente dieses Dokuments Patentrechte berhren knnen. CEN und/oder CENELEC sind nicht dafr verantwortlich, einige oder alle diesbezglichen Patentrechte zu
20、identifizieren. Entsprechend der CEN-CENELEC-Geschftsordnung sind die nationalen Normungsinstitute der folgenden Lnder gehalten, diese Europische Norm zu bernehmen: Belgien, Bulgarien, Dnemark, Deutschland, die ehemalige jugoslawische Republik Mazedonien, Estland, Finnland, Frankreich, Griechenland,
21、 Irland, Island, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Norwegen, sterreich, Polen, Portugal, Rumnien, Schweden, Schweiz, Slowakei, Slowenien, Spanien, Tschechische Republik, Trkei, Ungarn, Vereinigtes Knigreich und Zypern. Anerkennungsnotiz Der Text von ISO 27789:2013
22、wurde vom CEN als EN ISO 27789:2013 ohne irgendeine Abnderung genehmigt. DIN EN ISO 27789:2013-06EN ISO 27789:2013 (D) 4 Einleitung 0.1 Allgemeines Persnliche Gesundheitsinformationen gehren mit zu den vertraulichsten Arten von persnlichen Informa-tionen berhaupt; die Wahrung ihrer Vertraulichkeit i
23、st daher von entscheidender Bedeutung im Zusammen-hang mit dem Schutz der Privatsphre von behandelten Personen. Um die Konsistenz von Gesundheitsinfor-mationen zu schtzen, ist es auerdem wichtig, dass ihr gesamter Lebenszyklus vollstndig auditierbar ist. Gesundheitsakten sollten so erstellt, verarbe
24、itet und verwaltet werden, dass die Integritt und Vertraulichkeit ihres Inhalts garantiert ist und Behandelte die legitime Mglichkeit haben, die Art und Weise der Erstellung, Verwendung und Verwaltung ihrer Akte zu kontrollieren. Um das Vertrauen in elektronische Gesundheitsakten herzustellen, sind
25、physikalische und technische Sicherheitselemente sowie Datenintegrittselemente erforderlich. Zu den wichtigsten Sicherheitsanforde-rungen im Zusammenhang mit dem Schutz persnlicher Gesundheitsinformationen und der Integritt von Eintrgen gehren die Anforderungen an Auditierung und Protokollierung. Di
26、ese helfen dabei sicherzustellen, dass die Zurechenbarkeit fr die zu Behandelnden, die ihre Informationen eGA-Systemen (eGA = elektro-nische Gesundheitsakte) anvertrauen, erkennbar ist. Darber hinaus tragen sie zum Schutz der Integritt der Eintrge bei, da sie Benutzer dieser Systeme dazu anhalten, o
27、rganisationsinterne Leitlinien zur Verwendung dieser Systeme einzuhalten. Eine wirksame Auditierung und Protokollierung kann dazu beitragen, die missbruchliche Verwendung von eGA-Systemen oder eGA-Daten aufzudecken und Organisationen und Behandelten dabei helfen, Schaden-ersatz gegen Benutzer einzuf
28、ordern, die ihre Zugriffsrechte missbraucht haben. Fr eine wirksame Auditie-rung mssen die Audit-Trails ausreichend Informationen enthalten, um eine Vielzahl von Szenarien abdecken zu knnen (siehe Anhang A). Auditprotokolle stellen eine Ergnzung der Zugriffskontrolle dar. Sie bieten ein Mittel zur B
29、ewertung der Ein-haltung organisationsinterner Zugriffsleitlinien und knnen zur Verbesserung und Verfeinerung der Leitlinien selbst beitragen. Da die Leitlinien jedoch das Auftreten von unvorhergesehenen Fllen oder Notfllen bercksichtigen mssen, ist fr diese Flle die Auswertung der Auditprotokolle d
30、as wichtigste Mittel zur Sicherstellung der Zugriffskontrolle. Die vorliegende Norm beschrnkt sich ausschlielich auf die Protokollierung von Ereignissen. Es wird davon ausgegangen, dass nderungen von Datenwerten in den Feldern einer elektronischen Gesundheitsakte nicht im Auditprotokoll, sondern im
31、eGA-Datenbanksystem selbst aufgezeichnet werden. Dabei wird weiterhin davon ausgegangen, dass das eGA-System selbst sowohl den vorherigen als auch den aktualisierten Wert jedes Felds enthlt. Dies entspricht den aktuellen Point-in-time“-Datenbankarchitekturen. Fr das Audit-protokoll wird angenommen,
32、dass es auer den Bezeichnern und Verknpfungen zum Eintrag keine persn-lichen Gesundheitsinformationen enthlt. Die Eintrge der elektronischen Gesundheitsakte einer einzelnen Person knnen in vielen unterschiedlichen Informationssystemen innerhalb einer Organisation oder auch organisations- oder sogar
33、zustndigkeits-bereichsbergreifend liegen. Um die bersicht ber alle Aktionen zu behalten, die Eintrge zu einer bestimmten behandelten Person betreffen, ist ein gemeinsamer Rahmen erforderlich. Diese Norm stellt einen derartigen Rahmen bereit. Fr die Untersttzung domnenbergreifender Audit-Trails ist e
34、s wichtig, in diesem Rahmen auch auf die Leitlinien zu verweisen, die die Anforderungen innerhalb der jeweiligen Domne festlegen, zum Beispiel Zugriffskontrollregeln und Aufbewahrungsfristen. Domnenleitlinien drfen implizit durch Identifizierung der Audiprotokollquelle referenziert werden. DIN EN IS
35、O 27789:2013-06EN ISO 27789:2013 (D) 5 0.2 Vorteile der Anwendung dieser Norm Die Normung von Audit-Trails im Zusammenhang mit dem Zugriff auf elektronische Gesundheitsakten erfllt zwei Zwecke: Sicherstellung, dass die in einem Auditprotokoll erfassten Informationen ausreichend sind, um eine detaill
36、ierte Chronologie der Ereignisse zu rekonstruieren, die den Inhalt einer elektronischen Gesundheitsakte geformt haben; Sicherstellung, dass die Audit-Trails zu den Aktionen im Zusammenhang mit der Akte eines Behandelten zuverlssig nachvollzogen werden knnen, und zwar auch ber Organisationsbereiche h
37、inweg. Diese Norm richtet sich an all jene, die fr die berwachung der Sicherheit bzw. den Schutz von Gesundheits-informationen verantwortlich sind, sowie an Organisationen des Gesundheitswesens und sonstige Verwalter von Gesundheitsinformationen, die sich zu Audit-Trails informieren mchten, sowie an
38、 deren Sicherheits-referenten, Berater, Auditoren, Lieferanten und Drittdienstleister. 0.3 Vergleich mit verwandten Normen zu Audit-Trails fr elektronische Gesundheitsakten Diese Norm stimmt mit den Anforderungen von ISO 27799:2008 berein, soweit sich diese auf Auditierung und Audit-Trails beziehen.
39、 Einige Leser sind mglicherweise mit dem RFC 3881 13 der Internet Engineering Task Force (IETF) vertraut. (Leser, die den IETF RFC 3881 nicht kennen, brauchen sich mit dem Dokument nicht vertraut zu machen, da sein Inhalt keine Voraussetzung fr das Verstndnis der vorliegenden ISO-Norm ist.) Der info
40、rmative (Informational) RFC 3381 vom September 2004, der in der IETF-Datenbank nicht mehr als aktiv gelistet ist, war ein frher und ntzlicher Versuch, den Inhalt von Auditprotokollen fr das Gesundheitswesen festzulegen. Soweit mglich, sttzt sich diese ISO-Norm im Hinblick auf den Zugriff auf die ele
41、ktronische Gesundheitsakte auf die im RFC 3881 begonnene Arbeit. 0.4 Hinweis zur Terminologie In Abschnitt 3 (Begriffe) sind einige eng miteinander verwandte Begriffe definiert. Ein Auditprotokoll ist eine chronologische Folge von Auditeintrgen; jeder Auditeintrag enthlt einen Nachweis darber, dass
42、er unmittelbar zur Ausfhrung einer Prozess- oder Systemfunktion gehrt und sich aus dieser ergibt. Da es sich bei eGA-Systemen um komplexe Aggregationen von Systemen und Datenbanken handeln kann, gibt es mglicherweise mehr als ein Auditprotokoll mit Informationen zu Systemereignissen, die zu einer nd
43、erung in der elektronischen Gesundheitsakte eines Behandelten gefhrt haben. Zwar werden die Benennungen Audit-Trail und Auditprotokoll oft synonym verwendet, in der vorliegenden Norm bezeichnet Audit-Trail jedoch die Sammlung aller Auditeintrge aus einem oder mehreren Auditprotokollen, die sich auf
44、einen bestimmten Behandelten, eine bestimmte elektronische Gesundheitsakte oder einen bestimmten Benutzer beziehen. Ein Auditsystem stellt alle Informationsverarbeitungsfunktionen bereit, die zur Fhrung eines oder mehrerer Auditprotokolle erforderlich sind. DIN EN ISO 27789:2013-06EN ISO 27789:2013
45、(D) 6 1 Anwendungsbereich Diese Internationale Norm legt einen gemeinsamen Rahmen fr Audit-Trails fr elektronische Gesundheitsakten (eGA), fr die auslsenden Ereignisse eines Audits und fr Auditdaten fest, um die Auditierbarkeit des vollstndigen Satzes der persnlichen Gesundheitsinformationen ber Inf
46、ormations-systeme und Zustndigkeitsbereiche hinweg aufrechtzuerhalten. Sie ist anwendbar fr Systeme die persnliche Gesundheitsinformationen verarbeiten, entsprechend ISO 27799, und jedes Mal, wenn ein Benutzer ber das System auf diese Informationen zugreift, sie erzeugt, aktualisiert oder archiviert
47、, einen sicheren Auditeintrag erstellen. ANMERKUNG Bei diesem Auditeintrag handelt es sich mindestens um eine eindeutige Identifizierung des Benutzers, eine eindeutige Identifizierung des Behandelten, eine Angabe der vom Benutzer ausgefhrten Funktion (Erzeugung, Zugriff auf, Aktualisierung eines Ein
48、trags usw.) und die Aufzeichnung des Datums und der Uhrzeit, zu dem die Funktion ausgefhrt wurde. Diese Internationale Norm beschrnkt sich auf an elektronischen Gesundheitsakten ausgefhrte Aktionen, welche durch die Zugriffsleitlinien fr die Domne bestimmt werden, in der die elektronische Gesundheit
49、sakte liegt. Sie enthalten abgesehen von Bezeichnern keinerlei persnliche Gesundheitsinformationen aus der elektronischen Gesundheitsakte. Der Auditeintrag enthlt lediglich entsprechend den jeweiligen Zugriffsleitlinien definierte Verknpfungen zu eGA-Segmenten. Die Spezifikation und Anwendung von Auditprotokollen fr die Systemverwaltung und Systemsicherheit, zum Beispiel zur Erkennung von Leis
