该国际标准为电子健康记录(EHR)审计追踪、审计触发事件和审计数据建立了一个通用框架,以维护跨信息系统和司法管辖区的全套个人健康信息的可审计性。
它适用于根据 ISO 27799 处理个人健康信息并在用户每次通过系统访问、创建、更新或存档该信息时创建安全审核记录的系统。
注:该审计记录至少是用户的唯一标识符、所处理主题的唯一标识符、用户执行的功能的指示(条目的创建、访问、更新等)以及审计记录。
执行函数的日期和时间。
本国际标准仅限于对电子健康记录执行的操作,这些操作由电子健康记录所在域的访问策略确定。
除了标识符之外,它们不包含电子健康记录中的任何个人健康信息。
审核条目仅包含根据相应访问指南定义的 eGA 段的链接。
用于系统管理和系统安全的审核日志的规范和使用(例如检测性能问题和应用程序错误或支持数据重建)超出了本文档的范围。
这些方面已在通用 IT 安全标准中得到处理,例如 ISO/IEC 15408-2 [9]。
附录 A 包含不同审计场景的示例。
附录 B 提供了审核日志管理服务的概述。