Zakres
Niniejsza Norma Międzynarodowa określa wspólne ramy dla ścieżki audytu elektronicznej dokumentacji zdrowotnej (EHR), w zakresie warunków uruchomienia audytu i danych z audytu, aby zachować pełny zestaw osobowych informacji zdrowotnych kontrolowanych przez systemy informacyjne i domeny. Niniejsza norma ma zastosowanie do systemów przetwarzania informacji zdrowotnych, które, zgodnie z normą ISO 27789, dają możliwość utworzenia bezpiecznego rejestru audytu za każdym razem, gdy użytkownik uzyskuje dostęp, tworzy, aktualizuje lub archiwizuje dane personalne za pomocą systemu. UWAGA Taki rejestr audytu zawiera minimum jednoznacznej identyfikacji użytkownika, jednoznacznie identyfikuje podmiot opieki, określa funkcje pełnione przez użytkownika (tworzenie rejestrów, dostępu, itp.) i zapisuje datę i czas, w którym funkcję tę wypełniał. Norma ta obejmuje jedynie działania wykonywane na EHR, które są regulowane przez politykę dostępu do domeny, w której funkcjonuje elektroniczna dokumentacja zdrowotna. To nie dotyczy osobowych danych zdrowia w elektronicznej dokumentacji zdrowotnej, innych niż identyfikatory, rejestr audytu zawiera tylko linki do segmentów EHR określonych przez politykę dostępu. Norma ta nie obejmuje specyfikacji i wykorzystania dzienników audytu systemu zarządzania i celów bezpieczeństwa systemu, takie jak wykrywanie problemów z wykonawstwem, błędy aplikacji lub wsparcie dla odbudowy danych, które są rozpatrywane przez ogólne normy bezpieczeństwa komputerowego, takie jak ISO/ IEC 15408-2 [9]. W Załączniku A zawarto przykłady scenariuszy audytu. W Załączniku B zawarto przegląd dziennika usług audytu