NF EN ISO 27789

NF EN ISO 27789

avril 2013
Norme Annulée

Informatique de la santé - Historique d'expertise des dossiers de santé informatisés

L'ISO 27789:2013 spécifie une structure commune pour les historiques d'expertise des dossiers informatisés de santé (DIS), en termes d'événements déclencheurs d'expertise et de données d'expertise, afin de conserver l'ensemble des informations personnelles de santé pouvant être expertisées sur tous les systèmes et domaines d'information.Elle s'applique aux systèmes de traitement des informations personnelles de santé qui, conformément à l'ISO 27799, créent un enregistrement d'expertise sûr chaque fois qu'un utilisateur crée des informations personnelles de santé, qu'il y accède, qu'il les met à jour ou qu'il les archive par le biais du système.L'ISO 27789:2013 ne couvre que les actions effectuées sur le dossier informatisé de santé, qui sont régies par une politique d'accès propre au domaine dans lequel s'inscrit le dossier informatisé de santé. Elle ne traite pas des informations personnelles de santé issues de dossier informatisé de santé mais uniquement des identifiants, l'enregistrement d'expertise ne contenant que les liens menant aux segments du dossier informatisé de santé, tel qu'établi par la politique d'accès en vigueur.Elle ne couvre pas non plus la spécification et l'utilisation des rapports d'expertise dans un but de gestion et de sécurité du système, par exemple pour la détection des problèmes de performance, des failles au niveau des applications, ou en tant que support pour la reconstruction des données, qui sont traitées par les normes de sécurité informatique générales telles que l'ISO/CEI 15408.

Voir plus
Visualiser l'extrait
Informations générales

Collections

Normes nationales et documents normatifs nationaux

Date de publication

avril 2013

Nombre de pages

56 p.

Référence

NF EN ISO 27789

Codes ICS

35.240.80   Applications des TI dans les technologies de la santé

Indice de classement

S97-556

Numéro de tirage

1 - 26/03/2013

Parenté internationale

ISO 27789:2013

Parenté européenne

EN ISO 27789:2013
Résumé
Informatique de la santé - Historique d'expertise des dossiers de santé informatisés

L'ISO 27789:2013 spécifie une structure commune pour les historiques d'expertise des dossiers informatisés de santé (DIS), en termes d'événements déclencheurs d'expertise et de données d'expertise, afin de conserver l'ensemble des informations personnelles de santé pouvant être expertisées sur tous les systèmes et domaines d'information.

Elle s'applique aux systèmes de traitement des informations personnelles de santé qui, conformément à l'ISO 27799, créent un enregistrement d'expertise sûr chaque fois qu'un utilisateur crée des informations personnelles de santé, qu'il y accède, qu'il les met à jour ou qu'il les archive par le biais du système.

L'ISO 27789:2013 ne couvre que les actions effectuées sur le dossier informatisé de santé, qui sont régies par une politique d'accès propre au domaine dans lequel s'inscrit le dossier informatisé de santé. Elle ne traite pas des informations personnelles de santé issues de dossier informatisé de santé mais uniquement des identifiants, l'enregistrement d'expertise ne contenant que les liens menant aux segments du dossier informatisé de santé, tel qu'établi par la politique d'accès en vigueur.

Elle ne couvre pas non plus la spécification et l'utilisation des rapports d'expertise dans un but de gestion et de sécurité du système, par exemple pour la détection des problèmes de performance, des failles au niveau des applications, ou en tant que support pour la reconstruction des données, qui sont traitées par les normes de sécurité informatique générales telles que l'ISO/CEI 15408.

Norme remplacée par (1)
NF EN ISO 27789
octobre 2021
Norme En vigueur
Informatique de santé - Historique d'expertise des dossiers de santé informatisés

Le présent document définit un cadre commun pour les pistes d'audit des dossiers de santé informatisés (DSI), en termes d'événements déclencheurs d'audit et de données d'audit, afin de conserver l'ensemble complet des informations personnelles de santé auditables, quels que soient les systèmes et les domaines d'information. Le présent document s'applique aux systèmes de traitement des informations personnelles de santé qui créent un enregistrement d'audit sécurisé chaque fois qu'un utilisateur crée des informations personnelles de santé, qu'il les lit, qu'il les met à jour ou qu'il les archive par le biais du système. NOTE       Au minimum, ces enregistrements d'audit identifient de manière unique l'utilisateur, identifient de manière unique le sujet de soins, identifient la fonction exécutée par l'utilisateur (création d'un dossier, lecture d'un dossier, mise à jour d'un dossier, etc.) et enregistrent la date et l'heure auxquelles la fonction a été exécutée. Le présent document ne couvre que les actions effectuées sur le dossier de santé informatisé, qui sont régies par une politique d'accès propre au domaine dans lequel s'inscrit le dossier de santé informatisé. Il ne traite d'aucune information personnelle de santé issue de dossiers de santé informatisés, à l'exception des identifiants, les enregistrements d'audit ne contenant que des liens pointant vers des segments du DSI, tels que définis par la politique d'accès applicable. Le présent document ne couvre pas non plus la spécification et l'utilisation des journaux d'audit à des fins de gestion et de sécurité du système, par exemple, la détection des problèmes de performance, des failles au niveau des applications, ou le support de reconstruction des données, qui sont traités par les normes de sécurité informatique générales, telles que l'ISO/IEC 15408 (toutes les parties)[9]. L'Annexe A donne des exemples de scénarios d'audit. L'Annexe B donne un aperçu des services de journal d'audit.

Sommaire
  • Avant-propos
    iv
  • 0 Introduction
    v
  • 1 Domaine d'application
    1
  • 2 Références normatives
    1
  • 3 Termes et définitions
    1
  • 4 Symboles et abréviations
    5
  • 5 Exigences et usages des données d'expertise
    5
  • 5.1 Exigences éthiques et formelles
    5
  • 5.2 Usages des données d'expertise
    6
  • 6 Événements déclencheurs
    7
  • 6.1 Généralités
    7
  • 6.2 Détails des types d'événements et de leur contenu
    7
  • 7 Détails des enregistrements d'expertise
    8
  • 7.1 Format d'enregistrement général
    8
  • 7.2 Identification de l'événement déclencheur
    9
  • 7.3 Identification de l'utilisateur
    12
  • 7.4 Identification de point d'accès
    15
  • 7.5 Identification de la source d'expertise
    16
  • 7.6 Identification de l'objet participant
    18
  • 8 Enregistrements d'expertise des événements individuels
    24
  • 8.1 Événements d'accès
    24
  • 8.2 Événements de requêtes
    25
  • 9 Gestion sécurisée des données d'expertise
    27
  • 9.1 Considérations de sécurité
    27
  • 9.2 Sécuriser la disponibilité du système d'expertise
    27
  • 9.3 Exigences de conservation
    27
  • 9.4 Sécuriser la confidentialité et l'intégrité des historiques d'expertise
    27
  • 9.5 Accès aux données d'expertise
    28
  • Annexe A (informative) Scénarios d'expertise
    29
  • Annexe B (informative) Services de rapport d'expertise
    36
  • Bibliographie
    46
Besoin d’identifier, de veiller et de décrypter les normes ?

COBAZ est la solution simple et efficace pour répondre aux besoins normatifs liés à votre activité, en France comme à l’étranger.

Disponible sur abonnement, CObaz est LA solution modulaire à composer selon vos besoins d’aujourd’hui et de demain. Découvrez vite CObaz !

Demandez votre démo live gratuite, sans engagement

Je découvre COBAZ