ÖNORM EN ISO 27789

Diese Internationale Norm legt einen gemeinsamen Rahmen für Audit-Trails für elektronische Gesundheitsakten (eGA), für die auslösenden Ereignisse eines Audits und für Auditdaten fest, um die Auditierbarkeit des vollständigen Satzes der persönlichen Gesundheitsinformationen über Informations-systeme und Zuständigkeitsbereiche hinweg aufrechtzuerhalten. Sie ist anwendbar für Systeme die persönliche Gesundheitsinformationen verarbeiten, entsprechend ISO 27799, und jedes Mal, wenn ein Benutzer über das System auf diese Informationen zugreift, sie erzeugt, aktualisiert oder archiviert, einen sicheren Auditeintrag erstellen. Diese Internationale Norm beschränkt sich auf an elektronischen Gesundheitsakten ausgeführte Aktionen, welche durch die Zugriffsleitlinien für die Domäne bestimmt werden, in der die elektronische Gesundheitsakte liegt. Sie enthalten abgesehen von Bezeichnern keinerlei persönliche Gesundheitsinformationen aus der elektronischen Gesundheitsakte. Der Auditeintrag enthält lediglich entsprechend den jeweiligen Zugriffsleitlinien definierte Verknüpfungen zu eGA-Segmenten. Die Spezifikation und Anwendung von Auditprotokollen für die Systemverwaltung und Systemsicherheit, zum Beispiel zur Erkennung von Leistungsproblemen und Anwendungsfehlern oder zur Unterstützung einer Datenrekonstruktion, liegen außerhalb des Anwendungsbereichs dieses Dokuments. Diese Aspekte sind bereits in allgemeinen Normen zur IT-Sicherheit, zum Beispiel in ISO/IEC 15408-2 [9], behandelt. Anhang A enthält Beispiele für verschiedene Auditszenarien. Anhang B gibt einen Überblick über Dienste für eine Auditprotokollverwaltung.