Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO 27789:健康信息学——电子健康记录审计追踪
关于电子健康记录审计日志记录的国际标准全面指南
ISO 27789:2021为电子健康记录(EHR)中的审计追踪建立了通用框架,规定了审计触发事件、审计数据内容和安全管理要求,确保个人信息在整个信息系统和组织域中可审计。该标准由ISO/TC 215与CEN/TC 251合作制定。
对EHR系统的信任取决于强大的审计能力。ISO 27789为记录对受保护健康信息的每一次访问、查询和操作提供了架构蓝图。
1. 触发事件与审计记录架构
该标准定义了两类触发事件:访问事件(读取、创建、更新、删除、归档)和查询事件(数据库搜索、报告生成)。每条审计记录包含五个核心数据组。
| 数据组 | 关键元素 | 用途 |
|---|---|---|
| 事件标识 | 事件ID、操作代码、日期/时间、结果指示器 | 识别发生了什么及发生时间 |
| 用户标识 | 用户ID、用户名、角色ID、使用目的 | 识别谁执行了操作 |
| 接入点标识 | 网络接入点类型、ID | 识别操作来源 |
| 审计源标识 | 企业站点ID、审计源ID | 识别生成记录的系统 |
| 参与对象标识 | 对象类型、角色、敏感性 | 识别受影响的记录 |
事件操作代码使用RFC 3881框架,区分创建(C)、读取(R)、更新(U)、删除(D)和执行(E)操作。结果指示器捕获成功(0)或故障(4/8/12)。
2. 跨域互操作性与使用目的
ISO 27789的关键创新是支持跨越组织边界的审计追踪。参与对象标识包括”权限策略集”字段引用治理访问策略,允许来自不同域的审计记录在各自策略上下文中被正确解读。
“使用目的”字段对隐私合规性尤为重要。每条审计记录必须记录访问健康记录的原因(直接护理、紧急治疗、研究等),使追溯性审计能够检测不当访问模式。
该标准还要求参与对象敏感性分类,从常规临床数据到高度敏感信息(心理健康记录、HIV状态、遗传信息)。
3. 审计数据的安全管理
ISO 27789对审计系统安全性给予了重点关注。关键要求包括:
| 安全要求 | 实施指南 |
|---|---|
| 可用性 | 冗余审计服务器、备用电源、定期备份 |
| 完整性 | WORM存储、加密哈希、数字签名 |
| 保密性 | 访问控制、标识符加密、角色基础访问 |
| 保留 | 根据管辖区要求保留5-30年 |
| 职责分离 | EHR管理员不应有审计日志的无限访问权限 |
审计系统在逻辑和物理上与被监控的EHR系统分离,确保即使EHR被攻破也无法隐藏其被攻破的事实。
常见问题
问1:ISO 27789与HIPAA审计要求的关系?
答:两者共享共同原则,ISO 27789为审计记录内容提供更详细的技术规范。
答:两者共享共同原则,ISO 27789为审计记录内容提供更详细的技术规范。
问2:是否要求记录每个数据字段更改?
答:不,仅限于事件日志记录。数据值更改由EHR数据库处理。
答:不,仅限于事件日志记录。数据值更改由EHR数据库处理。
问3:与HL7 FHIR的关系?
答:该标准与DICOM审计记录格式协调,是IHE ATNA配置文件的基础。
答:该标准与DICOM审计记录格式协调,是IHE ATNA配置文件的基础。
问4:可应用于非医疗系统吗?
答:审计框架可适用于其他个人信息系统。
答:审计框架可适用于其他个人信息系统。
