ISO 27789:2021

NORME ISO
INTERNATIONALE 27789
Deuxième édition
2021-10
Informatique de santé — Historique
d'expertise des dossiers de santé
informatisés
Health informatics — Audit trails for electronic health records
Numéro de référence
ISO 27789:2021(F)
© ISO 2021

---------------------- Page: 1 ----------------------
ISO 27789:2021(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur l’internet
ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à l’adresse ci-
après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
  © ISO 2021 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO 27789:2021(F)
Sommaire Page
Avant-propos .v
Introduction . vi
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Abréviations . 5
5 Exigences et usages des données d'audit . 5
5.1 Exigences éthiques et formelles . 5
5.1.1 Généralités . 5
5.1.2 Politique d'accès . 6
5.1.3 Identification sans équivoque des utilisateurs du système informatique . 6
5.1.4 Rôles des utilisateurs . 6
5.1.5 Enregistrements d'audit sécurisés . 6
5.2 Usages des données d'audit . 6
5.2.1 Gouvernance et supervision . 6
5.2.2 Sujets de soins exerçant leurs droits . 7
5.2.3 Exigences de preuve et de conservation . 7
6 Événements déclencheurs .7
6.1 Généralités . 7
6.2 Détails des types d'événements et de leur contenu . 8
6.2.1 Événements d'accès aux informations personnelles de santé . 8
6.2.2 Requêtes concernant les informations personnelles de santé . 8
7 Détails des enregistrements d'audit . 9
7.1 Format d'enregistrement général . 9
7.2 Identification de l'événement déclencheur . 11
7.2.1 ID de l'événement . 11
7.2.2 Code d'action de l'événement.12
7.2.3 Date et heure de l'événement.12
7.2.4 Indicateur de résultat d'événement . 13
7.2.5 Code du type d'événement . 13
7.3 Identification de l'utilisateur . 13
7.3.1 ID d'utilisateur .13
7.3.2 Autre ID d'utilisateur. 14
7.3.3 Nom d'utilisateur . 14
7.3.4 L'utilisateur est demandeur . . 14
7.3.5 Code d'ID de rôle . 14
7.3.6 But de l'utilisation . 16
7.4 Identification de point d'accès . 17
7.4.1 Code du type de point d'accès réseau . 17
7.4.2 ID du point d'accès réseau . 18
7.5 Identification de la source d'audit . 18
7.5.1 Vue d'ensemble. 18
7.5.2 ID de site de l'établissement audité . 19
7.5.3 ID de source d'audit. 19
7.5.4 Code du type de source d'audit . 19
7.6 Identification de l'objet participant . 20
7.6.1 Vue d'ensemble. 20
7.6.2 Code du type de l'objet participant . 20
7.6.3 Code du type de rôle de l'objet participant . 21
7.6.4 Cycle de vie des données de l'objet participant et événements du cycle de
vie de l'entrée d'enregistrement . 22
7.6.5 Code du type d'ID de l'objet participant . 24
iii
© ISO 2021 – Tous droits réservés

---------------------- Page: 3 ----------------------
ISO 27789:2021(F)
7.6.6 Politique établie de permission de l'objet participant . 25
7.6.7 Sensibilité de l'objet participant . 26
7.6.8 ID de l'objet participant . 26
7.6.9 Nom de l'objet participant . 26
7.6.10 Requête de l'objet participant. 26
7.6.11 Détails de l'objet participant, description de l'objet participant .26
8 Enregistrements d'audit des événements individuels .27
8.1 Événements d'accès . 27
8.2 Événements de requêtes . 29
9 Gestion sécurisée des données d'audit .31
9.1 Considérations de sécurité . 31
9.2 Sécuriser la disponibilité du système d'audit . 31
9.3 Exigences de conservation . 31
9.4 Sécuriser la confidentialité et l'intégrité des pistes d'audit . 32
9.5 Accès aux données d'audit . 32
Annexe A (informative) Scénarios d'audit .33
Annexe B (informative) Services de journal d'audit .40
Bibliographie .49
iv
  © ISO 2021 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO 27789:2021(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 215, Informatique de santé, en
collaboration avec le comité technique CEN/TC 251, Informatique de santé, du Comité européen de
normalisation (CEN) conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord
de Vienne).
Cette deuxième édition annule et remplace la première édition (ISO 27789:2013), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— harmonisation du format des enregistrements d'audit avec le format DICOM;
— révision du contenu de l'Annexe A;
— révision du graphique de l'Annexe B;
— mise à jour de la Bibliographie.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
v
© ISO 2021 – Tous droits réservés

---------------------- Page: 5 ----------------------
ISO 27789:2021(F)
Introduction
0.1  Généralités
Parmi tous les types d'informations personnelles, les informations personnelles de santé sont
considérées comme étant les plus confidentielles et la protection de leur confidentialité est essentielle
pour préserver la vie privée des sujets de soins. Afin de protéger la qualité des informations en matière
de santé, il est également important que leur cycle de vie complet soit entièrement auditable. Il convient
de créer, de traiter et de gérer les dossiers de santé de façon à garantir l'intégrité et la confidentialité de
leur contenu et à permettre aux sujets de soins de contrôler de manière tout à fait légitime la façon dont
les dossiers sont créés, utilisés et conservés.
La confiance dans les dossiers de santé informatisés nécessite des éléments de sécurité physiques et
techniques ainsi que des éléments d'intégrité des données. Parmi les exigences de sécurité les plus
importantes pour protéger les informations personnelles de santé et l'intégrité des dossiers figurent
celles qui concernent l'audit et le contrôle d'accès. Elles permettent de respecter les obligations
envers les sujets de soins confiant leurs informations aux systèmes de dossiers de santé informatisés
(DSI). Elles contribuent également à protéger l'intégrité des dossiers, car elles incitent fortement les
utilisateurs à se conformer aux politiques organisationnelles appliquées à l'utilisation de ces systèmes.
Un audit et un contrôle d'accès efficaces peuvent favoriser la détection des utilisations abusives des
systèmes de DSI ou des données de DSI et peuvent aider les organisations et les sujets de soins à obtenir
réparation face à des utilisateurs ayant abusé de leurs privilèges d'accès. Afin que l'audit soit efficace,
il est nécessaire que les pistes d'audit contiennent suffisamment d'informations pour permettre le
traitement de situations très diverses (voir Annexe A).
Les journaux d'audit constituent un complément aux contrôles d'accès. Les journaux d'audit fournissent
un moyen d'évaluer la conformité aux politiques organisationnelles en matière d'accès et peuvent
contribuer à améliorer et à affiner la politique en elle-même. Mais, comme une telle politique a besoin
d'anticiper l'apparition de cas imprévus ou d'urgence, l'analyse des journaux d'audit devient, dans ces
cas-là, le meilleur moyen d'assurer le contrôle des accès.
Le domaine d'application du présent document est strictement limité à la consignation des événements.
Les modifications apportées aux valeurs des champs d'un DSI sont supposées être enregistrées dans
le système de base de données des DSI, et non, dans le journal d'audit. Le système de DSI est supposé
contenir les valeurs de chaque champ, avant et après leur mise à jour, ce qui répond aux architectures
de base de données actuelles. Le journal d'audit en soi n'est supposé contenir aucune information
personnelle de santé autre que les identifiants et les liens pointant vers le dossier.
Le dossier de santé informatisé propre à un certain individu peut appartenir à plusieurs systèmes
d'informations différents, situés à l'intérieur ou au-delà des frontières organisationnelles, voire même
juridictionnelles. Afin de garder la trace de toutes les actions impliquant les dossiers relatifs à un sujet
de soins particulier, il est indispensable de disposer d'un cadre commun. Le présent document fournit
un tel cadre. Pour prendre en charge des pistes d'audit couvrant des domaines distincts, il est essentiel
que ce cadre inclue des références aux politiques qui spécifient les exigences propres à chaque domaine,
telles que les règles de contrôle d'accès et les durées de conservation. Les politiques régissant les
domaines peuvent être référencées implicitement par l'identification de la source du journal d'audit.
0.2  Avantages de l'utilisation du présent document
La normalisation des pistes d'audit concernant l'accès aux dossiers de santé informatisés a deux
objectifs:
— assurer que l'information contenue dans le journal d'audit est suffisante pour reconstruire
clairement la chronologie détaillée des événements ayant conduit au contenu d'un dossier de santé
informatisé;
— assurer que la piste d'audit des actions relatives au dossier d'un sujet de soins puisse être suivie de
façon fiable, même si elle couvre différents domaines organisationnels.
vi
  © ISO 2021 – Tous droits réservés

---------------------- Page: 6 ----------------------
ISO 27789:2021(F)
Le présent document est destiné aux responsables de la supervision de la sécurité ou de la confidentialité
des informations de santé, aux organismes de santé et aux autres dépositaires d'informations de santé
qui sont à la recherche de recommandations concernant les pistes d'audit, ainsi qu'à leurs conseillers en
matière de sécurité, consultants, auditeurs, fournisseurs et prestataires de service externes.
0.3  Normes relatives aux pistes d'audit des dossiers de santé informatisés
Le présent document est élaboré sur la base du travail débuté dans le document RFC 3881 concernant
l'accès aux DSI et s'y conforme. Le présent document repose également sur le contenu de l'ISO/
TS 21089:2018 et s'y conforme.
vii
© ISO 2021 – Tous droits réservés

---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 27789:2021(F)
Informatique de santé — Historique d'expertise des
dossiers de santé informatisés
1 Domaine d'application
Le présent document définit un cadre commun pour les pistes d'audit des dossiers de santé
informatisés (DSI), en termes d'événements déclencheurs d'audit et de données d'audit, afin de
conserver l'ensemble complet des informations personnelles de santé auditables, quels que soient les
systèmes et les domaines d'information.
Le présent document s'applique aux systèmes de traitement des informations personnelles de santé
qui créent un enregistrement d'audit sécurisé chaque fois qu'un utilisateur crée des informations
personnelles de santé, qu'il les lit, qu'il les met à jour ou qu'il les archive par le biais du système.
NOTE Au minimum, ces enregistrements d'audit identifient de manière unique l'utilisateur, identifient de
manière unique le sujet de soins, identifient la fonction exécutée par l'utilisateur (création d'un dossier, lecture
d'un dossier, mise à jour d'un dossier, etc.) et enregistrent la date et l'heure auxquelles la fonction a été exécutée.
Le présent document ne couvre que les actions effectuées sur le dossier de santé informatisé, qui sont
régies par une politique d'accès propre au domaine dans lequel s'inscrit le dossier de santé informatisé.
Il ne traite d'aucune information personnelle de santé issue de dossiers de santé informatisés, à
l'exception des identifiants, les enregistrements d'audit ne contenant que des liens pointant vers des
segments du DSI, tels que définis par la politique d'accès applicable.
Le présent document ne couvre pas non plus la spécification et l'utilisation des journaux d'audit à des
fins de gestion et de sécurité du système, par exemple, la détection des problèmes de performance, des
failles au niveau des applications, ou le support de reconstruction des données, qui sont traités par les
[9]
normes de sécurité informatique générales, telles que l'ISO/IEC 15408 (toutes les parties) .
L'Annexe A donne des exemples de scénarios d'audit. L'Annexe B donne un aperçu des services de journal
d'audit.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 27799:2016, Informatique de santé — Management de la sécurité de l'information relative à la santé
en utilisant l'ISO/IEC 27002
ISO 8601-1, Date et heure — Représentations pour l'échange d'information — Partie 1: Règles de base
ISO/TS 21089:2018, Informatique de santé — Flux d'informations "trusted end-to-end"
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO/TS 21089:2018 ainsi que les
suivants s'appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
1
© ISO 2021 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO 27789:2021(F)
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
3.1
contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs est autorisé et limité selon les exigences
propres à la sécurité et à l'activité métier
[SOURCE: ISO/IEC 27000:2018, 3.1]
3.2
politique d'accès
définition des obligations concernant l'autorisation d'accès à une ressource
3.3
responsabilité
obligation d'un individu ou d'une organisation de rendre compte de ses activités, de l'exécution d'un
livrable ou d'une tâche, d'assumer la responsabilité de ces activités, livrables ou tâches, et d'en divulguer
les résultats de façon transparente
[SOURCE: ISO/TS 21089:2018, 3.3.1]
3.4
agent
entité, telle qu'un logiciel ou un dispositif, qui entreprend des actions programmées
[SOURCE: ISO/TS 21089:2018, 3.6.4]
3.5
alerte
ce qui est envoyé lorsque le service de surveillance remarque une série d'événements correspondant à
un modèle
3.6
audit
revue et examen indépendants de dossiers et d'activités, menés dans le but d'évaluer l'adéquation
des contrôles du système pour garantir la conformité aux politiques et procédures opérationnelles
établies, et de recommander les modifications nécessaires à introduire dans les contrôles, politiques ou
procédures
[SOURCE: ISO/TS 21089:2018, 3.20]
3.7
archive d'audit
archive créée à partir de la collecte d'un ou de plusieurs journaux d'audit
3.8
données d'audit
données obtenues à partir d'un ou de plusieurs enregistrements d'audit
3.9
journal d'audit
séquence chronologique d'enregistrements d'audit, chacun contenant des données sur un événement
spécifique
3.10
enregistrement d'audit
enregistrement d'un événement unique particulier ayant eu lieu au cours du cycle de vie du dossier de
santé informatisé
3.11
système d'audit
système de traitement de l'information permettant de tenir à jour un ou plusieurs journaux d'audit
2
  © ISO 2021 – Tous droits réservés

---------------------- Page: 9 ----------------------
ISO 27789:2021(F)
3.12
piste d'audit
enregistrement chronologique des activités d'un système, suffisant pour permettre la reconstruction,
la vérification et l'examen de la séquence des environnements et des activités qui encadrent, ou
conduisent à, une opération, une procédure ou un événement dans une transaction, de ses débuts
jusqu'à ses résultats finaux
[SOURCE: GCST]
3.13
authentification
moyen pour une entité d'assurer la légitimité d'une caractéristique revendiquée
[SOURCE: ISO/IEC 27000:2018, 3.5]
3.14
autorisation
attribution de droits, comprenant la permission d'accès sur la base de droits d'accès
[SOURCE: ISO/IEC 2382:2015, 2126256, modifiée — Les Notes à l'article ont été supprimées.]
3.15
disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée
[SOURCE: ISO/IEC 27000:2018, 3.7]
3.16
confidentialité
propriété selon laquelle l'information n'est pas rendue disponible ou divulguée à des personnes, des
entités ou des processus non autorisés
[SOURCE: ISO/IEC 27000:2018, 3.10]
3.17
temps universel coordonné
UTC
échelle de temps qui constitue la base d'une diffusion radioélectrique coordonnée des fréquences étalon
et des signaux horaires
Note 1 à l'article: Le temps universel coordonné a la même marche que le temps atomique international, mais en
diffère d'un nombre entier de secondes.
[SOURCE: IEC 60050-713:1998, 05-20]
3.18
intégrité des données
propriété assurant que l'exactitude et la cohérence des données sont préservées quels que soient les
changements effectués
[SOURCE: ISO/IEC 2382:2015, 2126247, modifiée — Les Notes à l'article ont été supprimées.]
3.19
dossier de santé informatisé
DSI
dépôt (d'ensembles organisés) d'informations relatives à la santé d'un sujet de soins, sous une forme
pouvant être informatisée
[SOURCE: ISO/TR 20514:2005, 2.11, modifiée — Le texte entre parenthèses a été ajouté.]
3
© ISO 2021 – Tous droits réservés

---------------------- Page: 10 ----------------------
ISO 27789:2021(F)
3.20
segment de dossier de santé informatisé
segment de DSI
partie d'un dossier de santé informatisé constituant une ressource distincte pour la politique d'accès
3.21
identification
processus de reconnaissance des attributs qui identifient l'objet
[SOURCE: ISO 16678:2014, 2.1.7]
3.22
identifiant
mot ou groupe de mots servant à identifier ou nommer un élément de données et en préciser parfois
certaines propriétés
[SOURCE: ISO/IEC 2382:2015, 2121623]
3.23
sécurité de l'information
protection de la confidentialité, de l'intégrité et de la disponibilité de l'information
[SOURCE: ISO/IEC 27000:2018, 3.28]
3.24
intégrité
propriété d'
...

FINAL
INTERNATIONAL ISO/FDIS
DRAFT
STANDARD 27789
ISO/TC 215
Health informatics — Audit trails for
Secretariat: ANSI
electronic health records
Voting begins on:
2021­05­19
Informatique de santé — Historique d'expertise des dossiers de santé
informatisés
Voting terminates on:
2021­07­14
ISO/CEN PARALLEL PROCESSING
RECIPIENTS OF THIS DRAFT ARE INVITED TO
SUBMIT, WITH THEIR COMMENTS, NOTIFICATION
OF ANY RELEVANT PATENT RIGHTS OF WHICH
THEY ARE AWARE AND TO PROVIDE SUPPOR TING
DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
Reference number
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO­
ISO/FDIS 27789:2021(E)
LOGICAL, COMMERCIAL AND USER PURPOSES,
DRAFT INTERNATIONAL STANDARDS MAY ON
OCCASION HAVE TO BE CONSIDERED IN THE
LIGHT OF THEIR POTENTIAL TO BECOME STAN­
DARDS TO WHICH REFERENCE MAY BE MADE IN
©
NATIONAL REGULATIONS. ISO 2021

---------------------- Page: 1 ----------------------
ISO/FDIS 27789:2021(E)

COPYRIGHT PROTECTED DOCUMENT
© ISO 2021
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH­1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2021 – All rights reserved

---------------------- Page: 2 ----------------------
ISO/FDIS 27789:2021(E)

Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 5
5 Requirements and uses of audit data . 5
5.1 Ethical and formal requirements . 5
5.1.1 General. 5
5.1.2 Access policy. 5
5.1.3 Unambiguous identification of information system users . 6
5.1.4 User roles . 6
5.1.5 Secure audit records . 6
5.2 Uses of audit data . 6
5.2.1 Governance and supervision . 6
5.2.2 Subjects of care exercising their rights . 7
5.2.3 Evidence and retention requirements . 7
6 Trigger events . 7
6.1 General . 7
6.2 Details of the event types and their contents . 8
6.2.1 Access events to the personal health information . 8
6.2.2 Query events to the personal health information . 8
7 Audit record details . 8
7.1 The general record format . 8
7.2 Trigger event identification .10
7.2.1 Event ID . . .10
7.2.2 Event action code .11
7.2.3 Event date and time . .11
7.2.4 Event outcome indicator .12
7.2.5 Event type code .12
7.3 User identification . .12
7.3.1 User ID .12
7.3.2 Alternative user ID .13
7.3.3 User name .13
7.3.4 User is requestor .13
7.3.5 Role ID code .13
7.3.6 Purpose of use .14
7.4 Access point identification .15
7.4.1 Network access point type code .15
7.4.2 Network access point ID .16
7.5 Audit source identification .16
7.5.1 Overview .16
7.5.2 Audit enterprise site ID .17
7.5.3 Audit source ID .17
7.5.4 Audit source type code .17
7.6 Participant object identification .18
7.6.1 Overview .18
7.6.2 Participant object type code .19
7.6.3 Participant object type code role .19
7.6.4 Participant object data life cycle and record entry lifecycle events .20
7.6.5 Participant object ID type code .22
7.6.6 Participant object Permission PolicySet .23
© ISO 2021 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO/FDIS 27789:2021(E)

7.6.7 Participant object sensitivity .23
7.6.8 Participant object ID .24
7.6.9 Participant object name .24
7.6.10 Participant object query .24
7.6.11 Participant object detail, Participant object description.24
8 Audit records for individual events .25
8.1 Access events .25
8.2 Query events .26
9 Secure management of audit data .28
9.1 Security considerations .28
9.2 Securing the availability of the audit system .28
9.3 Retention requirements .29
9.4 Securing the confidentiality and integrity of audit trails .29
9.5 Access to audit data .29
Annex A (informative) Audit scenarios .30
Annex B (informative) Audit log services .36
Bibliography .45
iv © ISO 2021 – All rights reserved

---------------------- Page: 4 ----------------------
ISO/FDIS 27789:2021(E)

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non­governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 215, Health informatics, in collaboration
with the European Committee for Standardization (CEN) Technical Committee CEN/TC 251, Health
informatics, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels and replaces the first edition (ISO 27789: 2013), which has been technically
revised.
The main changes compared to the previous edition are as follows:
— harmonization between audit record format and DICOM format;
— review of the content in Annex A;
— review of the chart in Annex B;
— bibliography update.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
© ISO 2021 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO/FDIS 27789:2021(E)

Introduction
0.1  General
Personal health information is regarded by many as among the most confidential of all types of personal
information and protecting its confidentiality is essential to maintain the privacy of subjects of care. In
order to protect the consistency of health information, it is also important that its entire life cycle be
fully auditable. Health records should be created, processed and managed in ways that guarantee the
integrity and confidentiality of their contents and that support legitimate control by subjects of care in
how the records are created, used and maintained.
Trust in electronic health records requires physical and technical security elements along with data
integrity elements. Among the most important of all security requirements to protect personal health
information and the integrity of records are those relating to audit and logging. These help to ensure
accountability for subjects of care who entrust their information to electronic health record (EHR)
systems. They also help to protect record integrity, as they provide a strong incentive to users of such
systems to conform to organizational policies on the use of these systems.
Effective audit and logging can help to uncover misuse of EHR systems or EHR data and can help
organisations and subjects of care obtain redress against users abusing their access privileges. For
auditing to be effective, it is necessary that audit trails contain sufficient information to address a wide
variety of circumstances (see Annex A).
Audit logs are complementary to access controls. The audit logs provide a means to assess conformity
with organizational access policy and can contribute to improving and refining the policy itself. But as
such a policy needs to anticipate the occurrence of unforeseen or emergency cases, analysis of the audit
logs becomes the primary means of ensuring access control for those cases.
This document is strictly limited in scope to logging of events. Changes to data values in fields of
an EHR are presumed to be recorded in the EHR database system itself and not in the audit log. It is
presumed that the EHR system itself contains both the previous and updated values of every field. This
is consistent with contemporary point-in-time database architectures. The audit log itself is presumed
to contain no personal health information other than identifiers and links to the record.
Electronic health records on an individual person can reside in many different information systems
within and across organisational or even jurisdictional boundaries. To keep track of all actions that
involve records on a particular subject of care, a common framework is a prerequisite. This document
provides such a framework. To support audit trails across distinct domains, it is essential to include
references in this framework to the policies that specify the requirements within the domain,
such as access control rules and retention periods. Domain policies may be referenced implicitly by
identification of the audit log source.
0.2 Benefits of using this document
Standardization of audit trails on access to electronic health records aims at two goals:
— ensuring that information captured in an audit log is sufficient to clearly reconstruct a detailed
chronology of the events that have shaped the content of an electronic health record;
— ensuring that an audit trail of actions relating to a subject of care’s record can be reliably followed,
even across organizational domains.
This document is intended for those responsible for overseeing health information security or privacy
and for healthcare organizations and other custodians of health information seeking guidance on audit
trails, together with their security advisors, consultants, auditors, vendors and third-party service
providers.
0.3  Related standards on electronic health record audit trails
vi © ISO 2021 – All rights reserved

---------------------- Page: 6 ----------------------
ISO/FDIS 27789:2021(E)

This document builds upon, and is consistent with, the work begun in RFC 3881 with respect to access
to the EHR. This document also builds upon and is consistent with the content in ISO/TS 21089:2018.
© ISO 2021 – All rights reserved vii

---------------------- Page: 7 ----------------------
FINAL DRAFT INTERNATIONAL STANDARD ISO/FDIS 27789:2021(E)
Health informatics — Audit trails for electronic health
records
1 Scope
This document specifies a common framework for audit trails for electronic health records (EHR), in
terms of audit trigger events and audit data, to keep the complete set of personal health information
auditable across information systems and domains.
It is applicable to systems processing personal health information that create a secure audit record
each time a user reads, creates, updates, or archives personal health information via the system.
NOTE Such audit records at a minimum uniquely identify the user, uniquely identify the subject of care,
identify the function performed by the user (record creation, read, update, etc.), and record the date and time at
which the function was performed.
This document covers only actions performed on the EHR, which are governed by the access policy
for the domain where the electronic health record resides. It does not deal with any personal health
information from the electronic health record, other than identifiers, the audit record only containing
links to EHR segments as defined by the governing access policy.
It does not cover the specification and use of audit logs for system management and system
security purposes, such as the detection of performance problems, application flaw, or support
for a reconstruction of data, which are dealt with by general computer security standards such as
9]
ISO/IEC 15408 (all parts)[ .
Annex A gives examples of audit scenarios. Annex B gives an overview of audit log services.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 27799:2016, Health informatics — Information security management in health using ISO/IEC 27002
ISO 8601­1, Date and time — Representations for information interchange — Part 1: Basic rules
ISO/TS 21089:2018, Health informatics - Trusted End-to-End Information Flows
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/TS 21089:2018 and the
following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
© ISO 2021 – All rights reserved 1

---------------------- Page: 8 ----------------------
ISO/FDIS 27789:2021(E)

3.1
access control
means to ensure that access to assets is authorized and restricted based on business and security
requirements
[SOURCE: ISO/IEC 27000:2018, 3.1]
3.2
access policy
definition of the obligations for authorizing access to a resource
3.3
accountability
obligation of an individual or organization to account for its activities, for completion of a deliverable
or task, accept responsibility for those activities, deliverables or tasks, and to disclose the results in a
transparent manner
[SOURCE: ISO/TS 21089:2018, 3.3.1]
3.4
agent
entity that takes programmed actions, such as software or a device
[SOURCE: ISO/TS 21089:2018, 3.6.4]
3.5
alert
what is sent when the monitor service notices that a series of events matches a pattern
3.6
audit
independent review and examination of records and activities to assess the adequacy of system
controls, to ensure compliance with established policies and operational procedures, and to recommend
necessary changes in controls, policies or procedures
[SOURCE: ISO/TS 21089:2018, 3.20]
3.7
audit archive
archival collection of one or more audit logs
3.8
audit data
data obtained from one or more audit records
3.9
audit log
chronological sequence of audit records, each of which contains data about a specific event
3.10
audit record
record of a single specific event in the life cycle of an electronic health record
3.11
audit system
information processing system that maintains one or more audit logs
2 © ISO 2021 – All rights reserved

---------------------- Page: 9 ----------------------
ISO/FDIS 27789:2021(E)

3.12
audit trail
chronological record of system activities that is sufficient to enable the reconstruction, reviewing and
examination of the sequence of environments and activities surrounding or leading to an operation, a
procedure, or an event in a transaction from its inception to final results
[SOURCE: GCST]
3.13
authentication
provision of assurance that a claimed characteristic of an entity is correct
[SOURCE: ISO/IEC 27000:2018, 3.5]
3.14
authorization
granting of rights, which includes the granting of access based on access rights
[SOURCE: ISO/IEC 2382:2015, 2126256, modified — Notes to entry deleted.]
3.15
availability
property of being accessible and useable upon demand by an authorized entity
[SOURCE: ISO/IEC 27000:2018, 3.7]
3.16
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities, or
processes
[SOURCE: ISO/IEC 27000:2018, 3.10]
3.17
coordinated universal time
UTC
time scale which forms the basis of a coordinated radio dissemination of standard frequencies and time
signals
Note 1 to entry: UTC corresponds exactly in rate with international atomic time, but differs from it by an integral
number of seconds.
[SOURCE: IEC 60050­713:1998, 05­20]
3.18
data integrity
property of data whose accuracy and consistency are preserved regardless of changes made
[SOURCE: ISO 2382:2015, 2126247, modified — Notes to entry deleted.]
3.19
electronic health record
EHR
repository of (organized sets of) information regarding the health status of a subject of care, in
computer processable form
[SOURCE: ISO/TR 20514:2005, 2.11, modified — Text in parenthesis added.]
3.20
electronic health record segment
EHR segment
part of an electronic health record that constitutes a distinct resource for the access policy
© ISO 2021 – All rights reserved 3

---------------------- Page: 10 ----------------------
ISO/FDIS 27789:2021(E)

3.21
identification
process of recognizing the attributes that identify the object
[SOURCE: ISO 16678:2014, 2.1.7]
3.22
identifier
one or more characters used to identify or name a data element and possibly to indicate certain
properties of that data element
[SOURCE: ISO 2382:2015, 2121623]
3.23
information security
preservation of confidentiality, integrity and availability of information
[SOURCE: ISO/IEC 27000:2018, 3.28]
3.24
integrity
property of accuracy and completeness
[SOURCE: ISO/IEC 27000:2018, 3.36]
3.25
object identifier
OID
globally unique identifier for an information object
Note 1 to entry: The object identifiers used in this document refer to code systems. These code systems can be
defined in a standard or locally defined per implementation. The object identifier is specified using the Abstract
Syntax Notation One (ASN.1) defined in ISO/IEC 8824-1 and ISO/IEC 8824-2.
3.26
policy
set of rules related to a particular purpose
Note 1 to entry: A rule can be expressed as an obligation, an authorization, a permission or a prohibition.
[SOURCE: ISO 19101-2:2018, modified — Note 1 to entry added]
3.27
privilege
capacity assigned to an entity by an authority
3.28
records management
field of management responsible for control of creation, receipt, maintenance, use and disposition of
records, including processes for capturing and maintaining evidence of and information about business
activities and transactions in the form of records
[SOURCE: ISO 15489-1:2016, 3.15, modified]
3.29
role
set of competences and/or performances associated with a task
3.30
security policy
plan or course of action adopted for providing computer security
[SOURCE: ISO/IEC 2382:2015, 2126246, modified — Notes to entry deleted.]
4 © ISO 2021 – All rights reserved

---------------------- Page: 11 ----------------------
ISO/FDIS 27789:2021(E)

3.31
sensitivity
measure of the potential or perceived potential to abuse or misuse data about subjects or to harm them
3.32
subject of care
person or defined group
...

PROJET
NORME ISO/FDIS
FINAL
INTERNATIONALE 27789
ISO/TC 215
Informatique de santé — Historique
Secrétariat: ANSI
d'expertise des dossiers de santé
Début de vote:
2021-05-19 informatisés
Vote clos le:
Health informatics — Audit trails for electronic health records
2021-07-14
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSER-
VATIONS, NOTIFICATION DES DROITS DE PRO-
TRAITEMENT PARALLÈLE ISO/CEN
PRIÉTÉ DONT ILS AURAIENT ÉVENTUELLEMENT
CONNAISSANCE ET À FOURNIR UNE DOCUMEN-
TATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
MERCIALES, AINSI QUE DU POINT DE VUE
ISO/FDIS 27789:2021(F)
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTA-
©
TION NATIONALE. ISO 2021

---------------------- Page: 1 ----------------------
ISO/FDIS 27789:2021(F)

DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2021
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2021 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO/FDIS 27789:2021(F)

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 5
5 Exigences et usages des données d'audit . 5
5.1 Exigences éthiques et formelles . 5
5.1.1 Généralités . 5
5.1.2 Politique d'accès . 6
5.1.3 Identification sans équivoque des utilisateurs du système informatique . 6
5.1.4 Rôles des utilisateurs . 6
5.1.5 Enregistrements d'audit sécurisés . 6
5.2 Usages des données d'audit . 6
5.2.1 Gouvernance et supervision . 6
5.2.2 Sujets de soins exerçant leurs droits . 7
5.2.3 Exigences de preuve et de conservation . 7
6 Événements déclencheurs . 7
6.1 Généralités . 7
6.2 Détails des types d'événements et de leur contenu . 8
6.2.1 Événements d'accès aux informations personnelles de santé . 8
6.2.2 Requêtes concernant les informations personnelles de santé . 8
7 Détails des enregistrements d'audit . 9
7.1 Format d'enregistrement général . 9
7.2 Identification de l'événement déclencheur .11
7.2.1 ID de l'événement .11
7.2.2 Code d'action de l'événement .12
7.2.3 Date et heure de l'événement .12
7.2.4 Indicateur de résultat d'événement .13
7.2.5 Code du type d'événement .13
7.3 Identification de l'utilisateur .13
7.3.1 ID d'utilisateur .13
7.3.2 Autre ID d'utilisateur .14
7.3.3 Nom d'utilisateur .14
7.3.4 L'utilisateur est demandeur .14
7.3.5 Code d'ID de rôle .14
7.3.6 But de l'utilisation.16
7.4 Identification de point d'accès .17
7.4.1 Code du type de point d'accès réseau .17
7.4.2 ID du point d'accès réseau .18
7.5 Identification de la source d'audit .18
7.5.1 Vue d'ensemble .18
7.5.2 ID de site de l'établissement audité .19
7.5.3 ID de source d'audit .19
7.5.4 Code du type de source d'audit .19
7.6 Identification de l'objet participant .20
7.6.1 Vue d'ensemble .20
7.6.2 Code du type de l'objet participant .20
7.6.3 Code du type de rôle de l'objet participant .21
7.6.4 Cycle de vie des données de l'objet participant et événements du cycle de
vie de l'entrée d'enregistrement .22
7.6.5 Code du type d'ID de l'objet participant .24
© ISO 2021 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO/FDIS 27789:2021(F)

7.6.6 Politique établie de permission de l'objet participant .25
7.6.7 Sensibilité de l'objet participant .26
7.6.8 ID de l'objet participant .26
7.6.9 Nom de l'objet participant .26
7.6.10 Requête de l'objet participant .26
7.6.11 Détails de l'objet participant, description de l'objet participant .26
8 Enregistrements d'audit des événements individuels .27
8.1 Événements d'accès .27
8.2 Événements de requêtes .29
9 Gestion sécurisée des données d'audit .31
9.1 Considérations de sécurité .31
9.2 Sécuriser la disponibilité du système d'audit .31
9.3 Exigences de conservation .31
9.4 Sécuriser la confidentialité et l'intégrité des pistes d'audit .32
9.5 Accès aux données d'audit .32
Annexe A (informative) Scénarios d'audit .33
Annexe B (informative) Services de journal d'audit .40
Bibliographie .49
iv © ISO 2021 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO/FDIS 27789:2021(F)

Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/ iso/ fr/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 215, Informatique de santé, en
collaboration avec le comité technique CEN/TC 251, Informatique de santé, du Comité européen de
normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord
de Vienne).
Cette deuxième édition annule et remplace la première édition (ISO 27789:2013), qui a fait l'objet d'une
révision technique.
Les principales modifications par rapport à l'édition précédente sont les suivantes:
— harmonisation du format des enregistrements d'audit avec le format DICOM;
— révision du contenu de l'Annexe A;
— révision du graphique de l'Annexe B;
— mise à jour de la Bibliographie.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l'adresse www .iso .org/ fr/ members .html.
© ISO 2021 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO/FDIS 27789:2021(F)

Introduction
0.1  Généralités
Parmi tous les types d'informations personnelles, les informations personnelles de santé sont
considérées comme étant les plus confidentielles et la protection de leur confidentialité est essentielle
pour préserver la vie privée des sujets de soins. Afin de protéger la qualité des informations en matière
de santé, il est également important que leur cycle de vie complet soit entièrement auditable. Il convient
de créer, de traiter et de gérer les dossiers de santé de façon à garantir l'intégrité et la confidentialité de
leur contenu et à permettre aux sujets de soins de contrôler de manière tout à fait légitime la façon dont
les dossiers sont créés, utilisés et conservés.
La confiance dans les dossiers de santé informatisés nécessite des éléments de sécurité physiques et
techniques ainsi que des éléments d'intégrité des données. Parmi les exigences de sécurité les plus
importantes pour protéger les informations personnelles de santé et l'intégrité des dossiers figurent
celles qui concernent l'audit et le contrôle d'accès. Elles permettent de respecter les obligations
envers les sujets de soins confiant leurs informations aux systèmes de dossiers de santé informatisés
(DSI). Elles contribuent également à protéger l'intégrité des dossiers, car elles incitent fortement les
utilisateurs à se conformer aux politiques organisationnelles appliquées à l'utilisation de ces systèmes.
Un audit et un contrôle d'accès efficaces peuvent favoriser la détection des utilisations abusives des
systèmes de DSI ou des données de DSI et peuvent aider les organisations et les sujets de soins à obtenir
réparation face à des utilisateurs ayant abusé de leurs privilèges d'accès. Afin que l'audit soit efficace,
il est nécessaire que les pistes d'audit contiennent suffisamment d'informations pour permettre le
traitement de situations très diverses (voir Annexe A).
Les journaux d'audit constituent un complément aux contrôles d'accès. Les journaux d'audit fournissent
un moyen d'évaluer la conformité aux politiques organisationnelles en matière d'accès et peuvent
contribuer à améliorer et à affiner la politique en elle-même. Mais, comme une telle politique a besoin
d'anticiper l'apparition de cas imprévus ou d'urgence, l'analyse des journaux d'audit devient, dans ces
cas-là, le meilleur moyen d'assurer le contrôle des accès.
Le domaine d'application du présent document est strictement limité à la consignation des événements.
Les modifications apportées aux valeurs des champs d'un DSI sont supposées être enregistrées dans
le système de base de données des DSI, et non, dans le journal d'audit. Le système de DSI est supposé
contenir les valeurs de chaque champ, avant et après leur mise à jour, ce qui répond aux architectures
de base de données actuelles. Le journal d'audit en soi n'est supposé contenir aucune information
personnelle de santé autre que les identifiants et les liens pointant vers le dossier.
Le dossier de santé informatisé propre à un certain individu peut appartenir à plusieurs systèmes
d'informations différents, situés à l'intérieur ou au-delà des frontières organisationnelles, voire même
juridictionnelles. Afin de garder la trace de toutes les actions impliquant les dossiers relatifs à un sujet
de soins particulier, il est indispensable de disposer d'un cadre commun. Le présent document fournit
un tel cadre. Pour prendre en charge des pistes d'audit couvrant des domaines distincts, il est essentiel
que ce cadre inclue des références aux politiques qui spécifient les exigences propres à chaque domaine,
telles que les règles de contrôle d'accès et les durées de conservation. Les politiques régissant les
domaines peuvent être référencées implicitement par l'identification de la source du journal d'audit.
0.2  Avantages de l'utilisation du présent document
La normalisation des pistes d'audit concernant l'accès aux dossiers de santé informatisés a deux
objectifs:
— assurer que l'information contenue dans le journal d'audit est suffisante pour reconstruire
clairement la chronologie détaillée des événements ayant conduit au contenu d'un dossier de santé
informatisé;
— assurer que la piste d'audit des actions relatives au dossier d'un sujet de soins puisse être suivie de
façon fiable, même si elle couvre différents domaines organisationnels.
vi © ISO 2021 – Tous droits réservés

---------------------- Page: 6 ----------------------
ISO/FDIS 27789:2021(F)

Le présent document est destiné aux responsables de la supervision de la sécurité ou de la confidentialité
des informations de santé, aux organismes de santé et aux autres dépositaires d'informations de santé
qui sont à la recherche de recommandations concernant les pistes d'audit, ainsi qu'à leurs conseillers en
matière de sécurité, consultants, auditeurs, fournisseurs et prestataires de service externes.
0.3  Normes relatives aux pistes d'audit des dossiers de santé informatisés
Le présent document est élaboré sur la base du travail débuté dans le document RFC 3881
concernant l'accès aux DSI et s'y conforme. Le présent document repose également sur le contenu de
l'ISO/TS 21089:2018 et s'y conforme.
© ISO 2021 – Tous droits réservés vii

---------------------- Page: 7 ----------------------
PROJET FINAL DE NORME INTERNATIONALE ISO/FDIS 27789:2021(F)
Informatique de santé — Historique d'expertise des
dossiers de santé informatisés
1 Domaine d'application
Le présent document définit un cadre commun pour les pistes d'audit des dossiers de santé
informatisés (DSI), en termes d'événements déclencheurs d'audit et de données d'audit, afin de
conserver l'ensemble complet des informations personnelles de santé auditables, quels que soient les
systèmes et les domaines d'information.
Le présent document s'applique aux systèmes de traitement des informations personnelles de santé
qui créent un enregistrement d'audit sécurisé chaque fois qu'un utilisateur crée des informations
personnelles de santé, qu'il les lit, qu'il les met à jour ou qu'il les archive par le biais du système.
NOTE Au minimum, ces enregistrements d'audit identifient de manière unique l'utilisateur, identifient de
manière unique le sujet de soins, identifient la fonction exécutée par l'utilisateur (création d'un dossier, lecture
d'un dossier, mise à jour d'un dossier, etc.) et enregistrent la date et l'heure auxquelles la fonction a été exécutée.
Le présent document ne couvre que les actions effectuées sur le dossier de santé informatisé, qui sont
régies par une politique d'accès propre au domaine dans lequel s'inscrit le dossier de santé informatisé.
Il ne traite d'aucune information personnelle de santé issue de dossiers de santé informatisés, à
l'exception des identifiants, les enregistrements d'audit ne contenant que des liens pointant vers des
segments du DSI, tels que définis par la politique d'accès applicable.
Le présent document ne couvre pas non plus la spécification et l'utilisation des journaux d'audit à des
fins de gestion et de sécurité du système, par exemple, la détection des problèmes de performance, des
failles au niveau des applications, ou le support de reconstruction des données, qui sont traités par les
[[9]]
normes de sécurité informatique générales, telles que l'ISO/IEC 15408 (toutes les parties) .
L'Annexe A donne des exemples de scénarios d'audit. L'Annexe B donne un aperçu des services de journal
d'audit.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 27799:2016, Informatique de santé — Management de la sécurité de l'information relative à la santé
en utilisant l'ISO/IEC 27002
ISO 8601-1, Date et heure — Représentations pour l'échange d'information — Partie 1: Règles de base
ISO/TS 21089:2018, Informatique de santé — Flux d'informations "trusted end-to-end"
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO/TS 21089:2018 ainsi que les
suivants, s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l'adresse https:// www .iso .org/ obp
© ISO 2021 – Tous droits réservés 1

---------------------- Page: 8 ----------------------
ISO/FDIS 27789:2021(F)

— IEC Electropedia: disponible à l'adresse https:// www .electropedia .org/
3.1
contrôle d'accès
moyens mis en œuvre pour assurer que l'accès aux actifs est autorisé et limité selon les exigences
propres à la sécurité et à l'activité métier
[SOURCE: ISO/IEC 27000:2018, 3.1]
3.2
politique d'accès
définition des obligations concernant l'autorisation d'accès à une ressource
3.3
responsabilité
obligation d'un individu ou d'une organisation de rendre compte de ses activités, de l'exécution d'un
livrable ou d'une tâche, d'assumer la responsabilité de ces activités, livrables ou tâches, et d'en divulguer
les résultats de façon transparente
[SOURCE: ISO/TS 21089:2018, 3.3.1]
3.4
agent
entité, telle qu'un logiciel ou un dispositif, qui entreprend des actions programmées
[SOURCE: ISO/TS 21089:2018, 3.6.4]
3.5
alerte
ce qui est envoyé lorsque le service de surveillance remarque une série d'événements correspondant à
un modèle
3.6
audit
revue et examen indépendants de dossiers et d'activités, menés dans le but d'évaluer l'adéquation
des contrôles du système pour garantir la conformité aux politiques et procédures opérationnelles
établies, et de recommander les modifications nécessaires à introduire dans les contrôles, politiques ou
procédures
[SOURCE: ISO/TS 21089:2018, 3.20]
3.7
archive d'audit
archive créée à partir de la collecte d'un ou de plusieurs journaux d'audit
3.8
données d'audit
données obtenues à partir d'un ou de plusieurs enregistrements d'audit
3.9
journal d'audit
séquence chronologique d'enregistrements d'audit, chacun contenant des données sur un événement
spécifique
3.10
enregistrement d'audit
enregistrement d'un événement unique particulier ayant eu lieu au cours du cycle de vie du dossier de
santé informatisé
3.11
système d'audit
système de traitement de l'information permettant de tenir à jour un ou plusieurs journaux d'audit
2 © ISO 2021 – Tous droits réservés

---------------------- Page: 9 ----------------------
ISO/FDIS 27789:2021(F)

3.12
piste d'audit
enregistrement chronologique des activités d'un système, suffisant pour permettre la reconstruction,
la vérification et l'examen de la séquence des environnements et des activités qui encadrent, ou
conduisent à, une opération, une procédure ou un événement dans une transaction, de ses débuts
jusqu'à ses résultats finaux
[SOURCE: GCST]
3.13
authentification
moyen pour une entité d'assurer la légitimité d'une caractéristique revendiquée
[SOURCE: ISO/IEC 27000:2018, 3.5]
3.14
autorisation
attribution de droits, comprenant la permission d'accès sur la base de droits d'accès
[SOURCE: ISO/IEC 2382:2015, 2126256, modifiée — Les Notes à l'article ont été supprimées.]
3.15
disponibilité
propriété d'être accessible et utilisable à la demande par une entité autorisée
[SOURCE: ISO/IEC 27000:2018, 3.7]
3.16
confidentialité
propriété selon laquelle l'information n'est pas rendue disponible ou divulguée à des personnes, des
entités ou des processus non autorisés
[SOURCE: ISO/IEC 27000:2018, 3.10]
3.17
temps universel coordonné
UTC
échelle de temps qui constitue la base d'une diffusion radioélectrique coordonnée des fréquences étalon
et des signaux horaires
Note 1 à l'article: Le temps universel coordonné a la même marche que le temps atomique international, mais en
diffère d'un nombre entier de secondes.
[SOURCE: IEC 60050-713:1998, 05-20]
3.18
intégrité des données
propriété assurant que l'exactitude et la cohérence des données sont préservées quels que soient les
changements effectués
[SOURCE: ISO 2382:2015, 2126247, modifiée — Les Notes à l'article ont été supprimées.]
3.19
dossier de santé informatisé
DSI
dépôt (d'ensembles organisés) d'informations relatives à la santé d'un sujet de soins, sous une forme
pouvant être informatisée
[SOURCE: ISO/TR 20514:2005, 2.11, modifiée — Le texte entre
...