ISO 21091:2013
(Main)Health informatics — Directory services for healthcare providers, subjects of care and other entities
Health informatics — Directory services for healthcare providers, subjects of care and other entities
ISO 21091:2013 defines minimal specifications for directory services for healthcare. It can be used to enable communications between organizations, devices, servers, application components, systems, technical actors, and devices. ISO 21091:2013 provides the common directory information and services needed to support the secure exchange of healthcare information over public networks where directory information and services are used for these purposes. It addresses the health directory from a community perspective in anticipation of supporting inter-enterprise, inter-jurisdiction, and international healthcare communications. While several options are supported by ISO 21091:2013, a given service will not need to include all of the options. In addition to the support of security services, such as access control and confidentiality, ISO 21091:2013 provides specification for other aspects of communication, such as addresses and protocols of communication entities. ISO 21091:2013 also supports directory services aiming to support identification of health professionals and organizations and the subjects of care.
Informatique de santé — Services d'annuaires pour les fournisseurs de soins de santé, les sujets de soins et autres entités
L'ISO 21091:2013 définit les spécifications minimales relatives aux services d'annuaire pour les soins de santé. Elle peut être utilisée pour permettre les communications entre organisations, appareils, serveurs, composants d'applications, systèmes, acteurs techniques et dispositifs. L'ISO 21091:2013 fournit les informations et services d'annuaire communs nécessaires pour prendre en charge l'échange en toute sécurité des informations de soins de santé sur les réseaux publics lorsque les informations et services d'annuaire sont utilisés à cette fin. Elle traite de l'annuaire de santé d'un point de vue communautaire préalablement aux communications interentreprises, inter-juridiction et internationales en matière de soins de santé. Bien que plusieurs options soient prises en charge par la présente Norme internationale, il ne sera pas nécessaire pour un service donné d'inclure toutes les options. Outre le support des services de sécurité tels que le contrôle et la confidentialité d'accès, l'ISO 21091:2013 doit spécifier d'autres aspects de la communication, tels que les adresses et les protocoles des entités de communication. L'ISO 21091:2013 concerne également les services d'annuaires qui ont pour objet de prendre en charge l'identification des professionnels et des organisations de santé ainsi que celle des patients.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 21091
First edition
2013-02-15
Health informatics — Directory
services for healthcare providers,
subjects of care and other entities
Informatique de santé — Services d’annuaires pour les fournisseurs
de soins de santé, les sujets de soins et autres entités
Reference number
©
ISO 2013
© ISO 2013
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2013 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Symbols (and abbreviated terms) . 5
5 Healthcare context . 6
5.1 General . 6
5.2 Healthcare persons . 7
5.3 Multiple affiliations . 7
5.4 Healthcare organizations . 8
5.5 Hardware/software . 8
5.6 Healthcare security services . 8
6 Directory security management framework . 8
7 Interoperability . 9
7.1 Requirements . 9
7.2 Name space/tree structure . 9
8 Healthcare schema .11
8.1 Healthcare persons .11
8.2 Organization identities .18
8.3 Roles, Job Function and Group .23
9 Distinguished Name .28
9.1 General .28
9.2 Relative Distinguished Name .29
Annex A (informative) Healthcare directory scenarios .32
Annex B (informative) Referenced object classes .40
Bibliography
.............................................................................................................................................................................................................................47
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 21091 was prepared by Technical Committee ISO/TC 215, Health informatics.
This first edition cancels and replaces ISO/TS 21091:2005, which has been technically revised.
iv © ISO 2013 – All rights reserved
Introduction
Health informatics directory services for healthcare providers, subjects of care and other entities are
intended to support the communication and security requirements of healthcare professionals in the
conduct of clinical and administrative functions. Healthcare requires extensive encipherment and access
control requirements for the disclosure and transport of all confidential health information. In support
of the healthcare public key infrastructure, healthcare will make available a registry of certificates
including business and professional information necessary to conduct healthcare transactions. This
information necessarily includes identification of individual roles within the healthcare system as can
only be identified by the respective healthcare organizations. As such, the registration and management
functions are to be extensible, and potentially distributed throughout the healthcare community.
Support for these additional healthcare requirements for security is also to be offered through the
directory service.
The directory is becoming an increasingly popular method of providing a means for single sign-on
capabilities to support authentication. This goal has resulted in the inclusion of authentication and
identity attributes to authenticate the identity of a healthcare person or entity.
The directory also supports the communication of additional attributes that can be used to support
authorization decisions. This goal has driven directory schema extensions to include organization
employee management information, healthcare-specific contact information, and healthcare identifiers.
This International Standard addresses the healthcare-specific requirements of the directory, and defines,
as appropriate, standard specifications for inclusion of this information in the healthcare directory.
Besides technical security measures that are discussed in other ISO standards, communication of
healthcare data requires a reliable accountable “chain of trust.” In order to maintain this chain of trust
within a public key infrastructure, users (relying parties) need to be able to obtain current correct
certificates and certificate status information through secure directory management.
The healthcare directory will support standard lightweight directory access protocol (LDAP) client
searches, interface engines for message transformation, and service oriented architecture (SOA)
implementations to enable the service in any environment. Specific implementation guidance, search
criteria and support are outside the scope of this International Standard.
While specific security measures and access control specifications are out of scope of this International
Standard, due to the sensitive nature of health related and privacy information that may be supported
through the directory services, significant controls need to be enabled at branch, object classes, and
attribute levels. Processes and procedures should be in place to ensure information integrity represented
within the health directory, and responsibility for the content of the directory should be clearly
allocated through policy and process. It is anticipated that appropriate access controls managing who
can read, write or modify all items in the healthcare directory will be applied. This may be accomplished
by assigning individuals within the directory to the HCOrganizationalRole and assigning appropriate
privileges (e.g. read, modify, delete) to that role in directory management configuration.
INTERNATIONAL STANDARD ISO 21091:2013(E)
Health informatics — Directory services for healthcare
providers, subjects of care and other entities
1 Scope
This International Standard defines minimal specifications for directory services for healthcare. It can
be used to enable communications between organizations, devices, servers, application components,
systems, technical actors, and devices.
This International Standard provides the common directory information and services needed to support
the secure exchange of healthcare information over public networks where directory information and
services are used for these purposes. It addresses the health directory from a community perspective
in anticipation of supporting inter-enterprise, inter-jurisdiction, and international healthcare
communications. While several options are supported by this International Standard, a given service
will not need to include all of the options.
In addition to the support of security services, such as access control and confidentiality, this International
Standard provides specification for other aspects of communication, such as addresses and protocols of
communication entities.
This International Standard also supports directory services aiming to support identification of health
professionals and organizations and the subjects of care.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/HL7 27931:2009, Data Exchange Standards — Health Level Seven Version 2.5 — An application
protocol for electronic data exchange in healthcare environments
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
access control
means of ensuring that the resources of a data processing system can be accessed only by authorized
entities in authorized ways
[ISO/IEC 2382-8]
3.2
attribute authority
AA
authority which assigns privileges by issuing attribute certificates
[X.509]
3.3
attribute certificate
data structure, digitally signed by an attribute authority, that binds some attribute values with
identification about its holder
[X.509]
3.4
authentication
process of reliably identifying security subjects by securely associating an identifier and its authenticator
[ISO 7498-2]
3.5
authorization
granting of rights, which includes the granting of access based on access rights
[ISO 7498-2]
3.6
availability
property of being accessible and useable upon demand by an authorized entity
[ISO 7498-2]
3.7
certificate
public key certificate
3.8
certificate distribution
act of publishing certificates and transferring certificates to security subjects
3.9
certificate issuer
authority trusted by one or more relying parties to create and assign certificates
Note 1 to entry: Opt
...
INTERNATIONAL ISO
STANDARD 21091
First edition
2013-02-15
Health informatics — Directory
services for healthcare providers,
subjects of care and other entities
Informatique de santé — Services d’annuaires pour les fournisseurs
de soins de santé, les sujets de soins et autres entités
Reference number
©
ISO 2013
© ISO 2013
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2013 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Symbols (and abbreviated terms) . 5
5 Healthcare context . 6
5.1 General . 6
5.2 Healthcare persons . 7
5.3 Multiple affiliations . 7
5.4 Healthcare organizations . 8
5.5 Hardware/software . 8
5.6 Healthcare security services . 8
6 Directory security management framework . 8
7 Interoperability . 9
7.1 Requirements . 9
7.2 Name space/tree structure . 9
8 Healthcare schema .11
8.1 Healthcare persons .11
8.2 Organization identities .18
8.3 Roles, Job Function and Group .23
9 Distinguished Name .28
9.1 General .28
9.2 Relative Distinguished Name .29
Annex A (informative) Healthcare directory scenarios .32
Annex B (informative) Referenced object classes .40
Bibliography
.............................................................................................................................................................................................................................47
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 21091 was prepared by Technical Committee ISO/TC 215, Health informatics.
This first edition cancels and replaces ISO/TS 21091:2005, which has been technically revised.
iv © ISO 2013 – All rights reserved
Introduction
Health informatics directory services for healthcare providers, subjects of care and other entities are
intended to support the communication and security requirements of healthcare professionals in the
conduct of clinical and administrative functions. Healthcare requires extensive encipherment and access
control requirements for the disclosure and transport of all confidential health information. In support
of the healthcare public key infrastructure, healthcare will make available a registry of certificates
including business and professional information necessary to conduct healthcare transactions. This
information necessarily includes identification of individual roles within the healthcare system as can
only be identified by the respective healthcare organizations. As such, the registration and management
functions are to be extensible, and potentially distributed throughout the healthcare community.
Support for these additional healthcare requirements for security is also to be offered through the
directory service.
The directory is becoming an increasingly popular method of providing a means for single sign-on
capabilities to support authentication. This goal has resulted in the inclusion of authentication and
identity attributes to authenticate the identity of a healthcare person or entity.
The directory also supports the communication of additional attributes that can be used to support
authorization decisions. This goal has driven directory schema extensions to include organization
employee management information, healthcare-specific contact information, and healthcare identifiers.
This International Standard addresses the healthcare-specific requirements of the directory, and defines,
as appropriate, standard specifications for inclusion of this information in the healthcare directory.
Besides technical security measures that are discussed in other ISO standards, communication of
healthcare data requires a reliable accountable “chain of trust.” In order to maintain this chain of trust
within a public key infrastructure, users (relying parties) need to be able to obtain current correct
certificates and certificate status information through secure directory management.
The healthcare directory will support standard lightweight directory access protocol (LDAP) client
searches, interface engines for message transformation, and service oriented architecture (SOA)
implementations to enable the service in any environment. Specific implementation guidance, search
criteria and support are outside the scope of this International Standard.
While specific security measures and access control specifications are out of scope of this International
Standard, due to the sensitive nature of health related and privacy information that may be supported
through the directory services, significant controls need to be enabled at branch, object classes, and
attribute levels. Processes and procedures should be in place to ensure information integrity represented
within the health directory, and responsibility for the content of the directory should be clearly
allocated through policy and process. It is anticipated that appropriate access controls managing who
can read, write or modify all items in the healthcare directory will be applied. This may be accomplished
by assigning individuals within the directory to the HCOrganizationalRole and assigning appropriate
privileges (e.g. read, modify, delete) to that role in directory management configuration.
INTERNATIONAL STANDARD ISO 21091:2013(E)
Health informatics — Directory services for healthcare
providers, subjects of care and other entities
1 Scope
This International Standard defines minimal specifications for directory services for healthcare. It can
be used to enable communications between organizations, devices, servers, application components,
systems, technical actors, and devices.
This International Standard provides the common directory information and services needed to support
the secure exchange of healthcare information over public networks where directory information and
services are used for these purposes. It addresses the health directory from a community perspective
in anticipation of supporting inter-enterprise, inter-jurisdiction, and international healthcare
communications. While several options are supported by this International Standard, a given service
will not need to include all of the options.
In addition to the support of security services, such as access control and confidentiality, this International
Standard provides specification for other aspects of communication, such as addresses and protocols of
communication entities.
This International Standard also supports directory services aiming to support identification of health
professionals and organizations and the subjects of care.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO/HL7 27931:2009, Data Exchange Standards — Health Level Seven Version 2.5 — An application
protocol for electronic data exchange in healthcare environments
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
access control
means of ensuring that the resources of a data processing system can be accessed only by authorized
entities in authorized ways
[ISO/IEC 2382-8]
3.2
attribute authority
AA
authority which assigns privileges by issuing attribute certificates
[X.509]
3.3
attribute certificate
data structure, digitally signed by an attribute authority, that binds some attribute values with
identification about its holder
[X.509]
3.4
authentication
process of reliably identifying security subjects by securely associating an identifier and its authenticator
[ISO 7498-2]
3.5
authorization
granting of rights, which includes the granting of access based on access rights
[ISO 7498-2]
3.6
availability
property of being accessible and useable upon demand by an authorized entity
[ISO 7498-2]
3.7
certificate
public key certificate
3.8
certificate distribution
act of publishing certificates and transferring certificates to security subjects
3.9
certificate issuer
authority trusted by one or more relying parties to create and assign certificates
Note 1 to entry: Opt
...
NORME ISO
INTERNATIONALE 21091
Première édition
2013-02-15
Informatique de santé — Services
d’annuaires pour les fournisseurs de
soins de santé, les sujets de soins et
autres entités
Health informatics — Directory services for healthcare providers,
subjects of care and other entities
Numéro de référence
©
ISO 2013
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2013
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2013 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles (et abréviations) . 6
5 Contexte des soins de santé . 6
5.1 Généralités . 6
5.2 Personnes de soins de santé . 7
5.3 Affiliations multiples . 8
5.4 Organisations de soins de santé . 8
5.5 Matériel/Logiciel . 8
5.6 Services de sécurité des soins de santé . 9
6 Cadre de gestion de la sécurité de l’annuaire. 9
7 Interopérabilité . 9
7.1 Exigences . 9
7.2 Espace de nom/structure d’arbre (arborescence) . 9
8 Schéma de soins de santé .12
8.1 Personnes de soins de santé .12
8.2 Identités de l’organisation .19
8.3 Rôles, fonction d’emploi et groupe .24
9 Nom distinctif (DN) .30
9.1 Généralités .30
9.2 Nom distinctif relatif .30
Annexe A (informative) Scénarios d’annuaire de soins de santé .34
Annexe B (informative) Classes d’objet référencées .42
Bibliographie
...........................................................................................................................................................................................................................49
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (CEI) en ce qui concerne
la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives
ISO/CEI, Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour vote.
Leur publication comme Normes internationales requiert l’approbation de 75 % au moins des comités
membres votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO 21091 a été élaborée par le comité technique ISO/TC 215, Informatique de santé.
Cette première édition annule et remplace l’ISO/TS 21091:2005, qui a fait l’objet d’une révision technique.
iv © ISO 2013 – Tous droits réservés
Introduction
Les services d’annuaire en informatique de santé pour les fournisseurs de soins de santé, les sujets de
soins et autres entités sont destinés à prendre en charge les exigences relatives à la communication et à
la sécurité des professionnels de la santé dans l’exercice de leurs fonctions cliniques et administratives.
Les soins de santé requièrent des exigences relatives au chiffrement des données et aux contrôles d’accès
pour la divulgation et la transmission de toutes les informations de santé confidentielles. À l’appui de
l’infrastructure de clé publique de soins de santé, les soins de santé mettent à disposition un registre de
certificats comprenant les informations commerciales et professionnelles nécessaires pour effectuer les
transactions de soins de santé. Ces informations doivent comporter l’identification des rôles individuels
au sein du système de santé tels qu’ils ne peuvent être identifiés que par les organisations de santé
respectives. En tant que tel, les fonctions d’enregistrement et de gestion doivent être extensibles, et
éventuellement distribuées à tous les niveaux de la communauté de soins de santé. Le service d’annuaire
doit également prendre en charge ces exigences de santé supplémentaires pour la sécurité.
L’annuaire devient une méthode de plus en plus populaire permettant d’assurer les capacités d’ouverture
de session unique pour la prise en charge de l’authentification. Cet objectif a conduit à l’inclusion des
attributs d’authentification et d’identification en vue d’authentifier l’identité d’une personne de soins de
santé ou d’un acteur du domaine de la santé.
L’annuaire prend également en charge la communication d’attributs supplémentaires qui peuvent
être utilisés pour appuyer les décisions d’autorisation. Cet objectif a amené les extensions du schéma
d’annuaire à inclure les informations de gestion des employés de l’organisation, les informations
de contact spécifiques aux soins de santé, et les identifiants de soins de santé. La présente Norme
internationale traite des exigences spécifiques des soins de santé de l’annuaire, et définit, au besoin,
des spécifications standard relatives à l‘inclusion de ces informations dans l’annuaire de soins de santé.
Outre les mesures techniques de sécurité abordées dans d’autres normes ISO, la communication des
données de soins de santé requiert une «chaîne de confiance» fiable et contrôlable. Afin de maintenir
cette chaîne de confiance au sein de l’infrastructure de clé publique, les utilisateurs (participants faisant
confiance) doivent être en mesure d’obtenir des certificats valables corrects et des informations relatives
au statut des certificats par la gestion sécurisée de l’annuaire.
L’annuaire de soins de santé prend en charge les recherches standard client (LDAP), les unités d’interface
pour la transformation des messages et les mises en œuvre de l’Architecture axée sur le service (SOA)
pour faciliter le service dans tout type d’environnement. Les lignes directrices spécifiques de mise en
œuvre, les critères de recherche et la prise en charge ne relèvent pas du domaine d’application de la
présente Norme internationale.
Bien que les mesures de sécurité et les spécifications de contrôle d’accès spécifiques ne relèvent pas du
domaine d’application de la présente Norme internationale, du fait de la nature sensible des informations
relatives à la santé et au respect de la vie privée susceptibles d’être prises en charge par les services de
l’annuaire, des contrôles importants doivent être activés aux niveaux de la branche, des classes d’objet
et des attributs. Il convient que des processus et des procédures soient en place pour assurer l’intégrité
des informations représentées dans l’annuaire de santé et la responsabilité vis-à-vis du contenu de
l’annuaire doit être clairement attribuée à travers des politiques et processus. Il est à prévoir la conduite
de contrôles d’accès appropriés permettant de gérer ceux qui peuvent lire, écrire ou modifier tous les
éléments de l’annuaire de soins de santé. Cela peut être réalisé en affectant des individus au sein de
l’annuaire au rôle HCOrganizationalRole et en attribuant des privilèges appropriés (par exemple de
lecture, modification, suppression) à ce rôle dans la configuration de gestion de l’annuaire.
NORME INTERNATIONALE ISO 21091:2013(F)
Informatique de santé — Services d’annuaires pour les
fournisseurs de soins de santé, les sujets de soins et
autres entités
1 Domaine d’application
La présente Norme internationale définit les spécifications minimales relatives aux services d’annuaire
pour les soins de santé. Elle peut être utilisée pour permettre les communications entre organisations,
appareils, serveurs, composants d’applications, systèmes, acteurs techniques et dispositifs.
La présente Norme internationale fournit les informations et services d’annuaire communs nécessaires
pour prendre en charge l’échange en toute sécurité des informations de soins de santé sur les réseaux
publics lorsque les informations et services d’annuaire sont utilisés à cette fin. Elle traite de l’annuaire
de santé d’un point de vue communautaire préalablement aux communications interentreprises, inter-
juridiction et internationales en matière de soins de santé. Bien que plusieurs options soient prises en
charge par la présente Norme internationale, il ne sera pas nécessaire pour un service donné d’inclure
toutes les options.
Outre le support des services de sécurité tels que le contrôle et la confidentialité d’accès, la présente
Norme internationale doit spécifier d’autres aspects de la communication, tels que les adresses et les
protocoles des entités de communication.
La présente Norme internationale concerne également les services d’annuaires qui ont pour objet de prendre
en charge l’identification des professionnels et des organisations de santé ainsi que celle des patients.
2 Références normatives
Les documents de référence suivants sont indispensables pour l’application du présent document. Pour
les références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière édition
du document de référence s’applique (y compris les éventuels amendements).
ISO/HL7 27931:2009, Normes d’échange de données — Version 2.5 normalisée de messagerie HL7 — Un
protocole d’application pour l’échange de données électroniques dans les environnements de soins
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’a
...
NORME ISO
INTERNATIONALE 21091
Première édition
2013-02-15
Informatique de santé — Services
d’annuaires pour les fournisseurs de
soins de santé, les sujets de soins et
autres entités
Health informatics — Directory services for healthcare providers,
subjects of care and other entities
Numéro de référence
©
ISO 2013
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2013
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2013 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Symboles (et abréviations) . 6
5 Contexte des soins de santé . 6
5.1 Généralités . 6
5.2 Personnes de soins de santé . 7
5.3 Affiliations multiples . 8
5.4 Organisations de soins de santé . 8
5.5 Matériel/Logiciel . 8
5.6 Services de sécurité des soins de santé . 9
6 Cadre de gestion de la sécurité de l’annuaire. 9
7 Interopérabilité . 9
7.1 Exigences . 9
7.2 Espace de nom/structure d’arbre (arborescence) . 9
8 Schéma de soins de santé .12
8.1 Personnes de soins de santé .12
8.2 Identités de l’organisation .19
8.3 Rôles, fonction d’emploi et groupe .24
9 Nom distinctif (DN) .30
9.1 Généralités .30
9.2 Nom distinctif relatif .30
Annexe A (informative) Scénarios d’annuaire de soins de santé .34
Annexe B (informative) Classes d’objet référencées .42
Bibliographie
...........................................................................................................................................................................................................................49
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (CEI) en ce qui concerne
la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives
ISO/CEI, Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour vote.
Leur publication comme Normes internationales requiert l’approbation de 75 % au moins des comités
membres votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de
ne pas avoir identifié de tels droits de propriété et averti de leur existence.
L’ISO 21091 a été élaborée par le comité technique ISO/TC 215, Informatique de santé.
Cette première édition annule et remplace l’ISO/TS 21091:2005, qui a fait l’objet d’une révision technique.
iv © ISO 2013 – Tous droits réservés
Introduction
Les services d’annuaire en informatique de santé pour les fournisseurs de soins de santé, les sujets de
soins et autres entités sont destinés à prendre en charge les exigences relatives à la communication et à
la sécurité des professionnels de la santé dans l’exercice de leurs fonctions cliniques et administratives.
Les soins de santé requièrent des exigences relatives au chiffrement des données et aux contrôles d’accès
pour la divulgation et la transmission de toutes les informations de santé confidentielles. À l’appui de
l’infrastructure de clé publique de soins de santé, les soins de santé mettent à disposition un registre de
certificats comprenant les informations commerciales et professionnelles nécessaires pour effectuer les
transactions de soins de santé. Ces informations doivent comporter l’identification des rôles individuels
au sein du système de santé tels qu’ils ne peuvent être identifiés que par les organisations de santé
respectives. En tant que tel, les fonctions d’enregistrement et de gestion doivent être extensibles, et
éventuellement distribuées à tous les niveaux de la communauté de soins de santé. Le service d’annuaire
doit également prendre en charge ces exigences de santé supplémentaires pour la sécurité.
L’annuaire devient une méthode de plus en plus populaire permettant d’assurer les capacités d’ouverture
de session unique pour la prise en charge de l’authentification. Cet objectif a conduit à l’inclusion des
attributs d’authentification et d’identification en vue d’authentifier l’identité d’une personne de soins de
santé ou d’un acteur du domaine de la santé.
L’annuaire prend également en charge la communication d’attributs supplémentaires qui peuvent
être utilisés pour appuyer les décisions d’autorisation. Cet objectif a amené les extensions du schéma
d’annuaire à inclure les informations de gestion des employés de l’organisation, les informations
de contact spécifiques aux soins de santé, et les identifiants de soins de santé. La présente Norme
internationale traite des exigences spécifiques des soins de santé de l’annuaire, et définit, au besoin,
des spécifications standard relatives à l‘inclusion de ces informations dans l’annuaire de soins de santé.
Outre les mesures techniques de sécurité abordées dans d’autres normes ISO, la communication des
données de soins de santé requiert une «chaîne de confiance» fiable et contrôlable. Afin de maintenir
cette chaîne de confiance au sein de l’infrastructure de clé publique, les utilisateurs (participants faisant
confiance) doivent être en mesure d’obtenir des certificats valables corrects et des informations relatives
au statut des certificats par la gestion sécurisée de l’annuaire.
L’annuaire de soins de santé prend en charge les recherches standard client (LDAP), les unités d’interface
pour la transformation des messages et les mises en œuvre de l’Architecture axée sur le service (SOA)
pour faciliter le service dans tout type d’environnement. Les lignes directrices spécifiques de mise en
œuvre, les critères de recherche et la prise en charge ne relèvent pas du domaine d’application de la
présente Norme internationale.
Bien que les mesures de sécurité et les spécifications de contrôle d’accès spécifiques ne relèvent pas du
domaine d’application de la présente Norme internationale, du fait de la nature sensible des informations
relatives à la santé et au respect de la vie privée susceptibles d’être prises en charge par les services de
l’annuaire, des contrôles importants doivent être activés aux niveaux de la branche, des classes d’objet
et des attributs. Il convient que des processus et des procédures soient en place pour assurer l’intégrité
des informations représentées dans l’annuaire de santé et la responsabilité vis-à-vis du contenu de
l’annuaire doit être clairement attribuée à travers des politiques et processus. Il est à prévoir la conduite
de contrôles d’accès appropriés permettant de gérer ceux qui peuvent lire, écrire ou modifier tous les
éléments de l’annuaire de soins de santé. Cela peut être réalisé en affectant des individus au sein de
l’annuaire au rôle HCOrganizationalRole et en attribuant des privilèges appropriés (par exemple de
lecture, modification, suppression) à ce rôle dans la configuration de gestion de l’annuaire.
NORME INTERNATIONALE ISO 21091:2013(F)
Informatique de santé — Services d’annuaires pour les
fournisseurs de soins de santé, les sujets de soins et
autres entités
1 Domaine d’application
La présente Norme internationale définit les spécifications minimales relatives aux services d’annuaire
pour les soins de santé. Elle peut être utilisée pour permettre les communications entre organisations,
appareils, serveurs, composants d’applications, systèmes, acteurs techniques et dispositifs.
La présente Norme internationale fournit les informations et services d’annuaire communs nécessaires
pour prendre en charge l’échange en toute sécurité des informations de soins de santé sur les réseaux
publics lorsque les informations et services d’annuaire sont utilisés à cette fin. Elle traite de l’annuaire
de santé d’un point de vue communautaire préalablement aux communications interentreprises, inter-
juridiction et internationales en matière de soins de santé. Bien que plusieurs options soient prises en
charge par la présente Norme internationale, il ne sera pas nécessaire pour un service donné d’inclure
toutes les options.
Outre le support des services de sécurité tels que le contrôle et la confidentialité d’accès, la présente
Norme internationale doit spécifier d’autres aspects de la communication, tels que les adresses et les
protocoles des entités de communication.
La présente Norme internationale concerne également les services d’annuaires qui ont pour objet de prendre
en charge l’identification des professionnels et des organisations de santé ainsi que celle des patients.
2 Références normatives
Les documents de référence suivants sont indispensables pour l’application du présent document. Pour
les références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière édition
du document de référence s’applique (y compris les éventuels amendements).
ISO/HL7 27931:2009, Normes d’échange de données — Version 2.5 normalisée de messagerie HL7 — Un
protocole d’application pour l’échange de données électroniques dans les environnements de soins
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’a
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.