ISO 21298:2017
(Main)Health informatics — Functional and structural roles
Health informatics — Functional and structural roles
ISO 21298:2017 defines a model for expressing functional and structural roles and populates it with a basic set of roles for international use in health applications. Roles are generally assigned to entities that are actors. This will focus on roles of persons (e.g. the roles of health professionals) and their roles in the context of the provision of care (e.g. subject of care). Roles can be structural (e.g. licensed general practitioner, non-licensed transcriptionist, etc.) or functional (e.g. a provider who is a member of a therapeutic team, an attending physician, prescriber, etc.). Structural roles are relatively static, often lasting for many years. They deal with relationships between entities expressed at a level of complex concepts. Functional roles are bound to the realization of actions and are highly dynamic. They are normally expressed at a decomposed level of fine-grained concepts. Roles addressed in this document are not restricted to privilege management purposes, though privilege management and access control is one of the applications of this document. This document does not address specifications related to permissions. This document treats the role and the permission as separate constructs. Further details regarding the relationship with permissions, policy, and access control are provided in ISO 22600.
Informatique de santé — Rôles fonctionnels et structurels
ISO 21298:2017 définit un modèle qui permet de décrire les rôles fonctionnels et structurels, et l'alimente avec une base de rôles pour une utilisation internationale dans les applications de santé. Les rôles sont en général attribués à des entités qui sont des acteurs. La présente norme mettra l'accent sur le rôle des personnes (par exemple: le rôle des professionnels de la santé) ainsi que sur leurs rôles dans le contexte de la prestation de soins (par exemple: sujet de soins). Les rôles peuvent être structurels (par exemple: médecin généraliste agréé, transcripteur médical non agréé, etc.) ou fonctionnels (par exemple: prestataire membre d'une équipe thérapeutique, médecin traitant, prescripteur, etc.). Les rôles structurels sont relativement statiques, souvent valables pendant de nombreuses années. Ils traitent des relations entre les entités exprimées à un niveau de concepts complexes. Les rôles fonctionnels sont liés à la réalisation d'actions et sont très dynamiques. Ils sont généralement exprimés à un niveau détaillé de concepts élémentaires. Les rôles objet du présent document ne sont pas traités uniquement sous l'angle de la gestion des privilèges, bien que la gestion des privilèges et le contrôle d'accès soient l'une des applications de ce document. Le présent document ne traite pas des spécifications liées aux permissions. Le présent document considère le rôle et la permission comme des éléments distincts. Des détails supplémentaires concernant les liens avec les permissions, la politique et le contrôle d'accès sont fournis dans l'ISO 22600.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 21298
First edition
2017-02
Corrected version
2017-04
Health informatics — Functional and
structural roles
Informatique de santé — Rôles fonctionnels et structurels
Reference number
ISO 21298:2017(E)
©
ISO 2017
---------------------- Page: 1 ----------------------
ISO 21298:2017(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2017, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2017 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 21298:2017(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 5
5 Modeling roles in an architectural context . 5
5.1 Roles within the Generic Component Model . 5
5.2 Roles and policy aspects . 8
5.3 Roles in privilege management . 9
5.4 Relations of this standard to related privilege management specifications . 9
5.5 Structural roles .10
5.5.1 General.10
5.5.2 Structural roles of healthcare professions from the International Labour
Organization for trans-jurisdiction mapping .10
5.5.3 Healthcare specialties .11
5.6 Functional roles .12
6 Formally modelling roles .14
6.1 Roles within the Generic Component Model .14
6.2 Developing the role model .14
6.2.1 Relationships and transformation .14
6.2.2 Assignment of structural roles.15
6.2.3 Generic role specification .15
6.3 Relationships between structural and functional roles .18
7 Use cases for the use of structural and functional roles in an interregional or
international context .18
Annex A (informative) ISCO-08 sample mapping .20
Annex B (informative) Sample certificate profile for regulated healthcare professional .31
Bibliography .33
© ISO 2017 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 21298:2017(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment,
as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the
Technical Barriers to Trade (TBT) see the following URL: www . i so .org/ iso/ foreword .html.
This first edition of ISO 21298 cancels and replaces ISO/TS 21298:2008, which has been technically
revised.
The committee responsible for this document is ISO/TC 215, Health informatics.
This corrected version incorporates the following correction:
— replacement of Figure 2.
iv © ISO 2017 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 21298:2017(E)
Introduction
This document contains a specification for encoding information related to roles for health
professionals and consumers. At least five areas have been identified where a model for encoding role
information is needed.
a) Privilege management and access control: role-based access control is not possible without an
effective means of recording role information for healthcare actors.
b) Directory services: structural roles are usefully recorded within directories of healthcare
providers (see for example, ISO 21091).
c) Audit trails: functional roles are usefully recorded within audit trails for health information
applications.
d) Public key infrastructure (PKI): The ISO 17090 series allows for the encoding of healthcare roles
in certificate extensions, but no structured vocabulary for such roles is specified. This document
identifies such a coded vocabulary.
e) Purpose of use: A role specification determines for what purposes healthcare information can be
used. Purposes of use are tied to specific roles in many cases (see for example, ISO 21091).
In addition to these security-related applications, there are several other possible applications of this
standard, such as follows.
— Clinical care provision: finding and identifying the right professional for a health service.
— Support of care: billing of healthcare services.
— Communication management: directing healthcare-related messages by means of a specific role.
— Health service management and quality assurance: defining the purpose of use for specific data.
This document is complementary to other relevant standards that also describe and define roles for
the purpose of access control. It extends the model through the separation of role and policy. This
separation allows for a richer and more flexible capability to instantiate business rules across multiple
domains and jurisdictions. Backward compatibility with ANSI International Committee for Information
Technology Standards (INCITS) and HL7 RBAC (Role-Based Access Control) is provided through
simplification by combining policy and role into a single construct.
The role concepts defined in this document are referenced and reused in many international
standards created, for example, by ISO, CEN, HL7 International. Examples are ISO 22600, Reference [9],
Reference [10] and Reference [11].
The European Commission and the EU Parliament have established a Professional Qualifications
Directive (2005/36/EC) defining medical specialties (see ht t p:// eu r -le x . eu r op a .eu/ legal -content/ EN/
TXT/ HTML/ ?uri = CELEX: 02005L0036 -20140117 & from = EN).
Annex A provides ISOCO-08 sample mapping while Annex B provides sample certificate profile for
regulated healthcare professionals.
© ISO 2017 – All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO 21298:2017(E)
Health informatics — Functional and structural roles
1 Scope
This document defines a model for expressing functional and structural roles and populates it with a
basic set of roles for international use in health applications. Roles are generally assigned to entities
that are actors. This will focus on roles of persons (e.g. the roles of health professionals) and their roles
in the context of the provision of care (e.g. subject of care).
Roles can be structural (e.g. licensed general practitioner, non-licensed transcriptionist, etc.) or
functional (e.g. a provider who is a member of a therapeutic team, an attending physician, prescriber,
etc.). Structural roles are relatively static, often lasting for many years. They deal with relationships
between entities expressed at a level of complex concepts. Functional roles are bound to the realization
of actions and are highly dynamic. They are normally expressed at a decomposed level of fine-grained
concepts.
Roles addressed in this document are not restricted to privilege management purposes, though privilege
management and access control is one of the applications of this document. This document does not
address specifications related to permissions. This document treats the role and the permission as
separate constructs. Further details regarding the relationship with permissions, policy, and access
control are provided in ISO 22600.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— IEC Electropedia: available at http:// www .electropedia .org/
— ISO Online browsing platform: available at http:// www .iso .org/ obp
3.1
access control
means of ensuring that the resources of a data processing system can be accessed only by authorized
entities in authorized ways
[SOURCE: ISO/IEC 2382-8:2015, 2126294]
3.2
attribute certificate authority
AA
authority which assigns privileges by issuing attribute certificates (3.3)
[SOURCE: ISO/IEC 9594-8:2014, 3.5.2, modified]
© ISO 2017 – All rights reserved 1
---------------------- Page: 6 ----------------------
ISO 21298:2017(E)
3.3
attribute certificate
data structure, digitally signed by an Attribute Authority, that binds some attribute values with
identification (3.12) about its holder
[SOURCE: ISO/IEC 9594-8:2014, 3.5.1]
3.4
authorization
granting of privileges, which includes the granting of privileges to access data and functions
Note 1 to entry: Derived from ISO 7498-2: the granting of rights, which includes the granting of access based on
access rights.
[SOURCE: ISO 22600-1:2014, 3.6]
3.5
certification authority
CA
certificate issuer; an authority trusted by one or more relying parties to create, assign and manage
certificates
Note 1 to entry: Optionally, the certification authority can create the relying parties’ keys [ISO 9594-8]. The CA
issues certificates by signing certificate data with its private signing key.
Note 2 to entry: Authority in the CA term does not imply any government authorization, only that it is trusted.
Certificate issuer can be a better term but CA is used very broadly.
[SOURCE: ISO 22600-1:2014, 3.8]
3.6
delegation
conveyance of privilege from one entity (3.8) that holds such privilege, to another entity
[SOURCE: ISO 22600-1:2014, 3.10]
3.7
delegation path
ordered sequence of certificates which, together with authentication of a privilege asserter’s (3.19)
identity, can be processed to verify the authenticity of a privilege asserter’s privilege
[SOURCE: ISO 22600-2:2014, 3.15]
3.8
entity
any concrete or abstract thing of interest
Note 1 to entry: While in general, the word entity can be used to refer to anything, in the context of modelling it is
reserved to refer to things in the universe of discourse being modelled.
3.9
functional role
role (3.21) which is bound to an act
Note 1 to entry: Functional roles can be assigned to be performed during an act.
Note 2 to entry: Functional roles have been specified in this document.
Note 3 to entry: Functional roles correspond to the ISO/HL7 21731 RIM participation.
Note 4 to entry: See also structural role (3.26).
2 © ISO 2017 – All rights reserved
---------------------- Page: 7 ----------------------
ISO 21298:2017(E)
3.10
healthcare organization
officially registered organization that has a main activity related to healthcare services or health
promotion
EXAMPLE Hospitals, Internet healthcare website providers, and healthcare research institutions.
Note 1 to entry: The organization is recognized to be legally liable for its activities but need not be registered for
its specific role (3.21) in health.
[SOURCE: ISO 17090-1:2013, 3.1.4]
3.11
healthcare professional
healthcare personnel having a healthcare professional entitlement recognized in a given jurisdiction
Note 1 to entry: The healthcare professional entitlement entitles a healthcare professional to provide healthcare
independent of a role (3.21) in a healthcare organization (3.10).
EXAMPLE GP, medical consultant, therapist, dentist, etc.
3.12
identification
performance of tests to enable a data processing system to recognize entities
3.13
non-regulated healthcare personnel
person employed by a healthcare organization (3.10), but who is not a regulated health professional
EXAMPLE Massage therapist, music therapist, etc.
[SOURCE: ISO 17090-1:2013, 3.1.5, modified]
3.14
organization employee
person employed by a healthcare organization (3.10) or a supporting organization (3.27)
EXAMPLE Medical records transcriptionists, healthcare insurance claims adjudicators, and pharmaceutical
order entry clerks.
3.15
policy
set of legal, political, organizational, functional and technical obligations for communication and
cooperation
[SOURCE: ISO 22600-1:2014, 3.13]
3.16
policy agreement
written agreement where all involved parties commit themselves to a specified set of policies
[SOURCE: ISO 22600-1:2014, 3.14]
3.17
principal
human users and objects that need to operate under their own rights
[SOURCE: OMG Security Services Specification: 2001]
© ISO 2017 – All rights reserved 3
---------------------- Page: 8 ----------------------
ISO 21298:2017(E)
3.18
privilege
capacity assigned to an entity (3.8) by an authority according to the entity’s attribute
Note 1 to entry: Per OASIS Extensible Access Control Markup Language (XACML) V2.0, privilege, permissions,
authorization, entitlement and rights are replaced by the term ‘rule’.
[SOURCE: ISO 22600-1:2014, 3.17]
3.19
privilege asserter
privilege holder using their attribute certificate (3.3) or public-key certificate to assert privilege (3.18)
[SOURCE: ISO 22600-2:2014, 3.27]
3.20
privilege verifier
entity (3.8) verifying certificates against a privilege policy
[SOURCE: ISO 22600-2:2014, 3.30]
3.21
role
set of competencies and/or performances that are associated with a task
[SOURCE: ISO 22600-2:2014, 3.33]
3.22
role assignment certificate
certificate that contains the role attribute, assigning one or more roles (3.21) to the certificate holder
[SOURCE: ISO 22600-2:2014, 3.34]
3.23
role certificate
certificate that assigns privileges (3.18) to a role (3.21) rather than directly to individuals
Note 1 to entry: Individuals assigned to a role, through an attribute certificate (3.3) or public-key certificate
with a subject directory attributes extension containing that assignment, are indirectly assigned the privileges
contained in the role certificate.
3.24
role specification certificate
certificate that contains the assignment of privileges (3.18) to a role (3.21)
[SOURCE: ISO 22600-2:2014, 3.35]
3.25
sponsored healthcare provider
health services provider who is not a regulated professional in the jurisdiction of his/her practice, but who
is active in his/her healthcare community and sponsored by a regulated healthcare organization (3.10)
EXAMPLE Drug and alcohol education officer who is working with a particular ethnic group, or a healthcare
aid worker in a developing country.
[SOURCE: ISO 17090-1:2013, 3.1.10]
3.26
structural role
role (3.21) specifying relations between entities in the sense of competence, often reflecting
organizational or structural relations (hierarchies).
Note 1 to entry: Structural roles have been specified in this document.
4 © ISO 2017 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 21298:2017(E)
Note 2 to entry: Structural roles correspond to the ISO/HL7 21731 RIM role.
Note 3 to entry: See also functional role (3.9).
3.27
supporting organization
officially registered organization which is providing services to a healthcare organization (3.10), but
which is not providing healthcare services
EXAMPLE Healthcare financing bodies such as insurance institutions, suppliers of pharmaceuticals and
other goods.
[SOURCE: ISO 17090-1:2013, 3.1.11]
3.28
supporting organization employee
person employed by a supporting organization (3.27)
4 Abbreviated terms
AA Attribute Authority
CA Certification Authority
GCM Generic Component Model
HL7 Health Level 7
ILO International Labour Organization
NIST National Institute for Standards
PKI Public Key Infrastructure
PMI Privilege Management Infrastructure
RBAC Role-Based Access Control
UML Unified Modeling Language
XACML eXtensible Access Control Markup Language
XML eXtensible Markup Language
5 Modeling roles in an architectural context
5.1 Roles within the Generic Component Model
For embedding components meeting functional requirements and services needed in a system, the
components of that system have to be managed in its architectural context. Therefore, requirements
analysis, design, and deployment of those components have to be developed and managed based on a
reference architecture following a unified process.
With the Generic Component Model (GCM), such reference architecture in conformance with essential
standards for distributed, component-based, service-oriented and semantically interoperable
information systems has been developed in the mid-1990s (e.g. ISO/IEC 9594-8, ISO/IEC 10746-2,
and ISO/IEC 2382-8) and used in the context of several ISO TC 215 and CEN TC 251, as well as HL7
specifications. The model specifies a component-based and service-oriented architecture for any
domain. While this document goes beyond security and privacy issues, functional and structural
roles are also used to manage privileges and access control. In this restricted context, functional and
© ISO 2017 – All rights reserved 5
---------------------- Page: 10 ----------------------
ISO 21298:2017(E)
structural roles have been specified and modelled in ISO 22600. This document extends scope, services,
and deployment of functional and structural roles, nevertheless being based on the architectural
[7][8].
approach for semantically interoperable eHealth/pHealth (personal health) information systems
A system architecture defines the system’s components, their functions and interrelationships. A
system architecture is modelled in three dimensions.
— Components for meeting specific domains’ requirements.
— The decomposition and, after detailing the underlying concepts, the composition of those
components following corresponding aggregation concepts/rule (e.g. component collaboration,
workflow, algorithm). Granularity levels are at least business concepts, relations networks, basic
services/functions and basic concepts.
— The different views on that component according to ISO 10746 from the Enterprise View (business
case, use case, requirements) through the Information View and the Computational View
representing the platform independent logic of the system/component, as well as the Engineering
View and Technology View both dealing with platform-specific implementation aspects.
Figure 1 presents the Generic Component Model providing the aforementioned reference architecture,
adding a real-world business viewpoint to the ISO 10746 viewpoints.
6 © ISO 2017 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 21298:2017(E)
NOTE Modelled after Reference [8] (modified).
Figure 1 — Representation of the role concepts defined in this standard using the Generic
Component Model
The principles established in this document are also applicable to domains other than healthcare. In
that case, that domain and its related policy domain have to be entered in Figure 1c.
© ISO 2017 – All rights reserved 7
---------------------- Page: 12 ----------------------
ISO 21298:2017(E)
The development of components, their concept representation and their aggregation are based on
constraint modeling. Concepts and rules can be represented using meta-languages such as UML and
UML derivatives or the XML languages set.
5.2 Roles and policy aspects
Roles group entities regarding their functions and relations in a business context. Roles should be
managed according to all dimensions of a system, represented, for example, by the GCM. They may be
expressed by an entity attribute.
For managing relationships between the entities, structural (organizational) and functional roles
can be defined. Roles might be assigned to any entity as an actor in a communication or cooperation
interrelationship (e.g. person, organization, system, device, application, component, etc.). Because
entities are actors in use cases, roles have relationship to actors and therefore to actions. Functional
and structural roles are associated with, and defined by, policies.
Policies are defined and applied to rule a system’s behaviour. Without separating concerns, i.e.
without representing specific perspectives on that system in specific GCM dimensions, policies will be
implicitly embedded in the system components specification. They control a system by constraining the
system’s components (attributes and operations) and their relationships structurally and functionally.
This is, for example, done in some simplistic Role-Based Access Control (RBAC) specifications by
summarizing those constraints in permission bound to a role and expressed as permission attribute
without explicitly defining and binding the driving policy to the corresponding component. In case of
conflicting constraints, related access control decision policies have to be deployed. If such policies are
not available, the most restrictive constraint is usually applied.
A policy may describe the legal framework including rules and regulations, the organizational and
administrative framework, functionalities, claims and objectives, the entities involved, agreements,
rights, duties, and penalties defined, as well as the technological solution implemented for collecting,
recording, processing and communicating data in information systems.
By formally representing a system through a Reference Architecture Model (e.g. the GCM) separating
concerns or perspectives in dimensions, policies can be explicitly modelled as specific GCM dimensions
(see Figure 1a). So, applicable multiple policies can be automatically harmonized, thereby resolving
possible conflicts (policy negotiation).
Policies can be specified and implemented in different ways, including the following:
— in a policy agreement as specified in ISO 22600-1;
— as an attribute;
— as an implicit policy as part of another component;
— as a separate policy element to be combined with another component or used directly;
— as a rule policy combined with another policy;
— as structured expressions (e.g. using XACML).
Further details regarding policy specification and the relationship to privilege management and access
control are provided in ISO 22600.
Roles can be instantiated through numerous mechanisms, including directory entries, database
variables and certificates, among others. Role assignment certificates may be attribute certificates or
public-key certificates. Specific privileges are assigned to a role rather than to an individual through
role specification certificates. The indirect assignment enables the privileges assigned to a role
to be updated, without impacting the certificates that assign roles to individuals. Role specification
certificates should be attribute certificates, and not public-key certificates. If role specification
certificates are not used, the assignment of privileges to a role may be done through other means (e.g.
may be locally configured at a privilege verifier).
8 © ISO 2017 – All rights reserved
---------------------- Page: 13 ----------------------
ISO 21298:2017(E)
For role and privilege management, the following measurements are possible:
a) any number of roles can be defined by any Attribute Authority;
b) the role itself and the members of a role can be defined and administered separately, by different
Attribute Authorities;
c) a privilege, may be delegated;
d) roles may be assigned any suitable lifetime.
Further discussion regarding assignment of multiplicity of structural and functional roles is addressed
in 5.5 and 5.6, respectively. Further details regarding the expression of roles through digital certificates
are provided in ISO 17090. Further details regarding the representation of roles as a directory entry
are provided in ISO 21091.
Functional and structural roles are associated with and defined by policies.
5.3 Roles in privilege management
Privileges can be assigned to an individual by a role assignment, or directly, following a corresponding
access control model such as Discretionary Access Control (DAC). A role can be expressed in public
key certificates, attribute certificates or in a directory entry as described in ISO 17090 and ISO 21091.
If the role assignment certificate is a public-key certificate, the role attribute is contained in the
subjectDirectoryAttributes extension. In the latter case, any additional privileges contained in the
public-key certificate are privileges that are directly assigned to the certificate subject, not privileges
assigned to the role. If the role assignment certificate is an attribute certificate, the role attribute is
contained in the attributes component of the attribute certificate.
Thus, a privilege asserter may present a role assignment certificate to the privilege verifier
demonstrating only that the privilege asserter has a particular role (e.g. “manager” or “purchaser”).
The privilege verifier may know a p
...
NORME ISO
INTERNATIONALE 21298
Première édition
2017-02
Informatique de santé — Rôles
fonctionnels et structurels
Health informatics — Functional and structural roles
Numéro de référence
ISO 21298:2017(F)
©
ISO 2017
---------------------- Page: 1 ----------------------
ISO 21298:2017(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2017, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2017 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 21298:2017(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 5
5 Rôles de modélisation dans un contexte architectural . 5
5.1 Rôles au sein du modèle de composant générique (GCM) . 5
5.2 Rôles et aspects relatifs à la politique . 7
5.3 Rôles au sein de la gestion des privilèges . 9
5.4 Relations entre la présente norme et les spécifications de gestion des
privilèges associées . 9
5.5 Rôles structurels .10
5.5.1 Généralités .10
5.5.2 Rôles structurels des professions de santé établis par l’Organisation
Internationale du Travail pour la mise en correspondance transjuridictionnelle 10
5.5.3 Spécialités du secteur de la santé .11
5.6 Rôles fonctionnels .12
6 Modélisation formelle des rôles .14
6.1 Rôles au sein du modèle de composant générique (GCM) .14
6.2 Développement du modèle de rôle .14
6.2.1 Relations et transformation .14
6.2.2 Attribution des rôles structurels .15
6.2.3 Spécification de rôle générique .16
6.3 Relations entre rôles structurels et rôles fonctionnels .18
7 Cas d’utilisation des rôles structurels et des rôles fonctionnels dans un contexte
interrégional ou international .18
Annexe A (informative) Échantillon de mise en correspondance CITP-08 .20
Annexe B (informative) Exemple de profil de certificat pour professionnels de la santé agréés .30
Bibliographie .33
© ISO 2017 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 21298:2017(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, ou pour toute information au sujet de l’adhésion de l’ISO aux principes de l’Organisation
mondiale du commerce (OMC) concernant les obstacles techniques au commerce (OTC), voir le lien
suivant: w w w . i s o .org/ iso/ fr/ avant -propos .html
Cette première édition de l’ISO 21298 annule et remplace l’ISO/TS 21298:2008, qui a fait l’objet d’une
révision technique.
Le comité chargé de l’élaboration du présent document est l’ISO/TC 215, Informatique de santé.
iv © ISO 2017 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 21298:2017(F)
Introduction
Le présent document contient une spécification de codage des informations liées aux rôles des
professionnels et des consommateurs de santé. Cinq domaines au moins ont été identifiés, pour lesquels
il est nécessaire de recourir à un modèle de codage des informations relatives aux rôles.
a) Gestion des privilèges et contrôle d’accès: le contrôle d’accès en fonction du rôle n’est pas
possible sans la mise en place d’un moyen efficace destiné à enregistrer les informations relatives
aux rôles des acteurs de santé.
b) Services d’annuaire: les rôles structurels sont utilement enregistrés au sein d’annuaires de
prestataires de santé (voir, par exemple, ISO 21091).
c) Traçabilité: les rôles fonctionnels sont utilement enregistrés au sein de journaux d’audit destinés
aux applications de gestion des informations de santé.
d) Infrastructure de clé publique (PKI pour Public Key Infrastructure): la série de normes ISO 17090
permet le codage des rôles de santé dans des extensions de certificat, mais aucun vocabulaire
structuré relatif à ces rôles n’est spécifié. Le présent document identifie ce vocabulaire codé.
e) But de l’utilisation: une spécification de rôle détermine dans quel but les informations relatives
aux soins de santé peuvent être utilisées. Dans de nombreux cas, le but de l’utilisation est lié à des
rôles spécifiques (voir, par exemple, ISO 21091).
Outre ces applications liées à la sécurité, il existe plusieurs autres applications possibles de la présente
norme, dont voici quelques exemples ci-après:
— la prestation de soins cliniques: trouver et identifier le bon professionnel pour un service de
santé donné.
— la prise en charge des soins: facturer les services de soins de santé.
— la gestion de la communication: router les messages relatifs à la santé au moyen d’un rôle
spécifique.
— la gestion des services de santé et l’assurance qualité: définir le but de l’utilisation de données
spécifiques.
Le présent document sert de complément à d’autres normes applicables qui décrivent et définissent
aussi les rôles pour les besoins du contrôle d’accès. Il élargit le modèle en séparant le rôle de la politique.
Cette séparation permet d’instancier de manière plus riche et plus souple les règles de gestion dans
de multiples domaines et juridictions. La compatibilité ascendante avec l’ANSI INCITS (InterNational
Committee for Information Technology Standards) et avec le contrôle d’accès en fonction du rôle (RBAC -
Role-Based Access Control) de la HL7 est assurée grâce à une simplification obtenue en combinant la
politique et le rôle en un seul et même élément.
Les concepts de rôle définis dans le présent document sont cités en référence et réutilisés dans de
nombreuses Normes internationales, par exemple: dans les normes ISO, CEN et HL7 International. En
voici quelques exemples: ISO 22600, Référence [7], Référence [8] et Référence [9].
La Commission européenne et le Parlement européen ont émis une Directive relative aux qualifications
professionnelles (2005/36/CE), qui définit les spécialités médicales (voir ht t p:// eu r -le x . eu r op a .eu/ legal
-content/ FR/ TXT/ HTML/ ?uri = CELEX: 02005L0036 -20140117 & from = EN).
L’Annexe A fournit un échantillon mis en correspondance de la nomenclature CITP-08 alors que
l’Annexe B fournit un échantillon de profil de certificats pour les professionnels de santé agréés.
© ISO 2017 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO 21298:2017(F)
Informatique de santé — Rôles fonctionnels et structurels
1 Domaine d’application
Le présent document définit un modèle qui permet de décrire les rôles fonctionnels et structurels, et
l’alimente avec une base de rôles pour une utilisation internationale dans les applications de santé. Les
rôles sont en général attribués à des entités qui sont des acteurs. La présente norme mettra l’accent sur
le rôle des personnes (par exemple: le rôle des professionnels de la santé) ainsi que sur leurs rôles dans
le contexte de la prestation de soins (par exemple: sujet de soins).
Les rôles peuvent être structurels (par exemple: médecin généraliste agréé, transcripteur médical non
agréé, etc.) ou fonctionnels (par exemple: prestataire membre d’une équipe thérapeutique, médecin
traitant, prescripteur, etc.). Les rôles structurels sont relativement statiques, souvent valables pendant
de nombreuses années. Ils traitent des relations entre les entités exprimées à un niveau de concepts
complexes. Les rôles fonctionnels sont liés à la réalisation d’actions et sont très dynamiques. Ils sont
généralement exprimés à un niveau détaillé de concepts élémentaires.
Les rôles objet du présent document ne sont pas traités uniquement sous l’angle de la gestion des
privilèges, bien que la gestion des privilèges et le contrôle d’accès soient l’une des applications de ce
document. Le présent document ne traite pas des spécifications liées aux permissions. Le présent
document considère le rôle et la permission comme des éléments distincts. Des détails supplémentaires
concernant les liens avec les permissions, la politique et le contrôle d’accès sont fournis dans l’ISO 22600.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
— ISO Online browsing platform: disponible à l’adresse http:// www .iso .org/ obp
3.1
contrôle d’accès
ensemble des moyens garantissant que seules les entités autorisées peuvent accéder aux ressources
d’un système informatique, et seulement d’une manière autorisée
[SOURCE: ISO/IEC 2382-8:2015, 2126294]
3.2
autorité de certificats d’attribut
AA
autorité qui attribue des privilèges par l’émission de certificats d’attribut (3.3)
[SOURCE: ISO/IEC 9594-8:2014, 3.5.2, modifiée]
© ISO 2017 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO 21298:2017(F)
3.3
certificat d’attribut
structure de données, portant la signature numérique d’une autorité d’attribut qui lie certaines valeurs
d’attribut à des informations d’identification (3.12) concernant son détenteur
[SOURCE: ISO/IEC 9594-8:2014, 3.5.1]
3.4
autorisation
attribution de privilèges comprenant la délivrance de privilèges donnant accès à des données et
fonctions
Note 1 à l’article: D’après l’ISO 7498-2: attribution de droits, comprenant la permission d’accès sur la base de
droits d’accès.
[SOURCE: ISO 22600-1:2014, 3.6]
3.5
autorité de certification
CA
émetteur de certificat; autorité de confiance déclarée compétente par une ou plusieurs parties
utilisatrices en matière de création, de délivrance et de gestion de certificats
Note 1 à l’article: L’autorité de certification peut éventuellement créer les clés de parties utilisatrices
[ISO 9594-8]. L’autorité de certification émet les certificats en signant les données de certificat à l’aide de sa clé
de signature privée.
Note 2 à l’article: La notion d’autorité incluse dans le terme «autorité de certification» n’implique en rien une
autorisation gouvernementale, mais véhicule simplement une notion de confiance. Le terme «émetteur de
certificat» est peut-être moins ambigu, mais le terme «autorité de certification» est très largement employé.
[SOURCE: ISO 22600-1:2014, 3.8]
3.6
délégation
transmission d’un privilège détenu par une entité (3.8) à une autre entité
[SOURCE: ISO 22600-1:2014, 3.10]
3.7
chemin de délégation
séquence ordonnée de certificats qui, lorsqu’ils sont associés à une authentification de l’identité d’un
déclarant de privilège (3.19), peuvent être traités pour vérifier l’authenticité du privilège que le déclarant
revendique
[SOURCE: ISO 22600-2:2014, 3.15]
3.8
entité
tout élément concret ou abstrait, qui présente un intérêt
Note 1 à l’article: Alors que d’une manière générale le terme «entité» peut être utilisé pour faire référence à toute
chose, son utilisation dans le contexte de la modélisation est réservée aux éléments de l’univers du discours
modélisé.
3.9
rôle fonctionnel
rôle (3.21) lié à un acte
Note 1 à l’article: Les rôles fonctionnels peuvent être attribués en vue d’être remplis pendant cet acte
Note 2 à l’article: Les rôles fonctionnels sont spécifiés dans le présent document.
2 © ISO 2017 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO 21298:2017(F)
Note 3 à l’article: Les rôles fonctionnels correspondent à la contribution du modèle d’informations de référence
(ou modèle RIM, pour Reference Information Model) de l’ISO/HL7 21731.
Note 4 à l’article: Voir aussi rôle structurel (3.26).
3.10
organisation de soins de santé
organisme officiellement enregistré dont l’activité principale est liée à la prestation de services de soins
de santé ou à la promotion de la santé
EXEMPLE Hôpitaux, fournisseurs de sites Internet sur la santé et instituts de recherche sur la santé.
Note 1 à l’article: L’organisme est reconnu légalement responsable de ses activités, mais ne doit pas nécessairement
être enregistré pour le rôle (3.21) spécifique qu’il remplit en matière de santé.
[SOURCE: ISO 17090-1:2013, 3.1.4]
3.11
professionnel de santé
personnel de santé possédant une habilitation de professionnel de santé reconnue dans une
juridiction donnée
Note 1 à l’article: L’habilitation de professionnel de santé autorise un professionnel de santé à dispenser des soins
de santé, indépendamment d’un rôle (3.21) au sein d’une organisation de soins de santé (3.10).
EXEMPLE Médecin généraliste, médecin consultant, thérapeute, dentiste, etc.
3.12
identification
exécution de tests permettant à un système informatique de reconnaître des entités
3.13
personnel de santé non agréé
personne qui est employée par une organisation de soins de santé (3.10), mais qui n’est pas un
professionnel de santé agréé
EXEMPLE Massothérapeute, musicothérapeute, etc.
[SOURCE: ISO 17090-1:2013, 3.1.5, modifiée]
3.14
employé d’une organisation
personne employée par une organisation de soins de santé (3.10) ou un organisme de soutien (3.27)
EXEMPLE Transcripteurs médicaux, agents liquidateurs de l’assurance maladie et opérateurs de saisie du
secteur pharmaceutique.
3.15
politique
ensemble d’obligations légales, politiques, organisationnelles, fonctionnelles et techniques applicable à
une communication et à une coopération
[SOURCE: ISO 22600-1:2014, 3.13]
3.16
accord de politique
accord écrit par le biais duquel toutes les parties impliquées s’engagent à respecter un ensemble de
politiques préalablement spécifié
[SOURCE: ISO 22600-1:2014, 3.14]
© ISO 2017 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO 21298:2017(F)
3.17
acteur principal
utilisateurs humains et objets qui doivent fonctionner avec leurs propres droits
[SOURCE: Spécification de l’OMG relative aux services de sécurité (OMG Security Services
Specification): 2001]
3.18
privilège
capacité assignée par une autorité à une entité (3.8) selon son attribut
Note 1 à l’article: OASIS XACML (Extensible Access Control Markup Language) V2.0 remplace les notions de
privilège, permissions, autorisation, avantage et droits par le terme «règle».
[SOURCE: ISO 22600-1:2014, 3.17]
3.19
déclarant de privilège
détenteur de privilège utilisant son certificat d’attribut (3.3) ou son certificat de clé publique pour
déclarer un privilège (3.18)
[SOURCE: ISO 22600-1:2014, 3.27]
3.20
vérificateur de privilège
entité (3.8) vérifiant des certificats par rapport à une politique de privilège
[SOURCE: ISO 22600-2:2014, 3.30]
3.21
rôle
ensemble de compétences et/ou de comportements associés à une tâche
[SOURCE: ISO 22600-2:2014, 3.33]
3.22
certificat d’attribution de rôle
certificat qui contient l’attribut de rôle, assignant un ou plusieurs rôles (3.21) au détenteur du certificat
[SOURCE: ISO 22600-2:2014, 3.34]
3.23
certificat de rôle
certificat qui, au lieu d’attribuer des privilèges (3.18) directement à des individus, les attribue à un
rôle (3.21)
Note 1 à l’article: Les individus affectés à un rôle, grâce à un certificat d’attribut (3.3) ou à un certificat de clé
publique avec une extension d’attributs d’annuaire de sujet contenant cette affectation, reçoivent indirectement
les privilèges contenus dans le certificat de rôle.
3.24
certificat de spécification de rôle
certificat qui contient l’attribution de privilèges (3.18) à un rôle (3.21)
[SOURCE: ISO 22600-2:2014, 3.35]
3.25
prestataire de soins de santé parrainé
prestataire de services de santé non agréé dans sa juridiction d’exercice, mais actif au sein de sa
communauté professionnelle et parrainé par une organisation de soins de santé (3.10) agréée
EXEMPLE Éducateur spécialisé dans les drogues et l’alcool qui œuvre auprès d’un groupe ethnique
particulier, ou coopérant humanitaire dans un pays en développement.
4 © ISO 2017 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 21298:2017(F)
[SOURCE: ISO 17090-1:2013, 3.1.10]
3.26
rôle structurel
rôle (3.21) spécifiant les relations entre les entités en termes de compétences, reflétant souvent les
relations organisationnelles ou structurelles (hiérarchies)
Note 1 à l’article: Les rôles structurels sont spécifiés dans le présent document.
Note 2 à l’article: Les rôles structurels correspondent au rôle du modèle d’informations de référence (RIM) de
l’ISO/HL7 21731.
Note 3 à l’article: Voir aussi rôle fonctionnel (3.9).
3.27
organisme de soutien
organisme officiellement enregistré qui fournit des services à une organisation de soins de santé (3.10),
mais qui ne propose aucun service de soin de santé
EXEMPLE Organismes de financement des soins de santé, tels que les institutions d’assurance, fournisseurs
de produits pharmaceutiques et d’autres biens.
[SOURCE: ISO 17090-1:2013, 3.1.11]
3.28
employé d’un organisme de soutien
personne employée par un organisme de soutien (3.27)
4 Abréviations
AA Autorité d’attribut (Attribute Authority)
CA Autorité de certification (Certification Authority)
GCM Modèle de composant générique (Generic Component Model)
HL7 Health Level 7
OIT Organisation Internationale du Travail
NIST National Institute for Standards
PKI Infrastructure de clé publique (Public Key Infrastructure)
PMI Infrastructure de gestion des privilèges (Privilege Management Infrastructure)
RBAC Contrôle d’accès en fonction du rôle (Role-Based Access Control)
UML Langage UML (Unified Modeling Language)
XACML Langage XACML (eXtensible Access Control Markup Language)
XML Langage XML (eXtensible Markup Language)
5 Rôles de modélisation dans un contexte architectural
5.1 Rôles au sein du modèle de composant générique (GCM)
Les composants de système qui satisfont aux exigences fonctionnelles et aux services requis dans un
système doivent être gérés dans leur contexte architectural. Par conséquent, l’analyse, la conception
© ISO 2017 – Tous droits réservés 5
---------------------- Page: 10 ----------------------
ISO 21298:2017(F)
et le déploiement des exigences de ces composants doivent être développés et gérés sur la base d’une
architecture de référence suivant un processus unifié.
Avec le modèle de composant générique (GCM), une telle architecture de référence conforme aux
normes essentielles relatives aux systèmes d’information répartis, fondés sur les composants,
orientés services et sémantiquement interopérables, a été développée au milieu des années 90 (par
exemple: ISO/IEC 9594-8, ISO/IEC 10746-2 et ISO/IEC 2382-8) et utilisée dans le cadre de plusieurs
spécifications ISO/TC 215, CEN/TC 251 et HL7. Ce modèle spécifie, pour tout domaine, une architecture
fondée sur les composants et orientée services. Même si le présent document va au-delà des questions
de sécurité et de respect de la vie privée, les rôles fonctionnels et structurels sont également utilisés
pour gérer les privilèges et le contrôle d’accès. Dans ce contexte restreint, des rôles fonctionnels et
structurels ont été définis et modélisés dans l’ISO 22600. Le présent document élargit le domaine
d’application, les services et le déploiement des rôles fonctionnels et structurels, mais reste fondé sur
l’approche architecturale des systèmes d’information sémantiquement interopérables eSanté/iSanté
[7][8]
(santé individuelle) .
Une architecture de système définit les composants du système, leurs fonctions et leurs interactions.
Une architecture de système est modélisée en trois dimensions:
— Les composants permettant de satisfaire aux exigences de domaines spécifiques;
— La décomposition et, après avoir détaillé les concepts sous-jacents, la composition de ces composants
d’après la règle/les concepts d’agrégation correspondants (par exemple: la collaboration entre
composants, le workflow, l’algorithme). Les niveaux de granularité sont, au minimum: les concepts
métier, les réseaux de relations, les services/fonctions de base et les concepts de base;
— Les différentes vues concernant ce composant selon l’ISO 10746, la vue entreprise (cas métier,
cas d’utilisation, exigences), la vue information et la vue traitement qui représentent la logique
indépendante de la plateforme du système/composant, ainsi que la vue ingénierie et la vue
technologie qui concernent les aspects de mise en œuvre spécifiques à la plateforme.
La Figure 1 illustre le modèle de composant générique qui fournit l’architecture de référence
susmentionnée, en ajoutant un point de vue d’entreprise réel aux points de vue de l’ISO 10746.
6 © ISO 2017 – Tous droits réservés
---------------------- Page: 11 ----------------------
ISO 21298:2017(F)
NOTE Modélisé d’après la Référence [8] (modifiée).
Figure 1 — Représentation des concepts de rôle définis dans la présente norme à l’aide du
modèle de composant générique
Les principes établis dans le présent document sont également applicables à d’autres domaines que
celui de la santé. Le cas échéant, le domaine en question et le domaine de politique afférent doivent être
reportés à la Figure 1c.
Le développement des composants, la représentation de leur concept et leur agrégation sont fondés
sur la modélisation des contraintes. Les concepts et les règles peuvent être représentés à l’aide de
métalangages, tels que l’UML et ses dérivés ou l’ensemble des langages XML.
5.2 Rôles et aspects relatifs à la politique
Les rôles regroupent des entités selon leurs fonctions et leurs relations dans un contexte d’entreprise.
Il convient que les rôles soient gérés en tenant compte de toutes les dimensions d’un système,
représentées, par exemple, par le GCM. Les rôles peuvent être exprimés par un attribut d’entité.
Pour gérer les relations entre les entités, il est possible de définir des rôles structurels (organisationnels)
et fonctionnels. Les rôles peuvent être attribués à toute entité en tant qu’acteur dans une interaction
de communication ou de coopération (il s’agit par exemple d’une personne, d’une organisation, d’un
système, d’un dispositif, d’une application, d’un composant, etc.). Parce que les entités sont des acteurs
engagés dans des cas d’utilisation, il existe une relation entre les rôles et les acteurs et, par conséquent,
entre les rôles et les actions. Les rôles fonctionnels et structurels sont associés à des politiques et définis
par celles-ci.
Les politiques sont définies et appliquées pour gérer le comportement d’un système. Sans dissocier les
concepts, c’est-à-dire sans représenter les perspectives spécifiques concernant ce système dans des
dimensions spécifiques du GCM, les politiques seront implicitement intégrées dans la spécification des
composants du système. Elles contrôlent un système en limitant les composants du système (attributs
et opérations) et leurs relations, structurellement et fonctionnellement. Par exemple, cela peut être
effectué par les spécifications d’un simple RBAC (contrôle d’accès en fonction du rôle) qui regroupe
ces contraintes sous forme de permission liée à un rôle et exprimée en tant qu’attribut de permission,
sans définir explicitement et lier la politique directionnelle au composant correspondant. En cas de
© ISO 2017 – Tous droits réservés 7
---------------------- Page: 12 ----------------------
ISO 21298:2017(F)
contraintes contradictoires, les politiques décisionnelles associées en matière de contrôle d’accès
doivent être déployées. Si ces politiques ne sont pas disponibles, la contrainte la plus restrictive est
généralement appliquée.
Une politique peut décrire le cadre juridique, y compris les règles et réglementations, le cadre
organisationnel et administratif, les fonctionnalités, les revendications et objectifs, les entités
concernées, les accords, les droits, les devoirs et les sanctions définies, ainsi que la solution technologique
mise en œuvre pour collecter, enregistrer, traiter et communiquer les données au sein des systèmes
d’information.
En représentant formellement
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.