ISO 22600-2:2014
(Main)Health informatics — Privilege management and access control — Part 2: Formal models
Health informatics — Privilege management and access control — Part 2: Formal models
ISO 22600 defines principles and specifies services needed for managing privileges and access control to data and/or functions. It focuses on communication and use of health information distributed across policy domain boundaries. This includes healthcare information sharing across unaffiliated providers of healthcare, healthcare organizations, health insurance companies, their patients, staff members, and trading partners by both individuals and application systems ranging from a local situation to a regional or even national situation. It specifies the necessary component-based concepts and is intended to support their technical implementation. It will not specify the use of these concepts in particular clinical process pathways. ISO 22600-2:2014 introduces the underlying paradigm of formal high-level models for architectural components. It is based on ISO/IEC 10746 (all parts) and introduces the domain model, the document model, the policy model, the role model, the authorization model, the delegation model, the control model, and the access control model.
Informatique de santé — Gestion de privilèges et contrôle d'accès — Partie 2: Modèles formels
L'ISO 22600 définit les principes de gestion des privilèges et de contrôle d'accès aux données et/ou aux fonctions et spécifie les services nécessaires à ces activités. Elle se concentre sur la communication et l'utilisation des informations de santé distribuées au-delà des limites d'un domaine de politique. Cela inclut le partage d'informations de santé entre professionnels de santé non affiliés, établissements de santé, sociétés d'assurance-maladie, patients, membres du personnel et partenaires commerciaux, par des individus tout comme par des systèmes d'application utilisés dans un contexte local, voire régional ou même national. Elle spécifie les concepts nécessaires pour chaque composante et est destinée à faciliter leur mise en oeuvre technique. Elle ne spécifiera pas l'utilisation de ces concepts pour des cheminements de processus cliniques particuliers. L'ISO 22600-2:2014 constitue une introduction au paradigme sous-jacent de modèles formels de haut niveau pour les composantes architecturales. Elle est basée sur l'ISO/IEC 10746 (toutes les parties) et introduit le modèle de domaine, le modèle de document, le modèle de politique, le modèle de rôle, le modèle d'autorisation, le modèle de délégation, le modèle de contrôle et le modèle de contrôle d'accès.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22600-2
First edition
2014-10-01
Health informatics — Privilege
management and access control —
Part 2:
Formal models
Informatique de santé — Gestion de privilèges et contrôle d’accès —
Partie 2: Modèles formels
Reference number
©
ISO 2014
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Abbreviated terms . 6
5 Component paradigm . 6
6 Generic models . 7
6.1 Framework . 7
6.2 Domain model . 9
6.3 Document model .10
6.4 Policy model .11
6.5 Role model .14
6.6 Authorization model — Role and privilege assignment .14
6.7 Control model .15
6.8 Delegation model .16
6.9 Access control model .18
Annex A (informative) Functional and structural roles .20
Bibliography .25
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical Barriers
to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 215, Health informatics.
This first edition of ISO 22600-2 cancels and replaces ISO/TS 22600-2:2006, which has been technically
revised.
ISO 22600 consists of the following parts, under the general title Health informatics — Privilege
management and access control:
— Part 1: Overview and policy management
— Part 2: Formal models
— Part 3: Implementations
iv © ISO 2014 – All rights reserved
Introduction
The distributed architecture of shared care information systems supporting service-oriented
architecture (SOA) is increasingly based on corporate networks and virtual private networks. For
meeting the interoperability challenge, the use of standardized user interfaces, tools, and protocols,
which ensures platform independence, but also the number of really open information systems, is
rapidly growing during the last couple of years.
As a common situation today, hospitals are supported by several vendors providing different applications,
which are not able to communicate authentication and authorization since each has its own way of
handling these functions. For achieving an integrated scenario, it takes a remarkable amount of money,
time, and efforts to get users and changing organizational environments dynamically mapped before
starting communication and cooperation. Resources required for the development and maintenance
of security functions grow exponentially with the number of applications, with the complexity of
organizations towards a regional, national, or even international level, and with the flexibility of users
playing multiple roles, sometimes even simultaneously.
The situation becomes even more challenging when inter-organizational communications happens,
thereby crossing security policy domain boundaries. Moving from one healthcare centre to another or
from country to country, different rules for privileges and their management can apply to similar types
of users, both for execution of particular functions and for access to information. The policy differences
between these domains have to be bridged automatically or through policy agreements, defining sets of
rules followed by the parties involved, for achieving interoperability.
Another challenge to be met is how to improve the quality of care by using IT without infringing the
privacy of the patient. To provide physicians with adequate information about the patient, a virtual
electronic health care record is required which makes it possible to keep track of all the activities
belonging to one patient regardless of where and by whom they have been performed and documented.
In such an environment, a generic model or specific agreement between the parties for managing
privileges and access control including the patient or its representative is needed.
Besides a diversity of roles and responsibilities, typical for any type of large organization, also ethical
and legal aspects in the healthcare scenario due to the sensitivity of person-related health information
managed and its personal and social impact have to be considered.
Advanced solutions for privilege management and access control are required today already, but
this challenge will even grow over the next couple of years. The reason is the increase of information
exchanged between systems in order to fulfil the demands of health service providers at different care
levels for having access to more and more patient-related information to ensure the quality and efficiency
of patient’s diagnosis and treatment, however combined with increased security and privacy risks.
The implementation of this International Standard might be currently too advanced and therefore not
feasible in certain organizational and technical settings. For meeting the basic principle of best possible
action, it is therefore very important that at least a policy agreement is written between the parties
stating to progress towards this International Standard when any update/upgrade of the systems is
intended. The level of formalization and granularity of policies and the objects these policies are bound
to defines the solution maturity on a pathway towards the presented specification.
The policy agreement also has to contain defined differences in the security systems and agreed
solutions on how to overcome the differences. For example, the authentication service and privileges
of a requesting party at the responding site have to be managed according to the policy declared in
the agreement. For that reason, information and service requester, as well as information and service
provider on the one hand, and information and services requested and provided on the other hand, have
to be grouped and classified in a limited number of concepts for enabling the specification of a limited
number of solution categories. Based on that classification, claimant mechanisms, target sensitivity
mechanisms, and policy specification and management mechanisms can be implemented. Once all
parties have signed the policy agreement, the communication and information exchange can start with
the existing systems if the parties can accept the risks. If there are unacceptable risks which have to be
eliminated before the information exchange starts, they shall also be recorded in the policy agreement
together with an action plan stating how these risks shall be removed. The policy agreement also has to
contain a time plan for this work and an agreement on how it shall be financed.
The documentation of the negotiation process is very important and provides the platform for the policy
agreement.
Privilege management and access control address security and privacy services required for
communication and cooperation, i.e. distributed use of health information. It also implies safety aspects,
professional standards, and legal and ethical issues. This International Standard introduces principles
and specifies services needed for managing privileges and access control. Cryptographic protocols are
out of the scope of this International Standard.
This three-part International Standard references existing architectural and security standards as well
as specifications in the healthcare area such as ISO, CEN, ASTM, OMG, W3C, etc., and endorses existing
appropriate standards or identifies enhancements or modifications or the need for new standards. It
comprises of:
— ISO 22600-1: describes the scenarios and the critical parameters in information exchange across
policy domains. It also gives examples of necessary documentation methods as the basis for the
policy agreement.
— ISO 22600-2: describes and explains, in a more detailed manner, the architectures and underlying
models for privilege management and access control which are necessary for secure information
sharing including the formal representation of policies.
— ISO 22600-3: describes examples of implementable specifications of application security services
and infrastructural services using different specification languages.
It accommodates policy bridging. It is based on a conceptual model where local authorization servers and
cross border directory and policy repository services can assist access control in various applications
(software components). The policy repository provides information on rules for access to various
application functions based on roles and other attributes. The directory service enables identification
of the individual user. The granted access will be based on four aspects:
— the authenticated identification of principals (i.e. human users and objects that need to operate
under their own rights) involved;
— the rules for access to a specific information object including purpose of use;
— the rules regarding au
...
NORME ISO
INTERNATIONALE 22600-2
Première édition
2014-10-01
Informatique de santé — Gestion de
privilèges et contrôle d’accès —
Partie 2:
Modèles formels
Health informatics — Privilege management and access control —
Part 2: Formal models
Numéro de référence
©
ISO 2014
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2014
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2014 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Abréviations . 6
5 Paradigme de composante . 6
6 Modèles génériques . 8
6.1 Cadre . 8
6.2 Modèle de domaine . 9
6.3 Modèle de document .11
6.4 Modèle de politique .11
6.5 Modèle de rôle .15
6.6 Modèle d’autorisation — Rôle et attribution des privilèges .15
6.7 Modèle de contrôle .16
6.8 Modèle de délégation .17
6.9 Modèle de contrôle d’accès .19
Annexe A (informative) Rôles fonctionnels et structurels .21
Bibliographie .26
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui concerne
la normalisation électrotechnique.
Les procédures employées pour l’élaboration du présent document et celles destinées à son suivi sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient de noter les différents critères d’approbation
nécessaires aux différents types de documents ISO. Le présent document a été rédigé conformément aux
règles rédactionnelles des Directives ISO/IEC, Partie 2 (voir www.iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails relatifs à tous
droits de propriété identifiés au cours de l’élaboration du document figureront en Introduction et/ou
dans la liste ISO des déclarations de brevets reçues (voir www.iso.org/patents).
Tout nom commercial utilisé dans le présent document est une information donnée à des fins de
commodité pour l’utilisateur et ne bénéficie d’aucun appui particulier.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, aussi bien que pour des informations au sujet de l’adhésion de l’ISO aux principes de
l’OMC concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos —
Informations supplémentaires
Le comité chargé de l’élaboration du présent document est l’ISO/TC 215, Informatique de santé.
Cette première édition de l’ISO 22600-2 annule et remplace l’ISO/TS 22600-2:2006, qui a fait l’objet
d’une révision technique.
L’ISO 22600, présentée sous le titre général Informatique de santé — Gestion de privilèges et contrôle
d´accès, comprend les parties suivantes:
— Partie 1: Vue d’ensemble et gestion des politiques
— Partie 2: Modèles formels
— Partie 3: Mises en œuvre
iv © ISO 2014 – Tous droits réservés
Introduction
L’architecture répartie des systèmes d’informations de soins partagés prenant en charge l’architecture
orientée services (SOA) s’appuie de plus en plus sur des réseaux d’entreprise et des réseaux privés
virtuels. Afin de relever le défi de l’interopérabilité, le recours à des interfaces utilisateur, outils et
protocoles normalisés qui garantissent l’indépendance d’une plateforme s’est généralisé, tout comme le
nombre de systèmes d’informations réellement ouverts a rapidement augmenté au cours des dernières
années.
À l’heure actuelle, il est très fréquent que des hôpitaux aient recours à plusieurs fournisseurs qui leur
installent des applications qui ne sont pas en mesure de communiquer une authentification et une
autorisation, puisque chaque application a sa propre manière de gérer ces fonctions. Aboutir à un
scénario intégré demanderait d’investir beaucoup d’argent, de temps et d’efforts pour faire correspondre
dynamiquement des utilisateurs et des environnements organisationnels changeants, avant même
de démarrer une communication et une coopération. Les ressources requises pour le développement
et la maintenance des fonctions de sécurité augmentent de façon exponentielle, parallèlement au
nombre d’applications, à l’évolution toujours plus complexe des organisations vers un niveau régional,
national, voire international et à la flexibilité des utilisateurs jouant des rôles multiples, parfois même
simultanément.
La situation s’avère même encore plus compliquée lorsqu’il s’agit de communications
inter-organisationnelles qui, comme leur nom le laisse entendre, excèdent les limites d’un domaine
de politique de sécurité. D’un centre de soins à un autre ou d’un pays à un autre, les règles régissant
les privilèges et leur gestion peuvent différer pour des types d’utilisateurs similaires, aussi bien pour
l’exécution de fonctions particulières que pour l’accès aux informations. Les différences de politiques
entre ces domaines doivent être comblées automatiquement ou via des accords de politique définissant
des ensembles de règles à respecter par les parties concernées, pour assurer l’interopérabilité.
Améliorer la qualité des soins grâce aux technologies de l’information (TI) sans pour autant violer la vie
privée du patient constitue un autre défi à relever. Afin que les médecins puissent disposer d’informations
pertinentes sur leurs patients, il est nécessaire de mettre en place un dossier informatisé de soins de
santé, permettant de garder une trace de toutes les activités associées à un patient donné, quels que
soient le lieu où ces activités ont été menées et la personne qui les a effectuées ou documentées. Dans
ce contexte, il est nécessaire de disposer d’un modèle général ou d’un accord spécifique passé entre les
parties pour pouvoir gérer les privilèges et le contrôle d’accès aux informations incluant le patient ou
son représentant.
Outre la diversité des rôles et responsabilités qui caractérise tout type de grande organisation, il est
important de prendre également en considération les questions éthiques et légales qui se posent dans le
cadre d’un scénario de soins de santé, en raison de la sensibilité des informations gérées, liées à la santé
de la personne, et de leur impact personnel et social.
Même si la gestion des privilèges et le contrôle d’accès requièrent d’ores et déjà la mise en œuvre de
solutions perfectionnées, ce besoin se fera davantage ressentir dans les prochaines années. Cela est dû à
l’augmentation du nombre d’informations échangées entre systèmes afin de répondre aux exigences des
prestataires de services de santé à différents niveaux de soins, qui veulent pouvoir accéder à toujours
plus d’informations sur le patient afin de garantir la qualité et l’efficacité des diagnostics et traitements
délivrés aux patients, même si cela implique des risques accrus en termes de sécurité et de respect de
la vie privée.
La présente Norme internationale constitue une avancée technologique telle que certains établissements
techniques et organisationnels peuvent juger son application infaisable dans l’état actuel des choses.
Par conséquent, afin de satisfaire au principe de base qui consiste à entreprendre la meilleure action
possible, il est très important que les différentes parties impliquées rédigent au moins un accord de
politique explicitant la volonté d’évoluer dans le sens de la présente Norme internationale si des mises à
jour/mises à niveau sont prévues. Le niveau de formalisation et de granularité des politiques et les objets
auxquels ces politiques sont liées définissent la maturité de la solution par rapport à la spécification
présentée.
L’accord de politique doit également mentionner les différences qui ont été identifiées entre les
systèmes de sécurité ainsi que les solutions retenues pour pallier ces différences. Par exemple, le service
d’authentification et les privilèges d’un demandeur au niveau du site de réponse doivent être gérés
conformément à la politique déclarée dans l’accord. Pour cette raison, le demandeur d’informations et de
services ainsi que le fournisseur d’informations et de services d’une part, et les informations et services
demandés et fournis d’autre part, doivent être regroupés et classés selon un nombre limité de concepts
afin de pouvoir spécifier un nombre limité de catégories de solutions. Il est alors possible, sur la base de
cette classification, de mettre en œuvre des mécanismes d’ayants droits, de sensibilité des cibles ainsi
que de spécification et de gestion des politiques. Une fois l’accord de politique signé par la totalité des
parties impliquées, la communication et l’échange d’informations peuvent débuter en s’appuyant sur
les systèmes existants, si les parties en acceptent les risques. En cas de risques inacceptables devant
être éliminés avant de débuter l’échange d’informations, ces risques doivent également être enregistrés
dans l’accord de politique tout comme le plan d’actions explicitant la façon de supprimer ces risques.
L’accord de politique doit également inclure les échéances d’application du plan d’actions et ses moyens
de financement.
La documentation du processus de négociation est très importante et fournit la plateforme de l’accord
de politique.
La gestion des privilèges et le contrôle d’accès couvrent les services de sécurité et de respect de la
vie privée nécessaires à la communication et à la coopération, c’est-à-dire l’utilisation répartie des
informations de santé. Cela couvre également les aspects de sécurité et les normes professionnelles
ainsi que les questions légales et éthiques. La présente Norme internationale constitue une introduction
aux principes de gestion des privilèges et de contrôle d’accès et spécifie les services nécessaires à ces
activités. Les protocoles cryptographiques ne sont pas couverts par la présente Norme internationale.
La présente Norme internationale en trois parties comporte des références à des normes existantes
relatives à l’architecture et à la sécurité de mêm
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.