Guide méthodologique Sécurité du Système d’Information (ssi)





télécharger 148.38 Kb.
titreGuide méthodologique Sécurité du Système d’Information (ssi)
page1/6
date de publication31.10.2017
taille148.38 Kb.
typeDocumentos
d.20-bal.com > loi > Documentos
  1   2   3   4   5   6




FNEHAD

Mission Système d’Information
---------------------
Guide méthodologique
Sécurité du Système d’Information (SSI)

V1 – Avril 2012

Sommaire

Introduction 3

1. Enjeux, principes et outils d’une démarche de SSI 4

1.1 Qu’est-ce que la sécurité de l’information ? 4

1.2 Pourquoi renforcer la sécurité des SI de santé ? 5

1.2.1 La dématérialisation croissante de l’information dans les établissements de santé 5

1.2.2 Les données de santé, informations sensibles dans la loi Informatique et Libertés 5

1.2.3 La sécurité du SI, critère du manuel de certification de la HAS 6

1.2.4 La sécurité de l’information, domaine encadré et réglementé 7

1.2.5 La sécurité du SI, pré-requis dans le programme Hôpital Numérique 8

1.3 Les principes d’une démarche de maîtrise de la SSI 9

1.3.1 Les actifs (ou biens) 9

1.3.2 Les risques 10

1.3.3 Les mesures de sécurité 11

1.3.4 Les étapes de la construction d’un SMSI 12

1.4 Les outils proposés 12

2. Présentation des outils 14

2.1 PSSI 14

2.2 Charte d’utilisation du SI 15

2.3 Plan de reprise informatique 15

Annexes 16

A.1 Glossaire 16

A.2 Note juridique 16

I. Le principe de la confidentialité des données de santé 16

II. L’hébergement des données de santé à caractère personnel 18

III. Les références en matière de sécurité des systèmes d’information 20

IV. Les autres textes généraux (présentation non exhaustive) 21



Introduction


Ce guide fait partie du « kit SSI » élaboré par la MSI de la FNEHAD. Il accompagne trois modèles de documents : politique de sécurité du SI (PSSI), charte d’utilisation des moyens informatiques, et plan de reprise informatique (PRI).

Le kit a pour objectif d’aider les établissements d’HAD (EHAD) à mettre rapidement en place des éléments de maîtrise de la sécurité du SI conformes aux référentiels en la matière, leur permettant de :

  • réduire les risques en matière de sécurité du SI (SSI),

  • préparer la certification sur le critère 5.b relatif à la sécurité du SI,

  • disposer des pratiques « socle » demandées en matière de SSI dans le cadre du programme Hôpital Numérique.

Le but de ce guide est double :

  • présenter les enjeux de la sécurité de l’information et les principes et outils d’une démarche de maîtrise de la sécurité du SI,

  • aider les établissements à utiliser les modèles de documents proposés en leur apportant des explications et des exemples.

Le kit est plus particulièrement destiné aux établissements d’HAD autonomes. Il peut bien entendu être exploité par des HAD adossés à un hôpital ou une clinique pour appréhender les spécificités liées à leur activité d’HAD et les intégrer dans leur PSSI d’établissement.

Ce guide est découpé en deux chapitres :

  1. la présentation des enjeux, principes et outils d’une démarche en matière de SSI,

  2. .la présentation des modèles de documents proposés par la FNEHAD.


1.Enjeux, principes et outils d’une démarche de SSI

1.1Qu’est-ce que la sécurité de l’information ?


La sécurité de l’information est un ensemble de caractéristiques qui visent à protéger l’information vis-à-vis des risques qu’elle encourt.

Les normes internationales en matière de sécurité de l’information (famille ISO 27000) retiennent trois caractéristiques principales pour les « actifs » informationnels (les actifs sont les données elles-mêmes mais aussi les fonctions et les équipements qui permettent de consulter ou de mettre à jour l’information).

  • La disponibilité : « propriété d'être accessible et utilisable à la demande par une entité autorisée »

Exemple de défaut de disponibilité : impossibilité d’accès au dossier patient au moment d’une prescription médicale. Impact : perte de chance pour le patient.

  • L’intégrité : « protection de l'exactitude et de l'exhaustivité des actifs »

Exemple de défaut d’intégrité : document de santé erroné ou incomplet entraînant une erreur médicale. Impacts : préjudice pour le patient, poursuite à l’encontre d’un professionnel de santé.

  • La confidentialité : « propriété selon laquelle l'information n'est pas rendue accessible ou divulguée à des personnes, entités ou processus non autorisés ».

Exemple de défaut de confidentialité : résultat de test VIH positif laissé à la connaissance d’une société d’assurance. Impacts : préjudice pour le patient, poursuite du professionnel.

  • On y rajoute habituellement une quatrième propriété, notamment dans le domaine de la santé : la capacité de preuve, ou auditabilité ou imputabilité, propriété relative à la traçabilité des actions réalisées et à la conservation des preuves de ces actions.

Exemple de défaut d’auditabilité : défaut de preuve ou d’indices sur l’auteur d’un document de santé ayant provoqué une erreur médicale lors de la prise en charge d’un patient. Impact : impossibilité de remonter à la personne responsable du document de santé.

On parle de « DICP » (ou « DICA » dans le monde de la santé).

Nota : la sécurité de l’information s’intéresse à l’information sous toutes ses formes, dématérialisées ou non. Ce guide est centré sur l’information dématérialisée (SI) ; cependant tout ce qui suit s’applique également aux informations sensibles conservées sous forme papier comme par exemple les dossiers patients ou les dossiers du personnel.
  1   2   3   4   5   6

similaire:

Guide méthodologique Sécurité du Système d’Information (ssi) iconGuide méthodologique présentation de la maquette académique

Guide méthodologique Sécurité du Système d’Information (ssi) iconConsolidation du systeme d’information

Guide méthodologique Sécurité du Système d’Information (ssi) iconSystème d’information en Ressources Humaines

Guide méthodologique Sécurité du Système d’Information (ssi) iconSynthèse du projet de loi
«projet de loi garantissant l’avenir et la justice du système de retraite» a été transmis aux caisses de sécurité sociale et au Conseil...

Guide méthodologique Sécurité du Système d’Information (ssi) iconRéunion du Haut comité pour la transparence et l’information sur la sécurité nucléaire

Guide méthodologique Sécurité du Système d’Information (ssi) iconRapport Droits des usagers du système de Santé
«outil de recensement des sources d’information sur le respect des droits des usagers du système de santé» 16

Guide méthodologique Sécurité du Système d’Information (ssi) iconExploration de nouvelles pratiques en matière de sécurité dans les...

Guide méthodologique Sécurité du Système d’Information (ssi) iconBibliographie indicative : stiker h. Ju, «Corps infirmes et sociétés»
«Le guide de l’accessibilité «à tout pour tous»», Titre du périodique «Etre, handicap», Information 2008, 92-93 et 4-95 pages

Guide méthodologique Sécurité du Système d’Information (ssi) iconBibliographie indicative : stiker h. Ju, «Corps infirmes et sociétés»
«Le guide de l’accessibilité «à tout pour tous»», Titre du périodique «Etre, handicap», Information 2008, 92-93 et 4-95 pages

Guide méthodologique Sécurité du Système d’Information (ssi) iconEdition du guide mise a jour en janvier 2017
«pratico-pratique» que le guide précédent et IL comprend désormais 41 annexes que les acheteurs pourront prendre comme exemples pour...






Tous droits réservés. Copyright © 2016
contacts
d.20-bal.com