8715350 Questionnaire Gestion de La Securite ISO 27002

10917746.xls - Préambule

Ce questionnaire sécurité est basé sur l'ISO 27002, cette norme définit un code de bonne pratique pour la gestion de la sécurité de l'information. Cette norme définit les mesures qu'il convient de mettre en place pour maitriser les risques pesant sur un système d'information. La norme ISO 27002 étant de portée générale, le questionnaire a été complété en prenant en compte des documents de référence spécifiques au secteur santé : * l'ISO 27799, complément complément de l'ISO 27002 relatif à la santé santé * le décret "confidentialité" pour la partie concernant l'obligation d'utilisation de la carte à puce pour l'accès aux informations de santé et leur transmission par voie électronique, * le décret "hébergement" pour la partie concernant les exigences opérationnelles, les exigences concernant la démarche d'agrément n'ont pas été prises en compte dans le questionnaire. L'objectif est de mesurer si le projet a pris en compte ces exigences opérationnelles en anticipation d'une démarche d'agrément, ou si d'autres mesures particulières ont été prises.

Le squelette de ce questionnaire est l'ISO 27002. Il respecte la répartition des mesures de sécurité sur les 11 thèmes de l'ISO 27002. Le questionnaire exhaustif ISO 27002 étant très conséquent, seuls ont été retenus les sous-thèmes particulièrement significatifs dans le contexte des projets concernés. Certaines problématiques communes à plusieurs sous-thèmes ont été regroupées. Toutes les exigences critiques des référentiels cités précédemment ont été insérées dans les sous-thèmes du questionnaire, ces exigences sont accessibles dans le questionnaire en démasquant les lignes marquées en colonne 1 par un « + » ou un « - ».

L'ISO 27002 est un guide de bonnes pratiques international, les termes utilisés sont par nature génériques. On précise ici la définition de certains termes ramenés au contexte des projets. Le terme "organisme" désigne dans notre cas toute la structure du projet et le système d'information lié au projet. Le terme "bien" désigne l'ensemble du système mis en œuvre et les informations traitées Le terme "tiers" désigne l'ensemble des utilisateurs finaux ainsi que les sous-traitants du projet.

1/225

10917746.xls - Questionnaire N° tThème t Thème N° Sou Sous- N° art articl iclArticle thème

Exigence

Q u es t i ons à p o s e r

5 POLITIQUE DE SECURITE 5.1 1

Politique Polit ique de sécur sécurité ité de l'informati 'information on 5.1.1

Objectif : Apporter à la sécurité de l'information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur

Document de politique itique de sécurité sécurité de de l'informat nformation ion Mesure : Un document de politique de sécurité de l'information doit L'organisation et la gestion de la sécurité sont-elles formalisées être approuvé par la direction , puis publié et diffusé auprès de dans un document chapeau couvrant l'ensemble du domaine pour l'ensemble des salariés et des tiers concernés. le projet ? (PSSI) Une démarche de certification ISO 27001 a-t-elle été prévue pour le projet? Iso 27799 : Les organismes traitant des informations de santé, y compris des informations personnelles de santé, doivent posséder une politique formelle de la sécurité de l'information approuvée par la direction, publiée, puis communiquée à l'ensemble des employés ainsi qu'aux tiers concernés

6 ORGANISATION DE LA SECURITE DE L'INFORMATION Objectif : Gérer la sécurité de l'information au sein de l'organisme

6.1 Org Organi anisat sation ion inter interne ne 2

6.1.1

Engagement de la direction Engagement direction vis-à-vis vis-à-vis de la sécurité sécurité de l’information nformation Mesure : La direction soutient activement la politique de sécurité au Quelle a été votre approche du management de la sécurité dans le sein de l’organisme au moyen de directives claires, d’un cadre de votre projet ? engagement franc, d’attribution de fonctions explicites et d’une Avez-vous appliqué une démarche méthodologique d'analyse et de reconnaissance des responsabilités liées à la sécurité de gestion des risques SSI ? l’information.

Iso 27799 : La direction d'un organisme de santé est responsable de la sécurité des informations personnelles de santé et des autres données protégées en lien avec la santé émises par l'organisme. Une coordination efficace constitue également un élément essentiel à la préservation de la sécurité des informations. Ces deux notions requièrent une infrastructure robuste et explicite en matière de gestion de la sécurité de l'information. Il est d'une importance cruciale qu'elle soit conçue et structurée afin de faciliter l'accès des sujets de soins pour faciliter les comptes rendus au sein de la structure de l'organisme et pour garantir les délais de délivrance de ces informations. Iso 27799 : Les organismes traitant des informations personnelles de santé doivent : a - clairement définir et affecter les responsabilités relatives à la sécurité de l'information, b - avoir en place un forum de gestion de la sécurité de l'information (ISMF) pour garantir l'existence d'une direction claire et d'un soutien visible de la direction en termes d'initiatives inhérentes à la sécurité concernant les informations personnelles de santé.

3

6.1.2

4

6.1.5

Iso 27799 : Au minimum, au moins un individu doit être responsable de la sécurité des informations de santé au sein de l'organisme. Coordination Coordin ation de la sécurit sécuritéé de l'information 'information Mesure : Les activités relatives à la sécurité de l'information doivent L'organisation de la sécurité est-elle formalisée dans un document? être coordonnées par des intervenants ayant des fonctions et des rôles appropriés représentatifs des différentes parties de Les rôles et actions des différents acteurs de la SSI ont-ils été l'organisme. définis et ont-ils fait l'objet d'une communication? (RSSI, MOA, MOE, ...) Engagem Enga gements ents de confid confident ential ialité i té Une politique de confidentialité a-t-elle été élaborée dans le cadre Mesure : Les exigences en matière de confidentialité et de non divulgation de l'information sont elles clairement définies et de ce projet? régulièrement révisées . Si oui, quels sont les sujets abordés (accords de confidentialité)?

2 / 2 25 C on s t at

10917746.xls - Questionnaire

Iso 27799 : les organismes traitant des informations personnelles de santé doivent établir un accord de confidentialité qui précise la nature confidentielle de cette information. L'accord doit être applicable à tout le personnel ayant accès aux informations de santé. Il convient que l'accord de confidentialité comprenne une référence aux sanctions encourues en cas d'identification d'une défaillance dans la politique de sécurité de l'information. Décret hébergement : Une présentation de la politique de confidentialité et de sécurité, prévue au 2° de l’article R. 1111-9, doit être fournie à l’appui de la demande d’agrément conformément au 6o de l’article R. 1111-12. Elle comporte notamment les précisions suivantes : 1 - En matière de respect des droits des personnes concernées par les données hébergées 2 - En matière de sécurité de l’accès aux informations 3 - En matière de pérennité des données hébergées 4 - En matière d’organisation et de procédures de contrôle interne en vue d’assurer la sécurité des traitements et des données 5 6

6.1.6 6.1.8

6.2 Tie Tierce rcess par partie tiess 7

6.2.1

8

6.2.3

Relatio Rela tions ns avec avec les les autorit autorités és Mesure : Des relations appropriées doivent être mises en place avec les autorités compétentes. Revue indépendante ndépendante de la sécurité sécurité de l'inf l'informati ormation on Mesure : Des réexamens réguliers et indépendants de l'approche retenue par l'organisme pour gérer et mettre en œuvre sa sécurité doivent être effectués; de tels réexamens sont également nécessaires lorsque des changements importants sont intervenus dans la mise en œuvre de la sécurité.

Le projet a-t-il fait l'objet d'une déclaration CNIL? Des révisions périodiques de la mise en œuvre de la gestion de la sécurité sont-elles prévues? Ou bien, des révisions ponctuelles sur événement important sontelles prévues (évolution fonctionnelle majeure) ?

Objectif : Assurer la sécurité de l'information et des moyens de traitement de l'information appartenant à l'organisme et consultés, traités, communiqués ou géré par des tiers Identificati fication on des risques proven provenant ant des tiers L'implication de tiers (utilisateurs et sous-traitants) peut apporter Mesure : Les risques pesant sur l'information et les moyens de traitement de l'organisme qui découlent d'activités impliquant des des risques au projet. Ces risques ont-ils été analysés? tiers doivent être identifiés, et des mesures appropriées doivent être Si oui, quels sont les éléments mis en place par rapport à ces mises en œuvre avant d'accorder des accès. risques, en particulier sur les conditions d'accès au système et aux informations sensibles? Iso 27799 : Les organismes traitant des informations de santé doivent évaluer les risques associés à l'accès possible par des tiers aux systèmes et aux données qu'ils contiennent, puis mettre en place des contrôles de sécurité proportionnels au niveau de risque identifié et aux technologies employées. Iso 27799 : Les droits des sujets de soins doivent être protégés, même lorsqu'un tiers ayant un accès potentiel aux informations personnelles de santé se situe dans une juridiction différente de celle contrôlant le sujet de soins ou l'organisme de santé. La sécurité sécurité dans dans les accords conclus avec des des tiers tiers Si le projet fait appel à de la sous-traitance, comment les aspects Mesure : Les accords conclus avec des tiers qui portent sur l'accès, le traitement, la communication ou la gestion de liés à la sécurité sont-ils pris en compte dans les contrats, l'information, ou des moyens de traitement de l'information de notamment avec les hébergeurs ? l'organisme , ou qui portent sur l'ajout de produits ou de services Un médecin est-il prévu parmi le personnel en charge de l'activité aux moyens de traitement de l'information, doivent couvrir d'hébergement ? l'ensemble des exigences applicables en matière de sécurité. En cas de problème, le médecin est la seule personne ayant la possibilité d'accéder aux données de santé. Iso 27799 : À chaque fois qu'un organisme a recours aux services d'un tiers, il convient qu'un accord précisant les contrôles minimaux à effectuer soit adopté Décret Hébergement : Les informations concernant la santé des patients sont soit conservées au sein des établissements de santé qui les ont constituées, soit déposées par ces établissements auprès d’un hébergeur agréé

3 / 2 25


Décret Hébergement : L'hébergeur des données de santé doit se soumettre à une demande d'agrément. Décret Hébergement : L'hébergeur doit i dentifier les personnes en charge de l’activité d’hébergement, dont un médecin, en précisant le lien contractuel qui les lie à l’hébergeur. Décret Hébergement : Les modèles de contrats devant être joints à la demande d’agrément contiennent obligatoirement au moins les 9 clauses (description, modalités, contrat, etc.) définis à l'article R1111-13 Décret Hébergement : L’agrément est délivré aux hébergeurs de données de santé à caractère personnel pour une durée de trois ans. La demande de renouvellement doit être déposée au plus tard six mois avant le terme de la période d’agrément.

Décret Hébergement : En cas de divulgation non autorisée de données de santé à caractère personnel ou de manquements graves de l’hébergeur à ses obligations mettant notamment en cause l’intégrité, la sécurité et la pérennité des données hébergées, le ministre chargé de la santé peut, à titre conservatoire, dans l’attente qu’il soit statué définitivement sur le projet de retrait d’agrément, prononcer la suspension de l’activité d’hébergement. Décret Hébergement : Le directeur de l’établissement veille à ce que toutes dispositions soient prises pour assurer la garde et la confidentialité des informations ainsi conservées ou hébergées. Décret Hébergement : Le dossier médical est conservé pendant une durée de vingt ans à compter de la date du dernier séjour de son titulaire dans l’établissement ou de la dernière consultation externe en son sein Décret Hébergement : A l’issue du délai de conservation mentionné à l’alinéa précédent et après, le cas échéant, restitution à l’établissement de santé des données ayant fait l’objet d’un hébergement en application de l’article L. 1111-8, le dossier médical peut être éliminé. La décision d’élimination est prise par le directeur de l’établissement après avis du médecin responsable de l’information médicale 7 GESTION DES BIENS 7.1 9

7.1.3

7.2 10

Objectifs : Mettre en place et maintenir une protection appropriée des biens de l’organisme Utilisati l isation o n correc correcte te des biens e ns Mesure : Des règles permettant l'utilisation correcte de l'information Existe-t-il un inventaire des biens du projet? et des biens associés aux moyens de traitement de l'information Existe-t-il une classification des biens par rapport à leurs critères doivent être identifiées, documentées et mises en œuvre. de sensibilité (en termes de disponibilité, d'intégrité et de confidentialité)? Y a-t-il eu une campagne de diffusion ou de sensibilisation des utilisateurs pour l'utilisation correcte des biens? : : : pré ’ ominance e ces iens (par exempe a pré ominance une : . , ' e e es opèren sécurié sécurié iées à enviro environnem nnemen en ans eque equ opèren e aux mi é ian issen l trun minven t iaire i rviens), i nn n n), nt nt l r l r ire issen invnenti aire e ces iens . nt s.nre cr argé i n e ra san ié,nprirs laprès tif ès avi x isnf erma ti n arr - és i unmini apr . , ’ f . Objectif : Garantir un niveau de protection approprié aux , ’ Classific Clas sification ation des infor informatio mations ns informations . . 7.2.2 Marquage et manipulation ation de l'information 'information Mesure : Un ensemble approprié de procédures pour le marquage Le niveau de classification des supports d'informations est-il . indiqué de manière visible sur chacun des supports? et la manipulation de l'information doit être élaboré et mis en œuvre conformément au plan de classification adopté par l'organisme. Responsabi Respo nsabilité lité asso associée ciée aux biens biens

4 / 2 25


Iso 27799 : Toutes les informations de santé ne sont pas confidentielles et tous les systèmes d'information de santé ne donnent pas aux utilisateurs l'accès aux informations personnelles de santé. Les utilisateurs des systèmes d'informations de santé doivent savoir lorsque les données qu'ils sont sur le point de consulter contiennent des informations personnelles de santé. Iso 27799 : Il convient que les copies en sortie soient étiquetées comme confidentielles lorsqu'elles contiennent des informations de santé. Iso 27799 : pour des raisons pratiques il serait parfois nécessaire d'identifier les dossiers de santé des sujets de soins exposés à un risque élevé d'accès non autorisé. Parmi ces individus se trouvent les employés de l'organisme lui-même, les VIP... ISO 27799 : il est important de prendre en compte l'attention particulière qui doit être portée aux sujets de soins ne souhaitant pas que leurs informations personnelles de santé soient accessibles aux employés médicaux lorsque ceux-ci sont également des voisins, des collègues ou des proches. Ces problèmes constituent souvent une grande partie des plaintes de la part de personnes craignant pour la confidentialité de leurs informations personnelles de santé. Souvent, les membres du personnel ne souhaitent pas être en contact, s'ils n'en n'ont pas besoin, avec les informations concernant leurs amis, leurs proches ou leurs voisins. Iso 27799 : Il convient que toutes les informations personnelles de santé soient unanimement classées confidentielles Il convient que les organismes manipulant des informations personnelles de santé classent ces données comme confidentielles et ce, unanimement. Iso 27799 : La classification en termes de disponibilité, intégrité et importance doit également être appliquée aux processus, au matériel informatique, logiciel, lieux et personnel Iso 27799 : Il convient que tous les systèmes d'informations personnelles de santé traitant des informations personnelles de santé informent l'ensemble des utilisateurs de la confidentialité des informations personnelles de santé accessibles depuis le système (lors de son démarrage ou lors de la connexion au système) 8 SECURITE LIEE AUX RESSOURCES HUMAINES

8.1 Avant le recrutement

11

12

8 .1 .2

8.3.3

S él ec ti on Mesure : Des vérifications des informations concernant tous les candidats (postulants, contractants ou utilisateurs tiers) doivent être réalisées conformément aux lois, aux règlements et à l'étique. Elles doivent être proportionnelles aux exigences métier, à la classification des informations accessibles et aux risques identifiés.

ISO 27799 : Il convient que tous les organismes dont les employés, les sous-traitants ou les bénévoles en contact (ou en futur contact) avec des informations personnelles de santé, vérifient, au minimum, l'identité, l'adresse actuelle et les emplois précédents de ces employés, sous-traitants et bénévoles lorsque ceux-ci postulent ISO 27799 : Dès que possible, il convient que des vérifications du casier judiciaire soient entreprises. Retrait des droits d'accès

Objectifs : - Garantir que les salariés, contractants et utilisateurs tiers connaissent leurs responsabilités et qu’ils conviennent pour les fonctions qui leur sont attribuées - Réduire le risque de vol, de fraude ou de mauvais usage des équipements. Des critères spécifiques par rapport à la sensibilité des missions ont-ils été pris en compte lors du recrutement d'une personne pour le projet? Sont-ils spécifiés dans les fiches de postes? (l'ISO 27799 précise que des vérifications des casiers judiciaires sont possibles)

5/225


Mesure : Les droits d'accès de l'ensemble des salarié, contractants Avez-vous formalisé des procédures de retrait des droits d'accès et utilisateurs tiers à l'information et aux moyens de traitement de des utilisateurs ainsi que des sous-traitants? l'information doivent être supprimés à la fin de leur période (Ces procédures doivent être applicables aux sous-traitants s'ils d'emploi, ou modifiés en cas de modification du contrat ou de gèrent les droits d'accès). l'accord. Le personnel temporaire a-t-il des droits différents des droits des autres utilisateurs? La révocation des droits est-elle prise en compte dès la création des comptes? (exemple : la date de fin de contrat est prise en compte dès l'attribution des droits et le compte est supprimé à cette date) Les comptes sont-ils valables pendant une durée limitée? (pour une personne en poste fixe, le compte doit-il être actualisé tous les 2 ans par exemple?) ISO 27799 : Tous les organismes traitant des informations personnelles de santé doivent, dès que possible, mettre un terme aux privilèges d'accès des utilisateurs relatifs à ces informations et ce, qu'il s'agisse du départ d'un employé en CDD ou en CDI, ou encore d'un sous-traitant ou d'un bénévole étant arrivé aux termes de ses activités contractuelles, de sous-traitance ou de bénévolat. 9 SECURITE PHYSIQUE ET ENVIRONNEMENTALE Objectif : Empêcher tout accès physique non autorisé, tout dommage ou intrusion dans les locaux et les informations de l’organisme.

9.1 Zones sécurisées 13

9.1.1

Périmètr e de sécurit é physique Mesure : Les zones contenant des informations et des moyens de traitement de l'information doivent être protégées par des périmètres de sécurité (obstacles tels que des murs, des portes avec un contrôle d’accès par cartes, ou des bureaux de réception avec personnel d’accueil).

La plateforme matérielle du projet est-elle installée dans des locaux sensibles? Des mesures de protection (détection incendie, dégâts des eaux, détecteur de fumée, etc.) ont-elles été mises en œuvre dans les locaux sensibles? Les locaux sensibles sont-ils à accès restreint? Si oui, comment se fait le contrôle d'accès?

ISO 27799 : Il convient que les organismes traitant des informations personnelles de santé utilisent des périmètres de sécurité pour protéger les zones contenant des équipements de traitement de l'information constituant une aide aux applications médicales. ISO 27799 : Il convient de protéger ces zones sécurisées par des contrôles adéquats à l'entrée pour s'assurer que seul le personnel habilité est admis. ISO 27799 : Il convient que les mesures de sécurité physique relatives à l'information soit associées aux mesures de sécurité physique et de sûreté relatives aux sujets de soins. Les organismes de santé ont le devoir d'assurer la protection de ces deux aspects 9.2 Sécurité du matériel 14

9.2.1

Objectif : Empêcher la perte, l’endommagement, le vol ou la compromission des biens et l’interruption des activités de l’organisme.

Choix de l'emplacement et protection du matériel Mesure : Le matériel doit être situé et protégé de manière à réduire Les matériels sensibles de la plateforme du projet ont-ils été les risques de menaces et de dangers environnementaux et les stockés en fonctions des risques potentiels de menaces possibilités d'accès non autorisé. extérieures et environnementales (vandalisme au rez de chaussée, crue centennale, etc.) ISO 27799 : Il convient que les organismes traitant des informations personnelles de santé placent tout poste de travail permettant l'accès aux informations personnelles de santé d'une façon qui empêche les regards non-attentionnés ou l'accès aux sujets de soins et au public. ISO 27799 : Il convient que les organismes de santé et particulièrement les hôpitaux s'assurent que le choix de l'emplacement et les lignes directrices en matière de protection du matériel informatique réduisent le plus possible les expositions à de telles émissions.

6/225


15

9.2.2

16

9.2.4

17

9.2.5

18

9.2.6

ISO 27799 : Le matériel médical qui enregistre ou consigne des données peut également exiger des considérations spéciales en termes de sécurité qui sont en relation avec l'environnement dans lequel elles opèrent et avec les émissions électromagnétiques qui surviennent lors de leur fonctionnement Services généraux Mesure : Le matériel doit être protégé des coupures de courant et Le niveau de disponibilité du système demande-t-il à bénéficier d'autres perturbations dues à une défaillance des services d'un secours électrique? généraux. Si oui, comment est-il mis en place? Main tenance du matériel Mesure : Le matériel doit être entretenu correctement pour garantir Avez-vous pris en compte une gestion de la maintenance pour les sa disponibilité permanente et son intégrité. matériels du projet? Sécurité du matérie l hors de locaux Mesure : La sécurité doit être appliquée au matériel utilisé hors des Le projet prend-il en compte des postes de travail nomades ou des locaux de l'organisme en tenant compte des différents risques PDA? associés au travail hors site. Si oui, une étude a-t-elle été faite pour garantir un niveau de confidentialité optimum (durcissement de la configuration, système d'authentification robuste, etc.)? ISO 27799 : les organismes traitant des informations personnelles de santé doivent garantir que toute utilisation du matériel médical enregistrant ou consignant des données a été autorisée en dehors des locaux adéquats ISO 27799 : Il convient que cela comprenne des équipements utilisés par des travailleurs à distance, même lorsque cette utilisation est perpétuelle Mise au rebut ou recyclage sécurisé(e) du matériel Mesure : Tout le matériel contenant d es supports de stockage doit Existe-t-il une procédure de gestion des supports d'informations? être vérifié pour s'assurer que toute donné sensible a bien été Si oui, intègre-t-elle la mise au rebut des supports de stockage supprimée et que tout logiciel sous licence a bien été désinstallé ou (avec procédure d'effacement définitif des données sensibles)? écrasé de façon sécurisée, avant sa mise au rebut. ISO 27799 : Les organismes traitant des applications contenant des informations de santé doivent écraser de façon sécurisée ou bien détruire tous les supports contenant des logiciels d'application d'informations de santé ou d'informations personnelles de santé quand l'utilisation du support n'est plus nécessaire.

10 GESTION DE L'EXPLOITATION ET DES TELECOMMUNICATIONS Objectif : Assurer l’exploitation correcte et sécurisée des moyens de traitement de l’information 10.1.1 Procédures d'exploitation documentées Mesure : Les procédures d'exploitation doivent être documentées, Avez-vous formalisé les procédures d'exploitation de la plate tenues à jour et disponibles pour tous les utilisateurs concernés forme?

10.1 Procédures et responsabilités liées à l'exploitation 19

20

10.1.4 Séparation des équipements de développement, de test et d'exploitation Avez-vous prévu de mettre en place des plateformes différentes Mesure : Les équipements de développement, d'essai et d'exploitation doivent être séparés pour réduire les risque d'accès pour la recette, la pré-production et la production? ou de changements non autorisés dans le système d'information en Si oui, ce cycle de vie du projet est-il mis en place? exploitation.

ISO 27799 : Les organismes traitant des informations personnelles de santé doivent séparer (physiquement ou virtuellement) les environnements de développement et d'essai relatifs aux systèmes d'information de santé traitant de telles opérations des environnements d'exploitation abritant ces systèmes d'informations de santé. ISO 27799 : Les règles relatives à la migration des logiciels de l'état de développement à l'état d'exploitation doivent être définies et documentées par l'organisme abritant l(es) application(s) concernée(s). Objectif : Réduire le plus possible le risque de pannes du système. 10.3 Planification et acceptation du système 21

10.3.2 Acceptation du système

7/225


Mesure : - Les critères d'acceptation doivent être fixés pour les nouveaux systèmes d'information, les nouvelles versions et les mises à niveau, - Des tests adaptés au système doivent être réalisés au moment du développement et préalablement à leur acceptation

10.4 22

10.5 23

10.6 24

10.7 25

Lors de la réception des matériels et logiciels, des tests sont-ils effectués, notamment des tests spécifiques de sécurité ? Toute modification de configuration ou de version fait-elle l'objet d'un plan de conduite de changement appliqué au système?

ISO 27799 : Les organismes traitant des informations personnelles de santé doivent établir des critères d'acceptation pour les nouveaux systèmes d'information prévus, les mises à jour à venir et les nouvelles versions à installer ISO 27799 : Ils doivent réaliser des essais convenables du système avant l'acceptation. ISO 27799 : Il convient que l'étendue et la rigueur de ces essais soit adaptée au niveau correspondant aux risques identifiés de la modification. Protection contre les codes malveillants et mobiles Objectif : Protéger l’intégrité des logiciels et de l’information. 10.4.1 Mesures contre les codes malveillants Existe-t-il au sein du projet des mesures de détection, de Mesure : Des mesures de détection, de prévention et de récupération ainsi que des procédures appropriées de prévention et de récupération afin de se protéger des codes sensibilisation des utilisateurs doivent être mise en œuvre afin de malveillants? se protéger des codes malveillants. ISO 27799 : Les organismes traitant des informations personnelles de données doivent mettre en place des contrôles adéquats de prévention, de détection et de réponse afin de se protéger des logiciels malicieux ISO 27799 : Ils doivent mettre en place des formations adéquates de sensibilisation des utilisateurs. Objectif : Maintenir l’intégrité et la disponibilité des informations et Sauvegardes des moyens de traitement de l’information. 10.5.1 Sauvegarde des informations Mesure : Des copies de sauvegarde des informations et logiciels Les données sont-elles sauvegardées de manière à garantir leur doivent être réalisées et soumises régulièrement à essai niveau de confidentialité ? conformément à la politique de sauvegarde convenue Les données sauvegardées et les supports de sauvegarde bénéficient-ils des mêmes moyens de protection que les données courantes (en intégrité et confidentialité particulièrement) ? ISO 27799 : Afin de protéger leur confidentialité, il convient que les informations personnelles de santé soient sauvegardées sous un format chiffré. ISO 27799 : Les organismes traitant des informations personnelles de santé doivent sauvegarder les informations personnelles de santé et les stocker dans un environnement physique sécurisé pour garantir leur disponibilité future. Objectif : Assurer la protection des informations sur les réseaux et Gestion de la sécurité des réseaux la protection de l’infrastructure sur laquelle ils s’appuient. 10.6.2 Sécurité des services réseau Mesure : Pour tous les services réseau, les fonctions réseau, les Un niveau de disponibilité des moyens de télécommunication a-t-il niveaux de service et les exigences de gestion doivent être êté déterminé dans le cadre de ce projet? identifiés et intégrés dans tout accord sur les services réseau, qu'ils soient fournis en interne ou en externe ISO 27799 : Il convient que les organismes traitant des informations personnelles de santé prennent en compte avec précaution les conséquences que la perte de la disponibilité du service réseau aurait sur la pratique clinique Objectif : Empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) de biens et l’interruption des activités Manipulation des supports de l’organisme. 10.7.1 Gestions des supports amovibles Des exigences de sécurité ont-elles été définies pour la gestion des Mesure : Des procédures doivent être mises en place pour la gestion des supports amovibles supports amovibles (comment réagir en cas de perte, de vol, etc.)? Si oui, ont-elles fait l'objet d'une communication? : personnelles de santé stockées sur des supports amovibles sont : , .

8/225


Objectif : Maintenir la sécurité des informations et des logiciels échangés au sein de l’organisme et avec une entité extérieure 10.8.1 Politiques et procédures d'échange des informations Existe-t-il des échanges avec l'extérieur de la plate forme autre que Mesure : Des politiques, procédures et mesures d'échange formelles doivent être mises en place pour protéger les échanges les échanges avec les PS ? d'informations transitant par tous types d’équipements de Si oui, sont-ils protégés et comment? télécommunication.

10.8 Echanges des informations 26

ISO 27799 : Les organismes doivent garantir que la sécurité de tels échanges d'informations est le sujet de l'audit de la politique de développement et de conformité ISO 27799 : La sécurité des échanges d'informations peut être assistée de manière très efficace par l'utilisation d'accords sur les échanges d'informations qui stipulent le minimum requis en matière de mise en place d'un ensemble de contrôles. Doctrine de sécurité : Tous les échanges qu'ils soient réalisés à partir d'un logiciel de professionnel de santé (LPS) ou à partir de l'ordinateur personnel du patient seront sécurisés en terme d'intégrité et de confidentialité (mécanisme de construction d'un canal sécurisé SSL/TLS) 27

28

29

10.8.3 Supports physiques en transit Les supports en transit contenant des données de santé sont-ils Mesure : Les supports contenant des informations doivent être protégés contre les accès non autorisés, le mauvais usage ou protégés? Si oui, par quels moyens (chiffrement par CPS, par l'altération lors du transport hors des limites physiques de certificats numériques, ...)? l'organisme. 10.8.4 Messagerie électronique Mesure : Les informations transitant par la messagerie électronique Un service de messagerie est-il utilisé dans le cadre de ce projet? doivent être protégées de manière adéquate. La confidentialité des mails stockés sur les serveurs de messagerie est-elle garantie, comment ? Comment la confidentialité des mails stockés sur les postes de travail fixes et nomades est-elle assurée? La carte CPS est-elle utilisée pour assurer la confidentialité et la non répudiation des messages ? Si non, quelle est la solution mise en place? Comment assurez-vous la confidentialité des pièces jointes? Sontelles stockées sur les serveurs ou bien les utilisateurs les suppriment-ils systématiquement des serveurs? Un antivirus est-il déployé spécifiquement pour le serveur de messagerie? ISO 27799 : Il est important de remarquer que la sécurité des courriers électroniques et des messages instantanés contenant des informations personnelles de santé peut impliquer des modes opératoires pour le personnel médical qui ne peuvent pas être imposées aux sujets de soins et au public. ISO 27799 : Il convient que les organismes transmettant des informations personnelles de santé par messagerie électronique prennent des mesures pour garantir leur confidentialité et leur intégrité ISO 27799 et décret Confidentialité: Il convient que les organismes transmettant des informations personnelles de santé par messagerie électronique prennent des mesures pour garantir leur confidentialité et leur intégrité ISO 27799 et décret Confidentialité: Il convient que les organismes transmettant des informations personnelles de santé par messagerie électronique prennent des mesures pour garantir leur confidentialité et leur intégrité ISO 27799 : Il convient que les courriers électroniques contenant des informations personnelles de santé soient chiffrés pour le transit. Une approche de cette directive implique l'utilisation de certificats électroniques. 10.10 Surveillance Objectif : Détecter les traitements non autorisés de l’information. 10.10.1 Rapport d'audit

9/225


Mesure : Les rapports d'audit, qui enregistrent les activités des utilisateurs, les exceptions et les événements liés à la sécurité doivent être produits et conservés pendant une période préalablement définie afin de faciliter les investigations ultérieures et la surveillance du contrôle d'accès.

Une politique de traçabilité a-t-elle été élaborée au sein du projet? Si oui, fait-elle une différence entre les traces techniques et les traces métier? Une étude a-t-elle été menée afin de déterminer quelles étaient les traces à conserver? Quelles sont les mesures de protection mises en place pour protéger les traces en intégrité? Quelles sont les mesures de protection mises en place pour protéger les traces en confidentialité? Quelle est la durée prévue pour la conservation des traces? Quels sont les moyens mis en place afin de s'assurer de la non répudiation d'une action?

ISO 27799 : Il convient que les systèmes d'information de santé traitant des informations personnelles de santé créent un compte rendu d'audit sécurisé à chaque fois qu'un utilisateur accède, crée, met à jour ou archive des informations personnelles de santé par le biais du système. ISO 27799 : Il convient que le journal d'audit identifie de manière univoque l'utilisateur, le sujet des données (soit le sujet de soins), qu'il identifie la fonction exercée par l'utilisateur (création d'un compte rendu, accès et mise à jour entre autres) et qu'il identifie l'heure et la date auxquelles la fonction a été effectuée. ISO 27799 : Lorsque les informations personnelles de santé sont mises à jour, il convient qu'un compte rendu de l'ancien contenu des données et le compte rendu de l'audit associé (soit l'identité de la personne ayant entré les données et la date) soit effectué. ISO 27799 : Il convient que les systèmes de messagerie utilisés pour transmettre des messages contenant des informations personnelles de santé gardent un journal des transmissions de messages (il convient qu'un tel journal contienne l'heure, la date, l'origine et la destination du message, mais pas son contenu). ISO 27799 : Il convient que l'organisme évalue et détermine avec précaution la période de conservation de ces journaux d'audit, avec une référence particulière aux normes professionnelles cliniques et aux obligations légales, dans le but de permettre la réalisation d'enquêtes lorsque nécessaire et de fournir des preuves de mauvais usage si nécessaire.

30

Doctrine technique : A tout document de santé déposé dans un DMP doit être associé une signature électronique du document par son « auteur ». La validité de cette signature est contrôlée avant l'intégration du document dans le DMP. Elle garantit l'imputabilité du document dans le temps. 10.10.2 Surveillance de l'exploitation du système Existe-t-il des outils de centralisation et de journalisation des Mesure : - Des procédures permettant de surveiller l'utilisation des moyens fichiers de journalisation? de traitement de l'information doivent être établies. Si oui, existe-t-il un outil d'analyse de ces fichiers de journalisation? - Les résultats des activités de surveillance doivent être réexaminés périodiquement. Une étude a-t-elle été menée afin de déterminer quels fichiers de journalisation sont analysés? Y a-t-il des mesures mises en place pour assurer l'intégrité de ces logs? Toutes les activités des exploitants du système sont-elles tracées? ISO 27799 : Il convient que les équipements relatifs au rapport d'audit du système d'informations de santé soient toujours fonctionnels pendant que le système d'information de santé en cours d'audit est disponible à l'utilisation.

10/225


31

32

ISO 27799 : Il convient que les systèmes contenant des informations personnelles de santé soient pourvus d'installations permettant l'analyse des journaux et des traces d'audit qui : a - permettent l'identification de tous les utilisateurs système qui ont accédé ou modifié le(s) dossier(s) d'un sujet de soins donné sur une période de temps donnée, b - permettent l'identification de tous les sujets de soins dont les dossiers ont été visités ou modifiés par un utilisateur système donné sur une période de temps donnée. 10.10.6 Synchronisation des horloges Mesure : Les horloges des différents systèmes de traitement de S'il y a plusieurs serveurs au sein de l'architecture du projet, sontl'information d'un organisme ou d'un domaine de sécurité doivent ils tous synchronisés sur la même base de temps? (tous les être synchronisées à l'aide d'une source de temps précise et serveurs doivent être à la même heure pour des contraintes de préalablement définie. cohérence et d'exploitation) ISO 27799 : Les systèmes d'informations de santé liés à des activités de soins partagés pour lesquelles le facteur temps est essentiel doivent fournir des services de synchronisation du temps afin d'aider à la recherche et à la reconstitution de l'emploi du temps de certaines activités si besoin est. 11CONTRÔLE D'ACCES 11.1 Exigences métier relatives au contrôle d'accès Objectif : Maîtriser l’accès à l’information. 11.1.1 Politique de contrôle d'accès Avez-vous élaboré une politique de contrôle d'accès? Mesure : Une politique de contrôle d'accès doit être établie, documentée et réexaminée sur la base des exigences d’exploitation et de sécurité. ISO 27799 : il est important de remarquer que, dans le but de ne pas retarder ni entraver la délivrance des soins médicaux, il existe des exigences plus fortes que d'habitude permettant en cas d'urgence, après autorisation, de passer outre les règles «normales» de contrôle d'accès, grâce à une politique et à un processus clairs. ISO 27799 + Décret confidentialité: Les organismes de santé sont encouragés à considérer la mise en place d'une solution de gestion de l'identité et de l'accès fédérée car elle constituerait une aide potentielle supplémentaire et des coûts d'administration moindres à la politique de contrôle d'accès. Cette solution permettra en plus de bénéficier de processus d'accès à la sécurité renforcée tels que des accès fondés sur des cartes à puces et une capacité de connexion unique. ISO 27799 + Décret Confidentialité : Les organismes traitant des informations personnelles de santé doivent posséder une politique de contrôle d'accès régissant l'accès à ces données. Il convient que la politique de contrôle d'accès de l'organisme soit établie sur la base de rôles prédéfinis de la part d'autorités associées qui conviendraient à ce rôle tout en se limitant à ces fonctions. La politique de contrôle d'accès doit refléter les exigences professionnelles, éthiques, légales et relatives au sujet de soins Il convient qu'elle tienne compte des activités effectuées par les professionnels de la santé ainsi que du flux de travail des tâches qui leur incombent. Décret Confidentialité : En cas d’accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l’utilisation de la carte de professionnel de santé mentionnée au dernier alinéa de l’article L. 161-33 du code de la sécurité sociale est obligatoire Doctrine technique : L'identifiant de santé doit donc être pris en compte par les professionnels de santé pour l'ensemble des dossiers médicaux (professionnels, partagés, médical personnel). 11.2 Gestion de l'accès utilisateur

Objectif : Maîtriser l’accès utilisateur par le biais d’autorisations et empêcher les accès non autorisés aux systèmes d’information.

11/225


33

11.2.1 Enregistrement des utilisateurs Avez-vous mis en place une procédure d'enregistrement d'un Mesure : Une procédure formelle d'enregistrement de désinscription des utilisateurs, destinée à accorder et à supprimer nouvel utilisateur (PS, patient)? l’accès à tous les systèmes et services d’information doit être définie. Tous les nouveaux utilisateurs sont-ils créés avec un profil par défaut ? Comment sont gérés les profils au sein du projet? Comment les utilisateurs ( patients et PS) ont-ils créé leur comptes au sein du système? ISO 27799 : L'accès aux systèmes relatifs aux informations personnelles de santé traitant d'informations personnelles de santés doit être soumis à un processus officiel d'enregistrement de l'utilisateur. ISO 27799 + décret confidentialité: Les modes opératoires d'enregistrement de l'utilisateur doivent garantir que le niveau d'authentification exigé en matière d'identité déclarée par l'utilisateur est cohérent avec les niveaux d'accès obtenu ensuite par ce même utilisateur. ISO 27799 : Les détails de l'enregistrement de l'utilisateur doivent être révisés régulièrement afin de garantir leur contenu et leur exactitude mais aussi dans le but de vérifier que l'utilisateur a toujours réellement besoin de cet accès. Décret Confidentialité : Le responsable du traitement est chargé de veiller au respect du référentiel. Il lui appartient notamment de mettre en œuvre les procédés assurant l’identification et la vérification de la qualité des professionnels de santé dans les conditions garantissant la cohérence entre les données l’identification gérées localement et celles recensées par le groupement d’intérêt public

ISO 27799 : il convient qu'un intérêt particulier soit porté aux contrôles techniques permettant l'authentification sécurisée d'un sujet de soins lorsqu'il accède à ses propres informations (grâce à ces systèmes d'information de santé qui permettent ces accès). Il convient également de souligner la facilité d'utilisation de ces mesures, tout particulièrement pour les sujets de soins handicapés et les dispositions d'accès pour des décideurs de substitution. 34

11.2.2 Gestion des privilèges Mesure : L'attribution et l'utilisation des privilèges doivent être restreints et contrôlés

Avez-vous identifié le besoin de mettre en œuvre un mode "brise glace"? Si oui, quels sont les moyens mis en œuvre pour gérer les autorisations dans des modes de type "brise glace" ? Ces opérations en mode "brise glace" font-elles l'objet d'un fichier de journalisation spécifique ? Comment la légitimité d'accès au système est-elle vérifiée lors de la création d'un compte ? Quels sont les moyens mis en œuvre pour autoriser les accès aux dossiers patients par les PS? Le patient a-t-il fait l'objet d'une communication sur la stratégie d'accès à ses données?

ISO 27799 : il convient que les systèmes d'information de santé traitant d'informations personnelles de santé soient pourvus d'un contrôle d'accès spécifique selon le rôle (RBAC, rôle-based access : control) capable d'attribuer un ou plusieurs rôles à chaque utilisateur et chaque rôle à une ou plusieurs fonctions du système. . : d'informations de santé d'un système ISO 27799 : Un utilisateur contenant des informations personnelles de santé doit avoir accès à ses services en endossant un seul et unique rôle (les utilisateurs qui ont été enregistrés avec plusieurs rôles doivent présenter un seul rôle lors de chaque session d'accès à un système d'informations de santé). , - un con r e accès spécifique au groupe e ravai qui repose r l' f f t t i n tili t r r tr v il (t l

12/225


Décret Confidentialité : Le responsable du traitement est chargé de veiller au respect du référentiel. Il lui appartient notamment de gérer la liste nominative des professionnels habilités à accéder aux informations médicales relevant de ce traitement et la tenir à la disposition des personnes concernées par ces informations

35

36

ISO 27799 : Il convient que les systèmes d'information de santé associent les utilisateurs (y compris les professionnels de la santé et le personnel de soutien clinique, entre autres) avec les dossiers du sujet de soins en vue de permettre un futur accès fondé sur cette association. 11.2.3 Gestion du mot de passe utilisateur Mesure : L'attribution de mots de passe doit être réalisée dans le Une procédure d'attribution des mots de passe a-t-elle été cadre d'un processus formel. envisagée? (transmission par courrier du mot de passe, par SMS, ...) 11.2.4 Réexamen des droits d'accès utilisateur La politique d'habilitation prend-elle en compte des révisions des Mesure : La direction doit revoir les droits d’accès utilisateurs à intervalles réguliers par le biais d’un processus formel. comptes? (vérifier que des comptes obsolètes ne soient pas conservés) 11.3 Responsabilités utilisateurs

37

38

39

40

11.3.1 Utilisation du mot de passe Mesure : Il doit être demandé aux utilisateurs de respecter les bonnes pratiques de sécurité lors de la sélection et de l'utilisation de mots de passe. 11.3.2 Matériel utilisateur laissé sans surveillance Mesure : Les utilisateurs doivent s'assurer que tout matériel laissé sans surveillance doit être doté d'un dispositif de protection approprié. 11.4.2 Authentification de l'utilisateur pour les connexions externes Mesure : Des méthodes d'authentification appropriées doivent être utilisées pour contrôler l'accès des utilisateurs distants.

Objectif : Empêcher les accès utilisateurs non habilités et la compromission ou le vol d’informations et de moyens de traitement de l’information. Les bonnes pratiques d'utilisation de mots de passe ont-elles fait l'objet d'une se nsibilisation des utilisateurs? Les utilisateurs ont-ils été sensibilisés sur la protection des matériel sous leur responsabilité ? (poste de travail, protection de la carte CPS, ne pas donner le code PIN, ...) Existe-t-il au sein de ce projet, des connexions depuis l'extérieur (patient, PS, télétravail)? Si oui, comment sont-elles établies et protégées? Les PS peuvent-ils accéder à la plateforme depuis l'extérieur? Si oui, des moyens ont-ils été mis en place pour l'authentification du matériel du PS?

11.4.5 Cloisonnement des réseaux Mesure : Les groupes de services d'information, d'utilisateurs et de Est-il prévu que des entités externes puissent accéder à des systèmes d'information doivent être séparés sur le réseau réseaux partagés situés sur la plateforme du projet? Le réseau sur lequel est implanté la plateforme du projet bénéficient-ils de protection particulière? Si oui, de quelles natures sont ces protections? Y a-t-il un pare-feu entre le réseau interne et le réseau de la plateforme?

13/225

10917746.xls - Questionnaire Le projet fait-il intervenir un hébergeur externe? Décret Hébergement : Si oui, existe-t-il un contrat particulier pour l'hébergeur? Toute personne physique ou morale souhaitant assurer Le serveur d'hébergement est-il dédié aux données médicales? l’hébergement de données de santé à caractère personnel, Existe-t-il une politique de confidentialité avec l'hébergeur? mentionné à l’article L. 1111-8, et bénéficier d’un agrément à ce Connaît-il toutes les contraintes le liant à des données médicales? titre doit remplir les conditions suivantes : 1 - Offrir toutes les garanties pour l’exercice de cette activité, notamment par le recours à des personnels qualifiés en matière de sécurité et d’archivage des données et par la mise en oeuvre de solutions techniques, d’une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données confiées, ainsi qu’un usage conforme à la loi ; 2 - Définir et mettre en oeuvre une politique de confidentialité et de sécurité, destinée notamment à assurer le respect des exigences de confidentialité et de secret prévues par les articles L. 1110-4 et L. 1111-7, la protection contre les accès non autorisés ainsi que la pérennité des données, et dont la description doit être jointe au dossier d’agrément dans les conditions fixées par l’article R. 111114 ; 3 - Le cas échéant, identifier son représentant sur le territoire national au sens de l’article 5 de la loi du 6 janvier 1978 ; 4 - Individualiser dans son organisation l’activité d’hébergement et les moyens qui lui sont dédiés, ainsi que la gestion des stocks et des flux de données ; 5 - Définir et mettre en place des dispositifs d’information sur l’activité d’hébergement à destination des personnes à l’origine du dépôt, notamment en cas de modification substantielle des conditions de réalisation de cette activité ; 6 - Identifier les personnes en charge de l’activité d’hébergement, dont un médecin, en précisant le lien contractuel qui les lie à l’hébergeur

Objectif : Empêcher les accès non autorisés aux systèmes d’exploitation. 11.5.1 Ouverture de sessions sécurisées Mesure : L’accès aux systèmes d’exploitation doivent être soumis àLes accès au SI sont-ils soumis à des procédures sécurisées? une procédure sécurisée d'ouverture de session. Les exploitants sont-ils authentifiés par des mécanismes d'authentification forte ?

11.5 Contrôle d'accès au système d'exploitation 41

Quels sont les moyens mis en œuvre pour gérer les autorisations d'accès au système ?

42

43

44

11.5.5 Déconnexion automatique des sessions inactives Mesure : Les sessions inactives doivent être déconnectées après Est-il prévu que les sessions inactives aient une durée limitée? une période d’inactivité définie. Objectif : Empêcher les accès non autorisés aux informations 11.6 Contrôle d'accès aux applications et à l'information stockées dans les applications. 11.6.1 Restriction d'accès à l'information Mesure : L’accès aux informations et aux fonctions applicatives doitLes professionnels de santé utilisent-ils la CPS comme moyen être restreint pour les utilisateurs et le personnel chargé de d'authentification? l’assistance technique, conformément à la politique de contrôle Avez-vous mené une étude sur la gestion des identifiants au sein d’accès. du projet? A partir de quoi sont-ils créés? Sont-ils facilement prédictibles? Est-il prévu que les patients puissent accéder à leur dossiers? Si oui, quels sont les moyens mis en place pour que les patients puissent accéder à leur dossier? (serveur web, client lourd, etc.) Quels sont les principes d'identification et d'authentification des patients ? 12 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES D'INFORMATION Objectif : Empêcher toute erreur, perte, modification non autorisée ou tout mauvais usage des informations dans les applications. 12.2 Bon fonctionnement des applications 12.2.1 Validation des données d'entrée

14/225


45

46

47

48

49

Mesure : Les données entrées dans les applications doivent être Si des éléments sont rapatriés depuis l'extérieur, quelles sont les validées afin de vérifier si elles sont correctes et appropriées. mesures permettant de garantir l'authenticité et de l'intégrité des informations? 12.2.4 Validation des données de sortie Quelles mesures permettraient à un utilisateur de vérifier Mesure : Les données de sortie d’une application doivent être validées pour vérifier que le traitement des informations stockées l'authenticité et l'intégrité des informations mises à disposition? est correct et adapté aux circonstances. ISO 27799 : Les systèmes d'information de santé traitant des informations personnelles de santé doivent fournir des informations personnelles d'identification pour aider les professionnels de la santé à confirmer que le dossier médical électronique correspond bien au sujet de soins sous traitement. ISO 27799 : Il convient que les systèmes d'information de santé donnent la possibilité de vérifier que les impressions électroniques sont complètes ((par exemple «page 3 de 5») Objectif : Protéger la confidentialité, l’authenticité ou l’intégrité de 12.3 Mesures cryptographiques l’information par des moyens cryptographiques 12.3.1 Politique d'utilisation des mesures cryptographiques Mesure : Une politique d’utilisation des mesures cryptographiques Avez-vous mené une réflexion sur les moyens cryptographiques à doit être élaborée et mise en œuvre en vue de protéger mettre en œuvre? Existe-il une politique de gestion de clés l’information (responsabilités, procédures)? Objectif : Garantir la sécurité du logiciel et des informations 12.5 Sécurité en matière de développement et d'assistance technique d’application. 12.5.1 Procédure de contrôle des modifications Mesure : La mise en œuvre des modifications doit être contrôlée Lorsque des modification de code ou de configuration doivent avoir par le biais de procédures formelles. lieu, des procédures formelles sont-elles appliquées afin d'en contrôler le bon déroulement? 12.5.4 Fuite d'informations Avez-vous pris en compte les risques de vol / fuite d'information ? Mesure : Toute possibilité de fuite d’informations doit être empêchée. Si oui, quels sont les moyens mis en œuvre? 13 GESTION DES INCIDENTS LIES A LA SECURITE DE L'INFORMATION Objectif : Garantir que le mode de notification des événements et failles liés à la sécurité de l’information permette la mise en œuvre 13.1 Signalement des événements et des failles liés à la sécurité de l'information d’une action corrective, dans les meilleurs délais. 13.1.1 Signalement des événements liés à la sécurité de l'information Mesure : Les événements liés à la sécurité de l’information doivent Existe-t-il une cellule de veille d'alerte de sécurité? Si oui, à qui les être signalés, dans les meilleurs délais, par les voies hiérarchiques rapport de veille sont-ils destinés? appropriées. En cas d'incident de sécurité, des fiches d'incident sont-elles créées? Si oui, à qui sont destinées ces fiches? ISO 27799 : il convient que les organismes manipulant des informations personnelles de santé établissent les responsabilités et les procédures en termes de gestion des incidents en vue de : a - garantir une réponse rapide, efficace et ordonnée aux incidents de sécurité, b - garantir l'existence d'une communication efficace hiérarchisée en matière d'incidents de telle sorte que les plans de gestion des crises et de continuité de l'activité peuvent être invoqués en des circonstances appropriées et au bon moment, c - regrouper et préserver les données relatives aux incidents tels que les traces d'audit, les journaux d'audit et autres preuves. Il convient que la politique soit révisée après l'apparition d'un incident de sécurité important. ISO 27799 : Il convient que les organismes informent les sujets de soins à chaque fois que des informations personnelles de santé ont été involontairement divulguées. ISO 27799 : Il convient que les organismes informent les sujets de soins à chaque absence de disponibilité des systèmes d'information de santé ayant des répercussions sur l'efficacité des soins qui leur ont été apportés.

15/225


50

51

52

53

54

ISO 27799 : il convient qu'une évaluation de la sécurité soit effectuée soit sur la totalité des incidents, soit sur le plus représentatif, pour :évaluer au mieux l'efficacité des contrôles établis et de l'appréciation du risque qui a conduit à leur mise en place. es informaions personne es e sané ou a sence e i ni ilit t m 'inf rm ti n nt , n 13.1.2 Signalement des failles de sécurité Est-il prévu que les utilisateurs du système fasse remonter les Mesure : Tous les salariés, contractants et . utilisateurs tiers des systèmes et services d’information doivent noter et signaler toute informations sur les failles de sécurité? faille de sécurité observée ou soupçonnée dans les systèmes ou services Objectif : Garantir la mise en place d’une politique cohérente et efficace pour la gestion des incidents liés à la sécurité de 13.2 Gestion des améliorations et incidents liés à la sécurité de l'information l’information. 13.2.1 Responsabilités et procédures Avez-vous formalisé une procédure de gestion des incidents? Si Mesure : Des responsabilités et des procédures permettant de garantir une réponse rapide, efficace et pertinente en cas d’incident oui, a-t-elle fait l'objet d'un plan de sensibilisation auprès des lié à la sécurité de l’information doivent être établies. acteurs? 14 GESTION DU PLAN DE CONTINUITE DE L'ACTIVITE Objectif : Neutraliser les interruptions des activités de l’organisme, protéger les processus métier cruciaux des effets causés par les 14.1 Aspects de la sécurité de l'information en matière de gestion de la continuité de l'activit principales défaillances des systèmes d’information ou par des sinistres et garantir une reprise de ces processus dans les meilleurs délais 14.1.1 Intégration de la sécurité de l'information dans le processus de gestion du PCA Mesure : Un processus de continuité de l’activité dans l’ensemble La sensibilité du projet doit-elle prévoir un plan de reprise de de l’organisme qui satisfait aux exigences en matière de sécurité de service/d'activité? l’information requises pour la continuité de l’activité de l’organisme Si oui, un plan ou une procédure de continuité d'activité a-t-il été doit être élaboré et géré. formalisé? Quelles sont les principales caractéristiques décrites (les responsables à contacter, les matériels critiques, etc.)? ISO 27799 : En réponses aux rigoureuses exigences de disponibilité dans le secteur santé, un effort majeur doit être fourni dans les dispositifs de récupération et de renouvellement, non seulement en matière de technologie mais aussi de formation du personnel médical. Les organismes de santé doivent être sûrs que leurs plans de gestion de la continuité des activités comprennent des plans de gestion des crises de santé. ISO 27799 : Les organismes de santé doivent également garantir que les plans développés sont régulièrement mis à l'essai sur la base d'un programme. Il convient que les essais inclus dans ce programme soient imbriqués les uns dans les autres, effectuant des essais sur les ordinateurs de bureau, mais aussi des essais modulaires et des synthèses du temps probable de récupération et finalement des répétitions complètes. Un tel programme est donc à risque faible et procure une amélioration certaine du niveau général de sensibilisation de la population utilisatrice. 15CONFORMITE Objectif : Eviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles et des exigences de sécurité. 15.1 Conformité avec les exigences légales 15.1.1 Identification de la législation en vigueur Mesure : Toutes les exigences légales, réglementaires et contractuelles en vigueur, ainsi que la procédure utilisée par l’organisme pour satisfaire à ces exigences doivent être explicitement définies, documentées et mises à jour.

Quels sont les moyens mis en œuvre pour garantir que les obligations légales sont bien prises en compte au sein du projet?

Des moyens techniques sont-ils mis en œuvre pour répondre aux obligations légales? Avez-vous pensé à mettre en place une cellule de veille pour les obligations légales? 15.1.5 Mesure préventive à l'égard du mauvais usage des moyens de traitement de l'information

16/225


Mesure : Les utilisateurs doivent être dissuadés de toute utilisation Un message de mise en garde indiquant un accès à des données de moyens de traitement de l’information à des fins illégales. sensibles est-il montré à l'écran de l'ordinateur avant de se connecter ? L'utilisateur doit-il accepter cette mise en garde avant de se connecter ? ISO 27799 : Si possible, il convient que le consentement des sujets de soins vis-à-vis de leurs informations soit obtenu avant que toute information personnelle de santé ne soit envoyée électroniquement, faxée ou communiquée lors d'une conversation téléphonique ou divulguée d'une quelconque façon à des personnes externes à l'organisme de santé. ISO 27799 : Avant qu'une analyse génétique soit effectuée, la personne concernée devrait être informée des objectifs de l'analyse et de l'éventualité de découvertes inattendues. La personne soumise à une analyse génétique devrait être informée des découvertes inattendues si les conditions suivantes ont été remplies: a. le droit interne n'interdit pas une telle information b. la personne a fait la demande explicite de cette information c. l'information n'est pas susceptible de porter une atteinte grave: i. à la santé de la personne ii. à un parent consanguin ou utérin de la personne, à un membre de sa famille sociale, ou à une personne ayant un lien direct avec la lignée génétique de la personne, à moins que le droit interne ne prévoie d'autres garanties appropriées d. Sous réserve de l'alinéa a, la personne devrait également être informée si ces découvertes revêtent pour elle une importance thérapeutique ou préventive directe. 15.2 Conformité avec les politiques et normes de sécurité et conformité technique 55

15.2.1 Conformité avec les politiques et les normes de sécurité Mesure : Les responsables doivent s’assurer de l’exécution correcte de l’ensemble des procédures de sécurité placées sous leur responsabilité en vue de garantir leur conformité avec les politiques et normes de sécurité.

Objectif : S’assurer de la conformité des systèmes avec les politiques et normes de sécurité de l’organisme. L'hébergeur des données de santé est-il certifié ISO 27001 ? L'hébergeur des données de santé est-il certifié ISO9001, CMMI (quel niveau), ITIL ? Un processus d'agrément de l'hébergeur a-t-il été initié ?

ISO 27799 : Une attention spéciale est portée à la conformité dans le but de l'interopérabilité technique, étant donné que les systèmes d'information de santé des grands organismes consistent en général en plusieurs systèmes interopérables. Décret Confidentialité : Le responsable du traitement est chargé de veiller au respect du référentiel. Il lui appartient notamment de porter à la connaissance de toute personne concernée par les informations médicales relevant du traitement les principales dispositions prises pour garantir la conformité au référentiel correspondant. 15.3 Prises en compte de l'audit du système d'information 56

15.3.2 Protection des outils d'audit du système d'information Mesure : L’accès aux outils d’audit du système d’information doit être protégé afin d’empêcher tous mauvais usage ou compromission éventuels.

Objectif : Optimiser l’efficacité et réduire le plus possible l’interférence avec le/du processus d’audit du système d’information. Des contrôles (audits) réguliers du projet sont-ils mis en œuvre (afin de vérifier que l'application répond bien aux exigences de la MOA)? Les rapports sont-ils à accès restreints? Quelles sont les actions mises en œuvre suite à ces contrôles?

17/225


18/225


19/225


20/225


21/225


22/225


23/225


24/225


25/225


26/225


27/225


28/225


29/225


30/225


31/225


32/225


33/225


34/225


35/225


36/225


37 / 225


38 / 225


39 / 225


40 / 225


41/225


42/225


43/225


44/225


45/225


46/225


47/225


48/225


49/225


50 / 225


51 / 225


52 / 225


53 / 225


54/225


55/225


56/225


57/225


58/225


59/225


60/225


61/225


62/225


63/225


64/225


65/225


66/225


67/225


68/225


69/225


70/225


71/225


72/225


73/225


74/225


75/225


76/225


77/225


78/225


79/225


80/225


81/225


82/225


83/225


84/225


85/225


86/225


87/225


88/225


89/225


90/225


91/225


92/225


93/225


94/225


95/225


96/225


97/225


98/225


99/225


100/225


101/225


102/225


103/225


104/225


105/225


106/225


107/225


108/225


109/225


110/225


111/225


112/225


113/225


114/225


115/225


116/225


117/225


118/225


119/225


120/225


121/225


122/225


123/225


124/225


125/225


126/225


127/225


128/225


129/225


130/225


131/225


132/225


133/225


134/225


135/225


136/225


137/225


138/225


139/225


140/225


141/225


142/225


143/225


144/225


145/225


146/225


147/225


148/225


149/225


150/225


151/225


152/225


153/225


154/225


155/225


156/225


157/225


158/225


159/225


160/225


161/225


162/225


163/225


164/225


165/225


166/225


167/225


16 8 / 225


16 9 / 225


17 0 / 225


17 1 / 225


172/225


173/225


174/225


175/225


176/225


177/225


178/225


17 9 / 225


18 0 / 225


18 1 / 225


18 2 / 225


183/225


184/225


185/225


186/225


187/225


188/225


189/225


190/225


191/225


192/225


193/225


194/225


195/225


196/225


197/225


198/225


199/225


200/225


201/225


202/225


203/225


204/225


205/225


206/225


207/225


208/225


209/225


210/225


211/225


212/225


213/225


214/225


215/225


216/225


217/225


218/225


219/225


220/225


221/225


222/225


223/225


224/225

8715350 Questionnaire Gestion de La Securite ISO 27002

Recommend Documents