atteindre les prérequis hôpital numérique - sante … · du programme hôpital numérique dans...
TRANSCRIPT
Rencontre régionale
en partenariat avec
l’ARS du Centre
et le Collège régional des RSI / DSI 5 juin 2013 – CH de Blois
Atteindre les prérequis
Hôpital Numérique
Pouvons-nous être accompagnés ?
Comment ?
Pourquoi ?
Hôpital numérique – actualité 2013
Réunion nationale 24 Avril
Accompagnement usages /Anap
Projet territoires numeriques
Perspectives financements
Intégration de 27 critères HN dans la certification HAS
Modalités d’accompagnement ANAP
20 Juin réunion de présentation
Accompagnement des sites à l’atteinte des cibles d’usages
Dans les 5 domaines prioritaires
Basé sur un réseau d’ambassadeurs (150 France entière)
Hôpital Numérique – schéma de gouvernance
Ministère / DGOS
ARSARS
ARS
ESES
ESEditeurs
HAS
GCS / région
Guichet uniqueIGAS
Organismes de formation
Contractualisation(CPOM Etat / ARS)
Contractualisation(CPOM ARS/ ES)
Véhicule juridique spécifique PHN (donnant force au cadre de référence) ?
Candidature, instruction et suivides dossiers PHN
Ce
rtif
ica
tio
n
oSISProjets d’Informatisation
Formation initialeFormation continue
Ho
mo
loga
tio
n
Vérification des déclarations
REL
IMS
Remontée des indicateurs
Mu
tua
lisa
tio
n Lett
res
de
mis
sio
n d
es D
G
Extrait du Guide DGOS la déclinaison régionale du programme Hôpital numérique
Intégration des indicateurs HN dans la certification
27 indicateurs sur 34 du plan hôpital Numérique sont intégrés dans la certification
12 indicateurs des prérequis
22 indicateurs des domaines fonctionnels
Ils sont pris en compte à partir de leur saisie dans l’OSIS (dont le remplissage est
obligatoire depuis septembre 2012)
Accompagnement des établissements de santé à l’atteinte des cibles d’usage Prérequis :
Boite à outils
Outil d’autodiagnostic
Fiches pratiques
saisie des informations dans l’OSIS
Les établissements peuvent faire appel à l’assistance de leur choix
Cibles d’usage Accompagnement ANAP
Construction d’outils réseau d’experts (20)
Diffusion des bonnes pratiques réseau d’ambassadeurs (150)
Volontaires
Reçoivent une formationa ANAP
Consacrent du temps à aider les ES de leur territoire
Retour sur les fondamentaux
15 Mai 2009 : création du GCS TéléSanté Centre Objet principal : les systèmes d’information
Principes : TéléSanté Centre : outil de mutualisation TéléSanté Centre lien entre les établissements et
les projets nationaux TéléSanté concentrateur de compétences et
d’expertise Participation des adhérents
2009 2009 2010 2011 2012 2013
Retour sur les fondamentaux
2010
2010 : la sécurité devient un objet du GCS
Plan H2012 : un volet sécurité des SI
Financement d’un poste de RSSI régional pour accompagner les établissements
Réalisation de prestations pour :
AIRBP
Hôpital St Jean de Briare
C.H.R.O
2009 2010 2011 2012 2013
Retour sur les fondamentaux
Suite à la décision de la première Assemblée Générale de Mai 2009 :
TéléSanté Centre s’est investi en priorité sur les projets régionaux et nationaux
Durant toute la période 2009 - 2011
2009 2011 2010 2010 2009 2010 2011 2012 2013
Le nouveau contexte Hôpital Numérique
53 adhérents
L’ARS demande au GCS de porter une offre de services
Recrutement d’un nouveau profil de RSSI régional
Intérêt de la demande confirmé par les établissements
Nouveau partenariat avec le Collège régional des DSI/RSI
2012 2009 2010 2011 2012 2013
Création d’un catalogue de services
Effi-Centre
Effi-Odébit Santé
Création d’un réseau haut-débit dédié à la santé
Favorisant les échanges et partages intra / inter-établissements et ville / hôpital
Effi-Visio
Services de visio et webconférence proposant matériel et conciergerie
Effi-SSI
2009 2010 2011 2013 2012 2013
Le modèle « Service » appliqué à la sécurité
Trois services sont constitués :
L’audit flash
Les sessions de sensibilisation pour les décideurs
Les sessions de sensibilisation pour les professionnels de santé
De nouvelles offres seront proposées pour accompagner la mise en œuvre du travail des groupes et du CORSSI
Facteurs clés de succès de la démarche
Contexte favorable
•Mêmes cibles à atteindre
•Mêmes besoins
Mutualisation
•Principe déjà acquis
•Connaissances, compétences, expériences…
•Gains de temps, financiers…
Confiance partagée
•Fédération des établissements et des professionnels
•Meilleure connaissance des établissements
•Ne pas se savoir seul face à une problématique
Hôpital Numérique
Un programme ambitieux :
Mise en conformité des SI avec les règles et les bonnes pratiques en matière de sécurité des traitements de données de santé, décrit en 3 prérequis :
et 5 domaines fonctionnels :
Les résultats d’imagerie, de biologie et d’anatomo-pathologie,
Le dossier patient informatisé et interopérable et la communication extérieure,
La prescription électronique alimentant le plan de soins,
La programmation des ressources et l’agenda du patient,
Le pilotage médico-économique.
Identités / Mouvements
Fiabilité / Disponibilité
Confidentialité
Atteinte des prérequis
Inscrite dans les CPOM (13 indicateurs d’évaluation)
Analyse des conditions de réalisation, deux constats :
Nécessité d’une réflexion interne importante pour :
• Définir une méthodologie de mise en œuvre
• Concevoir et formaliser les documents décrivant les attendus des prérequis
• Animer et conduire une démarche construite et pérenne en mobilisant les acteurs
Grande incertitude des responsables de SI
• Sur leur capacité à mobiliser le temps et la réflexion nécessaire
• Pour mener à bien le palier du Programme Hôpital Numérique dans les délais (2012 – 2016) à moyens constants
• Pour aussi traiter les projets internes ou externes déjà engagés et prévus
Concertation régionale
Un moyen
Consulter le GCS TéléSanté-Centre qui a présenté en Avril 2012 une offre de services : « Modalités d'intervention du GCS TéléSanté Centre pour faciliter
l'atteinte des prérequis »
Une conclusion
Expression unanime d’une volonté de travailler ensemble, dans un cadre
organisé,
Pour mutualiser documentation, expérience, connaissance pour atteindre l’objectif avec efficience et pragmatisme
Concertation Collège DSI/RSI - GCS
En juillet 2012 une réunion de travail Collège RSI/DSI – GCS TS-Centre a permis de valider la complémentarité des démarches
Demande du Collège a minima :
•Un cadre de travail méthodologique et pragmatique
•Des compétences en sécurité des SI
•Des connaissances du cadre législatif et règlementaire
Réponse du CGS TéléSanté-Centre :
•Création du CORSSI
•Création et animation de quatre groupes de travail couvrant des domaines complexes : Politique de sécurité des SI - PRA - PCA et Authentification – Cartes CPS
Objectifs attendus :
•Elaboration de
• guides méthodologiques
• documents supports personnalisables par chaque établissement
Coopération TéléSanté Centre - Collège
Mise en place des groupes de travail en octobre 2012
Travaux réalisés par implication des établissements et animés par le GCS :
4 à 5 réunions par groupe de travail en 5 mois
Forte participation des établissements de santé
15 établissements investis
30 personnes (Directeur, Médecin, Directeur / Responsable informatique, Statisticien, référent sécurité…)
Mise en commun de connaissances techniques, règlementaires, partage d’expériences de terrain,
Apport méthodologique et animation cadrée des travaux
Coopération TéléSanté Centre - Collège
Pour un résultat opérationnel :
La production d’une documentation au contenu thématique sur les champs couverts et conforme aux règlementations en vigueur et aux bonnes pratiques
Personnalisable par chaque établissement
Contribue à répondre
Au prérequis N°2 (Fiabilité / Disponibilité)
A trois des cinq indicateurs du prérequis N°3 (Confidentialité)
Conclusion
Expérience de
coopération réussie
Autour d’une problématique
concernant tous les établissements
Objectif opérationnel atteint en limitant
l’investissement propre de chaque ES à la
personnalisation des démarches et documents avec les éléments de leur
contexte interne
Cohérence des démarches des ES avec un référentiel régional
conforme aux référentiels nationaux
créant une communauté de pratiques
Expérience régionale originale que très peu de
régions ont lancée ou projetée
Résultat d’une démarche que le collège des
DSI/RSI souhaite voir réitérer dans différents domaines communs et
partagés
Enquête de besoins
Réalisée en mai 2012
Résultats :
25 établissements répondants
Besoins importants en :
Guides documentaires
Documents type
Formations à la sécurité
Sensibilisation du personnel
Conclusions :
Nécessité de conduire un travail mutualisé
Une offre de services est attendue par les établissements
Calendrier de la démarche
19 Avril 2012
Septembre
Octobre
Décembre
Mars 2013
Journée régionale Hôpital Numérique
Création du Comité
Opérationnel Sécurité des SI
Lancement des groupes de
travail
Point d’étape par le Comité
Opérationnel Sécurité des SI
Validation des productions des
groupes de travail
Différents rôles à jouer
RSSI régional
Animation
Coordination
Reporting
Cadrage méthodolo-
gique
Accompagnement au changement
Sensibilisation
Communication
Secrétariat
Capitalisation en expérience
Apports de la démarche
• Varier la représentation des profils dans les groupes
• Veille technologique et réglementaire
• Relations interrégionales
Apports personnels
• Enrichissement personnel et professionnel
• Meilleure compréhension des attentes et des métiers
• Mise en pratique d’enseignements
Pour avancer ensemble vers des objectifs communs
• Améliorer la sécurité des systèmes d’information dans les établissements de la région
• Apporter une culture sécurité à l’ensemble des acteurs
• Donner du sens à la boîte à outils Hôpital Numérique et faciliter l’atteinte des prérequis
• Pérenniser une démarche mutualisée
PRÉSENTATION DES LIVRABLES ISSUS DES GROUPES DE TRAVAIL
B. BOCQUILLON – F. AUMEUNIER – E. FAURE – J. CADON – P. MERCIER
Démarche générale de sécurité
Le CORSSI propose une démarche progressive et pragmatique en 3 temps
Etape 1 : élaboration d’une première trame de Politique de Sécurité des SI (PSSI)
Etape 2 : première analyse de risques et mise en place du schéma directeur de sécurité du SI
Etape 3 : Compléments au Plan de Reprise d’Activité (PRA) et au Plan de Continuité d’Activité (PCA)
A l’issue de l’étape 3
Conformité avec les prérequis Hôpital Numérique et les critères HAS 5.a et 5.b
Nécessité de mettre en place d’une démarche d’Amélioration Continue pour faire évoluer la PSSI
Démarche générale de sécurité
Apports du CORSSI pour l’étape 1 : élaboration
d’une trame de Politique de Sécurité des SI
Liste des documents à produire
Documents types
Outil de recueil pour les inventaires
Référentiel de règles de sécurité (possibilité de réaliser un premier
audit de maturité)
Sur cette base, les établissements peuvent rédiger une version 0 de leur PSSI en
Intégrant certains documents proposés (cadre juridique)
Adaptant certains documents types (engagement de la direction,
gouvernance)
Collectant les documents déjà existants au sein de
l’établissement (inventaire des biens, procédures dégradées, procédures de
sauvegarde)
Démarche générale de sécurité
Apports du CORSSI pour l’étape 2 : première
analyse de risques et mise en place du schéma directeur de sécurité du SI
Formation méthodologique fondée sur la méthode EBIOS(1) simplifiée et les métriques de la PGSSI-S (2)
Accompagnement des établissements
Apports du CORSSI pour l’étape 3 : Compléments au PRA et au PCA
Documents types
Guides méthodologiques
(1) EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité - Méthode d’analyse des risques préconisée par l’ANSSI.
(2) PGSSI-S : Politique Générale de Sécurité des Système d’Information en Santé - Corpus documentaire produit par l’ASIP Santé
Démarche générale de sécurité
Les thèmes traités par le CORSSI
La Politique de Sécurité des SI
Le Plan de Continuité d’Activité (PCA)
Le Plan de Reprise d’Activité (PRA)
L’authentification des professionnels (cartes CPx)
Politique de Sécurité du SI
Contexte
Des obligations règlementaires
•HAS, Hôpital Numérique, RGS, CNIL
Informatisation des données de santé
•Nécessaire création d’un espace de confiance pour les professionnels de santé et les patients.
Des risques toujours plus grands
•Une cybercriminalité de plus en plus active
•Des informations de plus en plus sensibles
Politique de Sécurité du SI
Objectifs
Etablir un modèle organisationnel pérenne et reconnu de tous.
Instaurer durablement la confiance dans l’usage des SI
La sécurité doit être structurée
Les responsabilités partagées
Niveau décisionnel
Niveau de pilotage
Niveau opérationnel
Politique de sécurité du SI
Politique nationale, orientations ministérielles
Analyse de risques, état des lieux
Politique de sécurité du système d’information
Dispositions de mise en œuvre : schéma directeur, intégration aux projets, déclinaisons en chartes utilisateurs et administrateurs
Politique de Sécurité du SI
Comment faire ?
Mobiliser l’ensemble de l’établissement
Engagement de la direction
Impliquer la direction de la qualité
Sensibiliser les personnels
Structurer la sécurité
Partage des responsabilités (Niveaux décisionnel, de pilotage et opérationnel)
Ecrire et valider une politique de sécurité
Définir un ensemble de règles de sécurité devant être appliquées dans l’établissement.
Politique de Sécurité du SI
Quels outils ?
Lettre d’engagement de la Direction.
5 Référentiels de règles avec un outil d’évaluation
Bonnes pratiques pouvant être mises en place dans un établissement.
Les règles doivent nécessairement être comprises de tous et doivent donc faire l’objet de sessions de sensibilisation
Chartes d’usage et d’accès au SI.
Charte pour les utilisateurs
Charte pour les administrateurs
Politique de Sécurité du SI
La sécurité s’aligne sur une démarche qualité
Une analyse de risques doit être menée
Les résultats doivent intégrés au plan de traitement des risques global de l’établissement
La démarche doit être itérative
Politique de Sécurité du SI
•Audit d’application :
•Définition d’indicateurs et de tableaux de bord,
•Contrôle opérationnel et audit
•Assurer une veille documentaire
•Correction des écarts :
•Définition des processus d’évolution,
•Mise en place de nouvelles règles
•Mise en œuvre de la politique :
•Rédaction des principes et règles,
•Déclinaison en procédures opérationnelles,
•Formation et sensibilisation
•Définition de la politique de sécurité :
•Etude de contexte et définition de périmètre,
•Identification des objectifs de sécurité
Planifier Déployer
Contrôler Ajuster
Démarche générale de sécurité
Les thèmes traités par le CORSSI
La Politique de Sécurité des SI
Le Plan de Continuité d’Activité (PCA)
Le Plan de Reprise d’Activité (PRA)
L’authentification des professionnels (cartes CPx)
Plan de Continuité d’Activité (PCA)
Enjeux
Le SI : un élément stratégique
• Pour ne pas réaliser au dernier moment que l’informatique n’est pas sans risques, que son indisponibilité peut bloquer l’activité de l’Hôpital
Anticiper est indispensable
• Pour prévoir l’éventualité d’une indisponibilité des outils qui traitent et distribuent l’information jusqu’aux postes de travail des utilisateurs : Informatique + Télécommunications
Définir les activités essentielles de l’établissement
• Pour garantir au final le fonctionnement de l’Etablissement en préparant à l’avance la continuité des activités stratégiques :
• admissions des patients
• prescriptions médicales, circuit du médicament
• prescriptions et retours d’examens de biologie médicale
• plans de soins
• commandes de repas
• …
Plan de Continuité d’Activité (PCA)
Objectifs
Réglementaires, se mettre en conformité avec :
Les prérequis Hôpital Numérique (P 2.3 - Fiabilité-Disponibilité)
Le référentiel de certification HAS V2010
Les bonnes pratiques d’auditabilité d’un SI
Stratégiques, disposer des moyens permettant de maintenir l’activité :
Une organisation : qui alerte qui ? quand ? qui communique auprès des utilisateurs impactés ?
Des procédures de passage et de travail en mode dégradé, et de retour à la normale
Plan de Continuité d’Activité (PCA)
Comment ?
Le tout sous l’impulsion et le suivi de la Direction Générale,
du Service Qualité et des Directions Fonctionnelles
1/ En identifiant les processus métiers informatisés critiques
• liste des processus essentiels (en cours de publication) définis par l’ASIP Santé
•cartographie des ressources informatiques, notamment des applications métiers
•analyse de risques (état des lieux des risques, criticité)
•bon sens
2/ En identifiant les acteurs à mobiliser
•Service Qualité, Référents métiers et Techniques concernés, Editeurs
3/ En constituant les groupes de travail
•pour rédiger les procédures (un outil méthodologique est proposé dans le guide),
• les harmoniser entre elles,
• les tester,
• les faire connaître,
•accompagner les utilisateurs
Suivez le guide d’« Elaboration du Plan de Continuité d’Activité du Système
d’Information » !
Plan de Continuité d’Activité (PCA)
Le SI est au service de la stratégie de
l’Etablissement en perpétuelle
évolution
•Tester les procédures
•Assurer une veille sur la documentation associée au PCA
•Corriger les procédures suite aux tests
•Mettre à jour les procédures régulièrement
•Rédiger les procédures opérationnelles,
•Former et sensibiliser
•Définir les activités essentielles
•Former les groupes de travail
•Planifier les réunions
Planifier Déployer
Contrôler Ajuster
Ceci permet d’optimiser la fiabilité
du PCA
Démarche générale de sécurité
Les thèmes traités par le CORSSI
La Politique de Sécurité des SI
Le Plan de Continuité d’Activité (PCA)
Le Plan de Reprise d’Activité (PRA)
L’authentification des professionnels (cartes CPx)
Plan de Reprise d’Activité
Qu’est-ce ?
En cas de crise majeure ou importante d'une salle informatique, il permet d'assurer :
la reconstruction de l’infrastructure,
la remise en route des applications supportant l'activité d'une organisation.
Permet d’anticiper les risques encourus (perte de chance pour les patients, financiers, perte d’image…)
Concrètement, il permet de connaître :
l'équipe,
les rôles de chacun,
la liste des procédures à suivre.
Plan de Reprise d’Activité
Mesures préventives
Permettent d'éviter une interruption
La sauvegarde des données
avec des solutions adaptées
Les systèmes de
secours
Les sites de secours
La redondance, réplication
des données
Mesures curatives
Permettent de redémarrer l'activité après un sinistre
La reprise des données
ou restauration des données
Le redémarrage
des applications
Utilisation d'un site de
secours
Le redémarrage
des machines
Plan de Reprise d’Activité
Contexte
Une obligation réglementaire et stratégique.
Critère 5b certification V2010,
Prérequis programme Hôpital Numérique…
… donc inscrit au CPOM
Qualité du contenu pour la certification des comptes
Une opportunité de mettre en avant les forces et faiblesses du SI
Etat des lieux technique, prérequis au PRA
Permet de pointer les risques majeurs
L’équipe informatique connaît la solution
Plan de Reprise d’Activité
PRA : un outil de pérennisation et de sécurisation des établissements
Montrer aux utilisateurs les dispositions prises
Pour justifier des mesures restrictives
Pour expliquer l’impossibilité de garantir un fonctionnement sans panne
Une bonne manière de lancer le PCA
Indispensable de montrer les mesures techniques prises et les risques encourus avant de démarrer une réflexion sur la continuité de l’activité sans l’informatique
C’est un outil vivant à mettre à jour très régulièrement
Plan de Reprise d’Activité
Penser la catastrophe
Prévoir la gestion de
crise
Penser la reprise
d’activité
Comment faire ?
Procéder à l'inventaire applicatif Chaque module applicatif doit être évalué pour en déterminer
son besoin en disponibilité.
Un projet de spécialistes, mais… La Direction doit fixer la priorité
(vs projets fonctionnels)
Plan de Reprise d’Activité
En région Centre, c’est plus facile !
Déclinaison régionale du document type national de la DGOS
Fourniture d’un guide méthodologique
Mise à disposition d’outils pour formaliser le PRA
Il faut COMMUNIQUER
Ce type de projet impacte non seulement l’informatique mais aussi les équipes techniques et l’encadrement pour la sensibilisation des utilisateurs
Plan de Reprise d’Activité
Un lien direct avec la Qualité et la gestion des risques
Parce que le PRA, c’est bien sûr :
Un outil technique contribuant à la gestion des risques
Un document incontournable de la certification
Mais aussi
Parce que la démarche méthodologique est une démarche qualité
Parce que l’analyse des risques conduisant à modifier le PRA ne peut pas être qu’une affaire d’informaticiens
Plan de Reprise d’Activité
•Tester les sauvegardes
•Tester régulièrement le PRA
•Faire évoluer le PRA en fonction des retours des tests
•Faire évoluer le PRA en fonction des changements apportés au système d'information
•Rédiger les procédures
•Formaliser le PRA
•Identifier les acteurs à solliciter (y compris les éditeurs)
•Déterminer les besoins en disponibilité
Planifier Déployer
Contrôler Ajuster
Démarche générale de sécurité
Les thèmes traités par le CORSSI
La Politique de Sécurité des SI
Le Plan de Continuité d’Activité (PCA)
Le Plan de Reprise d’Activité (PRA)
L’authentification des professionnels (cartes CPx)
Pour quoi faire ?
Pour participer à l’espace de confiance qui s’étend :
Réseaux de soins et Télémédecine
Accès au Dossier Médical Personnel et au Dossier Pharmaceutique
Messagerie sécurisée et signature électronique
Pour maîtriser les accès à son SIH
Un moyen unique pour toutes les applications avec des données de santé (…ou sans)
Authentification forte (cartes CPx)
Pour quoi faire ?
Pour l’image de l’établissement
Les patients attendent des preuves visibles sur la sécurité de leurs données
Et aussi parce c’est obligatoire :
Décret Confidentialité 2007
Art. R. 1110-3. « En cas d'accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l'utilisation de la carte de professionnel de santé […] est obligatoire. »
Cible identifiée dans la PGSSI-S
Authentification forte (cartes CPx)
Authentification forte (cartes CPx)
Objectif :
« Donner aux bonnes personnes, authentifiées fortement, les bons droits d’accès,
au bon moment, et les contrôler… »
Facteurs clés de succès :
Il faut obligatoirement que ce projet soit porté par la Direction de l’établissement
Il faut impliquer tous les acteurs concernés
Ressources humaines et Affaires médicales
DIM
Direction des soins
Informatique etc..
Il faut bien définir ses priorités et son périmètre
Population concernée (salariés, stagiaires..)
Mono usage ou multi usages (accès locaux, self, gestion du temps de travail...)
Authentification forte (cartes CPx)
Ce projet est-il simple à mener ?
La réponse est…
Authentification forte (cartes CPx)
Non !
parce qu’il peut être abordé de multiples façons
parce qu’il s’agit d’un projet avec une composante organisationnelle très forte
parce que son ampleur nécessite un effort sur le long terme
parce que, lié à la sécurité, son intérêt n’est pas immédiat aux yeux des utilisateurs
Mais alors… comment faire ?
Un guide qui aide à formaliser et à mener son projet vous est proposé !
Que contient le guide projet ?
Une approche en quelques questions / réponses pour la Direction afin de cadrer son projet
La carte CPS en 2013 : pour qui ? pour quoi ?
Quels sont les enjeux d’un projet Cartes ?
Comment équiper les agents non éligibles à la CPS ?
Que va nécessiter un projet Cartes en termes d’organisation ?
Quels sont les investissements financiers nécessaires ?
Et si je ne souhaite pas investir dès maintenant ?
Quels sont les écueils à éviter ?
Ce que ne permettent pas les cartes CPS
Authentification forte (cartes CPx)
Que contient le guide projet ?
Le détail des cinq grandes étapes :
Gestion des identités
Gestion des arrivées, mouvements et départs des agents
Gestion des droits d’accès
Gestion des cartes CPx
Audit, contrôle et traçabilité
ainsi que des références documentaires utiles
Pour chacune des étapes, sont décrits :
les principaux acteurs à impliquer.
les questionnaires type pour structurer sa démarche
les procédures type
les points de vigilance et les recommandations
Authentification forte (cartes CPx)
Authentification forte (cartes CPx)
•Audit des identités
•Audit des habilitations
•Correction des écarts
•Mise à jour des processus
•Identifier tous les agents de l’établissement (créer l’annuaire)
•Elaborer la matrice des droits
•Commander et déployer les cartes CPx
•Définition du périmètre
•Identification des ressources et du planning
•Identifier un site pilote
Planifier Déployer
Contrôler Ajuster
Boîte à outils DGOS
La DGOS a souhaité outiller les établissements en mettant à leur disposition une boîte à outils composée :
D’un outil d'auto diagnostic permettant de procéder à une auto-évaluation. Cet outil ainsi que son mode d’emploi sont téléchargeables à l’adresse suivante : http://www.sante.gouv.fr/programme-hopital-numerique.html
Des fiches pratiques autoporteuses visant à apporter aux établissements un support méthodologique pour l'atteinte des prérequis du programme.
Boîte à outils DGOS
Exemple de méthode de mise en œuvre de l’identitovigilance au sein d’un établissement de santé
•Indicateur P1.2 : Existence d’une cellule d’identitovigilance opérationnelle
Fiche n°1 :
Procédure type de mise à jour du référentiel unique de structure
•Indicateur P1.4 : Existence d'un référentiel unique de structure piloté et mis à jour régulièrement dans les applicatifs, en temps utile
Fiche n°2 :
Plan type d’un Plan de reprise d’activité du système d’information et bonnes pratiques
•Indicateur P2.1 : Existence d’un Plan de reprise d’activité du système d’information formalisé
Fiche n°3 :
Exemple de méthode d'évaluation des taux de disponibilité des applications
•Indicateur P2.2 : Existence d’une définition d’un taux de disponibilité cible des applicatifs et la mise en œuvre d’une évaluation de ce taux
Fiche n°4 :
Boîte à outils DGOS
Bonnes pratiques d’élaboration des procédures de fonctionnement en mode dégradé et de retour à la normale du système d’information.
• Indicateur P2.3 : Existence de procédures assurant d’une part un fonctionnement dégradé du système d’information au cœur du processus de soins en cas de panne et d’autre part un retour à la normale
Fiche n°5 :
Fiche de poste type d’un Responsable de la sécurité des Systèmes d’information (RSSI) et description des fonctions d’un référent sécurité du système d’information
• Indicateur P3.1 : Existence d’une politique de sécurité formalisée pour les applications au cœur du processus de soins et fondée sur une analyse des risques au sein de l’établissement et l’existence d’une fonction de référent sécurité
Fiche n°6 :
Charte type d'accès et d'usage du système d’information
• Indicateur P3.2 : Existence d’une charte ou d’un document formalisant les règles d’accès et d’usage du système d’information, en particulier pour les applications gérant des informations de santé à caractère personnel, diffusé au personnel, aux nouveaux arrivants, prestataires et fournisseurs
Fiche n°7 :
Offre de services Effi-SSI
Groupes de travail
• Politique de Sécurité des Systèmes d’Information
• Plan de Continuité d’Activité (PCA)
• Plan de Reprise d’Activité (PRA)
• Authentification
Sensi-bilisations
• Cadres de santé / Direction(s)
Soutien aux ES
A la demande et en collaboration avec les établissements
• Décliner les livrables
• Culture sécurité dans les établissements
Livrables intégrés à une base documentaire
Audit flash
• Convention
• Rapport d’audit
• Propositions d’améliorations
• Plan d’actions
Emergence d’un nouveau service : présentation des conclusions d’audit :
- aux instances de l’Etablissement - au groupe ayant participé à l’audit
Comment accéder aux documents ?
Via une inscription sur le portail www.sante-centre.fr
Procédure disponible dans le dossier remis à votre arrivée
Ensuite un simple mail à l’adresse [email protected]
Afin de poursuivre la démarche, sont attendus :
Commentaires,
Critiques,
Retours d’expérience sur l’utilisation des documents
Bilan des audits flash de sécurité
2012 •CH George Sand, Bourges - CHD Daumezon, Fleury les Aubrais - CH Agglomération Montargoise
Janvier 2013
•CH Blois
Février 2013
•CH Henri Ey, Bonne val
Mars 2013
•CH Dreux
Avril 2013
•CH Chartres
•Polyclinique de Blois
Mai 2013
•Restitution au CHAM (groupe audit et Directoire)
•ADAPT Loiret
Veille technologique et réglementaire
Cinq thématiques abordées :
Sécurité des Systèmes d’information en santé
E-santé, télésanté
Télémédecine
PACS, haut débit, visioconférence
DMP, Dossier pharmaceutique, Dossier Communicant en Cancérologie (DCC)
Accessibles depuis le portail www.sante-centre.fr
Un cadre national qui se précise
Des échéances de court terme
Programme Hôpital Numérique (2012-2016)
prérequis en matière de sécurité du SI (analyse de risques, politique de sécurité, PRA, procédures de secours, objectifs de disponibilité du SI)
atteinte des prérequis inscrits aux CPOM
Certification HAS (à compter d’avril 2013)
Reprise des prérequis Hôpital Numérique sur la sécurité :
Critère 5a : Système d’information
Critère 5b : Sécurité du système d’information
Critère 10c : Respect de la confidentialité des données relatives aux patients
Critère 15a : Identification du patient à toutes les étapes de sa prise en charge
Critère 16a : Dispositif d’accueil du patient
Un cadre national qui se précise
Diffusion prochaine des référentiels Sécurité ASIP Santé
PGSSI-S : Politique générale de sécurité des systèmes d’information de santé
Comparaison des niveaux de maturité des établissements en matière de sécurité des SI
Deux documents déjà disponibles :
Principes fondateurs
Référentiel d’authentification des acteurs de santé
A venir:
Référentiel méthodologique sécurité du SI
Référentiel d’identification des acteurs de santé
Référentiel d’identification des patients
Un cadre national qui se précise
Des échéances particulières pour les établissements publics
Décret « RGS » (Référentiel Général de Sécurité) du 2 février 2010
Adopter une démarche globale de sécurité
Réaliser une analyse de risques
La mise en place d’une politique de sécurité du SI
Fiabilisation/certification des comptes
Exigences de disponibilité/auditabilité des données du système d’information
Une démarche régionale à pérenniser
Intérêt d’une mutualisation régionale Une situation initiale très homogène
Une « culture Sécurité des SI » peu développée au sein des
établissements de santé de la Région Centre
Des objectifs communs à tous les établissements
Des nouveaux concepts et des nouvelles méthodes qui nécessitent un accompagnement
Missions du CORSSI à pérenniser Entretenir une dynamique régionale :
Mobiliser et accompagner les acteurs régionaux
Proposer une approche pragmatique portée par les acteurs de terrain
Atteindre rapidement et à moindre coût les objectifs
Proposer des outils et des méthodes adaptés aux établissements de santé