iso 27002 // référentiels de la santéclub-27001.fr/attachments/article/172/mise en parallèle...
TRANSCRIPT
ISO 27002 // Référentiels de la santé
Vue des établissements de santé
Club 27001 – 27/03/2015Nicole Genotelle
Version 1.0
2
Sommaire
Contexte
Thématiques 27002 // référentiels de santé
Exemples de mise en œuvre
27002 // référentiels de la santé 27/03/2015
327002 // référentiels de la santé 27/03/2015
Quelques instances de la santé
ANAP : Agence Nationale d’Appui à la Performances des établissements de santé et médico-sociaux)
ARS : Agences Régionales de Santé
ASIP Santé : Agence des Systèmes d’Information partagés en Santé
DGOS : Direction Générale de l’Offre de Soins
Etablissements de santé : public, privé, ESPIC (environ 2700 en France)
DSSIS : Délégation à la Stratégie des Systèmes d’information de Santé
HAS : Haute Autorité de Santé
427002 // référentiels de la santé 27/03/2015
Contexte
Référentiel Promoteur Périmètre
ISO 27799 : gestion de la sécurité de l’information relative à la
santé en utilisant 27002
Complément ISO 27002 dans le domaine de la santé
ISO version 2006
basée sur
27002:2005
Informations de santé
Domaines Hôpital Numérique
Subventions des ES en 2015 et 2017
DGOS SI de Santé
PGSSI-S en cours de finalisation
Comporte un canevas de PSSI (Dec. 2014)
ASIP Santé SI
Certification des comptes
Guide méthodologique de l’auditabilité des SI
DGOS SI au regard de la production financière
Eléments d’Investigation Obligatoires (EIO) HAS SI
PSSIE publiée en juillet 2014 ANSSI SI
HADS : Hébergeur Agréé de Données de Santé ASIP Santé SI externalisé
RGS V2.0 publié été 2014 ANSSI Autorités administratives dans leurs relations entre
elles et avec les usagers
Carte CPS ASIP Santé Authentification + Signature…
ISO 22600 : Informatique de santé - Gestion de privilèges et
contrôle d’accès
ISO version 2014 Partages d’informations de santé au-delà d’un
établissement
ISO 27789 Informatique de santé - Historique d'expertise des
dossiers de santé informatisés
ISO version 2013 Structure d’historisation des accès aux dossiers
informatisés de santé
ISO 17090, etc….
5
Axe 1 : Gouvernance
• Combler les manques de Gouvernance SI et favoriser l’implication dans le SI des professionnels de la santé et cadres dirigeants
Axe 2 Compétences
• Renforcer les compétences relatives aux SIH
Axe 3 : Offre
• Stimuler et structurer l’offres de solutions
Axe 4 : Financement
• Financer un socle de priorités, subordonné à l’atteinte de cibles d’usage
27002 // référentiels de la santé 27/03/2015
Axes stratégiques HN
6
Amener les ES à prendre en main leur SI et dont les aspects
sécurité
Subventions des ES sous conditions, par les ARS entre 2015 et 2017
Programme Hôpital numérique – rapport d’activité 2014 :« Ce programme concerne l’ensemble des établissements de santé (publics, privés
et ESPIC) et a notamment pour ambition de les amener à un palier de maturité de
leurs systèmes d’informations….. »
« Amener le système d’information de l’ensemble des établissements de santé au
palier de maturité Hôpital numérique, caractérisé par :
- Des pré-requis indispensables pour assurer une prise en charge du patient en toute
sécurité
- Cinq domaines fonctionnels prioritaires pour lesquels le programme définit des
exigences d’usage du SI. »
27002 // référentiels de la santé 27/03/2015
Objectifs DGOS
7
Seuil d’eligibilité : Prérequis nécessaire pour le dépôt de dossier Identités – mouvements
P1.1 : Taux d'applications au cœur du processus de soins, de la gestion administrative du patient et du PMSI connectées à unréférentiel unique d'identités des patients
P1.2 : Cellule d'identitovigilance opérationnelle P1.3 : Taux d'applications au cœur du processus de soins, de la gestion administrative du patient et du PMSI connectées à un
référentiel unique de séjours et de mouvements des patients P1.4 : Existence d’un référentiel unique de structure de l’établissement (juridique, géographique, fonctionnel) piloté et mis à
jour régulièrement dans les applicatifs, en temps utile
Fiabilité – disponibilité P2.1 : Existence d’un PRA du SI formalisé P2.2 : Existence d’une observation du taux de disponibilité avec fourniture du taux cible, de la méthode d’évaluation et du taux
évalué P2.3 : Existence de procédures assurant d'une part un fonctionnement dégradé du système d'information au cœur du
processus de soins en cas de panne et d'autre part un retour à la normale
Confidentialité P3.1 : Existence de la politique de sécurité, de l’analyse des risques et d’une fonction de référent sécurité P3.2 : Existence d’une charte ou d’un document formalisant les règles d’accès et d’usage du SI, en particulier pour les
applications gérant des données de santé à caractère personnel, diffusé au personnel, aux nouveaux arrivants, prestataires etfournisseurs
P3.3 : Existence et procédure de diffusion : Information des patients sur les conditions d’utilisation des données de santé àcaractère personnel
P3.4 : 90% des applications gérant des données de santé à caractère personnel intégrant un dispositif d'authentificationpersonnelle
P3.5 : 100% des applications permettant une traçabilité des connexions au SIH
Valeur cible : Les domaines prioritaires pour l’obtention des subventions Les résultats d’imagerie, de biologie et d’anatomo-pathologie ; Le dossier patient informatisé et interopérable ; La prescription électronique alimentant le plan de soins ; La programmation des ressources et l’agenda du patient ; Le pilotage médico-économique.
27002 // référentiels de la santé 27/03/2015
La carotte : subventions ARS
Sur la base de la SSI
induite par les prérequis
Traçabilité
IntégritéDisponibilité
Confidentialité
Déclinaison des thématiques 27002 // référentiels de santé
Eclairage des points d’attention santé
9
Rapprochement des référentiels
Bonnes pratiques sécurité des SI en lien avec les thématiques
évoquées dans la PGSSI-S, la certification des comptes
27/03/201527002 // référentiels de la santé
Thématiques ISO 27002 :
Bonnes pratiques sécurité
Thématiques PSSI de la PGSSI-S
(i.e. Prérequis SSI HN)
Guide méthodologique
auditabilité des SI (CC)
Conformité Répondre aux obligations légales Revue de la sécurité de l’information
Politique de sécurité de l'information Promouvoir et organiser la sécurité Politique de sécurité de l'information
Organisation de la sécurité de l'information Organisation interne
Sécurité liée aux ressources humaines Sécurité liée aux ressources humaines
Sécurités physiques et environnementales Assurer la sécurité physique des locaux Zone sécurisées
Gestion des actifs Protéger les infrastructures informatiques Manipulation des supports
Exploitation et gestion des communications Protection contre les logiciels malveillants
et sauvegarde et sécurité des réseaux
Contrôle d'accès Maîtriser les accès aux informations Exigences métier pour le contrôle d'accès,
gestion des accès utilisateurs, au
systèmes et aux applications
Acquisition, développement et maintenance
des systèmes d'informations
Acquérir des équipements logiciels et services Exigences sécurité applicables aux SI et
aux processus de développement et
d’assistance
Gestion des incidents Limiter la survenue et les conséquences
d’incidents de sécurité
Gestion des incidents liés à la sécurité de
l’information
Gestion de la continuité d'activité Gestion de la continuité d'activité et
redondances
10
Commun Importance de la PSSI, de sa diffusion et du soutien de la direction
Définition des rôles et responsabilité autour de la sécurité
Importance de la sensibilisation
Référentiels santé PGSSI-S (ASIP Santé) et HAS (EIO)
Importance de la sensibilisation concernant l’accès aux données personnel de santé
Recueil du consentement des patients
Certification des comptes (DGOS) Importance de la séparation des responsabilités RSSI / DSI
27002 // référentiels de la santé 27/03/2015
Politique de sécurité et organisation et sécurité RH
11
Commun Importance de la prise en compte des supports amovibles et en particulier leur
manipulation
Référentiels santé PGSSI-S (ASIP Santé)
Identification et suivi des actifs (y compris mobiles)
Certification des comptes (DGOS) Identification des responsabilités en matières de sécurité par rapport aux actifs (porteur)
HAS (EIO)
27002 // référentiels de la santé 27/03/2015
Gestion des actifs
12
Commun Définition de profil métiers
Suivi / Contrôles réguliers
Contrôle d’accès physiques restreints
Sécurité environnementale
Référentiels santé PGSSI-S (ASIP Santé)
Importance de la maîtrise des accès aux applications contenant des données de santé
Indicateurs d’applications gérant des données de santé à caractère personnel intégrant un dispositif
d'authentification personnelle
Certification des comptes (DGOS) Importance de la séparation des pouvoirs et du suivi de ceux-ci
Justification et contrôles renforcés en cas d’applications aux fonctionnalités d’authentification
limitées
Règles de gestion des mots de passe strictes
HAS (EIO) Identification de niveaux d’habilitation par application
Sécurité physique et logique des matériels
27002 // référentiels de la santé 27/03/2015
Contrôle d’accès logique et physique
13
Commun Sujet non traité (pas mûre pour les ES excepté sur les aspects messagerie)
Référentiels santé PGSSI-S (ASIP Santé)
Certification des comptes (DGOS)
HAS (EIO)
27002 // référentiels de la santé 27/03/2015
Cryptographie
14
Commun Existence de procédures d’exploitation
Lutte contre le code malveillant
Sauvegarde
Importance de la traçabilité
Référentiels santé PGSSI-S (ASIP Santé)
Suivi du dimensionnement
Suivi des vulnérabilités techniques
Traçabilité des actions sur les données de santé et internet
Indicateur d’applications permettant une traçabilité des connexions au SIH
Certification des comptes (DGOS) Revue d’activité des comptes à pouvoir
HAS (EIO)
27002 // référentiels de la santé 27/03/2015
Exploitation
15
Commun Identification de l’architecture
Référentiels santé PGSSI-S (ASIP Santé)
Maîtriser les flux
Cloisonner les réseaux
Sécuriser et maitriser l’exploitation des réseaux Wifi distinct « professionnel » et « invité »
Mettre en place des règles d’échange et de partage de données de santé à caractère personnel
Certification des comptes (DGOS) Existence de dispositif de pare-feu
HAS (EIO)
27002 // référentiels de la santé 27/03/2015
Communication
16
Commun Mise en place de clauses contractuelles SSI
Encadrement des prestations (procédures, responsabilités)
Référentiels santé PGSSI-S (ASIP Santé)
Intégration de la SSI dans les cahiers des charges Demande d’engagement des fournisseurs et industriels aux guides pratiques PGSSI (dispositifs
connectés, accès tiers, règles d’interventions à distances, etc…) par exemple pour les fournisseursd’équipements biomédicaux
Exigences d’interoperabilité (ex : DMP) S’assurer de la capacité de restitution des données de santé à caractère personnel sous une forme
réutilisable par la structure Validation avant MEP Formation (exploitation et utilisateurs) en cas de changement ou nouveaux composants Externalisation de données de santé = HADS
Certification des comptes (DGOS) Procédure de gestion des dév. et acquisition (méthode de gestion de projet validé par la DSI) Sécurisation de la MEP Revue des habilitations après migration
HAS (EIO) Charte sécurité du SI des prestataires intégrée à tous les AO Externalisation de données de santé = HADS
27002 // référentiels de la santé 27/03/2015
Acquisition, dév., maintenance et relations fournisseurs
17
Commun Formaliser la gestion des incidents de sécurité
Référentiels santé PGSSI-S (ASIP Santé)
Recueil des preuves en particulier connexion à un service web
Certification des comptes (DGOS) Les incidents majeurs et la mise en œuvre de traitements particuliers sont tracés
HAS (EIO)
27002 // référentiels de la santé 27/03/2015
Gestion des incidents sécurité
18
Commun Limiter la survenue et les conséquences d’incidents de sécurité
Référentiels santé PGSSI-S (ASIP Santé)
Mise en place d’un plan de continuité de fonctionnement du SI Santé et le tester
Existence d'un Plan de Reprise d'Activité (PRA) formalisé pour l’ensemble du SIH
Suivi de la disponibilité des ressources informatiques
Certification des comptes (DGOS) PRA qui couvre l’exhaustivité des applications critiques au regard de la production financière
Productions et diffusions d’indicateurs sur la disponibilité du SI
HAS (EIO) Existence d’un plan de reprise de l’activité (PRA) et de procédures dégradées connues des
professionnels
27002 // référentiels de la santé 27/03/2015
Gestion de la continuité
19
Commun Revue indépendante de la sécurité
Examen de la conformité technique
Mise en place de dispositif permettant une amélioration continue
Référentiels santé PGSSI-S (ASIP Santé)
Respects des principes de la protection des données à caractères personnel
Suivi des déclaration et demande d’autorisation CNIL
Répondre aux obligations de conservation et de restitution des données
Veille réglementaire
Certification des comptes (DGOS)
HAS (EIO)
27002 // référentiels de la santé 27/03/2015
Conformité
Mise en œuvre
Exemples
21
Suivi de l’avancement de la sécurité du SI / référentiels santé
27002 // référentiels de la santé 27/03/2015
22
Diagnostic de la sécurité du SI / référentiels
27002 // référentiels de la santé 27/03/2015
23
Les 10 principes stratégiques de la PSSIE P1. Lorsque la maîtrise de ses systèmes d’information l’exige, l’administration fait appel à des
opérateurs et des prestataires de confiance. Dans le monde de la santé : exigence de la certification HADS pour l’hébergement des données par un prestataire
P2. Tout système d’information de l’État doit faire l’objet d’une analyse de risques permettant une priseen compte préventive de sa sécurité, adaptée aux enjeux du système considéré. Cette analyse s’inscritdans une démarche d’amélioration continue de la sécurité du système, pendant toute sa durée de vie.Cette démarche doit également permettre de maintenir à jour une cartographie précise des systèmesd’information en service.
P3. Les moyens humains et financiers consacrés à la sécurité des systèmes d’information de l’Étatdoivent être planifiés, quantifiés et identifiés au sein des ressources globales des systèmesd’information.
P4. Des moyens d’authentification forte des agents de l’État sur les systèmes d’information doivent êtremis en place. L’usage d’une carte à puce doit être privilégié.
P5. Les opérations de gestion et d’administration des systèmes d’information de l’État doivent êtretracées et contrôlées.
P6. La protection des systèmes d'information doit être assurée par l’application rigoureuse de règlesprécises. Ces règles font l'objet de la présente PSSIE.
P7. Chaque agent de l’État, en tant qu’utilisateur d’un système d’information, doit être informé de sesdroits et devoirs mais également formé et sensibilisé à la cybersécurité. Les mesures techniques misesen place par l’État dans ce domaine doivent être connues de tous.
P8. Les administrateurs des systèmes d’information doivent appliquer, après formation, les règlesélémentaires d’hygiène informatique.
P9. Les produits et services acquis par les administrations et destinés à assurer la sécurité dessystèmes d’information de l’État doivent faire l’objet d’une évaluation et d’une attestation préalable deleur niveau de sécurité, selon une procédure reconnue par l’ANSSI (« labellisation »).
P10. Les informations de l’administration considérées comme sensibles, en raison de leurs besoins enconfidentialité, intégrité ou disponibilité, sont hébergées sur le territoire national.
27002 // référentiels de la santé 27/03/2015
Rédaction de PSSI : PSSIE vs PSSI de la PGSSI-S
Merci de votre attention …