SlideShare uma empresa Scribd logo

2015-10-07 Colloque SIS "La PGSSI-S" - Diaporama

ASIP Santé
ASIP Santé

Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015 "La PGSSI-S" Frédérique POTHIER, DSSIS et Manuel METZ, ASIP Santé - Diaporama

Tecnologia
1 de 16
Baixar para ler offline
Ministère des affaires sociales, de la santé et des droits des femmes La Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) • Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - Paris - 7 octobre 2015 • Frédérique POTHIER (DSSIS, ministère des affaires sociales, de la santé et des droits des femmes) et Manuel METZ (PUSC, ASIP Santé) Délégation à la stratégie des systèmes d’information de santé (DSSIS) santé (PGSSI-S)
2Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
Enjeux de la PGSSI-S Assurer la sécurité des patients, et pas seulement la protection de la confidentialité des données et du secret professionnel Créer un espace de confiance permettant de susciter 3Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Créer un espace de confiance permettant de susciter l’adhésion (et l’usage des SI) des professionnels de santé, des patients, du grand public Favoriser la prise en compte de la SSI dans l’offre industrielle de SI de santé
Objectifs de la PGSSI-S Définir les niveaux d’exigence, les règles et les moyens juridiques, organisationnels, techniques et humains nécessaires pour garantir la sécurité de l’information dans les secteurs sanitaire et médico-social Au bénéfice des professionnels, des établissements et des 4Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Au bénéfice des professionnels, des établissements et des patients : • Établissements et professionnels, quels que soient les modes d’organisation et les lieux d’exercice • Toutes les applications assurant le traitement de données de santé directement ou indirectement nominatives, voire anonymisées • Domaine sanitaire et médico-social
Place de la PGSSI-S Politique sectorielle applicable à tous les SI assurant le traitement de données de santé des secteurs sanitaire et médico-social Complète les politiques de l’Etat avec lesquelles elle est en 5Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé cohérence : • Référentiel général de sécurité (RGS) • Tous les SI permettant des échanges d’informations entre administrations ou avec les citoyens • Politique de sécurité des SI de l’Etat (PSSIE) • Tous les SI des administrations de l’Etat • Politique ministérielle de sécurité des SI (PMSSI) • Cadre général régissant la mise en œuvre de la sécurité des SI pour l’ensemble du périmètre des ministères chargés des affaires sociales
Démarche de construction de la PGSSI-S (1/4) Commande du SG des ministères sociaux en septembre 2011 Lancement des travaux et premier comité de pilotage en mars 2012 : • MOA stratégique = DSSIS - MOA opérationnelle = ASIP Santé Une démarche pragmatique, volontariste et collective : • Une revue systématique du cadre juridique et technique, une prise en 6Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé • Une revue systématique du cadre juridique et technique, une prise en compte de l’existant : PMSSI, PSSIE, RGS, recommandations de l’ANSSI… • La prise en compte de la variété des contextes d’exercice professionnel • Une action d’amélioration continue des pratiques, une progression par paliers, des exigences réalistes • Participation de tous les acteurs concernés : l’Etat et ses agences, la CNIL, les professionnels des secteurs santé et médico-social, les usagers du système de santé, les industriels, l’assurance maladie
Un comité de pilotage : • Composition : directions d’administration centrale du ministère, ANSSI, CNAMTS, CNIL, CNSA, HFDS • Fonction : – Pilotage du projet PGSSI-S – Décision de mise en concertation publique des documents – Validation de la prise en compte des commentaires issus de la concertation Démarche de construction de la PGSSI-S (2/4) 7 – Validation de la prise en compte des commentaires issus de la concertation Des groupes de travail thématiques : • Composition : institutionnels, ordres et associations de professionnels de santé, RSSI d'établissement de soin, organisations représentatives d'industriels du secteur • Fonction : – Contribution à l’élaboration des documents – Validation des versions à proposer au COPIL pour mise en concertation Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
Un comité de concertation : • Composition : représentants des professionnels et des établissements de santé, des patients, des industriels du secteur • Fonction : – Lieu d’échange sur la démarche et sur les éléments constitutifs de la PGSSI-S Démarche de construction de la PGSSI-S (3/4) 8 – Alimentation en participants des GT – Participation à la diffusion et à la promotion des documents validés Une mise en concertation publique sur le site de l’ASIP Santé http://esante.gouv.fr/pgssi-s/espace-concertation Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
Démarche de construction de la PGSSI-S (4/4) Une publication sur le site de l’ASIP Santé http://esante.gouv.fr/pgssi-s/presentation Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé 9
Le corpus documentaire à ce jour Principes fondateurs de la PGSSI-S Identification Authentification Guide pratique pour Bibliographie Documents chapeau Mémento de sécurité Guide pratique pour Guides organisationnels Référentiels techniques Guides pratiques Guides juridiques Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé des acteurs de santé Authentification des acteurs de santé Imputabilité pratique pour les dispositifs connectés … Documentscorps Identification des patients Authentification des patients sécurité informatique en exercice libéral pratique pour la mise en place d’un accès Wifi Règles pour les interventions à distance Guide pratique pour la destruction de données Règles de sauvegarde des SI de santé Règles pour la mise en place d’un accès tiers Plan de continuité informatique Publié En concer- tation Guide d’élaboration et de mise en œuvre de PSSI En projet 10 Gestion des événements sécurité Mécanismes de protection de l’intégrité des données stockées Gestion des habilitations d’accès
Les travaux en cours et à venir (1/2) Mettre en œuvre l’article 25 du projet de loi de modernisation de notre système de santé : • Après l’article L. 1110-4 du code de la santé publique, il est inséré un article L. 1110-4-1 ainsi rédigé : « Art. L. 1110-4-1. - Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel et leur protection, les professionnels de santé, les établissements et services de santé, les 11Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé professionnels de santé, les établissements et services de santé, les hébergeurs de données de santé à caractère personnel et tout autre organisme participant à la prévention, aux soins ou au suivi médico- social et social utilisent, pour leur traitement, leur conservation sur support informatique et leur transmission par voie électronique, des systèmes d’information conformes aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public mentionné à l’article L. 1111-24. Ces référentiels sont approuvés par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés. »
Mettre en œuvre le nouvel article 27 quater du projet de loi de modernisation de notre système de santé : • Après l’article L. 1111-8-1 du code de la santé publique, il est inséré un article L. 1111-8-2 ainsi rédigé : « Art. L. 1111-8-2. - Les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins Les travaux en cours et à venir (2/2) services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l’agence régionale de santé aux autorités compétentes de l’État. « Un décret définit les catégories d’incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information. » 12Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
Focus sur le guide d’élaboration d’une PSSI Objectif du guide • Le guide a pour objectif de permettre le développement d’une Politique de Sécurité du Système d’Information (PSSI) par un établissement de santé qui n’a pas d’approche sécurité du SI formalisée 13Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé formalisée • C’est un guide de rédaction de PSSI et de suivi de sa mise en œuvre (vs. méthode d’analyse de risques): • Pas d’analyse de risque spécifique : PSSI basée sur analyse de risque « modèle» • Une PSSI « modèle » (canevas PSSI) à reprendre telle quelle ou à adapter
Focus sur le guide d’élaboration d’une PSSI Contenu • Afin de faciliter son utilisation, le guide est constitué de 3 documents distincts et 3 documents annexes : Document Cible Contenu Guide PSSI Tout public impliqué dans la sécurisation du SI Guide de mise en place Canevas PSSI Personnels en charge de la rédaction de la PSSI et Modèle directement utilisable 14Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Canevas PSSI Personnels en charge de la rédaction de la PSSI et personnels en charge de l’application des règles Modèle directement utilisable Plan d’action SSI Personnels en charge du suivi de l’application des règles Modèle directement utilisable Annexe Cible Contenu Modèle de charte sécurité pour personnel IT Personnels en charge de la rédaction de la PSSI Exemple adaptable Modèle de charte d’usage Personnels en charge de la rédaction de la PSSI Exemple adaptable Couverture PSSIE Personnels en charge de la conformité à la PSSIE (si applicable) Liste de règles du canevas permettant de mettre en œuvre les objectifs de la PSSIE
Focus sur le guide d’élaboration d’une PSSI Guide PSSI • Le guide PSSI explique la logique d’élaboration d’une PSSI et la démarche d’utilisation du canevas PSSI pour rédiger la PSSI d’une structure et du plan d’action SSI pour suivre la mise en œuvre de la PSSI Canevas PSSI • Le canevas PSSI est un modèle de PSSI qui peut être directement repris comme une PSSI de structure avec d’éventuelles mises à jour marginales pour adaptation au contexte de l’établissement 15Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé pour adaptation au contexte de l’établissement • Les règles contribuant à l’atteinte des prérequis hôpital numérique et/ou aux objectifs de la PSSIE sont signalées avec identification des prérequis et des objectifs concernés via des cartouches spécifiques • Les référentiels et guides pratiques de la PGSSI-S qui permettent d’approfondir les règles du canevas PSSI sont signalés tout au long du canevas Plan d’action SSI • Le plan d’action PSSI est un outil permettant le suivi détaillé de la mise en œuvre des règles identifiées dans le canevas. Il intègre le suivi des coûts
Autre exemple de document PGSSI-S Règles pour les interventions à distance sur les systèmes d’information de santé • Règles de sécurité pouvant être utilisées directement dans les documents contractuels encadrant les interventions Règles relatives à la sécurité de la prestation fournie Règles relatives à la sécurité de l’environnement du fournisseur Règles relatives à la sécurité des échanges et des accès 16Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Cahier des charges - Exigences de sécurité Contrat - Clauses générales & particulières de sécurité Plan d’assurance sécurité - Dispositions de sécurité du fournisseur Convention de service - Modalités pratiques de réalisation sécurisée de la prestation Dispositions techniques de sécurité - Mécanismes de protection des échanges et des accèsDocuments contractuels fournie des échanges et des accès Volet organisationnelDescriptionEngagement

Recomendados

2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - DiaporamaASIP Santé
 
2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama
2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama
2015-10-07 Colloque SIS "Incident chez LABIO" - DiaporamaASIP Santé
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...ASIP Santé
 
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissementsASIP Santé
 
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...ASIP Santé
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolutionASIP Santé
 

Recomendados

2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Hôpital Numérique et sécurité des SI" - DiaporamaASIP Santé
 
2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama
2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama2015-10-07 Colloque SIS "Incident chez LABIO" - Diaporama
2015-10-07 Colloque SIS "Incident chez LABIO" - DiaporamaASIP Santé
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - DiaporamaASIP Santé
 
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...
2015-10-07 Colloque SIS "Les techniques des pirates et comment s’en protéger"...ASIP Santé
 
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...
2016 12-14 colloque ssi-règlement e_isas_identification électronique et servi...ASIP Santé
 
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissements
2016 12-14 colloque ssi-mise en oeuvre et responsabilités des établissementsASIP Santé
 
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...
2016 12-14 colloque ssi-etat des lieux de la ssi dans le programme hôpital nu...ASIP Santé
 
2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolution2016 12-14 colloque ssi-loi informatique et libertés _ évolution
2016 12-14 colloque ssi-loi informatique et libertés _ évolutionASIP Santé
 
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...ASIP Santé
 
2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssi2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssiASIP Santé
 
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...ASIP Santé
 
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...ASIP Santé
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a serviceASIP Santé
 
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...ASIP Santé
 
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...ASIP Santé
 
Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " ASIP Santé
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsASIP Santé
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE EuropeASIP Santé
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireASIP Santé
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)ASIP Santé
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé ASIP Santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiementASIP Santé
 

Mais conteúdo relacionado

Destaque

2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...ASIP Santé
 
2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssi2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssiASIP Santé
 
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...ASIP Santé
 
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...ASIP Santé
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a serviceASIP Santé
 
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...ASIP Santé
 
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...ASIP Santé
 

Destaque (7)

2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
2016 12-14 colloque ssi-politique générale de sécurité du système d'informati...
 
2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssi2016 12-14 colloque-ssi_présentation du plan ssi
2016 12-14 colloque-ssi_présentation du plan ssi
 
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
2016 12-14 colloque ssi-les apports de la loi de santé au soutien de la démat...
 
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
2016 12-14 colloque ssi-retour d'expérience _ attaque et sécurisation d'un si...
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service
 
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
2016 12-14 colloque ssi-retour d'expérience réussie en alsace en ssi par une ...
 
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
2016 12-14 colloque ssi- retour d'expérience- fuite d'information du dossier ...
 

Mais de ASIP Santé

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " ASIP Santé
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information ASIP Santé
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsASIP Santé
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE EuropeASIP Santé
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireASIP Santé
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)ASIP Santé
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé ASIP Santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiementASIP Santé
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssantéASIP Santé
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabiliteASIP Santé
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsanteASIP Santé
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-insASIP Santé
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpdASIP Santé
 

Mais de ASIP Santé (20)

Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique " Feuille de route " Accélérer le virage numérique "
Feuille de route " Accélérer le virage numérique "
 
Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "Présentation " Accélérer le virage numérique "
Présentation " Accélérer le virage numérique "
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’informationColloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information Colloque sur la sécurité des systèmes d’information
Colloque sur la sécurité des systèmes d’information
 
Point d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP SantéPoint d'information sur les prochains marchés de l'ASIP Santé
Point d'information sur les prochains marchés de l'ASIP Santé
 
L'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industrielsL'offre de l'ASIP Santé au service des industriels
L'offre de l'ASIP Santé au service des industriels
 
Connectathon - IHE Europe
Connectathon - IHE EuropeConnectathon - IHE Europe
Connectathon - IHE Europe
 
Identification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaireIdentification des acteurs de santé : évolutions des services d'annuaire
Identification des acteurs de santé : évolutions des services d'annuaire
 
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
Utilisation du NIR en tant qu'Identifiant National de Santé (INS)
 
Actualité juridique de la e-santé
Actualité juridique de la e-santé Actualité juridique de la e-santé
Actualité juridique de la e-santé
 
20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement20181024 reunion information_marche_deploiement
20181024 reunion information_marche_deploiement
 
20171221-1 jni-mssanté
20171221-1 jni-mssanté20171221-1 jni-mssanté
20171221-1 jni-mssanté
 
20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite20171221-2 jni-interoperabilite
20171221-2 jni-interoperabilite
 
20171221-3 jni-igcsante
20171221-3 jni-igcsante20171221-3 jni-igcsante
20171221-3 jni-igcsante
 
20171221-4 jni-nir-ins
20171221-4 jni-nir-ins20171221-4 jni-nir-ins
20171221-4 jni-nir-ins
 
20171221-5 jni-rgpd
20171221-5 jni-rgpd20171221-5 jni-rgpd
20171221-5 jni-rgpd
 

2015-10-07 Colloque SIS "La PGSSI-S" - Diaporama

  • 1. Ministère des affaires sociales, de la santé et des droits des femmes La Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) • Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - Paris - 7 octobre 2015 • Frédérique POTHIER (DSSIS, ministère des affaires sociales, de la santé et des droits des femmes) et Manuel METZ (PUSC, ASIP Santé) Délégation à la stratégie des systèmes d’information de santé (DSSIS) santé (PGSSI-S)
  • 2. 2Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
  • 3. Enjeux de la PGSSI-S Assurer la sécurité des patients, et pas seulement la protection de la confidentialité des données et du secret professionnel Créer un espace de confiance permettant de susciter 3Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Créer un espace de confiance permettant de susciter l’adhésion (et l’usage des SI) des professionnels de santé, des patients, du grand public Favoriser la prise en compte de la SSI dans l’offre industrielle de SI de santé
  • 4. Objectifs de la PGSSI-S Définir les niveaux d’exigence, les règles et les moyens juridiques, organisationnels, techniques et humains nécessaires pour garantir la sécurité de l’information dans les secteurs sanitaire et médico-social Au bénéfice des professionnels, des établissements et des 4Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Au bénéfice des professionnels, des établissements et des patients : • Établissements et professionnels, quels que soient les modes d’organisation et les lieux d’exercice • Toutes les applications assurant le traitement de données de santé directement ou indirectement nominatives, voire anonymisées • Domaine sanitaire et médico-social
  • 5. Place de la PGSSI-S Politique sectorielle applicable à tous les SI assurant le traitement de données de santé des secteurs sanitaire et médico-social Complète les politiques de l’Etat avec lesquelles elle est en 5Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé cohérence : • Référentiel général de sécurité (RGS) • Tous les SI permettant des échanges d’informations entre administrations ou avec les citoyens • Politique de sécurité des SI de l’Etat (PSSIE) • Tous les SI des administrations de l’Etat • Politique ministérielle de sécurité des SI (PMSSI) • Cadre général régissant la mise en œuvre de la sécurité des SI pour l’ensemble du périmètre des ministères chargés des affaires sociales
  • 6. Démarche de construction de la PGSSI-S (1/4) Commande du SG des ministères sociaux en septembre 2011 Lancement des travaux et premier comité de pilotage en mars 2012 : • MOA stratégique = DSSIS - MOA opérationnelle = ASIP Santé Une démarche pragmatique, volontariste et collective : • Une revue systématique du cadre juridique et technique, une prise en 6Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé • Une revue systématique du cadre juridique et technique, une prise en compte de l’existant : PMSSI, PSSIE, RGS, recommandations de l’ANSSI… • La prise en compte de la variété des contextes d’exercice professionnel • Une action d’amélioration continue des pratiques, une progression par paliers, des exigences réalistes • Participation de tous les acteurs concernés : l’Etat et ses agences, la CNIL, les professionnels des secteurs santé et médico-social, les usagers du système de santé, les industriels, l’assurance maladie
  • 7. Un comité de pilotage : • Composition : directions d’administration centrale du ministère, ANSSI, CNAMTS, CNIL, CNSA, HFDS • Fonction : – Pilotage du projet PGSSI-S – Décision de mise en concertation publique des documents – Validation de la prise en compte des commentaires issus de la concertation Démarche de construction de la PGSSI-S (2/4) 7 – Validation de la prise en compte des commentaires issus de la concertation Des groupes de travail thématiques : • Composition : institutionnels, ordres et associations de professionnels de santé, RSSI d'établissement de soin, organisations représentatives d'industriels du secteur • Fonction : – Contribution à l’élaboration des documents – Validation des versions à proposer au COPIL pour mise en concertation Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
  • 8. Un comité de concertation : • Composition : représentants des professionnels et des établissements de santé, des patients, des industriels du secteur • Fonction : – Lieu d’échange sur la démarche et sur les éléments constitutifs de la PGSSI-S Démarche de construction de la PGSSI-S (3/4) 8 – Alimentation en participants des GT – Participation à la diffusion et à la promotion des documents validés Une mise en concertation publique sur le site de l’ASIP Santé http://esante.gouv.fr/pgssi-s/espace-concertation Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
  • 9. Démarche de construction de la PGSSI-S (4/4) Une publication sur le site de l’ASIP Santé http://esante.gouv.fr/pgssi-s/presentation Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé 9
  • 10. Le corpus documentaire à ce jour Principes fondateurs de la PGSSI-S Identification Authentification Guide pratique pour Bibliographie Documents chapeau Mémento de sécurité Guide pratique pour Guides organisationnels Référentiels techniques Guides pratiques Guides juridiques Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé des acteurs de santé Authentification des acteurs de santé Imputabilité pratique pour les dispositifs connectés … Documentscorps Identification des patients Authentification des patients sécurité informatique en exercice libéral pratique pour la mise en place d’un accès Wifi Règles pour les interventions à distance Guide pratique pour la destruction de données Règles de sauvegarde des SI de santé Règles pour la mise en place d’un accès tiers Plan de continuité informatique Publié En concer- tation Guide d’élaboration et de mise en œuvre de PSSI En projet 10 Gestion des événements sécurité Mécanismes de protection de l’intégrité des données stockées Gestion des habilitations d’accès
  • 11. Les travaux en cours et à venir (1/2) Mettre en œuvre l’article 25 du projet de loi de modernisation de notre système de santé : • Après l’article L. 1110-4 du code de la santé publique, il est inséré un article L. 1110-4-1 ainsi rédigé : « Art. L. 1110-4-1. - Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel et leur protection, les professionnels de santé, les établissements et services de santé, les 11Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé professionnels de santé, les établissements et services de santé, les hébergeurs de données de santé à caractère personnel et tout autre organisme participant à la prévention, aux soins ou au suivi médico- social et social utilisent, pour leur traitement, leur conservation sur support informatique et leur transmission par voie électronique, des systèmes d’information conformes aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public mentionné à l’article L. 1111-24. Ces référentiels sont approuvés par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés. »
  • 12. Mettre en œuvre le nouvel article 27 quater du projet de loi de modernisation de notre système de santé : • Après l’article L. 1111-8-1 du code de la santé publique, il est inséré un article L. 1111-8-2 ainsi rédigé : « Art. L. 1111-8-2. - Les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins Les travaux en cours et à venir (2/2) services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l’agence régionale de santé aux autorités compétentes de l’État. « Un décret définit les catégories d’incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information. » 12Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
  • 13. Focus sur le guide d’élaboration d’une PSSI Objectif du guide • Le guide a pour objectif de permettre le développement d’une Politique de Sécurité du Système d’Information (PSSI) par un établissement de santé qui n’a pas d’approche sécurité du SI formalisée 13Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé formalisée • C’est un guide de rédaction de PSSI et de suivi de sa mise en œuvre (vs. méthode d’analyse de risques): • Pas d’analyse de risque spécifique : PSSI basée sur analyse de risque « modèle» • Une PSSI « modèle » (canevas PSSI) à reprendre telle quelle ou à adapter
  • 14. Focus sur le guide d’élaboration d’une PSSI Contenu • Afin de faciliter son utilisation, le guide est constitué de 3 documents distincts et 3 documents annexes : Document Cible Contenu Guide PSSI Tout public impliqué dans la sécurisation du SI Guide de mise en place Canevas PSSI Personnels en charge de la rédaction de la PSSI et Modèle directement utilisable 14Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Canevas PSSI Personnels en charge de la rédaction de la PSSI et personnels en charge de l’application des règles Modèle directement utilisable Plan d’action SSI Personnels en charge du suivi de l’application des règles Modèle directement utilisable Annexe Cible Contenu Modèle de charte sécurité pour personnel IT Personnels en charge de la rédaction de la PSSI Exemple adaptable Modèle de charte d’usage Personnels en charge de la rédaction de la PSSI Exemple adaptable Couverture PSSIE Personnels en charge de la conformité à la PSSIE (si applicable) Liste de règles du canevas permettant de mettre en œuvre les objectifs de la PSSIE
  • 15. Focus sur le guide d’élaboration d’une PSSI Guide PSSI • Le guide PSSI explique la logique d’élaboration d’une PSSI et la démarche d’utilisation du canevas PSSI pour rédiger la PSSI d’une structure et du plan d’action SSI pour suivre la mise en œuvre de la PSSI Canevas PSSI • Le canevas PSSI est un modèle de PSSI qui peut être directement repris comme une PSSI de structure avec d’éventuelles mises à jour marginales pour adaptation au contexte de l’établissement 15Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé pour adaptation au contexte de l’établissement • Les règles contribuant à l’atteinte des prérequis hôpital numérique et/ou aux objectifs de la PSSIE sont signalées avec identification des prérequis et des objectifs concernés via des cartouches spécifiques • Les référentiels et guides pratiques de la PGSSI-S qui permettent d’approfondir les règles du canevas PSSI sont signalés tout au long du canevas Plan d’action SSI • Le plan d’action PSSI est un outil permettant le suivi détaillé de la mise en œuvre des règles identifiées dans le canevas. Il intègre le suivi des coûts
  • 16. Autre exemple de document PGSSI-S Règles pour les interventions à distance sur les systèmes d’information de santé • Règles de sécurité pouvant être utilisées directement dans les documents contractuels encadrant les interventions Règles relatives à la sécurité de la prestation fournie Règles relatives à la sécurité de l’environnement du fournisseur Règles relatives à la sécurité des échanges et des accès 16Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Cahier des charges - Exigences de sécurité Contrat - Clauses générales & particulières de sécurité Plan d’assurance sécurité - Dispositions de sécurité du fournisseur Convention de service - Modalités pratiques de réalisation sécurisée de la prestation Dispositions techniques de sécurité - Mécanismes de protection des échanges et des accèsDocuments contractuels fournie des échanges et des accès Volet organisationnelDescriptionEngagement