Académique Documents
Professionnel Documents
Culture Documents
Questionnaire Gestion de La Securite ISO 27002
Questionnaire Gestion de La Securite ISO 27002
xls - Prambule
Ce questionnaire scurit est bas sur l'ISO 27002, cette norme dfinit un code de bonne pratique pour la gestion de la scurit de
l'information.
Cette norme dfinit les mesures qu'il convient de mettre en place pour maitriser les risques pesant sur un systme d'information.
La norme ISO 27002 tant de porte gnrale, le questionnaire a t complt en prenant en compte des documents de rfrence
spcifiques au secteur sant :
* l'ISO 27799, complment de l'ISO 27002 relatif la sant
* le dcret "confidentialit" pour la partie concernant l'obligation d'utilisation de la carte puce pour l'accs aux informations de
sant et leur transmission par voie lectronique,
* le dcret "hbergement" pour la partie concernant les exigences oprationnelles, les exigences concernant la dmarche
d'agrment n'ont pas t prises en compte dans le questionnaire. L'objectif est de mesurer si le projet a pris en compte ces
exigences oprationnelles en anticipation d'une dmarche d'agrment, ou si d'autres mesures particulires ont t prises.
Le squelette de ce questionnaire est l'ISO 27002. Il respecte la rpartition des mesures de scurit sur les 11 thmes de l'ISO
27002.
Le questionnaire exhaustif ISO 27002 tant trs consquent, seuls ont t retenus les sous-thmes particulirement significatifs
dans le contexte des projets concerns. Certaines problmatiques communes plusieurs sous-thmes ont t regroupes.
Toutes les exigences critiques des rfrentiels cits prcdemment ont t insres dans les sous-thmes du questionnaire, ces
exigences sont accessibles dans le questionnaire en dmasquant les lignes marques en colonne 1 par un + ou un - .
L'ISO 27002 est un guide de bonnes pratiques international, les termes utiliss sont par nature gnriques. On prcise ici la
dfinition de certains termes ramens au contexte des projets.
Le terme "organisme" dsigne dans notre cas toute la structure du projet et le systme d'information li au projet.
Le terme "bien" dsigne l'ensemble du systme mis en uvre et les informations traites
Le terme "tiers" dsigne l'ensemble des utilisateurs finaux ainsi que les sous-traitants du projet.
1/225
10917746.xls - Questionnaire
SousN thme
Thme N Sous thme N article
Article
thme
Exigence
Questions poser
5 POLITIQUE DE SECURITE
5.1
1
Organisation interne
6.1.1
6.1.2
6.1.5
2/225
Constat
10917746.xls - Questionnaire
Iso 27799 : les organismes traitant des informations personnelles
de sant doivent tablir un accord de confidentialit qui prcise la
nature confidentielle de cette information. L'accord doit tre
applicable tout le personnel ayant accs aux informations de
sant.
Il convient que l'accord de confidentialit comprenne une rfrence
aux sanctions encourues en cas d'identification d'une dfaillance
dans la politique de scurit de l'information.
Dcret hbergement : Une prsentation de la politique de
confidentialit et de scurit, prvue au 2 de larticle R. 1111-9,
doit tre fournie lappui de la demande dagrment conformment
au 6o de larticle R. 1111-12. Elle comporte notamment les
prcisions suivantes :
1 - En matire de respect des droits des personnes concernes
par les donnes hberges
2 - En matire de scurit de laccs aux informations
3 - En matire de prennit des donnes hberges
4 - En matire dorganisation et de procdures de contrle interne
en vue dassurer la scurit des traitements et des donnes
5
6.1.6
6.1.8
6.2
Tierces parties
6.2.1
6.2.3
3/225
10917746.xls - Questionnaire
Dcret Hbergement : L'hbergeur des donnes de sant doit se
soumettre une demande d'agrment.
Dcret Hbergement : L'hbergeur doit identifier les personnes
en charge de lactivit dhbergement, dont un mdecin, en
prcisant le lien
contractuel qui les lie lhbergeur.
Dcret Hbergement : Les modles de contrats devant tre joints
la demande dagrment contiennent obligatoirement au moins les
9 clauses (description, modalits, contrat, etc.) dfinis l'article R1111-13
Dcret Hbergement : Lagrment est dlivr aux hbergeurs de
donnes de sant caractre personnel pour une dure de trois
ans.
La demande de renouvellement doit tre dpose au plus tard six
mois avant le terme de la priode dagrment.
Dcret Hbergement : En cas de divulgation non autorise de
donnes de sant caractre personnel ou de manquements
graves de lhbergeur ses obligations mettant notamment en
cause lintgrit, la scurit et la prennit des donnes hberges,
le ministre charg de la sant peut, titre conservatoire, dans
lattente quil soit statu dfinitivement sur le projet de retrait
dagrment, prononcer la suspension de lactivit dhbergement.
Dcret Hbergement : Le directeur de ltablissement veille ce
que toutes dispositions soient prises pour assurer la garde et la
confidentialit des informations ainsi conserves ou hberges.
Dcret Hbergement : Le dossier mdical est conserv pendant
une dure de vingt ans compter de la date du dernier sjour de
son titulaire dans ltablissement ou de la dernire consultation
externe en son sein
Dcret Hbergement : A lissue du dlai de conservation
mentionn lalina prcdent et aprs, le cas chant, restitution
ltablissement de sant des donnes ayant fait lobjet dun
hbergement en application de larticle L. 1111-8, le dossier
mdical peut tre limin. La dcision dlimination est prise par le
directeur de ltablissement aprs avis du mdecin responsable de
linformation mdicale
7 GESTION DES BIENS
7.1
9
7.1.3
7.2
10
4/225
10917746.xls - Questionnaire
Iso 27799 : Toutes les informations de sant ne sont pas
confidentielles et tous les systmes d'information de sant ne
donnent pas aux utilisateurs l'accs aux informations personnelles
de sant. Les utilisateurs des systmes d'informations de sant
doivent savoir lorsque les donnes qu'ils sont sur le point de
consulter contiennent des informations personnelles de sant.
Iso 27799 : Il convient que les copies en sortie soient tiquetes
comme confidentielles lorsqu'elles contiennent des informations de
sant.
Iso 27799 :pour des raisons pratiques il
serait parfois ncessaire d'identifier les dossiers de sant des sujets
de soins exposs un risque lev
d'accs non autoris. Parmi ces individus se trouvent les employs
de l'organisme lui-mme, les VIP...
ISO 27799 : il est important de prendre en compte l'attention
particulire qui doit tre porte aux sujets de soins ne souhaitant
pas que leurs informations personnelles de sant soient
accessibles aux employs mdicaux lorsque ceux-ci sont
galement des voisins, des collgues
ou des proches. Ces problmes constituent souvent une grande
partie des plaintes de la part de personnes craignant pour la
confidentialit de leurs informations personnelles de sant.
Souvent, les membres du personnel ne souhaitent pas tre en
contact, s'ils n'en n'ont pas besoin, avec les informations
concernant leurs amis, leurs proches ou leurs voisins.
Iso 27799 : Il convient que toutes les informations personnelles de
sant soient unanimement classes confidentielles
Il convient que les organismes manipulant des informations
personnelles de sant classent ces donnes comme confidentielles
et ce, unanimement.
Iso 27799 : La classification en termes de disponibilit, intgrit et
importance doit galement tre applique aux processus, au
matriel informatique, logiciel, lieux et personnel
Iso 27799 : Il convient que tous les systmes d'informations
personnelles de sant traitant des informations personnelles de
sant informent l'ensemble des utilisateurs de la confidentialit des
informations personnelles de sant accessibles depuis le systme
(lors de son dmarrage ou lors de la connexion au systme)
8 SECURITE LIEE AUX RESSOURCES HUMAINES
8.1
11
12
Avant le recrutement
8.1.2
8.3.3
Slection
Mesure : Des vrifications des informations concernant tous les
candidats (postulants, contractants ou utilisateurs tiers) doivent tre
ralises conformment aux lois, aux rglements et l'tique. Elles
doivent tre proportionnelles aux exigences mtier, la
classification des informations accessibles et aux risques identifis.
ISO 27799 : Il convient que tous les organismes dont les employs,
les sous-traitants ou les bnvoles en contact (ou en futur contact)
avec des informations personnelles de sant, vrifient, au
minimum, l'identit, l'adresse actuelle et les emplois prcdents de
ces employs, sous-traitants
et bnvoles lorsque ceux-ci postulent
ISO 27799 : Ds que possible, il convient que des vrifications du
casier judiciaire soient entreprises.
Retrait des droits d'accs
Objectifs :
- Garantir que les salaris, contractants et utilisateurs tiers
connaissent leurs responsabilits et quils conviennent pour les
fonctions qui leur sont attribues
- Rduire le risque de vol, de fraude ou de mauvais usage des
quipements.
Des critres spcifiques par rapport la sensibilit des missions
ont-ils t pris en compte lors du recrutement d'une personne pour
le projet?
Sont-ils spcifis dans les fiches de postes?
(l'ISO 27799 prcise que des vrifications des casiers judiciaires
sont possibles)
5/225
10917746.xls - Questionnaire
Mesure : Les droits d'accs de l'ensemble des salari, contractants
et utilisateurs tiers l'information et aux moyens de traitement de
l'information doivent tre supprims la fin de leur priode
d'emploi, ou modifis en cas de modification du contrat ou de
l'accord.
Zones scurises
9.1.1
Scurit du matriel
9.2.1
6/225
10917746.xls - Questionnaire
15
16
17
18
9.2.2
9.2.4
9.2.5
9.2.6
19
20
21
7/225
10917746.xls - Questionnaire
Mesure :
- Les critres d'acceptation doivent tre fixs pour les nouveaux
systmes d'information, les nouvelles versions et les mises
niveau,
- Des tests adapts au systme doivent tre raliss au moment du
dveloppement et pralablement leur acceptation
22
10.5 Sauvegardes
23
25
8/225
10917746.xls - Questionnaire
10.8 Echanges des informations
26
28
29
10.10 Surveillance
10.10.1 Rapport d'audit
9/225
10917746.xls - Questionnaire
30
10/225
10917746.xls - Questionnaire
ISO 27799 : Il convient que les systmes contenant des
informations personnelles de sant soient pourvus d'installations
permettant l'analyse des journaux et des traces d'audit qui :
a - permettent l'identification de tous les utilisateurs systme qui
ont accd ou modifi le(s) dossier(s) d'un sujet de soins donn sur
une priode de temps donne,
b - permettent l'identification de tous les sujets de soins dont les
dossiers ont t visits ou modifis par un utilisateur systme
donn sur une priode de temps donne.
10.10.6 Synchronisation des horloges
Mesure : Les horloges des diffrents systmes de traitement de
l'information d'un organisme ou d'un domaine de scurit doivent
tre synchronises l'aide d'une source de temps prcise et
pralablement dfinie.
ISO 27799 : Les systmes d'informations de sant lis des
activits de soins partags pour lesquelles le facteur temps est
essentiel doivent fournir des services de synchronisation du temps
afin d'aider la recherche et la reconstitution de l'emploi du
temps de certaines activits si besoin est.
31
S'il y a plusieurs serveurs au sein de l'architecture du projet, sontils tous synchroniss sur la mme base de temps? (tous les
serveurs doivent tre la mme heure pour des contraintes de
cohrence et d'exploitation)
11 CONTRLE D'ACCES
32
11/225
10917746.xls - Questionnaire
33
12/225
10917746.xls - Questionnaire
35
36
38
39
40
13/225
10917746.xls - Questionnaire
Le projet fait-il intervenir un hbergeur externe?
Dcret Hbergement :
Si oui, existe-t-il un contrat particulier pour l'hbergeur?
Toute personne physique ou morale souhaitant assurer
Le serveur d'hbergement est-il ddi aux donnes mdicales?
lhbergement de donnes de sant caractre personnel,
Existe-t-il une politique de confidentialit avec l'hbergeur?
mentionn larticle L. 1111-8, et bnficier dun agrment ce
Connat-il toutes les contraintes le liant des donnes mdicales?
titre doit remplir les conditions suivantes :
1 - Offrir toutes les garanties pour lexercice de cette activit,
notamment par le recours des personnels qualifis en matire de
scurit et darchivage des donnes et par la mise en oeuvre de
solutions techniques, dune organisation et de procdures de
contrle assurant la scurit, la protection, la conservation et la
restitution des donnes confies, ainsi quun usage conforme la
loi ;
2 - Dfinir et mettre en oeuvre une politique de confidentialit et de
scurit, destine notamment assurer le respect des exigences
de confidentialit et de secret prvues par les articles L. 1110-4 et
L. 1111-7, la protection contre les accs non autoriss ainsi que la
prennit des donnes, et dont la description doit tre jointe au
dossier dagrment dans les conditions fixes par larticle R. 111114 ;
3 - Le cas chant, identifier son reprsentant sur le territoire
national au sens de larticle 5 de la loi du 6 janvier 1978 ;
4 - Individualiser dans son organisation lactivit dhbergement et
les moyens qui lui sont ddis, ainsi que la gestion des stocks et
des flux de donnes ;
5 - Dfinir et mettre en place des dispositifs dinformation sur
lactivit dhbergement destination des personnes lorigine du
dpt, notamment en cas de modification substantielle des
conditions de ralisation de cette activit ;
6 - Identifier les personnes en charge de lactivit dhbergement,
dont un mdecin, en prcisant le lien contractuel qui les lie
lhbergeur
11.5 Contrle d'accs au systme d'exploitation
41
42
43
Est-il prvu que les sessions inactives aient une dure limite?
Objectif : Empcher les accs non autoriss aux informations
stockes dans les applications.
44
14/225
10917746.xls - Questionnaire
Mesure : Les donnes entres dans les applications doivent tre
valides afin de vrifier si elles sont correctes et appropries.
45
46
47
48
49
15/225
10917746.xls - Questionnaire
50
51
52
53
54
Quels sont les moyens mis en uvre pour garantir que les
obligations lgales sont bien prises en compte au sein du projet?
16/225
10917746.xls - Questionnaire
Mesure : Les utilisateurs doivent tre dissuads de toute utilisation Un message de mise en garde indiquant un accs des donnes
de moyens de traitement de linformation des fins illgales.
sensibles est-il montr l'cran de l'ordinateur avant de se
connecter ? L'utilisateur doit-il accepter cette mise en garde avant
de se connecter ?
ISO 27799 : Si possible, il convient que le consentement des sujets
de soins vis--vis de leurs informations soit obtenu avant que toute
information personnelle de sant ne soit envoye lectroniquement,
faxe ou communique lors d'une conversation tlphonique ou
divulgue d'une quelconque faon des personnes externes
l'organisme de sant.
ISO 27799 :
Avant qu'une analyse gntique soit effectue, la personne
concerne devrait tre informe des objectifs de l'analyse et de
l'ventualit de dcouvertes inattendues. La personne soumise
une analyse gntique devrait tre informe des dcouvertes
inattendues si les conditions suivantes ont t remplies:
a. le droit interne n'interdit pas une telle information
b. la personne a fait la demande explicite de cette information
c. l'information n'est pas susceptible de porter une atteinte grave:
i. la sant de la personne
ii. un parent consanguin ou utrin de la personne, un membre
de sa famille sociale, ou une personne ayant un lien direct avec la
ligne gntique de la personne, moins que le droit interne ne
prvoie d'autres garanties appropries
d. Sous rserve de l'alina a, la personne devrait galement tre
informe si ces dcouvertes revtent
pour elle une importance thrapeutique ou prventive directe.
15.2 Conformit avec les politiques et normes de scurit et conformit technique
55
17/225
10917746.xls - Questionnaire
18/225
10917746.xls - Questionnaire
19/225
10917746.xls - Questionnaire
20/225
10917746.xls - Questionnaire
21/225
10917746.xls - Questionnaire
22/225
10917746.xls - Questionnaire
23/225
10917746.xls - Questionnaire
24/225
10917746.xls - Questionnaire
25/225
10917746.xls - Questionnaire
26/225
10917746.xls - Questionnaire
27/225
10917746.xls - Questionnaire
28/225
10917746.xls - Questionnaire
29/225
10917746.xls - Questionnaire
30/225
10917746.xls - Questionnaire
31/225
10917746.xls - Questionnaire
32/225
10917746.xls - Questionnaire
33/225
10917746.xls - Questionnaire
34/225
10917746.xls - Questionnaire
35/225
10917746.xls - Questionnaire
36/225
10917746.xls - Questionnaire
37/225
10917746.xls - Questionnaire
38/225
10917746.xls - Questionnaire
39/225
10917746.xls - Questionnaire
40/225
10917746.xls - Questionnaire
41/225
10917746.xls - Questionnaire
42/225
10917746.xls - Questionnaire
43/225
10917746.xls - Questionnaire
44/225
10917746.xls - Questionnaire
45/225
10917746.xls - Questionnaire
46/225
10917746.xls - Questionnaire
47/225
10917746.xls - Questionnaire
48/225
10917746.xls - Questionnaire
49/225
10917746.xls - Questionnaire
50/225
10917746.xls - Questionnaire
51/225
10917746.xls - Questionnaire
52/225
10917746.xls - Questionnaire
53/225
10917746.xls - Questionnaire
54/225
10917746.xls - Questionnaire
55/225
10917746.xls - Questionnaire
56/225
10917746.xls - Questionnaire
57/225
10917746.xls - Questionnaire
58/225
10917746.xls - Questionnaire
59/225
10917746.xls - Questionnaire
60/225
10917746.xls - Questionnaire
61/225
10917746.xls - Questionnaire
62/225
10917746.xls - Questionnaire
63/225
10917746.xls - Questionnaire
64/225
10917746.xls - Questionnaire
65/225
10917746.xls - Questionnaire
66/225
10917746.xls - Questionnaire
67/225
10917746.xls - Questionnaire
68/225
10917746.xls - Questionnaire
69/225
10917746.xls - Questionnaire
70/225
10917746.xls - Questionnaire
71/225
10917746.xls - Questionnaire
72/225
10917746.xls - Questionnaire
73/225
10917746.xls - Questionnaire
74/225
10917746.xls - Questionnaire
75/225
10917746.xls - Questionnaire
76/225
10917746.xls - Questionnaire
77/225
10917746.xls - Questionnaire
78/225
10917746.xls - Questionnaire
79/225
10917746.xls - Questionnaire
80/225
10917746.xls - Questionnaire
81/225
10917746.xls - Questionnaire
82/225
10917746.xls - Questionnaire
83/225
10917746.xls - Questionnaire
84/225
10917746.xls - Questionnaire
85/225
10917746.xls - Questionnaire
86/225
10917746.xls - Questionnaire
87/225
10917746.xls - Questionnaire
88/225
10917746.xls - Questionnaire
89/225
10917746.xls - Questionnaire
90/225
10917746.xls - Questionnaire
91/225
10917746.xls - Questionnaire
92/225
10917746.xls - Questionnaire
93/225
10917746.xls - Questionnaire
94/225
10917746.xls - Questionnaire
95/225
10917746.xls - Questionnaire
96/225
10917746.xls - Questionnaire
97/225
10917746.xls - Questionnaire
98/225
10917746.xls - Questionnaire
99/225
10917746.xls - Questionnaire
100/225
10917746.xls - Questionnaire
101/225
10917746.xls - Questionnaire
102/225
10917746.xls - Questionnaire
103/225
10917746.xls - Questionnaire
104/225
10917746.xls - Questionnaire
105/225
10917746.xls - Questionnaire
106/225
10917746.xls - Questionnaire
107/225
10917746.xls - Questionnaire
108/225
10917746.xls - Questionnaire
109/225
10917746.xls - Questionnaire
110/225
10917746.xls - Questionnaire
111/225
10917746.xls - Questionnaire
112/225
10917746.xls - Questionnaire
113/225
10917746.xls - Questionnaire
114/225
10917746.xls - Questionnaire
115/225
10917746.xls - Questionnaire
116/225
10917746.xls - Questionnaire
117/225
10917746.xls - Questionnaire
118/225
10917746.xls - Questionnaire
119/225
10917746.xls - Questionnaire
120/225
10917746.xls - Questionnaire
121/225
10917746.xls - Questionnaire
122/225
10917746.xls - Questionnaire
123/225
10917746.xls - Questionnaire
124/225
10917746.xls - Questionnaire
125/225
10917746.xls - Questionnaire
126/225
10917746.xls - Questionnaire
127/225
10917746.xls - Questionnaire
128/225
10917746.xls - Questionnaire
129/225
10917746.xls - Questionnaire
130/225
10917746.xls - Questionnaire
131/225
10917746.xls - Questionnaire
132/225
10917746.xls - Questionnaire
133/225
10917746.xls - Questionnaire
134/225
10917746.xls - Questionnaire
135/225
10917746.xls - Questionnaire
136/225
10917746.xls - Questionnaire
137/225
10917746.xls - Questionnaire
138/225
10917746.xls - Questionnaire
139/225
10917746.xls - Questionnaire
140/225
10917746.xls - Questionnaire
141/225
10917746.xls - Questionnaire
142/225
10917746.xls - Questionnaire
143/225
10917746.xls - Questionnaire
144/225
10917746.xls - Questionnaire
145/225
10917746.xls - Questionnaire
146/225
10917746.xls - Questionnaire
147/225
10917746.xls - Questionnaire
148/225
10917746.xls - Questionnaire
149/225
10917746.xls - Questionnaire
150/225
10917746.xls - Questionnaire
151/225
10917746.xls - Questionnaire
152/225
10917746.xls - Questionnaire
153/225
10917746.xls - Questionnaire
154/225
10917746.xls - Questionnaire
155/225
10917746.xls - Questionnaire
156/225
10917746.xls - Questionnaire
157/225
10917746.xls - Questionnaire
158/225
10917746.xls - Questionnaire
159/225
10917746.xls - Questionnaire
160/225
10917746.xls - Questionnaire
161/225
10917746.xls - Questionnaire
162/225
10917746.xls - Questionnaire
163/225
10917746.xls - Questionnaire
164/225
10917746.xls - Questionnaire
165/225
10917746.xls - Questionnaire
166/225
10917746.xls - Questionnaire
167/225
10917746.xls - Questionnaire
168/225
10917746.xls - Questionnaire
169/225
10917746.xls - Questionnaire
170/225
10917746.xls - Questionnaire
171/225
10917746.xls - Questionnaire
172/225
10917746.xls - Questionnaire
173/225
10917746.xls - Questionnaire
174/225
10917746.xls - Questionnaire
175/225
10917746.xls - Questionnaire
176/225
10917746.xls - Questionnaire
177/225
10917746.xls - Questionnaire
178/225
10917746.xls - Questionnaire
179/225
10917746.xls - Questionnaire
180/225
10917746.xls - Questionnaire
181/225
10917746.xls - Questionnaire
182/225
10917746.xls - Questionnaire
183/225
10917746.xls - Questionnaire
184/225
10917746.xls - Questionnaire
185/225
10917746.xls - Questionnaire
186/225
10917746.xls - Questionnaire
187/225
10917746.xls - Questionnaire
188/225
10917746.xls - Questionnaire
189/225
10917746.xls - Questionnaire
190/225
10917746.xls - Questionnaire
191/225
10917746.xls - Questionnaire
192/225
10917746.xls - Questionnaire
193/225
10917746.xls - Questionnaire
194/225
10917746.xls - Questionnaire
195/225
10917746.xls - Questionnaire
196/225
10917746.xls - Questionnaire
197/225
10917746.xls - Questionnaire
198/225
10917746.xls - Questionnaire
199/225
10917746.xls - Questionnaire
200/225
10917746.xls - Questionnaire
201/225
10917746.xls - Questionnaire
202/225
10917746.xls - Questionnaire
203/225
10917746.xls - Questionnaire
204/225
10917746.xls - Questionnaire
205/225
10917746.xls - Questionnaire
206/225
10917746.xls - Questionnaire
207/225
10917746.xls - Questionnaire
208/225
10917746.xls - Questionnaire
209/225
10917746.xls - Questionnaire
210/225
10917746.xls - Questionnaire
211/225
10917746.xls - Questionnaire
212/225
10917746.xls - Questionnaire
213/225
10917746.xls - Questionnaire
214/225
10917746.xls - Questionnaire
215/225
10917746.xls - Questionnaire
216/225
10917746.xls - Questionnaire
217/225
10917746.xls - Questionnaire
218/225
10917746.xls - Questionnaire
219/225
10917746.xls - Questionnaire
220/225
10917746.xls - Questionnaire
221/225
10917746.xls - Questionnaire
222/225
10917746.xls - Questionnaire
223/225
10917746.xls - Questionnaire
224/225
10917746.xls - Questionnaire
225/225