Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
Ce questionnaire sécurité est basé sur l'ISO 27002, cette norme définit un code de bonne pratique pour la gestion de la sécurité de
l'information.
Cette norme définit les mesures qu'il convient de mettre en place pour maitriser les risques pesant sur un système d'information.
La norme ISO 27002 étant de portée générale, le questionnaire a été complété en prenant en compte des documents de référence
spécifiques au secteur santé :
* l'ISO 27799, complément de l'ISO 27002 relatif à la santé
* le décret "confidentialité" pour la partie concernant l'obligation d'utilisation de la carte à puce pour l'accès aux informations de
santé et leur transmission par voie électronique,
* le décret "hébergement" pour la partie concernant les exigences opérationnelles, les exigences concernant la démarche
d'agrément n'ont pas été prises en compte dans le questionnaire. L'objectif est de mesurer si le projet a pris en compte ces
exigences opérationnelles en anticipation d'une démarche d'agrément, ou si d'autres mesures particulières ont été prises.
Le squelette de ce questionnaire est l'ISO 27002. Il respecte la répartition des mesures de sécurité sur les 11 thèmes de l'ISO
27002.
Le questionnaire exhaustif ISO 27002 étant très conséquent, seuls ont été retenus les sous-thèmes particulièrement significatifs
dans le contexte des projets concernés. Certaines problématiques communes à plusieurs sous-thèmes ont été regroupées.
Toutes les exigences critiques des référentiels cités précédemment ont été insérées dans les sous-thèmes du questionnaire, ces
exigences sont accessibles dans le questionnaire en démasquant les lignes marquées en colonne 1 par un « + » ou un « - ».
L'ISO 27002 est un guide de bonnes pratiques international, les termes utilisés sont par nature génériques. On précise ici la
définition de certains termes ramenés au contexte des projets.
Le terme "organisme" désigne dans notre cas toute la structure du projet et le système d'information lié au projet.
Le terme "bien" désigne l'ensemble du système mis en œuvre et les informations traitées
Le terme "tiers" désigne l'ensemble des utilisateurs finaux ainsi que les sous-traitants du projet.
10917746.xls - Questionnaire 2/225
Sous-
N° thème
Thème N° Sous thème N° article
Article Exigence Questions à poser Constat
thème
5 POLITIQUE DE SECURITE
Objectif : Apporter à la sécurité de l'information une orientation et
5.1 Politique de sécurité de l'information un soutien de la part de la direction, conformément aux exigences
métier et aux lois et règlements en vigueur
1 5.1.1 Document de politique de sécurité de l'information
Mesure : Un document de politique de sécurité de l'information doit L'organisation et la gestion de la sécurité sont-elles formalisées
être approuvé par la direction , puis publié et diffusé auprès de dans un document chapeau couvrant l'ensemble du domaine pour
l'ensemble des salariés et des tiers concernés. le projet ? (PSSI)
Une démarche de certification ISO 27001 a-t-elle été prévue pour
le projet?
Iso 27799 : Les organismes traitant des informations de santé, y
compris des informations personnelles de santé, doivent posséder
une politique formelle de la sécurité de l'information approuvée par
la direction, publiée, puis communiquée à l'ensemble des employés
ainsi qu'aux tiers concernés
6 ORGANISATION DE LA SECURITE DE L'INFORMATION
Objectif : Gérer la sécurité de l'information au sein de l'organisme
6.1 Organisation interne
2 6.1.1 Engagement de la direction vis-à-vis de la sécurité de l’information
Mesure : La direction soutient activement la politique de sécurité au Quelle a été votre approche du management de la sécurité dans le
sein de l’organisme au moyen de directives claires, d’un cadre de votre projet ?
engagement franc, d’attribution de fonctions explicites et d’une Avez-vous appliqué une démarche méthodologique d'analyse et de
reconnaissance des responsabilités liées à la sécurité de gestion des risques SSI ?
l’information.
Mesure : Les droits d'accès de l'ensemble des salarié, contractants Avez-vous formalisé des procédures de retrait des droits d'accès
et utilisateurs tiers à l'information et aux moyens de traitement de des utilisateurs ainsi que des sous-traitants?
l'information doivent être supprimés à la fin de leur période (Ces procédures doivent être applicables aux sous-traitants s'ils
d'emploi, ou modifiés en cas de modification du contrat ou de gèrent les droits d'accès).
l'accord. Le personnel temporaire a-t-il des droits différents des droits des
autres utilisateurs?
La révocation des droits est-elle prise en compte dès la création
des comptes? (exemple : la date de fin de contrat est prise en
compte dès l'attribution des droits et le compte est supprimé à
cette date)
Les comptes sont-ils valables pendant une durée limitée? (pour
une personne en poste fixe, le compte doit-il être actualisé tous les
2 ans par exemple?)
Mesure : Les rapports d'audit, qui enregistrent les activités des Une politique de traçabilité a-t-elle été élaborée au sein du projet?
utilisateurs, les exceptions et les événements liés à la sécurité Si oui, fait-elle une différence entre les traces techniques et les
doivent être produits et conservés pendant une période traces métier?
préalablement définie afin de faciliter les investigations ultérieures
et la surveillance du contrôle d'accès. Une étude a-t-elle été menée afin de déterminer quelles étaient les
traces à conserver?
Quelles sont les mesures de protection mises en place pour
protéger les traces en intégrité?
Quelles sont les mesures de protection mises en place pour
protéger les traces en confidentialité?
Quelle est la durée prévue pour la conservation des traces?
Quels sont les moyens mis en place afin de s'assurer de la non
répudiation d'une action?
ISO 27799 : Il convient que les systèmes d'information de santé
traitant des informations personnelles de santé créent un compte
rendu d'audit sécurisé à chaque fois qu'un utilisateur accède, crée,
met à jour ou archive des informations personnelles de santé par le
biais du système.
ISO 27799 : Il convient que le journal d'audit identifie de manière
univoque l'utilisateur, le sujet des données (soit le sujet de soins),
qu'il identifie la fonction exercée par l'utilisateur (création d'un
compte rendu, accès et mise à jour entre autres) et qu'il identifie
l'heure et la date auxquelles la fonction a été effectuée.
ISO 27799 : Lorsque les informations personnelles de santé sont
mises à jour, il convient qu'un compte rendu de l'ancien contenu
des données et le compte rendu de l'audit associé (soit l'identité de
la personne ayant entré les données et la date) soit effectué.
ISO 27799 : Il convient que les systèmes de messagerie utilisés
pour transmettre des messages contenant des informations
personnelles de santé gardent un journal des transmissions de
messages (il convient qu'un tel journal contienne l'heure, la date,
l'origine et la destination du message, mais pas son contenu).
ISO 27799 : Il convient que l'organisme évalue et détermine avec
précaution la période de conservation de ces journaux d'audit, avec
une référence particulière aux normes professionnelles cliniques et
aux obligations légales, dans le but de permettre la réalisation
d'enquêtes lorsque nécessaire et de fournir des preuves de
mauvais usage si nécessaire.
Quels sont les moyens mis en œuvre pour gérer les autorisations
d'accès au système ?
42 11.5.5 Déconnexion automatique des sessions inactives
Mesure : Les sessions inactives doivent être déconnectées après Est-il prévu que les sessions inactives aient une durée limitée?
une période d’inactivité définie.
Objectif : Empêcher les accès non autorisés aux informations
11.6 Contrôle d'accès aux applications et à l'information
stockées dans les applications.
43 11.6.1 Restriction d'accès à l'information
Mesure : L’accès aux informations et aux fonctions applicatives doit Les professionnels de santé utilisent-ils la CPS comme moyen
être restreint pour les utilisateurs et le personnel chargé de d'authentification?
l’assistance technique, conformément à la politique de contrôle Avez-vous mené une étude sur la gestion des identifiants au sein
d’accès. du projet? A partir de quoi sont-ils créés? Sont-ils facilement
prédictibles?
Est-il prévu que les patients puissent accéder à leur dossiers?
Si oui, quels sont les moyens mis en place pour que les patients
puissent accéder à leur dossier? (serveur web, client lourd, etc.)
Quels sont les principes d'identification et d'authentification des
patients ?
12 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES D'INFORMATION
Objectif : Empêcher toute erreur, perte, modification non autorisée
12.2 Bon fonctionnement des applications ou tout mauvais usage des informations dans les applications.
Mesure : Les données entrées dans les applications doivent être Si des éléments sont rapatriés depuis l'extérieur, quelles sont les
validées afin de vérifier si elles sont correctes et appropriées. mesures permettant de garantir l'authenticité et de l'intégrité des
informations?
45 12.2.4 Validation des données de sortie
Mesure : Les données de sortie d’une application doivent être Quelles mesures permettraient à un utilisateur de vérifier
validées pour vérifier que le traitement des informations stockées l'authenticité et l'intégrité des informations mises à disposition?
est correct et adapté aux circonstances.
ISO 27799 : Les systèmes d'information de santé traitant des
informations personnelles de santé doivent fournir des informations
personnelles d'identification pour aider les professionnels de la
santé à confirmer que le dossier médical électronique correspond
bien au sujet de soins sous traitement.
ISO 27799 : Il convient que les systèmes d'information de santé
donnent la possibilité de vérifier que les impressions électroniques
sont complètes ((par exemple «page 3 de 5»)
Objectif : Protéger la confidentialité, l’authenticité ou l’intégrité de
12.3 Mesures cryptographiques
l’information par des moyens cryptographiques
46 12.3.1 Politique d'utilisation des mesures cryptographiques
Mesure : Une politique d’utilisation des mesures cryptographiques Avez-vous mené une réflexion sur les moyens cryptographiques à
doit être élaborée et mise en œuvre en vue de protéger mettre en œuvre? Existe-il une politique de gestion de clés
l’information (responsabilités, procédures)?
Objectif : Garantir la sécurité du logiciel et des informations
12.5 Sécurité en matière de développement et d'assistance technique
d’application.
47 12.5.1 Procédure de contrôle des modifications
Mesure : La mise en œuvre des modifications doit être contrôlée Lorsque des modification de code ou de configuration doivent avoir
par le biais de procédures formelles. lieu, des procédures formelles sont-elles appliquées afin d'en
contrôler le bon déroulement?
48 12.5.4 Fuite d'informations
Mesure : Toute possibilité de fuite d’informations doit être Avez-vous pris en compte les risques de vol / fuite d'information ?
empêchée. Si oui, quels sont les moyens mis en œuvre?
13 GESTION DES INCIDENTS LIES A LA SECURITE DE L'INFORMATION
Objectif : Garantir que le mode de notification des événements et
13.1 Signalement des événements et des failles liés à la sécurité de l'information failles liés à la sécurité de l’information permette la mise en œuvre
d’une action corrective, dans les meilleurs délais.
49 13.1.1 Signalement des événements liés à la sécurité de l'information
Mesure : Les événements liés à la sécurité de l’information doivent Existe-t-il une cellule de veille d'alerte de sécurité? Si oui, à qui les
être signalés, dans les meilleurs délais, par les voies hiérarchiques rapport de veille sont-ils destinés?
appropriées.
En cas d'incident de sécurité, des fiches d'incident sont-elles
créées? Si oui, à qui sont destinées ces fiches?
ISO 27799 : il convient que les organismes manipulant des
informations personnelles de santé établissent les responsabilités
et les procédures en termes de gestion des incidents en vue de :
a - garantir une réponse rapide, efficace et ordonnée aux incidents
de sécurité,
b - garantir l'existence d'une communication efficace hiérarchisée
en matière d'incidents de telle sorte que les plans de gestion des
crises et de continuité de l'activité peuvent être invoqués en des
circonstances appropriées et au bon moment,
c - regrouper et préserver les données relatives aux incidents tels
que les traces d'audit, les journaux d'audit et autres preuves.
Mesure : Les utilisateurs doivent être dissuadés de toute utilisation Un message de mise en garde indiquant un accès à des données
de moyens de traitement de l’information à des fins illégales. sensibles est-il montré à l'écran de l'ordinateur avant de se
connecter ? L'utilisateur doit-il accepter cette mise en garde avant
de se connecter ?
ISO 27799 : Si possible, il convient que le consentement des sujets
de soins vis-à-vis de leurs informations soit obtenu avant que toute
information personnelle de santé ne soit envoyée électroniquement,
faxée ou communiquée lors d'une conversation téléphonique ou
divulguée d'une quelconque façon à des personnes externes à
l'organisme de santé.
ISO 27799 :
Avant qu'une analyse génétique soit effectuée, la personne
concernée devrait être informée des objectifs de l'analyse et de
l'éventualité de découvertes inattendues. La personne soumise à
une analyse génétique devrait être informée des découvertes
inattendues si les conditions suivantes ont été remplies:
a. le droit interne n'interdit pas une telle information
b. la personne a fait la demande explicite de cette information
c. l'information n'est pas susceptible de porter une atteinte grave:
i. à la santé de la personne
ii. à un parent consanguin ou utérin de la personne, à un membre
de sa famille sociale, ou à une personne ayant un lien direct avec la
lignée génétique de la personne, à moins que le droit interne ne
prévoie d'autres garanties appropriées
d. Sous réserve de l'alinéa a, la personne devrait également être
informée si ces découvertes revêtent
pour elle une importance thérapeutique ou préventive directe.