RAPPEL DU CADRE DE L’AGRÉMENTCONTRAINTES & OBLIGATIONS LÉGALESEXPERTISES SECTORIELLESPASSEPORT POUR L’OBTENTION DE L’AGRÉM...
La procédure d’agrément répond à trois objectifs :               Apporter les garanties d’hébergement de données de santé ...
Le traitement de la donnée de santé à caractère personnel est assujetti à de fortes contraintes :         Déclaration aupr...
Nos offres de conseil et d’assistance à maîtrise d’ouvrage couvrent 11 expertisessectorielles,Nous nous appuyons sur des m...
offre de service proposant un découpage du projet global en 5 phases distinctes.           méthode adaptable à la situatio...
AMO selon 5 phases concomitantes, méthodologiques et planifiées,           Création et développement d’un Système de Manag...
Tout organisme agréé doit mettre en œuvre un contrôle régulier de son activité, et pour cefaire, doit fournir un rapport d...
Notre prestation de reconduction est basée sur :   la reprise et l’analyse de tous les éléments depuis l’année d’obtention...
http://www.actitconseil.fr                    © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr
Prochain SlideShare
Chargement dans…5
×

agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-

1 659 vues

Publié le

Notre méthodologie ''passeport pour l‘obtention de l’agrément'‘ a été conçue à partir d’un socle de référentiel reconnu dans le monde de la sécurité informatique. Elle répond aux exigences de l’ASIP et aux besoins des métiers de la santé (ISO 27799)

Publié dans : Santé & Médecine
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 659
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

agrement hebergement des données de santé-ISO 27799-SMSSI-Ebios-PSSI-

  1. 1. RAPPEL DU CADRE DE L’AGRÉMENTCONTRAINTES & OBLIGATIONS LÉGALESEXPERTISES SECTORIELLESPASSEPORT POUR L’OBTENTION DE L’AGRÉMENT5 PHASES D’ACCOMPAGNEMENTAUDIT ANNUEL DE L’AGRÉMENTRECONDUCTION DE L’AGRÉMENT © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr
  2. 2. La procédure d’agrément répond à trois objectifs : Apporter les garanties d’hébergement de données de santé aux patients par les pouvoirs publics, Faciliter le respect des exigences légales des activités de "promoteur" de systèmes d’information de santé, Valider le savoir faire d’un prestataire de service d’hébergement.L’éditeur de logiciel et son hébergeur (sous-traitant) doivent se mettre aux normes desécurité pour satisfaire aux exigences de confidentialité, disponibilité, intégrité et traçabilitédes données de santé des patients.Les obligations légales de l’hébergeur concernent son organisation et ses moyens techniquespour le dépôt, la conservation et la restitution des données de santé.L’agrément est délivré à un responsable des traitements (éditeurs/CH/CHU) qui peut être sonpropre hébergeur ou fait appel à un hébergeur (sous-traitant).Un candidat dépose une demande sur un seul ou plusieurs types de prestationsd’hébergement (chaque type de prestations correspond à un modèle de contrat distinctdéfinissant le service et les conditions d’hébergement).L’agrément est délivré pour une durée de trois ans. Lhébergeur agrée est dans l’obligation deprésenter sa demande de reconduction 6 mois avant la date d’échéance. © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr
  3. 3. Le traitement de la donnée de santé à caractère personnel est assujetti à de fortes contraintes : Déclaration auprès de la CNIL (Loi informatique et liberté), Obtention de l’agrément ministériel le cas échéant, Plan de réversibilité de la donnée, Conservation de la donnée le cas échéant (15, 20 ans et au delà), Garantie de Disponibilité, Confidentialité, Intégrité, Inviolabilité et Traçabilité de la donnée, Respect du code de la santé publique (Articles L.1111-8 et R.1111-9 à 16-1).Les obligations légales de l’hébergeur en charge de la donnée de santé concernent : Son organisation, ses moyens matériels et ses garanties, Les moyens techniques mis en œuvre pour le dépôt, la conservation, la sauvegarde et la restitution de ces données. La prestation dhébergement de données de santé à caractère personnel recueillies auprès de professionnels ou détablissements de santé (…) sans être titulaire de lagrément prévu par larticle L. 1111-8 ou de traitement de ces données sans respecter les conditions de lagrément obtenu est punie de trois ans demprisonnement et de 45 000 euros damende » (Art. L. 1115-1 CSP). © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr
  4. 4. Nos offres de conseil et d’assistance à maîtrise d’ouvrage couvrent 11 expertisessectorielles,Nous nous appuyons sur des méthodologies éprouvées et des outils personnalisés afind’élaborer la stratégie future d’un Système d’Information. Management des identités (IAM & SSO) Passeport pour l’obtention Plan d’Assurance de l’agrément à Sécurité & Qualité l’hébergement des données (PAS/PAQ) de santé Contraintes juridiques et Mise en conformité éthiques (normes ISO/ RGS) & homologation Contrat de niveau de services (SLA) Politique de Sécurité du SI Plan de reprise et de continuité Système de d’activité Management de la Sécurité des SI Cryptage, protection et intégrité des Maturité de la données sécurité du SI © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr
  5. 5. offre de service proposant un découpage du projet global en 5 phases distinctes. méthode adaptable à la situation du candidat (objectifs, historique, contexte), Notre méthodologie passeport pour l‘obtention de l’agrément‘ a été conçue à partir d’un socle de référentiel reconnu dans le monde de la sécurité informatique. Elle répond aux exigences de l’ASIP et aux besoins des métiers de la santé (ISO 27799) Phase Phase 1 Phase 2 Phase 3 Phase 4 d’etude Audit Ebios PSSI FormalisationPréparer le terrain Auditer le périmètre Analyser les risques Etablir les règles Formaliser les documents © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr
  6. 6. AMO selon 5 phases concomitantes, méthodologiques et planifiées, Création et développement d’un Système de Management de la Sécurité du SI, Création d’un périmètre organisationnel, technique, éthique et fonctionnel. Phase 5 Phase 1 Phase 2 Phase 3 Phase 4 montage Avant-projet Audit Ebios PSSI du dossier Etude de conception Contrôle du niveau de Contrôle du niveau de Contrôle du niveau de Compte rendu du générale maturité SSI maturité SSI maturité SSI niveau de maturité SSI Cahier des charges Définition de Définition des Présentation du Audit métier & Process fonctionnel l’architecture cible éléments stratégiques candidat Plan d’Assurance Audit infrastructure & Constitution du Présentation des sous- Etude du contexte Qualité sécurité référentiel traitants Compte rendu des Plan d’analyse des Sélection des outils Etude des besoins Déclinaison des règles audits risques Cahier des charges Formalisation de la Dispositions de Outils de suivi Etude des menaces fonctionnel politique du SI sécurité Nommages des Formalisation du Identification des Elaboration du plan Domaine Economique acteurs projets compte rendu d’audit objectifs de sécurité d’actions et financier Création de la fiche Organisation des Domaine éthique &Validation du planning Mesures de sécurité navette projets SSI juridique Présentation des Tableaux de bord de laRéunion préparatoire Rapport FEROS Envoi dossier ASIP conclusions Sécurité du SI © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr
  7. 7. Tout organisme agréé doit mettre en œuvre un contrôle régulier de son activité, et pour cefaire, doit fournir un rapport d’auto-évaluation annuel.Notre prestation de suivi annuel est basée sur : Un audit conduit selon la norme Iso 27799, La reprise de l’historique (Audit, Etudes des risques, Base documentaire, Politique générale de sécurité, Déclaratif formulaires ASIP), le ‘’Snapshot’’ de l’existant et le scan des changements sur l’année en cours, la formalisation du RAE (Rapport d’Auto-Evaluation) avec préconisations et conclusions. Hébergeur agrée Audit Rapport Envoi d’Auto-Evaluation © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr
  8. 8. Notre prestation de reconduction est basée sur : la reprise et l’analyse de tous les éléments depuis l’année d’obtention, a création d’un dossier de recollement des RAE (Rapports d’Auto-Evaluation), l’analyse et le rapport des tableaux de bord de la sécurité du SI, le compte rendu des audits et le scan des changements annuels, la création du rapport d’activité et du dossier de renouvellement ASIP. Activité d’hébergement 1 ère 2 ème 3 ème Reconduction année année année d’agrément Année 1 Année 2 Année 3 pour 3 ans Dossier de demande de RAE RAE RAE reconduction © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr
  9. 9. http://www.actitconseil.fr © 2013 Act It Conseil – Tous droits réservés –www.actitconseil.fr

×