2015-10-07 Colloque SIS "La PGSSI-S" - Diaporama

3 116 vues

Publié le

Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
"La PGSSI-S" Frédérique POTHIER, DSSIS et Manuel
METZ, ASIP Santé - Diaporama

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
3 116
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 679
Actions
Partages
0
Téléchargements
152
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2015-10-07 Colloque SIS "La PGSSI-S" - Diaporama

  1. 1. Ministère des affaires sociales, de la santé et des droits des femmes La Politique générale de sécurité des systèmes d’information de santé (PGSSI-S) • Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - Paris - 7 octobre 2015 • Frédérique POTHIER (DSSIS, ministère des affaires sociales, de la santé et des droits des femmes) et Manuel METZ (PUSC, ASIP Santé) Délégation à la stratégie des systèmes d’information de santé (DSSIS) santé (PGSSI-S)
  2. 2. 2Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
  3. 3. Enjeux de la PGSSI-S Assurer la sécurité des patients, et pas seulement la protection de la confidentialité des données et du secret professionnel Créer un espace de confiance permettant de susciter 3Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Créer un espace de confiance permettant de susciter l’adhésion (et l’usage des SI) des professionnels de santé, des patients, du grand public Favoriser la prise en compte de la SSI dans l’offre industrielle de SI de santé
  4. 4. Objectifs de la PGSSI-S Définir les niveaux d’exigence, les règles et les moyens juridiques, organisationnels, techniques et humains nécessaires pour garantir la sécurité de l’information dans les secteurs sanitaire et médico-social Au bénéfice des professionnels, des établissements et des 4Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Au bénéfice des professionnels, des établissements et des patients : • Établissements et professionnels, quels que soient les modes d’organisation et les lieux d’exercice • Toutes les applications assurant le traitement de données de santé directement ou indirectement nominatives, voire anonymisées • Domaine sanitaire et médico-social
  5. 5. Place de la PGSSI-S Politique sectorielle applicable à tous les SI assurant le traitement de données de santé des secteurs sanitaire et médico-social Complète les politiques de l’Etat avec lesquelles elle est en 5Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé cohérence : • Référentiel général de sécurité (RGS) • Tous les SI permettant des échanges d’informations entre administrations ou avec les citoyens • Politique de sécurité des SI de l’Etat (PSSIE) • Tous les SI des administrations de l’Etat • Politique ministérielle de sécurité des SI (PMSSI) • Cadre général régissant la mise en œuvre de la sécurité des SI pour l’ensemble du périmètre des ministères chargés des affaires sociales
  6. 6. Démarche de construction de la PGSSI-S (1/4) Commande du SG des ministères sociaux en septembre 2011 Lancement des travaux et premier comité de pilotage en mars 2012 : • MOA stratégique = DSSIS - MOA opérationnelle = ASIP Santé Une démarche pragmatique, volontariste et collective : • Une revue systématique du cadre juridique et technique, une prise en 6Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé • Une revue systématique du cadre juridique et technique, une prise en compte de l’existant : PMSSI, PSSIE, RGS, recommandations de l’ANSSI… • La prise en compte de la variété des contextes d’exercice professionnel • Une action d’amélioration continue des pratiques, une progression par paliers, des exigences réalistes • Participation de tous les acteurs concernés : l’Etat et ses agences, la CNIL, les professionnels des secteurs santé et médico-social, les usagers du système de santé, les industriels, l’assurance maladie
  7. 7. Un comité de pilotage : • Composition : directions d’administration centrale du ministère, ANSSI, CNAMTS, CNIL, CNSA, HFDS • Fonction : – Pilotage du projet PGSSI-S – Décision de mise en concertation publique des documents – Validation de la prise en compte des commentaires issus de la concertation Démarche de construction de la PGSSI-S (2/4) 7 – Validation de la prise en compte des commentaires issus de la concertation Des groupes de travail thématiques : • Composition : institutionnels, ordres et associations de professionnels de santé, RSSI d'établissement de soin, organisations représentatives d'industriels du secteur • Fonction : – Contribution à l’élaboration des documents – Validation des versions à proposer au COPIL pour mise en concertation Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
  8. 8. Un comité de concertation : • Composition : représentants des professionnels et des établissements de santé, des patients, des industriels du secteur • Fonction : – Lieu d’échange sur la démarche et sur les éléments constitutifs de la PGSSI-S Démarche de construction de la PGSSI-S (3/4) 8 – Alimentation en participants des GT – Participation à la diffusion et à la promotion des documents validés Une mise en concertation publique sur le site de l’ASIP Santé http://esante.gouv.fr/pgssi-s/espace-concertation Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
  9. 9. Démarche de construction de la PGSSI-S (4/4) Une publication sur le site de l’ASIP Santé http://esante.gouv.fr/pgssi-s/presentation Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé 9
  10. 10. Le corpus documentaire à ce jour Principes fondateurs de la PGSSI-S Identification Authentification Guide pratique pour Bibliographie Documents chapeau Mémento de sécurité Guide pratique pour Guides organisationnels Référentiels techniques Guides pratiques Guides juridiques Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé des acteurs de santé Authentification des acteurs de santé Imputabilité pratique pour les dispositifs connectés … Documentscorps Identification des patients Authentification des patients sécurité informatique en exercice libéral pratique pour la mise en place d’un accès Wifi Règles pour les interventions à distance Guide pratique pour la destruction de données Règles de sauvegarde des SI de santé Règles pour la mise en place d’un accès tiers Plan de continuité informatique Publié En concer- tation Guide d’élaboration et de mise en œuvre de PSSI En projet 10 Gestion des événements sécurité Mécanismes de protection de l’intégrité des données stockées Gestion des habilitations d’accès
  11. 11. Les travaux en cours et à venir (1/2) Mettre en œuvre l’article 25 du projet de loi de modernisation de notre système de santé : • Après l’article L. 1110-4 du code de la santé publique, il est inséré un article L. 1110-4-1 ainsi rédigé : « Art. L. 1110-4-1. - Afin de garantir la qualité et la confidentialité des données de santé à caractère personnel et leur protection, les professionnels de santé, les établissements et services de santé, les 11Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé professionnels de santé, les établissements et services de santé, les hébergeurs de données de santé à caractère personnel et tout autre organisme participant à la prévention, aux soins ou au suivi médico- social et social utilisent, pour leur traitement, leur conservation sur support informatique et leur transmission par voie électronique, des systèmes d’information conformes aux référentiels d’interopérabilité et de sécurité élaborés par le groupement d’intérêt public mentionné à l’article L. 1111-24. Ces référentiels sont approuvés par arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés. »
  12. 12. Mettre en œuvre le nouvel article 27 quater du projet de loi de modernisation de notre système de santé : • Après l’article L. 1111-8-1 du code de la santé publique, il est inséré un article L. 1111-8-2 ainsi rédigé : « Art. L. 1111-8-2. - Les établissements de santé, les organismes et services exerçant des activités de prévention, de diagnostic ou de soins Les travaux en cours et à venir (2/2) services exerçant des activités de prévention, de diagnostic ou de soins signalent sans délai à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information. Les incidents de sécurité jugés significatifs sont, en outre, transmis sans délai par l’agence régionale de santé aux autorités compétentes de l’État. « Un décret définit les catégories d’incidents concernés et les conditions dans lesquelles sont traités les incidents de sécurité des systèmes d’information. » 12Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé
  13. 13. Focus sur le guide d’élaboration d’une PSSI Objectif du guide • Le guide a pour objectif de permettre le développement d’une Politique de Sécurité du Système d’Information (PSSI) par un établissement de santé qui n’a pas d’approche sécurité du SI formalisée 13Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé formalisée • C’est un guide de rédaction de PSSI et de suivi de sa mise en œuvre (vs. méthode d’analyse de risques): • Pas d’analyse de risque spécifique : PSSI basée sur analyse de risque « modèle» • Une PSSI « modèle » (canevas PSSI) à reprendre telle quelle ou à adapter
  14. 14. Focus sur le guide d’élaboration d’une PSSI Contenu • Afin de faciliter son utilisation, le guide est constitué de 3 documents distincts et 3 documents annexes : Document Cible Contenu Guide PSSI Tout public impliqué dans la sécurisation du SI Guide de mise en place Canevas PSSI Personnels en charge de la rédaction de la PSSI et Modèle directement utilisable 14Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Canevas PSSI Personnels en charge de la rédaction de la PSSI et personnels en charge de l’application des règles Modèle directement utilisable Plan d’action SSI Personnels en charge du suivi de l’application des règles Modèle directement utilisable Annexe Cible Contenu Modèle de charte sécurité pour personnel IT Personnels en charge de la rédaction de la PSSI Exemple adaptable Modèle de charte d’usage Personnels en charge de la rédaction de la PSSI Exemple adaptable Couverture PSSIE Personnels en charge de la conformité à la PSSIE (si applicable) Liste de règles du canevas permettant de mettre en œuvre les objectifs de la PSSIE
  15. 15. Focus sur le guide d’élaboration d’une PSSI Guide PSSI • Le guide PSSI explique la logique d’élaboration d’une PSSI et la démarche d’utilisation du canevas PSSI pour rédiger la PSSI d’une structure et du plan d’action SSI pour suivre la mise en œuvre de la PSSI Canevas PSSI • Le canevas PSSI est un modèle de PSSI qui peut être directement repris comme une PSSI de structure avec d’éventuelles mises à jour marginales pour adaptation au contexte de l’établissement 15Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé pour adaptation au contexte de l’établissement • Les règles contribuant à l’atteinte des prérequis hôpital numérique et/ou aux objectifs de la PSSIE sont signalées avec identification des prérequis et des objectifs concernés via des cartouches spécifiques • Les référentiels et guides pratiques de la PGSSI-S qui permettent d’approfondir les règles du canevas PSSI sont signalés tout au long du canevas Plan d’action SSI • Le plan d’action PSSI est un outil permettant le suivi détaillé de la mise en œuvre des règles identifiées dans le canevas. Il intègre le suivi des coûts
  16. 16. Autre exemple de document PGSSI-S Règles pour les interventions à distance sur les systèmes d’information de santé • Règles de sécurité pouvant être utilisées directement dans les documents contractuels encadrant les interventions Règles relatives à la sécurité de la prestation fournie Règles relatives à la sécurité de l’environnement du fournisseur Règles relatives à la sécurité des échanges et des accès 16Ministère des affaires sociales , de la santé et des droits des femmes Délégation à la stratégie des systèmes d’information de santé Cahier des charges - Exigences de sécurité Contrat - Clauses générales & particulières de sécurité Plan d’assurance sécurité - Dispositions de sécurité du fournisseur Convention de service - Modalités pratiques de réalisation sécurisée de la prestation Dispositions techniques de sécurité - Mécanismes de protection des échanges et des accèsDocuments contractuels fournie des échanges et des accès Volet organisationnelDescriptionEngagement

×