Sécurité des Systèmes d’Information
et
certification des établissements de santécertification des établissements de santé
...
Présentation
Outils et Méthodes HAS
La thématique Gestion du Système d’Information
du manuel de certification et les Eléme...
Outils et méthodes HAS de la certification
des établissements de santé
Un manuel Des thématiques
Exemples : le dossier pat...
Certification & sécurité des SI
Thématique GSI : 2 critères du manuel
4Sécurité des SI & certification des ES – 7 octobre ...
Thématique GSI :
10 Éléments d’Investigation Obligatoires
Sécurité des SI & certification des ES – 7 octobre 2015 5
Illustration : cas d’un CH de 900 lits
• 1 site principal et 14 extrahospitaliers
• Visite des experts-visiteurs
Lors des ...
Illustration : cas d’un CH de 900 lits
après la visite en janvier 2009
Critère 5b : Sécurité du système d’information
Aprè...
Illustration : cas d’un CH de 900 lits
après la visite en janvier 2009
Critère 5b : Sécurité du système d’information
Aprè...
Illustration : cas d’un CH de 900 lits
préparation de la visite V2014
Thématique GSI du Compte Qualité
Points d’améliorati...
Autres illustrations observées en visite
• CH : Locaux en constructions mais pas adaptés au SIH
• ES adossé à un CH : DPA ...
Merci de votre attentionMerci de votre attention
Sécurité des SI & certification des ES – 7 octobre 2015 11
Prochain SlideShare
Chargement dans…5
×

2015-10-07 Colloque SIS "La sécurité des SI et la certification des établissements de santé" - Diaporama

3 031 vues

Publié le

Colloque sur la sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux - 7 octobre 2015
"La sécurité des SI et la certification des établissements de santé" Sébastien LELOUP, Chef de service et Frédérique BLAREL, Chef de projet, Service certification des ES, HAS - Diaporama

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
3 031
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1 754
Actions
Partages
0
Téléchargements
130
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

2015-10-07 Colloque SIS "La sécurité des SI et la certification des établissements de santé" - Diaporama

  1. 1. Sécurité des Systèmes d’Information et certification des établissements de santécertification des établissements de santé Sébastien LELOUP Chef du Service Frédérique BLAREL Chef de projet Service Certification des Établissements de Santé Colloque sécurité des systèmes d’information dans les établissements sanitaires et médico-sociaux Mercredi 7 octobre 2015
  2. 2. Présentation Outils et Méthodes HAS La thématique Gestion du Système d’Information du manuel de certification et les Eléments 2 du manuel de certification et les Eléments d’Investigation Obligatoires Illustrations Sécurité des SI & certification des ES – 7 octobre 2015
  3. 3. Outils et méthodes HAS de la certification des établissements de santé Un manuel Des thématiques Exemples : le dossier patient, la Gestion des Systèmes d’Information, le management de la prise en charge médicamenteuse du patient… Les Visites Investigations sur place de professionnels de santé expérimentés Les experts-visiteurs Vérification systématique des Éléments d’Investigation Obligatoires qui peuvent entrainer des situations à risque Exemple d’EIO = l’existence d’un Plan de Reprise de l’Activité et de procédures dégradées connues des professionnels 3Sécurité des SI & certification des ES – 7 octobre 2015
  4. 4. Certification & sécurité des SI Thématique GSI : 2 critères du manuel 4Sécurité des SI & certification des ES – 7 octobre 2015
  5. 5. Thématique GSI : 10 Éléments d’Investigation Obligatoires Sécurité des SI & certification des ES – 7 octobre 2015 5
  6. 6. Illustration : cas d’un CH de 900 lits • 1 site principal et 14 extrahospitaliers • Visite des experts-visiteurs Lors des investigations, décision d’ajouter le critère 5b : sécurité du système d’information au périmètre de la visite • Décisions HAS Réserve majeure sur le critère 5b : sécurité du SI Réserve sur le critère 20a : démarche qualité de la prise en charge du médicament Recommandation sur les critères : - 14a : gestion du dossier patient - 14b : accès du patient à son dossier - 22a : demande d’examen et transmission des résultats 6Sécurité des SI & certification des ES – 7 octobre 2015
  7. 7. Illustration : cas d’un CH de 900 lits après la visite en janvier 2009 Critère 5b : Sécurité du système d’information Après visite : janvier 2009 Après mesure de suivi : juin 2010 La sécurité des données est organisée au niveau de l'établissement avec la création récente et la première réunion d'un comité de pilotage de la sécurité informatique ainsi que la nomination d'un La sécurité des données est organisée (définition des responsabilités, formalisation et diffusion des procédures, etc.). La sécurité des données est organisée au niveau du service informatique, avec définition des responsabilités ; il existe une procédure relative à la vérification quotidienne de l'intégrité des données. Néanmoins, la gestion des droits d'accès des différentes catégories professionnelles à chaque logiciel n'est pas complètement définie. sécurité informatique ainsi que la nomination d'un cadre de direction en qualité de responsable de la sécurité des systèmes d'information. L'établissement assure l'intégrité de la production et du stockage des données, avec définition des responsabilités : mise en œuvre effective d'une deuxième salle machine ; procédures de sauvegardes ; sécurité physique des locaux et des installations techniques. Il existe un dispositif de gestion des droits d'accès par métier/profil d'utilisateur, mais la procédure formalisée de gestion des habilitations informatiques n'est pas finalisée et la gestion des mots de passe est fonction de chaque logiciel. Sécurité des SI & certification des ES – 7 octobre 2015 7
  8. 8. Illustration : cas d’un CH de 900 lits après la visite en janvier 2009 Critère 5b : Sécurité du système d’information Après visite : janvier 2009 Après mesure de suivi : juin 2010 Il existe un plan de reprise permettant d'assurer la continuité des activités en cas de panne Il n'y a pas de plan de reprise permettant d'assurer la continuité des activités en cas de panne ; il n'y a pas d'astreinte informatique. Il existe un plan de reprise d'activité en cas de panne. Celui-ci est cependant essentiellement orienté vers la continuité des matériels informatiques et des logiciels. Les procédures de secours dans les services (modes dégradés) sont formalisées dans quelques secteurs seulement. Sécurité des SI & certification des ES – 7 octobre 2015 8 panne seulement. Il n'y a pas d'astreinte informatique. Le dispositif de sécurité du système d'information est évalué et fait l'objet d'actions d'amélioration. Les actions récemment entreprises pour accroître la sécurité ont été évaluées (exemple : évaluation ayant débouché sur le projet de deuxième salle blanche au service informatique). Un document intitulé « Taux de disponibilité des applications » est présenté mensuellement au comité de direction. Néanmoins, le dispositif de sécurité étant posé dans le schéma directeur validé en septembre 2009, il n'a pas fait l'objet d'une évaluation d'ensemble. Le dispositif de sécurité du système d'information a fait l'objet d'un bilan récent complet confié à un opérateur important du marché. Un document intitulé « Taux de disponibilité des applications » est présenté mensuellement au comité de direction. Des actions d'amélioration sont entreprises, notamment pour le volet matériel, mais ne font pas l'objet d'un programme structuré autour de l'ensemble des problématiques soulevées.
  9. 9. Illustration : cas d’un CH de 900 lits préparation de la visite V2014 Thématique GSI du Compte Qualité Points d’amélioration identifiés par l’ES : - Actualiser le schéma directeur du SIH - Suivre les indicateurs de performance, fonctionnement, d’activité (dont ceux d’Hop. Numérique) - Actualiser la procédure de fonctionnement en mode dégradé - Formaliser la procédure de redémarrage du SIH Sécurité des SI & certification des ES – 7 octobre 2015 9 Pour la visite Pas d’ajout au périmètre de la thématique GSI mais focus sur le déploiement de l’informatisation du dossier patient et du circuit du médicament Décisions HAS Pas de décisions sur les thématiques liées au SI
  10. 10. Autres illustrations observées en visite • CH : Locaux en constructions mais pas adaptés au SIH • ES adossé à un CH : DPA informatisé, utilisé par les professionnels mais personne ne connait le SDSI ni le PRA • Panne informatique en visite et la procédure dégradée n’a pas fonctionnépas fonctionné • Informaticien a envisagé une sauvegarde des données la veille de la visite et plus rien pour la visite • ES a calculé le temps d’exécution d’un PRA = 125 heures • Qu’avez-vous mis en place pour assurer le continuité de la prise en charge des patients ? 10Sécurité des SI & certification des ES – 7 octobre 2015
  11. 11. Merci de votre attentionMerci de votre attention Sécurité des SI & certification des ES – 7 octobre 2015 11

×