SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT. Session d information Conseillers en sécurité 24/02/2012

Dimension: px
Commencer à balayer dès la page:

Download "SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT. Session d information Conseillers en sécurité 24/02/2012"

Transcription

1 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1 Session d information Conseillers en sécurité 24/02/2012

2 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2 Ordre du jour - Introduction - Le conseiller en sécurité : - Feedback profils CS reçus - Explication fonction CS - Formations prévues - - Pause - Sécurité de l information en milieu hospitalier : Par où commencer? - Contexte légal - Exemples réels..9h30..9h40..10h..11h..11h15..12h15

3 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires Loi du 15 janvier 1990 instituant la banque-carrefour art. 4 5 Toute autorité publique, personne physique et organisme public ou privé qui a accès aux données d identification des registres Banque-Carrefour ou en obtient la communication désigne, parmi ses membres du personnel ou non, un conseiller en matière de sécurité de l information et de protection de la vie privée L identité de ce conseiller en matière de sécurité de l information et de protection de la vie privée est communiquée à la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé art er, 8 La section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé est chargée, en vue de la protection de la vie privée, de vérifier si les conseillers en sécurité reçoivent la formation permanente adéquate et travaillent de façon coordonnée ; à défaut, de prendre toutes mesures utiles pour assurer cette formation adéquate ou réaliser la coordination, notamment technique

4 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires AR du 23 octobre 1964 fixant les normes générales des hôpitaux Inséré par AR du 16 décembre 1994 Tout hôpital doit, en ce qui concerne le traitement des données à caractère personnel relatives aux patients, en particulier des données médicales, disposer d un règlement relatif à la protection de la vie privée Ce règlement (et toutes les modifications qui y sont apportées) doit être transmis à la Commission pour la supervision et l évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux Cette commission tient les règlements à la disposition de la Commission de la protection de la vie privée Le maître du fichier désigne un conseiller en sécurité chargé de la sécurité de l information; celui-ci conseille le responsable de la gestion journélière sur tous les aspects de la sécurité de l information La mission du conseiller en sécurité peut être précisée par arrêté royal

5 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires AR du 12 février 2008 : communication par les hôpitaux de l identité des personnes chargées de la communication des données se rapportant à l établissement Le gestionnaire de chaque hôpital communique au Ministre qui a la santé publique dans ses attributions, l identité et les coordonnées du conseiller en sécurité visé à l annexe de l AR du 23 octobre 1964; toute modification relative aux personnes susmentionnées doit être communiquée dans le mois Protocole Carenet entre O.A. et hôpitaux (19 avril 2001) La surveillance des conditions techniques en matière de mode d enregistrement, de traitement et de conservation des données, ainsi au de l enregistrement et de l octroi de certificats doit être assurée par le conseiller en sécurité Les hôpitaux doivent communiquer à l Administrateur général de l INAMI les nom, prénom, qualité de leursconseillers en sécurité; toute modification intervenant dans ces données doit être communiquée dans les 15 jours.

6 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2. Problématique actuelle Décision du Comité sectoriel de la sécurité sociale et de la santé Le 5 juillet 2011, le comité sectoriel de la sécurité sociale et de la santé a décidé que, à partir du 31 mai 2012, les hôpitaux ne pourront plus obtenir la communication des données à caractère personnel s ils ne disposent pas d un conseiller en sécurité de l information et d un plan de sécurité qu ils tiennent à la disposition du comité sectoriel NB : l accès aux données à caractère personnel concerne notamment l identité des patients, les données relatives au MAF et à l assurabilité permettant de déterminer le statut du patient pour l application du tierspayant Suite à cette décision, le comité sectoriel a demandé au SPF Santé publique d envoyer une circulaire aux hôpitaux pour leur rappeler leurs obligations leur faire part de la décision prise par le comité sectoriel le 5 juillet 2011 leur demander de compléter un questionnaire visant à évaluer le degré de formation et de compétences des conseillers en sécurité

7 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2. Problématique actuelle Autres constats Le SPF dispose bien d une liste de noms des conseillers en sécurité des hôpitaux (sauf 2 hôpitaux), mais cette liste n est pas à jour : les hôpitaux n ont pas explicitement communiqué les modifications Dans l enquête statistique annuelle, les hôpitaux sont tenus de renseigner chaque année le nom et la formation de leur responsable de la sécurité des données médicales et du responsable de la sécurité des données administratives, mais ne parle pas du conseiller en sécurité La «Commission pour la supervision et l évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux» n existe plus et les hôpitaux ne transmettent plus de mise à jour de leur règlement

8 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 3. Circulaire aux hôpitaux Circulaire du 9 septembre 2011 Le SPF a effectivement transmis une circulaire aux hôpitaux en date du 9 septembre 2011 pour : rappeler les dispositions légales en matière de conseillers en sécurité faire part de la décision du comité sectoriel demander l identité des conseillers en sécurité et de préciser leur niveau de formation et de compétences pour assurer la fonction Par cette même circulaire, le SPF s est engagé à : coordonner les données récoltées par le SPF, le comité sectoriel de la sécurité sociale et de la santé et l INAMI pour identifier les manquements et les besoins organiser une session d information pour identifier les besoins de formation des conseillers en sécurité et rappeler leurs missions mettre en place un groupe de travail avec des conseillers en sécurité pour déterminer de «bonnes pratiques» en matière de sécurité de l information

9 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 4. Où en est-on aujourd hui? Réponses des hôpitaux à la circulaire Suite à la circulaire, près de 70% des hôpitaux ont communiqué les informations relatives à l identité, la formation et les domaines de compétences de leur conseiller en sécurité (actuellement, 60 hôpitaux n ont pas répondu!!) Mise en commun des bases de données SPF, INAMI et comité sectoriel Le SPF a attiré l attention des autres instances sur la caractère redondant des exigences et la nécessité d une simplification administrative L INAMI a fait part de son intention de supprimer l obligation (prévue dans l annexe au Protocole Carenet) de communiquer l identité du conseiller en prévention à l administrateur général de l INAMI Sur la base des réponses fourniers par les hôpitaux, le SPF et la banquecarrefour travaillent ensemble à la constitution d une source authentique : une base de données unique qui devra être tenue à jour par les hôpitaux

10 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 4. Où en est-on aujourd hui? Organisation d une session d information Journée de ce 24 février 2012 préparée en collaboration avec cellule «sécurité des données» de la banque carrefour sur la base des réponses à la circulaire fournies par les hôpitaux afin d identifier les besoins de formation des conseillers en sécurité des hôpitaux et d élaborer un programme de formation adapté Groupe de travail de conseillers en sécurité Sera constitué sur la base de l expertise présente au sein du secteur Missions de soutien aux hôpitaux pour rencontrer leurs obligations, par ex. : identification et diffusion de bonnes pratiques définition d une description de fonction des conseillers en sécurité réappropriation de la norme ISO pour le secteur hospitalier belge définition de normes de référence

11 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 5. Au programme de la session d information Evaluation de la situation du secteur sur la base des informations transmises par les hôpitaux Fonction et rôles du conseiller en sécurité dans les différents environnement Proposition d offre de formation, souple et modulaire Spécificités du secteur de la santé et contraintes légales Outils d aide pour les conseillers en sécurité

12 Le conseiller en sécurité Un métier Une fonction Un rôle dans une organisation Michel Brouyère Conseiller en sécurité a.d. Chaussée Saint Pierre, 375, Sint-Pieterssteenweg B-1040 Bruxelles, Brussel Website ehealth-platform: https://www.ehealth.fgov.be

13 Agenda de l exposé Introduction Sécurité les risques augmentent!!! Fonction du conseiller Rôle du conseiller en sécurité de l'information Autres fonctions impliquées dans l organisation Processus de désignation et suivi Groupe de travail Contenu du cours sécurité de l information Examen des modules 24/02/

14 Des fichiers informatiques de la N-VA dérobés A la section anversoise de la N-VA, des fichiers informatiques confidentiels du parti ont été volés. Il s agit de projets de textes pour le congrès du 21 avril, ainsi que de listes de membres. Les initiés parlent déjà d espionnage politique. Awareness 24/02/

15 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité conseille le responsable de la gestion journalière au sujet de tous les aspects de la sécurité de l'information. Ceci implique une mission d avis, de stimulation, de documentation et de contrôle le conseiller en sécurité promeut le respect des règles de sécurité imposées par une disposition légale ou règlementaire ou en vertu d une telle disposition, ainsi que l adoption, par les personnes employées dans l hôpital, d un comportement favorisant la sécurité. 24/02/

16 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité travaille en étroite collaboration avec les services qui requièrent, ou peuvent requérir, son intervention, en particulier avec le service informatique et le service de sécurité d hygiène et d embellissement des lieux de travail de l hôpital. Le conseiller en sécurité doit disposer d une connaissance suffisante de la structure informatique de l hôpital ainsi que de la sécurité de l information. Il doit en permanence tenir cette connaissance à jour. 24/02/

17 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité rédige un projet de plan de sécurité pour une certaine durée, à l attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. une mission à 40% apparaît être le minimum 24/02/

18 Conseiller en sécurité de l information (métier) Interprétation de la réglementation en matière de sécurité de l'information sur mesure de l'organisation Proposer une stratégie de sécurisation Prendre des initiatives autour de la sécurité de l'information Coordonner des activités autour de la sécurité de l'information Gestionnaire de "information security management system" (ISMS) Gestionnaire de la politique pour la sécurité de l'information (ISP) Donner des conseils en matière de sécurité Établir une collaboration entre les organisations interne et externe Organiser des trainings de conscientisation en matière de sécurité à tous les niveaux de l'organisation Inspirateur de la "Plateforme pour la sécurité de l'information" 24/02/

19 Conseiller en sécurité de l information (métier) Préparer/proposer un budget annuel pour la sécurité de l'information Identifier les risques de sécurité et les mettre en relief Accompagnement interne, recherche, audit Préparer des audits externes indépendants de sécurité de l'information et suivre les recommandations Tâches spécifiques de la Sécurité sociale Suivi des normes minimales Questionnaire annuel Planning Recherche d'infractions possibles à la sécurité en matière de confidentialité, d'intégrité, d'autorisation,... à la demande de la Direction, du tribunal,... sur la base de procédures approuvées Suivi de l'évolution des menaces, des contre-mesures, des systèmes,... 24/02/

20 Plateforme pour la sécurité de l information Déléguer des responsabilités Offrir un soutien au management lors du processus de sécurisation Développer des objectifs, des stratégies et des directives de sécurité Évaluer des rapports de sécurité et contrôler dans quelle mesure de l'information importante est exposée ainsi que son impact business Définir le statut des différentes initiatives de sécurité Évaluer les incidents de sécurité importants Approuver toutes les modifications apportées à la politique de sécurité IT 24/02/

21 Rôle de la direction Un soutien clair et un comportement exemplaire de la direction est nécessaire pour pouvoir conduire la sécurité de l'information 24/02/

22 Incident Response Team Gestion en cas d'incident grave Estimation de la situation Limitation des dommages Assurance de la continuité Rétablissement de la situation normale Actions d'amélioration 24/02/

23 Autres fonctions impliquées Responsable systèmes Service achats Service juridique Project manager Développement Production 24/02/

24 Processus de désignation & accompagnement Envoi de la candidature par l hôpital Examen de la candidature par le comité sectoriel Approbation du conseiller Mise en place des formations Calendrier 24/02/

25 Situation fin février Une centaine d hôpitaux ont soumis leur candidature Formation prévisible sur base des CV: 40 % des candidats français néerlandais Informatique 18,66% 32,26% Informatique médicale 47,62% 61,54% Soins de santé 49,21% 45,09% Sécurité de l information 38,55% 39,13% Quelques formations ont été données dans le domaine médical 24/02/

26 Groupe de travail Constitution prochaine d un groupe de travail, regroupant les conseillers en sécurité des hôpitaux, en vue de déterminer, après approbation par la section santé du comité sectoriel de la sécurité sociale et de la santé, les bonnes pratiques en matière de sécurité de l information Appel à candidats 24/02/

27 Objectifs du groupe de travail Approfondissement du cadre légal en sécurité dans le domaine de la santé Mise en place de normes minimales Définition de polices de sécurité pour le domaine ehealth Gestion des utilisateurs; Serveurs; Cloud computing; Wifi policies ; Classification des données; Incidents de sécurité. 24/02/

28 Les formations proposées Formation modulaire Module 1 : les bases de l informatique Module 2 : informatique médicale (combiné avec 1) - 2 jours Module 3 : les soins de santé : aspects légaux & cas pratique - 1 jour Module 4 : Sécurité de l information - 5 jours Planning 24/02/

29 Sécurité de l information (contenu) Cours basé sur ISO Intègre des exercices et cas pratiques Les différents modules: 1. Méthodologie 2. Organisation de la sécurité 3. Gestion des ressources de l entreprise (asset management) 4. Sécurité liée au personnel 5. Sécurité physique et environnement 6. Sécurité liée au développement de projet 7. Gestion opérationnelle 8. Sécurité des accès logiques 9. Gestion des incidents 10. Continuité 11. Conformité et contrôle 24/02/

30 Module 1: méthodologie Approche (ISO 2700X) Mise en place d un ISMS et d une politique de sécurité de l'information (ISP) Choix d une méthode d analyse de risque adaptée Eléments pratiques 24/02/

31 Objectif: offre intégrale L'information security management couvre tous les aspects de sécurité (humain logique physique) Vue générale sur tous les risques de sécurité dans l'organisation Vue générale sur : Tout ce qui a été fait Tout ce qui doit être amélioré Sur tous les risques acceptés 24/02/

32 Objectif: offre intégrale 24/02/

33 Module 2 : organisation Objectif: mise en place d'un service (d'une plate forme) pour gérer les risques liés à la sécurité de l'information Analyse des responsabilités Définir les rôles de chacun: RACI matrice (direction, département sécurité, développeurs, fournisseurs etc.) Implication dans le recrutement (contrat de travail) Mise en place d une cellule de gestion des incidents Mise en place d un groupe de sécurité ISMS et l ISP processus de mise en place et de suivi 24/02/

34 Module 3 : gestion des ressources de l entreprise Examen des ressources de l entreprise Alignement sur l information security policy Inventaire des valeurs et des moyens y compris humains Classification des données Mesures de sécurité 24/02/

35 Information Security Policy (ISP) La gestion des ressources a pour objet le maintien d'une protection adéquate de ces ressources. Dans le contexte de ehealth, des données confidentielles sont manipulées. La manipulation de ces données est soumise à une législation spécifique, entre autres en rapport avec la vie privée, qui inclut la législation des données médicales. Les ressources doivent être inventoriées et classifiées (également pour la gestion de la continuité). Les données sont traitées en accord avec leur classification. 24/02/

36 Ressources de l entreprise Moyens de protection Environnement physique par localisation Environnement : air conditionné, générateur etc Ressources humaines par rôles responsabilités fonctions Documentation classifiée par degré de sensibilité Les ressources médicales Questions : que protéger? Quelles informations et sources d informations sont critiques? 24/02/

37 Software Ressources de l entreprise Operating systems, Applications Database Par fournisseurs, types Réseaux VLANs, switches, routers, hubs Communication PBX, laser links, fax, modems 24/02/

38 Mesures Désigner des propriétaires Attribuer une classification initiale et la revoir régulièrement Classifier les données Autorité pour l'approbation des demandes d'accès et des modalités d'utilisation Rôle entre autres du comité sectoriel Critères d'accès Authentification / autorisation / chiffrement / irréfutabilité Mesures de sécurité techniques Stockage de données Communication de données Supprimer des données Archiver 24/02/2012 Attention à l'impression et au papier! 38 38

39 Module 4 : sécurisation relative au personnel But: prévenir tout accès non autorisé et dommage à la propriété (information et matériel) d'une institution. Confidentialité Intégrité Disponibilité Limitation des risques à la suite d'erreurs humaines, de vol, de fraude ou d'un usage inapproprié / abus Conscience des menaces et risques concernant la sécurité de l'information Coupler la conscience à la responsabilité Voir la partie consacrée à l'organisation Formation et moyens pour pouvoir respecter l'isp dans le cadre de leur mission... 24/02/

40 Matière examinée Risque personnel pour le collaborateur Menaces et faiblesses Exploitation des faiblesses Sécurisation par l'utilisateur final Environnement physique Authentification Messagerie électronique Surf Social engineering Les politiques de sécurité (accès internet, mot de passe, usage du mail,etc ) 24/02/

41 Module 5 : sécurité physique But de la sécurité physique Répartir la sécurité physique en zones Contrôle physique des accès Sécurisation de différents types de locaux Protection contre des menaces externes Travailler dans des zones sécurisées Accès public et livraisons 24/02/

42 Module 6 : sécurisation des projets Objectif Les systèmes / applications doivent être sécurisés depuis l'architecture à l'implémentation Les Malware et risques Développement de systèmes Sécurisation technique Regard sur toutes les couches OSI 24/02/

43 Scope et mise en place Le soutien de la sécurisation s'impose depuis le début Lorsque la sécurité est ajoutée par la suite, cela augmente considérablement la complexité Les attaques sont de nature variée entre autres : Malware Exploitation des faiblesses de la sécurisation de l'infrastructure Sécurité : à prévoir dans le cycle de vie complet et dans toutes les facettes du système / de l'application Concept Architecture Conception Développement Tests Déploiement Gestion Les systèmes / applications doivent être sécurisés depuis l'architecture à l'implémentation 24/02/

44 Module 7 : gestion opérationnelle Une gestion correcte de l'environnement ICT est d'une importance capitale afin de garantir la sécurité de l'information. Approche structurée Les processus importants en sécurité de l information ITIL(Information Technology Infrastructure Library), CobiT(Control Objectives for Information and related Technology) 24/02/

45 Processus Information Technology Infrastructure Library (ITIL) Cadre de référence pour la mise en place des processus de gestion dans une organisation ICT ITIL n'est pas une méthode ou un modèle mais une série de best practices Service Delivery. - Capacity Management - Availability Management - IT Service Continuity Management (ITSCM) - Service Level Management - Security Management Service Support. - Change Management - Release Management - Problem Management - Incident Management - Configuration Management - Service Desk 24/02/

46 Processus Information Technology Infrastructure Library (ITIL) Planning to Implement Service Management. Security Management. ICT Infrastructure Management. - Network service Management - Operations Management - Management of local processors - Computer installation and acceptance - Systems Management The Business Perspective. Application Management. Software Asset Management 24/02/

47 Module 8 : sécurité des accès Confidentialité, intégrité, authenticité - définitions Introduction à la cryptographie Authentification Moyens d'identification Autorisations Examen d exemples, cas pratiques Législation et logging 24/02/

48 Module 9 : gestion des incidents Mise en place d une cellule d incident management Examen des moyens à mettre place Identification des incidents graves Plan catastrophe et continuité 24/02/

49 Nature des incidents : Incident response team quotidiens (ex. scanning) à très graves (menacent la continuité des activités) La gestion des incidents quotidiens et mineurs doit être assurée dans la "gestion opérationnelle" Incident response : ensemble de mesures décrites et éprouvées visant à faire face à un incident important Incident important : la continuité des activités de l'entreprise est menacée 24/02/

50 Lien avec le DRP But : description des processus et procédures lorsqu'un incident important se produit sur la base de scénarios d'incidents techniques importants - ex. perte d'un data center, panne électrique en tenant compte de l'importance relative des processus ICT pour définir des priorités prenez en compte les différentes phases dans l'approche d'incidents graves coordination par l'irt 24/02/

51 24/02/2012 Examen des incidents graves Phase de reconnaissance Rassemblez l'information Évitez toute panique Évaluez la situation Reconnaissez la gravité de la situation Prenez les mesures qui s'imposent sur la base des processus et procédures Activez l'irt Phase de réaction Organisez régulièrement des réunions de concertation avec l'irt Continuez à rassembler des informations et évaluez la situation (changeante) Activez les mesures afin de limiter l'impact de l'incident - stabilisation de la situation Neutralisez la cause de l'incident Prenez les mesures qui s'imposent sur la base des processus et procédures afin de garantir la continuité Conservez les preuves - recherche forenscique Organisez la communication Phase de rétablissement Retour à la situation normale sur la base des processus et procédures Continuez à communiquer Leçons et actions d'amélioration 51

52 Evaluation de la situation L'incident est-il passager ou permanent? Quelles moyens d'exploitation importants ont été touchés? personnel processus business infrastructure, systèmes La continuité (d'une partie) des activités de l'entreprise estelle menacée? L'incident est-il dû à des modifications / interventions récentes? 24/02/

53 Module 10 : continuité Introduction Business continuity plan (BCP) ICT contingency plan (ICP) Disaster recovery plan (DRP) Tests Leçons retenues 24/02/

54 Gestion de la continuité Objectif : possibilité de réaction en cas de perturbation des activités de l'organisation et protection des processus business critiques en cas d'incidents lourds Responsabilité importante pour la continuité de la prestation de services de santé publique en Belgique Processus documenté Basé sur des analyses des risques Mesures préventives et correctives Processus et plan basé sur des exercices 24/02/

55 Module 11 : conformité et contrôle Contrôle du respect des exigences légales et contractuelles en matière de sécurité Évaluation de la sécurité de l'information sur la base de la gestion Accompagnement quotidien Contrôle interne Audit interne Audit externe 24/02/

56 24/02/

57 You!

58 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 58 Pause 15minutes

59 Sécuritéde l information en milieu hospitalier Par oùcommencer? Dr Ir Etienne Stanus Conseiller en sécurité de l information Institut Jules Bordet

60 Droit du patient: qualitédes soins Capacité des services de santé destinés aux individus et aux populations d'augmenter la probabilitéd'atteindre les résultats de santésouhaités, en conformitéavec les connaissancesprofessionnelles du moment". Avoir la bonne information au bon endroit au bon moment Etienne Stanus Institut Jules Bordet 60

61 Quelques mots importants Service de santé: impliquer toutes les disciplines connaissances: implique les systèmes d informations sous-jacents Probabilité: sous-entend obligation de moyens / résultats selon le gestion du risque, des événements indésirables, Conformité, moment: gouvernance, amélioration continue, audits Etienne Stanus Institut Jules Bordet 61

62 Plan de l exposéen forme de Cycle de Shewhart / Roue de Deming: Plan: Quelques définitions Un début d analyse de risque DO Contexte juridique, Contexte normatif Documents existants Systèmes PDCA similaires Un exemple d outil existant Check Autoévaluation Act Mise en place d un Système de Management de la Sécuritéde l Information Quelques méthodes d analyse de risque Quelques points sensibles Etienne Stanus Institut Jules Bordet 62

63 Etienne Stanus Institut Jules Bordet 63

64 Système d information Un S.I est un réseau complexe de relations structurées oùinterviennent hommes, machines et procédures qui a pour but d engendrer des flux ordonnés d informations pertinentes provenant de différentes sources et destinées à servir de base aux décisions. Source: Hugues Angot (Prof. Ichec, ) Etienne Stanus Institut Jules Bordet 64

65 Sécuriséles SI => notion de risque Sens Commun: Risque: contingence indésirable, appréhendée, relativement anodine et peu probable. Danger: hautement probable, suppose la possibilité d'un dommage grave, notamment des blessures ou la mort. Définition ISO 31000:2009 le risque est l effet de l incertitude sur les objectifs Définition de l ingénieur: le risque est la combinaison de probabilité d évènement(s) et de sa (leurs) conséquence(s) Etienne Stanus Institut Jules Bordet 65

66 Démarche générale Évaluer les risques et leur criticité quels risques, quelles menaces, quel scenarii sur quelles données et quelle activité avec quelles conséquences Rechercher et sélectionner les parades : que va-t-on sécuriser, quand et comment Avec quelles ressources (temps, compétences, ) Mettre en œuvre les protections Prévention, réduction, acceptation, transfert du risque vérifier leur efficacité. Etienne Stanus Institut Jules Bordet 66

67 Diagramme d Ishikawa Ressources humaines Règlementation externe Sécurité physique et environnemen t Contrôle d accès logique Développement et maintenance. Changement Gestion de la continuité Procédures internes Effets positifs ou négatifs Inventaire et classification Ressources Règlementation interne Etienne Stanus Institut Jules Bordet 67

68 De la loi. et de l esprit des lois Etienne Stanus Institut Jules Bordet 68

69 Quelques lois et règlements Celles citées dans la circulaire du 9/9/2011 Loi coordonnée sur les hôpitaux Lois relatives à la Banque-carrefour Protocole Carenet Et quelques autres. Etienne Stanus Institut Jules Bordet 69

70 Droits du patient (loi 22/8/2002) Les droits du patient comprennent : La qualité du service Le choix du praticien Le droit à l'information Le consentement La protection de la vie privée Un dossier de patient soigneusement tenu àjour et conservé en lieu sûr. Le recours à la médiation Etienne Stanus Institut Jules Bordet 70

71 Lois et directive sur la protection de la vie privée Données à caractère personnel Déclaration préalable àla collecte de ces données Traitement licite, justifié, proportionnel Objectif défini Qualité des données Données sensibles: race, santé, judiciaire, opinions politiques et syndicales, convictions philosophiques, préférences sexuelles. Droit de la personne concernée Restrictions d exportation de ces données Etienne Stanus Institut Jules Bordet 71

72 Proposition de révision de la directive européenne (26/1/2012) Consentement en termes «clairs» Information sur le stockage des données, comment àquelles fins et pour quelle durée. Désignation d un déléguéàla protection des données si traitement de données à risque au regard des droits et libertés des personnes physiques Droit àl'oubli numérique: obligation de suppression des données sauf motif légitime. Obligation de notification des violations de sécurité àl autoriténationale àla personne concernée Portabilité des données Etienne Stanus Institut Jules Bordet 72

73 Conventions collectives de travail CCT 81: Convention collective de travail n 81 du 26 avril 2002 relative a la protection de la vie privée des travailleurs a l'égard du contrôle des données de communication électroniques en réseau CCT 68: Convention collective de travail n 68 du 16 juin 1998 relative a la protection de la vie privée des travailleurs a l'égard de la surveillance par cameras sur le lieu de travail Etienne Stanus Institut Jules Bordet 73

74 Recherche / Ethique Arrêté Royal instituant les CEM ou Comité d'ethique Médicaux Hospitaliers (12 août 1994) Loi relative àla recherche sur les embryons in vitro (5/2003) Loi relative à l'expérimentation humaine (5/2004) Loi relative àl'obtention et àl'utilisation de matériel corporel humain destinéàdes applications médicales humaines ou àdes fins de recherche scientifique (décembre 2008) Etienne Stanus Institut Jules Bordet 74

75 Secret professionnel et devoir de discrétion Qui est concerné? Art. 458 du Code pénal. Tous ceux qui, par état ou par profession, sont dépositaires des secrets qu on leur confie. Art. 70 du Code de déontologie médicale. Le médecin veillera àfaire respecter par ses auxiliaires les impératifs du secret médical Personnel sui generis: obligation de confidentialité, relative àtout ce qu ils pourraient apprendre sur l identitéet/ou l état du patient durant leur travail Etienne Stanus Institut Jules Bordet 75

76 Sanction Dans quelle mesure? Plaintes: Loi sur la criminalitéinformatique 28/11/2000 faux en informatique fraude Hacking sabotage de données informatiques modification du Code d'instruction criminelle Secret de la correspondance code pénal art. 314 bis Secret des communications loi du 21 mars 1991 Loi vie privée chap VIII, BCSS chap VII Etienne Stanus Institut Jules Bordet 76

77 Normes/ guides de bonnes pratiques Désignent un état habituellement répandu ou moyen considéréle plus souvent comme une règle à suivre. N ont pas valeur contraignante sauf àêtre inscrite explicitement dans la loi Liens utiles Etienne Stanus Institut Jules Bordet 77

78 Normes ISO/CEI 27%%% ISO/CEI : Introduction et vue globale de la famille 27xxx, glossaire des termes (5/2009) ISO/CEI : Norme de certification des SMSI (2005) ISO/CEI : Guide des bonnes pratiques en SMSI (BS 7799, 2005, renumérotation 2007) ISO/CEI : Guide d'implémentation d'un SMSI (3/2010) ISO/CEI : Norme de mesures de management de la sécuritéde l'information (12/7/2009) ISO/CEI : Norme de gestion de risques liés à la sécurité de l'information (5/2011) ISO/CEI : Guide de processus de certification et d'enregistrement (1/12/2011) ISO/CEI : Guide directeur pour l'audit des SMSI (14/11/2011) ISO/CEI : Lignes directrices de vérification en matière de mesures de sécurité (15/10/2011) ISO/CEI : Guide pour l'implémentation de ISO/CEI dans l'industrie des télécommunications (publié le 15/12/2008) ISO/CEI : Guide pour l'implémentation de ISO dans l'industrie de la santé(12 /6/2008) Disponibles sur Etienne Stanus Institut Jules Bordet 78

79 Food and Drug Administration Chapter 21 part 11: «regulations that provide criteria for acceptance by FDA, under certain circumstances of: Subpart B: electronic records, Subpart C: Electronic signatures, and handwritten signatures executed to electronic records as equivalent to paper records handwritten signatures executed on paper Etienne Stanus Institut Jules Bordet 79

80 FDA/HIPAA quelques liens intéressants Site general: FDA guidance for industry: Computerized systems in clinical trials: m htm FDA guidance: General principles of software validation: gulationandguidance/guidancedocuments/ucm p df Health Insurance Portability and Accountability Act Etienne Stanus Institut Jules Bordet 80

81 Où trouver l information de base? ou qu existe-t-il déjàdans l institution / sur le net? Etienne Stanus Institut Jules Bordet 81

82 Sources utiles Direction(s) Comité d éthique Départements (tous! ) Règlement vie privée: Annexe A, loi hôpitaux 1994 Règlement d ordre intérieur, procédures écrites Contrats d achat, de (télé)maintenance, d embauche Gestionnaires de risques / qualité Etienne Stanus Institut Jules Bordet 82

83 Système qualité/ gestion des risques Tout cela existe déjà probablement chez vous! Laboratoire ISO 17025/15189 Manuel de Qualité Formaliser les règles d organisation et les procédures Consolidation de la connaissance Coordinateur Qualité de mener àbien l établissement du manuel de qualité suivre son application et son évolution. Responsabilité des parties Cellule / projet qualité ISO 9000 Cellule/projet sécuritédu patient OMS Service interne/externe de prévention et protection Note: Evolution des normes 2011: draft 15189: Ajout d un volet très «sécuritédu système d information» Etienne Stanus Institut Jules Bordet 83

84 Information Technology Infrastructure V2 Soutien des services (Service Support) Library Fourniture des services (Service Delivery) Gestion des infrastructures informatiques (ICT infrastructure management) Gestion de la sécurité(security management) Point de vue métier (The business perspective) Gestion des applications (Application management) Gestion des actifs logiciels (Software asset management) Planification pour la mise en œuvre des services (Planning to implement service management)) V3 Stratégie des services (Service Strategy) Conception des services (Service Design) Transition des services (Service Transition) Exploitation des services (Service Operation) Amélioration continue des services (Continuous Service Improvement) Le «Service Support Repository»et les «logs d exploitation»sont des mines d informations importantes, mais à trier Etienne Stanus Institut Jules Bordet 84

85 GMSIH / ANAP Groupement pour la modernisation du système d information hospitalier ( ) Missions La mise en cohérence des systèmes d information utilisés par les établissements de santé, la contribution àleur interopérabilitéet leur ouverture, tout en aidant à développer leur sécurité. Favoriser l échange de l information dans les réseaux de santéen vue de l amélioration de la coordination des soins. Délivrables Publication de référentiel; Accompagnement concret dans les établissements ; Représentant dans les organismes de normalisation ; Intégréàl'Agence Nationale d'appui àla Performance des établissements sanitaires et médicosociaux (ANAP) Etienne Stanus Institut Jules Bordet 85

86 _securite_06_2004.zip Etienne Stanus Institut Jules Bordet 86

87 Première auto-évaluation concrète Etienne Stanus Institut Jules Bordet 87

88 Outil en Excel Etienne Stanus Institut Jules Bordet 88

89 Etienne Stanus Institut Jules Bordet 89

90 Etienne Stanus Institut Jules Bordet 90

91 Note Les données présentées ne sont pas représentatives d une entitéparticulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 91

92 Note Les données présentées ne sont pas représentatives d une entitéparticulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 92

93 Note Les données présentées ne sont pas représentatives d une entité particulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 93

94 Note Les données présentées ne sont pas représentatives d une entité particulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 94

95 Note Ne pas mettre la charrue avant les bœufs Etienne Stanus Institut Jules Bordet 95

96 Etienne Stanus Institut Jules Bordet 96

97 Et maintenant? SMSI: Quelques points sensibles Etienne Stanus Institut Jules Bordet 97

98 Mise en place d un SMSI Pour bien commencer Créer / participer «Forum de la sécuritéde l information» Groupes de travail Confidentialité Droits d accès au système d information Dossier / droits patient Bio banques. Etienne Stanus Institut Jules Bordet 98

99 Politique de sécurité cadre GMSIH: Guide méthodologique Politique de Sécurité cadre Politique d autorisation Fiche de poste du conseiller en sécurité de l information KSZ-BCSS: Documents PDF disponibles gratuitement sur Normes minimales de sécurités à respecter par les institutions de sécurité sociale Code éthique de bonne conduite des conseillers en sécurité Information Security Management System Etienne Stanus Institut Jules Bordet 99

100 Etablissement de périmètres Evolution des systèmes d information de santé Système Diogène HUG Prof Jean-Raoul Scherrer, MD Source: ge002.jpg G% pdf Etienne Stanus Institut Jules Bordet 100

101 Analyse de risque Quelques méthodes et outils parmi d autres EBIOS -Expression des Besoins et Identification des Objectifs de Sécurité Outil: EBIOS 2010 Licence Cecill Source: Application des politiques cd sécurité GMSIH MEHARI Méthode harmonisée d'analyse des risques n/ouvrages/type.asp?id=methodes Outil: MEHARI 2010 Licence GNU pour Excel, OpenOffice Autres méthodes: Etienne Stanus Institut Jules Bordet 101

102 Plan de Continuitéd'Activité ou plan de Secours Informatique? Continuité: de quoi? des soins => impératif des activités de support des activités de recherche Cohérence et implication dans et avec le plan «Mise en Alerte Service Hospitalier» Exercices et maintenance Etienne Stanus Institut Jules Bordet 102

103 Plan de Continuitéd'Activité Plan de Secours Informatique Prendre en compte Les possibilités de repli des utilisateurs, Les mesures de contournement pour les métiers le risque sanitaire épidémie, pandémie, risque pour le personnel la gestion de crise (cellules de crise...), la communication de crise, les mesures de contournement pour les métiers, les fonctions transverses (RH, logistique, etc.). Etienne Stanus Institut Jules Bordet 103

104 Transferts / archivages de données Restrictions aux transferts de données en dehors de l UE Vie privée (art L. vie privée 8/12/1992) Factures électroniques (art 60 3 CTVA) Obligation spécifique d archiver dans des lieux déterminés / en Belgique Dossier médical (art 15, 17 et 70 L.C. Hôpitaux 7/8/87) Documents sociaux (art. 22 AR 8/8/1980) Documents revenus imposables (art 315 CIR) Etienne Stanus Institut Jules Bordet 104

105 Classification Actifs Pas toujours simple entre l officiel, l officieux, les prêts, le matériel personnel, la recherche, Information Attention au vocabulaire: Hôpitaux: information publique, comptable/financière, médicoadministrative, médicale, VIP, sensible BCSS: documents Policy Dataclassification, Policy Datasecurity SécuritéFr: Non classifiée + restreint, confidentielle, secret, très secret, «archives incommunicables» SécuritéGb: Not protectively marked + Restricted, Confidential, Secret, Top Secret. SécuritéUSA: Confidential, Secret, Top Secret. Sensible: peut affecter défavorablement la vie privée Etienne Stanus Institut Jules Bordet 105

106 Archivage Règles transversales Droit des tiers Propriété intellectuelle Vie privée Signature électronique Preuve Force probante des documents électroniques en matière de soins de santé Règles spécifiques Par secteur: GMP, pharma, Par type de document: facture, dossier médical Durée de conservation Etienne Stanus Institut Jules Bordet 106

107 Politique d accès, quelques éléments de réflexion (qui, quand, comment?) Les médecins chargés de la mise au point du diagnostic et du traitement des patients; Les étudiants en médecine affectés officiellement à l'institution Les infirmiers, secrétaires médicales, assistants sociaux et autres collaborateurs paramédicaux qui partagent le secret médical, vu leurs fonctions propres relatives aux soins; Les administratifs hospitaliers chargés de la gestion des informations concernant les patients, du fichier d'identification et du suividu séjour des patients, en vue de la facturation et du contentieux; Les chercheurs dans le cadre d'un protocole de recherche clinique ayant fait l'objet d'un avis positif du Comité d'éthique Le personnel informatique chargédu traitement informatisédes données des patients, dans le cadre de l'informatique hospitalière. Le personnel administratif Le conseiller en sécurité de l information Autre? Etienne Stanus Institut Jules Bordet 107

108 Politique d accès, quelques éléments de réflexion (qui, quand, comment?) Le patient concerné; Les médecins traitants ou les praticiens de l'art de guérir désignés par le patient; Les médecins-conseils des organismes assureurs; Les organismes chargés de la gestion des dons d'organes; S'il y a lieu, et dans les cas définis par la loi, Les registres ( cancer, ) les autorités judiciaires; l'inami (données anonymisées); le Ministère de la Santé publique (données anonymisées). Sous traitants Etienne Stanus Institut Jules Bordet 108

109 Confidentialité Patient = personne en situation de fragilité 1 patient hospitalisé 75 personnes ont accès aux informations de santé (1) Cf.: d_ethiq ue_secret_professionnel_brochure_a5_print. pdf (1) Source: Caizergues C., Cianfarani F., Le secret médical, La revue du praticien, 1998, n 4, p.427 Etienne Stanus Institut Jules Bordet 109

110 Budget Accident ou panne matérielle importante : qui n en a pas eut? Virus: Conficker, Stuxnet, sality.gen, Piratage: Virginia Health Professions Database hacking 2009 : 8,257,378 patient records, 35,548,087 prescriptions dérobées, rançon demandée : 10 million $ foudre, inondations: Tubize, novembre 2010 Etienne Stanus Institut Jules Bordet 110

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Aux gestionnaires des hôpitaux

Aux gestionnaires des hôpitaux SPF Santé publique, Sécurité de la Chaîne alimentaire et Environnement Service Télématique, Informatique et Communication dans le secteur des soins de santé Votre lettre du: Votre référence: Eurostation

Plus en détail

ISMS. Normes Minimales. Version 2011. (Information Security Management System)

ISMS. Normes Minimales. Version 2011. (Information Security Management System) ISMS Normes Minimales Version 2011 Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Bochart (BCSS), Costrop (Smals),

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/101 AVIS N 10/21 DU 7 SEPTEMBRE 2010 CONCERNANT LA DEMANDE DU MINISTRE DES AFFAIRES SOCIALES RELATIVE AU PROTOCOLE,

Plus en détail

Liège, le 15 juin 2012. APPEL INTERNE et EXTERNE AUX CANDIDATURES N 2012/095

Liège, le 15 juin 2012. APPEL INTERNE et EXTERNE AUX CANDIDATURES N 2012/095 Centre Hospitalier Universitaire de Liège Domaine Universitaire du Sart Tilman B35 4000 LIEGE 1 www.chuliege.be Département des Ressources Humaines Service Recrutement Liège, le 15 juin 2012 APPEL INTERNE

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System)

ISMS. Normes Minimales. Version 2015 (ISO 27002:2013) (Information Security Management System) ISMS Normes Minimales Version 2015 (ISO 27002:2013) Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Houbaille (BCSS),

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Santé»

Comité sectoriel de la sécurité sociale et de la santé Section «Santé» Comité sectoriel de la sécurité sociale et de la santé Section «Santé» CSSS/11/ DÉLIBÉRATION N 11/66 DU 20 SEPTEMBRE 2011 RELATIVE AU TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL RELATIVES À LA SANTÉ PAR

Plus en détail

Le Workflow comme moteur des projets de conformité

Le Workflow comme moteur des projets de conformité White Paper Le Workflow comme moteur des projets de conformité Présentation Les entreprises sont aujourd'hui soumises aux nouvelles régulations, lois et standards de gouvernance les obligeant à mettre

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section Santé

Comité sectoriel de la sécurité sociale et de la santé Section Santé Comité sectoriel de la sécurité sociale et de la santé Section Santé CSSSS/14/032 DÉLIBÉRATION N 14/016 DU 18 FÉVRIER 2014 PORTANT SUR LE RÈGLEMENT DU PARTAGE DE DONNÉES DE SANTÉ ENTRE LES SYSTÈMES DE

Plus en détail

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10 ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) 2015 Version control please always check if you re using the latest version Doc. Ref.

Plus en détail

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy) ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) P 1 1 Définition de la sécurité de l'information L'information est une ressource qui,

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/14/137 DÉLIBÉRATION N 07/003 DU 9 JANVIER 2007, MODIFIÉE LE 2 FÉVRIER 2010, LE 5 JUILLET 2011 ET LE 7 OCTOBRE 2014,

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel : La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients

Plus en détail

Politique de sécurité de l information

Politique de sécurité de l information 5, Place Ville Marie, bureau 800, Montréal (Québec) H3B 2G2 T. 514 288.3256 1 800 363.4688 Téléc. 514 843.8375 www.cpaquebec.ca Politique de sécurité de l information Émise par la Direction, Gestion des

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (3ième édition) Généralités sur la sécurité informatique 1. Introduction 15 2. Les domaines et normes associés 18 2.1 Les bonnes pratiques ITIL V3 18 2.1.1 La stratégie des services (Service Strategy) 19 2.1.2 La conception

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale 1 Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/11/001 DÉLIBÉRATION N 11/001 DU 11 JANVIER 2011 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR LA

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/12/205 DÉLIBÉRATION N 12/057 DU 3 JUILLET 2012 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL AU SERVICE

Plus en détail

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services

ISO/CEI 20000-1 NORME INTERNATIONALE. Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services NORME INTERNATIONALE ISO/CEI 20000-1 Deuxième édition 2011-04-15 Technologies de l'information Gestion des services Partie 1: Exigences du système de management des services Information technology Service

Plus en détail

Politique de sécurité

Politique de sécurité Politique de sécurité 1. Environnement Un CPAS dépend pour son bon fonctionnement d'un ensemble d'éléments: - de son personnel et son savoir-faire (expérience); - de ses informations (données sociales,

Plus en détail

Opportunités s de mutualisation ITIL et ISO 27001

Opportunités s de mutualisation ITIL et ISO 27001 Opportunités s de mutualisation ITIL et ISO 27001 Club ISO 27001 Paris,19 avril 2007 Alexandre Fernandez-Toro Rappels sur l ISO l 27001 Norme précisant les exigences pour La

Plus en détail

ITIL : Premiers Contacts

ITIL : Premiers Contacts IT Infrastructure Library ITIL : Premiers Contacts ou Comment Optimiser la Fourniture des Services Informatiques Vincent DOUHAIRIE Directeur Associé vincent.douhairie douhairie@synopse. @synopse.fr ITIL

Plus en détail

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition)

La sécurité informatique dans la petite entreprise Etat de l'art et Bonnes Pratiques (2ième édition) Généralités sur la sécurité informatique 1. Introduction 13 2. Les domaines et normes associés 16 2.1 Les bonnes pratiques ITIL V3 16 2.1.1 Stratégie des services - Service Strategy 17 2.1.2 Conception

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

L analyse de risques avec MEHARI

L analyse de risques avec MEHARI L analyse de risques avec MEHARI Conférence Clusif : MEHARI 2010 Marc Touboul - marc.touboul@bull.net Responsable du Pôle Conseil Organisation SSI Bull, 2010 agenda Bull Pôle Conseil SSI Un exemple de

Plus en détail

Politique d'utilisation des dispositifs mobiles

Politique d'utilisation des dispositifs mobiles ISMS (Information Security Management System) Politique d'utilisation des dispositifs mobiles Version control please always check if you are using the latest version. Doc. Ref. :isms.0046.politique utililisation

Plus en détail

CONVENTION D'UTILISATION FAS

CONVENTION D'UTILISATION FAS CONVENTION D'UTILISATION Objectif du document : Une convention d'utilisation est un contrat spécifique à un service qui stipule les conditions liées à l'utilisation d'un service spécifique de Fedict. Il

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/09/128 DÉLIBÉRATION N 09/067 DU 3 NOVEMBRE 2009 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL DES REGISTRES

Plus en détail

COMMENTAIRES RELATIFS AUX AVIS 7 ET 8 DE LA COMMISSION «NORMES EN MATIERE DE TELEMATIQUE AU SERVICE DES SOINS DE SANTE»

COMMENTAIRES RELATIFS AUX AVIS 7 ET 8 DE LA COMMISSION «NORMES EN MATIERE DE TELEMATIQUE AU SERVICE DES SOINS DE SANTE» SPF SANTE PUBLIQUE, Bruxelles, le 10/11/2005 SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT --- Direction générale de l Organisation des Etablissements de Soins --- CONSEIL NATIONAL DES ETABLISSEMENTS

Plus en détail

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008

Forum Suisse pour le Droit de la Communication. Séminaire du 28 novembre 2008 Forum Suisse pour le Droit de la Communication Université de Genève Séminaire du 28 novembre 2008 Devoirs et responsabilités des organes de sociétés en matière de sécurité informatique Wolfgang Straub

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes Table des matières 1. Objet de la politique... 4 2. Cadre légal et règlementaire...

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section Santé

Comité sectoriel de la sécurité sociale et de la santé Section Santé Comité sectoriel de la sécurité sociale et de la santé Section Santé CSSSS/15/023 DÉLIBÉRATION N 15/009 DU 17 FÉVRIER 2015 RELATIVE À LA MÉTHODE GÉNÉRIQUE D'ÉCHANGE DE DONNÉES À CARACTÈRE PERSONNEL CODÉES

Plus en détail

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4 Catalogue de critères pour la reconnaissance de plateformes alternatives Annexe 4 Table des matières 1 Objectif et contenu 3 2 Notions 3 2.1 Fournisseur... 3 2.2 Plateforme... 3 3 Exigences relatives à

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» SCSZ/09/042 DELIBERATION N 09/030 DU 5 MAI 2009 RELATIVE A LA COMMUNICATION DE DONNEES A CARACTERE PERSONNEL PAR LA BANQUE

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/07/183 DÉLIBÉRATION N 07/070 DU 4 DÉCEMBRE 2007 CONCERNANT LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR LES

Plus en détail

Vu la demande de l'agentschap Binnenlands Bestuur, reçue le 24/02/2012 ;

Vu la demande de l'agentschap Binnenlands Bestuur, reçue le 24/02/2012 ; 1/7 Comité sectoriel du Registre national Délibération RN n 39/2012 du 9 mai 2012 Objet : demande d'autorisation formulée par l'agentschap voor Binnenlands Bestuur (Agence des Affaires intérieures) de

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS

SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS SÉCURITÉ, COLLECTIVITÉS LOCALES ET ETABLISSEMENTS PUBLICS 04 / 06 / 2015 V1.0 www.advens.fr Document confidentiel Advens 2015 Conclusion: Yes we can! Des nombreux risques peuvent impacter la sécurité de

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

données à caractère personnel (ci-après LVP), en particulier l'article 29 ; Avis n 53/2014 du 3 septembre 2014

données à caractère personnel (ci-après LVP), en particulier l'article 29 ; Avis n 53/2014 du 3 septembre 2014 1/12 Avis n 53/2014 du 3 septembre 2014 Objet: Projet d'arrêté du Gouvernement wallon présentant le projet de décret insérant certaines dispositions dans le Code wallon de l'action sociale et de la Santé,

Plus en détail

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations DDN/RSSI Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations Page 1 10/03/2015 SOMMAIRE. Article I. Définitions...3 Section I.1 Administrateur...3 Section

Plus en détail

ISO 17799 la norme de la sécurité de l'information

ISO 17799 la norme de la sécurité de l'information ISO 17799 la norme de la sécurité de l'information Maury Infosec Conseils en sécurité de l'information La sécurité de l information L information constitue le capital intellectuel de chaque organisation.

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/11/070 DELIBERATION N 09/029 DU 2 JUIN 2009, MODIFIÉE LE 7 JUIN 2011, RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/09/030 DELIBERATION N 09/021 DU 7 AVRIL 2009 RELATIVE A L ACCÈS AUX REGISTRES BANQUE-CARREFOUR DANS LE CHEF DE L ASBL

Plus en détail

ISO 27002 // Référentiels de la santé

ISO 27002 // Référentiels de la santé ISO 27002 // Référentiels de la santé Vue des établissements de santé Club 27001 27/03/2015 Nicole Genotelle Version 1.0 Sommaire Contexte Thématiques 27002 // référentiels de santé Exemples de mise en

Plus en détail

données à caractère personnel (ci-après la «LVP»), en particulier l'article 31bis ;

données à caractère personnel (ci-après la «LVP»), en particulier l'article 31bis ; 1/11 Comité sectoriel du Registre national Délibération RN n 38/2015 du 17 juin 2015 Objet: Demande d autorisation émanant de la Direction de l'economie sociale du Département du Développement économique

Plus en détail

Directives destinées aux dépositaires

Directives destinées aux dépositaires Directives destinées aux dépositaires pour évaluer leur conformité avec la Loi sur l accès et la protection en matière de renseignements personnels sur la santé (LAPRPS) Le présent document vise à aider

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/09/102 DÉLIBÉRATION N 09/055 DU 1 ER SEPTEMBRE 2009 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

données à caractère personnel (ci-après la LVP), en particulier l'article 30 ; 1/8 Recommandation n 01/2013 du 21 janvier 2013 Objet : Recommandation d'initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données (CO-AR-2013-001) La Commission de

Plus en détail

Sécurité des ordinateurs portables

Sécurité des ordinateurs portables ISMS (Information Security Management System) Sécurité des ordinateurs portables 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.025.laptop Release Status Date

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale 1 Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/12/207 DÉLIBÉRATION N 12/059 DU 3 JUILLET 2012 RELATIVE À LA COMMUNICATION DE CERTAINES DONNÉES À CARACTÈRE PERSONNEL

Plus en détail

fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection de la vie privée ;

fonctionnement de certains comités sectoriels institués au sein de la Commission de la protection de la vie privée ; 1/7 Comité sectoriel du Registre national Délibération RN n 85/2014 du 29 octobre 2014 Objet: Demande de la SCRL ORES afin d être autorisée à accéder à certaines informations du Registre national et d

Plus en détail

Gestion de la sécurité de l information dans une organisation. 14 février 2014

Gestion de la sécurité de l information dans une organisation. 14 février 2014 Gestion de la sécurité de l information dans une organisation 14 février 2014 Agenda Systèmes d information Concepts de sécurité SI Gestion de la sécurité de l information Normes et méthodes de sécurité

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale 1 Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/14/048 DÉLIBÉRATION N 12/039 DU 5 JUIN 2012, MODIFIÉE LE 1 ER AVRIL 2014, RELATIVE À LA COMMUNICATION DE DONNÉES À

Plus en détail

Vu le rapport d auditorat de la Banque Carrefour de la sécurité sociale du 21 décembre 2006;

Vu le rapport d auditorat de la Banque Carrefour de la sécurité sociale du 21 décembre 2006; CSSS/07/005 DÉLIBÉRATION N 07/003 DU 9 JANVIER 2007 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR LES ORGANISMES ASSUREURS AUX DISPENSATEURS DE SOINS EN VUE DE LA DÉTERMINATION DU STATUT

Plus en détail

Maîtriser les conditions d application du décret hébergeur dans les coopérations

Maîtriser les conditions d application du décret hébergeur dans les coopérations ENJEUX Le cadre légal de l'hébergement des données de santé à caractère personnel est fixé par l article L.1111-8 du code de la santé publique, précisé par le décret 2006-6 du 4 janvier 2006 s agissant

Plus en détail

Politique de protection des postes de travail

Politique de protection des postes de travail ISMS (Information Security Management System) Politique de protection des postes de travail 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.039.workstation.fr

Plus en détail

INF4420: Sécurité Informatique

INF4420: Sécurité Informatique INF4420: Pratique de la : Principes de gestion - Cadre légal et déontologique José M. Fernandez D-6428 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7

Plus en détail

Fedict également à votre service

Fedict également à votre service Fedict également à votre service 16 décembre 2014 1 Only Once Législation 2 Législation Only Once Loi du 5 mai 2014 Objectifs Champ d application Principes de base Vie privée Caractère contraignant et

Plus en détail

30 avril 2015 Rencontre avec les magistrats

30 avril 2015 Rencontre avec les magistrats 30 avril 2015 Rencontre avec les magistrats Projet de recommandation (interinstituts) relative aux missions du réviseur d entreprises, de l expert-comptable externe, du conseil fiscal externe, du comptable

Plus en détail

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI Approche Méthodologique de la Gestion des vulnérabilités Jean-Paul JOANANY - RSSI Generali un grand nom de l Assurance Le Groupe Generali Generali en France 60 pays 65 millions de clients 80.000 collaborateurs

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/08/061 DÉLIBÉRATION N 08/019 DU 8 AVRIL 2008 RELATIVE À LA COMMUNICATION DE CERTAINES DONNÉES À CARACTÈRE PERSONNEL

Plus en détail

ITIL V2. Historique et présentation générale

ITIL V2. Historique et présentation générale ITIL V2 Historique et présentation générale Création : novembre 2004 Mise à jour : août 2009 A propos du document Ce document de référence sur le référentiel ITIL a été réalisé en 2004 et la traduction

Plus en détail

Le nouveau règlement sur la protection des données personnelles : Quel impact pour la sécurité?

Le nouveau règlement sur la protection des données personnelles : Quel impact pour la sécurité? Le nouveau règlement sur la protection des données personnelles : Quel impact pour la sécurité? Jean-Marc Suchier Samuel Vinson 23 janvier 2013 AGENDA Principales nouveautés du Règlement et de la Directive

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section "santé"

Comité sectoriel de la sécurité sociale et de la santé Section santé Comité sectoriel de la sécurité sociale et de la santé Section "santé" CSSSS/12/291 DÉLIBÉRATION N 12/082 DU 18 SEPTEMBRE 2012 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL RELATIVES À LA

Plus en détail

Politique sur la protection des renseignements personnels

Politique sur la protection des renseignements personnels Page : 1 de 9 Émis : 2014-09-22 Note : Les textes modifiés d une politique existante sont identifiés par un trait vertical dans la marge de gauche. A. PRÉAMBULE La Charte des droits et libertés de la personne

Plus en détail

Financial Management Budgeting- Accounting- Charging. Service Level Management Management. Problem Management

Financial Management Budgeting- Accounting- Charging. Service Level Management Management. Problem Management Ce cours est une introduction aux notions d ITIL pour les stagiaires impliqués dans la gestion d un Infrastructure technique, qui veulent devenir familiers avec les notions exhaustives des meilleures pratiques

Plus en détail

Avis concernant la publicité des rapports annuels des médiateurs

Avis concernant la publicité des rapports annuels des médiateurs 22 06 2012 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT --- DIRECTION GÉNÉRALE DE L ORGANISATION DES ETABLISSEMENTS DE SOINS --- COMMISSION FEDERALE «DROITS DU PATIENT» Avis concernant

Plus en détail

Vu la demande d'avis technique et juridique adressée au Service public fédéral Intérieur en date du 26 novembre 2014 ;

Vu la demande d'avis technique et juridique adressée au Service public fédéral Intérieur en date du 26 novembre 2014 ; 1/10 Comité sectoriel du Registre national Délibération RN n 21/2015 du 25 mars 2015 Objet: Autorisation générale d utilisation du numéro d identification du Registre national dans le cadre du recours

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/08/199 DELIBERATION N 08/076 DU 2 DECEMBRE 2008 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL DE LA

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI

Plus en détail

Organisme de formation : n 11 92 19791 92. Déclaration d activité enregistrée auprès du Préfet de région Ile de France

Organisme de formation : n 11 92 19791 92. Déclaration d activité enregistrée auprès du Préfet de région Ile de France ASCORA RISQUES MANAGEMENT CONSEIL AUDIT FORMATION 2015 Une démarche unique, globale et intégrée de management des risques créatrice de valeur Des prestations essentiellement effectuées au sein de votre

Plus en détail

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security

Plus en détail

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information Politique de sécurité de l information et des technologies Direction des systèmes et technologies de l information Adoptée par le conseil d administration le 17 février 2015 Responsable Document préparé

Plus en détail

SECRET PROFESSIONNEL ET DEVOIR DE DISCRÉTION : NOUS SOMMES TOUS CONCERNÉS!

SECRET PROFESSIONNEL ET DEVOIR DE DISCRÉTION : NOUS SOMMES TOUS CONCERNÉS! SECRET PROFESSIONNEL ET DEVOIR DE DISCRÉTION : NOUS SOMMES TOUS CONCERNÉS! ET SI LE PATIENT, C ÉTAIT VOUS? Brochure d information Rubrique 1 Secret professionnel et devoir de discrétion : pourquoi? Le

Plus en détail

Charte d utilisation. des moyens informatiques. de l'université de la Polynésie Française

Charte d utilisation. des moyens informatiques. de l'université de la Polynésie Française Charte d utilisation des moyens informatiques de l'université de la Polynésie Française 1. Préambule La présente charte est avant tout un code de bonne conduite. Elle a pour objet de préciser la responsabilité

Plus en détail

Project Server 2013 Implémenter, administrer et utiliser la solution Microsoft de gestion de projets

Project Server 2013 Implémenter, administrer et utiliser la solution Microsoft de gestion de projets Introduction à Project Server 1. La gestion de projets par Microsoft 11 1.1 Une histoire liée à l'évolution des organisations 11 1.2 Fonctionnalités de Project Server 2013 14 2. Concepts et terminologie

Plus en détail

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC TABLE DES MATIÈRES CONTENU 1 PRÉAMBULE ----------------------------------------------------------------------------------------- 3 1.1 Définitions

Plus en détail

SITUATION DES PROJETS DU REGISTRE NATIONAL.

SITUATION DES PROJETS DU REGISTRE NATIONAL. SITUATION DES PROJETS DU REGISTRE NATIONAL. ETAT DE LA SITUATION DE QUELQUES PROJETS DU SERVICE DU REGISTRE NATIONAL. PRESENTATION AU COMITE DES UTILISATEURS DU R.N. LE 16 MARS 2007. Liste des projets.

Plus en détail

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005

Accès réseau Banque-Carrefour par l Internet Version 3.2. 06/06/2005 ISMS (Information Security Management System) Utilisation de l Internet comme moyen d accès au réseau de la Banque-Carrefour de la sécurité dans le cadre du traitement de données à caractère personnel

Plus en détail

Programme Informatique de la Faculté de biologie et de médecine (Charte informatique)

Programme Informatique de la Faculté de biologie et de médecine (Charte informatique) Programme Informatique de la Faculté de biologie et de médecine () L informatique est un domaine transversal complexe en rapide évolution qui a une influence directe sur le bon accomplissement des objectifs

Plus en détail