SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT. Session d information Conseillers en sécurité 24/02/2012

Dimension: px
Commencer à balayer dès la page:

Download "SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT. Session d information Conseillers en sécurité 24/02/2012"

Transcription

1 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1 Session d information Conseillers en sécurité 24/02/2012

2 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2 Ordre du jour - Introduction - Le conseiller en sécurité : - Feedback profils CS reçus - Explication fonction CS - Formations prévues - - Pause - Sécurité de l information en milieu hospitalier : Par où commencer? - Contexte légal - Exemples réels..9h30..9h40..10h..11h..11h15..12h15

3 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires Loi du 15 janvier 1990 instituant la banque-carrefour art. 4 5 Toute autorité publique, personne physique et organisme public ou privé qui a accès aux données d identification des registres Banque-Carrefour ou en obtient la communication désigne, parmi ses membres du personnel ou non, un conseiller en matière de sécurité de l information et de protection de la vie privée L identité de ce conseiller en matière de sécurité de l information et de protection de la vie privée est communiquée à la section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé art er, 8 La section sécurité sociale du comité sectoriel de la sécurité sociale et de la santé est chargée, en vue de la protection de la vie privée, de vérifier si les conseillers en sécurité reçoivent la formation permanente adéquate et travaillent de façon coordonnée ; à défaut, de prendre toutes mesures utiles pour assurer cette formation adéquate ou réaliser la coordination, notamment technique

4 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires AR du 23 octobre 1964 fixant les normes générales des hôpitaux Inséré par AR du 16 décembre 1994 Tout hôpital doit, en ce qui concerne le traitement des données à caractère personnel relatives aux patients, en particulier des données médicales, disposer d un règlement relatif à la protection de la vie privée Ce règlement (et toutes les modifications qui y sont apportées) doit être transmis à la Commission pour la supervision et l évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux Cette commission tient les règlements à la disposition de la Commission de la protection de la vie privée Le maître du fichier désigne un conseiller en sécurité chargé de la sécurité de l information; celui-ci conseille le responsable de la gestion journélière sur tous les aspects de la sécurité de l information La mission du conseiller en sécurité peut être précisée par arrêté royal

5 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 1. Bases légales et réglementaires AR du 12 février 2008 : communication par les hôpitaux de l identité des personnes chargées de la communication des données se rapportant à l établissement Le gestionnaire de chaque hôpital communique au Ministre qui a la santé publique dans ses attributions, l identité et les coordonnées du conseiller en sécurité visé à l annexe de l AR du 23 octobre 1964; toute modification relative aux personnes susmentionnées doit être communiquée dans le mois Protocole Carenet entre O.A. et hôpitaux (19 avril 2001) La surveillance des conditions techniques en matière de mode d enregistrement, de traitement et de conservation des données, ainsi au de l enregistrement et de l octroi de certificats doit être assurée par le conseiller en sécurité Les hôpitaux doivent communiquer à l Administrateur général de l INAMI les nom, prénom, qualité de leursconseillers en sécurité; toute modification intervenant dans ces données doit être communiquée dans les 15 jours.

6 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2. Problématique actuelle Décision du Comité sectoriel de la sécurité sociale et de la santé Le 5 juillet 2011, le comité sectoriel de la sécurité sociale et de la santé a décidé que, à partir du 31 mai 2012, les hôpitaux ne pourront plus obtenir la communication des données à caractère personnel s ils ne disposent pas d un conseiller en sécurité de l information et d un plan de sécurité qu ils tiennent à la disposition du comité sectoriel NB : l accès aux données à caractère personnel concerne notamment l identité des patients, les données relatives au MAF et à l assurabilité permettant de déterminer le statut du patient pour l application du tierspayant Suite à cette décision, le comité sectoriel a demandé au SPF Santé publique d envoyer une circulaire aux hôpitaux pour leur rappeler leurs obligations leur faire part de la décision prise par le comité sectoriel le 5 juillet 2011 leur demander de compléter un questionnaire visant à évaluer le degré de formation et de compétences des conseillers en sécurité

7 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 2. Problématique actuelle Autres constats Le SPF dispose bien d une liste de noms des conseillers en sécurité des hôpitaux (sauf 2 hôpitaux), mais cette liste n est pas à jour : les hôpitaux n ont pas explicitement communiqué les modifications Dans l enquête statistique annuelle, les hôpitaux sont tenus de renseigner chaque année le nom et la formation de leur responsable de la sécurité des données médicales et du responsable de la sécurité des données administratives, mais ne parle pas du conseiller en sécurité La «Commission pour la supervision et l évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux» n existe plus et les hôpitaux ne transmettent plus de mise à jour de leur règlement

8 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 3. Circulaire aux hôpitaux Circulaire du 9 septembre 2011 Le SPF a effectivement transmis une circulaire aux hôpitaux en date du 9 septembre 2011 pour : rappeler les dispositions légales en matière de conseillers en sécurité faire part de la décision du comité sectoriel demander l identité des conseillers en sécurité et de préciser leur niveau de formation et de compétences pour assurer la fonction Par cette même circulaire, le SPF s est engagé à : coordonner les données récoltées par le SPF, le comité sectoriel de la sécurité sociale et de la santé et l INAMI pour identifier les manquements et les besoins organiser une session d information pour identifier les besoins de formation des conseillers en sécurité et rappeler leurs missions mettre en place un groupe de travail avec des conseillers en sécurité pour déterminer de «bonnes pratiques» en matière de sécurité de l information

9 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 4. Où en est-on aujourd hui? Réponses des hôpitaux à la circulaire Suite à la circulaire, près de 70% des hôpitaux ont communiqué les informations relatives à l identité, la formation et les domaines de compétences de leur conseiller en sécurité (actuellement, 60 hôpitaux n ont pas répondu!!) Mise en commun des bases de données SPF, INAMI et comité sectoriel Le SPF a attiré l attention des autres instances sur la caractère redondant des exigences et la nécessité d une simplification administrative L INAMI a fait part de son intention de supprimer l obligation (prévue dans l annexe au Protocole Carenet) de communiquer l identité du conseiller en prévention à l administrateur général de l INAMI Sur la base des réponses fourniers par les hôpitaux, le SPF et la banquecarrefour travaillent ensemble à la constitution d une source authentique : une base de données unique qui devra être tenue à jour par les hôpitaux

10 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 4. Où en est-on aujourd hui? Organisation d une session d information Journée de ce 24 février 2012 préparée en collaboration avec cellule «sécurité des données» de la banque carrefour sur la base des réponses à la circulaire fournies par les hôpitaux afin d identifier les besoins de formation des conseillers en sécurité des hôpitaux et d élaborer un programme de formation adapté Groupe de travail de conseillers en sécurité Sera constitué sur la base de l expertise présente au sein du secteur Missions de soutien aux hôpitaux pour rencontrer leurs obligations, par ex. : identification et diffusion de bonnes pratiques définition d une description de fonction des conseillers en sécurité réappropriation de la norme ISO pour le secteur hospitalier belge définition de normes de référence

11 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 5. Au programme de la session d information Evaluation de la situation du secteur sur la base des informations transmises par les hôpitaux Fonction et rôles du conseiller en sécurité dans les différents environnement Proposition d offre de formation, souple et modulaire Spécificités du secteur de la santé et contraintes légales Outils d aide pour les conseillers en sécurité

12 Le conseiller en sécurité Un métier Une fonction Un rôle dans une organisation Michel Brouyère Conseiller en sécurité a.d. Chaussée Saint Pierre, 375, Sint-Pieterssteenweg B-1040 Bruxelles, Brussel Website ehealth-platform: https://www.ehealth.fgov.be

13 Agenda de l exposé Introduction Sécurité les risques augmentent!!! Fonction du conseiller Rôle du conseiller en sécurité de l'information Autres fonctions impliquées dans l organisation Processus de désignation et suivi Groupe de travail Contenu du cours sécurité de l information Examen des modules 24/02/

14 Des fichiers informatiques de la N-VA dérobés A la section anversoise de la N-VA, des fichiers informatiques confidentiels du parti ont été volés. Il s agit de projets de textes pour le congrès du 21 avril, ainsi que de listes de membres. Les initiés parlent déjà d espionnage politique. Awareness 24/02/

15 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité conseille le responsable de la gestion journalière au sujet de tous les aspects de la sécurité de l'information. Ceci implique une mission d avis, de stimulation, de documentation et de contrôle le conseiller en sécurité promeut le respect des règles de sécurité imposées par une disposition légale ou règlementaire ou en vertu d une telle disposition, ainsi que l adoption, par les personnes employées dans l hôpital, d un comportement favorisant la sécurité. 24/02/

16 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité travaille en étroite collaboration avec les services qui requièrent, ou peuvent requérir, son intervention, en particulier avec le service informatique et le service de sécurité d hygiène et d embellissement des lieux de travail de l hôpital. Le conseiller en sécurité doit disposer d une connaissance suffisante de la structure informatique de l hôpital ainsi que de la sécurité de l information. Il doit en permanence tenir cette connaissance à jour. 24/02/

17 Fonction (extrait de la lettre du Ministère) Le conseiller en sécurité rédige un projet de plan de sécurité pour une certaine durée, à l attention du responsable de la gestion journalière, en spécifiant sur base annuelle les moyens nécessaires à la réalisation du plan. une mission à 40% apparaît être le minimum 24/02/

18 Conseiller en sécurité de l information (métier) Interprétation de la réglementation en matière de sécurité de l'information sur mesure de l'organisation Proposer une stratégie de sécurisation Prendre des initiatives autour de la sécurité de l'information Coordonner des activités autour de la sécurité de l'information Gestionnaire de "information security management system" (ISMS) Gestionnaire de la politique pour la sécurité de l'information (ISP) Donner des conseils en matière de sécurité Établir une collaboration entre les organisations interne et externe Organiser des trainings de conscientisation en matière de sécurité à tous les niveaux de l'organisation Inspirateur de la "Plateforme pour la sécurité de l'information" 24/02/

19 Conseiller en sécurité de l information (métier) Préparer/proposer un budget annuel pour la sécurité de l'information Identifier les risques de sécurité et les mettre en relief Accompagnement interne, recherche, audit Préparer des audits externes indépendants de sécurité de l'information et suivre les recommandations Tâches spécifiques de la Sécurité sociale Suivi des normes minimales Questionnaire annuel Planning Recherche d'infractions possibles à la sécurité en matière de confidentialité, d'intégrité, d'autorisation,... à la demande de la Direction, du tribunal,... sur la base de procédures approuvées Suivi de l'évolution des menaces, des contre-mesures, des systèmes,... 24/02/

20 Plateforme pour la sécurité de l information Déléguer des responsabilités Offrir un soutien au management lors du processus de sécurisation Développer des objectifs, des stratégies et des directives de sécurité Évaluer des rapports de sécurité et contrôler dans quelle mesure de l'information importante est exposée ainsi que son impact business Définir le statut des différentes initiatives de sécurité Évaluer les incidents de sécurité importants Approuver toutes les modifications apportées à la politique de sécurité IT 24/02/

21 Rôle de la direction Un soutien clair et un comportement exemplaire de la direction est nécessaire pour pouvoir conduire la sécurité de l'information 24/02/

22 Incident Response Team Gestion en cas d'incident grave Estimation de la situation Limitation des dommages Assurance de la continuité Rétablissement de la situation normale Actions d'amélioration 24/02/

23 Autres fonctions impliquées Responsable systèmes Service achats Service juridique Project manager Développement Production 24/02/

24 Processus de désignation & accompagnement Envoi de la candidature par l hôpital Examen de la candidature par le comité sectoriel Approbation du conseiller Mise en place des formations Calendrier 24/02/

25 Situation fin février Une centaine d hôpitaux ont soumis leur candidature Formation prévisible sur base des CV: 40 % des candidats français néerlandais Informatique 18,66% 32,26% Informatique médicale 47,62% 61,54% Soins de santé 49,21% 45,09% Sécurité de l information 38,55% 39,13% Quelques formations ont été données dans le domaine médical 24/02/

26 Groupe de travail Constitution prochaine d un groupe de travail, regroupant les conseillers en sécurité des hôpitaux, en vue de déterminer, après approbation par la section santé du comité sectoriel de la sécurité sociale et de la santé, les bonnes pratiques en matière de sécurité de l information Appel à candidats 24/02/

27 Objectifs du groupe de travail Approfondissement du cadre légal en sécurité dans le domaine de la santé Mise en place de normes minimales Définition de polices de sécurité pour le domaine ehealth Gestion des utilisateurs; Serveurs; Cloud computing; Wifi policies ; Classification des données; Incidents de sécurité. 24/02/

28 Les formations proposées Formation modulaire Module 1 : les bases de l informatique Module 2 : informatique médicale (combiné avec 1) - 2 jours Module 3 : les soins de santé : aspects légaux & cas pratique - 1 jour Module 4 : Sécurité de l information - 5 jours Planning 24/02/

29 Sécurité de l information (contenu) Cours basé sur ISO Intègre des exercices et cas pratiques Les différents modules: 1. Méthodologie 2. Organisation de la sécurité 3. Gestion des ressources de l entreprise (asset management) 4. Sécurité liée au personnel 5. Sécurité physique et environnement 6. Sécurité liée au développement de projet 7. Gestion opérationnelle 8. Sécurité des accès logiques 9. Gestion des incidents 10. Continuité 11. Conformité et contrôle 24/02/

30 Module 1: méthodologie Approche (ISO 2700X) Mise en place d un ISMS et d une politique de sécurité de l'information (ISP) Choix d une méthode d analyse de risque adaptée Eléments pratiques 24/02/

31 Objectif: offre intégrale L'information security management couvre tous les aspects de sécurité (humain logique physique) Vue générale sur tous les risques de sécurité dans l'organisation Vue générale sur : Tout ce qui a été fait Tout ce qui doit être amélioré Sur tous les risques acceptés 24/02/

32 Objectif: offre intégrale 24/02/

33 Module 2 : organisation Objectif: mise en place d'un service (d'une plate forme) pour gérer les risques liés à la sécurité de l'information Analyse des responsabilités Définir les rôles de chacun: RACI matrice (direction, département sécurité, développeurs, fournisseurs etc.) Implication dans le recrutement (contrat de travail) Mise en place d une cellule de gestion des incidents Mise en place d un groupe de sécurité ISMS et l ISP processus de mise en place et de suivi 24/02/

34 Module 3 : gestion des ressources de l entreprise Examen des ressources de l entreprise Alignement sur l information security policy Inventaire des valeurs et des moyens y compris humains Classification des données Mesures de sécurité 24/02/

35 Information Security Policy (ISP) La gestion des ressources a pour objet le maintien d'une protection adéquate de ces ressources. Dans le contexte de ehealth, des données confidentielles sont manipulées. La manipulation de ces données est soumise à une législation spécifique, entre autres en rapport avec la vie privée, qui inclut la législation des données médicales. Les ressources doivent être inventoriées et classifiées (également pour la gestion de la continuité). Les données sont traitées en accord avec leur classification. 24/02/

36 Ressources de l entreprise Moyens de protection Environnement physique par localisation Environnement : air conditionné, générateur etc Ressources humaines par rôles responsabilités fonctions Documentation classifiée par degré de sensibilité Les ressources médicales Questions : que protéger? Quelles informations et sources d informations sont critiques? 24/02/

37 Software Ressources de l entreprise Operating systems, Applications Database Par fournisseurs, types Réseaux VLANs, switches, routers, hubs Communication PBX, laser links, fax, modems 24/02/

38 Mesures Désigner des propriétaires Attribuer une classification initiale et la revoir régulièrement Classifier les données Autorité pour l'approbation des demandes d'accès et des modalités d'utilisation Rôle entre autres du comité sectoriel Critères d'accès Authentification / autorisation / chiffrement / irréfutabilité Mesures de sécurité techniques Stockage de données Communication de données Supprimer des données Archiver 24/02/2012 Attention à l'impression et au papier! 38 38

39 Module 4 : sécurisation relative au personnel But: prévenir tout accès non autorisé et dommage à la propriété (information et matériel) d'une institution. Confidentialité Intégrité Disponibilité Limitation des risques à la suite d'erreurs humaines, de vol, de fraude ou d'un usage inapproprié / abus Conscience des menaces et risques concernant la sécurité de l'information Coupler la conscience à la responsabilité Voir la partie consacrée à l'organisation Formation et moyens pour pouvoir respecter l'isp dans le cadre de leur mission... 24/02/

40 Matière examinée Risque personnel pour le collaborateur Menaces et faiblesses Exploitation des faiblesses Sécurisation par l'utilisateur final Environnement physique Authentification Messagerie électronique Surf Social engineering Les politiques de sécurité (accès internet, mot de passe, usage du mail,etc ) 24/02/

41 Module 5 : sécurité physique But de la sécurité physique Répartir la sécurité physique en zones Contrôle physique des accès Sécurisation de différents types de locaux Protection contre des menaces externes Travailler dans des zones sécurisées Accès public et livraisons 24/02/

42 Module 6 : sécurisation des projets Objectif Les systèmes / applications doivent être sécurisés depuis l'architecture à l'implémentation Les Malware et risques Développement de systèmes Sécurisation technique Regard sur toutes les couches OSI 24/02/

43 Scope et mise en place Le soutien de la sécurisation s'impose depuis le début Lorsque la sécurité est ajoutée par la suite, cela augmente considérablement la complexité Les attaques sont de nature variée entre autres : Malware Exploitation des faiblesses de la sécurisation de l'infrastructure Sécurité : à prévoir dans le cycle de vie complet et dans toutes les facettes du système / de l'application Concept Architecture Conception Développement Tests Déploiement Gestion Les systèmes / applications doivent être sécurisés depuis l'architecture à l'implémentation 24/02/

44 Module 7 : gestion opérationnelle Une gestion correcte de l'environnement ICT est d'une importance capitale afin de garantir la sécurité de l'information. Approche structurée Les processus importants en sécurité de l information ITIL(Information Technology Infrastructure Library), CobiT(Control Objectives for Information and related Technology) 24/02/

45 Processus Information Technology Infrastructure Library (ITIL) Cadre de référence pour la mise en place des processus de gestion dans une organisation ICT ITIL n'est pas une méthode ou un modèle mais une série de best practices Service Delivery. - Capacity Management - Availability Management - IT Service Continuity Management (ITSCM) - Service Level Management - Security Management Service Support. - Change Management - Release Management - Problem Management - Incident Management - Configuration Management - Service Desk 24/02/

46 Processus Information Technology Infrastructure Library (ITIL) Planning to Implement Service Management. Security Management. ICT Infrastructure Management. - Network service Management - Operations Management - Management of local processors - Computer installation and acceptance - Systems Management The Business Perspective. Application Management. Software Asset Management 24/02/

47 Module 8 : sécurité des accès Confidentialité, intégrité, authenticité - définitions Introduction à la cryptographie Authentification Moyens d'identification Autorisations Examen d exemples, cas pratiques Législation et logging 24/02/

48 Module 9 : gestion des incidents Mise en place d une cellule d incident management Examen des moyens à mettre place Identification des incidents graves Plan catastrophe et continuité 24/02/

49 Nature des incidents : Incident response team quotidiens (ex. scanning) à très graves (menacent la continuité des activités) La gestion des incidents quotidiens et mineurs doit être assurée dans la "gestion opérationnelle" Incident response : ensemble de mesures décrites et éprouvées visant à faire face à un incident important Incident important : la continuité des activités de l'entreprise est menacée 24/02/

50 Lien avec le DRP But : description des processus et procédures lorsqu'un incident important se produit sur la base de scénarios d'incidents techniques importants - ex. perte d'un data center, panne électrique en tenant compte de l'importance relative des processus ICT pour définir des priorités prenez en compte les différentes phases dans l'approche d'incidents graves coordination par l'irt 24/02/

51 24/02/2012 Examen des incidents graves Phase de reconnaissance Rassemblez l'information Évitez toute panique Évaluez la situation Reconnaissez la gravité de la situation Prenez les mesures qui s'imposent sur la base des processus et procédures Activez l'irt Phase de réaction Organisez régulièrement des réunions de concertation avec l'irt Continuez à rassembler des informations et évaluez la situation (changeante) Activez les mesures afin de limiter l'impact de l'incident - stabilisation de la situation Neutralisez la cause de l'incident Prenez les mesures qui s'imposent sur la base des processus et procédures afin de garantir la continuité Conservez les preuves - recherche forenscique Organisez la communication Phase de rétablissement Retour à la situation normale sur la base des processus et procédures Continuez à communiquer Leçons et actions d'amélioration 51

52 Evaluation de la situation L'incident est-il passager ou permanent? Quelles moyens d'exploitation importants ont été touchés? personnel processus business infrastructure, systèmes La continuité (d'une partie) des activités de l'entreprise estelle menacée? L'incident est-il dû à des modifications / interventions récentes? 24/02/

53 Module 10 : continuité Introduction Business continuity plan (BCP) ICT contingency plan (ICP) Disaster recovery plan (DRP) Tests Leçons retenues 24/02/

54 Gestion de la continuité Objectif : possibilité de réaction en cas de perturbation des activités de l'organisation et protection des processus business critiques en cas d'incidents lourds Responsabilité importante pour la continuité de la prestation de services de santé publique en Belgique Processus documenté Basé sur des analyses des risques Mesures préventives et correctives Processus et plan basé sur des exercices 24/02/

55 Module 11 : conformité et contrôle Contrôle du respect des exigences légales et contractuelles en matière de sécurité Évaluation de la sécurité de l'information sur la base de la gestion Accompagnement quotidien Contrôle interne Audit interne Audit externe 24/02/

56 24/02/

57 You!

58 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 58 Pause 15minutes

59 Sécuritéde l information en milieu hospitalier Par oùcommencer? Dr Ir Etienne Stanus Conseiller en sécurité de l information Institut Jules Bordet

60 Droit du patient: qualitédes soins Capacité des services de santé destinés aux individus et aux populations d'augmenter la probabilitéd'atteindre les résultats de santésouhaités, en conformitéavec les connaissancesprofessionnelles du moment". Avoir la bonne information au bon endroit au bon moment Etienne Stanus Institut Jules Bordet 60

61 Quelques mots importants Service de santé: impliquer toutes les disciplines connaissances: implique les systèmes d informations sous-jacents Probabilité: sous-entend obligation de moyens / résultats selon le gestion du risque, des événements indésirables, Conformité, moment: gouvernance, amélioration continue, audits Etienne Stanus Institut Jules Bordet 61

62 Plan de l exposéen forme de Cycle de Shewhart / Roue de Deming: Plan: Quelques définitions Un début d analyse de risque DO Contexte juridique, Contexte normatif Documents existants Systèmes PDCA similaires Un exemple d outil existant Check Autoévaluation Act Mise en place d un Système de Management de la Sécuritéde l Information Quelques méthodes d analyse de risque Quelques points sensibles Etienne Stanus Institut Jules Bordet 62

63 Etienne Stanus Institut Jules Bordet 63

64 Système d information Un S.I est un réseau complexe de relations structurées oùinterviennent hommes, machines et procédures qui a pour but d engendrer des flux ordonnés d informations pertinentes provenant de différentes sources et destinées à servir de base aux décisions. Source: Hugues Angot (Prof. Ichec, ) Etienne Stanus Institut Jules Bordet 64

65 Sécuriséles SI => notion de risque Sens Commun: Risque: contingence indésirable, appréhendée, relativement anodine et peu probable. Danger: hautement probable, suppose la possibilité d'un dommage grave, notamment des blessures ou la mort. Définition ISO 31000:2009 le risque est l effet de l incertitude sur les objectifs Définition de l ingénieur: le risque est la combinaison de probabilité d évènement(s) et de sa (leurs) conséquence(s) Etienne Stanus Institut Jules Bordet 65

66 Démarche générale Évaluer les risques et leur criticité quels risques, quelles menaces, quel scenarii sur quelles données et quelle activité avec quelles conséquences Rechercher et sélectionner les parades : que va-t-on sécuriser, quand et comment Avec quelles ressources (temps, compétences, ) Mettre en œuvre les protections Prévention, réduction, acceptation, transfert du risque vérifier leur efficacité. Etienne Stanus Institut Jules Bordet 66

67 Diagramme d Ishikawa Ressources humaines Règlementation externe Sécurité physique et environnemen t Contrôle d accès logique Développement et maintenance. Changement Gestion de la continuité Procédures internes Effets positifs ou négatifs Inventaire et classification Ressources Règlementation interne Etienne Stanus Institut Jules Bordet 67

68 De la loi. et de l esprit des lois Etienne Stanus Institut Jules Bordet 68

69 Quelques lois et règlements Celles citées dans la circulaire du 9/9/2011 Loi coordonnée sur les hôpitaux Lois relatives à la Banque-carrefour Protocole Carenet Et quelques autres. Etienne Stanus Institut Jules Bordet 69

70 Droits du patient (loi 22/8/2002) Les droits du patient comprennent : La qualité du service Le choix du praticien Le droit à l'information Le consentement La protection de la vie privée Un dossier de patient soigneusement tenu àjour et conservé en lieu sûr. Le recours à la médiation Etienne Stanus Institut Jules Bordet 70

71 Lois et directive sur la protection de la vie privée Données à caractère personnel Déclaration préalable àla collecte de ces données Traitement licite, justifié, proportionnel Objectif défini Qualité des données Données sensibles: race, santé, judiciaire, opinions politiques et syndicales, convictions philosophiques, préférences sexuelles. Droit de la personne concernée Restrictions d exportation de ces données Etienne Stanus Institut Jules Bordet 71

72 Proposition de révision de la directive européenne (26/1/2012) Consentement en termes «clairs» Information sur le stockage des données, comment àquelles fins et pour quelle durée. Désignation d un déléguéàla protection des données si traitement de données à risque au regard des droits et libertés des personnes physiques Droit àl'oubli numérique: obligation de suppression des données sauf motif légitime. Obligation de notification des violations de sécurité àl autoriténationale àla personne concernée Portabilité des données Etienne Stanus Institut Jules Bordet 72

73 Conventions collectives de travail CCT 81: Convention collective de travail n 81 du 26 avril 2002 relative a la protection de la vie privée des travailleurs a l'égard du contrôle des données de communication électroniques en réseau CCT 68: Convention collective de travail n 68 du 16 juin 1998 relative a la protection de la vie privée des travailleurs a l'égard de la surveillance par cameras sur le lieu de travail Etienne Stanus Institut Jules Bordet 73

74 Recherche / Ethique Arrêté Royal instituant les CEM ou Comité d'ethique Médicaux Hospitaliers (12 août 1994) Loi relative àla recherche sur les embryons in vitro (5/2003) Loi relative à l'expérimentation humaine (5/2004) Loi relative àl'obtention et àl'utilisation de matériel corporel humain destinéàdes applications médicales humaines ou àdes fins de recherche scientifique (décembre 2008) Etienne Stanus Institut Jules Bordet 74

75 Secret professionnel et devoir de discrétion Qui est concerné? Art. 458 du Code pénal. Tous ceux qui, par état ou par profession, sont dépositaires des secrets qu on leur confie. Art. 70 du Code de déontologie médicale. Le médecin veillera àfaire respecter par ses auxiliaires les impératifs du secret médical Personnel sui generis: obligation de confidentialité, relative àtout ce qu ils pourraient apprendre sur l identitéet/ou l état du patient durant leur travail Etienne Stanus Institut Jules Bordet 75

76 Sanction Dans quelle mesure? Plaintes: Loi sur la criminalitéinformatique 28/11/2000 faux en informatique fraude Hacking sabotage de données informatiques modification du Code d'instruction criminelle Secret de la correspondance code pénal art. 314 bis Secret des communications loi du 21 mars 1991 Loi vie privée chap VIII, BCSS chap VII Etienne Stanus Institut Jules Bordet 76

77 Normes/ guides de bonnes pratiques Désignent un état habituellement répandu ou moyen considéréle plus souvent comme une règle à suivre. N ont pas valeur contraignante sauf àêtre inscrite explicitement dans la loi Liens utiles Etienne Stanus Institut Jules Bordet 77

78 Normes ISO/CEI 27%%% ISO/CEI : Introduction et vue globale de la famille 27xxx, glossaire des termes (5/2009) ISO/CEI : Norme de certification des SMSI (2005) ISO/CEI : Guide des bonnes pratiques en SMSI (BS 7799, 2005, renumérotation 2007) ISO/CEI : Guide d'implémentation d'un SMSI (3/2010) ISO/CEI : Norme de mesures de management de la sécuritéde l'information (12/7/2009) ISO/CEI : Norme de gestion de risques liés à la sécurité de l'information (5/2011) ISO/CEI : Guide de processus de certification et d'enregistrement (1/12/2011) ISO/CEI : Guide directeur pour l'audit des SMSI (14/11/2011) ISO/CEI : Lignes directrices de vérification en matière de mesures de sécurité (15/10/2011) ISO/CEI : Guide pour l'implémentation de ISO/CEI dans l'industrie des télécommunications (publié le 15/12/2008) ISO/CEI : Guide pour l'implémentation de ISO dans l'industrie de la santé(12 /6/2008) Disponibles sur Etienne Stanus Institut Jules Bordet 78

79 Food and Drug Administration Chapter 21 part 11: «regulations that provide criteria for acceptance by FDA, under certain circumstances of: Subpart B: electronic records, Subpart C: Electronic signatures, and handwritten signatures executed to electronic records as equivalent to paper records handwritten signatures executed on paper Etienne Stanus Institut Jules Bordet 79

80 FDA/HIPAA quelques liens intéressants Site general: FDA guidance for industry: Computerized systems in clinical trials: m htm FDA guidance: General principles of software validation: gulationandguidance/guidancedocuments/ucm p df Health Insurance Portability and Accountability Act Etienne Stanus Institut Jules Bordet 80

81 Où trouver l information de base? ou qu existe-t-il déjàdans l institution / sur le net? Etienne Stanus Institut Jules Bordet 81

82 Sources utiles Direction(s) Comité d éthique Départements (tous! ) Règlement vie privée: Annexe A, loi hôpitaux 1994 Règlement d ordre intérieur, procédures écrites Contrats d achat, de (télé)maintenance, d embauche Gestionnaires de risques / qualité Etienne Stanus Institut Jules Bordet 82

83 Système qualité/ gestion des risques Tout cela existe déjà probablement chez vous! Laboratoire ISO 17025/15189 Manuel de Qualité Formaliser les règles d organisation et les procédures Consolidation de la connaissance Coordinateur Qualité de mener àbien l établissement du manuel de qualité suivre son application et son évolution. Responsabilité des parties Cellule / projet qualité ISO 9000 Cellule/projet sécuritédu patient OMS Service interne/externe de prévention et protection Note: Evolution des normes 2011: draft 15189: Ajout d un volet très «sécuritédu système d information» Etienne Stanus Institut Jules Bordet 83

84 Information Technology Infrastructure V2 Soutien des services (Service Support) Library Fourniture des services (Service Delivery) Gestion des infrastructures informatiques (ICT infrastructure management) Gestion de la sécurité(security management) Point de vue métier (The business perspective) Gestion des applications (Application management) Gestion des actifs logiciels (Software asset management) Planification pour la mise en œuvre des services (Planning to implement service management)) V3 Stratégie des services (Service Strategy) Conception des services (Service Design) Transition des services (Service Transition) Exploitation des services (Service Operation) Amélioration continue des services (Continuous Service Improvement) Le «Service Support Repository»et les «logs d exploitation»sont des mines d informations importantes, mais à trier Etienne Stanus Institut Jules Bordet 84

85 GMSIH / ANAP Groupement pour la modernisation du système d information hospitalier ( ) Missions La mise en cohérence des systèmes d information utilisés par les établissements de santé, la contribution àleur interopérabilitéet leur ouverture, tout en aidant à développer leur sécurité. Favoriser l échange de l information dans les réseaux de santéen vue de l amélioration de la coordination des soins. Délivrables Publication de référentiel; Accompagnement concret dans les établissements ; Représentant dans les organismes de normalisation ; Intégréàl'Agence Nationale d'appui àla Performance des établissements sanitaires et médicosociaux (ANAP) Etienne Stanus Institut Jules Bordet 85

86 _securite_06_2004.zip Etienne Stanus Institut Jules Bordet 86

87 Première auto-évaluation concrète Etienne Stanus Institut Jules Bordet 87

88 Outil en Excel Etienne Stanus Institut Jules Bordet 88

89 Etienne Stanus Institut Jules Bordet 89

90 Etienne Stanus Institut Jules Bordet 90

91 Note Les données présentées ne sont pas représentatives d une entitéparticulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 91

92 Note Les données présentées ne sont pas représentatives d une entitéparticulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 92

93 Note Les données présentées ne sont pas représentatives d une entité particulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 93

94 Note Les données présentées ne sont pas représentatives d une entité particulière Toute ressemblance avec des personnes (morales) ou des événements existants ou ayant existé est fortuite Etienne Stanus Institut Jules Bordet 94

95 Note Ne pas mettre la charrue avant les bœufs Etienne Stanus Institut Jules Bordet 95

96 Etienne Stanus Institut Jules Bordet 96

97 Et maintenant? SMSI: Quelques points sensibles Etienne Stanus Institut Jules Bordet 97

98 Mise en place d un SMSI Pour bien commencer Créer / participer «Forum de la sécuritéde l information» Groupes de travail Confidentialité Droits d accès au système d information Dossier / droits patient Bio banques. Etienne Stanus Institut Jules Bordet 98

99 Politique de sécurité cadre GMSIH: Guide méthodologique Politique de Sécurité cadre Politique d autorisation Fiche de poste du conseiller en sécurité de l information KSZ-BCSS: Documents PDF disponibles gratuitement sur Normes minimales de sécurités à respecter par les institutions de sécurité sociale Code éthique de bonne conduite des conseillers en sécurité Information Security Management System Etienne Stanus Institut Jules Bordet 99

100 Etablissement de périmètres Evolution des systèmes d information de santé Système Diogène HUG Prof Jean-Raoul Scherrer, MD Source: ge002.jpg G% pdf Etienne Stanus Institut Jules Bordet 100

101 Analyse de risque Quelques méthodes et outils parmi d autres EBIOS -Expression des Besoins et Identification des Objectifs de Sécurité Outil: EBIOS 2010 Licence Cecill Source: Application des politiques cd sécurité GMSIH MEHARI Méthode harmonisée d'analyse des risques n/ouvrages/type.asp?id=methodes Outil: MEHARI 2010 Licence GNU pour Excel, OpenOffice Autres méthodes: Etienne Stanus Institut Jules Bordet 101

102 Plan de Continuitéd'Activité ou plan de Secours Informatique? Continuité: de quoi? des soins => impératif des activités de support des activités de recherche Cohérence et implication dans et avec le plan «Mise en Alerte Service Hospitalier» Exercices et maintenance Etienne Stanus Institut Jules Bordet 102

103 Plan de Continuitéd'Activité Plan de Secours Informatique Prendre en compte Les possibilités de repli des utilisateurs, Les mesures de contournement pour les métiers le risque sanitaire épidémie, pandémie, risque pour le personnel la gestion de crise (cellules de crise...), la communication de crise, les mesures de contournement pour les métiers, les fonctions transverses (RH, logistique, etc.). Etienne Stanus Institut Jules Bordet 103

104 Transferts / archivages de données Restrictions aux transferts de données en dehors de l UE Vie privée (art L. vie privée 8/12/1992) Factures électroniques (art 60 3 CTVA) Obligation spécifique d archiver dans des lieux déterminés / en Belgique Dossier médical (art 15, 17 et 70 L.C. Hôpitaux 7/8/87) Documents sociaux (art. 22 AR 8/8/1980) Documents revenus imposables (art 315 CIR) Etienne Stanus Institut Jules Bordet 104

105 Classification Actifs Pas toujours simple entre l officiel, l officieux, les prêts, le matériel personnel, la recherche, Information Attention au vocabulaire: Hôpitaux: information publique, comptable/financière, médicoadministrative, médicale, VIP, sensible BCSS: documents Policy Dataclassification, Policy Datasecurity SécuritéFr: Non classifiée + restreint, confidentielle, secret, très secret, «archives incommunicables» SécuritéGb: Not protectively marked + Restricted, Confidential, Secret, Top Secret. SécuritéUSA: Confidential, Secret, Top Secret. Sensible: peut affecter défavorablement la vie privée Etienne Stanus Institut Jules Bordet 105

106 Archivage Règles transversales Droit des tiers Propriété intellectuelle Vie privée Signature électronique Preuve Force probante des documents électroniques en matière de soins de santé Règles spécifiques Par secteur: GMP, pharma, Par type de document: facture, dossier médical Durée de conservation Etienne Stanus Institut Jules Bordet 106

107 Politique d accès, quelques éléments de réflexion (qui, quand, comment?) Les médecins chargés de la mise au point du diagnostic et du traitement des patients; Les étudiants en médecine affectés officiellement à l'institution Les infirmiers, secrétaires médicales, assistants sociaux et autres collaborateurs paramédicaux qui partagent le secret médical, vu leurs fonctions propres relatives aux soins; Les administratifs hospitaliers chargés de la gestion des informations concernant les patients, du fichier d'identification et du suividu séjour des patients, en vue de la facturation et du contentieux; Les chercheurs dans le cadre d'un protocole de recherche clinique ayant fait l'objet d'un avis positif du Comité d'éthique Le personnel informatique chargédu traitement informatisédes données des patients, dans le cadre de l'informatique hospitalière. Le personnel administratif Le conseiller en sécurité de l information Autre? Etienne Stanus Institut Jules Bordet 107

108 Politique d accès, quelques éléments de réflexion (qui, quand, comment?) Le patient concerné; Les médecins traitants ou les praticiens de l'art de guérir désignés par le patient; Les médecins-conseils des organismes assureurs; Les organismes chargés de la gestion des dons d'organes; S'il y a lieu, et dans les cas définis par la loi, Les registres ( cancer, ) les autorités judiciaires; l'inami (données anonymisées); le Ministère de la Santé publique (données anonymisées). Sous traitants Etienne Stanus Institut Jules Bordet 108

109 Confidentialité Patient = personne en situation de fragilité 1 patient hospitalisé 75 personnes ont accès aux informations de santé (1) Cf.: d_ethiq ue_secret_professionnel_brochure_a5_print. pdf (1) Source: Caizergues C., Cianfarani F., Le secret médical, La revue du praticien, 1998, n 4, p.427 Etienne Stanus Institut Jules Bordet 109

110 Budget Accident ou panne matérielle importante : qui n en a pas eut? Virus: Conficker, Stuxnet, sality.gen, Piratage: Virginia Health Professions Database hacking 2009 : 8,257,378 patient records, 35,548,087 prescriptions dérobées, rançon demandée : 10 million $ foudre, inondations: Tubize, novembre 2010 Etienne Stanus Institut Jules Bordet 110

Les normes minimales de sécurité

Les normes minimales de sécurité Les normes minimales de sécurité Patrick BOCHART Conseiller en sécurité de l information Quai de Willebroeck, 38 B-1000 Bruxelles E-mail: security@ksz-bcss.fgov.be Site web BCSS: www.bcss.fgov.be 11/7/2014

Plus en détail

Politique de sécurité de l information. Adoptée par le Conseil d administration

Politique de sécurité de l information. Adoptée par le Conseil d administration Politique de sécurité de l information Adoptée par le Conseil d administration Le 10 novembre 2011 Table des matières PRÉAMBULE 1. GÉNÉRALITÉS... 3 2. RÔLES ET RESPONSABILITÉS... 4 3. DÉFINITIONS... 8

Plus en détail

Liège, le 15 juin 2012. APPEL INTERNE et EXTERNE AUX CANDIDATURES N 2012/095

Liège, le 15 juin 2012. APPEL INTERNE et EXTERNE AUX CANDIDATURES N 2012/095 Centre Hospitalier Universitaire de Liège Domaine Universitaire du Sart Tilman B35 4000 LIEGE 1 www.chuliege.be Département des Ressources Humaines Service Recrutement Liège, le 15 juin 2012 APPEL INTERNE

Plus en détail

CHARTE DE L AUDIT INTERNE

CHARTE DE L AUDIT INTERNE CHARTE DE L AUDIT INTERNE Septembre 2009 Introduction La présente charte définit la mission et le rôle de l audit interne de l Institut National du Cancer (INCa) ainsi que les modalités de sa gouvernance.

Plus en détail

Sécurité de l Information

Sécurité de l Information Sécurité de l Information Patrick BOCHART Conseiller en sécurité Banque Carrefour de la Sécurité Sociale Audit Interne & Sécurité de l Information Chaussée Saint-Pierre 375 B-1040 BRUXELLES E-mail : patrick.bochart@ksz-css.fgov.be

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/12/205 DÉLIBÉRATION N 12/057 DU 3 JUILLET 2012 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL AU SERVICE

Plus en détail

THEORIE ET CAS PRATIQUES

THEORIE ET CAS PRATIQUES THEORIE ET CAS PRATIQUES A DEFINIR 8/28/2012 Option AUDIT 1 INTRODUCTION L informatique : omniprésente et indispensable Développement des S.I. accroissement des risques Le SI = Système Nerveux de l entreprise

Plus en détail

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé»

Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Agrément des Hébergeurs de données de Santé Exemple d Audit de conformité Sécurité et Technique «ASIP Santé» Sommaire 1 Glossaire et abréviations... 3 1.1 Glossaire... 3 1.2 Abréviations... 3 2 Liminaire...

Plus en détail

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel :

LES ORIGINES D ITIL Origine gouvernementale britannique 20 ans d existence et d expérience Les organisations gérant le référentiel : La méthode ITIL plan Introduction C est quoi ITIL? Utilisation d ITIL Objectifs Les principes d ITIL Domaines couverts par ITIL Les trois versions d ITIL Pourquoi ITIL a-t-il tant de succès Inconvénients

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/07/183 DÉLIBÉRATION N 07/070 DU 4 DÉCEMBRE 2007 CONCERNANT LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR LES

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

ISO/CEI 27001:2005 ISMS -Information Security Management System

ISO/CEI 27001:2005 ISMS -Information Security Management System ISO/CEI 27001:2005 ISMS -Information Security Management System Maury-Infosec Conseils en sécurité de l'information ISO/CEI 27001:2005 ISMS La norme ISO/CEI 27001:2005 est issue de la norme BSI 7799-2:2002

Plus en détail

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala

MV Consulting. ITIL & IS02700x. Club - 27001- Toulouse Sébastien Rabaud Michel Viala. Michel Viala MV Consulting Michel Viala ITIL & IS02700x Club - 27001- Toulouse Sébastien Rabaud Michel Viala ITIL & ISO2700x : Présentation Intervenants Michel VIALA : Consultant ITIL confronté à la prise en compte

Plus en détail

Introduction à la norme ISO 27001. Eric Lachapelle

Introduction à la norme ISO 27001. Eric Lachapelle Introduction à la norme ISO 27001 Eric Lachapelle Introduction à ISO 27001 Contenu de la présentation 1. Famille ISO 27000 2. La norme ISO 27001 Implémentation 3. La certification 4. ISO 27001:2014? 2

Plus en détail

Manuel Qualité. de l'agence d'évaluation de la recherche et de l'enseignement supérieur PRÉSENTATION GÉNÉRALE

Manuel Qualité. de l'agence d'évaluation de la recherche et de l'enseignement supérieur PRÉSENTATION GÉNÉRALE Manuel Qualité de l'agence d'évaluation de la recherche et de l'enseignement supérieur PRÉSENTATION GÉNÉRALE Finalité et gestion du manuel qualité Déclaration de politique qualité Organisation et responsabilités

Plus en détail

Aux gestionnaires des hôpitaux

Aux gestionnaires des hôpitaux SPF Santé publique, Sécurité de la Chaîne alimentaire et Environnement Service Télématique, Informatique et Communication dans le secteur des soins de santé Votre lettre du: Votre référence: Eurostation

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/09/128 DÉLIBÉRATION N 09/067 DU 3 NOVEMBRE 2009 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL DES REGISTRES

Plus en détail

Vu le rapport d auditorat de la Banque Carrefour de la sécurité sociale du 21 décembre 2006;

Vu le rapport d auditorat de la Banque Carrefour de la sécurité sociale du 21 décembre 2006; CSSS/07/005 DÉLIBÉRATION N 07/003 DU 9 JANVIER 2007 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR LES ORGANISMES ASSUREURS AUX DISPENSATEURS DE SOINS EN VUE DE LA DÉTERMINATION DU STATUT

Plus en détail

Le nouveau règlement sur la protection des données personnelles : Quel impact pour la sécurité?

Le nouveau règlement sur la protection des données personnelles : Quel impact pour la sécurité? Le nouveau règlement sur la protection des données personnelles : Quel impact pour la sécurité? Jean-Marc Suchier Samuel Vinson 23 janvier 2013 AGENDA Principales nouveautés du Règlement et de la Directive

Plus en détail

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000.

Manuel Qualité. Toutes les activités de l ICEDD sont dans le domaine d application du référentiel ISO 9001 :2000. Manuel 1 Objectif Décrire brièvement l organisation du système mis en place à l ICEDD afin de démontrer le respect des exigences de la norme ISO 9001 : 2000. Accessoirement, cela peut faciliter la recherche

Plus en détail

Introduction à ISO 22301

Introduction à ISO 22301 Introduction à ISO 22301 Présenté par : Denis Goulet Le 3 octobre 2013 1 Introduction à ISO 22301 ORDRE DU JOUR Section 1 Cadre normatif et réglementaire Section 2 Système de Management de la Continuité

Plus en détail

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES

LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES LA CERTIFICATION ISO/IEC 20000-1 QUELS ENJEUX POUR LES ENTREPRISES Philippe Bourdalé AFAQ AFNOR Certification A2C dans le Groupe AFNOR Les métiers du groupe AFNOR Besoins Clients Normalisation Information

Plus en détail

Charte de l'audit informatique du Groupe

Charte de l'audit informatique du Groupe Direction de la Sécurité Globale du Groupe Destinataires Tous services Contact Hervé Molina Tél : 01.55.44.15.11 Fax : E-mail : herve.molina@laposte.fr Date de validité A partir du 23/07/2012 Annulation

Plus en détail

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel.

INTRODUCTION. QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. INTRODUCTION QSC est un système référentiel de qualité pour la certification des institutions scolaires d enseignement général et professionnel. Ce certificat est destiné à toutes les écoles d enseignement

Plus en détail

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le :

POLITIQUE DE GOUVERNANCE N o : Le conseil d administration Le : Destinataires : POLITIQUE DE GOUVERNANCE N o : Administrateurs, directeurs, gestionnaires, médecins, employés, bénévoles, stagiaires et fournisseurs Élaborée par : Le conseil d administration Le : Adoptée

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale 1 Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/11/127 DÉLIBÉRATION N 11/083 DU 8 NOVEMBRE 2011 AUTORISANT LES MAISONS DE SOINS PSYCHIATRIQUES ET LES INITIATIVES

Plus en détail

CATALOGUE DES FORMATIONS

CATALOGUE DES FORMATIONS 2015 CATALOGUE DES FORMATIONS Formations sur catalogue ou sur-mesure Formations inter ou intra entreprises Promotions pour les adhérents du Clusif Pour tout programme surmesure, nous contacter directement.

Plus en détail

Les métiers de l assistanat Evolutions Compétences - Parcours

Les métiers de l assistanat Evolutions Compétences - Parcours Les métiers de l assistanat Evolutions Compétences - Parcours Neuf pôles d activité La majorité des assistantes ont des activités couvrant ces différents pôles, à des niveaux différents, à l exception

Plus en détail

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM»

Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» Retour d expérience sur l implémentation et la certification ISO27001 de «EPPM» -Imed Yazidi- LSTI certified ISO 27001 Lead Implementer 14/02/2013 ENGINEERING PROCUREMENT & PROJECT MANAGEMENT s.a Présentation

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/08/199 DELIBERATION N 08/076 DU 2 DECEMBRE 2008 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL DE LA

Plus en détail

Charte déontologique de la vidéoprotection de l OPH de Saint-Dizier

Charte déontologique de la vidéoprotection de l OPH de Saint-Dizier Préambule Charte déontologique de la vidéoprotection de l OPH de Saint-Dizier Validé par le Conseil d Administration du 28 juin 2013. Souhaitant améliorer la sécurité des personnes et des biens, répondre

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Santé»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Santé» Comité sectoriel de la Sécurité sociale et de la Santé Section «Santé» CSSSS/13/042 DÉLIBÉRATION N 09/017 DU 17 MARS 2009, DERNIÈREMENT MODIFIÉE LE 22 JANVIER 2013, RELATIVE À LA COMMUNICATION DE DONNÉES

Plus en détail

Montrer que la gestion des risques en sécurité de l information est liée au métier

Montrer que la gestion des risques en sécurité de l information est liée au métier Montrer que la gestion des risques en sécurité de l information est liée au métier Missions de l entreprise Risques métier Solutions pragmatiques et adaptées Savoir gérer la différence Adapter à la norme

Plus en détail

LAB 00 P 510. Demande d agrément par les laboratoires externes. Version 04 Date d application 2012-12-01

LAB 00 P 510. Demande d agrément par les laboratoires externes. Version 04 Date d application 2012-12-01 Agence fédérale pour la Sécurité de de la Chaîne alimentaire Administration des Laboratoires LAB 00 P 510 Demande d agrément par les laboratoires externes Version 04 Date d application 2012-12-01 Rédaction

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale 1 Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/14/048 DÉLIBÉRATION N 12/039 DU 5 JUIN 2012, MODIFIÉE LE 1 ER AVRIL 2014, RELATIVE À LA COMMUNICATION DE DONNÉES À

Plus en détail

Fiche de poste. Présentation du poste. Finalités du poste - Missions. Activités principales. Filière métier :

Fiche de poste. Présentation du poste. Finalités du poste - Missions. Activités principales. Filière métier : Filière métier : Fiche de poste Présentation du poste Intitulé de poste Coefficient de référence CCN51 Métier CCN51 Poste du supérieur hiérarchique Direction de rattachement Localisation géographique IDE

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/12/339 DÉLIBÉRATION N 12/112 DU 4 DÉCEMBRE 2012 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR LES

Plus en détail

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information

ISO/CEI 27005 NORME INTERNATIONALE. Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information NORME INTERNATIONALE ISO/CEI 27005 Deuxième édition 2011-06-01 Technologies de l'information Techniques de sécurité Gestion des risques liés à la sécurité de l'information Information technology Security

Plus en détail

MANAGEMENT DE LA RADIOPROTECTION

MANAGEMENT DE LA RADIOPROTECTION Page : 1/10 MANUEL MAN-CAM-NUC-F Seule la version informatique est mise à jour, avant toute utilisation consulter sur le réseau Intranet la version en cours de ce document Page : 2/10 HISTORIQUE DE RÉVISION

Plus en détail

ITIL v3. La clé d une gestion réussie des services informatiques

ITIL v3. La clé d une gestion réussie des services informatiques ITIL v3 La clé d une gestion réussie des services informatiques Questions : ITIL et vous Connaissez-vous : ITIL v3? ITIL v2? un peu! beaucoup! passionnément! à la folie! pas du tout! Plan général ITIL

Plus en détail

PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE

PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE Référentiel de certification du Baccalauréat professionnel GESTION ADMINISTRATION PRÉSENTATION DU RÉFÉRENTIEL PAR PÔLE 1 Le référentiel de certification du Baccalauréat GESTION ADMINISTRATION Architecture

Plus en détail

ISO/IEC 20000-1 versus ITIL

ISO/IEC 20000-1 versus ITIL ISO/IEC 20000- versus ITIL Séminaire du 6 Novembre itsmf OUEST C. LAHURE Axios Systems Ordre du jour ISO / IEC 20000- La Norme et son contexte Le référentiel La démarche d implémentation Le contexte de

Plus en détail

SECRETARIAT BELAC : MISSIONS ET RESPONSABILITES, ORGANISATION ET PRINCIPES DE FONCTIONNEMENT

SECRETARIAT BELAC : MISSIONS ET RESPONSABILITES, ORGANISATION ET PRINCIPES DE FONCTIONNEMENT BELAC 3-02 Rev 4 2015 SECRETARIAT BELAC : MISSIONS ET RESPONSABILITES, ORGANISATION ET PRINCIPES DE FONCTIONNEMENT Les versions des documents du système de management de BELAC telles que disponibles sur

Plus en détail

Choisissez un pôle d activité ou un profil et cliquez

Choisissez un pôle d activité ou un profil et cliquez Organisation et planification des activités du service Gestion des ressources matérielles Gestion et coordination des informations Relations professionnelles Rédaction et mise en forme de documents professionnels

Plus en détail

REFERENTIEL DE QUALIFICATION

REFERENTIEL DE QUALIFICATION REFERENTIEL Pour l attribution et le suivi d une qualification d entreprise 11, rue de la Vistule 75013 PARIS tel 01 43 21 09 27 www.qualipropre.org Date d application : Avril 2013 1/7 SOMMAIRE 1. Objet

Plus en détail

Décrets, arrêtés, circulaires. Textes généraux. Ministère de l emploi et de la solidarité

Décrets, arrêtés, circulaires. Textes généraux. Ministère de l emploi et de la solidarité J.O n 101 du 30 avril 2002 page 7790 texte n 8 Décrets, arrêtés, circulaires Textes généraux Ministère de l emploi et de la solidarité Décret n 2002-637 du 29 avril 2002 relatif à l accès aux informations

Plus en détail

LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE

LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE LES RÉFÉRENTIELS RELATIFS AU CERTIFICAT D APTITUDE AUX FONCTIONS DE DIRECTEUR D ETABLISSEMENT OU DE SERVICE D INTERVENTION SOCIALE 1. RÉFÉRENTIEL PROFESSIONNEL DES DIRECTEURS D ETABLISSEMENT OU DE SERVICE

Plus en détail

Ses compétences sont décrites à l article 302 de la loi relative aux assurances du 4 avril 2014.

Ses compétences sont décrites à l article 302 de la loi relative aux assurances du 4 avril 2014. L Ombudsman des Assurances intervient si un problème persiste lorsque le demandeur n a pas obtenu de réponse satisfaisante à sa demande de la part de l entreprise d assurances ou de l intermédiaire d assurances.

Plus en détail

M2 Miage Processus de la Sécurité des Systèmes d information

M2 Miage Processus de la Sécurité des Systèmes d information M2 Miage Processus de la Sécurité des Systèmes d information Damien Ploix Université d Evry Val d Essonne damien.ploix@ibisc.univ-evry.fr http://www.ibisc.univ-evry.fr/~dploix 1 Plan Introduction Organisation

Plus en détail

CONVENTION d adhésion au service. EDUROAM de Belnet

CONVENTION d adhésion au service. EDUROAM de Belnet CONVENTION d adhésion au service EDUROAM de Belnet ENTRE : Le réseau télématique belge de la recherche, Belnet, Service de l État à Gestion Séparée, créé au sein de la Politique Scientifique Fédérale 231,

Plus en détail

TITRE DE LA FONCTION. L Infirmier(e) en Chef peut confier à un infirmier une ou plusieurs tâches ou missions qui lui sont assignées.

TITRE DE LA FONCTION. L Infirmier(e) en Chef peut confier à un infirmier une ou plusieurs tâches ou missions qui lui sont assignées. DESCRIPTION DE FONCTION CHPLT Sect. Contr. : SOI Année : 2010 N Fonction : 018 Version : 1 TITRE DE LA FONCTION INFIRMIER EN CHEF (H/F) 1. La fonction de l infirmier en Chef L Infirmier en Chef est responsable

Plus en détail

Bonnes Pratiques Cliniques Décision du 24 novembre 2006 Parution au JO du 30 novembre 2006 Modifications par arrêtés du 22 septembre 2011

Bonnes Pratiques Cliniques Décision du 24 novembre 2006 Parution au JO du 30 novembre 2006 Modifications par arrêtés du 22 septembre 2011 Véronique JOUIS, Coordination des ARCs - Responsable Logistique Laurence GUERY, ARC - Responsable Assurance Qualité Unité de Recherche Clinique du GH Lariboisière - Saint-Louis Coordonnateur Pr Eric VICAUT

Plus en détail

ISMS. Normes Minimales. Version 2011. (Information Security Management System)

ISMS. Normes Minimales. Version 2011. (Information Security Management System) ISMS Normes Minimales Version 2011 Remarque : Ce document intègre les remarques formulées par un groupe de travail auquel ont participé les personnes suivantes: messieurs Bochart (BCSS), Costrop (Smals),

Plus en détail

REPUBLIQUE FRANCAISE. Un secrétariat général, trois directions, un service et trois missions lui sont directement rattachés.

REPUBLIQUE FRANCAISE. Un secrétariat général, trois directions, un service et trois missions lui sont directement rattachés. REPUBLIQUE FRANCAISE Décision n 2014.0019/DP/SG du 30 avril 2014 du président de la Haute Autorité de santé portant organisation générale des services de la Haute Autorité de santé Le président de la Haute

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Décrets, arrêtés, circulaires

Décrets, arrêtés, circulaires Décrets, arrêtés, circulaires TEXTES GÉNÉRAUX MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Décret n o 2013-727 du 12 août 2013 portant création, organisation et attributions d un secrétariat général

Plus en détail

D ITIL à D ISO 20000, une démarche complémentaire

D ITIL à D ISO 20000, une démarche complémentaire D ITIL à D ISO 20000, une démarche complémentaire www.teamup-consulting.com Teamup Consulting - 1 Certificat nºinf/2007/29319 1 ère société de conseil française certifiée ISO 20000-1:2011 Sommaire Introduction

Plus en détail

PROFIL DE POSTE GENERIQUE CADRE DE SANTE Option GESTION

PROFIL DE POSTE GENERIQUE CADRE DE SANTE Option GESTION PROFIL DE POSTE GENERIQUE CADRE DE SANTE Option GESTION MISSIONS ESSENTIELLES : Le cadre de santé des filières infirmière, de rééducation et médico-techniques, exerce l ensemble de ses missions sous l

Plus en détail

2. Technique d analyse de la demande

2. Technique d analyse de la demande 1. Recevoir et analyser une requête du client 2. Sommaire 1.... Introduction 2.... Technique d analyse de la demande 2.1.... Classification 2.2.... Test 2.3.... Transmission 2.4.... Rapport 1. Introduction

Plus en détail

Décision du Haut Conseil du Commissariat aux Comptes

Décision du Haut Conseil du Commissariat aux Comptes DECISION 2009-02 Décision du Haut Conseil du Commissariat aux Comptes Relative aux contrôles périodiques auxquels sont soumis les commissaires aux comptes Principes directeurs du système des contrôles

Plus en détail

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012 Sommaire 1 L évolution des menaces 2 L évolution du SMSI

Plus en détail

DEROULEMENT PEDAGOGIQUE ET CONTENU DE LA FORMATION

DEROULEMENT PEDAGOGIQUE ET CONTENU DE LA FORMATION DEROULEMENT PEDAGOGIQUE ET CONTENU DE LA FORMATION 1 ère journée Durée : 6 heures sur les expériences de chacun, Travail en sous-groupes et Synthèse collective. 1. Prise de contact Créer les conditions

Plus en détail

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs Appendice 2 (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs NOTE Dans les propositions de Texte identique, XXX désigne un qualificatif de norme

Plus en détail

Charte de Compliance ERGO Insurance sa

Charte de Compliance ERGO Insurance sa Charte de Compliance ERGO Insurance sa Introduction Sur la base de la circulaire PPB/D. 255 du 10 mars 2005 sur la compliance adressée aux entreprises d assurances, une obligation légale a été imposée

Plus en détail

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION I. COMPOSITION ET FONCTIONNEMENT DU COMITÉ DE LA VÉRIFICATION 1. Le Comité de la vérification (le «comité»)

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/09/024 DÉLIBÉRATION N 09/019 DU 7 AVRIL 2009 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL AU DÉPARTEMENT

Plus en détail

5 Actions d assistance dans les divers actes de la vie, de soutien, de soins et d accompagnement, y compris à Titre palliatif ;

5 Actions d assistance dans les divers actes de la vie, de soutien, de soins et d accompagnement, y compris à Titre palliatif ; Livre III Action sociale et médico-sociale mise en œuvre par des établissements et des services Titre Ier : Établissements et services soumis à autorisation Chapitre Ier : Dispositions générales Section

Plus en détail

COBIT (v4.1) INTRODUCTION COBIT

COBIT (v4.1) INTRODUCTION COBIT COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/14/137 DÉLIBÉRATION N 07/003 DU 9 JANVIER 2007, MODIFIÉE LE 2 FÉVRIER 2010, LE 5 JUILLET 2011 ET LE 7 OCTOBRE 2014,

Plus en détail

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012

Évolutions de la norme NF EN ISO/CEI 17020. De la version 2005 à la version 2012 Évolutions de la norme NF EN ISO/CEI 17020 De la version 2005 à la version 2012 Plan de la présentation L intervention sera structurée suivant les 8 chapitres de la norme. Publiée le 1 er mars 2012, homologuée

Plus en détail

La Gestion globale et intégrée des risques

La Gestion globale et intégrée des risques La Gestion globale et intégrée des risques (Entreprise-wide Risk Management ERM) Une nouvelle perspective pour les établissements de santé Jean-Pierre MARBAIX Directeur Technique Ingénierie Gestion des

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/101 AVIS N 10/21 DU 7 SEPTEMBRE 2010 CONCERNANT LA DEMANDE DU MINISTRE DES AFFAIRES SOCIALES RELATIVE AU PROTOCOLE,

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences Recueil d exigences Version 1.1 Page 1/13 Historique des versions Date Version Évolutions du document 17/12/2010 1.01 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de l

Plus en détail

POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ

POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ POLITIQUE DE PRÉVENTION ET DE GESTION DES CONFLITS D INTÉRÊTS AU SEIN D HOSPIMUT SOLIDARIS RÉSUMÉ Rue Saint-Jean 32-38 à 1000 Bruxelles Table des matières 1. Introduction 3 2. Réglementation 3 3. Rappel

Plus en détail

CQP Animateur(trice) d équipe de logistique des industries chimiques. Référentiels d activités et de compétences Référentiel de certification

CQP Animateur(trice) d équipe de logistique des industries chimiques. Référentiels d activités et de compétences Référentiel de certification CQP Animateur(trice) d équipe de logistique des industries chimiques Référentiels d activités et de compétences Référentiel de certification Désignation du métier ou des composantes du métier en lien avec

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/12/280 DÉLIBÉRATION N 12/078 DU 4 SEPTEMBRE 2012 RELATIVE À L ÉCHANGE MUTUEL DE DONNÉES D IDENTIFICATION ENTRE L OFFICE

Plus en détail

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES 1 FINALITÉ 1 Soutien à la communication et aux relations internes et externes L assistant facilite la communication à tous les niveaux (interpersonnel,

Plus en détail

Protection des données personnelles de candidat Alstom

Protection des données personnelles de candidat Alstom Protection des données personnelles de candidat Alstom Contents Section 1 L engagement d Alstom envers la protection des données personnelles... 1 Section 2 Definitions:... 1 Section 3 Données personnelles...

Plus en détail

Les clauses «sécurité» d'un contrat SaaS

Les clauses «sécurité» d'un contrat SaaS HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Les clauses «sécurité» d'un contrat SaaS Paris, 21 janvier 2011 Frédéric

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «sécurité sociale» CSSS/14/061 DÉLIBÉRATION N 14/027 DU 6 MAI 2014 RELATIVE À L'ACCÈS À LA BANQUE DE DONNÉES "DÉCLARATION DE TRAVAUX" AU PROFIT

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Norme ISO 22301 Système de Management de la Continuité d'activité

Plus en détail

mise en œuvre de l arrêté relatif au management de la qualité

mise en œuvre de l arrêté relatif au management de la qualité mise en œuvre de l arrêté relatif au management de la qualité Réunion nationale des OMEDIT 26 mai 2011 Valerie Salomon Bureau Qualité et sécurité des soins Sous direction du pilotage de la performance

Plus en détail

Project Server 2013 Implémenter, administrer et utiliser la solution Microsoft de gestion de projets

Project Server 2013 Implémenter, administrer et utiliser la solution Microsoft de gestion de projets Introduction à Project Server 1. La gestion de projets par Microsoft 11 1.1 Une histoire liée à l'évolution des organisations 11 1.2 Fonctionnalités de Project Server 2013 14 2. Concepts et terminologie

Plus en détail

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself

CHARTE INFORMATIQUE. Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself CHARTE INFORMATIQUE Bon usage des moyens informatiques et du réseau des prestations de l association Comput Yourself Ce texte, bien qu ayant un caractère réglementaire, est avant tout un code de bonne

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

Vous disposez d un diplôme universitaire Si vous réussissez la sélection, à la date d'entrée en service, vous devrez:

Vous disposez d un diplôme universitaire Si vous réussissez la sélection, à la date d'entrée en service, vous devrez: Attaché - Gestionnaire de dossiers 22/07/2009 Direction Générale de l'office des étrangers - Commissariat Général aux Réfugiés et Apatrides SPF Intérieur Niveau de formation Conditions Vous disposez d

Plus en détail

PROCEDURE DE GESTION DES DOCUMENTS DU SYSTEME DE MANAGEMENT DE BELAC

PROCEDURE DE GESTION DES DOCUMENTS DU SYSTEME DE MANAGEMENT DE BELAC BELAC 3-01 Rev 4 2011 PROCEDURE DE GESTION DES DOCUMENTS DU SYSTEME DE MANAGEMENT DE BELAC Les versions des documents du système de management de BELAC telles que disponibles sur le site internet de BELAC

Plus en détail

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013

N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 N 65 État de Genève : audit de gestion de la gouvernance globale des systèmes d information rapport publié le 27 juin 2013 Les 12 recommandations de la Cour des comptes ont été approuvées. Actuellement

Plus en détail

CHARTE DE L AUDIT INTERNE DU CNRS

CHARTE DE L AUDIT INTERNE DU CNRS Direction de l audit interne www.cnrs.fr NE DAI 0 0 00 CHARTE DE L AUDIT INTERNE DU CNRS INTRODUCTION La présente charte définit la mission, le rôle et les responsabilités de la Direction de l audit interne

Plus en détail

La Révolution Numérique Au Service De l'hôpital de demain. 18-19 JUIN 2013 Strasbourg, FRANCE

La Révolution Numérique Au Service De l'hôpital de demain. 18-19 JUIN 2013 Strasbourg, FRANCE La Révolution Numérique Au Service De l'hôpital de demain 18-19 JUIN 2013 Strasbourg, FRANCE Le développement de la e-santé : un cadre juridique et fonctionnel qui s adapte au partage Jeanne BOSSI Secrétaire

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10

Version control please always check if you re using the latest version Doc. Ref. : isms.001.isp. fr v1.10 ISMS (Information Security Management System) Politique de sécurité de l'information (Information Security Policy) 2015 Version control please always check if you re using the latest version Doc. Ref.

Plus en détail

RECUEIL DES POLITIQUES EED01-DA ÉDUCATION DE L ENFANCE EN DIFFICULTÉ Protocole de collaboration pour la prestation de services auprès des élèves

RECUEIL DES POLITIQUES EED01-DA ÉDUCATION DE L ENFANCE EN DIFFICULTÉ Protocole de collaboration pour la prestation de services auprès des élèves RÉSOLUTION : 245-10 Date d adoption : 23 novembre 2010 En vigueur : 23 novembre 2010 À réviser avant : Directives administratives et date d entrée en vigueur : EED-DA1 23 novembre 2010 RECUEIL DES POLITIQUES

Plus en détail

Règlement d INTERPOL sur le traitement des données

Règlement d INTERPOL sur le traitement des données Règlement d INTERPOL sur le traitement des données TABLE DES MATIERES PRÉAMBULE... 7 Article 1 : Définitions... 7 Article 2 : But... 8 Article 3 : Objet... 8 Article 4 : Champ d application... 8 TITRE

Plus en détail

Prise en compte des nouvelles technologies dans les risques d audit

Prise en compte des nouvelles technologies dans les risques d audit DES COLLECTIVITÉS PUBLIQUES LATINES Prise en compte des nouvelles technologies dans les risques d audit SEPTEMBRE 2013 1 AGENDA 1. Contexte réglementaire 2. Objectifs de l audit 3. Nouvelle technologies

Plus en détail

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale»

Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» Comité sectoriel de la Sécurité sociale et de la Santé Section «Sécurité sociale» CSSS/09/137 DÉLIBÉRATION N 09/075 DU 1 ER DÉCEMBRE 2009 RELATIVE À LA COMMUNICATION DE DONNÉES À CARACTÈRE PERSONNEL PAR

Plus en détail

Mise en œuvre de la certification ISO 27001

Mise en œuvre de la certification ISO 27001 Mise en œuvre de la certification ISO 27001 1 Sommaire : 1. Définitions 2. Pourquoi vouloir obtenir une certification? 3. Les étapes pour obtenir l ISO 27001 4. Implémentation 5. Surveillance et audit

Plus en détail

Coordinateur Finances et Ressources Humaines

Coordinateur Finances et Ressources Humaines Coordinateur Finances et Ressources Humaines L ASSOCIATION ALIMA ALIMA (the Alliance For International Medical Action) fête ses 4 ans d existence en 2013. Depuis sa création, l association a su se développer

Plus en détail

ITIL nouvelle version et état de situation des démarches dans le réseau

ITIL nouvelle version et état de situation des démarches dans le réseau ITIL nouvelle version et état de situation des démarches dans le réseau Réunion nationale de la GRICS Le 21 novembre 2007, atelier 134 Jean-Claude Beaudry, Qualiti7 Luc Boudrias, CA, CA-TI Page 1 Contenu

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale CSSS/11/142 DÉLIBÉRATION N 11/092 DU 6 DÉCEMBRE 2011 RELATIVE À L ÉCHANGE MUTUEL DE DONNÉES À CARACTÈRE PERSONNEL ENTRE L

Plus en détail