Une fiche de Mission pour les Référents SSI. Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI»



Documents pareils
Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Systèmes et réseaux d information et de communication

Prestations d audit et de conseil 2015

Sécurité des Systèmes d Information

Stratégie de déploiement

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

Auditabilité des SI et Sécurité

Activités. Boîte à idées pour remplir la fiche de poste * Direction. Animation d équipe et organisation du travail. Conduite de projets

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

TABLE RONDE TÉLÉTRAVAIL ET BYOD

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Programme Hôpital numérique

Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

Compte Qualité. Maquette V1 commentée

Rapport technique n 8 :

INTITULE DU POSTE (1) EXPERT MEDICAL évolution des modèles de financement des établissements de santé (MCO et SSR)

SIMULER ET CONCEVOIR LE TRAVAIL FUTUR

Soirée d information URPS ML

Gestion des Incidents SSI

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Menaces informatiques et Pratiques de sécurité en France Édition Paris, mercredi 25 juin 2014

L outillage du Plan de Continuité d Activité, de sa conception à sa mise en œuvre en situation de crise

RENCONTRE PERFORMANCE ENERGETIQUE

La dématérialisation des échanges grâce aux messageries sécurisées de santé

CONTRIBUTION DU CH-FO Le dialogue social et la gestion des ressources humaines

Atelier n 2. Déploiement MSSanté et solutions logicielles pour les professionnels de santé libéraux. 19/06/ h à 15h30 Web-conférence

LE référentiel des métiers

Projet de communication

Modernisation SI & Télécom des Samu-Centres 15. Assemblée Générale SUdF

D ITIL à D ISO 20000, une démarche complémentaire

LE PROJET QUALITE-GESTION DES RISQUES- DEVELOPPEMENT DURABLE

Qu est-ce qu un système d Information? 1

étude de rémunérations

Exemples de missions d apprentissage

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

PASSI Un label d exigence et de confiance?

Schéma Directeur de la Sécurité du Système d Information

De l élaboration d une PSSI d unité de recherche à la PSSI d établissement

dans un contexte d infogérance J-François MAHE Gie GIPS

Certification des Etablissements de Santé en France

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

Introduction à la sécurité des systèmes d information

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

ABILIAN SICS-PC. Abilian SYSTÈME D INFORMATION COLLABORATIF ET SÉCURISÉ POUR LES PÔLES DE COMPÉTITIVITÉ

PROFIL DE POSTE AFFECTATION. SERIA (service informatique académique) DESCRIPTION DU POSTE

Management des organisations et stratégies Dossier n 10 Veille et intelligence économique

TITRE DE LA PRÉSENTATION > TITRE DE LA PARTIE PROJET D ORGANISATION ADMINISTRATIVE ET TECHNIQUE CIBLE

Créer un tableau de bord SSI

Caisse Nationale de l'assurance Maladie des Travailleurs Salariés Sécurité Sociale

Référentiel métier de Directeur des Soins en établissement et en institut de formation mars 2010

Association ESSONNE CADRES

politique de la France en matière de cybersécurité

Prévention et gestion des risques hospitaliers et politique nationale

Projet de santé. Nom du site : N Finess : (Sera prochainement attribué par les services de l ARS) Statut juridique : Raison Sociale :

Université du Sud-Toulon Var IUT Toulon Var PROGRAMME DE LA FORMATION. Licence Professionnelle Management des Organisations

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

UDSG CLASSIFICATION DOSSIER DOCUMENTAIRE

A1 GESTION DE LA RELATION AVEC LA CLIENTELE

Santé et sécurité des adjoints techniques territoriaux des établissements d enseignement (ATTEE)

Recommandations sur les mutualisations ISO ISO & ISO ITIL

«Outils de gestion pour TPE CRM / ERP» Club

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

MUNICIPALITE DE PORRENTRUY. Description de poste

Informations et réflexions autour de la Sécurité des SI et des SIH en particulier

Annexe - document CA 118/9. Termes de référence. Audit fonctionnel et organisationnel de l OTIF

Panorama général des normes et outils d audit. François VERGEZ AFAI

Conseil et Ingénierie des Systèmes d Information d Entreprise

stratégie de communication

European Assistant Assistant de Manager

Cette première partie pose les enjeux de la BI 2.0 et son intégration dans le SI de l entreprise. De manière progressive, notre approche situera le

«Le RSSI, dans les faits, dix ans après le Livre blanc»

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Piloter le contrôle permanent

MÉTHODOLOGIE PROJET SYSTÈME D INFORMATION DÉCISIONNEL BI - BUSINESS INTELLIGENCE. En résumé :

CONFERENCE INTERAFRICAINE DES MARCHES D ASSURANCE

Atelier «Gestion des Changements»

AUDIT CONSEIL CERT FORMATION

La gestion documentaire les bases d'un système de management de la qualité

Charte de contrôle interne

POLITIQUE DE SÉCURITÉ DES SYSTÈMES D INFORMATION DE L ÉTAT. Version 1.0

7ème. Forum International de la Cybersécurité. 20 et 21 janvier 2015 Lille Grand Palais. Cybersécurité et Transformation Numérique

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

RESSOURCES HUMAINES. Yourcegid Ressources Humaines, des solutions pour les entreprises qui s investissent dans leur capital humain.

Atelier Gestion des incidents. Mardi 9 Octobre 2007

CAHIER DES CHARGES MASTER CLASS STRATEGIE DE L INNOVATION

Classification : Non sensible public 2 / 22

France Telecom Orange

Expert International en Gestion des ressources en eau Coresponsable - Maroc

BREVET DE TECHNICIEN SUPERIEUR

POSITIONNEMENT DU POSTE DANS LA STRUCTURE MISSIONS

Messagerie collaborative et unifiée de l Inra

REFERENTIEL STRATEGIQUE DES COMPETENCES DU RESPONSABLE DE FORMATION EN ENTREPRISE INTERVENTION DU 13 OCTOBRE DE VERONIQUE RADIGUET GARF (*) FRANCE

L'AUDIT DES SYSTEMES D'INFORMATION

INTRODUCTION... 2 CALENDRIER... 3 TRAVAUX DE L ANNEE BUDGET REALISE ANNEXES... 10

LA GESTION DE LA RELATION CLIENT

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

Sur le Chemin des Attentes des Usagers : le Projet Personnalisé

Transcription:

Une fiche de Mission pour les Référents SSI Projet régional ARS PdL «Programme Hôpital Numérique» et «SSI» Compte-rendu du groupe de Travail 24 octobre 2014

Personnes présentes François TESSON Véronique VALLEE Hervé MENORET Irène CHAIGNEAU Christophe DUVAL Peggy GAILLARD Vincent TRELY 14h00 17h00 Tour de table Introduction de François TESSON Notice et éléments de référence Résumé des échanges Ecosystème du Référent SSI Fiche Mission Référent SSI 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 2

Le RGS de l ANSSI www.ssi.gouv.fr Le Programme Hôpital Numérique DGOS - http://www.sante.gouv.fr/un-etablissement-de-sante.html Fiche pratique n 6 : Fiche de poste type d un RSSI et description des fonctions d un référent sécurité du système d information La PGSSI S de l ASIP Santé - http://esante.gouv.fr/pgssi-s/presentation ANNEXES : détail des grandes fonctions SSI Eléments de référence I 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 3

Eléments de référence II Le terme «mission» renvoie au fait que l activité de référent SSI est une activité cumulée avec d autres activités du professionnel concerné. Il indique également que cette fonction peut avoir un caractère transitoire. Le terme «type» indique qu il s agit d une fiche standard, applicable à l ensemble des structures impliquées et qui devra donc être adaptée à minima pour chaque référent, au regard de son contexte. La méthode d élaboration suivra le principe suivant : Que doit FAIRE le Référent SSI? Comment le Référent SSI réalise-t-il ses missions? De quelles compétences et de quels soutiens a-t-il besoin pour FAIRE ou FAIRE FAIRE? Les grandes fonctions SSI Définition et mise en œuvre de la Politique de Sécurité des Systèmes d Information (ou PSSI S) Diagnostic et analyse des risques techniques et métiers Choix des mesures de sécurité et mise en œuvre (via l entité Informatique de la structure) Le Référent SSI «fait faire» Sensibilisation, formation et conseil sur les enjeux de la SSI Audit et contrôle de l application des règles de la PSSI Veille technologique et prospective Il est important de noter que le Référent SSI devra s appuyer sur les équipes informatiques en place et / ou les prestataires en charge de la gestion du SI et sur les équipes métiers de la structure La fiche mission pourra évoluer en fonction de l évolution du poste au sein de la structure Elle propose une trajectoire 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 4

Résumé des échanges I Le Référent SSI est : Identifié, reconnu et nommé par la Direction Générale Courrier Soutenu par une instance décisionnaire sur la SSI. De manière pragmatique, dans la phase initiale de prise en compte de la SSI, cette instance doit être intégrée à une instance déjà existante au sein de la structure, qui traitera périodiquement de la thématique SSI (exemple : CME, Commission Risques Santé, Comité de Direction). Idéalement, à terme et suivant le contexte de la structure, un Comité de Sécurité des SI (COSSI) pourra être créé. Dépendant de la formalisation des processus critiques (HAS V2014) Le Référent SSI n est pas : Responsable de la Sécurité des SI (RSSI) Le rédacteur de la PSSI, même s il participe à ce travail ou le coordonne Un expert attendu des problématiques SSI Le rédacteur des analyses de risques et des procédures SSI 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 5

Résumé des échanges II Le Groupe de Travail note les points suivants : Lorsque le Référent SSI est rattaché à la DSI, attention à sa légitimité en tant que «critique» des processus SI L interfaçage entre le Référent SSI et le Gestionnaire des Risques est évident Les événements indésirables liés à la SSI sont transmis pris en compte par le GDR. Le Référent SSI en assure le suivi et coordonne leur traitement. Les processus métiers incluant les processus critiques sont modélisés par les fonctions Qualité / Gestion des Risques Le Référent SSI doit être intégré dans la démarche projet de la DSI pour être informé du portefeuille de projet et des processus de changement, ceci afin d intégrer la sécurité dès l initiation des projets (intégration au PDCA) Envisager un groupe de travail périodique des Référents SSI qui permettrait d échanger sur les actions menées dans les établissements et avoir des retours sur des sujets d actualités (BYOD, messagerie sécurisées, évolution PGSSI-S ). DSI ou RSSI pourraient y être présents. 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 6

Fiche Mission Le Référent SSI : Prend connaissance des documents SSI au niveau national, régional et local Coordonne les analyses de risques informatiques / métiers liées à la SSI et assure le suivi du plan de traitement des risques Rend compte périodiquement à l instance décisionnaire sur la SSI Participe aux instances de la gestion des risques Sensibilise les personnels aux risques et aux dangers du numérique, selon les recommandations des textes de référence Ou coordonne les actions de sensibilisation Coordonne la définition, la rédaction et la mise en œuvre de la PSSI Participe activement Assure le suivi de la réalisation des éléments constituant la PSSI et leur diffusion dans l Etablissement Assure une veille technique, organisationnelle et réglementaire sur les principes de la SSI Elabore et assure le suivi d un tableau de bord des actions SSI Assure le reporting Assure le suivi et coordonne le traitement des événements indésirables liés à la SSI Quand l organisation de l Etablissement ne l a pas prévu, s assure de la conformité de l Etablissement avec les exigences CNIL Le Référent SSI possède les compétences et qualités suivantes : Il sait adapter son langage à ses interlocuteurs Il est motivé par les systèmes d information et leurs grands principes de fonctionnement et de management Il a connaissance des principaux processus et outils du SI Il est diplomate, communicant et bon rédacteur Il maîtrise les outils bureautiques 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 7

Le PDCA S : Simple M : Mesurable A : Accessible R : Responsabilisant T : Tangible On peut également traduire SMART : Spécifique (est-ce bien défini?), Mesurable, choisir un Accord acceptable, Réaliste et réalisable, dans un Temps déterminé SMI : Système de Management Intégré 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 8

Ecosystème du Référent SSI Direction Générale Biomédical Infrastructures PSSI Comité Sécurité des SI Cellule Identitovigilance DSIH DIM Référent SSI Gestion des Risques Dans le contexte de certains Etablissements de Santé, en particulier de petite taille, la création d un Comité SSI en plus des Instances existantes peut s avérer difficile. On cherchera alors à positionner la responsabilité du suivi de la PSSI au sein d un Comité existant. Le Comité retenu ajoutera le suivi de la PSSI à son ordre du jour régulier. 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 9

Activités SSI détail et tâches I Définition et mise en œuvre de la PGSSI Prendre connaissance des documents produits dans le cadre du Programme Hôpital numérique en lien avec la SSI Prendre connaissance de la PGSSI-S et de ses annexes définies par l ASIP Santé Adapter les besoins et les objectifs de sécurité de la structure en collaboration avec le Management «administratif» et le Management «Médical» Contextualiser une PSSI adaptée à son contexte Communiquer les éléments de cette PSSI Mettre en place un système de management de la PSSI (type processus Qualité), incluant un suivi et une mesure d atteinte des objectifs Proposer un plan d actions annuel permettant la déclinaison de la PSSI Mettre en œuvre les actions permettant de décliner cette PSSI Diagnostic et analyse des risques Diagnostiquer le niveau de sécurité général de la structure à l aide des outils d évaluation fournis par les Instances nationales et / ou régionales Etablir et classer les familles de risques issues de l audit Réaliser des analyses de risque par fonction métier (Que peut-il arriver? Quelles en seraient les conséquences? Comment couvrir le risque? Quelles mesures immédiates prendre en cas d incident? Quelles mesures correctives mettre en œuvre?) Intégrer dans le plan d actions les actions de couverture des risques Choix des mesures de sécurité et plan de mise en œuvre Tenir à jour le plan d actions et en communiquer régulièrement l avancement Lister les mesures techniques ou organisationnelles à mettre en œuvre pour couvrir les risques Négocier avec chaque ligne métier les conditions de leur mise en œuvre Contractualiser le plan de mise en œuvre (ce sont les Directions Métiers ou Médicales qui «assument les risques») Travailler en étroite collaboration avec l équipe informatique pour couvrir les risques techniques Travailler en collaboration avec l équipe biomédicale pour couvrir les risques liés ANNEXES 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 10

Activités SSI détail et tâches II Sensibilisation, formation et conseil sur les enjeux de la SSI Sensibiliser les cœurs de Métiers aux enjeux de la SSI et adapter le discours à l auditoire Travailler en collaboration avec la DRH et la Direction des Soins pour intégrer la SSI dans les processus de recrutement et de formation des professionnels Participer aux réunions de lancement de l ensemble des projets techniques pour y porter la voix SSI et vérifier que l amont, le pendant et l aval sont conformes aux exigences de la PSSI Utiliser tous les moyens disponibles pour mener les actions de sensibilisation (journal interne, Intranet, réunions plénières ) Audit et contrôle de l application des règles de la PSSI Prendre connaissance des outils d audit et de contrôle produits par les Instances nationales et / ou régionales Réaliser a minima un audit interne annuel global permettant de mesurer le niveau de sécurité Commanditer a minima tous les 3 ans un audit technique externe (systèmes, réseaux, management de la PSSI) Rendre compte régulièrement de l évolution du niveau de sécurité Mettre à jour le plan de gestion des risques en fonction des changements au sein de la structure Veille technologique et prospective Assurer une veille sur les sites institutionnels du Ministère, qui documentent régulièrement les modalités de mise en œuvre et de suivi de la PGSSI-S Assurer une veille technologique globale liée à la SSI Se mettre en rapport régulier avec le coordinateur régional Alerter le coordinateur régional ou les Instances nationales en cas de risque majeur détecté ANNEXES 2013 Agence Régionale de Santé des Pays de la Loire Direction de l Efficience de l Offre - 11

Agence Régionale de Santé Pays de la Loire CS 56233 44262 NANTES Cedex 2 T. 02.49.10.40.00 www.ars.paysdelaloire.sante.fr

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back