Auditabilité des SI et Sécurité

Documents pareils
Auditabilité des SI Retour sur l expérience du CH Compiègne-Noyon

Menaces informatiques et Pratiques de sécurité en France Édition Paris, 25 juin 2014

Programme Hôpital numérique

Recommandations sur le Cloud computing

Montrer que la gestion des risques en sécurité de l information est liée au métier

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

Prestations d audit et de conseil 2015

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Circuit du médicament informatisé

ADDITIF AU RAPPORT DE CERTIFICATION V2010 CLINIQUE CHIRURGICALE DU LIBOURNAIS

Vocera Thierry Géraud Didier Chicheportiche. Résultats critiques et évolutions réglementaires mai 2013

POLITIQUE SECURITE PSI - V3.2 VSI - 15/04/2014. L architecte de vos ambitions

dans un contexte d infogérance J-François MAHE Gie GIPS

Organisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique.

La dématérialisation des échanges grâce aux messageries sécurisées de santé

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

L analyse de risques avec MEHARI

L application doit être validée et l infrastructure informatique doit être qualifiée.

Panorama général des normes et outils d audit. François VERGEZ AFAI

Service Hébergement Web

Créer un tableau de bord SSI

Atelier " Gestion des Configurations et CMDB "

Classification : Non sensible public 2 / 22

Systèmes et réseaux d information et de communication

Gestion des Incidents SSI

Service Cloud Recherche

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG

PGSSI-S : Politique générale de sécurité des systèmes d information de santé Guide Pratique Plan de Continuité Informatique Principes de base V 0.

APX Solution de Consolidation de Sauvegarde, restauration et Archivage

ITIL FOUNDATION 2011 & PREPARATION A LA CERTIFICATION

Introduction à la sécurité des systèmes d information

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

DDO/D2OM/DPMI Séminaire ACORS SMI Septembre Quitter sommaire préc. suiv.

INTEGRATEURS. Pour un Accompagnement Efficace vers le Cloud SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

e need L un des premiers intégrateurs opérateurs Cloud Computing indépendants en France

SUPPORT DE FORMATION, INFORMATION, COMMUNICATION

REF01 Référentiel de labellisation des laboratoires de recherche_v3

Atelier Tableau de Bord SSI

France Telecom Orange

L impact du programme de relance sur le projet régional 19/05/2009 COPIL AMOA 1

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

Mise en œuvre de l accréditation dans un laboratoire de biologie médicale privé

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

connecting events with people

Mise en œuvre de la certification ISO 27001

Exploitation, maintenance & sécurité des infrastructures Prenez de l altitude en toute sérénité

Contractualiser la sécurité du cloud computing

AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre?

Rapport d'audit étape 2

Le Dossier Médical Personnel et la sécurité

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Gestion des incidents

SITES INTERNET CREATION ET FONCTIONNEMENT D UN SITE INTERNET POUR UN LABORATOIRE DE BIOLOGIE MEDICALE

Projet Personnalisé Encadré PPE 2

Maîtriser les mutations

CQP Plasturgie Opérateur spécialisé en assemblage, parachèvement finition. Référentiels d activités et de compétences Référentiel de certification

Les clauses «sécurité» d'un contrat SaaS

- Biométrique par badge code - Visualisation en directe - Positionnement sur des alarmes - Image haute résolution de jour comme de nuit

Depuis l'an 2000, le Ministère de la Santé Publique (MSP) a mis en place une procédure d accréditation pour améliorer la qualité des services

Les audits de l infrastructure des SI

CQP Plasturgie Assemblage parachèvement finitions. Référentiels d activités et de compétences Référentiel de certification

Plan de maîtrise des risques de la branche Retraite Présentation générale

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

AUDIT MAINTENANCE CURATIVE MAINTENANCE PREVENTIVE HOTLINE

Zone de commentaires. Convention EFS / ES ( document à joindre) II, Les systèmes d'information OUI NON NC Zone de commentaires. Zone de commentaires

1. Présentation de l échelle de maturité de la gestion des risques

Réf. Module Public ciblé Durée Contenu. Décideurs du secteur Commerce ou des Institutions financières concernées par le paiement

Sécurité des Systèmes d Information

Qu est-ce qu un système d Information? 1

TIERCE MAINTENANCE APPLICATIVE

A.PERRIER, Directeur Soins Infirmiers A. GAUDILLERE, Resp. Assurance Qualité

Conseil en Technologie et Systèmes d Information

Guide sur la sécurité des échanges informatisés d informations médicales

intégration tri ogique Démarches Processus au service des enjeux de la Santé

La gestion documentaire les bases d'un système de management de la qualité

Conseil opérationnel en organisation, processus & système d Information. «Valorisation, Protection et Innovation de votre Patrimoine Numérique»

Au sens Referens : Administrateur des systèmes informatiques, réseaux et télécommunications

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

Guide pratique spécifique pour la mise en place d un accès Wifi

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

Atelier Gestion des incidents. Mardi 9 Octobre 2007

Des systèmes d information partagés pour des parcours de santé performants en Ile-de-France.

Les avantages de la solution Soluciteam

Procédure adaptée (Article 28 du Code des marchés publics)

GCS EMOSIST-fc. DataCenter. Journée du 30 Novembre Jérôme Gauthier

COMPTE RENDU D ACCREDITATION DE L'HOPITAL ET INSTITUT DE FORMATION EN SOINS INFIRMIERS CROIX-ROUGE FRANÇAISE

Informations sur la NFS

SDRSIS Systèmes d information en santé

Study Tour Cloud Computing. Cloud Computing : Etat de l Art & Acteurs en Présence

Présentation Application Coffre-fort électronique Cloud Access for Salesforce

Livre blanc. SaaS : garantir le meilleur niveau de service. (2e partie)

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

Calculs de coût. Université de Marne-la-Vallée 4/35 Laurent Wargon

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Sommaire des documents de la base documentaire v /11/2013

Transcription:

Auditabilité des SI et Sécurité Principes et cas pratique Géraldine GICQUEL ggicquel@chi-poissy-st-germain.fr Rémi TILLY remi.tilly@gcsdsisif.fr

SOMMAIRE 1 2 3 4 Les leviers d amélioration de la SSI Les enjeux de la démarche Les sujets abordés Les facteurs clés du succès de la démarche

Les leviers d amélioration de la SSI Hôpital Numérique Certification HAS PGSSI-S, PSSI-E Accréditation des Laboratoires, COFRAC Amélioration de la SSI Certification des comptes Normes ISO 27001, ISO 20000, ISO 9001 CNIL

Les leviers d amélioration de la SSI CC-Aud F1 PSSI-E P3 HN P2.2 HN P2.1 HN P3.1 PSSI-E P2 CC-Aud Etap.1 SDSI Eval SI PRA PSSI Gestion Risques Gestion docume ntaire HAS HAS HAS HAS 5.a 2.e 5.b 5.c

Les leviers d amélioration de la SSI Capitalisation entre les démarches (exemples) Certification HAS Hôpital Numérique Auditabilité du SI Critère 5b (sécurité du système d'information) Eclairage du E1- EA1: La sécurité des données et organisée (définition des responsabilités, formalisation et diffusion des procédures, etc.) P3.1: Existence d'une politique de sécurité formalisée pour les applications au cœur du processus de soins et fondée sur une analyse des risques au sein de l'établissement ; existence d une fonction de référent sécurité ETAPE 1 - Préparer la prise de connaissance du SI Chapitre 1 Organisation de la fonction SI dans l EPS : «L organisation de la DSI, les responsabilités des différents acteurs (..)»

Les enjeux de la démarche d auditabilité du SI Impact des incidents de sécurité sur la qualité de l offre de soin Disponibilité Intégrité Confidentialité Traçabilité Qualité et Continuité des soins Secret professionnel Responsabilité

Les Fiches Pratiques (exemple) Fiche 7 - Matrice de séparation des tâches Catégorie Contrôles généraux informatiques Domaine Configuration des droits d'accès Thème Matrice de séparation des tâches Objectif Les principes de séparation des tâches sont respectés pour les applications du périmètre (voir guide partie 2.3.1). Exemple de bonnes pratiques Une matrice de séparation des fonctions est définie et validée par la direction générale et est appliquée au niveau informatique. Documentation à préparer Matrice de séparation des tâches validée par le management Eléments à préparer Formalisation Mise en oeuvre La politique de sécurité traite des points relatifs à la séparation des tâches. Une matrice de séparation des tâches existe et est validée. La matrice a été appliquée dans les systèmes (construction des profils, etc.). Les profils d'autorisation dans les applications correspondent à la matrice de séparation des tâches.

LES SUJETS ABORDÉS 1 Gouvernance 2 Accès Logique au SI 3 Accès Physique au SI 4 Gestion du Changement 5 Développement et Acquisition 6 Exploitation et Sauvegarde 7 Gestion des incidents

Gouvernance Exigences Stratégie du SIH : Schéma Directeur, Projets Organisation de la DSI Cartographie applicative et interfaces Gestion des contrats CC-Aud F1 SDSI

Gouvernance Application Essentiellement de la formalisation Documents modèle disponible dans boîte à outil HN, dans guide auditabilité du SI de la DGOS

Gouvernance Application

Gouvernance Application

Gouvernance Application Essentiellement de la formalisation Au CHIPS, 3jrs de consultant expert sécurité, 10jrs ingénieur en interne pour réaliser l analyse de risques, la PSSI, le PRA/PCA et le plan d actions SSI

Gouvernance Application

Gouvernance Application

Accès logique au SI Exigences Revue des comptes Utilisateur Compte générique Politique des mots de passe Compte Administrateur Attribution des droits en fonction des rôles Séparation des tâches Processus de gestion des utilisateurs

Accès logique au SI Application Gestion des génériques accédant au Dossier Patient Informatisé Livret accès aux ressources SI : sécurisation du mot de passe Entrée/sortie personnel : utilisation d un logiciel connecté au logiciel RH Extrait logigramme

Accès logique au SI Application

Accès logique au SI Application Gestion des génériques accédant au Dossier Patient Informatisé Livret accès aux ressources SI : sécurisation du mot de passe Entrée/sortie personnel : utilisation d un logiciel connecté au logiciel RH Revue à organiser en routine

Accès physique au SI Exigences Accès sécurisé Gestion des personnes habilitées Équipement de sécurité Remontées d alerte

Accès physique au SI Application Travaux réalisés à la salle de Saint Germain Clé élec. badge

Gestion du changement Exigences Formalisation des demandes de changements applicatifs Réalisation de tests pour les applications sensibles Accès aux environnements de production Gestion des changements Urgent

Gestion du changement Application Sur les applications critiques (RH,GEF,GAP,DPI, SIL,SIR) Référent métier base de test Réunion de go/no go avec le référent métier avant changement de version Traçabilité des changements via GLPI en cours de mise en place

Développement et Acquisition Exigences Prise en compte des besoins utilisateurs Développements/acquisitions testés, validés et documentés Processus de reprise des données Processus de mise en production

Développement et Acquisition Application Uniquement de l acquisition Processus formalisé Formalisation du besoin par le métier Avis du Resp. du domaine Choix procédure en fonction montant Comité de choix du prestataire composé de représentants du métier

Exploitation et Sauvegarde Exigences Liste des traitements d exploitation Revue des traitements automatisés Plan de sauvegarde Gestion des bandes Procédure de restauration Tests de restauration

Exploitation et Sauvegarde Application Applications critiques hébergées au MIPIH, hébergeur agréé pour l hébergement des données de santé Supervision des traitements automatisés via outil VTOM Sauvegarde et gestion des bandes assignés au MIPIH Restaurations réalisées lors la mise à jour des environnements de recette pour les tests de version majeure

Gestion des Incidents Exigences Procédure formalisée Dispositif d escalade Rapport de traitement des incidents Outil de suivi Revue régulière

Gestion des Incidents Application Deux dispositifs : GLPI pour les demandes utilisateurs, mis en place en mars 2014, aujourd hui autour de 800 demandes par mois Tableau de suivi des incidents majeurs d exploitation

Gestion des Incidents Application Date début 24/10/14 10:00 description Type Impact Date fin Durée sidosmed down panne plus de codage, plus de sortie aux urg ped Prestataire impacté 24/10/14 00:30:00 SIB Description technique Impossible de coder le pmsi, impossible de faire les sorties aux urgences pédiatriques Action curative court terme Action curative long terme redémarrage SIDOSMED par la hotline SIB identification cause par le SIB le 30/10/2014 : le traitement actes-enretard fait planter suspension de ce traitement par le MIPIH le 30/10/2014 livraison correction anomalie par le SIB 20/11 Statut Correction OK

Les facteurs clés du succès de la démarche La sécurité du SI n est pas un projet informatique La mise en place d objectifs atteignables L identification des risques La production de documents Sécurité ciblés et compris de l ensemble des utilisateurs

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back