Embed Size (px)
Citation preview
5 février 2009 Journée Technique 1
Journée Technique Régionale
PSSI
Jeudi 05 Février 2009
5 février 2009 Journée Technique 22
Décret n° 2007-960 du 15 mai 2007
R. 1110-1 CSP
« La conservation sur support informatique des informations médicales … par tout professionnel, tout établissement et tout réseau de santé ou tout autre organisme intervenant dans le système de santé est soumise au respect de référentiels définis par arrêtés du ministre chargé de la santé »
« Les référentiels déterminent les fonctions de sécurité nécessaires à la conservation ou à la transmission des informations médicales en cause et fixent le niveau de sécurité requis pour ces fonctions. »
Le décret confidentialité et les référentiels confidentialité
5 février 2009 Journée Technique 3
La démarche
Identifier les enjeux de la sécurité des SI
Organiser la gestion de la sécurité en interne
Evaluer les mesures mises en œuvre
Elaborer le plan d’actions à conduire
Construire la politique de sécurité
Diffuser la politique de sécurité
Conduire les actions identifiées
5 février 2009 Journée Technique 4
Conduiteactions
La démarche
Consultation MOE SECU
Auto évaluation
Evaluations établissements
Actions et livrables groupe régional
Actions et livrables des établissements
MOE SECU
Nomination et formation RSSI
Rédaction PSSIDéfinition plan
d’actions
Phase 1
Sensibilisation et formation
Phase 1
Sensibilisation et formation
Phase 2
Evaluation
Phase 2
Evaluation
Phase 3
Plan d’actions
Phase 3
Plan d’actions
MOE SECU
Phase 4
PSSI
Phase 4
PSSI
PSSI établissements
5 février 2009 Journée Technique 5
Les acteurs du projet
Etablissement : La direction Le service informatique Le Référent Sécurité du Système d’Information (RSSI)
Régional : Le groupe projet régional La MOE sécurité Le RSSI régional
National : Le GMSIH
5 février 2009 Journée Technique 6
La MOE Sécurité
Prestataire spécialisé dans la conduite de politique de sécurité
Chargé de réaliser l’évaluation de chaque établissement et de l’accompagner dans sa démarche sécurité.
Conduit l’évaluation de l’établissement Définit le plan d’actions avec l’établissement Aide à la rédaction et la diffusion de la politique de sécurité Apporte son expertise et fournit les supports à l’établissement
La MOE sécurité est choisie et financée par le groupe régional La MOE intervient auprès de chaque établissement pendant 1 an environ.
5 février 2009 Journée Technique 7
Le RSSI établissement
Son rôle durant le projet : Réaliser l’évaluation de son établissement en matière de sécurité Réaliser le plan d’actions de mise à niveau Rédiger et diffuser la PSSI au sein de l’établissement
Son rôle régulier dans l’établissement : Suivre, contrôler et développer les actions de sécurité dans l’établissement (liées aux
nouveaux projets et à l’exploitation régulière) Organiser la disponibilité et la continuité des services dans l’établissement Veiller à l’information des utilisateurs et à l’application des règles de sécurité
5 février 2009 Journée Technique 8
Le GMSIH
Le GMSIH a réalisé un méthode et des outils pour conduire la démarche PSSI Un guide d’auto-évaluation Des référentiels et règles pour conduire les actions Des supports de présentations régionales et internes aux établissements
Le GMSIH accompagne le groupe projet régional durant toute la démarche
5 février 2009 Journée Technique 9
Phase 1 : Sensibilisation et formation
Etape 1 : Séance régionale de sensibilisation des directions des établissements
Contexte réglementaire, Enjeux internes, …
Etape 2 : Nomination en interne du Référent Sécurité du Système d’Information
Fiche de poste proposée par groupe régional
Etape 3 : Formation en séance régionale des RSSI à la méthode et aux outils
5 février 2009 Journée Technique 10
Phase 2 : Evaluation des mesures de sécurité
5 février 2009 Journée Technique 11
Etape 1 : Questionnaire d’auto-évaluation
10 Domaines évalués : Sécurité physique et sécurité de l’environnement Exploitation informatique et gestion des réseaux Contrôle d’accès logique Acquisition, développement et maintenance des applications et
systèmes Gestion de la continuité Respect de la réglementation interne et externe Politique de sécurité Management de la sécurité Inventaire et classification des ressources Sécurité et ressources humaines
5 février 2009 Journée Technique 12
Phase 3 : Définition du plan d’actions
Utilisation des résultats de l’évaluation Définition des actions détaillées de mise à niveau
Utilisation des référentiels du GMSIH
Priorisation et planification des actions
exemple plan d'actions
5 février 2009 Journée Technique 13
Phase 4 : Rédaction et diffusion PSSI
Utilisation de la Politique de Sécurité Cadre réalisée par le GMSIH et adaptée au niveau régional
Rédaction de la Politique de Sécurité avec la MOE Sécurité Organisation de la sécurité dans l’établissement (rôles et
responsabilités)
Validation de la PSSI par la direction Diffusion de la PSSI au sein de l’établissement
Organisation des modalités de suivi et de contrôle
