Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Introduction à la sécurité des systèmes d’information Guide pour les directeurs

Introduction à la sécurité des systèmes d’information Guide pour les directeurs d’établissement de santé Direction générale de l’offre de soins novembre 2013 Introduction à la sécurité des Systèmes d’Information en établissements de santé : guide pour les directeurs novembre 2013 2 Introduction à la sécurité des Systèmes d’Information en établissements de santé : guide pour les directeurs novembre 2013 3 L’offre de soins doit se déployer autour des patients, dans une logique de parcours – de santé, de soins, de vie – de décloisonnements entre les différents acteurs, de coordination et de complémentarité A ce titre, les systèmes d’informations sont des outils de partage et d’échanges incontournables au bénéfice des patients, des professionnels et du système de santé. Il est donc crucial de garantir leur sécurité, leur disponibilité et leur confidentialité pour maintenir la confiance des patients dans le système de santé et celle des profession- nels dans les outils qu’ils utilisent au quotidien La politique de sécurité ne se limite pas à la protection contre la perte, l’indisponibilité ou la divulgation de don- nées médicales personnelles ou administratives, elle permet de créer un espace de confiance entre les profes- sionnels et les patients et elle est un levier essentiel de l’amélioration de la qualité des soins. Il est donc de la responsabilité du management des établissements de santé (Directeur, Directeur des soins, Directeur des Res- sources Humaines, présidents des conférences ou commissions médicales des établissements de santé) de la promouvoir. S’appuyant sur le retour d’expérience de deux projets régionaux, qui regroupent chacun une trentaine d’établissements, le présent guide éclaire la problématique de la sécurité, en précise les enjeux et présente aux décideurs, les étapes de la mise en place d’une démarche. Bonne Lecture Jean Debeaupuis. Introduction à la sécurité des Systèmes d’Information en établissements de santé : guide pour les directeurs novembre 2013 4 Introduction à la sécurité des Systèmes d’Information en établissements de santé : guide pour les directeurs novembre 2013 5 Comment lire ce guide ? Ce guide pratique vise à apporter un éclairage sur les enjeux de la sécurité du système d’information dans un établissement de santé et à exposer aux décideurs quelles sont les bases de la mise en place d’une démarche de sécurité. Il est principalement destiné aux équipes de direction des établissements publics et privés (Directeur, Directeur des soins, Directeur des Ressources Humaines, DAF, …), aux Présidents de CME et aux chefs de pôle ; mais il peut être lu par l’ensemble des Professionnels de Santé et des cadres de ces établissements. CONTEXTE Ce guide s’appuie principalement sur le retour d’expérience de deux projets régionaux, dans le Nord Pas de Calais et dans le Limousin. Ces projets, actuellement en cours, regroupent chacun une trentaine d’établissements. Ils visent à faire élaborer une politique de sécurité par chaque struc- ture, mettre en place une organisation pérenne pour la sécurité du système d’information (SI) et conduire différents projets de sécurité (utilisation de la carte de professionnel de santé (carte CPS) pour l’accès au SI, plan de continuité d’activités, …). Ce guide fait partie de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S), référentiel qui est en cours de rédaction (publication fin 2013), et en est un élément constitutif. La PGSSI-S exprime des exigences de sécurité et des principes de mise en œuvre ; elle fixe des objectifs globaux, pérennes ; elle est aussi constituée d’un document qui rap- pelle le cadre et les obligations juridiques ainsi que de référentiels techniques sur les différents thèmes de la sécurité des systèmes d'information. La PGSSI-S est destinée à l’ensemble des per- sonnes qui utilisent des données de santé (organismes de recherche, médecins libéraux, établis- sements de santé, etc.) ; elle vise tous les modes d’exercice (exercice libéral, laboratoire, établis- sements de santé, etc.). Ce guide permet d’aborder plus facilement les autres documents de la PGSSI-S, sans être un préalable. CONTENU DU GUIDE PRATIQUE – QUE TROUVE-T-ON DANS LES FICHES ? Ce guide est composé de 10 fiches pratiques. Elles expliquent la démarche de sécurité SI et con- tiennent des recommandations sur des points clés que sont notamment la réalisation d'un diagnos- tic et le pilotage de la démarche avec le soutien de la Direction.  La Fiche N°1 « Les enjeux de la sécurité de l’information pour l’établissement de santé » rappelle, pour l’établissement, les enjeux et le contexte vis-à-vis des nouvelles technologies de l’information et de la communication.  La Fiche N°2 « Maîtriser la sécurité du Système d’Information (SI) – Comment ? » reprend les éléments significatifs et incontournables de chaque thème abordé dans le guide. Elle donne les objectifs d’une démarche de sécurité du système d’information (SI) avec les principes permettant de maîtriser sa mise en place et les actions prioritaires pour initier la démarche.  La Fiche N°3 « Définition de la sécurité du Système d’Information dans les établissements de santé » présente le fondement d’une démarche sécurité ainsi que les projets majeurs liés à cette dé- marche.  La Fiche N°4 « La Direction acteur important de la démarche sécurité » précise les différents points où l’action de la Direction est nécessaire.  La Fiche N°5 « Pré-requis : un diagnostic et une gouvernance sécurité » indique par quoi commen- cer et donne des repères pour mettre en place l’organisation de la démarche sécurité. Introduction à la sécurité des Systèmes d’Information en établissements de santé : guide pour les directeurs novembre 2013 6  La Fiche N°6 « La sécurité avant d’autres projets : le bon arbitrage » propose aussi de commencer par des actions « pépites » relativement faciles à mettre en place, qui permettent de constituer un socle de sécurité et d’initier la démarche.  Fiche N°7 « Les facteurs clés de succès de la démarche » décrit les retours d’expérience d’organisation de démarches réussies au sein des établissements.  Fiche N°8 « La communication : un levier essentiel » rappelle l’importance de la communication et les messages principaux dans une démarche sécurité.  Fiche N°9 « La documentation sécurité : un minimum est nécessaire » décrit les principales briques documentaires.  Fiche N°10 « Les coûts de la sécurité » donne des pistes pour une évaluation budgétaire des couts de la sécurité. COMMENT LIRE LE GUIDE PRATIQUE L’ordre de lecture des fiches n’est pas imposé ; Chaque fiche peut être lue sans avoir nécessaire- ment pris connaissance des fiches précédentes. EN CONCLUSION Le guide constitue pour la Direction un document de sensibilisation sur les questions de sécurité des systèmes d’information ; il s’inscrit dans le corpus documentaire de la Politique Générale de Sécurité des Systèmes d’Information de Santé (PGSSI-S). Avec ce guide pratique, la Direction de l’établissement possède les clés pour comprendre les enjeux de la sécurité du SI et pour initier une démarche pérenne avec l’appui de ses équipes. Introduction à la sécurité des Systèmes d’Information en établissements de santé : guide pour les directeurs novembre 2013 7 Sommaire FICHE N°1 : LES ENJEUX DE LA SECURITE DE L’INFORMATION POUR L’ETABLISSEMENT DE SANTE ....................................................................................................... 9 FICHE N°2 : MAITRISER LA SECURITE DU SYSTEME D’INFORMATION (SI) – COMMENT ? ...................................................................................................................................... 13 FICHE N°3 : DEFINITION DE LA SECURITE DU SYSTEME D’INFORMATION DANS LES ETABLISSEMENTS DE SANTE ..................................................................................................... 17 FICHE N°4 : LA DIRECTION ACTEUR IMPORTANT DE LA DEMARCHE SECURITE ..... 21 FICHE N°5 : PRE-REQUIS : UN DIAGNOSTIC ET UNE GOUVERNANCE SECURITE ....... 23 FICHE N°6 : LA SECURITE AVANT D’AUTRES PROJETS : LE BON ARBITRAGE ........... 27 FICHE N°7 : LES FACTEURS CLES DE SUCCES DE LA DEMARCHE .................................... 29 FICHE N°8 : LA COMMUNICATION : UN LEVIER ESSENTIEL ............................................. 31 FICHE N°9 : LA DOCUMENTATION SECURITE : UN MINIMUM EST NECESSAIRE ....... 33 FICHE N° 10 : LES COUTS DE LA SECURITE ............................................................................ 35 8 9 Fiche n°1 : Les enjeux de la sécurité de l’information pour l’établissement de santé 1 - L’EVOLUTION DES PRATIQUES ET DES TECHNOLOGIES L’usage progressif du Dossier Patient Informati- sé (DPI) dans les établissements montre que les soins s’appuient de plus en plus sur le système d’information (SI). La standardisation des technologies fait que la barrière séparant les équipements biomédicaux du reste du réseau informatique tend à disparaître. Le pilotage de ces équipements et les données traitées se trouvent donc dépendants de la sécurité globale du Système d’Information (SI). L’utilisation des technologies de l’information améliore la qualité des soins, les conditions de travail… mais elle est aussi porteuse de nouveaux risques et de nouvelles con- traintes. Ainsi, la mise en place du DPI doit être accompa- gnée d’une garantie de disponibilité 24h/24 et 7j/7, et d’authenticité des informations s’y trouvant. Un dysfonctionnement du SI entrainant un mélange de résultats de biologie peut avoir un impact fort sur une prise en charge d’un patient. Les logiciels antivirus, les mots de passe et les sauvegardes informatiques des données sont indis- pensables pour éviter des incidents, mais les me- sures strictement techniques ne suffisent pas à répondre à l’enjeu. 2 - LE LIEN ENTRE INCIDENTS DE SECURITE ET QUALITE DE L’OFFRE DE SOINS L’informatisation uploads/Sante/ guide-introduction-a-la-securite-du-systeme-d-information-dgos-091213.pdf