https://global.agfahealthcare.com/france/systemes-informations/srd_restauration/
https://vieviewer.com/

Systèmes d'information

Comment bien gérer une demande d'agrément HDS et une certification ISO27001

0 78

PARIS, 2 février 2016 (TICsanté) - L'agrément hébergeur de données de santé (HDS) et la norme internationale ISO27001 reposent sur "des référentiels de sécurité de plus en plus convergents", a expliqué à TICsanté Loïc Thouvenot, consultant en sécurité des systèmes d'information, qui a fourni des éléments de méthodologie pour obtenir ces deux labels.

L'obtention de l'agrément HDS délivré par le ministère de la santé est indispensable à toute société qui souhaite accéder au marché du stockage et du traitement des données de santé. Les conditions de son obtention sont décrites dans un décret du 4 janvier 2006.

La certification ISO27001 est une norme internationale qui n'est pas obligatoire. Elle assure le respect de certaines règles de sécurité pour les systèmes d'information. Elle représente un gage de qualité et un atout commercial important pour le déploiement de projets IT à l'international.

"Les différences entre HDS et ISO27001 ont tendance à s'atténuer avec le temps, et je conseille aux entreprises qui doivent demander l'agrément HDS d'anticiper la certification ISO en cherchant un maximum de recoupements entre les deux", a souligné Loïc Thouvenot, qui a été chargé d'analyse "Hébergement des données de santé" à l'Asip santé de 2010 à 2013 avant d'intégrer le cabinet de conseil Oppida.

Le formulaire P6, à remplir pour la demande d'agrément HDS, atteste du niveau de sécurité global du système d'information d'une entreprise, et "constitue un référentiel très commun avec l'ISO", a-t-il indiqué à titre d'exemple.

Les particularités de l'agrément HDS tiennent surtout au respect du droit des patients, à des précisions sur la sauvegarde et la traçabilité des données hébergées.

Les entreprises qui souhaitent être agréées doivent consulter le rapport d'activité annuel du comité d'agrément hébergeurs de données de santé, disponible sur le site de l'Asip santé. Plusieurs aspects du référentiel de sécurité de l'HDS qui évoluent au cours du temps y sont précisés.

"Lorsque l'on dépose une demande d'agrément HDS, l'aspect pragmatique de la sécurité du système d'information est déjà traité. Il restera à ajouter une chape documentaire plus officielle, propre à la certification ISO", a détaillé Loïc Thouvenot.

Cette structure documentaire sera d'autant plus facile à fournir que l'entreprise aura anticipé sa demande de certification.

Elle pourra notamment prendre en compte dans sa demande d'agrément HDS les thèmes détaillés par l'ISO27002 pour décrire sa politique de sécurité des systèmes d'information (gestion des actifs, contrôle d'accès, relations avec les fournisseurs, sécurité liée à l'exploitation, etc.)

La certification ISO27001 demande également un engagement écrit de la direction à prendre en compte la sécurité informatique. Cette déclaration tient davantage de "l'enrobage", selon Loïc Thouvenot, estimant qu'elle "n'impactera pas directement le travail des administrateurs réseaux et des exploitants informatiques".

L'objectif est de démontrer que l'entreprise dispose d'un système de management de la sécurité de l'information (SMSI).

La différence entre l'agrément HDS et la certification ISO tient aussi à leur nature. L'agrément s'obtient sur des déclarations de bonne foi, tandis que la certification nécessite le contrôle d'un organisme certificateur au sein de l'entreprise.

Cependant, Loïc Thouvenot a rappelé que la Commission nationale informatique et libertés (Cnil), dispose d'un pouvoir de contrôle, et a incité les candidats à l'agrément à reconnaître leurs faiblesses.

"Il vaut mieux montrer clairement qu'il peut y avoir des failles dans le dossier, et s'engager à les prendre en compte pour les ajuster dans les années qui viennent", a-t-il conseillé.

rm/ab

La Rédaction
redaction@ticsante.com

http://www.computer-engineering.fr/

En bref

Microsoft s'allie à Enovacom pour intégrer l'espace MSSanté

Microsoft et Enovacom, filiale d'Orange Business Services spécialisée dans l'interopérabilité des systèmes d'information de santé, ont annoncé début décembre un partenariat afin de rendre la messagerie Exchange* de Microsoft compatible avec l'espace national des messageries sécurisées de santé (MSSanté).

0 373

En bref

IBO complète son agrément pour l'hébergement des données de santé

L'entreprise clermontoise IBO a annoncé le 7 décembre avoir obtenu un nouvel agrément d'hébergeur de données de santé à caractère personnel (HDS) pour la mise à disposition d'espaces physiques d'hébergement.

0 192
https://www.apmjob.com/display-job/74556/?searchId=1567170277.2615&page=1

Vos réactions

Anti-spam : Veuillez saisir le résultat de ce calcul S.V.P
9 + 9 =
http://www.canyon.fr/
https://www.groupepsih.com/decouvrez-hospivision/?utm_source=ticsante&utm_medium=banner&utm_campaign=Hospivison%20juin%2019
https://www.evolucare.com/articles/salon-sfar2019-palais_des_congres.html?utm_source=ticsante&utm_medium=banniere&utm_campaign=sfar2019

TICpharma.com

Découvrez le site de référence sur la transformation numérique des industries de santé

Découvrir le site

événements

  • Université des déserts médicaux et numériques

    Du 20/09/2019 au 21/09/2019

  • Catel Paris 2019

    Le 03/10/2019

  • 5ème Colloque cybersécurité en santé

    Le 03/10/2019

  • FASN Hôpital du futur

    Le 03/10/2019

  • E-Health World Monaco

    Du 15/10/2019 au 17/10/2019

  • 4èmes Rencontres hospitalo-universitaires de santé connectée

    Le 17/10/2019

  • 2ème SOPHI.A Summit

    Du 20/11/2019 au 22/11/2019