[PDF] Mémento de sécurité informatique pour les professionnels de santé

View - Download Mémento de sécurité informatique pour les professionnels de santé

Previous PDF

Next PDF

Statut : validé Classification : publique Version : V2.0 17/11/2021

Mémento de sécurité

informatique pour les professionnels de santé en exercice libéral

Annexe 1 questionnaires fournisseurs

PGSSI-S

Mémento de sécurité informatique pour les professionnels de santé en exercice libéral

Annexe 1 - Questionnaires fournisseurs

Statut : Validé | Classification : Publique | Version v2.0 - 17/11/2021 page 1/11

Table des matières

Objet et usage des questionnaires ...................................................................................................... 2

Questionnaire 1 : Points généraux applicables à toute fourniture de service informatique ......... 3

Questionnaire 2 : Installation et/ou de maintenance informatique .................................................. 5

Questionnaire 3 : Maintenance informatique à distance ................................................................... 9

Questionnaire 4 : Stockage de données à distance ou téléservice ............................................... 11

PGSSI-S

Mémento de sécurité informatique pour les professionnels de santé en exercice libéral

Annexe 1 - Questionnaires fournisseurs

Statut : Validé | Classification : Publique | Version v2.0 - 17/11/2021 page 2/11

Objet et usage des questionnaires

Les outils et services informatiques des professionnels de santé en exercice libéral constituent des ensembles de

plus en plus complexes qui mettent en jeu de multiples composants souvent interdépendants. Aussi est-il fortement

ces outils, ou pour la fourniture de téléservices et

Dans ce contexte, et dans la mesure où vous conservez dans tous les cas une responsabilité quant à la

protection des données à caractère personnel qui vous ont été confiées, il est essentiel que

chacun de vos fournisseurs de service informatique (désignés ci-après " fournisseurs » ou " professionnels

informatiques ») garantisse un service dont les modalités vous permettent de respecter vos obligations en

matière de sécurité des systèmes ,

notamment en ce qui concerne la disponibilité de vos outils et services informatiques, ainsi que la

, de santé ou autres.

Les professionnels informatiques qui interviennent pour votre compte se doivent de réaliser leurs prestations de

service en conformité avec les exigences légales et réglementaires applicables. Les questionnaires

pas vocation

ses fournisseurs de service informatique prend en compte les problématiques de sécurité de façon suffisamment

large. doivent également être pris en compte par ce dernier.

Ź Quatre questionnaires vous sont proposés ci-après en fonction de la nature du service assuré par

chacun de vos fournisseurs de service informatique.

Ź En tant que professionnel de santé en exercice libéral (ou " professionnel de santé »), vous êtes invité

à faire remplir les questionnaires qui vous concernent par chaque fournisseur de service, si possible en

étant vous-

conforme, il est fortement recommandé de demander au fournisseur de modifier sa prestation de service

et/ou ses pratiques afin pas indiqué comme étant optionnel (son respect restant néanmoins recommandé).

Ź e de

ses réponses en datant et signant le questionnaire renseigné.

PGSSI-S

Mémento de sécurité informatique pour les professionnels de santé en exercice libéral

Annexe 1 - Questionnaires fournisseurs

Statut : Validé | Classification : Publique | Version v2.0 - 17/11/2021 page 3/11 Questionnaire 1 : Points généraux applicables à toute fourniture de service informatique

Ce questionnaire concerne tout type de fourniture de service informatique, et doit être renseigné dans tous les cas.

Le fournisseur doit indiquer dans la colonne Conformité : " OUI » si la prestation de service considérée est conforme à la

NON » N/A » si le suj

du cadre de la prestation de service considérée (exemple à la sous-traitance ultérieure).

Conformité

Le fournisseur est une entité dotée de la personnalité morale,

Européenne, de façon à pouvoir être tenu juridiquement responsable de sa prestation de service.

Un contrat écrit est conclu entre le professionnel de santé et son fournisseur de service.

Le contrat précise le périmètre de la prestation de service réalisée et détermine la répartition des rôles et

responsabilités entre le professionnel de santé et le fournisseur au regard de prestation.

Le fournisseur a connaissance du cadre légal et règlementaire applicable au secteur sanitaire, social et

médico-social, en tient compte dans les prestations de service et

générales relatives à la protection des données personnelles et des données de santé.

Le fournisseur a, en sa qualité de prestataire de service, un devoir de conseil vis-à-vis du professionnel de

santé.

Le fournisseur a informé le professionnel de santé du recours à un ou plusieurs sous-traitants éventuels dans

le cadre de la réalisation de la prestation de service (ci-après dénommée " sous-traitance ultérieure »). Chaque

sous-traitance ultérieure est encadrée par un contrat qui comporte notamment les mentions suivantes : les

activités sous--traitant, les dates du contrat de sous-traitance, la répartition des rôles et responsabilités entre le fournisseur et son sous-traitant. Si le fournisseur recourt à la sous-traitance, il chaque sous-traitant ultérieur :

Ź respecte les obligations du contrat conclu entre le professionnel de santé et le fournisseur ;

Ź ues et

organisationnelles adaptées à la prestation de service.

Le fournisseur a souscrit une assurance couvrant sa responsabilité civile en cas de dommages causés au

professionnel de santé et sur le périmètre de sa prestation de service.

Le fournisseur :

Ź traiter les données métier de son client, et en particulier les données à caractère personnel

dont les données de santé, sauf exception prévue par un texte législatif ou réglementaire.

Ź organisationnelles, juridiques et techniques adaptées à la criticité des données traitées par le professionnel de santé ;

Ź respecter la plus stricte confidentialité

a ;

Ź de service

signe un engagement de confidentialité.

PGSSI-S

Mémento de sécurité informatique pour les professionnels de santé en exercice libéral

Annexe 1 - Questionnaires fournisseurs

Statut : Validé | Classification : Publique | Version v2.0 - 17/11/2021 page 4/11

Le fournisseur a établi une charte de sécurité ou un document équivalent, opposable à son personnel

participant aux prestations de service fournies, et fixant les bonnes pratiques, interdictions et obligations

auxquels ce personnel est soumis.

Raison sociale du fournisseur :

Désignation du service fourni :

sur ce questionnaires.

Signature :

PGSSI-S

Mémento de sécurité informatique pour les professionnels de santé en exercice libéral

Annexe 1 - Questionnaires fournisseurs

Statut : Validé | Classification : Publique | Version v2.0 - 17/11/2021 page 5/11 Questionnaire 2 : Installation et/ou de maintenance informatique Ce questionnaire doit être renseigné pour toute fourniture de service

à distance, en plus du questionnaire 1.

Le fournisseur doit indiquer dans la colonne Conformité : " OUI » si la prestation de service considérée est conforme à la

NON N/A

cadre de la prestation de service considérée (exemple : les pofournisseur charge ce réseau local).

Conformité

Le fournisseur :

Ź ion

Le fournisseur

PGSSI-S.

Le fournisseur de service.

Architecture informatique

Conformité

Réseau local

Le réseau local mis en place dans les locaux du professionnel de santé est un réseau physique autonome qui

non autorisés. Da des guides publiés Ź Recommandations de sécurité relatives aux réseaux Wifi

Le fournisseur

vu de les utiliser.

Accès Internet

télémaintenance informatique est prévue ou si un accès en mobilité est prévu, les connexions entrantes

établies

PGSSI-S

Mémento de sécurité informatique pour les professionnels de santé en exercice libéral

Annexe 1 - Questionnaires fournisseurs

Statut : Validé | Classification : Publique | Version v2.0 - 17/11/2021 page 6/11

Aucrendu accessible

depuis Internet

patients conservés sur un serveur situé dans le cabinet médical). Si de tels services partagés sont nécessaires,

ils sont fournis et hébergés par des fournisseurs de service informatique disposant des certifications ou

agréments éventuellement requis par la loi, sur leurs propres infrastructures techniques.

Postes de travail et serveurs locaux

(signatures de virus, moteur) au minimum une fois par jour. Autant que possible, tout -feu, activé et paramétré pour limiter les connexions réseau, entrantes comme sortantes, aux seules applications qui le nécessitent.

Autant que possible, les supports de stockage des postes de travail et des serveurs qui stockent des données

la cryptographie mentionnées plus haut.

Les supports de stockage de tout poste de travail mobile et de tout autre terminal mobile sont impérativement

chiffrés.

Autant que possible, une solution et la procédure associée sont prévues pour, en cas de perte ou de vol de

tout poste de travail mobile ou autre terminal mobile, pour données du terminal. nominatif uniquement à ses activités autorisées par le professionnel de santé.

Les comptes administrateurs sont distincts des comptes utilisateurs. Un compte utilisateur peut toutefois

mot de passe de façon sécurisée.

Une solution de génération et de stockage sécurisé des mots de passe est fournie au professionnel de santé

Les

paramétrées pour imposer un mot de passe sûr au regard des bonnes pratiques en vigueur. Tout mot de passe

à ces bonnes pratiques. Le fournisseur signale au professionnel de santé tout application ou

ne permettant pas cette conformité des mots de passe aux bonnes pratiques.

Traces

Conformité

La génération de traces (" fichiers journaux » ou " logs

des équipements informatiques. Ces traces doivent enregistrer, avec leur date et heure, les évènements

suivants au minimum :

Ź un utilisateur

Ź un utilisateur

Ź Echec de tentative de connexion

Ź Toute anomalie de sécurité

La génération de traces doit être activée au niveau de toute application traitant des données à caractère

personnel, de

les ayant effectuées, toute action de consultation, création, modification ou suppression de données à

caractère personnel, et préciser quelles données on professionnel de santé.

PGSSI-S

Mémento de sécurité informatique pour les professionnels de santé en exercice libéral

Annexe 1 - Questionnaires fournisseurs

Statut : Validé | Classification : Publique | Version v2.0 - 17/11/2021 page 7/11

Les systèmes sont paramétrés pour conserver ces traces sur une période glissante ne pouvant excéder six

mois (sauf obliga de cette période.

Le fournisseur ue des traces de

leurs actions sont conservées,

sécurité informatique ou dans une procédure judiciaire ou contentieuse prévue par la loi.

Sauvegardes

Conformité

systèmes, des applications et des données. Ce système permet au professionnel de santé de reprendre son

termes de disponibilité des données personnelles et des données de santé dont il a la charge.

Le fournisseur élabore avec le professionnel de santé un plan de sauvegarde et de restauration du système

hangement du mode de stockage des stockées, que ce soit par le(s) lieu(x) choisis pour le stockage de ces sauv

pour respecter les exigences de restauration du système doivent être conservées de manière totalement

déconnectée d sinistre que celui qui aurait atteint le système sauvegardé.

Le fournisseur arde

établi est effectivement disponible.

Le fournisseur effectue un suivi régulier du système de sauvegarde afin de détecter tout dysfonctionnement

du système ou tout vieillissement de supports de sauvegarde. Il teste le plan de sauvegarde et de restauration

au minimum une fois par an.

Documentation

Conformité

Le fournisseur élabore la documentation du système et la maintient à jour avec une fréquence

au moins annuelle.

La documentation inclut au minimum :

Ź La liste des licences des logiciels utilisés ;

par les utilisateurs ou par le fournisseur lui-même (sauvegarde, restauration, création ou suppression

el, retour en arrière après mise à jour entrainant des

PGSSI-S

Mémento de sécurité informatique pour les professionnels de santé en exercice libéral

Annexe 1 - Questionnaires fournisseurs

Statut : Validé | Classification : Publique | Version v2.0 - 17/11/2021 page 8/11

Le fournisseur communique au professionnel de santé, conjointement à chaque application installée qui traite

des données à caractère personnel, un document précisant

RGPD1 pour permettre au professionnel de santé de renseigner le registre des activités de traitement de

conformément à

Maintenance

Conformité

Le fournisseur

atiques au moins en ce qui concerne les mises

à jour de sécurité. Il prévoit une procédure de retour en arrière en cas de constatation de dysfonctionnement

bloquant consécutif à une mise à jour.

Le fournisseur

préparer leur remplacement.

Le fournisseur assure le suivi des dates de fin de support constructeur des différents composants logiciels et

matériels du système

être utilisé après sa date de fin de support, et alerte formellement le professionnel de santé des risques

Le fournisseur documente et applique systématiquement une procédure de mise au rebut des actifs du

ge, cette procédure doit au minimum inclure une procédure nature du support de stockage) et donner lieu à un procès-destruction établi equotesdbs_dbs1.pdfusesText_1

[PDF] exercice simplexe minimisation

[PDF] exercice simplification d'équation logique

[PDF] exercice site donneur et accepteur d'électrons

[PDF] exercice solution espace vectoriel

[PDF] exercice son g et j ce1

[PDF] exercice spé maths terminale es type bac

[PDF] exercice spé maths terminale s arithmétique

[PDF] exercice spé maths terminale s divisibilité

[PDF] exercice spé maths terminale s matrice

[PDF] exercice spé physique bac 2015

[PDF] exercice spectre d une étoile

[PDF] exercice spectre rmn corrigé

[PDF] exercice spectre seconde qcm

[PDF] exercice spectroscopie uv visible

[PDF] exercice sphère