chorus_no_41_juin_2022_light

CHORUS / N°41 ● Juin 2022 8 Qualité-Soins Hébergement de Données de Santé Le CHU certifié par l’AFNOR Le CHUde Limoges vient d’obtenir la certificationHDS (Hébergement de Données de Santé) de l’AFNOR (Association française de normalisation) pour l’hébergement d’infrastructure physique. Cette certifi- cation n’est pas obligatoire mais garantit et valorise le respect d’un niveau de sécurité reconnu pour l’hébergement de données santé. CONTENU DE LA NORME L'ISO 27001 utilise une approche descendante fondée sur le risque et indépendante de toute technologie. La spécification définit un processus de planification en six volets : B Définir les exigences pour comprendre les problèmes externes et internes, les parties intéressées et leurs exigences et définir la portée du SMSI (Système de Management de la sécurité de l'information). C Définir une politique de la sécurité des informations, qui doit être établie et refléter l'engagement de la direction D Planifier l'évaluation et le traitement des risques E Planifier et définir les moyens à mettre en œuvre F Mettre en œuvre l'évaluation, les contrôles et autres processus nécessaires pour atteindre les objectifs de sécurité de l'information G Préparer une déclaration d’applicabilité Elle nécessite également de mettre en place une évaluation des performances par le biais d'analyses et d'audits et une amélioration continue de la situation par la mise en place de correctifs. Cette certification atteste de la conformité des pratiques du CHU en matière de protection des données, par des mesures aussi bien organisationnelles que techniques, et aux règles de gestion de la sécurité de l’information. Elle se base sur les normes ISO 27001, 27018 et 20000. L’objectif est donc de gérer les risques, tout en protégeant la confidentialité et la disponibilité des informations de santé dans leur traitement au sein des structures numériques de l’hôpital. La gestion des risques au cœur de la démarche de certification La gestion des risques implique qu’il est nécessaire d’identifier les informations sensibles ou précieuses qui doivent être protégées, déterminer les différentes façons dont elles pourraient êtremenacées et mettre en place des contrôles pour atténuer chaque risque. Les risques incluent toutemenace pour la confidentialité, l’intégrité ou la disponibilité des données. La norme fournit un cadre per- mettant de choisir des contrôles et des processus appropriés. Le but est donc d’instaurer la confiance et de prouver l’engagement de l’établissement dans la protection des ressources informationnelles. L’obtention du certificat HDS passe par trois audits : l’audit initial, l’audit de surveillance et l’audit de renouvellement. Le certificat est obtenu pour une durée de trois ans. Si l’auditeur relève des non-conformités lors de l’audit de surveillance, le certificat est suspendu voire annulé. L’établissement doit donc être perpétuellement mobilisé.