Le présent document fournit des contrôles de sécurité de l'information, y compris des recommandations pour leur mise en œuvre, à l'intention des organismes de santé. Il est basé sur la norme ISO/IEC 27002:2022.Outre les équipements et logiciels TIC génériques utilisés dans de nombreux autres environnements, le domaine d'application du présent document comprend les logiciels et systèmes spécifiquement destinés aux soins de santé, tels que les systèmes de dossiers médicaux électroniques et les dispositifs médicaux intégrant des logiciels de santé. Ces dispositifs médicaux peuvent être programmés ou programmables et peuvent contenir des logiciels, des microprogrammes ou les deux.D'autres équipements numériques (tels que ceux destinés au contrôle de l'environnement et des infections, à la gestion des bâtiments et à la sécurité physique), qui peuvent être utilisés dans les locaux où des soins de santé sont dispensés, entrent également dans le domaine d'application.Le présent document s'applique à l'information sous tous ses aspects, quelle que soit sa forme (y compris les textes et les chiffres, les enregistrements sonores, les dessins, les images et les vidéos), quels que soient les moyens utilisés pour l'acquérir ou la saisir, quels que soient les moyens utilisés pour la stocker (tels que l'impression ou l'écriture sur papier ou le stockage électronique) et quels que soient les moyens utilisés pour la transférer ou l'échanger (oralement, en main propre, par courrier, par déplacement de supports de stockage, par liens directs ou par mise en réseau).Le présent document s'adresse aux organisations de tous types et de toutes tailles qui fournissent des soins de santé ou qui sont dépositaires d'informations de santé à caractère personnel pour d'autres raisons. Les informations dont ils sont responsables peuvent être stockées et traitées de nombreuses manières et dans de nombreux endroits possibles, y compris dans les locaux ou dans le cloud, mais elles restent dans le domaine d'application.Le présent document s'applique à tous les lieux physiques où les soins de santé sont censés être dispensés, tels que les hôpitaux, les cliniques et autres lieux ou installations désignés à des fins de soins de santé, comme les ambulances et les unités mobiles d'imagerie ou de diagnostic. Elle s'applique également aux soins dispensés ailleurs, par exemple dans des locaux résidentiels. Outre l'éventail des contextes, ce document s'applique à toutes les méthodes de prestation de services, y compris les soins de santé à distance ou virtuels.
Le présent document fournit des contrôles de sécurité de l'information, y compris des recommandations pour leur mise en œuvre, à l'intention des organismes de santé. Il est basé sur la norme ISO/IEC 27002:2022.
Outre les équipements et logiciels TIC génériques utilisés dans de nombreux autres environnements, le domaine d'application du présent document comprend les logiciels et systèmes spécifiquement destinés aux soins de santé, tels que les systèmes de dossiers médicaux électroniques et les dispositifs médicaux intégrant des logiciels de santé. Ces dispositifs médicaux peuvent être programmés ou programmables et peuvent contenir des logiciels, des microprogrammes ou les deux.
D'autres équipements numériques (tels que ceux destinés au contrôle de l'environnement et des infections, à la gestion des bâtiments et à la sécurité physique), qui peuvent être utilisés dans les locaux où des soins de santé sont dispensés, entrent également dans le domaine d'application.
Le présent document s'applique à l'information sous tous ses aspects, quelle que soit sa forme (y compris les textes et les chiffres, les enregistrements sonores, les dessins, les images et les vidéos), quels que soient les moyens utilisés pour l'acquérir ou la saisir, quels que soient les moyens utilisés pour la stocker (tels que l'impression ou l'écriture sur papier ou le stockage électronique) et quels que soient les moyens utilisés pour la transférer ou l'échanger (oralement, en main propre, par courrier, par déplacement de supports de stockage, par liens directs ou par mise en réseau).
Le présent document s'adresse aux organisations de tous types et de toutes tailles qui fournissent des soins de santé ou qui sont dépositaires d'informations de santé à caractère personnel pour d'autres raisons. Les informations dont ils sont responsables peuvent être stockées et traitées de nombreuses manières et dans de nombreux endroits possibles, y compris dans les locaux ou dans le cloud, mais elles restent dans le domaine d'application.
Le présent document s'applique à tous les lieux physiques où les soins de santé sont censés être dispensés, tels que les hôpitaux, les cliniques et autres lieux ou installations désignés à des fins de soins de santé, comme les ambulances et les unités mobiles d'imagerie ou de diagnostic. Elle s'applique également aux soins dispensés ailleurs, par exemple dans des locaux résidentiels. Outre l'éventail des contextes, ce document s'applique à toutes les méthodes de prestation de services, y compris les soins de santé à distance ou virtuels.
L'ISO 27799 :2016 donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de l'information, incluant la sélection, la mise en ?uvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) à risques pour la sécurité de l'information de l'organisme. Elle spécifie des lignes directrices permettant d'interpréter et de mettre en ?uvre l'ISO/IEC 27002 dans le domaine de l'informatique de santé et constitue un complément à cette dernière. L'ISO 27799 :2016 fournit des préconisations de mise en ?uvre des mesures décrites dans l'ISO/IEC 27002 et les complète, le cas échéant, de façon à ce qu'elles puissent être utilisées efficacement dans le mangement de la sécurité des informations de santé. La mise en ?uvre de l'ISO 27799 :2016 permettra aux organismes de santé et aux autres dépositaires d'informations de santé de garantir le niveau minimal requis de sécurité approprié aux conditions de leur organisme et de protéger la confidentialité, l'intégrité et la disponibilité des informations personnelles de santé dans leurs activités de soins. L'ISO 27799 :2016 s'applique à tous les aspects des informations de santé, quelle que soit la forme (mots, chiffres, enregistrements sonores, dessins, vidéos et images médicales), le support utilisé pour les stocker (imprimés, documents manuscrits ou stockage électronique) ou les moyens mis en ?uvre pour leur transmission (en main propre, par fax, par réseau informatique ou par courrier), de sorte que l'information soit toujours correctement protégée. L'ISO 27799 :2016 et l'ISO/IEC 27002 définissent les exigences en termes de sécurité de l'information dans les soins de santé, mais elles ne définissent pas la façon de satisfaire à ces exigences. En d'autres termes, dans toute la mesure du possible, la technologie est absente de l'ISO 27799 :2016. La neutralité sur les technologies de mise en ?uvre est une caractéristique importante. La technologie en matière de sécurité continue de se développer rapidement. Le rythme de cette évolution se mesure actuellement en mois et non plus en années. En revanche, bien que les Normes internationales soient soumises à des révisions régulières, il est prévu qu'elles restent valides pendant plusieurs années. De manière également importante, la neutralité sur les technologies laisse aux fournisseurs et aux prestataires de services l'entière liberté de suggérer des technologies nouvelles ou en développement qui peuvent répondre aux exigences décrites dans l'ISO 27799 :2016. Comme mentionné dans l'introduction, la connaissance de l'ISO/IEC 27002 est indispensable à la compréhension de l'ISO 27799 :2016. Les domaines suivants de la sécurité de l'information ne relèvent pas du domaine d'application de l'ISO 27799 :2016: a) les méthodologies et les essais statistiques en vue d'une anonymisation efficace des informations personnelles de santé; b) les méthodologies en vue de la pseudonymisation des informations personnelles de santé (voir la bibliographie pour une brève description d'une Spécification technique qui traite spécifiquement de ce sujet); c) la qualité des services fournis par le réseau et les méthodes pour évaluer la disponibilité des réseaux utilisés pour l'informatique de santé; d) la qualité des données (par opposition à l'intégrité des données).
COBAZ est la solution simple et efficace pour répondre aux besoins normatifs liés à votre activité, en France comme à l’étranger.
Disponible sur abonnement, CObaz est LA solution modulaire à composer selon vos besoins d’aujourd’hui et de demain. Découvrez vite CObaz !
Demandez votre démo live gratuite, sans engagement
Je découvre COBAZ