Atteindre les prérequis Hôpital Numérique - sante … · du Programme Hôpital Numérique dans les délais (2012 – 2016) à moyens constants •Pour aussi traiter les projets

Rencontre régionale

en partenariat avec

l’ARS du Centre

et le Collège régional des RSI / DSI 5 juin 2013 – CH de Blois

Atteindre les prérequis

Hôpital Numérique

Pouvons-nous être accompagnés ?

Comment ?

Pourquoi ?

PROPOS INTRODUCTIFS

Pierre-Marie DETOUR – ARS Centre

Hôpital numérique – actualité 2013

Réunion nationale 24 Avril

Accompagnement usages /Anap

Projet territoires numeriques

Perspectives financements

Intégration de 27 critères HN dans la certification HAS

Modalités d’accompagnement ANAP

20 Juin réunion de présentation

Accompagnement des sites à l’atteinte des cibles d’usages

Dans les 5 domaines prioritaires

Basé sur un réseau d’ambassadeurs (150 France entière)

Hôpital Numérique – schéma de gouvernance

Ministère / DGOS

ARSARS

ARS

ESES

ESEditeurs

HAS

GCS / région

Guichet uniqueIGAS

Organismes de formation

Contractualisation(CPOM Etat / ARS)

Contractualisation(CPOM ARS/ ES)

Véhicule juridique spécifique PHN (donnant force au cadre de référence) ?

Candidature, instruction et suivides dossiers PHN

Ce

rtif

ica

tio

n

oSISProjets d’Informatisation

Formation initialeFormation continue

Ho

mo

loga

tio

n

Vérification des déclarations

REL

IMS

Remontée des indicateurs

Mu

tua

lisa

tio

n Lett

res

de

mis

sio

n d

es D

G

Extrait du Guide DGOS la déclinaison régionale du programme Hôpital numérique

mailto:[email protected]


Intégration des indicateurs HN dans la certification

27 indicateurs sur 34 du plan hôpital Numérique sont intégrés dans la certification

12 indicateurs des prérequis

22 indicateurs des domaines fonctionnels

Ils sont pris en compte à partir de leur saisie dans l’OSIS (dont le remplissage est

obligatoire depuis septembre 2012)

Accompagnement des établissements de santé à l’atteinte des cibles d’usage Prérequis :

Boite à outils

Outil d’autodiagnostic

Fiches pratiques

saisie des informations dans l’OSIS

Les établissements peuvent faire appel à l’assistance de leur choix

Cibles d’usage Accompagnement ANAP

Construction d’outils réseau d’experts (20)

Diffusion des bonnes pratiques réseau d’ambassadeurs (150)

Volontaires

Reçoivent une formationa ANAP

Consacrent du temps à aider les ES de leur territoire

IMPLICATION DU GCS TÉLÉSANTÉ CENTRE

Patrick EXPERT

Retour sur les fondamentaux

15 Mai 2009 : création du GCS TéléSanté Centre Objet principal : les systèmes d’information

Principes : TéléSanté Centre : outil de mutualisation TéléSanté Centre lien entre les établissements et

les projets nationaux TéléSanté concentrateur de compétences et

d’expertise Participation des adhérents

2009 2009 2010 2011 2012 2013


2010

2010 : la sécurité devient un objet du GCS

Plan H2012 : un volet sécurité des SI

Financement d’un poste de RSSI régional pour accompagner les établissements

Réalisation de prestations pour :

AIRBP

Hôpital St Jean de Briare

C.H.R.O

2009 2010 2011 2012 2013


Suite à la décision de la première Assemblée Générale de Mai 2009 :

TéléSanté Centre s’est investi en priorité sur les projets régionaux et nationaux

Durant toute la période 2009 - 2011

2009 2011 2010 2010 2009 2010 2011 2012 2013

Le nouveau contexte Hôpital Numérique

53 adhérents

L’ARS demande au GCS de porter une offre de services

Recrutement d’un nouveau profil de RSSI régional

Intérêt de la demande confirmé par les établissements

Nouveau partenariat avec le Collège régional des DSI/RSI

2012 2009 2010 2011 2012 2013

Création d’un catalogue de services

Effi-Centre

Effi-Odébit Santé

Création d’un réseau haut-débit dédié à la santé

Favorisant les échanges et partages intra / inter-établissements et ville / hôpital

Effi-Visio

Services de visio et webconférence proposant matériel et conciergerie

Effi-SSI

2009 2010 2011 2013 2012 2013

Le modèle « Service » appliqué à la sécurité

Trois services sont constitués :

L’audit flash

Les sessions de sensibilisation pour les décideurs

Les sessions de sensibilisation pour les professionnels de santé

De nouvelles offres seront proposées pour accompagner la mise en œuvre du travail des groupes et du CORSSI

Facteurs clés de succès de la démarche

Contexte favorable

•Mêmes cibles à atteindre

•Mêmes besoins

Mutualisation

•Principe déjà acquis

•Connaissances, compétences, expériences…

•Gains de temps, financiers…

Confiance partagée

•Fédération des établissements et des professionnels

•Meilleure connaissance des établissements

•Ne pas se savoir seul face à une problématique

IMPLICATION DU COLLÈGE RÉGIONAL DES RSI / DSI

Catherine BILLARD

Hôpital Numérique

Un programme ambitieux :

Mise en conformité des SI avec les règles et les bonnes pratiques en matière de sécurité des traitements de données de santé, décrit en 3 prérequis :

et 5 domaines fonctionnels :

Les résultats d’imagerie, de biologie et d’anatomo-pathologie,

Le dossier patient informatisé et interopérable et la communication extérieure,

La prescription électronique alimentant le plan de soins,

La programmation des ressources et l’agenda du patient,

Le pilotage médico-économique.

Identités / Mouvements

Fiabilité / Disponibilité

Confidentialité

Atteinte des prérequis

Inscrite dans les CPOM (13 indicateurs d’évaluation)

Analyse des conditions de réalisation, deux constats :

Nécessité d’une réflexion interne importante pour :

• Définir une méthodologie de mise en œuvre

• Concevoir et formaliser les documents décrivant les attendus des prérequis

• Animer et conduire une démarche construite et pérenne en mobilisant les acteurs

Grande incertitude des responsables de SI

• Sur leur capacité à mobiliser le temps et la réflexion nécessaire

• Pour mener à bien le palier du Programme Hôpital Numérique dans les délais (2012 – 2016) à moyens constants

• Pour aussi traiter les projets internes ou externes déjà engagés et prévus

Concertation régionale

Atteindre les prérequis

Hôpital Numérique

Concertation régionale

Un moyen

Consulter le GCS TéléSanté-Centre qui a présenté en Avril 2012 une offre de services : « Modalités d'intervention du GCS TéléSanté Centre pour faciliter

l'atteinte des prérequis »

Une conclusion

Expression unanime d’une volonté de travailler ensemble, dans un cadre

organisé,

Pour mutualiser documentation, expérience, connaissance pour atteindre l’objectif avec efficience et pragmatisme

Concertation Collège DSI/RSI - GCS

En juillet 2012 une réunion de travail Collège RSI/DSI – GCS TS-Centre a permis de valider la complémentarité des démarches

Demande du Collège a minima :

•Un cadre de travail méthodologique et pragmatique

•Des compétences en sécurité des SI

•Des connaissances du cadre législatif et règlementaire

Réponse du CGS TéléSanté-Centre :

•Création du CORSSI

•Création et animation de quatre groupes de travail couvrant des domaines complexes : Politique de sécurité des SI - PRA - PCA et Authentification – Cartes CPS

Objectifs attendus :

•Elaboration de

• guides méthodologiques

• documents supports personnalisables par chaque établissement

Coopération TéléSanté Centre - Collège

Mise en place des groupes de travail en octobre 2012

Travaux réalisés par implication des établissements et animés par le GCS :

4 à 5 réunions par groupe de travail en 5 mois

Forte participation des établissements de santé

15 établissements investis

30 personnes (Directeur, Médecin, Directeur / Responsable informatique, Statisticien, référent sécurité…)

Mise en commun de connaissances techniques, règlementaires, partage d’expériences de terrain,

Apport méthodologique et animation cadrée des travaux

Coopération TéléSanté Centre - Collège

Pour un résultat opérationnel :

La production d’une documentation au contenu thématique sur les champs couverts et conforme aux règlementations en vigueur et aux bonnes pratiques

Personnalisable par chaque établissement

Contribue à répondre

Au prérequis N°2 (Fiabilité / Disponibilité)

A trois des cinq indicateurs du prérequis N°3 (Confidentialité)

Conclusion

Expérience de

coopération réussie

Autour d’une problématique

concernant tous les établissements

Objectif opérationnel atteint en limitant

l’investissement propre de chaque ES à la

personnalisation des démarches et documents avec les éléments de leur

contexte interne

Cohérence des démarches des ES avec un référentiel régional

conforme aux référentiels nationaux

créant une communauté de pratiques

Expérience régionale originale que très peu de

régions ont lancée ou projetée

Résultat d’une démarche que le collège des

DSI/RSI souhaite voir réitérer dans différents domaines communs et

partagés

PRISE EN COMPTE DES BESOINS DES ÉTABLISSEMENTS

Auriane LEMESLE

Enquête de besoins

Réalisée en mai 2012

Résultats :

25 établissements répondants

Besoins importants en :

Guides documentaires

Documents type

Formations à la sécurité

Sensibilisation du personnel

Conclusions :

Nécessité de conduire un travail mutualisé

Une offre de services est attendue par les établissements

Calendrier de la démarche

19 Avril 2012

Septembre

Octobre

Décembre

Mars 2013

Journée régionale Hôpital Numérique

Création du Comité

Opérationnel Sécurité des SI

Lancement des groupes de

travail

Point d’étape par le Comité

Opérationnel Sécurité des SI

Validation des productions des

groupes de travail

Différents rôles à jouer

RSSI régional

Animation

Coordination

Reporting

Cadrage méthodolo-

gique

Accompagnement au changement

Sensibilisation

Communication

Secrétariat

Capitalisation en expérience

Apports de la démarche

• Varier la représentation des profils dans les groupes

• Veille technologique et réglementaire

• Relations interrégionales

Apports personnels

• Enrichissement personnel et professionnel

• Meilleure compréhension des attentes et des métiers

• Mise en pratique d’enseignements

Pour avancer ensemble vers des objectifs communs

• Améliorer la sécurité des systèmes d’information dans les établissements de la région

• Apporter une culture sécurité à l’ensemble des acteurs

• Donner du sens à la boîte à outils Hôpital Numérique et faciliter l’atteinte des prérequis

• Pérenniser une démarche mutualisée

PRÉSENTATION DES LIVRABLES ISSUS DES GROUPES DE TRAVAIL

B. BOCQUILLON – F. AUMEUNIER – E. FAURE – J. CADON – P. MERCIER

Démarche générale de sécurité

Le CORSSI propose une démarche progressive et pragmatique en 3 temps

Etape 1 : élaboration d’une première trame de Politique de Sécurité des SI (PSSI)

Etape 2 : première analyse de risques et mise en place du schéma directeur de sécurité du SI

Etape 3 : Compléments au Plan de Reprise d’Activité (PRA) et au Plan de Continuité d’Activité (PCA)

A l’issue de l’étape 3

Conformité avec les prérequis Hôpital Numérique et les critères HAS 5.a et 5.b

Nécessité de mettre en place d’une démarche d’Amélioration Continue pour faire évoluer la PSSI


Apports du CORSSI pour l’étape 1 : élaboration

d’une trame de Politique de Sécurité des SI

Liste des documents à produire

Documents types

Outil de recueil pour les inventaires

Référentiel de règles de sécurité (possibilité de réaliser un premier

audit de maturité)

Sur cette base, les établissements peuvent rédiger une version 0 de leur PSSI en

Intégrant certains documents proposés (cadre juridique)

Adaptant certains documents types (engagement de la direction,

gouvernance)

Collectant les documents déjà existants au sein de

l’établissement (inventaire des biens, procédures dégradées, procédures de

sauvegarde)


Apports du CORSSI pour l’étape 2 : première

analyse de risques et mise en place du schéma directeur de sécurité du SI

Formation méthodologique fondée sur la méthode EBIOS(1) simplifiée et les métriques de la PGSSI-S (2)

Accompagnement des établissements

Apports du CORSSI pour l’étape 3 : Compléments au PRA et au PCA

Documents types

Guides méthodologiques

(1) EBIOS : Expression des Besoins et Identification des Objectifs de Sécurité - Méthode d’analyse des risques préconisée par l’ANSSI.

(2) PGSSI-S : Politique Générale de Sécurité des Système d’Information en Santé - Corpus documentaire produit par l’ASIP Santé


Les thèmes traités par le CORSSI

La Politique de Sécurité des SI

Le Plan de Continuité d’Activité (PCA)

Le Plan de Reprise d’Activité (PRA)

L’authentification des professionnels (cartes CPx)

Politique de Sécurité du SI

Contexte

Des obligations règlementaires

•HAS, Hôpital Numérique, RGS, CNIL

Informatisation des données de santé

•Nécessaire création d’un espace de confiance pour les professionnels de santé et les patients.

Des risques toujours plus grands

•Une cybercriminalité de plus en plus active

•Des informations de plus en plus sensibles


Objectifs

Etablir un modèle organisationnel pérenne et reconnu de tous.

Instaurer durablement la confiance dans l’usage des SI

La sécurité doit être structurée

Les responsabilités partagées

Niveau décisionnel

Niveau de pilotage

Niveau opérationnel

Politique de sécurité du SI

Politique nationale, orientations ministérielles

Analyse de risques, état des lieux

Politique de sécurité du système d’information

Dispositions de mise en œuvre : schéma directeur, intégration aux projets, déclinaisons en chartes utilisateurs et administrateurs


Comment faire ?

Mobiliser l’ensemble de l’établissement

Engagement de la direction

Impliquer la direction de la qualité

Sensibiliser les personnels

Structurer la sécurité

Partage des responsabilités (Niveaux décisionnel, de pilotage et opérationnel)

Ecrire et valider une politique de sécurité

Définir un ensemble de règles de sécurité devant être appliquées dans l’établissement.


Quels outils ?

Lettre d’engagement de la Direction.

5 Référentiels de règles avec un outil d’évaluation

Bonnes pratiques pouvant être mises en place dans un établissement.

Les règles doivent nécessairement être comprises de tous et doivent donc faire l’objet de sessions de sensibilisation

Chartes d’usage et d’accès au SI.

Charte pour les utilisateurs

Charte pour les administrateurs


La sécurité s’aligne sur une démarche qualité

Une analyse de risques doit être menée

Les résultats doivent intégrés au plan de traitement des risques global de l’établissement

La démarche doit être itérative


•Audit d’application :

•Définition d’indicateurs et de tableaux de bord,

•Contrôle opérationnel et audit

•Assurer une veille documentaire

•Correction des écarts :

•Définition des processus d’évolution,

•Mise en place de nouvelles règles

•Mise en œuvre de la politique :

•Rédaction des principes et règles,

•Déclinaison en procédures opérationnelles,

•Formation et sensibilisation

•Définition de la politique de sécurité :

•Etude de contexte et définition de périmètre,

•Identification des objectifs de sécurité

Planifier Déployer

Contrôler Ajuster







Plan de Continuité d’Activité (PCA)

Enjeux

Le SI : un élément stratégique

• Pour ne pas réaliser au dernier moment que l’informatique n’est pas sans risques, que son indisponibilité peut bloquer l’activité de l’Hôpital

Anticiper est indispensable

• Pour prévoir l’éventualité d’une indisponibilité des outils qui traitent et distribuent l’information jusqu’aux postes de travail des utilisateurs : Informatique + Télécommunications

Définir les activités essentielles de l’établissement

• Pour garantir au final le fonctionnement de l’Etablissement en préparant à l’avance la continuité des activités stratégiques :

• admissions des patients

• prescriptions médicales, circuit du médicament

• prescriptions et retours d’examens de biologie médicale

• plans de soins

• commandes de repas

• …


Objectifs

Réglementaires, se mettre en conformité avec :

Les prérequis Hôpital Numérique (P 2.3 - Fiabilité-Disponibilité)

Le référentiel de certification HAS V2010

Les bonnes pratiques d’auditabilité d’un SI

Stratégiques, disposer des moyens permettant de maintenir l’activité :

Une organisation : qui alerte qui ? quand ? qui communique auprès des utilisateurs impactés ?

Des procédures de passage et de travail en mode dégradé, et de retour à la normale


Comment ?

Le tout sous l’impulsion et le suivi de la Direction Générale,

du Service Qualité et des Directions Fonctionnelles

1/ En identifiant les processus métiers informatisés critiques

• liste des processus essentiels (en cours de publication) définis par l’ASIP Santé

•cartographie des ressources informatiques, notamment des applications métiers

•analyse de risques (état des lieux des risques, criticité)

•bon sens

2/ En identifiant les acteurs à mobiliser

•Service Qualité, Référents métiers et Techniques concernés, Editeurs

3/ En constituant les groupes de travail

•pour rédiger les procédures (un outil méthodologique est proposé dans le guide),

• les harmoniser entre elles,

• les tester,

• les faire connaître,

•accompagner les utilisateurs

Suivez le guide d’« Elaboration du Plan de Continuité d’Activité du Système

d’Information » !


Le SI est au service de la stratégie de

l’Etablissement en perpétuelle

évolution

•Tester les procédures

•Assurer une veille sur la documentation associée au PCA

•Corriger les procédures suite aux tests

•Mettre à jour les procédures régulièrement

•Rédiger les procédures opérationnelles,

•Former et sensibiliser

•Définir les activités essentielles

•Former les groupes de travail

•Planifier les réunions

Planifier Déployer

Contrôler Ajuster

Ceci permet d’optimiser la fiabilité

du PCA


En conclusion…

Le Plan de Continuité d’Activité







Plan de Reprise d’Activité

Qu’est-ce ?

En cas de crise majeure ou importante d'une salle informatique, il permet d'assurer :

la reconstruction de l’infrastructure,

la remise en route des applications supportant l'activité d'une organisation.

Permet d’anticiper les risques encourus (perte de chance pour les patients, financiers, perte d’image…)

Concrètement, il permet de connaître :

l'équipe,

les rôles de chacun,

la liste des procédures à suivre.


Mesures préventives

Permettent d'éviter une interruption

La sauvegarde des données

avec des solutions adaptées

Les systèmes de

secours

Les sites de secours

La redondance, réplication

des données

Mesures curatives

Permettent de redémarrer l'activité après un sinistre

La reprise des données

ou restauration des données

Le redémarrage

des applications

Utilisation d'un site de

secours

Le redémarrage

des machines


Contexte

Une obligation réglementaire et stratégique.

Critère 5b certification V2010,

Prérequis programme Hôpital Numérique…

… donc inscrit au CPOM

Qualité du contenu pour la certification des comptes

Une opportunité de mettre en avant les forces et faiblesses du SI

Etat des lieux technique, prérequis au PRA

Permet de pointer les risques majeurs

L’équipe informatique connaît la solution


PRA : un outil de pérennisation et de sécurisation des établissements

Montrer aux utilisateurs les dispositions prises

Pour justifier des mesures restrictives

Pour expliquer l’impossibilité de garantir un fonctionnement sans panne

Une bonne manière de lancer le PCA

Indispensable de montrer les mesures techniques prises et les risques encourus avant de démarrer une réflexion sur la continuité de l’activité sans l’informatique

C’est un outil vivant à mettre à jour très régulièrement


Penser la catastrophe

Prévoir la gestion de

crise

Penser la reprise

d’activité

Comment faire ?

Procéder à l'inventaire applicatif Chaque module applicatif doit être évalué pour en déterminer

son besoin en disponibilité.

Un projet de spécialistes, mais… La Direction doit fixer la priorité

(vs projets fonctionnels)


En région Centre, c’est plus facile !

Déclinaison régionale du document type national de la DGOS

Fourniture d’un guide méthodologique

Mise à disposition d’outils pour formaliser le PRA

Il faut COMMUNIQUER

Ce type de projet impacte non seulement l’informatique mais aussi les équipes techniques et l’encadrement pour la sensibilisation des utilisateurs


Un lien direct avec la Qualité et la gestion des risques

Parce que le PRA, c’est bien sûr :

Un outil technique contribuant à la gestion des risques

Un document incontournable de la certification

Mais aussi

Parce que la démarche méthodologique est une démarche qualité

Parce que l’analyse des risques conduisant à modifier le PRA ne peut pas être qu’une affaire d’informaticiens


•Tester les sauvegardes

•Tester régulièrement le PRA

•Faire évoluer le PRA en fonction des retours des tests

•Faire évoluer le PRA en fonction des changements apportés au système d'information

•Rédiger les procédures

•Formaliser le PRA

•Identifier les acteurs à solliciter (y compris les éditeurs)

•Déterminer les besoins en disponibilité

Planifier Déployer

Contrôler Ajuster







Pour quoi faire ?

Pour participer à l’espace de confiance qui s’étend :

Réseaux de soins et Télémédecine

Accès au Dossier Médical Personnel et au Dossier Pharmaceutique

Messagerie sécurisée et signature électronique

Pour maîtriser les accès à son SIH

Un moyen unique pour toutes les applications avec des données de santé (…ou sans)

Authentification forte (cartes CPx)

Pour quoi faire ?

Pour l’image de l’établissement

Les patients attendent des preuves visibles sur la sécurité de leurs données

Et aussi parce c’est obligatoire :

Décret Confidentialité 2007

Art. R. 1110-3. « En cas d'accès par des professionnels de santé aux informations médicales à caractère personnel conservées sur support informatique ou de leur transmission par voie électronique, l'utilisation de la carte de professionnel de santé […] est obligatoire. »

Cible identifiée dans la PGSSI-S



Objectif :

« Donner aux bonnes personnes, authentifiées fortement, les bons droits d’accès,

au bon moment, et les contrôler… »

Facteurs clés de succès :

Il faut obligatoirement que ce projet soit porté par la Direction de l’établissement

Il faut impliquer tous les acteurs concernés

Ressources humaines et Affaires médicales

DIM

Direction des soins

Informatique etc..

Il faut bien définir ses priorités et son périmètre

Population concernée (salariés, stagiaires..)

Mono usage ou multi usages (accès locaux, self, gestion du temps de travail...)


Ce projet est-il simple à mener ?

La réponse est…


Non !

parce qu’il peut être abordé de multiples façons

parce qu’il s’agit d’un projet avec une composante organisationnelle très forte

parce que son ampleur nécessite un effort sur le long terme

parce que, lié à la sécurité, son intérêt n’est pas immédiat aux yeux des utilisateurs

Mais alors… comment faire ?

Un guide qui aide à formaliser et à mener son projet vous est proposé !

Que contient le guide projet ?

Une approche en quelques questions / réponses pour la Direction afin de cadrer son projet

La carte CPS en 2013 : pour qui ? pour quoi ?

Quels sont les enjeux d’un projet Cartes ?

Comment équiper les agents non éligibles à la CPS ?

Que va nécessiter un projet Cartes en termes d’organisation ?

Quels sont les investissements financiers nécessaires ?

Et si je ne souhaite pas investir dès maintenant ?

Quels sont les écueils à éviter ?

Ce que ne permettent pas les cartes CPS


Que contient le guide projet ?

Le détail des cinq grandes étapes :

Gestion des identités

Gestion des arrivées, mouvements et départs des agents

Gestion des droits d’accès

Gestion des cartes CPx

Audit, contrôle et traçabilité

ainsi que des références documentaires utiles

Pour chacune des étapes, sont décrits :

les principaux acteurs à impliquer.

les questionnaires type pour structurer sa démarche

les procédures type

les points de vigilance et les recommandations



•Audit des identités

•Audit des habilitations

•Correction des écarts

•Mise à jour des processus

•Identifier tous les agents de l’établissement (créer l’annuaire)

•Elaborer la matrice des droits

•Commander et déployer les cartes CPx

•Définition du périmètre

•Identification des ressources et du planning

•Identifier un site pilote

Planifier Déployer

Contrôler Ajuster

ECHANGES AVEC LA SALLE

ACCOMPAGNEMENT DES ÉTABLISSEMENTS

Auriane LEMESLE

Boîte à outils DGOS

La DGOS a souhaité outiller les établissements en mettant à leur disposition une boîte à outils composée :

D’un outil d'auto diagnostic permettant de procéder à une auto-évaluation. Cet outil ainsi que son mode d’emploi sont téléchargeables à l’adresse suivante : http://www.sante.gouv.fr/programme-hopital-numerique.html

Des fiches pratiques autoporteuses visant à apporter aux établissements un support méthodologique pour l'atteinte des prérequis du programme.

http://www.sante.gouv.fr/programme-hopital-numerique.html








Exemple de méthode de mise en œuvre de l’identitovigilance au sein d’un établissement de santé

•Indicateur P1.2 : Existence d’une cellule d’identitovigilance opérationnelle

Fiche n°1 :

Procédure type de mise à jour du référentiel unique de structure

•Indicateur P1.4 : Existence d'un référentiel unique de structure piloté et mis à jour régulièrement dans les applicatifs, en temps utile

Fiche n°2 :

Plan type d’un Plan de reprise d’activité du système d’information et bonnes pratiques

•Indicateur P2.1 : Existence d’un Plan de reprise d’activité du système d’information formalisé

Fiche n°3 :

Exemple de méthode d'évaluation des taux de disponibilité des applications

•Indicateur P2.2 : Existence d’une définition d’un taux de disponibilité cible des applicatifs et la mise en œuvre d’une évaluation de ce taux

Fiche n°4 :


Bonnes pratiques d’élaboration des procédures de fonctionnement en mode dégradé et de retour à la normale du système d’information.

• Indicateur P2.3 : Existence de procédures assurant d’une part un fonctionnement dégradé du système d’information au cœur du processus de soins en cas de panne et d’autre part un retour à la normale

Fiche n°5 :

Fiche de poste type d’un Responsable de la sécurité des Systèmes d’information (RSSI) et description des fonctions d’un référent sécurité du système d’information

• Indicateur P3.1 : Existence d’une politique de sécurité formalisée pour les applications au cœur du processus de soins et fondée sur une analyse des risques au sein de l’établissement et l’existence d’une fonction de référent sécurité

Fiche n°6 :

Charte type d'accès et d'usage du système d’information

• Indicateur P3.2 : Existence d’une charte ou d’un document formalisant les règles d’accès et d’usage du système d’information, en particulier pour les applications gérant des informations de santé à caractère personnel, diffusé au personnel, aux nouveaux arrivants, prestataires et fournisseurs

Fiche n°7 :

Offre de services Effi-SSI

Groupes de travail

• Politique de Sécurité des Systèmes d’Information

• Plan de Continuité d’Activité (PCA)

• Plan de Reprise d’Activité (PRA)

• Authentification

Sensi-bilisations

• Cadres de santé / Direction(s)

Soutien aux ES

A la demande et en collaboration avec les établissements

• Décliner les livrables

• Culture sécurité dans les établissements

Livrables intégrés à une base documentaire

Audit flash

• Convention

• Rapport d’audit

• Propositions d’améliorations

• Plan d’actions

Emergence d’un nouveau service : présentation des conclusions d’audit :

- aux instances de l’Etablissement - au groupe ayant participé à l’audit

Comment accéder aux documents ?

Via une inscription sur le portail www.sante-centre.fr

Procédure disponible dans le dossier remis à votre arrivée

Ensuite un simple mail à l’adresse [email protected]

Afin de poursuivre la démarche, sont attendus :

Commentaires,

Critiques,

Retours d’expérience sur l’utilisation des documents

http://www.sante-centre.fr/








Comment accéder aux documents ?

Bilan des audits flash de sécurité

2012 •CH George Sand, Bourges - CHD Daumezon, Fleury les Aubrais - CH Agglomération Montargoise

Janvier 2013

•CH Blois

Février 2013

•CH Henri Ey, Bonne val

Mars 2013

•CH Dreux

Avril 2013

•CH Chartres

•Polyclinique de Blois

Mai 2013

•Restitution au CHAM (groupe audit et Directoire)

•ADAPT Loiret

Veille technologique et réglementaire

Cinq thématiques abordées :

Sécurité des Systèmes d’information en santé

E-santé, télésanté

Télémédecine

PACS, haut débit, visioconférence

DMP, Dossier pharmaceutique, Dossier Communicant en Cancérologie (DCC)

Accessibles depuis le portail www.sante-centre.fr




Veille technologique et réglementaire

Sensibilisation

Les affiches suivantes peuvent être mises à votre disposition

ECHANGES AVEC LA SALLE

PROCHAINES QUESTIONS SÉCURITÉ À TRAITER

Bernard BOCQUILLON

Un cadre national qui se précise

Des échéances de court terme

Programme Hôpital Numérique (2012-2016)

prérequis en matière de sécurité du SI (analyse de risques, politique de sécurité, PRA, procédures de secours, objectifs de disponibilité du SI)

atteinte des prérequis inscrits aux CPOM

Certification HAS (à compter d’avril 2013)

Reprise des prérequis Hôpital Numérique sur la sécurité :

Critère 5a : Système d’information

Critère 5b : Sécurité du système d’information

Critère 10c : Respect de la confidentialité des données relatives aux patients

Critère 15a : Identification du patient à toutes les étapes de sa prise en charge

Critère 16a : Dispositif d’accueil du patient


Diffusion prochaine des référentiels Sécurité ASIP Santé

PGSSI-S : Politique générale de sécurité des systèmes d’information de santé

Comparaison des niveaux de maturité des établissements en matière de sécurité des SI

Deux documents déjà disponibles :

Principes fondateurs

Référentiel d’authentification des acteurs de santé

A venir:

Référentiel méthodologique sécurité du SI

Référentiel d’identification des acteurs de santé

Référentiel d’identification des patients

http://esante.gouv.fr/sites/default/files/ASIP_PGSSI_Principes Fondateurs_V0.9.pdf

http://esante.gouv.fr/sites/default/files/ASIP_PGSSI_Referentiel_authent-acteurs_v0 2 2.pdf

http://esante.gouv.fr/sites/default/files/ASIP_PGSSI_Referentiel_authent-acteurs_v0 2 2.pdf


Des échéances particulières pour les établissements publics

Décret « RGS » (Référentiel Général de Sécurité) du 2 février 2010

Adopter une démarche globale de sécurité

Réaliser une analyse de risques

La mise en place d’une politique de sécurité du SI

Fiabilisation/certification des comptes

Exigences de disponibilité/auditabilité des données du système d’information

Une démarche régionale à pérenniser

Intérêt d’une mutualisation régionale Une situation initiale très homogène

Une « culture Sécurité des SI » peu développée au sein des

établissements de santé de la Région Centre

Des objectifs communs à tous les établissements

Des nouveaux concepts et des nouvelles méthodes qui nécessitent un accompagnement

Missions du CORSSI à pérenniser Entretenir une dynamique régionale :

Mobiliser et accompagner les acteurs régionaux

Proposer une approche pragmatique portée par les acteurs de terrain

Atteindre rapidement et à moindre coût les objectifs

Proposer des outils et des méthodes adaptés aux établissements de santé

Merci pour votre attention