A l’instar de la norme ISO 9000 dans le registre de la qualité, la norme ISO 27001 (Système de management de la Sécurité des informations) se voit complétée depuis le 1er Mai 2009 de la norme ISO/IEC 27000:2009. Ce nouveau document donne un aperçu de la norme 27001 (notamment par une introduction à la notion de SMSI : système de management de la sécurité des informations) et du vocabulaire ad-hoc. On y trouvera les définitions de termes couramment usités tels que par exemple : évaluation de risques, analyse de risques, disponibilité, intégrité, confidentialité ou encore actif et actif informationnel. Elle est disponible gratuitement < ici > Pour mémoire, la norme 27001 est aujourd’hui de plus en plus adoptée, et d’ailleurs préconisée en France par le
Hébergement de données de santé… papier
Lors de l’examen de la loi HPST (Hôpital, patients, santé et territoires), la commission du sénat vient de valider la modification de l’article L. 1111-8 du code de santé publique. Il est y précisé que désormais l’hébergement de données de santé à caractère personnel concerne aussi les données sur support papier. Texte actuel de l’article 1111-8 Si cette disposition permettra plus facilement aux établissements d’externaliser leurs archives papier, cela implique toutefois que les prestataires spécialisés dans l’archivage papier devront se conformer au décret sur l’hébergement de données de santé, et donc se soumettre à la procédure d’agrément. Le référentiel de constitution des dossiers de demande d’agrément paru en Mars 2009 leur est donc opposable. A noter, que le consentement du patient est toujours un pre-requis
ISO 27799 sécurité des informations de santé. Partie 2
Trouver n’est rien, c’est le plan qui est difficile Dostoïevski Comme je l’ai écrit dans le précédent billet, la norme 27799 comporte à mon sens une redite de la norme 27001 (même si les auteurs s’en défendent dès l’introduction du document). Ainsi, en ce qui concerne le “plan d’actions pratique pour la mise en œuvre de la 27002″, on y lit que la conformité à l’ISO 27002 peut être garantie par la mise en place d’un SMSI (Système de Management de la Sécurité des Informations) et que “si possible” ce SMSI respectera les recommandations des points 6.2 à 6.7 de la 27799 et que vous seriez aussi inspirés de lire les exemples de son annexe B. Autrement, cela revient à dire: “mettez en place un