La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

  1 Cowboys d’expérience demandés  clowns s’abstenir Gestion de la sécurité dans le Réseau de la santé et des services sociaux Direction des ressources.

Publié parNarcisse Lafond Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "  1 Cowboys d’expérience demandés  clowns s’abstenir Gestion de la sécurité dans le Réseau de la santé et des services sociaux Direction des ressources."— Transcription de la présentation:

1   1 Cowboys d’expérience demandés  clowns s’abstenir Gestion de la sécurité dans le Réseau de la santé et des services sociaux Direction des ressources informationnelles Pierre P. Tremblay, ing. Direction des ressources informationnelles Pierre P. Tremblay, ing.

2   2 Agenda  Introduction  Juridique  Organisationnel  Humain  Technique  Conclusion  Introduction  Juridique  Organisationnel  Humain  Technique  Conclusion

3   3 Juridique  Objectifs  L’ensemble forme une chaîne de ressources  Le maillon des actifs informationnels devient critique avec l’informatisation du RSSS  L’ensemble forme une chaîne de ressources  Le maillon des actifs informationnels devient critique avec l’informatisation du RSSS Mission – Santé et bien-être de la population  Programmes -> processus d’affaires  Ressources Mission – Santé et bien-être de la population  Programmes -> processus d’affaires  Ressources  Doit assurer de la Disponibilité, Intégrité et Confidentialité  Financières  Humaines  Matérielles  Informationnelles  Financières  Humaines  Matérielles  Informationnelles

4   4 LSSSS  Projet de loi 25 – décembre 2003  Création des CSSS et des RLS facilite la circulation d’information  Projet de loi 83 – novembre 2005  Doit garantir l’intégrité, l’authentification et l’irrévocabilité (certificat pour signature)  Inclut des mesures pour la confidentialité  Projets de règlements en élaboration  Concernant la sécurité et la protection des renseignements personnels  Ententes de sécurité interorganisationnelles LSSSS  Projet de loi 25 – décembre 2003  Création des CSSS et des RLS facilite la circulation d’information  Projet de loi 83 – novembre 2005  Doit garantir l’intégrité, l’authentification et l’irrévocabilité (certificat pour signature)  Inclut des mesures pour la confidentialité  Projets de règlements en élaboration  Concernant la sécurité et la protection des renseignements personnels  Ententes de sécurité interorganisationnelles Juridique  Obligations

5   5 LSSSS  Conséquences  Pénalités applicable à la personne de 3 000 $ – 6 000 $ par incident de confidentialité LSSSS  Conséquences  Pénalités applicable à la personne de 3 000 $ – 6 000 $ par incident de confidentialité Juridique  Conséquences

6   6 Juridique  Obligations Code criminel canadien  Suite accident mine Westray N-É en 1992  Code modifié en mars 2004  Art. 217-1 « Il incombe à quiconque dirige l’accomplissement d’un travail et l’exécution d’une tâche, ou est habilité à le faire, de prendre des mesures voulues pour éviter qu’il en résulte des blessures corporelles pour autrui » Imputabilité des dirigeants et professionnels à titre personnel en terme de négligence criminelle (n’ont pas assumé leur devoir de diligence) pour la sécurité physique des personnes Code criminel canadien  Suite accident mine Westray N-É en 1992  Code modifié en mars 2004  Art. 217-1 « Il incombe à quiconque dirige l’accomplissement d’un travail et l’exécution d’une tâche, ou est habilité à le faire, de prendre des mesures voulues pour éviter qu’il en résulte des blessures corporelles pour autrui » Imputabilité des dirigeants et professionnels à titre personnel en terme de négligence criminelle (n’ont pas assumé leur devoir de diligence) pour la sécurité physique des personnes

7   7 Code criminel canadien Relation avec le RSSS ?  Manque de disponibilité (ex. dossier patient aux urgences) et intégrité (posologie – un 0 de plus) de l’information causant lésion physique à un citoyen  S’expose personnellement à un casier judiciaire et amendes < = xx 000 $ Code criminel canadien Relation avec le RSSS ?  Manque de disponibilité (ex. dossier patient aux urgences) et intégrité (posologie – un 0 de plus) de l’information causant lésion physique à un citoyen  S’expose personnellement à un casier judiciaire et amendes < = xx 000 $ Juridique  Conséquences

8   8 Organisationnel  Plan de mise en oeuvre  Niveau national  Politique RSSS – CGGAI  Outils (guides)  Directives, standards  Optimisation RTSS – TI & processus  Niveau régional et local  Contrôle et suivi -Plan pour les organismes et établissements  Réévaluation et réajustement  Niveau national  Politique RSSS – CGGAI  Outils (guides)  Directives, standards  Optimisation RTSS – TI & processus  Niveau régional et local  Contrôle et suivi -Plan pour les organismes et établissements  Réévaluation et réajustement

9   9 Cadre global de gestion des actifs informationnels (CGGAI)  Politique de sécurité pour le RSSS  Cadre de gestion (rôles et responsabilités)  Mesures (63) minimales et obligatoires à mettre en place Actifs informationnels : Papier, numérique et infrastructure Adoption en septembre 2002 Cadre global de gestion des actifs informationnels (CGGAI)  Politique de sécurité pour le RSSS  Cadre de gestion (rôles et responsabilités)  Mesures (63) minimales et obligatoires à mettre en place Actifs informationnels : Papier, numérique et infrastructure Adoption en septembre 2002 Organisationnel  Politique

10   10 1. Guide de rédaction de politiques de sécurité de l’information – MSSS, juin 2003 2. Guide de catégorisation des actifs informationnels – MSSS v1 2003, v2 juin 2004 et v3 déc. 2005 3. Guide de rédaction d’un plan directeur de la sécurité des actifs informationnels – MSSS – v1 juin 2003 et v2 avril 2006 4. Guide recueil des mesures – MSSS – nov. 2003 5. Guide de la gestion des incidents de sécurité – MSSS – nov. 2003 1. Guide de rédaction de politiques de sécurité de l’information – MSSS, juin 2003 2. Guide de catégorisation des actifs informationnels – MSSS v1 2003, v2 juin 2004 et v3 déc. 2005 3. Guide de rédaction d’un plan directeur de la sécurité des actifs informationnels – MSSS – v1 juin 2003 et v2 avril 2006 4. Guide recueil des mesures – MSSS – nov. 2003 5. Guide de la gestion des incidents de sécurité – MSSS – nov. 2003 Organisationnel  Outil: Élaboration des guides - MSSS

11   11  Processus formel d’élaboration et d’adoption  Statut  Normes et standards > 460  Directives > 60  Diffusion  Site Internet  URL : http://www.msss.gouv.qc.ca/ri  Site Intranet RSSS  URL : intranetreseau.rtss.qc.ca  Processus formel d’élaboration et d’adoption  Statut  Normes et standards > 460  Directives > 60  Diffusion  Site Internet  URL : http://www.msss.gouv.qc.ca/ri  Site Intranet RSSS  URL : intranetreseau.rtss.qc.ca Organisationnel  Directives, standards et architectures

12   12 Analyse préliminaire faite en 2004  RSSS représente environ  350 organismes  200 000 personnes  85 000 postes  10 000 serveurs  105 salles de serveurs  110 millions pour mettre le RSSS à niveau pour les quatre volets : Juridique, Organisationnel, Humain et Technologique Besoin d’optimisation  des infrastructures technologiques  de la gestion opérationnelle Analyse préliminaire faite en 2004  RSSS représente environ  350 organismes  200 000 personnes  85 000 postes  10 000 serveurs  105 salles de serveurs  110 millions pour mettre le RSSS à niveau pour les quatre volets : Juridique, Organisationnel, Humain et Technologique Besoin d’optimisation  des infrastructures technologiques  de la gestion opérationnelle Organisationnel  Optimisation

13   13 Programme d’assurance qualité  Amélioration des processus  La définition formelle des processus  Le contrôle de la qualité  Suivi d’indicateurs précis et mesurables  Stratégie  Basée sur les référentiels des meilleures pratiques  Augmentation de la maturité du RSSS, en terme de capacité, un processus à la fois  Implantation par le biais de la structure de gouverne Programme d’assurance qualité  Amélioration des processus  La définition formelle des processus  Le contrôle de la qualité  Suivi d’indicateurs précis et mesurables  Stratégie  Basée sur les référentiels des meilleures pratiques  Augmentation de la maturité du RSSS, en terme de capacité, un processus à la fois  Implantation par le biais de la structure de gouverne Organisationnel  Optimisation des processus 1- Les technocentres (TCN -> TCRs) et les services RTSS 2- Les établissements et autres services TI 1- Les technocentres (TCN -> TCRs) et les services RTSS 2- Les établissements et autres services TI

14   14 Le cadre de gestion stratégique des RI  Basé sur « Control Objectives for Information and related Technology » (COBIT )  4 Domaines, 33 processus et 387 contrôles  Planification & organisation  Acquisition & implantation  Gestion opérationnelle et tactique -> ITIL  Suivi et contrôle Le cadre de gestion stratégique des RI  Basé sur « Control Objectives for Information and related Technology » (COBIT )  4 Domaines, 33 processus et 387 contrôles  Planification & organisation  Acquisition & implantation  Gestion opérationnelle et tactique -> ITIL  Suivi et contrôle Organisationnel  Optimisation des processus

15   15 Organisationnel  Optimisation des processus Le cadre de gestion opérationnelle  Basé sur Bibliothèque d’infrastructure pour les TI (ITIL) Une fonction et 10 processus  Fonction : Centre de service  Opérationnels : Gestion des incidents, pannes, configuration, changements, mise en production  Tactiques : Gestion de la disponibilité, capacité, continuité, financière et des niveaux de service Présentement en déploiement  Fonction et processus opérationnels NOTE : Permet de rencontrer 80% d’ISO17799 Le cadre de gestion opérationnelle  Basé sur Bibliothèque d’infrastructure pour les TI (ITIL) Une fonction et 10 processus  Fonction : Centre de service  Opérationnels : Gestion des incidents, pannes, configuration, changements, mise en production  Tactiques : Gestion de la disponibilité, capacité, continuité, financière et des niveaux de service Présentement en déploiement  Fonction et processus opérationnels NOTE : Permet de rencontrer 80% d’ISO17799

16   16 Organisationnel  Optimisation des processus Cadre de la gestion de la sécurité  ISO27001 pour le système de gestion de l’information de sécurité (amélioration continue) Roue de Deming Planifier Améliorer Réaliser Contrôler  ISM3 amélioration (de la maturité) des processus de sécurité (stratégique, tactique et opérationnel)  ISO17799 (133 mesures) pour la gestion de la sécurité,  Sert de seuil dans la jurisprudence aux États-Unis  Le principe de diligence raisonnable est déterminé en fonction des contrôles d’ISO17799  Bientôt ISO27799 spécifique pour la santé Cadre de la gestion de la sécurité  ISO27001 pour le système de gestion de l’information de sécurité (amélioration continue) Roue de Deming Planifier Améliorer Réaliser Contrôler  ISM3 amélioration (de la maturité) des processus de sécurité (stratégique, tactique et opérationnel)  ISO17799 (133 mesures) pour la gestion de la sécurité,  Sert de seuil dans la jurisprudence aux États-Unis  Le principe de diligence raisonnable est déterminé en fonction des contrôles d’ISO17799  Bientôt ISO27799 spécifique pour la santé

17   17 Sécurité opérationnelle au niveau national assurée par la SOGIQUE  Surveillance 24/7 et contrôle au niveau du périmètre, de l’intranet et l’extranet  Veille des vulnérabilités, service d’alertes et de réponse aux incidents  Conseils de sécurité dans le développement des systèmes et aux établissements (révision d’architecture, audits et tests d’intrusions)  Mise en œuvre des orientations du MSSS Sécurité opérationnelle au niveau national assurée par la SOGIQUE  Surveillance 24/7 et contrôle au niveau du périmètre, de l’intranet et l’extranet  Veille des vulnérabilités, service d’alertes et de réponse aux incidents  Conseils de sécurité dans le développement des systèmes et aux établissements (révision d’architecture, audits et tests d’intrusions)  Mise en œuvre des orientations du MSSS Organisationnel  Suivi et contrôle opérationnel  Évolution de la menace  Stratégie de défense en profondeur  ITIL et ISO27001  Évolution de la menace  Stratégie de défense en profondeur  ITIL et ISO27001

18   18 1- Politique par organisme 2- Programme de sensibilisation et formation 3- Mise en œuvre des 15 mesures prioritaires 4- Catégorisation des actifs informationnels (DIC) 5- Plan directeur par organisme (Roue - Planifier)  3a Situation actuelle  3b Analyse de risque  3c Bien livrable : dossier d’affaires et plan 1- Politique par organisme 2- Programme de sensibilisation et formation 3- Mise en œuvre des 15 mesures prioritaires 4- Catégorisation des actifs informationnels (DIC) 5- Plan directeur par organisme (Roue - Planifier)  3a Situation actuelle  3b Analyse de risque  3c Bien livrable : dossier d’affaires et plan Organisationnel  Niveau régional et local Plan de mise en œuvre du CGGAI par organisme

19   19 6- Mise en œuvre des mesures du plan directeur  les 63 mesures et plus (Roue - Réaliser) 7- Contrôle (audits) (Roue - Contrôler) 8- Suivi – indicateurs et tableaux de bord 9- Réévaluation et réajustement (Roue - Améliorer)  Roue de l’amélioration continue en retournant à l’étape 4 6- Mise en œuvre des mesures du plan directeur  les 63 mesures et plus (Roue - Réaliser) 7- Contrôle (audits) (Roue - Contrôler) 8- Suivi – indicateurs et tableaux de bord 9- Réévaluation et réajustement (Roue - Améliorer)  Roue de l’amélioration continue en retournant à l’étape 4 Organisationnel  Niveau régional et local Plan de mise en œuvre du CGGAI par organisme (suite)

20   20  Outils  Programme de formation et de sensibilisation  Ressources humaines  Outils  Programme de formation et de sensibilisation  Ressources humaines Volet humain 

21   21 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – terminée printemps 2004 - MSSS 3.Formation des agents multiplicateurs - automne 2004 à hiver 2005 - Agences 4.Formation des intervenants – printemps 2005 à hiver 2006 – Organismes Clientèle cible : + 200 000 personnes 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – terminée printemps 2004 - MSSS 3.Formation des agents multiplicateurs - automne 2004 à hiver 2005 - Agences 4.Formation des intervenants – printemps 2005 à hiver 2006 – Organismes Clientèle cible : + 200 000 personnes Volet humain  Outils de formation et plan de formation Guide : Politique de sécurité de l’information

22   22 Guide : Catégorisation des actifs informationnels 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – hiver 2005 - printemps 2005 - MSSS 3.Formation des agents multiplicateurs - printemps 2005 à automne 2005 - Agences 4.Formation des intervenants – automne 2005 à printemps 2006 – Organismes Guide : Élaboration du plan directeur Guide : Catégorisation des actifs informationnels 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – hiver 2005 - printemps 2005 - MSSS 3.Formation des agents multiplicateurs - printemps 2005 à automne 2005 - Agences 4.Formation des intervenants – automne 2005 à printemps 2006 – Organismes Guide : Élaboration du plan directeur Volet humain  Outils de formation et plan de formation

23   23 Infrastructures communes du RSSS  Service RTSS et ses infrastructures de sécurité  Acquisition dans le cadre du plan d’informatisation  Outil de gestion de la sécurité SAGeS qui permet  La gestion de l’inventaire  la catégorisation des actifs  L’état de situation  La conformité CGGAI et ISO17799  L’analyse et la gestion du risque (principe de base)  L’élaboration des plans directeurs d’amélioration de la sécurité des actifs informationnels  Outil SAGeS sera disponible début juin 2006 Infrastructures communes du RSSS  Service RTSS et ses infrastructures de sécurité  Acquisition dans le cadre du plan d’informatisation  Outil de gestion de la sécurité SAGeS qui permet  La gestion de l’inventaire  la catégorisation des actifs  L’état de situation  La conformité CGGAI et ISO17799  L’analyse et la gestion du risque (principe de base)  L’élaboration des plans directeurs d’amélioration de la sécurité des actifs informationnels  Outil SAGeS sera disponible début juin 2006 Volet technologique 

24   24 Risque = menace X probabilité d’exploiter X vulnérabilité Options 1.Ignorer les risques : La population n’acceptera pas ceci de ses institutions publiques. 2.Évaluer et transférer le risque : La population n’accepte pas que le gouvernement transfère ses actifs informationnels du RSSS au privé. 3.Évaluer et accepter les risques : oui, si les conséquences sont moins importantes que les mesures. 4.Évaluer et mitiger les risques inacceptables par des mesures de contrôle qui diminuent le risque à un niveau acceptable. Risque = menace X probabilité d’exploiter X vulnérabilité Options 1.Ignorer les risques : La population n’acceptera pas ceci de ses institutions publiques. 2.Évaluer et transférer le risque : La population n’accepte pas que le gouvernement transfère ses actifs informationnels du RSSS au privé. 3.Évaluer et accepter les risques : oui, si les conséquences sont moins importantes que les mesures. 4.Évaluer et mitiger les risques inacceptables par des mesures de contrôle qui diminuent le risque à un niveau acceptable. Conclusion  Gestion du risque

25   25 Dans le contexte actuel, il y a toujours une possibilité que des incidents de sécurité, en terme de bris de disponibilité, d’intégrité et de confidentialité causant des lésions morales ou physiques à la population, vont se produire. Conclusion  Gestion du risque

26   26 Conclusion  Choisissez votre rôle Êtes-vous le cowboy qui :  Juridique - Connaît les enjeux juridiques  Organisationnel - Est organisé pour gérer la sécurité Politique, directives, processus, catégorisation, analyse de risque, a élaboré son plan directeur et débuté la mise en œuvre de mesures pour mitiger les risques les plus importants.  Humain - A sensibilisé et formé les ressources humaines  Technologique - Adhère aux orientations et services technologiques du RSSS Êtes-vous le cowboy qui :  Juridique - Connaît les enjeux juridiques  Organisationnel - Est organisé pour gérer la sécurité Politique, directives, processus, catégorisation, analyse de risque, a élaboré son plan directeur et débuté la mise en œuvre de mesures pour mitiger les risques les plus importants.  Humain - A sensibilisé et formé les ressources humaines  Technologique - Adhère aux orientations et services technologiques du RSSS

27   27 La présentation est disponible sur le site Internet du MSSS sous la rubrique Actualités – Présentations de la section consacrée aux ressources informationnelles http://www.msss.gouv.qc.ca/ri La présentation est disponible sur le site Internet du MSSS sous la rubrique Actualités – Présentations de la section consacrée aux ressources informationnelles http://www.msss.gouv.qc.ca/ri Merci 

Télécharger ppt "  1 Cowboys d’expérience demandés  clowns s’abstenir Gestion de la sécurité dans le Réseau de la santé et des services sociaux Direction des ressources."

Présentations similaires

Université d’automne du ME-F

Université d’automne du ME-F
Plans régionaux des ressources informationnelles Michel Fortin DRI MSSS AGIRS 12 janvier 2005.

Plans régionaux des ressources informationnelles Michel Fortin DRI MSSS AGIRS 12 janvier 2005.
Gestion des risques de sinistres

Gestion des risques de sinistres
© maxime moulins - 2007.

© maxime moulins
Faculté des Sciences de la Santé

Faculté des Sciences de la Santé
La politique TICE ministérielle Benoît Sillard Sous-Directeur SDTICE Montpellier8-9 novembre 2005.

La politique TICE ministérielle Benoît Sillard Sous-Directeur SDTICE Montpellier8-9 novembre 2005.
1 TCHAD ATELIER PARIS21 SUR LUTILISATION DES STATISTIQUES DANS LES POLITIQUES DE LUTTE CONTRE LA PAUVRETE ET DE DEVELOPPEMENT Yaoundé 09-11/12/02 Producteurs.

1 TCHAD ATELIER PARIS21 SUR LUTILISATION DES STATISTIQUES DANS LES POLITIQUES DE LUTTE CONTRE LA PAUVRETE ET DE DEVELOPPEMENT Yaoundé 09-11/12/02 Producteurs.
Séminaire sur les Politiques pharmaceutiques à lattention des Experts francophones, Genève, 13-17 juin 2011 | Séminaire sur les Politiques pharmaceutiques.

Séminaire sur les Politiques pharmaceutiques à lattention des Experts francophones, Genève, juin 2011 | Séminaire sur les Politiques pharmaceutiques.
EXERCICE N°1 TRAITE PAR LE GROUPE 3 1. Thème: Elaboration déléments indicatifs sur un règlement national concernant le SSP 2.

EXERCICE N°1 TRAITE PAR LE GROUPE 3 1. Thème: Elaboration déléments indicatifs sur un règlement national concernant le SSP 2.
RENCONTRE ANNUELLE DES MINISTRES DU TRAVAIL Mars 2006 Présentation par : Yves Brissette, CSST, Québec RENCONTRE ANNUELLE DES MINISTRES DU TRAVAIL Mars.

RENCONTRE ANNUELLE DES MINISTRES DU TRAVAIL Mars 2006 Présentation par : Yves Brissette, CSST, Québec RENCONTRE ANNUELLE DES MINISTRES DU TRAVAIL Mars.
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
Dématérialisation des échanges entre les commanditaires et les laboratoires Etude de faisabilité Table ronde EDI laboratoires 17 septembre 2002.

Dématérialisation des échanges entre les commanditaires et les laboratoires Etude de faisabilité Table ronde EDI laboratoires 17 septembre 2002.
LE DOCUMENT UNIQUE DE DELEGATION

LE DOCUMENT UNIQUE DE DELEGATION
PARTIE ASSURANCE.

PARTIE ASSURANCE.
La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.

La mise en place du Règlement sur la diffusion de linformation Un travail déquipe.
1 1 Séminaire « Lean en France » - 10 mai 2006 Le lean dans les services financiers : présentation dune communauté de pratiques.

1 1 Séminaire « Lean en France » - 10 mai 2006 Le lean dans les services financiers : présentation dune communauté de pratiques.
1 Bienvenue! Ministère de lEmploi et de la Solidarité sociale Direction des ressources humaines La conduite dun projet de refonte dun intranet Pascale.

1 Bienvenue! Ministère de lEmploi et de la Solidarité sociale Direction des ressources humaines La conduite dun projet de refonte dun intranet Pascale.
Control des objectifs des technologies de l’information COBIT

Control des objectifs des technologies de l’information COBIT
PAFI Référentiel de données par Sonia Watts DGIF (Direction de la gestion et de linformation forestière) 27 octobre 2010 et 3 novembre 2010.

PAFI Référentiel de données par Sonia Watts DGIF (Direction de la gestion et de linformation forestière) 27 octobre 2010 et 3 novembre 2010.
Partenariat canadien pour le progrès dans les ressources humaines en santé Accueil des participants et présentation du contexte de la création du partenariat.

Partenariat canadien pour le progrès dans les ressources humaines en santé Accueil des participants et présentation du contexte de la création du partenariat.

Présentations similaires

Annonces Google