Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parNarcisse Lafond Modifié depuis plus de 9 années
1
1 Cowboys d’expérience demandés clowns s’abstenir Gestion de la sécurité dans le Réseau de la santé et des services sociaux Direction des ressources informationnelles Pierre P. Tremblay, ing. Direction des ressources informationnelles Pierre P. Tremblay, ing.
2
2 Agenda Introduction Juridique Organisationnel Humain Technique Conclusion Introduction Juridique Organisationnel Humain Technique Conclusion
3
3 Juridique Objectifs L’ensemble forme une chaîne de ressources Le maillon des actifs informationnels devient critique avec l’informatisation du RSSS L’ensemble forme une chaîne de ressources Le maillon des actifs informationnels devient critique avec l’informatisation du RSSS Mission – Santé et bien-être de la population Programmes -> processus d’affaires Ressources Mission – Santé et bien-être de la population Programmes -> processus d’affaires Ressources Doit assurer de la Disponibilité, Intégrité et Confidentialité Financières Humaines Matérielles Informationnelles Financières Humaines Matérielles Informationnelles
4
4 LSSSS Projet de loi 25 – décembre 2003 Création des CSSS et des RLS facilite la circulation d’information Projet de loi 83 – novembre 2005 Doit garantir l’intégrité, l’authentification et l’irrévocabilité (certificat pour signature) Inclut des mesures pour la confidentialité Projets de règlements en élaboration Concernant la sécurité et la protection des renseignements personnels Ententes de sécurité interorganisationnelles LSSSS Projet de loi 25 – décembre 2003 Création des CSSS et des RLS facilite la circulation d’information Projet de loi 83 – novembre 2005 Doit garantir l’intégrité, l’authentification et l’irrévocabilité (certificat pour signature) Inclut des mesures pour la confidentialité Projets de règlements en élaboration Concernant la sécurité et la protection des renseignements personnels Ententes de sécurité interorganisationnelles Juridique Obligations
5
5 LSSSS Conséquences Pénalités applicable à la personne de 3 000 $ – 6 000 $ par incident de confidentialité LSSSS Conséquences Pénalités applicable à la personne de 3 000 $ – 6 000 $ par incident de confidentialité Juridique Conséquences
6
6 Juridique Obligations Code criminel canadien Suite accident mine Westray N-É en 1992 Code modifié en mars 2004 Art. 217-1 « Il incombe à quiconque dirige l’accomplissement d’un travail et l’exécution d’une tâche, ou est habilité à le faire, de prendre des mesures voulues pour éviter qu’il en résulte des blessures corporelles pour autrui » Imputabilité des dirigeants et professionnels à titre personnel en terme de négligence criminelle (n’ont pas assumé leur devoir de diligence) pour la sécurité physique des personnes Code criminel canadien Suite accident mine Westray N-É en 1992 Code modifié en mars 2004 Art. 217-1 « Il incombe à quiconque dirige l’accomplissement d’un travail et l’exécution d’une tâche, ou est habilité à le faire, de prendre des mesures voulues pour éviter qu’il en résulte des blessures corporelles pour autrui » Imputabilité des dirigeants et professionnels à titre personnel en terme de négligence criminelle (n’ont pas assumé leur devoir de diligence) pour la sécurité physique des personnes
7
7 Code criminel canadien Relation avec le RSSS ? Manque de disponibilité (ex. dossier patient aux urgences) et intégrité (posologie – un 0 de plus) de l’information causant lésion physique à un citoyen S’expose personnellement à un casier judiciaire et amendes < = xx 000 $ Code criminel canadien Relation avec le RSSS ? Manque de disponibilité (ex. dossier patient aux urgences) et intégrité (posologie – un 0 de plus) de l’information causant lésion physique à un citoyen S’expose personnellement à un casier judiciaire et amendes < = xx 000 $ Juridique Conséquences
8
8 Organisationnel Plan de mise en oeuvre Niveau national Politique RSSS – CGGAI Outils (guides) Directives, standards Optimisation RTSS – TI & processus Niveau régional et local Contrôle et suivi -Plan pour les organismes et établissements Réévaluation et réajustement Niveau national Politique RSSS – CGGAI Outils (guides) Directives, standards Optimisation RTSS – TI & processus Niveau régional et local Contrôle et suivi -Plan pour les organismes et établissements Réévaluation et réajustement
9
9 Cadre global de gestion des actifs informationnels (CGGAI) Politique de sécurité pour le RSSS Cadre de gestion (rôles et responsabilités) Mesures (63) minimales et obligatoires à mettre en place Actifs informationnels : Papier, numérique et infrastructure Adoption en septembre 2002 Cadre global de gestion des actifs informationnels (CGGAI) Politique de sécurité pour le RSSS Cadre de gestion (rôles et responsabilités) Mesures (63) minimales et obligatoires à mettre en place Actifs informationnels : Papier, numérique et infrastructure Adoption en septembre 2002 Organisationnel Politique
10
10 1. Guide de rédaction de politiques de sécurité de l’information – MSSS, juin 2003 2. Guide de catégorisation des actifs informationnels – MSSS v1 2003, v2 juin 2004 et v3 déc. 2005 3. Guide de rédaction d’un plan directeur de la sécurité des actifs informationnels – MSSS – v1 juin 2003 et v2 avril 2006 4. Guide recueil des mesures – MSSS – nov. 2003 5. Guide de la gestion des incidents de sécurité – MSSS – nov. 2003 1. Guide de rédaction de politiques de sécurité de l’information – MSSS, juin 2003 2. Guide de catégorisation des actifs informationnels – MSSS v1 2003, v2 juin 2004 et v3 déc. 2005 3. Guide de rédaction d’un plan directeur de la sécurité des actifs informationnels – MSSS – v1 juin 2003 et v2 avril 2006 4. Guide recueil des mesures – MSSS – nov. 2003 5. Guide de la gestion des incidents de sécurité – MSSS – nov. 2003 Organisationnel Outil: Élaboration des guides - MSSS
11
11 Processus formel d’élaboration et d’adoption Statut Normes et standards > 460 Directives > 60 Diffusion Site Internet URL : http://www.msss.gouv.qc.ca/ri Site Intranet RSSS URL : intranetreseau.rtss.qc.ca Processus formel d’élaboration et d’adoption Statut Normes et standards > 460 Directives > 60 Diffusion Site Internet URL : http://www.msss.gouv.qc.ca/ri Site Intranet RSSS URL : intranetreseau.rtss.qc.ca Organisationnel Directives, standards et architectures
12
12 Analyse préliminaire faite en 2004 RSSS représente environ 350 organismes 200 000 personnes 85 000 postes 10 000 serveurs 105 salles de serveurs 110 millions pour mettre le RSSS à niveau pour les quatre volets : Juridique, Organisationnel, Humain et Technologique Besoin d’optimisation des infrastructures technologiques de la gestion opérationnelle Analyse préliminaire faite en 2004 RSSS représente environ 350 organismes 200 000 personnes 85 000 postes 10 000 serveurs 105 salles de serveurs 110 millions pour mettre le RSSS à niveau pour les quatre volets : Juridique, Organisationnel, Humain et Technologique Besoin d’optimisation des infrastructures technologiques de la gestion opérationnelle Organisationnel Optimisation
13
13 Programme d’assurance qualité Amélioration des processus La définition formelle des processus Le contrôle de la qualité Suivi d’indicateurs précis et mesurables Stratégie Basée sur les référentiels des meilleures pratiques Augmentation de la maturité du RSSS, en terme de capacité, un processus à la fois Implantation par le biais de la structure de gouverne Programme d’assurance qualité Amélioration des processus La définition formelle des processus Le contrôle de la qualité Suivi d’indicateurs précis et mesurables Stratégie Basée sur les référentiels des meilleures pratiques Augmentation de la maturité du RSSS, en terme de capacité, un processus à la fois Implantation par le biais de la structure de gouverne Organisationnel Optimisation des processus 1- Les technocentres (TCN -> TCRs) et les services RTSS 2- Les établissements et autres services TI 1- Les technocentres (TCN -> TCRs) et les services RTSS 2- Les établissements et autres services TI
14
14 Le cadre de gestion stratégique des RI Basé sur « Control Objectives for Information and related Technology » (COBIT ) 4 Domaines, 33 processus et 387 contrôles Planification & organisation Acquisition & implantation Gestion opérationnelle et tactique -> ITIL Suivi et contrôle Le cadre de gestion stratégique des RI Basé sur « Control Objectives for Information and related Technology » (COBIT ) 4 Domaines, 33 processus et 387 contrôles Planification & organisation Acquisition & implantation Gestion opérationnelle et tactique -> ITIL Suivi et contrôle Organisationnel Optimisation des processus
15
15 Organisationnel Optimisation des processus Le cadre de gestion opérationnelle Basé sur Bibliothèque d’infrastructure pour les TI (ITIL) Une fonction et 10 processus Fonction : Centre de service Opérationnels : Gestion des incidents, pannes, configuration, changements, mise en production Tactiques : Gestion de la disponibilité, capacité, continuité, financière et des niveaux de service Présentement en déploiement Fonction et processus opérationnels NOTE : Permet de rencontrer 80% d’ISO17799 Le cadre de gestion opérationnelle Basé sur Bibliothèque d’infrastructure pour les TI (ITIL) Une fonction et 10 processus Fonction : Centre de service Opérationnels : Gestion des incidents, pannes, configuration, changements, mise en production Tactiques : Gestion de la disponibilité, capacité, continuité, financière et des niveaux de service Présentement en déploiement Fonction et processus opérationnels NOTE : Permet de rencontrer 80% d’ISO17799
16
16 Organisationnel Optimisation des processus Cadre de la gestion de la sécurité ISO27001 pour le système de gestion de l’information de sécurité (amélioration continue) Roue de Deming Planifier Améliorer Réaliser Contrôler ISM3 amélioration (de la maturité) des processus de sécurité (stratégique, tactique et opérationnel) ISO17799 (133 mesures) pour la gestion de la sécurité, Sert de seuil dans la jurisprudence aux États-Unis Le principe de diligence raisonnable est déterminé en fonction des contrôles d’ISO17799 Bientôt ISO27799 spécifique pour la santé Cadre de la gestion de la sécurité ISO27001 pour le système de gestion de l’information de sécurité (amélioration continue) Roue de Deming Planifier Améliorer Réaliser Contrôler ISM3 amélioration (de la maturité) des processus de sécurité (stratégique, tactique et opérationnel) ISO17799 (133 mesures) pour la gestion de la sécurité, Sert de seuil dans la jurisprudence aux États-Unis Le principe de diligence raisonnable est déterminé en fonction des contrôles d’ISO17799 Bientôt ISO27799 spécifique pour la santé
17
17 Sécurité opérationnelle au niveau national assurée par la SOGIQUE Surveillance 24/7 et contrôle au niveau du périmètre, de l’intranet et l’extranet Veille des vulnérabilités, service d’alertes et de réponse aux incidents Conseils de sécurité dans le développement des systèmes et aux établissements (révision d’architecture, audits et tests d’intrusions) Mise en œuvre des orientations du MSSS Sécurité opérationnelle au niveau national assurée par la SOGIQUE Surveillance 24/7 et contrôle au niveau du périmètre, de l’intranet et l’extranet Veille des vulnérabilités, service d’alertes et de réponse aux incidents Conseils de sécurité dans le développement des systèmes et aux établissements (révision d’architecture, audits et tests d’intrusions) Mise en œuvre des orientations du MSSS Organisationnel Suivi et contrôle opérationnel Évolution de la menace Stratégie de défense en profondeur ITIL et ISO27001 Évolution de la menace Stratégie de défense en profondeur ITIL et ISO27001
18
18 1- Politique par organisme 2- Programme de sensibilisation et formation 3- Mise en œuvre des 15 mesures prioritaires 4- Catégorisation des actifs informationnels (DIC) 5- Plan directeur par organisme (Roue - Planifier) 3a Situation actuelle 3b Analyse de risque 3c Bien livrable : dossier d’affaires et plan 1- Politique par organisme 2- Programme de sensibilisation et formation 3- Mise en œuvre des 15 mesures prioritaires 4- Catégorisation des actifs informationnels (DIC) 5- Plan directeur par organisme (Roue - Planifier) 3a Situation actuelle 3b Analyse de risque 3c Bien livrable : dossier d’affaires et plan Organisationnel Niveau régional et local Plan de mise en œuvre du CGGAI par organisme
19
19 6- Mise en œuvre des mesures du plan directeur les 63 mesures et plus (Roue - Réaliser) 7- Contrôle (audits) (Roue - Contrôler) 8- Suivi – indicateurs et tableaux de bord 9- Réévaluation et réajustement (Roue - Améliorer) Roue de l’amélioration continue en retournant à l’étape 4 6- Mise en œuvre des mesures du plan directeur les 63 mesures et plus (Roue - Réaliser) 7- Contrôle (audits) (Roue - Contrôler) 8- Suivi – indicateurs et tableaux de bord 9- Réévaluation et réajustement (Roue - Améliorer) Roue de l’amélioration continue en retournant à l’étape 4 Organisationnel Niveau régional et local Plan de mise en œuvre du CGGAI par organisme (suite)
20
20 Outils Programme de formation et de sensibilisation Ressources humaines Outils Programme de formation et de sensibilisation Ressources humaines Volet humain
21
21 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – terminée printemps 2004 - MSSS 3.Formation des agents multiplicateurs - automne 2004 à hiver 2005 - Agences 4.Formation des intervenants – printemps 2005 à hiver 2006 – Organismes Clientèle cible : + 200 000 personnes 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – terminée printemps 2004 - MSSS 3.Formation des agents multiplicateurs - automne 2004 à hiver 2005 - Agences 4.Formation des intervenants – printemps 2005 à hiver 2006 – Organismes Clientèle cible : + 200 000 personnes Volet humain Outils de formation et plan de formation Guide : Politique de sécurité de l’information
22
22 Guide : Catégorisation des actifs informationnels 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – hiver 2005 - printemps 2005 - MSSS 3.Formation des agents multiplicateurs - printemps 2005 à automne 2005 - Agences 4.Formation des intervenants – automne 2005 à printemps 2006 – Organismes Guide : Élaboration du plan directeur Guide : Catégorisation des actifs informationnels 1.Préparation du matériel – terminée - MSSS 2.Formation des formateurs – hiver 2005 - printemps 2005 - MSSS 3.Formation des agents multiplicateurs - printemps 2005 à automne 2005 - Agences 4.Formation des intervenants – automne 2005 à printemps 2006 – Organismes Guide : Élaboration du plan directeur Volet humain Outils de formation et plan de formation
23
23 Infrastructures communes du RSSS Service RTSS et ses infrastructures de sécurité Acquisition dans le cadre du plan d’informatisation Outil de gestion de la sécurité SAGeS qui permet La gestion de l’inventaire la catégorisation des actifs L’état de situation La conformité CGGAI et ISO17799 L’analyse et la gestion du risque (principe de base) L’élaboration des plans directeurs d’amélioration de la sécurité des actifs informationnels Outil SAGeS sera disponible début juin 2006 Infrastructures communes du RSSS Service RTSS et ses infrastructures de sécurité Acquisition dans le cadre du plan d’informatisation Outil de gestion de la sécurité SAGeS qui permet La gestion de l’inventaire la catégorisation des actifs L’état de situation La conformité CGGAI et ISO17799 L’analyse et la gestion du risque (principe de base) L’élaboration des plans directeurs d’amélioration de la sécurité des actifs informationnels Outil SAGeS sera disponible début juin 2006 Volet technologique
24
24 Risque = menace X probabilité d’exploiter X vulnérabilité Options 1.Ignorer les risques : La population n’acceptera pas ceci de ses institutions publiques. 2.Évaluer et transférer le risque : La population n’accepte pas que le gouvernement transfère ses actifs informationnels du RSSS au privé. 3.Évaluer et accepter les risques : oui, si les conséquences sont moins importantes que les mesures. 4.Évaluer et mitiger les risques inacceptables par des mesures de contrôle qui diminuent le risque à un niveau acceptable. Risque = menace X probabilité d’exploiter X vulnérabilité Options 1.Ignorer les risques : La population n’acceptera pas ceci de ses institutions publiques. 2.Évaluer et transférer le risque : La population n’accepte pas que le gouvernement transfère ses actifs informationnels du RSSS au privé. 3.Évaluer et accepter les risques : oui, si les conséquences sont moins importantes que les mesures. 4.Évaluer et mitiger les risques inacceptables par des mesures de contrôle qui diminuent le risque à un niveau acceptable. Conclusion Gestion du risque
25
25 Dans le contexte actuel, il y a toujours une possibilité que des incidents de sécurité, en terme de bris de disponibilité, d’intégrité et de confidentialité causant des lésions morales ou physiques à la population, vont se produire. Conclusion Gestion du risque
26
26 Conclusion Choisissez votre rôle Êtes-vous le cowboy qui : Juridique - Connaît les enjeux juridiques Organisationnel - Est organisé pour gérer la sécurité Politique, directives, processus, catégorisation, analyse de risque, a élaboré son plan directeur et débuté la mise en œuvre de mesures pour mitiger les risques les plus importants. Humain - A sensibilisé et formé les ressources humaines Technologique - Adhère aux orientations et services technologiques du RSSS Êtes-vous le cowboy qui : Juridique - Connaît les enjeux juridiques Organisationnel - Est organisé pour gérer la sécurité Politique, directives, processus, catégorisation, analyse de risque, a élaboré son plan directeur et débuté la mise en œuvre de mesures pour mitiger les risques les plus importants. Humain - A sensibilisé et formé les ressources humaines Technologique - Adhère aux orientations et services technologiques du RSSS
27
27 La présentation est disponible sur le site Internet du MSSS sous la rubrique Actualités – Présentations de la section consacrée aux ressources informationnelles http://www.msss.gouv.qc.ca/ri La présentation est disponible sur le site Internet du MSSS sous la rubrique Actualités – Présentations de la section consacrée aux ressources informationnelles http://www.msss.gouv.qc.ca/ri Merci
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.