Example: barber

Version 1.0 – Novembre 2017

V REFERENTIEL DE CERTIFICATION HDS Exigences et contr les Version Novembre 2017 ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 2 / 15 Documents de r f rence R f rence n 1 : ISO/IEC 27001:2013 Technologies de l'information -- Techniques de s curit -- Syst mes de management de la s curit de l'information -- Exigences R f rence n 2 : ISO/IEC 27018:2014 Technologies de l'information -- Techniques de s curit -- Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII R f rence n 3 : ISO/IEC 27017:2015 Technologies de l information -- Techniques de s curit -- Code de pratique pour les contr les de s curit de l information fond s sur l ISO/IEC 27002 pour les services du nuage R f rence n 4 : ISO/IEC 20000-1:2011 Technologies de l information Gestion des services Partie 1 Exigences du syst me de management des services R f rence n 5: R f rentiel d'accr ditation HDS ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 3 / 15 Sommaire 1.

ASIP Santé Certification HDS – Exigences et contrôl es du référentiel 27/11/2017 2 / 15 Documents de référence Référence n°1 : ISO/IEC 27001:2013

Information

Domain:

Source:

Link to this page:

Please notify us if you found a problem with this document:

Other abuse

Advertisement

Transcription of Version 1.0 – Novembre 2017

1 V REFERENTIEL DE CERTIFICATION HDS Exigences et contr les Version Novembre 2017 ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 2 / 15 Documents de r f rence R f rence n 1 : ISO/IEC 27001:2013 Technologies de l'information -- Techniques de s curit -- Syst mes de management de la s curit de l'information -- Exigences R f rence n 2 : ISO/IEC 27018:2014 Technologies de l'information -- Techniques de s curit -- Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII R f rence n 3 : ISO/IEC 27017:2015 Technologies de l information -- Techniques de s curit -- Code de pratique pour les contr les de s curit de l information fond s sur l ISO/IEC 27002 pour les services du nuage R f rence n 4 : ISO/IEC 20000-1:2011 Technologies de l information Gestion des services Partie 1 Exigences du syst me de management des services R f rence n 5: R f rentiel d'accr ditation HDS ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 3 / 15 Sommaire 1.

2 Introduction .. 4 Objet du document .. 4 Structure du document .. 4 2. R f rences normatives .. 5 3. Termes et d finitions .. 6 4. Exigences du r f rentiel de certification HDS .. 7 Liens entre les exigences et les normes .. 7 Exigences ISO/IEC 27001:2013 .. 7 Exigences ISO/IEC 20000-1 8 Planification de nouveaux services ou de services modifi s .. 8 Conception et impl mentation des nouveaux services ou des services modifi s .. 8 Continuit de services et gestion de la disponibilit .. 9 Exigences ISO/IEC 27018:2014 .. 9 Consentement et choix .. 9 Finalit .. 9 Utilisation, conservation et communication .. 10 Transparence .. 10 Responsabilit .. 10 S curit des donn es .. 11 Localisation des donn es .. 13 Exigences ISO/IEC 27017:2015 .. 13 R les et responsabilit s .. 13 Exigences compl mentaires .. 13 Conformit aux r f rentiels opposables de la PGSSI-S .. 13 Rapports d audit .. 14 Liste des contacts clients.

3 14 R gionalisation .. 14 ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 4 / 15 1. Introduction Objet du document Le pr sent document constitue le r f rentiel de certification applicable aux h bergeurs souhaitant obtenir une certification h bergeur d infrastructure physique ou h bergeur infog reur 1 de donn es de sant caract re personnel. Dans la suite du document, ce r f rentiel h bergeur de donn es de sant est d sign par le terme r f rentiel HDS. Structure du document Ce document est organis en quatre parties : 1. l introduction ; 2. la pr sentation des normes internationales retenues dans le cadre de la certification pour l h bergement de donn es de sant caract re personnel ; 3. la d finition des notions utilis es dans le r f rentiel de HDS ; 4. la liste exhaustive des exigences du r f rentiel HDS portant sur les deux p rim tres de certification h bergeur d infrastructure physique ou h bergeur infog reur.

4 1 Les certifications h bergeur d infrastructure physique et h bergeur infog reur sont d crites dans le document R f rence n 5: R f rentiel d'accr ditation HDS. ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 5 / 15 2. R f rences normatives La liste des normes applicables dans le cadre de la certification HDS est pr sent e ci-dessous. Pour les normes dat es, seule l dition cit e s applique. Pour les normes non dat es, la derni re dition du document de r f rence s applique (y compris les ventuels amendements). ISO/IEC 27001:2013, Technologies de l information - Technique de s curit - Syst mes de management de la s curit de l information - Exigences ISO/IEC 20000-1:2011, Technologies de l information - Gestion des services - Partie 1 : Exigences du syst me de management des services ISO/IEC 27017:2015, Technologies de l information Techniques de s curit - Code de pratique pour les contr les de s curit de l information fond s sur l ISO/IEC 27002 pour les services du nuage ISO/IEC 27018:2014, Technologies de l'information - Techniques de s curit - Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII Pour des raisons de facilit de lecture, dans la suite du document, les r f rences aux normes ci-dessus se feront de la mani re suivante : ISO 27001 pour la norme ISO/IEC 27001.

5 2013 ; ISO 20000-1 pour la norme ISO/IEC 20000-1:2011 ; ISO 27017 pour la norme ISO/IEC 27017:2015 ; ISO 27018 pour la norme ISO/IEC 27018:2014. ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 6 / 15 3. Termes et d finitions Pour les besoins du pr sent document, les termes et d finitions suivantes s appliquent: CE Commission Europ enne CNIL Commission Nationale de l Informatique et des Libert s COFRAC Comit Fran ais d Accr ditation DdA D claration d Applicabilit document e d crivant les objectifs de s curit , ainsi que les mesures appropri es et applicables au SMSI d'un organisme HDS H bergeur de Donn es de Sant IEC International Electrotechnical Commission ISO International Organization for Standardization Multi-sites Service d h bergement r alis sur plusieurs sites g ographiques OC Organisme de Certification PII Informations Personnelles Identifiables SMSI Syst me de Management de la S curit de l Information ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 7 / 15 4.

6 Exigences du r f rentiel de certification HDS Ce chapitre num re les exigences du r f rentiel HDS. Liens entre les exigences et les normes Les exigences du r f rentiel HDS d finies ci-apr s sont issues de normes existantes et galement d exigences sp cifiques au contexte HDS. Le r f rentiel HDS comprend ainsi : les exigences de la norme ISO 27001 reprise dans son int gralit ; une partie des exigences num r es dans la norme ISO 20000-1 ; une partie des objectifs et mesures num r s dans la norme ISO 27018 g n ralis s des services d h bergement hors Cloud; une partie des exigences num r es dans la norme ISO 27017 g n ralis es des services d h bergement hors Cloud ; des exigences sp cifiques au domaine de la sant . Exigences ISO/IEC 27001:2013 Les h bergeurs d infrastructure physique et les h bergeurs infog reurs doivent tre certifi s ISO 27001. En outre, les exigences sp cifiques suivantes s appliquent.

7 Exigence sp cifique compl tant le chapitre de l ISO 27001 Application : H bergeurs d infrastructure physique et h bergeurs infog reurs. Objectif : L organisation doit d terminer le domaine d application du SMSI en tenant compte de l objectif de protection des donn es de sant caract re personnel en plus des enjeux et exigences d j consid r s. Ce domaine d application doit au moins couvrir l ensemble des activit s d h bergement de donn es de sant caract re personnel de l organisation. Exigence sp cifique compl tant le chapitre de l ISO 27001 Application : H bergeurs d infrastructure physique et h bergeurs infog reurs. Objectif : La DdA (d claration d applicabilit ) du SMSI doit inclure les exigences du r f rentiel de certification HDS ( les exigences sp cifiques sant , l annexe A de l ISO 27001:2013, les exigences ISO 20000-1:2011, les exigences ISO 27018:2014 et l exigence de l ISO 27017 nonc s ci-dessous).

8 Toute exclusion d exigences du p rim tre de certification doit tre formellement justifi e et la justification doit tre approuv e par l organisme de certification. ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 8 / 15 Exigence sp cifique compl tant l Annexe de l ISO 27001 Application : H bergeurs infog reurs Objectif : En cas d externalisation des sauvegardes de donn es de sant par l h bergeur, quel qu en soit le support, la s curit des sauvegardes doit tre garantie. Pr conisations de mise en uvre : le SMSI prend en compte les sauvegardes de donn es de sant , notamment leur s curit sur les crit res de confidentialit , int grit et tra abilit lors des transferts et pendant leur conservation ; les mesures de s curit des sauvegardes sont mises en uvre. Exigence sp cifique compl tant l Annexe de l ISO 27001 Application : H bergeurs d infrastructure physique et h bergeurs infog reurs.

9 Objectif : L h bergeur doit permettre ses clients d effectuer des audits sur les applications mises en production. M thode de contr le : S'assurer que l'h bergeur infog reur a d fini, document et mis en uvre une proc dure encadrant la r alisation des audits de ses clients, en particulier les audits de s curit (test d intrusion, etc.) Exigences ISO/IEC 20000-1:2011 Dans le cadre de la certification HDS, seules les exigences list es ci-dessous de l ISO 20000-1 s appliquent. Planification de nouveaux services ou de services modifi s Le chapitre de la norme ISO 20000-1 s applique aux h bergeurs d infrastructure physique et aux h bergeurs infog reurs. Conception et impl mentation des nouveaux services ou des services modifi s Pr sentation des activit s ex cut es par les fournisseurs de services, clients et autres parties Le chapitre (b) de la norme ISO 20000-1 s applique aux h bergeurs d infrastructure physique et aux h bergeurs infog reurs.

10 En outre l exigence sp cifique suivante s applique. ASIP Sant Certification HDS Exigences et contr les du r f rentiel 27/11/2017 9 / 15 Exigence sp cifique compl tant le chapitre de l ISO 20000-1 Application : H bergeurs d infrastructure physique et h bergeurs infog reurs. Objectif : Des crit res d acceptation du service pour les nouveaux services ou services modifi s, et des tests adapt s du (des) syst me(s) doivent tre r alis s au moment du d veloppement et pr alablement leur mise en production. M thode de contr le : S'assurer que l'h bergeur infog reur a mis en place une m thodologie de v rification des applications qu'il h berge. V rifier que l'h bergeur infog reur a formalis une proc dure permettant de d finir les pr requis l h bergement et une proc dure de v rification de ces pr requis (ces pr requis doivent comporter, a minima, le manuel d installation et le manuel d exploitation).


Related search queries