ISO 27799:2016
(Main)Health informatics — Information security management in health using ISO/IEC 27002
Health informatics — Information security management in health using ISO/IEC 27002
ISO 27799:2016 gives guidelines for organizational information security standards and information security management practices including the selection, implementation and management of controls taking into consideration the organization's information security risk environment(s). It defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that International Standard. ISO 27799:2016 provides implementation guidance for the controls described in ISO/IEC 27002 and supplements them where necessary, so that they can be effectively used for managing health information security. By implementing ISO 27799:2016, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information in their care. It applies to health information in all its aspects, whatever form the information takes (words and numbers, sound recordings, drawings, video, and medical images), whatever means are used to store it (printing or writing on paper or storage electronically), and whatever means are used to transmit it (by hand, through fax, over computer networks, or by post), as the information is always be appropriately protected. ISO 27799:2016 and ISO/IEC 27002 taken together define what is required in terms of information security in healthcare, they do not define how these requirements are to be met. That is to say, to the fullest extent possible, ISO 27799:2016 is technology-neutral. Neutrality with respect to implementing technologies is an important feature. Security technology is still undergoing rapid development and the pace of that change is now measured in months rather than years. By contrast, while subject to periodic review, International Standards are expected on the whole to remain valid for years. Just as importantly, technological neutrality leaves vendors and service providers free to suggest new or developing technologies that meet the necessary requirements that ISO 27799:2016 describes. As noted in the introduction, familiarity with ISO/IEC 27002 is indispensable to an understanding of ISO 27799:2016. The following areas of information security are outside the scope of ISO 27799:2016: a) methodologies and statistical tests for effective anonymization of personal health information; b) methodologies for pseudonymization of personal health information (see Bibliography for a brief description of a Technical Specification that deals specifically with this topic); c) network quality of service and methods for measuring availability of networks used for health informatics; d) data quality (as distinct from data integrity).
Informatique de santé — Management de la sécurité de l'information relative à la santé en utilisant l'ISO/IEC 27002
L'ISO 27799 :2016 donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de l'information, incluant la sélection, la mise en ?uvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) à risques pour la sécurité de l'information de l'organisme. Elle spécifie des lignes directrices permettant d'interpréter et de mettre en ?uvre l'ISO/IEC 27002 dans le domaine de l'informatique de santé et constitue un complément à cette dernière. L'ISO 27799 :2016 fournit des préconisations de mise en ?uvre des mesures décrites dans l'ISO/IEC 27002 et les complète, le cas échéant, de façon à ce qu'elles puissent être utilisées efficacement dans le mangement de la sécurité des informations de santé. La mise en ?uvre de l'ISO 27799 :2016 permettra aux organismes de santé et aux autres dépositaires d'informations de santé de garantir le niveau minimal requis de sécurité approprié aux conditions de leur organisme et de protéger la confidentialité, l'intégrité et la disponibilité des informations personnelles de santé dans leurs activités de soins. L'ISO 27799 :2016 s'applique à tous les aspects des informations de santé, quelle que soit la forme (mots, chiffres, enregistrements sonores, dessins, vidéos et images médicales), le support utilisé pour les stocker (imprimés, documents manuscrits ou stockage électronique) ou les moyens mis en ?uvre pour leur transmission (en main propre, par fax, par réseau informatique ou par courrier), de sorte que l'information soit toujours correctement protégée. L'ISO 27799 :2016 et l'ISO/IEC 27002 définissent les exigences en termes de sécurité de l'information dans les soins de santé, mais elles ne définissent pas la façon de satisfaire à ces exigences. En d'autres termes, dans toute la mesure du possible, la technologie est absente de l'ISO 27799 :2016. La neutralité sur les technologies de mise en ?uvre est une caractéristique importante. La technologie en matière de sécurité continue de se développer rapidement. Le rythme de cette évolution se mesure actuellement en mois et non plus en années. En revanche, bien que les Normes internationales soient soumises à des révisions régulières, il est prévu qu'elles restent valides pendant plusieurs années. De manière également importante, la neutralité sur les technologies laisse aux fournisseurs et aux prestataires de services l'entière liberté de suggérer des technologies nouvelles ou en développement qui peuvent répondre aux exigences décrites dans l'ISO 27799 :2016. Comme mentionné dans l'introduction, la connaissance de l'ISO/IEC 27002 est indispensable à la compréhension de l'ISO 27799 :2016. Les domaines suivants de la sécurité de l'information ne relèvent pas du domaine d'application de l'ISO 27799 :2016: a) les méthodologies et les essais statistiques en vue d'une anonymisation efficace des informations personnelles de santé; b) les méthodologies en vue de la pseudonymisation des informations personnelles de santé (voir la bibliographie pour une brève description d'une Spécification technique qui traite spécifiquement de ce sujet); c) la qualité des services fournis par le réseau et les méthodes pour évaluer la disponibilité des réseaux utilisés pour l'informatique de santé; d) la qualité des données (par opposition à l'intégrité des données).
General Information
Relations
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 27799
Second edition
2016-07-01
Health informatics — Information
security management in health using
ISO/IEC 27002
Informatique de santé — Management de la sécurité de l’information
relative à la santé en utilisant l’ISO/IEC 27002
Reference number
©
ISO 2016
© ISO 2016, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – All rights reserved
Contents Page
Foreword .vii
Introduction .viii
1 Scope . 1
2 Normative references . 2
3 Terms and definitions . 2
4 Structure of this International Standard . 3
5 Information security policies . 4
5.1 Management direction for information security . 4
5.1.1 Policies for information security. 4
5.1.2 Review of the policies for information security . 5
6 Organization of information security . 6
6.1 Internal organization . 6
6.1.1 Information security roles and responsibilities . 6
6.1.2 Segregation of duties . 7
6.1.3 Contact with authorities . 7
6.1.4 Contact with special interest groups . 7
6.1.5 Information security in project management . 8
6.2 Mobile devices and teleworking . 8
6.2.1 Mobile device policy . 8
6.2.2 Teleworking. 9
7 Human resource security . 9
7.1 Prior to employment . 9
7.1.1 Screening . 9
7.1.2 Terms and conditions of employment .10
7.2 During employment .11
7.2.1 Management responsibilities .11
7.2.2 Information security awareness, education and training .11
7.2.3 Disciplinary process . .11
7.3 Termination and change of employment .12
7.3.1 Termination or change of employment responsibilities .12
8 Asset management .12
8.1 Responsibility for assets .12
8.1.1 Inventory of assets .12
8.1.2 Ownership of assets .13
8.1.3 Acceptable use of assets .13
8.1.4 Return of assets .13
8.2 Information classification .14
8.2.1 Classification of information .14
8.2.2 Labelling of information .15
8.2.3 Handling of assets .15
8.3 Media handling .16
8.3.1 Management of removable media .16
8.3.2 Disposal of media .16
8.3.3 Physical media transfer .17
9 Access control .17
9.1 Business requirements of access control .17
9.1.1 Access control policy .17
9.1.2 Access to networks and network services .18
9.2 User access management .18
9.2.1 User registration and de-registration .18
9.2.2 User access provisioning.19
9.2.3 Management of privileged access rights .19
9.2.4 Management of secret authentication information of users .20
9.2.5 Review of user access rights .20
9.2.6 Removal or adjustment of access rights .21
9.3 User responsibilities .21
9.3.1 Use of secret authentication information .21
9.4 System and application access control .22
9.4.1 Information access restriction .22
9.4.2 Secure log-on procedures .22
9.4.3 Password management system .22
9.4.4 Use of privileged utility programs .23
9.4.5 Access control to program source code .23
10 Cryptography .23
10.1 Cryptographic controls .23
10.1.1 Policy on the use of cryptographic controls .23
10.1.2 Key management .24
11 Physical and environmental security .24
11.1 Secure areas .24
11.1.1 Physical security perimeter .24
11.1.2 Physical entry controls .25
11.1.3 Securing offices, rooms and facilities .25
11.1.4 Protecting against external and environmental threats .25
11.1.5 Working in secure areas .25
11.1.6 Delivery and loading areas .25
11.2 Equipment .26
11.2.1 Equipment siting and protection .26
11.2.2 Supporting utilities .26
11.2.3 Cabling security .27
11.2.4 Equipment maintenance .27
11.2.5 Removal of assets .27
11.2.6 Security of equipment and assets off-premises .27
11.2.7 Secure disposal or reuse of equipment .28
11.2.8 Unattended user equipment .28
11.2.9 Clear desk and clear screen policy .28
12 Operations security .29
12.1 Operational procedures and responsibilities .29
12.1.1 Documented operating procedures .29
12.1.2 Change management .29
12.1.3 Capacity management .30
12.1.4 Separation of development, testing and operational environments .30
12.2 Protection from malware .30
12.2.1 Controls against malware .30
12.3 Backup .31
12.3.1 Information backup .31
12.4 Logging and monitoring .31
12.4.1 Event logging .31
12.4.2 Protection of log information .32
12.4.3 Administrator and operator logs .33
12.4.4 Clock synchronisation .34
12.5 Control of operational software .34
12.5.1 Installation of software on operational systems .34
12.6 Technical vulnerability management .34
12.6.1 Management of technical vulnerabilities.34
12.6.2 Restrictions on software installation .35
12.7 Information systems audit considerations .35
12.7.1 Information systems audit controls .35
iv © ISO 2016 – All rights reserved
13 Communications security .35
13.1 Network security management .35
13.1.1 Network controls .35
13.1.2 Security of network services .36
13.1.3 Segregation in networks .36
13.2 Information transfer .36
13.2.1 Information transfer policies and procedures .36
13.2.2 Agreements on information transfer .37
13.2.3 Electronic messaging .37
13.2.4 Confidentiality or non-disclosure agreements .38
14 System acquisition, development and maintenance .38
14.1 Security requirements of information systems .38
14.1.1 Information security requirements analysis and specification .38
14.1.2 Securing application services on public networks .40
14.1.3 Protecting application services transactions .40
14.2 Security in development and support processes .40
14.2.1 Secure development policy .40
14.2.2 System change control procedures .41
14.2.3 Technical review of applications after operating platform changes .41
14.2.4 Restrictions on changes to software packages .41
14.2.5 Secure system engineering principles.42
14.2.6 Secure development environment .42
14.2.7 Outsourced development .42
14.2.8 System security testing .42
14.2.9 System acceptance testing .43
14.3 Test data .43
14.3.1 Protection of test data .43
15 Supplier relationships .43
15.1 Information security in supplier relationships .43
15.1.1 Information security policy for supplier relationships .43
15.1.2 Addressing security within supplier agreements .44
15.1.3 Information and communication technology supply chain .44
15.2 Supplier service delivery management .44
15.2.1 Monitoring and review of supplier services .45
15.2.2 Managing changes to supplier services . .45
16 Information security incident management .45
16.1 Management of information security incidents and improvements .45
16.1.1 Responsibilities and procedures .45
16.1.2 Reporting information security events .45
16.1.3 Reporting information security weaknesses .46
16.1.4 Assessment of and decision on information security events .47
16.1.5 Response to information security incidents .47
16.1.6 Learning from information security incidents .47
16.1.7 Collection of evidence . .47
17 Information security aspects of business continuity management .48
17.1 Information security continuity .48
17.1.1 Planning information security continuity .48
17.1.2 Implementing information security continuity .49
17.1.3 Verify, review and evaluate information security continuity .49
17.2 Redundancies .49
17.2.1 Availability of information processing facilities .49
18 Compliance .50
18.1 Compliance with legal and contractual requirements .50
18.1.1 Identification of applicable legislation and contractual requirements .50
18.1.2 Intellectual property rights .50
18.1.3 Protection of records .50
18.1.4 Privacy and protection of personally identifiable information .51
18.1.5 Regulation of cryptographic controls .52
18.2 Information security reviews .52
18.2.1 Independent review of information security .52
18.2.2 Compliance with security policies and standards .52
18.2.3 Technical compliance review .53
Annex A (informative) Threats to health information security.54
Annex B (informative) Practical action plan for implementing ISO/IEC 27002 in healthcare .59
Annex C (informative) Checklist for conformance to ISO 27799 .72
Bibliography .98
vi © ISO 2016 – All rights reserved
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity
assessment, as well as information about ISO’s adherence to the WTO principles in the Technical
Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 215, Health informatics.
This second edition cancels and replaces the first edition (ISO 27799:2008), which has been technically
revised.
Introduction
This International Standard provides guidance to healthcare organizations and other custodians of
personal health information on how best to protect the confidentiality, integrity and availability of
such information. It is based upon and extends the general guidance provided by ISO/IEC 27002:2013
and addresses the special information security management needs of the health sector and its unique
operating environments. While the protection and security of personal information is important
to all individuals, corporations, institutions and governments, there are special requirements in the
health sector that need to be met to ensure the confidentiality, integrity, auditability and availability
of personal health information. This type of information is regarded by many as being among the most
confidential of all types of personal information. Protecting this confidentiality is essential if the privacy
of subjects of care is to be maintained. The integrity of health information is to be protected to ensure
patient safety, and an important component of that protection is ensuring that the information’s entire
life cycle be fully auditable. The availability of health information is also critical to effective healthcare
delivery. Health informatics systems is to meet unique demands to remain operational in the face of
natural disasters, system failures and denial-of-service attacks. Protecting the confidentiality, integrity
and availability of health information therefore requires health sector specific expertise.
Regardless of size, location and model of service delivery, all healthcare organizations need to have
stringent controls in place to protect the health information entrusted to them. Yet many health
professionals work as solo health providers or in small clinics that lack the dedicated IT resources to
manage information security. Healthcare organizations therefore need clear, concise, and health-care-
specific guidance on the selection and implementation of such controls. This International Standard
is to be adaptable to the wide range of sizes, locations, and models of service delivery found in
healthcare. Finally, with increasing electronic exchange of personal health information between health
professionals (including use of wireless and Internet services), there is a clear benefit in adopting a
common reference for information security management in healthcare.
ISO/IEC 27002 is already being used extensively for health informatics IT security management
through the agency of national or regional guidelines in Australia, Canada, France, the Netherlands,
New Zealand, South Africa, the United Kingdom and elsewhere. ISO 27799 draws upon the experience
gained in these national endeavours in dealing with the security of personal health information and is
intended as a companion document to ISO/IEC 27002. It is not intended to supplant the ISO/IEC 27000-
series of standards. Rather, it is a complement to these more generic standards.
ISO 27799 applies ISO/IEC 27002 to the healthcare domain in a way that carefully considers the
appropriate application of security controls for the purposes of protecting personal health information.
These considerations have, in some cases, led the authors to conclude that application of certain
ISO/IEC 27002 control objectives is essential if personal health information is to be adequately
protected. ISO 27799 therefore places constraints upon the application of certain security controls
specified in ISO/IEC 27002.
All of the security control objectives described in ISO/IEC 27002 are relevant to health informatics,
but some controls require additional explanation in regard to how they can best be used to protect
the confidentiality, integrity and availability of health information. There are also additional health
sector specific requirements. This International Standard provides additional guidance in a format that
persons responsible for health information security can readily understand and adopt.
In the health domain, it is possible for an organization (a hospital, say) to be certified using
ISO/IEC 27001 without requiring certification against or even acknowledgement of ISO 27799. It
is to be hoped, however, that as healthcare organizations strive to improve the security of personal
health information, conformance with ISO 27799 as a stricter standard for healthcare will also become
widespread.
Objectives
Maintaining information confidentiality, availability, and integrity (including authenticity, accountability
and auditability) are the overarching goals of information security. In healthcare, privacy of subjects
of care depends upon maintaining the confidentiality of personal health information. To maintain
viii © ISO 2016 – All rights reserved
confidentiality, measures is also be taken to maintain the integrity of data, if for no other reason than
that it is possible to corrupt the integrity of access control data, audit trails, and other system data in
ways that allow breaches in confidentiality to take place or to go unnoticed. In addition, patient safety
depends upon maintaining the integrity of personal health information, failure to do this can also result
in illness, injury or even death. Likewise, a high level of availability is an especially important attribute
of health systems, where treatment is often time-critical. Indeed, disasters that could lead to outages in
other, non-health related, IT systems may be the very times when the information contained in health
systems is most critically needed. Moreover, denial of service attacks against networked systems are
increasingly common.
The controls discussed in this International Standard are those identified as appropriate in healthcare
to protect confidentiality, integrity and availability of personal health information and to ensure that
access to such information can be audited and accounted for. These controls help to prevent errors
in medical practice that might ensue from failure to maintain the integrity of health information. In
addition, they help to ensure that the continuity of medical services is maintained.
There are additional considerations that shape the goals of health information security. These includes
the following:
a) honouring legislative obligations as expressed in applicable data protection laws and regulations
1)
protecting a subject of care is right to privacy;
b) maintaining established privacy and security best practices in health informatics;
c) maintaining individual and organizational accountability among health organizations and health
professionals;
d) supporting the implementation of systematic risk management within health organizations;
e) meeting the security needs identified in common healthcare situations;
f) reducing operating costs by facilitating the increased use of technology in a safe, secure, and well
managed manner that supports, but does not constrain current health activities;
g) maintaining public trust in health organizations and the information systems these organizations
rely upon;
h) maintaining professional standards and ethics as established by health-related professional
organizations (insofar as information security maintains the confidentiality and integrity of health
information);
i) operating electronic health information systems in an environment appropriately secured against
threats;
j) facilitating interoperability among health systems, since health information increasingly flows
among organizations and across jurisdictional boundaries (especially as such interoperability
enhances the proper handling of health information to ensure its continued confidentiality,
integrity and availability).
2)
Relation to information governance, corporate governance and clinical governance
While health organizations may differ in their positions on clinical governance and corporate
governance, the importance of integrating and attending to information governance ought to be beyond
debate as a vital support to both. As health organizations have become ever more critically dependent
on information systems to support care delivery (e.g. by exploiting decision support technologies and
trends towards “evidence based” rather than “experience based” healthcare), it has become evident that
1) In addition to legal obligations, a wealth of information is available on ethical obligations relating to health
information, the code of ethics of the World Health Organization. These ethical obligations may also, in certain
circumstances, impact health information security policy.
2) Note that in some countries, information governance is referred to as information assurance.
events in which losses of integrity, availability and confidentiality occur may have a significant clinical
impact and that problems arising from such impacts will be seen to represent failures in the ethical and
legal obligations inherent in a “duty of care”.
All countries and jurisdictions will undoubtedly have case studies where such breaches have led to
misdiagnoses, deaths, or protracted recoveries. Clinical governance frameworks need therefore to
treat effective information security risk management as equal in importance to care treatment plans,
infection management strategies and other “core” clinical management matters. This International
Standard will assist those responsible for clinical governance in understanding the contribution made
by effective information security strategies.
Health information to be protected
3)
There are several types of information whose confidentiality, integrity and availability needs to be
protected by
a) personal health information,
b) pseudonymized data derived from personal health information through some methodology for
pseudonymous identification,
c) statistical and research data, including anonymized data derived from personal health information
by removal of personally identifying data,
d) clinical/medical knowledge not related to any specific subjects of care, including clinical decision
support data (e.g. data on adverse drug reactions),
e) data on health professionals, staff and volunteers,
f) information related to public health surveillance,
g) audit trail data, produced by health information systems, that contain personal health information
or pseudonymous data derived from personal health information, or that contain data about the
actions of users in regard to personal health information, and
h) system security data for health information systems, including access control data and other
security related system configuration data, for health information systems.
The extent to which confidentiality, integrity and availability need to be protected depends upon the
nature of the information, the uses to which it is put, and the risks to which it is exposed. For example,
statistical data [item c) above] may not be confidential, but protecting its integrity may be very important.
Likewise, audit trail data [item g) above] might not require high availability (frequent archiving with
a retrieval time measured in hours rather than seconds might suffice in a given application) but its
content might be highly confidential. Risk assessment can properly determine the level of effort needed
to protect confidentiality, integrity and availability (see B.4.4). The results of regular risk assessment
need to be fitted to the priorities and resources of the implementing organization.
Threats and vulnerabilities in health information security
Types of information security threats and vulnerabilities vary widely, as do their descriptions. While
none are truly unique to healthcare, what is unique in healthcare is the array of factors to be considered
when assessing threats and vulnerabilities.
By their nature, health organizations operate in an environment where visitors and the public at large
can never be totally excluded. In large health organizations, the sheer volume of people moving through
operational areas is significant. These factors increase the vulnerability of systems to physical threats.
The likelihood that such threats will occur may increase when emotional or mentally ill subjects of care
or relatives are present.
3) Level of availability depends upon the uses to which the data will be
...
PROJET
NORME ISO/FDIS
FINAL
INTERNATIONALE 27799
ISO/TC 215
Informatique de santé — Management
Secrétariat: ANSI
de la sécurité de l’information relative
Début de vote:
2016-03-17 à la santé en utilisant l’ISO/IEC 27002
Vote clos le:
Health informatics — Information security management in health
2016-05-17
using ISO/IEC 27002
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSER-
Veuillez consulter les notes administratives en page iii
VATIONS, NOTIFICATION DES DROITS DE PRO-
PRIÉTÉ DONT ILS AURAIENT ÉVENTUELLEMENT
CONNAISSANCE ET À FOURNIR UNE DOCUMEN-
TATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
MERCIALES, AINSI QUE DU POINT DE VUE
ISO/FDIS 27799:2016(F)
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTA-
©
TION NATIONALE. ISO 2016
ISO/FDIS 27799:2016(F)
TRAITEMENT PARALLÈLE ISO/CEN
Le présent projet final a été élaboré dans le cadre de l’Organisation internationale de normalisation (ISO) et
soumis selon le mode de collaboration sous la direction de l’ISO, tel que défini dans l’Accord de Vienne. Le
projet final a été établi sur la base des observations reçues lors de l’enquête parallèle sur le projet.
Le projet final est par conséquent soumis aux comités membres de l’ISO et aux comités membres du CEN en
parallèle à un vote d’approbation de deux mois au sein de l’ISO et à un vote formel au sein du CEN.
Les votes positifs ne doivent pas être accompagnés d’observations.
Les votes négatifs doivent être accompagnés des arguments techniques pertinents.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2016, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – Tous droits réservés
ISO/FDIS 27799:2016(F)
Sommaire Page
Avant-propos .vii
Introduction .viii
1 Domaine d’application . 1
2 Références normatives . 2
3 Termes et définitions . 2
4 Structure de la présente Norme internationale . 3
5 Politiques de sécurité de l’information . 4
5.1 Orientations de la direction en matière de sécurité de l’information . 4
5.1.1 Politiques de sécurité de l’information . 4
5.1.2 Revue des politiques de sécurité de l’information . 6
6 Organisation de la sécurité de l’information . 6
6.1 Organisation interne . 6
6.1.1 Fonctions et responsabilités liées à la sécurité de l’information . 6
6.1.2 Séparation des tâches . 7
6.1.3 Relations avec les autorités . 8
6.1.4 Relations avec des groupes de travail spécialisés . 8
6.1.5 La sécurité de l’information dans la gestion de projet . 8
6.2 Appareils mobiles et télétravail . 9
6.2.1 Politique en matière d’appareils mobiles . 9
6.2.2 Télétravail . 9
7 La sécurité des ressources humaines .10
7.1 Avant l’embauche .10
7.1.1 Sélection des candidats .10
7.1.2 Termes et conditions d’embauche .11
7.2 Pendant la durée du contrat .11
7.2.1 Responsabilités de la direction.11
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information .12
7.2.3 Processus disciplinaire .12
7.3 Rupture, terme ou modification du contrat de travail .13
7.3.1 Achèvement ou modification des responsabilités associées au contrat
de travail .13
8 Gestion des actifs.13
8.1 Responsabilités relatives aux actifs .13
8.1.1 Inventaire des actifs .13
8.1.2 Propriété des actifs .14
8.1.3 Utilisation correcte des actifs .14
8.1.4 Restitution des actifs .15
8.2 Classification de l’information .15
8.2.1 Classification des informations .15
8.2.2 Marquage des informations .16
8.2.3 Manipulation des actifs .17
8.3 Manipulation des supports . .17
8.3.1 Gestion des supports amovibles .17
8.3.2 Mise au rebut des supports .18
8.3.3 Transfert physique des supports .18
9 Contrôle d’accès .18
9.1 Exigences métier en matière de contrôle d’accès .18
9.1.1 Politique de contrôle d’accès .18
9.1.2 Accès aux réseaux et aux services en réseau .19
9.2 Gestion de l’accès utilisateur .20
9.2.1 Enregistrement et désinscription des utilisateurs .20
ISO/FDIS 27799:2016(F)
9.2.2 Maîtrise de la gestion des accès utilisateur .21
9.2.3 Gestion des privilèges d’accès .21
9.2.4 Gestion des informations secrètes d’authentification des utilisateurs .22
9.2.5 Revue des droits d’accès utilisateur .22
9.2.6 Suppression ou adaptation des droits d’accès .22
9.3 Responsabilités des utilisateurs .23
9.3.1 Utilisation d’informations secrètes d’authentification .23
9.4 Contrôle de l’accès au système et aux applications .23
9.4.1 Restriction d’accès à l’information .24
9.4.2 Sécuriser les procédures de connexion .24
9.4.3 Système de gestion des mots de passe.24
9.4.4 Utilisation de programmes utilitaires à privilèges .25
9.4.5 Contrôle d’accès au code source des programmes .25
10 Cryptographie .25
10.1 Mesures cryptographiques .25
10.1.1 Politique d’utilisation des mesures cryptographiques .25
10.1.2 Gestion des clés .26
11 Sécurité physique et environnementale .26
11.1 Zones sécurisées .26
11.1.1 Périmètre de sécurité physique .26
11.1.2 Contrôles physiques des accès .27
11.1.3 Sécurisation des bureaux, des salles et des équipements .27
11.1.4 Protection contre les menaces extérieures et environnementales .27
11.1.5 Travail dans les zones sécurisées .27
11.1.6 Zones de livraison et de chargement .28
11.2 Matériels .28
11.2.1 Emplacement et protection du matériel.28
11.2.2 Services généraux .29
11.2.3 Sécurité du câblage .29
11.2.4 Maintenance du matériel .29
11.2.5 Sortie des actifs .29
11.2.6 Sécurité du matériel et des actifs hors des locaux .30
11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel .30
11.2.8 Matériel utilisateur laissé sans surveillance .31
11.2.9 Politique du bureau propre et de l’écran vide .31
12 Sécurité liée à l’exploitation .31
12.1 Procédures et responsabilités liées à l’exploitation.31
12.1.1 Procédures d’exploitation documentées . .31
12.1.2 Gestion des changements .32
12.1.3 Dimensionnement .32
12.1.4 Séparation des environnements de développement, de test et d’exploitation .32
12.2 Protection contre les logiciels malveillants .33
12.2.1 Mesures contre les logiciels malveillants .33
12.3 Sauvegarde .33
12.3.1 Sauvegarde des informations .33
12.4 Journalisation et surveillance .34
12.4.1 Journalisation des événements .34
12.4.2 Protection de l’information journalisée .35
12.4.3 Journaux administrateur et opérateur .36
12.4.4 Synchronisation des horloges .37
12.5 Maîtrise des logiciels en exploitation .37
12.5.1 Installation de logiciels sur des systèmes en exploitation .37
12.6 Gestion des vulnérabilités techniques .37
12.6.1 Gestion des vulnérabilités techniques .37
12.6.2 Restrictions liées à l’installation de logiciels .38
12.7 Considérations sur l’audit du système d’information .38
12.7.1 Mesures relatives à l’audit des systèmes d’information .38
iv © ISO 2016 – Tous droits réservés
ISO/FDIS 27799:2016(F)
13 Sécurité des communications .38
13.1 Management de la sécurité des réseaux .38
13.1.1 Contrôle des réseaux .38
13.1.2 Sécurité des services de réseau.39
13.1.3 Cloisonnement des réseaux .39
13.2 Transfert de l’information .39
13.2.1 Politiques et procédures de transfert de l’information .39
13.2.2 Accords en matière de transfert d’information .40
13.2.3 Messagerie électronique .40
13.2.4 Engagements de confidentialité ou de non-divulgation .41
14 Acquisition, développement et maintenance des systèmes d’information .41
14.1 Exigences de sécurité applicables aux systèmes d’information .41
14.1.1 Analyse et spécification des exigences de sécurité de l’information .41
14.1.2 Sécurisation des services d’application sur les réseaux publics .43
14.1.3 Protection des transactions liées aux services d’application .43
14.2 Sécurité des processus de développement et d’assistance technique .44
14.2.1 Politique de développement sécurisé .44
14.2.2 Procédures de contrôle des changements apportés au système .44
14.2.3 Revue technique des applications après changement apporté à la
plateforme d’exploitation .44
14.2.4 Restrictions relatives aux changements apportés aux progiciels .45
14.2.5 Principes d’ingénierie de la sécurité des systèmes .45
14.2.6 Environnement de développement sécurisé .45
14.2.7 Développement externalisé .45
14.2.8 Phase de test de la sécurité du système .46
14.2.9 Test de conformité du système .46
14.3 Données de test .46
14.3.1 Protection des données de test .46
15 Relations avec les fournisseurs .47
15.1 Sécurité de l’information dans les relations avec les fournisseurs .47
15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs .47
15.1.2 La sécurité dans les accords conclus avec les fournisseurs .47
15.1.3 Chaîne d’approvisionnement informatique .48
15.2 Gestion de la prestation du service .48
15.2.1 Surveillance et revue des services des fournisseurs .48
15.2.2 Gestion des changements apportés dans les services des fournisseurs .48
16 Gestion des incidents liés à la sécurité de l’information .49
16.1 Gestion des incidents liés à la sécurité de l’information et améliorations .49
16.1.1 Responsabilités et procédures .49
16.1.2 Signalement des événements liés à la sécurité de l’information .49
16.1.3 Signalement des failles liées à la sécurité de l’information .50
16.1.4 Appréciation des événements liés à la sécurité de l’information et prise
de décision .50
16.1.5 Réponse aux incidents liés à la sécurité de l’information .51
16.1.6 Tirer des enseignements des incidents liés à la sécurité de l’information .51
16.1.7 Recueil de preuves .51
17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité .52
17.1 Continuité de la sécurité de l’information .52
17.1.1 Organisation de la continuité de la sécurité de l’information .52
17.1.2 Mise en œuvre de la continuité de la sécurité de l’information .53
17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l’information .53
17.2 Redondances .53
17.2.1 Disponibilité des moyens de traitement de l’information .53
18 Conformité .54
18.1 Conformité aux obligations légales et réglementaires .54
18.1.1 Identification de la législation et des exigences contractuelles applicables .54
ISO/FDIS 27799:2016(F)
18.1.2 Droits de propriété intellectuelle .54
18.1.3 Protection des enregistrements .54
18.1.4 Protection de la vie privée et protection des données à caractère personnel .55
18.1.5 Réglementation relative aux mesures cryptographiques .56
18.2 Revue de la sécurité de l’information .56
18.2.1 Revue indépendante de la sécurité de l’information .56
18.2.2 Conformité avec les politiques et les normes de sécurité .56
18.2.3 Examen de la conformité technique .57
Annexe A (informative) Menaces pesant sur la sécurité des informations de santé .58
Annexe B (informative) Plan d’action pratique pour la mise en œuvre de l’ISO/IEC 27002
dans le domaine de la santé .63
Annexe C (informative) Lise de vérification de la conformité à l’ISO 27799.78
Bibliographie .99
vi © ISO 2016 – Tous droits réservés
ISO/FDIS 27799:2016(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou sur la liste ISO des déclarations de
brevets reçues (voir www.iso.org/brevets).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’intention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, aussi bien que pour des informations au sujet de l’adhésion de l’ISO aux principes de
l’OMC concernant les obstacles techniques au commerce (OTC) voir le lien suivant: Avant-propos —
Informations supplémentaires.
Le comité chargé de l’élaboration du présent document est l’ISO/TC 215, Informatique de santé
Cette deuxième édition annule et remplace la première édition (ISO 27799:2008), qui a fait l’objet d’une
révision technique.
ISO/FDIS 27799:2016(F)
Introduction
La présente Norme internationale fournit des préconisations aux organismes de santé et aux autres
dépositaires d’informations personnelles de santé sur la meilleure façon de protéger la confidentialité,
l’intégrité et la disponibilité de ces informations. Elle s’appuie sur les lignes directrices générales
fournies par l’ISO/IEC 27002:2013 et les étend en traitant des besoins en matière de management de
la sécurité de l’information propres au secteur de la santé et à son environnement de mise en œuvre
particulier. Même si la protection et la sécurité des informations personnelles sont importantes pour
l’ensemble des individus, des entreprises, des institutions et des gouvernements, il existe, dans le
secteur de la santé, des exigences particulières à respecter pour assurer la confidentialité, l’intégrité,
l’auditabilité et la disponibilité des informations personnelles de santé. Beaucoup considèrent que ces
informations comptent parmi les informations personnelles les plus confidentielles. La protection de
cette confidentialité est essentielle chaque fois que le respect de la vie privée des sujets de soins doit
être assuré. Il est nécessaire de protéger l’intégrité des informations de santé afin d’assurer la sécurité
des patients. L’un des principes clés de cette protection est de pouvoir garantir que le cycle de vie
complet de l’information est auditable de bout en bout. La disponibilité des informations de santé a
également un caractère critique pour la prestation efficace de soins de santé. Il est nécessaire que les
systèmes d’information de santé répondent à des demandes particulières afin de rester opérationnels
en cas de catastrophes naturelles, de défaillances du système ou d’attaques par déni de service. Protéger
la confidentialité, l’intégrité et la disponibilité des informations de santé nécessite donc une expertise
spécifique du secteur de la santé.
Quels que soient leur taille, leur situation ou les types de prestations qu’ils fournissent, tous les organismes
de santé ont besoin de mettre en œuvre des mesures strictes pour protéger les informations de santé
qui leur sont confiées. Pourtant, beaucoup de professionnels de la santé exercent de manière isolée ou
dans de petites cliniques qui ne disposent pas des ressources informatiques nécessaires pour assurer
le management de la sécurité de l’information. Les organismes de santé ont donc besoin de définir des
préconisations claires, concises et particulières au secteur de la santé pour la sélection et la mise en œuvre
de telles mesures. Il est nécessaire que la présente Norme internationale s’adapte à toutes les tailles,
toutes les situations et tous les types de prestations fournis en soins de santé. Enfin, l’accroissement des
échanges électroniques d’informations personnelles de santé entre professionnels de la santé (y compris
l’utilisation de services Internet et sans fil) justifie l’utilité de l’adoption d’une référence commune en
matière de management de la sécurité de l’information dans le domaine de la santé.
L’ISO/IEC 27002 est déjà largement déployée pour le management de la sécurité de l’informatique
de santé par l’intermédiaire de directives nationales ou régionales en Afrique du Sud, en Australie,
au Canada, en France, en Nouvelle-Zélande, aux Pays-Bas, au Royaume-Uni et dans d’autres pays.
L’ISO 27799 s’appuie sur l’expérience acquise au cours de ces expérimentations nationales dans le
management de la sécurité des informations personnelles de santé et se présente comme un document
complémentaire de la norme ISO/IEC 27002. Elle n’a pas pour objectif de supplanter la série de normes
ISO/IEC 27000-, mais plutôt de compléter ces normes plus générales.
L’ISO 27799 transpose l’ISO/IEC 27002 au domaine de la santé en prenant soin de considérer l’application
appropriée des mesures de sécurité dans l’objectif de la protection des informations personnelles
de santé. Dans certains cas, ces considérations ont conduit les auteurs à conclure que l’application
de certains objectifs de sécurité de l’ISO/IEC 27002 est essentielle pour protéger les informations
personnelles de santé de manière adéquate. L’ISO 27799 contraint ainsi à mettre en œuvre certaines
mesures de sécurité spécifiées dans l’ISO/IEC 27002.
Tous les objectifs de sécurité décrits dans l’ISO/IEC 27002 sont applicables à l’informatique de santé,
mais certaines mesures nécessitent des explications supplémentaires sur la façon de les optimiser afin
de protéger la confidentialité, l’intégrité et la disponibilité des informations de santé. Il existe également
des exigences supplémentaires spécifiques du secteur de la santé. La présente Norme internationale
fournit des préconisations supplémentaires dans un format que les personnes responsables de la
sécurité des informations de santé peuvent aisément comprendre et adopter.
Dans le domaine de la santé, un organisme (par exemple un hôpital) peut être certifié conformément
à l’ISO/IEC 27001 sans devoir être certifié, ni même reconnu, selon l’ISO 27799. On espère toutefois qu’à
viii © ISO 2016 – Tous droits réservés
ISO/FDIS 27799:2016(F)
mesure que les organismes de santé s’efforcent d’améliorer la sécurité des informations personnelles
de santé, la conformité à l’ISO 27799 se généralisera en tant que norme plus rigoureuse dans le domaine
de la santé.
Objectifs
Les principaux objectifs de la sécurité de l’information résident dans la protection de la confidentialité, de
la disponibilité et de l’intégrité (y compris l’authenticité, l’imputabilité et l’auditabilité) des informations.
Dans le domaine de la santé, le respect de la vie privée des sujets de soins dépend de la protection
de la confidentialité des informations personnelles de santé. Afin de protéger cette confidentialité, il
est également nécessaire de prendre des mesures pour préserver l’intégrité des données, ne serait-
ce que parce qu’il est possible de corrompre l’intégrité des données de contrôle d’accès, des systèmes
de traçabilité et d’autres données système par le biais de techniques permettant la violation de la
confidentialité et ce, de manière parfois totalement invisible. De plus, la sécurité des patients dépend
de la protection de l’intégrité des informations personnelles de santé. L’absence de protection peut
également entraîner des maladies, des blessures, voire la mort. De même, une disponibilité élevée des
informations est une qualité très importante pour les systèmes de santé puisque le temps est souvent
un facteur primordial dans l’administration des traitements. En effet, des catastrophes susceptibles de
provoquer des interruptions de service dans des systèmes informatiques ne relevant pas du domaine de
la santé peuvent coïncider avec le moment où l’obtention des informations contenues dans les systèmes
de santé est d’une importance capitale. De même, les attaques par déni de service contre les systèmes
en réseau sont de plus en plus fréquentes.
Les mesures abordées dans la présente Norme internationale ont été identifiées comme appropriées
aux soins de santé, afin de protéger la confidentialité, l’intégrité et la disponibilité des informations
personnelles de santé et de garantir l’auditabilité et l’imputabilité de l’accès à ces informations. Ces
mesures contribuent à éviter les erreurs médicales susceptibles de se produire lorsque l’intégrité des
informations de santé n’a pas pu être préservée. Elles contribuent également à garantir la continuité
des services médicaux proposés.
Des considérations supplémentaires déterminent les objectifs relatifs à la sécurité des informations de
santé. Elles comprennent les aspects suivants:
a) l’observation des obligations légales, telles qu’exprimées dans les lois et les réglementations
relatives à la protection des données, applicables à la protection du respect de la vie privée d’un
1)
sujet de soins ;
b) le maintien dudit respect de la vie privée et des meilleures pratiques de sécurité dans le domaine de
l’informatique de santé;
c) le maintien de l’imputabilité de chacun et de l’organisme au sein de l’ensemble des organismes et
des professionnels de la santé;
d) le soutien à la mise en œuvre du management systématique des risques au sein des organismes
de santé;
e) la réponse aux besoins en matière de sécurité identifiés lors de situations de soins de santé
communes;
f) la diminution des coûts d’exploitation en facilitant l’utilisation croissante de la technologie dans
un environnement sûr, sécurisé et bien géré qui soutient, sans les entraver, les activités de soins de
santé en cours;
g) le maintien de la confiance du public dans les organismes de santé ainsi que dans les systèmes
d’information sur lesquels reposent ces organismes;
1) Outre les obligations légales, une importante source d’informations sur les obligations éthiques relatives aux
informations de santé, le code d’éthique de l’OMS, est disponible. Ces obligations éthiques peuvent dans certains cas
avoir des répercussions sur la politique de sécurité des informations de santé.
ISO/FDIS 27799:2016(F)
h) le respect des normes professionnelles et de la déontologie, telles que les organismes professionnels
liés à la santé les ont établies (dans la mesure où la sécurité de l’information préserve la
confidentialité et l’intégrité des informations de santé);
i) l’exploitation des systèmes électroniques d’information de santé au sein d’un environnement
correctement sécurisé contre les menaces;
j) le soutien à l’interopérabilité entre les systèmes de santé, étant donné que les informations de
santé circulent de plus en plus entre les organismes et au-delà des frontières juridictionnelles
(particulièrement quand une telle interopérabilité renforce la bonne gestion des informations
de santé dans le but de garantir la continuité de leur confidentialité, de leur intégrité et de leur
disponibilité).
2)
Lien avec la gouvernance de l’information , la gouvernance d’entreprise et la gouvernance clinique
Alors que les organismes de santé peuvent adopter des positions différentes à propos de la gouvernance
clinique et de la gouvernance d’entreprise, l’importance de l’intégration et du suivi de la gouvernance
de l’information devrait transcender le débat en tant qu’élément essentiel aux deux premières. Tandis
que les organismes de santé deviennent de plus en plus dépendants des systèmes d’information pour
l’administration de soins (en exploitant, par exemple, les technologies d’aide à la prise de décision ou
en s’appuyant davantage sur des soins de santé fondés sur des preuves plutôt que sur l’expérience),
il semble de plus en plus évident que les pertes d’intégrité, de disponibilité et de confidentialité ont
des conséquences cliniques importantes. Les problèmes issus de ces conséquences seront considérés
comme des manquements aux obligations éthiques et légales inhérentes à l’obligation de diligence.
Tous les pays et toutes les juridictions disposent sans aucun doute d’études de cas dans lesquelles
ces failles ont conduit à des erreurs de diagnostic, à des décès ou à des rétablissements retardés. Il
est donc nécessaire que les fondements de la gouvernance clinique accordent autant d’importance au
management efficace du risque relatif à la sécurité de l’information qu’aux programmes d’administration
de soins, stratégies de gestion des infections et autres problèmes de gestion purement cliniques. La
présente Norme internationale aidera les responsables de la gouvernance clinique à comprendre la
contribution apportée par des stratégies de sécurité de l’information efficaces.
Informations de santé à protéger
3)
Il existe plusieurs types d’informations dont la confidentialité, l’intégrité et la disponibilité ont besoin
d’être protégée
...
NORME ISO
INTERNATIONALE 27799
Deuxième édition
2016-07-01
Informatique de santé — Management
de la sécurité de l’information relative
à la santé en utilisant l’ISO/IEC 27002
Health informatics — Information security management in health
using ISO/IEC 27002
Numéro de référence
©
ISO 2016
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2016, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – Tous droits réservés
Sommaire Page
Avant-propos .vii
Introduction .viii
1 Domaine d’application . 1
2 Références normatives . 2
3 Termes et définitions . 2
4 Structure de la présente Norme internationale . 3
5 Politiques de sécurité de l’information . 4
5.1 Orientations de la direction en matière de sécurité de l’information . 4
5.1.1 Politiques de sécurité de l’information . 4
5.1.2 Revue des politiques de sécurité de l’information . 6
6 Organisation de la sécurité de l’information . 6
6.1 Organisation interne . 6
6.1.1 Fonctions et responsabilités liées à la sécurité de l’information . 6
6.1.2 Séparation des tâches . 7
6.1.3 Relations avec les autorités . 8
6.1.4 Relations avec des groupes de travail spécialisés . 8
6.1.5 La sécurité de l’information dans la gestion de projet . 8
6.2 Appareils mobiles et télétravail . 9
6.2.1 Politique en matière d’appareils mobiles . 9
6.2.2 Télétravail . 9
7 La sécurité des ressources humaines .10
7.1 Avant l’embauche .10
7.1.1 Sélection des candidats .10
7.1.2 Termes et conditions d’embauche .11
7.2 Pendant la durée du contrat .11
7.2.1 Responsabilités de la direction.11
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information .12
7.2.3 Processus disciplinaire .12
7.3 Rupture, terme ou modification du contrat de travail .13
7.3.1 Achèvement ou modification des responsabilités associées au contrat
de travail .13
8 Gestion des actifs.13
8.1 Responsabilités relatives aux actifs .13
8.1.1 Inventaire des actifs .13
8.1.2 Propriété des actifs .14
8.1.3 Utilisation correcte des actifs .14
8.1.4 Restitution des actifs .15
8.2 Classification de l’information .15
8.2.1 Classification des informations .15
8.2.2 Marquage des informations .16
8.2.3 Manipulation des actifs .17
8.3 Manipulation des supports . .17
8.3.1 Gestion des supports amovibles .17
8.3.2 Mise au rebut des supports .18
8.3.3 Transfert physique des supports .18
9 Contrôle d’accès .18
9.1 Exigences métier en matière de contrôle d’accès .18
9.1.1 Politique de contrôle d’accès .18
9.1.2 Accès aux réseaux et aux services en réseau .19
9.2 Gestion de l’accès utilisateur .20
9.2.1 Enregistrement et désinscription des utilisateurs .20
9.2.2 Maîtrise de la gestion des accès utilisateur .21
9.2.3 Gestion des privilèges d’accès .21
9.2.4 Gestion des informations secrètes d’authentification des utilisateurs .22
9.2.5 Revue des droits d’accès utilisateur .22
9.2.6 Suppression ou adaptation des droits d’accès .22
9.3 Responsabilités des utilisateurs .23
9.3.1 Utilisation d’informations secrètes d’authentification .23
9.4 Contrôle de l’accès au système et aux applications .23
9.4.1 Restriction d’accès à l’information .24
9.4.2 Sécuriser les procédures de connexion .24
9.4.3 Système de gestion des mots de passe.24
9.4.4 Utilisation de programmes utilitaires à privilèges .25
9.4.5 Contrôle d’accès au code source des programmes .25
10 Cryptographie .25
10.1 Mesures cryptographiques .25
10.1.1 Politique d’utilisation des mesures cryptographiques .25
10.1.2 Gestion des clés .26
11 Sécurité physique et environnementale .26
11.1 Zones sécurisées .26
11.1.1 Périmètre de sécurité physique .26
11.1.2 Contrôles physiques des accès .27
11.1.3 Sécurisation des bureaux, des salles et des équipements .27
11.1.4 Protection contre les menaces extérieures et environnementales .27
11.1.5 Travail dans les zones sécurisées .27
11.1.6 Zones de livraison et de chargement .28
11.2 Matériels .28
11.2.1 Emplacement et protection du matériel.28
11.2.2 Services généraux .29
11.2.3 Sécurité du câblage .29
11.2.4 Maintenance du matériel .29
11.2.5 Sortie des actifs .29
11.2.6 Sécurité du matériel et des actifs hors des locaux .30
11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel .30
11.2.8 Matériel utilisateur laissé sans surveillance .31
11.2.9 Politique du bureau propre et de l’écran vide .31
12 Sécurité liée à l’exploitation .31
12.1 Procédures et responsabilités liées à l’exploitation.31
12.1.1 Procédures d’exploitation documentées . .31
12.1.2 Gestion des changements .32
12.1.3 Dimensionnement .32
12.1.4 Séparation des environnements de développement, de test et d’exploitation .32
12.2 Protection contre les logiciels malveillants .33
12.2.1 Mesures contre les logiciels malveillants .33
12.3 Sauvegarde .33
12.3.1 Sauvegarde des informations .33
12.4 Journalisation et surveillance .34
12.4.1 Journalisation des événements .34
12.4.2 Protection de l’information journalisée .35
12.4.3 Journaux administrateur et opérateur .36
12.4.4 Synchronisation des horloges .37
12.5 Maîtrise des logiciels en exploitation .37
12.5.1 Installation de logiciels sur des systèmes en exploitation .37
12.6 Gestion des vulnérabilités techniques .37
12.6.1 Gestion des vulnérabilités techniques .37
12.6.2 Restrictions liées à l’installation de logiciels .38
12.7 Considérations sur l’audit du système d’information .38
12.7.1 Mesures relatives à l’audit des systèmes d’information .38
iv © ISO 2016 – Tous droits réservés
13 Sécurité des communications .38
13.1 Management de la sécurité des réseaux .38
13.1.1 Contrôle des réseaux .38
13.1.2 Sécurité des services de réseau.39
13.1.3 Cloisonnement des réseaux .39
13.2 Transfert de l’information .39
13.2.1 Politiques et procédures de transfert de l’information .39
13.2.2 Accords en matière de transfert d’information .40
13.2.3 Messagerie électronique .40
13.2.4 Engagements de confidentialité ou de non-divulgation .41
14 Acquisition, développement et maintenance des systèmes d’information .41
14.1 Exigences de sécurité applicables aux systèmes d’information .41
14.1.1 Analyse et spécification des exigences de sécurité de l’information .41
14.1.2 Sécurisation des services d’application sur les réseaux publics .43
14.1.3 Protection des transactions liées aux services d’application .43
14.2 Sécurité des processus de développement et d’assistance technique .44
14.2.1 Politique de développement sécurisé .44
14.2.2 Procédures de contrôle des changements apportés au système .44
14.2.3 Revue technique des applications après changement apporté à la
plateforme d’exploitation .44
14.2.4 Restrictions relatives aux changements apportés aux progiciels .45
14.2.5 Principes d’ingénierie de la sécurité des systèmes .45
14.2.6 Environnement de développement sécurisé .45
14.2.7 Développement externalisé .45
14.2.8 Phase de test de la sécurité du système .46
14.2.9 Test de conformité du système .46
14.3 Données de test .46
14.3.1 Protection des données de test .46
15 Relations avec les fournisseurs .47
15.1 Sécurité de l’information dans les relations avec les fournisseurs .47
15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs .47
15.1.2 La sécurité dans les accords conclus avec les fournisseurs .47
15.1.3 Chaîne d’approvisionnement informatique .48
15.2 Gestion de la prestation du service .48
15.2.1 Surveillance et revue des services des fournisseurs .48
15.2.2 Gestion des changements apportés dans les services des fournisseurs .48
16 Gestion des incidents liés à la sécurité de l’information .49
16.1 Gestion des incidents liés à la sécurité de l’information et améliorations .49
16.1.1 Responsabilités et procédures .49
16.1.2 Signalement des événements liés à la sécurité de l’information .49
16.1.3 Signalement des failles liées à la sécurité de l’information .50
16.1.4 Appréciation des événements liés à la sécurité de l’information et prise
de décision .50
16.1.5 Réponse aux incidents liés à la sécurité de l’information .51
16.1.6 Tirer des enseignements des incidents liés à la sécurité de l’information .51
16.1.7 Recueil de preuves .51
17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité .52
17.1 Continuité de la sécurité de l’information .52
17.1.1 Organisation de la continuité de la sécurité de l’information .52
17.1.2 Mise en œuvre de la continuité de la sécurité de l’information .53
17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l’information .53
17.2 Redondances .53
17.2.1 Disponibilité des moyens de traitement de l’information .53
18 Conformité .54
18.1 Conformité aux obligations légales et réglementaires .54
18.1.1 Identification de la législation et des exigences contractuelles applicables .54
18.1.2 Droits de propriété intellectuelle .54
18.1.3 Protection des enregistrements .54
18.1.4 Protection de la vie privée et protection des données à caractère personnel .55
18.1.5 Réglementation relative aux mesures cryptographiques .56
18.2 Revue de la sécurité de l’information .56
18.2.1 Revue indépendante de la sécurité de l’information .56
18.2.2 Conformité avec les politiques et les normes de sécurité .56
18.2.3 Examen de la conformité technique .57
Annexe A (informative) Menaces pesant sur la sécurité des informations de santé .58
Annexe B (informative) Plan d’action pratique pour la mise en œuvre de l’ISO/IEC 27002
dans le domaine de la santé .63
Annexe C (informative) Lise de vérification de la conformité à l’ISO 27799.78
Bibliographie .99
vi © ISO 2016 – Tous droits réservés
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou sur la liste ISO des déclarations de
brevets reçues (voir www.iso.org/brevets).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’intention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, aussi bien que pour des informations au sujet de l’adhésion de l’ISO aux principes de
l’OMC concernant les obstacles techniques au commerce (OTC) voir le lien suivant: Avant-propos —
Informations supplémentaires.
Le comité chargé de l’élaboration du présent document est l’ISO/TC 215, Informatique de santé
Cette deuxième édition annule et remplace la première édition (ISO 27799:2008), qui a fait l’objet d’une
révision technique.
Introduction
La présente Norme internationale fournit des préconisations aux organismes de santé et aux autres
dépositaires d’informations personnelles de santé sur la meilleure façon de protéger la confidentialité,
l’intégrité et la disponibilité de ces informations. Elle s’appuie sur les lignes directrices générales
fournies par l’ISO/IEC 27002:2013 et les étend en traitant des besoins en matière de management de
la sécurité de l’information propres au secteur de la santé et à son environnement de mise en œuvre
particulier. Même si la protection et la sécurité des informations personnelles sont importantes pour
l’ensemble des individus, des entreprises, des institutions et des gouvernements, il existe, dans le
secteur de la santé, des exigences particulières à respecter pour assurer la confidentialité, l’intégrité,
l’auditabilité et la disponibilité des informations personnelles de santé. Beaucoup considèrent que ces
informations comptent parmi les informations personnelles les plus confidentielles. La protection de
cette confidentialité est essentielle chaque fois que le respect de la vie privée des sujets de soins doit
être assuré. Il est nécessaire de protéger l’intégrité des informations de santé afin d’assurer la sécurité
des patients. L’un des principes clés de cette protection est de pouvoir garantir que le cycle de vie
complet de l’information est auditable de bout en bout. La disponibilité des informations de santé a
également un caractère critique pour la prestation efficace de soins de santé. Il est nécessaire que les
systèmes d’information de santé répondent à des demandes particulières afin de rester opérationnels
en cas de catastrophes naturelles, de défaillances du système ou d’attaques par déni de service. Protéger
la confidentialité, l’intégrité et la disponibilité des informations de santé nécessite donc une expertise
spécifique du secteur de la santé.
Quels que soient leur taille, leur situation ou les types de prestations qu’ils fournissent, tous les organismes
de santé ont besoin de mettre en œuvre des mesures strictes pour protéger les informations de santé
qui leur sont confiées. Pourtant, beaucoup de professionnels de la santé exercent de manière isolée ou
dans de petites cliniques qui ne disposent pas des ressources informatiques nécessaires pour assurer
le management de la sécurité de l’information. Les organismes de santé ont donc besoin de définir des
préconisations claires, concises et particulières au secteur de la santé pour la sélection et la mise en œuvre
de telles mesures. Il est nécessaire que la présente Norme internationale s’adapte à toutes les tailles,
toutes les situations et tous les types de prestations fournis en soins de santé. Enfin, l’accroissement des
échanges électroniques d’informations personnelles de santé entre professionnels de la santé (y compris
l’utilisation de services Internet et sans fil) justifie l’utilité de l’adoption d’une référence commune en
matière de management de la sécurité de l’information dans le domaine de la santé.
L’ISO/IEC 27002 est déjà largement déployée pour le management de la sécurité de l’informatique
de santé par l’intermédiaire de directives nationales ou régionales en Afrique du Sud, en Australie,
au Canada, en France, en Nouvelle-Zélande, aux Pays-Bas, au Royaume-Uni et dans d’autres pays.
L’ISO 27799 s’appuie sur l’expérience acquise au cours de ces expérimentations nationales dans le
management de la sécurité des informations personnelles de santé et se présente comme un document
complémentaire de la norme ISO/IEC 27002. Elle n’a pas pour objectif de supplanter la série de normes
ISO/IEC 27000-, mais plutôt de compléter ces normes plus générales.
L’ISO 27799 transpose l’ISO/IEC 27002 au domaine de la santé en prenant soin de considérer l’application
appropriée des mesures de sécurité dans l’objectif de la protection des informations personnelles
de santé. Dans certains cas, ces considérations ont conduit les auteurs à conclure que l’application
de certains objectifs de sécurité de l’ISO/IEC 27002 est essentielle pour protéger les informations
personnelles de santé de manière adéquate. L’ISO 27799 contraint ainsi à mettre en œuvre certaines
mesures de sécurité spécifiées dans l’ISO/IEC 27002.
Tous les objectifs de sécurité décrits dans l’ISO/IEC 27002 sont applicables à l’informatique de santé,
mais certaines mesures nécessitent des explications supplémentaires sur la façon de les optimiser afin
de protéger la confidentialité, l’intégrité et la disponibilité des informations de santé. Il existe également
des exigences supplémentaires spécifiques du secteur de la santé. La présente Norme internationale
fournit des préconisations supplémentaires dans un format que les personnes responsables de la
sécurité des informations de santé peuvent aisément comprendre et adopter.
Dans le domaine de la santé, un organisme (par exemple un hôpital) peut être certifié conformément
à l’ISO/IEC 27001 sans devoir être certifié, ni même reconnu, selon l’ISO 27799. On espère toutefois qu’à
viii © ISO 2016 – Tous droits réservés
mesure que les organismes de santé s’efforcent d’améliorer la sécurité des informations personnelles
de santé, la conformité à l’ISO 27799 se généralisera en tant que norme plus rigoureuse dans le domaine
de la santé.
Objectifs
Les principaux objectifs de la sécurité de l’information résident dans la protection de la confidentialité, de
la disponibilité et de l’intégrité (y compris l’authenticité, l’imputabilité et l’auditabilité) des informations.
Dans le domaine de la santé, le respect de la vie privée des sujets de soins dépend de la protection
de la confidentialité des informations personnelles de santé. Afin de protéger cette confidentialité, il
est également nécessaire de prendre des mesures pour préserver l’intégrité des données, ne serait-
ce que parce qu’il est possible de corrompre l’intégrité des données de contrôle d’accès, des systèmes
de traçabilité et d’autres données système par le biais de techniques permettant la violation de la
confidentialité et ce, de manière parfois totalement invisible. De plus, la sécurité des patients dépend
de la protection de l’intégrité des informations personnelles de santé. L’absence de protection peut
également entraîner des maladies, des blessures, voire la mort. De même, une disponibilité élevée des
informations est une qualité très importante pour les systèmes de santé puisque le temps est souvent
un facteur primordial dans l’administration des traitements. En effet, des catastrophes susceptibles de
provoquer des interruptions de service dans des systèmes informatiques ne relevant pas du domaine de
la santé peuvent coïncider avec le moment où l’obtention des informations contenues dans les systèmes
de santé est d’une importance capitale. De même, les attaques par déni de service contre les systèmes
en réseau sont de plus en plus fréquentes.
Les mesures abordées dans la présente Norme internationale ont été identifiées comme appropriées
aux soins de santé, afin de protéger la confidentialité, l’intégrité et la disponibilité des informations
personnelles de santé et de garantir l’auditabilité et l’imputabilité de l’accès à ces informations. Ces
mesures contribuent à éviter les erreurs médicales susceptibles de se produire lorsque l’intégrité des
informations de santé n’a pas pu être préservée. Elles contribuent également à garantir la continuité
des services médicaux proposés.
Des considérations supplémentaires déterminent les objectifs relatifs à la sécurité des informations de
santé. Elles comprennent les aspects suivants:
a) l’observation des obligations légales, telles qu’exprimées dans les lois et les réglementations
relatives à la protection des données, applicables à la protection du respect de la vie privée d’un
1)
sujet de soins ;
b) le maintien dudit respect de la vie privée et des meilleures pratiques de sécurité dans le domaine de
l’informatique de santé;
c) le maintien de l’imputabilité de chacun et de l’organisme au sein de l’ensemble des organismes et
des professionnels de la santé;
d) le soutien à la mise en œuvre du management systématique des risques au sein des organismes
de santé;
e) la réponse aux besoins en matière de sécurité identifiés lors de situations de soins de santé
communes;
f) la diminution des coûts d’exploitation en facilitant l’utilisation croissante de la technologie dans
un environnement sûr, sécurisé et bien géré qui soutient, sans les entraver, les activités de soins de
santé en cours;
g) le maintien de la confiance du public dans les organismes de santé ainsi que dans les systèmes
d’information sur lesquels reposent ces organismes;
1) Outre les obligations légales, une importante source d’informations sur les obligations éthiques relatives aux
informations de santé, le code d’éthique de l’OMS, est disponible. Ces obligations éthiques peuvent dans certains cas
avoir des répercussions sur la politique de sécurité des informations de santé.
h) le respect des normes professionnelles et de la déontologie, telles que les organismes professionnels
liés à la santé les ont établies (dans la mesure où la sécurité de l’information préserve la
confidentialité et l’intégrité des informations de santé);
i) l’exploitation des systèmes électroniques d’information de santé au sein d’un environnement
correctement sécurisé contre les menaces;
j) le soutien à l’interopérabilité entre les systèmes de santé, étant donné que les informations de
santé circulent de plus en plus entre les organismes et au-delà des frontières juridictionnelles
(particulièrement quand une telle interopérabilité renforce la bonne gestion des informations
de santé dans le but de garantir la continuité de leur confidentialité, de leur intégrité et de leur
disponibilité).
2)
Lien avec la gouvernance de l’information , la gouvernance d’entreprise et la gouvernance clinique
Alors que les organismes de santé peuvent adopter des positions différentes à propos de la gouvernance
clinique et de la gouvernance d’entreprise, l’importance de l’intégration et du suivi de la gouvernance
de l’information devrait transcender le débat en tant qu’élément essentiel aux deux premières. Tandis
que les organismes de santé deviennent de plus en plus dépendants des systèmes d’information pour
l’administration de soins (en exploitant, par exemple, les technologies d’aide à la prise de décision ou
en s’appuyant davantage sur des soins de santé fondés sur des preuves plutôt que sur l’expérience),
il semble de plus en plus évident que les pertes d’intégrité, de disponibilité et de confidentialité ont
des conséquences cliniques importantes. Les problèmes issus de ces conséquences seront considérés
comme des manquements aux obligations éthiques et légales inhérentes à l’obligation de diligence.
Tous les pays et toutes les juridictions disposent sans aucun doute d’études de cas dans lesquelles
ces failles ont conduit à des erreurs de diagnostic, à des décès ou à des rétablissements retardés. Il
est donc nécessaire que les fondements de la gouvernance clinique accordent autant d’importance au
management efficace du risque relatif à la sécurité de l’information qu’aux programmes d’administration
de soins, stratégies de gestion des infections et autres problèmes de gestion purement cliniques. La
présente Norme internationale aidera les responsables de la gouvernance clinique à comprendre la
contribution apportée par des stratégies de sécurité de l’information efficaces.
Informations de santé à protéger
3)
Il existe plusieurs types d’informations dont la confidentialité, l’intégrité et la disponibilité ont besoin
d’être protégées:
a) les informations personnelles de santé;
b) les données pseudonymisées issues des informations personnelles de santé, par le biais d’une
certaine méthodologie d’identification des pseudonymes;
c) les données statistiques et de recherche, notamment les données anonymisées issues des
informations personnelles de santé, par suppression des données à caractère personnel;
d) les connaissances cliniques/médicales sans rapport avec un sujet de soins particulier, notamment
les données d’aide à la décision clinique (par exemple les données sur les réactions indésirables
conséquentes à la prise d’un médicament);
e) les données sur les professionnels de la santé, sur le personnel et sur les bénévoles;
f) les informations liées à la surveillance de la santé publique;
g) les données des systèmes de traçabilité produites par les systèmes d’information de santé qui
contiennent des informations personnelles de santé ou des données pseudonymisées issues
d’informations personnelles de santé, ou qui contiennent des données relatives aux actes des
utilisateurs vis-à-vis de ces informations personnelles de santé; et
2) Dans certains pays, la «gouvernance de l’information» est appelée «assurance de l’information».
3) Le degré de disponibilité dépend des utilisations dont ces données feront l’objet.
x © ISO 2016 – Tous droits réservés
h) les données de sécurité pour les systèmes d’inform
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...