ISO 27799:2016
(Main)Health informatics — Information security management in health using ISO/IEC 27002
Health informatics — Information security management in health using ISO/IEC 27002
ISO 27799:2016 gives guidelines for organizational information security standards and information security management practices including the selection, implementation and management of controls taking into consideration the organization's information security risk environment(s). It defines guidelines to support the interpretation and implementation in health informatics of ISO/IEC 27002 and is a companion to that International Standard. ISO 27799:2016 provides implementation guidance for the controls described in ISO/IEC 27002 and supplements them where necessary, so that they can be effectively used for managing health information security. By implementing ISO 27799:2016, healthcare organizations and other custodians of health information will be able to ensure a minimum requisite level of security that is appropriate to their organization's circumstances and that will maintain the confidentiality, integrity and availability of personal health information in their care. It applies to health information in all its aspects, whatever form the information takes (words and numbers, sound recordings, drawings, video, and medical images), whatever means are used to store it (printing or writing on paper or storage electronically), and whatever means are used to transmit it (by hand, through fax, over computer networks, or by post), as the information is always be appropriately protected. ISO 27799:2016 and ISO/IEC 27002 taken together define what is required in terms of information security in healthcare, they do not define how these requirements are to be met. That is to say, to the fullest extent possible, ISO 27799:2016 is technology-neutral. Neutrality with respect to implementing technologies is an important feature. Security technology is still undergoing rapid development and the pace of that change is now measured in months rather than years. By contrast, while subject to periodic review, International Standards are expected on the whole to remain valid for years. Just as importantly, technological neutrality leaves vendors and service providers free to suggest new or developing technologies that meet the necessary requirements that ISO 27799:2016 describes. As noted in the introduction, familiarity with ISO/IEC 27002 is indispensable to an understanding of ISO 27799:2016. The following areas of information security are outside the scope of ISO 27799:2016: a) methodologies and statistical tests for effective anonymization of personal health information; b) methodologies for pseudonymization of personal health information (see Bibliography for a brief description of a Technical Specification that deals specifically with this topic); c) network quality of service and methods for measuring availability of networks used for health informatics; d) data quality (as distinct from data integrity).
Informatique de santé — Management de la sécurité de l'information relative à la santé en utilisant l'ISO/IEC 27002
L'ISO 27799 :2016 donne des lignes directrices en matière de normes organisationnelles relatives à la sécurité de l'information et des bonnes pratiques de management de la sécurité de l'information, incluant la sélection, la mise en ?uvre et la gestion de mesures de sécurité prenant en compte le ou les environnement(s) à risques pour la sécurité de l'information de l'organisme. Elle spécifie des lignes directrices permettant d'interpréter et de mettre en ?uvre l'ISO/IEC 27002 dans le domaine de l'informatique de santé et constitue un complément à cette dernière. L'ISO 27799 :2016 fournit des préconisations de mise en ?uvre des mesures décrites dans l'ISO/IEC 27002 et les complète, le cas échéant, de façon à ce qu'elles puissent être utilisées efficacement dans le mangement de la sécurité des informations de santé. La mise en ?uvre de l'ISO 27799 :2016 permettra aux organismes de santé et aux autres dépositaires d'informations de santé de garantir le niveau minimal requis de sécurité approprié aux conditions de leur organisme et de protéger la confidentialité, l'intégrité et la disponibilité des informations personnelles de santé dans leurs activités de soins. L'ISO 27799 :2016 s'applique à tous les aspects des informations de santé, quelle que soit la forme (mots, chiffres, enregistrements sonores, dessins, vidéos et images médicales), le support utilisé pour les stocker (imprimés, documents manuscrits ou stockage électronique) ou les moyens mis en ?uvre pour leur transmission (en main propre, par fax, par réseau informatique ou par courrier), de sorte que l'information soit toujours correctement protégée. L'ISO 27799 :2016 et l'ISO/IEC 27002 définissent les exigences en termes de sécurité de l'information dans les soins de santé, mais elles ne définissent pas la façon de satisfaire à ces exigences. En d'autres termes, dans toute la mesure du possible, la technologie est absente de l'ISO 27799 :2016. La neutralité sur les technologies de mise en ?uvre est une caractéristique importante. La technologie en matière de sécurité continue de se développer rapidement. Le rythme de cette évolution se mesure actuellement en mois et non plus en années. En revanche, bien que les Normes internationales soient soumises à des révisions régulières, il est prévu qu'elles restent valides pendant plusieurs années. De manière également importante, la neutralité sur les technologies laisse aux fournisseurs et aux prestataires de services l'entière liberté de suggérer des technologies nouvelles ou en développement qui peuvent répondre aux exigences décrites dans l'ISO 27799 :2016. Comme mentionné dans l'introduction, la connaissance de l'ISO/IEC 27002 est indispensable à la compréhension de l'ISO 27799 :2016. Les domaines suivants de la sécurité de l'information ne relèvent pas du domaine d'application de l'ISO 27799 :2016: a) les méthodologies et les essais statistiques en vue d'une anonymisation efficace des informations personnelles de santé; b) les méthodologies en vue de la pseudonymisation des informations personnelles de santé (voir la bibliographie pour une brève description d'une Spécification technique qui traite spécifiquement de ce sujet); c) la qualité des services fournis par le réseau et les méthodes pour évaluer la disponibilité des réseaux utilisés pour l'informatique de santé; d) la qualité des données (par opposition à l'intégrité des données).
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 27799
Second edition
2016-07-01
Health informatics — Information
security management in health using
ISO/IEC 27002
Informatique de santé — Management de la sécurité de l’information
relative à la santé en utilisant l’ISO/IEC 27002
Reference number
ISO 27799:2016(E)
©
ISO 2016
---------------------- Page: 1 ----------------------
ISO 27799:2016(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2016, Published in Switzerland
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 27799:2016(E)
Contents Page
Foreword .vii
Introduction .viii
1 Scope . 1
2 Normative references . 2
3 Terms and definitions . 2
4 Structure of this International Standard . 3
5 Information security policies . 4
5.1 Management direction for information security . 4
5.1.1 Policies for information security. 4
5.1.2 Review of the policies for information security . 5
6 Organization of information security . 6
6.1 Internal organization . 6
6.1.1 Information security roles and responsibilities . 6
6.1.2 Segregation of duties . 7
6.1.3 Contact with authorities . 7
6.1.4 Contact with special interest groups . 7
6.1.5 Information security in project management . 8
6.2 Mobile devices and teleworking . 8
6.2.1 Mobile device policy . 8
6.2.2 Teleworking. 9
7 Human resource security . 9
7.1 Prior to employment . 9
7.1.1 Screening . 9
7.1.2 Terms and conditions of employment .10
7.2 During employment .11
7.2.1 Management responsibilities .11
7.2.2 Information security awareness, education and training .11
7.2.3 Disciplinary process . .11
7.3 Termination and change of employment .12
7.3.1 Termination or change of employment responsibilities .12
8 Asset management .12
8.1 Responsibility for assets .12
8.1.1 Inventory of assets .12
8.1.2 Ownership of assets .13
8.1.3 Acceptable use of assets .13
8.1.4 Return of assets .13
8.2 Information classification .14
8.2.1 Classification of information .14
8.2.2 Labelling of information .15
8.2.3 Handling of assets .15
8.3 Media handling .16
8.3.1 Management of removable media .16
8.3.2 Disposal of media .16
8.3.3 Physical media transfer .17
9 Access control .17
9.1 Business requirements of access control .17
9.1.1 Access control policy .17
9.1.2 Access to networks and network services .18
9.2 User access management .18
9.2.1 User registration and de-registration .18
9.2.2 User access provisioning.19
© ISO 2016 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 27799:2016(E)
9.2.3 Management of privileged access rights .19
9.2.4 Management of secret authentication information of users .20
9.2.5 Review of user access rights .20
9.2.6 Removal or adjustment of access rights .21
9.3 User responsibilities .21
9.3.1 Use of secret authentication information .21
9.4 System and application access control .22
9.4.1 Information access restriction .22
9.4.2 Secure log-on procedures .22
9.4.3 Password management system .22
9.4.4 Use of privileged utility programs .23
9.4.5 Access control to program source code .23
10 Cryptography .23
10.1 Cryptographic controls .23
10.1.1 Policy on the use of cryptographic controls .23
10.1.2 Key management .24
11 Physical and environmental security .24
11.1 Secure areas .24
11.1.1 Physical security perimeter .24
11.1.2 Physical entry controls .25
11.1.3 Securing offices, rooms and facilities .25
11.1.4 Protecting against external and environmental threats .25
11.1.5 Working in secure areas .25
11.1.6 Delivery and loading areas .25
11.2 Equipment .26
11.2.1 Equipment siting and protection .26
11.2.2 Supporting utilities .26
11.2.3 Cabling security .27
11.2.4 Equipment maintenance .27
11.2.5 Removal of assets .27
11.2.6 Security of equipment and assets off-premises .27
11.2.7 Secure disposal or reuse of equipment .28
11.2.8 Unattended user equipment .28
11.2.9 Clear desk and clear screen policy .28
12 Operations security .29
12.1 Operational procedures and responsibilities .29
12.1.1 Documented operating procedures .29
12.1.2 Change management .29
12.1.3 Capacity management .30
12.1.4 Separation of development, testing and operational environments .30
12.2 Protection from malware .30
12.2.1 Controls against malware .30
12.3 Backup .31
12.3.1 Information backup .31
12.4 Logging and monitoring .31
12.4.1 Event logging .31
12.4.2 Protection of log information .32
12.4.3 Administrator and operator logs .33
12.4.4 Clock synchronisation .34
12.5 Control of operational software .34
12.5.1 Installation of software on operational systems .34
12.6 Technical vulnerability management .34
12.6.1 Management of technical vulnerabilities.34
12.6.2 Restrictions on software installation .35
12.7 Information systems audit considerations .35
12.7.1 Information systems audit controls .35
iv © ISO 2016 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 27799:2016(E)
13 Communications security .35
13.1 Network security management .35
13.1.1 Network controls .35
13.1.2 Security of network services .36
13.1.3 Segregation in networks .36
13.2 Information transfer .36
13.2.1 Information transfer policies and procedures .36
13.2.2 Agreements on information transfer .37
13.2.3 Electronic messaging .37
13.2.4 Confidentiality or non-disclosure agreements .38
14 System acquisition, development and maintenance .38
14.1 Security requirements of information systems .38
14.1.1 Information security requirements analysis and specification .38
14.1.2 Securing application services on public networks .40
14.1.3 Protecting application services transactions .40
14.2 Security in development and support processes .40
14.2.1 Secure development policy .40
14.2.2 System change control procedures .41
14.2.3 Technical review of applications after operating platform changes .41
14.2.4 Restrictions on changes to software packages .41
14.2.5 Secure system engineering principles.42
14.2.6 Secure development environment .42
14.2.7 Outsourced development .42
14.2.8 System security testing .42
14.2.9 System acceptance testing .43
14.3 Test data .43
14.3.1 Protection of test data .43
15 Supplier relationships .43
15.1 Information security in supplier relationships .43
15.1.1 Information security policy for supplier relationships .43
15.1.2 Addressing security within supplier agreements .44
15.1.3 Information and communication technology supply chain .44
15.2 Supplier service delivery management .44
15.2.1 Monitoring and review of supplier services .45
15.2.2 Managing changes to supplier services . .45
16 Information security incident management .45
16.1 Management of information security incidents and improvements .45
16.1.1 Responsibilities and procedures .45
16.1.2 Reporting information security events .45
16.1.3 Reporting information security weaknesses .46
16.1.4 Assessment of and decision on information security events .47
16.1.5 Response to information security incidents .47
16.1.6 Learning from information security incidents .47
16.1.7 Collection of evidence . .47
17 Information security aspects of business continuity management .48
17.1 Information security continuity .48
17.1.1 Planning information security continuity .48
17.1.2 Implementing information security continuity .49
17.1.3 Verify, review and evaluate information security continuity .49
17.2 Redundancies .49
17.2.1 Availability of information processing facilities .49
18 Compliance .50
18.1 Compliance with legal and contractual requirements .50
18.1.1 Identification of applicable legislation and contractual requirements .50
18.1.2 Intellectual property rights .50
18.1.3 Protection of records .50
© ISO 2016 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 27799:2016(E)
18.1.4 Privacy and protection of personally identifiable information .51
18.1.5 Regulation of cryptographic controls .52
18.2 Information security reviews .52
18.2.1 Independent review of information security .52
18.2.2 Compliance with security policies and standards .52
18.2.3 Technical compliance review .53
Annex A (informative) Threats to health information security.54
Annex B (informative) Practical action plan for implementing ISO/IEC 27002 in healthcare .59
Annex C (informative) Checklist for conformance to ISO 27799 .72
Bibliography .
...
NORME ISO
INTERNATIONALE 27799
Deuxième édition
2016-07-01
Informatique de santé — Management
de la sécurité de l’information relative
à la santé en utilisant l’ISO/IEC 27002
Health informatics — Information security management in health
using ISO/IEC 27002
Numéro de référence
ISO 27799:2016(F)
©
ISO 2016
---------------------- Page: 1 ----------------------
ISO 27799:2016(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2016, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 27799:2016(F)
Sommaire Page
Avant-propos .vii
Introduction .viii
1 Domaine d’application . 1
2 Références normatives . 2
3 Termes et définitions . 2
4 Structure de la présente Norme internationale . 3
5 Politiques de sécurité de l’information . 4
5.1 Orientations de la direction en matière de sécurité de l’information . 4
5.1.1 Politiques de sécurité de l’information . 4
5.1.2 Revue des politiques de sécurité de l’information . 6
6 Organisation de la sécurité de l’information . 6
6.1 Organisation interne . 6
6.1.1 Fonctions et responsabilités liées à la sécurité de l’information . 6
6.1.2 Séparation des tâches . 7
6.1.3 Relations avec les autorités . 8
6.1.4 Relations avec des groupes de travail spécialisés . 8
6.1.5 La sécurité de l’information dans la gestion de projet . 8
6.2 Appareils mobiles et télétravail . 9
6.2.1 Politique en matière d’appareils mobiles . 9
6.2.2 Télétravail . 9
7 La sécurité des ressources humaines .10
7.1 Avant l’embauche .10
7.1.1 Sélection des candidats .10
7.1.2 Termes et conditions d’embauche .11
7.2 Pendant la durée du contrat .11
7.2.1 Responsabilités de la direction.11
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information .12
7.2.3 Processus disciplinaire .12
7.3 Rupture, terme ou modification du contrat de travail .13
7.3.1 Achèvement ou modification des responsabilités associées au contrat
de travail .13
8 Gestion des actifs.13
8.1 Responsabilités relatives aux actifs .13
8.1.1 Inventaire des actifs .13
8.1.2 Propriété des actifs .14
8.1.3 Utilisation correcte des actifs .14
8.1.4 Restitution des actifs .15
8.2 Classification de l’information .15
8.2.1 Classification des informations .15
8.2.2 Marquage des informations .16
8.2.3 Manipulation des actifs .17
8.3 Manipulation des supports . .17
8.3.1 Gestion des supports amovibles .17
8.3.2 Mise au rebut des supports .18
8.3.3 Transfert physique des supports .18
9 Contrôle d’accès .18
9.1 Exigences métier en matière de contrôle d’accès .18
9.1.1 Politique de contrôle d’accès .18
9.1.2 Accès aux réseaux et aux services en réseau .19
9.2 Gestion de l’accès utilisateur .20
9.2.1 Enregistrement et désinscription des utilisateurs .20
© ISO 2016 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 27799:2016(F)
9.2.2 Maîtrise de la gestion des accès utilisateur .21
9.2.3 Gestion des privilèges d’accès .21
9.2.4 Gestion des informations secrètes d’authentification des utilisateurs .22
9.2.5 Revue des droits d’accès utilisateur .22
9.2.6 Suppression ou adaptation des droits d’accès .22
9.3 Responsabilités des utilisateurs .23
9.3.1 Utilisation d’informations secrètes d’authentification .23
9.4 Contrôle de l’accès au système et aux applications .23
9.4.1 Restriction d’accès à l’information .24
9.4.2 Sécuriser les procédures de connexion .24
9.4.3 Système de gestion des mots de passe.24
9.4.4 Utilisation de programmes utilitaires à privilèges .25
9.4.5 Contrôle d’accès au code source des programmes .25
10 Cryptographie .25
10.1 Mesures cryptographiques .25
10.1.1 Politique d’utilisation des mesures cryptographiques .25
10.1.2 Gestion des clés .26
11 Sécurité physique et environnementale .26
11.1 Zones sécurisées .26
11.1.1 Périmètre de sécurité physique .26
11.1.2 Contrôles physiques des accès .27
11.1.3 Sécurisation des bureaux, des salles et des équipements .27
11.1.4 Protection contre les menaces extérieures et environnementales .27
11.1.5 Travail dans les zones sécurisées .27
11.1.6 Zones de livraison et de chargement .28
11.2 Matériels .28
11.2.1 Emplacement et protection du matériel.28
11.2.2 Services généraux .29
11.2.3 Sécurité du câblage .29
11.2.4 Maintenance du matériel .29
11.2.5 Sortie des actifs .29
11.2.6 Sécurité du matériel et des actifs hors des locaux .30
11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel .30
11.2.8 Matériel utilisateur laissé sans surveillance .31
11.2.9 Politique du bureau propre et de l’écran vide .31
12 Sécurité liée à l’exploitation .31
12.1 Procédures et responsabilités liées à l’exploitation.31
12.1.1 Procédures d’exploitation documentées . .31
12.1.2 Gestion des changements .32
12.1.3 Dimensionnement .32
12.1.4 Séparation des environnements de développement, de test et d’exploitation .32
12.2 Protection contre les logiciels malveillants .33
12.2.1 Mesures contre les logiciels malveillants .33
12.3 Sauvegarde .33
12.3.1 Sauvegarde des informations .33
12.4 Journalisation et surveillance .34
12.4.1 Journalisation des événements .34
12.4.2 Protection de l’information journalisée .35
12.4.3 Journaux administrateur et opérateur .36
12.4.4 Synchronisation des horloges .37
12.5 Maîtrise des logiciels en exploitation .37
12.5.1 Installation de logiciels sur des systèmes en exploitation .37
12.6 Gestion des vulnérabilités techniques .37
12.6.1 Gestion des vulnérabilités techniques .37
12.6.2 Restrictions liées à l’installation de logiciels .38
12.7 Considérations sur l’audit du système d’information .38
12.7.1 Mesures relatives à l’audit des systèmes d’information .38
iv © ISO 2016 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 27799:2016(F)
13 Sécurité des communications .38
13.1 Management de la sécurité des réseaux .38
13.1.1 Contrôle des réseaux .38
13.1.2 Sécurité des services de réseau.39
13.1.3 Cloisonnement des réseaux .39
13.2 Transfert de l’information .39
13.2.1 Politiques et procédures de transfert de l’information .39
13.2.2 Accords en matière de transfert d’information .40
13.2.3 Messagerie électronique .40
13.2.4 Engagements de confidentialité ou de non-divulgation .41
14 Acquisition, développement et maintenance des systèmes d’information .41
14.1 Exigences de sécurité applicables aux systèmes d’information .41
14.1.1 Analyse et spécification des exigences de sécurité de l’information .41
14.1.2 Sécurisation des services d’application sur les réseaux publics .43
14.1.3 Protection des transactions liées aux services d’application .43
14.2 Sécurité des processus de développement et d’assistance technique .44
14.2.1 Politique de développement sécurisé .44
14.2.2 Procédures de contrôle des changements apportés au système .44
14.2.3 Revue technique des applications après changement apporté à la
plateforme d’exploitation .44
14.2.4 Restrictions relatives aux changements apportés aux progiciels .45
14.2.5 Principes d’ingénierie de la sécurité des systèmes .45
14.2.6 Environnement de développement sécurisé .45
14.2.7 Développement externalisé .45
14.2.8 Phase de test de la sécurité du système .46
14.2.9 Test de conformité du système .46
14.3 Données de test .46
14.3.1 Protection des données de test .46
15 Relations avec les fournisseurs .47
15.1 Sécurité de l’information dans les relations avec les fournisseurs .47
15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs .47
15.1.2 La sécurité dans les accords conclus avec les fournisseurs .47
15.1.3 Chaîne d’approvisionnement informatique .48
15.2 Gestion de la prestation du service .48
15.2.1 Surveillance et revue des services des fournisseurs .48
15.2.2 Gestion des changements apportés dans les services des fournisseurs .48
16 Gestion des incidents liés à la sécurité de l’information .49
16.1 Gestion des incidents liés à la sécurité de l’information et améliorations .49
16.1.1 Responsabilités et procédures .49
16.1.2 Signalement des événements liés à la sécurité de l’information .49
16.1.3 Signalement des failles liées à la sécurité de l’information .50
16.1.4 Appréciation des événements liés à la sécurité de l’information et prise
de décision .50
16.1.5 Réponse aux incidents liés à la sécurité de l’information .51
16.1.6 Tirer des enseignements des incidents liés à la sécurité de l’information .51
16.1.7 Recueil de preuves .51
17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité .52
17.1 Continuité de la sécurité de l’information .52
17.1.1 Organisation de la continuité de la sécurité de l’information .52
17.1.2 Mise en œuvre de la continuité de la sécurité de l’information .53
17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l’information .53
17.2 Redondances .53
17.2.1 Disponibilité des moyens de traitement de l’information .53
18 Conformité .54
18.1 Conformité aux obligations légales et réglementaires .54
18.1.1 Identification de la législation et des exigences contractuelles applicables .54
© ISO 2016 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 27799:2016(F)
18.1.2 Droits de propriété intellectuelle .54
18.1.3 Protection des enregistrements .54
18.1.4 Protection de la vie privée et protection des données à caractère personnel .55
18.1.5 Réglementation relative aux mesures cryptographiques .56
18.2 Revue de la sécurité de l’information .56
18.2.1 Revue indépendante de la sécurité de l’information .56
18.2.2 Conformité avec les politiques et les normes de sécurité .56
18.2.3 Examen de la conformité technique .57
Annexe A (informative) Menaces pesant sur la sécurité des informations de santé .58
Annexe B (informative) Plan d’action pratique pour la mise en œuvre de l’ISO/IEC 27002
dans le domaine de la santé .63
Annexe C (informative) Lise de vérification de la conformité à l’ISO 27799.78
Bibliographie .99
vi © ISO 2016 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 27799:2016(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a
...
PROJET
NORME ISO/FDIS
FINAL
INTERNATIONALE 27799
ISO/TC 215
Informatique de santé — Management
Secrétariat: ANSI
de la sécurité de l’information relative
Début de vote:
2016-03-17 à la santé en utilisant l’ISO/IEC 27002
Vote clos le:
Health informatics — Information security management in health
2016-05-17
using ISO/IEC 27002
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSER-
Veuillez consulter les notes administratives en page iii
VATIONS, NOTIFICATION DES DROITS DE PRO-
PRIÉTÉ DONT ILS AURAIENT ÉVENTUELLEMENT
CONNAISSANCE ET À FOURNIR UNE DOCUMEN-
TATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-
Numéro de référence
MERCIALES, AINSI QUE DU POINT DE VUE
ISO/FDIS 27799:2016(F)
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
CONSIDÉRÉS DU POINT DE VUE DE LEUR POSSI-
BILITÉ DE DEVENIR DES NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTA-
©
TION NATIONALE. ISO 2016
---------------------- Page: 1 ----------------------
ISO/FDIS 27799:2016(F)
TRAITEMENT PARALLÈLE ISO/CEN
Le présent projet final a été élaboré dans le cadre de l’Organisation internationale de normalisation (ISO) et
soumis selon le mode de collaboration sous la direction de l’ISO, tel que défini dans l’Accord de Vienne. Le
projet final a été établi sur la base des observations reçues lors de l’enquête parallèle sur le projet.
Le projet final est par conséquent soumis aux comités membres de l’ISO et aux comités membres du CEN en
parallèle à un vote d’approbation de deux mois au sein de l’ISO et à un vote formel au sein du CEN.
Les votes positifs ne doivent pas être accompagnés d’observations.
Les votes négatifs doivent être accompagnés des arguments techniques pertinents.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2016, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO 2016 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/FDIS 27799:2016(F)
Sommaire Page
Avant-propos .vii
Introduction .viii
1 Domaine d’application . 1
2 Références normatives . 2
3 Termes et définitions . 2
4 Structure de la présente Norme internationale . 3
5 Politiques de sécurité de l’information . 4
5.1 Orientations de la direction en matière de sécurité de l’information . 4
5.1.1 Politiques de sécurité de l’information . 4
5.1.2 Revue des politiques de sécurité de l’information . 6
6 Organisation de la sécurité de l’information . 6
6.1 Organisation interne . 6
6.1.1 Fonctions et responsabilités liées à la sécurité de l’information . 6
6.1.2 Séparation des tâches . 7
6.1.3 Relations avec les autorités . 8
6.1.4 Relations avec des groupes de travail spécialisés . 8
6.1.5 La sécurité de l’information dans la gestion de projet . 8
6.2 Appareils mobiles et télétravail . 9
6.2.1 Politique en matière d’appareils mobiles . 9
6.2.2 Télétravail . 9
7 La sécurité des ressources humaines .10
7.1 Avant l’embauche .10
7.1.1 Sélection des candidats .10
7.1.2 Termes et conditions d’embauche .11
7.2 Pendant la durée du contrat .11
7.2.1 Responsabilités de la direction.11
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information .12
7.2.3 Processus disciplinaire .12
7.3 Rupture, terme ou modification du contrat de travail .13
7.3.1 Achèvement ou modification des responsabilités associées au contrat
de travail .13
8 Gestion des actifs.13
8.1 Responsabilités relatives aux actifs .13
8.1.1 Inventaire des actifs .13
8.1.2 Propriété des actifs .14
8.1.3 Utilisation correcte des actifs .14
8.1.4 Restitution des actifs .15
8.2 Classification de l’information .15
8.2.1 Classification des informations .15
8.2.2 Marquage des informations .16
8.2.3 Manipulation des actifs .17
8.3 Manipulation des supports . .17
8.3.1 Gestion des supports amovibles .17
8.3.2 Mise au rebut des supports .18
8.3.3 Transfert physique des supports .18
9 Contrôle d’accès .18
9.1 Exigences métier en matière de contrôle d’accès .18
9.1.1 Politique de contrôle d’accès .18
9.1.2 Accès aux réseaux et aux services en réseau .19
9.2 Gestion de l’accès utilisateur .20
9.2.1 Enregistrement et désinscription des utilisateurs .20
© ISO 2016 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/FDIS 27799:2016(F)
9.2.2 Maîtrise de la gestion des accès utilisateur .21
9.2.3 Gestion des privilèges d’accès .21
9.2.4 Gestion des informations secrètes d’authentification des utilisateurs .22
9.2.5 Revue des droits d’accès utilisateur .22
9.2.6 Suppression ou adaptation des droits d’accès .22
9.3 Responsabilités des utilisateurs .23
9.3.1 Utilisation d’informations secrètes d’authentification .23
9.4 Contrôle de l’accès au système et aux applications .23
9.4.1 Restriction d’accès à l’information .24
9.4.2 Sécuriser les procédures de connexion .24
9.4.3 Système de gestion des mots de passe.24
9.4.4 Utilisation de programmes utilitaires à privilèges .25
9.4.5 Contrôle d’accès au code source des programmes .25
10 Cryptographie .25
10.1 Mesures cryptographiques .25
10.1.1 Politique d’utilisation des mesures cryptographiques .25
10.1.2 Gestion des clés .26
11 Sécurité physique et environnementale .26
11.1 Zones sécurisées .26
11.1.1 Périmètre de sécurité physique .26
11.1.2 Contrôles physiques des accès .27
11.1.3 Sécurisation des bureaux, des salles et des équipements .27
11.1.4 Protection contre les menaces extérieures et environnementales .27
11.1.5 Travail dans les zones sécurisées .27
11.1.6 Zones de livraison et de chargement .28
11.2 Matériels .28
11.2.1 Emplacement et protection du matériel.28
11.2.2 Services généraux .29
11.2.3 Sécurité du câblage .29
11.2.4 Maintenance du matériel .29
11.2.5 Sortie des actifs .29
11.2.6 Sécurité du matériel et des actifs hors des locaux .30
11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel .30
11.2.8 Matériel utilisateur laissé sans surveillance .31
11.2.9 Politique du bureau propre et de l’écran vide .31
12 Sécurité liée à l’exploitation .31
12.1 Procédures et responsabilités liées à l’exploitation.31
12.1.1 Procédures d’exploitation documentées . .31
12.1.2 Gestion des changements .32
12.1.3 Dimensionnement .32
12.1.4 Séparation des environnements de développement, de test et d’exploitation .32
12.2 Protection contre les logiciels malveillants .33
12.2.1 Mesures contre les logiciels malveillants .33
12.3 Sauvegarde .33
12.3.1 Sauvegarde des informations .33
12.4 Journalisation et surveillance .34
12.4.1 Journalisation des événements .34
12.4.2 Protection de l’information journalisée .35
12.4.3 Journaux administrateur et opérateur .36
12.4.4 Synchronisation des horloges .37
12.5 Maîtrise des logiciels en exploitation .37
12.5.1 Installation de logiciels sur des systèmes en exploitation .37
12.6 Gestion des vulnérabilités techniques .37
12.6.1 Gestion des vulnérabilités techniques .37
12.6.2 Restrictions liées à l’installation de logiciels .38
12.7 Considérations sur l’audit du système d’information .38
12.7.1 Mesures relatives à l’audit des systèmes d’information .38
iv © ISO 2016 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/FDIS 27799:2016(F)
13 Sécurité des communications .38
13.1 Management de la sécurité des réseaux .38
13.1.1 Contrôle des réseaux .38
13.1.2 Sécurité des services de réseau.39
13.1.3 Cloisonnement des réseaux .39
13.2 Transfert de l’information .39
13.2.1 Politiques et procédures de transfert de l’information .39
13.2.2 Accords en matière de transfert d’information .40
13.2.3 Messagerie électronique .40
13.2.4 Engagements de confidentialité ou de non-divulgation .41
14 Acquisition, développement et maintenance des systèmes d’information .41
14.1 Exigences de sécurité applicables aux systèmes d’information .41
14.1.1 Analyse et spécification des exigences de sécurité de l’information .41
14.1.2 Sécurisation des services d’application sur les réseaux publics .43
14.1.3 Protection des transactions liées aux services d’application .43
14.2 Sécurité des processus de développement et d’assistance technique .44
14.2.1 Politique de développement sécurisé .44
14.2.2 Procédures de contrôle des changements apportés au système .44
14.2.3 Revue technique des applications après changement apporté à la
plateforme d’exploitation .44
14.2.4 Restrictions relatives aux changements apportés aux progiciels .45
14.2.5 Principes d’ingénierie de la sécurité des systèmes .45
14.2.6 Environnement de développement sécurisé .45
14.2.7 Développement externalisé .45
14.2.8 Phase de test de la sécurité du système .46
14.2.9 Test de conformité du système .46
14.3 Données de test .46
14.3.1 Protection des données de test .46
15 Relations avec les fournisseurs .47
15.1 Sécurité de l’information dans les relations avec les fournisseurs .47
15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs .47
15.1.2 La sécurité dans les accords conclus avec les fournisseurs .47
15.1.3 Chaîne d’approvisionnement informatique .48
15.2 Gestion de la prestation du service .48
15.2.1 Surveillance et revue des services des fournisseurs .48
15.2.2 Gestion des changements apportés dans les services des fournisseurs .48
16 Gestion des incidents liés à la sécurité de l’information .49
16.1 Gestion des incidents liés à la sécurité de l’information et améliorations .49
16.1.1 Responsabilités et procédures .49
16.1.2 Signalement des événements liés à la sécurité de l’information .49
16.1.3 Signalement des failles liées à la sécurité de l’information .50
16.1.4 Appréciation des événements liés à la sécurité de l’information et prise
de décision .50
16.1.5 Réponse aux incidents liés à la sécurité de l’information .51
16.1.6 Tirer des enseignements des incidents liés à la sécurité de l’information .51
16.1.7 Recueil de preuves .51
17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité .52
17.1 Continuité de la sécurité de l’information .52
17.1.1 Organisation de la continuité de la sécurité de l’information .52
17.1.2 Mise en œuvre de la continuité de la sécurité de l’information .53
17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l’information .53
17.2 Redondances .53
17.2.1 Disponibilité des moyens de traitement de l’information .53
18 Conformité .54
18.1 Conformité aux obligations légales et réglementaires .54
18.1.1 Identification de la législation et des exigences contractuelles applicables .54
© ISO 2016 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO/FDIS 27799:2016(F)
18.1.2 Droits de propriété intellectuelle .54
18.1.3 Protection des enregistrements .54
18.1.4 Protection de la vie privée et protection des données à caractère personnel .55
18.1.5 Réglementation relative aux mesures cryptographiques .56
18.2 Revue de la sécurité de l’information .56
18.2.1 Revue indépendante de la sécurité de l’information .56
18.2.2 Conformité avec les politiques et les normes de sécurité .56
18.2.3 Examen de la conformité technique .57
Annexe A (informative) Menaces pesant sur la sécurité des informations de santé .58
Annexe B (informative) Plan d’action pratique pour la mise en œuvre de l’ISO/IEC 27002
dans le domaine de la santé .
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.