Norme ISO 27001

La confiance numérique.

L’ISO 27001 est une norme internationale de référence portant sur les exigences applicables à la sécurité de l’information.

La certification qui en découle démontre que l’organisation a mis en place en son sein un Système de Management de la Sécurité de l’Information (SMSI).

La finalité de ce SMSI est de préserver les 3 piliers essentiels à l’information à savoir :

 – la Disponibilité,

 – l’Intégrité,

 – la Confidentialité.

Ainsi cette norme définit une méthodologie pour identifier les cyber-menaces, maîtriser les risques associés aux informations cruciales et mettre en place les mesures de protection appropriées. Tout cela afin de préserver les 3 piliers cités ci-dessus.

Logo ISO 27001

Un SMSI, qu’est-ce que c’est ?

Un SMSI (Système de Management de la Sécurité de l’Information) désigne un ensemble de stratégies par lesquelles une structure veille sur la sécurité des informations sensibles. Un SMSI est construit selon un processus de gestion des risques. Il doit être efficace sur le long terme. C’est-à-dire qu’il doit pouvoir s’adapter aux changements ayant lieu dans son environnement.

Logo certification HDS

Certification HdS

Une santé digitale.

Le Code de la santé publique (Article L.1111-8 CSP) requiert que les « Hébergeurs de Données de Santé » ou « HDS » soient agréés pour cette activité. C’est une réglementation propre à la France.

Depuis le 1er avril 2018, l’agrément Hébergeur de données de santé a été remplacé par une obligation règlementaire d’obtenir une certification HDS, par un organisme certificateur indépendant. Cet organisme procède à un audit en deux étapes. Un audit documentaire suivi d’un audit sur le site. L’objectif est d’évaluer la conformité de l’hébergeur aux exigences du référentiel de certification.

L’audit vérifie le respect des normes :

  • ISO 27001 « système de gestion de la sécurité des systèmes d’information » ;
  • ISO 20000 « système de gestion de la qualité des services » ;
  • et ISO 27018 « protection des données à caractère personnel ».

Ainsi que quelques exigences spécifiques à l’hébergement de données de santé.