EHR Assessment for Viewing Organizations using ONE ID or ... Web viewfdsf. Évaluation de...

Évaluation de sécurité des dossiers de santé électroniquesÀ l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnect

Version 2.1

Évaluation de sécurité des dossiers de santé électroniques – À l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnectMC

CoordonnéesDénomination sociale* (p. ex., Équipe de santé familiale de Maville) :

Formulaire déposé par : Adresse courriel professionnelle :

Numéro de téléphone :

Instructions

Avant de commencer l’évaluation de sécurité, vous devriez passer en revue le Webinaire sur les dossiers de santé électroniques (DSE) – Utilisation sécuritaire à l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnect. Nous vous conseillons fortement de vous familiariser avec les pratiques de l’autorité locale d’enregistrement et de l’approbateur de votre fournisseur d’identité. Vous voudrez peut-être aussi suivre les formations pertinentes qui sont offertes.

1. L’évaluation suivante établit 12 importantes mesures de contrôle qu’un dépositaire de renseignements sur la santé doit respecter. Pour en savoir plus sur chaque exigence, consultez l’Annexe : Orientation pour la mise en œuvre et portée ou le Guide de sécurité des DSE à l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnect.

2. Passez en revue les obligations en matière de sécurité de la politique et des normes et analysez attentivement chacune des exigences de la colonne Exigences de haut niveau des politiques et des normes avant d’indiquer si votre organisme y est conforme ou non.

a. Si votre organisme respecte entièrement toutes les exigences (est conforme), indiquez-le en cochant la case adéquate (p. ex., ☒).

b. Si votre organisme ne respecte pas les exigences (est non conforme) ou si vous n’en êtes pas certain, laissez la

Évaluation de sécurité des dossiers de santé électroniques / À l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnect / Version 1.0 1

case vide (☐).

N.B. : Les exigences qui devraient être respectées sont mises en évidence (surlignées); ils peuvent ne pas être mis en œuvre lorsqu'il existe des raisons valables; cependant, l'implémentateur doit comprendre les implications avant de choisir un cours différent et doit envisager de mettre en œuvre des contrôles de compensation.

3. Une fois que vous aurez rempli l’évaluation, l’approbateur responsable de votre organisme (la personne qui détient légalement le pouvoir de signature pour votre organisme) doit passer en revue le présent document et remplir la section « Confirmation de l’organisme » qui suit.

4. Protégez le formulaire d’évaluation à l’aide d’un mot de passe avant de l’envoyer par courriel à [email protected].

Confirmation de l’organismeVous déclarez que la présente évaluation sur l’état de préparation en matière de sécurité de votre organisme représente fidèlement l’état actuel des mesures de contrôle et des activités de votre organisme conformément à la Politique de confidentialité du DSE.

Nom de l’approbateur responsable :

Titre de l’approbateur responsable :

Signature : Date :

Évaluation de sécurité des dossiers de santé électroniques / À l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnect / Version 1.0 2

Exigence.

Exigences de haut niveau des politiques et

des normesExigences

A Norme d’utilisation acceptable des données et des technologies de l’information

La section qui suit couvre les mesures de contrôle en matière d’utilisation destinées aux utilisateurs. Y sont définis : 1) les exigences (d’utilisation et techniques) en matière de mots de passe, 2) les exigences quant à l’utilisation des outils approuvés par les dépositaires de renseignements sur la santé pour accéder à la solution, sur place ou à distance, ainsi que les attentes en matière de sécurité pour l’envoi de données sensibles au bureau de l’équipe de [la solution de DSE] en cas d’incident lié à la confidentialité et à la sécurité, ou pour la réalisation de tâches liées à la protection de la vie privée, comme le traitement d’une directive sur le consentement et la correction de données.

1 Mesures de contrôle générales en matière d’utilisation

Passez en revue les mesures de contrôle suivantes et indiquez si vous y êtes conformes ou non.

Les utilisateurs :a. sont responsables des actions exécutées sur [la solution de DSE] à

l’aide de leur nom d’utilisateur;b. doivent signaler immédiatement les incidents présumés ou

constatés relativement à la sécurité de l’information de [la solution de DSE] au premier point de contact responsable (p. ex., service de dépannage, responsable de la protection de la vie privée, gestionnaire ou superviseur);

c. doivent offrir leur entière collaboration au bureau de l’équipe de [la solution de DSE] dans le cadre de toute enquête sur des incidents liés à la sécurité de l’information;

d. doivent suivre la procédure de déconnexion adéquate lors d’un accès à distance à [la solution de DSE] plutôt que de simplement fermer l’application.

Aucun utilisateur ne doit :e. donner ses données d’identification ou utiliser celles de quelqu’un

d’autre;f. participer à [la solution de DSE] si ses fonctions ne l’exigent pas, à

moins d’y être expressément autorisé;g. désactiver, outrepasser ou contourner en toute connaissance de

cause les mesures de contrôle de la sécurité de l’information;h. tenter d’exploiter des failles de sécurité potentielles;i. réaliser sciemment une action qui nuira au fonctionnement normal

de [la solution de DSE] de quelque façon que ce soit;j. prendre en photo des données affichées dans [la solution de DSE];k. laisser un appareil informatique déverrouillé sans surveillance;

Évaluation de sécurité des dossiers de santé électroniques / À l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnect / Version 1.0

3

Exigence.


des normesExigences

l. participer à [la solution de DSE] pour des fins de recherche;m. participer à [la solution de DSE] dans un lieu public.

☐ Mon organisme a mis en place les mesures de contrôle nécessaires pour se conformer aux exigences susmentionnées.

☐ Mon organisme ne respecte pas l’ensemble ou quelques-unes des mesures susmentionnées (préciser lesquelles).

2 Exigences en matière de mots de passe (p. ex., pour les postes de travail et les comptes utilisés pour accéder à [la solution de DSE])

Passez en revue les mesures de contrôle suivantes pour l’emploi des mots de passe et confirmez que vous avez les avez compris et que vous y êtes conformes.

Un mot de passe :

a. ne doit jamais comporter une partie ou la totalité du nom d’utilisateur;

b. ne doit jamais comporter de renseignements personnels faciles à obtenir (p. ex., nom de membres de la famille ou d’animaux de compagnie, dates de naissance, anniversaires, passe-temps);

c. ne doit jamais comporter trois caractères consécutifs (p. ex., AAA);d. ne doit jamais être modifié de manière facilement prévisible (p. ex.,

changer « Ja1meLaP!zza1 » pour « Ja1meLaP!zza2 »);e. doit être différent de ceux d’autres comptes (p. ex., compte bancaire

ou compte de courriel personnels);f. doit être mémorisé ou noté de manière sécuritaire, c’est-à-dire en

ne notant pas le nom d’utilisateur qui s’y rapporte ou en n’indiquant pas qu’il s’agit du mot de passe de [la solution de DSE];

g. doit rester secret et ne doit jamais être révélé à qui que ce soit, pas même à un administrateur du système, à un employé d’un service de dépannage ou à un gestionnaire;

h. ne doit jamais être intégré dans un processus d’identification unique; il en va de même pour le nom d’utilisateur;

i. doit être changé immédiatement si l’utilisateur soupçonne ou découvre que son mot de passe a été divulgué ou compromis; l’utilisateur doit aussi signaler immédiatement l’incident lié à la sécurité de l’information au premier point de contact;

j. doit prendre la forme d’une phrase, comme « Ja1meLaP!zza ».

☐Mon organisme a mis en place les mesures de contrôle nécessaires pour se conformer aux exigences susmentionnées.

☐ Mon organisme ne respecte pas l’ensemble ou quelques-unes


4

Exigence.


des normesExigences

des mesures susmentionnées (préciser lesquelles).

Les mesures de contrôle pour les mots de passe doivent :a. ☐ garantir que tous les mots de passe initiaux sont modifiés lors de

la première connexion et qu’ils sont difficile à deviner par une autre personne;

b. ☐ garantir que les mots de passe sont composés d’au moins huit caractères et comprennent au moins trois des quatre types de caractères suivants :

un chiffre, une lettre majuscule, une lettre minuscule, un caractère spécial (p. ex., !, $, #, _, ~, %, ^).

N.B. : Le système ONE ID est doté de telles mesures; cependant, les dépositaires de renseignements sur la santé doivent mettre en place ces mesures dans les outils qu’ils ont approuvés.

3 Gestion des appareils informatiques et des procédures servant à accéder à [la solution de DSE]

a. ☐ Utiliser uniquement les outils et les processus approuvés par le dépositaire de renseignements sur la santé pour participer à [la solution de DSE] sur place ou à distance (c.-à-d. les postes de travail ou les outils d’accès à distance approuvé par les dépositaires de renseignements sur la santé et dotés de systèmes de chiffrement du disque, d’antivirus, etc.)

b. ☐ Si des renseignements personnels sur la santé sont sauvegardés sur un appareil mobile sans fil, s’assurer que le disque sur lesquels sont sauvegardés les données est chiffré ou que le système de l’utilisateur effectue un chiffrement intégral du disque. À noter que la solution permet de télécharger les renseignements personnels sur la santé sur l’appareil de l’utilisateur final et de les stocker dans les fichiers Internet temporaires du navigateur.

Tous les utilisateurs doivent respecter l’exigence suivante :☐ Ne jamais laisser un appareil informatique mobile sans surveillance dans un endroit public ou à la vue dans un véhicule.

4 Communications sécuritaires avec le bureau de l’équipe de [la solution de DSE]

a. ☐ Les utilisateurs ne doivent envoyer des renseignements personnels sur la santé par courriel que si c’est nécessaire pour offrir des soins de santé ou faciliter leur prestation et s’il est acceptable de le faire.

b. ☐ Les dépositaires de renseignements sur la santé doivent s’être dotés de processus pour chiffrer le contenu des courriels sensibles


5

Exigence.


des normesExigences

ou utiliser une solution de transfert de fichiers sécuritaire comme ONE Mail, qui chiffre les courriels envoyés aux autres utilisateurs de ONE Mail.

c. ☐ Les dépositaires de renseignements sur la santé ne doivent jamais utiliser des comptes de courriel externes ou personnels dans le cadre de leur travail avec [la solution de DSE].

B Norme sur la cryptographie

La cryptographie (chiffrement) sera généralement utilisée pour chiffrer le lecteur de disque des outils approuvés par les dépositaires de renseignements sur la santé dont se serviront les utilisateurs finaux pour accéder à [la solution de DSE]. La solution permet aux utilisateurs finaux de télécharger des renseignements personnels sur la santé sur leur ordinateur; comme ces renseignements peuvent être stockés dans les fichiers Internet temporaires du navigateur, il est important de les chiffrer et de les protéger avec un bon mot de passe en cas de perte ou de vol. Le chiffrement sera aussi utilisé pour l’envoi de données sensibles au bureau de l’équipe de [la solution de DSE] afin de veiller à la confidentialité et à la sécurité des communications. Les organismes doivent s’assurer que la force de chiffrement est adéquate et assurer la gestion des« clés » (c.-à-d. les mots de passes) utilisées pour déchiffrer l’information.

5 Mise en œuvre et gestion de la cryptographie

a. ☐ Au moment de configurer les paramètres de chiffrement d’un outil approuvé par les dépositaires de renseignements sur la santé ou de préparer l’envoi de données sensibles par courriel, s’assurer d’utiliser les algorithmes cryptographiques approuvés par [la solution de DSE] lorsque vous vous y connectez. Pour obtenir la liste des algorithmes approuvés, voir la Politique de sécurité tout-en-un du dossier de santé électronique – À l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnect, et consulter votre fournisseur de services de technologie de l’information pour configurer les paramètres de chiffrement.

b. ☐ Veiller à ce que chaque clé de chiffrement (c.-à-d. le mot de passe pour déchiffrer les données) ait le moins de dépositaires possible.

C Norme sur les fournisseurs de services électroniques

Lorsque des fournisseurs de services électroniques (c.-à-d. des distributeurs) gèrent les fonctions nécessaires à la participation de votre organisme à [la solution de DSE], il est important de s’assurer que ces relations s’appuient sur des documents écrits et que les attentes à l’égard de la confidentialité et de la sécurité sont comprises.

6 Gestion des fournisseurs de services électroniques qui

Les dépositaires de renseignements sur la santé doivent conserver les documents liés aux contrats de services de soutien, aux ententes et aux


6

Exigence.


des normesExigences

appuient la participation de votre organisme à [la solution de DSE]

accords sur les niveaux de service conclus avec chaque fournisseur de services électroniques.

Ces documents doivent porter sur les relations techniques et organisationnelles entourant les rôles et les responsabilités des fournisseurs de services électroniques conformément à la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) et à son règlement d’application ainsi qu’aux politiques et aux procédures en matière de confidentialité et de sécurité de l’information des dépositaires de renseignements sur la santé, soit :

a. les rôles et les responsabilités des fournisseurs de services électroniques en ce qui concerne la mise en place, la tenue à jour et la gestion des systèmes ou des services d’information;

b. les dates et les moments auxquels le service est requis;c. la capacité nécessaire;d. la durée d’interruption acceptable maximale et les obligations en

lien avec les niveaux de service (p. ex., intervention en quatre heures);

e. les services attendus (p. ex., soutien technique pour les ordinateurs portables ou de bureau et mise à jour du logiciel);

f. les rapports sur les niveaux de service et leur fréquence;g. les sanctions auxquelles s’exposent les fournisseurs de services

électroniques s’ils manquent aux niveaux de service convenus ou s’ils ne respectent pas leurs rôles et responsabilités;

h. le respect des mesures de contrôle de la confidentialité et de la sécurité

i. les représentants des fournisseurs de services électroniques (c.-à-d. les sous-traitants).

☐ Mon organisme a mis en place les mesures de contrôle nécessaires pour se conformer aux exigences susmentionnées.

☐ Mon organisme ne respecte pas l’ensemble ou quelques-unes des mesures susmentionnées (préciser lesquelles).

j. ☐ Les dépositaires de renseignements sur la santé doivent évaluer les risques potentiels que pose un nouveau fournisseur de services électroniques avant de conclure une entente contractuelle avec lui et définir des mesures d’atténuation pour chacun des risques possibles.


7

Exigence.


des normesExigences

Les dépositaires de renseignements sur la santé devraient :k. ☐ Établir une marche à suivre générale pour mettre fin aux

ententes qui les lient aux fournisseurs de services électroniques.D Norme de sécurité de

l’informationLes dépositaires de renseignements sur la santé doivent respecter les exigences de la Politique de confidentialité du DSE et gérer les risques liés à son non-respect. Ils doivent communiquer avec le bureau de l’équipe de [la solution de DSE] lorsqu’ils s’écartent des exigences d’une norme.

7 Respect des exigences en matière de sécurité, de signalement des écarts et de gestion des dérogations

a. ☐ Les dépositaires de renseignements sur la santé doivent respecter toutes les exigences et réduire les risques liés à la sécurité et le nombre de cas de non-conformité, si possible. Ils doivent déceler et signaler tous cas de non-conformité.


8

Exigence.


des normesExigences

E Gestion des incidents Les dépositaires de renseignements sur la santé doivent s’être dotés de processus de gestion des incidents qui surviennent dans leurs établissements. Il est obligatoire de signaler les incidents au bureau de l’équipe de [la solution de DSE] et de rédiger un rapport d’incident, qui devra peut-être être transmis à d’autres dépositaires ou au bureau de l’équipe de [la solution de DSE]. L’équipe des opérations en matière de protection de la vie privée et de sécurité du bureau de [la solution de DSE] viendra en aide à votre organisme si un incident touche plusieurs dépositaires de renseignement sur la santé : elle diffusera des avis et prendra peut-être la situation en main. Les dépositaires de renseignements sur la santé doivent coopérer lors des enquêtes et sont en bout de ligne, responsables de l’intervention et du rétablissement à la suite d’un incident lié à la sécurité de l’information. Les organismes devraient tirer parti du Modèle de rapport d’incident lié à la sécurité trouvé dans le Guide de sécurité du DSE pour les aider à mettre en place ce processus.


9

Exigence.


des normesExigences

8 Élaboration et mise en œuvre du processus de gestion des incidents liés à la sécurité

a. ☐ Les dépositaires de renseignements sur la santé doivent mettre en place un système de gestion des incidents liés à la sécurité de l’information qui couvre chacune des étapes du processus de gestion des incidents :

Détection et tri

Intervention

Rétablissement

Suivi, y compris analyse des causes profondes

Établir les bases du processus

Le processus de gestion des incidents doit :

b. ☐ désigner un point de contact interne (p. ex., service de dépannage ou gestionnaire de bureau) auquel signaler les incidents réels ou présumés;

c. ☐ désigner un responsable ou une équipe d’intervention en cas d’incident chargé de s’occuper de toutes les étapes du processus (peut être le point de contact). Il ou elle doit examiner l’information à l’appui pour vérifier si un incident est survenu ou non;

d. ☐ obliger les utilisateurs, leurs mandataires et leurs fournisseurs de services électroniques à signaler immédiatement tout incident réel ou présumé;

e. ☐ être conforme à la procédure de gestion des incidents portant atteinte à la confidentialité de la Politique de gestion des atteintes à la confidentialité.

8.1 Détection et tri

f. ☐ Selon les exigences de la norme, le point de contact doit produire un billet d’incident ou consigner l’incident dans un journal. Un modèle de gestion des incidents illustre la marche à suivre. Il est nécessaire d’indiquer le classement et la cote de priorité de l’incident en fonction de sa gravité. (Voir le Guide de sécurité des DSE à l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnect.)

g. ☐ Le responsable ou l’équipe d’intervention doit rédiger un rapport d’incident. (Voir le Guide de sécurité des DSE à l’intention des organismes ayant seulement des droits de visualisation qui ont un


10

https://www.ehealthontario.on.ca/images/uploads/regional_partners/cGTA/privacy_policies_and_procedures/ehr_privacy_policies-fr.pdf


Exigence.


des normesExigences

compte ONE ID ou ClinicalConnect ou se servir du modèle de gestion des indicent comme modèle de rapport.)

h. ☐ Signaler l’incident au bureau de l’équipe de [la solution de DSE], par téléphone ou par courriel, d’ici la fin du jour ouvrable, suivant tout incident avéré en mentionnant : l’heure et la date de l’incident; le nom et les coordonnées du mandataire ou du fournisseur de

services électroniques qui a signalé l’incident; une description de l’incident (p. ex., type d’incident et façon

dont il a été détecté); les conséquences connues ou supposées de l’incident; les mesures mises en œuvre par le mandataire ou le fournisseur

de services électroniques qui a signalé l’incident, par le point de contact ou par le responsable ou l’équipe d’intervention pour contenir l’incident;

si l’incident touche plusieurs dépositaires de renseignements sur la santé (auquel cas, demander au bureau de l’équipe de [la solution de DSE] de prendre en main les mesures de gestion des incidents).

i. ☐ À noter que le bureau de l’équipe de [la solution de DSE] informera le Comité ConnexionSécurité et l’organisme de surveillance compétent au nom de votre organisme : de tout incident lié à [la solution de DSE] et classé gravité 1

dans les 72 heures suivant son signalement; de tout incident lié à [la solution de DSE] et classé gravité 2

dans la semaine suivant son signalement.

8.2 Intervention

j. ☐ Les dépositaires de renseignements sur la santé doivent prendre des mesures pour limiter la portée et l’ampleur d’un incident, par exemple interrompre les activités, changer les mots de passe ou restreindre la connectivité.

8.3 Rétablissement

k. ☐ Les dépositaires de renseignements sur la santé doivent remettre en état les systèmes d’information touchés afin qu’ils redeviennent entièrement fonctionnels. Voici quelques mesures pour la remise en état :

Éliminer la cause de l’incident (p. ex., supprimer le logiciel malveillant ou détruire les virus).


11

Exigence.


des normesExigences

Restaurer et valider le système d’information. Déterminer à quel moment relancer les activités. Surveiller les systèmes d’information pour vérifier que les

activités se déroulent normalement sans que le système ou ses données soient compromis.

8.4 Rapport et suivi

l. ☐ Les dépositaires de renseignements sur la santé doivent mener une enquête pour déterminer la cause de l’incident lié à [la solution de DSE] (en effectuant une analyse des causes profondes, par exemple).

m. ☐ Une fois l’incident résolu, le responsable ou l’équipe d’intervention doit rédiger le rapport d’incident. Lorsque les dépositaires de renseignements sur la santé mènent de longues enquêtes, le bureau de l’équipe de [la solution de DSE] ou les dépositaires touchés peuvent demander à être tenus au courant des avancées de l’enquête au fur et à mesure.

n. ☐ Les dépositaires de renseignements sur la santé doivent conserver les rapports d’incident pendant au moins 24 mois.

o. ☐ Les dépositaires de renseignements sur la santé doivent remettre le rapport d’incident au bureau de l’équipe de [la solution de DSE] ou aux dépositaires de renseignements sur la santé touchés au maximum 72 heures après que ceux-ci en aient demandé une copie.

Les dépositaires de renseignement sur la santé devraient :p. ☐ remettre, aux fins d’examen, le rapport d’incident final au Comité

ConnexionSécurité et, au besoin, à l’organisme de surveillance compétent, qui pourront recevoir l’appui du bureau de l’équipe de [la solution de DSE];

q. ☐ déceler les tendances (au moins une fois par mois) et déterminer s’il est possible de mettre en place des mesures de prévention pour réduire la probabilité que d’autres incidents semblables se produisent dans l’avenir;

r. ☐ mettre en place des procédures de collecte de preuves pour pouvoir imposer des mesures disciplinaires aux mandataires, aux fournisseurs de services électroniques ou à toute autre personne ayant causé un incident, ou pour pouvoir les poursuivre en justice.


12

Exigence.


des normesExigences

F

Norme sur les fournisseurs d’identités et Manuel de procédures relatives à l’admissibilité

Les dépositaires de renseignements sur la santé se sont dotés de processus pour désigner et enregistrer les personnes qui ont besoin d’accéder à [la solution de DSE]. Les organismes devraient prendre/rafraîchir la formation pour les autorités locales d’enregistrement de ONE ID ou ClinicalConnect avant de remplir cette section.

9 Planification et mise en œuvre des pratiques d’enregistrement et d’inscription

Rôles et responsabilités

Personne légalement responsable

a. ☐ Désigner au moins une personne à titre d’autorité locale d’enregistrement pour gérer l’inscription de ses mandataires et de ses fournisseurs de services électroniques qui ont besoin d’accéder à [la solution de DSE]. L’autorité locale d’enregistrement doit comprendre l’importance

de respecter les politiques, en particulier celles sur la sécurité de l’information et la confidentialité.

b. ☐ Désigner une ou des personnes, un ou des groupes ou un ou des titulaires de poste ayant le pouvoir d’agir à titre d’approbateur.

c. ☐ Déposer une demande pour lever une suspension, si le statut d’une autorité locale d’enregistrement est révoqué ou suspendu, avant que le statut ne puisse être restauré.

d. ☐ Demander la modification du statut d’une autorité locale d’enregistrement autorisée si elle a des raisons de croire ou si elle découvre que l’autorité locale d’enregistrement ne respecte pas les politiques, les procédures et les ententes pertinentes.

Si votre organisme est responsable de l’enregistrement des utilisateurs finaux, remplissez la section suivante. Sinon, veuillez indiquer dans l’espace ci-dessous quel organisme offre ces services en son nom.

<Inscrire le nom de l’organisme d’enregistrement ici>

Autorité locale d’enregistrement

Enregistrement et inscription

e. ☐ Avoir obligatoirement atteint le niveau d’assurance 2 ou plus pour pouvoir enregistrer un utilisateur final. Une autorité locale d’enregistrement ne peut enregistrer un utilisateur final à un niveau d’assurance supérieur au sien.


13

Exigence.


des normesExigences

f. ☐ Vérifier l’identité de chaque utilisateur final avant de lui remettre ses données d’identification pour accéder à [la solution de DSE]. L’autorité locale d’enregistrement doit appliquer la méthode adéquate pour atteindre le niveau d’assurance requis. Voir l’annexe F-9. Normes au sujet des prestataires qui assurent la gestion fédérée de l’identité :

Valider les nom et prénom officiels de l’utilisateur final et, le cas échéant, ses titres professionnels et ses numéros de permis d’exercice.

Veiller à ce que chaque utilisateur final ait 16 ans ou plus.

g. ☐ Attribuer un niveau d’assurance à chaque utilisateur final – le niveau 2 est le niveau minimal requis pour pouvoir accéder aux renseignements personnels sur la santé rendus accessibles par les services fédérés.

h. ☐ Conserver une copie de l’approbation donnée par l’approbateur lors de l’inscription d’un mandataire ou d’un fournisseur de services électroniques à [la solution de DSE].

i. ☐ Exiger que les mandataires et les fournisseurs de services électroniques redemande accès à la solution ou s’y réinscrivent si leurs droits d’accès ont été révoqués.

Suspension

j. ☐ Suspendre un compte si : des renseignements sont découverts et portent raisonnablement

à croire que l’enregistrement était trompeur, faux ou frauduleux;

un utilisateur final ne s’est pas conformé aux politiques, aux normes, aux ententes ou aux conditions;

la suspension est demandée par un approbateur ou une autorité d’enregistrement.

k. ☐ Ne pas utiliser ni réactiver un compte suspendu en raison de la présentation d’information trompeuse, fausse ou frauduleuse à moins que l’on ne confirme que l’information, la documentation ou tous autres faits importants pertinents sont vrais, justes et complets.

l. ☐ Noter les raisons de la suspension et toutes actions entreprises par la suite, y compris l’enquête, et conserver cette information dans un dossier.


14

Exigence.


des normesExigences

Révocation

m. ☐ Révoquer l’accès au compte d’un utilisateur final si : la personne n’a plus besoin du compte (p. ex., en cas de décès,

de démission ou de retraite); le compte visé existe en double (auquel cas l’autorité locale

d’enregistrement doit suivre le processus de correction des doublons, notamment en communiquant avec l’approbateur, ou en obtenant la confirmation de l’utilisateur final ou en lui demandant de l’information supplémentaire .

l’information, la documentation ou tout autre élément fourni ou action posée lors de l’inscription était trompeur, faux ou frauduleux;

l’identité a été compromise de quelque façon que ce soit (p. ex., vol d’identité);

l’utilisateur final en fait la demande.

n. ☐ Noter les raisons de la révocation et toutes actions entreprises par la suite, dont l’enquête, et conserver cette information dans un dossier.

o. ☐ Doit examiner tous les comptes actifs et les inscriptions avec l'accès à [la solution DSE] au moins une fois par an. L'examen devrait être coordonné avec le commanditaire autorisé afin de s'assurer que tous les accès au compte sont appropriés et à jour. Lorsque des divergences sont constatées, des mesures opportunes pour corriger les privilèges d'accès doivent être mises en œuvre.

Si votre organisme est responsable de l’approbation des utilisateurs finaux, remplissez la section suivante. Sinon, veuillez indiquer dans l’espace ci-dessous quel organisme offre ces services en son nom.

<Inscrire le nom de l’organisme d’approbation ici>

Approbateurp. ☐ Donner accès seulement à la partie clinique de [la solution de

DSE] aux mandataires dont le travail est de recueillir des renseignements personnels sur la santé pour dispenser des soins de santé ou aider à le faire.

q. ☐ Donner accès seulement à la partie administrative de [la solution de DSE] aux mandataires et aux fournisseurs de services


15

Exigence.


des normesExigences

électroniques dont le travail est : d’apporter de l’aide en ce qui a trait aux fonctionnalités établies

et autorisées des postes administratifs de [la solution de DSE].r. ☐ Ne pas donner accès à [la solution de DSE] si quelqu’un en fait la

demande pour d’autres fins que celles de dispenser ou d’aider à dispenser des soins de santé, c’est-à-dire : pour la planification, l’évaluation ou la surveillance du

programme; pour la gestion du risque ou des erreurs; pour l’amélioration de la qualité des soins, des programmes et

des services; pour l’éducation et la formation (à moins qu’il ne s’agisse d’un

étudiant ou d’un résident qui a besoin des accès pour prodiguer des soins);

pour le traitement des paiements; pour des fins de recherche.

s. ☐ S’assurer que l’utilisateur final (le mandataire ou le fournisseur de services électroniques) comprend ses autorisations et ses obligations s’il occupe plusieurs fonctions (p. ex., à la fois clinicien et gestionnaire des risques).

G Norme sur les réseaux et les opérations

Les dépositaires de renseignements sur la santé doivent configurer leur réseau et leurs systèmes de manière à garantir leur participation à [la solution de DSE].

10 Configuration et gestion des périphériques du réseau

a. ☐ Les dépositaires de renseignements sur la santé devraient mettre en place des zones de réseau et les gérer de manière à assurer la division des différents milieux informatiques et des périphériques du réseau (c.-à-d. les zones de réseau).

Normalement, un organisme devrait mettre en place un dispositif, un pare-feu par exemple, pour établir une division entre les ordinateurs internes (le réseau) et Internet (le réseau de périmètre). Si votre organisme offre une connexion Internet sans fil « invitée » aux patients, il faut faire en sorte que ce réseau « invité » soit séparé du réseau interne des dépositaires de renseignement sur la santé, de manière à éviter que des personnes non autorisées parviennent à accéder à ce réseau.

b. ☐ Réviser la configuration des passerelles de sécurité (c.-à-d. des pare-feu) au moins une fois par année. Ce processus devrait comprendre : la révision de l’ensemble de règles;


16

Exigence.


des normesExigences

la suppression des règles désuètes ou inutiles; la correction des règles conflictuelles; la suppression des doublons et des éléments inutilisés (p. ex.,

réseaux ou systèmes informatiques).

11 Configuration et mise à jour de l’antivirus

a. ☐ Les dépositaires de renseignements sur la santé devraient installer des logiciels de détection de programmes malveillants ou de recherche de virus sur l’ensemble des outils approuvés par les dépositaires de renseignements sur la santé et utilisés pour accéder à [la solution de DSE].

b. ☐ Les dépositaires de renseignements sur la santé devraient garder leurs logiciels de détection de programmes malveillants ou de recherche de virus et leurs correctifs à jour sur l’ensemble des outils utilisés pour accéder à [la solution de DSE].

H Norme sur la gestion des menaces et des risques

Les dépositaires de renseignements sur la santé peuvent demander les résumés des EMR; une fois qu’ils les ont reçus, ils doivent en assurer la sécurité en y restreignant l’accès.

12 Obtention et protection des documents relatifs à l’évaluation de la menace et des risques (EMR)

a. ☐ Les dépositaires de renseignements sur la santé peuvent demander les résumés des évaluations de la menace et des risques (EMR) de [la solution de DSE]. Lorsqu’ils reçoivent une EMR, ils doivent restreindre l’accès aux résultats et à tout document connexe et veiller à ce que l’EMR soit traitée de manière sécuritaire.


17

Notes de travail sur la conformitéVous pouvez utiliser cet espace pour noter les zones non conformes et planifier les efforts d'assainissement de votre organisation.

Rappel: Toutes les zones de non-conformité doivent être fermées avant de se connecter à [la solution de DSE].

Exigence# Plan d'assainissement Date cible


18

Annexe : Orientation pour la mise en œuvre et portée

A – Norme d’utilisation acceptable des données et des technologies de l’informationA.1 – Mesures de contrôle générales en matière

d’utilisation

PORTÉE

Ne concerne que l’utilisation que fait une personne de la solution et l’interaction des systèmes avec [la solution de DSE].

LIGNES DIRECTRICES POUR LA MISE EN ŒUVRE

Les exigences en matière d’utilisation sont définies dans les outils de formation de ConnexionOntario.

Les organismes doivent faire en sorte que chaque membre du personnel utilise les données d’identification qui lui ont été attribués et qui lui sont propres et doivent mettre à jour leur politique interne afin de se conformer aux exigences générales. Si votre organisme ne possède pas déjà de politique de sécurité de l’information, un modèle que vous pourrez adapter peut vous être fourni.

A.2 – Exigences en matière de mots de passe (p. ex., pour les postes de travail et les comptes utilisés pour accéder à [la solution de DSE])

PORTÉE




Les organismes doivent mettre à jour leur politique interne afin de se conformer aux exigences générales. Si votre

organisme ne possède pas déjà de politique de sécurité de l’information, un modèle que vous pourrez adapter peut vous être fourni.

Le système ONE ID répond automatiquement aux exigences techniques relatives aux mots de passe; toutefois, pour certains éléments, il faut suivre une formation et appliquer des mesures de contrôle en matière d’utilisation (p. ex., ne pas utiliser le nom de son animal de compagnie).

Les organismes devraient aussi configurer leurs ordinateurs de manière à ce qu’un mot de passe soit demandé à l’ouverture afin de s’assurer que les données enregistrées directement sur le disque sont protégées. Les mots de passe peuvent être configurés de façon centrale si votre organisme utilise Active Directory; sinon, il faudra les créer un à un sur chaque poste.

A.3 – Gestion des appareils informatiques et des procédures servant à accéder à [la solution de DSE]

PORTÉE



Les exigences en matière d’utilisation sont définies dans les outils de formation de ConnexionOntario. Les organismes doivent mettre à jour leur politique interne afin de se conformer aux exigences générales. Si votre organisme ne possède pas déjà de politique, un modèle peut vous être fourni.

Les dépositaires de renseignements sur la santé doivent s’assurer que leurs procédures pour accéder à la solution répondent aux principales exigences des politiques du DSE (p. ex., chiffrement du disque des appareils à distance, antivirus et système d’exploitation et navigateur à jour).

Les organismes devraient déterminer s’ils permettront l’accès à [la solution de DSE] à distance ou s’ils interdiront cette pratique pour éviter d’avoir à chiffrer les appareils d’accès à distance.


19

A.4 – Communications sécuritaires avec le bureau

de l’équipe de [la solution de DSE]

PORTÉE

Ne concerne que l’utilisation que fait une personne de la solution, l’interaction des systèmes avec [la solution de DSE] et les échanges par courriel avec le bureau de l’équipe de [la solution de DSE].



Les organismes doivent mettre à jour leur politique interne afin de se conformer aux exigences générales. Si votre organisme ne possède pas déjà de politique, un modèle peut vous être fourni.

ONE Mail est un programme adéquat pour envoyer des renseignements personnels sur la santé; cependant, ce type d’information ne doit pas être envoyé personnellement aux employés du service de dépannage de [la solution de DSE]. Un membre de l’équipe des opérations en matière de protection de la vie privée et de sécurité communiquera directement avec vous, au besoin, si un incident est détecté.

Si vous n’utilisez pas ONE Mail, vous devez chiffrer les données que vous envoyez, soit en verrouillant votre document Word avec un très bon mot de passe, soit en utilisant le logiciel de chiffrement d’un tiers. Consultez les exigences en matière de mots de passe de la Norme d’utilisation acceptable des données et des technologies de l’information avant de définir un mot de passe pour protéger des données et utiliser une méthode hors bande pour communiquer ce mot de passe (p. ex., par téléphone).

B – Norme sur la cryptographieB.5 – Mise en œuvre et gestion de la cryptographie

PORTÉE

Portée dans le système :

Chiffrement du lecteur de disque dur (BITLOCKER, FILE VAULT)

Chiffrement du réseau privé virtuel accessible à distance

Protocoles de chiffrement des réseaux sans fil Navigateur à jour pouvant supporter les méthodes de

chiffrement utilisées pour faire des recherches dans [la solution de DSE]


Examinez les différents paramètres de chiffrement mis en place dans votre organisme. Pour ce faire, vous devrez demander à vos techniciens d’évaluer vos différents systèmes et de vérifier les paramètres de chiffrement. Vous pouvez vous appuyer sur l’annexe de la Norme sur la cryptographie pour connaître les algorithmes acceptables.

Si un algorithme n’est pas conforme, évaluez le travail nécessaire pour améliorer le chiffrement. Vous devrez peut-être mettre votre logiciel à jour, modifier sa configuration ou remplacer du matériel ou un logiciel.

[la solution de DSE] est conçue pour créer une connexion chiffrée lorsque vous vous connectez; votre organisme doit toutefois s’assurer que vous utilisez un navigateur et un système d’exploitation à jour qui supportent les méthodes de chiffrement modernes.

Clés de chiffrement

Les organismes doivent se pencher sur la manière de protéger les clés (c.-à-d. les mots de passe) utilisées pour protéger les données chiffrées. Voici certaines mesures qui peuvent être mises en place :

Restreindre le nombre de personnes détenant la clé de chiffrement à celles qui ont besoin de la connaître.

Réduire le besoin de dupliquer les clés. Utiliser de bons mots de passe pour protéger les

données chiffrées au repos.


20

C – Norme sur les fournisseurs de services électroniquesC.6 – Gestion des fournisseurs de services électroniques qui appuient la participation de votre organisme à [la solution de DSE]

PORTÉE

Fournisseurs de services électroniques susceptibles d’offrir du soutien technique sur place pour les ordinateurs portables ou de bureau et les appareils informatiques

Fournisseurs de services électroniques responsables des services partagés

Fournisseurs de services électroniques responsables de la connexion à distance

Fournisseurs de services électroniques responsables de la connectivité de réseau

Autres, au besoin


Dressez la liste des liens avec les fournisseurs de services électroniques contribuant à la participation de votre organisme à [la solution de DSE] et consignez-les par écrit. Notez le type de services qu’ils offrent et leur importance pour vos opérations. Confiez ces documents à votre gestionnaire de bureau ou au responsable de votre organisme.

Exigez l’intégration des politiques sur les DSE dans les prochains contrats.

Menez une évaluation des risques selon les services offerts par les fournisseurs de services électroniques. Tenez compte de la sensibilité des services qu’ils offrent, de la menace qui pèse contre ces services et des conséquences possibles. Assurez-vous que de bonnes ententes ont été conclues sur la gestion des services offerts par les fournisseurs de services électroniques au nom de votre organisme.

Assurez-vous que les fournisseurs de services électroniques, sur qui votre organisme compte pour l’utilisation de [la solution de DSE], sont informés des

obligations en matière de confidentialité et de sécurité qu’ils doivent respecter.

Exigez que les fournisseurs de services électroniques concernés suivent les formations sur la confidentialité et la sécurité des DSE, créées en fonction des rôles qu’ils ont à jouer.

Veillez à ce qu’une personne soit nommée responsable de mettre fin aux relations avec un fournisseur de services électroniques. Faites en sorte que les droits d’accès du fournisseur soient révoqués, et que les biens pertinents soient retournés.

D – Politique de sécurité de l’informationD.7 – Respect des exigences en matière de sécurité, de signalement des écarts et de gestion des dérogations

PORTÉE

Concerne le respect des politiques de sécurité et de confidentialité du DSE, les auto-évaluations de l’état de préparation, les auto-attestations annuelles, les activités de vérification et de surveillance ainsi que l’assurance de la conformité des mandataires et des fournisseurs de services électroniques.


Votre organisme doit désigner une personne responsable de la sécurité de l’information et chargée d’assurer le respect des politiques.

Les dépositaires de renseignements sur la santé doivent tout d’abord signaler les cas de non-conformité lors du processus d’auto-évaluation. Les changements apportés aux mesures de sécurité afin de respecter les politiques sur les DSE doivent être communiqués à l’équipe des opérations en matière de protection de la vie privée et de sécurité du bureau de [la solution de DSE] lorsqu’une exigence n’est pas respectée.


21

E – Norme sur la gestion des incidents de sécurité de l’informationE.8 – Élaboration et mise en œuvre du processus de gestion des incidents liés à la sécurité

PORTÉE

Concerne les incidents liés à la sécurité dont votre organisme pourrait être la source et ayant des répercussions sur [la solution de DSE].


Les dépositaires de renseignements sur la santé doivent avoir consigné par écrit leur processus de gestion des incidents et y avoir défini les rôles et les responsabilités de chacun. Ils devraient s’appuyer sur les cas d’usage pour leurs interventions lors d’incidents potentiels (p. ex., programme malveillant, virus ou compromission d’un mot de passe).

Désignez une personne ou un groupe à titre de point de contact, qui connaîtra le protocole en cas d’incident. Dans les plus petits organismes, il peut s’agir du gestionnaire de bureau.

Passez en revue le protocole d’intervention en cas d’incident avec vos employés, vos mandataires et vos fournisseurs de services électroniques. Assurez-vous que chacun d’eux suit les formations pertinentes, traitant notamment de l’obligation de signaler un incident.

Assurez-vous de bien connaître la Politique de gestion des atteintes à la confidentialité, car c’est le protocole qu’il faudra suivre s’il survient un incident portant atteinte à la confidentialité des renseignements personnels sur la santé. Votre organisme doit s’assurer d’intégrer cette politique à sa procédure interne.

Gestion des incidents

Exigences en matière de rapportsAssurez-vous de bien connaître les exigences en matière de rapports de [la solution de DSE] et de les inclure dans votre protocole. Les incidents doivent être signalés au

bureau de l’équipe de [la solution de DSE] d’ici la fin du jour ouvrable suivant tout incident avéré de gravité 1 ou 2.

Veillez à indiquer dans votre protocole que si un incident touche plusieurs organismes, il peut être justifié de confier l’intervention à l’équipe des opérations en matière de protection de la vie privée et de sécurité du bureau de [la solution de DSE]. Informez l’équipe que vous souhaitez qu’elle prenne les choses en main si vous communiquez avec elle. Votre organisme reste tout de même chargé d’intervenir et de rétablir la situation.

Système de classificationFamiliarisez-vous avec le système de classification et intégrez-le au protocole que doit suivre l’équipe d’intervention.

AvisVous pouvez vous coordonner avec le bureau de l’équipe de la solution pour diffuser les avis, puisqu’ils ont les coordonnées des différents comités et dépositaires de renseignements sur la santé pertinents.

L’équipe des opérations en matière de protection de la vie privée et de sécurité du bureau de [la solution de DSE] informera le Comité ConnexionSécurité et l’organisme de surveillance compétent de l’incident au nom du dépositaire de renseignements sur la santé. Ce dernier pourrait devoir fournir l’information nécessaire à la rédaction de l’avis.

F – Norme sur les fournisseurs d’identités et Manuel de procédures relatives à l’admissibilitéF.9 – Planification et mise en œuvre des pratiques d’enregistrement et d’inscription

PORTÉE

Concerne les utilisateurs inscrits à [la solution de DSE] qui pourraient provenir de votre organisme et qui entraînent des conséquences pour [la solution de DSE].


22




Personne légalement responsable

La personne légalement responsable signe les ententes juridiques au nom d’un organisme. Il peut s’agir du directeur général ou du chef des services professionnels. Si elle utilise ONE ID, la personne légalement responsable peut déléguer ses responsabilités à une personne autorisée en soumettant à cyberSanté Ontario le formulaire de délégation des pouvoirs de la personne légalement responsable qui se trouve dans la trousse de mise en œuvre de ONE ID.

La personne légalement responsable est la seule personne au sein de l’établissement d’un dépositaire de renseignements sur la santé à pouvoir modifier le statut des autorités locales d’enregistrement. L’autorité d’enregistrement peut aussi révoquer le statut d’une autorité locale d’enregistrement, et notamment lever une suspension avant que l’accès à [la solution de DSE] ne puisse être rétabli.

Autorité locale d’enregistrement

La personne légalement responsable doit désigner une personne, un groupe ou le titulaire d’un poste pour agir à titre d’autorité locale d’enregistrement. Cette ou ces personnes sont chargées de la gestion des inscriptions des utilisateurs (p. ex., de traiter les inscriptions, les révocations et les suspensions).

Une liste des autorités locale d’enregistrement approuvées devrait être dressée et connue par toutes les parties concernées au sein de l’organisme. Elle pourrait également être intégrée aux politiques et aux procédures.

La personne légalement responsable (ou son délégué) des organismes qui utilisent ONE ID doit envoyer la liste des autorités locales d’enregistrement à cyberSanté Ontario. Voir le formulaire de nomination des autorités locales d’enregistrement qui se trouve dans la trousse de mise en œuvre.

Les autorités locales d’enregistrement occupent un poste important, car elles s’assurent que les utilisateurs sont inscrits correctement et qu’ils ont répondu aux exigences avant de leur donner leurs accès (p. ex., formation, validation de l’approbateur, preuve de l’approbation donnée par l’approbateur et présentation de pièces

d’identité). La formation pour les autorités locales d’enregistrement de ONE ID leur permet d’apprendre comment faire.

Les organismes utilisant ONE ID devraient consulter la section 5.5 du Manuel de procédures du responsable de l’enregistrement local pour en savoir plus sur la tenue de dossiers.

Les autorités locales d’enregistrement doivent avoir suivi la formation associée à ce poste et avoir été enregistrées conformément aux exigences d’assurance de niveau 2 de la norme. L’équipe de ONE ID inscrira les nouvelles autorités locales d’enregistrement conformément au processus d’assurance de niveau 2.

Le niveau d’assurance 2 est adéquat pour l’information hautement confidentielle qui ne peut être utilisée que par certaines personnes autorisées. L’identité d’une personne est validée dans le cadre d’un processus d’enregistrement contrôlé, et la déclaration d’identité est validée à l’aide de pièces d’identité et appuyée par certaines preuves contextuelles lorsque la situation s’y prête. Voici les exigences en matière de pièces d’identité :

o au moins une pièce d’identité principale;o une deuxième pièce d’identité principale ou

secondaire;o au moins une pièce d’identité comportant une

photo;o les deux pièces doivent être au nom de la

personne.

Pour obtenir la liste des pièces d’identité principales et secondaires acceptées, voir l’annexe G de la Politique de sécurité tout-en-un du dossier de santé électronique – À l’intention des organismes ayant seulement des droits de visualisation qui ont un compte ONE ID ou ClinicalConnect. À noter que les numéros de carte d’assurance-maladie et d’assurance sociale ne sont pas acceptés.


23

Le niveau d’assurance 3 est adéquat pour l’information de nature extrêmement confidentielle et de la plus haute importance. Cette information ne doit être utilisée que par les personnes désignées et autorisées. L’identité d’une personne est validée dans le cadre d’un processus d’enregistrement contrôlé, et la déclaration d’identité est validée et confirmée par une ou des sources faisant autorité.

o Présentation d’au moins une pièce d’identité principale.

o Présentation d’une deuxième pièce d’identité principale ou secondaire.

o Présentation d’au moins une pièce d’identité comportant une photo.

o Obligation que les deux pièces d’identité soient au nom de la personne.

o Vérification directe par une partie ayant autorité (p. ex., Bureau de l’état civil, Agence du revenu du Canada ou un professionnel externe de confiance, comme un avocat, un médecin ou un ministre).

Approbateur

La personne légalement responsable doit nommer une personne, un groupe ou un titulaire de poste pour agir à titre d’approbateur. Ce dernier a le pouvoir de donner des accès individuels à [la solution de DSE], conformément aux conditions du service. Une liste des approbateurs autorisés devrait être dressée et connue par toutes les parties concernées de l’organisme. Elle pourrait également être intégrée aux politiques et aux procédures. L’approbateur doit approuver toutes des demandes d’accès à [la solution de DSE].

Une fois que l’accès d’un utilisateur à [la solution de DSE] a été révoqué, ce dernier doit se réinscrire au service pour y avoir accès de nouveau. Même si l’identité de cette personne a probablement déjà été validée, elle doit recevoir l’autorisation de l’approbateur pour pouvoir récupérer ses droits d’accès. Cette autorisation doit être consignée.

Les organismes utilisant ONE ID devraient consulter la section 7 du Manuel de procédures du responsable de l’enregistrement local sur le soutien et la maintenance pour les personnes inscrites afin d’obtenir la description

complète des processus de révocation, de suspension et de rétablissement.

Ces éléments doivent être compris par l’approbateur et les autorités locales d’enregistrement. Pour ce faire, vous pourriez établir une politique ou une directive de communication.

L’accès à [la solution de DSE] est autorisé seulement pour dispenser des soins. Les personnes qui occupent plusieurs fonctions doivent comprendre à quelles fins elles ont droit d’accéder aux renseignements. La formation à l’intention des autorités locales d’enregistrement et des cliniciens établit l’utilisation adéquate des accès.

G – Norme sur les réseaux et les opérationsG.10 – Configuration et gestion des périphériques du réseau

PORTÉE

Concerne le réseau de votre organisme et les appareils informatiques approuvés par les dépositaires de renseignements sur la santé qui sont autorisés à accéder à [la solution de DSE].


Les organismes devraient veiller à mettre en place des dispositifs pour établir une division entre les réseaux internes des dépositaires de renseignements sur la santé et Internet ou les autres réseaux non fiables. Normalement, un pare-feu devrait être mis en place et configuré pour protéger les ordinateurs internes de tout danger.

Les organismes peuvent avoir un réseau « invité » pour les patients et les visiteurs. Celui-ci devrait être séparé du réseau professionnel des dépositaires de renseignements sur la santé afin d’empêcher des personnes non autorisées d’y accéder.

Il peut aussi être pertinent de séparer le réseau si, par exemple, l’espace de travail est sous-loué à une autre entité, afin de garantir un accès sécuritaire à [la solution de DSE].


24

Les règles inutiles, désuètes ou conflictuelles devraient être analysées et révisées, tandis que les doublons ou les objets réseau désuets (p. ex., les ordinateurs) devraient être supprimés de manière à assurer l’intégrité du réseau.

Une fois par année, une personne qualifiée devrait examiner la configuration du réseau pour vérifier que les règles (autorisations et refus) sont justifiées.

G.11 – Configuration et mise à jour de l’antivirus

PORTÉE

Concerne le réseau de votre organisme et les appareils informatiques approuvés par les dépositaires de renseignements sur la santé qui sont autorisés à accéder à [la solution de DSE].


Un logiciel de détection de programmes malveillants (p. ex., antivirus) devrait être installé sur les outils, les processus et les postes de travail approuvés par les dépositaires de renseignements sur la santé et utilisés pour accéder à [la solution de DSE].

Les logiciels de détection de programmes malveillants ou de réparation (p. ex., antivirus) devraient toujours être à jour pour mieux détecter les logiciels malveillants qui pourraient compromettre le réseau et les outils approuvés par les dépositaires de renseignements sur la santé. Souvent, ce type de logiciel peut être configuré pour effectuer les mises à jour automatiquement et analyser les outils approuvés par les dépositaires.

H – Norme sur la gestion des menaces et des risquesH.12 – Obtention et protection des documents relatifs à l’évaluation de la menace et des risques (EMR)

PORTÉE

Concerne les documents de l’évaluation de la menace et des risques (EMR) en lien avec [la solution de DSE] qui sont remis aux dépositaires de renseignements sur la santé.


Les dépositaires de renseignements sur la santé peuvent demander à avoir accès aux documents de l’EMR. Une fois qu’ils les ont reçus, ils doivent en assurer la protection et n’en autoriser la consultation qu’à ceux qui en ont besoin.


25

Avis de droit d’auteur© cyberSanté Ontario, 2017.

Tous droits réservésIl est interdit de reproduire le présent document, en totalité ou en partie, de quelque manière que ce soit, y compris en le photocopiant ou en le transférant en format électronique sur un ordinateur, sans d’abord obtenir une autorisation écrite de cyberSanté Ontario. Les renseignements présentés dans le présent document sont la propriété de cyberSanté Ontario, et il est interdit de les utiliser ou de les divulguer, sauf autorisation écrite expresse de cyberSanté Ontario.


26

Marques de commerceLes autres noms de produits mentionnés dans le présent document peuvent être des marques de commerce ou des marques de commerce déposées, et sont ici reconnus comme étant la propriété de leurs entreprises respectives.


27

EHR Assessment for Viewing Organizations using ONE ID or ... Web viewfdsf. Évaluation de...

Documents

Transcript of EHR Assessment for Viewing Organizations using ONE ID or ... Web viewfdsf. Évaluation de...