Organisations
La MGEN certifiée ISO 27001 par l’AFNOR pour la sécurité de ses données de santé
Fin février, le groupe MGEN recevait officiellement la certification ISO 27001 de l’AFNOR, tel qu’il l’avait fait pour la certification « qualité de service » de ses centres de services. La certification ISO 27001 couvre le périmètre de la sécurité de l’hébergement des données de santé. Cette norme inclut à la fois la sécurité informatique ou logique (ex. : sur les postes de travail) que la sécurité physique (ex. : sur les data centres). Elle définit les exigences pour la mise en place d'un système de gestion de la sécurité de l'information et les mesures de sécurité permettant de garantir la protection des actifs du groupe.
Pendant six jours, les auditeurs de l’AFNOR ont examiné en profondeur le système mis en place par la DSI et n’ont constaté aucune non-conformité.
Mobilisée depuis de nombreuses années sur les questions de sécurité informatique, la MGEN atteint ainsi les standards les plus élevés dans ce domaine en répondant aux exigences de la norme.
Pour ce projet, la DSI a constitué une équipe spécifique et mobilisé l’ensemble des collaborateurs.
La DSI MGEN met à disposition des établissements de santé des outils informatiques et des logiciels traitant de données médicales. Auparavant, conformément aux lois et réglementations en vigueur, pour avoir le droit de disposer et d’héberger les données de santé de ses patients, la DSI du groupe était dans l’obligation d’avoir un agrément délivré par l’ASIP Santé.
Obtenu en 2013, elle le renouvelait tous les trois ans. Or, depuis 2018, les modalités se sont renforcées. Les hébergeurs de données de santé doivent disposer d’un certificat HDS dont l’une des premières conditions est la certification ISO 27001.
C’est pourquoi le groupe MGEN a démarré ce projet de certification en janvier 2017, avec un objectif de certification au premier trimestre 2018. Un audit à blanc initial a permis d’établir que le groupe MGEN avait déjà atteint 84 % des exigences de la norme.
La mise en conformité s’est traduite par des travaux complémentaires, principalement liés à la définition et mise en œuvre du processus d’amélioration continue. La certification ISO 27001 nous a permis d’étudier la sécurité de l’hébergement de nos données de santé, d’identifier les risques et de mettre en place des mesures pour s’assurer de leur bonne maîtrise.
Aujourd’hui, ce résultat récompense les efforts déployés ces derniers mois et rassure nos patients ; leurs données de santé sont hébergées en France et bénéficient de fortes mesures de sécurisation.
Le groupe MGEN a retenu l’AFNOR pour sa certification ISO 27001. Cet organisme certificateur est reconnu pour ses hautes exigences et la qualité de ses audits.
À moyen terme, nous envisageons d’ailleurs l’extension de la certification à l’ensemble des données du groupe. Nous travaillons parallèlement sur la norme ISO 20000, orientée sur la qualité des services informatiques, avec un objectif de certification pour fin 2018, et nous prétendrons à l’obtention de la certification HDS pour la fin d’année 2019.
- Protection sociale parrainé par MNH
- Santé au travail parrainé par Groupe Technologia