ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

2 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Documents de référence

1. Référence n°1 : ISO/CEI 20000-1:2011

Technologies de l’information – Gestion des services – Partie 1 : Exigences du
système de management des services

2. Référence n°2 : ISO/CEI 27001:2013

Technologies de l'information -- Techniques de sécurité -- Systèmes de management
de la sécurité de l'information -- Exigences

3. Référence n°3 : ISO/CEI 27002:2013

Technique de sécurité – Code de bonne pratique pour le management de la sécurité
de l’information

4. Référence n°4 : ISO/CEI 27006:2015

Technologies de l’information – Technique de sécurité – Exigences pour les
organismes procédant à l’audit et à la certification des systèmes de management de
la sécurité de l’information

5. Référence n°5 : ISO/CEI 27018:2014

Technologies de l'information -- Techniques de sécurité -- Code de bonnes pratiques
pour la protection des informations personnelles identifiables (PII) dans l'informatique
en nuage public agissant comme processeur de PII

6. Référence n°6 : Vue d’ensemble du référentiel HDS

7. Référence n°7 : Exigences Référentiel HDS

3 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Sommaire
Sommaire .............................................................................................................................. 4
1. Introduction .................................................................................................................... 5
1.1. Objet du document .................................................................................................. 5
1.2. Structure du document ............................................................................................ 5
2. Champ d’application ....................................................................................................... 6
3. Définition des exigences................................................................................................. 7
4. Modalités de contrôle ..................................................................................................... 9
4.1. Équivalence............................................................................................................. 9
4.2. Procédure de certification .......................................................................................10
4.2.1. Audit de certification ........................................................................................10
4.2.2. Délivrance du certificat ....................................................................................12
4.2.3. Audit de surveillance .......................................................................................12
5. Cycle de vie de la certification .......................................................................................13
5.1. Durée des audits ....................................................................................................13
5.2. Durée de validité de la certification .........................................................................13
5.3. Recertification ........................................................................................................13
5.4. Sanctions ...............................................................................................................14
5.5. Transfert de certification .........................................................................................14
Annexe A : Exigences du référentiel HDS ............................................................................15
Annexe B : Processus de certification HDS ..........................................................................63

4 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

[Link]
1.1. Objet du document
Le présent document constitue le référentiel de certification applicable aux hébergeurs
souhaitant obtenir une certification « hébergeur d’infrastructure » ou « hébergeur
Infogérant»1 de données de santé à caractère personnel.
Dans la suite du document, ce référentiel est désigné par le terme référentiel HDS.

1.2. Structure du document

Ce document est composé de cinq chapitres et de deux annexes :
 le chapitre 2 décrit les métiers visés par le référentiel HDS ;
 le chapitre 3 décrit les exigences et les liens entre le référentiel HDS et les normes
ISO ;
 le chapitre 4 décrit les modalités de contrôle des exigences et la procédure de
certification ;
 le chapitre 5 décrit le cycle de vie de la certification (durée et conditions d’audit, durée
de validité de la certification, etc.) ;
 l’annexe A contient la liste exhaustive des exigences du référentiel de certification
HDS réparties entre les deux types de certification liée aux métiers « hébergeur
d’infrastructure » ou « hébergeur infogérant » ;
 l’annexe B présente un schéma synthétique de la procédure de certification HDS.

1
Les certifications « hébergeur d’infrastructure » et « hébergeur infogérant » sont décrites dans le
document Référence n°6 : Vue d’ensemble du référentiel HDS.
Les dénominations définitives des deux certifications restent à définir.

5 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

[Link] d’application
La définition du périmètre organique des personnes soumises à cette obligation de
certification n’est pas traitée dans ce document. Ce périmètre sera défini dans la
réglementation.
Le champ d’application présenté dans ce point est relatif aux métiers couverts par la
certification HDS.
Deux types de certifications sont définis dans le référentiel :
 une certification « hébergeur d’infrastructure » qui concerne les activités
d’hébergement physique, de mise en œuvre de matériels informatiques et de
maintenance de matériels informatiques ;
 une certification « hébergeur infogérant » qui concerne les activités d’hébergement
physique, de mise en œuvre de matériels informatiques, de maintenance de
matériels informatiques et aussi l’activité d’infogérance et de sauvegardes
externalisées.
Ces certifications sont délivrées par des organismes de certification (OC) accrédités par le
COFRAC en France, ou un homologue européen. Ces organismes de certification ont pour
rôle de décider ou non de la conformité de l’hébergeur au référentiel de certification, au vu
des résultats d’audits. En fonction des résultats des audits l’OC délivre la certification
correspondante (ou attestation de conformité).
Dans la suite du document, le terme certification peut désigner indifféremment l’une ou
l’autre de ces certifications.
La certification HDS suppose que le candidat à la certification respecte l’ensemble des
exigences du référentiel, dont celles qui sont spécifiques à l’hébergement de données de
santé.
Toute exclusion des contrôles prévus en « Annexe A : Exigences du référentiel HDS » doit
être formellement justifiée. En cas d’exclusion de contrôles, les affirmations de conformité au
référentiel HDS ne sont admises que si ces exclusions n’affectent pas la capacité de
l’organisation et/ou sa responsabilité à garantir des niveaux conformes déterminés par une
évaluation des risques et les prescriptions légales ou règlementaires.

6 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

3.Définition des exigences

Les exigences du référentiel HDS sont définies dans l’Annexe A : Exigences du référentiel
HDS. Ces exigences sont :
 des exigences issues de
o l’ensemble des objectifs et mesures énumérés dans la norme ISO/CEI
27001:2013 ;
o une partie des objectifs et mesures énumérés dans la norme ISO/CEI 20000-
1:2011 ;
o une partie des objectifs et mesures énumérés dans la norme ISO/CEI
27018:2013 ;
 des exigences spécifiques au domaine de la santé.
Elles sont reparties entre chacun des deux types de certification : « hébergeur
d’infrastructure » ou « hébergeur infogérant ». À travers cette segmentation, les hébergeurs
peuvent identifier les exigences applicables à leurs activités d’hébergeur de données de
santé à caractère personnel et devront mettre en œuvre les moyens organisationnels et
techniques permettant d’assurer la sécurité des données de santé. Les hébergeurs peuvent
également prendre en compte des exigences additionnelles (par exemple des exigences des
normes ISO 20000-1:2011 ou ISO27018 :2015 non obligatoires pour la certification
souhaitée).
Les exigences sont regroupées selon 24 domaines d’exigences : 23 domaines sont définis à
partir des normes ISO/CEI 27001:2013 (domaines 1 à 21) et ISO/CEI 20000-1:2011
(domaines 22 à 23) et un domaine d’exigences Santé comprend les exigences issues de
l’ISO/CEI 270018 :2013 et des exigences spécifiques Santé.
Le tableau suivant énumère les différents domaines d’exigence.

# Domaine d’exigences Description

Identification des enjeux externes et internes pertinents qui
influent sur la capacité de la direction à obtenir le(s)
1 Contexte organisationnel
résultat(s) attendu(s) de son système de management de
la sécurité de l’information.
Engagement de la direction en faveur du système de
2 Leadership
management de la sécurité de l’information.
Implémentation des actions nécessaires afin de maintenir
3 Planification
le système de management de la sécurité de l’information.
Identification et fourniture des ressources nécessaires à
l’établissement, la mise en œuvre, la tenue à jour et
4 Support
l’amélioration continue du système de management de la
sécurité de l’information.
Planification, mise en œuvre et contrôle des processus
nécessaires à la satisfaction des exigences liées à la
5 Mise en œuvre du SMSI
sécurité de l’information et à la réalisation des actions
déterminées.
Définition d’actions permettant d’évaluer les performances
6 Évaluation de l'efficacité du système de management de la sécurité de l’information
dans le but de maintenir le système à jour.
Amélioration de la pertinence, de l’adéquation et l’efficacité
7 Amélioration continue
du système de management de la sécurité de l’information.
Définition d'une politique de sécurité, adaptée au contexte
8 Politique de sécurité métier et réglementaire, approuvée par la direction,
diffusée et régulièrement revue

7 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

# Domaine d’exigences Description

Mise en place d'une organisation interne responsable de la
gestion de la sécurité de l'information (organisation, rôles et
9 Organisation
responsabilités, gouvernance).
Gestion du télétravail et des accès en situation de mobilité
Définition des règles de sécurité pour les employés et les
10 Ressources humaines sous-traitants avant leur prise de poste, durant leur emploi
et après la résiliation de leur emploi
Identification du patrimoine informationnel de l'organisation,
11 Gestion des actifs
classification de l'information et gestion des supports
Gestion des accès (par le personnel de l’hébergeur, le
Authentification et
12 médecin, les utilisateurs, les professionnels de santé, etc.):
contrôle des accès
identification, authentification, autorisation
Utilisation correcte et efficace de la cryptographie en vue
Cryptographie –
13 de protéger la confidentialité, l’authenticité et/ou l’intégrité
Chiffrement
de l’information.
Protection des infrastructures contre les accès physiques
Sécurité physique et non autorisés, les dommages accidentels.
14
environnementale Protection des équipements contre le vol, la perte et toute
modification illicite
Définition de procédures d'exploitation, protection contre
Sécurité liée à les codes malveillants, sauvegarde, traçabilité des
15
l'exploitation événements, gestion des vulnérabilités et audit des
systèmes d'information
Intégration de la sécurité de l’information dans les
Acquisition,
systèmes d’information tout au long de son cycle de vie.
développement et
16 Cela inclut notamment des exigences spécifiques pour les
maintenance des
systèmes d’information fournissant des services sur les
systèmes
réseaux publics.
Sécurité des Sécurisation des réseaux et des échanges de données
17
communications entre l’hébergeur et les tiers
Protection des actifs de l'hébergeur accessibles par des
18 Gestion des fournisseurs fournisseurs (éditeur, prestataire, sous-traitant, etc.) et
maintien du niveau de sécurité avec les fournisseurs
Gestion des incidents de sécurité (rôles et responsabilités,
19 Gestion des incidents
procédures) et notification des parties prenantes
Gestion de la continuité Gestion de la continuité d'activité, du plan de secours
20
d'activité informatique et de la reprise d’activité
Conformité avec la réglementation (incluant la protection du
21 Conformité droit des personnes) et les obligations contractuelles, et
audits de la sécurité de l'information
Mise en production des Évaluation du prestataire de tous les nouveaux services et
22 services les changements aux services avec le potentiel d'avoir un
impact majeur sur les services ou le client.
Définition des procédures permettant de fournir et maintenir
23 Fourniture des services
le service au client.
Exigences spécifiques
24
santé Conformité avec les spécificités du domaine de la santé

8 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

[Link]és de contrôle
4.1. Équivalence
Un candidat souhaitant obtenir une certification devra répondre aux exigences du référentiel
et faire une demande de certification auprès d’un organisme de certification accrédité par le
COFRAC.
Pour obtenir une certification, un hébergeur devra :
 exploiter un système de gestion de la sécurité des informations conforme à la norme
ISO/CEI 27001:2013 ;
o l’hébergeur pourra obtenir sa certification ISO 27001 :2013 dans le cadre de
la certification HDS ou faire valoir une certification ISO 27001 :2013 déjà
obtenue ;
 de plus, l’hébergeur sera évalué pour la conformité vis-à-vis des exigences des
domaines 22 à 24 (exigences issues des normes ISO 20000 -1 :2011, ISO
27018 :2014 et exigences spécifiques santé).
Le chapitre Annexe A : Exigences du référentiel HDS précise les exigences applicables pour
chacun des types de certification (certification « hébergeur d’infrastructure », certification
« hébergeur infogérant »).
La certification ISO 20000-1:2011 n’est pas exigée, seules des exigences extraites de cette
certifications doivent être respectées par l’hébergeur. Un hébergeur disposant déjà de cette
certification ne sera évalué que sur le périmètre des exigences éventuellement non
couvertes par sa certification. La certification déjà obtenue fera l’objet d’une vérification selon
les modalités définies dans le chapitre [Link]. Dans ce cas, l’hébergeur devra réaliser un
audit limité des exigences couvertes par les certifications existantes.
Cet audit limité aura pour objectif de réaliser un examen de niveau modéré, sur la base de
diligences ne mettant toutefois pas en œuvre toutes les procédures requises pour un audit.
Cet audit limité est décrit dans le chapitre [Link].
La norme ISO 27018:2014, n’est pas prévue pour la délivrance d’une certification mais
uniquement comme guide d’implémentation. Les certifications ISO 27018:2014 sont par
conséquent émises hors accréditation. Pour cette raison, la notion d’équivalence ne
s’applique pas à la norme.
Tout organisme possédant un certificat ISO 27018:2014 et souhaitant être certifié hébergeur
de données de santé à caractère personnel, sera évalué par l’organisme de certification sur
l’implémentation des contrôles de la norme ISO 27018:2014.

9 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Source Cas 1 – le candidat Cas 2 - le candidat Cas 3 - le candidat ne

des possède les certifications possède la certification ISO possède aucune
exigences ISO 27001 et 20000 27001 certification

ISO 27001

ISO 20000

ISO 27018
Exigences
spécifiques

Pour ce périmètre, les certifications existantes valent respect des exigences et ne font l’objet que
d’une vérification.

Pour ce périmètre, les exigences seront auditées par l’organisme de certification

Un candidat n’ayant pas la certification ISO 27001 devra l’obtenir, soit auprès d’un organisme de
certification de son choix, soit auprès de l’organisme de certification HDS.

4.2. Procédure de certification

4.2.1. Audit de certification
Le processus de certification HDS est représenté en Annexe B. Il se base sur le processus
standard de type système de management (cf. ISO/CEI 17021).
Les chapitres suivants rappellent les points principaux du processus de certification.

[Link]. Vérification des certifications

Si un hébergeur dispose déjà d’une certification sur un ou plusieurs normes sur lesquelles
s’appuie le référentiel HDS les contrôles correspondant aux exigences issues de ces normes
font l’objet d’un contrôle limité portant sur les points suivants :
 le périmètre de la certification dont dispose l’hébergeur doit inclure toutes les
activités de ses opérations liées à l’hébergement de données de santé à
caractère personnel, notamment tous les systèmes liés ; toute exclusion du
périmètre devra être justifiée en détail ;
 pour un candidat disposant d’une certification ISO 27001, la Déclaration
d’applicabilité du système de gestion de la sécurité des informations de
l’organisation doit expressément inclure tous les contrôles prévus en Annexe A :
Exigences du référentiel HDS, toutes les activités de leurs opérations liées à
l’hébergement de données de santé et notamment tous les systèmes liés ; toute
exclusion des contrôles ISO/IEC 27001 devra être justifiée en détail ; tout contrôle
non applicable sera justifié en détail ;
 la certification doit
o être en cours de validité
o ne pas faire l’objet d’une procédure de suspension ou de recertification ;

10 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

o ne pas faire l’objet d’une demande de transfert.

[Link]. Préparation de l’audit

Une fois la demande de certification formalisée et communiquée à l’organisme de
certification, ce dernier réalise un plan d’audit dans lequel il définit :
 les objectifs en termes de degré de conformité de tout ou partie du système
d’information hébergeant les données de santé à caractère personnel ;
 l’évaluation du système d’information à assurer la conformité aux exigences du
référentiel HDS ;
 l’évaluation de l’efficacité du système d’information à satisfaire ces objectifs
d’hébergement de données de santé à caractère personnel.

[Link]. 1ère étape de l’audit de certification

Avant d’intervenir sur le(s) site(s) où les données de santé seront hébergées, l’organisme de
certification réalise une revue documentaire du système d’information du candidat afin de
déterminer la conformité documentaire du système par rapport aux exigences du référentiel
HDS. La documentation peut comprendre des documents définissant les différentes
procédures de gestion du système d’information ainsi que des rapports d’audit précédents.

[Link]. 2ème étape de l’audit de certification

La 2ème étape de l’audit de certification consiste aux activités d’audit sur site. Avant
d’intervenir sur site, l’organisme de certification doit formaliser un plan d’audit spécifiant les
modalités de l’intervention de l’audit entre le candidat, l’organisme de certification et l’équipe
d’audit.
Le plan d’audit doit notamment contenir :
 les objectifs d’audit ;
 les documents de référence ;
 le périmètre d’intervention ;
 l’identification des lieux d’audit ;
 les rôles et responsabilités de chaque personne ;
 les durées et les dates d’intervention.
L’organisme de certification exécute l’audit de certification en recueillant et vérifiant des
informations.
Les preuves d’audit peuvent être recueillies par différentes manières définies dans l’ISO/CEI
27006:2015.
Elles sont évaluées par rapport aux objectifs de l’audit et de telle manière qu’elles soient en
accord avec les exigences du référentiel HDS.
Il convient d’enregistrer et de conserver les preuves associées aux non-conformités.

L’organisme de certification formalise et communique un rapport d’audit dans lequel sont

définis différents éléments tels que :
 les objectifs de l’audit ;
 le périmètre de l’audit ;
 les dates et lieux d’intervention ;
 les constats d’audits ;
 les conclusions d’audits.
Dans le cas où l’organisme de certification détecte des non-conformités, des actions
correctives, préventives ou d’amélioration devront être entreprises par l’audité.

11 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

L’ensemble des actions doit être réalisé et audité dans un délai maximum de 3 mois après la
date de fin de la 2ème étape de l’audit.

4.2.2. Délivrance du certificat

La délivrance du certificat d’hébergeur de données de santé à caractère personnel résulte de
l'examen positif du processus de certification par l’organisme de certification.
Si des non-conformités avaient été constatées à la fin de la 2ème étape de l’audit, le
certificat ne pourra être délivré qu’après leur correction, c’est-à-dire lorsque les actions
correctives auront été vérifiées et/ou admises par l'organisme de certification.

4.2.3. Audit de surveillance

Une fois l’hébergeur de données de santé certifié pour une période de 3 ans, ce dernier doit
effectuer un audit de surveillance auprès de l’organisme de certification une fois par an et
cela 1 an après la date de certification initiale (au plus tôt 3 mois avant la date d’anniversaire
du certificat).
Tout organisme certifié hébergeur de données de santé devra réaliser un audit de
surveillance chaque année avant la date limite qui ne peut pas être fixée plus tard que 12
mois après le dernier jour de la 2ème étape de l’audit.

12 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

[Link] de vie de la certification

5.1. Durée des audits
La détermination de la durée d’audit doit être réalisée en appliquant la méthode et les
tableaux de l’Annexe C de la norme ISO/CEI 27006:2015.
La durée d’audit d’un service d’hébergement dépend notamment de différents critères
afférents à l’hébergeur de données de santé, tels que :
 le nombre d'employés ;
 la taille du service d’hébergement : par exemple le nombre de serveurs et/ou
machines virtuelles utilisés, le nombre de systèmes d’information utilisés, le volume
d’informations traitées, le nombre de clients, le nombre d’utilisateurs intervenant sur
le système d’information, la complexité du réseau ;
 les caractéristiques du candidat : par exemple le nombre de pôles ou départements
de l’organisation du candidat faisant partie du périmètre de la certification ;
 la complexité du service d’hébergement : par exemple la criticité du ou des systèmes
d’information hébergés, la criticité des risques identifiés, le volume d’informations
sensibles manipulé, le nombre et les types de transactions électroniques réalisés au
sein du service d’hébergement, le nombre de sites impliqués dans le service
d’hébergement et la distance les séparant, l’étendue de la documentation formalisée
par le candidat, l’étendue et diversité des technologies mises en œuvre au sein du
service d’hébergement : les dispositifs de contrôle permettant d’assurer la
confidentialité et l’intégrité des données de santé, les mesures correctives ou
préventives permettant de limiter les risques, l’étendue et la complexité des réseaux
(mobiles, interne, externe, etc.).

5.2. Durée de validité de la certification

La certification est délivrée pour une durée de 3 ans. Les hébergeurs certifiés doivent
déposer auprès de l’organisme de certification une demande de recertification au plus tard 3
mois avant la date de fin de la validité de la certification.

5.3. Recertification
Le processus de recertification HDS se base sur le processus standard de type système de
management (cf. ISO/CEI 17021).
Un audit de recertification doit être planifié et effectué pour évaluer le maintien de la
conformité à toutes les exigences du référentiel HDS. Le but de l'audit de recertification est
de confirmer le maintien de la conformité et de l'efficacité du système de management dans
son ensemble ainsi que sa pertinence et son applicabilité en permanence au regard du
service d’hébergement proposé.
Durant cet audit de recertification, l’organisme de certification réalise :
 un examen de la documentation du système d’information de l’hébergeur de
données de santé sur la période de certification ;
 un audit sur site afin de s’assurer que toutes les exigences du référentiel HDS sont
vérifiées ;
 une évaluation des résultats des audits de surveillance réalisés sur la période de
validité de la certification.

13 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Lorsque des cas de non-conformité ou d'absence de preuves de conformité sont identifiés au

cours d'un audit de recertification, l'organisme de certification doit fixer des délais pour la
mise en œuvre de corrections et d'actions correctives avant l'expiration de la certification.

L’audit de recertification doit être réalisé et achevé avant l’expiration de la durée de validité
du certificat délivré à l’hébergeur de données de santé à caractère personnel. La
recertification doit être considérée comme la prolongation de la certification obtenue lors de
l’audit initial.

5.4. Sanctions
[Chapitre à compléter avec un renvoi vers les sanctions.
Les normes ISO prévoient que des sanctions soient définies et laissées à la discrétion des
autorités compétentes.]

5.5. Transfert de certification

Le transfert d'une certification est défini comme la reconnaissance d'une certification
existante et valide, au cours d'un cycle de certification, qui est accordé par un organisme de
certification couvert par une accréditation en cours de validité par un autre organisme de
certification, également couvert par une accréditation en cours de validité afin d'émettre sa
propre certification.
Un hébergeur certifié peut demander le transfert de sa certification, pour la durée de la
validité restante à courir à condition que :
 la certification objet de la demande de transfert ne soit pas suspendue ;
 la certification objet de la demande de transfert ne doit pas faire l’objet d’une
procédure de recertification.

14 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Annexe A : Exigences du référentiel HDS

Le tableau présenté dans cette annexe énumère la liste des exigences du référentiel HDS.
Chaque ligne comporte :
 un identifiant d’exigence ;
 le point de contrôle ;
 la norme sur laquelle cette exigence s’appuie ;
 une indication précisant si cette exigence doit faire partie de la DdA de la certification
« hébergeur d’infrastructure » ou « hébergeur infogérant » ;
 le libellé de l’exigence
 les tests des points de contrôle.

15 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Hébergeur Infogérant
d'infrastructure
Hébergeur
Types de
Identifiant Contrôles Normes Exigences certification HDS Référence
certification

1 - Contexte organisationnel
1.1 - Compréhension du contexte
Le candidat doit identifier les objectifs
du SMSI et les difficultés pouvant
porter atteinte à l’efficacité de son
1.1.1 Objectifs du SMSI ISO 27001 X X cf. ISO/CEI 27001:2013 partie 4.1
système de management de la
sécurité de l’information (SMSI).

1.2 - Compréhension des attentes des parties prenantes

Le candidat doit identifier les parties
Parties prenantes du
1.2.1 ISO 27001 X X prenantes concernées par le SMSI. cf. ISO/CEI 27001:2013 partie 4.2 (a)
SMSI
Le candidat doit communiquer les
Exigences de sécurité
exigences de sécurité sous
1.2.2 et responsabilités des ISO 27001 X X cf. ISO/CEI 27001:2013 partie 4.2 (b)
responsabilité des parties prenantes.
parties prenantes
1.3 - Définition du périmètre du SMSI
Le candidat doit formaliser et
1.3.1 Périmètre du SMSI ISO 27001 X X présenter le périmètre de son SMSI. cf. ISO/CEI 27001:2013 partie 4.3

16 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

1.4 - Définition du SMSI

Le candidat doit être capable de
démontrer qu'il a défini, mis en
1.4.1 Conformité du SMSI ISO 27001 X X œuvre, maintenu et amélioré son cf. ISO/CEI 27001:2013 partie 4.4
SMSI conformément à la norme ISO
27001.
2 - Leadership
2.1 - Engagement du management
La politique de sécurité des systèmes
Orientations d’information doit être en ligne avec
2.1.1 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 5.1 (a)
stratégiques les orientations stratégiques.

Les processus métier liés à l’activité

Intégration du SMSI d’hébergement de données de santé
2.1.2 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 5.1 (b)
dans les processus doivent comprendre les exigences
liées au SMSI.
La direction doit s'assurer que les
ressources nécessaires au bon
2.1.3 Ressources du SMSI ISO 27001 X X cf. ISO/CEI 27001:2013 partie 5.1 (c)
fonctionnement du SMSI sont
disponibles.
La direction doit communiquer sur
Communication du l'importance d'un SMSI efficace et
2.1.4 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 5.1 (d)
management opérationnel au sein des activités
d'hébergement de données de santé.
La direction doit s'assurer que le
2.1.5 Objectifs du SMSI ISO 27001 X X cf. ISO/CEI 27001:2013 partie 5.1 (e)
SMSI atteint les objectifs définis.
La direction doit encourager ses
2.1.6 Management ISO 27001 X X équipes à contribuer à l'amélioration cf. ISO/CEI 27001:2013 partie 5.1 (f)
et au maintien du SMSI.
La direction doit promouvoir
2.1.7 Amélioration du SMSI ISO 27001 X X l'amélioration continue du SMSI. cf. ISO/CEI 27001:2013 partie 5.1 (g)

La direction encourage les autres

membres du management impliqués à
2.1.8 Leadership ISO 27001 X X cf. ISO/CEI 27001:2013 partie 5.1 (h)
faire preuve de leadership sur leur
domaine de responsabilité.

17 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

2.2 - Politique de Sécurité du SI (PSSI)

La PSSI doit être adaptée au contexte
[Link] Contexte ISO 27001 X X de l'entreprise, notamment cf. ISO/CEI 27001:2013 partie 5.2 (a)
l'hébergement de données de santé.
Les objectifs du SMSI doivent être
[Link] Objectifs du SMSI ISO 27001 X X cf. ISO/CEI 27001:2013 partie 5.2 (b)
clairement mentionnés dans la PSSI.
Un engagement à respecter les
[Link] Exigences de sécurité ISO 27001 X X exigences de sécurité doit être cf. ISO/CEI 27001:2013 partie 5.2 (c)
formalisé dans la PSSI.
Un engagement
d'amélioration continue La PSSI doit faire mention de
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 5.2 (d)
du SMSI est présent l'amélioration continue du SMSI.
dans la PSSI
La PSSI est
[Link] ISO 27001 X X La PSSI doit être formalisée. cf. ISO/CEI 27001:2013 partie 5.2 (e)
documentée
La PSSI est
La PSSI doit être diffusée au sein de
[Link] communiquée aux ISO 27001 X X cf. ISO/CEI 27001:2013 partie 5.2 (f)
l'organisation.
parties concernées
La PSSI doit être disponible pour les
La PSSI est disponible
[Link] ISO 27001 X X parties concernées. cf. ISO/CEI 27001:2013 partie 5.2 (g)
aux parties concernées
2.3 - Définition des rôles et responsabilités
La direction doit s’assurer que les
responsabilités et autorités des rôles
concernés par la sécurité de
Supervision du niveau
2.3.1 ISO 27001 X X l’information sont attribuées et cf. ISO/CEI 27001:2013 partie 5.3 (a)
de conformité du SMSI
communiquées au sein de
l’organisation.

La direction doit désigner le

responsable et lui conférer l’autorité
pour s’assurer que le SMSI est
Supervision de la
2.3.2 ISO 27001 X X conforme aux exigences de la norme cf. ISO/CEI 27001:2013 partie 5.3 (b)
performance du SMSI
ISO/CEI 27001 et rendre compte de la
performance du SMSI.

18 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

3 - Planification
3.1 - Actions de traitement des risques
3.1.1 - Planification générale
L’organisation doit identifier ses
Planification du risques et s'assurer que leur
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.1 (a)
traitement des risques traitement est en accord avec les
objectifs du SMSI.
L'organisation doit s'assurer que le
Prévention ou
traitement des risques sélectionnés
[Link] réduction des effets ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.1 (b)
permet la prévention ou la réduction
indésirables
des effets indésirables.
L'organisation doit appliquer une
Amélioration continue
[Link] ISO 27001 X X démarche d'amélioration continue du cf. ISO/CEI 27001:2013 partie 6.1.1 (c)
du SMSI
SMSI.
Formaliser et mettre en œuvre les
actions définies dans le plan d'action
[Link] Plan d'action ISO 27001 X X permettant de traiter les risques qui cf. ISO/CEI 27001:2013 partie 6.1.1 (d)
ont été identifiés dans l'analyse de
risque.
S'assurer que la mise en œuvre du
Intégration des actions plan d'action prévoit les modalités
[Link] correctives aux ISO 27001 X X d'intégration aux processus du SMSI cf. ISO/CEI 27001:2013 partie 6.1.1 (e)
processus du SMSI ainsi que l'évaluation de leur
efficacité.
3.1.2 - Évaluation des risques
Le candidat doit fournir une
méthodologie d'analyse de risques
[Link] Méthodologie ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.2 (a)
décrivant notamment les critères
d'acceptation des risques.
La méthodologie d'analyse de risques
Résultats quantifiables doit permettre la production de
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.2 (b)
et comparables résultats cohérents, valides et
comparables.

19 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

La méthodologie d'analyse de risques

doit permettre une identification
Critères d'analyse de précise des risques suivant les
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.2 (c)
risque critères de sécurité (disponibilité,
intégrité et confidentialité) ainsi que le
propriétaire de ces risques.
Le candidat doit s'assurer que la
méthodologie d'analyse de risques
[Link] Impacts et criticité ISO 27001 X X permet l'identification des impacts, cf. ISO/CEI 27001:2013 partie 6.1.2 (d)
probabilités et niveaux de criticité
associée à chacun des risques.
Le candidat doit mettre en œuvre une
priorisation des risques en vue d'un
[Link] Priorisation des risques ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.2 (e)
traitement et d'une comparaison des
risques.
3.1.3 - Plan de traitement des risques
Le processus de traitement des
risques doit prendre en compte les
Processus de résultats de l'analyse de risques,
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.3 (a)
traitement des risques notamment concernant le choix des
options de traitement des risques et
leur priorisation.
Le processus de traitement des
risques doit permettre de déterminer
Traitement des non-
[Link] ISO 27001 X X toutes les mesures de traitement des cf. ISO/CEI 27001:2013 partie 6.1.3 (b)
conformités
risques conformément au choix des
options de traitement.
Le candidat doit s'assurer qu'un
rapprochement avec l'Annexe A de
[Link] Rapprochement ISO 27001 X X l'ISO 27001 de la norme est réalisé cf. ISO/CEI 27001:2013 partie 6.1.3 (c)
afin de s'assurer qu'aucun point de
contrôle n'a été omis.
Présenter une déclaration
Déclaration d'applicabilité, justifiant la sélection et
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.3 (d)
d'applicabilité l'exclusion de contrôles de sécurité
définie en Annexe A de l'ISO 27001.
Plan de traitement des Présenter un plan de traitement des
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.3 (e)
risques risques.

20 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Faire approuver le plan de traitement

des risques par les responsables et
[Link] Risques résiduels ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.1.3 (f)
obtenir leur acception des risques
résiduels.
3.2 - Objectifs relatifs à la sécurité de l'information
Définir les objectifs de sécurité qui
3.2.1 Définition ISO 27001 X X doivent être en ligne avec les objectifs cf. ISO/CEI 27001:2013 partie 6.2 (a)
de la PSSI.
Établir, aux fonctions et niveaux
3.2.2 Indicateur ISO 27001 X X concernés, des objectifs de sécurité cf. ISO/CEI 27001:2013 partie 6.2 (b)
de l’information mesurables.
Établir des objectifs de sécurité qui
prennent en compte l'analyse de
3.2.3 Analyse de risque ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.2 (c)
risques et les exigences applicables à
la sécurité de l’information.
Les objectifs de sécurité doivent être
3.2.4 Communication ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.2 (d)
communiqués.
Les objectifs de sécurité doivent être
régulièrement contrôlés et mis à jour
afin, notamment de s'assurer qu'ils
3.2.5 Revue ISO 27001 X X répondent toujours au cadre cf. ISO/CEI 27001:2013 partie 6.2 (e)
réglementaire et législatif et que les
mesures de sécurité sont toujours en
adéquation avec ces objectifs.
Définir les actions permettant
3.2.6 Actions ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.2 (f)
d'atteindre les objectifs de sécurité.
Identifier les ressources mises en
œuvre pour réaliser les actions
3.2.7 Ressources ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.2 (g)
permettant d'atteindre les objectifs de
sécurité.
Identifier les responsables des actions
3.2.8 Responsables ISO 27001 X X permettant d'atteindre les objectifs de cf. ISO/CEI 27001:2013 partie 6.2 (h)
sécurité.
Définir les délais imposés pour la
3.2.9 Délais ISO 27001 X X mise en œuvre de chacune des cf. ISO/CEI 27001:2013 partie 6.2 (i)
actions.
Définir les modalités d'évaluation des
3.2.10 Évaluation des actions ISO 27001 X X cf. ISO/CEI 27001:2013 partie 6.2 (j)
résultats des actions.

21 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

4 - Support
4.1 - Ressources
Identifier et communiquer les
ressources nécessaires à la définition,
4.1.1 Ressources ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.1
l'implémentation, la maintenance et
l'amélioration continue du SMSI.
4.2 - Compétences
Identifier les compétences
nécessaires aux personnes
4.2.1 Compétences ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.2 (a)
intervenant sur le périmètre de la
sécurité de l'information.
S’assurer de la compétence de ces
4.2.2 Qualification ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.2 (b)
personnes.
Si nécessaire, mettre en œuvre les
Adaptation des mesures pour acquérir ces
4.2.3 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.2 (c)
compétences compétences et évaluer l'efficacité de
ces mesures.
Conserver les preuves formelles des
4.2.4 Conservation ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.2 (d)
compétences des ressources.
4.3 - Sensibilisation
Présenter la liste de diffusion
permettant de s'assurer que tous les
4.3.1 Diffusion ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.3 (a)
intervenants de l'hébergeur ont pris
connaissance de la PSSI.
Rôles et Les intervenants doivent avoir
4.3.2 responsabilités des ISO 27001 X X conscience de leur contribution au cf. ISO/CEI 27001:2013 partie 7.3 (b)
intervenants SMSI.
Les intervenants doivent avoir
conscience des conséquences en cas
4.3.3 Conséquences ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.3 (c)
de non-application des exigences du
SMSI.
4.4 - Communication

22 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Présenter le plan ou les principes de

communication visant à informer
l'ensemble des partenaires et plus
4.4.1 Plan de communication ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.4 (a)
particulièrement les personnes
physiques ou morales à l'origine du
dépôt des données de santé.
La fréquence des
Identifier à quels moments
4.4.2 communications est ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.4 (b)
communiquer.
définie
Les destinataires des
Identifier les personnes avec qui
4.4.3 communications sont ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.4 (c)
communiquer.
identifiés
Les responsables des
Identifier les personnes responsables
4.4.4 communications sont ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.4 (d)
de la communication.
identifiés
Les modalités et
moyens de Formaliser les modalités et moyens
4.4.5 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.4 (e)
communication sont de communication.
définis
4.5 - Documentation de l'information
4.5.1 - Documentation générale
Formaliser et fournir les documents
[Link] Documentation ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.5.1 (a)
imposés par la norme ISO 27001.
Formaliser et fournir les documents
[Link] Documents ISO 27001 X X considérés comme nécessaires au cf. ISO/CEI 27001:2013 partie 7.5.1 (b)
bon fonctionnement du SMSI.
4.5.2 - Création et mise à jour de documents
Le candidat doit s'assurer que les
documents sont clairement identifiés
[Link] Identification ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.5.2 (a)
(exemple : titre, date, auteur et
référence).
Le candidat doit s'assurer que les
[Link] Format ISO 27001 X X documents produits sont au format cf. ISO/CEI 27001:2013 partie 7.5.2 (b)
approprié.

23 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les documents doivent être revus et

validés périodiquement afin de
[Link] Revue et validation ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.5.2 (c)
garantir la pertinence des
informations.
4.5.3 - Contrôle de la documentation
Définir les contrôles mis en œuvre
Disponibilité de la permettant de s'assurer que la
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.5.3 (a)
documentation documentation est disponible à tout
moment.
Définir les contrôles et les moyens de
Protection de la sécurité mis en œuvre permettant de
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.5.3 (b)
documentation s'assurer que la documentation est
correctement protégée.
Définir les modalités de distribution,
[Link] Moyens d'accès ISO 27001 X X d'accès et d'utilisation de la cf. ISO/CEI 27001:2013 partie 7.5.3 (c)
documentation.
Conservation et Définir les modalités de stockage et
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.5.3 (d)
archivage conservation de la documentation.
Système de gestion Présenter un système de gestion des
[Link] ISO 27001 X X cf. ISO/CEI 27001:2013 partie 7.5.3 (e)
des versions versions documentaires.
Définir les durées de rétention et
Durées de
[Link] ISO 27001 X X modalités de destruction de la cf. ISO/CEI 27001:2013 partie 7.5.3 (f)
conservation
documentation.
5 - Mise en œuvre du SMSI
5.1 - Prérequis globaux
Planifier, mettre en œuvre et contrôler
5.1.1 Objectifs de sécurité ISO 27001 X X les processus permettant d'atteindre cf. ISO/CEI 27001:2013 partie 8.1
les objectifs de sécurité.
Conserver les preuves du suivi de ces
5.1.2 Processus (1/2) ISO 27001 X X cf. ISO/CEI 27001:2013 partie 8.1
processus.
Définir un processus de contrôle des
modifications prévues ou imprévues
de ces processus qui prévoit a minima
5.1.3 Processus (2/2) ISO 27001 X X cf. ISO/CEI 27001:2013 partie 8.1
l’analyse des conséquences des
modifications et la définition d’actions
limitant les effets négatifs.

24 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Identifier et contrôler les processus

5.1.4 Processus externalisés ISO 27001 X X cf. ISO/CEI 27001:2013 partie 8.1
externalisés
5.2 - Analyses de risques
Mettre à jour l’analyse de risque à
5.2.1 Fréquence ISO 27001 X X intervalles planifiés ou en cas de cf. ISO/CEI 27001:2013 partie 8.2
changement significatif.
Documenter et conserver les résultats
5.2.2 Résultats ISO 27001 X X cf. ISO/CEI 27001:2013 partie 8.2
des analyses de risques.
5.3 - Traitement des risques
Plan de traitement des Définir et mettre en œuvre un plan de
5.3.1 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 8.3
risques traitement des risques
Documenter et conserver les résultats
5.3.2 Conservation ISO 27001 X X cf. ISO/CEI 27001:2013 partie 8.3
du plan de traitement des risques
6 - Évaluation de l'efficacité
6.1 - Supervision, évaluation et analyse de l'efficacité du SMSI
Définir le périmètre de supervision du
Périmètre de
6.1.1 ISO 27001 X X SMSI notamment des processus et cf. ISO/CEI 27001:2013 partie 9.1 (a)
supervision
des mesures définies dans le SMSI.
Présenter les moyens de surveillance
6.1.2 Moyens de surveillance ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.1 (b)
mis en œuvre.
Indicateurs de
6.1.3 ISO 27001 X X Planifier la surveillance du SMSI. cf. ISO/CEI 27001:2013 partie 9.1 (c)
supervision
Responsables de la
Identifier le(s) responsable(s) de la
6.1.4 génération des ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.1 (d)
surveillance
indicateurs
Analyse des Définir une fréquence d'analyse des
6.1.5 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.1 (e)
indicateurs résultats de la surveillance.
Responsables de Identifier le(s) responsable(s) de cette
6.1.6 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.1 (f)
l'analyse analyse.
6.2 - Audit interne
Communiquer les rapports d'audit
réalisés par le candidat permettant de
s'assurer de la conformité du SMSI
6.2.1 Rapports d'audit ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.2 (a)
aux exigences de l'entreprise ainsi
qu'aux exigences de la norme ISO
27001

25 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Présenter les principes de contrôles

périodiques visant à assurer que les
6.2.2 Contrôles ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.2 (b)
mesures de protection sont
efficacement mises en œuvre.
Un plan d'audit interne est défini
(fréquence, méthodologie
6.2.3 Plan d'audit ISO 27001 X X responsabilités, planning), prenant en cf. ISO/CEI 27001:2013 partie 9.2 (c)
compte les résultats des précédents
audits
Le plan d'audit doit définir le périmètre
6.2.4 Périmètre ISO 27001 X X et les critères de chacun des audits cf. ISO/CEI 27001:2013 partie 9.2 (d)
réalisés.
Le candidat doit s'assurer de
6.2.5 Objectivité ISO 27001 X X l’objectivité et de l’impartialité des cf. ISO/CEI 27001:2013 partie 9.2 (e)
résultats d'audit.
S’assurer de la communication des
6.2.6 Communication ISO 27001 X X résultats d’audit à la direction cf. ISO/CEI 27001:2013 partie 9.2 (f)
concernée.
Le plan d'audit et les résultats d'audit
doivent être documentés et conservés
6.2.7 Documentation ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.2 (g)
comme preuve de la mise en œuvre
des audits.
6.3 - Revue périodique du management
Le management doit réaliser des
revues périodiques du SMSI de
6.3.1 Revues périodiques ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.3
manière à s'assurer de sa pertinence
et de son efficacité.
Les revues périodiques du SMSI par
le management doivent prendre en
6.3.2 Revues antérieurs ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.3 (a)
compte les actions relatives aux
précédentes revues.
Les revues doivent prendre en
Changement impactant
6.3.3 ISO 27001 X X compte les changements affectant le cf. ISO/CEI 27001:2013 partie 9.3 (b)
le SMSI
SMSI.

26 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les revues doivent prendre en

compte les retours relatifs à l'efficacité
Retours relatifs à du SMSI (non-conformités, indicateurs
6.3.4 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.3 (c)
l'efficacité du SMSI de supervision, résultats d'audit,
évaluation de l'atteinte des objectifs
de sécurité).
Les revues doivent prendre en
Retours des parties compte les retours, remarques et
6.3.5 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.3 (d)
concernées points d'attention des parties
concernées.
Les revues doivent prendre en
compte les résultats de l'analyse de
6.3.6 Analyse de risque ISO 27001 X X cf. ISO/CEI 27001:2013 partie 9.3 (e)
risques et le statut des actions du plan
de traitement des risques.
Les revues doivent prendre en
Amélioration continue
6.3.7 ISO 27001 X X compte les opportunités cf. ISO/CEI 27001:2013 partie 9.3 (f)
du SMSI
d'amélioration continue.
Les conclusions de la revue de
direction doivent inclure les décisions
Revues périodiques
6.3.8 ISO 27001 X X relatives aux opportunités cf. ISO/CEI 27001:2013 partie 9.3
(1/2)
d’amélioration continue et aux
éventuellement changements.
Les conclusions de la revue de
Revues périodiques
6.3.9 ISO 27001 X X direction doivent être formalisées et cf. ISO/CEI 27001:2013 partie 9.3
(2/2)
conservées à titre de preuve.
7 - Amélioration continue
7.1 - Gestion des non-conformités
En cas de détection de non-
conformité, corriger et maîtriser les
7.1.1 Mesures ISO 27001 X X mesures prises permettant de traiter cf. ISO/CEI 27001:2013 partie 10.1 (a)
les conséquences dues à la non-
conformité.

27 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Mettre en œuvre une action

permettant d'éliminer les causes des
non-conformités, de sorte qu'elle ne
se reproduise plus, ou qu'elle ne se
7.1.2 Origines ISO 27001 X X produise pas ailleurs. Pour cela, cf. ISO/CEI 27001:2013 partie 10.1 (b)
l'hébergeur doit examiner et
déterminer les causes des non-
conformités.

Dans le cas de détection de non-

conformité, mettre en œuvre des
7.1.3 Actions correctives ISO 27001 X X cf. ISO/CEI 27001:2013 partie 10.1 (c)
actions correctives permettant de
limiter les risques.
Les actions correctives doivent faire
7.1.4 Évaluation ISO 27001 X X l'objet d'une évaluation afin de cf. ISO/CEI 27001:2013 partie 10.1 (d)
s'assurer de leurs efficacités.
Documenter toutes les modifications
apportées au système de
7.1.5 Modification du SMSI ISO 27001 X X management de sécurité de cf. ISO/CEI 27001:2013 partie 10.1 (e)
l'information dans le cas du
déploiement d'actions correctives.
Conserver des informations
Association des non- documentées comme preuve de la
7.1.6 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 10.1 (f)
conformités nature des non-conformités et de
toute action subséquente.
Conserver des informations
Documentation des documentées comme preuves des
7.1.7 ISO 27001 X X cf. ISO/CEI 27001:2013 partie 10.1 (g)
actions correctives résultats de toute action corrective.

7.2 - Processus d'amélioration continue

Formaliser, appliquer et mettre à jour
régulièrement une procédure
permettant d'améliorer la pertinence,
7.2.1 SMSI ISO 27001 X X l’adéquation et l’efficacité du système cf. ISO/CEI 27001:2013 partie 10.2
de management de la sécurité de
l’information.

28 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

8 - Politique de sécurité du SI
8.1 -Gestion de la sécurité de l'information
Un ensemble de politique de sécurité
de l’information doit être défini,
Politiques de sécurité approuvé par la direction, puis publié
8.1.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 5.1.1
du SI et diffusé auprès de
l’ensemble des salariés et des tiers
concernés.
Pour garantir la pertinence,
l’adéquation et l'effectivité dans le
temps des politiques de sécurité de
Revue des politiques
8.1.2 ISO 27001 X X l’information, ces dernières doivent cf. ISO/CEI 27001:2013 Annexe A. 5.1.2
de sécurité du SI
être réexaminées à intervalles fixés
préalablement ou en cas de
changements majeurs.
9- Organisation de la sécurité
9.1 - Organisation interne
Toutes les responsabilités en matière
Rôles et
de sécurité de l’information
9.1.1 responsabilités relatifs ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 6.1.1
doivent être définies clairement et
à la sécurité
attribuées.
Définir une matrice de séparation des
tâches définissant les domaines de
responsabilité incompatibles dans la
gestion des données de santé. De
9.1.2 Séparation des tâches ISO 27001 X X plus, présenter les contrôles mis en cf. ISO/CEI 27001:2013 Annexe A. 6.1.2
œuvre afin de s'assurer que les
modifications non autorisées ou
involontaires des actifs des personnes
concernées fassent l'objet d'alerte.
Des relations appropriées doivent être
Contact avec les
9.1.3 ISO 27001 X X mises en place avec les cf. ISO/CEI 27001:2013 Annexe A. 6.1.3
autorités compétentes
autorités compétentes.

29 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Des relations appropriées doivent être

Contact avec les entretenues avec des groupes de
9.1.4 groupes d'intérêts ISO 27001 X X spécialistes, des forums spécialisés cf. ISO/CEI 27001:2013 Annexe A. 6.1.4
communs dans la sécurité et des associations
professionnelles.
Intégration de la Considérer la sécurité de l'information
9.1.5 sécurité dans les ISO 27001 X X dans la gestion de projet, quel que cf. ISO/CEI 27001:2013 Annexe A. 6.1.5
projets soit le type de projet concerné.
9.2 - Terminaux mobiles et télétravail
Une politique formelle et des mesures
de sécurité appropriées
Sécurité des terminaux doivent être mises en place pour
9.2.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 6.2.1
mobiles assurer une protection contre le
risque lié à l’utilisation d’appareils
mobiles.
Une politique et des mesures de
sécurité complémentaires doivent être
9.2.2 Télétravail ISO 27001 X X mises en œuvre pour protéger les cf. ISO/CEI 27001:2013 Annexe A. 6.2.2
informations consultées, traitées ou
stockées sur des sites de télétravail.
10 - Gestion des ressources humaines
10.1 - Avant contractualisation
Des contrôles de vérification de fond
sur tous les candidats à l'embauche
doivent être effectués en conformité
avec les lois, les règlements
10.1.1 Screening ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 7.1.1
pertinents et l'éthique et doivent être
proportionnées aux exigences métier,
à la classification des informations
accessibles et aux risques identifiés.
Les conditions contractuelles signées
avec les employés et les sous-
Définition des traitants indiquent les rôles et
10.1.2 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 7.1.2
conditions d'emploi responsabilités de chaque partie en
matière de sécurité de l'information.

30 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

10.2 - Pendant la contractualisation

La direction demande aux salariés,
contractants et utilisateurs tiers
Responsabilités du d’appliquer les règles de sécurité
10.2.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 7.2.1
management conformément aux politiques et
procédures établies de l’organisme.

Les plans de formation et des plans

de sensibilisation aux mesures de
sécurité sont mis en place à l'attention
du personnel et, quand cela est
Formation et pertinent, des sous-traitants. De plus,
10.2.2 sensibilisation à la ISO 27001 X X le personnel et les sous-traitants cf. ISO/CEI 27001:2013 Annexe A. 7.2.2
sécurité reçoivent régulièrement les mises à
jour des politiques et procédures de
l'organisation s'appliquant à leurs
fonctions.

Mettre en œuvre et maintenir à jour

une procédure disciplinaire en place
permettant de prendre des mesures
contre les employés ayant commis
10.2.3 Processus disciplinaire ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 7.2.3
des infractions liées à la
confidentialité et l'intégrité des
données de santé.

10.3 - Résiliation du contrat

Les informations traitant des devoirs
et responsabilités des employés en
matière de sécurité de l'information
qui restent valables à l'issue de la
Résiliation ou rupture, du terme ou de la
10.3.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 7.3.1
modification du contrat modification du contrat de travail,
doivent être définies et
communiquées à l'employé.

31 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

11- Gestion des actifs

11.1 - Affectation des responsabilités
Les actifs liés à l'information et aux
moyens de traitement de l'information
doivent être clairement identifiés au
11.1.1 Inventaire des actifs ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 8.1.1
sein du système d'information (DMZ,
etc.) et un inventaire de ces actifs doit
être réalisé a minima une fois par an.
La propriété de chaque information et
des moyens de traitement de
11.1.2 Propriétaires des actifs ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 8.1.2
l’information doit être attribuée à une
partie définie de l’organisme.
Des règles permettant l’utilisation
correcte des données à caractère
Conditions d'utilisation personnel et des actifs associés et les
11.1.3 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 8.1.3
des actifs moyens de traitement de l’information
doivent être identifiées, documentées
et mises en œuvre.
Tous les salariés et utilisateurs tiers
doivent restituer l'ensemble des
11.1.4 Retour des actifs ISO 27001 X X actifs de l'organisation qu'ils ont en cf. ISO/CEI 27001:2013 Annexe A. 8.1.4
leur possession au terme de leur
contrat ou accord.
11.2 - Classification de l'information
Présenter une classification des
données faisant apparaitre une
catégorie "donnée de santé"
Classification de définissant la criticité et sensibilité de
11.2.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 8.2.1
l'information chaque actif. De plus, la classification
doit faire apparaitre le risque
d'exposition à l'altération ou
divulgation des données de santé.
Fournir une procédure de marquage
Marquage de des données de santé en conformité
11.2.2 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 8.2.2
l'information avec le système de classification de
l'information.

32 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Élaborer et mettre en œuvre des

procédures de traitement de
11.2.3 Gestion des actifs ISO 27001 X X l'information conformément au plan de cf. ISO/CEI 27001:2013 Annexe A. 8.2.3
classification de l'information adopté
par l'organisation.
11.3 - Manipulation des supports
Des procédures doivent être
implémentées pour la gestion des
Gestion des supports
11.3.1 ISO 27001 X X supports amovibles en adéquation cf. ISO/CEI 27001:2013 Annexe A. 8.3.1
amovibles
avec le modèle de classification
retenu par l'organisation
Tout matériel équipé des supports de
stockage doit être contrôlé en cas de
mise au rebut afin que toutes les
données de santé soient supprimées
de manière sécurisée. Si ce matériel
contient des données à caractère
11.3.2 Mise au rebut ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 8.3.2
personnel sensibles, des mesures
spécifiques doivent être prises pour
détruire physiquement ce matériel ou
supprimer les informations au moyen
de techniques qui rendent impossible
toute récupération.

33 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Tout support contenant des données

de santé doit être protégé contre tout
accès non autorisé, abus ou
corruption durant le transfert.

Pour cela, appliquer des mesures de

protection relatives aux dispositifs de
stockage contenant des données à
caractère personnel ainsi que des
dispositifs de sécurité sur les réseaux
 Encodage (à travers un
module) des supports
Transfert sur support
11.3.3 ISO 27001 X X physiques; cf. ISO/CEI 27001:2013 Annexe A. 8.3.3
physique
 Chiffrement des canaux de
communication;
 Protection par code
checksum;
 etc.

Certains aspects des solutions mises

en œuvre seront laissés à la
discrétion des hébergeurs en tant que
décision relative à la gestion des
risques.

12 - Contrôle d'accès
12.1 - Besoins Métier relatifs au contrôle d'accès
Fournir une politique de contrôle
d'accès établie, documentée et
Politique de contrôle
12.1.1 ISO 27001 X X examinée sur la base des exigences cf. ISO/CEI 27001:2013 Annexe A. 9.1.1
d'accès
métier et de sécurité de l’information.

Des méthodes d’authentification

appropriées doivent être utilisées pour
Accès au réseau et aux
12.1.2 ISO 27001 X X contrôler l’accès des utilisateurs cf. ISO/CEI 27001:2013 Annexe A. 9.1.2
services réseau
distant.

34 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

12.2 - Gestion des accès utilisateurs

Une procédure formelle d’inscription
et désinscription des utilisateurs
Création et destinée à accorder et à supprimer
12.2.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 9.2.1
suppression d'accès l’accès à tous les systèmes et
services d’information doit être définie
et mise en œuvre.
Un processus doit être implémenté
Provisionnement des pour l'attribution et le retrait des droits
12.2.2 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 9.2.2
droits à tous types d'utilisateurs sur
l'ensemble des systèmes et services.
L’attribution et l’utilisation des
Gestion des droits
12.2.3 ISO 27001 X X privilèges doivent être restreintes et cf. ISO/CEI 27001:2013 Annexe A. 9.2.3
étendus
contrôlées.
Présenter une procédure de gestion
des identifiants décrivant l'attribution
12.2.4 Gestion des identifiants ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 9.2.4
des informations secrètes
d'authentification.
Les propriétaires d'actifs doivent
réexaminer les droits d’accès
12.2.5 Revue des habilitations ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 9.2.5
utilisateurs à intervalles réguliers par
le biais d’un processus formel.
Les droits d’accès de l’ensemble des
salariés, contractants et
utilisateurs tiers à l’information et aux
Retrait ou ajustement moyens de traitement de
12.2.6 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 9.2.6
de droits l’information doivent être supprimés à
la fin de leur période d’emploi, ou
adaptés en cas de modification du
contrat ou de l’accord.
12.3 - Responsabilités des utilisateurs
Les utilisateurs internes de
l'organisation doivent respecter les
Utilisation et protection pratiques définies quant à l'utilisation
12.3.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 9.3.1
des identifiants des informations secrètes
d'authentification

35 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

12.4 Contrôle d'accès aux systèmes et applications

Pour les utilisateurs et le personnel
chargé de l’assistance
technique, l’accès aux informations et
12.4.1 Restriction des accès ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 9.4.1
aux fonctions applicatives doit être
restreint conformément à la politique
de contrôle d’accès.
L'accès aux systèmes et aux
applications doit être contrôlés par
une procédure de connexion
sécurisée qui impose l'utilisation d'un
Mécanismes de
12.4.2 ISO 27001 X X identifiant unique et exclusif pour cf. ISO/CEI 27001:2013 Annexe A. 9.4.2
contrôle d'accès
chaque utilisateur et une technique
d'authentification permettant de
vérifier l'identité déclarée par
l'utilisateur.
Les systèmes qui gèrent les mots de
Système de gestion passe doivent être interactifs et
12.4.3 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 9.4.3
des mots de passe doivent fournir des mots de passe de
qualité.
L'accès aux fonctions IT étendues est
Utilisation de systèmes
12.4.4 ISO 27001 X X limité aux utilisateurs appropriés et cf. ISO/CEI 27001:2013 Annexe A. 9.4.4
à droits étendus
étroitement contrôlé.
L’accès au code source des
Contrôle d'accès au
12.4.5 ISO 27001 X X programmes doit être restreint aux cf. ISO/CEI 27001:2013 Annexe A. 9.4.5
code source
personnes autorisées.
13- Cryptographie - Chiffrement
13.1 - Contrôles cryptographiques
Politique de chiffrement Une politique d’utilisation des
et d'utilisation des mesures cryptographiques en vue de
13.1.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 10.1.1
contrôles protéger l’information doit être
cryptographiques élaborée et mise en œuvre.
Une politique sur l’utilisation, la
protection et la durée de vie des clés
13.1.2 Gestion des clés ISO 27001 X X cryptographiques doit être élaborée et cf. ISO/CEI 27001:2013 Annexe A. 10.1.2
mise en œuvre tout au long de leur
cycle de vie.

36 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

14 - Sécurité physique et environnementale

14.1 - Zones sécurisées
Les zones contenant des informations
et des moyens de traitement de
l’information doivent être protégées
Périmètre de sécurité par des périmètres de sécurité
14.1.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.1.1
physique (obstacles tels que des murs, des
portes avec un contrôle d’accès par
cartes, ou des bureaux de réception
avec personnel d’accueil).
Les zones sécurisées doivent être
protégées par des contrôles à
Contrôle des accès
14.1.2 ISO 27001 X X l’entrée, adéquats pour s’assurer que cf. ISO/CEI 27001:2013 Annexe A. 11.1.2
physiques
seul le personnel habilité est
admis.
Des mesures de sécurité physique
Sécurisation des salles doivent être conçues et
14.1.3 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.1.3
et bureaux appliquées pour les bureaux, les
salles et les équipements.
Des mesures de protection physique
Protection contre les contre les désastres naturels, les
14.1.4 menaces externes et ISO 27001 X X attaques malveillantes ou les cf. ISO/CEI 27001:2013 Annexe A. 11.1.4
environnementales accidents doivent être conçues et
appliquées.
Des mesures de protection physique
Travail dans les zones et des directives pour le travail en
14.1.5 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.1.5
sécurisées zone sécurisée doivent être conçues
et appliquées.
Les points d’accès tels que les zones
de livraison/chargement et les autres
points par lesquels des personnes
non habilitées peuvent pénétrer dans
14.1.6 Zones de livraison ISO 27001 X X les locaux doivent être contrôlés. Les cf. ISO/CEI 27001:2013 Annexe A. 11.1.6
points d’accès doivent également, si
possible, être isolés des moyens de
traitement de l’information, de façon à
éviter les accès non autorisés.

37 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

14.2 - Équipements
Les matériels doivent être situés et
Localisation et protégés de manière à réduire les
14.2.1 protection des ISO 27001 X X risques de menaces et de dangers cf. ISO/CEI 27001:2013 Annexe A. 11.2.1
équipements environnementaux et les
possibilités d’accès non autorisé.
Les matériels doivent être protégés
Protection contre les des coupures de courant et autres
14.2.2 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.2.2
pannes de courant perturbations dues à une défaillance
des services généraux.
Les câbles électriques ou de
télécommunications transportant des
données ou supportant les services
14.2.3 Sécurité du câblage ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.2.3
d'information doivent être protégés
contre toute interception d’information
ou dommage.
Les matériels doivent être entretenus
Maintenance des correctement pour garantir sa
14.2.4 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.2.4
équipements disponibilité permanente et son
intégrité.
Les matériels, les informations ou les
Retrait des logiciels ne doivent pas être
14.2.5 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.2.5
équipements sortis des locaux de l’organisme sans
autorisation préalable.
Des mesures de sécurité doivent être
Sécurité des appliquées aux matériels utilisés hors
14.2.6 équipements non ISO 27001 X X des locaux de l’organisme en tenant cf. ISO/CEI 27001:2013 Annexe A. 11.2.6
présents sur site compte des différents risques
associés au travail hors site.
Tous les composants matériel
contenant des supports de stockage
doivent être vérifiés pour s’assurer
Mise au rebut des que toute donnée sensible a bien été
14.2.7 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.2.7
équipements sécurisés supprimée et que tout logiciel sous
licence a bien été désinstallé ou
écrasé de façon sécurisée, avant sa
mise au rebut ou leur réutilisation.

38 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les utilisateurs doivent s’assurer que

Protection des
tout matériel laissé sans
14.2.8 équipements non ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.2.8
surveillance est doté d’une protection
surveillés
appropriée.
Une politique du bureau propre doit
être adoptée pour les
documents papier et les supports de
Application de la
stockage amovibles, et une
14.2.9 politique du bureau ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 11.2.9
politique de l’écran verrouillé doit
vide
également être adoptée pour les
moyens de traitement de l’information.

15 - Sécurité opérationnelle
15.1 - Procédures et responsabilités opérationnelles
Formalisation et Les procédures d’exploitation doivent
disponibilité des être documentées, tenues à
15.1.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 12.1.1
procédures jour et disponibles pour tous les
opérationnelles utilisateurs concernés.
Les changements apportés aux
systèmes, processus métier et
Gestion des
15.1.2 ISO 27001 X X moyens de traitement de l’information cf. ISO/CEI 27001:2013 Annexe A. 12.1.2
changements
ayant une incidence sur la sécurité de
l'information doivent être contrôlés.
L'Utilisation des ressources doit être
surveillée et ajustée et des projections
sur les dimensionnements futurs
15.1.3 Dimensionnement ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 12.1.3
doivent être effectuées pour garantir
les performances exigées du
système.
Les environnements de
développement, de test et
Séparation des d’exploitation doivent être séparés
environnements pour réduire les risques d’accès ou de
15.1.4 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 12.1.4
(développement, test, changements non autorisés dans le
production) système d’information en
exploitation.

39 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

15.2 - Protection contre les logiciels malveillants

Des mesures de détection, de
prévention et de récupération pour
se protéger des codes malveillants
Contrôles contre les
15.2.1 ISO 27001 X X ainsi que des procédures cf. ISO/CEI 27001:2013 Annexe A. 12.2.1
logiciels malveillants
appropriées de sensibilisation des
utilisateurs doivent être mises en
œuvre.
15.3 - Sauvegarde
Des copies de sauvegarde de
l'information, des logiciels et des
Sauvegarde des images systèmes doivent être
15.3.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 12.3.1
informations réalisées et soumises régulièrement à
essai conformément à la politique de
sauvegarde convenue.
15.4 - Journalisation et supervision
Les journaux d’audit, qui enregistrent
les activités des utilisateurs, les
exceptions, les défaillances et les
ISO 27001 événements liés à la sécurité de
Journalisation des
15.4.1 et X X l'information doivent être crées, tenus cf. ISO/CEI 27018:2014 Partie 12.4
événements
ISO 27018 à jour et conservés pendant une
période préalablement définie afin de
faciliter les investigations ultérieures
et la surveillance du contrôle d’accès.
Les équipements de journalisation et
ISO 27001
Protection des les informations journalisées doivent
15.4.2 et X X cf. ISO/CEI 27018:2014 Partie 12.4
journaux être protégés contre les risques de
ISO 27018
falsification ou d'accès non autorisés.
Les activités de l’administrateur
ISO 27001
Journaux des système et de l’opérateur système
15.4.3 et X X cf. ISO/CEI 27018:2014 Partie 12.4
administrateurs doivent être journalisées, protégées et
ISO 27018
vérifiées régulièrement.

40 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les horloges des différents systèmes

de traitement de l’information d’un
Synchronisation organisme ou d’un domaine de
15.4.4 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 12.4.4
horaire sécurité doivent être synchronisées à
l’aide d'une source de référence
temporelle unique.
15.5 - Contrôle des logiciels opérationnels
Des procédures doivent être mises en
Installation de logiciels place pour contrôler
15.5.1 sur les environnements ISO 27001 X X l’installation du logiciel sur les cf. ISO/CEI 27001:2013 Annexe A. 12.5.1
de production systèmes en exploitation.

15.6 - Gestion des vulnérabilités techniques

Toutes informations concernant toutes
vulnérabilités techniques des
systèmes d’information en exploitation
Gestion des doivent être obtenues à temps,
15.6.1 vulnérabilités ISO 27001 X X l’exposition de l’organisme aux dites cf. ISO/CEI 27001:2013 Annexe A. 12.6.1
techniques vulnérabilités doit être évaluée et les
mesures appropriées doivent être
entreprises pour traiter le risque
associé.
Des procédures doivent être mises en
place pour contrôler l'installation de
Restrictions concernant
15.6.2 ISO 27001 X X logiciels par les utilisateurs sur les cf. ISO/CEI 27001:2013 Annexe A. 12.6.2
l'installation de logiciels
systèmes en exploitation.

15.7 - Considérations d'audit des SI

Les exigences d’audit et les activités
impliquant des vérifications sur des
systèmes en exploitation doivent être
planifiées de manière précise et
Réalisation d'audits de
15.7.1 ISO 27001 X X doivent être le résultat d’un accord cf. ISO/CEI 27001:2013 Annexe A. 12.7.1
contrôle
afin de réduire le plus possible le
risque de perturbations des processus
métier.

41 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

16- Sécurité des communications

16.1 - Gestion de la sécurité réseau
Les réseaux doivent être gérés et
contrôlés pour protéger l’information
16.1.1 Contrôles réseau ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 13.1.1
contenue dans les systèmes et les
applications.
Pour tous les services réseau, les
mécanismes de sécurité, les fonctions
réseau, les niveaux de service et les
Sécurité des services
16.1.2 ISO 27001 X X exigences de gestion doivent être cf. ISO/CEI 27001:2013 Annexe A. 13.1.2
réseau
identifiés et intégrés dans tout accord
sur les services réseau, qu’ils soient
fournis en interne ou en externe.
Les groupes de services
Cloisonnement des d’information, d’utilisateurs et de
16.1.3 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 13.1.3
réseaux systèmes d’information doivent être
séparés sur les réseaux.
16.2 - Transferts d'informations
Des politiques, procédures et
mesures d’échange formelles doivent
Politiques et
être mises en place pour protéger les
16.2.1 procédures de transfert ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 13.2.1
échanges d’informations liées à tout
d'informations
type d’équipement de
télécommunication.
Contractualisation Des accords doivent traiter du
relative aux échanges transfert sécurisé de l’information liée
16.2.2 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 13.2.2
d'informations (avec les à l’activité entre l’organisation et les
entités externes) tiers.
Les informations échangées par la
Messagerie
16.2.3 ISO 27001 X X messagerie électronique doivent être cf. ISO/CEI 27001:2013 Annexe A. 13.2.3
électronique
protégées de façon appropriée
Les exigences en matière
d’engagements de confidentialité ou
Engagements de de non-divulgation doivent être
16.2.4 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 13.2.4
confidentialité identifiées, vérifiées régulièrement et
documentées conformément aux
besoins de l’organisation.

42 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

17 - Acquisition, développement et maintenance des systèmes

17.1 - Exigences de sécurité
Les exigences liées à la sécurité de
l’information doivent être intégrées
Analyse et
aux exigences des nouveaux
17.1.1 formalisation des ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 14.1.1
systèmes d’information ou des
exigences de sécurité
améliorations de systèmes
d’information existants.
Pour les réseaux partagés, en
particulier les réseaux qui s’étendent
au-delà des limites de l’organisme, la
capacité de connexion réseau des
utilisateurs doit être restreinte,
Sécurisation des conformément à la politique de
17.1.2 services applicatifs sur ISO 27001 X X contrôle d’accès et aux exigences cf. ISO/CEI 27001:2013 Annexe A. 14.1.2
les réseaux publics relatives aux applications métier.
De plus, les informations transmises
sur les réseaux publics doivent être
protégées contre les activités
frauduleuses, la divulgation et la
modification non autorisées.
Les transactions entre services
applicatifs doivent être protégées
Protection des contre les interruptions de
17.1.3 transactions ISO 27001 X X transmission, les erreurs de routage, cf. ISO/CEI 27001:2013 Annexe A. 14.1.3
applicatives les altérations illicites, les pertes de
confidentialité, et les duplications ou
rejeux non autorisés
17.2 - Sécurité des processus support et de développement
Politique de Des règles de développement des
17.2.1 développement ISO 27001 X X logiciels et des systèmes doivent être cf. ISO/CEI 27001:2013 Annexe A. 14.2.1
sécurisé établies et appliquées.

43 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les demandes de changements (mise

à niveau, modifications de
programme, correctifs, nouvelles
applications, changements de
Gestion des évolutions configuration) des applications et des
17.2.2 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 14.2.2
(contrôle, formalisation) systèmes dans le cadre du cycle de
développement doivent être
documentées et contrôlées dans le
respect des procédures de gestion
des évolutions informatiques.
Lorsque des modifications sont
apportées aux systèmes
d’exploitation, les applications
Revue technique des
critiques métier doivent être
17.2.3 applications suite à des ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 14.2.3
réexaminées et testées afin de vérifier
modifications
l’absence de tout effet
indésirable sur l’activité ou sur la
sécurité.
Les modifications des progiciels ne
doivent pas être encouragées, et être
Restrictions sur les
limitées aux changements
17.2.4 modifications des ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 14.2.4
nécessaires. Un contrôle strict doit
progiciels
également être exercé sur ces
modifications.
Les principes de conception de
Principe de systèmes sécurisés doivent être
17.2.5 sécurisation des ISO 27001 X X définis, documentés, maintenus et cf. ISO/CEI 27001:2013 Annexe A. 14.2.5
systèmes appliqués à toute activité
d'implémentation de système
Des dispositifs de sécurité doivent
être mis en œuvre sur les
environnements de développements
Environnement de pour les tâches de développement et
17.2.6 développement ISO 27001 X X d’intégration du système, qui englobe cf. ISO/CEI 27001:2013 Annexe A. 14.2.6
sécurisé l’intégralité du cycle de vie du
développement du système, et en
assurer la protection de manière
appropriée.

44 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Le développement logiciel externalisé

Développements
17.2.7 ISO 27001 X X doit être encadré et contrôlé par cf. ISO/CEI 27001:2013 Annexe A. 14.2.7
externalisés
l'organisme.
Pendant le développement, la sécurité
des systèmes doit être réexaminée et
Tests sur la sécurité
17.2.8 ISO 27001 X X testée afin de vérifier la conformité cf. ISO/CEI 27001:2013 Annexe A. 14.2.8
des systèmes
des dispositifs mis en œuvre sur le
système d'information.
Des critères d’acceptation doivent être
fixés pour les nouveaux
systèmes d’information, les nouvelles
versions et les mises à
17.2.9 Tests d'acceptation ISO 27001 X X niveau, et les tests adaptés du (des) cf. ISO/CEI 27001:2013 Annexe A. 14.2.9
système(s) doivent être
réalisés au moment du
développement et préalablement à
leur acceptation.
17.3 - Données de test
Les données de test doivent être
Protection des
17.3.1 ISO 27001 X X sélectionnées avec soin, cf. ISO/CEI 27001:2013 Annexe A. 14.3.1
données de test
protégées et contrôlées.
18- Relation client/fournisseur
18.1 - Sécurité de l'information dans les relations client/fournisseur
Les mesures de sécurité de
l'information, les définitions du service
Politique de sécurité et les niveaux de prestation prévus
18.1.1 pour les relations ISO 27001 X X dans l’accord de prestation de service cf. ISO/CEI 27001:2013 Annexe A. 15.1.1
client/fournisseur tiers doivent être mises en œuvre,
appliquées et tenues à jour par le
tiers.

45 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les accords conclus avec des tiers

qui portent sur l’accès, le
traitement, la communication ou la
gestion de l’information, ou des
Mentions relatives à la moyens de traitement de l’information
sécurité de de l’organisme, ou qui portent sur
18.1.2 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 15.1.2
l'information lors de la l’ajout de produits ou de services au
contractualisation moyen de traitement de l’information,
doivent couvrir l’ensemble des
exigences applicables en matière de
sécurité de l'information.

Les accords conclus avec les

fournisseurs doivent inclure des
Chaîne exigences sur le traitement des
d’approvisionnement risques liés à la sécurité de
18.1.3 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 15.1.3
des produits et des l’information associée à la chaîne
services informatiques d’approvisionnement des produits et
des services informatiques.

18.2 - Gestion des services des fournisseurs

Surveiller, vérifier et auditer à
Supervision et revue
intervalles réguliers la prestation des
18.2.1 des services des ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 15.2.1
services assurés par les fournisseurs.
fournisseurs
Les changements effectués dans les
prestations de service des
fournisseurs, comprenant le maintien
et l’amélioration des politiques,
procédures et mesures existant en
Gestion des
matière de sécurité de l’information,
18.2.2 changements ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 15.2.2
doivent être gérés en tenant compte
contractuels
du caractère critique de l’information,
des systèmes et des processus
concernés et de la réappréciation des
risques.

46 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

19 - Gestion des incidents

19.1 - Gestion des incidents de sécurité
Des responsabilités et des procédures
doivent être établies,
Procédures et permettant de garantir une réponse
19.1.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 16.1.1
responsabilités rapide, efficace et pertinente en cas
d’incident lié à la sécurité de
l’information.
Les événements liés à la sécurité de
Reporting sur les l’information doivent être
19.1.2 événements de ISO 27001 X X signalés, dans les meilleurs délais, cf. ISO/CEI 27001:2013 Annexe A. 16.1.2
sécurité par les voies hiérarchiques
appropriées.
Il doit être demandé à tous les
salariés, contractants et utilisateurs
Reporting sur les
tiers des systèmes et services
vulnérabilités de la part
19.1.3 ISO 27001 X X d’information de noter et de signaler cf. ISO/CEI 27001:2013 Annexe A. 16.1.3
des parties internes et
toute faille de sécurité observée ou
externes
soupçonnée dans les systèmes ou
services.
Des mécanismes doivent être mis en
Évaluation et décision place, permettant de quantifier et
relatives aux surveiller les différents types
19.1.4 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 16.1.4
événements de d’incidents liés à la sécurité de
sécurité l’information ainsi que leur volume et
les coûts associés.
Présenter les moyens mis en œuvre
en matière de surveillance des
19.1.5 Réponse aux incidents ISO 27001 X X systèmes visant à être alertés de cf. ISO/CEI 27001:2013 Annexe A. 16.1.5
toute atteinte à la sécurité du système
d'information.
Conserver les preuves de correction
Capitalisation des des incidents afin de constituer une
19.1.6 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 16.1.6
incidents de sécurité base de connaissance et capitaliser
sur les incidents résolus.

47 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Définir et appliquer des procédures

d’identification, de collecte,
19.1.7 Collecte de preuves ISO 27001 X X d’acquisition et de protection de cf. ISO/CEI 27001:2013 Annexe A. 16.1.7
l’information pouvant servir de preuve.

20 - Aspects sécurité relatifs à la gestion de la continuité d'activité

20.1 - Continuité de la sécurité de l'information
Déterminer les exigences en matière
de sécurité de l’information et de
continuité de management de la
Planification de la
20.1.1 ISO 27001 X X sécurité de l’information dans des cf. ISO/CEI 27001:2013 Annexe A. 17.1.1
continuité d'activité
situations défavorables, comme lors
d’une crise ou d’un sinistre
.
Établir, documenter, mettre en œuvre
et tenir à jour des processus, des
procédures et des mesures
Implémentation du plan permettant de fournir le niveau requis
20.1.2 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 17.1.2
de continuité d'activité de continuité de sécurité de
l’information au cours d’une situation
défavorable.

Les plans de continuité de la sécurité

de l'information doivent être testés et
Vérification, revue et
mis à jour régulièrement afin de
20.1.3 évaluation du plan de ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 17.1.3
s’assurer qu’ils sont actualisés et
continuité d'activité
efficaces.

20.2 - Gestion de redondances

Des moyens de traitement de
l’information doivent être mis en
œuvre avec suffisamment de
Disponibilité des
20.2.1 ISO 27001 X X redondances pour répondre aux cf. ISO/CEI 27001:2013 Annexe A. 17.2.1
équipements
exigences de disponibilité.

48 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

21 - Conformité
21.1 - Conformité aux exigences légales et contractuelles
Pour chaque système d’information,
toutes les exigences légales,
Identification des statutaires, réglementaires et
exigences contractuelles en vigueur, doivent être
21.1.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 18.1.1
contractuelles et définies, documentées et mises à
réglementaires jour, ainsi que la procédure utilisée
par l’organisme pour satisfaire à ces
exigences.
Des procédures appropriées doivent
être mises en œuvre, visant à garantir
la conformité avec les exigences
légales, réglementaires et
21.1.2 Propriété intellectuelle ISO 27001 X X contractuelles concernant l’utilisation cf. ISO/CEI 27001:2013 Annexe A. 18.1.2
du matériel pouvant être
soumis à des droits de propriété
intellectuelle et l’utilisation des
logiciels propriétaires.
Les enregistrements importants
doivent être protégés de la
perte, de la destruction, de la
falsification, des accès non autorisés
Protection des
21.1.3 ISO 27001 X X et des diffusions non autorisées, cf. ISO/CEI 27001:2013 Annexe A. 18.1.3
données stockées
conformément aux exigences
légales, réglementaires,
contractuelles et aux exigences
métier.
La protection et la confidentialité de la
vie privée et la protection des
Vie privée et protection données à caractère personnel
21.1.4 des données à ISO 27001 X X doivent être garanties, telles que cf. ISO/CEI 27001:2013 Annexe A. 18.1.4
caractère personnel l’exigent la législation ou les
réglementations applicables, et les
clauses contractuelles le cas échéant.

49 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Des mesures cryptographiques

Contrôles doivent être prises conformément
21.1.5 cryptographiques ISO 27001 X X aux accords, lois et réglementations cf. ISO/CEI 27001:2013 Annexe A. 18.1.5
réglementaires applicables.

21.2 - Revues de sécurité

Des réexamens réguliers et
indépendants de l’approche retenue
par l’organisme pour gérer et mettre
en œuvre sa sécurité (c'est-à-dire le
suivi des objectifs de sécurité, les
politiques, les procédures et les
Revue de sécurité processus relatifs à la sécurité de
21.2.1 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 18.2.1
indépendante l’information) doivent être
effectués; de tels réexamens sont
également nécessaires lorsque
des changements importants sont
intervenus dans la mise en œuvre de
la sécurité.

Les responsables doivent

régulièrement vérifier la conformité du
traitement de l’information et s’assurer
de l’exécution correcte de
Conformité à la
l’ensemble des procédures de
Politique de sécurité
21.2.2 ISO 27001 X X sécurité placées sous leur cf. ISO/CEI 27001:2013 Annexe A. 18.2.2
interne et aux
responsabilité en vue de garantir leur
standards appliqués
conformité avec les politiques, les
normes de sécurité applicables et
autres exigences de sécurité.

Les systèmes d’information doivent

être examinés régulièrement quant à
Revue de conformité leur conformité avec les politiques et
21.2.3 ISO 27001 X X cf. ISO/CEI 27001:2013 Annexe A. 18.2.3
technique les normes de sécurité de
l’information de l’organisation.

50 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

22 - Mise en production des services

22.1 - Planification de nouveaux services ou de services modifiés
Définition des
Les autorités et les responsabilités
responsabilités pour la
liées à la conception, le
22.1.1 conception, le ISO 20000 X X cf. ISO/CEI 20000:2011 partie 5.2 (a)
développement et les activités de
développement et les
transition doivent être définies.
activités de transition
La planification des services doit
Présentation des inclure une référence aux activités
activités exécutées par devant être exécutées par le
22.1.2 les fournisseurs de ISO 20000 X X fournisseur de services et d'autres cf. ISO/CEI 20000:2011 partie 5.2 (b)
services et autres parties, y compris les activités à
parties prenantes travers les interfaces du fournisseur
de services.
Présenter le plan ou les principes de
Communication aux
22.1.3 ISO 20000 X X communication visant à informer les cf. ISO/CEI 20000:2011 partie 5.2 (c)
parties intéressées
personnes intéressées.
Décrire les ressources humaines,
Ressources humaines,
techniques, informationnelles et
techniques,
22.1.4 ISO 20000 X X financières affectées à la prestation cf. ISO/CEI 20000:2011 partie 5.2 (d)
informationnelles et
de service d'hébergeur de données
financières
de santé
Délais de mise en
Présenter les délais de mises en
22.1.5 œuvre pour les ISO 20000 X X cf. ISO/CEI 20000:2011 partie 5.2 (e)
œuvre de la prestation de service.
activités planifiées
Le candidat doit démontrer que le
Identification,
processus de traitement des risques
22.1.6 évaluation et gestion ISO 20000 X X cf. ISO/CEI 20000:2011 partie 5.2 (f)
permet une identification, une
des risques
évaluation et une gestion des risques.
Dépendances avec les Présenter les liens et dépendances
22.1.7 ISO 20000 cf. ISO/CEI 20000:2011 partie 5.2 (g)
autres services entre services.

51 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les tests doivent être fixés et décrits

pour les nouveaux services ou
services modifiés et doivent être
22.1.8 Tests ISO 20000 X réalisés au moment du cf. ISO/CEI 20000:2011 partie 5.2 (h)
développement et préalablement à la
mise en œuvre du service
d'hébergement.
Des critères d’acceptation du service
doivent être fixés pour les nouveaux
services ou services modifiés, et les
Critères d'acceptation
22.1.9 ISO 20000 X tests adaptés du (des) système(s) cf. ISO/CEI 20000:2011 partie 5.2 (i)
du service
doivent être réalisés au moment du
développement et préalablement à
leur acceptation.
La fourniture de nouveaux services ou
de services modifiés doit permettre la
22.1.10 Information mesurable ISO 20000 cf. ISO/CEI 20000:2011 partie 5.2 (j)
production de résultats mesurables et
comparables entre eux.
22.2 - Conception et implémentation des nouveaux services ou des services modifiés
Définition des
Les autorités et les responsabilités
responsabilités pour la
pour la fourniture de nouveaux
22.2.1 fourniture de nouveaux ISO 20000 cf. ISO/CEI 20000:2011 partie 5.3 (a)
services ou de services modifiés
services ou de services
doivent être définies.
modifiés
Présentation des
La planification des services doit
activités exécutées par
inclure une référence aux activités
22.2.2 les fournisseurs de ISO 20000 X X cf. ISO/CEI 20000:2011 partie 5.3 (b)
devant être exécutées par les
services, clients et
fournisseurs de services et clients.
autres parties
Définir des exigences relatives à la
gestion des ressources humaines, y
22.2.3 Ressources humaines ISO 20000 compris les exigences concernant les cf. ISO/CEI 20000:2011 partie 5.3 (c)
formations, les compétences et
l'expérience.
Définir les besoins en ressources
financières pour la fourniture des
22.2.4 Exigences financières ISO 20000 cf. ISO/CEI 20000:2011 partie 5.3 (d)
nouveaux services ou services
modifiés.

52 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Présenter les technologies permettant

22.2.5 Nouvelles technologies ISO 20000 de fournir la prestation du service cf. ISO/CEI 20000:2011 partie 5.3 (f)
d'hébergeur de données de santé.
Formaliser et documenter des
nouveaux contrats ou contrats
22.2.6 Accords contractuels ISO 20000 modifiés afin d'aligner les accords cf. ISO/CEI 20000:2011 partie 5.3 (g)
avec l'évolution des besoins de
services.
Identifier les changements sur le
22.2.7 Changements ISO 20000 système de management des cf. ISO/CEI 20000:2011 partie 5.3 (h)
services.
Définir et mettre en œuvre une
nouvelle SLA ou modifier la SLA en
22.2.8 SLA ISO 20000 cf. ISO/CEI 20000:2011 partie 5.3 (i)
place lors d'une modification de la
prestation de service.
Mettre à jour le catalogue de services
22.2.9 Catalogue de services ISO 20000 cf. ISO/CEI 20000:2011 partie 5.3 (j)
lors de modifications de la prestation.
Définir et mettre en place des
Informations et procédures, mesures et informations
22.2.10 ISO 20000 cf. ISO/CEI 20000:2011 partie 5.3 (k)
procédures mesurables utilisées lors de la fourniture des
services.
23 - Fourniture des services
23.1 - Gestion des niveaux de service
Des accords entre fournisseurs et
Accords entre clients concernant les services et les
23.1.1 ISO 20000 cf. ISO/CEI 20000:2011 partie 6.1
fournisseurs et clients niveaux de SLA à fournir doivent être
définis.
23.2 - Description de services
Mettre en œuvre une mesure de la
La performance du
23.2.1 ISO 20000 performance du service par rapport cf. ISO/CEI 20000:2011 partie 6.2 (a)
service
aux objectifs initialement prévus.

53 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Des rapports de service doivent

comporter des informations
pertinentes sur les événements
Informations
23.2.2 ISO 20000 importants (incidents majeurs, cf. ISO/CEI 20000:2011 partie 6.2 (b)
pertinentes
déploiement de services, etc.)
permettant d'assurer une exploitation
optimale du service.
Les rapports de service doivent
23.2.3 Charge de travail ISO 20000 contenir des caractéristiques cf. ISO/CEI 20000:2011 partie 6.2 (c)
concernant la charge de travail.
Formaliser dans les rapports de
service les non-conformités par
23.2.4 Non-conformités ISO 20000 rapport aux exigences du système de cf. ISO/CEI 20000:2011 partie 6.2 (d)
management des services et les
causes préalablement identifiées.
Mettre en œuvre une mesure de la
Tendances en matière
23.2.5 ISO 20000 performance du service par rapport cf. ISO/CEI 20000:2011 partie 6.2 (e)
d'informations
aux objectifs initialement prévus.
Intégrer dans les rapports de service
les informations concernant la
Mesures de satisfaction
23.2.6 ISO 20000 satisfaction des clients, les plaintes et cf. ISO/CEI 20000:2011 partie 6.2 (f)
des clients
les résultats de l'analyse des mesures
et des plaintes.
23.3 - Continuité de services et gestion de la disponibilité
23.3.1 - Exigences en termes de continuité et disponibilité de services
Les utilisateurs doivent avoir
Les droits d'accès à un uniquement accès aux services pour
[Link] ISO 20000 cf. ISO/CEI 20000:2011 partie 6.3.1 (a)
service lesquels ils ont spécifiquement reçu
une autorisation.
Les exigences de continuité et de
Le temps de réponse disponibilité doivent comporter au
[Link] ISO 20000 cf. ISO/CEI 20000:2011 partie 6.3.1 (b)
d'un service moins les temps de réponse du
service d'hébergement.
La disponibilité du service
La disponibilité d'un d'hébergement doit être définie par le
[Link] ISO 20000 cf. ISO/CEI 20000:2011 partie 6.3.1 (c)
service prestataire.

54 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

23.3.2 - La continuité de service et disponibilité du service

Les procédures en cas Formaliser une procédure en cas de
[Link] d'une perte importante ISO 20000 X X perte importante du service cf. ISO/CEI 20000:2011 partie 6.3.2 (a)
d'un service d'hébergement.
Le plan de continuité de service doit
Les objectifs de
comprendre au moins les objectifs de
[Link] disponibilité lorsque le ISO 20000 X X cf. ISO/CEI 20000:2011 partie 6.3.2 (b)
disponibilité lorsque le plan est
plan est appliqué
appliqué.
Le plan de continuité de service doit
Les exigences de contenir les exigences de
[Link] ISO 20000 X X cf. ISO/CEI 20000:2011 partie 6.3.2 (c)
rétablissement rétablissement du service lors d'une
interruption.
Les approches de retour aux
Les approches de
conditions normales de travail doivent
[Link] retour aux conditions ISO 20000 X X cf. ISO/CEI 20000:2011 partie 6.3.2 (d)
être définies dans le plan de
normales de travail
continuité.
23.3.3 - Supervision et tests de continuité et disponibilité de services
La disponibilité des services doit être
surveillée, les résultats enregistrés et
Supervision de la comparés avec les objectifs
[Link] disponibilité des ISO 20000 X X convenus. Les non-disponibilités cf. ISO/CEI 20000:2011 partie 6.3.3
services imprévues doivent être étudiées et
des mesures nécessaires doivent être
prises en compte.
23.3.4 - Budgétisation et comptabilité des services
Définir une politique de budgétisation
et comptabilité des composants de
services tels que les actifs (licences
Budgétisation et
[Link] ISO 20000 par exemple), les ressources cf. ISO/CEI 20000:2011 partie 6.4 (a)
comptabilité
partagées, les frais généraux, les
capitaux et dépenses d'exploitation,
etc.
Définir une procédure décrivant la
répartition des coûts indirects et la
Coûts indirects et
[Link] ISO 20000 répartition des coûts directs aux cf. ISO/CEI 20000:2011 partie 6.4 (b)
directs aux services
services ainsi que la fourniture d'un
coût global à chaque service.

55 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les approbations financières doivent

être régulièrement contrôlées afin de
Approbation et contrôle s'assurer qu'ils répondent au cadre
[Link] ISO 20000 cf. ISO/CEI 20000:2011 partie 6.4 (c)
financier efficace réglementaire et législatif et que les
contrôles financiers sont pertinents.

23.3.5 - Gestion de la capacité

Le prestataire de services doit créer,
mettre en œuvre et maintenir un plan
de capacité traitant des aspects
[Link] Plan de capacité ISO 20000 X X cf. ISO/CEI 20000:2011 partie 6.5 (a)
humains, financiers, techniques et
informationnels.

Le plan de capacité doit identifier les

Exigences relatives à impacts potentiels et définir les
la disponibilité, la exigences relatives à la disponibilité,
[Link] ISO 20000 X X cf. ISO/CEI 20000:2011 partie 6.5 (b)
continuité et les la continuité de service et les niveaux
niveaux de services de services.

Le plan de capacité doit définir les

Délais, seuils et coûts délais, seuils et coûts de mise à
[Link] de mise à niveau de la ISO 20000 X X niveau de la capacité du service cf. ISO/CEI 20000:2011 partie 6.5 (c)
capacité d'un service d'hébergement de données de santé.

Identifier les impacts potentiels des

modifications statutaires,
[Link] Impacts réglementaires ISO 20000 réglementaires, contractuels et cf. ISO/CEI 20000:2011 partie 6.5 (d)
organisationnels.

Identifications de
l'impact potentiel des Identifier l'impact potentiel des
[Link] nouvelles technologies ISO 20000 nouvelles technologies et des cf. ISO/CEI 20000:2011 partie 6.5 (e)
et des nouvelles nouvelles techniques.
techniques
Mettre en œuvre des procédures
Mise en place des
permettant une analyse prédictive de
[Link] procédures permettant ISO 20000 cf. ISO/CEI 20000:2011 partie 6.5 (f)
la capacité du service d'hébergement.
l'analyse prédictive

56 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

24 - Exigences spécifiques santé

24.1 - Consentement et choix
L’hébergeur doit mettre en œuvre des
mesures pour aider son client à
Obligation de coopérer
respecter ses obligations vis-à-vis des
en ce qui concerne les
24.1.1 ISO 27018 X X personnes concernées par les cf. ISO/CEI 27018:2014 Annexe A. 1.1
droits des informations
données à caractère personnel (droit
personnelles
d’accès, de rectification, de
suppression).
24.2 - Légitimité et spécification
Les informations à caractère
personnel hébergées dans le cadre
Finalité des processus
24.2.1 ISO 27018 X d'un contrat ne doivent pas être cf. ISO/CEI 27018:2014 Annexe A. 2.1
de traitement
traitées à des fins autres que celles
définies avec le client.
Les informations à caractère
personnel hébergées ne doivent pas
Utilisation commerciale
être traitées à des fins publicitaires ou
24.2.2 de données de santé à ISO 27018 X cf. ISO/CEI 27018:2014 Annexe A. 2.2
commerciales sans le consentement
caractère personnel
exprès de la personne propriétaire
des informations.
24.3 - Minimisation des données
Les fichiers temporaires et les
Effacement sécurisé
documents doivent être effacés ou
24.3.1 des fichiers ISO 27018 cf. ISO/CEI 27018:2014 Annexe A. 4.1
détruits après une période définie et
temporaires
documentée.
24.4 - Limite de l'utilisation, rétention et divulgation des données de santé
Notification lors de la L’hébergeur est tenu d’informer son
communication de client de toute requête légale d’accès
24.4.1 ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 5.1
données à caractère à des données à caractère personnel,
personnel dans le respect de la règlementation.
Enregistrement des Toute communication des données à
traces de caractère personnel à un tiers doit
24.4.2 communication de ISO 27018 X X être enregistrée (l'enregistrement doit cf. ISO/CEI 27018:2014 Annexe A. 5.2
données à caractère contenir l'identification de ce qui a été
personnel révélé, à qui et à quel moment).

57 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

24.5 - Transparence
Divulgation Le recours à des sous-traitants par
d'information l'hébergeur afin de traiter des
24.5.1 ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 7.1
personnelle lors de informations à caractère personnel
sous-traitance doit être communiqué au client.
24.6 - Responsabilité
L'hébergeur doit au plus tôt notifier le
Notification d'une
client dans les cas d'accès non
violation de données
autorisé à des informations
24.6.1 impliquant des ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 9.1
personnelles pouvant provoquer une
informations
altération, divulgation ou perte
personnelles
d'intégrité de l'information.
Période de Des copies des politiques de sécurité
conservation des et procédures opérationnelles doivent
24.6.2 ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 9.2
politiques et des être conservées en cas de
directives de sécurité changement de celles-ci.
L’hébergeur doit définir une politique
de gestion des données à caractère
Gestion des personnel pour la restitution, le
24.6.3 informations ISO 27018 X X transfert et la destruction des données cf. ISO/CEI 27018:2014 Annexe A. 9.3
personnelles à caractère personnel.
Il doit communiquer cette politique à
ses clients.
24.7 - Sécurité de l'information
Les personnes sous responsabilité de
Les accords de l'hébergeur ayant un accès aux
24.7.1 confidentialité ou de ISO 27018 X X informations à caractère personnel cf. ISO/CEI 27018:2014 Annexe A. 10.1
non-divulgation doivent être sujettes à un devoir de
confidentialité.
La création de copies papier de
Restriction de copie documents contenant des
24.7.2 ISO 27018 cf. ISO/CEI 27018:2014 Annexe A. 10.2
matérielle informations à caractère personnel
doit être restreinte.
Contrôle et exploitation L'hébergeur doit formaliser et tracer
24.7.3 de la restauration de ISO 27018 X X les actions de restauration de cf. ISO/CEI 27018:2014 Annexe A. 10.3
données données.

58 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les informations personnelles

Protection des
présentent sur des supports
données présentes sur
amovibles doivent faire l'objet d'une
24.7.4 un support de stockage ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 10.4
procédure d'autorisation de sortie et
quittant le lieu
ne doivent pas être accessibles aux
d'hébergement
personnes non autorisées.
Les supports de stockage portables
Utilisation de support
non chiffrés ne doivent pas être
24.7.5 de stockage portable ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 10.5
utilisés sauf si cela s'avère inévitable.
non chiffré
Cet usage doit alors être documenté.
Chiffrement des Toute information à caractère
données personnelles personnel transmise via un réseau
24.7.6 ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 10.6
transmises sur des public doit faire l'objet d'un
réseaux publics chiffrement.
Les supports papier contenant des
données à caractère personnel
Destruction des
24.7.7 ISO 27018 doivent être détruits avec des moyens cf. ISO/CEI 27018:2014 Annexe A. 10.7
supports papier
appropriés : déchiqueteuse,
incinération, etc.
Si plusieurs personnes ont accès aux
données à caractère personnel,
Utilisation d'identifiant
24.7.8 ISO 27018 X chacune doit disposer d'un identifiant cf. ISO/CEI 27018:2014 Annexe A. 10.8
unique
spécifique à des fins d'identification,
d'authentification et d'autorisation.
L’hébergeur doit maintenir la liste des
Gestion des utilisateurs
24.7.9 ISO 27018 X X utilisateurs ou profils d’utilisateurs cf. ISO/CEI 27018:2014 Annexe A. 10.9
autorisés
ayant accès au système d’information.
Il convient de journaliser les activités
de l’administrateur système et de
Traces des
24.7.10 ISO 27018 X X l’opérateur système, ainsi que de cf. ISO/CEI 27018:2014 Partie 12.4.3
administrateurs
protéger et de revoir régulièrement les
journaux.
Un identifiant désactivé ou expiré ne
24.7.11 Gestion des identifiants ISO 27018 X doit pas être transmis à une autre cf. ISO/CEI 27018:2014 Annexe A. 10.10
personne.

59 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Les contrats entre l'hébergeur et son

client doivent comporter des clauses
permettant la vérification de la mise
24.7.12 Clauses contractuelles ISO 27018 X X en œuvre effective des mesures de cf. ISO/CEI 27018:2014 Annexe A. 10.11
sécurité par l’hébergeur et la
vérification de l’utilisation des
données à caractère personnel.
Les contrats entre l’hébergeur et ses
sous-traitants doivent comporter des
Sous-traitance du
mesures techniques et
24.7.13 traitement des données ISO 27018 X cf. ISO/CEI 27018:2014 Annexe A. 10.12
organisationnelles permettant de
personnelles
garantir un niveau de sécurité
identique.
L’hébergeur doit s’assurer que
lorsqu’un espace de stockage est
Réutilisation des attribué à un client, aucune donnée à
24.7.14 ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 10.13
espaces de stockage caractère personnelle précédemment
présente dans cet espace n’est
accessible.
24.8 - Respect de la vie privée
L'hébergeur doit spécifier et
documenter les pays dans lesquels
24.8.1 Lieux d'hébergement ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 11.1
les informations à caractère personnel
seront hébergées.
Les transferts de données de santé à
Destination prévue des caractère personnel doivent faire
24.8.2 ISO 27018 X X cf. ISO/CEI 27018:2014 Annexe A. 11.2
données personnelles l’objet de contrôle afin de s’assurer de
l’identité du destinataire.
24.9 - Vérification de la conformité des applications
Hébergeur d’infrastructure et hébergeur
infogérant
Conformité aux Informer le client qu'il doit se
Spécifique
24.9.1 référentiels opposables X X conformer à la PGSSI-S et conserver
Santé S'assurer que le candidat informe ses clients
de la PGSSI-S la déclaration de conformité.
de leurs obligations de conformité à la
PGSSI-S.

60 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Hébergeur infogérant

- S'assurer que l'hébergeur a mis en place

une méthodologie de vérification des
applications qu'il héberge.
- Vérifier que l'hébergeur a formalisé une
Des critères d’acceptation du service procédure permettant de définir les pré-
doivent être fixés pour les nouveaux requis à l’hébergement et une procédure de
services ou services modifiés, et les vérification de ces prés requis (ces pré-
Critères de vérification Spécifique
24.9.2 X tests adaptés du (des) système(s) requis doivent comporter, a minima, le
de l'application Santé
doivent être réalisés au moment du manuel d’installation et le manuel
développement et préalablement à d’exploitation).
leur acceptation. - Vérifier que l'hébergeur a formalisé un
processus structuré de test et de validation
permettant d’apporter la preuve objective
que le futur service ne perturbera pas les
performances globales du système hébergé
(saturation de CPU, saturation espace
mémoire, etc.).
24.10 - Exigences Complémentaires
Hébergeur infogérant :

En cas d'externalisation des En cas d'externalisation des supports de

sauvegardes (quel qu'en soit le sauvegarde, présenter :
Externalisation des Spécifique
24.10.1 X support), définir les moyens - Les procédures d'externalisation;
sauvegardes Santé
permettant d'assurer la confidentialité - Les moyens permettant d'assurer la
et l'intégrité des données de santé. confidentialité et l'intégrité des données
contenues sur les supports sur ce lieu et
pendant le transport.

61 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Hébergeur Infogérant :

- S'assurer que le processus de traitement

des demandes d'accès par les personnes
Définir les moyens techniques et concernées est formalisé et mis en œuvre.
Accès aux traces pour organisationnels permettant l'accès - Présenter les habilitations nécessaires
Spécifique
24.10.2 les personnes X aux données de traçabilité par les pour accéder aux données de traçabilité.
Santé
concernées personnes concernées par les - Présenter les moyens techniques et
données hébergées. organisationnels permettant l'accès aux
données de traçabilité, pour toute personne
intervenant sur le système d'information
(personnel de l'hébergeur ou prestataire
extérieur)
Hébergeur d'infrastructure et infogérant :
Liste des contacts à Fournir à l'organisme de certification
Spécifique Vérifier que l'hébergeur a formalisé et
24.10.3 fournir à l'organisme de X X une liste des contacts client et la
Santé maintient à jour une liste de contact à fournir
certification maintenir à jour.
à l'organisme de certification.

62 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

Annexe B : Processus de certification HDS

Processus de certification HDS (système de management)

QUI ? QUOI ? COMMENT ?

Candidat Demande de certification initiale Dépôt d’un dossier de

candidature auprès de
l’organisme de
Dossier valide ? certification.

NON

OUI

Application de la
Vérification des certifications du procédure de certification
candidat
qui comprend un audit
documentaire suivi d’un
audit de l’implémentation.
Processus de certification initiale
Organisme de
Certification

Décision de certification initiale

Candidat conforme aux

exigences HDS ?
NON

OUI
Surveillance
Ans 2 et 3

Audit de surveillance

Le premier audit de surveillance doit se Application de la

dérouler dans les 12 mois suivants la décision procédure de
de l’OC, puis au moins une fois par an surveillance

Recertification de la certification HDS

Les activités de recertification de la certification

Application de la
doivent être achevées avant la date
Recertification

procédure de
d’expiration de la certification
recertification
An 4

Candidat conforme aux

exigences HDS ?
NON

Organisme de OUI
Certification
Décision de recertification de la
certification HDS

63 / 64
ASIP Santé Référentiel de certification HDS – Exigences et contrôles 14/09/16

64 / 64