Une grille d’évaluation des méthodologies d’analyse de risque.

imuseepar Marc-André Léger, DESS, MScA

Chargé de cours, Programme de 2e cycle de gouvernance, audit et sécurité TI
Chargé de cours, Microprogramme de 2e cycle Normalisation en santé
Université de Sherbrooke, Longueuil, Québec (Canada)

Sommaire

Cet article discute des critères d’évaluation de méthodologies d’analyse de risque. Ces critères sont appliqués dans un tableau dont les résultats sont aussi présentés. Les méthodes CRAMM, ÉBIOS et Octave semblent supérieures. Méhari nécessite un encadrement. Les autres méthodes sont immatures ou invérifiables.

Introduction

Un des outils dans l’arsenal du professionnel de la sécurité et des organisations qui souhaitent mettre en œuvre un processus de gestion du risque informationnel est la méthode d’analyse de risque. De nombreuses méthodes sont disponibles, certaines gratuitement, d’autres à un coût élevé. Dans certains cas, des organisations créées des méthodes d’analyse de risque afin de répondre à des besoins précis et tenir compte de contraintes particulières. Chacune de ces méthodes peut s’avérer un outil efficace lorsqu’elles sont utilisées diligemment dans un contexte limité. Cependant, comme tout outil, elles ont des limites. Elles ont une utilité propre, souvent dans un contexte organisationnel particulier ou un domaine d’activité limité (banque, ministère). De même, comme d’autres méthodologies de recherche, elles cherchent à mesurer des concepts, le risque informationnel, par l’intermédiaire de variables (comme la menace ou l’impact) selon des échelles de mesure (par exemple : bas, moyen, élevé). Plusieurs des concepts mesurés ne peuvent être mesurés directement (comme lire la température sur un thermomètre) mais indirectement, en demandant à quelqu’un d’indiquer quelle est son estimation de la valeur de la mesure de la variable attribuée au concept. Ainsi comme toute méthodologie, la méthodologie d’analyse de risque informationnel doit tenir compte de plusieurs sources d’erreur, soit en relation à la sélection des individus qui donnent les réponses, de l’interprétation à donner aux réponses, du type de mesures utilisées, de l’analyse (explicative ou statistique) ou de l’interprétation des résultats.

Dans le domaine de la médecine, il est nécessaire de déterminer le risque associé à l’introduction de protocoles de soins ou de nouveaux médicaments. Pour des raisons historiques et éthiques, le domaine de la médecine a systématisé l’utilisation de méthodologies. Plusieurs études ont été réalisées sur les sources d’erreurs et de biais, ainsi que les moyens à mettre en œuvre pour limiter ou contrôler leur impact. Le but étant de s’assurer que les résultats d’une étude soient fidèles à la réalité.

Cet article présente une grille d’analyse des méthodes d’analyse de risque en relation à des critères d’évaluation provenant de diverses sources, dont les exigences de rigueur méthodologique issues de la médecine et les normes internationales ISO. Ce tableau est disponible sur: www.ismsiug.ca . Dans un premier temps, un rappel de certains concepts est présenté. L’article présente ensuite les critères d’évaluation utilisés, les résultats pour conclure avec des suggestions pour la suite des choses.

Approche de cet article

Différentes méthodologies et certains outils méthodologiques ont été examinés. Ils ont été choisis en fonction de ce qui est utilisé et disponibles au Québec. Elles sont:

Méthodologie

Source

Langue

Masse critique d’utilisateurs

Disponible

Audicta

Audicta – Medical technologies

Anglais et Français

Non

Oui

Callio Secura

Callio

Anglais, Français et autres

Non

Non

CRAMM

Insight une division de Siemens

Anglais

Oui

Oui

ÉBIOS

France (DCSSI et Club EBIOS)

Anglais, Français et autres

Oui

Oui

ISO 13335-2

ISO

Anglais

Non

Non

IRAM

GAC-BNF

Anglais

Non

Non

IVRI

par l’auteur de cet article

Français

Non

Non

MÉHARI

CLUSIF

Français

Oui

Oui

OCTAVE

CERT au Carnegie Melon University

Anglais

Oui

Oui

RiskIT

R&D-Ware Oy

Anglais

Non

Oui

RiskPro

HEC (Montréal) – CIRANO

Français

Non

Non

Tableau 1: Méthodologies analysées

Certaines de celles-ci ne sont pas présentées dans cet article parce qu’elles ne sont pas facilement disponibles pour analyse (IRAM, RiskIT, Risk Pro), qu’elles ne soient plus disponibles suite à la cessation des activités (Callio) ou l’abandon du projet (ISO 13335-2, IVRI). Bien qu’il existe d’autres méthodologies, celles-ci n’ont pu être identifiées et ajoutées.

Les méthodologies d’analyse ou de gestion de risque ont été analysées individuellement par l’auteur en appliquant des critères présentés plus bas. Lorsque possible des copies des documents et des outils étant évalués. Les résultats ont ensuite été compilés dans un tableau qui a été distribué à un groupe d’experts en gestion de risque et à des experts des différentes méthodologies d’analyse de risque. Lorsque que nécessaire des explications additionnelles ont été fournies. Les experts ont soumis des suggestions de correctifs qui ont été intégrés dans un tableau révisé, qui est présenté avec cet article. Au besoin, s’il y avait absence de consensus sur les commentaires, des discussions ont eu lieu afin d’arriver au résultat présenté.

Des méthodologies analysées, seules quatre (4) ont pu démontrer un nombre d’utilisateurs suffisant pour en assurer la pérennité : CRAMM, EBIOS, Méhari et Octave. Dans les autres cas, aucune information ne permet de croire que le nombre d’utilisateurs de la méthodologie sur le terrain est suffisamment important pour assurer sa survie à long terme internationalement.

Ce qu’on mesure: le risque

Tel que je l’ai décrit dans un article précédent, la sécurité de l’information fait référence à deux concepts : la sécurité et l’information. La sécurité étant définie comme l’absence de risques inacceptables. Le risque informationnel vise à préserver ou améliorer la qualité des actifs informationnels d’une organisation en fonction de ses attentes (disponibilité, intégrité) ou des attentes de ses clients (protection de la vie privée). La sécurité est aussi nécessaire parce que la technologie appliquée à l’information crée des risques. Les équipements ont une durée de vie limitée et sont sujets à des pannes. Mais ces problèmes peuvent être prévisibles, des données étant disponibles sur les capacités et les performances de ceux-ci. Le risque de panne pouvant être estimé objectivement sur la base de données statistique, le risque devient la probabilité, sur une période donnée, de devoir réparer un équipement. Il y a donc plusieurs définitions possibles du risque. Il est donc nécessaire de bien définir le risque. Malheureusement, beaucoup de ce qui a été écrit sur le risque est basé sur des données anecdotiques ou sur des études limitées à un aspect particulier. L’usage de ces définitions est incertain. Il est essentiel de définir ce que risque signifie pour cet article.

Le mot risque tire ses origines du terme italien utilisé au Moyen âge: risco, signifiant rocher escarpé, écueil. Il fut utilisé par les premières compagnies d’assurance pour désigner le péril couru en mer. Le mot tire aussi ses origines du latin resecum signifiant coupant. Ces premières compagnies d’assurances (17ième siècle) assuraient les bateaux contre le risco… le terme a évolué pour devenir le mot risque. Le risque est souvent défini comme une combinaison de la probabilité d’occurrence d’un dommage et de sa gravité. Pour Knight, un auteur significatif sur le risque à son époque, le risque réfère à des situations par lesquelles le décideur assigne des probabilités mathématiques aux événements aléatoires auxquels il fait face. Le risque est aussi défini comme une variation dans les résultats (outcomes) qui peuvent survenir sur une période déterminée dans une situation donnée. Le risque est aussi une fonction de la distribution de la variance des probabilités. Fondamentalement, le risque est un construit social, il dépend de celui qui le perçoit. La plupart des définitions du risque intègrent un élément de subjectivité, selon la nature du risque et du domaine. Mais il existe un risque objectif, quantifié dans des polices d’assurance auto, par exemple.

L’ensemble des définitions du risque nous suggère le risque comme:

  • Une discontinuité

  • Une dysfonction

  • Un désastre

  • La différence entre ce qui était attendu ($) et la réalité

  • Probabilité(d’un événement) x ses Conséquences

Le risque informationnel dépend de l’acceptabilité en relation à des attentes envers les actifs informationnels, souvent déclarés à priori dans une organisation. Les attentes sont établies sur la base de politiques, de stratégie et du contexte (politique, environnemental, social, technologique et économique). En quelque sorte, en gestion du risque informationnel, il est nécessaire de délimiter le carré de sable (limites de l’organisation) et tracer une ligne dans le sable (baseline) sur la base des attentes et du contexte qui délimite ce qui est acceptable et ce qui ne l’est pas, ce qui à nous et ce qui aux autres (externalités).

L’on distingue le risque objectif, lorsque la variation existe dans le monde réel (naturel) et est la même pour tous les individus dans une situation identique, du risque subjectif, lorsqu’il y a estimation du risque objectif par un individu. Quand on ne peut exprimer l’aléatoire par des probabilités, même subjectives, on doit plutôt parler d’incertitude. Le terme risque est généralement utilisé lorsqu’il existe au moins la possibilité de conséquences négatives, s’il ne s’agit que de conséquences probables positives, on parlera plutôt de possibilités. Cet article ne discute pas d’incertitude, qui sera mitigée par des plans de relève, de continuité des affaires ou de gestion d’incidents. Il ne sera pas non plus question de possibilités, n’étant pas une préoccupation de sécurité comme telle.

Qu’est-ce qu’une méthodologie

La méthodologie, science de la méthode, est une métaméthode, une méthode des méthodes, une sorte de coffre à outils. Dans ce coffre chaque outil est un processus, une technique ou une technologie appropriée à résoudre une énigme particulière ou à déterminer la valeur d’une variable particulière. Lorsque l’on travaille dans un domaine, une méthodologie permet d’établir un enchainement d’actions à effectuer, de questions à se poser, de choix à faire, qui permet de mener de manière plus efficace une étude ou la résolution d’un problème. C’est un des éléments qui font la différence entre un art et une profession. En recherche, la méthodologie est cette systématisation de l’étude, indépendamment du sujet de l’étude lui-même. C’est ce qui permet d’obtenir des résultats qui ont une scientificité démontrable, qui peuvent être reproduits ou vérifiés par des individus extérieurs à l’étude. Une méthodologie d’analyse de risque informationnel propose une série d’activités et d’outils permettant d’analyser le risque informationnel dans un contexte précis et à un moment précis. En recherche médicale différentes qualités sont requises d’une méthodologie :

  1. Crédibilité : Les résultats de l’analyse des données recueillies reflètent l’expérience des participants ou le contexte avec crédibilité.

  2. Authenticité : La perspective émic (intérieure des participants) présentée dans les résultats de l’analyse démontre une conscience des différences subtiles d’opinion de tous les participants.

  3. Criticité : Le processus d’analyse des données recueillies et des résultats montre des signes d’évaluation du niveau d’importance relative des éléments entre eux.

  4. Intégrité : L’analyse reflète une validation de la validité répétitive et récursive associée à une présentation simple.

  5. Explicité: Les décisions et interprétations méthodologiques de même que les positions particulières de ceux qui réalisent l’étude (l’enquêteur) sont considérées.

  6. Réalisme: Des descriptions riches et respectant la réalité sont illustrées clairement et avec verve dans les résultats.

  7. Créativité: Des méthodes d’organisation, de présentation et d’analyse des données créative sont incorporées à l’étude.

  8. Exhaustivité: Les conclusions de l’étude couvrent l’ensemble des questions posées au départ de façon exhaustive.

  9. Congruence: Le processus et les résultats sont congruents, vont de pair les uns avec les autres et ne s’inscrivent pas dans un autre contexte que celui de la situation étudiée.

  10. Sensibilité: L’étude a été faite en tenant compte de la nature humaine et du contexte socioculturel de l’organisation étudiée.

Le tableau suivant présente le sommaire de l’évaluation du traitement de ces différentes qualités dans les méthodes analysées.

Qualité

Audicta

CRAMM

EBIOS

MEHARI

OCTAVE

Crédibilité

Oui

Oui

Oui

Oui

Oui

Authenticité

Non

Non

Non

Non

Non

Criticité

Oui

Oui

Oui

Oui

Oui

Intégrité

Oui

Non

Oui

Oui

Oui

Explicité

Non

Non

Non

Non

Non

Réalisme

Non

Non

Oui

Non

Non

Créativité

Oui

Non

Oui

Oui

Oui

Exhaustivité

Non

Non

Non

Non

Non

Congruence

Oui

Oui

Oui

Oui

Oui

Sensibilité

Non

Non

Oui

Non

Non

Tableau 2: le sommaire de l’évaluation du traitement de ces différentes qualités dans les méthodes analysées.

Le tableau montre qu’aucune des méthodologies ne satisfait tous les critères de qualité des résultats.

Pourquoi est-ce important?

Selon Jung, il existe deux façons d’obtenir de l’information sur le monde qui nous entoure: directement perçu par nos sens (e.g. on peut toucher, sentir ou voir) ou par intuition qui amène du contenu de l’inconscient au conscient (e.g la mémoire de connaissances acquises). La psychologie cognitive enseigne que cette information, bien qu’elle puisse sembler exacte à l’individu, est sujette à nombre de biais, entre autres:

  • Les paralogismes (erreurs de raisonnement) formels et informels

  • La dissonance cognitive

  • Les heuristiques de jugement

  • Les variations perceptuelles dues à l’appartenance à différents groupes sociaux

  • Les limites de la vigilance

Exprimé simplement, c’est important d’utiliser une méthodologie de qualité en analyse du risque informationnel pour les raisons suivantes:

  1. le processus doit être indépendant de ceux qui le réalisent

  2. les résultats de l’analyse doivent être représentatif de la réalité

  3. les résultats sont utilisés pour prendre des décisions.

La validité interne fait référence à l’exactitude des résultats. Il y a validité interne lorsqu’il y a concordance entre les données et leur interprétation. Une étude peut être considérée pour sa validité interne, c’est-à-dire qu’elle est vraie pour la population à l’étude, c’est-à-dire que les résultats de l’étude correspondent à ce qui a été étudié pour ces individus à ce moment dans le temps. Sans contrôles formels et sans faire une étude approfondie, il est impossible d’évaluer la validité Internet de toutes les méthodologies à l’étude. Quant à la validité externe, qui réfère à la généralisabilité des résultats (permets d’en tirer des conclusions impartiales au sujet d’une population cible plus grande que l’ensemble des sujets), cet aspect de la validité n’est important qu’en ce qui concerne une population cible externe particulière, ce qui est moins critique pour les petites organisations compte tenu de l’utilisation limitée, mais plus significative aux grandes organisations. Par exemple, les résultats d’une analyse de risque menée avec sept participants dans une unité d’affaires peuvent être généralisés à l’ensemble de l’organisation (la population cible étant formée de toute l’organisation et ;la population disponible formée de sept individus). Ici aussi, sans contrôles formels et sans faire une étude approfondie, il est impossible d’évaluer la validité externe.

La mesure des variables

Un premier problème porte sur la mesure des variables que l’on cherche à étudier lors d’une analyse de risque. La mesure est l’attribution de nombres à des objets, à des événements ou à des individus selon des règles préétablies dans le but de déterminer la valeur d’un attribut donné. En recherche, une variable est un concept auquel une mesure peut être déterminée. Elle correspond à une qualité (e.g. petit, grand) ou à un caractère (e.g. grandeur, age) qui sont prêtés à un élément (personnes, événements) faisant objet d’une recherche et auquel une valeur est attribuée. Les variables sont reliées aux concepts théoriques au moyen de définitions opérationnelles servant a mesurer des concepts et peuvent être classées de différentes façons selon les rôles qu’elles remplissent dans une recherche. La mesure est l’attribution de nombres à des objets, à des événements ou à des individus selon des règles préétablies dans le but de déterminer la valeur d’un attribut donné.

Une partie du risque informationnel peut être mesuré objectivement sur la base de données historique d’une organisation: le risque informationnel objectif. Cependant, peu d’organisations disposent d’une quantité de données objectives fiables sur une période suffisante pour les utiliser efficacement. Il est important de noter qu’il y a dans cette partie du risque, une problématique de distribution des probabilités qui demande éclaircissement. Si l’on peut assigner un risque potentiel sur la base de probabilités de réalisation d’événements futurs, on assume que ces événements sont distribués normalement lors d’un très grand nombre d’observations. Cet à priori est très discutable sans une base de connaissances suffisante et un grand nombre d’observations.

Tout ce qui ne peut pas être mesuré objectivement doit l’être subjectivement. Ainsi, tout ce qui n’est pas du risque objectif est placé, dans cet article, dans le camp du risque informationnel subjectif. Toute approche méthodologique cherchant à déterminer quelle est la situation d’une organisation en matière de gestion de risque informationnel subjectif, doit intégrer des façons d’identifier les attentes de l’organisation (valeurs et croyances) par les individus qui la composent et par les documents disponibles, sorte d’artéfacts. D’un point de vue méthodologique, une approche qualitative est, seule, capable de décrire le phénomène du risque informationnel dans son contexte particulier compte tenu de l’état actuel des connaissances. Les contrôles méthodologiques sont donc requis afin de s’assurer de la congruence des résultats d’une analyse de risque avec la réalité de l’organisation étudiée. Si l’on ne pouvait garantir la validité des résultats, on ouvre la porte à des critiques sur les résultats et sur les recommandations éventuelles suite à une étude.

Les échelles de mesure

L’on distingue les mesures discrètes (des catégories) des mesures continues. La mesure continue utilise des valeurs numériques selon des règles de mesure (quantité, longueur, température). Elle permet de déterminer si une caractéristique est présente et, si oui, à quel degré. Les échelles de mesure sont habituellement classées en quatre catégories, telles que présentées dans le tableau ci-dessous par ordre croissant de précision et de complexité du calcul mathématique envisageable.

Échelle de mesure

Description

Exemple(s)

Échelle nominale

Classe les objets dans de catégories.
Les nombres sont sans valeur numérique.
Des tests non paramétriques et des statistiques descriptives peuvent être utilisés.

Sexe masculin ou féminin, race, religion.

Échelle ordinale

Les objets sont classés par ordre de grandeur.
Les nombres indiquent des rangs et non des quantités.
Permets l’utilisation de statistiques descriptives.
Peut permettre l’utilisation statistique s’il existe un continuum sous-jacent d’intervalles

Degré de scolarité: Secondaire 1, secondaire 2, secondaire 3

Niveau d’exposition bas, moyen ou élevé.

Catégorie salariale: modeste (0 à 20000$), basse (20001$ à 35000$), etc.

Échelle à intervalles

Les intervalles entre les nombres sont égaux.
Les nombres peuvent être additionnés ou soustraits.
Les nombres ne sont pas absolus, car le zéro est arbitraire.
Permets un grand nombre d’opérations statistiques.

La température mesurée en degrés Celsius

Échelle à proportions

L’échelle a un zéro absolu.
Les nombres représentent des quantités réelles et il possible d’exécuter sur elles toutes les opérations mathématiques.

La température mesurée en degrés Kelvin, le poids, la taille, le revenu.

Tableau 1: catégories d’échelles de mesure

Il est critique de s’assurer qu’une rigueur scientifique est présente dans toute analyse de risque. Certaines méthodes utilisent des données qualitatives auxquelles sont assignées des valeurs numériques sur lesquelles une analyse statistique est effectuée. Si en plus ces valeurs assignées sont utilisées dans des calculs mathématiques, c’est plutôt douteux. Le passage d’une donnée qualitative à une donnée quantitative ne peut se faire sans qu’il soit appuyé par un cadre rigoureux qui doit être vérifié rigoureusement. Sinon, quelle signification donner aux résultats ? Quel est leur précision ?

La majorité des méthodologies analysées utilisent des échelles ordinales et des échelles à intervalles. Ce type d’échelle de mesure n’est pas approprié pour des opérations mathématiques complexes, mais peut faire l’objet d’analyse statistique. Le problème est que certaines de celles-ci (Audicta, CRAMM et MHARI) effectue des opérations mathématiques complexes qui ne sont pas appropriées compte tenu de l’échelle de mesure. Audicta et CRAMM semblent disposer de contrôles méthodologiques pour dominer la situation. Dans le cas de EBIOS, l’approche par tableau croisé évite cette situation problématique. Octave est le seul qui utilise une échelle à proportion permettant une utilisation optimale des données.

L’échantillonnage

Il est essentiel de se questionner sur l’échantillonnage en analyse de risque. Si l’on rencontre un nombre limité de membres d’une organisation pour obtenir des informations permettant d’assigner des valeurs à des variables, il est essentiel que ces personnes fournissent des réponses qui sont en mesure de fournir un portrait réel et complet de la situation: l’échantillon doit être représentatif de la population qu’il représente. Toutes les méthodologies ont un échantillon non probabiliste déterminé par choix raisonné. Ce qui signifie que, dans chaque cas, les individus qui participent à l’étude sont choisis par les individus qui font l’analyse de risque. Ainsi, de nombreux biais de sélections sont introduits, en fonction de relations de pouvoir, de disponibilité, de priorités organisationnelles et individuelles, etc. Ainsi, toutes les méthodologies semblent disposer d’un échantillon sont on ne peut déterminer la représentativité. Il est donc incertain que l’ensemble de la situation, tel qu’elle existe dans la réalité, ne puisse s’exprimer dans les résultats de l’analyse de risque. De même, il n’y a aucun contrôle de la saturation afin de s’assurer que tout ce qui est à dire sur la situation sous analyse soit dit par les individus qui sont inclus dans l’échantillon.

Conclusion

Le tableau détaillé, présenté en annexe (ici), applique des contrôles méthodologiques utilisés dans le domaine de la recherche clinique et enseignés à la faculté de Médecine de l’Université de Sherbrooke, tel que mentionné en début d’article. La grille permet d’avoir un aperçu des différentes méthodologies disponibles au Québec en 2006. Comme il est expliqué dans l’analyse, aucune des méthodologies d’analyse de risque étudié ne rencontre l’ensemble des critères d’évaluation.

Bien qu’il soit difficile de démontrer la supériorité d’une méthode sur une autre, il est apparent que certaines soient méthodologiquement supérieures aux autres. Les méthodes CRAMM,EBIOS et Octave semblent supérieures que les autres. Méhari est dans une seconde catégorie de bonnes méthodes, mais qui nécessite un encadrement solide (formation, consultant, vérificateur externe) pour limiter les biais. Les autres méthodes sont immatures ou invérifiables. Cependant, toute méthode utilisée par un praticien formé et compétent est susceptible de donner des résultats qui ont une certaine valeur pour l’organisation. Il serait nécessaire de procéder à des analyses très poussées pour permettre de tirer des conclusions véritablement solides, ce qui est peu probable.

Bibliographie

Beucher, S., Reghezza, M., (2004) Les risques (CAPES Agrégation), Bréal

Blakley, B., McDermott, E., Geer, D.(2001), Session 5: less is more: Information security is information risk management, Proceedings of the 2001 workshop on New security paradigms, September 2001

Fortin, M.-F., Côté, J., Filion, F. (2006). Fondements et étapes du processus de recherche, Chenelière ducation, Montréal (Québec), 485 pages

ISO (1999) Guide 51 Safety aspects, Guidelines for their inclusion in standards, International Standards Organization

ISO (2002) Guide 73, Management du risque, Vocabulaire, Principes directeurs pour l’utilisation dans les normes , International Standards Organization

Knight, Frank H. (1921) Risk, Uncertainty, and Profit, Boston, MA: Hart, Schaffner & Marx; Houghton Mifflin Company

Office québécois de la langue française (2005) Grand dictionnaire terminologique, en ligne: http://www.olf.gouv.qc.ca/ressources/gdt_bdl2.html

Copyright décembre 2006, Marc-André Léger

révisé: 2007-09-30 09:06:48 -0400

Grille d’évaluation de méthodologie d’analyse de risque et de gestion de risque.

maxresdefaultPar Marc-André Léger, DESS, MscA(MIS)

 

Question

 

 
Est-ce la première version?
Version:
Source ou distributeur:
Coordonnées:
Y a t il des données disponibles sur le nombre d’utilisateurs ou de licences vendues?
Si oui, quel est il?
Quel type de méthodologie?
La méthodologie est documentée?
La documentation est disponible en français?
Elle est accompagnée d’outils?
Lequel?
Les outils sont disponibles en français?
Quel en est le coût?
Les outils sont-ils multi utilisateurs?
Si oui, intègrent’ ils une gestion du suivi (Workflow)?
Intègrent-ils des contrôles d’accès
Est-il convivial?
Une formation est offerte?
À quel endroit?
À quel coût?
Le support est-il disponible?
À quel endroit ou de quelle façon?
À quel coût?
Y a-t’il des experts-conseil disponibles qui connaissent cette méthodologie?
À quel endroit ou de quelle façon?
À quel coût?
L’interface utilisateur est conviviale?
Une interface utilisateur WEB est offerte?
À quel endroit ?
La méthodologie est appuyée par un modèle théorique?
Si oui, lequel?
Quelle est l’approche méthodologique?
Si Qualitative: La méthode qualitative convient-elle pour l’étude du phénomène en question?
Si Qualitative: L’étude est-elle centrée sur l’aspect subjectif de l’expérience humaine?
Si Qualitative: Peut-on distinguer la méthode qualitative utilisée dans l’étude?
Comment ?
Ce modèle est-il le résultat de travaux?
Lesquels?
Est-ce basé sur une application de la théorie des jeux ou des arbres de décisions?
Si oui, lequel?
Est-ce documenté?
Est-ce basé sur des simulations?
Si oui, de quelle façon?
Des audits sont effectués? ISO13335-2(2005)
Le processus d’analyse du risque identifie, quantifie et priorise les risques en utilisant des critères d’acceptation du risque et des objectifs pertinents à l’organisation. ISO17799(2005) Ch4
Le processus d’analyse du risque et de sélection des contrôles de gestion est répété afin de couvrir l’ensemble des systèmes d’informations ou les systèmes de manière individuelle. ISO17799(2005) Ch4
Le processus d’analyse de risque intègre une méthode systématique d’estimation de la magnitude des risques informationnels et des processus de comparaison du risque avec des seuils de tolérance et des normes établies par l’organisation (Baseline). ISO17799(2005) Ch4
Le processus d’analyse du risque est répété périodiquement ou suite à des changements significatifs. ISO17799(2005) Ch4
Le processus d’analyse du risque est systématique et méthodologique afin de permettre des résultats comparables et reproductibles. ISO17799 (2005) Ch4
L’analyse des vulnérabilités technologiques est prise en considération? ISO13335-2(2005)
L’analyse du risque informationnel s’opère dans un contexte bien défini (scope).  ISO17799 (2005) Ch4
Les liens avec les analyses de risque dans d’autres secteurs d’activités ou unités d’affaires de l’organisation sont définis. ISO17799 (2005) Ch4
La méthodologie offre des processus formels d’identification des menaces?
Si oui, sont ils automatisés?
Quelle est l’importance de la subjectivité dans l’identification des menaces?
La méthodologie offre des processus formels d’identification des vulnérabilités?
Si oui, sont ils automatisés?
Quelle est l’importance de la subjectivité dans l’identification des vulnérabilités?
Quelle est l’approche de calcul du risque?
Comment sont évaluées les probabilités de réalisation?
Comment est évalué l’impact?
Comment est mesurée la tolérance au risque?
Un Baseline (seuil de tolérance) est-il utilisé?
Comment?
La méthodologie offre des processus formels de hiérarchisation du risque?
Si oui, est-ce automatisé?
Quelle est l’importance de la subjectivité dans la hiérarchisation?
La méthodologie offre des processus d’amélioration continue?
Si oui, est-ce cyclique, répétitif?
De quelle façon?
Le processus de traitement du risque utilise des critères organisationnels pour déterminer le seuil de tolérance et l’acceptation du risque. ISO17799 (2005) Ch4
Le coût des mesures de mitigation est déterminé?
Les pertes potentielles sont déterminées? ISO17799 (2005) Ch4
Une analyse coût bénéfices est réalisée? ISO17799 (2005) Ch4
La décision est conservée?  ISO17799 (2005) Ch4
a)     Le choix des mesures de mitigation prend en compte les objectifs et les besoins suivants: ISO17799 (2005) Ch4 b)
Les contrôles peuvent être ajoutés? ISO17799 (2005) Ch4
Différent référentiels peuvent êtres utilisés?
Permet le traitement des risques dans les projets?  ISO17799 (2005) Ch4
Quelle est l’échelle de mesure utilisée
L’échelle de mesure utilisée est-elle appropriée pour mesurer les variables de recherche?
Les instruments de mesure ont-ils été utilisés antérieurement ou ont-ils été construits pour les besoins de l’étude?
Quel est le type d’échantillonnage?
Comment sont choisis les sujets?
Y a-t-il des processus en place pour assurer la saturation des données?
Lesquels?
La méthode de collecte et d’enregistrement des données est-elle clairement précisée?
La méthode décrit clairement la façon dont les participants sont choisis?
Trouve-t-on de l’information sur la fidélité des instruments de mesure?
Si oui, quel type de fidélité a été analysé et comment l’auteur interprète-t-il les résultats de l’examen de la fidélité?
Trouve-t-on de l’information sur la validité des instruments de mesure?
Si oui, quel type de validité a été analysé?
Les résultats vous semblent-ils suffisants?
Si on a traduit les échelles de mesure d’une autre langue, comment a-t-on procédé?
Cela vous parait-il approprié?
S’est-on assuré de la fidélité et de la validité des échelles traduites?
De quelle façon?
La méthode d’analyse des données est-elle conforme au but de l’étude?
Les résultats revêtent-ils une signification précise pour la discipline?
Les résultats de l’analyse de risque guident et déterminent les actions de gestion, les priorités de gestion des risques informationnels et la mise en oeuvre des contrôles de gestion pour mitiger les risques. ISO17799 (2005) Ch4
Y a-t-il des tableaux de bord?
Y a-t-il des rapports de gestion?
Est-ce qu’un plan directeur ou un plan d’action est produit?
Est-ce qu’il y a une gestion du suivi?
Est-il dans un format qui permet l’utilisation d’une méthodologie de gestion de projet ou un outils de gestion de projets?
Si oui, sont-ils configurables?
L’interprétation s’accorde-t-elle avec les données recueillies?
Un plan de formation est établi?
Un plan de communication du risque est établi?
Crédibilité : Les résultats de l’analyse reflètent ils l’expérience des participants ou le contexte avec crédibilité?
Authenticité; La perspective émic démontre t’elle une conscience des différences subtiles d’opinion de tous les participants?
Criticité : Le processus d’analyse montre t’il des signes d’évaluation du niveau de criticité?
Intégrité : L’analyse reflète t’elle une validation de la validité répétitive et récursive associée à une présentation simple?
Explicité : Les décisions et interprétations méthodologiques de même que les positions particulières de l’enquêteur ont-elles été considérées?
Réalisme : Des descriptions riches et respectant la réalité sont illustrées clairement et avec verve?
Créativité : Des méthodes d’organisation, de présentation et d’analyse des données créative ont-elles été incorporées à l’étude?
Exhaustivité ; Les conclusions couvrent-elles l’ensemble des questions posées de façon exhaustive?
Congruence ; Le processus et les résultats sont-ils congruents?
Vont-ils de pair les uns avec les autres?
Les résultats s’inscrivent-ils dans un autre contexte que celui de la situation étudiée?
Sensibilité; L’enquête à t’elle été faite en tenant compte de la nature humaine et du contexte socioculturel?
Une base de connaissance centralisée est maintenue?
La sécurité des informations de la base de données centrale est-elle assurée?

La gestion de risque des données cliniques

Par MarcAndré Léger, DESS, MscA (MIS)

CRED, Faculté de Médecine, Université de Sherbrooke

Introduction

Les Données cliniques

Un Dossier de Santé Électronique (DSÉ) est défini comme un dépôt d’information qui concerne la santé d’un sujet de soin, un patient, dans une forme traitable par les technologies de l’information (TI), emmagasinée et transmis et accessible par de multiple utilisateurs autorisés[1]. L’importance émergente du DSÉ de même que l’augmentation dans le informatisation d’autres activités du système de santé, y compris l’administration et la recherche, génère progressivement de grandes quantités de données à propos des patients, de la livraison de soin de santé et de la recherche biomédicale[2]. Les DSÉ utilisent de plus en plus des données de format multimédia, agrégés dans des dépôts de données cliniques (DDC) et des entrepôts de données cliniques (EDC) par beaucoup d’établissements de santé[3].

Les entrepôts de données (ED) sont une collection de technologies de soutien à la prise de décision, permettant aux décideurs (cadres, directeurs et analystes) de prendre de meilleur décisions plus rapidement[4]. Les ED contiennent des données consolidées de plusieurs bases de données opérationnelles et ont tendance à être des ordres de magnitude plus volumineuses que les bases de données, souvent d’une taille dans les centaines de gigaoctets et même les téraoctets. Typiquement, les ED sont maintenus séparément des bases de données opérationnelles de l’organisation parce les besoins  analytiques et les conditions d’exécution sont tout à fait différentes de ceux-là de bases de données opérationnelles. Les entrepôts de données existent principalement pour les applications de soutien à la prise de décision et fournissent des données historiques, résumées et consolidées pour en faciliter l’analyse détaillé[5]. Un EDC est un système informatique qui fonctionne comme un dépôt (l’entrepôt) de données de santé, provenant de sources différentes y compris le DSÉ, qui reflète ensemble les processus d’affaires d’une organisation de santé, ou de plusieurs organisations reliées, par exemple dans une structure régionale[6]. L’EDC peut être considéré, dans sa conception, distinct d’un DSÉ opérationnel. Les données, rendues accessibles par un portail unique, deviennent un EDC.

Les ED permettent à l’industrie de la santé d’accumuler et assimiler l’information de données de sources nombreuses (eg. laboratoire, pharmacie, radiologie, administration) et les rendre disponible pour la prise de décision[7]. Un EDC peut contenir l’information et la connaissance qui peut améliorer significativement les soins, réduire les erreurs médicales, améliorer les mesures de qualité, faciliter la recherche cliniques et augmenter l’efficacité organisationnelle[8]. L’EDC a démontré des avantages importants aux divers groupes d’ayants cause[9]. Les ayants cause sont composés des catégories:

  • Malades
  • Utilisateursde données
  • Organisationsde santé
  • associationsprofessionnelles
  • les professionnels des TI
  • Industrie de la santé
  • assureurs
  • Gouvernement
  • les organisations non gouvernementales et la Communautaires
  • les établissements d’eisengnement et de recherche médicale
  • l’industrie des TI

Risque

Le risque est défini la combinaison de la probabilité d’un événement et sa conséquence[10]. Le risque est naturel, une force qui résulte des pressions de l’environnement[11]. Partout où il y a une occasion pour le changement, il y a un risque. Dans le risque il y a la notion de discontinuité souvent a associé avec les désastres et les issues imprévu[12]. Une organisation doit identifier les activités où les risques sont le plus significatif pour elle[13]. Ceci pourrait être motivé par plusieurs facteurs tels que ses devoirs légaux, les attentes de ses ayants cause ou pour d’autres raisons considérées significatives par les dirigeants d’une organisation.

Une organisation peut observer le risque d’un point de vue organisationnel mais aussi par rapport à une activité, un système informatique ou un processus d’affaires. Elle peut aussi observer le risque par rapport aux données géré et utilisées dans une organisation. Qu’elle que soit la façon que l’organisation choisisse pour l’observer, le risque existant est la sommes des divers risques qui sont présents. Chaque risque individuel exige la présence d’une menace ou de plusieurs menaces qui ont quelque probabilité de se concrétiser et avoir un effet négatif par rapport à l’issue anticipée.

Les attributs de risque

Le risque dans les systèmes d’informations est généralement perçu en relation à des attributs. Les attributs de confidentialité, d’intégrité et de disponibilité, ainsi que d’autre attribus tel que l’authenticité, la responsabilité, non-répudiation et la fiabilité pourrait être aussi impliquée. Nous présentons ici quelques définitions.

La confidentialité

La confidentialité est la propriété que cette information n’est pas mise à la disposition ou dévoilé aux individus inautorisé, aux entités, ou aux procédés.La confidentialité existe quand l’information est communiquée dans le contexte d’une relation spéciale (tel que le médecin-malade, l’avocat-client, etc.) où l’information est projetée être tenue dans la confiance ou gardé secrète [CIHR, 2002]. C’est un concept éthique qui règle la communication d’information entre les individus [Roger, 1998]. Le statut de confidentiel est accordé aux données ou à l’information indiquant que c’est sensible pour quelque raison, et donc il a besoin d’être protégé contre le vol, la révélation, ou l’usage déplacé, ou les deux, et doit être seulement disséminé aux individus ou aux organisations autorisées avec un besoin de savoir. Les individus ont un droit à la protection des renseignements personnels et la confidentialité de leurs informations de santé[14]. La confidentialité est au coeur de pratique médicale et est essentiel pour maintenir de confiance et l’intégrité dans la relation de patient-médecin. Savoir que leur intimité sera respectée donne aux patients la liberté de partager l’information personnelle sensible avec leur médecin[15]. La Déclaration de Genève exige des médecins de conserver la confidentialité absolue sur tout ce qu’il sait de son patient même après son décès[16].

La confidentialité est une responsabilité de gestion: elle concerne les problèmes de gestion des données par des règles qui sont satisfaisantes aux gestionnaires de banques de données et aux personnes auxquelles les données se rapportent[17]. L’accès est autorisé en fonction d’une classification qui est rendue obligatoire par des directives et des règlements: un individu ne peut pas exercer son propre jugement pour la violer[18]. De même, comme les professionnels de la santé appartiennent à des structures organisationelles différentes, qui sont indépendantes l’une de autre, la confidentialité de l’activité de chaque structure doit être aussi assuré[19]. La confidentialité est maintenue par des données dénominalisés et l’élimination d’éléments dans la base de données qui faciliterait un lien à un événement spécifique identifié par d’autres moyens, tels que par le DSÉ.

Intégrité

L’intégrité est la propriété de protéger la précision et la plénitude de biens [ISO 13335-1]. L’intégrité est une propriété résolue par la modification de approuved d’information [Cloche,1976].

Les individus ont la droite à l’intégrité de leur information de santé. Les personnes de et/ou d’entités qui créent, maintient, l’usage, transmettre, recueille, ou disséminer l’information de santé individuelle sera responsable d’assurer cette intégrité [Buckovich, 1999].

La continuité de soin pourrait impliquer une communication complète de données médicales, respectant son intégrité et sa disponibilité [Roger, 1998]. Par exemple, dans une image archivant et le système de communication (PACS), l’intégrité de données est essentielle pour passer l’information correcte au médecin [Tsong, 2003].

L’extérieur de signe checksums sur les grands champs (les images telles que médicales), l’intégrité partiellement peut être seulement garantie en authentifiant l’individu au site de source responsable de transférer l’information, et fier l’individu pour vérifier les données [Cody, 2003]. L’intégritéde données inclut la minimisation de redondance de données, l’amélioration d’entretien de données, et l’élimination de versions multiples de données [Candler, 1999]. En plus des menaces malveillantes, les menaces qui viennent du logiciel, le matériel, ou l’échec de réseau, ou les menaces qui viennent de l’erreur humaine simple peuvent affecter l’intégrité d’un système informatique [Cody, 2003].

Disponibilité

La disponibilité est la propriété de données d’être accessible et utilisable sur demande par un utilisateur autorisée (ISO 7498-2:1989).La disponibilité d’informations complètes, vérifiée et opérationnelle peut avoir un effet significatif sur les décisions dans une grande variété de contextes[20]. La recherche de santé, particulièrement dans les secteurs de services de santé et de politique, la population et la santé publique, dépend d’une manière critique de la disponibilité prête de données existantes des gens [CIHR, 2002].

Non-répudiation

Non-répudiation se réfère à la capacité à prouver une action ou l’événement a eu lieu, pour que cet événement ou cette action ne peut pas être nié plus tard.[4]

[ISO13888-1] identifie le suivre les services non-répudiation :

  • Non-répudiation de création : protéger contre un démenti de l’entité faux d’ayant créé le contenu d’un message.
  • Non-répudiation de livraison : protéger contre un démenti du bénéficiaire faux d’ ayant reçu le message et a reconnu le contenu d’un message.
  • Non-répudiation de connaissance : protéger contre un démenti du bénéficiaire faux d’ ayant pris la notification du contenu d’un message reçu.
  • Non-répudiation d’origine : protéger contre le démenti du créateur faux d’ ayant approuvé le contenu d’un message et d’ayant envoyé un message.
  • Non-répudiation de reçu : protéger contre un démenti du bénéficiaire faux d’ ayant reçu une messagenon-répudiation d’envoi : Ce service est projeté pour protéger contre le démenti de l’expéditeur faux d’ayant envoyé un message.
  • Non-répudiation de soumission : fournir de la preuve qu’une autorité de livraison a acceptée le message pour la transmission.
  • Non-répudiation de transport : fournir de la preuve pour le créateur de message qu’une autorité de livraison a livrée le message au bénéficiaire voulu.

Les technologiesnon-répudiation, signatures telles que numériques, sont utilisées pour assurer qu’une personne exécutant une action ne peut pas nier par la suite exécuter cette action. Ceci est utile pour les contrats numériques, les déclarations et n’importe où d’autre qu’une signature serait utilisée dans le monde physique. Les signatures numériques sont ordinairement utilisées pour non-répudiation, et sont normalement basé PKI, qui utilise des chiffres asymétriques [Helvey, 2004].

Les garantiesnumériques de signature peuvent fournir la protection pour rendre capable non-répudiation [ISO 13335-2].

Les techniquescryptographiques (par ex. a basé l’usage de signatures numériques) peut être utilisé pour prouver ou autrement l’envoi, la transmission, la soumission, la livraison, la notification de reçu, etc. de messages, les communications et les transactions [ISO 13335-2].

L’accès contrôle

Les technologiesd’accès de contrôle sont utilisées pour protéger l’information en limitant l’accès à l’information ou les opérations, selon l’identité du accessor. Les mécanismes communs pour le contrôle d’accès sont discrétionnaires (DAC), obligatoire (MAC), et rôle-basé (RBAC). DAC est basé l’adhésion d’identité ou groupe de l’utilisateur, et permet à l’utilisateur pour spécifier quels autres utilisateurs peuvent accéder à l’information. MAC est commun dans les systèmes d’exploitation assurés, et les étiquettes d’usages et les listes de contrôle d’accès pour protéger l’information. RBAC permet contrôle à l’accès politiques être définies selon le rôle de l’utilisateur dans une organisation, telle que l’administrateur, le directeur, le chercheur, et ainsi de suite [Helvey, 2004].

Les organisations de soinde santé ont compromis sciemment la sécurité d’information par moins que les contrôles d’accès satisfaisants simplement afin d’encourager tout personnel pour utiliser les systèmes informatiques. Une fois tel compromis a été adopté, c’est par la suite très difficile à convaincre des utilisateurs du besoin de fortifier le contrôle d’accès.. approprie une fois le contrôle et vérifier d’accès sont installés, le scepticisme de personnel bientôt virages à l’acceptation comme ils viennent rendre compte leur importance et leur avantage [Creux, 2000].

Dans un HIPAA a rendu obligatoire l’environnement de PACS, d’un point de vue d’application, il doit y avoir un mécanisme de journal de bord pour tenir note l’information d’accès telle que [CAO, 2003] :

  • L’identification de la personne qui a accédé à ces données
  • La date et le temps quand les données ont été accédées à
  • Le type d’accès (crée, a lu, modifie, efface)
  • Le statut d’ accès (le succès ou l’échec)
  • L’identification des données.

Le modèle pour le contrôle d’autorisation et accès dans les systèmes informatiques de santé distribués a à traiter la description de politique et la négociation y compris les accords de politique, l’authentification, la certification, et les services d’annuaire mais aussi les analyses rétrospectives, formant entièrement l’infrastructure de direction de privilège [Blobel, 2004].

La technologie peut aider assure que l’octroi et la restriction d’accès à ces utilisateurs avec les besoins légitimes, au moyen des mots de passe, accèdent à des codes, et l’autres identifier mécanismes [Buckovich, 1999].

la protection des renseignements personnels contre la sécurité

La droite à la protection des renseignements personnels autorise des gens pour exercer le contrôle par-dessus l’usage et la révélation d’information d’eux comme les individus. la protection des renseignements personnels d’une information de santé du malade personnel est obtenue par le devoir du médecin de confidentialité [WMA, 2002].

la protection des renseignements personnels est un concept social, culturel et légal, tous trois aspects que dont varie du pays au pays [Thompson, 2001]. Pendant que la sécurité de données personnelles peut être instrumentale à cet effet, ‹ la sécurité des données est une chose très différente de la protection des renseignements personnels ›.[5]

Intimité : ‹ ‹ La droite d’individus être partie seul et être protégée contre l’invasion physique ou psychologique ou l’usage impropre de leur propriété. Il inclut la liberté de l’intrusion ou l’observation dans une affaires privées, la droite pour maintenir le contrôle par-dessus la certaine information personnelle, et la liberté pour agir sans hors de l’intervention ›. › [6]

la protection des renseignements personnelsd’information peut être pensée de comme ensemble de contrôles placés sur les organisations par-dessus les usages d’information personnelle dans leur garde et de contrôle, et les droits ont conféré sur les individus par-dessus leur information personnelle. Que s’éclaircit dans tracant ces éléments de sécurité et intimité sont que certains des composants de protection d’intimité peuvent être adressés par les garanties de sécurité, pendant que les autres ne peuvent pas. Quelques fonctions de sécurité peuvent freiner en fait ou peuvent menacer même la protection d’intimité nécessaire. Quelques mesures d’intimité peuvent affaiblir ou peuvent menacer mesure.donc de sécurité justifié la sécurité–le paradoxe d’intimité [Cavoukian, 2003].

La Déclaration d’états d’Helsinki : « C’est le devoir du médecin dans la recherche médicale pour protéger la vie, la santé, la protection des renseignements personnels, et la dignité du sujet humain » [WMA, 2002].

Une idée reproduisant est qu’une base de données de recherche de données patientes peut et devrait être frotté d’identifier l’information personnelle, et par la suite le nettoyer la base de données peut être mise à la disposition pour la recherche sur un moins de base limité.

[Behlen, 1999] Se dispute que tel frotter complet n’est pas faisable, et même si cet étaient faisable, il ne serait pas approprié moralement. Une condition pénible pour l’exemption est cela de ‹ ‹ jetant la clef › › cela relie des données à un malade. Cette condition présente quelques problèmes pratiques, scientifiques et éthiques :

  • Il saisit la possibilité d’avantage au malade. ;
  • La condition complique fort l’ entretien d’une base de données actuelle ;
  • La condition élimine quelques contrôles contre la fraude scientifique.

La qualité de données est cruciale à la protection d’intimité. La sécurité est nécessaire, mais loin de suffisante, pour assurer la protection des renseignements personnels. Les informaticiens et les autres prennent souvent l’ « intimité » pour signifier (seulement) la « sécurité des données » contre les risques d’accès non autorisé, les dommages physiques aux bases de données ou les transmissions, et l’aimé. Cependant, pas c’est de confort à un individu intimité-conscient être dit que les données inexactes, démodées, excessives et sans pertinence d’elle sont crypté et sont emmagasinées derrière les cloisons pare-feu de pirate informatique-preuve jusqu’à ce qu’a mis pour utiliser par (dit) une organisation de crédit-accordant dans faire de décisions d’elle [Raab, 2004]. L’examen minutieux intense suivant dans quelques projets de recherche, ce peut être nécessaire de diriger une nouvelle analyse indépendante des données et de résultats pour confirmer la qualité des données originales [Shortreed, 2003].

la protection des renseignements personnels d’information a recueilli pendant les procédés de soin de santé est nécessaire à cause de significatif économique, psychologic, et le mal social qui peut venir aux individus quand l’information de santé personnelle est dévoilée [Barrow, 1996].

la protection des renseignements personnels et la confidentialité du rapport patient ont attiré le débat et l’analyse vastes, y compris la discussion de recherche. Bien que les problèmes de politique en ce qui concerne l’accès de recherche aux bases de données de santé publiques ont été analysés en détail, moins d’attention a été payé au problème de comment surveiller et administrer, dans le cadre de politique publique applicable, la recherche de multicenter utilisant les rapports de malade privément tenus. En plus de la politique publique, les politiques de chaque institution participant doivent être considérées [Behlen, 1999].

La relation entre le fournisseur de soin de santé et le malade est un caractérisé par la protection des renseignements personnels et la confiance, et la confidentialité est enfoncée au moins implicitement dans les interactions de patient-fournisseur. La notion de confidentialité dans le soin de santé a une tradition professionnelle forte qui a souffert l’érosion progressive en raison des arrangements de remboursement de thirdparty, le soin géré et l’autre soin de santé structures organisationnelles, et les perceptions et la culture de gens de métier dans les systèmes de soin de santé de modem. Un tiers de gens de métier médicaux a indiqué que cette information est donnée aux gens inautorisés « un peu souvent ». [Barrow, 1996]

Les problèmeséthiques dans les services médicaux de données risquent la direction

La rechercheclinique doit être faite dans le respect extrême d’inquiétudes éthiques [Beecher, le ]. de 1966 Les droits à la protection des renseignements personnels et à la confidentialité sont intimement connectés avec la droite pour respecter pour une dignité, une intégrité et une autonomie sont constitutionnelment enchâssé dans la Charte canadienne de Droits et Charte de Libertés et Québec de Droits et les Libertés Humaines [CIHR, 2002]. la protection des renseignements personnels et la confidentialité couchent à la racine d’aux indications d’éthique internationales et nationales, de même que les codes professionnels de déontologie [CIHR, 2002] [CIHR, 2004]. Ils sont les chauffeurs principaux de la condition pour le traitement suffisant de risque dans les organisations de services médicaux [le Sénat, 2002]. L’incertitude légale le fait aussi difficile pour les consommateurs à être conscient de et comprend leurs droits d’intimité et confidentialité [Buckovich, 1999].

Les principes fondamentaux au coeur de législation d’intimité canadienne forment la base de l’Association de Normes canadienne [CSA, 2003] le Code de Modèle pour la Protection d’Information Personnelle est [CIHR, 2004], ceci avec [WMA, 1994] [WMA, 1995] [WMA, 2002] [Buckovich, 1999] [CIHR, 2004], identifie les secteurs suivants de risque qui a besoin d’à adressé dans un CDW :

  • Politiques[a12]
  • confidentialité ;
  • Intimité ;
  • Intégrité ;
  • Disponibilité
  • Garanties ;
    1. Collectionlimitant
  • La direction contrôle ;
  • Les procédés pour rendre capable Défiant la Conformité ; et
  • La d’-identification de données ;
  • Obtenir la transmission de données ;
  • Responsabilité ;
  • Franchise ;
    1. Consentementinformé ;
  • Butsdistinctifs ;
  • Accéder à à l’information par les malades (la droite pour retenir, séparer, modifier et copier) ;
  • L’Usagelimitant, la Révélation, et la Rétention ;
  • La révélationpleine (Aucunes bases de données secrètes existeront) ;
  • L’usagenon-commercial (le rapport Non médical sera vendu, sera utilisé pour mettre sur le marché de buts sans le consentement informé préalable de l’individu) ;
  • Documentation et entraînement

Ceci est d’accord avec les conditions des déclarations deLisbonne [WMA, 1995], Genève[WMA, 1994],Helsinki [WMA, 2002], de même que [Belmont, 1979] [Helsinky, 1964] [Nuremberg,1949] [Harkness, 2001].

Défi : La sélection et la catégorisation des secteurs différents de risque qui comprend le risque et les secteurs généraux de menaces qui devraient être considérées dans l’implémentation et l’usage d’un entrepôt de données clinique.

Ceci serait une amélioration significative quand en comparaison des approches ordinairement utilisées qui sont principalement concernées avec la confidentialité, l’intégrité et la disponibilité. Ceci serait aussi meilleur adapté aux conditions identifiées que nous avons trouvé dans la littérature.

Combiner les conditions

Si nous mettons ceci sous forme d’une table, les conditions pourraient être représentées comme :

Risquer la catégorie de Condition

Catégoriede parieur

confidentialité Intégrité Disponibilité Intimité Politiques Franchise Garanties Documentation et entraînement
Malades 1, 14, 35, 54, 57, 58, 60 7, 47, 66 2, 3, 4, 8 1b, 5, 6, 9, 11, 38, 39 14, 29, 30, 35, 36, 37 24, 50 49
Utilisateursde données 53, 7b, 64, 65, 69, 70 72 13 40, 43 17, 18, 19, 35 19, 24, 42, 44, 45, 75, 76, 77, 78, 79, 80, 81, 82, 84 25, 48
Organisationsde services médicaux 14, 33, 54, 56, 60, 61 7b, 66 9, 10, 12, 13 26, 40, 61 14, 15, 16, 17, 18, 29 24, 50, 87 25, 48, 51
Gens de métierde services médicaux 32, 58, 59, 62 46 73 9, 59 33 31, 33 32 25
Associationsprofessionnelles 13 52 25
Industrie de services médicaux 13 26 15, 16
Assureurs 13, 20 26 15, 18,
Gouvernement 13 26 15, 16, 18, 22, 29 28, 50 48
NGOs et la Communauté groupent 13 26
Educatif 74 13 41 17
IL équipe 34, 56, 60, 61, 63 7b, 66, 69, 71 10 26, 40, 61 35 19, 23, 24, 27, 34, 83, 85, 86, 88, 89, 90 25, 48
IL l’industrie 15
Autre 21

Les conditions présentées dans cette table ont été identifiées dans notre littérature réexamine une liste complète des conditions avec les références est présentée dans l’Annexe a.

Le défi  : plus le travail pourrait identifier des conditions supplémentaires qui ont été manquées, la plus ample analyse pourrait être eu besoin de. Aussi la liste de ayants cause et la catégorisation de groupes de parieur exige la validation.

Gestion du risque informationnel

Les organisations ont besoin d’identifier le prévisible [Watkins, 2003] exécuter optimaly, avec la régularité, progressivement. Ils ont besoin de gérer le risque. Fondamentalement, la Gestion de Risque entoure trois procédés : La reconnaissance de menaces, priorization et la mobilisation de ressources (les procédés de TR/MIN) [Watkins, 2003]. Les méthodes formelles comme la façon la plus réussie pour appliquer le changement dans EST [Clarke, 1996], ceci soutient [LandwDSÉ, 1981], ces méthodes de Gestion de Risque formelles sont le meilleur cours d’actions pour les organisations. Gérer les risques dans le système informatique sont suprêmes au reportage financier précis et la provision d’information opportune et pertinente a exigé dans les organisations pour la prise de décision optimale [Stoneburner, 2002].

L’usage d’un modèle de sécurité abstrait est nécessaire, sans les modèles suffisants ce n’est pas possible de concevoir des systèmes assurés [Anderson, 1972]. Les méthodologies formelles de Gestion de Risque appliquent généralement les procédés de TR/MIN (la reconnaissance de menaces, priorization et la mobilisation de ressources) par les procédés formels d’évaluation de risque, risquer l’évaluation, et la réduction de risque [BS-7799-2] [Hancock, 2002] [ISO 13335-2] [Alberts, 1999] [Clusif, 2000] [Le Canada, 2004] [Léger, 2004] [la Trésorerie de HM, 2001] [GRC, 1994] [ISO 17799] [COSO,2003] [Schumacher, 1997]. L’objectif principal des méthodologies est d’équilibrer les coûts opérationnels et économiques de mesures de réduction de risque et atteint des avantages d’organisation en protégant Les systèmes et les données qui soutiennent leurs missions [Stoneburner, 2002] [Myerson, 1999].

Les quatre traitements possibles de risque sont [BS-7799- 2] [ISO 13335-2] :

Transférer le risque

par ex. l’assurance d’achat ou sous-traite

Eviter le risque

par ex. choisir de ne pas procéder ou appliquer

Accepter le risque

par ex. décider que le niveau de risque identifié est dans les capacités de tolerence d’une organisation

Adoucir le risque

par ex. appliquer les contrôles techniques de réduction de risque, tels qu’une cloison pare-feu

Figure 1 : Risquer les options de traitement

Par exemple, [ISO17799] ne définit pas de conditions exactes pour comment procéder, il exige qu’une organisation pour ait mis dans place un procédé formel pour identifier, quantifier et hiérarchiser des risques contre les critères et les objectifs pertinent à l’organisation. Ceci implique qu’une organisation doit définir premièrement que ces critères et les objectifs sont, exprimé par rapport aux sept attributs de risque (la confidentialité, l’intégrité, la disponibilité, non-répudiation, le contrôle des origines de données, les contrôles de l’origine d’accès d’utilisateur et les contrôles d’accès). Une fois ces objectifs ont été identifiés, l’organisation peut déterminer la présence d’une menace ou de plusieurs menaces (la reconnaissance de menaces) cela a quelque probabilité pour se concrétiser.

La probabilité qu’une menace peut concrétiser et la signification de l’impact pris ensemble, doit aider le priorizatize d’organisation ses options de traitement de risque, comme identifié dans la figure 1, et mobiliser des ressources comme exigé. [BS-7799- 2] [ISO 13335-2] [Alberts, le Sénat de ][ de 2000 de 1999][Clusif, de Le Canada, 2004] [Léger, 2004] [la Trésorerie de HM, 2001] [GRC, 1994] [ISO 17799] [COSO, 2003]

[ISO17799] Et [les BS 7799-2] exige que les résultats de procédés d’évaluation de risque dirigent l’organisation et aident le détermine des actions et des priorités appropriées. Il exige que les organisations pour aient mis dans les contrôles de direction d’endroit pour s’assurer que les risques sont adouci à un niveau acceptable tient compte de :

  • Objectifsorganisationnels ;
  • Les conditions et les contraintes de législation ;
  • Conditionsopérationnels et contraintes ;
  • Coûter par rapport aux risques est réduit, et restant proportionnel aux conditions de l’organisation ;
  • Le besoin d’équilibrer l’investissement contre le mal probablement pour résulter.

Un cadre de Gestion de Risque est une description d’une série spécifique organisationnelle d’activités fonctionnelles et de définitions associées qui définit le système de Gestion de Risque dans une organisation et la relation à la Gestion de Risque système organisationnel, il définit les procédés et l’ordre et chronométrant de procédés qui sera utilisé pour gérer des risques [Shortreed, 2003]. L’intégration d’un sur-aller procédés de TR/MIN, avec l’addition d’outils et d’accélérateurs, comprendre que nous définissons comme un Cadre de Gestion de Risque (RMF). Pour fournir les conditions complètes, nous shoul pour considérer les éléments inclus dans la liste ci-dessus mentionnée aux conditions présentées dans les conditions combinées ajournent, présenté à la page 15-16. RMF, tel que COBIT [COSO, 2003] ou ISMS [BS-7799-2], applique quelque forme de modèle d’amélioration de qualité continu a basé le Demming PDCA (ou PDSA) le modèle et inclut les indications de direction, un système de direction, quelque forme de procédé d’évaluation de risque et d’outils [Fulford, 2003]. Beaucoup d’entre ceux-ci a été utilisé dans les services médicaux [Collmann, 2003][Janczewski, 2002] [Tsong, 2003][Léger, 2004].

Risquer les conditions de direction dansservices médicaux[a15]

Selon [Barrow, 1996], les buts de sécurité d’information dans les services médicaux sont :

  • Pour assurer l’ intimité de malades et la confidentialité de données de soin de santé (l’empêchement de révélation inautorisée d’information)
  • Pour assurer l’ intégrité de données de soin de santé (l’empêchement de modification inautorisée d’ information)
  • Pour assurer la disponibilité de données de santé pour les personnes autorisées (l’empêchement de retenir inautorisé ou accidentel d’information ou de ressources)

Risquer la direction de Systèmes Informatiques de Services médicaux (LE SIEN), tel qu’un CDW, est généralement un sous-ensemble de Gestion de Risque de système informatique [Watson, 2004]. Le passé prépare nous avons exécuté [Léger, 2003] dans le système de services médicaux de Québec indique que ces techniques de Gestion de Risque pareilles sont utilisées. Les initiatives actuelles de normes [ISO 27799] promeuvent l’adaptation de normes existantes [ISO 17799] être utilisé dans les services médicaux internationalement. Nous sommes aussi conscients de normes pareilles de Gestion de Risque [les BS 7799-2][ISO 17799] est utilisé dans[a16][MAL17] Les services médicaux [Toyoda, 1998].

Les conditions pour la Gestion de Risque dans SON ou CDW est différent que ceux-là de Systèmes Informatiques de Direction (MIS) [Intendant, 2002][Kane, 1998]. [Buckovich, 1999] Les mentions que beaucoup d’organisations luttent pour développer des principes adressant la protection des renseignements personnels, la confidentialité, et la sécurité d’information de santé. Un mélange complexe de d’organisation, éthique, légal et conditions de deontological doivent être rencontrées dans LE SIEN [Demers, 2004] [le Coiffeur, 1998] [Behlen, 1999] [Blobel, 2000] [Buckovich, 1999] [Smith, 1998] [Boudreau, 2001] [CAI, 1992] [CAI, 2001] [CAI, 2002] [Wagner, 1999] [Freeman, 1999] [Toyoda, 1998]. Dans les environnements d’affaires la condition pour la sécurité est différente que la condition pour la protection des renseignements personnels [Cavoukian, 2002].

Utilisé inopportunement, un CDW peut causer éthique, la protection des renseignements personnels, les risques légales financières et même criminelles [le Meunier, 2002] [Blobel, 2000] [Snee, 2004] [Cody, 2003] [CIHR, 2002] [le Sénat, 2002]. Le sérieux dans la communication de parieur et la coopération à travers le complet cycle de vie[a18][7][MAL19] de[a20] les données de santé, commençant avec un consentement informé, pendant que respectant un droits de l’individu [Belmont, 1979] [Helsinky, 1964] [Nuremberg, 1949] [Harkness, 2001 ] (y compris la droite à la protection des renseignements personnels) est fondamental [Kerkri, 2001][Blobel, 2004] [CIHR, 2002], prévu par les ayants cause [Roger, 1998] et nécessaire dans la recherche clinique[Beecher, 1966][Helvey, 2004]. Deux des plus grands défis dans le procédé de planification du CDW desbribed dans [Wisniewski, 2003] accommodaient les mandats de sécurité et confidentialité d’agences régulatrices et obtenant des approbations institutionnelles.

Défi :Nous devons définir les composants principaux du cadre de Gestion de Risque, comment ils réagissent réciproquement avec les divers ayants cause et les groupes de parieur, identifier et avoir défini les procédés de directeur impliqués dans l’implémentation d’un procédé de TR/MIN et comment ceux-ci peuvent être modelés.

Les problèmes éthiques, et dans les problèmes d’intimité particuliers, ne sont pas adressé dans [a21] [MAL22]RMF actuel [Thompson, 2001]. La jurisprudence récente, dans Québec[8],Indique qu’en cas de la perte d’intimité, cela n’implique pas de dommages, l’impact financier pour une organisation est bas [Wellman c. Québec, 2002], cependant ceci peut changer[9]. Le risque de perte d’intimité (la protection des renseignements personnels risque) et le risque que les usages éthiques de données de santé (les risques Ethiques) a tendance à être underweighted[a23]. Comme ceux-ci sont underweighted, le résultat logique est que les risques Ethiques et les risques d’Intimité recevront moins d’attention.

Bibliographie

Référence Classe.
Anderson JG. La sécurité du rapport patient, électronique et distribué : une approche de cas-basé aux problèmes de politique distinctifs, le Journal International d’Informatique Médicale, 2002, demande 111–118 1
L’association d’Universités Médicales américaines, la Technologie d’Information Rend capable la Recherche Clinique, les Conclusions et les Recommandations d’une Conférence Subventionnée par l’Association d’Universités Médicales américaines avec la Subvention de la Fondation de Science Nationale, le 30-31 octobre, 2002 2
Alberts, Christophe J., 1999, la version de Cadre d’Octave 1,0, rapport technique,CarnegieMellon Université,2001, http://www.atis.org/tg2k/t1g2k.html 4
Bakker, l’Abdominal, l’Accès au contrôle de DSÉ et accès à un moment dans le passé : une discussion du besoin et une exploration des conséquences, le Journal International d’Informatique Médicale, 2004 3
Le coiffeur, le B, les données et la sécurité Patientes : un aperçu général, un journal international d’informatique médicale, aucun 49, 1998, demandent 19-30 1
Diminue, le D.W., Pappius, E., Kuperman, le G.J., Sittig, D., Burstin, H., Fairchild, D., Brennan, le T.A., Teich, le J.M., Les systèmes informatiques d’utilisation pour mesurer et améliorer la qualité, le Journal International d’Informatique Médicale, 1999, demande 115–12 2
Barrow, RC Fils, Clayton, PD, la protection des renseignements personnels, la confidentialité, et les rapports médicaux électroniques, le Journal de l’Association d’Informatique Médicale américaine, 1996, demande 139-148 2
Beecher, HK. L’éthique et la recherche clinique,Le Journal de Nouvelle-angleterre de Médecine, 1966,274: 1354–1360. 2
Behlen, Libéré M., Johnson, Stephen B., la Recherche de Rapports de Malade de Multicenter, le Journal de l’Association d’Informatique Médicale américaine, le Volume 6, Numéro 6, novembre/décembre 1999 1
Cloche, LE D.E., LaPadula, le L.J., Obtenir le système informatique : L’exposition unifiés et interprétation de multics, ASSEMBLER rapport à onglet 2997, le 1976 mars 2
Le Rapportde Belmont, Ethique, les Principes et les Indications pour la Protection de Sujets Humains de Recherche, La Commission Nationale pour la Protection de Sujets Humains de Recherche de andBehavioral Biomédicale, Le 18 avril, 1979 3
Berryman, Paul, Risquer l’Evaluation : Les Principes fondamentaux, le partielle de exigence de com de présenté de Mémoire verse l’obtention de la certification de GIAC de du de Certification d’Assurance d’Information Global, ,http://www.giac.org/Février 2002 4
Berndt, Donald J, Hevner, Alan R, Studnicki, James, Les données de Prise entreposent : le soutien pour la prise de décision de soin de santé de communauté, les Systèmes de Soutien de Décision, Vol 35, 2003, les pages 367– 384 3
Blobel, Bernd, Les trousses à outils avancées pour la sécurité de EPR, le journal International d’informatique médicale, aucun 60, 2000, demandent 169-175 2
Blobel, Bernd, le contrôle d’Autorisation et accès pour la santé électronique systèmes record, le Journal International d’Informatique Médicale, 2004 , demande 251—257 3
Boudreau, chrétien et la CAI, Etude sur l’inforoute de la santé au Québec : Les techniques de Enjeux, éthiques et légaux, documenter de réflexion, octobre 2001 4
Le Système de Direction de Sécurité d’Information de BS-7799-2:2002, Standardbritannique – la Spécification avec la Direction pour l’usage, le 2002 septembre 3
Buckovich, Suzy A. et al, Conduisant Vers Diriger de Principes : Un But pour la protection des renseignements personnels, la confidentialité, et la Sécurité d’Information de Santé, le Journal du Volume d’Association d’Informatique Médical américain 6 Mars Numéro 2/avr 1999, Demande 122-133 1
Burt, Dr. Brian A., LES DEFINITIONS DE RISQUE, le Département d’Epidémiologie, EcoledeSanté publique, UniversitédeMichigan, 2001 3
CSA (l’Association de Normes canadiennes), Modeler le Code pour la Protection d’Information Personnelle (Q830-96), 2003, http://www.csa.ca/standards/privacy/code/Default.asp?language=english 2
Chateauneuf, A., Wakker, P., Un Axiomatization de Théorie de Perspective Cumulative pour la Décision Sous le Risque, le Journal de Risque et l’Incertitude, 1999, demande 137-145 4
Cavoukian, A., Le Paradoxe de Sécurité-Intimité : Les problèmes, les Idées Fausses, et les Stratégies, UN Rapport Commun par le Commissaire d’Information et Intimité de Ontario et Deloitte & Touche, le Commissaire d’Information et Intimité de Ontario, le 2003 août, http://www.ipc.on.ca/docs/sec-priv.pdf 2
Chaudhuri, Surajit. Dayal Umeshwar, Un aperçu général de données entrepose et la technologie de OLAP, le Rapport de SIGMOD DE ACM, le Volume 26 Distribuent 1 le 1997 mars 2
Chaudhuri, S. ; Dayal, U. ; Ganti, V. La technologiede données pour les systèmes de soutien de décision, l’ordinateur de IEEE, le Volume 34, le Problème 12, décembre 2001, Demande le 48-55 2
CIHR (Canadien Les instituts de Recherche de Santé), Les indications pour Protéger d’Intimité et la confidentialité dans la Conception, la Conduite et l’Evaluation de Recherche de Santé : LES MEILLEURES PRATIQUES, LE BROUILLON DE CONSULTATION,le 2004 avril 2
CIHR (la Recherche de Santé de Institutesof canadienne), l’usage Secondaire d’information personnelle dans la recherche de santé : Les études de cas, l’Institut canadien de Recherche de Santé, le 2002 novembre 2
CLARKE, EDMUND M., VOLER, JEANNETTE M., les Méthodes Formelles : Directions de pointe et Futures, l’Informatique de ACM Examine, Vol. 28, No 4, le 1996 décembre, demande 626-643 2
Clusif, MEHARI, Frapper de la français d’informations de des de sécurité, le 2000 août 3
Cody, Patrick M, La Sécurité dynamique pour Partager de Rapport Médical, Soumis au Département d’Ingénieur Electricien et l’Informatique dans l’Accomplissement Partiel des Conditions pour les Degrés de Célibataire de Science dans l’Informatique et Organisant et le Maître d’Ingénierie dans l’Ingénieur Electricien et l’Informatique à l’Institut de Massachusetts de Technologie, Le 28 août, 2003 3
Collmann, Jeff, Alaoui, Adil, Nguyen, Dan, Lindisch, David, teleradiology Sûr : l’assurance d’information comme une méthodologie de planification de projet, la Science de Elsevier le Feuilleton de Congrès International 1256, 2003, demandent 809– 814 3
Commander Québec de du de à de d’accès, Le à de parents de minimales de Exigences la des de informatisés de dossiers de des de sécurité usagers du réseau de la santé et des entretient sociaux,Avril 1992 4
Québec de du de à de d’accèsde commission, le cadre du de concernant de Avis global de gestion sur la réseau de du de informationnels de actifs de des de sécurité de la santé et des entretient sociaux, décembre 2001 4
Commander Québec de du de à de d’accès, Diriger en matière de des de protection renseignements personnels dans le développement des systèmes à des ministères et les publics d’organismes,Décembre 2002 4
COSISS, Politique intérimaire du informationnels de actifs des de visant de sécurité du réseau de la santé et des entretient sociaux, Québec, 1999 4
COSO,Entreprise Risquer le Cadre de Direction, le Résumé Exécutif, Le comité de Subventionner d’Organisations de la Commission de Treadway, 2003 3
Damodaran, A., Les principes fondamentaux de risque, , 2001http://pages.stern.nyu.edu/~adamodar/ 2
Darlington, A., le Mastic, S., Whitworth, J., Comment sûr est assez sûr ? Une introduction pour risquer la direction, Présentée à L’Auberge d’Agrafe Société Actuarielle, le 2001 juin 3
Demers, DL., Fournier, F, Lemire, M, Péladeau, P, Prémont, le M-C et Roy, DJ, Le réseautage de de santé : Manuel verse la gestion des questionne éthiques et sociales, Montréal, le Centre de bioéthique, IRCM, 2004 2
Edwards, K., Théorie de perspective : Une Revue de Littérature, la Revue Internationale d’Analyse Financière, Vol. 5, No 1, 1996, demande 19-38 2
Einbinder, J. le s., Skiff, K.W.,Pates, R.D.,Schubart, J.R., Reynolds, le R.E., l’Etude de Cas : Un Entrepôt de Données pour un Centre Médical Académique, un JOURNAL DE DIRECTION D’INFORMATION DE SERVICES MEDICAUX, vol. 15, no 2, l’Eté 2001, demande 165-175 1
Freeman, P, Robbins, A. Le débat américain d’intimité de données de santé : Il y aura la compréhension avant la fermeture ? , Le Journal International d’Evaluation de technologie dans le Soin de Santé, 1999, demande 316-331. 3
Fulford, la Bruyère, Doherty, Neil F., L’application de politiques de sécurité d’information dans les grandes organisations de Royaume-Uni BASE : une investigation exploratoire, une Direction d’Information & la Sécurité Informatique, 2003, les pages 106-114 3
Canada de du de Royalede Gendarmerie, d’évaluation de Guide de la menace et des risques verse les technologies des de, Novembre 1994 4
Glaessner, T., Kellermann, T., McNevin, V., la Sécurité Electronique : Risquer la Réduction Dans les Transactions Financières, les Problèmes de Politique Publics, La Banque mondiale, le 2002 juin
Godbout, Juge Bernard, j. le c. le s., jugement de la Wellman de cause c. Québec (Ministère de la revenu-secrétariat de du de Sécurité) Cor Supérieure, Québec, le Quartier de Chicoutimi, N°:150-05-000416-950, 19 juillet 2002 4
Gordon, Laurence A. et Loeb, Martin, La science économique d’investissement de sécurité d’Information, les Transactions de ACM sur la sécurité d’information et système, vol 5, aucun 4, Novembre 2002, demande 438-457 3
Haimes, Yacov Y., Le Rôle de la Société pour l’Analyse de Risque dans les Menaces Emergentes aux Infrastructures Critiques, Risquer l’Analyse, la Science de Blackwell, LE Royaume-Uni,Le 1999 avril, le Volume 19, le Problème 2, demande 153-157 3
Hancock, la Facture, LE GUIDE DE BON SENS POUR LES CADRES SUPERIEURS, le Sommet Dix Pratiques de Sécurité d’Information Recommandées, premier Edition, le 2002 juillet 3
Harkness, J., Lederer, le S.E., Wikler, D., La configuration fondations éthiques pour la recherche clinique, Le Bulletin de l’Organisation de Santé de Monde, 2001 2
Hatcher, M., La prise de décision Avec et Sans la Technologie d’Information dans les Hôpitaux de Soins d’urgence : Examiner dans leEtats-Unis, Le Journal de Systèmes Médicaux, Vol. 22, No 6, 1998 2
Helvey, T., Mack, R., Avula, S., A Emietté, P., les Données La sécurité dans la recherche de Sciences de Vie, Doper la Découverte Aujourd’hui : BIOSILICO, Vol. 2, No 3, le 2004 mai 3
Hillson, Dr David, RISQUER LA DIRECTION POUR LE NOUVEAU MILLENAIREhttp://www.risk-doctor.com/ , .1999 4
Hillson, D., Quel est le risque ? Vers une définitionhttp://www.risk-doctor.com/pdf-files/def0402.pdf commune,, Informer , le Journal de l’Institut de Royaume-Uni de Gestion de Risque, avril, 2002, demande le 11-12 3
HIMMS, L’Etude de Direction de HIMSS Annuelle Onzième, , 2000http://www.himss.org/survey/2000/survey2000.html 2
HM Trésorerie (LE Royaume-Uni), LA Gestion de Risque, UN APERÇU GENERAL STRATEGIQUE, AVEC LA DIRECTION SUPPLEMENTAIRE POUR les plus PETITS CORPS, le 2001 janvier 2
Humpreys, BL.,Le Rapport électronique de Santé Rencontre la Bibliothèque Numérique UN Nouvel Environnement pour Atteindre un Vieux But, J Est Med Informe Assoc, 2000, lSEPTEMBRE ; 7(5), les pages 444-452 2
Infoway, Le Canada Infoway de santé. Le Tiragede DSÉS, un Cadre de DSÉ de interoperable. V1.0, le 2003 juillet 2
L’Organisationinternationales de Normes (ISO), L’ISO/DTR 20514, l’informatique de Santé — le rapport de santé Electronique — la Définition, l’étendue, et le contexte, 2004
L’Organisationinternationales de Normes (ISO), JTC1-SC27, UNE Comparaison de Terminologie : Le Guide d’ISO 73 (le Brouillon le 2001 novembre), PDTR 13335-1 (pour les termes utilisés dans toutes parties de TR 13335), le Brouillon 17799 (N 3184) et en comparaison d’EST 17799:2000, et SC 27 SD 6 (2002-03-31) , 2002 2
L’Organisationinternationales de Normes (ISO), la technologie d’Information de 13335-1, de TR D’ISO/EIC – les Indications pour la direction de LUI Sécurité, la Partie 1 : Les concepts et modèle pour LUI la sécurité, 1996 2
Janczewski, Lech, et Shi, Xinli Franc, le Développement de Bases de Sécurité d’Information pour les Systèmes Informatiques de Services médicaux dans Nouvelle Zélande , les Ordinateurs & la Sécurité, le Volume 21, le Problème 2,31 Le 2002 mars,demande le 172-192 2
Kachur, R. J., Les Données Entreposent le Manuel de Direction, La Rivière supérieure de Selle, N.J., Le Hall d’Apprenti, 2000 3
Kahneman, D., Tversky, A., Théorie possible : Une analyse de décision sous le risque, Econometrica, 1979, demande 263–291 4
Kane,Beverly Les indications pour l’Usage Clinique de Courrier électronique avec les Malades,le Journal de l’Association d’Informatique Médicale américaine, le Volume 5, Numéro 1, Jan/février 1998, demande 104-111 3
Keil, la Marque, Wallace, Linda, Turc, Dan, le Dixon-Randall, Gayle, Nulden, Urbain, Une investigation de perception de risque et la propension de risque sur la décision de continuer un projet de développement de logiciel, Le Journal de Systèmes et le Logiciel, 2000, les pages 145-157 3
Kerkri, E. M. Quantin, C., LE F.A. de Allaert, Cottin, Y., Charve, le P.H., Jouanot, F., Yétongnon, K., Une Approche pour Intégrer les Sources d’Information Hétérogènes dans un Entrepôt de Données Médical, le Journal de Systèmes Médicaux, Vol. 25, No 3, 2001 1
Kim 2003…
Kremer, S. et al, Une étude de tension de protocoles non-répudiation, les Communications Informatiques, aucun 25.2002, demandent 1606-1621 3
Lagadec, Patrick, Risques, les Crises et Gouvernance : rompt LE, se rompt des paradigmes, Réalités Industrielles, Les Mines de des de Annales,numéro spécial : « Les sciences et le risques de à de activités de des de génie », Mai 2003, demande 5-11 3
Laibson, D., Zeckhauser, R., Amos Tversky et l’Ascension de Science économique Comportementale, le Journal de Risque et l’Incertitude, 1998, demande 7–47 3
LandwDSÉ, Carl E., les modèles Formels pour la sécurité informatique, serveys d’Informatique de ACM, vol 13, aucun 3, Septembre 1981pages.247-278 2
Ledbetter, Craig S., Morgan, Matthew W., Vers la Meilleure Pratique : Servir du Rapport Patient Electronique comme un Entrepôt de Données Clinique, le JOURNAL DE DIRECTION D’INFORMATION DE SERVICES MEDICAUX, vol. 15, no 2, l’été 2001 1
Léger,le Marc-André, le technologiques de vulnérabilités de des de processus d’Onu mesure de com du cyber-attaques des de contre de protection, d’activité de Rapport de synthèse, Maîtrise en Informatique de Gestion, UQAM, Juin 2003, 110 pages 3
Léger,le Marc-André, Méthodologie IVRI du matière de en de risque de du de gestion de sécurité de, les Communications de Fortier de Editions,Montréal, Septembre 2003 3
Lloyd, Andrew J, les Menaces au jugement d’avantage : les méthodes de elicitation de préférence sont-ils précises ? , La Science économique de Santé, 2003, demande 393–402 3
Maguire, Stuart (2002), Identifiant des risques pendant le développement de système informatique : gérant le procédé, le Journal de Direction d’Information & la Sécurité Informatique, le Volume 10 Numéro 3,demande 126-p134
Le marécage, Andy, La Création d’une société d’information de telemedical globale, le Journal International d’Informatique Médicale, 1998, demande 173–193 3
Le meunier, Gerald C., Ph.D., les Données entreposent et les stratégies de direction d’information dans le laboratoire d’immunologie clinique, les Revues d’Immunologie Cliniques et Appliqués, 2002 2
Misslin, René, Le système de défense de crainte : le comportement et neurocircuitry, Neurophysiologie clinique 33, 2003, demandent 55–66 5
MSSS, Ministère de la Santé du Québec, Le réseau RTSS, MSSS de du d’internet de site, ,2003http://www.msss.gouv.qc.ca/rtss/ 4
MSSS, Ministère de la Santé du Québec, Le réseau du bref de en de sociosanitaire de télécommunication, documenter interne du TCR, 2002 3
Myerson, Judith, La Gestion de Risque, LE JOURNAL INTERNATIONAL DE DIRECTION DE RESEAU, 1999, demande 305-308 2
Neumann, Peter G., Risque au Public dans les Ordinateurs et aux Systèmes Apparentés, les Notes d’Ingénierie de Logiciel de SIGSOFT DE ACM, vol 26 aucun 1, le 2001 janvier, les Pages 14-38 3
Novosyolov, A., Risquer la Théorie : Les Concepts fondamentaux de Théorie de Risque, Faire une conférence pour les étudiants de département de maths, InstitutdeModelage computationnel , Academgorodok,Krasnoyarsk,La russie, Le 2002 janvier 3
Nuremberg le code, les Directives pour l’Expérimentation Humaine, 1947 3
Le rhythme, Wilson D, la Conception de données pour Assurer l’Etude Anonyme d’Erreurs Médicales : Un Rapport du ASIPS en collaboration, le Journal de l’Association d’Informatique Médicale américaine, le Volume 10, Numéro 6, novembre/décembre 2003, demande 531-540 3
Puhr, Claus, OPIS – UNE toile a rendu capable des données cliniques entreposent le prototype, la présentation, Université de Vienne, 2003 2
Pedersen, le T.B., Jensen, le C.S., les problèmes de Recherche dans les données cliniques entreposent, les Procédés de SSDBM › 98, Le 1-3 juillet 1998dansCapri, L’Italie 1
RAAB, Charles D., L’avenir de protection d’intimité, la Confiance de Cyber & le Projet d’Empêchement de Crime, 2004 2
Le recteur, l’A.L., Nowlan, W.UN. , Kay, S., les Fondations pour un rapport de electronicmedical, les Méthodes d’Information dans la Médecine, 1991, demandent le 179–186 2
Safran, Charles, Goldberg, Howard, les rapports de malade Electroniques et l’impact de l’Internet, le Journal International d’Informatique Médicale, 2000, demande 77–83 2
Sénat (Le Canada), Le Comité de Sénat de Position sur les Affaires Sociales, la Science et la Technologie, La Santé de Canadiens – Le Rôle Fédéral, Le Rapport Provisoire, Le Volume Cinq : Les principes et les Recommandations pour la Réforme – je Sépare,Governement de Le Canada, 2002 3
Schloeffel, P., la Santé Electronique Définition Record, l’Etendue et le Contexte : L’ISO/TC 215 Papier de Discussion,le 2002 octobre, disponible à https://committees.standards.com.au/COMMITTEES/IT-014-09-02/N0004/IT-014-09-02-N0004.DOC 2
Shortreed, J., Hicks, J., Craig, L., les Cadres Fondamentaux pour Risque la Direction, le Rapport Final, A Préparé Au Ministère de Ontario de l’Environnement, le Réseau pour l’Evaluation de Risque Ecologique et la Direction,Mars 28, 2003 2
Schubart, Jane R., Einbinder, le S de Jonathan, l’Evaluation d’un entrepôt de données dans un centre de sciences de santé académique, le Journal International d’Informatique Médicale, 2000, demande 319–333 2
Schumacher, H. J., Ghosh, S., Un cadre fondamental pour la sécurité de réseau, le Journal de Réseau et les Applications Informatiques, 1997, demande le 305–322 2
Smith, E. Eloff, J. H. P., la Sécurité dans les systèmes informatiques de services médicaux – les tendances actuelles, le journal International d’informatique médicale, aucun 54, 1999, demandent 33-54 2
Snee, le N.L., Le Cas pour Intégrer les Réseaux d’Informatique de Santé Publics, Un Aperçu Général des Eléments Exigés pour un IntégréEntreprise L’Infrastructure d’information pour Protéger la Santé Publique,IEEE Organisant dans la Revue de Médecine et Biologie, janvier le 2004 février 2
Stoneburner, Gary, Goguen, Alice, Feringa, Alexis, NIST la Publication Spéciale 800-30 Risquent le Guide de Direction pour l’Information Systèmes de technologie, les Recommandations de l’Institut National de Normes et la Technologie, le 2002 juillet 1
Sujansky, Walter, l’Intégration de données Hétérogène dans la Biomédecine, le Journal d’Informatique Biomédicale, 2001, demande 285–298
Les étés, le K.H., Les Issues de mesurer et Interception de Programmes de Direction de Maladie, Cliniques Thérapeutiques, le volume 18, NO. 6, 1996 One12
Sweltz, Ken, La Stratégie d’Evaluation de Vulnérabilité de réseau pour le Petit Etat et les Agences de Gouvernement Locales, SANS l’Institut, GIAC le dépôt pratique, 2003 3
Takeda, H., Matsumura, Y., Kuwata, S., Nakano, H., Sakamoto, N., Yamamoto, R., l’Architecture pour les systèmes record, patients, électroniques et en réseau, le Journal International d’Informatique Médicale, 2000, demande 161–167 2
Thompson, Paul B., la protection des renseignements personnels, le secret et la sécurité, la Technologie d’Ethique et Information, 2001, demande 13–19 1
La pince, le C. K. LE S., l’Implémentation de ISO17799 et BS7799 dans archiver d’image et le système de communication : l’expérience locale dans l’implémentation de BS7799 norme, le B.V de Science de Elsevier le Feuilleton de Congrès International 1256, 2003 , demandent 311–318
Toyoda, Ken, la Normalisation et la sécurité pour le EMR, le Journal International d’Informatique Médicale, 1998, demande 57–60 2
Tregear, Jonathan, Risquer l’Evaluation La Sécurité d’information Rapport Technique, le Volume 6, numéro 3, septembre 2001, demande 19-27
Wagner,Je., Les problèmes Ethiques de healtcare dans la société d’information, l’Opinion du groupe européen sur l’éthique dans la science et les nouvelles technologies au comission européen, Aucun 13, le 1999 juillet 2
Watkins, Michael D., Bazerman, H. de Maximum, les Surprises Prévisibles : Les Désastres Vous Auriez Dû Voir Venir, les Affaires d’Harvard réexaminent en ligne, 2003 2
Hiver 2
Wismiewski, le M.F., Un Entrepôt Clinique de Données pour le Contrôle d’Infection, le Journal du Volume d’Association d’Informatique Médical américain 10 lSEPTEMBRE Numéro 5/Octobre 2003 1
LE MONDE ASSOCIATION MEDICALE, LA DECLARATION D’HELSINKI, les Principes Ethiques pour la Recherche Médicale Impliquent les Sujets d’Humain, Helsinki, Finlande, le 1964 juin 2
Yoshihara, H., Le développement du rapport de santé électronique au japon, Int. J. Med. Inf., 1998, demande 53–58 (***) 3
Zhou, Lidong, Haas Zygmunt J., Obtenant des Réseaux Improvisés, le Réseau de IEEE, 1999 3
Zviran, M., Armoni, A., Glezer, C., LE SON/BUI : Un Modèle Conceptuel pour l’Intégration de Fond-Augmente de Systèmes Informatiques d’Hôpital, le Journal de Systèmes Médicaux, Vol. 22, No 3, 1998, Demandent 147-159 2
Code Signification
1 Très important
2 Moins significatif
3 Les aides définissent le sujet
4 Instructif ou moins significatif
5 Pas cela significatif

[1]ISO- 20514, Ledbetter(2001), Bakker(2004),Schloeffel(2002), Rector(1991), Infoway(2003)

[2] [Anderson, 2000] [Safran, 2000][MAL1] [Sujansky, 2001] [ Takeda, 2000] [Zviran, 1998]

[3] [Humpreys, 2000]

[4] [Chaudhuri, 1997]

[5] [Chaudhuri, 2001]

[6] [Ledbetter, 2001]

[7] [le Meunier, 2002][Berndt, 2003]

[8][Sujansky, 2001] [CIHR, 2002] [AAMC, 2002] [Wismiewski, 2003] [Ledbetter, 2001] [Puhr, 2003] [le Meunier, 2002] [Diminue, 1999] [Hatcher, 1998] [le Marécage, 1998] [les Etés, le ]. de 1996

[9][Pedersen, 1998] [Kachur, 2000] [HIMMS, 2000] [Schubart, 2000] [Watson, 2003] [Einbinder, 2001] [Snee, 2004]

[10] [Burt, 2001] [Berryman, 2002] [ISO, 2002] [Hillson, 2003]

[11] [Novosyolov, 2002] [Damodaran, 2001] [Darlington,2001]

[12] [Lagadec,2003]

[13][ISO 17799].

[14] [Buckovich, 1999]

[15][WMA, 2002]

[16] [WMA, 2002]

[17] [Thompson, 2001]

[18][Bell,1976]

[19][Kerkeri, 2001]

[20][Brender, 1999]

Sur l’application d’Equilibrium de Nash à la gestion de risque d’Information de santé

Par Marc-André Léger, DESS, MScA (MIS)

Université de Sherbrooke, Sherbrooke, Québec, Canada, marcandre@leger.ca

Par une approche d’étude de cas, cet article cherche à démontrer les insuffisances des méthodologies d’évaluation de risque actuellements utilisées. En particulier, les méthodologies d’évaluation de risque utilisées dans la santé ne permettent pas d.estimer correctement l’inportance des aspects éthiques et de santé publique. Des approches différentes, basées sur des paradigmes différents, pourrait être utilisé. Deux candidats possibles sont proposés, soient la théorie des prospects et l’équilibrium de Nash.

Mots clefs

Santé, information, Sécurité, Risque, Gestion

  1. Introduction

Les praticiens et les organisations de santé ont besoin de l’information. La médecine moderne, basée sur les données probantes, l’administration du système de santé et la recherche médicale compte tous sur les données produites à travers le système de santé. Les systèmes informatiques sont de plus en plus présents dans tous aspects de pratique clinique, dans les fonctions administratives et dans beaucoup d’autres champs d’activités de la chaine de valeur de la santé. L’importance émergente du Dossier de Santé Electronique (DSÉ) de même que l’augmentation de l’usage des technologies de l’information (TI) dans les activités de santé fournit progressivement l’accès aux grandes quantités de données à propos des malades, la livraison de soin de santé et la recherche [1] [2] [3]. À cause de ce besoin d’information et parce que l’information a besoin des diverses technologies pour la porter, la sécurité de l’information est devenue un problème. Les organisations de santé, exécuter optimalement, avec la régularité, progressivement, le besoin d’identifier le prévisible [4], ils ont besoin de gérer des risques associés à son besoin pour l’information. Ceci est que nous appelons la gestion de risque informationnel de santé ou GRIS.

Il y a beaucoup de facteurs supplémentaires que justifie le besoin pour GRIS. La disponibilité limitée de ressources financières et humaines, motive des organisations pour être très prudentes de comment il les alloue. Parce que la Technologie d’Information peut coûter cher d’acquérir et maintenir et exiger des ressources spécialisées, GRIS peut être utilisé comme la partie de la solution pour garder leurs coûts en ordre. Pour quelques organisations, quelques lois et quelques règlements imposent des conditions spécifiques quant à la préservation d’intimité et de confidence. La nature de santé impose des conditions pour la disponibilité, par exemple cette disponibilité d’un graphique de chevet du malade pendant les ronds. L’intégrité d’information peut être aussi un problème sensible, par exemple entre le sang de type A et le B il y a une différence de un bit, mais si ce bit est changé par inadvertance, il peut avoir des conséquence sévère pour un malade recevant le mauvais sang. Tous ces raisons et les autres exigent que les organisations de santé pour aient appliqué un programme de gestion de risque. Pour les autres, les conditions contractuelles sont un catalyseur. Gérer les risques sont suprêmes au reportage financier précis et à la prise de décision optimale [5]. Pour ces et l’autre motivation, il y a eu l’intérêt significatif dans le système de santé de Québec pour trouver une solution de GRIS, exprimée par la Demande pour les Propositions (RFP) publié dans le l’année dernière. Aussi, beaucoup de juridictions régionales dans Canada, le Le Gouvernement fédéraux et Infoway de Santé de Canada ont montré l’intérêt dans GRIS. Dans cet article, nous regardons GRIS par un exemple dans ma contexte local spécifique, nous présentons donc un aperçu général du système de santé de Québec.

  1. Méthodologie

Cet article présente une hypothèse de recherche qui a émergé d’un projet de recherche exécutée comme exigence partielle pour le obtention d’un diplôme de Doctorat en Sciences Cliniques à la Faculté de Médecine de l’Université de Sherbrooke. L’article utilise une approche d’étude de cas pour illustrer un problème de recherche qui a évolué dans une hypothèse.

  1. Reconnaître le scénario

3,1 Aperçu général Bref du système de santé de Québec

Puisque 1971, la Santé de Québec et l’Agence de Services Sociale, connue comme le MSSS (Ministered de la Santé et de Socaux de Services), a été le fournisseur seul de santé dans la Province de Québec, où approximativement 25% de la population de Canada réside. Dans 2005 il a employé 269 600 individus dans 1786 worksites, représentant 6,7% de la population active de Québec [6]. Au niveau local, 95 Santé et les Services Sociaux Centrent (CSSS) et le Réseau de Services Local associés (RLS) la santé d’offre et les services sociaux à une population donnée. Dans le 2004 décembre, l’ Acte respectant la santé locale et les agences de développement de réseau de services sociales (Facture 25) CSSS créé en fusionnant des centres médico-social locaux (CLSCs), les centres de soin résidentiels et à long terme (CHSLDs) et le général et les centres d’hôpital spécialisés (CHSGSs). Les objectifs de santé et de centres de services sociaux sont le suivre :

  • Promouvoir la santé et le bien-être
  • Réunir les services offerts au public
  • Offrir plus accessible, mieux a coordonné de le et les services continus
  • Le faire plus facile pour les gens à se déplacer par la santé et le réseau de services social
  • Assurer la direction mieux patiente, particulièrement des utilisateurs les plus vulnérables

Tout CSSS et RLS sont connectés à une province un réseau de santé larges, connu comme le RTSS [26]. Ce réseau privé applique un sommet une en bas infrastructure avec un datacenter national (TCN) reliant plusieurs datacenters régional (TCR). CSSS locaux et les établissements de santé ont les Réseaux de Secteur Locaux qui sont connectés au TCR de leur région. Les services typiques de direction d’Information, aimer l’e-mail ou le traitement de texte, sont fourni au niveau d’établissement. Dans quelques cas, les bases de données sont soutenues par les systèmes de gestion de données partagés (s-sgbd) parmi les établissements multiples dans un TCR. L’accès à Internet est fourni par les cloisons pare-feu Localisé au niveau de TCN.

3,2. ma scénario

Pour illustrer le problème que nous trouvons dans GRIS, nous présentons un scénario simple. Un habitant de la Province de Québec, dans la ville de Montréal, accède au RLS par un centre médico-social proche (CLSC) pour la grippe. Il s’est très inquiété parce qu’il regarde les nouvelles et les craintes qu’il peut avoir la grippe d’Oiseau (H5N1). Arriver à la réception, son identité est vérifiée comme il présente sa carte d’Assurance-maladie de Québec. A ce point que l’habitant est considéré un malade (P) et va à une salle d’attente isolée pendant que son Rapport de Santé (HR) est rapporté et jusqu’à ce que le Professionnel de santé approprié (HP) devient disponible. Dans le CLSC, le HR du malade est dans la partie sur un soutien en papier (couvrant pré-1998 visites par le malade) et le format électronique (DSÉ). En raison du RTSS, la partie du DSÉ est rapportée d’une base de données locale et une autre portion du s-sgbd a localisé dans le Montréal TCR. Une fois P a rencontré avec le HP, dans ce cas un MD de Médecin Généraliste, les analyses de sang sont commandées, le DSÉ est modifié pour inclure la nouvelle information et les feuilles de P avec une recommandation pour le repos et l’hydration. Le HR soupçonne P a un rhume de cerveau et peut souffrir d’un anixiety a relaté le désordre. Une fois les résultats de laboratoire sont retournés, quelques heures plus tard, le malade est informé via le téléphone par le CLSC qu’il a un froid simple. Nous augmenterons sur ce scénario par le reste de cet article pour illustrer ma hypothèse.

  1. Quel est le Risque ?

Le risque de mot trouve c’est des origines dans le risco de mot italien d’un certain age, signifiant le rocher tranchant. Dans le 17e siècle, comme les compagnies d’assurances premières où impliqué dans l’expédition maritime, le risque a évolué des rochers tranchants qui où une source de danger pour les bateaux [11]. Puisque l’introduction de probabilités par Pascal et le travail premier de Rousseau sur l’incertitude [11], l’idée a développé ce risque est quelque chose que peut être étudié, ce n’est pas magique ni un Désastre naturel. L’Incertitude de l’avenir, une condition d’affaires est désignée par le Chevalier [12] dans les 1920 avec le « risque » de terme. Rédige plus tard [13] suggérer que les termes risquent et l’incertitude est devenue interchangeable, et l’un peut être souvent trouvé dans la description de l’autre. Pour Browning [15], les tiges de risque de l’incertitude les états futures, potentielles et environnantes et les conséquences de ces états doivent ils arrivent. L’Armée d’Etats-Unis [14] définit le risque comme le résultat admis d’une décision et les termes informée joue un mal informé pari ou une supposition sur une issue optimiste. Dans l’épidémiologie [16], c’est le plus souvent a utilisé pour exprimer la probabilité qu’une issue particulière arrivera suivre une exposition particulière. Dans un santé réglant le risque est composé du suivre trois parties de composant [17] :

  • Menace : L’événement dont représentera un événement de détente qui peut mener à un défavorable (la série de) la conséquence (les conséquences).
  • Vulnérabilité : Une faiblesse dans le système et – ou l’environnement général, qui pourrait être exploité par un événement de menace.
  • Influer : le (la série de) la conséquence (les conséquences) à une unité de santé qui pourrait se présenter si un événement de menace vulnérabilité exploitée et défavorablement affecté un ou plus de biens comprenant le système.

4,1 Méthodologies Formelles d’évaluation du risque

Dans un cadre d’organisation, le risque est géré dans un mélange de de procédés formels et simples. Les procédés formels de gestion de risque sont que nous nous référons à comme la gestion de risque. Le Guide d’ISO 73(2002) définit la gestion de risque comme les activités coordonnées utilisées par une organisation pour diriger et contrôler le risque. Il inclut généralement l’évaluation de risque, le traitement de risque, l’acceptation de risque et [7][8][9] d’activités de communication de risque pour équilibrer les coûts opérationnels et économiques de mesures de réduction de risque pour maximiser des avantages d’organisation en protégant des biens qui soutiennent leur mission [10].

Les Méthodologies formelles d’évaluation du risque (FRAMs), tel que CRAMM [18], déterminer le risque comme le « produit » de la probabilité d’un incident de sécurité affectant un bien particulier et l’impact a coûté. Les approches similaires sont utilisées par les méthodologies telles que MEHARI ou l’OCTAVE, utilisées dans Québec. IVRI™, développé par l’auteur, suit aussi cette approche. Toutes ces méthodologies sont dans un paradigme qualitatif similaire. Dans eux tous la probabilité (les probabilités) d’une menace et la sévérité des impacts doit être déterminé par les individus dans les organisations utilisant les échelles de Likert-Comme. Ceci fait les exposer à comment les individus perçoivent le risque et ses composants. Selon le Sauvage [20], la tâche même de probabilités numériques, même si subjectif, implique qu’il représente le choix sous le risque. Ces probabilités sont des expressions de quel est finalement la conviction et semble plus comme l’incertitude. Les questions où, selon John Maynard Keynes [21], il n’y a pas de base scientifique sur laquelle former la probabilité calculable quoi que. Dans le champ, nous avons observé que la nature subjective d’incertitude peut introduire les problèmes de validité internes avec FRAMs. Nous avons observé les différences de noticable avec la détermination individuelle de likelyhood ou l’impact dans vivo. Nous croyons que cette subjectivité est une source potentielle d’erreur dans l’évaluation de risque puisque il y a de petite preuves de contrôles de validité internes, similaires à ce qu’est utilisée dans les méthodologies de recherche (par ex. la triangulation), dans les FERMES.

4,2. La validité distribue dans FRAMs

Dans un analisys empirique non-exaustive de méthodologies d’évaluation de risque a utilisé dans les organisations de Québec, nous avons trouvé de petite preuve de contrôles de validy internes ou ces contrôles de validité internes avait été validée par les créateurs de ces méthodologies. Les critères de validité d’utilisation ont utilisé dans la Recherche Clinique présentée dans Whittemore [27], illustré sur la table au dessous, nous croyons qu’il y a de la preuve que quelques critères ne sont pas adressés.

La table 1 : Critères primaires et Secondaires de Validité dans la recherche Qualitative [27]

Critères Evaluation
Critères primaires
Crédibilité Les résultats de la recherche reflètent-ils l’expérience de participants ou le contexte dans une façon crédible ?
Authenticité Une représentation de la perspective de emic expose-t-il la conscience aux différences subtiles dans les voix de tous participants ?
Cricité La recherche traite-t-il démontre de la preuve d’estimation critique ?
Intégrité La recherche reflète-t-il des contrôles récurrents et monotones de validité de même qu’une présentation humble de conclusions ?
Critères secondaires
Caractère explicite Avoir des décisions méthodologiques, les interprétations, et les prejugé d’investigateur a été adressé ?
Netteté Avoir des descriptions épaisses et fidèles a été peintes avec l’ingéniosité et la clarté ?
Imagination Avoir des façons imaginatives d’organiser, présenter, et analyser les données ont été incorporées ?
Minutie Les conclusions adressent-ils avec conviction les questions posées par la plénitude et la saturation ?
Conformité Le procédé et les conclusionssont-ils en harmonie ?
Tous les thèmes ajustent-ils ensemble ?
Les conclusions ajustent-ils dans un contexte hors de la situation d’étude ?
Sensibilité L’investigation a-t-il été appliquée dans les façons qui sont sensibles à la nature d’humain, les contextes culturels et sociaux ?

En particulier nous croyons que les critères d’Authenticité, l’Intégrité, la Netteté, la Minutie, la Conformité et la Sensibilité apparaissent problématique par rapport à FRAMs que nous avons examiné. Ceux-ci doivent mériter l’investigation empirique pour vérifier. Nous croyons donc que c’est donc nécessaire de regarder decions du risque sont fait essayer de comprendre comment que cette source d’erreur peut être meilleure comprise.

4,3. Les décisions du risque

Les modèles de préférences individuelles du risque ont leurs racines historiques dans l’école de philosophie sociale connue comme Utilitarisme [22], proposé dans le 18e siècle dernier. Dans l’Utilitarisme, le but de toutes actions est de maximiser l’utilité générale, avec l’utilité définie comme index quantitative de bonheur certains propriétés fondamentaux satisfaisants. La théorie utilitaire, théorie et la théorie des jeux économiques néoclassiques sont les directeurs fondamentaux de théorie de choix rationnelle ou RCT [23]. Le noyau fondamental de RCT est cette interaction sociale est fondamentalement une transaction économique qui est dirigée dans son cours par les choix de l’acteur rationnels parmi les issues alternatives. Les décisions sont prises seulement après ses avantages et les coûts a été pesé, considérant des prix, les préférences de probabilités et indivual. L’unité d’analyse est la décision individuelle faite par un décideur individuel. RCT définit des actions rationnelles d’individus rationnels comme arrivant sous plusieurs contraintes :

  • La rareté de ressources
  • L’occasion coûte
  • Normes institutionnelles
  • Information

Dans un cadre d’organisation, avec la structure de direction de sommet en bas classique, la somme de ces décisions individuelles, avec les poids différents dans le respect à la position du preneur de décision, sont ce qu’il fait fonctionne. Ces individus dans un social, pendant que RCT d’utilisation pour maximiser l’utilité, sont affecté par le ci-dessus a mentionné des contraintes et par l’autre influence d’une de nature psychologique et culturelle de même que par les pressions externes. Les Méthodologies d’évaluation du risque ont mentionné précédemment tous procédés d’instrument pour expliquer la considération des contraintes de abovementionned de RCT dans l’évaluation de risque. Dans la Théorie de Choix courte et Rationnelle est le modèle de theoritical derrière ces méthodologies. Pendant que nous croyons que ceci est plus en raison de historial et les raisons culturelles au lieu de sur la position de epistemological, il a l’air d’être soutenu par la preuve empirique.

  1. L’application de RCT à ma scénario de risque

Dans cette section de ma article, nous présentons un exemple de GRIS utilisant la Théorie de Choix Rationnelle. Ceci augmente sur le scénario présenté plus tôt. Dans le scenaro que nous avons présenté avant d’être là-bas plusieurs parieurs. L’une la plus évidente est le Malade (P) et le Personnel de CLSC. Aussi, le personnel de TCR qui gère le s-sgbd et MSSS équipe cela gère le système de santé de Québec est aussi des parieurs dans ma scénario. Le assests informationnel qui sont impliqués est :

  • La carte d’Assurance-maladie de Québec ;
  • Le Rapportde santé (HR) et le soutien électronique (DSÉ) ;
  • Le réseau de RTSS ;
  • Une base de données locale ;
  • Un s-sgbd a localisé dans le Montréal TCR ;
  • Sang ;
  • Le laboratoire résulte ;

Pour illustrer l’utilité prévue pour chacune de la catégorie de parieur par rapport à la valeur relative des biens d’information, soi nous avons construisons la table présentée au dessous. A cet effet nous avons fait une supposition informée à la valeur relative utilisant des données d’une étude précédente [24] dans un scénario où le bien de informaiton a été divulgué ou a été détruit (l’haut impact). Nous présentons seulement le plus pertinent a pour résultat la table 1 pour convinience.

La table 2 : La valeur relative de biens d’information par la catégorie de parieur.

Carte d’assurance-maladie HR RTSS Base de données locale le s-sgbd
Malade Niveau bas Haut Niveau bas Niveau bas Niveau bas
Personnel Niveau bas Coût de remplacement Niveau bas Le coût de remplacement et le rétablissement de données Niveau bas
TCR personnel Niveau bas Coût de remplacement Haut Niveau bas Haut
MSSS personnel Le coût de remplacement et l’usage impropre coûtent Le coût de remplacement et la loi d’intimité potentielle conviennent Coût de remplacement Niveau bas Coût de remplacement

Limitons ma étendue au bien d’information de DSÉ. Quel est, dans ma scénario, le risque a associé avec le DSÉ. Le risque, comme nous avons cité de Smith [17], consister en la Menace, la Vulnérabilité et l’Impact. Si nous considérons la menace comme le divulgation ou la destruction du DSÉ et la Vulnérabilité comme est l’usage du réseau de RTSS pour gagner l’accès à Internet au DSÉ nous pouvons proposer la table suivante.

La table 3 : L’impact du divulgation du DSÉ et Risque par la catégorie de parieur

Parieur L’impact du divulgation du DSÉ Risque
Malade La perte d’intimité, une droite humaine fondamentale a protégé dans Québec, le potentiel pour l’anxiété et la perte financière. La perte de confiance dans le système de santé. Potentiellement Haut
Personnel Peut avoir besoin de retaper des données rapportées de la forme en papier (le temps) ou restaure des sauvegardes (le temps) si les sanctions disponibles et possibles par l’employeur (intention généralement mineure à moins que la criminelle) Niveau bas
TCR personnel Peut avoir besoin de restaurer des sauvegardes si disponible (le temps), les sanctions par l’employeur s’il y a la responsabilité directe (intention généralement mineure à moins que la criminelle). Niveau bas
MSSS personnel 1000$ par l’incident en cas des procès de loi pour la perte d’intimité. La perte de réputation si la situation est faite le public, les sanctions possibles d’une lettre de réprimande à la perte de employement ou de rétrogradation (intention généralement mineure à moins que la criminelle) si une responsabilité peut être établie. Niveau bas

Dans un tel scénario, où la Menace pour se concrétiser, le risque serait une fonction de l’impact. Comparer l’impact de la réalisation avec l’état non-divulgation que nous sommes dans avant que nous ayons ayons ajouté la Menace, nous estimerions le risque de chaque point de vue du parieur comme a indiqué dans la dernière colonne de la table précédente. Si, comme nous avons cité previuosly, l’objectif de gestion de risque est d’équilibrer les coûts opérationnels et économiques de mesures de réduction de risque pour maximiser des avantages en protégant le DSÉ, alors du point de vue de chaque parieur la raison est pour les dépenses de réduction de risque basses, avec l’exception du Malade. Dans le MSSS de cas, parce que le total le risque combiné du 7 millions d’habitants de Québec, le risque combiné peut être perçu comme plus significatif. RCT d’utilisation pour maximiser l’utilité, nous prévoirions que le MSSS et le patient pour ait donné plus pour estimer à protéger le DSÉ, pendant qu’il aurait moins de valeur pour les autres parieurs. Dans le champ et dans la recherche empirique précédente [24], nous avons remarqué ce personnel de TCR, quand donné un choix, plus de ressources alloué à l’opération d’exécution que Risquer les activités de Direction. Au niveau de MSSS, l’haut risque de aggegated suggéré peut soutenu par la réalité, comme l’effort significatif est consacré pour s’assurer que le lien entre le TCN et l’Internet est les Malades d’assuré.le, pendant qu’intéressé, avoir petit dire dans GRIS.

5,1. L’application d’une Méthodologie de Assement de Risque Formelle à ma scénario de risque

Nous avons exécuté une Evaluation Formelle de Risque, dans ma scénario faisant des suppositions fondamentales ont basé ma connaissance du système de santé de Québec d’une étude de previus [24]. Ceci a été fait utilisant IVRI™. Cette méthodologie était choosen necause il a été créé par l’auteur de cet article et parce que c’est disponible à aucun coût sur l’Internet (www.leger.ca) si ce scénario d’évaluation de risque pourrait être polycopié. Il a été publié en français [8] dans 2003 et utilise une Feuille électronique pour aider l’Evaluation de Risque, qui produit le graphique présenté au dessous. L’Index de Risque de IVRI (IRi) était 1570 avec une base (IB) à 727.

La figure 1 Risque Estimé par la catégorie de Menace avec IVRI™

En comparant les résultats ont obtenu utilisant le FRAM avec le resultus de l’application de RCT à ma scénario, nous croyons qu’il y a l’apparence de congruance. Une explication possible pour ceci est que FRAMs, tel que IVRI, applique une forme de RCT. Ceci a besoin d’être confirmé par l’investigation empirique. ma hypothèse est que FRAMs aujourd’hui disponible dans Québec applique une forme de Théorie de Choix Rationnelle.

5,2. Où le problème est ?

Le problème que nous voyons, ayant fait la recherche dans le champ d’Informatique de santé, s’agit de l’Ethique. Dans les santé, une tradition Ethique longue, premièrement exprimé par le serment de Hypocratical et renforcé par experice du Code de Nuremburg, a évolué être suppported par la loi, les Chartes de droits et les Codes de Déontologie. Les droits à l’intimité et à la confidence sont intimement connectés avec la droite pour respecter pour une dignité, une intégrité et une autonomie sont constitutionnelment enchâssé dans la Charte canadienne de Droits et Charte de Libertés et Québec de Droits et les Libertés Humaines [25]. Ils sont les chauffeurs principaux de la condition pour le traitement suffisant de risque dans les organisations de santé [26]. Dans évaluer de risque dans un GRIS réglant c’est nécessaire d’estimer des considérations Ethiques de même que l’utilité prévue fournie par RCT. Dans ma scénario précédent, considérations Ethiques, telles que la perte d’intimité si une information du malade seule est divulgué, a un Risque relativement bas pour le MSSS, mais a un haut potentiel de Risque pour le malade, comme nous avons illustré dans la Table 3.

Dans une revue de litterature, nous avons identifié qu’il y a plusieurs composants pour risquer dans un cadre de Healthceare [27][28][29][30][31][32][33][34]:

  • Une condition pour les Politiques formelles, la Documentation et entraînant ;
  • Intimité ;
  • Confidence ;
  • Intégrité ;
  • Disponibilité ;
  • La présence de Garanties appropriées ;
  • Limitant la Collection ;
  • Les Procédés pour rendre capable Défiant la Conformité ;
  • La D’-Identification de données ;
  • Obtenir la transmission de données ;
  • La Direction contrôle ;
  • Responsabilité ;
  • Une condition pour la Franchise ;
  • Consentement Informé ;
  • Identifiant des Buts de réception de données ;
  • L’Accès à l’information par les malades
  • la droite pour retenir,
  • séparer ;
  • modifier ; et
  • copie ;
  • L’Usage limitant, la Révélation, et la Rétention ;
  • La révélation Pleine (Aucunes bases de données secrètes existeront) ;
  • L’usage Non-commercial (le rapport Non médical sera vendu, sera utilisé pour mettre sur le marché de buts sans le consentement informé préalable de l’individu).

Dans le contexte du scénario que nous avons présenté, la plupart de ces composants pourraient être applicables. Ou à cause des devoirs de leal qui affectent le DSÉ, décrit dans [35] ou les conditions éthiques de la Déclaration d’Helsinki [29], dans un scénario idéal d’évaluation du risque, ceux-ci tous pourrait avoir une influence du potentiel pour le Risque. De tous les composants de Risque, beaucoup ne pourraient pas être facilement assignés une valeur. Combien la valeur peut être donnée à la qualité du consentement informé ? Peut-être une valeur peut être mise Pivacy en référant la Jurisprudence, mais il va en toute probabilité être toujours trop bas pour le indivual victime et toujours trop haut pour le parti responsable. Si nous regardons le consentement informé, nous trouvons que ce peut être difficile à déterminer, dans les activités de GRIS, la qualité de ce consentement. Dans beaucoup de ces problèmes éthiques que ma intuition suggère qu’il y ait non linéarité entre la Menace et l’Impact mais plutôt le Risque les augmentations probables par les graduations, comme un escalier avec les étapes inégales. Parce que c’est difficile à assigner une valeur à ces composants de risque, n’importe quel FRAM qu’utilise coûts financier ou de remplacement dans le calcul de l’Impact comme un composant principal de necessarely de volonté de risque sous-évalue tous les composants intangibles, les composants avec la petite valeur monétaire ou difficile à percevoir comme une utilité prévue a exprimé dans les termes de menetary. Nous croyons il y a un lien entre ce problème et les problèmes de validité mentionnés précédents. Nous faisons donc l’hypothèse que FRAMs sont, à meilleur, d’un acuracy indéterminé.

  1. Pourquoi ne pas regarder d’approches différentes ?

Throught une revue de litterature nous avons exécuté pour un projet de recherche continu, nous avons identifié des secteurs de litterature qui où pas couvert dans les champs de tradition de technologie de santé ou Information. Ceci nous a menés à regarder des théories différentes qui peuvent être utilisées comprendre la gestion de risque. Compter sur le champ d’économétrique et épidémiologie, nous avons vu de la preuve qui il y a les modèles d’évaluation de risque qui ont été développés dans les autres champs qui pourraient être appliqués à GRIS. Nous n’avons pas trouvé de preuve que cette possibilité avons été evaluted dans l’IL litterature de sécurité ou dans le litterature de santé. Dans ma revue de litterature sur le risque, nous avons trouvé qu’il y a des théories différentes qui ont été développées. Nous avons vu aussi de la preuve que cette Théorie Des Jeux est utilisée dans le champ d’assurance pour le calcul de risque. Donc nous proposons l’hypothèse qui peut-être une approche différente pourrait être utilisée pour estimer GRIS. Regarder dans litterature, nous suggérons que deux condidates possible pour ait remplacé RCT comme la base pour l’évaluation de risque dans FRAMs.

6,1. Le candidat possible 1 : Théorie de perspective

Selon Edwards [36], la théorie de Perspective a été premièrement formulée par Kahneman et Tversky dans 1979 comme une méthode alternative d’expliquer de choix faits par les individus sous les conditions de risque, comme un remplaçant pour la théorie d’utilité prévue. Kahneman et Tversky sont rendus compte le fait que le modèle de théorie d’utilité prévu n’a pas décrit entièrement la manière dans laquelle individus fait des décisions dans les situations risquées et Cela donc, il y avait des exemples dans lesquels un choix de decisionmaker ne pourrait pas être prédit. Par exemple, ils font remarquer que l’Utilité Prévue n’explique pas la manière dans laquelle l’encadrement peut changer la décision de l’individu, ni le fait explique pourquoi des individus exposent risque-chercher le comportement dans quelques exemples et quelque comportement risque-opposé dans les autres. Kahneman et Tversky [37] démontre que les choix des sujets de loteries exposent une grande variété d’anomalies qui violent la théorie d’utilité prévue. Le plus important, ils montrent que les changements prévisibles et dramatiques dans la préférence peuvent être produits en changant les façons dans lesquelles options sont encadrées. Contrairement aux théories économiques traditionnelles, qui concluent des implications des préférences normatives, la théorie de perspective prend une approche inductive et descriptive. La théorie de perspective peut être regardée [36] comme un résumé parcimonieux de la plupart des anomalies de choix risquées importantes. Une approche de GRIS a basé la Théorie de Perspective dans le Risque de wich tient compte de l’encadrement pourrait être utilisé, au moins ce pourrait être possible. L’étude de Futher est exigée explorer ceci, mais il montre à une possibilité pour regarder le risque dans une lumière différente que c’est possible de faire avec l’Utilité Prévue. Donc nous combattons qu’il y a au moins une théorie que peut être utilisé pour identifier le risque et les décisions modèles du risque.

6,2. Le candidat possible 2 : Nash Equilibre

John Forbes Nash, fait célèbre par Russel Crowe dans le film UN esprit de beautifull, a suggéré que cette Utilité de Expeted ne peut pas être la meilleure façon pour décrire comment des individus font des décisions risquées. ‹  Adam Smith a besoin de la révision  ›, comme est cité dans le film. Nash [38] a défini formellement un équilibre d’un jeu non coopératif pour être un profil de stratégies, l’un pour chaque joueur dans le jeu, tel que chaque stratégie du joueur maximise sa récompense d’utilité prévue contre les stratégies données des autres joueurs. Si le comportement de tous les joueurs dans un tel jeu peut être prédit, alors la prédiction doit être un équilibre de Nash, autrement il violerait cette supposition du comportement individuel, rationnel et intelligent. Devoir le comportement prédit ne satisfait pas les conditions pour l’équilibre de Nash, alors il doit y avoir au moins un individu dont le bien-être prévu pourrait être amélioré en l’instruiant plus efficacement pour poursuivre ses propres meilleurs intérêts, sans aucun autre changement [38]. Il paraît qu’un Equilibre de Nash mieux explique non les impacts monétaires de risque dans les Systèmes Informatiques de Healtcare, tels que divulgation d’information privée, la perte de vie ou d’autres violations Ethiques parce qu’il approche le problème comme un de stratégie au lieu de comme un d’incertitude. Au lieu du risque de vue comme une fonction de menaces, la probabilité de réalisation et l’impact, il pourrait regarder le risque comme une variance d’une stratégie dominante dans un jeu non coopératif entre une organisation (avec l’information pour protéger), un environnement (wich peut dammage aux systèmes informatiques) et un troisième joueur (les concurrents, les employés de pirates informatiques ou malitious). Les approches ont basé l’Equilibre de Nash a été utilisé dans l’Econométrie pour créer des modèles mathématiques d’économies, dans les autres champs pour développer des modèles pour évaluer le risque d’assurance et dans les autres champs. Nous croyons que cette recherche empirique devrait être faite pour explorer cette possibilité dans GRIS. Telle une approche pourrait intégrer les inquiétudes diverses, monétaires, non monétaires et éthiques d’organisations de santé.

  1. Conclusion

Nous suggérons que les approches différentes au problème de GRIS aient considérées. En utilisant une approche d’étude de cas comme nous avons fait dans cet article, nous pouvons démontrer le likelyhood que l’approche actuelle est limitée. C’est ma pretention cet Equilibre de Nash mieux explique non les impacts monétaires de risque dans les Systèmes Informatiques de Healtcare, tels que divulgation d’information privée, la perte de vie ou d’autres violations Ethiques. Pendant que nous croyons que cette recherche empirique devrait être faite pour explorer cette possibilité, c’est actuellement impossible à persue ce dû d’hypothèse, principalement, à manquer de subvention. Cet en papier projette pour démontrer, par une revue de litterature, les exemples des champs et la discussion différents, que cette idée a le mérite. Devoir ceci est prouvé, il significativement pourrait affecter finalement comment IL Risque la Direction est faite. Malheureusement en ce moment il n’y a pas reserch subventionnant disponible à persue cette idée ou ces idées de ce type dans la Recherche d’Informatique de Healtcare ou dans la Technologie d’Information pliée. Parce qu’il n’y a pas d’encouragements économiques pour faire le genre de recherche fondamentale nécessaire pour développer telle une idée, entreprise privé ne peut pas persue ceci. Nous croyons que cette situation devrait être corrigée.

Références

[1] Anderson JG. Security of the distributed electronic patient record: a case-based approach to identifying policy issues, International Journal of Medical Informatics, 2002, pages 111–118

[2]  Safran, C., Goldberg, H., Electronic patient records and the impact of the Internet, International Journal of Medical Informatics, 2000, pages 77–83

[3]  Sujansky, W., Heterogeneous Database Integration in Biomedicine, Journal of Biomedical Informatics, 2001, pages 285–298

[4]  Watkins, M.D., Bazerman, M.H., Predictable Surprises: The Disasters You Should Have Seen Coming, Harvard Business review Online, 2003

[5]  Stoneburner, G., Goguen, A., Feringa, A., NIST Special Publication 800-30 Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology, July 2002

[6] Ministère de la Santé et de la Sécurité Sociale du Québec: www.msss.gouv.qc.ca

[7] Hancock, Bill, COMMON SENSE GUIDE FOR SENIOR MANAGERS, Top Ten Recommended Information Security Practices, 1st Edition, July 2002

[8] Léger, Marc-André, Méthodologie IVRI de gestion du risque en matière de sécurité de l’information, Éditions Fortier Communications, Montréal, Septembre 2003

[9] Schumacher, H. J., Ghosh, S., A fundamental framework for network security, Journal of Network and Computer Applications, 1997, pages 305–322

[10] Myerson, Judith, Risk Management, INTERNATIONAL JOURNAL OF NETWORK MANAGEMENT, 1999, pages 305-308

[11] Beucher, S., Reghezza, M., (2004) Les risques (CAPES Agrégation), Bréal

[12] Knight, Frank H. (1921) Risk, Uncertainty, and Profit, Boston, MA: Hart, Schaffner & Marx; Houghton Mifflin Company, 1921. [Online] available from http://www.econlib.org/library/Knight/knRUP1.html ; accessed 11 December 2005

[13] Beck, Ulrich (1986) Risk Society: Towards a New Modernity, Sage Publications

[14] US Army (1998) US Army tarining manual FM100-14

[15] Browning, T. R. (1999) Sources of Schedule Risk in Complex System Development, Lean Aerospace Initiative at Massachusetts Institute of Technology, John Wiley & Sons

[16] Last JM, (2001) A dictionary of epidemiology. 4th edition. New York: Oxford University Press

[17] Smith, E., Eloff, J.H.P. (1999) Security in health-care information systems—current trends, International Journal of Medical Informatics, vol. 54, pp.39–54

[18] Jøsang, A., Bradley_, D.,  Knapsko, S. J. (2004) Belief-Based Risk Analysis, Australasian Information Security Workshop 2004 (AISW 2004), Dunedin, New Zealand. Conferences in Research and Practice in Information Technology, Vol. 32

[19] Cusson, R. (2002), Étude comparative des méthodologies d’analyse de risque, Conseil du Trésor du Québec

[20] Savage, L. (1954). The Foundations of Statistics. Dover, New York.

[21] Keynes, J.M. (1937) The General Theory of Empoyment, QJE

[22] Lo, A. W. (1999) The Three P’s of Total Risk Management, Financial Analysts Journal, January/February 1999, pp.13-26

[23] Levi, M. and als. (1990), The Limits of Rationality, University of Chicago Press, Chicago, Illinois in Zey, M. (1998) Rational Choice Theory and Organizational Theory: A Critique, Sage Publishing, February 1998

[24] Léger, Marc-André, Un processus d’analyse des vulnérabilités technologiques comme mesure de protection contre les cyber-attaques, Rapport d’activité de synthèse, Maîtrise en Informatique de Gestion, UQAM, Juin 2003, 110 pages

[25] CIHR (Canadian Institutesof Health Research), Secondary use of personal information in health research: Case studies, Canadian Institute of Health Research, November 2002

[26] MSSS, Ministère de la Santé du Québec, Le réseau RTSS C’est, site internet du MSSS, http://www.msss.gouv.qc.ca/rtss/, 2003

[27] Whittemore, R., Validity in qualitative research, Qualitative Health Research, vol 11, no 4, july 2001, pages 522-537.

[28] Belmont Report, Ethical Principles and Guidelines for the Protection of Human Subjects of Research, The National Commission for the Protection of Human Subjects of Biomedical andBehavioral Research, April 18, 1979

[29] WORLD MEDICAL ASSOCIATION, DECLARATION OF HELSINKI, Ethical Principles for Medical Research Involving Human Subjects, Helsinki, Finland, June 1964

[30] Nuremberg code, Directives for Human Experimentation, 1947

[31] Harkness, J., Lederer, S.E., Wikler, D., Laying ethical foundations for clinical research, Bulletin of the World Health Organization, 2001

[32] CSA (Canadian Standards Association), Model Code for the Protection of Personal Information (Q830-96) , 2003, http://www.csa.ca/standards/privacy/code/Default.asp?language=english

[33] CIHR (Canadian  Institutes of Health Research), Guidelines for Protecting Privacy and Confidentiality in the Design, Conduct and Evaluation of Health Research: BEST PRACTICES, CONSULTATION DRAFT, April 2004

[34] Buckovich, Suzy A. et als, Driving Toward Guiding Principles: A Goal for Privacy, Confidentiality, and Security of Health Information, Journal of the American Medical Informatics Association Volume 6 Number 2 Mar / Apr 1999, Pages 122-133

[35] Boudreau, Christian et la CAI, Étude sur l’inforoute de la santé au Québec : Enjeux techniques, éthiques et légaux, document de réflexion, octobre 2001

[36] Edwards, K., Prospect Theory: A Literature Review, International Review of Financial Analysis, Vol. 5, No. 1, 1996, pages 19-38

[37] Laibson D., Zeckhauser, R. (1998) Amos Tversky and the Ascent of Behavioral Economics, Journal of Risk and Uncertainty, pp 7–47

[38] Myerson, Roger B. (1996) NASH EQUILIBRIUM AND THE HISTORY OF ECONOMIC THEORY, Journal of Economic Literature 36:1067-1082 (1999), revised, March 1999, accessed online on March 8th, 2006, http://home.uchicago.edu/~rmyerson/

 

L’auteur souhaite remercier les Professeurs Johanne Pateneaude et Andrew Grant de la Faculté de médecine de l’Université de Sherbrooke et, le Phd/Postdoc d’Informatique de Santé de CIHR le Programme d’Entraînement Stratégique (les Instituts canadiens de Recherche de Santé et l’AV. J-C Fondation de Smith de Michael pour la Recherche de Santé) pour subventionner et le soutien faisant cet article possible.