Grille d’évaluation de méthodologie d’analyse de risque et de gestion de risque.

maxresdefaultPar Marc-André Léger, DESS, MscA(MIS)

 

Question

 

 
Est-ce la première version?
Version:
Source ou distributeur:
Coordonnées:
Y a t il des données disponibles sur le nombre d’utilisateurs ou de licences vendues?
Si oui, quel est il?
Quel type de méthodologie?
La méthodologie est documentée?
La documentation est disponible en français?
Elle est accompagnée d’outils?
Lequel?
Les outils sont disponibles en français?
Quel en est le coût?
Les outils sont-ils multi utilisateurs?
Si oui, intègrent’ ils une gestion du suivi (Workflow)?
Intègrent-ils des contrôles d’accès
Est-il convivial?
Une formation est offerte?
À quel endroit?
À quel coût?
Le support est-il disponible?
À quel endroit ou de quelle façon?
À quel coût?
Y a-t’il des experts-conseil disponibles qui connaissent cette méthodologie?
À quel endroit ou de quelle façon?
À quel coût?
L’interface utilisateur est conviviale?
Une interface utilisateur WEB est offerte?
À quel endroit ?
La méthodologie est appuyée par un modèle théorique?
Si oui, lequel?
Quelle est l’approche méthodologique?
Si Qualitative: La méthode qualitative convient-elle pour l’étude du phénomène en question?
Si Qualitative: L’étude est-elle centrée sur l’aspect subjectif de l’expérience humaine?
Si Qualitative: Peut-on distinguer la méthode qualitative utilisée dans l’étude?
Comment ?
Ce modèle est-il le résultat de travaux?
Lesquels?
Est-ce basé sur une application de la théorie des jeux ou des arbres de décisions?
Si oui, lequel?
Est-ce documenté?
Est-ce basé sur des simulations?
Si oui, de quelle façon?
Des audits sont effectués? ISO13335-2(2005)
Le processus d’analyse du risque identifie, quantifie et priorise les risques en utilisant des critères d’acceptation du risque et des objectifs pertinents à l’organisation. ISO17799(2005) Ch4
Le processus d’analyse du risque et de sélection des contrôles de gestion est répété afin de couvrir l’ensemble des systèmes d’informations ou les systèmes de manière individuelle. ISO17799(2005) Ch4
Le processus d’analyse de risque intègre une méthode systématique d’estimation de la magnitude des risques informationnels et des processus de comparaison du risque avec des seuils de tolérance et des normes établies par l’organisation (Baseline). ISO17799(2005) Ch4
Le processus d’analyse du risque est répété périodiquement ou suite à des changements significatifs. ISO17799(2005) Ch4
Le processus d’analyse du risque est systématique et méthodologique afin de permettre des résultats comparables et reproductibles. ISO17799 (2005) Ch4
L’analyse des vulnérabilités technologiques est prise en considération? ISO13335-2(2005)
L’analyse du risque informationnel s’opère dans un contexte bien défini (scope).  ISO17799 (2005) Ch4
Les liens avec les analyses de risque dans d’autres secteurs d’activités ou unités d’affaires de l’organisation sont définis. ISO17799 (2005) Ch4
La méthodologie offre des processus formels d’identification des menaces?
Si oui, sont ils automatisés?
Quelle est l’importance de la subjectivité dans l’identification des menaces?
La méthodologie offre des processus formels d’identification des vulnérabilités?
Si oui, sont ils automatisés?
Quelle est l’importance de la subjectivité dans l’identification des vulnérabilités?
Quelle est l’approche de calcul du risque?
Comment sont évaluées les probabilités de réalisation?
Comment est évalué l’impact?
Comment est mesurée la tolérance au risque?
Un Baseline (seuil de tolérance) est-il utilisé?
Comment?
La méthodologie offre des processus formels de hiérarchisation du risque?
Si oui, est-ce automatisé?
Quelle est l’importance de la subjectivité dans la hiérarchisation?
La méthodologie offre des processus d’amélioration continue?
Si oui, est-ce cyclique, répétitif?
De quelle façon?
Le processus de traitement du risque utilise des critères organisationnels pour déterminer le seuil de tolérance et l’acceptation du risque. ISO17799 (2005) Ch4
Le coût des mesures de mitigation est déterminé?
Les pertes potentielles sont déterminées? ISO17799 (2005) Ch4
Une analyse coût bénéfices est réalisée? ISO17799 (2005) Ch4
La décision est conservée?  ISO17799 (2005) Ch4
a)     Le choix des mesures de mitigation prend en compte les objectifs et les besoins suivants: ISO17799 (2005) Ch4 b)
Les contrôles peuvent être ajoutés? ISO17799 (2005) Ch4
Différent référentiels peuvent êtres utilisés?
Permet le traitement des risques dans les projets?  ISO17799 (2005) Ch4
Quelle est l’échelle de mesure utilisée
L’échelle de mesure utilisée est-elle appropriée pour mesurer les variables de recherche?
Les instruments de mesure ont-ils été utilisés antérieurement ou ont-ils été construits pour les besoins de l’étude?
Quel est le type d’échantillonnage?
Comment sont choisis les sujets?
Y a-t-il des processus en place pour assurer la saturation des données?
Lesquels?
La méthode de collecte et d’enregistrement des données est-elle clairement précisée?
La méthode décrit clairement la façon dont les participants sont choisis?
Trouve-t-on de l’information sur la fidélité des instruments de mesure?
Si oui, quel type de fidélité a été analysé et comment l’auteur interprète-t-il les résultats de l’examen de la fidélité?
Trouve-t-on de l’information sur la validité des instruments de mesure?
Si oui, quel type de validité a été analysé?
Les résultats vous semblent-ils suffisants?
Si on a traduit les échelles de mesure d’une autre langue, comment a-t-on procédé?
Cela vous parait-il approprié?
S’est-on assuré de la fidélité et de la validité des échelles traduites?
De quelle façon?
La méthode d’analyse des données est-elle conforme au but de l’étude?
Les résultats revêtent-ils une signification précise pour la discipline?
Les résultats de l’analyse de risque guident et déterminent les actions de gestion, les priorités de gestion des risques informationnels et la mise en oeuvre des contrôles de gestion pour mitiger les risques. ISO17799 (2005) Ch4
Y a-t-il des tableaux de bord?
Y a-t-il des rapports de gestion?
Est-ce qu’un plan directeur ou un plan d’action est produit?
Est-ce qu’il y a une gestion du suivi?
Est-il dans un format qui permet l’utilisation d’une méthodologie de gestion de projet ou un outils de gestion de projets?
Si oui, sont-ils configurables?
L’interprétation s’accorde-t-elle avec les données recueillies?
Un plan de formation est établi?
Un plan de communication du risque est établi?
Crédibilité : Les résultats de l’analyse reflètent ils l’expérience des participants ou le contexte avec crédibilité?
Authenticité; La perspective émic démontre t’elle une conscience des différences subtiles d’opinion de tous les participants?
Criticité : Le processus d’analyse montre t’il des signes d’évaluation du niveau de criticité?
Intégrité : L’analyse reflète t’elle une validation de la validité répétitive et récursive associée à une présentation simple?
Explicité : Les décisions et interprétations méthodologiques de même que les positions particulières de l’enquêteur ont-elles été considérées?
Réalisme : Des descriptions riches et respectant la réalité sont illustrées clairement et avec verve?
Créativité : Des méthodes d’organisation, de présentation et d’analyse des données créative ont-elles été incorporées à l’étude?
Exhaustivité ; Les conclusions couvrent-elles l’ensemble des questions posées de façon exhaustive?
Congruence ; Le processus et les résultats sont-ils congruents?
Vont-ils de pair les uns avec les autres?
Les résultats s’inscrivent-ils dans un autre contexte que celui de la situation étudiée?
Sensibilité; L’enquête à t’elle été faite en tenant compte de la nature humaine et du contexte socioculturel?
Une base de connaissance centralisée est maintenue?
La sécurité des informations de la base de données centrale est-elle assurée?

La gestion de risque des données cliniques

Par MarcAndré Léger, DESS, MscA (MIS)

CRED, Faculté de Médecine, Université de Sherbrooke

Introduction

Les Données cliniques

Un Dossier de Santé Électronique (DSÉ) est défini comme un dépôt d’information qui concerne la santé d’un sujet de soin, un patient, dans une forme traitable par les technologies de l’information (TI), emmagasinée et transmis et accessible par de multiple utilisateurs autorisés[1]. L’importance émergente du DSÉ de même que l’augmentation dans le informatisation d’autres activités du système de santé, y compris l’administration et la recherche, génère progressivement de grandes quantités de données à propos des patients, de la livraison de soin de santé et de la recherche biomédicale[2]. Les DSÉ utilisent de plus en plus des données de format multimédia, agrégés dans des dépôts de données cliniques (DDC) et des entrepôts de données cliniques (EDC) par beaucoup d’établissements de santé[3].

Les entrepôts de données (ED) sont une collection de technologies de soutien à la prise de décision, permettant aux décideurs (cadres, directeurs et analystes) de prendre de meilleur décisions plus rapidement[4]. Les ED contiennent des données consolidées de plusieurs bases de données opérationnelles et ont tendance à être des ordres de magnitude plus volumineuses que les bases de données, souvent d’une taille dans les centaines de gigaoctets et même les téraoctets. Typiquement, les ED sont maintenus séparément des bases de données opérationnelles de l’organisation parce les besoins  analytiques et les conditions d’exécution sont tout à fait différentes de ceux-là de bases de données opérationnelles. Les entrepôts de données existent principalement pour les applications de soutien à la prise de décision et fournissent des données historiques, résumées et consolidées pour en faciliter l’analyse détaillé[5]. Un EDC est un système informatique qui fonctionne comme un dépôt (l’entrepôt) de données de santé, provenant de sources différentes y compris le DSÉ, qui reflète ensemble les processus d’affaires d’une organisation de santé, ou de plusieurs organisations reliées, par exemple dans une structure régionale[6]. L’EDC peut être considéré, dans sa conception, distinct d’un DSÉ opérationnel. Les données, rendues accessibles par un portail unique, deviennent un EDC.

Les ED permettent à l’industrie de la santé d’accumuler et assimiler l’information de données de sources nombreuses (eg. laboratoire, pharmacie, radiologie, administration) et les rendre disponible pour la prise de décision[7]. Un EDC peut contenir l’information et la connaissance qui peut améliorer significativement les soins, réduire les erreurs médicales, améliorer les mesures de qualité, faciliter la recherche cliniques et augmenter l’efficacité organisationnelle[8]. L’EDC a démontré des avantages importants aux divers groupes d’ayants cause[9]. Les ayants cause sont composés des catégories:

  • Malades
  • Utilisateursde données
  • Organisationsde santé
  • associationsprofessionnelles
  • les professionnels des TI
  • Industrie de la santé
  • assureurs
  • Gouvernement
  • les organisations non gouvernementales et la Communautaires
  • les établissements d’eisengnement et de recherche médicale
  • l’industrie des TI

Risque

Le risque est défini la combinaison de la probabilité d’un événement et sa conséquence[10]. Le risque est naturel, une force qui résulte des pressions de l’environnement[11]. Partout où il y a une occasion pour le changement, il y a un risque. Dans le risque il y a la notion de discontinuité souvent a associé avec les désastres et les issues imprévu[12]. Une organisation doit identifier les activités où les risques sont le plus significatif pour elle[13]. Ceci pourrait être motivé par plusieurs facteurs tels que ses devoirs légaux, les attentes de ses ayants cause ou pour d’autres raisons considérées significatives par les dirigeants d’une organisation.

Une organisation peut observer le risque d’un point de vue organisationnel mais aussi par rapport à une activité, un système informatique ou un processus d’affaires. Elle peut aussi observer le risque par rapport aux données géré et utilisées dans une organisation. Qu’elle que soit la façon que l’organisation choisisse pour l’observer, le risque existant est la sommes des divers risques qui sont présents. Chaque risque individuel exige la présence d’une menace ou de plusieurs menaces qui ont quelque probabilité de se concrétiser et avoir un effet négatif par rapport à l’issue anticipée.

Les attributs de risque

Le risque dans les systèmes d’informations est généralement perçu en relation à des attributs. Les attributs de confidentialité, d’intégrité et de disponibilité, ainsi que d’autre attribus tel que l’authenticité, la responsabilité, non-répudiation et la fiabilité pourrait être aussi impliquée. Nous présentons ici quelques définitions.

La confidentialité

La confidentialité est la propriété que cette information n’est pas mise à la disposition ou dévoilé aux individus inautorisé, aux entités, ou aux procédés.La confidentialité existe quand l’information est communiquée dans le contexte d’une relation spéciale (tel que le médecin-malade, l’avocat-client, etc.) où l’information est projetée être tenue dans la confiance ou gardé secrète [CIHR, 2002]. C’est un concept éthique qui règle la communication d’information entre les individus [Roger, 1998]. Le statut de confidentiel est accordé aux données ou à l’information indiquant que c’est sensible pour quelque raison, et donc il a besoin d’être protégé contre le vol, la révélation, ou l’usage déplacé, ou les deux, et doit être seulement disséminé aux individus ou aux organisations autorisées avec un besoin de savoir. Les individus ont un droit à la protection des renseignements personnels et la confidentialité de leurs informations de santé[14]. La confidentialité est au coeur de pratique médicale et est essentiel pour maintenir de confiance et l’intégrité dans la relation de patient-médecin. Savoir que leur intimité sera respectée donne aux patients la liberté de partager l’information personnelle sensible avec leur médecin[15]. La Déclaration de Genève exige des médecins de conserver la confidentialité absolue sur tout ce qu’il sait de son patient même après son décès[16].

La confidentialité est une responsabilité de gestion: elle concerne les problèmes de gestion des données par des règles qui sont satisfaisantes aux gestionnaires de banques de données et aux personnes auxquelles les données se rapportent[17]. L’accès est autorisé en fonction d’une classification qui est rendue obligatoire par des directives et des règlements: un individu ne peut pas exercer son propre jugement pour la violer[18]. De même, comme les professionnels de la santé appartiennent à des structures organisationelles différentes, qui sont indépendantes l’une de autre, la confidentialité de l’activité de chaque structure doit être aussi assuré[19]. La confidentialité est maintenue par des données dénominalisés et l’élimination d’éléments dans la base de données qui faciliterait un lien à un événement spécifique identifié par d’autres moyens, tels que par le DSÉ.

Intégrité

L’intégrité est la propriété de protéger la précision et la plénitude de biens [ISO 13335-1]. L’intégrité est une propriété résolue par la modification de approuved d’information [Cloche,1976].

Les individus ont la droite à l’intégrité de leur information de santé. Les personnes de et/ou d’entités qui créent, maintient, l’usage, transmettre, recueille, ou disséminer l’information de santé individuelle sera responsable d’assurer cette intégrité [Buckovich, 1999].

La continuité de soin pourrait impliquer une communication complète de données médicales, respectant son intégrité et sa disponibilité [Roger, 1998]. Par exemple, dans une image archivant et le système de communication (PACS), l’intégrité de données est essentielle pour passer l’information correcte au médecin [Tsong, 2003].

L’extérieur de signe checksums sur les grands champs (les images telles que médicales), l’intégrité partiellement peut être seulement garantie en authentifiant l’individu au site de source responsable de transférer l’information, et fier l’individu pour vérifier les données [Cody, 2003]. L’intégritéde données inclut la minimisation de redondance de données, l’amélioration d’entretien de données, et l’élimination de versions multiples de données [Candler, 1999]. En plus des menaces malveillantes, les menaces qui viennent du logiciel, le matériel, ou l’échec de réseau, ou les menaces qui viennent de l’erreur humaine simple peuvent affecter l’intégrité d’un système informatique [Cody, 2003].

Disponibilité

La disponibilité est la propriété de données d’être accessible et utilisable sur demande par un utilisateur autorisée (ISO 7498-2:1989).La disponibilité d’informations complètes, vérifiée et opérationnelle peut avoir un effet significatif sur les décisions dans une grande variété de contextes[20]. La recherche de santé, particulièrement dans les secteurs de services de santé et de politique, la population et la santé publique, dépend d’une manière critique de la disponibilité prête de données existantes des gens [CIHR, 2002].

Non-répudiation

Non-répudiation se réfère à la capacité à prouver une action ou l’événement a eu lieu, pour que cet événement ou cette action ne peut pas être nié plus tard.[4]

[ISO13888-1] identifie le suivre les services non-répudiation :

  • Non-répudiation de création : protéger contre un démenti de l’entité faux d’ayant créé le contenu d’un message.
  • Non-répudiation de livraison : protéger contre un démenti du bénéficiaire faux d’ ayant reçu le message et a reconnu le contenu d’un message.
  • Non-répudiation de connaissance : protéger contre un démenti du bénéficiaire faux d’ ayant pris la notification du contenu d’un message reçu.
  • Non-répudiation d’origine : protéger contre le démenti du créateur faux d’ ayant approuvé le contenu d’un message et d’ayant envoyé un message.
  • Non-répudiation de reçu : protéger contre un démenti du bénéficiaire faux d’ ayant reçu une messagenon-répudiation d’envoi : Ce service est projeté pour protéger contre le démenti de l’expéditeur faux d’ayant envoyé un message.
  • Non-répudiation de soumission : fournir de la preuve qu’une autorité de livraison a acceptée le message pour la transmission.
  • Non-répudiation de transport : fournir de la preuve pour le créateur de message qu’une autorité de livraison a livrée le message au bénéficiaire voulu.

Les technologiesnon-répudiation, signatures telles que numériques, sont utilisées pour assurer qu’une personne exécutant une action ne peut pas nier par la suite exécuter cette action. Ceci est utile pour les contrats numériques, les déclarations et n’importe où d’autre qu’une signature serait utilisée dans le monde physique. Les signatures numériques sont ordinairement utilisées pour non-répudiation, et sont normalement basé PKI, qui utilise des chiffres asymétriques [Helvey, 2004].

Les garantiesnumériques de signature peuvent fournir la protection pour rendre capable non-répudiation [ISO 13335-2].

Les techniquescryptographiques (par ex. a basé l’usage de signatures numériques) peut être utilisé pour prouver ou autrement l’envoi, la transmission, la soumission, la livraison, la notification de reçu, etc. de messages, les communications et les transactions [ISO 13335-2].

L’accès contrôle

Les technologiesd’accès de contrôle sont utilisées pour protéger l’information en limitant l’accès à l’information ou les opérations, selon l’identité du accessor. Les mécanismes communs pour le contrôle d’accès sont discrétionnaires (DAC), obligatoire (MAC), et rôle-basé (RBAC). DAC est basé l’adhésion d’identité ou groupe de l’utilisateur, et permet à l’utilisateur pour spécifier quels autres utilisateurs peuvent accéder à l’information. MAC est commun dans les systèmes d’exploitation assurés, et les étiquettes d’usages et les listes de contrôle d’accès pour protéger l’information. RBAC permet contrôle à l’accès politiques être définies selon le rôle de l’utilisateur dans une organisation, telle que l’administrateur, le directeur, le chercheur, et ainsi de suite [Helvey, 2004].

Les organisations de soinde santé ont compromis sciemment la sécurité d’information par moins que les contrôles d’accès satisfaisants simplement afin d’encourager tout personnel pour utiliser les systèmes informatiques. Une fois tel compromis a été adopté, c’est par la suite très difficile à convaincre des utilisateurs du besoin de fortifier le contrôle d’accès.. approprie une fois le contrôle et vérifier d’accès sont installés, le scepticisme de personnel bientôt virages à l’acceptation comme ils viennent rendre compte leur importance et leur avantage [Creux, 2000].

Dans un HIPAA a rendu obligatoire l’environnement de PACS, d’un point de vue d’application, il doit y avoir un mécanisme de journal de bord pour tenir note l’information d’accès telle que [CAO, 2003] :

  • L’identification de la personne qui a accédé à ces données
  • La date et le temps quand les données ont été accédées à
  • Le type d’accès (crée, a lu, modifie, efface)
  • Le statut d’ accès (le succès ou l’échec)
  • L’identification des données.

Le modèle pour le contrôle d’autorisation et accès dans les systèmes informatiques de santé distribués a à traiter la description de politique et la négociation y compris les accords de politique, l’authentification, la certification, et les services d’annuaire mais aussi les analyses rétrospectives, formant entièrement l’infrastructure de direction de privilège [Blobel, 2004].

La technologie peut aider assure que l’octroi et la restriction d’accès à ces utilisateurs avec les besoins légitimes, au moyen des mots de passe, accèdent à des codes, et l’autres identifier mécanismes [Buckovich, 1999].

la protection des renseignements personnels contre la sécurité

La droite à la protection des renseignements personnels autorise des gens pour exercer le contrôle par-dessus l’usage et la révélation d’information d’eux comme les individus. la protection des renseignements personnels d’une information de santé du malade personnel est obtenue par le devoir du médecin de confidentialité [WMA, 2002].

la protection des renseignements personnels est un concept social, culturel et légal, tous trois aspects que dont varie du pays au pays [Thompson, 2001]. Pendant que la sécurité de données personnelles peut être instrumentale à cet effet, ‹ la sécurité des données est une chose très différente de la protection des renseignements personnels ›.[5]

Intimité : ‹ ‹ La droite d’individus être partie seul et être protégée contre l’invasion physique ou psychologique ou l’usage impropre de leur propriété. Il inclut la liberté de l’intrusion ou l’observation dans une affaires privées, la droite pour maintenir le contrôle par-dessus la certaine information personnelle, et la liberté pour agir sans hors de l’intervention ›. › [6]

la protection des renseignements personnelsd’information peut être pensée de comme ensemble de contrôles placés sur les organisations par-dessus les usages d’information personnelle dans leur garde et de contrôle, et les droits ont conféré sur les individus par-dessus leur information personnelle. Que s’éclaircit dans tracant ces éléments de sécurité et intimité sont que certains des composants de protection d’intimité peuvent être adressés par les garanties de sécurité, pendant que les autres ne peuvent pas. Quelques fonctions de sécurité peuvent freiner en fait ou peuvent menacer même la protection d’intimité nécessaire. Quelques mesures d’intimité peuvent affaiblir ou peuvent menacer mesure.donc de sécurité justifié la sécurité–le paradoxe d’intimité [Cavoukian, 2003].

La Déclaration d’états d’Helsinki : « C’est le devoir du médecin dans la recherche médicale pour protéger la vie, la santé, la protection des renseignements personnels, et la dignité du sujet humain » [WMA, 2002].

Une idée reproduisant est qu’une base de données de recherche de données patientes peut et devrait être frotté d’identifier l’information personnelle, et par la suite le nettoyer la base de données peut être mise à la disposition pour la recherche sur un moins de base limité.

[Behlen, 1999] Se dispute que tel frotter complet n’est pas faisable, et même si cet étaient faisable, il ne serait pas approprié moralement. Une condition pénible pour l’exemption est cela de ‹ ‹ jetant la clef › › cela relie des données à un malade. Cette condition présente quelques problèmes pratiques, scientifiques et éthiques :

  • Il saisit la possibilité d’avantage au malade. ;
  • La condition complique fort l’ entretien d’une base de données actuelle ;
  • La condition élimine quelques contrôles contre la fraude scientifique.

La qualité de données est cruciale à la protection d’intimité. La sécurité est nécessaire, mais loin de suffisante, pour assurer la protection des renseignements personnels. Les informaticiens et les autres prennent souvent l’ « intimité » pour signifier (seulement) la « sécurité des données » contre les risques d’accès non autorisé, les dommages physiques aux bases de données ou les transmissions, et l’aimé. Cependant, pas c’est de confort à un individu intimité-conscient être dit que les données inexactes, démodées, excessives et sans pertinence d’elle sont crypté et sont emmagasinées derrière les cloisons pare-feu de pirate informatique-preuve jusqu’à ce qu’a mis pour utiliser par (dit) une organisation de crédit-accordant dans faire de décisions d’elle [Raab, 2004]. L’examen minutieux intense suivant dans quelques projets de recherche, ce peut être nécessaire de diriger une nouvelle analyse indépendante des données et de résultats pour confirmer la qualité des données originales [Shortreed, 2003].

la protection des renseignements personnels d’information a recueilli pendant les procédés de soin de santé est nécessaire à cause de significatif économique, psychologic, et le mal social qui peut venir aux individus quand l’information de santé personnelle est dévoilée [Barrow, 1996].

la protection des renseignements personnels et la confidentialité du rapport patient ont attiré le débat et l’analyse vastes, y compris la discussion de recherche. Bien que les problèmes de politique en ce qui concerne l’accès de recherche aux bases de données de santé publiques ont été analysés en détail, moins d’attention a été payé au problème de comment surveiller et administrer, dans le cadre de politique publique applicable, la recherche de multicenter utilisant les rapports de malade privément tenus. En plus de la politique publique, les politiques de chaque institution participant doivent être considérées [Behlen, 1999].

La relation entre le fournisseur de soin de santé et le malade est un caractérisé par la protection des renseignements personnels et la confiance, et la confidentialité est enfoncée au moins implicitement dans les interactions de patient-fournisseur. La notion de confidentialité dans le soin de santé a une tradition professionnelle forte qui a souffert l’érosion progressive en raison des arrangements de remboursement de thirdparty, le soin géré et l’autre soin de santé structures organisationnelles, et les perceptions et la culture de gens de métier dans les systèmes de soin de santé de modem. Un tiers de gens de métier médicaux a indiqué que cette information est donnée aux gens inautorisés « un peu souvent ». [Barrow, 1996]

Les problèmeséthiques dans les services médicaux de données risquent la direction

La rechercheclinique doit être faite dans le respect extrême d’inquiétudes éthiques [Beecher, le ]. de 1966 Les droits à la protection des renseignements personnels et à la confidentialité sont intimement connectés avec la droite pour respecter pour une dignité, une intégrité et une autonomie sont constitutionnelment enchâssé dans la Charte canadienne de Droits et Charte de Libertés et Québec de Droits et les Libertés Humaines [CIHR, 2002]. la protection des renseignements personnels et la confidentialité couchent à la racine d’aux indications d’éthique internationales et nationales, de même que les codes professionnels de déontologie [CIHR, 2002] [CIHR, 2004]. Ils sont les chauffeurs principaux de la condition pour le traitement suffisant de risque dans les organisations de services médicaux [le Sénat, 2002]. L’incertitude légale le fait aussi difficile pour les consommateurs à être conscient de et comprend leurs droits d’intimité et confidentialité [Buckovich, 1999].

Les principes fondamentaux au coeur de législation d’intimité canadienne forment la base de l’Association de Normes canadienne [CSA, 2003] le Code de Modèle pour la Protection d’Information Personnelle est [CIHR, 2004], ceci avec [WMA, 1994] [WMA, 1995] [WMA, 2002] [Buckovich, 1999] [CIHR, 2004], identifie les secteurs suivants de risque qui a besoin d’à adressé dans un CDW :

  • Politiques[a12]
  • confidentialité ;
  • Intimité ;
  • Intégrité ;
  • Disponibilité
  • Garanties ;
    1. Collectionlimitant
  • La direction contrôle ;
  • Les procédés pour rendre capable Défiant la Conformité ; et
  • La d’-identification de données ;
  • Obtenir la transmission de données ;
  • Responsabilité ;
  • Franchise ;
    1. Consentementinformé ;
  • Butsdistinctifs ;
  • Accéder à à l’information par les malades (la droite pour retenir, séparer, modifier et copier) ;
  • L’Usagelimitant, la Révélation, et la Rétention ;
  • La révélationpleine (Aucunes bases de données secrètes existeront) ;
  • L’usagenon-commercial (le rapport Non médical sera vendu, sera utilisé pour mettre sur le marché de buts sans le consentement informé préalable de l’individu) ;
  • Documentation et entraînement

Ceci est d’accord avec les conditions des déclarations deLisbonne [WMA, 1995], Genève[WMA, 1994],Helsinki [WMA, 2002], de même que [Belmont, 1979] [Helsinky, 1964] [Nuremberg,1949] [Harkness, 2001].

Défi : La sélection et la catégorisation des secteurs différents de risque qui comprend le risque et les secteurs généraux de menaces qui devraient être considérées dans l’implémentation et l’usage d’un entrepôt de données clinique.

Ceci serait une amélioration significative quand en comparaison des approches ordinairement utilisées qui sont principalement concernées avec la confidentialité, l’intégrité et la disponibilité. Ceci serait aussi meilleur adapté aux conditions identifiées que nous avons trouvé dans la littérature.

Combiner les conditions

Si nous mettons ceci sous forme d’une table, les conditions pourraient être représentées comme :

Risquer la catégorie de Condition

Catégoriede parieur

confidentialité Intégrité Disponibilité Intimité Politiques Franchise Garanties Documentation et entraînement
Malades 1, 14, 35, 54, 57, 58, 60 7, 47, 66 2, 3, 4, 8 1b, 5, 6, 9, 11, 38, 39 14, 29, 30, 35, 36, 37 24, 50 49
Utilisateursde données 53, 7b, 64, 65, 69, 70 72 13 40, 43 17, 18, 19, 35 19, 24, 42, 44, 45, 75, 76, 77, 78, 79, 80, 81, 82, 84 25, 48
Organisationsde services médicaux 14, 33, 54, 56, 60, 61 7b, 66 9, 10, 12, 13 26, 40, 61 14, 15, 16, 17, 18, 29 24, 50, 87 25, 48, 51
Gens de métierde services médicaux 32, 58, 59, 62 46 73 9, 59 33 31, 33 32 25
Associationsprofessionnelles 13 52 25
Industrie de services médicaux 13 26 15, 16
Assureurs 13, 20 26 15, 18,
Gouvernement 13 26 15, 16, 18, 22, 29 28, 50 48
NGOs et la Communauté groupent 13 26
Educatif 74 13 41 17
IL équipe 34, 56, 60, 61, 63 7b, 66, 69, 71 10 26, 40, 61 35 19, 23, 24, 27, 34, 83, 85, 86, 88, 89, 90 25, 48
IL l’industrie 15
Autre 21

Les conditions présentées dans cette table ont été identifiées dans notre littérature réexamine une liste complète des conditions avec les références est présentée dans l’Annexe a.

Le défi  : plus le travail pourrait identifier des conditions supplémentaires qui ont été manquées, la plus ample analyse pourrait être eu besoin de. Aussi la liste de ayants cause et la catégorisation de groupes de parieur exige la validation.

Gestion du risque informationnel

Les organisations ont besoin d’identifier le prévisible [Watkins, 2003] exécuter optimaly, avec la régularité, progressivement. Ils ont besoin de gérer le risque. Fondamentalement, la Gestion de Risque entoure trois procédés : La reconnaissance de menaces, priorization et la mobilisation de ressources (les procédés de TR/MIN) [Watkins, 2003]. Les méthodes formelles comme la façon la plus réussie pour appliquer le changement dans EST [Clarke, 1996], ceci soutient [LandwDSÉ, 1981], ces méthodes de Gestion de Risque formelles sont le meilleur cours d’actions pour les organisations. Gérer les risques dans le système informatique sont suprêmes au reportage financier précis et la provision d’information opportune et pertinente a exigé dans les organisations pour la prise de décision optimale [Stoneburner, 2002].

L’usage d’un modèle de sécurité abstrait est nécessaire, sans les modèles suffisants ce n’est pas possible de concevoir des systèmes assurés [Anderson, 1972]. Les méthodologies formelles de Gestion de Risque appliquent généralement les procédés de TR/MIN (la reconnaissance de menaces, priorization et la mobilisation de ressources) par les procédés formels d’évaluation de risque, risquer l’évaluation, et la réduction de risque [BS-7799-2] [Hancock, 2002] [ISO 13335-2] [Alberts, 1999] [Clusif, 2000] [Le Canada, 2004] [Léger, 2004] [la Trésorerie de HM, 2001] [GRC, 1994] [ISO 17799] [COSO,2003] [Schumacher, 1997]. L’objectif principal des méthodologies est d’équilibrer les coûts opérationnels et économiques de mesures de réduction de risque et atteint des avantages d’organisation en protégant Les systèmes et les données qui soutiennent leurs missions [Stoneburner, 2002] [Myerson, 1999].

Les quatre traitements possibles de risque sont [BS-7799- 2] [ISO 13335-2] :

Transférer le risque

par ex. l’assurance d’achat ou sous-traite

Eviter le risque

par ex. choisir de ne pas procéder ou appliquer

Accepter le risque

par ex. décider que le niveau de risque identifié est dans les capacités de tolerence d’une organisation

Adoucir le risque

par ex. appliquer les contrôles techniques de réduction de risque, tels qu’une cloison pare-feu

Figure 1 : Risquer les options de traitement

Par exemple, [ISO17799] ne définit pas de conditions exactes pour comment procéder, il exige qu’une organisation pour ait mis dans place un procédé formel pour identifier, quantifier et hiérarchiser des risques contre les critères et les objectifs pertinent à l’organisation. Ceci implique qu’une organisation doit définir premièrement que ces critères et les objectifs sont, exprimé par rapport aux sept attributs de risque (la confidentialité, l’intégrité, la disponibilité, non-répudiation, le contrôle des origines de données, les contrôles de l’origine d’accès d’utilisateur et les contrôles d’accès). Une fois ces objectifs ont été identifiés, l’organisation peut déterminer la présence d’une menace ou de plusieurs menaces (la reconnaissance de menaces) cela a quelque probabilité pour se concrétiser.

La probabilité qu’une menace peut concrétiser et la signification de l’impact pris ensemble, doit aider le priorizatize d’organisation ses options de traitement de risque, comme identifié dans la figure 1, et mobiliser des ressources comme exigé. [BS-7799- 2] [ISO 13335-2] [Alberts, le Sénat de ][ de 2000 de 1999][Clusif, de Le Canada, 2004] [Léger, 2004] [la Trésorerie de HM, 2001] [GRC, 1994] [ISO 17799] [COSO, 2003]

[ISO17799] Et [les BS 7799-2] exige que les résultats de procédés d’évaluation de risque dirigent l’organisation et aident le détermine des actions et des priorités appropriées. Il exige que les organisations pour aient mis dans les contrôles de direction d’endroit pour s’assurer que les risques sont adouci à un niveau acceptable tient compte de :

  • Objectifsorganisationnels ;
  • Les conditions et les contraintes de législation ;
  • Conditionsopérationnels et contraintes ;
  • Coûter par rapport aux risques est réduit, et restant proportionnel aux conditions de l’organisation ;
  • Le besoin d’équilibrer l’investissement contre le mal probablement pour résulter.

Un cadre de Gestion de Risque est une description d’une série spécifique organisationnelle d’activités fonctionnelles et de définitions associées qui définit le système de Gestion de Risque dans une organisation et la relation à la Gestion de Risque système organisationnel, il définit les procédés et l’ordre et chronométrant de procédés qui sera utilisé pour gérer des risques [Shortreed, 2003]. L’intégration d’un sur-aller procédés de TR/MIN, avec l’addition d’outils et d’accélérateurs, comprendre que nous définissons comme un Cadre de Gestion de Risque (RMF). Pour fournir les conditions complètes, nous shoul pour considérer les éléments inclus dans la liste ci-dessus mentionnée aux conditions présentées dans les conditions combinées ajournent, présenté à la page 15-16. RMF, tel que COBIT [COSO, 2003] ou ISMS [BS-7799-2], applique quelque forme de modèle d’amélioration de qualité continu a basé le Demming PDCA (ou PDSA) le modèle et inclut les indications de direction, un système de direction, quelque forme de procédé d’évaluation de risque et d’outils [Fulford, 2003]. Beaucoup d’entre ceux-ci a été utilisé dans les services médicaux [Collmann, 2003][Janczewski, 2002] [Tsong, 2003][Léger, 2004].

Risquer les conditions de direction dansservices médicaux[a15]

Selon [Barrow, 1996], les buts de sécurité d’information dans les services médicaux sont :

  • Pour assurer l’ intimité de malades et la confidentialité de données de soin de santé (l’empêchement de révélation inautorisée d’information)
  • Pour assurer l’ intégrité de données de soin de santé (l’empêchement de modification inautorisée d’ information)
  • Pour assurer la disponibilité de données de santé pour les personnes autorisées (l’empêchement de retenir inautorisé ou accidentel d’information ou de ressources)

Risquer la direction de Systèmes Informatiques de Services médicaux (LE SIEN), tel qu’un CDW, est généralement un sous-ensemble de Gestion de Risque de système informatique [Watson, 2004]. Le passé prépare nous avons exécuté [Léger, 2003] dans le système de services médicaux de Québec indique que ces techniques de Gestion de Risque pareilles sont utilisées. Les initiatives actuelles de normes [ISO 27799] promeuvent l’adaptation de normes existantes [ISO 17799] être utilisé dans les services médicaux internationalement. Nous sommes aussi conscients de normes pareilles de Gestion de Risque [les BS 7799-2][ISO 17799] est utilisé dans[a16][MAL17] Les services médicaux [Toyoda, 1998].

Les conditions pour la Gestion de Risque dans SON ou CDW est différent que ceux-là de Systèmes Informatiques de Direction (MIS) [Intendant, 2002][Kane, 1998]. [Buckovich, 1999] Les mentions que beaucoup d’organisations luttent pour développer des principes adressant la protection des renseignements personnels, la confidentialité, et la sécurité d’information de santé. Un mélange complexe de d’organisation, éthique, légal et conditions de deontological doivent être rencontrées dans LE SIEN [Demers, 2004] [le Coiffeur, 1998] [Behlen, 1999] [Blobel, 2000] [Buckovich, 1999] [Smith, 1998] [Boudreau, 2001] [CAI, 1992] [CAI, 2001] [CAI, 2002] [Wagner, 1999] [Freeman, 1999] [Toyoda, 1998]. Dans les environnements d’affaires la condition pour la sécurité est différente que la condition pour la protection des renseignements personnels [Cavoukian, 2002].

Utilisé inopportunement, un CDW peut causer éthique, la protection des renseignements personnels, les risques légales financières et même criminelles [le Meunier, 2002] [Blobel, 2000] [Snee, 2004] [Cody, 2003] [CIHR, 2002] [le Sénat, 2002]. Le sérieux dans la communication de parieur et la coopération à travers le complet cycle de vie[a18][7][MAL19] de[a20] les données de santé, commençant avec un consentement informé, pendant que respectant un droits de l’individu [Belmont, 1979] [Helsinky, 1964] [Nuremberg, 1949] [Harkness, 2001 ] (y compris la droite à la protection des renseignements personnels) est fondamental [Kerkri, 2001][Blobel, 2004] [CIHR, 2002], prévu par les ayants cause [Roger, 1998] et nécessaire dans la recherche clinique[Beecher, 1966][Helvey, 2004]. Deux des plus grands défis dans le procédé de planification du CDW desbribed dans [Wisniewski, 2003] accommodaient les mandats de sécurité et confidentialité d’agences régulatrices et obtenant des approbations institutionnelles.

Défi :Nous devons définir les composants principaux du cadre de Gestion de Risque, comment ils réagissent réciproquement avec les divers ayants cause et les groupes de parieur, identifier et avoir défini les procédés de directeur impliqués dans l’implémentation d’un procédé de TR/MIN et comment ceux-ci peuvent être modelés.

Les problèmes éthiques, et dans les problèmes d’intimité particuliers, ne sont pas adressé dans [a21] [MAL22]RMF actuel [Thompson, 2001]. La jurisprudence récente, dans Québec[8],Indique qu’en cas de la perte d’intimité, cela n’implique pas de dommages, l’impact financier pour une organisation est bas [Wellman c. Québec, 2002], cependant ceci peut changer[9]. Le risque de perte d’intimité (la protection des renseignements personnels risque) et le risque que les usages éthiques de données de santé (les risques Ethiques) a tendance à être underweighted[a23]. Comme ceux-ci sont underweighted, le résultat logique est que les risques Ethiques et les risques d’Intimité recevront moins d’attention.

Bibliographie

Référence Classe.
Anderson JG. La sécurité du rapport patient, électronique et distribué : une approche de cas-basé aux problèmes de politique distinctifs, le Journal International d’Informatique Médicale, 2002, demande 111–118 1
L’association d’Universités Médicales américaines, la Technologie d’Information Rend capable la Recherche Clinique, les Conclusions et les Recommandations d’une Conférence Subventionnée par l’Association d’Universités Médicales américaines avec la Subvention de la Fondation de Science Nationale, le 30-31 octobre, 2002 2
Alberts, Christophe J., 1999, la version de Cadre d’Octave 1,0, rapport technique,CarnegieMellon Université,2001, http://www.atis.org/tg2k/t1g2k.html 4
Bakker, l’Abdominal, l’Accès au contrôle de DSÉ et accès à un moment dans le passé : une discussion du besoin et une exploration des conséquences, le Journal International d’Informatique Médicale, 2004 3
Le coiffeur, le B, les données et la sécurité Patientes : un aperçu général, un journal international d’informatique médicale, aucun 49, 1998, demandent 19-30 1
Diminue, le D.W., Pappius, E., Kuperman, le G.J., Sittig, D., Burstin, H., Fairchild, D., Brennan, le T.A., Teich, le J.M., Les systèmes informatiques d’utilisation pour mesurer et améliorer la qualité, le Journal International d’Informatique Médicale, 1999, demande 115–12 2
Barrow, RC Fils, Clayton, PD, la protection des renseignements personnels, la confidentialité, et les rapports médicaux électroniques, le Journal de l’Association d’Informatique Médicale américaine, 1996, demande 139-148 2
Beecher, HK. L’éthique et la recherche clinique,Le Journal de Nouvelle-angleterre de Médecine, 1966,274: 1354–1360. 2
Behlen, Libéré M., Johnson, Stephen B., la Recherche de Rapports de Malade de Multicenter, le Journal de l’Association d’Informatique Médicale américaine, le Volume 6, Numéro 6, novembre/décembre 1999 1
Cloche, LE D.E., LaPadula, le L.J., Obtenir le système informatique : L’exposition unifiés et interprétation de multics, ASSEMBLER rapport à onglet 2997, le 1976 mars 2
Le Rapportde Belmont, Ethique, les Principes et les Indications pour la Protection de Sujets Humains de Recherche, La Commission Nationale pour la Protection de Sujets Humains de Recherche de andBehavioral Biomédicale, Le 18 avril, 1979 3
Berryman, Paul, Risquer l’Evaluation : Les Principes fondamentaux, le partielle de exigence de com de présenté de Mémoire verse l’obtention de la certification de GIAC de du de Certification d’Assurance d’Information Global, ,http://www.giac.org/Février 2002 4
Berndt, Donald J, Hevner, Alan R, Studnicki, James, Les données de Prise entreposent : le soutien pour la prise de décision de soin de santé de communauté, les Systèmes de Soutien de Décision, Vol 35, 2003, les pages 367– 384 3
Blobel, Bernd, Les trousses à outils avancées pour la sécurité de EPR, le journal International d’informatique médicale, aucun 60, 2000, demandent 169-175 2
Blobel, Bernd, le contrôle d’Autorisation et accès pour la santé électronique systèmes record, le Journal International d’Informatique Médicale, 2004 , demande 251—257 3
Boudreau, chrétien et la CAI, Etude sur l’inforoute de la santé au Québec : Les techniques de Enjeux, éthiques et légaux, documenter de réflexion, octobre 2001 4
Le Système de Direction de Sécurité d’Information de BS-7799-2:2002, Standardbritannique – la Spécification avec la Direction pour l’usage, le 2002 septembre 3
Buckovich, Suzy A. et al, Conduisant Vers Diriger de Principes : Un But pour la protection des renseignements personnels, la confidentialité, et la Sécurité d’Information de Santé, le Journal du Volume d’Association d’Informatique Médical américain 6 Mars Numéro 2/avr 1999, Demande 122-133 1
Burt, Dr. Brian A., LES DEFINITIONS DE RISQUE, le Département d’Epidémiologie, EcoledeSanté publique, UniversitédeMichigan, 2001 3
CSA (l’Association de Normes canadiennes), Modeler le Code pour la Protection d’Information Personnelle (Q830-96), 2003, http://www.csa.ca/standards/privacy/code/Default.asp?language=english 2
Chateauneuf, A., Wakker, P., Un Axiomatization de Théorie de Perspective Cumulative pour la Décision Sous le Risque, le Journal de Risque et l’Incertitude, 1999, demande 137-145 4
Cavoukian, A., Le Paradoxe de Sécurité-Intimité : Les problèmes, les Idées Fausses, et les Stratégies, UN Rapport Commun par le Commissaire d’Information et Intimité de Ontario et Deloitte & Touche, le Commissaire d’Information et Intimité de Ontario, le 2003 août, http://www.ipc.on.ca/docs/sec-priv.pdf 2
Chaudhuri, Surajit. Dayal Umeshwar, Un aperçu général de données entrepose et la technologie de OLAP, le Rapport de SIGMOD DE ACM, le Volume 26 Distribuent 1 le 1997 mars 2
Chaudhuri, S. ; Dayal, U. ; Ganti, V. La technologiede données pour les systèmes de soutien de décision, l’ordinateur de IEEE, le Volume 34, le Problème 12, décembre 2001, Demande le 48-55 2
CIHR (Canadien Les instituts de Recherche de Santé), Les indications pour Protéger d’Intimité et la confidentialité dans la Conception, la Conduite et l’Evaluation de Recherche de Santé : LES MEILLEURES PRATIQUES, LE BROUILLON DE CONSULTATION,le 2004 avril 2
CIHR (la Recherche de Santé de Institutesof canadienne), l’usage Secondaire d’information personnelle dans la recherche de santé : Les études de cas, l’Institut canadien de Recherche de Santé, le 2002 novembre 2
CLARKE, EDMUND M., VOLER, JEANNETTE M., les Méthodes Formelles : Directions de pointe et Futures, l’Informatique de ACM Examine, Vol. 28, No 4, le 1996 décembre, demande 626-643 2
Clusif, MEHARI, Frapper de la français d’informations de des de sécurité, le 2000 août 3
Cody, Patrick M, La Sécurité dynamique pour Partager de Rapport Médical, Soumis au Département d’Ingénieur Electricien et l’Informatique dans l’Accomplissement Partiel des Conditions pour les Degrés de Célibataire de Science dans l’Informatique et Organisant et le Maître d’Ingénierie dans l’Ingénieur Electricien et l’Informatique à l’Institut de Massachusetts de Technologie, Le 28 août, 2003 3
Collmann, Jeff, Alaoui, Adil, Nguyen, Dan, Lindisch, David, teleradiology Sûr : l’assurance d’information comme une méthodologie de planification de projet, la Science de Elsevier le Feuilleton de Congrès International 1256, 2003, demandent 809– 814 3
Commander Québec de du de à de d’accès, Le à de parents de minimales de Exigences la des de informatisés de dossiers de des de sécurité usagers du réseau de la santé et des entretient sociaux,Avril 1992 4
Québec de du de à de d’accèsde commission, le cadre du de concernant de Avis global de gestion sur la réseau de du de informationnels de actifs de des de sécurité de la santé et des entretient sociaux, décembre 2001 4
Commander Québec de du de à de d’accès, Diriger en matière de des de protection renseignements personnels dans le développement des systèmes à des ministères et les publics d’organismes,Décembre 2002 4
COSISS, Politique intérimaire du informationnels de actifs des de visant de sécurité du réseau de la santé et des entretient sociaux, Québec, 1999 4
COSO,Entreprise Risquer le Cadre de Direction, le Résumé Exécutif, Le comité de Subventionner d’Organisations de la Commission de Treadway, 2003 3
Damodaran, A., Les principes fondamentaux de risque, , 2001http://pages.stern.nyu.edu/~adamodar/ 2
Darlington, A., le Mastic, S., Whitworth, J., Comment sûr est assez sûr ? Une introduction pour risquer la direction, Présentée à L’Auberge d’Agrafe Société Actuarielle, le 2001 juin 3
Demers, DL., Fournier, F, Lemire, M, Péladeau, P, Prémont, le M-C et Roy, DJ, Le réseautage de de santé : Manuel verse la gestion des questionne éthiques et sociales, Montréal, le Centre de bioéthique, IRCM, 2004 2
Edwards, K., Théorie de perspective : Une Revue de Littérature, la Revue Internationale d’Analyse Financière, Vol. 5, No 1, 1996, demande 19-38 2
Einbinder, J. le s., Skiff, K.W.,Pates, R.D.,Schubart, J.R., Reynolds, le R.E., l’Etude de Cas : Un Entrepôt de Données pour un Centre Médical Académique, un JOURNAL DE DIRECTION D’INFORMATION DE SERVICES MEDICAUX, vol. 15, no 2, l’Eté 2001, demande 165-175 1
Freeman, P, Robbins, A. Le débat américain d’intimité de données de santé : Il y aura la compréhension avant la fermeture ? , Le Journal International d’Evaluation de technologie dans le Soin de Santé, 1999, demande 316-331. 3
Fulford, la Bruyère, Doherty, Neil F., L’application de politiques de sécurité d’information dans les grandes organisations de Royaume-Uni BASE : une investigation exploratoire, une Direction d’Information & la Sécurité Informatique, 2003, les pages 106-114 3
Canada de du de Royalede Gendarmerie, d’évaluation de Guide de la menace et des risques verse les technologies des de, Novembre 1994 4
Glaessner, T., Kellermann, T., McNevin, V., la Sécurité Electronique : Risquer la Réduction Dans les Transactions Financières, les Problèmes de Politique Publics, La Banque mondiale, le 2002 juin
Godbout, Juge Bernard, j. le c. le s., jugement de la Wellman de cause c. Québec (Ministère de la revenu-secrétariat de du de Sécurité) Cor Supérieure, Québec, le Quartier de Chicoutimi, N°:150-05-000416-950, 19 juillet 2002 4
Gordon, Laurence A. et Loeb, Martin, La science économique d’investissement de sécurité d’Information, les Transactions de ACM sur la sécurité d’information et système, vol 5, aucun 4, Novembre 2002, demande 438-457 3
Haimes, Yacov Y., Le Rôle de la Société pour l’Analyse de Risque dans les Menaces Emergentes aux Infrastructures Critiques, Risquer l’Analyse, la Science de Blackwell, LE Royaume-Uni,Le 1999 avril, le Volume 19, le Problème 2, demande 153-157 3
Hancock, la Facture, LE GUIDE DE BON SENS POUR LES CADRES SUPERIEURS, le Sommet Dix Pratiques de Sécurité d’Information Recommandées, premier Edition, le 2002 juillet 3
Harkness, J., Lederer, le S.E., Wikler, D., La configuration fondations éthiques pour la recherche clinique, Le Bulletin de l’Organisation de Santé de Monde, 2001 2
Hatcher, M., La prise de décision Avec et Sans la Technologie d’Information dans les Hôpitaux de Soins d’urgence : Examiner dans leEtats-Unis, Le Journal de Systèmes Médicaux, Vol. 22, No 6, 1998 2
Helvey, T., Mack, R., Avula, S., A Emietté, P., les Données La sécurité dans la recherche de Sciences de Vie, Doper la Découverte Aujourd’hui : BIOSILICO, Vol. 2, No 3, le 2004 mai 3
Hillson, Dr David, RISQUER LA DIRECTION POUR LE NOUVEAU MILLENAIREhttp://www.risk-doctor.com/ , .1999 4
Hillson, D., Quel est le risque ? Vers une définitionhttp://www.risk-doctor.com/pdf-files/def0402.pdf commune,, Informer , le Journal de l’Institut de Royaume-Uni de Gestion de Risque, avril, 2002, demande le 11-12 3
HIMMS, L’Etude de Direction de HIMSS Annuelle Onzième, , 2000http://www.himss.org/survey/2000/survey2000.html 2
HM Trésorerie (LE Royaume-Uni), LA Gestion de Risque, UN APERÇU GENERAL STRATEGIQUE, AVEC LA DIRECTION SUPPLEMENTAIRE POUR les plus PETITS CORPS, le 2001 janvier 2
Humpreys, BL.,Le Rapport électronique de Santé Rencontre la Bibliothèque Numérique UN Nouvel Environnement pour Atteindre un Vieux But, J Est Med Informe Assoc, 2000, lSEPTEMBRE ; 7(5), les pages 444-452 2
Infoway, Le Canada Infoway de santé. Le Tiragede DSÉS, un Cadre de DSÉ de interoperable. V1.0, le 2003 juillet 2
L’Organisationinternationales de Normes (ISO), L’ISO/DTR 20514, l’informatique de Santé — le rapport de santé Electronique — la Définition, l’étendue, et le contexte, 2004
L’Organisationinternationales de Normes (ISO), JTC1-SC27, UNE Comparaison de Terminologie : Le Guide d’ISO 73 (le Brouillon le 2001 novembre), PDTR 13335-1 (pour les termes utilisés dans toutes parties de TR 13335), le Brouillon 17799 (N 3184) et en comparaison d’EST 17799:2000, et SC 27 SD 6 (2002-03-31) , 2002 2
L’Organisationinternationales de Normes (ISO), la technologie d’Information de 13335-1, de TR D’ISO/EIC – les Indications pour la direction de LUI Sécurité, la Partie 1 : Les concepts et modèle pour LUI la sécurité, 1996 2
Janczewski, Lech, et Shi, Xinli Franc, le Développement de Bases de Sécurité d’Information pour les Systèmes Informatiques de Services médicaux dans Nouvelle Zélande , les Ordinateurs & la Sécurité, le Volume 21, le Problème 2,31 Le 2002 mars,demande le 172-192 2
Kachur, R. J., Les Données Entreposent le Manuel de Direction, La Rivière supérieure de Selle, N.J., Le Hall d’Apprenti, 2000 3
Kahneman, D., Tversky, A., Théorie possible : Une analyse de décision sous le risque, Econometrica, 1979, demande 263–291 4
Kane,Beverly Les indications pour l’Usage Clinique de Courrier électronique avec les Malades,le Journal de l’Association d’Informatique Médicale américaine, le Volume 5, Numéro 1, Jan/février 1998, demande 104-111 3
Keil, la Marque, Wallace, Linda, Turc, Dan, le Dixon-Randall, Gayle, Nulden, Urbain, Une investigation de perception de risque et la propension de risque sur la décision de continuer un projet de développement de logiciel, Le Journal de Systèmes et le Logiciel, 2000, les pages 145-157 3
Kerkri, E. M. Quantin, C., LE F.A. de Allaert, Cottin, Y., Charve, le P.H., Jouanot, F., Yétongnon, K., Une Approche pour Intégrer les Sources d’Information Hétérogènes dans un Entrepôt de Données Médical, le Journal de Systèmes Médicaux, Vol. 25, No 3, 2001 1
Kim 2003…
Kremer, S. et al, Une étude de tension de protocoles non-répudiation, les Communications Informatiques, aucun 25.2002, demandent 1606-1621 3
Lagadec, Patrick, Risques, les Crises et Gouvernance : rompt LE, se rompt des paradigmes, Réalités Industrielles, Les Mines de des de Annales,numéro spécial : « Les sciences et le risques de à de activités de des de génie », Mai 2003, demande 5-11 3
Laibson, D., Zeckhauser, R., Amos Tversky et l’Ascension de Science économique Comportementale, le Journal de Risque et l’Incertitude, 1998, demande 7–47 3
LandwDSÉ, Carl E., les modèles Formels pour la sécurité informatique, serveys d’Informatique de ACM, vol 13, aucun 3, Septembre 1981pages.247-278 2
Ledbetter, Craig S., Morgan, Matthew W., Vers la Meilleure Pratique : Servir du Rapport Patient Electronique comme un Entrepôt de Données Clinique, le JOURNAL DE DIRECTION D’INFORMATION DE SERVICES MEDICAUX, vol. 15, no 2, l’été 2001 1
Léger,le Marc-André, le technologiques de vulnérabilités de des de processus d’Onu mesure de com du cyber-attaques des de contre de protection, d’activité de Rapport de synthèse, Maîtrise en Informatique de Gestion, UQAM, Juin 2003, 110 pages 3
Léger,le Marc-André, Méthodologie IVRI du matière de en de risque de du de gestion de sécurité de, les Communications de Fortier de Editions,Montréal, Septembre 2003 3
Lloyd, Andrew J, les Menaces au jugement d’avantage : les méthodes de elicitation de préférence sont-ils précises ? , La Science économique de Santé, 2003, demande 393–402 3
Maguire, Stuart (2002), Identifiant des risques pendant le développement de système informatique : gérant le procédé, le Journal de Direction d’Information & la Sécurité Informatique, le Volume 10 Numéro 3,demande 126-p134
Le marécage, Andy, La Création d’une société d’information de telemedical globale, le Journal International d’Informatique Médicale, 1998, demande 173–193 3
Le meunier, Gerald C., Ph.D., les Données entreposent et les stratégies de direction d’information dans le laboratoire d’immunologie clinique, les Revues d’Immunologie Cliniques et Appliqués, 2002 2
Misslin, René, Le système de défense de crainte : le comportement et neurocircuitry, Neurophysiologie clinique 33, 2003, demandent 55–66 5
MSSS, Ministère de la Santé du Québec, Le réseau RTSS, MSSS de du d’internet de site, ,2003http://www.msss.gouv.qc.ca/rtss/ 4
MSSS, Ministère de la Santé du Québec, Le réseau du bref de en de sociosanitaire de télécommunication, documenter interne du TCR, 2002 3
Myerson, Judith, La Gestion de Risque, LE JOURNAL INTERNATIONAL DE DIRECTION DE RESEAU, 1999, demande 305-308 2
Neumann, Peter G., Risque au Public dans les Ordinateurs et aux Systèmes Apparentés, les Notes d’Ingénierie de Logiciel de SIGSOFT DE ACM, vol 26 aucun 1, le 2001 janvier, les Pages 14-38 3
Novosyolov, A., Risquer la Théorie : Les Concepts fondamentaux de Théorie de Risque, Faire une conférence pour les étudiants de département de maths, InstitutdeModelage computationnel , Academgorodok,Krasnoyarsk,La russie, Le 2002 janvier 3
Nuremberg le code, les Directives pour l’Expérimentation Humaine, 1947 3
Le rhythme, Wilson D, la Conception de données pour Assurer l’Etude Anonyme d’Erreurs Médicales : Un Rapport du ASIPS en collaboration, le Journal de l’Association d’Informatique Médicale américaine, le Volume 10, Numéro 6, novembre/décembre 2003, demande 531-540 3
Puhr, Claus, OPIS – UNE toile a rendu capable des données cliniques entreposent le prototype, la présentation, Université de Vienne, 2003 2
Pedersen, le T.B., Jensen, le C.S., les problèmes de Recherche dans les données cliniques entreposent, les Procédés de SSDBM › 98, Le 1-3 juillet 1998dansCapri, L’Italie 1
RAAB, Charles D., L’avenir de protection d’intimité, la Confiance de Cyber & le Projet d’Empêchement de Crime, 2004 2
Le recteur, l’A.L., Nowlan, W.UN. , Kay, S., les Fondations pour un rapport de electronicmedical, les Méthodes d’Information dans la Médecine, 1991, demandent le 179–186 2
Safran, Charles, Goldberg, Howard, les rapports de malade Electroniques et l’impact de l’Internet, le Journal International d’Informatique Médicale, 2000, demande 77–83 2
Sénat (Le Canada), Le Comité de Sénat de Position sur les Affaires Sociales, la Science et la Technologie, La Santé de Canadiens – Le Rôle Fédéral, Le Rapport Provisoire, Le Volume Cinq : Les principes et les Recommandations pour la Réforme – je Sépare,Governement de Le Canada, 2002 3
Schloeffel, P., la Santé Electronique Définition Record, l’Etendue et le Contexte : L’ISO/TC 215 Papier de Discussion,le 2002 octobre, disponible à https://committees.standards.com.au/COMMITTEES/IT-014-09-02/N0004/IT-014-09-02-N0004.DOC 2
Shortreed, J., Hicks, J., Craig, L., les Cadres Fondamentaux pour Risque la Direction, le Rapport Final, A Préparé Au Ministère de Ontario de l’Environnement, le Réseau pour l’Evaluation de Risque Ecologique et la Direction,Mars 28, 2003 2
Schubart, Jane R., Einbinder, le S de Jonathan, l’Evaluation d’un entrepôt de données dans un centre de sciences de santé académique, le Journal International d’Informatique Médicale, 2000, demande 319–333 2
Schumacher, H. J., Ghosh, S., Un cadre fondamental pour la sécurité de réseau, le Journal de Réseau et les Applications Informatiques, 1997, demande le 305–322 2
Smith, E. Eloff, J. H. P., la Sécurité dans les systèmes informatiques de services médicaux – les tendances actuelles, le journal International d’informatique médicale, aucun 54, 1999, demandent 33-54 2
Snee, le N.L., Le Cas pour Intégrer les Réseaux d’Informatique de Santé Publics, Un Aperçu Général des Eléments Exigés pour un IntégréEntreprise L’Infrastructure d’information pour Protéger la Santé Publique,IEEE Organisant dans la Revue de Médecine et Biologie, janvier le 2004 février 2
Stoneburner, Gary, Goguen, Alice, Feringa, Alexis, NIST la Publication Spéciale 800-30 Risquent le Guide de Direction pour l’Information Systèmes de technologie, les Recommandations de l’Institut National de Normes et la Technologie, le 2002 juillet 1
Sujansky, Walter, l’Intégration de données Hétérogène dans la Biomédecine, le Journal d’Informatique Biomédicale, 2001, demande 285–298
Les étés, le K.H., Les Issues de mesurer et Interception de Programmes de Direction de Maladie, Cliniques Thérapeutiques, le volume 18, NO. 6, 1996 One12
Sweltz, Ken, La Stratégie d’Evaluation de Vulnérabilité de réseau pour le Petit Etat et les Agences de Gouvernement Locales, SANS l’Institut, GIAC le dépôt pratique, 2003 3
Takeda, H., Matsumura, Y., Kuwata, S., Nakano, H., Sakamoto, N., Yamamoto, R., l’Architecture pour les systèmes record, patients, électroniques et en réseau, le Journal International d’Informatique Médicale, 2000, demande 161–167 2
Thompson, Paul B., la protection des renseignements personnels, le secret et la sécurité, la Technologie d’Ethique et Information, 2001, demande 13–19 1
La pince, le C. K. LE S., l’Implémentation de ISO17799 et BS7799 dans archiver d’image et le système de communication : l’expérience locale dans l’implémentation de BS7799 norme, le B.V de Science de Elsevier le Feuilleton de Congrès International 1256, 2003 , demandent 311–318
Toyoda, Ken, la Normalisation et la sécurité pour le EMR, le Journal International d’Informatique Médicale, 1998, demande 57–60 2
Tregear, Jonathan, Risquer l’Evaluation La Sécurité d’information Rapport Technique, le Volume 6, numéro 3, septembre 2001, demande 19-27
Wagner,Je., Les problèmes Ethiques de healtcare dans la société d’information, l’Opinion du groupe européen sur l’éthique dans la science et les nouvelles technologies au comission européen, Aucun 13, le 1999 juillet 2
Watkins, Michael D., Bazerman, H. de Maximum, les Surprises Prévisibles : Les Désastres Vous Auriez Dû Voir Venir, les Affaires d’Harvard réexaminent en ligne, 2003 2
Hiver 2
Wismiewski, le M.F., Un Entrepôt Clinique de Données pour le Contrôle d’Infection, le Journal du Volume d’Association d’Informatique Médical américain 10 lSEPTEMBRE Numéro 5/Octobre 2003 1
LE MONDE ASSOCIATION MEDICALE, LA DECLARATION D’HELSINKI, les Principes Ethiques pour la Recherche Médicale Impliquent les Sujets d’Humain, Helsinki, Finlande, le 1964 juin 2
Yoshihara, H., Le développement du rapport de santé électronique au japon, Int. J. Med. Inf., 1998, demande 53–58 (***) 3
Zhou, Lidong, Haas Zygmunt J., Obtenant des Réseaux Improvisés, le Réseau de IEEE, 1999 3
Zviran, M., Armoni, A., Glezer, C., LE SON/BUI : Un Modèle Conceptuel pour l’Intégration de Fond-Augmente de Systèmes Informatiques d’Hôpital, le Journal de Systèmes Médicaux, Vol. 22, No 3, 1998, Demandent 147-159 2
Code Signification
1 Très important
2 Moins significatif
3 Les aides définissent le sujet
4 Instructif ou moins significatif
5 Pas cela significatif

[1]ISO- 20514, Ledbetter(2001), Bakker(2004),Schloeffel(2002), Rector(1991), Infoway(2003)

[2] [Anderson, 2000] [Safran, 2000][MAL1] [Sujansky, 2001] [ Takeda, 2000] [Zviran, 1998]

[3] [Humpreys, 2000]

[4] [Chaudhuri, 1997]

[5] [Chaudhuri, 2001]

[6] [Ledbetter, 2001]

[7] [le Meunier, 2002][Berndt, 2003]

[8][Sujansky, 2001] [CIHR, 2002] [AAMC, 2002] [Wismiewski, 2003] [Ledbetter, 2001] [Puhr, 2003] [le Meunier, 2002] [Diminue, 1999] [Hatcher, 1998] [le Marécage, 1998] [les Etés, le ]. de 1996

[9][Pedersen, 1998] [Kachur, 2000] [HIMMS, 2000] [Schubart, 2000] [Watson, 2003] [Einbinder, 2001] [Snee, 2004]

[10] [Burt, 2001] [Berryman, 2002] [ISO, 2002] [Hillson, 2003]

[11] [Novosyolov, 2002] [Damodaran, 2001] [Darlington,2001]

[12] [Lagadec,2003]

[13][ISO 17799].

[14] [Buckovich, 1999]

[15][WMA, 2002]

[16] [WMA, 2002]

[17] [Thompson, 2001]

[18][Bell,1976]

[19][Kerkeri, 2001]

[20][Brender, 1999]

Sur l’application d’Equilibrium de Nash à la gestion de risque d’Information de santé

Par Marc-André Léger, DESS, MScA (MIS)

Université de Sherbrooke, Sherbrooke, Québec, Canada, marcandre@leger.ca

Par une approche d’étude de cas, cet article cherche à démontrer les insuffisances des méthodologies d’évaluation de risque actuellements utilisées. En particulier, les méthodologies d’évaluation de risque utilisées dans la santé ne permettent pas d.estimer correctement l’inportance des aspects éthiques et de santé publique. Des approches différentes, basées sur des paradigmes différents, pourrait être utilisé. Deux candidats possibles sont proposés, soient la théorie des prospects et l’équilibrium de Nash.

Mots clefs

Santé, information, Sécurité, Risque, Gestion

  1. Introduction

Les praticiens et les organisations de santé ont besoin de l’information. La médecine moderne, basée sur les données probantes, l’administration du système de santé et la recherche médicale compte tous sur les données produites à travers le système de santé. Les systèmes informatiques sont de plus en plus présents dans tous aspects de pratique clinique, dans les fonctions administratives et dans beaucoup d’autres champs d’activités de la chaine de valeur de la santé. L’importance émergente du Dossier de Santé Electronique (DSÉ) de même que l’augmentation de l’usage des technologies de l’information (TI) dans les activités de santé fournit progressivement l’accès aux grandes quantités de données à propos des malades, la livraison de soin de santé et la recherche [1] [2] [3]. À cause de ce besoin d’information et parce que l’information a besoin des diverses technologies pour la porter, la sécurité de l’information est devenue un problème. Les organisations de santé, exécuter optimalement, avec la régularité, progressivement, le besoin d’identifier le prévisible [4], ils ont besoin de gérer des risques associés à son besoin pour l’information. Ceci est que nous appelons la gestion de risque informationnel de santé ou GRIS.

Il y a beaucoup de facteurs supplémentaires que justifie le besoin pour GRIS. La disponibilité limitée de ressources financières et humaines, motive des organisations pour être très prudentes de comment il les alloue. Parce que la Technologie d’Information peut coûter cher d’acquérir et maintenir et exiger des ressources spécialisées, GRIS peut être utilisé comme la partie de la solution pour garder leurs coûts en ordre. Pour quelques organisations, quelques lois et quelques règlements imposent des conditions spécifiques quant à la préservation d’intimité et de confidence. La nature de santé impose des conditions pour la disponibilité, par exemple cette disponibilité d’un graphique de chevet du malade pendant les ronds. L’intégrité d’information peut être aussi un problème sensible, par exemple entre le sang de type A et le B il y a une différence de un bit, mais si ce bit est changé par inadvertance, il peut avoir des conséquence sévère pour un malade recevant le mauvais sang. Tous ces raisons et les autres exigent que les organisations de santé pour aient appliqué un programme de gestion de risque. Pour les autres, les conditions contractuelles sont un catalyseur. Gérer les risques sont suprêmes au reportage financier précis et à la prise de décision optimale [5]. Pour ces et l’autre motivation, il y a eu l’intérêt significatif dans le système de santé de Québec pour trouver une solution de GRIS, exprimée par la Demande pour les Propositions (RFP) publié dans le l’année dernière. Aussi, beaucoup de juridictions régionales dans Canada, le Le Gouvernement fédéraux et Infoway de Santé de Canada ont montré l’intérêt dans GRIS. Dans cet article, nous regardons GRIS par un exemple dans ma contexte local spécifique, nous présentons donc un aperçu général du système de santé de Québec.

  1. Méthodologie

Cet article présente une hypothèse de recherche qui a émergé d’un projet de recherche exécutée comme exigence partielle pour le obtention d’un diplôme de Doctorat en Sciences Cliniques à la Faculté de Médecine de l’Université de Sherbrooke. L’article utilise une approche d’étude de cas pour illustrer un problème de recherche qui a évolué dans une hypothèse.

  1. Reconnaître le scénario

3,1 Aperçu général Bref du système de santé de Québec

Puisque 1971, la Santé de Québec et l’Agence de Services Sociale, connue comme le MSSS (Ministered de la Santé et de Socaux de Services), a été le fournisseur seul de santé dans la Province de Québec, où approximativement 25% de la population de Canada réside. Dans 2005 il a employé 269 600 individus dans 1786 worksites, représentant 6,7% de la population active de Québec [6]. Au niveau local, 95 Santé et les Services Sociaux Centrent (CSSS) et le Réseau de Services Local associés (RLS) la santé d’offre et les services sociaux à une population donnée. Dans le 2004 décembre, l’ Acte respectant la santé locale et les agences de développement de réseau de services sociales (Facture 25) CSSS créé en fusionnant des centres médico-social locaux (CLSCs), les centres de soin résidentiels et à long terme (CHSLDs) et le général et les centres d’hôpital spécialisés (CHSGSs). Les objectifs de santé et de centres de services sociaux sont le suivre :

  • Promouvoir la santé et le bien-être
  • Réunir les services offerts au public
  • Offrir plus accessible, mieux a coordonné de le et les services continus
  • Le faire plus facile pour les gens à se déplacer par la santé et le réseau de services social
  • Assurer la direction mieux patiente, particulièrement des utilisateurs les plus vulnérables

Tout CSSS et RLS sont connectés à une province un réseau de santé larges, connu comme le RTSS [26]. Ce réseau privé applique un sommet une en bas infrastructure avec un datacenter national (TCN) reliant plusieurs datacenters régional (TCR). CSSS locaux et les établissements de santé ont les Réseaux de Secteur Locaux qui sont connectés au TCR de leur région. Les services typiques de direction d’Information, aimer l’e-mail ou le traitement de texte, sont fourni au niveau d’établissement. Dans quelques cas, les bases de données sont soutenues par les systèmes de gestion de données partagés (s-sgbd) parmi les établissements multiples dans un TCR. L’accès à Internet est fourni par les cloisons pare-feu Localisé au niveau de TCN.

3,2. ma scénario

Pour illustrer le problème que nous trouvons dans GRIS, nous présentons un scénario simple. Un habitant de la Province de Québec, dans la ville de Montréal, accède au RLS par un centre médico-social proche (CLSC) pour la grippe. Il s’est très inquiété parce qu’il regarde les nouvelles et les craintes qu’il peut avoir la grippe d’Oiseau (H5N1). Arriver à la réception, son identité est vérifiée comme il présente sa carte d’Assurance-maladie de Québec. A ce point que l’habitant est considéré un malade (P) et va à une salle d’attente isolée pendant que son Rapport de Santé (HR) est rapporté et jusqu’à ce que le Professionnel de santé approprié (HP) devient disponible. Dans le CLSC, le HR du malade est dans la partie sur un soutien en papier (couvrant pré-1998 visites par le malade) et le format électronique (DSÉ). En raison du RTSS, la partie du DSÉ est rapportée d’une base de données locale et une autre portion du s-sgbd a localisé dans le Montréal TCR. Une fois P a rencontré avec le HP, dans ce cas un MD de Médecin Généraliste, les analyses de sang sont commandées, le DSÉ est modifié pour inclure la nouvelle information et les feuilles de P avec une recommandation pour le repos et l’hydration. Le HR soupçonne P a un rhume de cerveau et peut souffrir d’un anixiety a relaté le désordre. Une fois les résultats de laboratoire sont retournés, quelques heures plus tard, le malade est informé via le téléphone par le CLSC qu’il a un froid simple. Nous augmenterons sur ce scénario par le reste de cet article pour illustrer ma hypothèse.

  1. Quel est le Risque ?

Le risque de mot trouve c’est des origines dans le risco de mot italien d’un certain age, signifiant le rocher tranchant. Dans le 17e siècle, comme les compagnies d’assurances premières où impliqué dans l’expédition maritime, le risque a évolué des rochers tranchants qui où une source de danger pour les bateaux [11]. Puisque l’introduction de probabilités par Pascal et le travail premier de Rousseau sur l’incertitude [11], l’idée a développé ce risque est quelque chose que peut être étudié, ce n’est pas magique ni un Désastre naturel. L’Incertitude de l’avenir, une condition d’affaires est désignée par le Chevalier [12] dans les 1920 avec le « risque » de terme. Rédige plus tard [13] suggérer que les termes risquent et l’incertitude est devenue interchangeable, et l’un peut être souvent trouvé dans la description de l’autre. Pour Browning [15], les tiges de risque de l’incertitude les états futures, potentielles et environnantes et les conséquences de ces états doivent ils arrivent. L’Armée d’Etats-Unis [14] définit le risque comme le résultat admis d’une décision et les termes informée joue un mal informé pari ou une supposition sur une issue optimiste. Dans l’épidémiologie [16], c’est le plus souvent a utilisé pour exprimer la probabilité qu’une issue particulière arrivera suivre une exposition particulière. Dans un santé réglant le risque est composé du suivre trois parties de composant [17] :

  • Menace : L’événement dont représentera un événement de détente qui peut mener à un défavorable (la série de) la conséquence (les conséquences).
  • Vulnérabilité : Une faiblesse dans le système et – ou l’environnement général, qui pourrait être exploité par un événement de menace.
  • Influer : le (la série de) la conséquence (les conséquences) à une unité de santé qui pourrait se présenter si un événement de menace vulnérabilité exploitée et défavorablement affecté un ou plus de biens comprenant le système.

4,1 Méthodologies Formelles d’évaluation du risque

Dans un cadre d’organisation, le risque est géré dans un mélange de de procédés formels et simples. Les procédés formels de gestion de risque sont que nous nous référons à comme la gestion de risque. Le Guide d’ISO 73(2002) définit la gestion de risque comme les activités coordonnées utilisées par une organisation pour diriger et contrôler le risque. Il inclut généralement l’évaluation de risque, le traitement de risque, l’acceptation de risque et [7][8][9] d’activités de communication de risque pour équilibrer les coûts opérationnels et économiques de mesures de réduction de risque pour maximiser des avantages d’organisation en protégant des biens qui soutiennent leur mission [10].

Les Méthodologies formelles d’évaluation du risque (FRAMs), tel que CRAMM [18], déterminer le risque comme le « produit » de la probabilité d’un incident de sécurité affectant un bien particulier et l’impact a coûté. Les approches similaires sont utilisées par les méthodologies telles que MEHARI ou l’OCTAVE, utilisées dans Québec. IVRI™, développé par l’auteur, suit aussi cette approche. Toutes ces méthodologies sont dans un paradigme qualitatif similaire. Dans eux tous la probabilité (les probabilités) d’une menace et la sévérité des impacts doit être déterminé par les individus dans les organisations utilisant les échelles de Likert-Comme. Ceci fait les exposer à comment les individus perçoivent le risque et ses composants. Selon le Sauvage [20], la tâche même de probabilités numériques, même si subjectif, implique qu’il représente le choix sous le risque. Ces probabilités sont des expressions de quel est finalement la conviction et semble plus comme l’incertitude. Les questions où, selon John Maynard Keynes [21], il n’y a pas de base scientifique sur laquelle former la probabilité calculable quoi que. Dans le champ, nous avons observé que la nature subjective d’incertitude peut introduire les problèmes de validité internes avec FRAMs. Nous avons observé les différences de noticable avec la détermination individuelle de likelyhood ou l’impact dans vivo. Nous croyons que cette subjectivité est une source potentielle d’erreur dans l’évaluation de risque puisque il y a de petite preuves de contrôles de validité internes, similaires à ce qu’est utilisée dans les méthodologies de recherche (par ex. la triangulation), dans les FERMES.

4,2. La validité distribue dans FRAMs

Dans un analisys empirique non-exaustive de méthodologies d’évaluation de risque a utilisé dans les organisations de Québec, nous avons trouvé de petite preuve de contrôles de validy internes ou ces contrôles de validité internes avait été validée par les créateurs de ces méthodologies. Les critères de validité d’utilisation ont utilisé dans la Recherche Clinique présentée dans Whittemore [27], illustré sur la table au dessous, nous croyons qu’il y a de la preuve que quelques critères ne sont pas adressés.

La table 1 : Critères primaires et Secondaires de Validité dans la recherche Qualitative [27]

Critères Evaluation
Critères primaires
Crédibilité Les résultats de la recherche reflètent-ils l’expérience de participants ou le contexte dans une façon crédible ?
Authenticité Une représentation de la perspective de emic expose-t-il la conscience aux différences subtiles dans les voix de tous participants ?
Cricité La recherche traite-t-il démontre de la preuve d’estimation critique ?
Intégrité La recherche reflète-t-il des contrôles récurrents et monotones de validité de même qu’une présentation humble de conclusions ?
Critères secondaires
Caractère explicite Avoir des décisions méthodologiques, les interprétations, et les prejugé d’investigateur a été adressé ?
Netteté Avoir des descriptions épaisses et fidèles a été peintes avec l’ingéniosité et la clarté ?
Imagination Avoir des façons imaginatives d’organiser, présenter, et analyser les données ont été incorporées ?
Minutie Les conclusions adressent-ils avec conviction les questions posées par la plénitude et la saturation ?
Conformité Le procédé et les conclusionssont-ils en harmonie ?
Tous les thèmes ajustent-ils ensemble ?
Les conclusions ajustent-ils dans un contexte hors de la situation d’étude ?
Sensibilité L’investigation a-t-il été appliquée dans les façons qui sont sensibles à la nature d’humain, les contextes culturels et sociaux ?

En particulier nous croyons que les critères d’Authenticité, l’Intégrité, la Netteté, la Minutie, la Conformité et la Sensibilité apparaissent problématique par rapport à FRAMs que nous avons examiné. Ceux-ci doivent mériter l’investigation empirique pour vérifier. Nous croyons donc que c’est donc nécessaire de regarder decions du risque sont fait essayer de comprendre comment que cette source d’erreur peut être meilleure comprise.

4,3. Les décisions du risque

Les modèles de préférences individuelles du risque ont leurs racines historiques dans l’école de philosophie sociale connue comme Utilitarisme [22], proposé dans le 18e siècle dernier. Dans l’Utilitarisme, le but de toutes actions est de maximiser l’utilité générale, avec l’utilité définie comme index quantitative de bonheur certains propriétés fondamentaux satisfaisants. La théorie utilitaire, théorie et la théorie des jeux économiques néoclassiques sont les directeurs fondamentaux de théorie de choix rationnelle ou RCT [23]. Le noyau fondamental de RCT est cette interaction sociale est fondamentalement une transaction économique qui est dirigée dans son cours par les choix de l’acteur rationnels parmi les issues alternatives. Les décisions sont prises seulement après ses avantages et les coûts a été pesé, considérant des prix, les préférences de probabilités et indivual. L’unité d’analyse est la décision individuelle faite par un décideur individuel. RCT définit des actions rationnelles d’individus rationnels comme arrivant sous plusieurs contraintes :

  • La rareté de ressources
  • L’occasion coûte
  • Normes institutionnelles
  • Information

Dans un cadre d’organisation, avec la structure de direction de sommet en bas classique, la somme de ces décisions individuelles, avec les poids différents dans le respect à la position du preneur de décision, sont ce qu’il fait fonctionne. Ces individus dans un social, pendant que RCT d’utilisation pour maximiser l’utilité, sont affecté par le ci-dessus a mentionné des contraintes et par l’autre influence d’une de nature psychologique et culturelle de même que par les pressions externes. Les Méthodologies d’évaluation du risque ont mentionné précédemment tous procédés d’instrument pour expliquer la considération des contraintes de abovementionned de RCT dans l’évaluation de risque. Dans la Théorie de Choix courte et Rationnelle est le modèle de theoritical derrière ces méthodologies. Pendant que nous croyons que ceci est plus en raison de historial et les raisons culturelles au lieu de sur la position de epistemological, il a l’air d’être soutenu par la preuve empirique.

  1. L’application de RCT à ma scénario de risque

Dans cette section de ma article, nous présentons un exemple de GRIS utilisant la Théorie de Choix Rationnelle. Ceci augmente sur le scénario présenté plus tôt. Dans le scenaro que nous avons présenté avant d’être là-bas plusieurs parieurs. L’une la plus évidente est le Malade (P) et le Personnel de CLSC. Aussi, le personnel de TCR qui gère le s-sgbd et MSSS équipe cela gère le système de santé de Québec est aussi des parieurs dans ma scénario. Le assests informationnel qui sont impliqués est :

  • La carte d’Assurance-maladie de Québec ;
  • Le Rapportde santé (HR) et le soutien électronique (DSÉ) ;
  • Le réseau de RTSS ;
  • Une base de données locale ;
  • Un s-sgbd a localisé dans le Montréal TCR ;
  • Sang ;
  • Le laboratoire résulte ;

Pour illustrer l’utilité prévue pour chacune de la catégorie de parieur par rapport à la valeur relative des biens d’information, soi nous avons construisons la table présentée au dessous. A cet effet nous avons fait une supposition informée à la valeur relative utilisant des données d’une étude précédente [24] dans un scénario où le bien de informaiton a été divulgué ou a été détruit (l’haut impact). Nous présentons seulement le plus pertinent a pour résultat la table 1 pour convinience.

La table 2 : La valeur relative de biens d’information par la catégorie de parieur.

Carte d’assurance-maladie HR RTSS Base de données locale le s-sgbd
Malade Niveau bas Haut Niveau bas Niveau bas Niveau bas
Personnel Niveau bas Coût de remplacement Niveau bas Le coût de remplacement et le rétablissement de données Niveau bas
TCR personnel Niveau bas Coût de remplacement Haut Niveau bas Haut
MSSS personnel Le coût de remplacement et l’usage impropre coûtent Le coût de remplacement et la loi d’intimité potentielle conviennent Coût de remplacement Niveau bas Coût de remplacement

Limitons ma étendue au bien d’information de DSÉ. Quel est, dans ma scénario, le risque a associé avec le DSÉ. Le risque, comme nous avons cité de Smith [17], consister en la Menace, la Vulnérabilité et l’Impact. Si nous considérons la menace comme le divulgation ou la destruction du DSÉ et la Vulnérabilité comme est l’usage du réseau de RTSS pour gagner l’accès à Internet au DSÉ nous pouvons proposer la table suivante.

La table 3 : L’impact du divulgation du DSÉ et Risque par la catégorie de parieur

Parieur L’impact du divulgation du DSÉ Risque
Malade La perte d’intimité, une droite humaine fondamentale a protégé dans Québec, le potentiel pour l’anxiété et la perte financière. La perte de confiance dans le système de santé. Potentiellement Haut
Personnel Peut avoir besoin de retaper des données rapportées de la forme en papier (le temps) ou restaure des sauvegardes (le temps) si les sanctions disponibles et possibles par l’employeur (intention généralement mineure à moins que la criminelle) Niveau bas
TCR personnel Peut avoir besoin de restaurer des sauvegardes si disponible (le temps), les sanctions par l’employeur s’il y a la responsabilité directe (intention généralement mineure à moins que la criminelle). Niveau bas
MSSS personnel 1000$ par l’incident en cas des procès de loi pour la perte d’intimité. La perte de réputation si la situation est faite le public, les sanctions possibles d’une lettre de réprimande à la perte de employement ou de rétrogradation (intention généralement mineure à moins que la criminelle) si une responsabilité peut être établie. Niveau bas

Dans un tel scénario, où la Menace pour se concrétiser, le risque serait une fonction de l’impact. Comparer l’impact de la réalisation avec l’état non-divulgation que nous sommes dans avant que nous ayons ayons ajouté la Menace, nous estimerions le risque de chaque point de vue du parieur comme a indiqué dans la dernière colonne de la table précédente. Si, comme nous avons cité previuosly, l’objectif de gestion de risque est d’équilibrer les coûts opérationnels et économiques de mesures de réduction de risque pour maximiser des avantages en protégant le DSÉ, alors du point de vue de chaque parieur la raison est pour les dépenses de réduction de risque basses, avec l’exception du Malade. Dans le MSSS de cas, parce que le total le risque combiné du 7 millions d’habitants de Québec, le risque combiné peut être perçu comme plus significatif. RCT d’utilisation pour maximiser l’utilité, nous prévoirions que le MSSS et le patient pour ait donné plus pour estimer à protéger le DSÉ, pendant qu’il aurait moins de valeur pour les autres parieurs. Dans le champ et dans la recherche empirique précédente [24], nous avons remarqué ce personnel de TCR, quand donné un choix, plus de ressources alloué à l’opération d’exécution que Risquer les activités de Direction. Au niveau de MSSS, l’haut risque de aggegated suggéré peut soutenu par la réalité, comme l’effort significatif est consacré pour s’assurer que le lien entre le TCN et l’Internet est les Malades d’assuré.le, pendant qu’intéressé, avoir petit dire dans GRIS.

5,1. L’application d’une Méthodologie de Assement de Risque Formelle à ma scénario de risque

Nous avons exécuté une Evaluation Formelle de Risque, dans ma scénario faisant des suppositions fondamentales ont basé ma connaissance du système de santé de Québec d’une étude de previus [24]. Ceci a été fait utilisant IVRI™. Cette méthodologie était choosen necause il a été créé par l’auteur de cet article et parce que c’est disponible à aucun coût sur l’Internet (www.leger.ca) si ce scénario d’évaluation de risque pourrait être polycopié. Il a été publié en français [8] dans 2003 et utilise une Feuille électronique pour aider l’Evaluation de Risque, qui produit le graphique présenté au dessous. L’Index de Risque de IVRI (IRi) était 1570 avec une base (IB) à 727.

La figure 1 Risque Estimé par la catégorie de Menace avec IVRI™

En comparant les résultats ont obtenu utilisant le FRAM avec le resultus de l’application de RCT à ma scénario, nous croyons qu’il y a l’apparence de congruance. Une explication possible pour ceci est que FRAMs, tel que IVRI, applique une forme de RCT. Ceci a besoin d’être confirmé par l’investigation empirique. ma hypothèse est que FRAMs aujourd’hui disponible dans Québec applique une forme de Théorie de Choix Rationnelle.

5,2. Où le problème est ?

Le problème que nous voyons, ayant fait la recherche dans le champ d’Informatique de santé, s’agit de l’Ethique. Dans les santé, une tradition Ethique longue, premièrement exprimé par le serment de Hypocratical et renforcé par experice du Code de Nuremburg, a évolué être suppported par la loi, les Chartes de droits et les Codes de Déontologie. Les droits à l’intimité et à la confidence sont intimement connectés avec la droite pour respecter pour une dignité, une intégrité et une autonomie sont constitutionnelment enchâssé dans la Charte canadienne de Droits et Charte de Libertés et Québec de Droits et les Libertés Humaines [25]. Ils sont les chauffeurs principaux de la condition pour le traitement suffisant de risque dans les organisations de santé [26]. Dans évaluer de risque dans un GRIS réglant c’est nécessaire d’estimer des considérations Ethiques de même que l’utilité prévue fournie par RCT. Dans ma scénario précédent, considérations Ethiques, telles que la perte d’intimité si une information du malade seule est divulgué, a un Risque relativement bas pour le MSSS, mais a un haut potentiel de Risque pour le malade, comme nous avons illustré dans la Table 3.

Dans une revue de litterature, nous avons identifié qu’il y a plusieurs composants pour risquer dans un cadre de Healthceare [27][28][29][30][31][32][33][34]:

  • Une condition pour les Politiques formelles, la Documentation et entraînant ;
  • Intimité ;
  • Confidence ;
  • Intégrité ;
  • Disponibilité ;
  • La présence de Garanties appropriées ;
  • Limitant la Collection ;
  • Les Procédés pour rendre capable Défiant la Conformité ;
  • La D’-Identification de données ;
  • Obtenir la transmission de données ;
  • La Direction contrôle ;
  • Responsabilité ;
  • Une condition pour la Franchise ;
  • Consentement Informé ;
  • Identifiant des Buts de réception de données ;
  • L’Accès à l’information par les malades
  • la droite pour retenir,
  • séparer ;
  • modifier ; et
  • copie ;
  • L’Usage limitant, la Révélation, et la Rétention ;
  • La révélation Pleine (Aucunes bases de données secrètes existeront) ;
  • L’usage Non-commercial (le rapport Non médical sera vendu, sera utilisé pour mettre sur le marché de buts sans le consentement informé préalable de l’individu).

Dans le contexte du scénario que nous avons présenté, la plupart de ces composants pourraient être applicables. Ou à cause des devoirs de leal qui affectent le DSÉ, décrit dans [35] ou les conditions éthiques de la Déclaration d’Helsinki [29], dans un scénario idéal d’évaluation du risque, ceux-ci tous pourrait avoir une influence du potentiel pour le Risque. De tous les composants de Risque, beaucoup ne pourraient pas être facilement assignés une valeur. Combien la valeur peut être donnée à la qualité du consentement informé ? Peut-être une valeur peut être mise Pivacy en référant la Jurisprudence, mais il va en toute probabilité être toujours trop bas pour le indivual victime et toujours trop haut pour le parti responsable. Si nous regardons le consentement informé, nous trouvons que ce peut être difficile à déterminer, dans les activités de GRIS, la qualité de ce consentement. Dans beaucoup de ces problèmes éthiques que ma intuition suggère qu’il y ait non linéarité entre la Menace et l’Impact mais plutôt le Risque les augmentations probables par les graduations, comme un escalier avec les étapes inégales. Parce que c’est difficile à assigner une valeur à ces composants de risque, n’importe quel FRAM qu’utilise coûts financier ou de remplacement dans le calcul de l’Impact comme un composant principal de necessarely de volonté de risque sous-évalue tous les composants intangibles, les composants avec la petite valeur monétaire ou difficile à percevoir comme une utilité prévue a exprimé dans les termes de menetary. Nous croyons il y a un lien entre ce problème et les problèmes de validité mentionnés précédents. Nous faisons donc l’hypothèse que FRAMs sont, à meilleur, d’un acuracy indéterminé.

  1. Pourquoi ne pas regarder d’approches différentes ?

Throught une revue de litterature nous avons exécuté pour un projet de recherche continu, nous avons identifié des secteurs de litterature qui où pas couvert dans les champs de tradition de technologie de santé ou Information. Ceci nous a menés à regarder des théories différentes qui peuvent être utilisées comprendre la gestion de risque. Compter sur le champ d’économétrique et épidémiologie, nous avons vu de la preuve qui il y a les modèles d’évaluation de risque qui ont été développés dans les autres champs qui pourraient être appliqués à GRIS. Nous n’avons pas trouvé de preuve que cette possibilité avons été evaluted dans l’IL litterature de sécurité ou dans le litterature de santé. Dans ma revue de litterature sur le risque, nous avons trouvé qu’il y a des théories différentes qui ont été développées. Nous avons vu aussi de la preuve que cette Théorie Des Jeux est utilisée dans le champ d’assurance pour le calcul de risque. Donc nous proposons l’hypothèse qui peut-être une approche différente pourrait être utilisée pour estimer GRIS. Regarder dans litterature, nous suggérons que deux condidates possible pour ait remplacé RCT comme la base pour l’évaluation de risque dans FRAMs.

6,1. Le candidat possible 1 : Théorie de perspective

Selon Edwards [36], la théorie de Perspective a été premièrement formulée par Kahneman et Tversky dans 1979 comme une méthode alternative d’expliquer de choix faits par les individus sous les conditions de risque, comme un remplaçant pour la théorie d’utilité prévue. Kahneman et Tversky sont rendus compte le fait que le modèle de théorie d’utilité prévu n’a pas décrit entièrement la manière dans laquelle individus fait des décisions dans les situations risquées et Cela donc, il y avait des exemples dans lesquels un choix de decisionmaker ne pourrait pas être prédit. Par exemple, ils font remarquer que l’Utilité Prévue n’explique pas la manière dans laquelle l’encadrement peut changer la décision de l’individu, ni le fait explique pourquoi des individus exposent risque-chercher le comportement dans quelques exemples et quelque comportement risque-opposé dans les autres. Kahneman et Tversky [37] démontre que les choix des sujets de loteries exposent une grande variété d’anomalies qui violent la théorie d’utilité prévue. Le plus important, ils montrent que les changements prévisibles et dramatiques dans la préférence peuvent être produits en changant les façons dans lesquelles options sont encadrées. Contrairement aux théories économiques traditionnelles, qui concluent des implications des préférences normatives, la théorie de perspective prend une approche inductive et descriptive. La théorie de perspective peut être regardée [36] comme un résumé parcimonieux de la plupart des anomalies de choix risquées importantes. Une approche de GRIS a basé la Théorie de Perspective dans le Risque de wich tient compte de l’encadrement pourrait être utilisé, au moins ce pourrait être possible. L’étude de Futher est exigée explorer ceci, mais il montre à une possibilité pour regarder le risque dans une lumière différente que c’est possible de faire avec l’Utilité Prévue. Donc nous combattons qu’il y a au moins une théorie que peut être utilisé pour identifier le risque et les décisions modèles du risque.

6,2. Le candidat possible 2 : Nash Equilibre

John Forbes Nash, fait célèbre par Russel Crowe dans le film UN esprit de beautifull, a suggéré que cette Utilité de Expeted ne peut pas être la meilleure façon pour décrire comment des individus font des décisions risquées. ‹  Adam Smith a besoin de la révision  ›, comme est cité dans le film. Nash [38] a défini formellement un équilibre d’un jeu non coopératif pour être un profil de stratégies, l’un pour chaque joueur dans le jeu, tel que chaque stratégie du joueur maximise sa récompense d’utilité prévue contre les stratégies données des autres joueurs. Si le comportement de tous les joueurs dans un tel jeu peut être prédit, alors la prédiction doit être un équilibre de Nash, autrement il violerait cette supposition du comportement individuel, rationnel et intelligent. Devoir le comportement prédit ne satisfait pas les conditions pour l’équilibre de Nash, alors il doit y avoir au moins un individu dont le bien-être prévu pourrait être amélioré en l’instruiant plus efficacement pour poursuivre ses propres meilleurs intérêts, sans aucun autre changement [38]. Il paraît qu’un Equilibre de Nash mieux explique non les impacts monétaires de risque dans les Systèmes Informatiques de Healtcare, tels que divulgation d’information privée, la perte de vie ou d’autres violations Ethiques parce qu’il approche le problème comme un de stratégie au lieu de comme un d’incertitude. Au lieu du risque de vue comme une fonction de menaces, la probabilité de réalisation et l’impact, il pourrait regarder le risque comme une variance d’une stratégie dominante dans un jeu non coopératif entre une organisation (avec l’information pour protéger), un environnement (wich peut dammage aux systèmes informatiques) et un troisième joueur (les concurrents, les employés de pirates informatiques ou malitious). Les approches ont basé l’Equilibre de Nash a été utilisé dans l’Econométrie pour créer des modèles mathématiques d’économies, dans les autres champs pour développer des modèles pour évaluer le risque d’assurance et dans les autres champs. Nous croyons que cette recherche empirique devrait être faite pour explorer cette possibilité dans GRIS. Telle une approche pourrait intégrer les inquiétudes diverses, monétaires, non monétaires et éthiques d’organisations de santé.

  1. Conclusion

Nous suggérons que les approches différentes au problème de GRIS aient considérées. En utilisant une approche d’étude de cas comme nous avons fait dans cet article, nous pouvons démontrer le likelyhood que l’approche actuelle est limitée. C’est ma pretention cet Equilibre de Nash mieux explique non les impacts monétaires de risque dans les Systèmes Informatiques de Healtcare, tels que divulgation d’information privée, la perte de vie ou d’autres violations Ethiques. Pendant que nous croyons que cette recherche empirique devrait être faite pour explorer cette possibilité, c’est actuellement impossible à persue ce dû d’hypothèse, principalement, à manquer de subvention. Cet en papier projette pour démontrer, par une revue de litterature, les exemples des champs et la discussion différents, que cette idée a le mérite. Devoir ceci est prouvé, il significativement pourrait affecter finalement comment IL Risque la Direction est faite. Malheureusement en ce moment il n’y a pas reserch subventionnant disponible à persue cette idée ou ces idées de ce type dans la Recherche d’Informatique de Healtcare ou dans la Technologie d’Information pliée. Parce qu’il n’y a pas d’encouragements économiques pour faire le genre de recherche fondamentale nécessaire pour développer telle une idée, entreprise privé ne peut pas persue ceci. Nous croyons que cette situation devrait être corrigée.

Références

[1] Anderson JG. Security of the distributed electronic patient record: a case-based approach to identifying policy issues, International Journal of Medical Informatics, 2002, pages 111–118

[2]  Safran, C., Goldberg, H., Electronic patient records and the impact of the Internet, International Journal of Medical Informatics, 2000, pages 77–83

[3]  Sujansky, W., Heterogeneous Database Integration in Biomedicine, Journal of Biomedical Informatics, 2001, pages 285–298

[4]  Watkins, M.D., Bazerman, M.H., Predictable Surprises: The Disasters You Should Have Seen Coming, Harvard Business review Online, 2003

[5]  Stoneburner, G., Goguen, A., Feringa, A., NIST Special Publication 800-30 Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology, July 2002

[6] Ministère de la Santé et de la Sécurité Sociale du Québec: www.msss.gouv.qc.ca

[7] Hancock, Bill, COMMON SENSE GUIDE FOR SENIOR MANAGERS, Top Ten Recommended Information Security Practices, 1st Edition, July 2002

[8] Léger, Marc-André, Méthodologie IVRI de gestion du risque en matière de sécurité de l’information, Éditions Fortier Communications, Montréal, Septembre 2003

[9] Schumacher, H. J., Ghosh, S., A fundamental framework for network security, Journal of Network and Computer Applications, 1997, pages 305–322

[10] Myerson, Judith, Risk Management, INTERNATIONAL JOURNAL OF NETWORK MANAGEMENT, 1999, pages 305-308

[11] Beucher, S., Reghezza, M., (2004) Les risques (CAPES Agrégation), Bréal

[12] Knight, Frank H. (1921) Risk, Uncertainty, and Profit, Boston, MA: Hart, Schaffner & Marx; Houghton Mifflin Company, 1921. [Online] available from http://www.econlib.org/library/Knight/knRUP1.html ; accessed 11 December 2005

[13] Beck, Ulrich (1986) Risk Society: Towards a New Modernity, Sage Publications

[14] US Army (1998) US Army tarining manual FM100-14

[15] Browning, T. R. (1999) Sources of Schedule Risk in Complex System Development, Lean Aerospace Initiative at Massachusetts Institute of Technology, John Wiley & Sons

[16] Last JM, (2001) A dictionary of epidemiology. 4th edition. New York: Oxford University Press

[17] Smith, E., Eloff, J.H.P. (1999) Security in health-care information systems—current trends, International Journal of Medical Informatics, vol. 54, pp.39–54

[18] Jøsang, A., Bradley_, D.,  Knapsko, S. J. (2004) Belief-Based Risk Analysis, Australasian Information Security Workshop 2004 (AISW 2004), Dunedin, New Zealand. Conferences in Research and Practice in Information Technology, Vol. 32

[19] Cusson, R. (2002), Étude comparative des méthodologies d’analyse de risque, Conseil du Trésor du Québec

[20] Savage, L. (1954). The Foundations of Statistics. Dover, New York.

[21] Keynes, J.M. (1937) The General Theory of Empoyment, QJE

[22] Lo, A. W. (1999) The Three P’s of Total Risk Management, Financial Analysts Journal, January/February 1999, pp.13-26

[23] Levi, M. and als. (1990), The Limits of Rationality, University of Chicago Press, Chicago, Illinois in Zey, M. (1998) Rational Choice Theory and Organizational Theory: A Critique, Sage Publishing, February 1998

[24] Léger, Marc-André, Un processus d’analyse des vulnérabilités technologiques comme mesure de protection contre les cyber-attaques, Rapport d’activité de synthèse, Maîtrise en Informatique de Gestion, UQAM, Juin 2003, 110 pages

[25] CIHR (Canadian Institutesof Health Research), Secondary use of personal information in health research: Case studies, Canadian Institute of Health Research, November 2002

[26] MSSS, Ministère de la Santé du Québec, Le réseau RTSS C’est, site internet du MSSS, http://www.msss.gouv.qc.ca/rtss/, 2003

[27] Whittemore, R., Validity in qualitative research, Qualitative Health Research, vol 11, no 4, july 2001, pages 522-537.

[28] Belmont Report, Ethical Principles and Guidelines for the Protection of Human Subjects of Research, The National Commission for the Protection of Human Subjects of Biomedical andBehavioral Research, April 18, 1979

[29] WORLD MEDICAL ASSOCIATION, DECLARATION OF HELSINKI, Ethical Principles for Medical Research Involving Human Subjects, Helsinki, Finland, June 1964

[30] Nuremberg code, Directives for Human Experimentation, 1947

[31] Harkness, J., Lederer, S.E., Wikler, D., Laying ethical foundations for clinical research, Bulletin of the World Health Organization, 2001

[32] CSA (Canadian Standards Association), Model Code for the Protection of Personal Information (Q830-96) , 2003, http://www.csa.ca/standards/privacy/code/Default.asp?language=english

[33] CIHR (Canadian  Institutes of Health Research), Guidelines for Protecting Privacy and Confidentiality in the Design, Conduct and Evaluation of Health Research: BEST PRACTICES, CONSULTATION DRAFT, April 2004

[34] Buckovich, Suzy A. et als, Driving Toward Guiding Principles: A Goal for Privacy, Confidentiality, and Security of Health Information, Journal of the American Medical Informatics Association Volume 6 Number 2 Mar / Apr 1999, Pages 122-133

[35] Boudreau, Christian et la CAI, Étude sur l’inforoute de la santé au Québec : Enjeux techniques, éthiques et légaux, document de réflexion, octobre 2001

[36] Edwards, K., Prospect Theory: A Literature Review, International Review of Financial Analysis, Vol. 5, No. 1, 1996, pages 19-38

[37] Laibson D., Zeckhauser, R. (1998) Amos Tversky and the Ascent of Behavioral Economics, Journal of Risk and Uncertainty, pp 7–47

[38] Myerson, Roger B. (1996) NASH EQUILIBRIUM AND THE HISTORY OF ECONOMIC THEORY, Journal of Economic Literature 36:1067-1082 (1999), revised, March 1999, accessed online on March 8th, 2006, http://home.uchicago.edu/~rmyerson/

 

L’auteur souhaite remercier les Professeurs Johanne Pateneaude et Andrew Grant de la Faculté de médecine de l’Université de Sherbrooke et, le Phd/Postdoc d’Informatique de Santé de CIHR le Programme d’Entraînement Stratégique (les Instituts canadiens de Recherche de Santé et l’AV. J-C Fondation de Smith de Michael pour la Recherche de Santé) pour subventionner et le soutien faisant cet article possible.

Modèle de politique de sécurité des actifs informationnels

Politique de sécurité 

des actifs informationnels

Adoptée le ______________________

Par ______________________

Modifiée le ______________________

Entrée en vigueur le ______________________

Table des matières


Contexte…………………………………………………………………….. 2

Objectifs de la politique……………………………………………… 3

Respect de la politique………………………………………………… 4

Portée…………………………………………………………………………. 5

Principes directeurs……………………………………………………. 6

Rôles et responsabilités………………………………………………. 9

Le conseil d’administration de ____________________…………………………………………… 9

Le président………………………………………………………………………………………………………… 9

Le Chef de la sécurité de l’information  (CSI)……………………………………………………….. 10

Les détenteurs d’actifs informationnels…………………………………………………………………. 11

Utilisateur………………………………………………………………………………………………………….. 12

Le gestionnaire…………………………………………………………………………………………………… 12

Vice-présidence des Ressources humaines…………………………………………………………….. 13

Comité de sécurité de l’information………………………………………………………………………. 13

Sanctions…………………………………………………………………. 14

Modification…………………………………………………………….. 15


Contexte

____________________ reconnaît que l’information est essentielle à ses opérations courantes et, de ce fait, qu’elle doit faire l’objet d’une évaluation, d’une utilisation appropriée et d’une protection adéquate. ____________________ reconnaît détenir, en outre, des renseignements personnels ainsi que des informations qui ont une valeur légale, administrative ou commerciale.

De plus, plusieurs lois et directives encadrent et régissent l’utilisation de l’information. ____________________ est assujetti à ces lois et doit s’assurer du respect de celles-ci.

En conséquence, ____________________ met en place la présente politique de sécurité de l’information qui oriente et détermine l’utilisation appropriée et sécuritaire de l’information et des technologies de l’information.

Objectifs de la politique

La politique vise à assurer le respect de toute législation à l’égard de l’usage et du traitement de l’information et de l’utilisation des technologies de l’information et des télécommunications. Plus spécifiquement, les objectifs de ____________________ en matière de sécurité de l’information sont :

  • d’assurer la disponibilité, l’intégrité et la confidentialité des actifs informationnels;
  • d’assurer le respect de la vie privée des individus, notamment, la confidentialité des renseignements à caractère nominatif, commercial ou délicat relatifs aux clients, utilisateurs et au personnel;
  • d’assurer la conformité aux lois et règlements applicables ainsi que les directives, normes et orientations de l’organisation.

Cette politique est accompagnée de normes et de procédures afin de préciser les obligations qui en découlent.

Respect de la politique

____________________, président de ____________________ a désigné l’officier de la sécurité informatique, ____________________, comme responsable de l’application de la présente politique.

____________________ exige de tout employé, qui utilise les actifs informationnels de ____________________ ou qui a/aura accès à de l’information, de se conformer aux dispositions de la présente politique ainsi qu’aux normes, directives et procédures qui s’y rattachent.

Le non-respect de cette obligation peut entraîner des mesures disciplinaires pouvant aller jusqu’au congédiement.

Portée

La présente politique s’applique :

  • à l’ensemble du personnel de ____________________. De plus, elle s’étend à toute personne physique ou morale qui utilise ou qui accède pour le compte de ____________________, à des informations confidentielles, ou non, quel que soit le support sur lequel elles sont conservées et quel que soit le lieu;
  • à l’ensemble des actifs informationnels ainsi qu’à leur utilisation au sein de ____________________, tels que les banques d’information, les informations et les données sans égard aux médiums de support, les réseaux, les systèmes d’information, les logiciels, les équipements informatiques ou centres de traitement utilisés par ____________________;
  • à l’ensemble des activités de collecte, d’enregistrement, de traitement, de garde et de diffusion des actifs informationnels de ____________________.

Principes directeurs

Toute personne au sein de ____________________ ayant accès aux actifs informationnels assume des responsabilités spécifiques en matière de sécurité et est redevable de ses actions auprès du dirigeant de ____________________ et de son mandataire, le Chef de la sécurité de l’information.

La mise en oeuvre et la gestion de la sécurité reposent sur une approche globale et intégrée de la gestion du risque. Cette approche tient compte des aspects humains, organisationnels, financiers, juridiques et techniques, et demande, à cet égard, la mise en place d’un ensemble de mesures coordonnées.

Les mesures de protection, de prévention, de détection, d’assurance et de correction doivent permettre d’assurer la confidentialité, l’intégrité, la disponibilité des actifs informationnels de même que la continuité des activités. Elles doivent notamment empêcher les accidents, l’erreur, la malveillance ou la destruction d’information sans autorisation.

Lorsque nécessaire des mesures pour assurer la non répudiation des transactions doivent être mise en place.

Les mesures de protection des actifs informationnels doivent permettre de respecter lois du Canada et du Québec applicables, de même que les lois existantes en matière d’accès, de diffusion et de transmission d’information, les obligations contractuelles de ____________________ de même que l’application des règles de gestion interne.

Les actifs informationnels doivent faire l’objet d’une identification et d’une classification.

Une évaluation périodique des risques et des mesures de protection des actifs informationnels doit être effectuée afin d’obtenir l’assurance qu’il y a adéquation entre les risques, les menaces et les mesures de protections déployées. Cette évaluation pourra se faire dans le cadre d’un audit qui devra avoir lieu au minimum une fois par année financière.

La gestion de la sécurité de l’information doit être incluse et appliquée tout au long du processus menant à l’acquisition, au développement, à l’utilisation, au remplacement ou la destruction d’un actif informationnel par ou pour ____________________.

Un programme continu de sensibilisation et de formation à la sécurité informatique doit être mis en place à l’intention du personnel de ____________________.

L’accès aux renseignements personnels des utilisateurs par le personnel de ____________________ doit être autorisé et contrôlé. Chaque système doit prévoir des droits d’accès différents selon les catégories de personnel.

Les renseignements personnels ne doivent être utilisés et ne servir qu’aux fins pour lesquels ils ont été recueillis ou obtenus.

Le principe du « droit d’accès minimal » est appliqué en tout temps lors de l’attribution d’accès aux informations. Les accès aux actifs informationnels sont attribués à l’utilisateur autorisé en fonction de ce qui lui est strictement nécessaire pour l’exécution de ses tâches.

Les ententes et contrats dont ____________________ fait partie doivent contenir des dispositions garantissant le respect des exigences en matière de sécurité et de protection de l’information.

Cette politique est modelé sur la norme ISO 17799 et se veux conforme à celle-ci.

Rôles et responsabilités

Le conseil d’administration de ____________________

Le conseil d’administration de ____________________ doit approuver la présente politique, s’assurer de sa mise en œuvre et faire le suivi de son application. À cet égard, il autorise et approuve la politique de sécurité de l’information.

Le président

Le président est le premier responsable de la sécurité de l’information  au sein de ____________________. Il s’assure que les valeurs et les orientations en matière de sécurité soient partagées par l’ensemble des gestionnaires et du personnel de ____________________. À cette fin, il s’assure de l’application de la politique dans l’organisation, apporte les appuis financiers et logistiques nécessaires pour la mise en œuvre et l’application de la présente politique; soumet le bilan annuel concernant l’application de la politique au conseil d’administration; exerce son pouvoir d’enquête et applique les sanctions prévues à la présente politique, lorsque nécessaire.

Pour le représenter en cette matière dans l’organisation et pour la réalisation de l’ensemble des mesures précitées, il nomme un responsable de la sécurité de l’information.

Le Chef de la sécurité de l’information  (CSI)

À titre de représentant délégué du président en matière de sécurité des actifs informationnels, le CSI est une ressource de niveau cadre qui gère et coordonne la sécurité au sein de ____________________. Il doit donc harmoniser l’action des divers acteurs dans l’élaboration, la mise en place, le suivi et l’évaluation de la sécurité de l’information. Cette responsabilité exige une vision globale de la sécurité au sein de ____________________.

Le Chef, sécurité de l’information  veille à l’élaboration et à l’application de la politique sur la sécurité adoptée par l’organisme. Dans cette perspective, il collabore avec tous les gestionnaires et, en particulier, avec le gestionnaire qui est en charge des technologies de l’information, ____________________. Plus précisément, le responsable de la sécurité de l’organisme :

  • élabore et maintient à jour la politique sur la sécurité des actifs informationnels qui sera adoptée par l’organisme et soumet cette politique au président et au conseil d’administration de l’organisme pour approbation;
  • met en place et préside le comité de protection des renseignements personnels et de sécurité de l’organisme, qui pourrait être formé du responsable de la sécurité, de gestionnaires, d’un vérificateur interne, de détenteurs, de représentants des ressources humaines, financières et matérielles ainsi que d’un juriste;
  • coordonne, avec les secteurs visés et en concordance avec les orientations régionales, la mise en oeuvre de la politique sur la sécurité adoptée par l’organisme et en suit l’évolution;
  • identifie, en collaboration avec les gestionnaires, les détenteurs d’actifs informationnels dans leur secteur respectif;
  • s’informe des besoins en matière de sécurité auprès des détenteurs et des gestionnaires, leur propose des solutions et coordonne la mise en place de ces solutions;
  • gère les aspects relatifs à l’escalade des incidents de sécurité et procède à des évaluations de la situation en matière de sécurité;
  • suit la mise en oeuvre de toute recommandation découlant d’une vérification ou d’un audit;
  • produit annuellement, et au besoin, les bilans et les rapports relatifs à la sécurité des actifs informationnels appartenant à ____________________ en s’assurant que l’information sensible à diffusion restreinte est traitée de manière appropriée.

Les détenteurs d’actifs informationnels

Les détenteurs :

  • assurent la sécurité d’un ou de plusieurs actifs informationnels, qu’ils leur soient confiés par le dirigeant de l’organisme ou un tiers mandaté;
  • s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment l’évaluation des risques, la détermination du niveau de protection visé, l’élaboration des contrôles non informatique et, finalement, la prise en charge des risques résiduels;
  • s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en place et appliquées systématiquement en plus de s’assurer que leur nom et les actifs dont ils assument la responsabilité sont consignés dans le registre des autorités;
  • déterminent les règles d’accès aux actifs dont ils assument la responsabilité avec l’appui du Chef de la sécurité de l’information de l’organisme.

Utilisateur

Chaque membre du personnel et utilisateur d’actifs informationnels est responsable de respecter la présente politique, normes, directives et procédures en vigueur en matière de sécurité de l’information. Il a l’obligation d’informer son responsable ou le Chef de la sécurité de l’information de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs informationnels ou contrevenir à la lettre ou à l’esprit de cette politique et des normes qui en découlent. Tout manquement à cette obligation sera considéré comme une faute grave, sujet aux sanctions prévues dans cette politique.

Le gestionnaire

Le gestionnaire s’assure que tous ses employés sont au fait de leurs obligations découlant de la présente politique. Il les informe précisément des normes, directives et procédures de sécurité en vigueur.

Il informe et sensibilise son personnel à l’importance des enjeux de sécurité. Il doit s’assurer que les moyens de sécurité sont utilisés de façon à protéger effectivement l’information utilisée par son personnel.

Il communique au CSI tout problème d’importance en matière de sécurité de l’information. Il a l’obligation d’informer le Chef de la sécurité de l’information de toute violation des mesures de sécurité dont il pourrait être témoin ou de toutes anomalies décelées pouvant nuire à la protection des actifs informationnels ou contrevenir à la lettre ou à l’esprit de cette politique et des normes qui en découlent. Tout manquement à cette obligation sera considéré comme une faute grave, sujet aux sanctions prévues dans cette politique.

Vice-présidence des Ressources humaines

La Vice-présidence des Ressources humaines est responsable d’informer tout nouvel employé de ses obligations découlant de la présente politique ainsi que des normes, directives et procédures en vigueur en matière de sécurité de l’information.

Comité de sécurité de l’information

Le Comité joue avant tout un rôle conseil auprès du CSI, du Président et du conseil d’administration de ____________________. Il constitue un mécanisme de coordination et de concertation qui, par sa vision globale, est en mesure de proposer des orientations et de faire des recommandations au regard de l’élaboration, la mise en œuvre et la mise à jour des mesures prévues. Il est aussi en mesure d’évaluer les incidences sur la sécurité de l’organisation que les nouveaux projets pourraient avoir.

Sanctions

Tout contrevenant au code de conduite, à la présente politique, et à la réglementation qui en découle est passible des sanctions suivantes:

  • annulation des droits d’accès aux équipements et services visés par la présente politique;
  • reprises des équipements et actifs informationnels en sa possession;
  • remboursement à ____________________ de toute somme que cette dernière serait dans l’obligation de défrayer suite à une utilisation non autorisée, frauduleuse ou illicite de ses services ou actifs informatiques et de télécommunication;
  • réprimande verbale;
  • réprimande écrite; et
  • mise à pied.

De plus, si la situation le justifie, une plainte criminelle pourra être déposée auprès des autorités policières compétentes.

Les mesures disciplinaires ou autres sanctions prévues dans le règlement disciplinaire à l’intention des étudiantes et des étudiants, ou imposées conformément aux contrats de travail, aux lois applicables et aux protocoles en vigueur.

Modification

La présente politique doit être périodiquement évaluée afin de s’ajuster aux nouvelles pratiques et technologies utilisées à ____________________.

Toute modification à la présente politique doit être sanctionnée par le Conseil d’administration de ____________________ sur recommandation du Président.