1 Resposanble de la sécurité du système d'information (RSSI) et délégué à la protection des données (DPO)

1 Resposanble de la sécurité du système d'information (RSSI) et délégué à la protection des données (DPO)

CDD; CDI; Détachement; Mutation

Le Centre hospitalier Jeanne de Navarre de CHÂTEAU-THIERRY, situé à 1 heure de PARIS (A4) et 45 minutes de REIMS (A4), est desservi par le Transilien SNCF (50 minutes de PARIS EST) ainsi que par une navette de bus (FABLIO).

Cet Etablissement Public de Santé appartient à la Région Hauts de France et fait partie du Groupement Hospitalier de Territoire (GHT) SAPHIR dont l'établissement support est le Centre hospitalier de SOISSONS.

Ses activités sont diversifiées : médecine, chirurgie, obstétrique, imagerie, biologie, EHPAD notamment.

Le service informatique est composé de 2 secteurs ; le secteur « Applicatif » et le secteur « Technique ».

Les principales missions assurées par le service informatique sont les suivantes :
- Le pilotage des SI (systèmes d'information) utilisés par l'ensemble des professionnels de l'établissement
- La participation à la rédaction et à la mise en uvre du SDSI (schéma directeur du système d'information) découlant du projet d'établissement, du projet médical et du projet de soins
- Le développement des SI à un niveau technologique et fonctionnel élevé
- Le maintien en condition opérationnelle des SI à la fois matériels et logiciels dans le respect de la réglementation et de la sécurité
- L'accompagnement des changements liés aux évolutions des SI
- La garantie du niveau de services aux utilisateurs dans une logique de prestataires
- Le pilotage et la mise en uvre de l'ensemble des moyens afin de garantir la sécurité des systèmes d'information hospitaliers
- Le pilotage et la mise en conformité des SI selon les exigences des certifications HAS, certification des comptes, les programmes nationaux (HOP'EN, SEGUR SUN-ES, MaturiN-H)

Pour ces missions, l'équipe est composée :
- D'un Responsable des systèmes d'information (RSI), adjoint du DSI de territoire sur le site de Château-Thierry
- D'un(e) Responsable de la Sécurité du Système d'Information et Délégué(é) à la Protection des Données (nouveau poste)
- Secteur applicatif
o D'un Chef de projet
o D'un Chargé des applications informatique
o D'un Chargé des applications informatique et Administrateur systèmes (0,5)
- Secteur technique
o D'un Administrateur systèmes, réseaux et sécurité
o D'un Chargé des applications informatique et Administrateur systèmes (0,5)
o D'un Technicien systèmes, réseaux et poste de travail
o D'un Technicien poste de travail


B- Conditions d'accès
- Formation de niveau licence (ou master 2) avec une spécialisation complémentaire en sécurité des systèmes d'information
- Une expérience en tant que Correspondant Informatique et Libertés (CIL) ou DPD serait appréciée


C- Relations hiérarchiques et fonctionnelles
1. Relations hiérarchiques
- N+1 : Responsable des systèmes d'information
- N+2 : Directeur des systèmes d'information (DSI) du GHT


2. Relations fonctionnelles
- Equipe informatique des établissements du GHT
- Délégué à la protection des données (DPO) du GHT
- Responsable Sécurité du Système d'Information (RSSI) du GHT
- EHPAD rattachées
- Différentes directions fonctionnelles de l'établissement
- Utilisateurs des systèmes d'information de l'établissement
- Editeurs et prestataires informatiques


D- Activités
Missions du Responsable de la Sécurité du Système d'Information (RSSI) au sein de l'établissement et des EPHAD rattachés
- Participe à la définition, à la mise en uvre de la politique de sécurité des systèmes d'information et contrôle son application,
- Réalise le diagnostic des risques de la sécurité des systèmes d'information et assure leur analyse,
- Est garant des choix des mesures de sécurité et plan de mise en uvre,
- Sensibilise, forme et conseille sur les enjeux de la sécurité des systèmes d'information,
- Participe à la veille technologique.

Définition et mise en uvre de la Politique de sécurité des systèmes d'information
- Est animateur aux instances SI de l'établissement et participe à la réalisation de la charte de sécurité des systèmes d'information de l'établissement
- Met en uvre la Politique de sécurité des systèmes d'information au sein de l'établissement de santé, en assure les évolutions et les mises à jour
Diagnostic et analyse des risques de la sécurité des systèmes d'information
- Choisit une méthode d'analyse de risques adaptée à la taille et à l'activité de l'établissement
- Evalue les risques sur la sécurité des systèmes d'information
- Réalise une analyse des risques SI pour tout nouveau projet SI
Choix des mesures de sécurité et plan de mise en uvre
- Etudie les moyens permettant d'assurer la sécurité des systèmes d'information et leur bonne utilisation par les acteurs de l'établissement
- Propose à la direction pour arbitrage une liste de mesures de sécurité à mettre en uvre, assure dans la durée, le suivi et l'évolution de ce plan d'actions
- Assure la maîtrise d'ouvrage de la mise en uvre des mesures de sécurité
Sensibilisation, formation et conseil sur les enjeux de la sécurité des systèmes d'information
- Informe régulièrement et sensibilise la Direction générale de l'établissement sur les enjeux et les risques de la sécurité des systèmes d'information
- Organise des actions de sensibilisation et de formation auprès des utilisateurs sur les enjeux de la sécurité des systèmes d'information
Audit et contrôle de l'application des règles de la Politique de sécurité des systèmes d'information
- Conduit régulièrement des audits de sécurité des systèmes d'information afin de vérifier la bonne application de la Politique de sécurité par les acteurs de l'établissement
- Surveille et gère les incidents de sécurité survenus au sein de l'établissement
- Vérifie l'intégration de la sécurité des systèmes d'information dans l'ensemble des projets de l'établissement de santé
Veille technologique et prospective
- Suivi des évolutions réglementaires et techniques afin de garantir l'adéquation de la Politique de sécurité des systèmes d'information avec ces évolutions
- S'assure d'avoir un suivi sur les vulnérabilités connues de son SI (directement ou par l'intermédiaire d'un prestataire)
- Participe à des évènements ou est membre d'organisations extérieures relatives à la Sécurité des Systèmes d'Information
Contribue à la mise en uvre de certaines solutions techniques (Pare-feu / Anti-spam / EDR / Scanner de vulnérabilités / Mises à jours techniques)
Assure la remontée d'information
- Production et mise à jour des livrables : Charte de sécurité informatique, résultats des audits de sécurité internes et des audits imposés par la législation
- Alimente le tableau de bord de la sécurité SI

Missions du Délégué(e) à la Protection des données (DPO) au sein de l'établissement et des EPHAD rattachés
- Contrôle le respect du RGPD (Règlement Général sur la Protection des Données) et de la loi Informatique et Liberté,
- Réalise le recueil des informations permettant de recenser les traitements,
- Analyse et vérifie la conformité des traitements,
- Contribue à l'inventaire des traitements de données personnelles et à la tenue du Registre des traitements,
- Contribue à maintenir à jour et disponible la documentation nécessaire à la preuve de la conformité au RGPD,
- Informe et conseille le RT (Responsable de traitements) et les employés sur leurs obligations,
- Conseille le RT à toutes les étapes, selon le principe de protection des données dès la conception,
- Formule des recommandations à l'intention du RT,
- Adopte une approche fondée sur les risques (selon la nature, la portée, le contexte et les finalités des traitements) en établissant les priorités,
- Contribue activement au pilotage de la conformité, reporte auprès des instances internes de gouvernance (alertes, reporting régulier, bilans),
- Assiste le RT pour la réalisation des analyses d'impact relatives à la protection des données, il conseille :
o S'il convient ou non de procéder à un PIA et sur la méthodologie à suivre
o Sur la sous-traitance ou la réalisation en interne d'un PIA
o Sur les mesures techniques ou organisationnelles à appliquer pour atténuer les risques
o sur la question de savoir s le PIA a été correctement réalisé et si ses conclusions sont conformes au RGPD
- Veille au respect et au bon exercice des droits des personnes, contribuer notamment au traitement des réclamations et aux médiations
- Coopère avec l'autorité de contrôle (CNIL) et faire office de point de contact

Le DPO exerce ces missions en complément de celles qu'il a à réaliser au titre de ses autres fonctions, toujours en toute indépendance, en disposant des moyens nécessaires et en l'absence de tout conflit d'intérêt. Il est soumis au secret professionnel au titre de ses missions. Il ne reçoit aucune instruction au titre de ses missions.
Les coordonnées du DPO sont rendues publiques. Il revient au DPO de décider de la publicité de son identité.

En fin de mission, le DPO s'engage à remettre à la Direction de l'établissement tous les éléments relatifs à sa mission et, dans la mesure du temps dont il disposera à cet effet, à informer son éventuel successeur sur les travaux en cours.


E- Compétences et qualités requises

1. Connaissances
- Normes ISO 2700X
- Méthodes de sécurité EBIOS RM (Risk Manager)
- Sécurité des systèmes d'information
- Solutions techniques liées à la sécurité d'un SI
- Loi Informatique et Libertés
- RGPD

2. Connaissances
- Conduite d'analyse des risques
- Veille informationnelle / Capacité à rechercher une information

3. Qualités et capacités
- Qualités relationnelles et aptitude à communiquer, à l'écrit comme à l'oral, qualités d'écoute
- Capacités pédagogiques et aptitude à adapter son discours à son interlocuteur et au contexte
- Capacité à gérer des situations de crise
- Aptitude à gérer les priorités et l'urgence, réactivité, résistance au stress, disponibilité et flexibilité
- Capacité à anticiper, créativité et force de proposition, ouverture d'esprit et curiosité intellectuelle
- Esprit d'analyse, logique et rigueur, capacités de synthèse
- Sens de la discrétion et de la confidentialité
- Autonomie et sens des responsabilités


F- Exigences spécifiques du poste
- Travail en repos fixe
- Forfait cadre
- RTT : 19 jours
- Contraintes particulières :
o Travail sur écran
o Déplacements dans les EHPAD rattachés
o Visioconférences avec l'établissement support du GHT

G- Evolution du poste

Centre hospitalier Jeanne de Navarre
Route de Verdilly 02400 CHÂTEAU-THIERRY Route de Verdilly B.P. 10179
02405 CHÂTEAU-THIERRY

Voir la fiche de l’établissement