Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Normen for IKT-ansvarlege.

PublisertJøran Petersen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Normen for IKT-ansvarlege."— Utskrift av presentasjonen:

1 Normen for IKT-ansvarlege

2 Agenda Hva er gjort i SiO fram til nå?
Asle Brustad orienterer om de to andre opplæringene som har blitt gjennomført Grunnleggende om Normen, hva den er, hva den bygger på og hvem står bak Forankring og rolleavklaring Så en gjennomgang av hvilke dokument som finnes og som vi bør forholde oss til

3 Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren er en samling krav og retningslinjer som skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet og i sektoren generelt samt å bidra til å etablere mekanismer hvor virksomhetene kan ha gjensidig tillit til at øvrige virksomheters behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. Normen er utviklet med basis i personopplysningslovens regler om bransjevise adferdsnormer (jf. personopplysingsloven § 42 tredje ledd nr. 6). Disse reglene bygger i sin tur på Eu-direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Direktivet er implementert i norsk lovgivning med grunnlag i Norges forpliktelser etter EØS-avtalen. Det skulle vært slik at alle som skal bruke NHN først må tilfredsstille krav i Normen, og så kan de koble seg opp. Slik kunne man vært sikker på at mottaker har ting på stell. Slik det er nå så ha de fleste kommuner og andre helseforetak koblet seg opp og så begynt å sett på Normen.

4 Hva bygger den på? Arkivloven (lov 4. desember 1992 nr. 126)
Forskrift om internkontroll i sosial- og helsetjenesten (forskrift 20. desember 2002 nr. 1731) Forskrift om kontrollkommisjonens virksomhet (forskrift 21. desember 2000 nr. 1408) Forskrift om pasientjournal (forskrift 21. desember 2000 nr. 1385) Forvaltningsloven (lov 10. februar 1967 nr. 00) Helseforskningsloven (lov 20. juni 2008 nr. 44) Helsepersonelloven (lov 2. juli 1999 nr. 64) Helseregisterloven (lov 18. mai 2001 nr. 24) Kommunehelsetjenesteloven (lov 19. november 1982 nr. 66) Offentleglova (lov 19. mai 2006 nr.16) Pasientrettighetsloven (lov 2. juli 1999 nr. 63) Personopplysningsforskriften (forskrift 15. desember 2000 nr. 1256) Personopplysningsloven (lov 14. april 2000 nr. 31) Psykisk helsevernloven (lov 2. juli 1999 nr. 62) Smittevernloven (lov 5. august 1994 nr. 55) Sosialtjenesteloven (lov 13. desember 1991 nr. 81) Spesialisthelsetjenesteloven (lov 2. juli 1999 nr. 61) Statlig tilsyn med helsetjenesten (lov 30. mars 1984 nr. 15) Tannhelsetjenesteloven (lov 3. juni 1983 nr. 54)

5 Hvem står bak Normen? Normen er utarbeidet av representanter for helse-, omsorgs- og sosialsektoren. Den forvaltes av en styringsgruppe med representanter fra: Legeforeningen De regionale helseforetak Sykepleierforbundet Tannlegeforeningen Norges apotekforening KS DOT (Den Offentlige Tannhelsetjenesten) NAV Norsk Helsenett Private laboratorier Farmasøytene Norsk psykologforening Norsk Fysioterapeutforbund DIFI (observatør) Datatilsynet (observatør) Helse- og omsorgsdepartementet (observatør) Helsedirektoratet leder styringsgruppen og er sekretariat.

6 Normen Med andre ord: Normen er ikke ”noe nytt”
Normen bygger på lover og regler som vi har forholdt oss til i lang tid allerede Normen stiller krav som detaljerer og supplerer gjeldende regelverk Oppfyller vi disse så tilfredsstiller vi ”sektorens” oppfatning av dagens regelverk Personvern- og helselovgivningen stiller krav til informasjonssikkerhet. Disse kravene gjelder uavhengig av Normen Aktuelle tilsynsmyndigheter (særlig Datatilsynet og Helsetilsynet) kan kontrollere den enkelte virksomhets etterlevelse av det til enhver tid gjeldende regelverk Regelverket stiller også en rekke andre krav til behandling av helse- og personopplysninger enn det som er tema for Normen

7 Forankring Forankring er utrolig viktig med tanke på videre framdrift
At ledelsen er klar over viktigheten At ledelsen prioriterer dette arbeidet At ledelsen skaffer nok ressurser til å arbeide med dette Hvem gjør hva, og hvem har ansvar for hva? Det er et krav om at ansvar og organisering er på plass før man starter med meldingsutveksling Kommuner løser dette på forskjellig måte

8 Rolleavklaring Databehandlingsansvarlig/Virksomhetsleder/adm.dir/rådmann Definere mål og strategi for informasjonssikkerhet Beskrive ansvar og myndighetsforhold (se vedlagt eksempel med hvilke sikkerhetsfunksjoner/-roller som skal finnes i organisasjonen) Spesifisere hvilke behandlinger helse- og personopplysninger skal ha Melde og evt søke konsesjon for behandlinger til Datatilsynet Følge opp og kontrollere informasjonssikkerheten Den som er ansvarlig til slutt er rådmannen, uansett om han fordeler oppgaver

9 Rolleavklaring Linjeleder/avdelingssjef
Videreføre virksomhetsleders ansvar i egen avdeling Følge opp og kontrollere informasjonssikkerheten Prioritere tiltak Følge opp avtaler om tilgang på tvers av virksomhetsgrenser Kontroll av tilgang på tvers

10 Rolleavklaring Sikkerhetsansvarlig
sikkerhetsansvarlig har delegert ansvar for å koordinere arbeidet med informasjonssikkerheten i virksomheten oppgaver Utforming av styrende, utførende og kontrollerende dokumenter i foretakets styringssystem for informasjonssikkerhet Forberede ledergruppens årlige gjennomgang Følge opp/iverksette tiltak som er besluttet etter gjennomganger Samordne og gjennomføre sikkerhetsrevisjoner Vurdere rapporterte avvik Forestå risikovurderinger Erverve og vedlikeholde kunnskap om trusler, sårbarhet, sikkerhetstiltak, sikkerhetsteknikker og sikkerhetskrav Opplæring Rollen sikkerhetsansvarlig er litt mer diffus med tanke på hvem det bør være Meldal har fått en slik rolle no, og kan kanskje fortelle litt om dette? Hvem det er og hvorfor? Kunne det vært andre? Hvilke oppgaver har vedkommende? Kan rollen kombineres med andre roller som f.eks it-ansvarlig?

11 Rolleavklaring IKT-ansvarlig
Ansvarlig for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten Sørge for at informasjonssystemet driftes og sikres iht fastsatte krav Etablere beredskapsløsning Vurdere eventuell løsning for fjernaksess opp mot veileder for fjernaksess Følge opp leverandører og databehandler

12 Dokumentasjon

13 Dokumentasjon

14 Normen.no Informasjon om selve Normen
Veiledere, prosessdokument og faktaark Totalt 52 faktaark Viser hvilke som angår kommunen og hvilke som angår de ulike rollene Nesten alle angår it-ansvarlig på en eller annen måte, men de fleste faktaark angår flere roller og må gjennomgås sammen med de andre

15 Så hva gjør vi? Hvor starter vi? Hvilket dokument blir utgangspunktet for arbeid med Normen? Faktaark 6 og 6b – Sikkerhetsrevisjon er et utgangspunkt Like greit å starte med det en blir revidert på? I alle fall kjekt for å få en viss oversikt over hva som må gjøres på et overordnet nivå Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Gir god oversikt over hva normen er og hva som skal gjøres Før tilknytning til NHN Etter tilknytning (drift) Avslutning av tilknytning Peker på faktaark som er relevant Har sjekklister som er fine

16 Normen.no Som dere husker: MEN Normen er 20 % it og 80 % organisasjon
It-ansvarlig har ansvar for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten MEN Normen er 20 % it og 80 % organisasjon Hjelper fint lite å ha gode systemer dersom holdningene ikke er der og opplæring ikke er gjennomført Det er de som behandler person- og pasientopplysinger, samt pasientene selv dette gjelder Når det er sagt, så er det it sin oppgave å tilfredsstille de tekniske krav som Normen har satt opp når det gjelder tilknytning til helsenett og meldingsutveksling

17 Veileder Denne veilederen behandler teknologiske og administrative forhold. Bortsett fra Norsk Helsenett er den ikke knyttet opp mot spesifikke leverandører, tekniske løsninger eller produkter. Les veilederen nøye Gå gjennom de faktaark som det er henvist til Se på alle aktuelle faktaark som angår it-ansvarlig Dann deg et bilde av hvilke oppgaver som er aktuelle og omfanget av disse Start med det grunnleggende og ta de rent tekniske oppgavene

18 Faktaark 4 ​Kartlegging og klassifisering av systemer i henhold til kritikalitet i forhold til behov for tilgjengelighet 5 ​Fastsette akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet 7 Risikovurdering 8 Avviksbehandling 9 Opplæring av ledere og medarbeidere 10 Bruk av databehandler (ekstern driftsenhet) 11 Nødprosedyrer 12 ​Tilbakerapportering av resultater fra IT-driften ​13 Oversikt over behandlinger av helse- og personopplysninger i virksomheten 14 Tilgangsstyring ​15 Hendelsesregistrering og oppfølging ​16 Etablering av løsning for meldingskommunikasjon ​17 ​Fysisk sikring av områder og utstyr ​18 ​Sikring av bærbart utstyr ​19 ​Tiltak for å hindre ondsinnet programvare ​20 ​Sikkerhets- og samhandlingsarkitektur Som sagt er det mange faktaark som ikke kan sees på av it alene. Ta faktaark 4 for eksempel. Det er jo helsepersonell og de oppgaver som utføres her som må kritikaliseres og prioriteres. MEN it må vite om prioriteringene for å kunne prioritere sine oppgaver og kartlegge de system som er viktigst i driftssammenheng.

19 Faktaark ​21 Sikkerhetskopi (backup)​
​22 Kontroll og sikring av ekstern tilgang ​24 Kommunikasjon over åpne nett ​25 Lagringstid og sletting av helse- og personopplysninger​ ​26 Sikring av trådløs teknologi​ ​28 Alternative tekniske løsninger for primærhelsetjenesten​ ​29 Hjemmekontor ​30 Sikring av mobilt utstyr utenfor virksomheten ​31 Passord og passordhåndtering ​32 Elektronisk pasient- og brukerkommunikasjon​ ​33 ​Bruk av e-post ifm helseopplysninger ​34 Håndtering av lagringsmedia ​36 Fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet ​37 Sikkerhetskrav og sikkerhetsdokumentasjon i IKT-prosjekter

20 Faktaark ​38 Sikkerhetskrav for systemer ​
39 Elektronisk utlevering til kontrollkommisjon ​41 Skadereparasjon når data har blitt utilsiktet utlevert ​42 ​Bruk av SMS i pasientkontakt 43 ​Bruk av testdata i systemer som inneholder helse- og personopplysninger 46 ​Databehandlingsansvar og avtaler i forbindelse med tjenesteutsetting ​47 Autorisasjonsregister ​48 ​Informasjonssikkerhet ved utførelse av testing ​49 ​Krav ved bruk av PKI ved ekstern kommunikasjon ​50 ​Innsyn i hendelsesregistre 51​ ​Innsyn i den ansattes e-postkasse mv ​52 ​Krav til teknisk løsning ved bruk av betalingsterminal    

21 Oppgaver fra faktaark Kartlegg system (kritikaliser og prioriter)
Risikovurdering og sette opp akseptkriterier Avviksbehandling – hva er et avvik? Bli enig meg helsepersonell om hva som er avvik PLO nede er det et avvik? Opplæring Bli med å utarbeid materiale som skal brukes mot ansatte for å bevisstgjøre dem om betydningen av informasjonssikkerhet Lag plakater som illustrerer ulike tema (passord, utskrift) Bruk av databehandler Ekstern driftsenhet (person eller virksomhet utenfor din egen virksomhet) Kommunesamarbeid, leverandører Veileder for fjernaksess

22 Oppgaver fra faktaark Nødprosedyrer
Krisesituasjoner Reetablering av teknisk løsning Fjernlagring av sikkerhetskopi (hvem henter, hvor er den, ”nøkler” Nøddrift og gjenoppretting av ordinær drift Tilbakerapportering av resultater fra ikt-driften Driftsstatus på kristiske system (EPJ) Oppetid Planlagte avbrudd Feilsituasjoner som ikke er avvik Mislykkede pålogginger Oppfølging av avviksrapportering Meldingskommunikasjon Systemleverandør (EPJ) Databehandler Nettleverandør (NHN)

23 Oppgaver fra faktaark Tilgangsstyring Hendelsesregistrering
At brukere autenitiseres på en betryggende måte At tilganger tildeles, administreres, kontrolleres og fjernes Pålogging internt – krav til passord (7 tegn, tall stor bokstav) Hjemmekontor – sikkerhetsnivå 4 Hendelsesregistrering Sette bedriften i stand til å avdekke uautorisert bruk Logger Fysisk sikring av områder og utstyr Åpen sone: arealer hvor publikum har fri adgang, korridorer, venterom, fellesarealer, områder med alminnelig ferdsel Indre sone: åpne arbeidsplasser (områder med begrenset ferdsel), arealer beregnet kun for medarbeidere i virksomheten, evt. publikum i følge med medarbeidere - resepsjonsarbeidsplassen, kontorer, vaktrom, behandlingsrom Sikker sone: areal hvor kun spesielt godkjente medarbeidere har adgang, og hvor publikum ikke skal ha adgang (områder med sterk adgangsbegrensning), datarom, rom med nettverk, servere og kommunikasjonsutstyr Nøkler og adgangskort Adgang til driftsutstyr (egne datarom med kodelås og alarm)

24 Oppgaver fra faktaark Sikring av bærbart utstyr
Dokumenter bærbart utstyr Pc, mobiltelefon og PDA Dokumenter og kartlegg utstyr (hva og hvor fra) Risikovurder Fra hvor det brukes lagring av helse- og personopplysninger oppkobling mot andre nettverk hjemmekontor synkronisering sikkerhetskopiering minnepinne

Laste ned ppt "Normen for IKT-ansvarlege."

Liknende presentasjoner

12.Studienreise nach Finnland,

12.Studienreise nach Finnland,
Individuelle planer Foreldrekurs 2005.

Individuelle planer Foreldrekurs 2005.
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Litt mer om PRIMTALL.

Litt mer om PRIMTALL.
Instruktørnotater: Send ut veilederen i forbindelse med invitasjonen.

Instruktørnotater: Send ut veilederen i forbindelse med invitasjonen.
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Teknologi for et bedre samfunn 1 Asbjørn Følstad, SINTEF Det Digitale Trøndelag (DDT) Brukervennlig digitalisering av offentlig sektor.

Teknologi for et bedre samfunn 1 Asbjørn Følstad, SINTEF Det Digitale Trøndelag (DDT) Brukervennlig digitalisering av offentlig sektor.
Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.

Hvilke rettsregler gjelder for norske nettsteder? Prof. Dag Wiese Schartum, AFIN.
7. Fysisk arbeidsmiljø 1 3.1 Jeg er fornøyd med den ergonomiske utformingen av arbeidsplassen min 2 3.2 Jeg er fornøyd med inneklimaet på arbeidsplassen.

7. Fysisk arbeidsmiljø Jeg er fornøyd med den ergonomiske utformingen av arbeidsplassen min Jeg er fornøyd med inneklimaet på arbeidsplassen.
Prosjekt KomUt Kommunal utbredelse av meldinger

Prosjekt KomUt Kommunal utbredelse av meldinger
Instruktørkurs for kommuner Gjennomføring av lokale kurs (30 min)

Instruktørkurs for kommuner Gjennomføring av lokale kurs (30 min)
Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1

Forutsetninger: Alle deltagere skal ha kompetanse tilsvarende modul 1
Opplegg for dagen DEL 1, KL. 09:00 – 12:00

Opplegg for dagen DEL 1, KL. 09:00 – 12:00
Sjeldensentre og registre Heidi Thorstensen personvernombud.

Sjeldensentre og registre Heidi Thorstensen personvernombud.
NRKs Profilundersøkelse 2012 1 NRK Analyse. Om undersøkelsen • NRK Analyse har siden 1995 gjennomført en undersøkelse av profilen eller omdømmet til NRK.

NRKs Profilundersøkelse NRK Analyse. Om undersøkelsen • NRK Analyse har siden 1995 gjennomført en undersøkelse av profilen eller omdømmet til NRK.
Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.

Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.
Fra forelesningene om involveringspedagogikk Et utviklingsarbeid Philip Dammen Manuset er under arbeid.

Fra forelesningene om involveringspedagogikk Et utviklingsarbeid Philip Dammen Manuset er under arbeid.
Lovgrunnlaget for helsetjenestene

Lovgrunnlaget for helsetjenestene
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Liknende presentasjoner

Annonser fra Google