Laste ned presentasjonen
1
Normen for IKT-ansvarlege
2
Agenda Hva er gjort i SiO fram til nå?
Asle Brustad orienterer om de to andre opplæringene som har blitt gjennomført Grunnleggende om Normen, hva den er, hva den bygger på og hvem står bak Forankring og rolleavklaring Så en gjennomgang av hvilke dokument som finnes og som vi bør forholde oss til
3
Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren er en samling krav og retningslinjer som skal bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet og i sektoren generelt samt å bidra til å etablere mekanismer hvor virksomhetene kan ha gjensidig tillit til at øvrige virksomheters behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. Normen er utviklet med basis i personopplysningslovens regler om bransjevise adferdsnormer (jf. personopplysingsloven § 42 tredje ledd nr. 6). Disse reglene bygger i sin tur på Eu-direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Direktivet er implementert i norsk lovgivning med grunnlag i Norges forpliktelser etter EØS-avtalen. Det skulle vært slik at alle som skal bruke NHN først må tilfredsstille krav i Normen, og så kan de koble seg opp. Slik kunne man vært sikker på at mottaker har ting på stell. Slik det er nå så ha de fleste kommuner og andre helseforetak koblet seg opp og så begynt å sett på Normen.
4
Hva bygger den på? Arkivloven (lov 4. desember 1992 nr. 126)
Forskrift om internkontroll i sosial- og helsetjenesten (forskrift 20. desember 2002 nr. 1731) Forskrift om kontrollkommisjonens virksomhet (forskrift 21. desember 2000 nr. 1408) Forskrift om pasientjournal (forskrift 21. desember 2000 nr. 1385) Forvaltningsloven (lov 10. februar 1967 nr. 00) Helseforskningsloven (lov 20. juni 2008 nr. 44) Helsepersonelloven (lov 2. juli 1999 nr. 64) Helseregisterloven (lov 18. mai 2001 nr. 24) Kommunehelsetjenesteloven (lov 19. november 1982 nr. 66) Offentleglova (lov 19. mai 2006 nr.16) Pasientrettighetsloven (lov 2. juli 1999 nr. 63) Personopplysningsforskriften (forskrift 15. desember 2000 nr. 1256) Personopplysningsloven (lov 14. april 2000 nr. 31) Psykisk helsevernloven (lov 2. juli 1999 nr. 62) Smittevernloven (lov 5. august 1994 nr. 55) Sosialtjenesteloven (lov 13. desember 1991 nr. 81) Spesialisthelsetjenesteloven (lov 2. juli 1999 nr. 61) Statlig tilsyn med helsetjenesten (lov 30. mars 1984 nr. 15) Tannhelsetjenesteloven (lov 3. juni 1983 nr. 54)
5
Hvem står bak Normen? Normen er utarbeidet av representanter for helse-, omsorgs- og sosialsektoren. Den forvaltes av en styringsgruppe med representanter fra: Legeforeningen De regionale helseforetak Sykepleierforbundet Tannlegeforeningen Norges apotekforening KS DOT (Den Offentlige Tannhelsetjenesten) NAV Norsk Helsenett Private laboratorier Farmasøytene Norsk psykologforening Norsk Fysioterapeutforbund DIFI (observatør) Datatilsynet (observatør) Helse- og omsorgsdepartementet (observatør) Helsedirektoratet leder styringsgruppen og er sekretariat.
6
Normen Med andre ord: Normen er ikke ”noe nytt”
Normen bygger på lover og regler som vi har forholdt oss til i lang tid allerede Normen stiller krav som detaljerer og supplerer gjeldende regelverk Oppfyller vi disse så tilfredsstiller vi ”sektorens” oppfatning av dagens regelverk Personvern- og helselovgivningen stiller krav til informasjonssikkerhet. Disse kravene gjelder uavhengig av Normen Aktuelle tilsynsmyndigheter (særlig Datatilsynet og Helsetilsynet) kan kontrollere den enkelte virksomhets etterlevelse av det til enhver tid gjeldende regelverk Regelverket stiller også en rekke andre krav til behandling av helse- og personopplysninger enn det som er tema for Normen
7
Forankring Forankring er utrolig viktig med tanke på videre framdrift
At ledelsen er klar over viktigheten At ledelsen prioriterer dette arbeidet At ledelsen skaffer nok ressurser til å arbeide med dette Hvem gjør hva, og hvem har ansvar for hva? Det er et krav om at ansvar og organisering er på plass før man starter med meldingsutveksling Kommuner løser dette på forskjellig måte
8
Rolleavklaring Databehandlingsansvarlig/Virksomhetsleder/adm.dir/rådmann Definere mål og strategi for informasjonssikkerhet Beskrive ansvar og myndighetsforhold (se vedlagt eksempel med hvilke sikkerhetsfunksjoner/-roller som skal finnes i organisasjonen) Spesifisere hvilke behandlinger helse- og personopplysninger skal ha Melde og evt søke konsesjon for behandlinger til Datatilsynet Følge opp og kontrollere informasjonssikkerheten Den som er ansvarlig til slutt er rådmannen, uansett om han fordeler oppgaver
9
Rolleavklaring Linjeleder/avdelingssjef
Videreføre virksomhetsleders ansvar i egen avdeling Følge opp og kontrollere informasjonssikkerheten Prioritere tiltak Følge opp avtaler om tilgang på tvers av virksomhetsgrenser Kontroll av tilgang på tvers
10
Rolleavklaring Sikkerhetsansvarlig
sikkerhetsansvarlig har delegert ansvar for å koordinere arbeidet med informasjonssikkerheten i virksomheten oppgaver Utforming av styrende, utførende og kontrollerende dokumenter i foretakets styringssystem for informasjonssikkerhet Forberede ledergruppens årlige gjennomgang Følge opp/iverksette tiltak som er besluttet etter gjennomganger Samordne og gjennomføre sikkerhetsrevisjoner Vurdere rapporterte avvik Forestå risikovurderinger Erverve og vedlikeholde kunnskap om trusler, sårbarhet, sikkerhetstiltak, sikkerhetsteknikker og sikkerhetskrav Opplæring Rollen sikkerhetsansvarlig er litt mer diffus med tanke på hvem det bør være Meldal har fått en slik rolle no, og kan kanskje fortelle litt om dette? Hvem det er og hvorfor? Kunne det vært andre? Hvilke oppgaver har vedkommende? Kan rollen kombineres med andre roller som f.eks it-ansvarlig?
11
Rolleavklaring IKT-ansvarlig
Ansvarlig for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten Sørge for at informasjonssystemet driftes og sikres iht fastsatte krav Etablere beredskapsløsning Vurdere eventuell løsning for fjernaksess opp mot veileder for fjernaksess Følge opp leverandører og databehandler
12
Dokumentasjon
13
Dokumentasjon
14
Normen.no Informasjon om selve Normen
Veiledere, prosessdokument og faktaark Totalt 52 faktaark Viser hvilke som angår kommunen og hvilke som angår de ulike rollene Nesten alle angår it-ansvarlig på en eller annen måte, men de fleste faktaark angår flere roller og må gjennomgås sammen med de andre
15
Så hva gjør vi? Hvor starter vi? Hvilket dokument blir utgangspunktet for arbeid med Normen? Faktaark 6 og 6b – Sikkerhetsrevisjon er et utgangspunkt Like greit å starte med det en blir revidert på? I alle fall kjekt for å få en viss oversikt over hva som må gjøres på et overordnet nivå Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet Gir god oversikt over hva normen er og hva som skal gjøres Før tilknytning til NHN Etter tilknytning (drift) Avslutning av tilknytning Peker på faktaark som er relevant Har sjekklister som er fine
16
Normen.no Som dere husker: MEN Normen er 20 % it og 80 % organisasjon
It-ansvarlig har ansvar for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten MEN Normen er 20 % it og 80 % organisasjon Hjelper fint lite å ha gode systemer dersom holdningene ikke er der og opplæring ikke er gjennomført Det er de som behandler person- og pasientopplysinger, samt pasientene selv dette gjelder Når det er sagt, så er det it sin oppgave å tilfredsstille de tekniske krav som Normen har satt opp når det gjelder tilknytning til helsenett og meldingsutveksling
17
Veileder Denne veilederen behandler teknologiske og administrative forhold. Bortsett fra Norsk Helsenett er den ikke knyttet opp mot spesifikke leverandører, tekniske løsninger eller produkter. Les veilederen nøye Gå gjennom de faktaark som det er henvist til Se på alle aktuelle faktaark som angår it-ansvarlig Dann deg et bilde av hvilke oppgaver som er aktuelle og omfanget av disse Start med det grunnleggende og ta de rent tekniske oppgavene
18
Faktaark 4 Kartlegging og klassifisering av systemer i henhold til kritikalitet i forhold til behov for tilgjengelighet 5 Fastsette akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet 7 Risikovurdering 8 Avviksbehandling 9 Opplæring av ledere og medarbeidere 10 Bruk av databehandler (ekstern driftsenhet) 11 Nødprosedyrer 12 Tilbakerapportering av resultater fra IT-driften 13 Oversikt over behandlinger av helse- og personopplysninger i virksomheten 14 Tilgangsstyring 15 Hendelsesregistrering og oppfølging 16 Etablering av løsning for meldingskommunikasjon 17 Fysisk sikring av områder og utstyr 18 Sikring av bærbart utstyr 19 Tiltak for å hindre ondsinnet programvare 20 Sikkerhets- og samhandlingsarkitektur Som sagt er det mange faktaark som ikke kan sees på av it alene. Ta faktaark 4 for eksempel. Det er jo helsepersonell og de oppgaver som utføres her som må kritikaliseres og prioriteres. MEN it må vite om prioriteringene for å kunne prioritere sine oppgaver og kartlegge de system som er viktigst i driftssammenheng.
19
Faktaark 21 Sikkerhetskopi (backup)
22 Kontroll og sikring av ekstern tilgang 24 Kommunikasjon over åpne nett 25 Lagringstid og sletting av helse- og personopplysninger 26 Sikring av trådløs teknologi 28 Alternative tekniske løsninger for primærhelsetjenesten 29 Hjemmekontor 30 Sikring av mobilt utstyr utenfor virksomheten 31 Passord og passordhåndtering 32 Elektronisk pasient- og brukerkommunikasjon 33 Bruk av e-post ifm helseopplysninger 34 Håndtering av lagringsmedia 36 Fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet 37 Sikkerhetskrav og sikkerhetsdokumentasjon i IKT-prosjekter
20
Faktaark 38 Sikkerhetskrav for systemer
39 Elektronisk utlevering til kontrollkommisjon 41 Skadereparasjon når data har blitt utilsiktet utlevert 42 Bruk av SMS i pasientkontakt 43 Bruk av testdata i systemer som inneholder helse- og personopplysninger 46 Databehandlingsansvar og avtaler i forbindelse med tjenesteutsetting 47 Autorisasjonsregister 48 Informasjonssikkerhet ved utførelse av testing 49 Krav ved bruk av PKI ved ekstern kommunikasjon 50 Innsyn i hendelsesregistre 51 Innsyn i den ansattes e-postkasse mv 52 Krav til teknisk løsning ved bruk av betalingsterminal
21
Oppgaver fra faktaark Kartlegg system (kritikaliser og prioriter)
Risikovurdering og sette opp akseptkriterier Avviksbehandling – hva er et avvik? Bli enig meg helsepersonell om hva som er avvik PLO nede er det et avvik? Opplæring Bli med å utarbeid materiale som skal brukes mot ansatte for å bevisstgjøre dem om betydningen av informasjonssikkerhet Lag plakater som illustrerer ulike tema (passord, utskrift) Bruk av databehandler Ekstern driftsenhet (person eller virksomhet utenfor din egen virksomhet) Kommunesamarbeid, leverandører Veileder for fjernaksess
22
Oppgaver fra faktaark Nødprosedyrer
Krisesituasjoner Reetablering av teknisk løsning Fjernlagring av sikkerhetskopi (hvem henter, hvor er den, ”nøkler” Nøddrift og gjenoppretting av ordinær drift Tilbakerapportering av resultater fra ikt-driften Driftsstatus på kristiske system (EPJ) Oppetid Planlagte avbrudd Feilsituasjoner som ikke er avvik Mislykkede pålogginger Oppfølging av avviksrapportering Meldingskommunikasjon Systemleverandør (EPJ) Databehandler Nettleverandør (NHN)
23
Oppgaver fra faktaark Tilgangsstyring Hendelsesregistrering
At brukere autenitiseres på en betryggende måte At tilganger tildeles, administreres, kontrolleres og fjernes Pålogging internt – krav til passord (7 tegn, tall stor bokstav) Hjemmekontor – sikkerhetsnivå 4 Hendelsesregistrering Sette bedriften i stand til å avdekke uautorisert bruk Logger Fysisk sikring av områder og utstyr Åpen sone: arealer hvor publikum har fri adgang, korridorer, venterom, fellesarealer, områder med alminnelig ferdsel Indre sone: åpne arbeidsplasser (områder med begrenset ferdsel), arealer beregnet kun for medarbeidere i virksomheten, evt. publikum i følge med medarbeidere - resepsjonsarbeidsplassen, kontorer, vaktrom, behandlingsrom Sikker sone: areal hvor kun spesielt godkjente medarbeidere har adgang, og hvor publikum ikke skal ha adgang (områder med sterk adgangsbegrensning), datarom, rom med nettverk, servere og kommunikasjonsutstyr Nøkler og adgangskort Adgang til driftsutstyr (egne datarom med kodelås og alarm)
24
Oppgaver fra faktaark Sikring av bærbart utstyr
Dokumenter bærbart utstyr Pc, mobiltelefon og PDA Dokumenter og kartlegg utstyr (hva og hvor fra) Risikovurder Fra hvor det brukes lagring av helse- og personopplysninger oppkobling mot andre nettverk hjemmekontor synkronisering sikkerhetskopiering minnepinne
Liknende presentasjoner
© 2024 SlidePlayer.no Inc.
All rights reserved.