Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Normen for IKT-ansvarlege. Agenda Hva er gjort i SiO fram til nå? –Asle Brustad orienterer om de to andre opplæringene som har blitt gjennomført Grunnleggende.

Liknende presentasjoner


Presentasjon om: "Normen for IKT-ansvarlege. Agenda Hva er gjort i SiO fram til nå? –Asle Brustad orienterer om de to andre opplæringene som har blitt gjennomført Grunnleggende."— Utskrift av presentasjonen:

1 Normen for IKT-ansvarlege

2 Agenda Hva er gjort i SiO fram til nå? –Asle Brustad orienterer om de to andre opplæringene som har blitt gjennomført Grunnleggende om Normen, hva den er, hva den bygger på og hvem står bak Forankring og rolleavklaring Så en gjennomgang av hvilke dokument som finnes og som vi bør forholde oss til

3 Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren er en samling krav og retningslinjer som skal –bidra til tilfredsstillende informasjonssikkerhet hos den enkelte virksomhet og i sektoren generelt –samt å bidra til å etablere mekanismer hvor virksomhetene kan ha gjensidig tillit til at øvrige virksomheters behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. Normen er utviklet med basis i personopplysningslovens regler om bransjevise adferdsnormer (jf. personopplysingsloven § 42 tredje ledd nr. 6). Disse reglene bygger i sin tur på Eu-direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger. Direktivet er implementert i norsk lovgivning med grunnlag i Norges forpliktelser etter EØS-avtalen.

4 Hva bygger den på? Arkivloven (lov 4. desember 1992 nr. 126) Forskrift om internkontroll i sosial- og helsetjenesten (forskrift 20. desember 2002 nr. 1731) Forskrift om kontrollkommisjonens virksomhet (forskrift 21. desember 2000 nr. 1408) Forskrift om pasientjournal (forskrift 21. desember 2000 nr. 1385) Forvaltningsloven (lov 10. februar 1967 nr. 00) Helseforskningsloven (lov 20. juni 2008 nr. 44) Helsepersonelloven (lov 2. juli 1999 nr. 64) Helseregisterloven (lov 18. mai 2001 nr. 24) Kommunehelsetjenesteloven (lov 19. november 1982 nr. 66) Offentleglova (lov 19. mai 2006 nr.16) Pasientrettighetsloven (lov 2. juli 1999 nr. 63) Personopplysningsforskriften (forskrift 15. desember 2000 nr. 1256) Personopplysningsloven (lov 14. april 2000 nr. 31) Psykisk helsevernloven (lov 2. juli 1999 nr. 62) Smittevernloven (lov 5. august 1994 nr. 55) Sosialtjenesteloven (lov 13. desember 1991 nr. 81) Spesialisthelsetjenesteloven (lov 2. juli 1999 nr. 61) Statlig tilsyn med helsetjenesten (lov 30. mars 1984 nr. 15) Tannhelsetjenesteloven (lov 3. juni 1983 nr. 54)

5 Hvem står bak Normen? Normen er utarbeidet av representanter for helse-, omsorgs- og sosialsektoren. Den forvaltes av en styringsgruppe med representanter fra: –Legeforeningen –De regionale helseforetak –Sykepleierforbundet –Tannlegeforeningen –Norges apotekforening –KS –DOT (Den Offentlige Tannhelsetjenesten) –NAV –Norsk Helsenett –Private laboratorier –Farmasøytene –Norsk psykologforening –Norsk Fysioterapeutforbund –DIFI (observatør) –Datatilsynet (observatør) –Helse- og omsorgsdepartementet (observatør) Helsedirektoratet leder styringsgruppen og er sekretariat.

6 Normen Med andre ord: –Normen er ikke ”noe nytt” –Normen bygger på lover og regler som vi har forholdt oss til i lang tid allerede –Normen stiller krav som detaljerer og supplerer gjeldende regelverk –Oppfyller vi disse så tilfredsstiller vi ”sektorens” oppfatning av dagens regelverk –Personvern- og helselovgivningen stiller krav til informasjonssikkerhet. Disse kravene gjelder uavhengig av Normen –Aktuelle tilsynsmyndigheter (særlig Datatilsynet og Helsetilsynet) kan kontrollere den enkelte virksomhets etterlevelse av det til enhver tid gjeldende regelverk –Regelverket stiller også en rekke andre krav til behandling av helse- og personopplysninger enn det som er tema for Normen

7 Forankring Forankring er utrolig viktig med tanke på videre framdrift At ledelsen er klar over viktigheten At ledelsen prioriterer dette arbeidet At ledelsen skaffer nok ressurser til å arbeide med dette Hvem gjør hva, og hvem har ansvar for hva? Det er et krav om at ansvar og organisering er på plass før man starter med meldingsutveksling Kommuner løser dette på forskjellig måte

8 Rolleavklaring Databehandlingsansvarlig/Virksomhetsleder/adm.dir/rådmann –Definere mål og strategi for informasjonssikkerhet –Beskrive ansvar og myndighetsforhold (se vedlagt eksempel med hvilke sikkerhetsfunksjoner/-roller som skal finnes i organisasjonen) –Spesifisere hvilke behandlinger helse- og personopplysninger skal ha –Melde og evt søke konsesjon for behandlinger til Datatilsynet –Følge opp og kontrollere informasjonssikkerheten Den som er ansvarlig til slutt er rådmannen, uansett om han fordeler oppgaver

9 Rolleavklaring Linjeleder/avdelingssjef –Videreføre virksomhetsleders ansvar i egen avdeling –Følge opp og kontrollere informasjonssikkerheten –Prioritere tiltak –Følge opp avtaler om tilgang på tvers av virksomhetsgrenser –Kontroll av tilgang på tvers

10 Rolleavklaring Sikkerhetsansvarlig –sikkerhetsansvarlig har delegert ansvar for å koordinere arbeidet med informasjonssikkerheten i virksomheten –oppgaver Utforming av styrende, utførende og kontrollerende dokumenter i foretakets styringssystem for informasjonssikkerhet Forberede ledergruppens årlige gjennomgang Følge opp/iverksette tiltak som er besluttet etter gjennomganger Samordne og gjennomføre sikkerhetsrevisjoner Vurdere rapporterte avvik Forestå risikovurderinger Erverve og vedlikeholde kunnskap om trusler, sårbarhet, sikkerhetstiltak, sikkerhetsteknikker og sikkerhetskrav Opplæring –Rollen sikkerhetsansvarlig er litt mer diffus med tanke på hvem det bør være

11 Rolleavklaring IKT-ansvarlig –Ansvarlig for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten –Sørge for at informasjonssystemet driftes og sikres iht fastsatte krav –Etablere beredskapsløsning –Vurdere eventuell løsning for fjernaksess opp mot veileder for fjernaksess –Følge opp leverandører og databehandler

12 Dokumentasjon

13

14 Normen.no Informasjon om selve Normen Veiledere, prosessdokument og faktaark Totalt 52 faktaark Viser hvilke som angår kommunen og hvilke som angår de ulike rollene Nesten alle angår it-ansvarlig på en eller annen måte, men de fleste faktaark angår flere roller og må gjennomgås sammen med de andre

15 Så hva gjør vi? Hvor starter vi? Hvilket dokument blir utgangspunktet for arbeid med Normen? Faktaark 6 og 6b – Sikkerhetsrevisjon er et utgangspunkt –Like greit å starte med det en blir revidert på? –I alle fall kjekt for å få en viss oversikt over hva som må gjøres på et overordnet nivå Veileder i informasjonssikkerhet ved tilknytning mellom kommuner, fylkeskommuner og helsenettet –Gir god oversikt over hva normen er og hva som skal gjøres Før tilknytning til NHN Etter tilknytning (drift) Avslutning av tilknytning –Peker på faktaark som er relevant –Har sjekklister som er fine

16 Normen.no Som dere husker: It-ansvarlig har ansvar for drift av IT-systemer (internt) og for at besluttede tiltak er operative og fungerer etter hensikten MEN Normen er 20 % it og 80 % organisasjon Hjelper fint lite å ha gode systemer dersom holdningene ikke er der og opplæring ikke er gjennomført Det er de som behandler person- og pasientopplysinger, samt pasientene selv dette gjelder Når det er sagt, så er det it sin oppgave å tilfredsstille de tekniske krav som Normen har satt opp når det gjelder tilknytning til helsenett og meldingsutveksling

17 Veileder Denne veilederen behandler teknologiske og administrative forhold. Bortsett fra Norsk Helsenett er den ikke knyttet opp mot spesifikke leverandører, tekniske løsninger eller produkter. Les veilederen nøye Gå gjennom de faktaark som det er henvist til Se på alle aktuelle faktaark som angår it-ansvarlig Dann deg et bilde av hvilke oppgaver som er aktuelle og omfanget av disse Start med det grunnleggende og ta de rent tekniske oppgavene

18 Faktaark 4 ​ Kartlegging og klassifisering av systemer i henhold til kritikalitet i forhold til behov for tilgjengelighet Kartlegging og klassifisering av systemer i henhold til kritikalitet i forhold til behov for tilgjengelighet 5 ​ Fastsette akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet Fastsette akseptkriterier for tilgjengelighet, konfidensialitet, integritet og kvalitet 7 RisikovurderingRisikovurdering 8 AvviksbehandlingAvviksbehandling 9 Opplæring av ledere og medarbeidereOpplæring av ledere og medarbeidere 10 Bruk av databehandler (ekstern driftsenhet)Bruk av databehandler (ekstern driftsenhet) 11 NødprosedyrerNødprosedyrer 12 ​ Tilbakerapportering av resultater fra IT-driften Tilbakerapportering av resultater fra IT-driften ​ 13 Oversikt over behandlinger av helse- og personopplysninger i virksomhetenOversikt over behandlinger av helse- og personopplysninger i virksomheten 14 TilgangsstyringTilgangsstyring ​ 15 Hendelsesregistrering og oppfølgingHendelsesregistrering og oppfølging ​ 16 Etablering av løsning for meldingskommunikasjonEtablering av løsning for meldingskommunikasjon ​ 17 ​ Fysisk sikring av områder og utstyr ​ Fysisk sikring av områder og utstyr ​ 18 ​ Sikring av bærbart utstyr Sikring av bærbart utstyr ​ 19 ​ Tiltak for å hindre ondsinnet programvare ​ Tiltak for å hindre ondsinnet programvare ​ 20 ​ Sikkerhets- og samhandlingsarkitektur ​ Sikkerhets- og samhandlingsarkitektur

19 Faktaark ​ 21 Sikkerhetskopi (backup) ​Sikkerhetskopi (backup) ​ ​ 22 Kontroll og sikring av ekstern tilgangKontroll og sikring av ekstern tilgang ​ 24 Kommunikasjon over åpne nettKommunikasjon over åpne nett ​ 25 Lagringstid og sletting av helse- og personopplysninger ​Lagringstid og sletting av helse- og personopplysninger ​ ​ 26 Sikring av trådløs teknologi ​Sikring av trådløs teknologi ​ ​ 28 Alternative tekniske løsninger for primærhelsetjenesten ​Alternative tekniske løsninger for primærhelsetjenesten ​ ​ 29 HjemmekontorHjemmekontor ​ 30 Sikring av mobilt utstyr utenfor virksomhetenSikring av mobilt utstyr utenfor virksomheten ​ 31 Passord og passordhåndteringPassord og passordhåndtering ​ 32 Elektronisk pasient- og brukerkommunikasjon ​Elektronisk pasient- og brukerkommunikasjon ​ 33 ​ Bruk av e-post ifm helseopplysninger Bruk av e-post ifm helseopplysninger ​ 34 Håndtering av lagringsmediaHåndtering av lagringsmedia ​ 36 Fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhetFjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet ​ 37 Sikkerhetskrav og sikkerhetsdokumentasjon i IKT-prosjekterSikkerhetskrav og sikkerhetsdokumentasjon i IKT-prosjekter

20 Faktaark ​ 38 Sikkerhetskrav for systemer ​Sikkerhetskrav for systemer 39 Elektronisk utlevering til kontrollkommisjonElektronisk utlevering til kontrollkommisjon ​ 41 Skadereparasjon når data har blitt utilsiktet utlevertSkadereparasjon når data har blitt utilsiktet utlevert ​ 42 ​ Bruk av SMS i pasientkontakt Bruk av SMS i pasientkontakt 43 ​ Bruk av testdata i systemer som inneholder helse- og personopplysninger Bruk av testdata i systemer som inneholder helse- og personopplysninger 46 ​ Databehandlingsansvar og avtaler i forbindelse med tjenesteutsetting Databehandlingsansvar og avtaler i forbindelse med tjenesteutsetting ​ 47 AutorisasjonsregisterAutorisasjonsregister ​ 48 ​ Informasjonssikkerhet ved utførelse av testing Informasjonssikkerhet ved utførelse av testing ​ 49 ​ Krav ved bruk av PKI ved ekstern kommunikasjon Krav ved bruk av PKI ved ekstern kommunikasjon ​ 50 ​ Innsyn i hendelsesregistre Innsyn i hendelsesregistre 51 ​ ​ Innsyn i den ansattes e-postkasse mv Innsyn i den ansattes e-postkasse mv ​ 52 ​ Krav til teknisk løsning ved bruk av betalingsterminal Krav til teknisk løsning ved bruk av betalingsterminal

21 Oppgaver fra faktaark Kartlegg system (kritikaliser og prioriter) Risikovurdering og sette opp akseptkriterier Avviksbehandling – hva er et avvik? –Bli enig meg helsepersonell om hva som er avvik –PLO nede er det et avvik? Opplæring –Bli med å utarbeid materiale som skal brukes mot ansatte for å bevisstgjøre dem om betydningen av informasjonssikkerhet –Lag plakater som illustrerer ulike tema (passord, utskrift) Bruk av databehandler –Ekstern driftsenhet (person eller virksomhet utenfor din egen virksomhet) –Kommunesamarbeid, leverandører –Veileder for fjernaksess

22 Oppgaver fra faktaark Nødprosedyrer –Krisesituasjoner –Reetablering av teknisk løsning –Fjernlagring av sikkerhetskopi (hvem henter, hvor er den, ”nøkler” –Nøddrift og gjenoppretting av ordinær drift Tilbakerapportering av resultater fra ikt-driften –Driftsstatus på kristiske system (EPJ) Oppetid Planlagte avbrudd Feilsituasjoner som ikke er avvik Mislykkede pålogginger –Oppfølging av avviksrapportering –Meldingskommunikasjon –Systemleverandør (EPJ) –Databehandler –Nettleverandør (NHN)

23 Oppgaver fra faktaark Tilgangsstyring –At brukere autenitiseres på en betryggende måte –At tilganger tildeles, administreres, kontrolleres og fjernes –Pålogging internt – krav til passord (7 tegn, tall stor bokstav) –Hjemmekontor – sikkerhetsnivå 4 Hendelsesregistrering –Sette bedriften i stand til å avdekke uautorisert bruk –Logger Fysisk sikring av områder og utstyr –Åpen sone: arealer hvor publikum har fri adgang, korridorer, venterom, fellesarealer, områder med alminnelig ferdsel –Indre sone: åpne arbeidsplasser (områder med begrenset ferdsel), arealer beregnet kun for medarbeidere i virksomheten, evt. publikum i følge med medarbeidere - resepsjonsarbeidsplassen, kontorer, vaktrom, behandlingsrom –Sikker sone: areal hvor kun spesielt godkjente medarbeidere har adgang, og hvor publikum ikke skal ha adgang (områder med sterk adgangsbegrensning), datarom, rom med nettverk, servere og kommunikasjonsutstyr –Nøkler og adgangskort –Adgang til driftsutstyr (egne datarom med kodelås og alarm)

24 Oppgaver fra faktaark Sikring av bærbart utstyr –Dokumenter bærbart utstyr Pc, mobiltelefon og PDA Dokumenter og kartlegg utstyr (hva og hvor fra) –Risikovurder Fra hvor det brukes lagring av helse- og personopplysninger oppkobling mot andre nettverk hjemmekontor synkronisering sikkerhetskopiering minnepinne


Laste ned ppt "Normen for IKT-ansvarlege. Agenda Hva er gjort i SiO fram til nå? –Asle Brustad orienterer om de to andre opplæringene som har blitt gjennomført Grunnleggende."

Liknende presentasjoner


Annonser fra Google