Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Www.normen.no | 1 Instruktørkurs for kommuner Krav til informasjonssikkerhet (90 minutter)

Liknende presentasjoner


Presentasjon om: "Www.normen.no | 1 Instruktørkurs for kommuner Krav til informasjonssikkerhet (90 minutter)"— Utskrift av presentasjonen:

1 | 1 Instruktørkurs for kommuner Krav til informasjonssikkerhet (90 minutter)

2 Innhold Mulige sårbarheter i kommunen Krav til informasjonssikkerhetstiltak Tilgang til helse- og personopplysninger Tekniske sikkerhetsløsninger og tilkobling til eksterne nettverk Sikkerhets- og tilbakekopiering Service på datautstyr Utskrifter og faks Minnepinne og lagringsmedier SMS og e-post Fysisk sikkerhet Plassering av skjerm og skriver Hjemmekontor | 2

3 Behandling og informasjonssikkerhet Behandler helse- og personopplysninger om pasient og bruker –> konfidensialitet Helsepersonell – plikt til å føre journal –> integritet Forpliktelse ift pasienten/bruker – kontinuitet i behandling og omsorg –> tilgjengelighet Innhold i journal –> kvalitet | 3

4 Eksempler på sårbarheter Journalen er ufullstendig Uautorisert tilgang og innsyn i journal Tyveri av datautstyr med journalopplysninger Tap av lagringsmedia eller bærbar PC med journalopplysninger Ødeleggelse av lagringsmedia eller datautstyr Ny versjon av journalsystem installeres, men virker ikke | 4

5 Eksempler på sårbarheter forts. Trådløst nettverk er ikke sikret med autentisering på sikkerhetsnivå 4 Avtale med tjenesteyter dekker ikke personvern og informasjonssikkerhet SMS virker ikke eller er forsinket Uheldig bruk av helse- og personopplysninger i tverrfaglige team | 5

6 | 6 Tilgang til helse- og personopplysninger Tilgang kun ift. tjenstlig behov ved behandling av pasient og bruker (K) Tilgangsstyring i journalsystemet (K) Unik autentisering (rolle + brukernavn og passord) (K, I) Autorisering av den enkelte bruker (krav til 5 års oppbevaring) (K, I) Autentisering av den enkelte bruker (K, I) Hendelsesregistrering av (K, I) Autorisert bruk Forsøk på uautorisert bruk Årlig kontroll av tildelte autorisasjoner (K, I)

7 Tekniske sikkerhetsløsninger Autentisering på sikkerhetsnivå 4 for (K, I) mobilt utstyr hjemmekontor trådløs kommunikasjon avdelingskontor med linjer kommunen ikke har fysisk kontroll over Kryptering av ekstern kommunikasjon (K, I) To uavhengige tekniske tiltak mot eksterne nettverk (K, I) Hendelsesregistrering (krav til 2 års oppbevaring) (K, I) Operativsystem Sikkerhetsbarrierer Fagsystem Skille den enkelte kommune - interkommunalt samarbeide (K, I) | 7

8 Definisjon av autentisering på nivå 4 Med ”sikkerhetsnivå 4” menes i Normen to- faktor autentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene til sikkerhetsnivå 4 i ”Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor”. | 8

9 Tilkobling til eksterne nettverk Skille mellom behandling av helseopplysninger og eksterne nettverk (K, I) Teknisk løsning med sikkerhetsbarrierer (K, I) Hindre uautorisert tilgang Antivirus All kommunikasjon skal starte innenfra eget nettverk Løsningen fra Norsk helsenett er tilstrekkelig sikret (K, I) ? | 9

10 Sikkerhets- og tilbakekopiering Dokumenterte rutiner (K, I, T) Periodisk Ansvar Sikkerhetskopi skal oppbevares (K, I, T) Avlåst Brannsikkert Adskilt fra driftsutstyret (server) Jevnlig test at sikkerhetskopiene (T) er korrekte kan tilbakeføres Nødrutiner skal utarbeides – hva gjør kommunen om alle journaler er borte? (T) Ekstern oppbevaring av sikkerhetskopi anbefales (T) | 10

11 | 11

12 Utskrifter / faks (papirdokumenter) Rutiner for behandling av utskrifter (K) Sikring Arkivering Makulering Bruk av faks for helse- og personopplysninger (K) Anonymiseres Samtykke fra pasienten | 12

13 | 13 Minnepinner og andre flyttbare lagringsmedier Merkes tydelig (K) Skal krypteres (K, I) Slettes forsvarlig – destrueres ved utrangering (K) Oppbevares avlåst (K, I, T) Sendes som rekommandert post (K, I, T)

14 SMS og e-post (K) Skal aldri brukes til helseopplysinger Skal aldri inneholde 11-sifferet fødselsnummer Mottas helseopplysninger via SMS eller e- post svarer kommunen at ”Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte” SMS krever samtykke fra pasient/bruker Faktaark 42 – Bruk av SMS i pasientkontakt | 14

15 Fysisk sikring Sikring av server og kommunikasjonsutstyr (K, I, T) Bemannet eller avlåst område Sikring av PC (K, I, T) Soneprinsippet ifm. resepsjoner, behandlingsrom, mv. (K, I, T) Faktaark 17 – Fysisk sikring av områder og utstyr | 15

16 Plassering av skjerm og skiver/faks (K) Plasser skjerm og skriver skjermet for innsyn og adgang Gjør en gjennomgang av kommunens lokaler Viktig å ta hensyn til ved flytting | 16

17 Hjemmekontor Arbeidsgivers utstyr (K, I, T) Sikker teknisk løsning (K, I, T) Autentisering på sikkerhetsnivå 4 (K, I) Fysisk sikring av utstyr (K, I, T) Rutiner for bruk (K, I) Utskrift er ikke å anbefale (K) Hvis utskrift; sikring, arkivering, makulering Hindre uautorisert tilgang og innsyn (K, I) Kryptering av lagringsenhet på bærbart utstyr er tilstrekkelig (K, I) | 17

18 Service på utstyr / avhending av utstyr Skal utstyr som inneholder helse- og personopplysninger fjernes fra kommunen må det opprettes en databehandleravtale med serviceyter (K) Service på stedet er å anbefale, men ikke et krav Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (K) | 18

19 Kvalitet Helse- og personopplysninger skal henføres til rett identifisert person (I, T) føres i henhold til kodeverket (bl.a. ICD-10) (I) være fullstendige og ajourført i forhold til behandlingen av opplysningene (I) | 19

20 Andre krav i Normen Taushetsplikt (K) Kontroll av tilgangsstyring ved sikkerhetsbrudd (K, I, T) Nødrettstilgang skal grunngis og følges opp som avvik (K, I) | 20


Laste ned ppt "Www.normen.no | 1 Instruktørkurs for kommuner Krav til informasjonssikkerhet (90 minutter)"

Liknende presentasjoner


Annonser fra Google