Temahefte nr. 6 Sikker informasjonsbehandling i helsevesenet. Versjon april KITH Rapport 4/00 ISBN

Transkript

1 Temahefte nr. 6 Sikker informasjonsbehandling i helsevesenet Versjon april 2000 KITH Rapport 4/00 ISBN

2 KITH-rapport Tittel Kvalitetssystemer og informasjonssikkerhet Forfatter(e) Annebeth Askevold, Arnstein Vestad Oppdragsgiver(e) Sosial og helsedepartementet Rapportnummer R 4/00 ISBN Godkjent av URL Dato Antall sider Kvalitetssikret av 28. april Tor Olav Grøtan Kompetansesenter for IT i helsevesenet AS Postadresse Sukkerhuset 7005 Trondheim Besøksadresse Sverresgt 15, inng G Telefon Telefaks e-post firmapost@kith.no Foretaksnummer Prosjektkode S-SV-TEMA Gradering Kenneth R. Iversen Kst. direktør Sammendrag Mange fellestrekk mellom arbeid med kvalitetsutvikling og informasjonssikkerhet blir tydeligere etter hvert som man arbeider med områdene, noe som gjelder både organisasjonsmessig og praktiske aspekter. Dette temaheftet ser på hvordan arbeidet med informasjonssikkerhet i helsevesenet kan integreres i et kvalitetssystem, i den tro at en slik integrering kan gi effektivitet og besparelser for den enkelte helseinstitusjon. Temaheftet tar utgangspunkt i Datatilsynets Retningslinjer for informasjonssikkerhet og Helsetilsynets arbeid med kvalitetsledelse i helsesektoren. Det er kun sett på hovedtrekkene i oppbygging av og innhold i et kvalitetssystem og det er ingen lærebok eller veiledning i kvalitetsarbeid. Det er fokusert på veien frem til et kvalitetssystem og likhetsstrekk mellom informasjonssikkerhet og kvalitetsutvikling. Vi har fokusert på likheter og sammenfallende tankegang og metodikk, og påpekt eventuelle motsetningsforhold og utfordringer i integreringen.

3 Innhold INNLEDNING... 1 Kvalitetsutvikling i helsevesenet 1 Informasjonssikkerhet 2 Dette temaheftet 2 KVALITETSUTVIKLING... 3 Bakgrunn 3 Noen definisjoner 4 Hva er kvalitet 4 Kvalitetsledelse 5 Helsetilsynets kvalitetsprinsipper 6 Kvalitetssystem 7 Systematikk i kvalitetsarbeid 9 Måling og avviksbehandling 10 Ledelsens ansvar 11 Utfordringer (og kritisk blikk) 11 DATATILSYNET OG INFORMASJONSSIKKERHET Sikkerhetskrav for helsevesenet 14 FELLESTREKK SIKKERHET OG KVALITET Sammenfallende organisasjon 17 Prosedyrer 18 Måling og indikatorer 19 Synergieffekter 19 Utfordringer for helsevesenet 19 INTEGRERING Indikatorer for informasjonssikkerhet 21 Risikoanalyse 23 Internkontroll og avvikshåndtering 23 Rutiner for informasjonssikkerhet 24

4 Kapittel Innledning Det er mange fellestrekk i kvalitetsutvikling og informasjonssikkerhet, både organisasjonsmessig og i praktisk utføring. Vi har sett på hvordan arbeidet med informasjonssikkerhet i helsevesenet kan integreres i et kvalitetssystem med bakgrunn i de tidligere utgitte temaheftene om informasjonssikkerhet. Det er kun sett på hovedtrekkene i oppbygging av og innhold i et kvalitetssystem og er ingen lærebok eller veiledning i kvalitetsarbeid. Det er fokusert på veien frem til et kvalitetssystem og likhetsstrekk mellom informasjonssikkerhet og kvalitetsutvikling, og påpekt eventuelle motsetningsforhold og utfordringer i integreringen. Kvalitetsutvikling i helsevesenet Det ble i 1995 utarbeidet en nasjonal strategi for kvalitetsutvikling i helsetjenesten (IK-2482). Det overordnede målet i strategien er at alle virksomheter innen norsk helsetjeneste skal ha etablert helhetlige og effektive internkontroll-/kvalitetssystemer innen år Lov om statlig tilsyn med helsetjenesten sier at Enhver som yter helsetjeneste skal etablere internkontroll for virksomheten og sørge for at virksomhet og tjenester planlegges, utføres og vedlikeholdes i samsvar med allment aksepterte faglige normer og krav fastsatt i medhold av lov eller forskrifter med virkning fra Internkontrollsystem og kvalitetssystem griper inn i hverandre og supplere hverandre på forskjellige og nødvendige måter, og internkontrollsystemet vil ofte være den bærende delen av kvalitetssystemet. Det som tidligere har vært skrevet om informasjonssikkerhet i de tidligere temaheftene vil være naturlig å se på som en del av internkontrollsystemet. Begge systemene baserer seg på den lukkede kontrollsløyfens prinsipp. Det lovpålagte internkontrollsystemet vil utgjøre det bærende deler av kvalitetssystemet, og vil være et minimumskrav til innhold i et hvert KSsystem i helsetjenesten. 1

5 INNLEDNING Informasjonssikkerhet Informasjonssikkerhet handler om å definere og implementere mål og strategier for å sikre informasjonens konfidensialitet, kvalitet/integritet og tilgjengelighet. Disse generelle konseptene kan tjene flere ulike formål: Personvern, som handler om enkeltindividets rettigheter og stilling i forhold til fellesskapets interesser, og i som i hovedsak peker mot konfidensialiteten og kvaliteten til personopplysninger. Pasientvern, som legger føringer på de samme personopplysningenes kvalitet og tilgjengelighet for å legge grunnlaget for trygg og vellykket pasientbehandling. Prosessvern, som skal sikre kvalitet og tilgjengelighet for å bygge opp under tjenestene og primærprosessene i helsetjenesten holder god nok kvalitet og effektivitet. Systemvern, som skal sørge for at institusjonene enkeltvis og i samarbeid kan organisere sine virksomheter på en effektiv måte. Å utlede gode sikkerhetsmål i en helseinstitusjon er en kompleks oppgave som må ta utgangspunkt i mange ulike hensyn og sammenhenger som ofte kan være motstridende. Eksempelvis, mens personvernperspektivet kan begrenses til å ta ansvar for selve personopplysningene, kjennetegnes særlig prosess- og pasientvernet av at bruken av personopplysninger gjerne må foregå samtidig med, og prosessuelt i nær tilknytning til (sikker) bruk av informasjon på åpne, eksterne nettverk Dette temaheftet Det eksisterer flere fellestrekk mellom arbeidet med kvalitetssikring i en virksomhet og innføringen av en organisasjon for og arbeid med informasjonssikkerhet. I dette temaheftet ønsker vi å trekke fram i lyset en del av disse likhetene og sammenhengene, for dermed å identifisere områder hvor en samstemt tenking vil være formålstjenlig og hvor det kan være gevinster å hente på samordning av organisering og systemer. Temaheftet inngår som en naturlig del i KITH s temaserie Sikker informasjonsbehandling i helsevesenet, hvor særlig hefte 4 og 5 retter søkelyset mot organisasjonsutvikling og endringsmetodikk. Heftet må også ses i sammenheng med det regime for informasjonssikkerhet som Datatilsynet legger opp til i sine Retningslinjer, samt det arbeidet som pågår i helsesektoren med kvalitetsledelse og kvalitetssystemer. 2

6 Kapittel Kvalitetsutvikling Hensikten med dette kapittelet er å gi en kortfattet oversikt over hva kvalitet og kvalitetsledelse er og peker på en del punkter som må være tilstede for å drive med kvalitetsutvikling. En del ord og begreper innenfor temaet kvalitetsutvikling blir definert. Bakgrunn Kvalitet er kommet i fokus i 1990-årene i alle typer virksomheter, og i 1995 ble Nasjonal strategi for kvalitetsutvikling i helsetjenesten (IK- 2482) utgitt. Det overordnede målet i denne strategien er at alle virksomheter innen norsk helsetjeneste skal ha etablert helhetlige og effektive internkontroll-/kvalitetssystem innen år Et kvalitetssystem er prinsipielt et styringssystem som kan brukes av ledelsen for alle typer aktiviteter og organisasjoner. Mye av kvalitetstankegangen er tradisjonelt bundet opp i å forbedre produkter, men mange av prinsippene kan overføres til tjenesteytende næring, og bevisstgjøring i forhold til kvalitetstenkning benyttes i økende grad også innenfor tjenesteytende næring. Kvalitetsarbeid bør dekke relasjoner mellom produkter/tjenester og kunder/brukere. Internkontrollforskriftene pålegger den som er ansvarlig for virksomheten å sørge for systematisk oppfølging av krav som er fastsatt i flere lover som berører helse, miljø og sikkerhet. Interkontrollsystem kalles gjerne kvalitetssikring etter lover og forskrifter. Det lovpålagte internkontrollsystemet vil utgjøre det bærende deler av kvalitetssystemet, og vil være et minimumskrav til innhold i et hvert KSsystem i helsetjenesten. I helsevesenet vil det være tjenester og mellommenneskelige forhold som må vektlegges, og brukerne som må være i fokus, både interne og eksterne. En ekstern bruker i helsevesenet er en pasient eller pårørende, eventuelt andre samarbeidspartnere utenfor organisasjonen. 3

7 KVALITETSUTVIKLING Noen definisjoner Hva er kvalitet Kvalitet er et subjektivt begrep som kan ilegges flere betydninger. Ordet kvalitet kan både knyttes opp mot egenskaper og kjennetegn ved et produkt eller tjeneste eller opp mot verdier og verdinormer. Ordet kvalitet kan presiseres i minst to retninger: - overensstemmelse med krav - grad av fortreffelighet ( excellence). ISO har denne definisjonen på kvalitet (NS-ISO 8402): Helhet av egenskaper og kjennetegn et produkt eller en tjeneste har, som vedrører dets evne til å tilfredsstille fastsatte krav eller behov som er antydet I produksjon- og markedssammenheng kan man forenklet si at Kvalitet = samsvar med spesifiserte krav. Denne definisjonen egner seg dårlig i mer tjenesteytende næring der mellommenneskelig kontakt, holdninger og gjensidig forståelse er viktig. Da kan denne definisjonen være bedre: Kvalitet = samsvar mellom opplevd resultat og forventet resultat Siden kvalitet ikke bare er et objektivt begrep med målbare egenskaper, men også med mindre målbare verdier (fortreffelighet, evne til å tilfredsstille krav), er det viktig å være enige om målene for helsetjenesten. Å sikre tilfredsstillende kvalitet i helsesektoren vil innebære trygghet for brukerne ved at en oppnår ønskede resultater med minst mulig risiko. Med kvalitet i forbindelse med informasjonssikkerhet forstås trygghet for at både informasjon, og eventuelt informasjonssystemene, forblir fullstendige, riktige og gyldige både i systemet og under forsendelsen. For medisinsk informasjon kan konsekvensene av manglende kvalitet være at pasienten blir feilbehandlet. Kvalitetskontroll, -styring og sikring Kvalitetskontroll vil si å vurdere tjenesten eller produktet opp mot spesifiserte krav. Med kvalitetssikring forstår en alle de styringstiltakene som er nødvendig for prosessen som helhet og for de enkelte leddene for at det skal ble samsvar mellom det som er avtalt eller forventet i utgangspunktet og det som til slutt ble levert. Med kvalitetsstyring menes alle de driftsmessige teknikker og aktiviteter som produsenten/leverandøren bruker for å styre selve utviklings-, salgs-, produksjons- og installasjonsprosessen slik at kravene til samsvar og tillit blir oppfylt. 4

8 KVALITETSUTVIKLING Kvalitetsledelse Begrepet kvalitetsledelse kommer av at kvalitetssikring og kvalitetssikringssystem i prinsippet er et ledelses- og styringsverktøy. Kvalitetsledelse angår hele organisasjonen, må være drevet av toppledelsen og omfatter typiske aktiviteter som kvalitetsplanlegging, kvalitetsstyring, kvalitetssikring og kvalitetsforbedring. Kvalitet er alles ansvar og kvalitetsledelse vil i praksis være et samspill mellom ulike aktiviteter som teknologi, økonomi, organisasjon, administrasjon og metode. Kvalitetsledelse dreier seg om å hindre at problemer oppstår slik at organiserte aktiviteter skjer som planlagt. Kvalitetsarbeid er en kontinuerlig prosess som aldri må slutte. Det er to strømninger innefor kvalitetsarbeid som har kommet sterkt i fokus de senere år, ISO 9000 og TQM (Total Quality Management). En kort karakteristikk kan være at ISO 9000 er prosedyreorientert og TQM er endringsorientert. ISO 9000 ISO er en forkortelse for International Organization for Standardization som er en verdensomspennende organisasjon for standardiseringsarbeid. ISO 9000 er en serie standarder for kvalitetssystemer i bedrifter (NS-ISO 9000 i norsk versjon). ISO 9000 kan sammenfattes til å være en målestokk som en bedrift eller organisasjon kan vurderes mot når det gjelder deres kvalitetssystem. Kvalitet og ISO 9000 sertifisering er ikke synonyme begreper. Det er en fare ved ensidig å fokusere på sertifiseringsbiten da det kan fremme holdninger som gjør det viktigere å tilfredsstille sertifiseringsorganet enn kunden/brukeren, samt en oppfatning av at når sertifiseringen er foretatt så er man i mål! ISO 9000 er svært prosedyreorientert og legger liten vekt på forbedring. Et sentralt punkt i ISO-standardene er at ansvar, myndighet og samarbeidsforhold er klarlagt og dokumentert. Dette skal bidra til å hindre avvik og feilkostnader. Standarden kan være et godt utgangspunkt for å utvikle sitt eget kvalitetssystem. TQM (Total Quality Management) Total kvalitetsledelse er en lederstil og en ledelsesform som skal føre virksomheten mot total kvalitet. Kvalitetsledelse dreier seg derfor om å styre alle tekniske, administrative, kreative og sosiale prosesser. Total kvalitetsledelse er kunde-/brukerfokusert, vektlegger systematisk kvalitetsforbedring og den menneskelige faktor. Total kvalitet gjelder for alle trinn i organisasjonens strøm av aktiviteter, og for alle ansatte i organisasjonen. En kvalitetsstyrt bedrift er karakterisert ved at alle prosesser fokuserer på kvalitet først når det gjelder å tilfredsstille brukerens behov. 5

9 KVALITETSUTVIKLING Kvalitetsstyrte bedrifter sies ideelt å skulle la mål vedrørende service og kvalitet få prioritet over (kortsiktige) økonomiske mål. Dette er ment å bidra til økt tillit blant kundene, som i siste instans vil øke bedriftens lønnsomhet. Aktiviteter som er nødvendige i arbeidet for å fremskaffe kvalitet er: Kvalitetsvedlikehold - daglig drift Kvalitetsforbedring - organisering og drift av kontinuerlige forbedringsaktiviteter Kvalitetsfornying - aktiviteter knyttet til planlegging med utgangspunkt i brukerbehov Total kvalitetsledelse Kvalitetsfornying Kvalitetsvedlikehold Kvalitetsforbedring Kvalitetssystem Total kvalitetsledelse eller det som kjennetegner en kvalitetstyrt helsetjeneste kan sammenfattes i Pasient/brukerfokus Systematisk forbedring av alle prosesser Helhetlig lederskap og tverrfaglig samarbeid Fokus på erfaringslæring og felles organisasjonskultur Høy kvalitet på tjenester Vekt på kontinuerlig forbedring Kommunikasjon og gruppetilhørighet Vektlegging av de ansatte som bedriftens viktigste ressurs Helsetilsynets kvalitetsprinsipper Helsetilsynet har utarbeidet følgende grunnprinsipper i sin nasjonale plan for kvalitetsutvikling i helsetjenesten. 1. Brukeren i fokus 2. Engasjert og forpliktende ledelse 3. Målrettet deltakelse fra alle 6

10 KVALITETSUTVIKLING 4. Beslutninger basert på fakta 5. Prosessorientering 6. Kontinuerlig forbedring Kvalitetssystem Tillit er vesentlig i kvalitetsutvikling og alle foretak og organisasjoner trenger et kvalitetssystem i en eller annen form. Hovedhensikten med et kvalitetssystem er å skape og vedlikeholde tillit hos brukeren, og å være et verktøy for å realisere bedriftens målsetting. Kvalitetsarbeid bør dekke relasjoner mellom produkter/tjenester og kunder/brukere. Kvalitet er ikke noe man kan kjøpe seg. Kvalitet skapes ved målbevisst arbeid i egen organisasjon støttet av kompetente og kreative medarbeidere. Et kvalitetssystem må være bygget opp med basis i en kvalitetsfilosofi. Et kvalitetssystem har både en teknisk og en kulturell (menneskelig) side der begge er like viktige. Skal man arbeide med å forbedre kvalitetene må man arbeide med å forbedre begge sidene. Et kvalitetssystem må ha et sett med metoder og verktøy som redskaper i kvalitetssikringsarbeidet. ISO s definisjon av et kvalitetssystem er: Organisasjonsstruktur, ansvar, prosedyrer, prosesser og ressurser ved gjennomføring av kvalitetsledelse. Et kvalitetssystem kan ivareta mange formål: sikre at lover og forskrifter holdes, gi kunden/brukeren tillitt til produktet/tjenesten skire at tjenesten/produktet ivaretar brukerens behov og forventninger sikre at egne ressurser benyttes på en effektiv og riktig måte. Kvalitet må bygges inn i alle systemer og deler av organisasjonen, og kvalitetssystemet bør ikke være mer omfattende enn det som er nødvendig for å oppnå målene for kvalitet. Vi kan forenklet si at vi kan ha kvalitetssystem på tre nivåer: system for oppfylling av rammevilkår (internkontrollforskriftene) kvalitetssystem (med vekt på sikring og avviksbehandling) utvidet kvalitetssystem (med vekt på kvalitetsforbedring og fornying). Et godt kvalitetssystem må ha en lukket styringssløyfe med muligheter for å korrigere avvik. Veien frem til et kvalitetssystem kan fremstilles skjematisk som i figuren under: 7

11 KVALITETSUTVIKLING Implementer kulturprogram Målsetting/ kartlegging Planlegg Evaluer og vurder Implementer teknisk program Korrigerende tiltak Figur 1 Trinnene frem til et kvalitetssystem Et effektivt kvalitetssystem baserer seg på gode prinsipper om: Forhindring Tidlig korreksjon Finn og eliminer årsaker, ikke bare symptomer Definerte roller og ansvar Et kvalitetssystem uten et opplegg for avviksregistrering, -behandling ogmelding er ikke fullstendig. Internkontrollsystem og kvalitetssystem griper inn i hverandre og supplere hverandre på forskjellige og nødvendige måter, og internkontrollsystemet vil ofte være den bærende delen av kvalitetssystemet. Internkontrollsystem er i Kommunal og arbeidsdepartementets forskrift om internkontroll definert som : Systematiske tiltak som skal sikre og dokumentere at aktivitetene utøves i samsvar med krav fastsatt i eller i medhold av lov eller forskrift. De systematiske tiltakene skal være beskrevet i administrative prosedyrer. Viktige elementer i et kvalitetssystem vil være: Bedriftens kvalitetspolitikk og kvalitetsmål Organisasjonsplan og ansvarsfordeling Dokumentstyring Standarder Prosedyrer Intern og ekstern revisjon Avviksbehandling og opplysninger om oppnådd kvalitet Opplæring kvalitet er alles ansvar Kontinuitet ( Never-ending ) Dokumentasjonen av kvalitetssystemet vil være samlet i en kvalitetshåndbok som kan være en eller flere mapper eller ringpermer som skal være lett å slå opp i. Det beste alternativet er likevel et elektronisk dokumenthåndteringssystem, f.eks. i form av intranett. Slike løsninger vil også 8

12 KVALITETSUTVIKLING kunne integreres tettere med organisasjonens arbeidsprosesser. Kvalitetshåndboken skal være det daglige verktøyet i kvalitetsarbeidet og brukes som en oppslagsbok som hele tiden må holdes oppdatert og vise alle vedtatte regler som skal sikre at besluttet kvalitet oppnås. Den vil også være et virkemiddel overfor omverdenen for å vise at organisasjonen har orden på alle prosesser. Strukturen på en kvalitetshåndbok kan være som vist på figuren under: Kvalitetsmål og organisasjons plan Kvalitetshåndbok Prosedyrer med ansvarsfordeling Detaljert metodebeskrivelse (etter behov) Figur 2 Kvalitetshåndboken i dokumentasjonshierarkiet Systematikk i kvalitetsarbeid I praksis trengs metoder til å systematisere kvalitetsarbeidet. Systematikken Planlegg Utfør Kontroller - Korriger (PDCA-løkken, Plan DO Check Act) benyttes ofte i kvalitetsarbeid. Den er et organisatorisk prinsipp som kan benyttes i mange sammenhenger som for eksempel ved avviksbehandling i daglig drift, problemløsningssyklus i forbedringsarbeid eller bedriftledelse. Planlegg Utfør Kontroller Korriger Elementer i de ulike trinnene kan være: P Planlegg Hva? Definer problem Analyser problem Hvorfor Identifiser Årsaker Hvordan Planlegg tiltak U Utfør Implementer K Kontroller Bekreft resultater 9

13 KVALITETSUTVIKLING K Korriger Standardiser, ev. revider Det er viktig å kartlegge hvor forbedringspotensialet er størst og begynne der. I systematisk forbedringsarbeid er det viktig å fokusere på kjerneprosessene. En prosess kan sees på som en samling av aktiviteter og ressurser som skal sørge for å fremstille de produkter eller tjenester som skal tilfredsstille en kundens/brukerens behov. Kontinuerlig prosessforbedring har tre faser: Overvåke prosessen Kontrollere prosessen Forbedre prosessen Måling og avviksbehandling Kvalitetsarbeid må være basert på fakta og ikke på gjetninger. For å kunne benytte et kvalitetssystem som et styringssystem er det avhengig av tilbakemelding basert på kontroll- og inspeksjonstiltak. Innsamling, bearbeiding og tolkning av data er nødvendige aktiviteter som må planlegges og systematiseres. Kontroll tar tid og krever ressurser. Det er derfor viktig å finne de rette tingene å måle, måle de på riktig måte og sette inn tiltak ved avvik. Det er viktig å fokusere på kjerneprosessene. Finn ut hvilke prosesser dette er, hva som påvirker disse, hvem som deltar og hvordan disse prosessene kan analyseres og forbedres. Viktige krav til et målesystem som er egnet for kvalitetsledelse er: måling for forbedring, ikke overvåkning, måling er relativt, ikke absolutt, måling er i første rekke til for prosesseier, måling må reflektere kundebehov, måling er alles ansvar, måling må synliggjøre fremgang. Det er viktig å vite hva man skal måle, hvorfor man måler og hvordan man skal måle.viktige prinsipper for datainnsamling er: Bestem hensikten Bestem typen av data som skal samles inn Finn egenskapen til dataene Bestem hvem som skal samle dataene og når Vurder påvirkningen fra mennesker 10

14 KVALITETSUTVIKLING Hva slags mål som er egnet i en gitt situasjon vil kunne avhenge av relevans, pålitelighet, tigjengelig tid og/eller ressurser (økonomiske, tekniske og menneskelige). For at datagrunnlaget skal kunne utnyttes best mulig er det viktig å sikre at datakvaliteten er god. (at data ikke mangler, at data som fins blir brukt, at data ikke tolkes feil, at riktig tolkning fører til riktig handling). Hensikten med datainnsamling er å øke forståelsen, kunne evaluere, kontrollere og forutsi. Statistiske verktøy benyttes ofte som et hjelpemiddel i kvalitetsarbeid. De kan benyttes til: Oppsummere og beskrive egenskaper ved prosessen Finne årsak til variasjon og problemer i prosesser Forenkle og forbedre arbeidsprosedyrer Øke innflytelse på beslutningsprosessen Evaluere endringer Forhindre i stedet for å oppdage. Styring gjennom fakta, ikke tro Ledelsens ansvar Det er umulig å få til forbedringer med mindre toppledelsen er engasjert og demonstrere forpliktelse og lederskap. Kvalitet og prosessforbedringer er en evigvarende og kontinuerlig aktivitet. Det er også viktig at kvalitetssystemet er tilpasset organisasjonen. Det er ikke mulig å kopiere et kvalitetssystem fra en annen bedrift, det må skreddersys for å bli effektivt. Det er viktig at toppledelsen utformer en klar kvalitetspolitikk som blir bekjentgjort og forstått i alle ledd i organisasjonen. Dette innebærer forståelsen av at kvalitet er alles ansvar, avsetting av tid og ressurser til opplæring og forpliktelse for at strukturen blir etablert, vedlikeholdt og forbedret. For at kvalitetssystemet skal være et effektivt og lønnsomt verktøy, må det være nøye integrert i hele organisasjonen og akseptert av ledere og ansatte på alle nivåer. Det må legges til rette for og oppmuntres til egenutvikling og personlig kvalitet for alle medarbeidere. Utfordringer (og kritisk blikk) Det er lett å enes om prinsippene rundt og viktigheten av kvalitetsledelse og kvalitetsutvikling og å skaffe seg et teoretisk fundament. Mye av prinsippene rundt kvalitetsarbeid og kvalitetsledelse baserer seg på sunn fornuft og å sette ting i system. Like fullt kan kvalitetspersonell lett oppfattes som moralister og pekefingre ( ikke gjør det sånn, men...). Det kan også lett oppfattes som mye ekstra papirarbeid, begrensning av kreativitet, at det er kjedelig, at det har lav status etc. Det er derfor viktig at kva- 11

15 KVALITETSUTVIKLING litetsarbeid tar utgangspunkt i et realistisk bilde av organisasjonen, søker aktiv deltagelse av ansatte på alle plan og det ikke gjøres forsøk på å tre et ferdig system over de ansatte, og at det ikke fremstilles som en trosbekjennelse som eneste farbare vei. Det er viktig å være klar over at kvalitetsarbeid krever langsiktighet og utholdenhet og huske på at det er viktig å tilpasse arbeidet til organisasjonen. Samtidig er det viktig at det ikke bare snakkes om kvalitetledelse, men at det også gjøres konkrete utspill. 12

16 Datatilsynet og informasjonssikkerhet Kapittel Datatilsynet ble opprettet i 1980 og skal sikre gjennomføringen av Lov om personregistre av 1978 (personregisterloven). Personregisterloven er ment å beskytte individrettede og samfunnsorienterte personvernhensyn, og Datatilsynet er med dette utgangspunkt bl.a. gitt myndighet til å utstede konsesjoner for personregistre som inneholder sensitive personopplysninger. I den forbindelse kan det også som vilkår for konsesjonen gis pålegg om sikring av personopplysningene. De påleggene som gis tar utgangspunkt i Datatilsynets Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger, som er Datatilsynets grunnlag for vurdering av informasjonssikkerheten. Retningslinjene benyttes ved utarbeidelse av sikkerhetsvilkår, i Datatilsynets kontrollarbeid og er også ment til hjelp for den enkelte virksomhet i arbeidet med å etablere tilfredsstillende sikring av personopplysninger. Det har tidligere vært påkrevd at registre i helseinstitusjoner som inneholder sensitive personopplysninger, skal føres i dedikerte informasjonssystem. Ved søknad om dispensasjon fra dette vil Retningslinjene være Datatilsynets grunnlag for vurdering av informasjonssikkerheten og sikkerhetsvilkår i dispensasjoner har disse retningslinjene som utgangspunkt. Datatilsynet skriver derfor at virksomheter som søker dispensasjon fra vedtaket om føring av sensitive personopplysninger i dedikert informasjonssystem bør legge disse retningslinjene til grunn ved beskrivelse av egen informasjonssikkerhet. Datatilsynets Retningslinjer for informasjonssikkerhet gir utgangspunkt for et regime for informasjonssikkerhet som en organisasjon må etablere ved behandling av personopplysninger, og benyttes som underlag ved kontroll. Hovedelementene i dette regimet er: Ledelsen har ansvaret for virksomhetens informasjonssikkerhet og skal definere mål og strategi for dette. Sikkerhetsmålene skal angi overordnede krav til konfidensialitet, integritet og tilgjengelighet samt henvise til offentlige krav som gjelder for virksomheten. Strategien skal angi prioriteringer og valg i sikkerhetsarbeidet og retningslinjer for organisering og sikkerhet knyttet til informasjonssystemet. Det må etableres rutiner for arbeidet med informasjonssystemet. 13

17 DATATILSYNET OG INFORMASJONSSIKKERHET Mål Strategi Internkontroll Rutiner Systemteknisk sikkerhet Figur 3 - Regime for informasjonssikkerhet Det skal utføres jevnlige internkontroller. Internkontrollen skal kontrollere at beskrevne ansvars- og myndighetsforhold er i samsvar med de virkelige forhold, at rutiner benyttes og er hensiktsmessige, samt at planlagte sikkerhetstiltak er iverksatt og effektive. Det må utføres risikoanalyse for informasjonssystemet. Risikoanalysen skal vurdere trusler mot informasjonssikkerheten, vurdere effektiviteten av eksisterende sikkerhetstiltak og beskrive tiltak for forbedring. Risikoanalyse må gjentas ved endringer i informasjonssystemet eller endringer i trusselbildet. Det må finnes rutiner for avvikskontroll som beskriver hvordan avvik skal rapporteres og retningslinjer for iverksettelse av strakstiltak og korrigerende tiltak. Det stilles systemtekniske krav knyttet til f.eks. tilgangskontroll og dataoverføring. Til sammen gir disse elementene en organisering av sikkerhetsarbeidet, samt verktøy for å kontrollere og tilpasse arbeidet med personopplysningene. Sikkerhetskrav for helsevesenet Datatilsynets krav til informasjonssikkerhet fokuserer i stor grad på å beskytte konfidensialiteten til sensitive personopplysninger, og legger stor vekt på personvern. I helseinstitusjoner vil også andre sikkerhetsbehov gjøre seg vel så gjeldende, så som høy tilgjengelighet, behov for 14

18 DATATILSYNET OG INFORMASJONSSIKKERHET langtidslagring av f.eks. journalinformasjon og sporbarhet ved endring i informasjonen. Informasjonssikkerhet i helsevesenet dreier seg derfor vel så mye om sikring av pasienters medisinske behov og helseinstitusjonenes arbeidsprosesser som om personvern. Innen helsevesenet vil itsystemer i første rekke være verktøy som benyttes for å nå medisinske mål. Derfor er tilgangen til nødvendig informasjon når informasjonskritiske beslutninger tas med konsekvenser for pasienters liv og helse vel så mye målestokken for om sikker informasjonsbehandling er innført. Behovet for sikring av helseopplysninger blir også slått fast i utkastet til ny lov om helseregistre, og det åpnes også for at informasjonssikkerheten kan reguleres ved forskrift, slik det også åpnes for i utkast til ny lov om personregistre. I begge utkastene legges det opp til at arbeidet med informasjonssystemet skal underlegges internkontroll og det skal kunne dokumenteres at det eksisterer systemer og rutiner som sikrer overholdelse av reglene i lovene. Det forventes at Datatilsynets Retningslinjer vil ligge til grunn for slike forskrifter. 15

19 Kapittel Fellestrekk sikkerhet og kvalitet Informasjonssikkerhet har både tekniske og organisatoriske aspekter, og det er først og fremst det siste en tilnærming basert på kvalitetssystemer vil søke å ivareta. Dette kapittelet vil derfor fokusere på hvilke organisatoriske strukturer og prosesser som gir et utgangspunkt for å samordne informasjonssikkerhet med allerede eksisterende tiltak for kvalitetssikring og internkontroll. Likheten mellom kvalitetssikring og informasjonssikkerhet ligger bl.a. i at begge: Handler om kontinuerlig forbedring nye trusler og svakheter avdekkes stadig. Handler om å redusere og forhindre usikkerhet og risiko Metodene som benyttes for å oppnå disse hovedmålene har også mye til felles. Fire kjennetegn som ofte knyttes til kvalitetsstyrte organisasjoner er brukerfokus, systematisk forbedring, helhetlig lederskap og et fokus på kontinuerlig forbedring, som beskrevet i kapittel 2. Disse kjennetegnene har også relevans for informasjonssikkerhet: Brukerfokus informasjonssikkerhet skal bidra til at den enkelte bruker av informasjonssystemene kan utføre sitt arbeide på en sikker og effektiv måte. Systematisk forbedring informasjonssikkerhet må innføres utfra et helhetsperspektiv og kan ikke innføres kun på enkeltområder eller kun som tekniske løsninger. Helhetlig lederskap og tverrfaglighet Effektiv informasjonssikkerhet må ta hensyn til en rekke faglige behov og vil påvirkes av faktorer som er både eksterne og interne for organisasjonen. Fokus på erfaringslæring og kontinuerlig forbedring er nødvendig for sikkerhetsorganisasjoner som skal forholde seg til stadig nye trusler og skiftende rammebetingelser. Kvalitetsarbeid og informasjonssikkerhet er avhengig av og vil benytte en rekke ulike ressurser i tilknytning til organisasjonen, hvor de viktigste vil være teknologi, kunnskap og kompetanse, medarbeidere og ledelse. Teknologien vil i mange tilfeller være den ressurs som mest synlig vil legemliggjøre de valg en organisasjon gjør for sin informasjonssikkerhet. 16

20 FELLESTREKK SIKKERHET OG KVALITET Særlig vil teknologien i siste instans gi tilgang til konkrete elementer i informasjonssystemet, basert på valg og prioriteringer fra organisasjonens ledelse. Teknologien må derfor være et resultat av administrative valg og organisasjonens arbeidsprosesser og ikke omvendt. Det siste er selvsagt den ideelle situasjonen, og av mange grunner, både organisatoriske, økonomiske og tekniske, uheldigvis lite realistisk. Stadig flere arbeidsoppgaver stiller høye krav til kompetanse. Kravene til oppdatert kunnskap er tydelig innenfor de enkelte profesjonene, men også kunnskap innen mer generelle områder, og da særlig informasjonsteknologi, gjør seg gjeldende. Informasjonssikkerhet er intet unntak i så henseende, og årvåkenhet for hvilke kunnskapsområder som vil være kritiske er påkrevd. Den kunnskapen som kreves for å bygge en vedvarende og robust organisering av informasjonssikkerheten vil i stor grad være tverrfaglig, med store innslag særlig fra organisasjonsteori og ledelse samt informasjonsteknologi. Den tverrfaglige orienteringen skal sikre at beslutningstagere med et begrenset synsfelt ikke i unødig grad omdefinerer alle problemer til sin egen referanseramme (ser alle problemer som en spiker som må slås inn ), men at ulike perspektiver og behov tas hensyn til. Særlig er det viktig at perspektivet løftes opp fra teknisk flisespikkeri, og på den andre siden at visjonære organisasjonsteoretikere får føttene plantet blant de tekniske realiteter. I siste instans er det er virksomhetens ledelse som er ansvarlig for at informasjonsressursene er tilstrekkelig sikret på samme måte som for kvaliteten på den tjenesten eller produktet som organisasjonen leverer. Initiativer for informasjonssikkerhet må ha solid støtte fra toppledelsen for å inneha nok legitimitet og handlekraft til å skape endringer der det er nødvendig. Sammenfallende organisasjon Likhetstrekkene mellom den tankegangen som kommer til uttrykk i Datatilsynets Retningslinjer og tankegangen vi finner i mye av litteraturen om kvalitetssystemer kommer tydelig fram i hvordan arbeidet med informasjonssikkerhet, hhv. kvalitet organiseres. I begge tilfeller fokuseres det på klare linjer og forutsigbarhet i organisasjonen, og kontinuerlig forbedring gjennom avvikshåndtering og tilpassing av rutiner. Retningslinjene vektlegger at det er ledelsens ansvar at de personopplysningene som behandles er sikret på en tilfredsstillende måte. Dette skal ledelsen gjøre gjennom å utarbeide mål for informasjonssikkerheten samt strategi for å oppnå målene. Ledelsen blir også pålagt å gjennomføre jevnlig gjennomgang av organiseringen og vurdere de signaler som kommer fra internkontroll, risikoanalyser og endringer i krav f.eks. fra det offentlige eller fra brukerne av informasjonssystemet. Endringer i hvordan organisasjonen opererer og forholder seg til omgivelsene vil først og fremst effektueres gjennom mekanismene for internkontroll og avvikshåndtering. Disse skal sørge for at de fastsatte rutinene følges, og at rutinene og planlagte sikkerhetstiltak benyttes og fungerer 17

21 FELLESTREKK SIKKERHET OG KVALITET etter sin hensikt. På denne måten skapes en slags tilbakekobling fra de laveste nivåene (rutiner og systemtekniske sikringstiltak) til de styrende nivåene (mål og strategi). Prosedyrer Dokumentasjon av prosesser og prosedyrer ligger til grunn for ISO 9000, og standarden har av enkelte blitt oppsummert som Si hva du gjør. Gjør det du sier. Skriv det ned. Dokumenterte prosedyrer skal bl.a. gi klare ansvarsforhold og reproduserbare resultater. Når alle funksjoner og prosesser er dokumentert vil organisasjonen kunne ivareta kunnskap som tidligere har vært låst til enkeltpersoner og være mindre følsom overfor endringer i organisasjonen. Det samme prinsippet gjelder for informasjonssikkerhet hvor prosedyrer skal skape oversiktlige, ryddige forhold for å sikre informasjonsbehandlingen. For at informasjonssikkerhet skal bli en del av linjeansvaret må rutiner for informasjonssikkerhet legges inn i kvalitetssystemet, og eksisterende rutiner endres til å ta hensyn til informasjonssikkerheten. Mål og strategi for informasjonssikkerhet Styrende dokumentasjon Prosedyrer Område 1 Område 2 Område 3 IT-organisasjon Figur 4 - Generell modell for kvalitetssystemet Etter som større og større deler av hva bedriften gjør dokumenteres i kvalitetssystemet, settes det høye krav til håndteringen av denne informasjonen. Stadig flere innser at denne informasjonen er deres viktigste akti- 18

22 FELLESTREKK SIKKERHET OG KVALITET va og at håndteringen av den er kritisk for organisasjonens suksess og overlevelsesevne. Dokumentasjon skal skrives, lagres, endres og leses, og alle disse aktivitetene kan være arbeidsintensive og utsatt for feil. Særlig vil prosedyrer som er utsatt for hyppige endringer kreve effektive systemer for å håndtere de ulike versjonene og for å sikre at siste versjon til en hver tid er tilgjengelig for den som trenger informasjonen. Dette medfører at et dokumentsystem for elektronisk håndtering av kvalitetssystemet raskt vil bli nødvendig. Måling og indikatorer For å kunne evaluere virkningen av kontrolltiltak og endringer / innføringer av nye rutiner er det nødvendig å ha et sett av måleområder og indikatorer som gjør det mulig å se effekten av endringene. Innenfor HMS-området kan en slik indikatorer være antall personskader av en viss type pr. år, for informasjonssikkerhet f.eks. antall ganger systemer med sensitive personopplysninger har blitt forlatt uten utlogging fra systemet. I begge tilfeller må indikatorene være meningsfylte for de egenskapene de skal måle og gi verdifull merinformasjon for de avgjørelser organisasjonen tar. Synergieffekter Motivasjonen for å bruke kvalitetssystemet i arbeidet med informasjonssikkerheten ligger i hovedsak i verdien av å kunne benytte en eksisterende struktur for håndtering av prosedyrer samt administrasjon og ledelse. I tillegg er det viktig å vektlegge at informasjonssikkerhet er en sentral komponent i kvalitet, kanskje spesielt i helsevesenet. Organisatoriske endringer av det omfang som innføring av et robust og helhetlig regime for informasjonssikkerhet utgjør vil normalt være både komplisert og stille store krav til organisasjonen. Hvis en eksisterende struktur med tilstrekkelig likhetstrekk eksisterer og har aksept innad i organisasjonen vil det være mye å tjene på å integrere disse. Utfordringer for helsevesenet En sammenkobling av kvalitetssystemet og regimet for informasjonssikkerhet er en potensielt effektiv løsning for å håndtere to organisatoriske behov på en helhetlig og samkjørt måte. Forutsetningen for at dette skal ha en positiv effekt på innføringen og den videre styringen av organisasjonens informasjonssikkerhet er naturligvis at kvalitetssystemet og denne formen for organisasjonstenking allerede har vunnet innpass. Ikke alle organisasjonskulturer har like gode forutsetninger for å kunne bygge opp og utnytte et effektiv kvalitetssystem. Intuitivt er det kanskje byråkratiet som vil ses som den mest åpenbare rollemodellen for en organisasjon med dokumenterte rutiner og klar hierarkiske struktur. Denne rollemodellen er lite karakteristisk for helsesektoren, som i større grad er inndelt etter profesjoner enn etter ledelse/arbeidstager. Dette er selvsagt 19

23 FELLESTREKK SIKKERHET OG KVALITET utfordringer som må tas på alvor, og erfaring viser at arbeid som kartlegging av arbeidsprosesser, dokumentasjon av rutiner og håndtering av dette i ettertid er meget krevende. En felles organisering av arbeidet med kvalitet og internkontroll og arbeidet med informasjonssikkerhet kan forhåpentligvis redusere kompleksiteten og ressurskravene noe. 20

24 Kapittel Integrering Dette kapittelet beskriver de områdene hvor integrasjon av kvalitetssystem og system for informasjonssikkerhet er mest synlig. Dette gjelder indikatorer og målinger, risikoanalyse, internkontroll og avvikshåndtering samt rutiner. Indikatorer for informasjonssikkerhet Måling er et nødvendig verktøy for å avgjøre om innføringen av et kvalitetssystem er vellykket og om progresjonen er til stede. Målinger er nødvendige for å finne områder som kan forbedres og for å prioritere disse. Resultatene skal brukes til å avgjøre hvor vi ønsker å gå, og vise om vi har kommet dit. For informasjonssikkerheten vil et godt system for å måle frekvens og type for sikkerhetsrelevante hendelser være viktig for å avgjøre hvilke tiltak som bør innføres og for å synliggjøre behovet for tiltak innad i organisasjonen. Det første steget i en måleprosess er å avgjøre hva som skal måles. Innenfor kvalitetsledelse retter man da fokuset mot produktet eller prosessens primære kvalitetsegenskaper. Dette er de egenskapene som er av størst betydning for produktet eller prosessen, og har størst betydning for produktets kunder/brukere. Eksempel på dette for informasjonssikkerhet kan være at konfidensiell informasjon ikke blir sendt til uvedkommende, eller at prosedyrer for informasjonssikkerhet ikke medfører komplikasjoner i brukernes hverdag. Når det er avgjort hvilke primære kvalitetsegenskaper som skal måles er det nødvendig å gi disse klare, operasjonelle definisjoner. Dette betyr egenskapene må bindes til konsepter som kan måles. Eksempelvis kan egenskapen høy pålitelighet operasjonaliseres til gjennomsnittlig tid mellom alvorlige systemfeil. Prosessen med å finne operasjonelle definisjoner er en del av arbeidet med å avgjøre hvordan vi skal måle kvalitetsegenskapene. Før selve målingsprosessen igangsettes må det også avgjøres hvilke kriteria som skal ligge til grunn for analysen av måleresultatene, og eventuelt hvilke resultater som er tilfredsstillende. En anvendelse av denne tenkemåten for informasjonssikkerhet kan være å klassifisere alle sikkerhetshendelser basert på deres egenskaper. Et godt system for klassifikasjon vil være et nyttig verktøy for å måle frekvensen av ulike typer hendelser, noe som vil gi viktige innspill til valg av sikkerhetstiltak og hvorvidt tiltakene er effektive. Et viktig element i dette arbeidet vil være å benytte en god taksonomi for informasjonssikkerhet, 21

25 INTEGRERING Angriper Verktøy Svakhet Fase Resultat Motiv Hackere Brukerkommandoer Spioner Terrorister Selskapspirater Prof. kriminelle Scripts/programmer Autonome agenter Verktøykasser Distribuerte verktøy Designsvakhet Implementeringssvakhet Konfigurasjonssvakhet Informasjonsflyt Informasjonslager Integritet Konfidensialitet Tilgjengelighet Status Politiske mål Økonomisk Skadepåføring Vandaler Elektronisk støy Figur 5 - taksonomi for angrep som gir klare og entydige klassifiseringer av hendelser. Det er gjort flere forsøk på å skape et klassifiseringssystem eller taksonomi over angrep på datasystemer. Et system er gjengitt i [Howard97]. Dette tilfredstiller de krav som må stilles til taksonomier, som at kategoriene skal være gjensidig utelukkende, uttømmende og at gjentatte klassifikasjoner skal gi samme resultat og være utvetydige. Denne taksonomien er basert på et prosessorientert synspunkt. Med dette synspunktet søker en angriper å oppnå endelige mål eller objektiver, gjennom en operasjonell sekvens av verktøy, tilgangsmåter og resultater. Først klassifiseres angriperne i 6 kategorier: Hackere, spioner, terrorister, selskapskaprere (finansielt motiverte), profesjonelle kriminelle og vandaler, altså ulike typer angripere, med ulike motivasjoner. Videre klassifiseres verktøyene i 6 kategorier: brukerkommandoer, script eller programmer, autonome agenter, "verktøykasser", distribuerte verktøy og datatapping fra elektronisk støy. En angriper må utnytte visse svakheter i systemet. Disse blir foreslått klassifisert som designsvakhet, implementeringssvakhet eller konfigurasjonssvakhet, henholdsvis at en feil har blitt gjort under designet, at designet ikke har blitt korrekt implementert, eller at systemet ikke har blitt satt opp forskriftsmessig. Videre kan vi generelt si at informasjonen kan utsettes for angrep mot når den befinner seg i to slags faser, mens det befinner seg i ro på maskinen, eller under transport mellom ulike systemer. Resultatene som kan oppnås gjennom denne prosessen er ødeleggelse av data, avsløring av innholdet i data, tyveri eller nektelse av tilgang, altså henholdsvis tap av integritet, konfidensialitet og tilgjengelighet. Til slutt kan angrepet klassifiseres etter hvilket motiv angriperen har, kategoriene som foreslås er utfordring og status, politiske mål, finansielle mål eller ønske om å påføre skade. Totalt gir dette en effektiv måte å klassifisere angrep på informasjonssys- 22

26 INTEGRERING temer, men modellen tar ikke hensyn til sikkerhetsrelevante hendelser som forårsakes av uforsiktighet eller svakheter som avdekkes på andre måter en ved angrep, og den er i stor grad fokusert på eksterne trusler mot informasjonssystemet. Dette er selvsagt momenter som det bør tas hensyn til ved valg av et system for klassifisering og beskrivelse av sikkerhetshendelser i en organisasjon. Risikoanalyse I tillegg til den løpende håndteringen og klassifiseringen av sikkerhetsrelevante hendelser vil det være nødvendig å utføre risikoanalyse når det utføres endringer i informasjonssystemet som har betydning for sikkerheten. Dette kan være endringer i informasjonens mengde eller klassifisering, endringer i trusselbildet, systemets konfigurasjon eller i organisasjonen. Risikoanalyse bør ideelt sett foregå som en kontinuerlig prosess hvor trusselbilde og sikringstiltak jevnlig vurderes opp mot hverandre og mot kostnader og verdi av de ulike tiltakene. Hovedstegene i en risikoanalyse vil være: Beskriv analyseobjektet og utfør en avgrensing mot omgivelsene for å klargjøre hva analysen omfatter. Beskriv trusler rettet mot de sikkerhetskrav som er satt for systemet. Anslå konsekvens/hvor alvorlig de ulike truslene er. Anslå sannsynligheten for at trusselen utløses (evt. hvor lett en trussel kan utløses) Foreslå mottiltak og anslå nytte vs. kostnad for disse. Internkontroll og avvikshåndtering Rutinene omkring avvikshåndtering og internkontroll vil på mange måter være kjerneelementene i organisasjonens løpende håndtering av informasjonssikkerheten. Disse prosessene vil være avgjørende for hvor effektivt organisasjonen reagerer på trusler og hendelser av betydning, og i hvilken grad organisasjonen er i stand til å håndtere de krav til sikkerhet og kvalitet som stilles internt og fra omgivelsene. Avgjørende for kvalitets- og informasjonssikkerhetssystemets effektivitet er den enkelte medarbeiders innstilling og holdninger. Særlig viktig er det med tilstrekkelig opplæring i nyinnførte rutiner og nye systemer, slik at den enkelte settes i stand til å kunne avgjøre enkelthendelsers betydning for informasjonssikkerheten og se helheten i arbeidet med informasjonssikkerheten. Ledelsens innstilling til informasjonssikkerhet og kvalitet vil også kunne ha stor påvirkningskraft og bør utnyttes positivt. Avviksrutiner for kvalitet og informasjonssikkerhet bør utformes på en uniform måte for å sikre korrekt og effektiv behandling av avvik. Et tiltak kan være å definere et felles rapporteringspunkt for alle avvik. Et slikt 23

27 INTEGRERING rapporteringspunkt vil dermed kunne dra nytte av den kollektive kunnskapen som de som bemanner rapporteringspunktet besitter og effektivt vurdere trusler og tiltak etter hvert som det er nødvendig. Siden rapporteringspunktet blir et kritisk punkt i organisasjonens avvikshåndtering er det nødvendig å sikre gode rutiner rundt arbeidet og sørge for at nødvendig personell er tilgjengelig ved behov. Rutiner for informasjonssikkerhet Datatilsynets retningslinjer identifiserer en rekke områder hvor det må etableres sikringstiltak og rutiner knyttet til sikkerheten til informasjonssystemet. Det følgende skisserer disse, samt antyder på hvor disse prosedyrene kan høre hjemme i et kvalitetssystem. Det siste må ikke forstås dogmatisk, men er ment som en antydning av hvem prosedyrene mest naturlig vil utføres av. 1. Risikoanalyse Organisasjonen må ha en prosedyre som dokumenterer de minstekrav som settes til en risikoanalyse og ved hvilke anledninger en risikoanalyse er påkrevd. Risikoanalyse vil normalt utføres ved større endringer enten i informasjonssystemet eller i dets omgivelser, og da i utgangspunktet av systemets eier. Det kan være gunstig å ha en prosedyre som beskriver framgangsmåten for dette arbeidet på et overordnet nivå i kvalitetssystemet, eksempelvis som en del av strategi for informasjonssikkerhet. En annen tilnærming kan være å lage en generell prosedyre for risikoanalyse innen alle felt som omfattes av kvalitetssystemet, som helse, miljø osv. 2. Internkontroll For å kontrollere at besluttet sikkerhetsstrategi følges må organisasjonen utføre internkontroll. Rutinen for internkontrollen skal kontrollere at: beskrevne ansvars- og myndighetsforhold er i samsvar med de virkelige forhold beskrevne arbeidsoppgaver er i samsvar med de oppgaver som utføres i praksis rutiner benyttes og fungerer etter sin hensikt planlagte sikkerhetstiltak er iverksatt og fungerer etter sin hensikt. Internkontrollen kan f.eks. utføres av organisasjonens ansvarlige for informasjonssikkerhet, og kan beskrives i strategi for informasjonssikkerhet, eller i annen dokumentasjon på sentralt ledelsesnivå. 3. Ledelsens gjennomgang Prosedyren for ledelsens gjennomgang er ment å sikre at ledelsen gis mulighet til å vurdere statusen for informasjonssikkerheten og gi grunnlag for nødvendig revisjon av sikkerhetsmål og -strategi. Beskrivelsen av denne gjennomgangen kan ligge i strategi for informasjonssikkerhet eller lignende dokument. 24

28 INTEGRERING 4. Konfigurasjonsendringer Hvis det gjøres store endringer i informasjonssystemets konfigurasjon kan det være nødvendig å utføre en risikoanalyse (jf. prosedyre 1) for å avklare hvordan endringer vil påvirke informasjonssikkerheten. En prosedyre for konfigurasjonsendring må videre omfatte: retningslinjer for behovs- og kompatibilitetsanalyse retningslinjer for installasjon, utprøving og avvikling av utstyr og program beskrivelse av ansvar og myndighet, herunder hvordan konfigurasjonsendringer godkjennes. Arbeidet med organisasjonens sikkerhetsbarrierer, og endringer i konfigurasjonen av disse må særlig underlegges kontroll. Alle endringer må dokumenteres, og det må etableres klare ansvars- og myndighetsforhold slik at alle endringer er et resultat av beslutninger tatt på bakgrunn av organisasjonens sikkerhetspolicy og eventuelle pålegg fra eksterne myndigheter. Mye av dette vil best ivaretas gjennom konkrete rutiner for de enkelte systemer. 5. Utilsiktet avbrudd I den grad det er nødvendig må det etableres en prosedyre for alternativ informasjonsbehandling ved kritisk avbrudd i driften. Prosedyren må omfatte: retningslinjer for bedømmelse av avbruddets virkning på informasjonssystemet og informasjonssikkerheten angivelse av alternative informasjonssystemer alternative (manuelle) rutiner retningslinjer for gjenoppretting av normal drift beskrivelse av ansvar og myndighet I den grad informasjonssystemene er en nødvendig del av driften i en krisesituasjon, må disse tas med i eventuelle eksisterende beredskapsplaner. 6. Sikkerhetskopiering Det må eksistere prosedyrer som fastslår hvilke deler av organisasjonens informasjonssystem det skal tas sikkerhetskopi av, hvor ofte dette skal gjøres, og hva slags lagringsmedium som skal benyttes. Videre må med jevne mellomrom sikkerhetskopienes integritet kontrolleres. Ansvarsforhold knyttet til gjenoppretting må også beskrives. Disse rutinene må i stor grad knyttes til de systemer de gjelder for, det vil f.eks. kunne være ulike krav til sikkerhetskopiering av e-postsystem og system for pasientjournaler. 25