Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Transkript

1 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

2 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene Pasientreiser må utarbeide en beskrivelse av hvordan kravet om registrering av autorisert bruk og forsøk på uautorisert bruk gjøres og hvem som har ansvaret for å gjennomgå og analysere logger. Databehandleravtaler er signert (utført) Dokumentere eksisterende rutiner for tildeling av autorisasjoner / brukerroller & -rettigheter PRO Avdekke avvik til kravet til registrering av autorisert & uautorisert bruk av NISSY og PRO Definere metode/rutine for å avdekke og følge opp uautorisert bruk av NISSY & PRO

3 6.1.2 Etablert og dokumentert roller og ansvarsbeskrivelser som sikrer resultateierskap til alle oppgaver som skal utøves. Gjennomføre planlagte prosjekt for å vurdere forbedring av IT styring og organisering Oppdatere avtale med Norsk Helsenett til også å inneholde regulering av: A. hvilke tjenester som skal ytes, til hvilke tjenestenivå B. Krav om rapportering C. Regulering av databehandleransvaret D. Krav om «right to audit» E. Sanksjoner. Dokumentere en formell prosess for oppfølging av leveransene iht avtalen. Gjennomgå og komplementere rollebeskrivelser og samhandlingsmønster internt på IKT Oppdatere rollebeskrivelser og samhandlingsmønstre mellom Pasientreiser og applikasjonsleverandører Oppdatere rollebeskrivelser og samhandlingsmønstre mellom Pasientreiser og driftsleverandører Gjennomføre prosjektet «Kvalitetsgjennomgang av IKT funksjonen» Bearbeide kontrakt og SLA til driftsleverandør

4 ID Rapportens anbefaling Tiltak Frist Formalisere og dokumentere endringsprosessen Utvide business case til også å inneholde vurdering av tidsbruk/tidsplan, risikoer og plan for gevinstrealisering Gjennomføre planlagte vurdering av arkitekturen i PRO og NISSY. Etablere en avtale med Norsk Helsenett der tjenesten «Sonic» defineres Dokumentere endringsprosessen for å sikre at implementering av nye versjoner og endringer i programvare blir håndtert på en måte som reduserer risiko for feil. endringsprosessen (innhenting, dokumentering og prioritering av bruker - og driftsbehov) endringsprosessen inkl. business case oppsett og anvendelse Utarbeide rutine for porteføljestyring i Pasientreiser ANS Gjennomføre prosjektet «Kvalitetsgjennomgang av IKT funksjonen» Vurdere om Pasientreiser ANS bør ta ansvaret for avtaleverket for Sonic mellom Norsk Helsenett og de Regionale Helseforetakene endringsprosessen (implementering av nye versjoner og endringer i programvare) Dokumentere en formell prosess for håndtering av sikkerhetsoppgraderinger (patch management). Gjenspeile ansvar og gjennomføring i oppdatert avtale. Utarbeide prosedyre for håndtering av sikkerhetsoppgraderinger og dokumentere denne. Inngå ny avtale / tilpasse avtale med leverandører (Locus. Acando og NHN)

5 6.2.2 Vurdere risiko av alle behandlinger som gjennomføres i Pasientreiser sine IT systemer i forhold til enkeltmenneskers personvern. Resultatet fra risikovurdering må sammenlignes med akseptabelt risikonivå ledelsen har besluttet Tilpasse prosess og gjennomføring av sikkerhetsrevisjon av leverandørene av PRO og NISSY. Iverksette rutiner for egenkontroll Sikre at funksjonalitet for periodisk bytte av passord gjelder for alle brukere. Tilpasse lengdekravet til passord i NISSY til Normen og tilhørende fakta ark Utarbeide rutiner for og gjennomføre test på om sikkerhetskopi faktisk fungerer Revidere rutine for risikovurdering og legge dette inn i prosessen for kvalitetssikring (personopplysninger) Utarbeide forslag til ROS analyse på systemnivå Utarbeide forslag for definisjon av akseptabel risiko for konfidensialitet Planlegge og gjennomføre sikkerhetsrevisjon av leverandørene Revidere og iverksette rutiner for egenkontroll Dokumentere eksisterende rutiner for tildeling av autorisasjoner / brukerroller & -rettigheter for PRO Tekniske endring av krav til passord i NISSY Rutine for hvordan sikkerhetskopi og restore (systemgjenoppretting ) skal gjennomfører (med risikoanalyser av dagens situasjon) Rutine for å verifisere at sikre at sikkerhetskopi tas og restore fungerer tilfredsstillende