Norm for informasjonssikkerhet i helsesektoren

Transkript

1 Norm for informasjonssikkerhet i helsesektoren Tor Ottersen

2 Hvorfor en Norm? Få en felles forståelse av informasjonssikkerhet i sektoren Få et felles minimumsnivå for sikkerheten Skape trygghet ved elektronisk kommunikasjon internt i og på tvers av virksomheter Skape forankring i sektoren for informasjonssikkerhetsarbeidet Forenkle arbeidet i den enkelte virksomhet

3 Hva er Norm for informasjonssikkerhet i helsesektoren? Retningslinjer og mål for informasjonssikkerhet Juridisk bindende ved avtale - alle som tilknyttes NHN må følge Normen Omforent dokument - laget av sektoren i felleskap: Den norske lægeforening RHF-ene Norsk Sykepleierforbund Norges Apotekforening KS DOT Tannlegeforeningen Datatilsynet, Helsetilsynet, NAV og Sosial- og helsedirektoratet

4 Hva innebærer innføringen av Normen? Forenkling: - Ett dokument som angir en omforent helhetlig kravspesifikasjon - konsentrat av ca 30 lover og forskrifter - Gjeldende rett - dvs de av lovtolkende myndighet gjeldende fortolkninger av lov og forskrift - Angir et minimumsnivå - Gir entydige definisjoner

5 Hva innebærer innføringen av Normen? Trygghet - Følges Normen tilfredstiller man lovverket - Samhandling, dvs overføring av informasjon, med andre i helsenettet tifredstiller kravet om at man skal forsikre seg om mottager har tilfredstillende informasjonssikkerhet - Anbefalte og aksepterte løsninger - Krav til leverandører ( f. eks. i kravspesifikasjoner )

6 Normen skal ivareta alle aspekter: Konfidensialitet - data skal ikke på avveie Integritet - data skal ikke uautorisert kunne endres Tilgjengelighet - data skal være tilgjengelige ved behov Kvalitet - data skal være korrekte, komplette og ført iht aksepterte standarder Normen gir retningslinjene og kravene

7 Forholdsmessighet Avveining av tiltak som skal ivareta alle aspekter ved sikkerheten: Det skal settes mål Tiltak skal baseres på risikoanalyser. Tiltakene skal ivareta målene Hvilke tiltak Tekniske og/eller organisatoriske Sperrer og/eller (reell) etterkontroll Normen og støttearkene gir veiledning

8 Målgruppe Normen er ment som en hjelp til hele sektoren, dvs ca 4000 virksomheter Normen er juridisk bindende for alle som er eller blir tilknyttet Norsk helsenett For andre ( også utenfor sektoren ) er Normen veiledende Virksomheter, f. eks. leverandører som ikke er tilknyttet NHN, kan forplikte seg juridisk til å følge Normen Målgruppen er virksomhetenes ledelse

9 Oppbygging Dokumenter som inngår i utgivelsen(e) er tredelt Normen: det dokument som er/blir juridisk bindende Fakta-arkene: Retningsgivende kortfattede veiledere for hvordan enkeltelementer kan ivaretas slik at Normens krav tilfredstilles Veiledere: Veiledere innenfor spesielle felt ( foreløpig 1 under arbeid Fjernaksess for leverandører )

10 Normen Innledende del Om Normen Oversiktsdel - ansvar og dokumentasjon Styrende del Gjennomførende del Kontrollerende del

11 Fakta-arkene Kortfattede veiledninger ( retningsgivende ). Utarbeides pga forslag fra sektoren. Kan være overlappende Foreløpig utgitt 34 fakta-ark Tilgangsstyring - Hjemmekontor - Håndtering av lagringsmedia 5 Nye under arbeid Fjernaksess PKI Prosjekter Leverandørkrav - Personvernombud

12 Veien videre Videreutvikling i samarbeid med sektoren Bredt sammensatt Styringsgruppe for forvaltning av Normen Nye fakta-ark og veiledninger Endring av Normen ved endringer i lov eller forskrift Første informasjonssikkerhetsnorm i helsesektoren i Europa - erfaringer må høstes Overføringsverdi til andre samfunnsområder?

13 Norm for informasjonssikkerhet i helsesektoren Norm og faktaark: Spørsmål: sikkerhetsnormen@shdir.no