Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Transkript

1 Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført av: Alle Dokument opprette med beskrivelse av sikkerhetsssystemet og involverte roller Alle Revidert prosessbeskrivelse og konkretisering av aktiviteter og sekvens Alle Dokument godkjent. Ingen endringer i innhold Anne Ruste Flø/Operativ Sikkerhetskoordinator Christian cobsen/fagleder strategisk sikkerhet Geir Hovind/Seksjonsleder sikkerhet Roller: Rolle Prosesseier Prosessansvarlig Ansvarlig sikkerhetsssystemet Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian cobsen Fagansvarlig strategisk sikkerhet/christian cobsen Formål Formålet med «prosess for behandling av informasjonssikkerhetsmessige» er å bidra til at Sykehuspartner HF behandler knyttet til informasjonssikkerhet iht. gjeldende regelverk 1 og lokale retningslinjer. Sykehuspartner HF har i sin rolle som databehandler og leverandør til helseforetakene i Helse Sør-Øst et utførende ansvar for å behandle uønskede hendelser, med formål om å gjenopprette normal tilstand og hindre gjentakelse. Omfang Denne prosessen dekker behandling av knyttet til informasjonssikkerhet. Følgende typer skal behandles i denne prosessen: Bruk av informasjonssystemet som er i strid med fastlagte rutiner Sikkerhetsbrudd 2 Følgende typer behandles ikke i denne prosessen: HR Kvalitets Avviksbehandlingens overordnede formål er å bidra til å gjenopprette normal tilstand, fjerne årsaken til og hindre gjentagelse. For innmeldte som har et langtidsperspektiv knyttet til håndtering, er formålet å sikre at en gjennomføringsplan for håndtering av et etableres. Videre kan det være aktuelt å etablere og implementere preventive tiltak for å hindre gjentakelse. Resultatet fra sbehandlingen skal dokumenteres. Dersom et har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. I henhold til Helse Sør-Øst IKT styringssystem 3, er det regional systemeier som er ansvarlig for å sikre at prosess rundt prioriteringer av endringsbehov fasiliteres, herunder investeringer og andre strategiske valg for systemet. I Sykehuspartner HF er Tjenesteansvarlig helseforetakenes og Helse 1 Lovbestemmelser er regulert i Personopplysningsforskriften Sikkerhetsbrudd er en hendelse som får konsekvenser for informasjonssikkerheten i virksomheten, ref. «Kilder og definisjoner for styrende dokumenter for informasjonssikkerhet i Sykehuspartner, revisjon 1.4» Utarbeidet av: Ingvild Takøy Naas / Christian cobsen

2 Prosess for behandling av informasjonssikkerhetsmessige Side 2 av 6 Versjon 1.0 Sør-Øst RHF sitt kontaktpunkt for forvaltning av det enkelte IKT-system. Tjenesteansvarlig skal sørge for at alle endringsønsker og feil blir registrert i ett felles service management verktøy, og sikre at alle prioriteringer blir gjort i henhold til definerte prosesser for feil- og endringshåndtering. 3 Helse Sør-Øst IKT styringssystem, område forvaltning, v.1.01, revidert Utarbeidet av: Ingvild Takøy Naas / Christian cobsen

3 Databehandlingsansvarlig Ledergruppe Sykehuspartner Avvikseier Fagressurs Andre prosesser / innmelder Mal - arbeidsflyt Side 3 av 6 Prosess for behandling av informasjonssikkerhetsmessige Registrere Vurdere Behandle Rapportere Innmeldt Avvik lukket Intern kontroll, revisjon og andre prosesser Bistå med forståelse av et? Nei Håndtere avvist For langtidsprosjekter skjer videre kontroll av gjennomføring i internkontroll prosessen Registrere sak i ssystemet forståelse av et? Er dette et? teknisk informasjon om et? Nei Innebærer Nei et brudd på lov? Prioritere, og sette konsekvens og kritikalitet Utarbeide Registrere at tiltaksplan er etablert Lukke sak og informere interessenter Sak lukket, Tiltak for håndtering av dokumentert Bistå i vurdering og utlevere saksunderlag Inngå i ledelsens gjennomgang Informere databehandlingsansvarlig og rapportere status. Databehandlingsansvarlig følger opp iht. egne prosesser Vurdere funn i og etablere tiltaksplan Levere plan Utarbeidet av: Ingvild Takøy Naas / Christian cobsen

4 Side 4 av 6 Aktivitetsbeskrivelse Den følgende tabellen beskriver nærmere hva som skjer i de forskjellige boksene i illustrasjonen over. Her beskrives hvilke aktiviteter som utføres i hvert steg, hvilken rolle som utfører aktiviteten og i tillegg start/trigger til hvert steg. Nr Aktivitet Utført av Start/trigger Beskrivelse 1 Innmeldt Input kilder: Incident management prosessen* ROS utarbeidelsesprosess Eiendelsstyring/Ass et management prosessen Meldinger fra HF Bekymringsmelding Ansattrapportering Intern revisjon Ekstern revisjon/ tilsyn Avvik eller bekymring for detekteres av innmelder og meldes inn til strategisk sikkerhet 2 Registrere sak i sikkerhetsssystemet Innmeldt mottatt Et oppstår når man ikke kan oppfylle spesifiserte krav, for eksempel sikkerhetsinstruks eller sikkerhetsmål. Saker meldes inn via e- post adressen: cert@sykehuspartner.no *Det henvises til dokumentet «A90 Grensesnitt_Incident Management prosessen/prosess for informasjonssikkerhetsmessige» for nærmere beskrivelse håndtering av innmeldt til brukerstøtte. Registrerer et i sikkerhetsssystemet 4, og tildele saken et saksnummer. Ved behov for utfyllende informasjon, dokumenteres dette i en mal for sikkerhets. Dokumentet skal arkiveres i egen mappe for mottatte. Om mulig, gis det tilbakemelding til innmelder om at et er registrert og til behandling. 3 Beslutning: forståelse av et? Vurdering av innmeldt Vurdere om beskrivelse av et gir en tilstrekkelig forståelse av et. JA fortsette vurdering av NEI Søke mer informasjon om et. Om mulig kontakte innmelder. 4 Beslutning: Er dette et? Vurdering av innmeldt Vurdere om et er et informasjonssikkerhetsmessig. JA fortsette vurdering av et NEI avvise et, registrere beslutning i ssystemet, lukke sak og informere innmelder om mulig. 5 Beslutning: teknisk informasjon om et? Vurdering av innmeldt Vurdere om det er tilstrekkelig teknisk informasjon om et. JA fortsette vurdering av et NEI kontakte fagressurs for bistand til utlevering av saksunderlag 4 Se siste avsnitt for beskrivelse av Sikkerhetsssystemet Utarbeidet av: Christian cobsen/ingvild Takøy Naas

5 Side 5 av 6 Nr Aktivitet Utført av Start/trigger Beskrivelse 6 Beslutning: Innebærer Vurdering av innmeldt Vurdere om et innebærer brudd på lov? JA Fylle ut rapporteringsskjema for et brudd på som innebærer brudd på lov. lov? Informere databehandlingsansvarlig 5 og rapportere gjeldende status. Databehandlingsansvarlig følger opp et iht. egne prosesser. Databehandleren skal så snart som mulig, og senest innen 24 timer, varsle Databehandlingsansvarlig om eventuelle som er av betydning for Databehandlingsansvarliges informasjonssikkerhet, den registrertes personvern og pasientsikkerheten, og så snart som mulig iverksette tiltak for å avhjelpe (lukke) ene og begrense skadevirkningene av dem. Dersom et har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles gjennom Databehandlingsansvarlig, jf. personopplysningsforskriften 2-6. NEI avslutte vurdering av et og starte behandling 7 Prioritere, og sette konsekvens og sannsynlighet informasjon og forståelse av et er opparbeidet. Vurdere ets kritikalitet og konsekvens dersom ikke løses. Ressursbehov og forventet løsningstid vurderes også. 8 Utarbeide Prioritering av er gjennomført Utarbeide som beskriver et, og oppsummerer mottatt saksdokumentasjon. 9 Vurdere funn i og etablere tiltaksplan Avvikseier Melding om med tilhørende Avvikseier mottar varsel om samt som beskriver et. Avvikseier vurderer funn i, og etablerer tiltaksplan for håndtering av et. 10 Levere plan Avvikseier Tiltaksplan dokumentert Tiltaksplan sendes til Strategisk sikkerhet via e-post adressen: cert@sykehuspartner.no. 5 I praksis varsles sikkerhetsansvarlig på berørt(e) helseforetak. Hvis den Databehandlingsansvarlige har personvernombud, skal også ombudet varsles. Utarbeidet av: Christian cobsen/ingvild Takøy Naas

6 Side 6 av 6 Nr Aktivitet Utført av Start/trigger Beskrivelse 11 Registrere at tiltaksplan er Avvikseier har levert plan til strategisk sikkerhet etablert 12 Lukke sak og informere interessenter Tiltaksplan er levert til strategisk sikkerhet og sak er lukket i sikkerhetsssystemet. oppdaterer status i ssystemet. Dersom et innebærer brudd på lov, skal databehandlingsansvarlig informeres om endring i status. informerer nødvendige interessenter om at sak er lukket. Følgende interessenter vil normalt sett alltid informeres: Innmelder Ledergruppen SP (inngår i ledelsens gjennomgang) Databehandlingsansvarlig ved som innebærer brudd på lov Sikkerhetsssystemet Sikkerhetsssystemet består av felles e-post adresse som benyttes for innmelding av og eventuelt kommunikasjon mot interessenter i saksbehandlingsforløpet. Innmelde registreres og følges opp i Excel. Utarbeidet av: Christian cobsen/ingvild Takøy Naas