Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Transkript

1 Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

2 Om Ikomm Lillehammer Hamar Askim 85 Ansatte ISO 9001 ISO Brukere 500+ Applikasjoner Norge Sverige Finland Nederland Danmark

3 Hva legger vi vekt på? Rådgivning fra Ikomm er effektiv og kompetent med utgangspunkt i virksomhetens behov Vi har tre hovedprinsipper i vårt arbeid: forankring i virksomhetens ledelse kontinuerlig kvalitetsarbeid det nasjonale målbildet. Vi skal bidra til Bedre Kommuner

4 Litt om Linda Sykepleier Helserett, coaching & ledelse Leder i helse- og omsorgstjeneste HR-rådgiver Leder for tildeling og koord.enhet

5 Risikoledelse i hverdagen mulig eller umulig?

6 Normen som utgangspunkt Vi bruker Normen som utgangspunkt Gjennomgang av krav Utarbeidelse av styringssystem Metode for risikovurdering Osv osv

7 Personvern og informasjonssikkerhet

8 En typisk dagsorden Risikovurderinger bakgrunn Metode for arbeidet med risikoanalyser og vurderinger basert på normen.no Gjennomføring av risikoanalyser ift bruk av IKT-systemer

9 Styringssystem for informasjonssikkerhet 1. Styrende del a) Beskrivelse av ledelse og organisering av informasjonssikkerhet b) Beskrivelse av og oversikt over formålet med behandlingene c) Fastsettelse av sikkerhetsmål og -strategi d) Fastsettelse av nivå for akseptabel risiko 2. Gjennomførende del a) Prosedyrer b) Dokumentasjon av sikkerhetstiltak c) Opplæring 3. Kontrollerende del a) Risikovurdering b) Sikkerhetsrevisjon c) Avvikshåndtering d) Ledelsens gjennomgang

10 Om Risikovurdering Krav i flere lover og forskrifter; Infosikkerhet; personopplysningsforskriften, Kvalitet i tjenesten/pasientsikkerhet; forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten, HMS; forskrift om organisering, ledelse og medvirkning Brann; forskrift om brannforebygging Beredskap Osv..

11 Noen begrepsavklaringer Akseptabelt nivå for risiko; hvilken risiko kan vi leve med hvor går grensa? Risikoeier; hvem har ansvaret? Risiko/farekilde/hendelser; det som truer eller som allerede har skjedd Sannsynlighet; hvor ofte Konsekvens; hvilke følger Risikoanalyse; sammenstilling av risiko, sannsynlighet og konsekvens. Risikovurdering; Konklusjonene hvordan vi håndtere risikoen, hvilke tiltak vi iverksetter.

12 Fra Normen.no

13 Fra Normen.no

14

15 Hvilken risiko kan vi leve med? For all risiko som er høyere enn nivå for akseptabel risiko skal det iverksettes tiltak for å bringe sikkerheten innenfor et akseptabelt nivå.

16 Risikovurdering Tre enkle spørsmål er kjernen i risikovurderingen: Hva kan gå galt? Hva kan vi gjøre for å hindre dette? Hva kan vi gjøre for å redusere konsekvensene dersom det skjer? Trinn 1: Finn farekildene Trinn 2: Hva kan skje og hvor sannsynlig er det? Trinn 3: Hva kan vi gjøre for å hindre det? Trinn 4: Tiltak og videre arbeid

17 ROS-analyse

18 Til vurdering: 1. Virksomhetskritiske systemer hvilke har dere? 2. Risiko og hendelser hva kan skje? f.eks. Ansatt kommer ikke inn i EPJ. Må føre manuelt. Hvilke konsekvensområder påvirker denne hendelsen: Konfidensialitet Tilgjengelighet Integritet 3. Hvilke sannsynlighet og konsekvens får hendelsen?

19

20 Fra en databehandlers ståsted Ønsker behandlingsansvarlige som tar eierskap Spør gjerne om råd Still krav

21 Hvilken kultur har vi?

22 Minstekrav til innhold i styringssystem Sikkerhetsstrategi Sikkerhetsmål Oversikt over hvilke opplysninger som behandles Definisjon av roller og ansvar for sikkerhetsarbeid Rutine for risikovurdering Akseptabelt nivå for risiko Rutiner for tilgangsstyring Informasjon til de registrerte

23 Styringssystem for informasjonssikkerhet 1. Styrende del Mål og strategi hvilke føringer gjelder for oss hvilken risiko kan vi leve med? 2. Gjennomførende del Hvordan skal vi jobbe? Hva gjør jeg hvis..? 3. Kontrollerende del Gjør vi som vi sier vi skal? Bør vi endre praksis? Integrert del av arbeidet med kvalitet og forbedring Sikkerhetsledelse og kultur

24 Hva gjør de som får det til? Helhetlig styringssystem Forenkler Tar eierskap Innebygd personvern gjelder også prosjektgjennomføring Avvikshåndtering vurderes opp mot nivå for akseptabel risiko

25 Nasjonale føringer Strategisk plan Digitaliseringsstrategi Andre strategier og IKT-strategi planer Sektorplaner Planer for tjenester Styringssystemet Prosjekter/Aktiviteter Drift og forvaltning

26 Hvorfor være opptatt av dette? Personvern et viktig demokratisk prinsipp: "Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse."

27 Takk for meg! Linda Svendsrud Teamleder Rådgivning Ikomm AS Mobil: E-post: