Konseptrapport 28. mars 2014

Transkript

1 Konseptrapport 28. mars 2014 Prosjekt Regionale datasentre Helse Nord

2 6 Prosjektets risikobilde pr mars 2014

3 7 Alternative løsninger Alternativer for plassering av regionalt datasenter Alternativ Lokalisering DS1 og DS2 Beskrivelse DS Alternativ 1 Tromsø Bodø (TOS BOO) DS1, UNN PAS DS2, nybygg NLSH DS Alternativ 2 Tromsø Tromsø (TOS TOS) DS1, UNN PAS DS2, UiT Teknologibygg Alternativer for DSDRT Alternativ Lokalisering DSDRT Beskrivelse DSDRT Alternativ 1 DSDRT Alternativ 2 DSDRT Alternativ 3 Eksisterende datarom NLSH Nybygg NLSH (kan ikke benyttes i kombinasjon med alternativ 1 for DS - Tabell 12) Leid plass hos en hosting leverandør/ samarbeidspartner Kun beregnet for datalagring Kan bestykkes for å tas i bruk som aktivt DS som katastrofeløsning (ved langvarig bortfall av DS1 og DS2)

4 7.2 ROS-analyser I februar 2014 ble det utført ROS-analyser i hvert HF med opprettelse av to datasenter (DS) i regionen som utgangspunkt. Det er viktig å få frem hvor stor sannsynlighet det er for at ulike scenarier oppstår som kan føre til et kommunikasjonsbrudd mellom DS og HF, samt hvilke konsekvenser eventuell nedetid gir for produksjonen i sykehusene. En slik analyse viser hvilket risikobilde Helse Nord står overfor ved å opprette regionale datasentre og er et utgangspunkt for å kunne vurdere tiltak som reduserer den aktuelle risikoen. ROS-analysene er avgrenset til å vurdere de risikoer ved leveranser for DSprosjekt, herunder er det kun sett på den fysiske funksjonen til DS'ene, herav strømføringsveier, nettverk, fysisk sikring, brudd pga. driftsfeil etc. ROS-analyse på tjenestenivå vurderes av FIKS.

5 7.2 ROS-analyser Sannsynlighet Opprinnelig sannsynlighetsskala(s) Angitt som antall per år 1. Usannsynlig(US) 2. Mindre sannsynlig(mss) 3. Mulig(MS) 4. Sannsynlig(SS) < 1/5 1/1 12/1 365/1 En gang per 5 år eller sjeldnere En gang per år En gang per måned Daglig eller oftere Justert sannsynlighesskala etter ønske fra NLSH (S) Angitt som antall per år 1. Usannsynlig(US) 2. Mindre sannsynlig(mss) 3. Mulig(MS) 4. Sannsynlig(SS) < 1/50 <1/10 1/1 >1/1 En gang per 50 år eller sjeldnere En gang per 10 år eller sjeldnere En gang per år eller sjeldnere En gang per år eller oftere

6 7.2 Konsekvenser (K) ROS-analyser Konsekvenser Definert ved hjelp av eksempler for tilgjengelighet, integritet og konfidensialitet 1. Ubetydelig (UK) 2. Moderat (MK) 3. Alvorlig (AK) 4. Kritisk (KK) Systemstans <= 30 minutter (responstid for vakt tilkommer på kveld) Systemstans min (responstid for vakt Systemstans 2-8 timer(responstid for vakt tilkommer på kveld) tilkommer på kveld) Systemstans >8 timer(responstid for vakt tilkommer på kveld) Ingen uautorisert innsyn i helse- og personopplysninger Journal er komplett Uautorisert innsyn i enkelte helse- og personopplysninger og lovbrudd Noen mangler i journal slik at helse- og personopplysninger ikke er fullstendige og ajourført i forhold til behandlingen av opplysningene Uautorisert innsyn i enkelte helse- og personopplysninger, mulighet for endring og brudd på lov Viktig informasjon mangler i journal og brudd på lov Fullt uautorisert innsyni eller mulighet for endring av alle helse og personopplysninger og brudd på lov Kritisk informasjon mangler i journal og brudd på lov Ikke fare for pasienters helse Ikke fare for pasienters helse Det gis tilgang til enbruker i en ekstern virksomhet som ikke har tjenstlig behov for EPJ for en eller flere pasienter Diagnoser blir kodet feil iht. kodeverket der det benyttes kodeverk Intet brudd på personvernet Brudd på personvernet for et lite antall pasienter Fare for pasienters helse og liv Medikament, dosering eller behandlingstiltak blir feilregistrert Ubetydelig økonomisk tap Gjenopprettelig økonomisk tap Brudd på personvernet for et stort antall pasienter Helse- og personopplysninger skal henføres til rett identifisert person Intet tap av renommé eller rykte Moderat tap av renommé eller rykte ovenfor virksomhetens omgivelser Alvorlig økonomisk tap Tilgang til behandlingsrettet helseregister (inkl. EPJ) for ekstern virksomhet blir misbrukt og helse og personopplysninger kommer på avveie Moderat tap av renommé eller rykte virksomheten har ovenfor pasienten Alvorlig tap av renommé eller rykte Tap av liv Uopprettelig økonomisk tap

7 ROS-analysene er unntatt offentlighet jfr. off.loven 14 og 15

8 7.3 Kostnadsestimater TOS+BOO: 82,5+72,3=154,8 mill NOK

9 7.3 Kostnadsestimater TOS+TOS: 82,5+20,6=103 mill NOK

10 7.3 Kostnadsestimater 72,3 vs. 17,4 mill NOK

11 7.3 Kostnadsestimater 104 mill NOK 155 mill NOK