1. Introduksjon til Informasjonssikkerhetsstyring

Transkript

1 Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag Introduksjon til Informasjonssikkerhetsstyring Greta Hjertø (Revidert av Bjørn Klefstad) Lærestoffet er utviklet for faget Informasjonssikkerhetsstyring 1. Introduksjon til Informasjonssikkerhetsstyring Resymé: I denne leksjonen får du en introduksjon til innholdet i faget Informasjonssikkerhetsstyring. Vi diskuterer hensikten med faget, ser på hvilke læringsmål det har, går igjennom fagets oppbygging og innhold og gir en introduksjon til øvingsopplegget. I tillegg får du en introduksjon til to ulike bedrifter som vi skal bruke som utgangspunkt for øvingene i faget. Det er bedriftene Smartsystem A/S og Friskogrask. Disse bedriftene vil vi følge gjennom hele faget mens de strever med å få orden på IT-sikkerheten sin Innhold 1. INTRODUKSJON TIL INFORMASJONSSIKKERHETSSTYRING INNHOLD HENSIKTEN MED FAGET Fokus i dette faget Læringsutbytter En spesiell takk FAGET FØLGER DEMINGS PRINSIPPER FOR KONTINUERLIG FORBEDRING Hvorfor Demingsirkelen - hva var det Deming ville? SÅ GJØR VI SÅ EN PLAN FOR ARBEIDET Oppstart Planlegging Gjennomføring av kulturprogram Gjennomføring av teknisk program Evaluering Kontinuerlig forbedring av ISMS TO BEDRIFTER UTGANGSPUNKT FOR ØVINGER Bedriften Smartsystem A/S Bedriften Friskogrask... 11

2 Introduksjon til Informasjonssikkerhetsstyring side 2 av Hensikten med faget I dette faget skal vi behandle sikkerhet fra organisasjonens synspunkt. Det spørsmålet vi vil ha svar på er: hva må en bedrift gjøre for å legge på plass et styringssystem for informasjonssikring? På engelsk kalles et slikt styringssystem for ISMS. Dette er forkortelse for: Information Security Management System. Vi kommer til å bruke denne forkortelsen i faget, da vi ikke er kjent med en like innarbeidet forkortelse for den norske oversettelsen: Styringssystem for informasjonssikring. Målet med det vi gjennomgår og det vi jobber med i faget, er å bli i stand til å bygge opp et ISMS for en konkret bedrift. Studentene skal kunne vurdere hvilke behov en konkret bedrift har for å beskytte sine informasjonsressurser. Dette er grunnlaget for å velge de prinsippene, retningslinjene, prosedyrene, standardene etc. som er nødvendige for at bedriften kan være sikker på at informasjonens integritet, konfidensialitet og tilgjengelighet bevares. For å lykkes med dette, må vi se ulike sikkerhetshensyn i sammenheng med hverandre og i forhold til resten av virksomheten, og vi må forstå hva som kreves av et styringssystem for informasjonssikring. I praksis gjennomfører vi da det som kalles sikkerhetsledelse. Vi skal lære at omfang og innhold av sikkerhetsledelse kan være vesensforskjellig i forskjellige bedrifter fordi behovet er vesensforskjellig. Det er bedriftens konkrete situasjon som avgjør. For å diskutere dette, tar faget utgangspunkt i: - Anbefalingene i standardene ISO og ISO Prinsippene i Demings sirkel for kontinuerlig forbedring (sikkerhetsstandarden ISO har dette utgangspunktet) - To case-beskrivelser for ulike firma - De kravene som stilles til behandling av informasjon fra lovpålagte forskrifter, spesielt bestemmelsene i personopplysningsloven - Forskjellige aspekter ved informasjonssikkerhet, både hva som skal beskyttes, hva det skal beskyttes imot og hva vi gjør for å beskytte. Dette er i stor grad repetisjon av teori fra andre sikkerhetsfag ved AITeL, men her satt inn i en ny sammenheng. - Forholdet til bedriftens omgivelser. Vi ser både på organisasjoner som stiller krav i form av lover og regler, og organisasjoner som kan bidra med støtte i arbeidet Fokus i dette faget Dette er ikke et fag om teknologi. Fokus i dette faget er på det systematiske sikkerhetsarbeidet i organisasjonen. Vi diskuterer hva som må gjøres, hvordan arbeidet best gripes an og hvem som bør være med. Videre peker vi på sentrale områder som må underlegges kontroll, men vi sier ikke noe om hvilke løsninger som i ulike tilfeller skal velges. Selvfølgelig, et systematisk sikkerhetsarbeid krever at vi kjenner IT-teknologien og de mulighetene og utfordringene den gir oss. Det er nødvendig for å forstå hvor de største truslene mot informasjonssikkerheten finnes og hvilke teknologiske løsninger vi kan ta i bruk for å beskytte oss. Men denne kunnskapen kan vi se på som et supplement til det vi lærer i dette faget. Og mye av dette overlater vi til andre sikkerhetsfag ved AITeL.

3 Introduksjon til Informasjonssikkerhetsstyring side 3 av 13 For å kunne gjennomføre øvingsopplegget i faget, er det derfor ikke nødvendig å ha inngående kjennskap til IT-teknologi, men en slik kunnskap vil selvfølgelig bidra til en dypere forståelse av hva sikkerhetsarbeidet går ut på og hva som er mulig. Vi går heller ikke i særlig grad inn i diskusjonen om dagens trusselbilde. Det er imidlertid en stor fordel å vite om de vanligste sikkerhetsmessige utfordringene en bedrift står overfor. De studentene som ikke har særlig innsikt i dette, oppfordres derfor til å skaffe seg forståelse for trusselbildet, for eksempel ved å gå inn på sidene til NorCERT og NorSIS og nsm stat. I arbeidet med å sikre informasjonsressursene i bedriften, er den kunnskapen de mer teknisk orienterte fagene gir helt nødvendig, men ikke tilstrekkelig. I tillegg til kunnskap både om hva som truer og hvilke muligheter vi har for å beskytte oss, må vi forstå hvordan vi setter det hele i system. Dette er grunnlaget for å kunne gjøre valg ut fra organisasjonens konkrete behov. Det blir fokus i dette faget Læringsutbytter Når du har gjennomført dette faget skal du vite hvorfor sikkerhet er viktig for bedriften, hva bedriften må gjøre for å få på plass et velfungerende ISMS og hvilke utfordringer den vil møte i arbeidet. Nærmere beskrevet skal du: - vite hvorfor sikkerhet er viktig både for bedriftens omdømme og bedriftens økonomi - ha kjennskap til standardene ISO og ISO 27002, hva de inneholder og hvordan de kan anvendes - ha kjennskap til prinsippene i Demings sirkel for kontinuerlig forbedring og hvordan disse prinsippene kan anvendes som rettesnor i arbeidet med sikkerhetsledelse - vite om bestemmelsene i personopplysningsloven og hvilke krav de stiller til den måten en bedrift beskytter informasjonen på - kunne gjennomføre en enkel gapanalyse for sikkerhetsnivået i en konkret bedrift - vite om vanlige trusler mot informasjonssikkerheten, kjenne prinsippene for risikostyring og kunne foreta en enkel risikoanalyse med hensyn på informasjonssikkerhet - vite hva en sikkerhetspolicy er og kunne lage utkast til en slik for en konkret bedrift - kjenne til vanlige tiltak for å sikre informasjonen med hensyn på konfidensialitet, integritet og tilgjengelighet, og kunne vurdere aktuelle tiltak for en konkret bedrift - forstå forutsetningene for å skape en sikkerhetskultur i en bedrift og vite hvilke motkrefter som påvirker arbeidet med sikkerhetskulturen - vite at sikkerhet må bygges inn i de informasjonssystemene som behandler informasjonen, og kjenne til viktige tiltak for å sikre dette - vite hvorfor kontroll av overensstemmelse, og måling og oppfølging av bedriftens sikkerhetssystem er viktig, og hvordan det bør gjennomføres - kjenne til sertifisering av sikkerhetssystemer og av produkter, forstå begrunnelser for sertifiseringen, hvordan den gjennomføres og hvem som gjennomfører den En spesiell takk En spesiell takk til Tomas M. Huseby som har bistått i utformingen av eksemplene, basert på hans mangeårige erfaringer med tilsvarende arbeid.

4 Introduksjon til Informasjonssikkerhetsstyring side 4 av Faget følger Demings prinsipper for kontinuerlig forbedring I standarden ISO anbefales det at bedriftens arbeid med sikkerhet styres etter prinsippene fra Demings sirkel for kontinuerlig forbedring. Arbeidet med informasjonssikkerheten i bedriften vil da ha fire faser: Planlegge sikringstiltak, Utføre de planlagte tiltakene, Følge opp hvor godt de fungerer og Iverksette vedlikehold og forbedringer på grunnlag av resultatet av oppfølgingen. Deretter starter en ny runde i sirkelen, hvor nye behov og tiltak blir identifisert, slik at arbeidet med sikkerheten går kontinuerlig. Vi har valgt å bygge opp faget etter disse fire fasene. Det betyr at vi gjennom leksjonene og øvingene gjennomfører en runde i Demingsirkelen. For hver fase har vi valgt ut de viktigste aktivitetene som må gjennomføres. I figuren nedenfor ser du en oversikt over temaene i faget i forhold til Deming sirkelens faser. Du vil få både teori og praktiske øvinger knyttet til disse emnene etter hvert som vi går utover i faget. Identifikasjon av forbedringsbehov Gjennomføring av korrigerende tiltak Læring av uønskede hendelser Iverksette Forankring Mål for sikkerhetsarbeidet Overordnet sikkerhetspolitikk Gapanalyse Risikoanalyse Valg av tiltak for å håndtere risiko Planlegge Følge opp Revisjoner Måling Oppfølging og evaluering Trendanalyser Benchmarking Sikring av bevis Utføre Opplæring, motivasjon, informasjon Sikkerhetskultur, etikk Detaljert sikkerhetspolitikk Prosedyrer og retningslinjer Sertifisering av produkter og systemer Hvorfor Demingsirkelen - hva var det Deming ville? Deming er en av de såkalte kvalitetsguruene. Det vil si at han var opptatt av kvalitet og teorier for kvalitetsledelse, og var en av pionerene i dette arbeidet. Han var amerikaner, men arbeidet først og fremst med kvalitetsspørsmål i Japan etter annen verdenskrig. Han er en av dem som har fått æren for Japans utvikling som produsent, fra å være kjent for plastjuggel, til å være kjent for Toyota og lignende kvalitetsvarer. Noe som førte til at Japan plutselig utkonkurrerte USA på mange områder. Mange av prinsippene i ISO 9000:2000-serien kommer fra han. Og Deminghjulet. Deminghjulet henger sammen med et annet viktig prinsipp, nemlig prosesstankegangen. Deming mener at all aktivitet i en bedrift bør styres som prosesser. En prosess er definert som samling av beslektede eller samvirkende aktiviteter som omformer tilført grunnlag til resultater. Poenget med å se det som foregår i bedriften som prosesser, er å se helheten, å se hvilke aktiviteter som er avhengige av og påvirker hverandre. Dermed har vi det beste grunnlaget, mener Deming, for å styre all virksomhet i bedriften på en god måte. I dette

5 Introduksjon til Informasjonssikkerhetsstyring side 5 av 13 synspunktet ligger også den forutsetningen at en god prosess er nødvendig for å produsere gode resultater. Prosessene må derfor styres slik at de blir best mulige. Da er det nødvendig å forbedre prosessene, kontinuerlig. Det er her Deminghjulet kommer inn i bildet. Det viser oss hvordan arbeidet med kontinuerlig forbedring av prosessene bør foregå. Kort oppsummert: - Arbeidet må gå kontinuerlig, vi blir aldri ferdige - Det vi gjør, må baseres på fakta som vi skaffer oss gjennom målinger og evaluering - Arbeidet starter med at vi velger ut og planlegger tiltak for forbedring - Disse tiltakene gjennomfører vi - Så måler vi hvordan det gikk og hvordan effekten var - Basert på dette, vurderer vi om forbedringene var riktige og skal fortsette, eller om det må gjøres nye forbedringer - Basert på det vi nå har lært, identifiserer og planlegger vi nye tiltak Det kan være litt ugreit å få taket på Deminghjulet. For eksempel kan det være uklart hva som er forskjellen mellom Utføre og Iverksette, og mellom de justeringene vi gjør i Iverksette og det å Planlegge en ny runde. Det gjør ingen ting. Det viktigste er å forstå at arbeidet går kontinuerlig, at vi måler og at vi planlegger det vi skal gjøre før vi gjør det Så gjør vi så en plan for arbeidet Vi har nå introdusert prinsippene i Deminghjulet og Demings fire faser som en strukturert og god angrepsmåte for arbeidet med å innføre og kontinuerlig forbedre sikkerhetssystemet i bedriften. Dette er en bra begynnelse for å få en god struktur på arbeidet, men vi velger å gå et skritt lengre og definere seks sentrale faser eller hovedaktiviteter som vi skal følge. Se figuren nedenfor. Gjennomfør kulturprogram Oppstart Planlegg Evaluer Gjennomfør teknisk program Kontinuerlig forbedring

6 Introduksjon til Informasjonssikkerhetsstyring side 6 av 13 Hvis du mener at denne figuren har bare fem faser, så legg merke til tilbakekoblingspilen fra Evaluer til Oppstart, denne pilen representerer fasen Iverksett i Deminghjulet. Disse seks fasene og innholdet i dem er like generelle som fasene i Deminghjulet. De gir god støtte i alt arbeid med å innføre større og viktige endringer i infrastrukturen, styringssystemet eller arbeidsmåten i en bedrift. De vil for eksempel være helt i tråd med den angrepsmåten vi ville velge om målet vårt var å legge på plass et overordnet kvalitetssystem eller styringssystem i en bedrift. Siden ISMS har sin naturlige plass innenfor et kvalitetssystem, passer denne fremgangsmåten veldig bra for oss. Grunnen til at vi går fra Deminghjulets fire faser til de seks du ser i figuren, er at vi vil ha sterk fokus på forankring i fasen Oppstart, og vi vil markere skillet mellom kulturprogram og teknisk program i fasen Utføre. Som vi skal se senere, så vil et ISMS ha både en formell del og en uformell del. Hvis det ikke er samsvar mellom disse to vil vi aldri lykkes med sikkerhetsarbeidet i bedriften. Fokus på kulturprogrammet er nettopp fokus på den uformelle delen av sikkerhetssystemet, den vi finner i folks holdninger og bedriftens kultur i vid forstand. Det er bra å ha en egen aktivitet for dette, da minner vi oss selv på hvor viktig det er. La oss se nærmer på hva som skjer i hver av boksene Oppstart I denne fasen skal vi forankre sikkerhetsarbeidet i bedriften. Den aller viktigste aktiviteten her er at ledelsen formulerer mål og strategi for arbeidet og en overordnet sikkerhetspolitikk for bedriften. Hensikten er å fortelle hva ledelsen forventer av sikkerhetsarbeidet i bedriften og hva ISMS skal gi av resultater. Dette skal også gi klart utrykk for hvilke holdninger de ansatte forventes å ha til sikkerhet. Mer om sikkerhetspolitikken i en senere leksjon. Mål og strategi for arbeidet og den overordnede sikkerhetspolitikken gjøres kjent for alle ansatte. Den andre viktige aktiviteten i denne fasen er å opprette en støtteorganisasjon for arbeidet. Dette er en gruppe som skal være pådrivere for arbeidet, og må derfor kunne representere både ledelsen og alle kategorier av de ansatte. Det er viktig at ingen grupper kan stå utenfor og si at sikkerhet er alle andres ansvar. Mer om denne gruppen senere. Oppstart hører hjemme i Demingsirkelens første kvadrant: Planlegge Aktiviteten Oppstart behandles i leksjonen: Oppstart og forankring Planlegging Planleggingen starter med å skaffe seg en oversikt over status. Bedriften har høyst sannsynlig elementer av et ISMS på plass allerede. Noe sikkerhetsarbeid driver alle! Husk at deler av ISMS kan være både uformelt og udokumentert. (I en liten bedrift kan det allikevel være godt nok, men generelt kan dette være ting man nå vil ha mer formalisme på). Det er viktig å få oversikt over hvordan ting faktisk gjøres, og det er viktig å vite hva som er bra og hva som er mindre bra. Det gjelder både de dokumenterte retningslinjene og den måten folk faktisk jobber på. Oversikt over status er alfa og omega for å kunne innføre et ISMS på en målrettet måte. Vi ser allikevel forbausende ofte at bedrifter setter i gang uten å gjennomføre denne viktige biten. Videre i planleggingsfasen må vi kartlegge gapet mellom status og det nivået vi ønsker å ha på ISMS. En gapanalyse og en risikoanalyse er viktige hjelpemiddel i dette arbeidet. Med

7 Introduksjon til Informasjonssikkerhetsstyring side 7 av 13 oversikt over status og innsikt i trusler og risiko har vi så skaffet oss grunnlag for å formulere mål og krav til ISMS, og velge hva vi konkret må gjøre. Med det utgangspunktet kan vi lage en detaljert plan for arbeidet. Planlegging hører hjemme i Demingsirkelens første fase: Planlegge Aktiviteten planlegging behandles i leksjonene: Planlegging Gapanalyse og Risikoanalyse Gjennomføring av kulturprogram For at et sikkerhetsarbeid skal bli vellykket må hele organisasjonen stå bak. Hensikten med kulturprogrammet er å skaffe slik støtte. Her skal vi arbeide med folks holdninger og kompetanse og gjøre alle delaktige i arbeidet. Målet er å: - øke bevisstheten angående sikkerhet hos alle - få engasjert alle i arbeidet med informasjonssikkerheten - sikre at alle har eierskap til det som skal skje Det vi her kaller eierskap, er helt avgjørende for å lykkes. Eierskap betyr at alle skal føle at dette angår dem. Vi må unngå noe som er veldig vanlig at folk dukker ned og gjemmer seg og venter på at dette maset skal gå over. Arbeidet med kulturprogrammet består av informasjon og opplæring. I tillegg bør alle være med å sette mål for sikkerhetsnivået og finne mulige forbedringstiltak når det gjelder informasjonssikkerhet for sine egne arbeidsområder. Gjennom hele kulturprogrammet må ledelsen være synlig som frontfigur. Dette er veldig viktig. Kulturprogram hører hjemme i Demingsirkelens andre fase: Utføre Aktiviteten kulturprogram behandles i leksjon: Kulturprogrammet Gjennomføring av teknisk program. Dette er kort sagt å få på plass all krav, retningslinjer og prosedyrer som skal gjelde. Her vil standarden ISO være til uvurderlig hjelp. Den forteller på hvilke områder det er viktig å ha retningslinjer og gir føringer for hva retningslinjene skal dekke. Et måleprogram er et annet viktig element i det tekniske programmet. Det er måleprogrammet som skal sikre at vi kan overvåke effektiviteten og godheten til det ISMS vi legger på plass og det er gjennom måleprogrammet vi samler informasjon om hva som bør forbedres. Teknisk program hører hjemme i Demingsirkelens andre fase: Utføre Aktiviteten teknisk program behandles i følgende leksjoner: Organisering og sikkerhetspolitikk, Konkrete tiltak, Systemutvikling, det glemte sikkerhetsarbeidet Evaluering Evaluering er en typisk representant for det gode vi vil, men som vi ikke gjør. Å evaluere er kanskje den viktigste og mest oversette hovedaktiviteten ved innføring av et ISMS. Det hender alt for ofte at en bedrift med stor innsats satser på økt informasjonssikkerhet og gjennomfører alle de andre aktivitetene vi har snakket om, men stopper før evalueringen. Et ISMS, som alle andre styringssystemer, må kontinuerlig måles, evalueres og forbedres hvis det skal gi den effekten som er ønsket. Det må det, det er ingen vei utenom.

8 Introduksjon til Informasjonssikkerhetsstyring side 8 av 13 Vi har ulike evalueringsaktiviteter: rutinekontroller, benchmarking, ledelsesgjennomganger, måling, revisjoner, trend-analyser. Målet for alle er å for å samle data om effektiviteten av ISMS, og vi skal omtale de viktigste av dem. I tillegg må vi også ha: - et opplegg for å analysere data og kunne trekke konklusjoner av data; hvis vi ikke vet hva et resultat betyr har det liten verdi - et opplegg for å kunne benytte konklusjonene til å gjøre noe Evaluering hører hjemme i Demingsirkelens tredje fase: Følge opp Aktiviteten Evaluering behandles i leksjonene: Oppfølging og kontinuerlig forbedring, Sertifisering av ISMS Kontinuerlig forbedring av ISMS All verdens målinger og revisjoner har ingen verdi med mindre vi bruker resultatet til å få svar på spørsmålet: hva kan bli bedre. Dette skal vi bruke som grunnlag for å starte en ny syklus: planlegge nye tiltak, gjennomføre dem og måle hvor godt de fungerer, og bruke resultatet til å starte på nytt, osv. Kontinuerlig forbedring hører hjemme i Demingsirkelens fjerde fase: Iverksette og dels også ved å gjennomføre en ny runde i sirkelen. Aktiviteten Kontinuerlig forbedring behandles i leksjonen: Oppfølging og kontinuerlig forbedring

9 Introduksjon til Informasjonssikkerhetsstyring side 9 av To bedrifter utgangspunkt for øvinger Vi har utarbeidet case-beskrivelser for to ulike bedrifter. Disse skal følge oss gjennom hele faget og hovedtema i øvingsopplegget vil bli å få på plass (deler av) et ISMS for disse bedriftene som er tilpasset bedriftenes ulike behov Bedriften Smartsystem A/S Dette er en høyteknologibedrift. Den designer og utvikler elektroniske komponenter som brukes i elektriske artikler. Bedriften ble startet av tre sivilingeniører som hadde spisskompetanse og en god markedside, og har siden vokst til en bedrift på omkring 150 ansatte. Bedriften har en sunn økonomi. Organisasjon Bedriften er organisert som vist i figuren: Ledelse Administrasjon og IT-drift Produkt 1 Produkt 2 Teknisk produksjonsstøtte Konkurrenter og viktigste konkurransefortrinn Bedriften konkurrerer i et ytterst krevende marked. Det er mange, sterke og svært kompetente konkurrenter, også internasjonalt. Bedriftens viktigste konkurransefortrinn er de ansattes høye kompetanse, evnen til å lage tekniske løsninger som er smartere enn konkurrentenes og produktenes høye kvalitet. Bedriftens omdømme og ansikt utad Bedriften er ikke spesielt høyt profilert i media. Den har generelt et godt omdømme, og er opptatt av å bevare sitt gode omdømme, og vil derfor nødig eksponeres negativt i media. Negativ eksponering regnes som uheldig for kundenes tillit til bedriften. Samarbeidspartnere Bedriften har et utstrakt samarbeid med universitetet. Den har til enhver tid studenter inne, enten i sommerjobb eller under arbeid med sine masteroppgaver. De ansatte i bedriften

10 Introduksjon til Informasjonssikkerhetsstyring side 10 av 13 gjesteforeleser på universitetet, og folk fra universitetsmiljøet er inne i bedriften for kortere eller lenger tid som ressurspersoner. Bedriftens kunder Bedriften har meget krevende og profesjonelle kunder, både forretningsmessig og når det gjelder krav til produktene. Bedriften føler at den hele tiden må stå på tå hev for å holde på kundene. Kundene stiller i tillegg absolutte krav til at den informasjonen som de gir bedriften som grunnlag for produktutviklingen, må beskyttes. Bedriften har underskrevet NDA (Nondisclosure) - avtaler for denne informasjonen. Et brudd på disse vil være svært skadelig for kundeforholdet. De ansatte Bedriften har som nevnt 150 ansatte. Alle ansatte er samlet i ett kontorbygg. Bedriften eier dette kontorbygget, men leier deler av det ut til to andre bedrifter. Disse sitter imidlertid i en annen fløy med separat inngang. Det er åpnet for at de ansatte kan ha hjemmekontor. De fleste ansatte har bærbar pc. Det er stor reisevirksomhet i bedriften, både nasjonalt og internasjonalt. Det er et ungt miljø i bedriften, både fordi bedriften er ung, og fordi den har som politikk å ansette nyutdannede fra universitetet med spesielt gode karakterer eller med doktorgrad. Bruk av IT Bedriften har et intranett som knytter sammen dataressursene og de ansattes arbeidsstasjoner. Det har ca 5 Unix-tjenere og ca 5 PC-tjenere. Totalt er ca 200 klienter knyttet opp mot nettet. Bedriften er tilknyttet Internet via en brannmur. Mye av kommunikasjonen med kundene foregår via e-post, da de største kundene sitter i andre tidssoner og telefon ikke alltid er så praktisk. For de ansatte som har hjemmekontor, er det åpnet for at de kan koble seg mot intranettet hjemmefra. Bedriften har ulike datasystemer. Administrative som lønn, regnskap etc., typiske kontorstøttesystemer som alle ansatte bruker, regneark etc, og en god del spesialsystemer som støtter utviklingsprosessen for produktene. Bedriftens IT-avdeling har selv drift og vedlikehold av dataressursene. Bedriftens styringssystem Bedriften har et temmelig uformelt styringssystem. Det finnes en del klare krav og retningslinjer, men på andre områder er det mer uformelt og slik gjør vi det hos oss. De retningslinjene som finnes har gjerne kommet etter krav fra kundene. Bedriften definerer ansvar for informasjonssikkerheten som en del av ansvaret til IT-sjefen. Han er nokså frustrert over dette. Både fordi han ikke føler seg helt oppdatert på området, og fordi han mener satsing på informasjonssikkerhet krever tiltak som han ikke har myndighet til å gjennomføre. Lokalene til Smartsystem Under finner du en skisse som viser dagens lokaler til Smartsystem og hvordan disse er inndelt i ulike rom.

11 Introduksjon til Informasjonssikkerhetsstyring side 11 av Bedriften Friskogrask Dette er et allmenn-legesenter. Det har fire leger, to lab-ingeniører og to legesekretærer. Organisasjon Legesenteret er organisert som vist i figuren: Lege A Lege B Kontor Lab. Lege C Lege D Konkurrenter og viktigste konkurransefortrinn Bedriften har ingen egentlige konkurrenter, legene har fulle lister av pasienter etter fastlegeavtalen. I den grad det er eller vil bli konkurranse, er det legens kompetanse og den generelle servicen overfor pasientene som vil være konkurransefortrinn.

12 Introduksjon til Informasjonssikkerhetsstyring side 12 av 13 Legesenterets omdømme og ansikt utad Legesenteret ønsker å være kjent for god service overfor pasientene, god fremkommelighet på telefonen, kort ventetid, raske svar på prøver etc. I tillegg er det svært viktig at ikke noen pasientopplysninger forsvinner eller kommer i urette hender. Det har vært en del uheldig eksponering i avisene i forbindelse med at senterets datasystem var ute av drift noen dager og senere veldig ustabilt en periode. Da ble situasjonen på legesenteret helt uholdbar både for ansatte og for pasientene, fordi alle pasientopplysninger lå elektronisk lagret og uten disse kunne ikke verken leger eller labben gjøre jobben sin. Enkelte pasienter ble så sinte og frustrerte at de gikk til avisene. Samarbeidspartnere Legesenteret samarbeider med et regnskapskontor som fører regnskap for dem. Det er også et utstrakt samarbeid med det store regionsykehuset for analyse av prøver, utveksling av opplysninger om pasienter som skal legges inn eller har vært inne til undersøkelse etc. Senteret samarbeider også med enkelte legemiddelfirma om utprøving av medisiner i så kalte medisinske studier. Bedriftens kunder Legesenterets kunder er pasientene og sykehuset. De ansatte Senteret har som nevnt fire leger, to labansatte og to legesekretærer. Arbeidsmiljøet er meget godt, selv om det er travelt. Bruk av IT Legesenteret benytter programproduktet Pasient. Dette er egentlig et elektronisk pasientregister eller pasientjournal. Legene kan hente pasientens opplysninger frem fra systemet på sin PC, og lagre pasientopplysningene i den sentrale databasen via sin PC. Det samme kan laboratoriet og skranken. Alle PC-er er knyttet sammen i ett nettverk, og alle pasientopplysninger blir automatisk tilgjengelig for alle ansatte straks de er matet inn i systemet. Dette er en stor fordel. For eksempel når legen skriver inn at en pasient skal ta en prøve, er informasjonen om dette straks tilgjengelig på laboratoriet. Og når laboratoriet leger inn svaret på prøven, er det straks tilgjengelig for legen. Skranken kan på samme måte hente ut opplysning om hva pasienten har hatt for undersøkelser og skrive ut riktig regning for dette, eller skrive ut en resept som legen har lagt inn. Alle ansatte har adgang til opplysninger om alle pasienter. PC-ene er i tillegg koblet opp mot Internet og særlig legene bruker Internet mye, til søk om informasjon om spesielle sykdommer eller for å hente opp en elektronisk legehåndbok. Det er i tillegg en linje mot sykehuset, slik at pasientopplysninger og prøvesvar kan overføres automatisk mellom sykehuset og legesenteret. Legesenteret tar regelmessig ut opplysninger om pasienter som er med på medisinske studier. Disse opplysningene blir kodet, slik at pasientens identitet er skjult. De blir deretter overført til det legemiddelfirmaet som gjennomfører studien. Det er frivillig for pasienten å være med på en slik studie. Legesenteret har selv ansvar for drift av datasystemet. Denne oppgaven går på omgang blant legene. Den viktigste jobben i den forbindelse er å ta sikkerhetskopi.

13 Introduksjon til Informasjonssikkerhetsstyring side 13 av 13 Legesenterets styringssystem Det viktigste styringssystemet for denne bedriften er vel de etiske retningslinjene for behandling både av mennesker og av sensitiv informasjon. Slike retningslinjer inngår i utdannelsen, det er ikke noe spesielt for dette legesenteret. Alle ansatte har også skrevet under taushetserklæringer. De har vel aldri opplevd noen problemer med sikkerheten og dette er ikke noe tema i en meget hektisk hverdag. Lokalene til legesenteret Under finner du en skisse som viser dagens lokaler til Friskogrask og hvordan disse er inndelt i ulike rom.