Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011



Like dokumenter
Helseforetakenes senter for pasientreiser ANS

Helseforetakenes senter for

Utfordring, tiltak og status:

Styret Helseforetakenes senter for pasientreiser ANS 27/10/11

Saksframlegg Referanse

Årsrapport 2011 Internrevisjon Pasientreiser ANS

Saksframlegg Referanse

Status og oppfølging av styrevedtak t.o.m

Internkontroll og informasjonssikkerhet lover og standarder

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Sikkerhetskrav for systemer

Forslag til oppfølgingsansvar

3.1 Prosedyremal. Omfang

Personvern - sjekkliste for databehandleravtale

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Per styremøte

Helseforetakenes senter for pasientreiser ANS 1/2016

Videokonsultasjon - sjekkliste

Akkumulert risikovurdering oktober 2015

Bilag 1 til vedlikeholdsavtalen samt driftsavtalen KRAVSPESIFIKASJON. Administrativt system for skole og SFO

Status og oppfølging av styrevedtak t.o.m

Styresak Orienteringssak - Informasjonssikkerhet

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Noen aktuelle tema for personvernombud i finans

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Offentlig journal Periode:

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Oppfølgingsansvar iht internrevisjonen. Tiltak nr i rapport 1/2013. Internrevisjonens anbefaling

Saksframlegg SAK NR Virksomhetsrapportering pr Forslag til vedtak:

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Sikkerhetskrav for systemer

Styret Helseforetakenes senter for pasientreiser ANS 28./02/ Styret tar forslagene til styringsindikatorer og mål for 2011 til etterretning.

Sikkerhetskrav for systemer

Det bør vurderes fastsatt et entydig mål for saksbehandlingstid i enkeltoppgjør og etableres tiltak for å

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Helseforetakenes senter for Pasientreiser ANS 2/2014

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Prosjektveiviser for sikkerhet. Sikkerhet og Sårbarhet 2016/Jens Lien

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Styret Helseforetakenes senter for pasientreiser ANS 28/02/2011

HVEM ER JEG OG HVOR «BOR» JEG?

Avvikshåndtering og egenkontroll

Overordnet IT beredskapsplan

Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 24/10/2012 SAK NR Budsjettestimat for 2013

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Hvilke risikoer er vurdert?

Årsrapport 2012 Internrevisjon Pasientreiser ANS

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Pasientreiser ANS - Offentlig journal

Offentlig journal Periode:

Offentlig journal Periode:

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 10/03/14

Saksframlegg. Styret Helseforetakenes senter for pasientreiser ANS 21/09/2011. SAK NR Godkjenning av protokoll fra styremøtet

Oppfølging av forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Pasientreiser ANS - Offentlig journal

Offentlig journal Periode:

Hva er et styringssystem?

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

2.13 Sikkerhet ved anskaffelse

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Offentlig journal Periode:

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Databehandleravtale etter personopplysningsloven

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Saksframlegg Referanse

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale.

Akkumulert risikovurdering oktober 2017

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015

Databehandleravtaler. Tommy Tranvik Unit

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

AVTALE OM TJENESTELEVERANSE. mellom HELSEFORETAKENES SENTER FOR PASIENTREISER ANS. HELSE [navn] RHF Organisasjonsnummer: Vedlegg en

Bruk av databehandler (ekstern driftsenhet)

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

Gode og likeverdige tjenester til pasientene og kostnadseffektivisering for helseforetakene. Strategiplan Pasientreiser ANS

Offentlig journal Periode:

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Styresak Oppfølging av Internrevisjonsrapport 01/2013:

Styresak Orienteringssak - Informasjonssikkerhet

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvilken rolle spiller sikkerhetspolicy for UUS? Heidi Thorstensen IKT-sikkerhetssjef/Personvernombud

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

Bruk av databehandler (ekstern driftsenhet)

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Transkript:

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser må utarbeide en beskrivelse av hvordan kravet om registrering av autorisert bruk og forsøk på uautorisert bruk gjøres og hvem som har ansvaret for å gjennomgå og analysere logger. Databehandleravtaler er signert 15.08.2011 (utført) Dokumentere eksisterende rutiner for tildeling av autorisasjoner / brukerroller & -rettigheter PRO Avdekke avvik til kravet til registrering av autorisert & uautorisert bruk av NISSY og PRO Definere metode/rutine for å avdekke og følge opp uautorisert bruk av NISSY & PRO 14.09.2011 31.01.2012

6.1.2 Etablert og dokumentert roller og ansvarsbeskrivelser som sikrer resultateierskap til alle oppgaver som skal utøves. Gjennomføre planlagte prosjekt for å vurdere forbedring av IT styring og organisering. 6.1.4 Oppdatere avtale med Norsk Helsenett til også å inneholde regulering av: A. hvilke tjenester som skal ytes, til hvilke tjenestenivå B. Krav om rapportering C. Regulering av databehandleransvaret D. Krav om «right to audit» E. Sanksjoner. Dokumentere en formell prosess for oppfølging av leveransene iht avtalen. Gjennomgå og komplementere rollebeskrivelser og samhandlingsmønster internt på IKT Oppdatere rollebeskrivelser og samhandlingsmønstre mellom Pasientreiser og applikasjonsleverandører Oppdatere rollebeskrivelser og samhandlingsmønstre mellom Pasientreiser og driftsleverandører Gjennomføre prosjektet «Kvalitetsgjennomgang av IKT funksjonen» Bearbeide kontrakt og SLA til driftsleverandør 19.10.2011 30.09.2011 07.10.2011

ID Rapportens anbefaling Tiltak Frist 6.1.5 Formalisere og dokumentere endringsprosessen. 6.1.6 Utvide business case til også å inneholde vurdering av tidsbruk/tidsplan, risikoer og plan for gevinstrealisering. 6.1.7 Gjennomføre planlagte vurdering av arkitekturen i PRO og NISSY. Etablere en avtale med Norsk Helsenett der tjenesten «Sonic» defineres. 6.1.8 Dokumentere endringsprosessen for å sikre at implementering av nye versjoner og endringer i programvare blir håndtert på en måte som reduserer risiko for feil. endringsprosessen (innhenting, dokumentering og prioritering av bruker - og driftsbehov) endringsprosessen inkl. business case oppsett og anvendelse Utarbeide rutine for porteføljestyring i Pasientreiser ANS Gjennomføre prosjektet «Kvalitetsgjennomgang av IKT funksjonen» Vurdere om Pasientreiser ANS bør ta ansvaret for avtaleverket for Sonic mellom Norsk Helsenett og de Regionale Helseforetakene endringsprosessen (implementering av nye versjoner og endringer i programvare) 15.11.2011 6.1.9 Dokumentere en formell prosess for håndtering av sikkerhetsoppgraderinger (patch management). Gjenspeile ansvar og gjennomføring i oppdatert avtale. Utarbeide prosedyre for håndtering av sikkerhetsoppgraderinger og dokumentere denne. Inngå ny avtale / tilpasse avtale med leverandører (Locus. Acando og NHN)

6.2.2 Vurdere risiko av alle behandlinger som gjennomføres i Pasientreiser sine IT systemer i forhold til enkeltmenneskers personvern. Resultatet fra risikovurdering må sammenlignes med akseptabelt risikonivå ledelsen har besluttet. 6.2.3 Tilpasse prosess og gjennomføring av sikkerhetsrevisjon av leverandørene av PRO og NISSY. Iverksette rutiner for egenkontroll. 6.2.6 Sikre at funksjonalitet for periodisk bytte av passord gjelder for alle brukere. Tilpasse lengdekravet til passord i NISSY til Normen og tilhørende fakta ark. 6.2.8 Utarbeide rutiner for og gjennomføre test på om sikkerhetskopi faktisk fungerer Revidere rutine for risikovurdering og legge dette inn i prosessen for kvalitetssikring (personopplysninger) Utarbeide forslag til ROS analyse på systemnivå Utarbeide forslag for definisjon av akseptabel risiko for konfidensialitet Planlegge og gjennomføre sikkerhetsrevisjon av leverandørene Revidere og iverksette rutiner for egenkontroll Dokumentere eksisterende rutiner for tildeling av autorisasjoner / brukerroller & -rettigheter for PRO Tekniske endring av krav til passord i NISSY Rutine for hvordan sikkerhetskopi og restore (systemgjenoppretting ) skal gjennomfører (med risikoanalyser av dagens situasjon) Rutine for å verifisere at sikre at sikkerhetskopi tas og restore fungerer tilfredsstillende 30.09.2011 14.09.2011 31.08.2011 31.01.2012

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding