Omsorg for informasjonssikkerheten ehelse 2019, 9. mai 2019 Tonje Haugen og Rune Schumann
God informasjonssikkerhet handler om......kommer vi tilbake til... Bildet er tatt av Theodor Moise fra Pixabay
Oslo kommune 681 000 innbyggere så langt i 2019 (og teller fortsatt...)
Oslo kommune 45 000 mottakere av hjemmetjenester (2017) 4372 i helse- og omsorgsinstitusjoner (2018)
Her er Tim... Oslos persona når det gjelder digitalisering av innbyggertjenester
og han har en bestemor... Oslos persona når det gjelder innbyggertjenester
Hvorfor så vanskelig?
Hvorfor så vanskelig? Velferdsteknologi - Medisindispenser? Apotek USA? Avstandsoppfølging 12 UK? Enkel medisindispenser 13 Uklart hvor kommunen starter og hvor den slutter Personopplysninger behandles i flere land og løsningene driftes kanskje fra andre land igjen... Involverer ofte en kjede av underleverandører og forskjellige skyløsninger Ulik grad av modenhet på personvern og infosikkerhet hos leverandører ROS-analyser og gjennomgang av infosikkerhet blir omfattende I tillegg er det ofte et stort press på å «rulle ut» VFT... Norge Avansert medisindispenser 4 7 1 3 6 ANSVARSOMRÅDE VFT- LEVERANDØR Medisindispenser underleverandør Irland Norge VFT leverandør Tyskland VKP Velferdsteknologisk knutepunkt Norge 2 5 Vakttelefon 11 8 9 10 Oslo kommune PC/Klient KONSEPTSKISSE M E D I S I N D I S P E N S E R Fagsystem/EPJ Norsk Helsenett/OK Gerica
Hvorfor så vanskelig? Oslo kommune - Organisering
Hvorfor så vanskelig? Velferdsteknologi, anskaffelser og informasjonssikkerhet ANSKAFFELSE IMPLEMENTERING OG DRIFT Behovskartlegging Kravspesifisering Konkurransegjennomføring Test Implementering Drift ROS før anskaffelse Krav til informasjonssikkerhet Databehandleravtale ROS Sikkerhetsgjennomgang Personvernkonsekvensutredning/ DPIA Hendelses-håndtering Jevnlige revisjoner og tiltak for personvern og informasjonssikkerhet
God informasjonssikkerhet handler om......å håndtere risiko... Bildet er tatt av Theodor Moise fra Pixabay
Håndtere risiko handler om Kartlegge verdier sårbarheter trusler/trusselaktører Redusere risiko til akseptabelt nivå med tiltak som påvirker verdi sårbarheter trusler/trusselaktører Risiko Trusselaktør 09.05.2019 12
Barriere Barriere Barriere Barriere Barriere Barriere Katastrofe Uønsket hendelse Håndtere risiko handler om Balansere tiltak som reduserer sannsynlighet konsekvens Barriere = Tiltak 09.05.2019 13
«Osloprosessen» i stort
Basert på ROS-rammeverk fra Rådhuset ønsket vi å involvere bredt folk i tjenesten beslutningstagere (bl.a. risikoeier) leverandør teknologer en ROS-prosess tilpasset velferdsteknologi aktivisering av deltagerne 09.05.2019 15
«Osloprosessen» i stort O P P S T A R T AV R O S B E S L U T T E T A R B E I D S M Ø T E T R I N N 1 T E M A: H O V E D K O M P O N E N T E R A R B E I D S M Ø T E T R I N N 2 T E M A: K O M M U N I K A S J O N S K A NA L E R B E S L U T T E A K S E P T A B E L R E S T R I S K O O P P F Ø L G I N G AV R I S I K O I F O R V A L T N I N G S- R E G I M E P L A N L E G G E S A M M E N S T I L L E F O R B E R E D E OG S A M M E N S T I L L E OG K O N K L U D E R E O V E R F Ø R E T I L F O R V A L T N I N G FINNE RISIKOEIER SAMMENSTILLE RESULTATER SAMMENSTILLE RESULTATER FORANKRING I FORVALTN. ORG O P P G A V E R A R B E I D S G R U P P E VELGE ARBEIDSGRUPPE VELGE REFERANSEGRUPPE UTARBEIDE KONSEPTSKISSE UTKAST VERDIVURDERING KARTLEGGE SÅRBARHETER KARTLEGGE TRUSLER UTKAST ROS UTARBEIDE UNDERLAGSMATERIALE FORBEREDE ARBEIDSMØTE UTSENDING TIL REFERANSEGRUPPE OPPDATERE VERDIVURDERING VERDIVURDERE KOMM. KANALER OPPDATERE SÅRBARHETER OPPDATERE TRUSLER OPPDATERE UTKAST TIL ROS OPPDATERE UNDERLAGSMATERIALE FORBEREDE ARBEIDSMØTE QA AV REFERANSEGRUPPE UTSENDING TIL REFERANSEGRUPPE OPPDATERE UNDERLAGSMATERIALE UTARBEIDE TILTAKSPLAN KONKLUDERE QA AV REFERANSEGRUPPE FORBEREDE BESLUTNINGSUNDERLAG UTARBEIDE ANBEFALING KALLE INN RISIKOEIER ETABLERE PLAN FOR OPPFØLGING IMPLEMENTERE I ÅRSHJUL ETABLERE OPPFØLGINGSANSVAR
«Oslometoden» - Erfaringer Verktøyet og metoden fungerer bra, men Formen på arbeidsmøtene varierer Mye forarbeid og etterarbeid Arbeidsmøtene sikrer bred forankring, men på et smalere område Et lite team med kjernekompetanse må sikre at analysen får stort nok nedslagsfelt Husk på å få med både sansynlighets- og konsekvensreduserende tiltak Kartlegg hvem som er risikoeier: det er bare risikoeier som kan beslutte om restrisiko er innenfor akseptable grenseverdier
Erfaringer generelt Arbeid med personvern og informasjonssikkerhet fordrer tilgang til juss- og sikkerhetskompetanse ROS-analyser og sikkerhetsgjennomganger er ressurskrevende for VFT Kommunene selv bør utarbeide egne databehandleravtaler, ikke bruke leverandørenes Det er stor forskjell i modenhet på leverandører mht. personvern og informasjonssikkerhet Kommunen blir mer en veileder enn revisor ovenfor VFT leverandører Kommunene bør samarbeide om avtale-, metode- og kompetansedeling HUSK! ROS-analyser og sikkerhetsgjennomganger er ferskvare og må gjøres jevnlig som en del av et forvaltningsregime
Informasjonssikkerhet & personvern mye å ta tak i... det viktigste er... Bildet er tatt av Wilfried Pohnke fra Pixabay
09.05.2019 20