Saksframlegg. Saksgang: Styret tar saken til orientering. Styret Sykehuspartner HF 3. september 2019 SAK NR

Like dokumenter
Styret Sykehuspartner HF 19. juni 2019

Styret Sykehuspartner HF 2. mai 2018 FULLMAKT TIL ANVENDELSE AV BUDSJETTMIDLER FOR TILTAK INNEN INFORMASJONSSIKKERHET OG PERSONVERN

Styret Sykehuspartner HF 10. april 2019 PROGRAM FOR STANDARDISERING OG IKT-INFRASTRUKTURMODERNISERING (STIM)

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

Styret Sykehuspartner HF 19. juni 2019

Styret Sykehuspartner HF 5. september 2018 STATUS FOR PROGRAMMET FOR STYRKET TILGANGSSTYRING, PERSONVERN OG INFORMASJONSSIKKERHET (ISOP)

Styret Sykehuspartner HF 28. mai 2019

Styret Sykehuspartner HF 12. desember 2018

Saksframlegg. Saksgang: Styret Sykehuspartner HF 6. mars 2019 SAK NR ØKONOMISK LANGTIDSPLAN Forslag til vedtak

Hva betyr «Just-in-time» privileger for driftspersonalet?

Styret Helse Sør-Øst RHF 6. august 2018

Konsernrevisjonen Rapport 7/2019. Revisjon av Program for standardisering og IKT-infrastrukturmodernisering (STIM) 2. tertial 2019.

Saksframlegg. Saksgang: Styret Sykehuspartner HF 6. desember 2017 SAK NR MÅL 2018 PROSESS OG STATUS. Forslag til vedtak:

Styret Sykehuspartner HF 12. desember 2018

Saksframlegg. Saksgang: Styret Sykehuspartner HF 3. september 2019 SAK NR BUDSJETTINNSPILL Forslag til vedtak

Styret Helse Sør-Øst RHF 15. desember 2016 SAK NR IKT-INFRASTRUKTURMODERNISERING STYRING OG OPPFØLGING AV EKSTERN PARTNER

Orientering om etablering av program Mobil digital klinisk arbeidsflyt (MoDI)

Styret Sykehuspartner HF 6. desember 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Styret Helse Sør-Øst RHF 26. april Styret slutter seg til plan for anskaffelse av radiologiløsning slik den er beskrevet i saken.

Styret Sykehusinnkjøp HF 22.mars 2017

Vedlegg til styresak Program for standardisering og IKT-infrastrukturmodernisering (STIM) Styringsdokument v. 0.90

Styret Sykehuspartner HF 21. mars 2018 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Saksframlegg. Saksgang: Styret Sykehuspartner HF 25. oktober 2018 SAK NR ÅRSPLAN STYRET 2018/19. Forslag til vedtak:

Styret Helse Sør-Øst RHF 19. april 2012

Årsplan styret i Sykehuspartner HF

Styret Sykehuspartner HF 15. november 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Styret Helse Sør-Øst RHF 6. mai 2010

Vedlegg 2 til styresak Program for standardisering og IKT-infrastrukturmodernisering (STIM) Styringsdokument v. 0.5

Saksgang: Saksframlegg. Styret Sykehuspartner HF 19. juni 2018 SAK NR SYKEHUSPARTNER HF SIN ROLLE I BYGGEPROSJEKTER I HELSE SØR-ØST

Styret Sykehuspartner HF 25. oktober 2018 SYKEHUSPARTNERS LEVERANSER I BYGGEPROSJEKTER I HELSE SØR-ØST OG LEVERANSEOMFANG NYTT SYKEHUS I DRAMMEN

Styret Sykehuspartner HF 25. oktober 2018 STATUS I ETABLERING AV PROGRAM FOR STANDARDISERING OG IKT- INFRASTRUKTURMODERNISERING

Styret Helse Sør-Øst RHF 14. april 2011 SAK NR REVISJONSRAPPORT - LEVERANSE AV HELSEPERSONELLVIKARER

Saksframlegg. Styret Helse Sør-Øst RHF 24. august 2018 SAK NR REVISJONSRAPPORT 12/2017 FORVALTNING AV GAT. Forslag til vedtak:

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.september 2018

Styret Sykehuspartner HF 5. september 2018

Styret Sykehuspartner HF 25. oktober 2018

Revisjonsrapport analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler

Digitaliseringsstrategi

Saksframlegg. Saksgang: Styret Sykehuspartner HF 15. november 2017 SAK NR BUDSJETTPROSESS Forslag til vedtak:

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 2. mai Tidspunkt: Følgende medlemmer deltok:

Styret Sykehuspartner HF 5. september 2018 BUDSJETT PROSESS OG TILNÆRMING TIL UTVALGTE OMRÅDER

Oslo universitetssykehus HF

Styret Helseforetakenes senter for pasientreiser ANS 21/10/2015

Saksframlegg Referanse

Robust Mobilt Helsenett

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Digitaliseringsstrategi

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Vedlegg 4 til styresak Program for standardisering og IKT-infrastrukturmodernisering (STIM)

Digitaliseringsstrategi

DIGITAL FORNYING -for bedre pasientsikkerhet og kvalitet

Oppdrag gitt i foretaksmøte 31. mai Foreløpig rapport om gjennomføring av oppdraget

Styret Sykehuspartner HF 5. februar 2019 PROGRAM FOR STANDARDISERING OG IKT-INFRASTRUKTURMODERNISERING (STIM)

Saksframlegg. Styret Helse Sør-Øst RHF 10. mars 2016 SAK NR TERTIALRAPPORT 3. TERTIAL 2015 FOR DIGITAL FORNYING. Forslag til vedtak:

Styret Helse Sør-Øst RHF 27. april Styret godkjenner at det iverksettes konkurranse for anskaffelse av løsning for digitalt multimediearkiv.

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Styret Helse Sør-Øst RHF 23. oktober 2014 SAK NR VEDLIKEHOLDSAVTALE MELLOM DIPS ASA OG HELSE SØR-ØST RHF

Styret Helsetjenestens driftsorganisasjon for nødnett HF 10.juni BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Saksframlegg. Saksgang: Styret Sykehuspartner HF 11. november 2015 SAK NR TILTAK BEDRE LEVERANSER TJENESTEENDRINGER. Forslag til vedtak:

Styret Helsetjenestens driftsorganisasjon for nødnett HF 15.mars BESØKSADRESSE: POSTADRESSE: Tlf: Org.nr.

Sykehuspartner skal bygge en digital motorvei for Helse Sør-Øst. Morten Thorkildsen Styreleder, Sykehuspartner HF 11. oktober 2018

SAK NR INFORMASJON OM TILPASNINGER TIL NY PERSONOPPLYSNINGSLOV MED FORORDNING (GDPR) STATUS I ARBEIDET I SYKEHUSET INNLANDET

Styret Helse Sør-Øst RHF 15. desember Det fastsettes følgende krav til økonomisk resultat i 2017 (tall i millioner kroner):

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 12. desember Tidspunkt: Følgende medlemmer deltok:

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

ETABLERING AV FELLES TJENESTESENTER

Styret Helse Sør-Øst RHF 24. august 2018 SAK NR STATUS OG RAPPORTERING REGIONAL IKT-PORTEFØLJE PER FØRSTE TERTIAL 2018

Saksframlegg. Saksgang: Styret Sykehuspartner HF 5. februar 2019 SAK NR DRIFTSORIENTERINGER FRA ADMINISTRERENDE DIREKTØR. Forslag til vedtak

HELSE MIDT-NORGE RHF STYRET

Styret Helse Sør-Øst RHF 14. desember Det fastsettes følgende krav til økonomisk resultat i 2018 (tall i millioner kroner):

Styret Helse Sør-Øst RHF 14. desember 2017

SAK NR TERTIALRAPPORT FOR IKT-PROGRAMMET DIGITAL FORNYING

Saksgang: Styret Helseforetakenes senter for pasientreiser ANS 31/10/2016

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Styret Helse Sør-Øst RHF 16. november 2017

Programmandat. Versjon Program for administrativ forbedring og digitalisering

Saksframlegg Referanse

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Programbeskrivelse. Versjon Program for administrativ forbedring og digitalisering

Styresak. Styresak 031/04 B Styremøte

Styret Helseforetakenes senter for pasientreiser ANS 23/10/13

Møteprotokoll. Styre: Sykehuspartner HF Møtested: Sykehuspartner - Skøyen Dato: 5. februar Tidspunkt: Følgende medlemmer deltok:

Fremtidig IKT-operativsystem og forvaltning av PC-klienter

Styret Helse Sør-Øst RHF 21. april 2016

Digitaliseringsstrategi. - trygghet og tillit til teknologi

Styret i Helseforetakenes senter for pasientreiser ANS 08/12/10

Strategi Strategisk retning for Helsetjenestens driftsorganisasjon for nødnett HF for perioden

Gevinstrealisering i program Felles Infrastruktur og Arkitektur (FIA)

Styret Helse Sør-Øst RHF 14. april 2011 SAK NR ORIENTERINGSSAK: ORIENTERING OM PROSJEKTENE ADMHR OG BEDRE RESSURSSTYRING

«Én innbygger én journal» 29. januar 2017

Dataporten til grunnopplæringa - hvilke gevinster ser grunnopplæringa ved Dataporten? Anna Borg, Seniorrådgiver i Utdanningsdirektoratet Avdeling for

Saksframlegg. Saksgang: Styret Sykehuspartner HF 15. november 2017 SAK NR ÅRSPLAN 2017/2018. Forslag til vedtak:

Styret Sykehuspartner HF 12. desember Styret tar plan for formell etablering av Program for standardisering og IKTinfrastrukturmodernisering

Programmandat. Regional klinisk løsning

Hvordan sikre landingsplass for prosjektene

Handlingsplan tilknyttet revisjonsrapport «analyse av manglende avtalelojalitet ved kjøp av behandlingshjelpemidler»

Oslo universitetssykehus HF

Saksframlegg Referanse

Transkript:

Saksframlegg Saksgang: Styre Møtedato Styret Sykehuspartner HF 3. september 2019 SAK NR 050-2019 PROSJEKT PRIVILEGERTE TILGANGER (PAM) - PROGRAM ISOP Forslag til vedtak Styret tar saken til orientering. Skøyen, 27. august 2019 Gro Jære Administrerende direktør Side 1 av 6

1. Administrerende direktørs anbefalinger / konklusjon Sykehuspartner HF gjennomfører program for Informasjonssikkerhet, personvern, identitetsog tilgangsstyring (ISOP) jf. sak 034-2018. Innen området tilgangsstyring i program ISOP er det sentralt å anskaffe, konfigurere og ta i bruk verktøy for sikker administrasjon av privilegerte tilganger i Helse Sør-Øst. Prosjekt privilegerte tilganger (PAM) skal ivareta deler av dette. I denne saken vil administrerende direktør orientere styret om status for prosjektet. Ved behov vil administrerende direktør komme tilbake til styret med egen fullmaktsak vedrørende anskaffelse av PAM-verktøy og gjennomføringen av prosjektet. 2. Faktabeskrivelse 2.1 Hva saken gjelder I saken orienteres styret om status i prosjektet PAM. 2.2 Hovedpunkter Bakgrunn Sykehuspartner HF har ansvar for forsvarlig administrasjon av privilegerte tilganger for ansatte i og leverandører til Helse Sør-Øst. Privilegerte tilganger er tilganger med utvidede rettigheter som er nødvendig for å gjennomføre drifts- og forvaltningsoppgaver. Sykehuspartner HF har gjennomført og gjennomfører flere tiltak for å styrke kontroll med tilganger, herunder privilegerte tilganger. Eksempler på dette er: Etablert passord-hvelv som en tjeneste Rydde i eksisterende struktur for privilegerte tilganger prosjekt tilgangsstyring av privilegerte tilganger i AD (TiPAD), program ISOP Etablere regional tjeneste for identifisering og autentisering av brukere prosjekt styrket autentisering (SA), program ISOP Styrke kontroll med privilegerte tilganger på dagens plattform gjennom dynamiske driftsarbeidsflater prosjekt konsolidering og sikring av driftsarbeidsflater (KOSAD), program ISOP Etablere helhetlig administrasjon av privilegerte tilganger prosjekt PAM, program ISOP Etablert kontroller som varsler ved misbruk eller feil mht. tilgangsstyring Obligatoriske e-læringskurs for alle Sykehuspartner HFs ansatte som også omhandler identitets- og tilgangsstyring Styrket prosess ved å etablere to-trinns godkjenning ved bestilling av nye tilganger Målbilde for privilegerte tilganger Det overordnede målbildet for administrasjon av privilegerte tilganger i Helse Sør-Øst er «Kontrollert, sporbar og sikker bruk av privilegerte tilganger», og det er konkretisert slik: Side 2 av 6

Kontrollert bruk (prosess og organisasjon) o Forvaltning av policy o Opplæring i henhold til beste praksis o Bevisstgjøring og forankring av ny styringsmodell for privilegerte tilganger Sikker bruk (administrasjon av privilegerte tilganger) o Oppdagelse og innrullering o Hvelv med hemmeligheter o Sesjonsopptak og avspilling o Håndhevelse av policy Sporbar bruk (analyse og rapportering av bruk) o Sesjonsgjennomgang o Sesjonskontroll tekst eller video o Rapportering hvem, hva og når? o Revisjon Målbildet omfatter komponenter, prosesser og retningslinjer som til sammen skal etablere helhetlig administrasjon av privilegerte tilganger i Helse Sør-Øst i henhold til beste praksis. Prosjektbeskrivelse Prosjekt PAM skal anskaffe, konfigurere, pilotere og rulle ut verktøy for administrasjon av privilegerte tilganger. I første omgang er det driftspersonell i Sykehuspartner HF som vil ta i bruk PAM-verktøyet, deretter vil øvrige drift og forvaltningspersonell i og leverandører til Helse Sør-Øst også ta det i bruk. Disse privilegerte tilgangene vil omfatte operativsystemer, databaser, mellomvare, applikasjoner, nettverksenheter, virtualiseringslag og skytjenester. Verktøyet omtales heretter som PAM-verktøyet. Det vil dekke dagens plattform og fremtidig plattform, som etableres av programmet STIM. Formålet med et slikt verktøy er å kunne oppnå kontrollert, sporbar og sikker bruk av privilegerte tilganger. Dette innebærer også styrket kontroll med identifisering og autentisering av brukerne og overvåking av brukernes aktivitet. Samtidig skal verktøyet tilby arbeidsflater og mulighet for filoverføring for å ivareta at aktiviteter som krever privilegerte tilganger utøves på en sikker måte. Prosjektet vil med sine leveranser legge til rette for at Sykehuspartner HF skal kunne bygge opp en fullverdig PAM-tjeneste som er tilstrekkelig for håndtering av privilegerte tilganger. Prosjektet vil dermed gi et viktig bidrag til at sikkerhetskulturen i Helse Sør-Øst kan videreutvikles. Prosjektets leveranser vil også bidra til at Sykehuspartner HF når målkrav gitt i oppdragsdokumentet, Oppdrag og bestilling 2019: «Sykehuspartner HF skal ta hensyn til lovkrav om at tilgang skal begrenses til nødvendige og relevante funksjoner og opplysninger til tilgangsstyringen i både infrastruktur og applikasjoner.» Blant annet betyr det at alle tildelte tilganger skal kunne spores tilbake til tjenstlige behov og opphøre når slike behov opphører. Status og plan for prosjektgjennomføring Prosjektet PAM arbeider i henhold til overordnet plan som ble fremlagt for styret i juni, som viser etablering og implementering av PAM-verktøy for utvalgte brukergrupper med avslutning sommeren 2020. Prosjektet har gjennomført konsept- og planleggingsfase i henhold til Helse Sør-Østs prosjektveiviser med kartlegging av behov, utarbeidelse av målbilde, vurdering av alternativer, utarbeidelse av kravspesifikasjon og utsendelse av avropsbrev. Arbeidet er utført i tett samarbeid med øvrige deler av Sykehuspartner HF. Side 3 av 6

Prosjektet har basert på dette arbeidet vurdert følgende alternativ: 1. Videreutvikling av eksisterende PAM-verktøy 2. Anskaffelse av PAM-verktøy gjennom rammeavtale innen fagområdet tilgangsstyring I denne prosessen har det blitt klart at det ikke er adgang til å avrope mer innenfor de avtaler som Sykehuspartner HF tidligere har inngått i forbindelse med anskaffelse av PAM-verktøy for håndtering av passord-hvelv. I 2018 inngikk Sykehuspartner HF en rammeavtale for anskaffelser innenfor fagområdet tilgangsstyring, og det er hensiktsmessig å bruke denne avtalen for videre anskaffelser av PAM-verktøy. Sykehuspartner HF besitter ikke tilstrekkelig produktkompetanse, så det vil være nødvendig å anskaffe bistand til konfigurering av verktøyet fra en sertifisert integrator. Etter at anskaffelsen er gjennomført vil prosjektet gjøre avrop på integrator og sammen med valgt integrator legge en detaljert plan for konfigurering, pilotering og utrulling av verktøyet. Det tas sikte på å konfigurere PAM-verktøy i høst, og pilotere og rulle ut i puljer utover våren 2020. Dette legger til rette for rask gevinstrealisering gjennom en smidig prosjekttilnærming, med puljevis tilpasning og utrulling av verktøyet. For hver pulje vil det bli en separat overlevering til forvaltning i linjeorganisasjonen som vil utarbeide rutiner og gjennomføre brukeropplæring. Den første puljen vil omfatte basisfunksjonalitet for en begrenset brukergruppe. Deretter vil prosjektet legge til brukergrupper og funksjonalitet for hver pulje som rulles ut. Prioritering av brukergrupper og funksjonalitet gjøres i samarbeid med linjeorganisasjonen og har fokus på å redusere risiko for virksomheten. Et viktig premiss for prioriteringen vil være at hver pulje skal gi gevinst for Helse Sør-Øst, og dermed ha selvstendig verdi. Prosjektet har som målsetning å implementere løsningen til alle privilegerte brukere i Sykehuspartner HF. Løsningen vil bli installert slik at den kan tas i bruk både på dagens og på fremtidig plattform og slik at linjeorganisasjonen, etter at prosjektet er avsluttet, skal kunne gjennomføre implementering til øvrige privilegerte brukergrupper i Helse Sør-Øst. Prosjektkostnader, usikkerhetsanalyse og finansiering Prosjektets gjennomføringsfase vil strekke seg frem til ultimo juni 2020 og er estimert til om lag 20 MNOK. Dette estimatet omfatter anskaffelse av PAM-verktøy. I estimatet er det knyttet størst usikkerhet til anskaffelses- og vedlikeholdskostnadene. Estimatene omfatter ikke kostnader knyttet til forvaltning og eventuell videre utrulling i Helse Sør-Øst etter at prosjektet er avsluttet. Sykehuspartner HF vil komme tilbake til dette i budsjettprosessen for 2020. Prosjektet vil bli finansiert innen program ISOPs budsjett for 2019 og planlagte rammer for 2020 gjennom Økonomisk langtidsplan 2020-2023. Ved behov vil administrerende direktør komme tilbake til styret med egen fullmaktsak vedrørende anskaffelse av PAM-verktøy og gjennomføringen av prosjektet. Gevinster og gevinstrealisering Prosjektet har identifisert følgende gevinster: Side 4 av 6

Enklere å etterleve lover, forskrifter, krav og behov Mer brukervennlig og effektiv pålogging til tjenester, systemer og enheter Redusert mulighet for oppslag uten tjenstlig behov Redusert antall tilfeller av misbruk av tildelt privilegert tilgang Redusert angrepsflate Redusert skadeomfang ved potensielle angrep Redusert sannsynlighet for feil i konfigurasjon Styrket sporbarhet på hvilke personer som har hatt tilgang Styrket sporbarhet på hvilken lokasjon personer har tilgang fra Økt kvalitet i IKT-forvaltningen Økt mulighet for å avdekke brudd på gjeldende policys For hver pulje som implementeres vil prosjektet gi bidrag til disse gevinstene. Full effekt vil ikke Helse Sør-Øst få før PAM-verktøyet er implementert til alle brukergrupper og PAMtjenesten, som linjeorganisasjonen skal etablere og forvalte, administrerer alle privilegerte tilganger. Det vil også kunne realiseres gevinster etter hvert som leveransene fra de øvrige prosjektene i ISOP-programmet støtter opp om PAM-tjenesten. Risiko og avhengigheter Sykehuspartner HF jobber med etablering av forvaltningsmiljø som kan ta imot og videreføre de oppgavene som overleveres fra prosjektet. ISOP-programmet bidrar inn i dette arbeidet både med innspill på kompetanse, kapasitet og endringsledelse. Sykehuspartner HF har også innhentet erfaringer fra Norsk Helsenett SF som har gjennomført anskaffelse av PAMverktøy og som er i ferd med å etablere en PAM-tjeneste for sin organisasjon. Etablering, forvaltning og implementering av en ny tjeneste basert på ny teknologi og nye arbeidsprosesser krever betydelig innsats fra Sykehuspartner HF. Etablering av PAM vil medføre endring av arbeidsprosesser. Det jobbes systematisk med å sikre involvering fra ansatte og ledere slik at gevinstene kan realiseres. Eksempelvis deltar relevante fagmiljøer i prosjektets prosjekt- og styringsgrupper og tillitsvalgte er representert i programstyret. Endrede arbeidsprosesser vil bli adressert i samarbeidsfora med tillitsvalgte i Sykehuspartner HF. Prosjektet er avhengig av at program STIM leverer sikkerhetssoner som forutsatt i revidert plan for å kunne installere verktøy og gjennomføre leveranser som planlagt. 3. Administrerende direktørs vurderinger Tiltakene som prosjektet PAM gjennomfører, vil bidra til at Sykehuspartner HF styrker tilgangsstyringen. Tiltakene vil legge til rette for bedre kontroll av tilganger til privilegerte konti, herunder også delte konti og konti for nødtilgang, og gi mulighet til å spore bruk av slike tilganger ved å isolere, overvåke, registrere og revidere privilegerte tilgangssesjoner, - kommandoer og -handlinger. Sykehuspartner HF har definert målbilde for administrasjon av privilegerte tilganger i Helse Sør-Øst. Dette målbildet er ambisiøst, og det vil kreve en betydelig innsats fra Sykehuspartner HF både gjennom deltakelse i prosjektet og gjennom arbeid i forvaltningen også etter at prosjektet er avsluttet. Prosjektet skal etablere PAM-verktøyet og legge til rette for PAM-tjenesten som linjeorganisasjonen etablerer. Administrerende direktør legger videre vekt på å videreutvikle sikkerhetskulturen i organisasjonen. Dette er et kontinuerlig arbeid. Side 5 av 6

Administrerende direktør vurderer det slik at dette prosjektet vil gi et godt bidrag til at Sykehuspartner HF ivaretar en forsvarlig administrasjon av privilegerte tilganger for ansatte i og leverandører til Helse Sør-Øst og anbefaler at styret tar saken til orientering. Side 6 av 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding