Helse Sør-Øst RHF Gode og likeverdige helsetjenester til alle som trenger det, når de trenger det, uavhengig av alder, bosted, etnisk bakgrunn, kjønn og økonomi. RHF og HF omfattes av sikkerhetsloven Oppfølging i Helse Sør-Øst Beredskapsseminar 28.-29. april 2016 Torstein Pålsrud
Bakgrunn Brev fra HOD datert 19.12.14: RHF og HF omfattes av sikkerhetsloven Nødvendig bl.a. for å kunne håndtere gradert informasjon
Norge er blitt tryggere!
Hensikten med Sikkerhetsloven Legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser Ivareta den enkeltes rettssikkerhet og trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste.
Sentrale dokumenter Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Forskrift av 29.06.01 nr 722 om personellsikkerhet Forskrift av 01.07.01 nr 744 om informasjonssikkerhet Forskrift av 29.06.01 nr 723 om sikkerhetsadministrasjon Forskrift av 22.10.10 nr 1362 om objektsikkerhet
RHF og HF må ivareta Vurdere hvilken informasjon (gradering) det er nødvendig å håndtere i virksomheten Etablering av sikkerhetsorganisasjon Sikkerhetsklarering av aktuelle personell med tjenstlig behov Utarbeidelse av egenerklæring om at det er etablert sikkerhetstiltak for å kunne håndtere sikkerhetsgradert informasjon
Noen begreper: Sikkerhetsklarering Autorisasjon Anmodende myndighet Klarerende myndighet
Nivåer for gradering og sikkerhetsklarering BEGRENSET nyttes dersom det i noen grad kan medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. KONFIDENSIELT nyttes dersom det kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. HEMMELIG skal benyttes dersom det alvorlig kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmende makter elle andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. STRENGT HEMMLIG skal benyttes dersom det kan få helt avgjørende skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmende makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. Nivå B = autorisasjon (autorisasjonssamtale og taushetserklæring). Nivå K = kreves sikkerhetsklarering (uten sjekk av personopplysninger av NSM). Nivå H og SH = sikkerhetsklarering (med sjekk av personopplysninger av NSM).
Autorisasjon Alle som skal gis tilgang til skjermingsverdig informasjon, skal autoriseres av den som eier informasjonen Autorisasjon er en avgjørelse, foretatt av autorisasjonsansvarlig, om at en person etter forutgående sikkerhetsklarering, bedømmelse av kunnskap om sikkerhetsbestemmelser, tjenstlig behov samt avlagt skriftlig taushetsløfte, gis tilgang til informasjon med angitt sikkerhetsgrad
Anmodende myndighet Anmodende myndighet er den virksomheten som har behov for at enkeltpersoner skal sikkerhetsklareres.
Klarerende myndighet Klarerende myndighet er den virksomheten som avgjør om en person kan sikkerhetsklareres Nasjonal sikkerhetsmyndighet (NSM) og hvert enkelt departement er klareringsmyndighet For klarering for H eller høyere vil Nasjonal sikkerhetsmyndighet utføre sjekk av personopplysninger
Organisering og behov for sikkerhetsklarering vurderes ut fra Virksomhetens egenart, størrelse og kompleksitet, herunder forventet behov for håndtering av gradert informasjon på kort og lengre sikt. Praktiske hensyn i forhold til virksomhetens organisering. Rollene/oppgavene som skal ivaretas kan tilpasses eksisterende organisering.
Sikkerhetsorganisasjon - roller som skal ivaretas Sikkerhetsleder Planlegge, drifte, følge opp sikkerhetsarbeidet, følge opp avvik i forhold til prosedyrer og rutiner, rapportere sikkerhetstruende hendelser, holde sikkerhetsdokumentasjon à jour Informasjonssikkerhetsansvarlig Følge opp virksomhetens ansvar for håndtering av sikkerhetsgradert informasjon. Rutine for informasjonshåndtering Ivaretas gjerne av arkivansvarlig, evt. andre som skal ivareta manuelle journalrutiner og oppbevaring av graderte dokumenter Personellsikkerhetsansvarlig Spørsmål knyttet til sikkerhetsklarering og autorisasjon av personell. Kan evt. ivaretas av sikkerhetsleder Datasikkerhetsansvarlig Ansvar for det datautstyret som HF evt. benytter i tilknytning til håndtering (skriving og lagring) av gradert dokumentasjon (pc og en printer, med spesielle spesifikasjoner). Kan evt. ivaretas av andre roller
Sikkerhetsorganisasjonen i HSØ RHF Skal kunne håndtere sikkerhetsgradert skriftlig informasjon t.o.m. K Sikkerhetsleder, herunder også personellsikkerhetsansvarlig datasikkerhetsansvarlig Informasjonssikkerhetsansvarlig Det utarbeides instrukser for de to rollene
HF - alternative tilnærminger Alt. 1 Alt. 2 Tilsvarende organiseringen i Helse Sør-Øst RHF Minimumsløsning Sikkerhetsklarering til nivå H: Administrere direktør Sikkerhetsleder Sikkerhetsklarering til nivå K: Arkivleder (eller tilsvarende). Informasjonssikkerhetsansvarlig Arkivmedarbeider. Stedfortredende informasjonssikkerhetsansvarlig
Adgangskontroll og fysisk sikring
Dokumenter og rutiner Grunnlagsdokument for sikkerhet: Sikkerhetsorganisasjonen og dens myndighet, adgangskontroll og fysisk sikring, informasjonssystemer, sikkerhetsgradert kommunikasjon, behov for tilgang til sikkerhetsgradert informasjon, sikkerhetsdokumentasjon, styringshjul for sikkerhetsledelse Rutine for håndtering av sikkerhetsgradert dokumentasjon Definisjoner, sikkerhetsorganisasjonen og dens myndighet, behandling av graderte dokumenter, saksbehandlers plikter, dokumentsenterets plikter, nødvendig og godkjent utstyr av NSM, sjekkliste for informasjonshåndtering
Direktørmøtets konklusjon Direktørmøtet tar redegjørelsen til orientering. Saken følges opp i det enkelte helseforetak så snart som mulig, herunder Beslutning om etablering av sikkerhetsorganisasjon Søknad om sikkerhetsklarering av nødvendig personell Utarbeidelse av grunnlagsdokument for sikkerhet Utarbeidelse av rutinebeskrivelse for håndtering av sikkerhetsgradert dokumentasjon Sluttføring innen utgangen av 2016
Spørsmål??