LÆRINGS- og GJENNOMFØRINGSPLAN Instruktørkurs i informasjonssikkerhet basert på Normen for helseforetak, regionale helseforetak og deres IKT-driftsenheter Kurs i informasjonssikkerhet for utvalgte grupper i helseforetak, regionale helseforetak og deres IKTdriftsenheter Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.0 www.normen.no
INNHOLD 1 INSTRUKTØRKURS... 3 1.1 OM INSTRUKTØRKURSET... 3 1.2 MÅL FOR INSTRUKTØRKURSET... 3 1.3 MÅLGRUPPE FOR INSTRUKTØRKURSET... 3 1.4 INSTRUKTØRKURS: INNHOLD KURSMODULER... 3 1.5 GJENNOMFØRINGSPLAN FOR INSTRUKTØRKURS... 5 2 KURS I INFORMASJONSSIKKERHET FOR UTVALGTE GRUPPER I HELSEFORETAK, REGIONALE HELSEFORETAK OG DERES IKT- DRIFTSENHETER... 5 2.1 OM KURSET... 5 2.2 MÅL FOR KURS I INFORMASJONSSIKKERHET FOR UTVALGTE GRUPPER I HELSEFORETAK, REGIONALE HELSEFORETAK OG DERES IKT-DRIFTSENHETER:... 5 2.3 MÅLGRUPPE:... 5 2.4 GJENNOMFØRING AV LOKALE KURS... 6 2.5 KURSMODULER... 6 2.5.1 Innhold i kursmoduler... 7 3 SAMMENHENG MELLOM MODULER I INSTRUKTØRKURS OG GRUNNMODULER / PÅBYGNINGSMODULER... 9 3.1 DELTAKERE I UTARBEIDELSEN AV KURSMATERIELLET... 10 Lærings- og gjennomføringsplan HF-kurs v1.0 side 2 av 10
1 INSTRUKTØRKURS 1.1 Om instruktørkurset Instruktørkurset er et kurs i regi av styringsgruppen for Normen i samarbeid med RHF ene som setter utpekte ressurspersoner («instruktører») i stand til å gjennomføre kurs i informasjonssikkerhet for utvalgte grupper i egne virksomheter. Dette kan være helseforetak, regionale helseforetak og deres IKT-driftsenheter Instruktørene vil også gjennom å bidra med bl.a råd og veiledning være ressurspersoner innen Normen i foretakene. 1.2 Mål for instruktørkurset Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse av informasjonssikkerhet og personvern er viktig for helse- og omsorgssektoren Ha kunnskap om og formidle hva Normen er, hvordan den forvaltes, og hvordan den forplikter helsesektoren Ha kunnskap om viktig innhold i Normen og videreformidle / forklare dette Ha kunnskap om og formidle hjelpemidler / støttedokumenter 1.3 Målgruppe for instruktørkurset Målgruppe for instruktørkurset er personer som skal være instruktører og ressurspersoner innen Normen i egen virksomhet. Det vil være en fordel om disse har forkunnskaper innen informasjonssikkerhet og personvern i helsesektoren. 1.4 Instruktørkurs: Innhold kursmoduler Normen o Bakgrunn o Personvern og informasjonssikkerhet o Styringsgruppen o Juridisk bindende o Struktur og innhold o Krav til styringssystem for informasjonssikkerhet o Avviksbehandling o Utadrettet virksomhet o Praktisk bruk av Normen Personvern o Hva er personopplysninger? o Hva er helseopplysninger? o Hvorfor skal opplysningene sikres? o Den registrerte har rettigheter (samtykke, innsyn, mv) o Taushetsplikt - Sentrale lover og regler o Økt grad av samhandling o Personvern i hverdagen Lærings- og gjennomføringsplan HF-kurs v1.0 side 3 av 10
Gjennomføring av lokale kurs o Opplegg og gjennomføring o Presentasjonsteknikk Ansvar og avtaler o Definere sentrale begrep o Ansvar - styrets leder og administrerende direktør o Ansvar ved delegering av oppgaver o Ansvar og avtaler for databehandler Avtale ved fjernaksess Informasjonssikkerhet - Tekniske krav o Mulige sårbarheter i helseforetaket o Tekniske krav til informasjonssikkerhetstiltak o Tekniske sikkerhetsløsninger og tilkobling til eksterne nettverk o Sikkerhets- og tilbakekopiering o Service på datautstyr o Utskrifter og faks o Minnepinne og lagringsmedier o Fysisk sikkerhet o Passord og passordhåndtering o Plassering av skjerm og skriver o Hjemmekontor o Konfigurasjonskontroll o Testing Informasjonssikkerhet - Forvaltningskrav o Tilgang og tilgangsstyring til helse- og personopplysninger o Bruk av SMS og e-post i pasientkontakt o Elektronisk pasient- og brukerkommunikasjon o Hendelsesregistrering og oppfølging o Innsyn i hendelsesregistre o Autorisasjonsregister o Helseinformasjonssikkerhetsforskiften Gjennomføring av risikovurdering o Generelt om risikovurdering o Akseptkriterier for risiko o Metode for gjennomføring av risikovurdering o Tiltaksliste o Rapportering o Trening: Øvelse på case Hjelpemidler / støttedokumenter o Oversikt over Normen med støttedokumenter o Faktaark o Veiledere o Malverk o Kursmateriell Informasjonssikkerhet for leder o Informasjonssikkerhet og personvern o Normen med støttedokumenter o Sentrale lederoppgaver o Kontrollerende del viktige Lærings- og gjennomføringsplan HF-kurs v1.0 side 4 av 10
o o o o Styringssystem for informasjonssikkerhet Innsyn i den ansattes e-postkasse mv. Avviksbehandling Avtaler 1.5 Gjennomføringsplan for instruktørkurs Se kursplan. 2 KURS I INFORMASJONSSIKKERHET FOR UTVALGTE GRUPPER I HELSEFORETAK, REGIONALE HELSEFORETAK OG DERES IKT-DRIFTSENHETER 2.1 Om kurset Kurset omfatter flere kursmoduler som gjennomføres av instruktørene utdannet gjennom instruktørkurset, rettet mot målgrupper som har behov for utdypende opplæring i informasjonssikkerhet og personvern. Innholdet i kurset er ment å gå dypere enn en generell introduksjon og de praktiske sikkerhetsrådene som gis til de ansatte gjennom kompetanseprogram, obligatorisk e-læring for nyansatte osv. Det understrekes at innholdet bør suppleres med innhold fra eget styringssystem og på denne måten tilpasses lokale forhold. 2.2 Mål for kurs i informasjonssikkerhet for utvalgte grupper i helseforetak, regionale helseforetak og deres IKT-driftsenheter: Ha kunnskap om hvorfor ivaretakelse av informasjonssikkerhet og personvern er viktig for helse- og omsorgssektoren Ha kunnskap om hva Normen er, hvordan den forvaltes, og hvordan den forplikter helsesektoren Ha kunnskap om viktig innhold i Normen og videreformidle / forklare dette Ha kunnskap om hjelpemidler / støttedokumenter 2.3 Målgruppe: Databehandlingsansvarlig ledergruppen (deltakere i Ledelsens gjennomgang) Helsefaglig stab Innkjøp Forskning Prosessansvarlig, virksomhetsarkitekter Bygg fysisk sikring Med tek Tillitsvalgte / vernetjeneste Informasjonssikkerhet / personvernombud Lærings- og gjennomføringsplan HF-kurs v1.0 side 5 av 10
Juridiske avdelinger Avfallshåndtering / teknisk Kopimaskinansvarlig Kvalitet Internrevisjon Eksterne leverandører HR EPJ-systemeierskap og forvaltning IKT-prosjekt IKT-drift og forvaltning Opplæring 2.4 Gjennomføring av lokale kurs Det vil alltid være en suksessfaktor å skape gode forankring for gjennomføring av kursmodulene. Dette gjelder både opplegg, tidsbruk og innhold. Forankring bør sikres både hos toppledelsen og også hos berørte avdelingsledere. Det kan være fordelaktig å opprette et prosjekt for å gjennomføre kursene. Kartlegg og involver nøkkelpersoner og interessenter før oppstart. En god analyse av hvilke målgrupper som er aktuelle i virksomheten, og hvilke kursmoduler som er aktuelle er viktig. Ta utgangspunkt i den generiske listen over målgrupper over. Gjennomføringsplanen bør ha et realistisk omfang mht tidsbruk. Bruk av eksisterende arenaer bør kartlegges og vurderes: Obligatorisk kurs / program for nyansatte Eksisterende kurs i et fagsystem kortere moduler? Allerede etablerte seminarer / samlinger: Personvern inn som tema? Avdelingsmøter, seksjonssamlinger mv. Kurs for store forsamlinger Interkommunalt samarbeid? Web-verktøy som brukes i dag? Andre? Under selve kursgjennomføringen bør en tilstrebe en form som fremmer egen refleksjon og dialog. Innhold som tar konkret utgangspunkt i egen arbeidsplass og arbeidssituasjon er ofte heldig. Dette kan oppnås gjennom bruk av lokale eksempler og innhold fra eget styringssystem. Husk også at læring som del av det daglige arbeidet er mer effektivt enn opplæring som sideaktivitet. Sikkerhetsopplæring er sjelden vellykket som en engangsforeteelse, gjentagelser over tid vil forsterke læringen. 2.5 Kursmoduler Modulene er delt inn i to grunnmoduler og flere påbygningsmoduler. Lærings- og gjennomføringsplan HF-kurs v1.0 side 6 av 10
2.5.1 Innhold i kursmoduler Grunnmodul 1 Normen og personvern Hva er personopplysninger? Hva er helseopplysninger? Hvorfor skal opplysningene sikres? Den registrerte har rettigheter (samtykke, innsyn, mv) Taushetsplikt - Sentrale lover og regler Økt grad av samhandling Personvern i hverdagen Norm for informasjonssikkerhet Normens Struktur og innhold Avviksbehandling Grunnmodul 2 leder Informasjonssikkerhet og personvern Normen med støttedokumenter Sentrale lederoppgaver Kontrollerende del viktige Styringssystem for informasjonssikkerhet Innsyn i den ansattes e-postkasse mv. Påbygningsmodul informasjonssikkerhet teknisk Mulige sårbarheter i helseforetaket Tekniske krav til informasjonssikkerhetstiltak Tekniske sikkerhetsløsninger og tilkobling til eksterne nettverk Sikkerhets- og tilbakekopiering Service på datautstyr Utskrifter og faks Minnepinne og lagringsmedier Fysisk sikkerhet Passord og passordhåndtering Plassering av skjerm og skriver Hjemmekontor Konfigurasjonskontroll Testing Lærings- og gjennomføringsplan HF-kurs v1.0 side 7 av 10
Påbygningsmodul informasjonssikkerhet forvaltning Tilgang og tilgangsstyring til helse- og personopplysninger Bruk av SMS og e-post i pasientkontakt Elektronisk pasient- og brukerkommunikasjon Hendelsesregistrering og oppfølging Innsyn i hendelsesregistre Autorisasjonsregister Helseinformasjonssikkerhetsforskriften Påbygningsmodul Risikovurdering Teori: Generelt om risikovurdering Akseptkriterier for risiko Metode for gjennomføring av risikovurdering Tiltaksliste Rapportering Trening: Øvelse på case Diskusjon i plenum Lærings- og gjennomføringsplan HF-kurs v1.0 side 8 av 10
3 SAMMENHENG MELLOM MODULER I INSTRUKTØRKURS OG GRUNNMODULER / PÅBYGNINGSMODULER Lærings- og gjennomføringsplan HF-kurs v1.0 side 9 av 10
4 VEDLEGG 4.1 Deltakere i utarbeidelsen av kursmateriellet Navn Stilling / funksjon Organisasjon Knut Henrik Andersen Konsulent Incertus AS Jan Gunnar Broch Seniorrådgiver Helsedirektoratet Sigurd Finne Kvalitetsleder og Helgelandssykehuset HF informasjonssikkerhetsansvarlig Kjell Åge Nilsen Rådgiver Helse Midt-Norge RHF Kenneth Oppedal Sikkerhetsrådgiver Helse Bergen Ove Olsen Sikkerhetssjef Norsk Helsenett SF Øivind Røset Informasjonssikkerhetsrådgiver St. Olavs Hospital Elin Tverelv Rådgiver Sunnaas sykehus HF Hallbjørn Tørring Rådgiver anskaffelser/kontrakt Helse Nord IKT og informasjonssikkerhet Gaute Wangen Spesialrådgiver Helse Sør-Øst RHF Lærings- og gjennomføringsplan HF-kurs v1.0 side 10 av 10