Tekniske krav til portal med publiseringsløsning (fase 1)

Like dokumenter
FUNKSJONELL KRAVSPESIFIKASJON

EN PRAKTISK INNFØRING I KRYPTERT E-POST FRA UDI

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Videokonsultasjon - sjekkliste

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Public. Sikker sone. - har konseptet en framtid? Peter Engelschiøn, Knut-Erik Gudim og Simen Myrum

Veileder for bruk av tynne klienter

Bilag 3: Beskrivelse av det som skal driftes

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

HVEM ER JEG OG HVOR «BOR» JEG?

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Hvordan få tilgang til journalopplysning fra andre virksomheter

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

IT på legekontor. Torstein Sakshaug,

4.2 Sikkerhetsinstruks bruker

Vi vil ut I skyen hva gjør vi? Tilgangsstyring. Foredrag på NIFS-møte ved Seniorrådgiver Mari Vestre Difi

Krav til informasjonssikkerhet

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

E-resept og Kjernejournal. Bent A larsen Fastlege Konsulent Direktoratet for e-helse

Sikkerhetsmål og -strategi

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

ErgoGroup AS eway Nydalsveien 28 Postboks 4364 Nydalen 0402 Oslo Tlf.: Faks:

Hvordan kan personvernet ivaretas i helsesektoren?

Informasjonssikkerhet i Helseplattformen

Datasikkerhet internt på sykehuset

1.4 Det skal leveres en beskrivelse av eierskapsmodell for registrerte data og fordeling av ansvar for behandling og vedlikehold av disse.

Innholdsstandard (meldinger) ebxml-rammeverk (innpakking, adressering, transportkvittering, kryptering, autentisering, virksomhetssignatur)

Tilgangskontroll i fugleperspektiv Tilgangskontroll i IT-systemer de fire A-er Administrasjon Autentisering Autorisasjon Audit (etterhåndskontroll) Av

Kravspesifikasjon for

Risikovurdering av sikkert- nettskjema TSD 2.0

GENERELL BRUKERVEILEDNING WEBLINE

Velferdsteknologisk knutepunkt

Teknisk tilrettelegging Digital dialog fastlege

Avtale for kjøp av Elektronisk vedlikeholdssystem for drift renovasjon

Crypto Adapter. Applikasjonsbeskrivelse

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

Sikkerhet flere aspekter: Sikkerhets-problemer. Autentisering/autorisasjon. Kryptering

Personidentifiserbart Norsk pasientregister. DRG-forum, 6. mars 2007

Endelig kontrollrapport

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

Beskrivelse av informasjonssystemet

Huldt & Lillevik Ansattportal. - en tilleggsmodul til Huldt & Lillevik Lønn. Teknisk beskrivelse

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Teknisk Presentasjon Kun for autoriserte partnere.

Publiseringsløsning for internettsider

Det skal ikke være lett! Elektronisk sårjournal: Liten brikke i stort spill

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

Status for noen av «våre» prosjekter

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

FRC-Feeder-E. Et sikkert og raskt verktøy for overføring av data til File Record Converter Versjon 1.9

Informasjonssikkerhet

Sikkerhet i Pindena Påmeldingssystem

Erfaringer med elektronisk pasientjournal

Registrering og innsamling av helsedata sett opp mot IT - sikkerhet Kvalitetsregisterkonferanse Tromsø

MRS Medisinsk registreringssystem Drift av kvalitetsregistre.

Automatisert driftskontroll

ephorte Integration Services (eis) produktbeskrivelse

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Endelig kontrollrapport

Sikkerhetskrav for systemer

MedAxess WinMed Brukermanual

Den mobile arbeidshverdagen

Sikker på nett. Hva skal man gjøre for å være sikker på nett med PC, nettbrett eller mobil. Carl-Edward Joys Seniornett Asker

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

KRAVSPESIFIKASJON FOR SOSIORAMA

Sikkerhets- og samhandlingsarkitektur ved intern samhandling

SOLICARD ARX. Adgangssystemet som gir deg ubegrenset frihet. An ASSA ABLOY Group company

Saksnr. 2013/188 2-faktor autentisering. Spørsmål og svar: :

Forelesning 4: Kommunikasjonssikkerhet

fleksibilitet når det gjelder geografisk plassering og etablerte arbeidsrutiner. Qubic cms

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

ANORDNING, SYSTEM OG FREMGANGSMÅTE FOR REGISTRERING OG AUTENTISERING AV HÅNDSKREVNE SIGNATURER OG ARKIVERING AV HÅNDSKREVEN INFORMASJON

Innhold: Hva skjer med driftskontroll når n r IT blir en tjeneste i skyen? Innhold: IT vs Driftskontrollsystemer:

Personvernerklæring for OJS

Internkontroll i mindre virksomheter - introduksjon

Sikkerhetskrav for systemer

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.

Office365 -innføring i utvalgte programmer

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

PERSONVERN I VISCENARIO

Informasjonssikkerhet i morgendagens helsevesen

Sikkerhetskrav for systemer

WEB basert Leder VA KJELL MYKLEBUST

Kravspesifikasjon Digital distribusjon av sakspapirer

UA Tjenestebeskrivelse NTNU e-rom

6105 Windows Server og datanett

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

6105 Windows Server og datanett

Bilag 1 Kravspesifikasjon Avtalereferanse: NT Web avspiller

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

på nett med PC, nettbrett eller

Personidentfiserbart pasientregister Øyvind Christensen /

Effektiv Systemadministrasjon

Vemma Europes personvernerklæring

Bilag 1 Kravspesifikasjon Avtalereferanse: NT Leveranse av kaker

Sikkerhet i Pindena Påmeldingssystem

Transkript:

Avdeling for strategi og helsefag UTVIKLING AV IT-LØSNING: FJERNBASERT BEHANDLING FOR SPILLEAVHENGIGE SAK NR 200700210 VEDLEGG A2 TIL KONKURRANSEGRUNNLAG TEKNISKE OG SIKKERHETSMESSIGE KRAV Innledning og generelle krav Denne kravspesifikasjonen beskiver på et relativt overordnet nivå hvilke krav som stilles innenfor det tekniske og sikkerhetsmessige området til portalen. TS1 Grunnkravet er at løsningen skal tilfredsstille krav i lover, forskrifter og bransjenorm, og kunne aksepteres av Datatilsynet ved et eventuelt tilsyn. Løsningen skal bestå av en åpen del (portal), og en lukket del for en-til-en kommunikasjon pasientbehandler over internett og lukket diskusjonsforum.. Åpen del er omtalt som fase 1, mens lukket del er omtalt som fase 2. Integrasjon med EPJ (DIPS) er omtalt som fase 3. TS2 Vi ønsker at tilbyderen angir om EPJ-integrasjon kan tilbys som en opsjon. Hvis EPJ-integrasjon tilbys som opsjon, skal det redegjøres for hva slags erfaring tilbyderen har fra tilsvarende prosjekter Kravene for fase 1 og 2 er beskrevet under. Vi er klar over at løsninger for pasient-behandler kommunikasjon over internett er så sikkerhetsmessig krevende at få leverandører vil være i stand til å implementere begge fasene. For fase 3, integrasjon mot EPJ vises til vedlegg A3. Tekniske krav til portal med publiseringsløsning (fase 1) TS3 Portalen og sidene som produseres med publiseringsverktøyet som tilbys skal oppfylle flest mulig kvalitetskriterier for offentlige websteder innen kategoriene tilgjengelighet for alle og brukertilpasning (Se http://www.norge.no/kvalitet/kvalitet2006/kriterier.asp) TS4 TS5 Sidene som genereres skal kunne vises med alle moderne browsere, og ikke kreve spesielle plug-ins. Utformingen av portalen skal være slik at den viser tilknytning til Helse Øst og Sykehuset Innlandet gjennom bruk av grafisk elementer og design. Leverandøren skal ha utforme designet etter innspill fra Sykehuset Innlandet.

TS6 TS7 TS8 TS9 TS10 TS11 TS12 TS13 TS14 Det skal være søkefunksjonalitet på sidene, for nærmere beskrivelse av krav se http://www.norge.no/kvalitet/kvalitet2006/kriterier.asp Publiseringsløsningen skal støtte WYSIWYG-redigering Det skal kunne defineres bruker- og sikkerhetsnivåer i publiseringsløsningen, som minimum journalist og redaktør Leverandøren bes besvare om innføring av nye menypunkter er noe bruker ansatt i Sykehuset Innlandet kan gjøre selv i publiseringsløsningen, eller om dette krever leverandørbistand. Systemet skal ha billedarkiv, hvis mulig med mulighet for automatisk skalering og tilpasning av billedkvalitet slik at hensiktsmessige filstørrelser på bilder oppnås Automatisk lenkesjekk bør støttes Løsningen skal støtte XML og åpne standarder slik at det er mulig å gjenbruke innhold på tvers av plattformer og løsninger. Tilbyderen bør tilby drift (web-hosting) av løsningen - enten selv, eller ved hjelp av underleverandør. Det skal tilbys mulighet for statistikk for å monitorere trafikken på sidene. Statistikk skal oppdateres minimum en gang pr dag. Sikkerhetskrav til portaldel ( fase 1) TS15 Løsningen som tilbys skal tilfredsstille relevante krav i lover, forskrifter og norm for informasjonssikkerhet i helsesektoren slik at Sykehuset Innlandet oppfyller sine forpliktelser til forsvarlig informasjonssikkerhet som databehandlingsansvarlig. TS16 TS17 Risikovurdering som sannsynliggjør at sikkerhetskravene er oppfylt skal kunne framlegges, eller leverandøren skal stille seg åpen for at Sykehuset Innlandet kan engasjere konsulentbistand for å etterprøve sikkerheten. Leverandøren skal i slike tilfeller samarbeide med sykehuset og konsulentene sykehuset velger. Hvis webhosting av portalen tilbys, skal servermiljø oppdateres jevnlig med aktuelle sikkerhetspatcher slik at risikoen for defacing eller andre sikkerhetsbrudd er minimal. 2

Krav til åpen spørsmål-svar del: Vi ser for oss at publikum her kan stille spørsmål i tilknytning til spilleavhengighet på et responsskjema tilgjengelig på sidene. Det må framgå tydelig at det ikke skal skrives noe som kan bidra til å identifisere den som har stilt spørsmålet. En autorisert bruker i avdeling for rusrelatert psykiatri og avhengighet får tilgang til spørsmålene som er stilt. Svar og redigerte spørsmål legges ut på en åpen FAQ. TS18 TS19 TS20 Innsendingen av responsskjemaet bør skje kryptert, da man ikke kan være sikker på at spørsmålsstilleren unnlater å identifisere seg selv. Spørsmålsstillerens IP-adresse, pc navn eller annen personlig identifikasjon skal ikke lagres hos den som hoster portalen Det skal beskrives hvordan sikker tilgang for behandler som skal redigere spørsmål og legge ut svar på FAQ skal løses. Sikkerhetskrav til løsning for lukket del (Fase 2) Generelle krav: TS21 TS22 Løsningen som tilbys skal tilfredsstille relevante krav i lover, forskrifter og norm for informasjonssikkerhet i helsesektoren slik at Sykehuset Innlandet oppfyller sine forpliktelser til forsvarlig informasjonssikkerhet som databehandlingsansvarlig for pasient-behandler kommunikasjon over Internett Risikovurdering som sannsynliggjør at sikkerhetskravene er oppfylt skal kunne framlegges, eller leverandøren skal stille seg åpen for at Sykehuset Innlandet kan engasjere konsulentbistand for å etterprøve sikkerheten. Leverandøren skal i slike tilfeller samarbeide med sykehuset og konsulentene sykehuset velger. Lukket diskusjonsforum: TS23 I lukkede diskusjonsfora i løsningen skal det ikke være mulig å koble innlegg mot brukerens internettadresse, pc-navn eller lignende TS24 Brukernavn og passord for lukkede fora opprettes av ansatt ved Sykehuset Innlandet, og listen som kobler nickname og reell identitet oppbevares av Sykehuset Innlandet. Dette vil si at pasient må melde interesse til Sykehuset Innlandet for å tilgang. TS25 Kommunikasjon fra brukerens pc til diskusjonsforum skal skje kryptert 3

En-en kommunikasjon pasient behandler Skissen under viser hvordan vi ser for oss at dette kan skje. Krav til klient: TS26 TS27 TS28 Brukeren skal kunne kommunisere sikkert med behandler ved hjelp av en web-browser på egen pc over internett. Kommunikasjonen skal være kryptert. Web-applikasjoner skal konfigureres slik at informasjon ikke blir lagret i nettleserens disk-cache, kun i minnet på pc mens bruker er innlogget Det skal benyttes tofaktor autentisering med f.eks smartkort, passordgenerator eller lignende slik at sikkerhet tilsvarende person høy oppnås. Mellomliggende nett og servere: TS29 Sensitive data skal ikke lagres kryptert eller ukryptert i dmz-soner Meldinger skal kun være instansiert i minnet på webserver og evt komponenter som utfører kryptering og dekryptering. Dette betyr at meldinger kan lagres på en DMZ-sone som henger fysisk på indre sikkehetsbarriere (brannmur i sikker sone) TS30 TS31 Nøkler må lagres slik at de er sikret mot misbruk (nøkler og meldinger i forskjellige soner) Servermiljø skal oppdateres jevnlig med aktuelle sikkerhetspatcher slik at risikoen for sikkerhetsbrudd er minimal. 4

Sikker sone i sykehuset TS32 TS33 TS34 Trafikk inn i sykehusets sikre sone skal ikke initieres utenifra. Behandler skal benytte egnet klient med tilhørende meldingsdatabase.(i likhet med e-post) å lese og besvare meldinger, samt gi pasientene nye oppgaver som beskrevet i vedlegg A1. Klienten med meldingsdatabase skal ha muligheter for: Tilgangskontroll for behandlere som skal besvare meldinger fra pasienter og gi pasientene nye oppgaver. Det skal være mulig å tilordne personlige brukeridenter. Logging av lesing av innkomne meldinger. Utskrift med pasientidentifikasjon 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding