Status for tilgangskontroll EPJ og informasjonssikkerhet MTU

Like dokumenter
Status Riksrevisjonens undersøkelser om helseforetakenes ivaretakelse av elektroniske pasientjournaler (EPJ) vedlegg til styresak

Glemt av sykehuset kortnavnet er hentet fra medieoppslag

Saksframlegg. Sørlandet sykehus HF. Informasjonssikkerhet. 1. Styret tar informasjonen om informasjonssikkerhet i helseforetaket til orientering.

Styret Helse Sør-Øst RHF 16. november 2017

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

Informasjonssikkerhet

Ledelsens gjennomgang Kvalitetssystemet. 1 Tertial 2016

To prioriterte satsingsområder i HSØ

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

TERTIALRAPPORT DIGITAL FORNYING

Kontroll av oppslagslogger i EPJ ved hjelp av mønstergjenkjenning

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Oppdrag 2016 Regionalt senter for kliniske IKT løsninger Oslo Universitetssykehus HF

Nye tilganger og ny pålogging

Til styret i Sunnaas sykehus HF. 21. september Sak 5318 Innføring av General Data Protection Regulation (GDPR) Forslag til vedtak

Personvern i helse, både pasientdata og personaldata. Hvilke utfordringer innebærer GDPR?

SAK NR ORIENTERINGSSAK: PROTOKOLLER FRA STYREMØTER I HELSE SØR-ØST RHF

DIGITAL FORNYING -for bedre pasientsikkerhet og kvalitet

Prosedyre for håndtering av endring i tilgang til regional DIPS

Leverandørtilganger. Pål-Øivind Kjeserud Enhetsleder Sykehuspartner Sykehuspartner

Styret Helse Sør-Øst RHF 26. april Styret slutter seg til plan for anskaffelse av radiologiløsning slik den er beskrevet i saken.

Nye tilganger og ny pålogging

Saksframlegg. Saksgang: Styret Sykehuspartner HF 6. desember 2017 SAK NR MÅL 2018 PROSESS OG STATUS. Forslag til vedtak:

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

SAK NR INFORMASJON OM INFORMASJONSSIKKERHET OG PERSONVERN I SYKEHUSET INNLANDET

20 år med PACS Hvor går veien videre i Helse Sør-Øst? Thomas Bagley. Direktør Teknologi og ehelse, Helse Sør-Øst RHF

Nasjonal internrevisjon av medisinsk kodepraksis i helseforetakene

Risikonivå Akseptabel. Akseptabel Trenger justering Kritisk

Regionalt senter for kliniske IKT løsninger. Hvordan sikre regional forvaltning med lokalt eierskap

Styret Helse Sør-Øst RHF 14. desember 2017

Hensikten med dette skrivet

Reduksjon av ventetider og fristbrudd Økt poliklinisk effektivitet i 2015

Foreløpig protokoll fra styremøtet 27. april 2017 inneholder følgende saker av spesiell interesse for Sykehusapotekene HF:

Styret Helse Sør-Øst RHF 14. september 2017

Halvårsrapport Konsernrevisjonen Helse Sør-Øst RHF

Risikonivå Akseptabel. Akseptabel Trenger justering Kritisk

Varsel om vedtak fra Datatilsynet - Overtredelsesgebyr

Standardisering i Helse Sør-Øst på vei mot Én innbygger én journal

Oslo universitetssykehus HF

Helse Sør-Øst RHF - Offentlig journal

IKT koordineringsgruppe

Rapport informasjonssikkerhet Helgelandssykehuset 2015

OG HANDLINGSPLAN, - ET FORNYINGSPROGRAM FOR STANDARDISERING OG TEKNOLOGISKE LØSNINGER

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Styret Helse Sør-Øst RHF 12. september 2014 SAK NR STATUS REVISJONSPLAN FOR KONSERNREVISJONEN HELSE SØR-ØST

Halvårsrapport Konsernrevisjonen Helse Sør-Øst

Styresak Oppfølging av Internrevisjonsrapport 01/2013:

Glemt av sykehuset. Økt pasientsikkerhet gjennom forbedret pasientadministrativt arbeid

Ledelsesrapport Helse Sør-Øst

Saksframlegg. Styret Helse Sør-Øst RHF 20. juni 2013 SAK NR INNFØRING AV REGIONAL LØSNING FOR RADIOLOGI (RIS/PACS) Forslag til vedtak:

Saksframlegg Referanse

Programstyre IKT nytt østfoldsykehus

Forbedring av funksjonalitet og arbeidsrutiner for elektronisk pasientjournal

Høring EPJ Standard del 2: Tilgangsstyring, redigering, retting og sletting

Revisjonsplan 2018 Konsernrevisjonen Helse Sør-Øst

Ledelsesrapport Helse Sør-Øst

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

HVEM ER JEG OG HVOR «BOR» JEG?

Saksframlegg Referanse

Forventninger og muligheter

Styret Helse Sør-Øst RHF 24. august 2018 SAK NR STATUS OG RAPPORTERING REGIONAL IKT-PORTEFØLJE PER FØRSTE TERTIAL 2018

Helseopplysninger på tvers - rammer for deling og tilgang HelsIT. 15. oktober 2014 Marius Engh Pellerud

Informasjonsmøte i forbindelse med anskaffelse av tjenester innen psykisk helsevern Helse Sør-Øst, Hamar, :00 12:00

Porteføljestyring i Helse Sør-Øst NOKIOS Ketil Are Lund prosjektdirektør

DRIFTSORIENTERINGER FRA ADMINISTRERENDE DIREKTØR

Antall varsler. Antall varsler fordelt på måned (7 md)

Styret Sykehuspartner HF 15. november 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Helse Sør-Øst RHF Telefon: Postboks 404 Telefaks: Hamar Org.nr

Forslag til oppfølgingsansvar

Revisjonsplan 2019 Konsernrevisjonen Helse Sør-Øst. Oppdatert med endringer etter styremøte (sak 46/2018)

Felles grunnmur for digitale tjenester. Sikkerhetsinfrastruktur Normkonferansen 2017

Styret Sykehuspartner HF 5. september 2018 STATUS FOR PROGRAMMET FOR STYRKET TILGANGSSTYRING, PERSONVERN OG INFORMASJONSSIKKERHET (ISOP)

INFORMASJONSSIKKERHET

Styret Sykehuspartner HF 2. mai 2018 FULLMAKT TIL ANVENDELSE AV BUDSJETTMIDLER FOR TILTAK INNEN INFORMASJONSSIKKERHET OG PERSONVERN

Prosjekt IKT strategi HMN. Styremøte Helse Midt-Norge

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Antall varsler. Antall varsler fordelt på måned (7 md)

Protokoll fra: Revisjonskomiteen Møtedato: kl Møteleder: Andreas Kjær Møtested: Quality Hotell Strand Gjøvik

Antall varsler. Antall varsler fordelt på måned (7 md)

Nasjonal metode og rammeverk for statistisk analyse av logger fra oppslag i behandlingsrettede helseregistre

Offentlig journal. Journaldato HELSE SØR-ØST. Journalenhet: Alle. Avdeling: Alle. Inngående dokumenter: Ja. Utgående dokumenter: Ja

Styret Helse Sør-Øst RHF 6. mai 2010

Prop 1S Helse Sør-Øst budsjett Budsjettseminar. Direktørmøte

«Én innbygger en journal»

Benytter du deg vanligvis av elektronisk pasientjournal i ditt daglige kliniske arbeid?

SAK NR TERTIALRAPPORT FOR IKT-PROGRAMMET DIGITAL FORNYING

Introduksjon. Én pasientjournal i Helse Sør-Øst - tryggere, enklere, raskere

Ansvarsbeskrivelse for Regionalt nettverk for DIPS systemforvaltere i Helse Sør-Øst

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Utvalg for tjenestetyper i Adresseregisteret

Styresak Orienteringssak - Informasjonssikkerhet

Programmandat. Regional klinisk løsning

Styret Sykehuspartner HF 10. april 2019 PROGRAM FOR STANDARDISERING OG IKT-INFRASTRUKTURMODERNISERING (STIM)

Offentlig journal. Periode: Helse Sør-Øst RHF

Styret Sykehuspartner HF 6. desember 2017 OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31. MAI 2017

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Saksframlegg. Saksgang: Styret Sykehuspartner HF 7. februar 2018 SAK NR OPPFØLGING AV VEDTAK FRA FORETAKSMØTE SYKEHUSPARTNER HF 31.

Regional klinisk løsning Standardisering i Helse Sør Øst Endringer for kontorfaglig rolle? Hilde Myhren

Transkript:

Status for tilgangskontroll EPJ og informasjonssikkerhet MTU 1. Status og videre planer for styring og kontroll for tilgang til de elektroniske pasientjournalene (EPJ) Tabell 1 Tabell som viser Riksrevisjonens hovedfunn og hvordan Helse Sør-Øst sine hovedtiltak svarer opp funnene. Hovedfunn (1-4) 1 ikke i tilstrekkelig grad implementert gjeldende regelverk 2 tilgang til helseopplysninger utover tjenstlig behov 3 ingen systematisk kontroll og oppfølging av ansattes tilganger 4 mangelfull internkontroll av tilgangsstyringen i EPJ Hovedtiltak (1-6) 1 Teknisk understøttelse av styring og kontroll 2 Bestilling og forvaltning av tilgang til EPJ 3 - Internkontroll 4 Opplæring 5 Gjennomgang av logger 6 Styrende dokumenter Hovedtiltakene 1-Teknisk understøttelse av styring og kontroll og 2-Bestilling og forvaltning av tilgang til EPJ Standardisert oppsett av EPJ med teknisk understøttelse av styring og kontroll med tilgang til helseopplysninger og tilhørende standardiserte arbeidsprosesser er innført i fem helseforetak (Oslo universitetssykehus HF, Vestre Viken HF, Sunnaas sykehus HF, Sykehuset Telemark HF og Sykehuset i Vestfold HF) og er under innføring i resterende helseforetak (Akershus universitetssykehus HF, Sykehuset Innlandet HF, Sykehuset Østfold HF og Sørlandet sykehus HF). Helse Sør-Øst er den statlige helseforetaksgruppen som har ansvar for spesialisthelsetjenestene i Østfold, Akershus, Oslo, Hedmark, Oppland, Buskerud, Vestfold, Telemark, Aust-Agder og Vest-Agder. Virksomheten er organisert i ett morselskap, Helse Sør-Øst RHF, og 11 datterselskap. I tillegg leveres sykehustjenester i regionen av privateide sykehus, etter avtale med Helse Sør-Øst RHF.

I tillegg til helseforetakene som behandler pasienter, har Sykehuspartner HF en formell rolle i databehandlingen. Som databehandler for EPJ plikter Sykehuspartner HF å følge de rutiner databehandleransvarlig setter opp. Sykehuspartner har ikke vanlig databehandling. Det pågår brevrevisjon av Sykehuspartners tilgangsrutiner i tillegg til at Sykehuspartner selv gjennomgår dette. Siste helseforetak er planlagt ferdig med implementeringen innen utgangen av første halvdel 2018. Helse Sør-Øst RHF har ved risikovurdering avdekket at tilgangsstyringen i DIPS ikke har en tilstrekkelig granulering. Det innebærer at det teknisk for flere enn ønskelig gis mulighet for å slå opp i en hvilken som helst journal. Dette er en funksjon som er tiltenkt primært lege og som per i dag må gis i et noe større omfang til også annet personell for å kunne ivareta pasientsikkerhet og forsvarlig behandling. Etter dialogmøter med DIPS har man sammen definert en endring til EPJ for å få dette utbedret. Endringen er kalt Kriteriebasert egenbeslutning om tilgang og leveres i DIPS Arena 17.1 som ikke er ibruktatt av regionen. Endringen er inkludert i kravsett fra Helse Sør-Øst RHF til DIPS ASA, men det foreligger per nå ikke konkret tidspunkt for levering i DIPS Classic som er versjonen av EPJ som benyttes i regionen. Formell bestillingsstatus på endringsønsket er nå i ferietiden ikke avklart. Oppsettet inkluderer også en løsning for automatisert forvaltning av tilgang til EPJ der standardisert informasjon om ansatte fra HR-systemet med flere brukes for å tildele og avslutte roller og tilgangsprofiler personene settes opp med i EPJ. For utdypende informasjon om automatisert tilgangsstyring, se vedlegg 1. I tillegg har de tre regionene som benytter DIPS (Helse Nord, Helse Vest og Helse Sør-Øst) og DIPS ASA besluttet at det skal gjøres en felles gjennomgang av tilgangsstyringen i DIPS for å sikre at denne er tilfredsstillende og lik i de tre regionene. Hovedtiltakene 3-Internkontroll, 4-Opplæring, 5-Gjennomgang av logger og 6- Styrende dokumenter Helse Sør-Øst RHF har sammen med helseforetakene utarbeidet et styringssystem for informasjonssikkerhet med felles kravsett for informasjonssikkerhetssystem 1. Oppdrag og bestilling 2017 til helseforetakene inkludert Sykehuspartner HF inneholder kravet: «[Helseforetaket] skal sørge for tilfredsstillende informasjonssikkerhet med utgangspunkt i vurdering av risiko og sårbarhet samt oppfølging gjennom internkontroll. Helseforetakene skal innen utgangen av første kvartal 2017 sørge for at felles regionalt styringssystem for informasjonssikkerhet er innført i eget dokumentstyringssystem». I 2015 ble følgende krav formulert i oppdragsdokumentet til alle helseforetak i regionen med ansvar for pasientbehandling: «Riksrevisjonens rapport fra 2014 om kontroll med forvaltningen av statlige selskaper for 2013, påpeker flere avvik. Enkelte av avvikene kan knyttes til de elektroniske pasientjournalene og de pasientadministrative systemene. Helseforetaket skal ha systemer og rutiner som sikrer effektiv og transparent oppfølging og lukking av avvikene påpekt av Riksrevisjonen og rapportere til Helse Sør-Øst RHF fra dette arbeidet. Det skal rapporteres særskilt om avvik som ikke er lukket. Det vises også til tidligere styringskrav om etablering av systemer og om styrets ansvar for oppfølging.» 1 http://ehandboken.ous-hf.no/folder/1148 Side 2 av 6

For Sykehuspartner ble følgende krav formulert i oppdragsdokumentet for 2015: «Sykehuspartner skal bidra til at informasjonssikkerheten ivaretas i all IKT-relatert aktivitet i foretaksgruppen i henhold til lovkrav og føringer gitt av Helse Sør-Øst RHF.» Opplæring i helseforetakene er etablert som e-læring om tilgang til EPJ for å bidra til felles forståelse av informasjonssikkerhet og lik praksis. Helseforetakene har enten planlagt eller etablert systematisk revisjon og risikovurdering av tilgangsstyring. De regionale prinsippene for tilgangsstyring er etablert i et felles arbeid i regionen. Ved implementering av teknisk løsning og regionale prinsipper for tilgangsstyring i det enkelte helseforetak, er det helseforetaket selv som må vurdere implementering og justering i eget foretak etter virksomhetens art, aktiviteter og størrelse. Det vil måtte vurderes hvorvidt variasjon i den konkrete implementeringen av regional standard skal oppfattes som akseptabel lokalt begrunnet tilpasning innenfor variasjonsbredden til standarden eller som et avvik fra standarden. Bruk av risikovurdering vil være sentralt i dette arbeidet. Datatilsynet har gjennomført tilsyn knyttet til dette ved Sykehuset Telemark HF. Den konkrete implementeringen av regional standard inkludert det etablerte tilgangsoppsett for hver rolle skal systematisk revideres av helseforetaket nettopp for å sikre kontinuerlig akseptabel informasjonssikkerhet og forsvarlig tilgang til helseopplysninger i EPJ. Gjennomgang av innsynslogger til EPJ kan gjøres manuelt eller ved hjelp av statistisk elektronisk verktøy. I desember 2016 ble prosjektutredning av en interregional teknisk løsning for automatisert loggjennomgang styrebehandlet i Nasjonal IKT HF (Prosjekt 45 Statistisk logganalyse ). Styret valgte å utsette saken i påvente av avklaring av regionenes investeringsvilje. Helse Sør-Øst RHF har besluttet å igangsette et prosjekt med formål å innføre en tilsvarende teknisk løsning for regionen basert på statistiske metoder og mønstergjenkjenning i EPJ-logger. De andre regionene er invitert til samarbeid om dette prosjektet. Utvikling og etablering av IKT-løsning for tilgjengeliggjøring av innsynslogger via innbyggertjenester planlegges for øvrig innført i hele foretaksgruppen innen utgangen av 2018. Side 3 av 6

2. Status og videre planer for ivaretakelse av informasjonssikkerheten for medisinsk teknisk utstyr (MTU) Tabell 2 Tabell som viser Riksrevisjonens hovedfunn og hvordan Helse Sør-Øst sine hovedtiltak svarer opp funnene. Hovedfunn (1-3) Hovedtiltak (1-8) 1 - Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinskteknisk utstyr og har mangelfull oppfølging av leverandører 2 Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr 3 Det er uklare ansvarslinjer for informasjonssikkerhet i medisinskteknisk utstyr internt i helseforetakene og mellom helseforetakene og de regionale IT-enhetene 1 - Styrende dokumenter 2 Teknisk løsning for utveksling av helseopplysninger Leverandørportalen 3 Regionaliserte anskaffelser 4 Regional håndtering av databehandleravtaler for MTU i nettverk 5 Regional systematikk for risikovurderinger 6 Etablert analyseplattform og varsling i CERTnettverk 7 Internkontroll 8 Opplæring Side 4 av 6

Det er etablert et styringssystem for informasjonssikkerhet, nevnt i kapittelet ovenfor. Styringssystemet inkluderer felles kravsett i regionen for anskaffelse av MTU med IKTgrensesnitt og tilkobling til nettverk for blant annet å sikre forsvarlig tilgang til helseopplysninger fra MTU. Som nevnt i forrige kapittel er det stilt krav til helseforetakene i regionen i oppdragsdokumentet for 2017 om å implementere disse styringsdokumentene i eget kvalitetssystem i løpet av 2017. Alle helseforetak har per primo august enten implementer styringsdokumentene eller er i ferd med det. Leverandørportalen er en regional løsning for å understøtte leverandørers fjerndrift og - support av IKT og MTU med IKT-grensesnitt. Løsningen har pålogging med høyt autentiseringsnivå der man har fjernet mulighetene for kopi/klipp/lim inn mellom sone for IKT/MTU og leverandørens sone. Det er etablert filsluse for filtrafikk inn og ut av regionen, hvor eventuell uthenting av data skal kontrolleres slik at ikke sensitive personopplysninger hentes ut uten nødvendige forutsetninger, samt logging av kommunikasjonsaktivitet. Før en leverandør kan ibrukta løsningen kreves det signert databehandleravtale. Det er normalt Sykehuspartner HF som signerer slik avtale med leverandør, da den vil være en underleverandør til Sykehuspartner HF som er databehandler for hele regionen. Leverandørportalen sikrer sporbarhet og loggdata for innlogginger gjennom løsningen og hvilke servere som er aksessert, men gir ingen informasjon om aktiviteten som blir gjennomført på serverne. For denne aktivitet må løsningen som skal gis tilgang til eller eventuell infrastruktur logges spesielt. Noen helseforetak benytter kun denne tekniske løsningen for fjerntilgang til MTU for eksterne leverandører. Andre helseforetak har noen andre historiske løsninger i tillegg. Flere av disse er under risikovurdering. Der leverandøren ikke har rimelig mulighet til å benytte Leverandørportalen kan annen løsning med tilsvarende informasjonssikkerhet benyttes. I 2015 fikk Oslo universitetssykehus HF et oppdrag fra Helse Sør-Øst RHF om å etablere et regionalt senter for anskaffelser av MTU. Senteret har i 2017 ansvaret for flere slike anskaffelser. Mindre anskaffelser gjøres lokalt av helseforetakene. De fleste helseforetak har rapportert at de benytter regionalt kravsett for anskaffelser av MTU eller planlegger å gjøre det når disse er revidert sammen med lokale enheter for MTU. I regionen har helseforetakene rapportert at de enten har oversikt over status på databehandleravtaler med leverandører av MTU eller utarbeider slik oversikt. Risikovurderinger gjøres nå av de fleste helseforetakene ved anskaffelser av MTU. Når Sykehuspartner HF involveres er risikovurdering en standard og gjennomføres alltid. Analyseplattformen til Sykehuspartner HF er en teknisk løsning for overvåkning og analyse av data generert av plattform og infrastruktur og følges av det regionale Computer Emergency Response Team (CERT) hos Sykehuspartner. Løsningen understøtter arbeidet for å ha oversikt over risko og forsvarlig tilgang til helseopplysninger også fra MTU i nettverk. Ved uønskede eller mistenkelige hendelser varsles det nasjonale helse-cert hos Norsk Helsenett slik at informasjonen kan deles innen helse. Helse-CERT vil videre varsle nasjonal CERT hos Nasjonal sikkerhetsmyndighet. Foreløpig har et helseforetak rapportert ibruktakelse av regionens analyseplattform. Det er videre vedtatt implementering av analyseplattformen i hele foretaksgruppen. Side 5 av 6

Helseforetakene skal selv ha systematiske sikkerhetsrevisjoner inkludert gjennomgang av databehandleravtaler med leverandører. Et par helseforetak har allerede rapportert om gjennomførte revisjoner av leverandørtilganger til MTU, mens de fleste helseforetak er i prosess med å implementere styringssystem for informasjonssikkerhet. Status og planer for lukking av avvik påpekt av Riksrevisjonen knyttet til MTU er gjennomgått i felles forum for IKT-enheter og enheter for MTU. For nye behov for å gi leverandør tilgang, benyttes i hovedsak Leverandørportalen. For tidligere etablerte tilganger for leverandør gjenstår overgang til Leverandørportalen, dokumentasjon på at eksisterende tilgang har tilsvarende informasjonssikkerhet eller overgang til annen, tilsvarende teknisk løsning. Det gjøres for disse en gjennomgang av tidligere leverandørtilganger hos helseforetakene for å avklare behov for endring eller overgang til Leverandørportalen. Videre gjenstår implementering av analyseplattformen for data fra teknisk plattform og infrastruktur. En statusundersøkelse i helseforetakene i regionen gjennomført primo august 2017 som underlag for denne rapporten om forsvarlig tilgang til helseopplysninger i EPJ og MTU, viser at selv om det gjenstår en god del er en del tiltak gjennomført og flere tiltak er planlagt eller under arbeid. Side 6 av 6

Helse Sør-Øst RHF Gode og likeverdige helsetjenester til alle som trenger det, når de trenger det, uavhengig av alder, bosted, etnisk bakgrunn, kjønn og økonomi. Tilgangskontroll EPJ og informasjonssikkerhet MTU

1. Status og planer håndtering av avvik avdekket av Riksrevisjonen Tilgang til journal

Hovedfunn (1-4) Hovedtiltak (1-6) 1 ikke i tilstrekkelig grad implementert gjeldende regelverk 2 tilgang til helseopplysninger utover tjenstlig behov 3 ingen systematisk kontroll og oppfølging av ansattes tilganger 4 mangelfull internkontroll av tilgangsstyringen i EPJ 1 Teknisk understøttelse av styring og kontroll 2 Bestilling og forvaltning av tilgang til EPJ 3 - Internkontroll 4 Opplæring 5 Gjennomgang av logger 6 Styrende dokumenter

Tiltak 1 og 2 Tekniske løsninger Ahus OUS SI SIV SS ST SUN SØ VV Bestillingsskjema med autorisasjon hentet fra HR-system Versjon av DIPS - beslutningsstyrt tilgang Regional standardisering av DIPS HR-data Org.struktur Dokumentstruktur Arbeidsrutiner Realisere regionale tilgangsprinsipper i DIPS Automatisering av tildeling og forvaltning av tilganger H17 H17 H17 V18 V18 H17 H17 V18 V18 H17 H17 V18 V18

Om automatisering av tilgangsstyring Basiselementer for tilgangsstyring: Regionale prinsipper for tilgangsstyring Regional rolleliste med tilgangsprofiler for alle rollene Regionalt HR-system Autoritativ kilde for etablering av entydig ID for den enkelte, dvs ansatte og innleide Hvor i organisasjonen ansettelse/innleie skjer Hvilken rolle (lege, sykepleier, fysioterapeut, forsker etc) Oppdaterer brukerroller dersom ansattforhold avsluttes eller endres Regionale standarder (tilgang, dokumentstruktur, arbeidsrutiner) Regional løsning for automatisering av tilganger for bruker (Identity Management - IDM)

God datakvalitet i grunnsystemene er en forutsetning for automatisk identitetsforvaltning og tilgangsstyring GRUNNDATA ØKONOMI PAGA GAT RESH ORFU IDM KLINISKE SYSTEMER CMS DIPS CARESTREAM

Tiltak 3, 4, 5a og 6 Deltiltak* Ahus OUS SI SiV SS ST SUN SØ VV Styrende dokumenter (styringssystem) Systematisk revisjon av tilgangsstyringen Systematisk risikovurdering av tilgangsstyringen Sporadisk gjennomgang av logger ** ** Felles opplæring * Ikke aktuelt for Sykehusapotekene HF ** Helseforetaket holder på med innføring av regional standard for EPJ

Tiltak 1, 2, 3, 4, 5a, 6 for Sykehuspartner Tekniske løsninger og internkontroll Bestillingsskjema med autorisasjon hentet fra HR-system Tilgangsstyring for databehandler Håndtering av underdatabehandler Sporadisk gjennomgang av logger Felles opplæring Styrende dokumenter (styringssystem) Sykehuspartner Under revisjon/gjennomgang av SP Under revisjon/gjennomgang av SP Under revisjon/gjennomgang av SP

Tiltak 5b Interregionale planer NIKT-prosjekt 45 Statistisk logganalyse ble sist behandlet i styremøte 2.12.16 uten vedtak om overgang til gjennomføringsfase Regionale planer HSØ har besluttet å etablere et regionalt gjennomføringsprosjekt får å etablere en teknisk løsning tilsvarende Prosjekt 45 Statistisk logganalyse med tentativ oppstart høsten 2017 Alle helseregioner er invitert til samarbeid

2. Status håndtering av avvik avdekket av Riksrevisjonen MTU og informasjonssikkerhet

Riksrevisjon avvik avdekket (1) Helseforetakene stiller ikke tilstrekkelige krav om informasjonssikkerhet i avtaler med leverandører av medisinskteknisk utstyr og har mangelfull oppfølging av leverandører (2) Helseforetakene har mangelfull oversikt over risiko knyttet til informasjonssikkerhet i medisinsk-teknisk utstyr (3) Det er uklare ansvarslinjer for informasjonssikkerhet i medisinskteknisk utstyr internt i helseforetakene og mellom helseforetakene og de regionale IT-enhetene 11

Avvik 1 leverandører Styringssystem og leverandørportalen Hva er gjennomført Etablert felles styringssystem for informasjonssikkerhet i regionen Etablert leverandørportalen Hva gjenstår Gjennomgang av tidligere tilganger lokalt i helseforetakene Sikre ibruktakelse av leverandørportalen av alle helseforetak Dersom ikke slik portal benyttes, må tilsvarende løsning risikovurderes og tilsvarende kontroll oppnås

Avvik 1 leverandører (forts.) Kravsett, regionalt senter for anskaffelse av MTU Hva er gjennomført Felles kravsett (MTU, IKT og informasjonssikkerhet) som må benyttes ved anskaffelser Etablert regionalt senter for anskaffelse av MTU Hva gjenstår Sikre praksis hos helseforetakene i enheter for IKT og MTU i tråd med regionalt kravsett inkludert anskaffelser Presisere helhetlig risikostyring i styrende dokument (helhetlig konsekvensvurdering av ulike sikkerhetstyper) Forankre kravsett hos Direktoratet for e-helse (Normen) og leverandører (informasjonsmøte)

Avvik 1 leverandører (forts.) Databehandleravtale Hva er gjennomført Organisering av databehandleravtaler via Sykehuspartner HF når utstyret står i nettverket Hva gjenstår Sikre lik praksis i helseforetakene Sikre riktig involvering av Sykehuspartner Informasjonsmøtemed alle relevante aktører fra helseforetakene inkludert Sykehuspartner Presisere i styrende dokument hvordan dette skal henge sammen med databehandleravtalen Etablere systematisk revisjon og oppfølging av leverandører

Avvik 1 leverandører (forts.) Risikovurderinger Hva er gjennomført Regionen har gjennomarbeidet systematikk for å gjøre risikovurderinger Hva gjenstår Mal for gjennomføring inkluderer mål/omfang for vurdering Sykehuspartner gjennomfører løsningsdesign og risikovurdering Regionalt forum for sikkerhetsvurderinger (RVS) møter hver 14 dag og behandler saker SP, VV og SI har laget mal for enklere gjennomføring av risikovurdering ved enklere og middels kompliserte tilknytninger av MTU i sykehusnett Tilrettelagt forenklet mal og regime som legges inn i styringssystem for informasjonssikkerhet Invitere MTU-enheter ved vurderinger/gjennomganger av saker i RSV Sikre at risikovurderinger ligger til grunn for også lokale anskaffelser

Avvik 2 oversikt over risiko Hva er gjennomført Risikovurdering ved etablering gir kjennskap til risiko i selve løsningen Sykehuspartner har en utviklet og etablert analyseplattform som gir oversikt over risiko i nettverket - kun et helseforetak benytter analyseplattformen per i dag, men det er vedtatt at denne skal implementeres ved alle helseforetak Varsler i relevante kriseteam (CERT er hos NHN/NSM) Hva gjenstår Sikre helseforetakenes ibruktakelse av analyseplattformen

Avvik 3 uklare ansvarslinjer Hva er gjennomført Etableringen av felles håndtering av krav Etablering av felles forståelse for håndtering av databehandleravtalen Etablert regionalt senter for anskaffelse Etablert felles regionalt forum for IKT- og MTU-enheter Hva gjenstår Opplæring av helseforetakene og sikre etablering av systematisk revisjon hos helseforetakene Forankring med Direktoratet for e-helse Informasjon til leverandører Utrede og gjennomføre eventuelle nødvendige organisasjonsendringer i helseforetakene

Overordnet status MTU per HF Deltiltak* Ahus OUS SI SIV SS ST SUN SØ VV SA Styrende dokumenter Benytter kun leverandørportalen eller tilsv. teknisk løsn. Anskaffelser med krav om info.sikkerhet * Databehandleravt. med ekstern MTU- leverand. Und. arb Und. arb. - Delv. ** Nei Nei Nei Und. arb. Delv. ** - Systematisk revisjon av leverandørtilganger Risikovurderinger av MTU Teknisk løsning for overvåking av trafikk (analysepl./cert) Deltakelse i felles MTU/IKT-fora * Kravsett er planlagt revidert sammen med regionens enheter for MTU ** Kombinerer regionalt og lokalt kravsett

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding