Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015



Like dokumenter
Ansvar og organisering

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Behandling av helse- og personopplysninger ved legekontoret

Krav til informasjonssikkerhet

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

MTU - Krav til informasjonssikkerhet

Kort introduksjon til Normen. Jan Henriksen Sekretariatet for Normen

Bruk av databehandler (ekstern driftsenhet)

Videokonsultasjon - sjekkliste

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Norm for informasjonssikkerhet Personvernombud. Sikkerhetsleder/ sikkerhetskoordinator Virksomhetens leder/ledelse Forskningsansvarlig

Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

Internkontroll og informasjonssikkerhet lover og standarder

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Noen utvalgte faktaark og veiledere. Åpent kurs

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Bruk av databehandler (ekstern driftsenhet)

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

LÆRINGS- og GJENNOMFØRINGSPLAN

HVEM ER JEG OG HVOR «BOR» JEG?

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Kommunens Internkontroll

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helseforskningsrett med fokus på personvern

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Personopplysninger og opplæring i kriminalomsorgen

Innsatsområder nasjonalt nivå i helsetjenesten Nasjonalt meldingsløft Kjernejournal Helsepolitiske mål E-resept Helseportal Helseregistre EPJ Velferds

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Bilag 14 Databehandleravtale

VIRKE. 12. mars 2015

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Sikkerhetsrevisjon Sjekkliste for å ivareta kravene i Normen

Norm for informasjonssikkerhet Personvernombud

Kan du legge personopplysninger i skyen?

KF Brukerkonferanse 2013

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Rapport. Sjekkliste for avvikling av papirmeldinger Nasjonalt meldingsløft IS-1824

Helseforskningsrett. Sverre Engelschiøn

Personvern og informasjonssikkerhet for legekontorer

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

IKT-sikkerhet og sårbarhet i Risør kommune

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Oversiktstabell for faktaark, veiledere og kurs til Normen

Internkontroll i mindre virksomheter - introduksjon

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Norm for informasjonssikkerhet Helse- og omsorgstjenesten. Tor Ottersen HVA - HVORFOR - HVORDAN

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Behandlingsansvarlig skal sørge for at egne lokaler og utstyr er forsvarlig sikret.

Veileder i personvern og informasjonssikkerhet ved tilgang til helseopplysninger mellom virksomheter

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtaler

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Veileder for gjennomføring av valg. Fysisk sikring av lokaler og teknisk utstyr ved valg

Veileder i personvern og informasjonssikkerhet for helse- og omsorgstjenester i kommuner

Veileder i personvern og informasjonssikkerhet for helse- og sosialtjenester i kommuner

Plikt- og rettssubjekter. Den som har krav på noe, den som har rett på noe. Den som er pålagt noe, den som har ansvaret for å se til at noe blir gjort

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Bransjenorm. for personvern og informasjonssikkerhet i elektronisk billettering. Vedlegg 4: Veiledning for internkontroll - informasjonssikkerhet

Datasikkerhet internt på sykehuset

Personvern og informasjonssikkerhet i kontakten med pasient/bruker

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

STYRESAK. Styremedlemmer Helse Fonna HF GÅR TIL: FØRETAK: DATO:

Avvikshåndtering og egenkontroll

Risikoanalysemetodikk

Skytjenester. Forside og Databehandleravtale. Telenor Norge

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Norm for informasjonssikkerhet

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Jan Gunnar Broch Sekretariatet for Normen, Helsedirektoratet Normkonferansen 15. oktober Nytt i Normen

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Personvern - sjekkliste for databehandleravtale

Transkript:

Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant for: Dokumentere at databehandlingsansvarlig har iverksatt tilstrekkelige tiltak og at behandlingene utføres innefor nivå for akseptabel risiko. Virksomhetene er pålagt å vurdere sannsynlighet for og konsekvens av sikkerhetsbrudd, og basere sikkerhetsarbeid på resultater fra slike vurderinger målt opp mot nivå for akseptabel risiko. Databehandlingsansvarlig er ansvarlig for at det gjennomføres risikovurdering av behandlingen av. Risikovurdering skal gjennomføres før behandling av startes, og ved endringer av behandlinger som kan påvirke sikkerheten. Alle virksomheter i helsesektoren skal gjennomføre risikovurdering. Risikovurdering skal være tilpasset virksomhetens størrelse og omfanget av behandling av. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder Ansatt / medarbeider Forsker Personvernombud IKT-ansvarlig Databehandler Leverandør Hjemmel Personopplysningsforskriften 2-4. Forskrift om tilgang til helseopplysninger mellom virksomheter 5 Referanser Risikovurdering av informasjonssystem Datatilsynet, Oppdatert: 15.02.02, Opptrykk: 06.03.09 Norm for informasjonssikkerhet, kap 6. 2 Risikovurdering Faktaark 5 Nivå for akseptabel risiko www.difi.no med modell for risikovurdering Nr. Aktivitet/Beskrivelse 1 Planlegging a) Ledelsen skal utarbeide og vedta en plan for risikovurdering av behandlingen av helseog b) Det anbefales å gjennomføre flere små risikovurderinger fremfor en stor omfattende der dette er mulig. Det gir bedre oversikt og den enkelte risikovurdering kan avsluttes og aktuelle tiltak planlegges og gjennomføres 2 Forberede risikovurdering a) Innhente oversikt over behandlinger av b) Velg ut området som skal vurderes (behandlinger, tilgang til helseopplysninger mellom virksomheter, IT-system, teknisk løsning, osv) c) Utarbeide og eventuelt oppdater grunnlaget for risikovurdering slik at alle deltagere har samme forståelse for området som skal vurderes: Informasjonsflyt for å synliggjøre hvordan behandles Konfigurasjonskart for teknisk løsning d) Utarbeide forslag til trusler og uønskede hendelser som arbeidsgruppen skal vurdere ift behandlinger, prosessflyt og konfigurasjonskart e) Etablere arbeidsgruppe som skal gjennomføre risikovurdering. Gruppen bemannes avhengig av hva som skal vurderes. Det er særlig viktig at daglige brukere av ITsystemer deltar når bruken av IT-systemer vurderes f) Tilpasse skala for sannsynlighet og konsekvens ift nivå for akseptabel risiko 3 Gjennomføre risikovurdering a) Invitere deltagere til å komme med egne uønskede hendelser som skal vurderes b) Gjennomgå og eventuelt tilpasse prosessflyt eller konfigurasjonskart i gruppen c) Tilpasse skala for sannsynlighet og konsekvens iht gruppens vurdering. Det anbefales å følge et enhetlig regime for skalaer i virksomheten. Bl.a. på den måten blir Faktaark 07 - Risikovurdering Side 1 av 5

Sannsynligh et Nr. Aktivitet/Beskrivelse styringssystemet for informasjonssikkerhet en integrert del av virksomhetens øvrige internkontroll. d) Dokumentere risikovurdering av den enkelte uønskede hendelse med sannsynlighet iht skala, konsekvenser og konsekvensenes størrelse iht benyttet skala, regn ut risiko (sannsynlighet multiplisert med konsekvens), eksisterende tiltak og forslag til nye tiltak (NB! Vurdere én uønsket hendelse av gangen) (se skjema for risikovurdering nedenfor). Indikere om hendelsen vil påvirke konfidensialitet, integritet og tilgjengelighet slik at sammenligning med nivå for akseptabel risiko forenkles. 4 Vurdering og anbefaling av nye tiltak a) Vurdere risiko ift fastsatt nivå for akseptabel risiko b) Prioriter tiltak hvor risiko er større enn akseptabel risiko c) Utarbeide handlingsplan for hvilke tiltak som skal gjennomføres når og hvem som er ansvarlig. Det er viktig å skille på strakstiltak og mer langsiktige tiltak. Eksempel Eksempelet på neste side viser forslag til skjema for risikovurdering og ikke prosessen beskrevet over. Risiko i det første eksempelet på neste side er fastsatt til 8 (sannsynlighet multiplisert med konsekvens). Matrisen under er hentet fra Faktaark 5 Nivå for akseptabel risiko og viser sammenhengen mellom nivå for akseptabel risiko og vurdert risiko. Nivå for akseptabel risiko for konfidensialitet ved behandling av fastsatt til 6. Den beregnede risikoen på 8 er dermed høyere enn nivå for akseptabel risiko og det må gjennomføres tiltak for å bringe risikoen ned på et akseptabelt nivå (forslag til tiltak er vist i tabellen på neste side). 4 Sannsynlig 3 Mulig 2 Mindre Sannsynlig 6¹ 8² 1 Usannsynlig 1 Ubetydelig 2 Moderat 3 Alvorlig 4 Kritisk Konsekvens ¹ Nivå for akseptabel risiko ² Brudd på nivå for akseptabel risiko: "Det aksepteres ikke at uvedkommende får innsyn i " fra Faktaark 5 - Nivå for akseptabel risiko. Faktaark 07 - Risikovurdering Side 2 av 5

1 = Usannsynlig 2 = Mindre Sannsynlig 3 = Mulig 4 = Sannsynlig 1 = Ubetydelig 2 = Moderat 3 = Alvorlig 4 = Kritisk Eksepler på skjema for risikovurdering Eksempel 1 RISIKOVURDERING Virksomhet: Tannlege Gliset Vurdert av: Peder Aas Dato: 12.2.2015 Formålet med risikovurderingen: Tilgjengelighet og konfidensialitet Forhold som er vurdert (uønsket hendelse / scenario) Sannsynlighet Konsekvens Risikonivå Sannsynlighet x konsekvens, f.eks. risiko < 5 Tiltak ikke nødvendig., f.eks. mellom 6 og 8 Tiltak må vurderes gjennomført 1. Server med journalsystemet inklusive er stjålet fra tannlegekontoret 2. Ny versjon av journalsystemet installeres uten at det er tatt av alle data først 3. E-post benyttes til å sende 11- siffret fødselsnummer og helseopplysninger, f.eks. risiko > =9 Tiltak skal gjennomføres Beskrivelse av tiltak (Nr. 1 har høyest prioritet) 1. Utarbeide prosedyre for bruk av e-post og lære opp alle ansatte i reglene: det er ikke tillatt å sende 11-siffret fødselsnummer og helseopplysninger i intern eller ekstern ordinær e-post 2. Utarbeide prosedyre som sikrer at det tas av alle data i journalsystemet for ny versjon av journalsystemet installeres. 3. Plasseres server i avlåst rom. Betydning/ Kommentar Dette er en risiko som forekommer veldig ofte og tiltaket vil ha god effekt Referanse til linjenr ovenfor 3 2 1 Faktaark 07 - Risikovurdering Side 3 av 5

Eksempel 2 Brudd på nivå for akseptabel risiko: K = Konfidensialitet I = Integritet T = Tilgjengelighet Nr Brudd på 1 K, T 2 K 3 I Årsak / Trussel Uønsket hendelse S Ko Bærbar PC oppbevares usikret i bil eller på reise. Barbar PC inneholder. Manglende opplæring av bruker Innbrudd ved legekontoret Server er ikke sikret Tyveri av bærbar PC som inneholder helseog Bruker sender SMS til pasient at legemiddel som angir en diagnose er ankommet apoteket R (SxKo) 2 4 8 2 3 6 Server med elektronisk pasientjournal er stjålet (inklusive som satt i maskinen) 1 4 4 Mulige konsekvenser innsyn i b) Stans i behandling av på bærbart utstyr a) Brudd på taushetsplikten innsyn i b) Stans i / Forslag til nye tiltak a) Kryptering av lagringsmedium på mobilt utstyr b) Sikkerhetskopi av data lagret på mobilt utstyr c) Eventuelt forbud mot å behandle på mobilt utstyr a) Prosedyre for opplæring av nytilsatte a) Innskjerpe gjennomføring av opplæring b) Endre prosedyre slik at den enkelte må kvittere for at opplæringen er gjennomført a) Sikre server i avlåst rom b) Etablere prosedyre for ering med krav til oppbevaring av brannsikkert, adskilt fra server og innelåst Ansvarlig / Tidsfrist Faktaark 07 - Risikovurdering Side 4 av 5

Nr Brudd på 4 I, T 5 K 6 T 7 K Årsak / Trussel Uønsket hendelse S Ko Ingen test av innhold i Skriver er plassert i publikumsområde Konfigurasjonsendringer gjennomføres uten konfigurasjonskontroll Uerfarne gjennomfører programoppdatering Utrangert utstyr oppbevares ikke sikkert Uautorisert personell har tilgang til datautstyr som inneholder helseog Sikkerhetskopi er blank (inneholder ikke noe) når pasientjournalen skal tilbakekopieres R (SxKo) 1 4 4 Besøkende (pasient eller andre) tar med seg utskrift direkte fra skriver 2 3 6 Ny versjon av den elektroniske pasientjournalen installeres, men systemet virker ikke 1 4 4 Datautstyr med helseog kastes på søppelfyllingen 1 4 4 Mulige konsekvenser a) Stans i b) Feil i pasientjournalene a) Uautorisert innsyn i a) Stans i innsyn i / Forslag til nye tiltak a) Etablere prosedyre med kontroll av innhold på b) Etablere prosedyre med periodisk test av tilbakelegging av a) Plassere skriver i sikkert område b) Anskaffe teknisk løsning som krever at bruker må autentisere seg for å få utskrift a) Etablere prosedyre for konfigurasjonsendringer med krav til bl.a. løsning for å gjenopprette eksisterende versjon av programvare a) Etablere prosedyre for utrangering av datautstyr b) Etablere fysisk sikring av datautstyr som skal utrangeres Ansvarlig / Tidsfrist Faktaark 07 - Risikovurdering Side 5 av 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding