Risikoledelse i hverdagen mulig eller umulig? Linda Svendsrud Teamleder Rådgivning
Om Ikomm Lillehammer Hamar Askim 85 Ansatte ISO 9001 ISO 27001 30 000 Brukere 500+ Applikasjoner Norge Sverige Finland Nederland Danmark
Hva legger vi vekt på? Rådgivning fra Ikomm er effektiv og kompetent med utgangspunkt i virksomhetens behov Vi har tre hovedprinsipper i vårt arbeid: forankring i virksomhetens ledelse kontinuerlig kvalitetsarbeid det nasjonale målbildet. Vi skal bidra til Bedre Kommuner
Litt om Linda Sykepleier Helserett, coaching & ledelse Leder i helse- og omsorgstjeneste HR-rådgiver Leder for tildeling og koord.enhet
Risikoledelse i hverdagen mulig eller umulig?
Normen som utgangspunkt Vi bruker Normen som utgangspunkt Gjennomgang av krav Utarbeidelse av styringssystem Metode for risikovurdering Osv osv
Personvern og informasjonssikkerhet
En typisk dagsorden Risikovurderinger bakgrunn Metode for arbeidet med risikoanalyser og vurderinger basert på normen.no Gjennomføring av risikoanalyser ift bruk av IKT-systemer
Styringssystem for informasjonssikkerhet 1. Styrende del a) Beskrivelse av ledelse og organisering av informasjonssikkerhet b) Beskrivelse av og oversikt over formålet med behandlingene c) Fastsettelse av sikkerhetsmål og -strategi d) Fastsettelse av nivå for akseptabel risiko 2. Gjennomførende del a) Prosedyrer b) Dokumentasjon av sikkerhetstiltak c) Opplæring 3. Kontrollerende del a) Risikovurdering b) Sikkerhetsrevisjon c) Avvikshåndtering d) Ledelsens gjennomgang
Om Risikovurdering Krav i flere lover og forskrifter; Infosikkerhet; personopplysningsforskriften, Kvalitet i tjenesten/pasientsikkerhet; forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten, HMS; forskrift om organisering, ledelse og medvirkning Brann; forskrift om brannforebygging Beredskap Osv..
Noen begrepsavklaringer Akseptabelt nivå for risiko; hvilken risiko kan vi leve med hvor går grensa? Risikoeier; hvem har ansvaret? Risiko/farekilde/hendelser; det som truer eller som allerede har skjedd Sannsynlighet; hvor ofte Konsekvens; hvilke følger Risikoanalyse; sammenstilling av risiko, sannsynlighet og konsekvens. Risikovurdering; Konklusjonene hvordan vi håndtere risikoen, hvilke tiltak vi iverksetter.
Fra Normen.no
Fra Normen.no
Hvilken risiko kan vi leve med? For all risiko som er høyere enn nivå for akseptabel risiko skal det iverksettes tiltak for å bringe sikkerheten innenfor et akseptabelt nivå.
Risikovurdering Tre enkle spørsmål er kjernen i risikovurderingen: Hva kan gå galt? Hva kan vi gjøre for å hindre dette? Hva kan vi gjøre for å redusere konsekvensene dersom det skjer? Trinn 1: Finn farekildene Trinn 2: Hva kan skje og hvor sannsynlig er det? Trinn 3: Hva kan vi gjøre for å hindre det? Trinn 4: Tiltak og videre arbeid
ROS-analyse
Til vurdering: 1. Virksomhetskritiske systemer hvilke har dere? 2. Risiko og hendelser hva kan skje? f.eks. Ansatt kommer ikke inn i EPJ. Må føre manuelt. Hvilke konsekvensområder påvirker denne hendelsen: Konfidensialitet Tilgjengelighet Integritet 3. Hvilke sannsynlighet og konsekvens får hendelsen?
Fra en databehandlers ståsted Ønsker behandlingsansvarlige som tar eierskap Spør gjerne om råd Still krav
Hvilken kultur har vi?
Minstekrav til innhold i styringssystem Sikkerhetsstrategi Sikkerhetsmål Oversikt over hvilke opplysninger som behandles Definisjon av roller og ansvar for sikkerhetsarbeid Rutine for risikovurdering Akseptabelt nivå for risiko Rutiner for tilgangsstyring Informasjon til de registrerte
Styringssystem for informasjonssikkerhet 1. Styrende del Mål og strategi hvilke føringer gjelder for oss hvilken risiko kan vi leve med? 2. Gjennomførende del Hvordan skal vi jobbe? Hva gjør jeg hvis..? 3. Kontrollerende del Gjør vi som vi sier vi skal? Bør vi endre praksis? Integrert del av arbeidet med kvalitet og forbedring Sikkerhetsledelse og kultur
Hva gjør de som får det til? Helhetlig styringssystem Forenkler Tar eierskap Innebygd personvern gjelder også prosjektgjennomføring Avvikshåndtering vurderes opp mot nivå for akseptabel risiko
Nasjonale føringer Strategisk plan Digitaliseringsstrategi Andre strategier og IKT-strategi planer Sektorplaner Planer for tjenester Styringssystemet Prosjekter/Aktiviteter Drift og forvaltning
Hvorfor være opptatt av dette? Personvern et viktig demokratisk prinsipp: "Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse."
Takk for meg! Linda Svendsrud Teamleder Rådgivning Ikomm AS Mobil: 95949294 E-post: linda.svendsrud@ikomm.no