Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet



Like dokumenter
Styresak 53/2014: Ledelsens gjennomgang av risikovurderinger

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Krav til informasjonssikkerhet

Bruk av databehandler (ekstern driftsenhet)

Styresak 91/2013: Ledelsens gjennomgang av risikovurderinger

EPJ OG ES I PRAKSIS FOR DUMMIES OG VIDEREKOMNE; LEGER OG MEDARBEIDERE. Informasjonssikkerhet Jan Gunnar Broch PMU 2018

Bruk av databehandler (ekstern driftsenhet)

Noen utvalgte faktaark og veiledere. Åpent kurs

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Styresak 38/2012: Ledelsens gjennomgang av risikovurderinger

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. 1

MTU - Krav til informasjonssikkerhet

Styresak 73/2017: Ledelsens gjennomgang - Risikostyring av Helgelandssykehuset HF sine hovedmål 2017 og informasjonssikkerhet

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Oversiktstabell for faktaark, veiledere og kurs til Normen

STYREDOKUMENT. Styremøte 18. juni 2014

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Noen utvalgte faktaark og veiledere, og medisinsk avstandsoppfølging

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Introduksjonskurs til Normen Normens krav. Jan Henriksen Sekretariatet for Normen

Fagkurs for kommuner Ansvar og avtaler (45 minutter)

Sikkerhetskrav for systemer

Noen utvalgte faktaark og veiledere. Åpent kurs 15. mars 2018

Sikkerhetskrav for systemer

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Sikkerhetskrav for systemer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

2.4 Bruk av datautstyr, databehandling

Behandling av helse- og personopplysninger ved legekontoret

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Styresak Orienteringssak - Informasjonssikkerhet

HVEM ER JEG OG HVOR «BOR» JEG?

Skjema for egen evaluering

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Datasikkerhet internt på sykehuset

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Personvern og Informasjonssikkerhet I en stadig mer kompleks hverdag. Tor Ottersen

Databehandleravtale etter personopplysningsloven

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Cloud computing og offshoring. Juridiske sjekkpunkter for overføring av data til utlandet. Espen Werring, 1. desember 2011

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Normen og faktaark videokonsultasjon Jan Henriksen Direktoratet for ehelse

Internkontroll og informasjonssikkerhet lover og standarder

Databehandleravtaler

Innholdsfortegnelse. Veiledning i selvdeklarering av programvare

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

Bilag 14 Databehandleravtale

Videokonsultasjon - sjekkliste

Når EPJ implementeres og tas i bruk for alt helsepersonell ved et sykehus hvordan ivaretas informasjonssikkerheten?

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

IT-reglement Aurskog-Høland kommune for ansatte og politikere

Personvernforordningen, hva har vi gjort av praktiske grep siden sist i Overhalla?

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan håndtere juridiske, teknologiske og sikkerhetsmessige utfordringer?

Akkumulert risikovurdering oktober 2015

Brukerveiledning: Oppsett (konfigurering) av nettbrett og tilkopling av brukerkonto

Ansvar og organisering

Personvernerklæring for Vesterålsprodukter AS

Ny lov nye muligheter for deling av pasientopplysninger

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

Instruks. Informasjonssikkerhet og personvern Instruks for bruk av kommunens IKT-løsninger. Gjelder for: Alle ansatte. Vedtatt av: Rådmannen

Orientering om tiltaksplan for arbeid med anbefalinger etter Internrevisjonsrapport 04/ Henvisninger og ventelister i Helse Finnmark HF

LÆRINGS- og GJENNOMFØRINGSPLAN

Delavtale mellom Sørlandets sykehus HF og Lund kommune

ekommune 2017 Prosessplan for god praksis om personvern

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

DOKUMENTASJON E-post oppsett

ROS-analyse. Rapportering til: Nina. Ved endringer i arbeidsoppgaver for personell blir ikke adgang til adgangskontrollsystemet revidert

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) Susanne Helland Flatøy Markedssjef Digital Kvalitet

Risikoområder ved behandling av personopplysninger hva kan gå galt? Jan Henriksen FAKTUM NoR AS / INFOSEC Norge AS E-post: jan@faktum.

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Styresak /4 Riksrevisjonens kontroll med forvaltningen av statlige selskaper for Dokument 3:2 ( ), informasjon

En filserver på Internett tilgjengelig når som helst, hvor som helst. Enkelt, trygt og rimelig

Kommunens Internkontroll

STOPP. TENK. KLIKK. Opplæring i informasjonssikkerhet. Nasjonal sikkerhetsmåned 2013 Universitetet i Stavanger uis.no

Møtedato: 28. november 2012 Arkivnr.: Saksbeh/tlf: Sted/Dato: Namik Resulbegovic, Bodø,

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Endelig kontrollrapport

Bedre personvern i skole og barnehage

Personvern og informasjonssikkerhet for virksomheter i tannhelsetjenesten

Fagkurs for kommuner Arbeid med informasjonssikkerhet i egen virksomhet (45 minutter)

Endelig kontrollrapport

Databehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021

Endelig kontrollrapport

Tekniske krav til portal med publiseringsløsning (fase 1)

Databehandleravtale etter personopplysningsloven

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Transkript:

Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig grad risikovurderinger innen de områder som HNIKT har 2 Er prosedyrene for avviksbehandling ift. informasjonssikkerhet kjent i virksomheten? 4 Er det etablert nødprosedyrer ved stans i informasjonssystemene? 5 Gjennomføres det jevnlig 6 Krypteres helse- og personopplysninger (f.eks. meldingsformidling) som overføres i åpne nett? 7 Er det etablert tilfredsstillende fysisk sikring av områder og datautstyr? 8 Er lagringsenhet på bærbart utstyr som benyttes til helse- og personopplysinger kryptert? ansvaret for. HNIKT burde snarest iverksette ROS analyser. 8 29 meldte info.sikk.avvik i 2014. En økning fra 17 i 2013. 8 Ikke ok De ansatte har nok fortsatt en noe for høy terskel før de melder informasjonssikkerhets avvik, de fleste gjelder fortsatt pasientopplysninger funnet i tøy. 11 Nødprosedyrer for DIPS er etablert. Fra teknisk side () foreligger det rutiner for håndtering av krisesituasjoner, i tillegg til vaktordninger 24/7. Ved linjebrudd har vi også nå redundante linjer (doble linjer) 15 Ikke ok Gjennomføres 4 innsynskontroller årlig, ingen funn av alvorlig karakter. Blåslyslogg gennomføres månedlig. Ved mistanke/behov kan det også bli gjennomført kontroll. Oppfølging av innsynskontrollene har ikke vært gjort i god nok grad. 16 og 24 17 18 OK Når det gjelder den delen som faller under Faktaark 24, så krypteres all trafikk mellom sykehusene på nettverksnivå. Dette er i varierende grad tilfredstillende utenom server rom. De største installasjone er i samsvar med PR05786 Fysisk sikring. Nytt midl. datasenter i Tromsø er oppe og går og ROS-analyser er gjennomført her. Etter gjeldende prosedyrer er ikke personopplysninger tilgjengelig for lagring på bærbart utstyr. Bærbare datamaskiner som brukes ute på Internett, er gjennom konfigurering ikke godkjent for tilkopling inn på lokalnett for direkte Side 1 av 5

tilgang til tjenester med sensitive personopplysninger. Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 9 Oppdateres antivirusprogramvaren kontinuerlig? 19 Ja, antivirusprogramvaren oppdateres hver time. HN IKT jobber fortløpende med å sikre utstyr som de er ansvarlig for. 10 Tas det daglig sikkerhetskopi? 21 Ikke ok Ja, backup tas på alle 3 sykehus enhetene. Men har det vært 11 Oppbevares sikkerhetskopier utenfor huset? 12 Er det kontroll med all ekstern tilgang til datasystemer? 13 Følges Veileder for fjernaksess for vedlikehold og oppdateringer mellom leverandør og helsevirksomhet ved eventuell ekstern tilgang? 14 Er det etablert relevante avtaler for forskningsprosjekter? 15 Slettes helse- og personopplysinger når formålet med behandlingen er avsluttet? 16 Brukes trådløst utstyr og nett iht. 18 Etterleves prosedyrene for bruk av e- post og Internett? 19 Etterleves prosedyrene for 21 22 36 23 Ja 25 gjennomført tilbakelegging av backup? Ja. Sykehusene har Gb samband og backup skjer til Bodø eller Tromsø der de har backup roboter. Alt av backup går dit. har i driftsavtale med oss ansvar for backup. Ekstern tilgang skal være i samsvar med etablerte prosedyrer. Samme svar som til pkt.12 Vedr. Pasopp undersøkelsene blir alt slettet når det skal, her må dedikerte personell svare på om det er gjort. 26 Ikke ok Sandnessjøen benytter eget oppsatt trådløst nett til telemetri. 27 Ikke ok I og med at det registreres avvik der pasientsensitiv informasjon finnes i klær, etterleves det ikke 100%. 27 og 33 Ikke ok Alle ansatte er nok kjent med at man ikke skal sende pasientinformasjon på e-post, men vi har ikke kontroll på om det faktisk skjer. Gjestepas. data overføres bl.a på e-post. 29 og 30 Ikke ok Er usikre på om alt utstyr som brukes er korrekt satt opp og om all bruk er iflg. våre prosedyrer Side 2 av 5

Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 20 Er det etablert løsning og prosedyrer for autentisering på sikkerhetsnivå 4 30 Ikke relevant da det pt ikke er etablert løsninger for tilgang til personopplysninger fra mobiltelefoner og nettbrett ved bruk av mobiltelefoner og nettbrett for tilgang til helseopplysninger? 21 Byttes passord iht. prosedyrene? 31 OK Ja. Synkronisering av brukernavn/passord fra flere systemer er 22 Følges veileder Personvern og informasjonssikkerhet i forskningsprosjekter innefor helse- og omsorgssektoren ifm utlevering av helse- og personopplysninger? 23 Etterleves reglene for bruk av SMS i pasientkontakt? 24 Etterleves reglene for bruk av testdata i systemer som inneholder helse- og personopplysninger? allerede etablert og flere vil komme i 2015. 40 I de aktuelle forskningsprosjektene gjøres det. 42 Ikke ok Er ikke implementert SMS løsning i DIPS. Hva avdelingene evt. sender ut sjøl har vi ikke kontroll med. 43 Er ikke kjent med at det ikke etterleves. Side 3 av 5

Pkt. er som ikke er ok: Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS, men innenfor andre områder burde også ha gjennomført 8 Ikke ok De ansatte har nok fortsatt en noe for høy terskel før de melder informasjonssikkerhets avvik, de fleste gjelder fortsatt 5 Gjennomføres det jevnlig pasientopplysninger funnet i tøy. 15 Ikke ok Gjennomføres 4 innsynskontroller årlig, ingen funn av alvorlig karakter. Blåslyslogg gennomføres månedlig. Ved mistanke/behov kan det også bli gjennomført kontroll. Oppfølging av innsynskontrollene har ikke vært gjort i god nok grad. 10 Tas det daglig sikkerhetskopi? 21 Ikke ok Ja, backup tas på alle 3 sykehus enhetene. Men har det vært gjennomført tilbakelegging av backup? 16 Brukes trådløst utstyr og nett iht. 26 Ikke ok Sandnessjøen benytter eget oppsatt trådløst nett til telemetri. 27 Ikke ok I og med at det registreres avvik der pasientsensitiv informasjon finnes i klær, etterleves det ikke 100%. 18 Etterleves prosedyrene for bruk av e- post og Internett? 27 og 33 Ikke ok Alle ansatte er nok kjent med at man ikke skal sende pasientinformasjon på e-post, men vi har ikke kontroll på om det 19 Etterleves prosedyrene for 23 Etterleves reglene for bruk av SMS i pasientkontakt? faktisk skjer. Gjestepas. data overføres bl.a på e-post. 29 og 30 Ikke ok Er usikre på om alt utstyr som brukes er korrekt satt opp og om all bruk er iflg. våre prosedyrer 42 Ikke ok Er ikke implementert SMS løsning i DIPS. Hva avdelingene evt. sender ut sjøl har vi ikke kontroll med. Side 4 av 5

Tiltak: Punkt Innhold Tiltak Be om en redegjørelse fra på gjennomførte ROS-analyser vedr. deres drift av Helgelandssykehuset. Tiltak nødvendig for å få de ansatte til å melde flere typer info.sikk avvik. Forslag fra Fagstab utarbeides. 5 Gjennomføres det jevnlig Oppfølging av innsynskontrollene gjennomføres. 10 Tas det daglig sikkerhetskopi? Ønsker oversikt fra at test av tilbakelegging av backup er gjennomført. 16 Brukes trådløst utstyr og nett iht. Sandnessjøen benytter eget oppsatt trådløst nett til telemetri. Dette må verifiseres. En gjennomgang ved alle enhetene må gjennomføres. I og med at det registreres avvik der pasientsensitiv informasjon finnes i klær, etterleves det ikke 100%. Tiltak og informasjon må iverksettes. 18 Etterleves prosedyrene for bruk av e-post og Internett? Alle ansatte er nok kjent med at man ikke skal sende pasientinformasjon på e-post, men vi har ikke kontroll på om det faktisk skjer. Gjestepas. data overføres bl.a på e-post. Tiltak og informasjon må iverksettes. Digipost kan benyttes dersom sensitiv informasjon må sendes via e-post. 19 Etterleves prosedyrene for Utstyr som benyttes må gjennomgås og dokumenteres samt hvilke muligheter ansatte har selv til å 23 Etterleves reglene for bruk av SMS i pasientkontakt? omgå egne bestemmelser for bruk av utstyr. Oversikt lages. Er ikke implementert SMS løsning i DIPS. Hva avdelingene evt. sender ut sjøl har vi ikke kontroll med. Her må en gjennomgang ved alle enhetene gjennomføres. Oversikt lages. Tiltakene iverksettes. Dato: 07.04.2015 Sign: adm. direktør Side 5 av 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding