Normen - PowerPoint PPT Presentation

1 / 24
About This Presentation
Title:

Normen

Description:

Hva er Normen? Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren er en samling krav og retningslinjer som skal. bidra til tilfredsstillende ... – PowerPoint PPT presentation

Number of Views:99
Avg rating:3.0/5.0
Slides: 25
Provided by: ning600
Category:

less

Transcript and Presenter's Notes

Title: Normen


1
Normen for IKT-ansvarlege
2
Agenda
  • Hva er gjort i SiO fram til nå?
  • Asle Brustad orienterer om de to andre
    opplæringene som har blitt gjennomført
  • Grunnleggende om Normen, hva den er, hva den
    bygger på og hvem står bak
  • Forankring og rolleavklaring
  • Så en gjennomgang av hvilke dokument som finnes
    og som vi bør forholde oss til

3
Hva er Normen?
  • Norm for informasjonssikkerhet i helse-, omsorgs-
    og sosialsektoren er en samling krav og
    retningslinjer som skal
  • bidra til tilfredsstillende informasjonssikkerhet
    hos den enkelte virksomhet og i sektoren generelt
  • samt å bidra til å etablere mekanismer hvor
    virksomhetene kan ha gjensidig tillit til at
    øvrige virksomheters behandling av helse- og
    personopplysninger gjennomføres på et forsvarlig
    sikkerhetsnivå.
  • Normen er utviklet med basis i personopplysningslo
    vens regler om bransjevise adferdsnormer (jf.
    personopplysingsloven 42 tredje ledd nr. 6).
  • Disse reglene bygger i sin tur på Eu-direktiv
    95/46/EF om beskyttelse av fysiske personer i
    forbindelse med behandling av personopplysninger
    og om fri utveksling av slike opplysninger.
  • Direktivet er implementert i norsk lovgivning med
    grunnlag i Norges forpliktelser etter
    EØS-avtalen.

4
Hva bygger den på?
  • Arkivloven (lov 4. desember 1992 nr. 126)
  • Forskrift om internkontroll i sosial- og
    helsetjenesten (forskrift 20. desember 2002 nr.
    1731)
  • Forskrift om kontrollkommisjonens virksomhet
    (forskrift 21. desember 2000 nr. 1408)
  • Forskrift om pasientjournal (forskrift 21.
    desember 2000 nr. 1385)
  • Forvaltningsloven (lov 10. februar 1967 nr. 00)
  • Helseforskningsloven (lov 20. juni 2008 nr. 44)
  • Helsepersonelloven (lov 2. juli 1999 nr. 64)
  • Helseregisterloven (lov 18. mai 2001 nr. 24)
  • Kommunehelsetjenesteloven (lov 19. november 1982
    nr. 66)
  • Offentleglova (lov 19. mai 2006 nr.16)
  • Pasientrettighetsloven (lov 2. juli 1999 nr. 63)
  • Personopplysningsforskriften (forskrift 15.
    desember 2000 nr. 1256)
  • Personopplysningsloven (lov 14. april 2000 nr.
    31)
  • Psykisk helsevernloven (lov 2. juli 1999 nr. 62)
  • Smittevernloven (lov 5. august 1994 nr. 55)
  • Sosialtjenesteloven (lov 13. desember 1991 nr.
    81)
  • Spesialisthelsetjenesteloven (lov 2. juli 1999
    nr. 61)
  • Statlig tilsyn med helsetjenesten (lov 30. mars
    1984 nr. 15)
  • Tannhelsetjenesteloven (lov 3. juni 1983 nr. 54)

5
Hvem står bak Normen?
  • Normen er utarbeidet av representanter for
    helse-, omsorgs- og sosialsektoren.
  • Den forvaltes av en styringsgruppe med
    representanter fra
  • Legeforeningen
  • De regionale helseforetak
  • Sykepleierforbundet
  • Tannlegeforeningen
  • Norges apotekforening
  • KS
  • DOT (Den Offentlige Tannhelsetjenesten)
  • NAV
  • Norsk Helsenett
  • Private laboratorier
  • Farmasøytene
  • Norsk psykologforening
  • Norsk Fysioterapeutforbund
  • DIFI (observatør)
  • Datatilsynet (observatør)
  • Helse- og omsorgsdepartementet (observatør)
  • Helsedirektoratet leder styringsgruppen og er
    sekretariat.

6
Normen
  • Med andre ord
  • Normen er ikke noe nytt
  • Normen bygger på lover og regler som vi har
    forholdt oss til i lang tid allerede
  • Normen stiller krav som detaljerer og supplerer
    gjeldende regelverk
  • Oppfyller vi disse så tilfredsstiller vi
    sektorens oppfatning av dagens regelverk
  • Personvern- og helselovgivningen stiller krav til
    informasjonssikkerhet. Disse kravene gjelder
    uavhengig av Normen
  • Aktuelle tilsynsmyndigheter (særlig Datatilsynet
    og Helsetilsynet) kan kontrollere den enkelte
    virksomhets etterlevelse av det til enhver tid
    gjeldende regelverk
  • Regelverket stiller også en rekke andre krav til
    behandling av helse- og personopplysninger enn
    det som er tema for Normen

7
Forankring
  • Forankring er utrolig viktig med tanke på videre
    framdrift
  • At ledelsen er klar over viktigheten
  • At ledelsen prioriterer dette arbeidet
  • At ledelsen skaffer nok ressurser til å arbeide
    med dette
  • Hvem gjør hva, og hvem har ansvar for hva?
  • Det er et krav om at ansvar og organisering er på
    plass før man starter med meldingsutveksling
  • Kommuner løser dette på forskjellig måte

8
Rolleavklaring
  • Databehandlingsansvarlig/Virksomhetsleder/adm.dir/
    rådmann
  • Definere mål og strategi for informasjonssikkerhet
  • Beskrive ansvar og myndighetsforhold (se vedlagt
    eksempel med hvilke sikkerhetsfunksjoner/-roller
    som skal finnes i organisasjonen)
  • Spesifisere hvilke behandlinger helse- og
    personopplysninger skal ha
  • Melde og evt søke konsesjon for behandlinger til
    Datatilsynet
  • Følge opp og kontrollere informasjonssikkerheten
  • Den som er ansvarlig til slutt er rådmannen,
    uansett om han fordeler oppgaver

9
Rolleavklaring
  • Linjeleder/avdelingssjef
  • Videreføre virksomhetsleders ansvar i egen
    avdeling
  • Følge opp og kontrollere informasjonssikkerheten
  • Prioritere tiltak
  • Følge opp avtaler om tilgang på tvers av
    virksomhetsgrenser
  • Kontroll av tilgang på tvers

10
Rolleavklaring
  • Sikkerhetsansvarlig
  • sikkerhetsansvarlig har delegert ansvar for å
    koordinere arbeidet med informasjonssikkerheten i
    virksomheten
  • oppgaver
  • Utforming av styrende, utførende og
    kontrollerende dokumenter i foretakets
    styringssystem for informasjonssikkerhet
  • Forberede ledergruppens årlige gjennomgang
  • Følge opp/iverksette tiltak som er besluttet
    etter gjennomganger
  • Samordne og gjennomføre sikkerhetsrevisjoner
  • Vurdere rapporterte avvik
  • Forestå risikovurderinger
  • Erverve og vedlikeholde kunnskap om trusler,
    sårbarhet,sikkerhetstiltak, sikkerhetsteknikker
    og sikkerhetskrav
  • Opplæring
  • Rollen sikkerhetsansvarlig er litt mer diffus med
    tanke på hvem det bør være

11
Rolleavklaring
  • IKT-ansvarlig
  • Ansvarlig for drift av IT-systemer (internt) og
    for at besluttede tiltak er operative og fungerer
    etter hensikten
  • Sørge for at informasjonssystemet driftes og
    sikres iht fastsatte krav
  • Etablere beredskapsløsning
  • Vurdere eventuell løsning for fjernaksess opp mot
    veileder for fjernaksess
  • Følge opp leverandører og databehandler

12
Dokumentasjon
13
Dokumentasjon
14
Normen.no
  • Informasjon om selve Normen
  • Veiledere, prosessdokument og faktaark
  • Totalt 52 faktaark
  • Viser hvilke som angår kommunen og hvilke som
    angår de ulike rollene
  • Nesten alle angår it-ansvarlig på en eller annen
    måte, men de fleste faktaark angår flere roller
    og må gjennomgås sammen med de andre

15
Så hva gjør vi?
  • Hvor starter vi?
  • Hvilket dokument blir utgangspunktet for arbeid
    med Normen?
  • Faktaark 6 og 6b Sikkerhetsrevisjon er et
    utgangspunkt
  • Like greit å starte med det en blir revidert på?
  • I alle fall kjekt for å få en viss oversikt over
    hva som må gjøres på et overordnet nivå
  • Veileder i informasjonssikkerhet ved tilknytning
    mellom kommuner, fylkeskommuner og helsenettet
  • Gir god oversikt over hva normen er og hva som
    skal gjøres
  • Før tilknytning til NHN
  • Etter tilknytning (drift)
  • Avslutning av tilknytning
  • Peker på faktaark som er relevant
  • Har sjekklister som er fine

16
Normen.no
  • Som dere husker
  • It-ansvarlig har ansvar for drift av IT-systemer
    (internt) og for at besluttede tiltak er
    operative og fungerer etter hensikten
  • MEN Normen er 20 it og 80 organisasjon
  • Hjelper fint lite å ha gode systemer dersom
    holdningene ikke er der og opplæring ikke er
    gjennomført
  • Det er de som behandler person- og
    pasientopplysinger, samt pasientene selv dette
    gjelder
  • Når det er sagt, så er det it sin oppgave å
    tilfredsstille de tekniske krav som Normen har
    satt opp når det gjelder tilknytning til
    helsenett og meldingsutveksling

17
Veileder
  • Denne veilederen behandler teknologiske og
    administrative forhold. Bortsett fra Norsk
    Helsenett er den ikke knyttet opp mot spesifikke
    leverandører, tekniske løsninger eller
    produkter.
  • Les veilederen nøye
  • Gå gjennom de faktaark som det er henvist til
  • Se på alle aktuelle faktaark som angår
    it-ansvarlig
  • Dann deg et bilde av hvilke oppgaver som er
    aktuelle og omfanget av disse
  • Start med det grunnleggende og ta de rent
    tekniske oppgavene

18
Faktaark
  • 4 ?Kartlegging og klassifisering av systemer i
    henhold til kritikalitet i forhold til behov for
    tilgjengelighet
  • 5 ?Fastsette akseptkriterier for tilgjengelighet,
    konfidensialitet, integritet og kvalitet
  • 7 Risikovurdering
  • 8 Avviksbehandling
  • 9 Opplæring av ledere og medarbeidere
  • 10 Bruk av databehandler (ekstern driftsenhet)
  • 11 Nødprosedyrer
  • 12 ?Tilbakerapportering av resultater fra
    IT-driften
  • ?13 Oversikt over behandlinger av helse- og
    personopplysninger i virksomheten
  • 14 Tilgangsstyring
  • ?15 Hendelsesregistrering og oppfølging
  • ?16 Etablering av løsning for meldingskommunikasjo
    n
  • ?17 ?Fysisk sikring av områder og utstyr
  • ?18 ?Sikring av bærbart utstyr
  • ?19 ?Tiltak for å hindre ondsinnet programvare
  • ?20 ?Sikkerhets- og samhandlingsarkitektur

19
Faktaark
  • ?21 Sikkerhetskopi (backup)?
  • ?22 Kontroll og sikring av ekstern tilgang
  • ?24 Kommunikasjon over åpne nett
  • ?25 Lagringstid og sletting av helse- og
    personopplysninger?
  • ?26 Sikring av trådløs teknologi?
  • ?28 Alternative tekniske løsninger for
    primærhelsetjenesten?
  • ?29 Hjemmekontor
  • ?30 Sikring av mobilt utstyr utenfor virksomheten
  • ?31 Passord og passordhåndtering
  • ?32 Elektronisk pasient- og brukerkommunikasjon?
  • ?33 ?Bruk av e-post ifm helseopplysninger
  • ?34 Håndtering av lagringsmedia
  • ?36 Fjernaksess for vedlikehold og oppdateringer
    mellom leverandør og helsevirksomhet
  • ?37 Sikkerhetskrav og sikkerhetsdokumentasjon i
    IKT-prosjekter

20
Faktaark
  • ?38 Sikkerhetskrav for systemer ?
  • 39 Elektronisk utlevering til kontrollkommisjon
  • ?41 Skadereparasjon når data har blitt utilsiktet
    utlevert
  • ?42 ?Bruk av SMS i pasientkontakt
  • 43 ?Bruk av testdata i systemer som inneholder
    helse- og personopplysninger
  • 46 ?Databehandlingsansvar og avtaler i
    forbindelse med tjenesteutsetting
  • ?47 Autorisasjonsregister
  • ?48 ?Informasjonssikkerhet ved utførelse av
    testing
  • ?49 ?Krav ved bruk av PKI ved ekstern
    kommunikasjon
  • ?50 ?Innsyn i hendelsesregistre
  • 51? ?Innsyn i den ansattes e-postkasse mv
  • ?52 ?Krav til teknisk løsning ved bruk av
    betalingsterminal    

21
Oppgaver fra faktaark
  • Kartlegg system (kritikaliser og prioriter)
  • Risikovurdering og sette opp akseptkriterier
  • Avviksbehandling hva er et avvik?
  • Bli enig meg helsepersonell om hva som er avvik
  • PLO nede er det et avvik?
  • Opplæring
  • Bli med å utarbeid materiale som skal brukes mot
    ansatte for å bevisstgjøre dem om betydningen av
    informasjonssikkerhet
  • Lag plakater som illustrerer ulike tema (passord,
    utskrift)
  • Bruk av databehandler
  • Ekstern driftsenhet (person eller virksomhet
    utenfor din egen virksomhet)
  • Kommunesamarbeid, leverandører
  • Veileder for fjernaksess

22
Oppgaver fra faktaark
  • Nødprosedyrer
  • Krisesituasjoner
  • Reetablering av teknisk løsning
  • Fjernlagring av sikkerhetskopi (hvem henter, hvor
    er den, nøkler
  • Nøddrift og gjenoppretting av ordinær drift
  • Tilbakerapportering av resultater fra ikt-driften
  • Driftsstatus på kristiske system (EPJ)
  • Oppetid
  • Planlagte avbrudd
  • Feilsituasjoner som ikke er avvik
  • Mislykkede pålogginger
  • Oppfølging av avviksrapportering
  • Meldingskommunikasjon
  • Systemleverandør (EPJ)
  • Databehandler
  • Nettleverandør (NHN)

23
Oppgaver fra faktaark
  • Tilgangsstyring
  • At brukere autenitiseres på en betryggende måte
  • At tilganger tildeles, administreres,
    kontrolleres og fjernes
  • Pålogging internt krav til passord (7 tegn,
    tall stor bokstav)
  • Hjemmekontor sikkerhetsnivå 4
  • Hendelsesregistrering
  • Sette bedriften i stand til å avdekke uautorisert
    bruk
  • Logger
  • Fysisk sikring av områder og utstyr
  • Åpen sone arealer hvor publikum har fri adgang,
    korridorer, venterom, fellesarealer, områder med
    alminnelig ferdsel
  • Indre sone åpne arbeidsplasser (områder med
    begrenset ferdsel), arealer beregnet kun for
    medarbeidere i virksomheten, evt. publikum i
    følge med medarbeidere - resepsjonsarbeidsplassen,
    kontorer, vaktrom, behandlingsrom
  • Sikker sone areal hvor kun spesielt godkjente
    medarbeidere har adgang, og hvor publikum ikke
    skal ha adgang (områder med sterk
    adgangsbegrensning), datarom, rom med nettverk,
    servere og kommunikasjonsutstyr
  • Nøkler og adgangskort
  • Adgang til driftsutstyr (egne datarom med kodelås
    og alarm)

24
Oppgaver fra faktaark
  • Sikring av bærbart utstyr
  • Dokumenter bærbart utstyr
  • Pc, mobiltelefon og PDA
  • Dokumenter og kartlegg utstyr (hva og hvor fra)
  • Risikovurder
  • Fra hvor det brukes
  • lagring av helse- og personopplysninger
  • oppkobling mot andre nettverk
  • hjemmekontor
  • synkronisering
  • sikkerhetskopiering
  • minnepinne
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2025 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Normen" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!