Add to collection(s) Add to saved
  1. Ingenjörsvetenskap
  2. Datavetenskap
  3. Datastrukturer

2. Administrativ säkerhet

Mall B: Organisationens datasäkerhetsprinciper
<Hälso- och sjukvårdsorganisationens> datasäkerhetsprinciper
Version
Datum för godkännande
INNEHÅLL
1. Inledning .................................................................................................................................. 1
2. Administrativ säkerhet.............................................................................................................. 1
3. Personalsäkerhet ..................................................................................................................... 2
4. Fysisk säkerhet ........................................................................................................................ 3
5. Datakommunikationssäkerhet .................................................................................................. 3
6. Utrustningssäkerhet ................................................................................................................. 4
7. Datamaterialsäkerhet ............................................................................................................... 4
8. Programvarusäkerhet .............................................................................................................. 5
9. Driftsäkerhet ............................................................................................................................ 6
1. Inledning
<Hälso- och sjukvårdsorganisationen> har en <datasäkerhetspolicy> som godkänts dd.mm.åååå.
Den omfattar <hälso- och sjukvårdsorganisationens> centrala datasäkerhetsprinciper som avsetts
för organisationens interna användning och som godkänts av ledningen och syftet är att
implementera dem genom datasäkerhetsarbete fram till år åååå. Datasäkerhetsprinciperna
omfattar organisationens övergripande arkitektur för informationshantering. Principerna gäller
organisationens egen verksamhet och parter som tillhandahåller tjänster för den. Principerna
implementeras gradvis så att de vad gäller E-recept realiseras vid anslutningen till den Nationella
elektroniska recepttjänsten, och vad gäller alla patientuppgifter senast i samband med
anslutningen till FPA:s Patientuppgiftsarkiv.
Datasäkerheten för hela vårdkedjan för de patienter som vårdas i regionen och för de parter som
levererar tjänster till den ska vara enhetlig och känd av parterna. Harmoniseringen av
datasäkerhetsnivån är en del av sjukvårds-/hälsovårdsdistriktets lagstadgade skyldighet att sörja
för anpassningen av datasystemen till varandra i regionens offentliga hälso- och sjukvård. De
rutiner som ska iakttas i implementeringen av datasäkerheten beskrivs i <sjukvårdsdistriktets,
hälsovårdsdistriktets> datasäkerhetsplan som utarbetats enligt social- och hälsovårdsministeriets
guide (Utarbetande av en datasäkerhetsplan; Handbok för verksamhetsenheter inom social- och
hälsovården, SHM Publikationer 2007:19).
2. Administrativ säkerhet
Med administrativ datasäkerhet avses den helhet som bildas av arrangemang, organisering och
administration av datasäkerhetsverksamheten. Resultatet av arbetet för administrativ datasäkerhet
är en beskrivning av principerna för datasäkerhetsverksamheten, arrangemangen för samt
organiseringen, bedömningen, administrationen och utvecklingen av datasäkerhetsarbetet samt
alla deltagande parters medvetenhet om sitt ansvar och sina datasäkerhetsuppgifter. Processen
beskriver verksamhetslinjerna, ansvarsfördelningen och uppgifterna, arrangemangen, resurserna
för datasäkerhetsarbetet i allmänhet och för datasäkerhetsanvisningar, -utbildning, -tillsyn och rapportering.
1
Mall B: Organisationens datasäkerhetsprinciper
Principer för administrativ datasäkerhet:
Organisationen har publicerat en skriftlig datasäkerhetspolicy som formulerar organisationens
engagemang för och organisering av datasäkerhetsarbetet. Policyn finns på www.
Uppgifterna relaterade till den tekniska datasäkerheten och dataskyddet har utsedda ansvariga
som organisationens anställda och intressenternas kontaktpersoner känner till. De ansvariga har
resurser och behörighet att utföra de uppgifter som de ansvarar för.
Organisationen iakttar lagar och förordningar som är bindande för den samt utvecklar sin
verksamhet så att den motsvarar myndighetsrekommendationer för branschen, datasäkerhetskrav
som ställs av nationella datasystemtjänster och datasäkerhetspraxis som hanteringen av den
regionala hälso- och sjukvårdens sekretessbelagda uppgifter förutsätter.
Organisationens ledningsmodell har indikatorer för datasäkerhetens olika delområden.
Datasäkerhetsläget följs upp fortlöpande genom rapporter och övervakningssystem samt separata
riskkartläggningar. Utifrån observationerna utarbetas en årlig utvecklingsplan för datasäkerheten
som godkänns av ledningen.
Instruktioner utarbetas för de viktigaste datasäkerhetsärendena med tanke på verksamheten. Att
kunskapen om datasäkerhetsfrågor är aktuell säkerställs genom regelbunden utbildning,
information och motivering.
I upphandlingen av tjänster förutsätts att skyddsåtgärderna, ansvarsfördelningen och det tekniska
ansvaret relaterade till informationshanteringen ingår i serviceavtalen. Tjänsteleverantörerna
förutsätts ha en datasäkerhetsnivå som motsvarar den avtalade servicenivån.
Tjänsteleverantörerna förutsätts ha en beskrivning av tjänstens datasäkerhetsnivå samt rutiner för
övervakning, observation, rapportering och hantering av avvikelser i datasäkerheten.
Tjänsteleverantörerna förutsätts lämna uppdaterade dokument till organisationen och rapportera
avvikelser i datasäkerheten i den köpta tjänsten.
I offertbegäran och upphandling av programvara och utrustning förutsätts att gällande standarder
iakttas och att datasäkerhetsaspekterna utvärderas innan upphandlingsbeslut fattas.
3. Personalsäkerhet
Med personalsäkerhet avses hantering av datasäkerhetshot som personalen orsakar eller som
riktar sig mot den. Resultatet av arbetet för personalsäkerheten är tillförlitligt och en personal som
lämpar sig för sina uppgifter och som känner till datasäkerhetskraven enligt sin
befattningsbeskrivning och roll. Organisationens egen personal och den personal som levererar
köpta tjänster ska känna till sin rätt att få information, sina användarrättigheter, åtgärder relaterade
till vikariat och andra arbetsarrangemang, sitt eget dataskydd samt sina skyldigheter och
rättigheter när anställningsförhållandet inleds och avslutas.
Principer för personaldatasäkerheten
Personalens befattningsbeskrivningar administreras så att man ur arbetsuppgifterna kan härleda
de personliga användarrättigheter till datasystem som uppgifterna kräver. Ett register över
användarna förs och uppdateras regelbundet, och av det ska utöver identifieringsuppgifterna om
användare även deras användarroll framgå. Motsvarande befattningsbeskrivningar för leverantörer
av köpta tjänster eller andra personer som hanterar organisationens datasystem ska finnas i
användarregistret.
2
Mall B: Organisationens datasäkerhetsprinciper
Introduktionen av nya anställda omfattar förutom genomgång av sekretessbestämmelserna inom
hälso- och sjukvården även utbildning i datasäkerhet, och dessutom ska de underteckna en
datasäkerhetsförbindelse innan behörighet att använda datasystem beviljas.
Anställda, vars arbetsuppgifter förutsätter användning av regionala eller nationella
patientdatasystemtjänster, ska uppvisa en officiell identitetshandling innan användarbehörighet
beviljas. Användningen av nationella datasystemtjänster förutsätter personligt certifikatkort beviljat
av BRC (Befolkningsregistercentralen). Beviljande av användarnamn och lösenord till andra
system med patientuppgifter förutsätter att den anställdas identitet bestyrks på ett tillförlitligt sätt.
Arrangemang relaterade till avslutandet av arbetsuppgifterna har instruerats så att
användarbehörigheterna för datasystemen och okontrollerat tillträde till lokaler med förbindelse till
en skyddad datasystemmiljö upphör när arbetsuppgifterna avslutas.
Anställda får regelbundet datasäkerhetsutbildning. Kompetensnivån och deltagandet i utbildningar
följs upp, och resultaten rapporteras till den ansvariga i organisationen.
Ansvariga personer för kritiska arbetsuppgifter med tanke på organisationens kritiska datasystem
har en avtalad ersättare.
Arbetsbeskrivningarna har utformats så att det inte uppstår situationer eller användarbehörigheter
som gör det möjligt att hantera information utan att en annan anställd kan kontrollera hanteringen.
4. Fysisk säkerhet
Resultatet av arbetet för fysisk datasäkerhet är en kontrollerad miljö för hantering av information,
där hanteringen av information och den teknik som behövs för det är skyddade mot fysiska
konstruktioner samt förstörelse och skada som fel i dem kan förorsaka. Arbetet anknyter till
planering och övervakning av fastigheter och maskinutrymmen samt säkerställer att utomstående
inte har tillträde till lokaler där information hanteras.
Principer för fysisk datasäkerhet
Obehörigt tillträde till verksamhetsenhetens eller dess tjänsteleverantörs lokaler med tillträde till en
skyddad datasystemmiljö förhindras genom övervakning och låsta dörrar till lokaler som saknar
personal eller kameraövervakning. Nycklarna till lokalerna är personliga och register förs över
innehavarna av nycklarna.
Placeringen av datateknisk utrustning beaktar risken för vatten-, värme- och brandskador. Skyddet
och övervakningen av servrar och annan utrustning som hör till systemet samt dataöverföringsnät
inför externa hot motsvarar datasystemens kritiskhet i patientvården vid verksamhetsenheten.
Elförsörjningen till datasystemets utrustning och dataöverföringsnät samt beredskapen inför
elavbrott motsvarar datasystemens kritiskhet i patientvården vid verksamhetsenheten.
5. Datakommunikationssäkerhet
Resultatet av arbetet för datakommunikationssäkerheten är säkra datakommunikationsförbindelser
Arbetet omfattar datakommunikationsnätet och sammansättning, administration och
ändringshantering av utrustningen samt den kvantitativa och kvalitativa hanteringen av
händelserna i datakommunikationsnätet.
3
Mall B: Organisationens datasäkerhetsprinciper
Principer för datakommunikationssäkerheten
Organisationens datasystemmiljö är skyddad med en övervakad brandvägg. Brandväggen tillåter
endast definierad trafik in i systemen.
Förbindelserna med externa system och portaler är starkt krypterade.
Datakommunikationen relaterad till patientdatasystemen i det trådlösa interna nätet och i
fjärranslutningarna är krypterad. Även fjärranslutningarna för hanteringsuppgifterna är krypterade,
och användning av fjärranslutningarna förutsätter en tillförlitlig inloggning med elektronisk
identifiering.
Servrar som har kontakt med nationella datasystemtjänster har servercertifikat.
6. Utrustningssäkerhet
Resultatet av arbetet för utrustningssäkerheten är att de terminaler, servrar och den övriga
utrustning som används i hanteringen av information är ändamålsenliga, användbara och
tillgängliga och fungerar på ett adekvat sätt.
Principer för utrustningssäkerheten
All utrustning som skaffas är kompatibel med den övergripande arkitekturen eller i övrigt
kompatibel med organisationens datasystemmiljö samt hälso- och sjukvårdens
datakommunikationsnät.
Patientvård är permanent verksamhet som pågår oavbrutet dygnet runt. Verksamheten är
informationsintensiv och den kan inte uppnå kraven om det förekommer större avbrott i tillgången
till information. Bland terminaler och kringutrustning har kritiska enheter med tanke på
patientvårdens kontinuitet och servicenivåkraven identifierats. Kritiska enheter har tillgång till
reservkraft vid elavbrott och en tillräcklig servicenivå i administrationen under vårdtjänstens
öppettider.
Hur kritiska servrar, nät och annan utrustning är härleds utifrån hur kritisk den programvara som
används i dem och terminalen är. Kritiska enheter garanteras oavbruten elförsörjning och en hög
servicenivå enligt vårdtjänstens öppettider.
Databehandlingens prestanda säkerställs genom en tillräcklig kapacitet hos enheter och nät, och
deras funktion och prestanda följs upp genom automatisk övervakning.
Inom patientvården väljs utrustningen så att den antas hålla en rimlig tid med beaktande av den
fortlöpande utvecklingen av datasystemens olika delar och de ökande kraven på prestanda och
säkerhet.
Vid anskaffning av utrustning beaktas reservdelarnas, underhållets och reservlösningarnas
kravenlighet enligt klassificeringen av kritiskhet och tillgången till den även i
undantagsförhållanden, till exempel strejker.
7. Datamaterialsäkerhet
Resultatet av arbetet för datamaterialsäkerheten är att datamaterial hanteras så att uppgifter som
lagrats enligt författningar bevaras och är tillgängliga under den tid som användningssyftet
förutsätter, att de lagras i en ändamålsenlig form och ordning samt utplånas författningsenligt.
4
Mall B: Organisationens datasäkerhetsprinciper
Principer för datamaterialsäkerheten
Med tanke på patientsäkerheten och vårdens kontinuitet är det viktigt att den som vårdar patienten
kan utnyttja viktiga eller åtminstone nödvändiga patientuppgifter så smidigt som vårdsituationen
kräver. Patientdatamaterialets kritiskhet klassificeras utifrån patientsäkerheten och vårdens
kontinuitet. Tillgången till kritisk information i särskilda situationer, såsom dataavbrott, beskrivs i
kontinuitets- och återhämtningsplanen. Datamaterialets kritiskhet och säkerställandet av tillgången
till det utgör grunden för klassificeringen av programvarans kritiskhet, utifrån vilken utrustningens
kritiskhet i sin tur härleds.
Patientens alla personuppgifter är sekretessbelagda, och hanteringen av dem förutsätter att
användaren har ett uppgiftsrelaterat syfte att använda dem. Den andra förutsättningen för
hantering av registerförarens uppgifter är dessutom samtycke av patienten i journalhandlingen eller
någon annan lagstadgad rätt att hantera uppgifterna utan samtycke. Om överlåtandet baserar sig
på begäran antecknas den bestämmelse som möjliggör överlåtelse i journalhandlingen.
Användningen av datamaterial följs regelbundet upp, och principerna för uppföljningen har
behandlats enligt samarbetsförfarandet med organisationens anställda.
Sådana patientuppgifter i elektronisk form från nationella datasystemtjänster som kan identifieras
får endast hanteras av en person som identifierat sig med behörighetskort som beviljats av BRC.
Organisationens datamaterial förvaras enligt organisationens arkivbildningsplan, som utarbetats
enligt arkivförfattningarna och den nationella uppgiftsklassificeringen av patientuppgifter. Att
datamaterialet bevaras så att det bevarar sin konfidentialitet, integritet och oförvanskade form har
beaktats under informationens hela livscykel tills materialets förstörs slutgiltigt.
För att sörja för datamaterialets lagstadgade granskningsrätt och rätt till information har man
avtalat om en person som ansvarar för tjänsten och beskrivit hur processen löper.
Det finns anvisningar för användning eller överlåtelse av datamaterial för fakturering, statistik,
rapportering, utveckling och forskning, och de innehåller de arbetsuppgifter som ger rätt att hantera
dessa uppgifter.
Patientuppgifter sänds inte inom eller utom organisationen i okrypterad form eller via oskyddade
förbindelser.
Personalen har fått organisationsspecifika anvisningar om hantering av patientuppgifter, och man
har utsett en person som ansvarar för uppdateringen av dem. De anvisningar som beskriver
enhetliga praktiska rutiner inom organisationen preciserar nationella rekommendationer och
anvisningar samt regionalt avtalade verksamhetsmodeller.
8. Programvarusäkerhet
Resultatet av arbetet för programvarusäkerheten är att programvarorna är användbara, tillgängliga
och fungerande på ett sätt som tillfredsställer behoven samt att programvarorna skyddar innehållet
i dem enligt de uppställda kraven.
Principer för programvarusäkerheten
Klara ändamål har fastställts för programvaror så att användarna vet vilka programvaror de ska
använda i olika uppgifter och för olika syften. Programvarornas kompatibilitet säkerställs så att
5
Mall B: Organisationens datasäkerhetsprinciper
datamaterialet bevarar sin integritet utan separata åtgärder av användaren när information sparas
eller hämtas.
Förutsättningen för anskaffning av ny programvara är att den är tekniskt och funktionellt kompatibel
med befintliga programvaror eller med målläget i den övergripande arkitekturen. Programvarornas
gränsytor förutsätts vara öppna så att det går att säkerställa att gränsytans datastruktur och betydelse är korrekt.
Utvecklingen av programvara baserar sig på konstaterade verksamhetsbehov, och
utvecklingsprocessen har beskrivits. Nya egenskaper hos programvara godkänns innan en ny
version tas i drift. Idrifttagningen av versionen godkänns först efter att den testats i sin miljö och
konstaterats motsvara ordern tekniskt och funktionellt. Införandet av programvaran eller en version
av den baserar sig på en godkänd driftsplan, som även beskriver klassificeringen av eventuella
problem, reparationsrutiner och responstider.
Programvara som står i kontakt med nationella datasystemtjänster har testats på det sätt som
tillhandahållaren av den nationella tjänsten förutsätter, och systemet har konstaterats vara förenligt
med nationella revisionskrav.
Patientuppgifter via Kanta-tjänster med programvaran kan endast hanteras av personer som
identifierats med BRC:s behörighetskort och som uttryckligen beviljats användarbehörighet att se
utlämnade uppgifter eller utlämna organisationens uppgifter.
Övervakningen av programvarans funktion och administrationens servicenivå motsvarar dess
fastställda kritiskhet avseende verksamheten.
Programvara som innehåller sekretessbelagd information ska ha ett dokument, som beskriver
programvarans skydd mot skadliga program och obehörigt intrång samt övervakningen av skyddet.
Datasäkerheten för information som hanteras i programvaran motsvarar datamaterialets kritiskhet
och den fastställda livscykeln. Programvaran har en kontinuitets- och återhämtningsplan som
godkänts av personer som ansvarar för patientvården.
Distansförbindelser som öppnats för administration av programvara är skyddade och
meddelandena krypterade. Användningen av distansförbindelser förutsätter tillförlitlig identifiering.
Omfattningen av programvarans administrativa funktioner samt relaterade rutiner för godkännande
och tajmningen är godkända och dokumenterade. Avvikelser från de avtalade modellerna följs upp
och man ingriper i dem.
Säkerhetsuppdateringarna för terminaler och servrar samt programvara har en handlingsplan.
Behovet av uppdateringar följs upp aktivt och uppdateringarnas kritiskhet följs upp.
Uppdateringarna av antivirusprogram sker vid tidpunkter som stör verksamheten så lite som
möjligt, om det hot som orsakat uppdateringen inte kräver omedelbara åtgärder.
9. Driftsäkerhet
Resultatet av driftsäkerheten är en kontrollerad hantering av datamaterial, där den som använder
materialet är skyddad mot situationer orsakade av ignorans, inkompetens, fel och misstag samt
uppsåtliga åtgärder och i vilka användaren kan göra sig skyldig till olovlig eller obehörig hantering
av uppgifter.
6
Mall B: Organisationens datasäkerhetsprinciper
Principer för driftsäkerheten
Sakförhållandet mellan användaren och klienten är alltid en förutsättning för användning av
sekretessbelagd information inom hälso- och sjukvården. Obehörig användning utan
sakförhållande förhindras genom information, tekniska system och tydligare
befattningsbeskrivningar.
Den som använder datasystem som innehåller personuppgifter ska ha ett personligt och
identifierande användarnamn och lösenord som endast personen känner till eller ett certifikatkort
eller motsvarande identifieringsverktyg.
Principerna för beviljande av användarrättigheter har dokumenterats och iakttagandet av dem
övervakas. Processen för beviljande av avvikande användarrättigheter har beskrivits och de
personer som har rätt att bevilja sådana rättigheter har namngetts.
Ett register förs över innehavare av användarrättigheter, och det förvaras i 12 år. Logguppgifter
samlas in om användningen för att användningen ska kunna spåras till individnivå. Loggregister
över hantering av patientuppgifter upprättas författningsenligt och förvaras i 12 år. Andra
logguppgifter förvaras i 2 år.
Utbildning i användningen av datasystem enligt arbetsuppgift ingår i introduktionen av alla
användare. Användarnas kompetens följs upp och resultaten beaktas i personalutbildningen.
De ändringar i datasystemen som kan påverka driftsäkerheten görs planmässigt så att de
potentiella konsekvenserna av och riskerna med ändringarna visavi användningen reds ut.
Riskhanteringsplanen godkänns innan ändringen genomförs.
Den tjänsteleverantör som tillhandahåller datasystemtjänster för inloggning, identifiering eller
andra säkerhetsrelaterade tjänster förutsätts regelbundet rapportera om övervakningen och
användningen av tjänsten samt om servicenivån och avvikelser i den.
7
Related documents
MARKNADSFÖRING – 4P Man utgår oftast ifrån en teori skapad av
MARKNADSFÖRING – 4P Man utgår oftast ifrån en teori skapad av
PPT Vad är en organisation
PPT Vad är en organisation
RHES76JJP8
RHES76JJP8
Riktlinjer för kommunstyrelsens föreningsbidrag till föreningars
Riktlinjer för kommunstyrelsens föreningsbidrag till föreningars
organisationen
organisationen
CHECKLISTA FÖR GRANSKNING AV NYA PRODUKTER
CHECKLISTA FÖR GRANSKNING AV NYA PRODUKTER
Ansökan avser bidrag till kostnader för hyrd lokal
Ansökan avser bidrag till kostnader för hyrd lokal
Fredrik Nilsson – Presentation
Fredrik Nilsson – Presentation
Riktlinjer för bidrag till ideella organisationer
Riktlinjer för bidrag till ideella organisationer
Ansökningsblankett för Organisationer utan
Ansökningsblankett för Organisationer utan
Rutiner vid handläggning av bidrag till organisationer inom social
Rutiner vid handläggning av bidrag till organisationer inom social
Policy som förtydligar Tamams nolltolerans gällande droger, alkohol
Policy som förtydligar Tamams nolltolerans gällande droger, alkohol
Redovisningsblankett för extra statsunderstöd 2015
Redovisningsblankett för extra statsunderstöd 2015
Mall för hur ett pressmeddelande kan se ut.
Mall för hur ett pressmeddelande kan se ut.
Mall f2: bilaga till datasäkerhetspolicyn för kommunen som
Mall f2: bilaga till datasäkerhetspolicyn för kommunen som
Mall f1 för datasäkerhetspolicy för verksamhetsenheter inom
Mall f1 för datasäkerhetspolicy för verksamhetsenheter inom
Auditeringsrapport om pilot för elektronisk röstning i kommunalvalet
Auditeringsrapport om pilot för elektronisk röstning i kommunalvalet
Download