• Like
  • Save
Instruktørkurs kommune   krav til sikkerhet -  v1.3
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Instruktørkurs kommune krav til sikkerhet - v1.3

  • 510 views
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
510
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset Praktiske opplysinger
  • Sett en felles plattform for instruktørene Konkretiser det typiske ved en virksomhet 27.04.11 Tema for presentasjonen |
  • Angi hvordan sårbarheten kan inntreffe Tyveri: Hva gjør du om virksomheten mister alle vitale data; timebøker, regnskapet, EPJ? Uautorisert Mangelfull tilgangsstyring – felles brukernavn og passord Journal endres av uautorisert Utskrifter på avveie - tyveri Tilgang til virksomhetens nettverk – via Internett, trådløst nettverk, osv Skjerm plassert som tillater innsyn Skriver plassert som tillater adgang og tyveri Lagringsmedia – husk å nevne minnepinne – lett å ta med lett å miste 27.04.11 Tema for presentasjonen |
  • Tilgangsstyring i journalsystemet Rolle; lege, sykepleier, systemadministrator Lese, skrive, endre, slette, makulere
  • Rutiner er tilstrekkelig sikring 27.04.11 Tema for presentasjonen |
  • 27.04.11 Tema for presentasjonen |

Transcript

  • 1. Instruktørkurs for kommuner Krav til informasjonssikkerhet (90 minutter) |
  • 2. Innhold
    • Mulige sårbarheter i kommunen
    • Krav til informasjonssikkerhetstiltak
      • Tilgang til helse- og personopplysninger
      • Tekniske sikkerhetsløsninger og tilkobling til eksterne nettverk
      • Sikkerhets- og tilbakekopiering
      • Service på datautstyr
      • Utskrifter og faks
      • Minnepinne og lagringsmedier
      • SMS og e-post
      • Fysisk sikkerhet
      • Plassering av skjerm og skriver
      • Hjemmekontor
    |
  • 3. Behandling og informasjonssikkerhet
    • Behandler helse- og personopplysninger om pasient og bruker –> konfidensialitet
    • Helsepersonell – plikt til å føre journal –> integritet
    • Forpliktelse ift pasienten/bruker – kontinuitet i behandling og omsorg –> tilgjengelighet
    • Innhold i journal –> kvalitet
    |
  • 4. Eksempler på sårbarheter
    • Journalen er ufullstendig
    • Uautorisert tilgang og innsyn i journal
    • Tyveri av datautstyr med journalopplysninger
    • Tap av lagringsmedia eller bærbar PC med journalopplysninger
    • Ødeleggelse av lagringsmedia eller datautstyr
    • Ny versjon av journalsystem installeres, men virker ikke
    |
  • 5. Eksempler på sårbarheter forts.
    • Trådløst nettverk er ikke sikret med autentisering på sikkerhetsnivå 4
    • Avtale med tjenesteyter dekker ikke personvern og informasjonssikkerhet
    • SMS virker ikke eller er forsinket
    • Uheldig bruk av helse- og personopplysninger i tverrfaglige team
    |
  • 6. Tilgang til helse- og personopplysninger
    • Tilgang kun ift. tjenstlig behov ved behandling av pasient og bruker (K)
    • Tilgangsstyring i journalsystemet (K)
    • Unik autentisering av den enkelte bruker (rolle + brukernavn og passord) (K, I)
    • Autorisering av den enkelte bruker (krav til 5 års oppbevaring) (K, I)
    • Hendelsesregistrering av (K, I):
      • Autorisert bruk
      • Forsøk på uautorisert bruk
    • Årlig kontroll av tildelte autorisasjoner (K, I)
    |
  • 7. Tekniske sikkerhetsløsninger
    • Autentisering på sikkerhetsnivå 4 for (K, I)
      • mobilt utstyr
      • hjemmekontor
      • trådløs kommunikasjon
      • avdelingskontor med linjer kommunen ikke har fysisk kontroll over
    • Kryptering av ekstern kommunikasjon (K, I)
    • To uavhengige tekniske tiltak mot eksterne nettverk (K, I)
    • Hendelsesregistrering (krav til 2 års oppbevaring) (K, I)
      • Operativsystem
      • Sikkerhetsbarrierer
      • Fagsystem
    • Skille den enkelte kommune - interkommunalt samarbeide (K, I)
    |
  • 8. Definisjon av autentisering på nivå 4
    • Med ” sikkerhetsnivå 4 ” menes i Normen to-faktor autentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene til sikkerhetsnivå 4 i ”Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor”.
    |
  • 9. Tilkobling til eksterne nettverk
    • Skille mellom behandling av helseopplysninger og eksterne nettverk (K, I)
    • Teknisk løsning med sikkerhetsbarrierer (K, I)
      • Hindre uautorisert tilgang
      • Antivirus
      • All kommunikasjon skal starte innenfra eget nettverk
    • Løsningen fra Norsk helsenett er tilstrekkelig sikret (K, I)
    • ?
    |
  • 10. Sikkerhets- og tilbakekopiering
    • Dokumenterte rutiner (K, I, T)
      • Periodisk
      • Ansvar
    • Sikkerhetskopi skal oppbevares (K, I, T)
      • Avlåst
      • Brannsikkert
      • Adskilt fra driftsutstyret (server)
    • Jevnlig test at sikkerhetskopiene (T)
      • er korrekte
      • kan tilbakeføres
    • Nødrutiner skal utarbeides – hva gjør kommunen om alle journaler er borte? (T)
    • Ekstern oppbevaring av sikkerhetskopi anbefales (T)
    |
  • 11. |
  • 12. Utskrifter / faks (papirdokumenter)
    • Rutiner for behandling av utskrifter (K)
      • Sikring
      • Arkivering
      • Makulering
    • Bruk av faks for helse- og personopplysninger (K)
      • Anonymiseres
      • Samtykke fra pasienten
    |
  • 13. Minnepinner og andre flyttbare lagringsmedier
    • Merkes tydelig (K)
    • Skal krypteres (K, I)
    • Slettes forsvarlig – destrueres ved utrangering (K)
    • Oppbevares avlåst (K, I, T)
    • Sendes som rekommandert post (K, I, T)
    |
  • 14. SMS og e-post (K)
    • Skal aldri brukes til helseopplysinger
    • Skal aldri inneholde 11-sifferet fødselsnummer
    • Mottas helseopplysninger via SMS eller e-post svarer kommunen at ”Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte”
    • SMS krever samtykke fra pasient/bruker
    • Faktaark 42 – Bruk av SMS i pasientkontakt
    |
  • 15. Fysisk sikring
    • Sikring av server og kommunikasjonsutstyr (K, I, T)
      • Bemannet eller avlåst område
    • Sikring av PC (K, I, T)
    • Soneprinsippet ifm. resepsjoner, behandlingsrom, mv. (K, I, T)
    • Faktaark 17 – Fysisk sikring av områder og utstyr
    |
  • 16. Plassering av skjerm og skiver/faks (K)
    • Plasser skjerm og skriver skjermet for innsyn og adgang
    • Gjør en gjennomgang av kommunens lokaler
    • Viktig å ta hensyn til ved flytting
    |
  • 17. Hjemmekontor
    • Arbeidsgivers utstyr (K, I, T)
    • Sikker teknisk løsning (K, I, T)
    • Autentisering på sikkerhetsnivå 4 (K, I)
    • Fysisk sikring av utstyr (K, I, T)
    • Rutiner for bruk (K, I)
    • Utskrift er ikke å anbefale (K)
      • Hvis utskrift; sikring, arkivering, makulering
    • Hindre uautorisert tilgang og innsyn (K, I)
    • Kryptering av lagringsenhet på bærbart utstyr er tilstrekkelig (K, I)
    |
  • 18. Service på utstyr / avhending av utstyr
    • Skal utstyr som inneholder helse- og personopplysninger fjernes fra kommunen må det opprettes en databehandleravtale med serviceyter (K)
    • Service på stedet er å anbefale, men ikke et krav
    • Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (K)
    |
  • 19. Kvalitet
    • Helse- og personopplysninger skal
      • henføres til rett identifisert person (I, T)
      • føres i henhold til kodeverket (bl.a. ICD-10) (I)
      • være fullstendige og ajourført i forhold til behandlingen av opplysningene (I)
    |
  • 20. Andre krav i Normen
    • Taushetsplikt (K)
    • Kontroll av tilgangsstyring ved sikkerhetsbrudd (K, I, T)
    • Nødrettstilgang skal grunngis og følges opp som avvik (K, I)
    |