Instruktørkurs for kommuner Krav til informasjonssikkerhet (90 minutter) |
Innhold <ul><li>Mulige sårbarheter i kommunen </li></ul><ul><li>Krav til informasjonssikkerhetstiltak </li></ul><ul><ul><l...
Behandling og informasjonssikkerhet <ul><li>Behandler helse- og personopplysninger om pasient og bruker –>  konfidensialit...
Eksempler på sårbarheter <ul><li>Journalen er ufullstendig </li></ul><ul><li>Uautorisert tilgang og innsyn i journal </li>...
Eksempler på sårbarheter forts. <ul><li>Trådløst nettverk er ikke sikret med autentisering på sikkerhetsnivå 4   </li></ul...
Tilgang til helse- og personopplysninger <ul><li>Tilgang kun ift. tjenstlig behov ved behandling av pasient og bruker (K) ...
Tekniske sikkerhetsløsninger <ul><li>Autentisering på sikkerhetsnivå 4 for (K, I) </li></ul><ul><ul><li>mobilt utstyr </li...
Definisjon av autentisering på nivå 4 <ul><li>Med ” sikkerhetsnivå 4 ” menes i  Normen  to-faktor  autentisering  hvor en ...
Tilkobling til eksterne nettverk <ul><li>Skille mellom behandling av helseopplysninger og eksterne nettverk (K, I) </li></...
Sikkerhets- og tilbakekopiering <ul><li>Dokumenterte rutiner (K, I, T) </li></ul><ul><ul><li>Periodisk </li></ul></ul><ul>...
|
Utskrifter / faks (papirdokumenter) <ul><li>Rutiner for behandling av utskrifter (K) </li></ul><ul><ul><li>Sikring </li></...
Minnepinner og andre flyttbare lagringsmedier <ul><li>Merkes tydelig (K) </li></ul><ul><li>Skal krypteres (K, I) </li></ul...
SMS og e-post (K) <ul><li>Skal aldri brukes til helseopplysinger </li></ul><ul><li>Skal aldri inneholde 11-sifferet fødsel...
Fysisk sikring <ul><li>Sikring av server og kommunikasjonsutstyr  (K, I, T) </li></ul><ul><ul><li>Bemannet eller avlåst om...
Plassering av skjerm og skiver/faks (K) <ul><li>Plasser skjerm og skriver skjermet for innsyn og adgang </li></ul><ul><li>...
Hjemmekontor <ul><li>Arbeidsgivers utstyr (K, I, T) </li></ul><ul><li>Sikker teknisk løsning (K, I, T) </li></ul><ul><li>A...
Service på utstyr / avhending av utstyr <ul><li>Skal utstyr som inneholder helse- og personopplysninger fjernes fra kommun...
Kvalitet <ul><li>Helse- og personopplysninger skal  </li></ul><ul><ul><li>henføres til rett identifisert person (I, T) </l...
Andre krav i Normen <ul><li>Taushetsplikt (K) </li></ul><ul><li>Kontroll av tilgangsstyring ved sikkerhetsbrudd (K, I, T) ...
Upcoming SlideShare
Loading in …5
×

Instruktørkurs kommune krav til sikkerhet - v1.3

729 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
729
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset Praktiske opplysinger
  • Sett en felles plattform for instruktørene Konkretiser det typiske ved en virksomhet 27.04.11 Tema for presentasjonen |
  • Angi hvordan sårbarheten kan inntreffe Tyveri: Hva gjør du om virksomheten mister alle vitale data; timebøker, regnskapet, EPJ? Uautorisert Mangelfull tilgangsstyring – felles brukernavn og passord Journal endres av uautorisert Utskrifter på avveie - tyveri Tilgang til virksomhetens nettverk – via Internett, trådløst nettverk, osv Skjerm plassert som tillater innsyn Skriver plassert som tillater adgang og tyveri Lagringsmedia – husk å nevne minnepinne – lett å ta med lett å miste 27.04.11 Tema for presentasjonen |
  • Tilgangsstyring i journalsystemet Rolle; lege, sykepleier, systemadministrator Lese, skrive, endre, slette, makulere
  • Rutiner er tilstrekkelig sikring 27.04.11 Tema for presentasjonen |
  • 27.04.11 Tema for presentasjonen |
  • Instruktørkurs kommune krav til sikkerhet - v1.3

    1. 1. Instruktørkurs for kommuner Krav til informasjonssikkerhet (90 minutter) |
    2. 2. Innhold <ul><li>Mulige sårbarheter i kommunen </li></ul><ul><li>Krav til informasjonssikkerhetstiltak </li></ul><ul><ul><li>Tilgang til helse- og personopplysninger </li></ul></ul><ul><ul><li>Tekniske sikkerhetsløsninger og tilkobling til eksterne nettverk </li></ul></ul><ul><ul><li>Sikkerhets- og tilbakekopiering </li></ul></ul><ul><ul><li>Service på datautstyr </li></ul></ul><ul><ul><li>Utskrifter og faks </li></ul></ul><ul><ul><li>Minnepinne og lagringsmedier </li></ul></ul><ul><ul><li>SMS og e-post </li></ul></ul><ul><ul><li>Fysisk sikkerhet </li></ul></ul><ul><ul><li>Plassering av skjerm og skriver </li></ul></ul><ul><ul><li>Hjemmekontor </li></ul></ul>|
    3. 3. Behandling og informasjonssikkerhet <ul><li>Behandler helse- og personopplysninger om pasient og bruker –> konfidensialitet </li></ul><ul><li>Helsepersonell – plikt til å føre journal –> integritet </li></ul><ul><li>Forpliktelse ift pasienten/bruker – kontinuitet i behandling og omsorg –> tilgjengelighet </li></ul><ul><li>Innhold i journal –> kvalitet </li></ul>|
    4. 4. Eksempler på sårbarheter <ul><li>Journalen er ufullstendig </li></ul><ul><li>Uautorisert tilgang og innsyn i journal </li></ul><ul><li>Tyveri av datautstyr med journalopplysninger </li></ul><ul><li>Tap av lagringsmedia eller bærbar PC med journalopplysninger </li></ul><ul><li>Ødeleggelse av lagringsmedia eller datautstyr </li></ul><ul><li>Ny versjon av journalsystem installeres, men virker ikke </li></ul>|
    5. 5. Eksempler på sårbarheter forts. <ul><li>Trådløst nettverk er ikke sikret med autentisering på sikkerhetsnivå 4 </li></ul><ul><li>Avtale med tjenesteyter dekker ikke personvern og informasjonssikkerhet </li></ul><ul><li>SMS virker ikke eller er forsinket </li></ul><ul><li>Uheldig bruk av helse- og personopplysninger i tverrfaglige team </li></ul>|
    6. 6. Tilgang til helse- og personopplysninger <ul><li>Tilgang kun ift. tjenstlig behov ved behandling av pasient og bruker (K) </li></ul><ul><li>Tilgangsstyring i journalsystemet (K) </li></ul><ul><li>Unik autentisering av den enkelte bruker (rolle + brukernavn og passord) (K, I) </li></ul><ul><li>Autorisering av den enkelte bruker (krav til 5 års oppbevaring) (K, I) </li></ul><ul><li>Hendelsesregistrering av (K, I): </li></ul><ul><ul><li>Autorisert bruk </li></ul></ul><ul><ul><li>Forsøk på uautorisert bruk </li></ul></ul><ul><li>Årlig kontroll av tildelte autorisasjoner (K, I) </li></ul>|
    7. 7. Tekniske sikkerhetsløsninger <ul><li>Autentisering på sikkerhetsnivå 4 for (K, I) </li></ul><ul><ul><li>mobilt utstyr </li></ul></ul><ul><ul><li>hjemmekontor </li></ul></ul><ul><ul><li>trådløs kommunikasjon </li></ul></ul><ul><ul><li>avdelingskontor med linjer kommunen ikke har fysisk kontroll over </li></ul></ul><ul><li>Kryptering av ekstern kommunikasjon (K, I) </li></ul><ul><li>To uavhengige tekniske tiltak mot eksterne nettverk (K, I) </li></ul><ul><li>Hendelsesregistrering (krav til 2 års oppbevaring) (K, I) </li></ul><ul><ul><li>Operativsystem </li></ul></ul><ul><ul><li>Sikkerhetsbarrierer </li></ul></ul><ul><ul><li>Fagsystem </li></ul></ul><ul><li>Skille den enkelte kommune - interkommunalt samarbeide (K, I) </li></ul>|
    8. 8. Definisjon av autentisering på nivå 4 <ul><li>Med ” sikkerhetsnivå 4 ” menes i Normen to-faktor autentisering hvor en faktor er dynamisk basert på kvalifiserte sertifikater og ellers tilfredsstiller kravene til sikkerhetsnivå 4 i ”Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor”. </li></ul>|
    9. 9. Tilkobling til eksterne nettverk <ul><li>Skille mellom behandling av helseopplysninger og eksterne nettverk (K, I) </li></ul><ul><li>Teknisk løsning med sikkerhetsbarrierer (K, I) </li></ul><ul><ul><li>Hindre uautorisert tilgang </li></ul></ul><ul><ul><li>Antivirus </li></ul></ul><ul><ul><li>All kommunikasjon skal starte innenfra eget nettverk </li></ul></ul><ul><li>Løsningen fra Norsk helsenett er tilstrekkelig sikret (K, I) </li></ul><ul><li>? </li></ul>|
    10. 10. Sikkerhets- og tilbakekopiering <ul><li>Dokumenterte rutiner (K, I, T) </li></ul><ul><ul><li>Periodisk </li></ul></ul><ul><ul><li>Ansvar </li></ul></ul><ul><li>Sikkerhetskopi skal oppbevares (K, I, T) </li></ul><ul><ul><li>Avlåst </li></ul></ul><ul><ul><li>Brannsikkert </li></ul></ul><ul><ul><li>Adskilt fra driftsutstyret (server) </li></ul></ul><ul><li>Jevnlig test at sikkerhetskopiene (T) </li></ul><ul><ul><li>er korrekte </li></ul></ul><ul><ul><li>kan tilbakeføres </li></ul></ul><ul><li>Nødrutiner skal utarbeides – hva gjør kommunen om alle journaler er borte? (T) </li></ul><ul><li>Ekstern oppbevaring av sikkerhetskopi anbefales (T) </li></ul>|
    11. 11. |
    12. 12. Utskrifter / faks (papirdokumenter) <ul><li>Rutiner for behandling av utskrifter (K) </li></ul><ul><ul><li>Sikring </li></ul></ul><ul><ul><li>Arkivering </li></ul></ul><ul><ul><li>Makulering </li></ul></ul><ul><li>Bruk av faks for helse- og personopplysninger (K) </li></ul><ul><ul><li>Anonymiseres </li></ul></ul><ul><ul><li>Samtykke fra pasienten </li></ul></ul>|
    13. 13. Minnepinner og andre flyttbare lagringsmedier <ul><li>Merkes tydelig (K) </li></ul><ul><li>Skal krypteres (K, I) </li></ul><ul><li>Slettes forsvarlig – destrueres ved utrangering (K) </li></ul><ul><li>Oppbevares avlåst (K, I, T) </li></ul><ul><li>Sendes som rekommandert post (K, I, T) </li></ul>|
    14. 14. SMS og e-post (K) <ul><li>Skal aldri brukes til helseopplysinger </li></ul><ul><li>Skal aldri inneholde 11-sifferet fødselsnummer </li></ul><ul><li>Mottas helseopplysninger via SMS eller e-post svarer kommunen at ”Henvendelser med helseopplysninger blir ikke besvart. Bruk telefon eller fremmøte” </li></ul><ul><li>SMS krever samtykke fra pasient/bruker </li></ul><ul><li>Faktaark 42 – Bruk av SMS i pasientkontakt </li></ul>|
    15. 15. Fysisk sikring <ul><li>Sikring av server og kommunikasjonsutstyr (K, I, T) </li></ul><ul><ul><li>Bemannet eller avlåst område </li></ul></ul><ul><li>Sikring av PC (K, I, T) </li></ul><ul><li>Soneprinsippet ifm. resepsjoner, behandlingsrom, mv. (K, I, T) </li></ul><ul><li>Faktaark 17 – Fysisk sikring av områder og utstyr </li></ul>|
    16. 16. Plassering av skjerm og skiver/faks (K) <ul><li>Plasser skjerm og skriver skjermet for innsyn og adgang </li></ul><ul><li>Gjør en gjennomgang av kommunens lokaler </li></ul><ul><li>Viktig å ta hensyn til ved flytting </li></ul>|
    17. 17. Hjemmekontor <ul><li>Arbeidsgivers utstyr (K, I, T) </li></ul><ul><li>Sikker teknisk løsning (K, I, T) </li></ul><ul><li>Autentisering på sikkerhetsnivå 4 (K, I) </li></ul><ul><li>Fysisk sikring av utstyr (K, I, T) </li></ul><ul><li>Rutiner for bruk (K, I) </li></ul><ul><li>Utskrift er ikke å anbefale (K) </li></ul><ul><ul><li>Hvis utskrift; sikring, arkivering, makulering </li></ul></ul><ul><li>Hindre uautorisert tilgang og innsyn (K, I) </li></ul><ul><li>Kryptering av lagringsenhet på bærbart utstyr er tilstrekkelig (K, I) </li></ul>|
    18. 18. Service på utstyr / avhending av utstyr <ul><li>Skal utstyr som inneholder helse- og personopplysninger fjernes fra kommunen må det opprettes en databehandleravtale med serviceyter (K) </li></ul><ul><li>Service på stedet er å anbefale, men ikke et krav </li></ul><ul><li>Ved utrangering av utstyr/lagringsmedia skal lagringsmedia slettes forsvarlig eller destrueres (K) </li></ul>|
    19. 19. Kvalitet <ul><li>Helse- og personopplysninger skal </li></ul><ul><ul><li>henføres til rett identifisert person (I, T) </li></ul></ul><ul><ul><li>føres i henhold til kodeverket (bl.a. ICD-10) (I) </li></ul></ul><ul><ul><li>være fullstendige og ajourført i forhold til behandlingen av opplysningene (I) </li></ul></ul>|
    20. 20. Andre krav i Normen <ul><li>Taushetsplikt (K) </li></ul><ul><li>Kontroll av tilgangsstyring ved sikkerhetsbrudd (K, I, T) </li></ul><ul><li>Nødrettstilgang skal grunngis og følges opp som avvik (K, I) </li></ul>|

    ×