Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Transkript

1 Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13 Människors liv och hälsa samt landstingets samhällsviktiga verksamhet skall värnas. Ingen, eller inget, skall skadas av sådant som rimligen, och med skälig insats, kunnat förebyggas, eller förutsetts. Denna riktlinje syftar till att förtydliga och mera i detalj beskriva hur arbetet med informationssäkerhet utifrån gällande säkerhetspolicy ska bedrivas. SID 1(12)

2 Innehåll 1 Syfte Inledning och bakgrund Giltighet och tillämpning Grunder Definition Termer och begrepp Informationssäkerhet Målsättning Säkerhetskultur Medvetandegöra Utbildning Styrning Styrning av informationssäkerhet och informationssäkerhetsarbetet Övergripande styrdokument informationssäkerhet Regler för informationssäkerhet Behovsanpassat säkerhetsarbete Ansvar Intern kontroll Samordning och uppföljning Särskilda och uttalade roller och ansvar Landstingsdirektör Personuppgiftsombud Informationssäkerhetsansvarig IT-säkerhetsansvarig Chefer inom linjeorganisationen och ledning för landstingsägda bolag Systemägare i verksamheten Projektledare eller förvaltningsledare Informationsanvändare och medarbetare SID 2(12)

3 1 SYFTE 1.1 Inledning och bakgrund Att människan känner trygghet i Landstinget Sörmlands lokaler och verksamheter är grundläggande för allt kvalitets- och säkerhetsarbete. Hälso- och sjukvårdslagen beskriver vårdgivares uppdrag att ge god vård, och ett gott omhändertagande till befolkningen. I lagen kan utläsas att det ställs krav på att kvalitet i verksamhet skall utvecklas och säkras. Det framgår även att patientens behov av trygghet, integritet, kontinuitet och säkerhet skall värnas. Landstinget Sörmlands riktlinjer kring säkerhet har till syfte att beskriva en landstingsgemensam inriktning på trygghets- och säkerhetsarbetet för alla. Denna riktlinje har fokus på informationssäkerhet. Informationssäkerhet syftar till att värna kontinuiteten i verksamheten genom att skydda informationshanteringen mot en mängd yttre och inre hot. Medborgarna måste kunna förlita sig på att landstinget har ett tillräckligt skydd för medborgarens personliga information, som landstinget hanterar. Landstingets verksamheter är informationsintensiva och kräver god tillgänglighet och riktighet till informationen. För att tillmötesgå kravet från verksamheterna måste informationssäkerhetsarbetet ständigt utvecklas och förbättras. I Landstinget Sörmland menar vi att informationen är allt från den enskildes kunskaper till information på papper och i IT-system. 1.2 Giltighet och tillämpning Dessa riktlinjer är ett förtydligande till policyn och är styrande för hela landstinget och dess bolag. Riktlinjerna ska även tillämpas av de som arbetar på uppdrag av Landstinget Sörmland. Avvikelser gentemot detta får endast ske efter samråd med informationssäkerhetsansvarig och efter beslut från förvaltningschef eller liknande. 1.3 Grunder Informationssäkerhetsarbetet och denna riktlinje utgår från följande interna och externa krav: Landstinget Sörmlands vision, det öppna landstinget Landstingets perspektiv, medborgare, personal, process- och förnyelse, miljö och ekonomi Landstinget Sörmlands säkerhetspolicy SID 3(12)

4 Samhällets krav på hanteringen av offentlig information och personuppgifter och tillvaratagandet av den personliga integriteten, med tillhörande lagar, förordningar och föreskrifter Samhällsutvecklingen och den av landstinget antagna Strategi för esamhället utgiven av SKL och den nationella IT-strategin för Hälso- och sjukvården antagen av landstinget pekar på vikten av att arbeta med och utveckla informationssäkerheten Svensk standard SS-ISO/IEC Ledningssystem för informationssäkerhet SID 4(12)

5 2 DEFINITION D A T U M 2.1 Termer och begrepp Informationsbehandling; innebär att information har behandlats strukturerat eller som en del i en process, alternativt i något informationstekniskt system Konfidentialitet; skyddet mot att information kommer i orätta händer eller blir tillgängligt för personer som inte är behöriga att ta del av Riktighet; skydd mot felaktig inmatning och skydd mot olovlig förändring av informationsmängder Spårbarhet; möjligheten att spåra och dokumenterat presentera vad en användare eller administratör gör eller har gjort i system för informationsbehandling Tillgänglighet; möjligheten att komma åt rätt information vid rätt tid för den som behöver informationen för att lösa sina arbetsuppgifter 2.2 Informationssäkerhet Övergripande mål för informationssäkerhetsarbetet är att följa lagar, förordningar och föreskrifter samt ge tillräckligt skydd med avseende på konfidentialitet, riktighet, tillgänglighet och spårbarhet för att tillgodose verksamhetens kontinuitet, samt tillgodose medborgarens integritet och säkerhet. Arbetet med informationssäkerhet i landstinget kan beskrivas enligt modellen nedan. Figur 1: Modell för informationssäkerhet. Där god patientsäkerhet möjliggörs dels genom att informationssäkerheten är så hög så att informationen är riktig och tillgänglig i den utsträckning verksamheten behöver. Där medborgarens och patientens integritet skyddas mot hot genom obehörig spridning och användning av informationen. SID 5(12)

6 Informationssäkerhetsarbetet syftar till att tillmötesgå både patientsäkerhet och personlig integritet/medborgarens krav. Dessa krav ska uppfyllas genom administrativa/organisatoriska och tekniska säkerhetslösningar. Den viktigaste komponenten i informationssäkerhet är medarbetarnas kunskap och agerande. SID 6(12)

7 3 MÅLSÄTTNING 3.1 Säkerhetskultur En medveten och välutbildad personal i en miljö som är anpassad efter människan och verksamhetens risker och behov, skall utgöra norm för hur säkerhets- och trygghetsarbetet bedrivs. 3.2 Medvetandegöra Landstinget har e-kurser för att öka kunskaperna om informationshantering i landstinget och vilka krav som ställs på den enskilde medarbetaren, chefer och landstinget som organisation. e-kurser är tänkt som en första nivå som utgör grunden för förståelsen och möjliggör till ökade kunskaper och ökad förståelse för mera komplexa frågor inom informationssäkerhet. 3.3 Utbildning Vid införande eller förändringar av informationsbehandlingsresurser ska utbildningsbehovet tydligt beaktas. Det innebär att alla som kommer komma i kontakt med ett förändrat eller nyanskaffat IT-system ska ges tillräcklig utbildning. Utbildningen ska utformas med avseende på funktionella kunskaper för att kunna använda systemen på så sätt att riskerna för informationsbehandlingen kan minimeras. Utbildningarna ska se till att informationssäkerhetsaspekter och jurisdiska aspekter i förhållande till ett specifikt IT-systemet beaktas i utbildningsmaterialet. 3.4 Styrning Lagar, förordningar och föreskrifter utgör lägsta nivå i Landstinget Sörmlands säkerhets- och trygghetsarbete Styrning av informationssäkerhet och informationssäkerhetsarbetet Styrningen av informationssäkerheten och informationssäkerhetsarbetet ska omfatta förebyggande, upptäckande och återställande åtgärder och utgår från övergripande styrdokument. Dessa styrdokument utgör grunden för hur landstinget ska arbeta med informationssäkerhet. Styrande regler för informationssäkerhet ska i så stor utsträckning som möjligt införas i landstingets ledningssystem Övergripande styrdokument informationssäkerhet Övergripande ska styrande dokument för informationssäkerhet följa Svensk standard SS-ISO/IEC Ledningssystem för informationssäkerhet. Landstingsfullmäktige fastställer gällande säkerhetspolicys som anger Landstingets viljeinriktning och mål för säkerhets- och trygghetsarbetet SID 7(12)

8 som övergripande inriktning för informationssäkerhetsarbetet i hela Landstinget Sörmland. Dessa Riktlinjer för informationssäkerhet Landstinget Sörmland beslutas av landstingsstyrelsen och beskriver övergripande krav på skyddsåtgärder och ansvarsfördelning i hela landstinget. Bakgrunden till dessa krav är lagstiftning, förordningar, föreskrifter och landstingets säkerhetspolicy. Riktlinjerna syftar till att peka ut riktningen för hur informationssäkerhetsarbetet ska utformas och utvecklas för att medverka till ständiga förbättringar. 3.5 Regler för informationssäkerhet Inom ramen för Säkerhetspolicy Landstinget Sörmland och Riktlinjer för informationssäkerhet Landstinget Sörmland ska det finnas landstingsövergripande regler beslutade av Landstingsdirektör eller förvaltningschef som beskriver hur informationssäkerhetsarbetet bedrivs. Dessa regler kommer tillsammans med rutiner och instruktioner som beslutas av förvaltnings eller verksamhetschef utgöra det direkta informationssäkerhetsarbetet i landstinget. Följande regler ska finnas på övergripande nivå: Styrning av tillgångar; målet är att informationstillgångar ska värderas/klassificeras utifrån dess värde för verksamheten och tillsammans med interna/externa krav ligga till grund för vilka skyddsåtgärder som införs. Personal och säkerhet; målet är att medarbetare ska ha kunskap om kraven generellt i landstinget och specifikt för verksamheterna. Det ska finnas rutiner vid nyanställning, organisationsförändringar och avslut. Det ska finnas information och utbildning till medarbetare, inhyrd personal och avtalsparter. Fysisk och miljörelaterad säkerhet; tydligt ansvar för den fysiska säkerheten kring informationstillgångar. Fysisk säkerhet ska skydda mot obehörigt tillträde, åtkomst, skador och störningar. Kommunikation och drift; regler, rutiner och instruktioner för ansvar, drift och underhåll av IT-system åligger D-data att ta fram utifrån fastställda regelverk. Styrning av åtkomst till informationen; regler, rutiner och instruktioner för att möjliggöra åtkomst till information med bibehållet skydd för tillgångarna. Tekniska lösningar ska stödja och styra medarbetares åtkomst till informationstillgångar. Säkerhet vid utveckling, införande och förvaltning av IT-system; informationssäkerhetskraven ska beaktas vid utveckling och underhåll av informationsbehandling och IT-system. Regler, rutiner och instruktioner som visar på ansvar och styr säkerhetsaktiviteter vid anskaffning, utveckling/upphandling, driftsättning och avveckling av IT-system. SID 8(12)

9 Säkerhet i medicintekniska informationssystem; regler, rutiner och instruktioner för medicintekniska IT-system. Hantering av informationssäkerhetsincidenter; regler, rutiner och instruktioner som visar på ansvar och hur medarbetare och landstinget ska agera vid informationssäkerhetsincidenter och vid identifierade svagheter i informationssystem, på sådant sätt att korrigerande åtgärder kan vidtas. Kontinuitetsplanering (robusthet); regler, rutiner och instruktioner för ansvar och planering av kontinuitetsarbetet för att tillse verksamhetens förmåga att fortsatta verka trots störningar, eller om avbrott inträffar. Efterlevnad och kontroll; regler, rutiner och instruktioner som tydligt visar på ansvar och tillvägagångssätt för återkoppling, mätning, revision och granskning av informationssäkerheten i landstinget. Kontinuerlig återkoppling ska ske, dock minst en gång om året och rapporteras till landstingsdirektör/landstingsstyrelsen eller ansvarig nämnd. 3.6 Behovsanpassat säkerhetsarbete En ständig dialog om människans och verksamhetens behov av säkerhet och trygghet är en förutsättning och ett krav för att uppnå skälig nivå. Arbetet med informationssäkerhet ska rikta sig mot informationstillgångar som är skyddsvärda eller integritetskänsliga för individen. Grunden för god informationssäkerhet är att ansvar och roller fördelas. Informationsmängder eller IT-resurser ska ha utsedda ägare och informationssäkerheten ska utformas utifrån följande process. 1. Fastställ vad som är skyddsvärt genom informationsklassificering 2. Genomför en riskanalys 3. Besluta vilka skyddsåtgärder som ska införas 4. Implementera skyddsåtgärder 5. Följ upp, mät och värdera resultat SID 9(12)

10 4 ANSVAR Ansvaret för genomförande och tillsyn av informationssäkerheten följer det delegerade verksamhetsansvaret, det innebär att den som är ansvarig för en verksamhet även är ansvarig för genomförande och tillsyn av dess informationssäkerhet. 4.1 Intern kontroll Arbetet med informationssäkerhet är en ledningsfråga i Landstinget Sörmland. Informationssäkerhetsarbete måste för att få avsedd verkan vara en del i det ständiga kvalitetsarbetet genom kontroll av processer och arbetsmetoder gentemot verksamhetens behov och ändamål. Därför är det naturligt att se informationssäkerhetsarbetet som en del i verksamheternas arbete med intern styrning och kontroll. 4.2 Samordning och uppföljning Informationssäkerhetsansvarig i landstinget har till uppgift att samordna arbetet med informationssäkerhet i landstinget med IT-säkerhetsansvarig. Till sin hjälp har denne säkerhetsenheten samt en referensgrupp för informationssäkerhet. Informationssäkerhetsansvarig är ordförande i den styrande referensgruppen för informationssäkerhet. Referensgruppen syftar till att ge stöd och ledning i komplexa informationssäkerhetsfrågor. Uppföljning av informationssäkerhetsarbetet ska genomföras årligen, dels genom egenkontroller i respektive verksamhet dels med hjälp av säkerhetsdialogen, riktade undersökningar och mätningar. Denna uppföljning ska sammanställas av informationssäkerhetsansvarig och rapporteras till landstingets ledning. 4.3 Särskilda och uttalade roller och ansvar För att skydda informationen på rätt sätt krävs det att informationstillgångar har en ägare som utgör kravställare mot den som hanterar informationen och på den som tillhandahåller tekniken. För att nå till rätt nivå måste administrativa och tekniska åtgärder stödja eller kompensera för varandra. Landstingsstyrelsen är ägare av landstingets samlade informationstillgångar och ansvarar för att hanteringen av denna Ansvaret för informationen följer det delegerade verksamhetsansvaret Informationsklassificering ska fastställas av informationsägare eller systemägare. För informationshantering som är landstingsgemensam finns det anledning att anlägga ett landstingsgemensamt informationssäkerhetsperspektiv. SID 10(12)

11 4.3.1 Landstingsdirektör Landstingsdirektör har det övergripande ansvaret för verkställigheten av informationssäkerhetsarbetet och vidare ett kontrollansvar för att tillse att utförandet av informationssäkerhetsarbetet följer det delegerade verksamhetsansvaret Personuppgiftsombud En av landstingsjuristerna är personuppgiftsombud i landstinget och ansvarar för att förteckna den personuppgiftsbehandling som sker i landstinget samt utgöra tillsynsmyndighetens förlängda arm när det gäller personuppgiftshaneringen Informationssäkerhetsansvarig Informationssäkerhetsansvarig ansvarar för samordning och utveckling av informationssäkerhetsarbetet i landstinget. Det åligger denne att förvalta generella styrdokument för informationssäkerhet. Vara landstingets representant i kontakt med externa organisationer, myndigheter och medborgare i frågor som rör informationssäkerhet IT-säkerhetsansvarig IT-säkerhetsansvarig ansvarar för samordning och utveckling av att tillräcklig teknisk säkerhet möjliggörs i IT-system och enskilda datorer Chefer inom linjeorganisationen och ledning för landstingsägda bolag Chefen har ansvaret för att lokala förutsättningar för verksamheten beaktas i arbetet med informationssäkerhet och att informationen hanteras i enlighet med uppställda regelverk samt att tillräckliga resurser för arbetet med informationssäkerhet ges utifrån identifierat behov. Att arbetsmetoder som används bidrar till en god informationssäkerhet, samt att personal ges tillräcklig kunskap och utbildning. Författningar inom vård ställer särskilda krav på chefer för enhet/klinik eller liknande vad det gäller informationssäkerhet Systemägare i verksamheten Har att utifrån verksamheternas behov ställa krav gentemot drift eller tillverkare på informationssäkerhet i IT-system Projektledare eller förvaltningsledare Projektledare ansvarar för informationssäkerhet inom projekt eller uppdrag och att de IT-system och dess personal följer policy, riktlinjer och regler för informationssäkerhet. SID 11(12)

12 4.3.8 Informationsanvändare och medarbetare Informationsanvändare är de som i sitt arbete hanterar information eller data i Landstinget Sörmland. Alla informationsanvändare och medarbetare är skyldiga att följa policy, riktlinjer, regler, mm. för sin yrkesutövning. Brister, risker, funktionsfel eller informationssäkerhetsincidenter skall rapporteras till närmaste chef, IT-samordnare eller direkt till informationssäkerhetsansvarig/it-säkerhetsansvarig. SID 12(12)