Landstinget i Värmland. Förstudie IT-säkerhet Rapport. Offentlig sektor - kommuner och landsting KPMG AB Antal sidor: 10

Transkript

1 Förstudie IT-säkerhet Rapprt Offentlig sektr - kmmuner ch landsting KPMG AB Antal sidr: 10 Bilaga 1 Årsrapprt Infrmatinssäkerhet 2015

2 Innehåll 1. Sammanfattning 1 2. Bakgrund 2 3. Syfte 2 4. Revisinskriterier 2 5. Metd ch genmförande 2 6. Nteringar från förstudien Övergripande styrning Är styrningen ch uppföljningen utfrmad på ett ändamålsenligt sätt för att säkerställa en tillräcklig IT-säkerhet? Vilka relevanta åtgärder i frm av beslut ch riktlinjer har landstingsstyrelsen vidtagit för att ge förutsättningar för en tillräcklig ITsäkerhet? Hur säkerställer landstingsstyrelsen att IT-säkerhetsarbetet sker på avsett sätt? Om förstudien påvisar brister, vilka rekmmendatiner ges? 9 1

3 1. Sammanfattning Landstinget blir i sin verksamhet alltmer berende av lika infrmatinssystem. Infrmatinen måste skyddas mt behörig åtkmst samtidigt sm den ska finnas tillgänglig ch dessutm vara tillförlitlig. Detta ställer krav på ett väl fungerande IT-säkerhetsarbete. Vi har av revisrerna i landstinget i Värmland haft sm uppdrag att utföra den förstudie avseende IT-säkerhet. Efter dkumentstudier ch intervjuer vill vi särskilt framhålla att: Landstingsstyrelsen uppvisar medvetenhet m vad de i sina styrdkument benämner sm IT-säkerhet. Det gör de genm att framför allt säkerställa att en infrmatinssäkerhetsplicy finns antagen ch beslutad av landstingsfullmäktige. Styrdkumenten (plicydkument ch därtill hörande tillämpningsföreskrifter) behöver förtydligas, uppdateras ch kmpletteras för att frtsatt bilda verkningsfull grund för bland annat vad sm kan kallas IT-säkerhet. Det arbetet nterar vi har återupptagits mer aktivt än tidigare i ch med att en infrmatinssäkerhetsansvarig anställdes i september En väsentlig aktivitet i uppdateringen av styrdkumenten är att utföra analyser 1, få infrmatinen klassad ch tydliggöra för verksamhetens chefer att de har det yttersta praktiska ansvaret för infrmatinssäkerheten. Landstingsstyrelsen har att inse att detta även innebär återkmmande utbildning av ch/eller infrmatin till alla delar av verksamheten. Landstingsstyrelsen kan förbättra ch tydligt ange hur de vill få arbetet med infrmatinssäkerheten rapprterad till sig. I samband med detta kmmer det att underlätta för praktiskt ansvariga m styrelsen ckså anger på vilket sätt denna rapprtering kmmer att nå medbrgarna. Det finns mtiv för revisinen att frtsättningsvis på lika sätt mfatta infrmatinssäkerhet i kmmande granskningar. Vi lämnar förslag till sådana under avsnittet 6.5 nedan. 1 Verksamhetsanalys, riskanalys ch en GAP-analys. 1

4 2. Bakgrund 3. Syfte Revisrerna skriver: Landstinget blir i sin verksamhet alltmer berende av lika infrmatinssystem. Infrmatinen måste skyddas mt behörig åtkmst samtidigt sm den ska finnas tillgänglig ch dessutm vara tillförlitlig. Samtidigt ökar kmmunikatinen med mvärlden ch infrmatinssystemen blir alltmer integrerade. Tekniken ger möjligheter men innebär ckså risker. Detta ställer krav på ett balanserat risktagande ch ett väl fungerande IT-säkerhetsarbete. Vi har av revisrerna i (LiV) haft sm uppdrag att utföra den förstudie avseende IT-säkerhet sm landstingets revisrer aktualiserat i sin revisinsplan för Syftet med förstudien har varit att ge revisrerna underlag för att bedöma m det finns behv av ch förutsättningar för att genmföra en fördjupad granskning avseende landstingets arbete med att tillskapa ch upprätthålla en tillräcklig IT-säkerhet. Detta gör vi genm att svara på nedanstående frågr specificerade av revisinen. Hur säkerställer landstingsstyrelsen en adekvat övergripande styrning av IT-säkerheten? Baseras styrningen på en genmförd riskanalys? Är styrningen ch uppföljningen utfrmad på ett ändamålsenligt sätt för att säkerställa en tillräcklig IT-säkerhet? Vilka relevanta åtgärder i frm av beslut ch riktlinjer har landstingsstyrelsen vidtagit för att ge förutsättningar för en tillräcklig IT-säkerhet? Hur säkerställer landstingsstyrelsen att IT-säkerhetsarbetet sker på avsett sätt? Om förstudien påvisar brister, vilka rekmmendatiner ges? 4. Revisinskriterier Revisinskriterierna för denna förstudie har utgjrts av de styrande dkument (plicy, riktlinjer, anvisningar ch instruktiner) sm landstinget upprättat ch frmellt antagit vad gäller infrmatinssäkerhet ch då särskilt det sm styr IT-säkerheten. Vi har även bett m att få ta del av underlaget till de styrande dkumenten i frm av analyser (t ex risk- ch knsekvensanalyser) samt resultatet av utförda interna revisiner ch genmförda internkntrller. Våra bedömningar av styrande dkument vilar på standarderna i ISO/IEC serien. 5. Metd ch genmförande Förutm studier av van redvisade dkument har vi efter samråd med revisinskntret beretts tillfälle att intervjua infrmatinssäkerhetsansvarig, IT-säkerhetsansvarig, IT-chef ch en medarbetare med särskild kunskap m jurnalsystemet Csmic. Vid samrådet beslutades det även att inrikta förstudien mt följande tre mråden: 2

5 Infrmatinsklassning Grunden för IT-säkerhet. Har landstinget anammat det mderna hjälpmedlet KLASSA kstnadsfritt tillhandahållet av Sveriges kmmuner ch landsting? Hur är befintliga styrdkument för IT-säkerheten tillkmna? Anses de mderna, ändamålsenliga, kända ch efterlevda? Är verksamhets- ch/eller systemansvariga engagerade i IT-säkerhetsarbetet? Vilken utveckling ch utbildning sker inm IT-säkerhetsstyrningen/-arbetet? Omfattas IT-säkerheten av den interna kntrllen? Vilken rapprtering m status, utveckling, incidenter ch åtgärder avseende ITsäkerhet krävs av vilka ch i vilken mfattning ch med vilken peridicitet? Har det de senaste tlv månaderna inträffat allvarliga incidenter sm fått negativa återverkningar på patientsäkerheten ch/eller varit kstnadsdrivande vad gäller knsekvenser ch/eller åtgärder? Finns det en verksamhetsplanering ch en budget för IT-säkerhetsansvarig dennes arbete ch rganisatriskt vem är IT-säkerhetsansvarigs överrdnade? Integritetskänslig data Stödjer systemen (Csmic) ch användningen av det de behv av skydd sm infrmatinsklassningen indikerar? Förstudien är utförd av Lars Anteskg vid KPMG: s avdelningen för ffentlig verksamhet. 6. Nteringar från förstudien Iakttagelser ch kmmentarer redvisas i avsnitt nedan i den rdning revisinens frågr framgår av avsnittet syfte van. Våra nteringar utgår från det sammanhang sm LiV placerat IT-säkerhet i, underrdnat infrmatinssäkerheten. LiV skiljer sig i detta sammanhang från rådande standard 2 ch det sätt sm verksamheter i ffentlig likaväl sm privat sektr numer rganiserar sig. Illustratinen van till höger är hämtad från LiV: s riktlinjer för infrmatinssäkerhet (LK/121686). I avsnittet Landstingsstyrelsen står att läsa Landstingsstyrelsen ansvarar för att landstingets 2 Sex stycken från SS-ISO/IEC till SS-ISO/IEC

6 infrmatinssäkerhetsplicy ch riktlinjer för infrmatinssäkerheten utfrmas ch hålls aktuella. Landstingsstyrelsen har ansvaret för uppföljning av infrmatinssäkerheten ch har därmed det övergripande ansvaret för infrmatinssäkerheten inm landstinget. I den infrmatinssäkerhetsplicy (LK ) sm landstingsfullmäktige fastställer framgår av avsnitt 6 Ansvar att: Infrmatinssäkerhetsarbetet ska bedrivas i enlighet med patientdatalagen, ffentlighets- ch sekretesslagen, persnuppgiftlagen, Scialstyrelsens föreskrifter, svensk standard SS-ISO/IEC samt strategi ch handlingsplan för samhällets infrmatinssäkerhet från Myndigheten för samhällsskydd ch beredskap (MSB). Här ska nteras att IT-säkerhet sm begrepp eller uttryck inte används i standarderna ch De styrande dkumenten deklarerar strikt tlkat både ett fullständigt ch dubbelt budskap. Detta får effekt på det sätt vi besvarar revisinsfrågrna. Ambitinen har ändå varit att försöka svara på frågrna exakt så sm de frmulerats. SS-ISO/IEC är endast en översikt. För att undvika tydlighet ch därmed säkerhet för ansvariga ch användare ska det av en plicy framgå att standarden ska vara vad sm utrycks i SS- ISO/IEC serien 4. Om inte alla av de sex (6) standarderna ska gälla ska detta särskilt anges ch mtiveras. 6.1 Övergripande styrning Hur säkerställer landstingsstyrelsen en adekvat övergripande styrning av ITsäkerheten? Genm att dkumenterat redvisa medvetenhet m vikten av IT-säkerhet. Inte tydligt uttalat utan genm att IT-säkerhet i LiV är en underliggande del av infrmatinssäkerheten. Medvetenheten har knkretiserats i styrande dkument sm anger, förutm ansvar för att dessa hålls aktuella, samrdningsansvar, årligen fastställande av en handlingsplan ch att utse en persn sm ansvarar för landstingets infrmatinssäkerhetsarbete. Ansvaret har utmynnat i att det på IT-enheten sedan flera år tillbaks finns en tjänst sm IT-säkerhetsansvarig. Tjänsten har uppenbarligen funnits ch varit besatt avsett m det funnits en persn utsedd att ansvara för infrmatinssäkerhetsarbetet. IT-säkerhetsansvarig har av vad sm framgår av dkumentet IT-säkerhetsregelverk (LK/ ) ansvarat för detta sedan Dkumentet är detaljrikt ch har landstingsdirektören sm fast- 3 Plicyn ch den underliggande tillämpningsföreskriften har enligt dkumenten samma LK-nummer. 4 SS-ISO/IEC Ledningssystem för infrmatinssäkerhet Översikt ch terminlgi, SS-ISO/IEC Ledningssystem för infrmatinssäkerhet Krav, SS-ISO/IEC Riktlinjer för styrning av infrmatinssäkerhet, SS-ISO/IEC Vägledning för införande av ledningssystem för infrmatinssäkerhet, SS-ISO/IEC Vägledning för mätning av infrmatinssäkerhet ch SS-ISO/IEC Riskhantering för infrmatinssäkerhet. 5 LK-numret är lägre än det för infrmatinssäkerhetsdkumenten vilket indikerar att det började sin existens innan styrningen av infrmatinssäkerheten dkumenterades ch beslöts. 4

7 ställare. Dkumentet i sin nuvarande frm anges vara giltigt till ch med Våra intervjuer har haft sin utgångspunkt i vad sm framgår av dkumentet. Sammanfattade svar nedan ger vad vi bedömer upplysning m styrningens praktiska effekt. IT-säkerhetsregelverket hänvisar till övergripande regelverk för infrmatinssäkerhet. Vid intervjutillfället innebär det ett styrdkument vars giltighetstid har passerats. Enligt uppgift finns en muntlig överenskmmelse m att de äldre dkumenten gäller fram till att de övergripande hunnit uppdateras/revideras. Uppdatering/revidering uppges ska vara utförd innan halvårsskiftet Till IT-säkerhetsregelverket finns förtydliganden i frm av IT-säkerhetsinstruktiner. Vi har tagit del av exempel på sådana ch fått uppgiften att alla de sm nämns i regelverket inte är framställda. Infrmatinsklassning nämns ch avhandlas på flera ställen i dkumentet men ingen genmgripande sådan har efter fastställd metd genmförts för någt system. Vad vi förstår så ska SKL 6 : s verktyg KLASSA 7 vara det verktyg sm LiV hädanefter ska använda. Här har alltså styrningen hittills inte haft någn effekt. Infrmatinsklassning är grunden för allt säkerhetsarbete. Är den inte utförd kan ingen inklusive landstingsstyrelsen bedöma m faktisk IT-säkerhet (eller ingen) är den sm behövs ch ska efterlevas. Det trde stå utm allt tvivel att infrmatinsklassning måste bli högt pririterat sm åtgärd när de uppdaterade styrdkumenten inm krt ska fastställas ch kmmuniceras. Utvecklingen av IT-säkerhetsregelverket har vad vi erfar aldrig varit remitterat utanför ITenheten. Detta innebär att kärnverksamheten sm enligt dkumentet har det yttersta ansvaret för infrmatinssäkerheten (ch därmed IT-säkerheten) inte påverkat (ch därmed utsätter sig för risken att inte fullständigt förstå) innehållet. Det kan inte vara landstingsstyrelsens avsikt med sin styrning att ansvaret i linjen inte har kunskap att efterleva deras beslut. I ch med sin uppsiktsplikt skulle styrelsen ha kunnat initiera internkntrllmål för att säkerställa detta. Vi kan inte finna någt sm visar att infrmatinssäkerhet eller ITsäkerhet varit föremål för internkntrllåtgärder. IT-säkerhetsregelverket är inte mdernt utan hanterar det sm får bedömas sm väsentligt. På frågan m det kan bedömas sm väl känt uttrycker de intervjuade tvivel. Av svaren vi får är slutanvändaren generellt mer bekant med vad sm ska efterlevas än vad deras överrdnade är. Det för några år sedan påbörjade införandet av en förvaltningsmdell 8 för ITsystem (PM 3 ) är en möjlighet för att integrera infrmatinssäkerhet ch därmed IT-säkerhet i verksamheten. Även m det enligt uppgift går trögt med införandet har landstingsstyrelsen här ändå en redan beslutad åtgärd att använda för att även säkerställa styrning infrmatinssäkerheten. 6 Sveriges kmmuner ch landsting 7 Infrmatinsklassning är en metd sm hjälper verksamheten att välja rätt åtgärder sm skyddar infrmatinen. För att förenkla kmmuners, landstings ch reginers genmförande av infrmatinsklassningen har SKL tagit fram verktyget KLASSA. Verktyget kan användas både i det praktiska arbetet med förvaltning av enskilda verksamhetssystem ch i det systematiska kvalitetsarbetet på övergripande nivå. 8 Samverkan mellan verksamhet ch IT. 5

8 Det framgår tydligt av IT-säkerhetsregelverket att utbildning är nödvändigt ch därmed ska erbjudas ch utföras. Brtsett från utbildning av nyanställda så erbjuds inga återkmmande utbildningar med bäring på IT-säkerhet. Uppdragsutbildning förekmmer såtillvida att när någn i kärnverksamheten utifrån sina upplevda behv anser sig behöva utveckla sina kunskaper så stödjer IT-säkerhetsansvarig med utbildning. IT-säkerhetsansvarig uppger sig regelbundet marknadsföra sig för att stimulera verksamheten att skaffa nödvändiga ITsäkerhetskunskaper. Det finns ingen särskild verksamhetsplanering ch budget för IT-säkerhetsansvarig ch hens arbete. Arbetet utförs inm IT-enhetens verksamhet ch budget. IT-säkerhetsansvarig rapprterar inte specifikt någt till någn. Med andra rd det finns inga rapprter att ta del av. Däremt har infrmatinssäkerhetsansvarig 9 framställt två årsrapprter: Infrmatinssäkerhet 2014 (LK/152249) daterad ch mtsvarande för 2015 (LK/160769) daterad Av 2015 års sammanfattning framgår inget specifikt m IT-säkerhet. Under avsnittet Incidenter 2015 tas däremt ett antal ITsäkerhetsrelaterade sådana upp utan att de uttryckligen förknippas med IT-säkerhet eller bedöms sm str när alla incidenter sammanfattas. Av 10 särskilt angivna incidenter hänförs hälften till kmmunikatin. I övrigt meddelas m infrmatinssäkerhetsansvarigs påbörjade arbete. Två punkter tar upp riskanalyser vilket vi tidigare nterat är eftersatt. Vidare meddelas landstingsstyrelsen att Revisinsrapprt Granskning av infrmatinssäkerhet patientinfrmatin har str vikt i upplägget av infrmatinssäkerhetsarbetet på landstinget den närmaste tiden. Till sist nterar vi även två aktiviteter sm vi lämnar nteringar m under avsitt 6.4. De är: Aktiviteter för att möta EU-dataskyddsrefrm har påbörjats samt ett förtydligande av att LIS 10 ch prcesser kring infrmatinssäkerhet har startat. Årsrapprten för 2015 finns sm bilaga 1 till förstudien. Vi anser att det saknas infrmatin m ch kring denna frm av rapprtering. Det första är en tidplan eller en uppgift m var det går att få kunskap m vilka aktiviteter sm pririteras ch när de beräknas vara färdigställda. Det andra är en angivelse/förtydligande m att detta är det sätt, frm ch innehåll sm landstingsstyrelsens förväntar sig att få infrmatin m infrmatinssäkerhetsläget. I ett sådant förtydligande är det vår förhppning att även kunna få ta del av hur denna infrmatin hanteras av styrelsen ch vilken vidarerapprtering sm ska ske. I det sammanhanget är det lika viktigt att få veta m, hur ch när styrelsen lämnar respns ch synpunkter på rapprtens innehåll. Vad vi förstår av intervjuerna så har det inte lämnats någn respns på 2014 års rapprt Baseras styrningen på en genmförd riskanalys? Vi kan inte iaktta att det finns en dkumenterad övergripande riskanalys avseende IT-säkerheten i LiV. IT-säkerhetsansvarig har, vad vi förstår, i närtid aldrig blivit uppmanad att utföra en sådan. Ingen IT-säkerhetsansvarig har de senaste fem åren på eget initiativ utfört någn. Vad vi förstår av intervjuerna har verksamhetsansvariga (systemägare, infrmatinsägare, systemansvariga, förvaltare) inte heller efterfrågat någn. 9 Började sin anställning Ledningssystem för infrmatinssäkerhet 6

9 Riskanalys i avgränsad mfattning erfar vi förekmmer när IT-enheten deltar i införande ch ändring av system. Analyser uppges upprättas i den så kallade designfasen när enskilda system ska införas eller förändras. Skulle det histriskt ha upprättats en övergripande riskanalys bedöms den vara så daterad att den idag inte fyller sin funktin Integritetskänslig data Stödjer systemen (Csmic) ch användningen av det de behv av skydd sm infrmatinsklassningen indikerar? Ingen infrmatinsklassning enligt över tid beprövade metder är utförd under de år sm systemet varit i drift. Klassning av infrmatin inm systemet för att styra behörighetstilldelning är däremt genmförd. Skillnaden mellan dessa två klassificeringar är att pappersburen infrmatin uttagen ur systemet saknar angivelse m hur den ska ch får hanteras. Utskrifter från mderna system går fta att styra mt elektrniska dkument 11. Huruvida det är möjligt från Csmic var vid intervjutillfället klart. Utskrifter till elektrniska dkument, fax eller att text fångas från skärm är metder sm särskilt ska beaktas när infrmatinsklassning utförs. Enligt uppgift erbjuder inte lggfunktinen i Csmic möjligheten att identifiera m en användare vid ett enskilt tillfälle skrivit eller läst jurnaldata avseende en enskild patient. Denna brist försvårar effektiv kntrll för att mtverka så kallad skvallerläsning 12. Bristen gör det även svårt att identifiera legitimerad persnal sm i sin yrkesutövning inte antecknar i jurnalen. Detta är bara två exempel på kntrller sm rimligtvis regelbundet måste utföras för att säkerställa patientsäkerhet. De ni dkument relaterade direkt till Csmic sm bildat underlag till i 2014 års revisinsrapprt Granskning av infrmatinssäkerhet patientinfrmatin innehåller enligt uppgift ingen allmän eller särskild styrning av IT-säkerhet. Användningen av Csmic är enligt uppgift på lika sätt ch i varierande mfattning riskanalyserad över tid. Dck inte på ett sätt sm inneburit att det finns en dkumentatin att ta del av. Av bilaga 1 framgår att Csmic under 2015 drabbats av en incident (Jurnalanteckningar utan kppling till vårdkntakt i Csmic LK/142894). En mfattande handlings- ch åtgärdsplan utifrån analysen kmmer att överlämnas av analysteamet till landstingsdirektör, bjektsägare, IT-chef ch hälsch sjukvårdschef i den 2 Maj Vid intervjutillfället fanns inte uppgift m vad i rapprten sm eventuellt är relaterat till vad LiV betecknar sm IT-säkerhet. 6.2 Är styrningen ch uppföljningen utfrmad på ett ändamålsenligt sätt för att säkerställa en tillräcklig IT-säkerhet? Med ledning av vad sm framgår av avsnitt 6.1 så kan vare sig styrning eller uppföljning, ur kärnverksamhetens perspektiv, bedömas vara ändamålsenlig. Inm IT-enheten ch dess upplevda ansvar så blir bedömningen att det finns förmåga att säkerställa IT-säkerhet. Huruvida den är 11 Skapande av Pdf ch MS XPS Dcument Writer är två exempel. 12 Vad har vi för skydd mt skvallerläsning? Ett prgram m vården ch den persnliga integriteten från Kaliber Sveriges radi P1 sänt 19 april Prgrammet sm det frtfarande kan lyssnas på ch läsas m finns på Här ställs frågr sm: I det elektrniska samhället blir det allt lättare att vara nyfiken - så hur vanligt är det egentligen med skvallerläsning av patientjurnaler? Och finns det en knflikt mellan gd vård ch risken för spridning av känslig infrmatin? 7

10 tillräcklig är svårt att bedöma då det för närvarande inte finns en fullständig ch dkumenterad kravbild från den kärnverksamhet sm den ska stödja. 6.3 Vilka relevanta åtgärder i frm av beslut ch riktlinjer har landstingsstyrelsen vidtagit för att ge förutsättningar för en tillräcklig IT-säkerhet? Vi har via de intervjuade inte identifierat några ytterligare styrande dkument eller kmpenserande åtgärder till de brister vi redvisar van. Återigen är tillsättandet av en aktivt arbetande infrmatinssäkerhetsansvarig det beslut sm i närtid kmmer att påverka IT-säkerheten mest. Här skulle ett samtidigt förtydligande m ansvar till verksamhetsansvariga varit på sin plats. 6.4 Hur säkerställer landstingsstyrelsen att IT-säkerhetsarbetet sker på avsett sätt? Vi nterar sm nämnts van att någn särskild rapprtering m status på IT-säkerheten inte efterfrågats av landstingsstyrelsen. Någt lite finns i årsrapprten m infrmatinssäkerhet för Det är alltid en möjlighet att åstadkmma ett säkerställande via andra kanaler än de sm framgår av de styrande dkumenten. Om så har gjrts har den infrmatin inte resulterat i någn återrapprtering i årsredvisningarna för 2013 ch För 2014 redvisas inget m IT-säkerhet däremt nteras att revisinen under året granskat infrmatinssäkerheten av patientinfrmatin. I årsredvisningen för 2013 redgörs för en ny förvaltningsmdell för IT-stöd. Syftet med stödet anges bland annat vara att skapa tydliga rller, öka verksamhetsnyttan ch få en samlad bild av kstnaderna. Här hade det varit lämpligt att även ha redgjrt för vilken effekt införandet ska få på infrmatinssäkerheten ch därmed IT-säkerheten. I båda redvisningarna nämns patientsäkerhet fta men följaktligen aldrig tillsammans med infrmatins- eller IT-säkerhet. Att det inte görs kan ses sm en indikatin på att styrelsen inte inhämtat kunskap m att ett IT-säkerhetsarbete avseende hantering av den känsligaste av infrmatin utförts enligt vad sm beslutats. En säker utväxling av patientdata med andra verksamheters system förutsätter att ytterst ansvariga har tagit beslut m hur den persnliga integriteten ska förhålla sig till patientsäkerheten. I den balansgången blir det nödvändigt att ständigt utveckla kunskapen m infrmatinssäkerhetens betydelse samt styrningen av densamma. I december 2015 km man inm EU 13 överens m förslaget till ny EU-förrdning m dataskydd. Den nya förrdningen beräknas vara frmellt antagen innan halvårsskiftet Vid samma tid 2018 ska förrdningen träda i kraft ch ersätta den svenska persnuppgiftslagen. Detta förhållande bedömer vi innebär att en inte betydlig ansträngning måste göras på alla ansvarsnivåer inm infrmatinssäkerheten i LiV. Vi kan i denna förstudie inte ntera någn effekt av att landstingsstyrelsen tagit beslut för att förändra styrning ch kntrll av infrmatinssäkerheten på grund av detta. Ntera i sammanhanget att LiV: s IT-säkerhetsregelverk är giltigt till samma tidpunkt sm 13 EU-kmmissinen, Eurpaparlamentet ch EU:s ministerråd. 8

11 förrdningen börjar gälla. Inleds inte åtgärder snarast blir tiden krt för att åstadkmma anpassningar/förändringar av detta. LIS nämns vid intervjuerna ch i årsrapprteringen till landstingsstyrelsen sm den metd infrmatins- ch IT-säkerhetsansvarig har för avsikt att använda i sina uppdrag. Denna vällvliga ambitin behöver även understödjas av de styrande dkumenten. Detta inte minst eftersm LIS innebär att det tydligare än tidigare anger de verksamhetsansvariga sm ansvariga för infrmatinssäkerheten. Certifiering av LIS 14 sker mt standarden SS-ISO/IEC Liksm SS-EN ISO ch SS- EN ISO är detta en standard för ledningssystem. Om LiV praktiskt ska arbeta med ett LIS så ska det av styrdkumenten framgå, med mtivering, m målet är att en certifiering ska göras eller inte. 6.5 Om förstudien påvisar brister, vilka rekmmendatiner ges? Ovan redvisade brister mtiverar en eller flera fördjupade granskningar. Utvecklingen (mvärldens ch verksamhetens behv ch förväntningar, kmplexiteten i delad ch kmmunicerad infrmatin, förändrade externa regler, kärnverksamhetens utbildningsbehv, hög införandetakt av nya ch förändrade system) jämfört med identifierat nuläge mtiverar att infrmatinssäkerhet placeras högt på pririteringslistan i kmmande revisinsplaner. Vi bedömer att det nystartade arbetet med infrmatinssäkerhet ch därmed det sm tidigare benämnts sm IT-säkerhet kan bli föremål för en granskning. Vi anser att den ska inriktas mt kärnverksamhetens ch i förlängningen landstingsstyrelsens förmåga att förstå ch utöva sitt ansvar vad gäller infrmatinssäkerhet. Det är denna stra grupps enskilda likaväl sm gemensamma kunskaper sm kmmer att avgöra m LiV: s verksamhet kan bedömas utföras infrmatinssäkert. I detta sammanhang skall övergripande specialistresurser betraktas mer sm uppdragstagare än nrmgivare ch utförare. Med underlag av vad sm framkmmer av Csmics analysteams rapprt den 2 Maj 2016 till landstingsstyrelsen tillsammans med våra iakttagelser utesluter vi inte att det identifieras ett behv av att göra en substantiell granskning av infrmatinsinnehållet i Csmic. I en sådan granskning kmmer det även att framkmma vilken nytta verksamheten har av det nyanskaffade analysverktyget från LgPint. Vidare anser vi att kmmande fördjupningsgranskningar av kärnverksamheten fta skulle vinna på att i någn mfattning innehålla ett infrmatinssäkerhetsperspektiv. IT-stöd ch infrmatinshantering kmmer att så gtt sm alltid att vara väsentliga kmpnenter avsett vad sm granskas. Vi bedömer att effekterna av att dataskyddsförrdningen börjar gälla m drygt två år är ett exempel på en sådan granskning. 14 Ledningssystem för infrmatinssäkerhet. 15 ISO 9001 är en ledningssystemstandard för kvalitetsprcesserna i en rganisatin sm LiV. 16 ISO standard för ett miljöledningssystem. 9

12 Cybersäkerhet 17 sm begrepp är någt sm inte avhandlas i erhållna styrdkument. De senaste veckrnas angrepp på svensk media ch regerings intresse kmmer även att påverka LiV. I den takt cybersäkerhet integreras med infrmatinssäkerheten i LiV kmmer den rimligen att vara av intresse att granska. 17 Från SOU 2015:23 Cybersäkerhet mfattar, enligt den definitin EU använt i sin Cybersäkerhetsstrategi från 2013 de mekanismer ch åtgärder sm används för att skydda cyberdmänen, både civilt ch militärt, mt de ht sm är förknippade med eller sm kan skada dess ömsesidigt berende nätverk ch infrmatinsinfrastruktur. Cybersäkerhet strävar efter att bevara nätverkens ch infrastrukturens tillgänglighet ch integritet samt knfidentialiteten hs infrmatinen däri. 10