Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde

Storlek: px
Starta visningen från sidan:

Download "Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde"

Transkript

1 1 (12) Informationssäkerhet Policy och riktlinjer för Stockholms läns sjukvårdsområde Dokumentnamn Regnr Gäller fr.o.m Informationssäkerhet - riktlinjer för SLSO Handläggare Godkänd/signatur Ersätter tidigare dokument Maria Arenander, Mikael Ohrling Verksamhetsstöd

2 2 (12) Innehåll Introduktion till informationssäkerhet...3 Policy för informationssäkerhet för SLSO Informationssäkerhet i SLSO Informationssäkerhetsorganisation Riskhantering Hantering av tillgångar Patientinformation och patientens integritet Personalresurser och informationssäkerhet Fysisk säkerhet Styrning av kommunikation och drift Styrning av åtkomst till information Anskaffning, utveckling och underhåll av system Hantering av informationssäkerhetsincidenter Kontinuitetsplanering Uppföljning...12

3 3 (12) Introduktion till informationssäkerhet Denna Policy och dessa Riktlinjer för informationssäkerhet gäller för hantering av information inom Stockholms läns sjukvårdsområdes (SLSO). Riktlinjerna baseras på gällande lagar och föreskrifter, ISO-standarden för informationssäkerhet (ISO/IEC (ISO 27799:2008)) samt Stockholms läns landstings (SLL) överordnade informationssäkerhetspolicy och riktlinjer. Riktlinjerna beskriver hur informationssäkerhetsarbetet ska bedrivas inom SLSO och syftar bland annat till att konkretisera och precisera SLL:s övergripande regler gällande informationssäkerhet. Policy för informationssäkerhet för SLSO Sjukvårdsområdets verksamhet är beroende av information i olika former. SLSOs arbete är grundat på principer om öppenhet, respekt för patientens/brukarens självbestämmande och integritet och patientens fokus. Patienterna ska kunna lita på den information som SLSO hanterar har ett tillräckligt skydd och är korrekt. SLSO arbetar aktivt och målinriktat med informationssäkerhet. Målet är att säkerställa att information är åtkomlig för behöriga medarbetare (Sekretess) är tillförlitlig, korrekt och fullständig (Riktighet) är tillgänglig utifrån patientens och verksamhetens behov (Tillgänglighet) SLSOs information ska också vara spårbar dvs. att det ska gå att säkerställa vem som haft åtkomst till och använt information. SLSO ska säkerställa att gällande lagar och förordningar följs. Allt detta är viktiga förutsättningar som bidrar till att säkerställa förtroendet för SLSOs verksamheter. SLSO ska skydda information mot olika hot för att säkerställa verksamhetens kontinuitet. Ett säkerhetsmedvetande hos alla medarbetare är en förutsättning för en väl fungerande informationssäkerhet. Chefer ska säkerställa att alla medarbetare (inklusive konsulter, uppdragstagare, tillfälligt anställda och studenter) i SLSO har kunskap om och förstår sitt ansvar avseende informationssäkerheten. Målet för SLSOs informationssäkerhetsarbete är att skydda informationen inom verksamheten. Skyddet ska vara anpassat till skyddsvärde, risker och lagkrav. 1 Informationssäkerhet i SLSO SLSOs riktlinjer omfattar hela sjukvårdsområdets åtagande dvs. information, patienter, personal, lokaler, system och utrustning. Säkerhetsarbetet avser alla typer av information, oberoende av om informationen är i digital form, på papper eller om den är muntlig. Arbetssätt och säkerhetslösningar ska baseras på hur kritisk och känslig informationen i fråga är. Genom detta uppnås en effektiv informationssäkerhet, där skyddsnivån för informationen är anpassad till behovet.

4 4 (12) 2 Informationssäkerhetsorganisation SLSO är en del av Stockholms läns landsting och ska följa den informationssäkerhetspolicy som landstingsfullmäktige fastställer. Landstingsstyrelsen är ansvarig för att utforma och uppdatera landstingets informationssäkerhetspolicy med tillhörande riktlinjer samt att samordna informationssäkerhetsarbetet inom landstinget. I enlighet med SLLs riktlinjer är styrelsen ytterst ansvarig för informationssäkerheten i SLSO. Styrelsen är också personuppgiftsansvarig för SLSO. Styrelsen uppdrar åt sjukvårdsdirektören att årligen planlägga och löpande följa upp informationssäkerheten och i övrigt vidta de åtgärder som krävs för att uppnå och upprätthålla god informationssäkerhet. Sjukvårdsdirektören utser informationssäkerhetssamordnare inom SLSO, som ansvarar för det praktiska sammanhållande arbetet med informationssäkerhet. Verksamhets/resultatenhetschef inom SLSO ansvarar för informationssäkerheten inom sitt ansvarsområde. Chefen ska säkerställa att deras medarbetare får tillräcklig utbildning, håller sig till fastställda säkerhetsregler och agerar därefter. Verksamhets/resultatenhetschefen ska regelbundet följa upp och rapportera efterlevnaden inom sitt ansvarsområde. Alla medarbetare (inklusive konsulter, uppdragstagare, tillfälligt anställda och studenter) i SLSO, är ansvariga för att skydda SLSOs information i sitt dagliga arbete. Därför är det viktigt att alla känner till och följer riktlinjer och anvisningar avseende informationssäkerhet. I SLSO ska finnas ett personuppgiftsombud med ansvar för att säkerställa att personuppgifter behandlas i enlighet med Personuppgiftslagen. 3 Riskhantering Den information och de system som används inom SLSO är viktiga för att kunna bedriva verksamhet och måste skyddas. För att komma fram till hur skyddet ska utformas måste relaterade risker identifieras och analyseras. Riskanalyser ska vara en naturlig del av SLSOs arbetssätt och bidra till att patienterna får en bättre och säkrare vård. Riskanalyser gör det möjligt för informationsansvariga att identifiera huvudsakliga risker. Dessa bedöms utifrån hur stor sannolikheten är att hoten realiseras samt dess potentiella konsekvens. Resultaten av riskanalysen ska visa vilka skyddsåtgärder som ska vidtas för att säkerställa att riskerna hanteras och minimeras. Alla skyddsåtgärder ska dokumenteras så att det är möjligt att kontrollera efterlevnaden. Riskanalysen ska utgå ifrån sekretess-, riktighets- och tillgänglighetsaspekter för information.

5 5 (12) Det kan finnas anledning att genomföra mindre omfattande riskanalyser för mer avgränsade områden. Riskanalyser genomförs på flera olika nivåer; på övergripande SLSO-nivå, på verksamhetsnivå, på resultatenhetsnivå avseende specifika system eller informationstillgångar etc. Riskanalyser ska genomföras i samband med förändringar i verksamheterna, processerna och informationssystemen. För alla verksamhetskritiska system ska riskanalyser genomföras årligen. I samband med detta ska det även bedömning göras om det finns nya interna eller juridiska krav som påverkar systemet. Uppföljning ska ske av att identifierade risker åtgärdas alternativt hanteras. 4 Hantering av tillgångar Inom SLSO finns många viktiga informationstillgångar som är nödvändiga för den vård som bedrivs, t.ex. vårdsystem och patientinformation. Dessa tillgångar måste skyddas så att de finns tillgängliga när de behövs i vården av patienten. En förteckning över alla viktiga informationstillgångar med utsedda ägare ska finnas inom SLSO. Alla viktiga informationstillgångar ska informationsklassificeras enligt SLLs modell. Klassificeringen måste omprövas regelbundet, som en naturlig del i det kontinuerliga säkerhetsarbetet. En anpassning av denna modell har tagits fram för SLSO Informationstillgångar inom SLSO ska märkas enligt klassificeringssystemet. Detta gäller för information i såväl fysisk som elektronisk form. Hantering av olika typer av information ska ske enligt följande: Patientuppgifter Patientuppgifter ska hanteras enligt Patientdatalagen (2008:355) samt Socialstyrelsens föreskrifter (2008:14). Personuppgifter Hantering av personuppgifter ska ske i enlighet med Personuppgiftslagen (1998:204) och Patientdatalagen (2008:355) i de fall då personuppgifterna även är patientuppgifter. Vid insamlandet av personuppgifter ska den enskilde informeras om sina rättigheter. Skyddade personuppgifter Skyddade personuppgifter beslutas av skatteverket och innebär att personen lever under hot och måste skyddas. Utlämnande av information I rutiner för utlämnande av information ska det framgå vem eller vilka som har rätt att fatta beslut kring utlämnande. Före utlämnande ska en sekretessprövning göras. Extern informationshantering Då SLSOs information hanteras av tredjepart (t.ex. externa leverantörer) ska kraven avseende informationssäkerhet specificeras i avtal och avtal om personuppgiftsbiträde

6 6 (12) Extern åtkomst till information Vid tillgång till SLSOs information från miljöer utanför sjukvårdsområdet ska specifika krav ställas på autentisering och kryptering. 5 Patient/brukarinformation och integritet För all information om patienten gäller hög sekretessklass och patientens integritet ska alltid beaktas och skyddas enlig gällande regelverk. Detta gäller alltid oberoende av situation och plats; i samtal med arbetskamrater, i väntrummet, vid köksbordet, sociala medier etc.. Patientens delaktighet när det gäller hanteringen av sin information ska stödjas. Patientens/brukarens delaktighet Patientdatalagen och andra lagar ger patienten möjlighet att medverka i informationssäkerhetsarbetet. Patienten/brukaren kan välja att vara med i sammanhållen journalföring spärra sin journalinformation ge samtycke till åtkomst av information över vårdgivargränser kontrollera vilka som tagit del av informationen ge sitt samtycke till deltagande i olika register ge synpunkter på hur informationen bör hanteras. Synpunkterna ska alltid beaktas men informationssäkerheten får aldrig åsidosättas. För patient/brukare under 18 år med tillräcklig mognadsgrad gäller samma regler. För övriga barn gäller inte detta. Vårdnadshavare kan inte besluta i frågor som rör barnets journal dvs har inte rätt att spärra journalinformation eller neka till åtkomst till sitt barns journal. 6 Personalresurser och informationssäkerhet Alla medarbetare (inklusive konsulter, uppdragstagare, tillfälligt anställda och studenter) måste förstå sitt ansvar att skydda information och patientens/brukarens integritet. Därför ska alla medarbetare inom SLSOs verksamheter utbildas och fortlöpande informeras om informationssäkerhet. SLSO ska genom riktlinjer, anvisningar, rutiner och checklistor tydliggöra ansvaret för hanteringen av information om SLSOs medarbetare. För samtliga medarbetare gäller att kunskap om och tillämpningen av SLSOs riktlinjer krävs för att hantera informationssäkerheten på ett bra och effektivt sätt. Chefen ska säkerställa att alla medarbetare i SLSO förstår sitt ansvar avseende informationssäkerheten. Säkerhetsansvaret ska tydliggöras vid anställning.

7 7 (12) Alla medarbetare i sjukvårdsområdet ska ha den kunskap i informationssäkerhet som krävs för att kunna utföra sina arbetsuppgifter i enlighet med riktlinjerna och dess bilagor. Ansvaret för detta ligger på respektive chef. Utbildning och fortbildning inom informationssäkerhet ska ske kontinuerligt. Följs inte gällande säkerhetsregler kan det medföra arbetsrättsliga åtgärder/motsvarande för medarbetaren. Misstanke om brott ska polisanmälas. 7 Fysisk säkerhet All information som hanteras inom SLSO måste skyddas fysiskt, oavsett medium. Enbart de personer som ska ha tillträde till våra lokaler ska få det. Nivån på det fysiska skyddet ska baseras på genomförda riskanalyser och stå i proportion till identifierade risker. Känslig information ska aldrig lämnas oskyddad. Utrustning som är känslig eller behandlar känslig information ska placeras så att möjligheten för obehöriga till tillträde minimeras och utformning av lämpliga skyddsåtgärder underlättas. SLSOs verksamhetskritiska system och informationstillgångar (nivå 2 och högre) ska inrymmas i säkra utrymmen med lämpliga tillträdeskontroller dit endast behörig personal ges tillträde. Med säkra utrymmen avses utrymmen som är speciellt utformade för att uppfylla högre krav på skaloch brandskydd samt tillgång till kontinuerlig försörjning av el och kyla. För säkra utrymmen ska, utifrån behov följande säkerhetsåtgärder vara uppfyllda: Tillträdeskontroller ska innefatta larm, bemannade receptioner och/eller datoriserade passagekontrollsystem med individuella passerkort och koder. Brandskydd så som brandlarm och anpassad släckutrustning ska finnas. Brännbart material får inte förvaras i serverhallar eller motsvarande. Klimatanläggning ska finnas för att kompensera för den överskottsvärme som utrustningen alstrar. Elektronisk utrustning ska skyddas mot elavbrott och andra störningar. Strömförsörjning av verksamhetskritisk utrustning och system ska vara avbrottsfri och ansluten till reservkraft. Tester ska regelbundet genomföras för att säkerställa att övergången till reservkraft fungerar. Skydd av lagringsmedia Det ska finnas regler och skyddsåtgärder för att motverka risker i samband med hantering av information utanför SLSOs egna lokaler. Detta innefattar bland annat bärbara datorer, mobiltelefoner, USB-minnen, pappersdokument etcetera.

8 8 (12) Lagringsmedia som innehåller känslig information eller licensierade program ska fysiskt förstöras eller skrivas över på ett säkert sätt i samband med avveckling eller återanvändning. Det är inte tillräckligt att använda standardfunktioner för att radera data. 8 Styrning av kommunikation och drift SLSOs verksamheter är beroende av data- och telesystem och den information som hanteras i dessa system. Kommunikation När information överförs genom data- eller telekommunikation, uppstår risker för avlyssning och förändring av den överförda informationen. Respektive systemägare/objektägare ansvarar för att analysera behovet av nödvändiga skyddsåtgärder relaterat till riskerna samt att dokumentera dessa på ett lämpligt sätt. Respektive systemägare/objektägare som nyttjar nätverken ska definiera kraven på tillgänglighet och skyddsåtgärder vilka ska ligga till grund för val av nätverksinfrastruktur. Patientinformation får aldrig överföras på ett sådant sätt att obehöriga kan ta del av informationen. Detta innebär att överföring via öppna nät ska vara krypterade om inte SLSOs anvisningar medger undantag. All utrustning som kopplas till sjukvårdsområdets och landstingets nät ska vara konfigurerade enligt definierad standard och det ska finnas instruktioner för hantering av sådan utrustning. Drift Produktions-, utvecklings-, test-, och utbildningsmiljöer ska vara separerade för system i klass 2 eller högre. Om det vid genomförd riskanalys bedömts inte vara nödvändigt kan undantag göras. Säkerhetsreglerna för produktionsmiljöerna ska i relevanta delar även gälla för övriga miljöer. Systemägaren/objektägaren ansvarar för att kravställa avseende driftsäkerheten. Följande områden omfattas: säkerhetsuppdateringar, förändringshantering, kapacitetsplanering, skydd mot skadlig kod, säkerhetskopiering och återläsning av data samt systemdokumentation. Då SLSO köper tjänster eller förlägger drift av IT-system utanför SLSOs verksamhet ska samma regler avseende informationssäkerhet gälla som när driften hanteras i sjukvårdsområdets regi. Kraven på informationssäkerhet ska definieras baserat på en riskanalys och regleras i avtalet mellan parterna. Systemägaren/objektägaren ansvarar för kravställning och uppföljning avseende det specifika systemet men samordning bör ske då drift av flera system sker hos samma leverantör.

9 9 (12) 9 Styrning av åtkomst till information Åtkomst till informationen ska endast ges till de medarbetare som har ett faktiskt behov av informationen för att patienten/brukaren ska få en god och säker vård. Rätt personer ska ha tillgång till rätt information vid rätt tidpunkt, utan att patientens/brukarens integritet kränks. SLSOs informationssystem används av olika kategorier av medarbetare. Det ska finnas metoder för att kontrollera åtkomsten till information, system, nätverk och tjänster. Alla medarbetare i SLSO är ansvariga för att skydda SLSOs information i sitt dagliga arbete. Åtkomst till information inom sjukvårdsområdets verksamheter ska kontrolleras genom administrativa och tekniska skyddsåtgärder. Åtkomstadministration För att säkerställa att endast behöriga informationsanvändare har tillgång till viss information ska åtkomsträttigheten godkännas av ansvarig person innan den delas ut. Åtkomsten ska vid varje tillfälle avgränsas till användarens aktuella behov utifrån arbetsuppgifter och organisatorisk tillhörighet. Rutiner ska fastställas för hur beställning, registrering, förändring och avregistrering av åtkomsträttigheter ska genomföras. Granskning av tilldelade åtkomsträttigheter ska genomföras regelbundet och åtgärder vidtas för att säkerställa att endast behöriga användare har åtkomst till respektive informationstillgång/system. Loggning och övervakning För att säkerställa att alla användaraktiviteter är spårbara ska loggning ske i alla system innehållande patientuppgifter och i alla verksamhetskritiska system. Åtkomstkontroll Alla användare måste identifieras och verifieras genom användarnamn och lösenord innan de kan få åtkomst till informationssystem. All åtkomst till patientinformation ska kräva stark autentisering. Alla användare ska ha en unik identitet och alla konton ska vara spårbara till en fysisk person. Respektive chef ansvarar för att åtkomstkontroll sker. 10 Anskaffning, utveckling och underhåll av system SLSOs säkerhetskrav ska finnas med redan vid planeringen av inköp eller utveckling av system för att säkerställa att information hanteras på ett säkert sätt. När system ska införas, upphandlas eller utvecklas ska informationssäkerhet (sekretess, riktighet, spårbarhet och tillgänglighet) beaktas. Det kräver ett strukturerat tillvägagångssätt och att kraven avseende informationssäkerhet är tydligt definierade.

10 10 (12) Fullständig kunskap om verksamhetens krav och informationssäkerhetskrav är nödvändig om system ska kunna uppfylla dess avsedda syfte. Därför ska dessa krav och legala krav formellt fastställas och behandlas som en del av införande/anskaffningsprocessen. Anskaffning/införande av system eller systemutveckling ska föregås av en riskanalys, vara godkända och beakta Myndighetskrav (lagar och författningar) Patientsäkerhet och patientnytta Informationssäkerhet Verksamhetsnytta En instruktion och ett väldefinierat arbetssätt krävs när nya system eller utvecklade systemkomponenter implementeras från utvecklings- och testmiljön in i produktionsmiljön. Endast formellt accepterade och godkända system eller systemkomponenter ska implementeras i produktionsmiljön. För att upprätthålla en säker och tillförlitlig tillgång till information ska administration, drift och underhåll av IT-system ske på ett strukturerat och systematiskt sätt. Detta enligt en formaliserad och antagen modell för systemförvaltning. Systemägaren/objektägaren för respektive IT-system ansvarar för att kravställa avseende systemförvaltningen. 11 Hantering av informationssäkerhetsincidenter Informationssäkerhetsincidenter är risker och avvikelser som påverkar eller kan komma att påverka säkerheten negativt. En incident kan antingen bero på ett avsiktligt eller ett oavsiktligt agerande som innebär att informationssäkerheten hotas genom t.ex. brott mot sekretessen, felaktighet i information, driftavbrott eller brist på tillgång till information. För att säkerställa att eventuella informationssäkerhetsincidenter får minimal påverkan på verksamheten ska dessa rapporteras och handläggas som avvikelser. Avvikelsehanteringsprocessen ska säkerställa att avvikelser och svagheter relaterade till informationshantering blir hanterade på ett sådant sätt att lämpliga åtgärder kan vidtas på kort och lång sikt. Alla medarbetare ska veta vad som räknas som en avvikelse samt var och hur dessa rapporteras. Rapporterade avvikelser ska klassas mot en definierad skala utifrån potentiell påverkan på information, patienter/brukare och verksamheten. 12 Kontinuitetsplanering Kontinuitetsplanering ska säkerställa verksamhetens kontinuitet; den robusta hälso- och sjukvårdsverksamheten. Det innebär att verksamheten så långt möjligt ska kunna fortsätta även om t.ex. IT-system slås ut, en strömkabel grävs av eller byggnader brinner ned.

11 11 (12) Kontinuitetsplaneringens mål Målet med kontinuitetsplanering för SLSOs verksamheter är att säkerställa att eventuella avbrott i verksamhetsstödet inte får konsekvenser för liv och hälsa för enskilda individer. Kritiska verksamheter ska kunna upprätthållas, på rimlig nivå, vid olika typer av katastrofsituationer, störningar och oplanerade avbrott. De delar av kontinuitetsplaneringen som berör katastrof- och beredskapssituationer ingå i sjukvårdsområdets övriga katastrofplanering. Kontinuitetsplaneringens omfattning När avbrott inträffar ska det finnas fastställda reservrutiner. Rutinerna kan vara såväl manuella som IT-baserade. För att uppnå en god kontinuitet krävs en kombination av förebyggande och återställande skydd. När kontinuitetsplaner tas fram identifieras åtgärder som minskar risken för att avbrott ska inträffa. I verksamheter som är känsliga för avbrott bör mer fokus läggas på förebyggande åtgärder. Det är viktigt att fastställa rätt nivå för varje verksamhet, d v s hur länge ett eventuellt stillestånd accepteras eller om verksamheten endast behöver fungera delvis under en tidsperiod. För att hitta rätt nivå måste riskanalyser genomföras och juridiska krav samt verksamhetens behov av tillgång till information dokumenteras. Kontinuitetsplanerna ska innefatta reservrutiner och övriga åtgärder som i förväg kan vidtas för att säkerställa verksamhetens kontinuitet. Ansvar för kontinuitetsplanering Sjukvårdshusdirektören är ansvarig för den övergripande kontinuitetsplaneringen. Verksamhets/resultatenhetschefen har det övergripande ansvaret för att säkerställa att det genomförs analyser av verksamhetsprocessens viktiga delkomponenter samt att det skapas reservrutiner för att bedriva verksamheten vid en eventuell incident, vilket ska beskrivas i en kontinuitetsplan. Planen ska också innehålla information om åtgärder för återgång till normal drift. Systemägaren/objektägaren är ansvarig för att säkerställa att det finns en etablerad riskutvärdering och riskhantering på plats för systemet och att en avbrottsplan utvecklas och underhålls för nödvändiga delar. Anställda ska vara medvetna om det ansvar de har i den befintliga kontinuitetsplaneringen inom sina respektive områden. Avdelningschef IT ansvarar för att kravställa att det upprättas avbrottsplaner avseende infrastrukturen och dess tjänster. Dessa ska möta verksamhetens definierade krav på återstartstider. CIO ansvarar för att ge stöd för implementering av informationssäkerhet i vårdstödjande system och åtgärdande av störningar i de IT-system som stödjer vårdverksamheten. Om verksamheten är beroende av en annan organisation som t.ex. en IT-leverantör måste även den vara involverad i arbetet. Test och underhåll Verksamhetens kontinuitetsplaner ska underhållas och testas regelbundet, minst årligen, för att säkerställa att de fungerar, är ändamålsenliga och fortfarande speglar verkligheten. Dessa test fungerar även som utbildnings- och kommunikationsinsats för berörda funktioner och roller.

12 12 (12) 13 Uppföljning Uppföljning sker inom ramen för SLSOs internrevision/internkontroll. Alla verksamhets/resultatenhetschefer ansvarar för att säkerställa att verksamheten sköts i enlighet med SLSOs riktlinjer. Informationssäkerheten gällande viktiga verksamhetsprocesser, system och IT-miljön bör regelbundet genomgå oberoende granskningar. Resultatet av granskningar ska avrapporteras till sjukvårdsdirektören. Det ska finnas en tydlig process för att hantera eventuella avvikelser. Utformningen, driften och användningen av informationssystem kan falla under lagstadgade, reglerande och avtalsenliga säkerhetskrav. Det åligger varje verksamhetsansvarig att säkerställa att gällande lagar, föreskrifter och regler följs i verksamheten. Sjukvårdområdets informationssäkerhetssamordnare är ansvarig för förvaltning av dessa riktlinjer. Granskning och uppdateringar ska genomföras årligen för att säkerställa att anvisningarna omfattar nya risker och hot samt att föreslagna säkerhetslösningar fortfarande är tillräckliga och relevanta. Informationssäkerhetssamordnaren ska årligen sammanställa en rapport om arbetet med informationssäkerheten till sjukvårdsdirektören.

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor)

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet (utan bilagor) Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Version 2.0 Gäller från och med Revisionshistorik Versionsnummer Datum

Läs mer

Hänvisningar till dokumentet Karolinska Riktlinjer för informationssäkerhet

Hänvisningar till dokumentet Karolinska Riktlinjer för informationssäkerhet Hänvisningar till dokumentet Karolinska Riktlinjer för informationssäkerhet Aktuella avsnitt Avsnitt 1 Avsnitt 2 Avsnitt 3 Avsnitt 4 Avsnitt 6 Avsnitt 7 Avsnitt 8 Avsnitt 12 Introduktion till informationssäkerhet

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet

Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet Riktlinjer och regler för informationssäkerhet vid Karolinska Institutet Dnr 6255-2012-060 (ersätter Riktlinjer för informationssäkerhet Dnr 2691/11-010) Gäller från och med 2013-01-01 Beslut Dnr: 6255/12-060

Läs mer

Informationssäkerhet

Informationssäkerhet Informationssäkerhet Information och anvisningar för medarbetare i Stockholms läns sjukvårdsområde Informationssäkerhet 3 Informationssäkerhet inom Stockholms läns sjukvårdsområde (SLSO) Med informationssäkerhet

Läs mer

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen Hälso- och sjukvårdsförvaltningen TJÄNSTEUTLÅTANDE 2016-03-03 1 (3) HSN 1506-0806 Handläggare: Bill Heiding, Carina Landberg Hälso- och sjukvårdsnämnden 2016-04-19, p 11 Lokal informationssäkerhetspolicy

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Policy för informationssäkerhet

Policy för informationssäkerhet .. - T C Q o,.. e Policy för informationssäkerhet Landstingsdirektörens stab augusti 2015 CJiflt LANDSTINGET BLEKINGE Innehållsförteckning Inledning och bakgrund... 3 Syfte... 3 Mål... 3 Genomförande...

Läs mer

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar Handläggare: Christina Hegefjärd 1 (1) PAN 2015-12-01 P 6 TJÄNSTEUTLÅTANDE 2015-12-01 PaN A1510-0031257 PaN A1510-0031157 PaN A1510-0031057 Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet Riktlinjer Handläggare Vårt diarienummer Datum Sidan 1(8) Jonas Åström KS2016/222 VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL Sandvikens kommuns Riktlinjer för informationssäkerhet

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Observera att denna konsoliderade version är en sammanställning, och att den tryckta författningen är den officiellt giltiga. En konsoliderad version är en fulltextversion där alla ändringar har införts

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2006-09-07 Informationssäkerhetspolicy Antagen av kommunfullmäktige 2006-09-28, 140 Innehåll 1 INLEDNING...3 2 MÅL FÖR INFORMATIONSSÄKERHETSARBETET...4 2.1 LÅNGSIKTIGA MÅL...4 2.2 ÅRLIGA MÅL...4 3 ORGANISATION,

Läs mer

Informationssäkerhetspolicy IT (0:0:0)

Informationssäkerhetspolicy IT (0:0:0) Informationssäkerhetspolicy IT (0:0:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr:0036/13 Kommunalförbundet ITSAM, Storgatan 36A, 590 36

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Bilaga 3 Säkerhet Dnr: /

Bilaga 3 Säkerhet Dnr: / stockholm.se Utbildningsförvaltningen Avdelningen för utveckling och samordning Hantverkargatan 2F 104 22 Stockholm Växel 08-508 33 000 www.stockholm.se Innehåll 1 Inledning 3 2 Krav på säkerhetsarbete

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Bilaga 1 - Handledning i informationssäkerhet

Bilaga 1 - Handledning i informationssäkerhet Bilaga 1 - Handledning i informationssäkerhet Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Bilagor Bilaga 1. Handledning i informationssäkerhet

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet 2008:490 kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning Program för informationssäkerhet Fastställt av kommunfullmäktige 2008-10-02 302 komplettering gjord

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

POLICY INFORMATIONSSÄKERHET

POLICY INFORMATIONSSÄKERHET POLICY INFORMATIONSSÄKERHET Fastställd av Kommunfullmäktige 2016-03-21 56 Bo Jensen Säkerhetsstrateg Policy - Informationssäkerhet Denna policy innehåller Haninge kommuns viljeinriktning och övergripande

Läs mer

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation

Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Sid 1(5) Tillämpningsanvisningar för tillgång till och utlämnande av patientinformation Inledning Hantering av patientinformation inom Region Skåne ska ske utifrån patientdatalagen (SFS 2008:355), Socialstyrelsens

Läs mer

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy. Linköpings kommun Informationssäkerhetspolicy Linköpings kommun Antaget av: Kommunfullmäktige Status: Antaget 2016-08-30 291 Giltighetstid: Tillsvidare Linköpings kommun linkoping.se Sekretess: Öppen Diarienummer: Ks 2016-481

Läs mer

Informationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhet - Informationssäkerhetspolicy Informationssäkerhetspolicy 2008-08-29 Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål...

Läs mer

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och beredskap föreskriver. I dokumentet kommer fortsättningsvis

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut

Läs mer

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige 2009-02-04, 14 Dnr ks 09/20. Innehållsförteckning ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) INFORMATIONSSÄKERHETSPOLICY Innehållsförteckning Sida 1.1 Informationssäkerhet 1 1.2 Skyddsområden 1 1.3 Övergripande mål 2 1.4 Årliga mål 2 1.5 Organisation

Läs mer

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem SOCIALFÖRVALTNINGEN Annika Nilsson, 0554-191 56 annika.nilsson@kil.se 2014-05-07 Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem INLEDNING Patientdatalagen

Läs mer

Säkerhet vid behandling av personuppgifter i forskning

Säkerhet vid behandling av personuppgifter i forskning Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se Först några ord om informationssäkerhet Organisationens

Läs mer

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören Dnr UFV 2017/93 Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2017-05-22 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Definitioner

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskanalyser av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte... 3

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret

Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Riktlinjer för Informationssäkerhet Falkenbergs Kommun 2009-04-23 Kommunledningskontoret Antagen av Kommunfullmäktige 2009-04-23 57 1. Allmänt... 3 1.1 Inledning... 3 1.2 Begreppet informationssäkerhet

Läs mer

IT-säkerhetspolicy för Landstinget Sörmland

IT-säkerhetspolicy för Landstinget Sörmland Bilaga 1, LS 115 /02 1.0 1(5) IT-säkerhetspolicy för Landstinget Sörmland Inledning Bakgrund och motiv Mål Medel Omfattning Organisation och ansvar Regelverk 1.0 2(5) Inledning Policyn är landstingsstyrelsens

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Bilaga till rektorsbeslut RÖ28, (5)

Bilaga till rektorsbeslut RÖ28, (5) Bilaga till rektorsbeslut RÖ28, 2011 1(5) Informationssäkerhetspolicy vid Konstfack 1 Inledning Information är en tillgång som tillsammans med personal, studenter och egendom är avgörande för Konstfack

Läs mer

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK) Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK) [Organisation som Ansvarsförbindelsen gäller] Modell Anvisning Dokumentation Blankett Rapport Namn Datum Version Ansvarig utgivare

Läs mer

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4

Läs mer

IT-Säkerhetsinstruktion: Förvaltning

IT-Säkerhetsinstruktion: Förvaltning n av 7 för Munkfors, Forshaga, Kils och Grums kommun april 2006 av IT-samverkansgruppen n 2 av 7 IT SÄKERHETSINSTRUKTION: FÖRVALTNING Innehållsförteckning IT-säkerhetsinstruktion Förvaltnings roll i IT-säkerhetsarbetet...3

Läs mer

Handledning i informationssäkerhet Version 2.0

Handledning i informationssäkerhet Version 2.0 Handledning i informationssäkerhet Version 2.0 2013-10-01 Dnr 1-516/2013 (ersätter Dnr 6255/12-060) Informationssäkerhet 6 saker att tänka på! 1. Skydda dina inloggningsuppgifter och lämna aldrig ut dem

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen Datainspektionens granskningar av integritetsskyddet inom vård och omsorg Erik Janzon Datainspektionen Några utgångspunkter Lagstiftaren och EU vill ha integritet Digitala vinster & digitala risker Integritet

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Informationshantering och journalföring. nya krav på informationssäkerhet i vården

Informationshantering och journalföring. nya krav på informationssäkerhet i vården Informationshantering och journalföring nya krav på informationssäkerhet i vården Sammanhållen journalföring! Förklaring av symbolerna Patient Verksamhetschef Hälso- och sjukvårdspersonal samt övriga befattningshavare

Läs mer

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Riktlinjer avseende Informationssäkerheten Sida 1 Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner Informationssäkerhet är en del i kommunernas lednings- och kvalitetsprocess

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet

BESLUT. Ärendet Egeninitierad verksamhetstillsyn av vårdgivarens informationssäkerhet ii Socia Istyrelsen DRegion SydvästiSek4 Mikael Ramböl mikaetrarnbol@socialstyrelsen.se BESLUT 2011-06-15 Dnr 9.1-7139/2011 1(5) SU/Sahlgrenska Universitetssjukhuset Sjukhusdirektör Jan Eriksson Bruna

Läs mer

Informationssäkerhetsanvisningar Förvaltning

Informationssäkerhetsanvisningar Förvaltning HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Informationssäkerhetsanvisningar Förvaltning i enlighet med rektors beslut fattat den 16 februari 2010 (dnr 020-09-101). Gäller från och med den

Läs mer

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen

Tillgång till patientuppgifter - krav på spärrar och aktiva val. Katja Isberg Amnäs Magnus Bergström Datainspektionen Tillgång till patientuppgifter - krav på spärrar och aktiva val Katja Isberg Amnäs Magnus Bergström Datainspektionen En presentation i fem delar Behörighetsstyrning Åtkomstkontroll Regler om inre sekretess

Läs mer

Kändisspotting i sjukvården

Kändisspotting i sjukvården Kändisspotting i sjukvården Sten Jacobson Grundprincip för hälso- och sjukvården Hälso- och sjukvården ska bygga på respekt för patientens integritet och självbestämmande. PDL ska ge en bättre samverkan

Läs mer

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet

Karolinska Universitetssjukhuset i Stockholm. Verksamhetstillsyn tillsyn av vårdgivarens informationssäkerhet C" Socialstyrelsen BESLUT T/Region Öst/Sek3 Jörgen Maersk-Möller jorgen.maersk-moller@socialstyrelsen.se 2011-06-15 Dnr 9.1-6937/2011 1(8) Karolinska Universitetssjukhuset Sjukhusdirektören Birgir Jakobsson

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen Informationshantering och journalföring Maria Jacobsson, Hälso- och sjukvårdsavdelningen 1. Målet för hälso- och sjukvården 2 HSL Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor

Läs mer

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen Stadsrevisionen Projektplan Informationssäkerhetsarbetet i Göteborgs Stad goteborg.se/stadsrevisionen 2 PROJEKTPLAN INFORMATIONSSÄKERHETSARBETET I GÖTEBORGS STAD Informationssäkerhetsarbetet i Göteborgs

Läs mer

Rikspolisstyrelsens författningssamling

Rikspolisstyrelsens författningssamling Rikspolisstyrelsens författningssamling ISSN 0347 545X Utgivare: chefsjuristen Lotta Gustavson Rikspolisstyrelsens föreskrifter om säkerhet vid Polisens informationsbehandling med stöd av IT; beslutade

Läs mer

Policy och strategi för informationssäkerhet

Policy och strategi för informationssäkerhet Styrdokument Dokumenttyp: Policy och strategi Beslutat av: Kommunfullmäktige Fastställelsedatum: 2014-10-23, 20 Ansvarig: Kanslichefen Revideras: Vart 4:e år eller vid behov Följas upp: Vartannat år Policy

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till 1(5) Socialförvaltningen Förvaltningens stab/kansli Iréne Eklöf, Medicinskt ansvarig sjuksköterska 0171-528 87 irene.eklof@habo.se Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt

Läs mer

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2

INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 INFORMATIONSSÄKERHET 1 INLEDNING... 2 2 MÅL FÖR IT-SÄKERHETSARBETET... 2 3 RIKTLINJER FÖR ATT UPPNÅ MÅLEN... 3 3.1 ALLMÄNT... 3 3.2 LEDNING OCH ANSVAR FÖR IT-SÄKERHET... 3 3.2.1 Systemägare... 3 3.2.2

Läs mer

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Policy Document Number ESS-0002649 Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet Revision 1 (3) State Released Plan för IT Säkerhet DOCUMENT REVISION HISTORY Revision Reason for revision Date 1 New Document 2013-02-26 List of Authors List of Reviewers List of Approvers Skölde, Daniel/Ulrika

Läs mer

RÅD Checklista för avtal rörande sammanhållen journalföring

RÅD Checklista för avtal rörande sammanhållen journalföring 1 (9) 21 december 2010 RÅD Checklista för avtal rörande sammanhållen journalföring 2 (9) Innehåll 1 Inledning...4 2 Syfte...4 3 Checklista...5 3 (9) Utgåvehistorik för dokumentet Utgåva Datum Kommentar

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Bromölla kommun KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6 Antagen/Senast ändrad Gäller från Dnr Kf 2013-09-30 151 2013-10-01 2013/320 RIKTLINJER FÖR INFORMATIONSSÄKERHET Riktlinjer för informationssäkerhet

Läs mer

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; beslutade den 13 december 2012. Transportstyrelsen föreskriver följande med

Läs mer

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun 2013-2016 Informationssäkerhetspolicy Informationssäkerhetspolicy för Vingåkers kommun 013-016 Innehållsförteckning 1 Mål... Syfte... 3 Ansvarsfördelning... 4 Definition... 5 Genomförande och processägare... 3 Dokumentnamn

Läs mer

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggning av HSL-journaler samt NPÖ Rutin för loggning av HSL-journaler samt NPÖ Enligt patientdatalagen 4 kap 3,skall vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter om patienter

Läs mer

Avtal LK 09-0

Avtal LK 09-0 1(6) Avtal om sammanhållen journalföring för privat vårdgivare Landstinget i Jönköpings län ges rätt att för privata vårdgivares räkning träffa avtal om sammanhållen journalföring. 1 PARTER ,

Läs mer

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen

RS-riktlinjer för Informationssäkerhet i Västra Götalandsregionen Koncernkontoret Säkerhetsenheten Dokumenttyp RS-riktlinjer för informationssäkerhet för Västra Götalandsregionen Dokumentansvarig Övergripande dokument Säkerhetspolicy för Västra Götalandsregionen Kontaktperson

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

Informationssäkerhet - en översikt. Louise Yngström, DSV

Informationssäkerhet - en översikt. Louise Yngström, DSV Informationssäkerhet - en översikt Louise Yngström, DSV Närmaste 50 minuterna... Informationssäkerhet? Definition Mål Krav Medel Datasäkerhet säkerhet beträffande skydd av datorsystem och dess data syftande

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post Datum Diarienr 2011-12-12 751-2011 Landstingsstyrelsen Jämtlands läns landsting Box 602 832 23 Frösön Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post Datainspektionens

Läs mer

Ledningssystem för Informationssäkerhet

Ledningssystem för Informationssäkerhet Dnr 2017/651 Ledningssystem för Informationssäkerhet Riktlinjer för säkerhetsarbetet vid Uppsala universitet Innehåll 1 Inledning... 3 2 Organisationens förutsättningar... 4 3 Ledarskap... 5 4 Planering...

Läs mer

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza Området välfärdsteknologi Vilka typer av nya digitala lösningar

Läs mer

Granskning av landstingets hantering av personuppgifter

Granskning av landstingets hantering av personuppgifter Granskning av landstingets hantering av personuppgifter Rapport nr 25/2012 Februari 2013 Susanne Hellqvist, revisor, revisionskontoret Innehåll 1. SAMMANFATTNING... 3 1.1 REKOMMENDATIONER... 4 2. BAKGRUND...

Läs mer

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation 1 (5) Anslutningsavtal för Utfärdare av Svensk e-legitimation inom Infrastrukturen för Svensk e-legitimation Bilaga 4 Rapporteringsrutiner 2 (5) 1. Bakgrund och syfte 1.1 Detta dokument är en bilaga till

Läs mer

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy EDA KOMMUN nformationssäkerhet - Informationssäkerhetspolicy Innehållsförteckning 1 Inledning... 1 2 Mål för IT-sbäkerhetsarbetet... 2 2.1 Långsiktiga mål... 2 2.2 Årliga mål... 2 3 Organisation, roller

Läs mer

Reglemente för internkontroll

Reglemente för internkontroll Kommunstyrelseförvaltningen REGLEMENTE Reglemente för internkontroll "Dubbelklicka - Infoga bild 6x6 cm" Dokumentnamn Fastställd/upprättad av Dokumentansvarig/processägare Reglemente för internkontroll

Läs mer

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet. Följande allmänna råd ansluter till förordningen (2006:942) om krisberedskap och

Läs mer

Stockholms läns landsting 1 O)

Stockholms läns landsting 1 O) Stockholms läns landsting 1 O) Landstingsradsberedningen SKRIVELSE 2013-02-20 LS 1112-1733 Landstingsstyrelse- Omarbetad informationssäkerhetspolicy och riktlinjer för informationssäkerhet inom Stockholms

Läs mer

Sekretess, lagar och datormiljö

Sekretess, lagar och datormiljö Sekretess, lagar och datormiljö VT 2015 Sekretess och tystnadsplikt Tystnadsplikt gäller oss som individer Tystnadsplikt är ett personligt ansvar vi alltid har, vare sig vi agerar i tjänsten eller som

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Riktlinjer informationssäkerhet

Riktlinjer informationssäkerhet informationssäkerhet Norrbottens läns landstings riktlinjer för informationssäkerhet beskriver hur hanteringen av information ska ske. All information omfattas oberoende av mediatyp. Styrande dokument

Läs mer

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården Yttrande Diarienr 1(7) 2015-09-15 1284-2015 Ert diarienr 4.1-39055/2013 Socialstyrelsen 106 30 Stockholm Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i

Läs mer

Svar på revisionsskrivelse informationssäkerhet

Svar på revisionsskrivelse informationssäkerhet TJÄNSTEUTLÅTANDE Personalavdelningen Dnr KS/2014:280-007 2015-03-03 1/3 KS 10:1 Handläggare Annica Strandberg Tel. 0152-291 63 Kommunrevisionen Svar på revisionsskrivelse informationssäkerhet Förslag till

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet - Instruktion för förvaltning Informationssäkerhet - Instruktion för förvaltning Innehållsförteckning 1. INFORMATIONSSÄKERHET...3 2. ORGANISATION OCH ANSVAR INFORMATIONSSÄKERHET...4 2.1 KOMMUNSTYRELSEN... 4 2.2 NÄMND OCH BOLAG... 4

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Informationssäkerhetspolicy för Nässjö kommun

Informationssäkerhetspolicy för Nässjö kommun Författningssamling Antagen av kommunfullmäktige: 2014-11-27 173 Informationssäkerhetspolicy för Nässjö kommun Innehåll 1 Inledning... 3 1.1 Begreppsförklaring... 3 2 Syfte... 4 3 Mål för Informationssäkerhetsarbetet...

Läs mer