Systemsäkerhetsanalys säker roll och behörighet.

Storlek: px
Starta visningen från sidan:

Download "Systemsäkerhetsanalys säker roll och behörighet."

Transkript

1 BYT UT DENNA GULA UTA TILL DIN KOMMUNS LOGGA Dokumenttyp Informationssäkerhet, analys Sida Område oll och behörighet 1 (31) Läs detta och ta därefter bort denna kommentarruta. Denna mall syftar till att utgöra ett stöd vid kartläggning av processerna för säker roll och behörighet. Kartläggningen motsvarar en systemsäkerhetsanalys som omfattar informationskartläggning, processkartläggning, risk- och sårbarhetsanalyser samt upprättande av handlingsplan. Denna mall utformades hösten 2014 som ett resultat av arbetet med ehälsa i Kalmar län. Metoden utgår från ett systematiskt informationssäkerhetsarbete och baseras på principer som bygger på svensk standard för informationssäkerhet SS-ISO/IEC Uppföljning är nödvändigt för att säkerställa genomförandet i praktiken. Dokumentet ska uppdateras så att det motsvarar varje kommuns egna förutsättningar. En del ska bort, annat ska läggas till. Uppgiften är att genomföra en egen informationsklassning, riskanalys och åtgärdsplan utifrån den metod som beskrivs i detta dokument. Allt som är GULMAKEAT ska ser över, uppdateras och kompletteras. Därefter ska den gulmarkerade texten avmarkeras. Systemsäkerhetsanalys säker roll och behörighet. Innehåll 1. Grundinformation Deltagare Bakgrund Syfte Mål Mottagare Avgränsning Metod för genomförande Sammanfattning Informationskartläggning Informationstillgångar Informationssystem Informationsklassning Kravbild Skyddsåtgärd per informationsklass Processkartläggning Nyanställd Ny roll i befintlig anställning Avslut av anställning Styrkor i befintlig modell Svagheter i befintlig modell isk- och sårbarhetsanalys Skala för sannolikhet och konsekvens esultat riskanalys med åtgärdsförslag Handlingsplan Dokumentnamn: Systemkartläggning säker roll och behörighet Utfärdat datum: eviderat datum:

2 evision: Datum: Beskrivning: Utförd av: Första utkast Stephen Dorch Andra utkastet Stephen Dorch Skriv in er version 2

3 3 1. Grundinformation 1.1. Deltagare <äkna upp alla deltagare i arbetsgruppen, namn, verksamhet och roll som varit delaktiga med arbetet från din kommun, ta därefter bort denna text> Namn Verksamhet oll 1.2. Bakgrund Det är av största vikt att kommunen hanterar åtkomst till känslig information med största respekt för individen och dess integritet. Åtkomst till information ska ske på ett sådant sätt att endast behörig personal kommer åt känslig information. Det är viktigt att de personer som har behov av åtkomst till information känner sig trygga och litar på den information de får. Uppbyggnad av en behörighetsmodell baseras på principen om att det ska vara lätt att göra rätt och svårt att göra fel. Idag administreras användare i varje system för sig vilket skapar onödigt stor administration. Användare riskerar att få olika identiteter och olika lösenord i alla olika system. Det är också svårt att få en överblick av en användares totala behörigheter. Särskilda säkerhetsåtgärder behöver vidtas för att införa en modell för säker roll och behörighet. Utöver rena IT-tekniska åtgärder behövs andra åtgärder som t.e.x utbildning och översyn av processer. I denna analys har vår kommun karlagt vilka informationsmängder som förutsätter säker roll och behörighet, hur hanteringen ser ut idag, identifierat styrkor, svagheter och risker. Utifrån dessa parameterar har sammantaget 14 förslag till åtgärder identifieras som kommunen har att ta ställning till. Läs detta och ta därefter bort denna kommentarruta. I mallen finns det en hel del värden upptagna, som t.ex. 14 förslag till åtgärder ovan. Det är viktigt att dessa värden överensstämmer med det som faktisk framkommer i analysen. Mening med att numrera och ange volym är att det underlättar framtida uppföljningen dä vi då kan påvisa en utveckling. Genom att mäta informationssäkerhet på detta sätt kan utveckling och insatser värderas mot kostnader, investeringar och självklart tillgänglighet 1.3. Syfte Syftet med analysen är att kartlägga hur behörighetsanteringen fungerar idag samt att identifiera förslag på förbättringsåtgärder.

4 Mål Ta fram hållbara rutiner kring säker roll och behörighet för system/applikationer som innefattar känsliga personuppgifter samt beskriva hur man implementerar rutinerna på bästa sätt. De kortsiktiga målen är att vidta åtgärder enligt de förslag som framkommit i analysen och som finns listade i kapitel 6, handlingsplan. Det långsiktiga målet bör vara att införa en systemoberoende metakatalog som omfattar både en kontodatabas och behörighetskatalog med höga krav på riktighet, tillgänglighet, konfidentialitet och spårbarhet. I katalogen är information om en användares behörigheter samlad på ett ställe med fokus på åtkomst oavsett i vilket system informationen lagras Mottagare Mottagare av denna rapport är den verksamhetschef inom inom vård och omsorg samt socialchef. Vissa åtgärder åligger IT-chefen som får informationen i dialog med verksamheten. Läs detta och ta därefter bort denna kommentarruta. Var noga med att ange vem som är mottagaren av rapporten. Metoden bygger på att det finns en fastställd beställare och ett uppdrag i botten Avgränsning Analysen avgränsas till hemtjänst och hemsjukvård Metod för genomförande Analysen har genomförts med stöd av det metodstöd 1 som myndigheten för samhällsskydd och beredskap, MSB har utformat. Metodstöden baseras på den svenska standarden för informationssäkerhet, ISO/IEC Vår tillämpning av metodstödet använder sig av nedanstående fem delmoment, i syfte att identifiera nödvändiga åtgärder för att uppnå en säker roll och behörighet. Beskriv informationstillgången Klassificera informationen Processkartläggning isk- och sårbarhetsanalys Identifiera åtgärder 1 https://www.informationssakerhet.se/sv/metodstod/

5 5 2. Sammanfattning I denna analys har vi kommit fram till 14 konkreta aktiviteter som finns sammanställda i en handlingsplan. Aktiviteterna beaktar de risker och svagheter som framkommit i nuvarande process för tilldelning av roll och behörighet samt i genomförd riskanalys. De 14 övergripande aktiviteterna är; Utbildning Checklistor Aktivering av behörighet Inaktivering av behörighet Behörighetskatalog Dela dokumentation utin för beställning av roll och behörighet Lösenordsadministration Storlek på admin grupp Tekniskt skydd Kontinuitetsplan Lösenord Nya arbetsuppgifter, nya rättigheter Skyddad identitet Detaljer kring aktiviteternas omfattning framgår i handlingsplanen kapitel 6, med stöd av processkartläggningen i kapitel 4 och riskanalysen i kap 5. Läs detta och ta därefter bort denna kommentarruta. Var noga med att identifiera aktiviteterna, ovanstående aktiviteter är endast exempel och kan användas som vägledning. Det kan vara både fler och färre aktiviteter Idag administreras användare i varje system för sig. Konsekvensen är att: det blir onödig stor administration användare har olika identiteter och lösenord i alla olika system det är svårt att få en totalbild av en användares behörigheter. Behörigheten bör istället styras av användarens och informationens egenskaper Detta gör att behörigheter inte måste administreras i alla system utan kan hanteras i en egenskapskälla, en katalog Den organisatoriska tillhörigheten (på personal) definieras via uppdraget Vilken applikation som hanterar informationen påverkar inte behörigheten Det långsiktiga målet bör därför vara en systemoberoende behörighetshantering med höga krav på riktighet och spårbarhet där informationen om vilka behörigheter en användare har finns samlad på ett och samma ställe. Förhållandet illustreras översiktligt i bilden nedan. Informations mängd egelverk för behörighetsstyrning oll Metakatalog (en för alla system) Åtkomst Ja/Nej

6 3. Informationskartläggning För att förstå vilka säkerhetsåtgärder som är nödvändiga, behöver vi förstå vilket typ av information man behöver ha åtkomst till. Det som avgör hur en säker roll och behörighet ska se ut är en bedömning av hur allvarligt det är om det uppstår brister i sekretessen och obehöriga därmed får del av känslig information. Beslut om åtgärder baseras på verksamhetens behov och bör utgå utifrån; vilka informationstillgångar och informationssystem som omfattas, resultatet av informationsklassning, verksamhetskrav och legala krav, samt resultatet av risk- och sårbarhetsanalys Informationstillgångar Några av de informationstillgångar som verksamheten identifierat är; patientjournal, personakt, hälsotillstånd, olika former av beslut, anteckningar och personuppgifter. Åtkomst till ovanstående informationsmängder kräver säker roll- och behörighet Informationssystem De informationssystem som hanterar informationstillgångarna är de programvaror som används för åtkomst till information, t.ex. journalsystem. Men informationssystem är också IT-infrastruktur som t.ex. katalog och nätverk. Verksamheten har identifierat följande informationssystem: 6 ProfDoc Treserva LapsCare Adad net Swevac Personec Cosmic Link SBBTEK TimeCare Mobilys BPSD NPÖ Senior Allert Palitativa registret ASI-net Lefi online Phoniro Intrafon SQL-DB AD HSA SITHS Ovanstående 22 system utgör exempel på system som påverkas av säker roll- och behörighet. Analysen visar att en anställd ofta har fyra till fem olika användarnamn och lösenord att hålla reda på, men att det finns både bättre och värre exempel. Med ett system för säker roll- och behörighet blir inloggning enkelt och säkert, med få lösenord att hålla i minnet.

7 Informationsklassning Syftet med klassificering är att rätt säkerhetsåtgärd ska vidtas utifrån hur viktig informationen är. Varje nivå ska vara kopplad till konkreta säkerhetsåtgärder. I analysen avseende säker roll och behörighet genomfördes en begränsad informationsklassning då utgångspunkten är att all information som kräver säker roll och behörighet i princip är att betrakta som känslig. I informationsklassningen har vi använt oss av nedanstående modell som baseras på Myndigheten för samhällsskydd och beredskap, MSB 2 rekommendationer. Det är denna modell som de flesta av Sveriges kommuner använder. Säkerhetsaspekt Konsekvens 4 Allvarlig 3 Betydande 2 Måttlig 1 Försumbar Information där förlust av riktighet innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av konfidentialitet/ sekretess innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverka på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av spårbarhet innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Vi har genomfört informationsklassning för några av de mest vanligt förekommande informationsmängderna. Dessa återfinns i tabellen nedan. Observera att det är informationsmängderna som ska klassificeras och inte informationssystemet. Klassificeringen utifrån aspekterna Sekretess (konfidentialitet), iktighet, Tillgänglighet och Spårbarhet. Ange värde 1-4 från mallen ovan i tabellen nedan. Säkerhetsaspekt Informationsmängd Sekretess iktighet Tillgänglighet Spårbarhet Patientjournal???? Personact???? Hälsotillstånd???? Beslut???? Anteckningar???? Personuppgifter???? 2 Version 1, , Publ-nr MSB: https://www.msb.se/ibdata/filer/pdf/25602.pdf

8 3.4. Kravbild Åtkomst till information baseras på vilka krav som gäller för en viss typ av information. Vanligen delas kraven in i interna och interna krav. De interna kraven består av krav från verksamheten samt ledningen. De externa kraven är i form av lagar, föreskrifter och vissa typer av avtal. Säkerhetskrav kan vara både interna och externa. Dessa krav kan vara givna, men kan också med fördel identifieras i en riskanalys. Exempel på interna krav som arbetsgruppen identifierat: Stark autentisering till HSA, Cosmic, NPÖ, Pascal, SSBTEK egelbundna kontrollerade tvingande lösenordsbyte Att obehöriga inte ges tillgång till känslig information som de inte har rätt till Att anställda inte har tillgång till mer än vad rollen kräver Att IT hjälper till med kravställning på externa leverantörer, som t.ex. stark autentisering Exempel på externa krav som arbetsgruppen identifierat: PDL om stark autentisering PUL DNV (Den norske veritas) ( för siths, legitimationer) SOSFS Socialstyrelsens föreskrifter Socialtjänstlagen Hälso- och sjukvårdslagen 3.5. Skyddsåtgärd per informationsklass Nedanstående tabell visar översiktliga generella åtgärder. De säkerhetsåtgärder som återfinns i sista kapitlet utgår från de risker som är identifierade i riskanalysen. Dessa åtgärder baseras på de generella åtgärderna som återfinns i tabellen nedan. 8 Säkerhetsaspekt Sekretess iktighet Tillgänglighet Spårbarhet Informationsklass Stark autentisering, hårda certifikat, SITHS Mjuka certifikat, ev SITHS konto + avancerat lösen Förenklad behörighetskontroll Konto + lösenord Elektronisk Signering, verifiering, underskrift. Kryptering. Automatiserad kontroll av riktighet Kontroll av riktighet, kan ske mha manuella rutiner Kontroll av riktighet vid behov Dubbla anslutningar, Jour, Hög bemanning Övervakning, Avtal, federation SSO, säkerställda processer Dubbla anslutningar, Federation SSO, avtal, Enkel avtalad anslutning Systematisk loggkontroll med täta intervaller, Tät och regelbunden granskning, Känsliga personuppgifter Systematisk loggkontroll, Granskning Loggkontroll utin med sällan förekommande granskning 1 Ingen behörighets kontroll Ingen kontroll av riktighet Inget avtal Ingen loggkontroll

9 Systemlev. Systemförv./ funktionsstöd IT-kundjtänst PA Chef Nyanställd 9 4. Processkartläggning En processkartläggning för händelserna nyanställning, avslut av anställning samt ny roll i befintlig anställning är genomförd i syfte att identifiera nuvarande modells styrkor, svagheter och förbättringsförslag. I tabellen nedan finns de resurser och funktioner som är inblandade vid tilldelning av roller och behörigheter. Ta bort/lägg till det som inte är relevant för er. Avdelning Nyanställd Chef Personalavdelningen Personalassistent IT-assistent Vaktmästare IT-samordnare IT-avdelningen Systemförvaltare Funktionsstöd Systemleverantör Funktion Person som anställs Närmaste chef, den chef som anställer Personaladministration, t.ex. registrera anställningsbesked, arkivera personalakt, informera facket Hantera nycklar, tjänste-id, anknytningar, telefon etc. T.ex. beställa konton och behörigheter, samt dator Aktivera konton, meddela beställaren De personer som är satta att ansvara för ett system Utgör stöd till systemförvaltaren i verksamheten, t.ex. utbildning och support Den externa leverantören av ett system 4.1. Nyanställd Bilderna nedan visar två exempel på processer för tilldelning av roll och behörighet vid nyanställning. Byt ut nedanstående processkartläggning mot din kommuns process. Säker roll och behörighet - Processkarta Påskrift Mottagning av kontouppgifter / Påskrift av ansvarsförbindelse / Utbildning Nyanställning sjuksköterska Aktiv användare Chef Skriva anställningsbesked. Skicka till nyanställd för påskrift Meddela IT-assistent Meddela vaktmästare Meddela IT-samordnare Nyanställd Checka av beställningar och leverera till nyanställd Introducera nyanställd Överenskommelse om anställning Nyanställd Skriva på anställningsbesked och skicka till personalass Beställning ny roll och behörighet Anställningsbevis Nya kontouppgifter AD Muntligt/skriftligt Mottagning ansvarsförbindelse E-post / webbanmälan Hämtas från LAS E-post Internpost Personalarkiv / personalakt Vaktmästare Beställa nycklar, tjänste-id och tagg Uppläggning i personalsystem / lön Muntligt/skriftligt Personalass egistrera anställningsbesked i personalsystem. Arkivera i personakt och skicka kopia till fackförening. Blankett Uppläggning i kontodatabas E-post/script E-post Fackförening Arkivera anställningsbesked E-post Beställa anknytning SITHS Beställning för externa system Uppläggning i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning/ material vid behov Nyhetsbrev / uppdaterings -dokument IT-assistent IT-samordnare Beställa konto och förbereda dator. Lägga ärende till IT-avdelning Beställa telefon Skapa/Beställa övriga behörigheter Uppläggning i externa verksamhetssystem Bild i större format återfinns i bilaga A. Systemförändringar / uppdateringar Aktivera konto IT-avdelningen Meddela IT-samordnare och chef Bild i större format återfinns i bilaga B. Processkartläggningen måste kompletteras med en beskrivande text för att bli tydlig. Det kan göras på flera olika sätt. I den vänstra bilden är det begränsat med text i rutorna, vilket förutsätter en beskrivning i efterföljande text. I den högra bilden finns mer Läs detta och ta därefter bort denna kommentarruta. Var noga med i bilagan skicka med större bilder i A4 format. Utan en översiktlig bild får läsaren ingen överblick av processen. Ett annat alternativ är att lägga in en betydligt större bild ovan, utan hänvisning till bilagan.

10 Systemförv./ Systemlev. IT-kundjtänst PA Chef Ny chef Anställd funktionstöd 10 beskrivande text i rutorna, vilket medför att behovet av ytterligare beskrivande text inte är lika nödvändigt. Exempel på vilka underrubriker som kan vara aktuella som beskrivande text till den vänstra bilden är: Överenskommelse av anställning Beställning ny roll och behörighet Uppläggning i kontodatabas Uppläggning i interna verksamhetssystem SITHS Uppläggning i externa verksamhetssystem Anställningsbevis Mottagning av kontouppgifter Mottagning av ansvarsförbindelse Utbildning Ovanstående underrubriker är endast exempel. Processen ska baseras på förutsättningarna i er egen kommun. Ni sätter egna underrubriker med egna beskrivningar Ny roll i befintlig anställning Bilderna nedan visar två exempel på processer för tilldelning av roll och behörighet vid byte av tjänst, dvs byte av roll, inom samma anställning. Byt ut nedanstående processkartläggning mot din kommuns process. Säker roll och behörighet - Processkarta Byte av tjänst Chef Meddela ändring av anställning Ändring av anställning Ta emot meddelande om ny behörighet Överenskommelse om anställning Påskrift Mottagning av kontouppgifter / utbildning Aktiv användare Personalassistent Skriva nytt anställningsbevis, skicka till anställd Anställningsbevis Nya kontouppgifter AD Beställning ändring roll och behörighet Information om ansvarsförbindelse Löneassistent egistrera ändring i lönesystemet Arkivera en kopia av anställningsbevis och skicka en kopiera till fackförening Hämtas från WinLas Personalarkiv / personalakt E-post / webbanmälan E-post Internpost Ändring i personalsystem / lön Muntligt/skriftligt Anställd Underteckna anställningsbevis och skicka till löneassistent Ta emot meddelande om ny behörighet Ändring i kontodatabas E-post E-post/script IT-samordnare Ev. ändra behörigheter i verksamhetsystem Lägga ärende till IT-avdelningen om ändrad behörighet i administrativa nätet Meddela anställd och chef ny behörighet SITHS Beställning för externa system Ändring i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning vid behov Nyhetsbrev / uppdaterings -dokument Fackförening Arkivera kopia av anställningsbevis Ändra behörigheter i IT-avdelning administrativa nätet när Ändring i externa Systemförändringar verksamhetssystem / uppdateringar registrering i lönesystemet är gjord Bild i större format återfinns i bilaga C. Bild i större format återfinns i bilaga D. Meddela ITsamordnare Processkartläggningen måste kompletteras med en beskrivande text för att bli tydlig. Det kan göras på flera olika sätt. I den vänstra bilden är det begränsat med text i rutorna, vilket förutsätter en beskrivning i efterföljande text. I den högra bilden finns mer beskrivande text i rutorna, vilket medför att behovet av ytterligare beskrivande text inte är lika nödvändigt Exempel på vilka underrubriker som kan vara aktuella som beskrivande text till den vänstra bilden är: Överenskommelse av anställning Beställning ändring roll och behörighet

11 Systemförv./ Systemlev. IT-kundjtänst PA Chef funktionsstöd Anställd 11 Ändring i kontodatabas Ändring i interna verksamhetssystem SITHS Ändring i externa verksamhetssystem Anställningsbevis Mottagning av kontouppgifter Information om ansvarsförbindelse Utbildning Ovanstående underrubriker är endast exempel. Processen ska baseras på förutsättningarna i er egen kommun. Ni sätter egna underrubriker med egna beskrivningar Avslut av anställning Bilderna nedan visar två exempel på processer för avslut av roll och behörighet vid upphörande av anställning. Byt ut nedanstående processkartläggning mot din kommuns process. Säker roll och behörighet - Processkarta Avslut av tjänst Chef Meddela avslut av anställning Arkivera dokument Avslut av anställning Inaktivera ID-kort Skriva intyg/betyg om så begärs och skicka till anställd Avgång Anställd ensa filer och mappar Återlämna IDkort, nycklar, tag och telefon Ev. begära betyg/intyg Avgångsbeslut Hämtas i WinLas Beställning avslut roll och behörighet E-post Kvittens Personalarkiv / personalakt Vaktmästare Inaktivera anställd i passersystem egistrera återlämning av nycklar Ändring i personalsystem / lön E-post / webbanmälan IT-assistent Säga upp mobilabonnemang egistrera återlämning av telefon Avslut/inaktivering i kontodatabas E-post E-post/script Personalass Inaktivera konton i personal- och lönesystem Arkivera personakt SITHS Beställning för externa system Avslut/inaktivering i verksamhetssystem AD/E-post/ Treserva/osv IT-samordnare Inaktivera konto i verksamhetsystemet. Lägga ärende till IT-avdelningen för avslut av konto i administrativa nätet Avslut/inaktivering i externa verksamhetssystem IT-avd Inaktivera konto i administrativa nätet Bild i större format återfinns i bilaga E. Bild i större format återfinns i bilaga F. Processkartläggningen måste kompletteras med en beskrivande text för att bli tydlig. Det kan göras på flera olika sätt. I den vänstra bilden är det begränsat med text i rutorna, vilket förutsätter en beskrivning i efterföljande text. I den högra bilden finns mer beskrivande text i rutorna, vilket medför att behovet av ytterligare beskrivande text inte är lika nödvändigt Exempel på vilka underrubriker som kan vara aktuella som beskrivande text till den vänstra bilden är: Avgång Ändring i personalsystem och lönesystem Beställning avslut roll och behörighet Avslut / inaktivering i kontodatabas Avslut / inaktivering i interna verksamhetssystem SITHS Avslut / inaktivering i externa verksamhetssystem

12 12 Ovanstående underrubriker är endast exempel. Processen ska baseras på förutsättningarna i er egen kommun. Ni sätter egna underrubriker med egna beskrivningar Styrkor i befintlig modell Följande styrkor är identifierade i vår kommuns nuvarande modell för roll- och behörighet. I tabellen ska ni ersätta styrkorna med de styrkor som ni identifierar i er egen kommun. Ta därefter bort denna text. Styrka Gemensam kontodatabas Namnstandarden Informationssäkerhets policy och riktlinjer Svarta listan En ingång, en kontakt för berörda chefer. En beställningskontakt Konto kan endast skapas när användaren finns registrerad i personalsystemet. utinen för att beställa konton Få har rätt att skapa konton Organisation verksamhet Hjälp över organisationsgränser Ett fåtal har behörighet Lätt att få besked, liten organisation och nära till chefen Hanteringen av blanketter Samma inloggning Motivering All administration sker från ett och samma ställe Bra med namnstandard som inte baseras på namn. På så sätt behöver man inte ändra inloggningen när användaren byter namn. T.ex. vid giftermål. Bra att det finns beslut i policys och riktlinjer. Där står även vem som ansvarar för utbildning etc. Lista med personer som har konton, men som inte längre får ut lön. utin för avslutade konton etc. som innebär att vi har regelbundna avstämningsmöten och att vi kommunicerar förändringar genom mailen där det framgår namnet på de som har slutat eller fått andra roller osv. Ett formulär och en kontakt som aktuell chef använder sig av vid rapportering till IT, samordnaren, receptionist. Ett konto kan endast skapas när den anställde är registrerad i personalsystemet. Kontot avslutas efter att man fått den sista lönen. Det är endast chefer som har rätt att beställa konton och det är endast IT-samordnaren som har registrera konton. Det är endast ett fåtal personer som har rätt att skapa konton. Det ger en tydlighet och personalen vet vem man ska kontakta. Systemförvaltaren sitter i verksamheten, vilket är bra då det förutsätter verksamhetskunskap. Systemförvaltare i olika förvaltningar och IT hjälper varandra oavsett organisation. Hjälpande och lärande organisation. Endast ett begränsat antal personer har medvetet tilldelats rättigheten att skapa nya konton. Det ger en bättre kontroll. Närheten till användarna underlättar kommunikationen, vilket medför ökad förståelsen när något går fel. Blanketterna för vård och omsorg fungerar bra. Det är samma inloggningsuppgifter i AD och i personec. Underlättar för personalen.

13 Svagheter i befintlig modell Följande svagheter är identifierade i vår kommuns nuvarande modell för rol- och behörighet. I tabellen ska ni ersätta svaghet med de svagheter som ni identifierar i er egen kommun. Ta därefter bort denna text. ID Svaghet Motivering Åtgärdsförslag P 1 Den rutin som finns i informationssäkerhetspolicyn och Mer information behövs där det tydliggörs vad det innebär. i dess riktlinjer följs inte. Översyn av checklistor. Möten och workshop i syfte att förbättra, tydliggöra och informera P2 Brister i utbildning och introduktion Konsekvens kan bli att information hanteras oaktsamt. Tid för utbildning och introduktion måste avsättas P3 Möjliga brister i personkontrollen Genomför ID kontroll vid tilldelning av behörighet Uppdatera checklista Hämta information från Befolkningsregistret Diskutera om det krävs utdrag från belastningsregistret. P4 Möjliga brister vid avslut av anställning Informera ut till cheferna att det är viktigt att de som hanterar konton får information vid upphörande av P5 Beställning av behörighet sker utanför den centrala kontodatabasen, ger ingen samlad bild, onödigt många konton och lösenord för användaren. anställning. Se över aktuella processer och anpassa om möjligt så att all hantering sker genom den gemensamma kontodatabasen. P6 Egenutvecklad kontodatabas Medför risker vid support. Personberoende, om någon slutar Åtgärd införskaffa kommersiell produkt P7 Ingen synkronisering mellan AD Försvårar SSO och HSA för behörighetsstyrning Bör lösas långsiktigt P8 Brister i strukturen kring filhantering. Administratörerna Administratörerna bör dela mappar i filsystemet. kommer inte åt varandras mappar Administratörerna bör ha med information om t.ex. aktuella gemensam information och rutiner. Medför svårigheter med liknande strukturer. att hjälpa och lära av varandra.

14 14 ID Svaghet Motivering Åtgärdsförslag P9 Brister i beställningsformuläret, osignerade beställningar Förbättra utformningen av blanketten Se över möjligheten att utveckla formuläret med fler beställningsmängder Långsiktigt inför elektronisk signering P10 Otydlighet gällande kontobeställarens rättighet Inför skriftlig delegation på vem som har behörighet att beställa konton. P11 Känslig information i eposten Inför säkrare rutiner för hur utlämning av lösenord ska ske. P12 Admin-gruppen är för liten Säkerställ funktionen i händelse av långvarig frånvaro, sjukdom etc avseende de arbetsuppgifter som åligger admin-gruppen. P13 P14 P15 Utbildning och introduktion sköts på olika sätt beroende på vem som handleder. Flera användarnamn förekommer. Svårighet med att hålla ordning på användarnamn i Procapita. Det finns användare som har flera användarnamn och som loggat in med båda. Muntliga överenskommelser förekommer Det pågår ett arbete där man jobbar på att ta fram ett gemensamt material för en mer strukturerad utbildning och introduktion. Scenariot är exempelvis en före detta anställd som gift sig och bytt efternamn för att därefter åter börja på kommunen. Då uppstår risk att man inte noterat att man tidigare haft anställning på kommunen. Nu åtgärdat med en automatiserad rutin. Säkerställ att samtliga överenskommelser sker enligt fastställda rutiner. P16 Individuella checklistor förekommer Säkerställ att dessa stämmer med aktuella riktlinjer P17 utiner vid anställning. Dokumenterade rutiner för nyanställda måste bli kända. Tankar för att det borde kunna funka via Intranätet P18 utiner vid avslut PA/chefer ska meddela när personer slutar. Systematisk kontroll från PA ska göras. Tydliggör varför det är viktigt att avsluta så att de vet varför det måste finnas som en rutin. Man kan köra kontroller HSA mot PA-system.

15 15 ID Svaghet Motivering Åtgärdsförslag P19 Blankett för kontohantering inom vård och omsorg är bristfällig Förbättra blanketten i samråd med verksamheten och IT P20 Information saknas vid beställning av epost och AD konto Se över rutinerna för hur konton och rättigheter sätts upp i sin helhet, sett till samtliga system

16 16 5. isk- och sårbarhetsanalys När informationen har klassificerats behöver en risk- och sårbarhetsanalys göras där man undersöker vilka risker som kan uppstå vid hantering av informationen. iskanalysen görs för att bedöma risken för att ett möjligt hot inträffar. isken värderas genom att ett riskvärde (V) räknas fram, som består av sannolikhetens (S) gånger konsekvensen (K) enligt följande formel: S x K = V. Konsekvens Sannolikhet 5.1. Skala för sannolikhet och konsekvens Inför varje enskild analys är det viktigt att man tillsammans kommer överens om vilka skalor som ska gälla. Orden katastrof och ofta är relativa begrepp, som beroende på sitt sammanhang har olika innebörd. Vi har kommit överens om följande skalor i vårt arbete med riskanalysen, se tabellerna nedan. Konsekvens Värde Innebörd Katastrofal 4 t.ex. id-kapning, röjning av skyddad identitet eller motsvarande Allvarlig 3 Måttlig 2 Försumbar 1 t.ex. obehörig åtkomst, ej tillgång till kontot av känsligt system eller motsvarande t.ex. ej tillgång till konto av mindre känsligt system eller motsvarande t.ex. att händelsen inte har någon påverkbar betydelse eller motsvarande Sannolikhet Värde Innebörd Ofta 4 t.ex. kan inträffa varje vecka egelbundet 3 t.ex. kan inträffa varje månad Sällan 2 t.ex. kan inträffa någon gång per år Mycket sällan 1 t.ex. kan inträffa någon gång var tredje år

17 esultat riskanalys med åtgärdsförslag I riskanalysen har nedanstående scenarier lyfts fram där vi har värderat sannolikhet och konsekvens. Åtgärder är föreslagna för respektive scenario. En sammanställning av åtgärderna återfinns i handlingsplanen i kapitel 5. I tabellen ska ni ersätta scenarierna med de scenarier som ni identifierar i er egen kommun. Bedöm därefter sannolikhet och konsekvens, samt notera åtgärdsförslag. Ta därefter bort denna text. ID Scenario S K V Åtgärd Ansvarig 1 Användarna får inte Den chef vars behörighet till de system verksamhet Säkerställ att det finns som de behöver pga att är beroende rätt antal det finns för få personer av ITsystemet. administratörer, dvs som har tilldelat ansvar admin, per system för kontohantering och Ofta admin. systemägaren 2 3 isk att någon felaktigt legitimerar sig fysiskt som anställd i kommunen som en konsekvens av att SITHS-kortet inte är återlämnat vid avslut av anställning. Information riskerar att spridas oaktsamt, t.ex känslig epost, pga brister i det tekniska skyddet Se till att kortet kommer tillbaka. Överväg straffavgift, depositionsavgift för borttappat kort etc. Tydliggör ansvaret och ge mer information kring rutinerna för enhetschefer. Upprätta checklista för hur man avslutar en anställning. Utkräv ansvar i händelse av om detta scenario inträffar. Inför bättre tekniskt skydd, t.ex. program som kan tolka sifferkombinationer, DLP. Beakta att åtgärder ska baseras på legala krav och verksamhetens krav, inte på vad som är tekniskt möjligt. Enhetschefen ITchef och verksamhetsc hef i samråd. Verksamhete n saknar kunskap om vilka tekniska skydd som finns, men kan värdera information.

18 Användaren kommer inte åt systemen eller den information som behövs i arbetet pga att chefen missat att beställa konton. Användare saknar SITHS-kort pga lång beställningstid (3v) i kombination med att endast en och samma person beställer och lämnar ut kort. Denna kan ha semester. IFO och LSS; Användaren får onödigt många olika användarnamn i diverse system medför svårighet att hålla reda på kontouppgifter VoO, HSL; Användaren får onödigt många olika användarnamn i diverse system medför svårighet att hålla reda på kontouppgifter Användaren kommer inte åt journalen, systemet ligger nere pga tekniskt fel. Hjälp uteblir. Ingen tillgång till SITHS pga chef missat att beställa etc. Konsekvensen beror på vem som berörs. Tydliggöra rutiner med mer utbildning Säkerställ utfärdande av reservkort om det tar för lång tid att få det riktiga kortet. Utbildning samt införande av SSO Hämta kort, ringa kollega?????? Skriv ut arbetslista förebyggande på kontorstid, jobba efter manuella rutiner Annan person får utförda reservkort och informera i efterhand?? ID Scenario S K V Åtgärd Ansvarig 4 Information riskerar att spridas oaktsamt, t.ex känslig epost, pga bristande kunskap. Avsätt tid för utbildning. Det är oftast bara utbildning för verksamhetssystem, Verksamhetschef men det saknas ofta generell kunskap om lagrum, hantering av listor, hur vi lagrar (skrivbordet), loggning Verksamhetschef Verksamhetschef Enhetschef Enhetschef Enhetschef SITHS ansvarig samt chef

19 19 ID Scenario S K V Åtgärd Ansvarig Användaren har många olika konton pga rutinerna inte följs isken att behörigheter finns kvar efter t.ex. att en person slutat Egenutvecklad kontodatabasen underhålls inte pga utvecklaren slutat, är sjuk, frånvarande etc Användare inte kan logga in pga AD, HSA, systemet inte är tillgängligt Användaren inte kan logga in pga glömt lösenord, kontot låst Felaktigheter uppstår Dålig kontohantering pga få administratörer. Känslig vid frånvaro och ingen backup av personal Utskick av lösenord via epost riskerar insyn En person har inte tillgång till SITHS pga man inte visste att det behövdes vid anställning, lång väntetid Missar att beställa konton, användaren kommer inte åt informationen, pga bristfälliga rutiner Se till att det finns en namnstandard och rutin för vem som sätter upp kontot, AD-koppling och SITHS. Se till att de finns rutiner och säkerställ så att dessa följs. Förbättra adminstrationen av behörigheter. Köp nytt system som fler kan hantera Inför teknisk redundans och diversitet Inför självservice i kontohanteringen? Se till att det finns fler som blir behöriga uppgiften Dölj delar av lösenordet, muntlig överlämning av lösenordet De får beställas innan anställning börjas Se till att rutinen blir tydlig IT-chef i dialog med verksamheten, bör framställas som ett verksamhetskrav Beror på hur det är organiserat, verksamhetschef IT IT (och systemleverantör) IT (och systemleverantör) Enhetschef Verksamhets chef

20 20 ID Scenario S K V Åtgärd Ansvarig isken att användaren Säkerställ rätt Verksamhets 2 6 inte får åtkomst till bemanning chef information pga det är 3 för få som arbetar med 3 9 kontoadminstration Användaren kommer inte ihåg sina användarnamn pga det är för många lösenord och konton att komma ihåg. isken att en användarens behörigheter inte följer med vid byte av roll pga att det är för många system som man måste byta Användare som slutar har fortfarande åtkomst pga att inaktivering av kontot inte genomförts. En person saknar tillgång till SITHS pga att man inte visste om att det behövdes vid anställning. Användaren får olika användarnamn till olika system pga att rutinen för tilldelning av behörighet inte efterföljs. IT vet inte vilka behörigheter användaren har pga rutinen för tilldelning av behörighet inte efterföljs. Felaktigheter uppstår pga att checklistor och riktlinjer inte överensstämmer Fel behörighet tilldelas i Procapita /Treserva pga det finns många personer som kan ge behörighet och gör på olika sätt SITHS-kortsinloggning ihop med SSO till flera system Se till att det finns rutin som meddelar byte av roll och arbetsplats. Verksamhets chef Enhetschef

21 21 ID Scenario S K V Åtgärd Ansvarig 30 Användaren har inte kortläsare på sin dator pga IT inte ser vilka som har SITHS och har därför inte vetat om att arbetsplatsen ska förses med kortläsare En användares identitet röjs pga att det inte finns rutiner som täcker personer med skyddad identitet En användare har låst sitt konto och kan ej låsa upp pga att det inte finns support på helger och kvällar En användare dokumenterar på patient med fel identitet pga att användaren har två konton. En användare dokumentera felaktigt pga att utbildning/ introduktion har ej getts En användare ser brukare/patienter som den ej ska ha åtkomst till (och har därmed inte åtkomst till de den ska ha) pga den har fått fel vårdenhet vid behörighetstilldelning. En användare har inte fått medarbetaruppdrag pga att det saknas möjlighet att kryssa i den rutan på behörighetsblanketten. En användare har inte fått behörighet till systemet pga det är många blanketter att fylla i och någon blankett har missats.

22 22 ID Scenario S K V Åtgärd Ansvarig 38 Någon annan loggar in med fel identitet i Procapita/ Treserva pga att behörighet och lösen har skickats i samma försändelse och hamnat fel Behörighet i SITHS kan inte ges för vikarie pga det finns bara ett fåtal personer som kan göra detta och de är frånvarande. Inlogg med SITHS fungerar inte i AD pga UPN saknas eller är felaktigt ifyllt i HSA En användare kommer inte ihåg sitt lösenord pga det är för många lösenord att ha i minnet.

23 23 6. Handlingsplan Processkartläggningen i kapitel 3 och riskanalysen i kapitel 4 identifierade ett antal förslag på åtgärder för att åstadkomma en säker hantering av roller och behörigheter. Det finns ett flertal scenarier och åtgärder som överlappar varandra vilket i praktiken innebär att en åtgärd löser flera identifierade problem och brister. En aktivitet i handlingsplanen löser flera identifierade svagheter och risker. I handlingsplanen nedan har vi grupperat ihop identifierade svagheter och brister till 14 stycken aktiviteter. I handlingsplanen framgår källan, dvs vilket id-nummer från processkartläggningen i kapitel 3 och riskanalysen i kapitel 4 som aktiviteten utgår från. Åtgärder identifierade i processkartläggningen är markerade som P1, P2, P3 osv och åtgärder identifierade i riskanalysen är markerade som 1, 2, 3 osv. De aktiviteter som föreslås i handlingsplanen markeras som aktivitet A1, A2 A3 osv. I tabellen ska ni ersätta aktiviteterna med det som ni identifierat i er egen kommun. Ta därefter bort denna text. Handlingsplan Säker roll och behörighet ID A1 A2 Källa P1, P2, P13, 4, 34 P1, P16, 28 Åtgärd, för detaljerad beskrivning hänvisas till källan. Utbildning Säkerställ att alla känner till informationssäkerhetspolicyn och att alla får samma möjlighet till utbildning/introduktion oavsett handledare. iskvärde 12 Checklistor Kontrollera alla checklistor och säkerställ att dessa inte är motstridiga gentemot informationssäkerhetspolicyn. Även checklistor som är upprättade utanför processen, men som påverkar processen. Ansvarig Aktuell Status Åtgärd ej nödvändig Ej påbörjad Påbörjat datum Avslutat datum

24 24 Handlingsplan Säker roll och behörighet ID A3 A4 A6 A6 A7 Källa P3, P5, P10, P14, P17, 35, 38, 40 P4, P14, P18, 2, 12, 24 P6, P7, 7, 8, 13, 21, 25, 26, 27, 33, 41 P8, 29 P9, P15, P19, P20, 5, 6, 10, 11, 19, 20, 36, 37 Åtgärd, för detaljerad beskrivning hänvisas till källan. Aktivering av behörighet Fastställ rutin för säker personidentifiering vid tilldelning av behörigheter och konton. Fastställ en enhetlig process för säker tilldelning av roller och behörigheter. Säkerställ att beställaren är behörig beställare. Säkerställ att rätt vårdenhet väljs. Beakta rutin för namnbyte enligt P14. Gör rutinerna kända. Inaktivering av behörighet Inför säker rutin för inaktivering av konto och behörighet vid upphörande av tjänst etc. Beakta rutin för namnbyte enligt P14. iskvärde 8 och 12 Behörighetskatalog Inför en för gemensam behörighetskatalog för hela kommunen baserad på strukturerad arkitektur och standardiserade produkter. Säkerställ kompetens kring katalogen. Synkronisera mellan AD och HSA. En användare ska ha en och samma identitet för alla system enligt 7 och 8 samt SITHS och SSO enligt 22 iskvärde 6 Dela dokumentation Administratörer ska ha möjlighet att dela dokumentation med andra administratörer i filsystemet utin för beställning av roll och behörighet Utveckla formulär / blankett för beställning med fler alternativ, digital signering, bättre utformning. Säkerställ att inga muntliga överenskommelser kan genomföras, alla omständigheter ska framgå i formuläret. iskvärde 6-9. Ansvarig Aktuell Status Åtgärd ej nödvändig Ej påbörjad Påbörjat datum Avslutat datum

25 25 Handlingsplan Säker roll och behörighet ID A8 P11, A9 P12, A10 A11 A12 A13 A14 Källa 15, 18, 32 1, 6, 17, 21, 39 3, 14, , Åtgärd, för detaljerad beskrivning hänvisas till källan. Lösenordsadministration Inför rutin för hur säker upplåsning/utlämning av lösenord kan ske. Är epost ett verktyg? Överväg självservice för utvalda delar. iskvärde 8-12 Storlek på Admin grupp Säkerställ att de personer som hanterar tilldelning av roller och behörigheter är rätt till antalet. iskvärde 6-9. Tekniskt skydd Minska risken för spridning av känslig information genom att säkerställa att det tekniska skyddet följer verksamhetens krav och bidrar till att skydda känslig information enligt gällande lagstiftning. iskvärde 12 Kontinuitetsplan Inför kontinuitetsplan (reservplan) för verksamheten som ska gälla om IT-systemen inte är tillgängliga. iskvärde 8. Lösenord Inför process för säker tilldelning av lösenord. Överväg självservice för utvalda delar. iskvärde 12 och 8 Nya arbetsuppgifter nya rättigheter Säkerställ rutinen för ny roll inom befintlig anställning Skyddad identitet Utforma en process så att anställd med skyddad identitet kan arbeta i verksamhetssystemet. Ansvarig Aktuell Status Åtgärd ej nödvändig Ej påbörjad Påbörjat datum Avslutat datum

26 Systemlev. Systemförv./ funktionsstöd IT-kundjtänst PA Chef Nyanställd 26 Bilaga A Säker roll och behörighet - Processkarta Nyanställning sjuksköterska Påskrift Mottagning av kontouppgifter / Påskrift av ansvarsförbindelse / Utbildning Aktiv användare Överenskommelse om anställning Beställning ny roll och behörighet Anställningsbevis Nya kontouppgifter AD Muntligt/skriftligt Mottagning ansvarsförbindelse Internpost E-post / webbanmälan Hämtas från LAS E-post Personalarkiv / personalakt Uppläggning i personalsystem / lön Muntligt/skriftligt Blankett Uppläggning i kontodatabas E-post E-post/script E-post SITHS Beställning för externa system Uppläggning i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning/ material vid behov Nyhetsbrev / uppdaterings -dokument Uppläggning i externa verksamhetssystem Systemförändringar / uppdateringar

27 27 Bilaga B Nyanställd Chef Skriva anställningsbesked. Skicka till nyanställd för påskrift Meddela IT-assistent Meddela vaktmästare Meddela IT-samordnare Checka av beställningar och leverera till nyanställd Introducera nyanställd Nyanställd Skriva på anställningsbesked och skicka till personalass Vaktmästare Beställa nycklar, tjänste-id och tagg Personalass egistrera anställningsbesked i personalsystem. Arkivera i personakt och skicka kopia till fackförening. Fackförening Arkivera anställningsbesked IT-assistent Beställa anknytning Beställa telefon IT-samordnare Beställa konto och förbereda dator. Lägga ärende till IT-avdelning Skapa/Beställa övriga behörigheter IT-avdelningen Aktivera konto Meddela IT-samordnare och chef

28 Systemförv./ funktionstöd Systemlev. IT-kundjtänst PA Chef Ny chef Anställd 28 Bilaga C Säker roll och behörighet - Processkarta Byte av tjänst Påskrift Mottagning av kontouppgifter / utbildning Aktiv användare Överenskommelse om anställning Anställningsbevis Nya kontouppgifter AD Beställning ändring roll och behörighet Information om ansvarsförbindelse Hämtas från WinLas Personalarkiv / personalakt E-post / webbanmälan E-post Internpost Ändring i personalsystem / lön Muntligt/skriftligt Ändring i kontodatabas E-post E-post/script SITHS Beställning för externa system Ändring i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning vid behov Nyhetsbrev / uppdaterings -dokument Ändring i externa verksamhetssystem Systemförändringar / uppdateringar

29 29 Bilaga D Chef Meddela ändring av anställning Ändring av anställning Ta emot meddelande om ny behörighet Personalassistent Skriva nytt anställningsbevis, skicka till anställd Löneassistent egistrera ändring i lönesystemet Arkivera en kopia av anställningsbevis och skicka en kopiera till fackförening Anställd Underteckna anställningsbevis och skicka till löneassistent Ta emot meddelande om ny behörighet IT-samordnare Ev. ändra behörigheter i verksamhetsystem Lägga ärende till IT-avdelningen om ändrad behörighet i administrativa nätet Meddela anställd och chef ny behörighet Fackförening Arkivera kopia av anställningsbevis IT-avdelning Ändra behörigheter i administrativa nätet när registrering i lönesystemet är gjord Meddela ITsamordnare

30 Systemförv./ funktionsstöd Systemlev. IT-kundjtänst PA Chef Anställd 30 Bilaga E Säker roll och behörighet - Processkarta Avslut av tjänst Avgång Avgångsbeslut Beställning avslut roll och behörighet E-post Kvittens Hämtas i WinLas Personalarkiv / personalakt Ändring i personalsystem / lön E-post / webbanmälan Avslut/inaktivering i kontodatabas E-post/script E-post SITHS Beställning för externa system Avslut/inaktivering i verksamhetssystem AD/E-post/ Treserva/osv Avslut/inaktivering i externa verksamhetssystem

31 31 Bilaga F Chef Meddela avslut av anställning Arkivera dokument Avslut av anställning Inaktivera ID-kort Skriva intyg/betyg om så begärs och skicka till anställd Anställd ensa filer och mappar Återlämna IDkort, nycklar, tag och telefon Ev. begära betyg/intyg Vaktmästare Inaktivera anställd i passersystem egistrera återlämning av nycklar IT-assistent Säga upp mobilabonnemang egistrera återlämning av telefon Personalass Inaktivera konton i personal- och lönesystem Arkivera personakt IT-samordnare Inaktivera konto i verksamhetsystemet. Lägga ärende till IT-avdelningen för avslut av konto i administrativa nätet IT-avd Inaktivera konto i administrativa nätet

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA BYT UT DENNA GULA RUTA TILL DIN KOMMUNS LOGGA Dokumenttyp Informationssäkerhet Sida Område Systemkartläggning 1 (9) Läs detta och ta därefter bort denna kommentarruta. Denna mall syftar till att användas

Läs mer

Syfte... 2. Behörig. in... 3. Logga 1(6)

Syfte... 2. Behörig. in... 3. Logga 1(6) RUTIN: BEHÖRIGHETER OCH ÅTKOMST TILL IT-SYSTEM... 2 Syfte... 2 Ansvar... 2 Behörig och inte behörig... 2 Varbergs kommuns nät... 2 Lösenord... 3 Patientjournalsystem... 3 1. Behovs- och riskanalyser...

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1333-2009 City Dental i Stockholm AB Box 16156 111 51 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Karin Norrman Elgh Översiktlig revisionsrapport Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Vara kommun Anställningar och avslut i lönesystemet

Läs mer

Manual inloggning Svevac

Manual inloggning Svevac 1. Dokumentinformation 1.1 Versionshistorik Version Datum Beskrivning av ändringar Författare 0.1 2014-06-09 Skapad Ingela Linered 0.2 Uppdaterad Ingela Linered 0.3 2014-09-22 Uppdaterad med nya sätt för

Läs mer

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ Diarienummer NHO-2014-0109.37 ALN-2014-0148. 37 Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ Dokumentnamn Riktlinje för sammanhållen journalföring, nationell patientöversikt,

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 570-2013 Socialnämnden Bollnäs kommun 821 80 Bollnäs Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Socialnämnden,

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA 2014-03-14 1 (7) RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA Riktlinjen är ett komplement till den policy som finns kring it-säkerhet i Höganäs kommun. Riktlinjen beskriver hur ansvarsfördelningen

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 573-2013 Vuxennämnden Eskilstuna kommun Vuxenförvaltningen 631 86 Eskilstuna Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser NetID drivrutiner kortläsare operativ browser webinar Checklista dokument wiki avreglering Apotek e-dos PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef HSA SITHS attribut autentisering

Läs mer

Checklista. För åtkomst till Svevac

Checklista. För åtkomst till Svevac Checklista För åtkomst till Svevac Innehållsförteckning 1 Inledning 2 2 Inloggning/autentisering i Svevac 2 3 Målet sammanhållen vaccinationsinformation 3 4 Säkerhetstjänsten 3 5 Detta är HSA 3 6 Detta

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggning av HSL-journaler samt NPÖ Rutin för loggning av HSL-journaler samt NPÖ Enligt patientdatalagen 4 kap 3,skall vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter om patienter

Läs mer

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen Informationshantering och journalföring Maria Jacobsson, Hälso- och sjukvårdsavdelningen 1. Målet för hälso- och sjukvården 2 HSL Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor

Läs mer

HPTA version 0.9. Bilaga 1. Administrering i HSA-katalogen

HPTA version 0.9. Bilaga 1. Administrering i HSA-katalogen HPTA version 0.9 Bilaga 1 Administrering i HSA-katalogen Innehåll 1. Bakgrund... 2 2. Roller och ansvar... 2 3. Verifiera korrekthet i HSA-katalogens innehåll... 3 4. Rolladministrering... 4 5. Registrering/redigering/hantering

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1, 2015-06-09

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1, 2015-06-09 Rekommendationer kring skyddade personuppgifter inom HSA och SITHS Version 2.1, SITHS version 2.1.doc Innehåll 1 Inledning... 3 1.1 Skyddade personuppgifter... 3 1.2 Vikten av säkerställd identitet...

Läs mer

Rutin för kontroll av loggar

Rutin för kontroll av loggar 1(6) SOCIALFÖRVALTNINGEN Beslutsdatum: 140630 Gäller från och med: 150301 Beslutad av (namn och titel): Framtagen av (namn och titel): Reviderad av (namn och titel): Reviderad den: Amelie Gustavsson, Maria

Läs mer

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg Datum Diarienr 2011-12-07 876-2010 TioHundranämnden Box 801 761 28 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundranämnden i strid med 6 lagen om behandling

Läs mer

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun 1(5) 4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun Nedanstående lagar, förordningar allmänna råd ligger till grund för omvårdnadsdokumentationen.

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Rutin för användande av Cambio Cosmic Link i Växjö kommun

Rutin för användande av Cambio Cosmic Link i Växjö kommun 2015-02-18 Rutin för användande av Cambio Cosmic Link i Växjö kommun Vad är Link? Link är ett verktyg/system för att förenkla den samordnade vårdplaneringen mellan slutenvården, kommunen och primärvården.

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Samverka effektivare via regiongemensam katalog Teknik spåret Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se 1 Ännu inget genombrott för e-legitimation Moment 22 Inte intressant

Läs mer

IT-säkerhet och support

IT-säkerhet och support IT-säkerhet och support Innehåll 1. ALLMÄN IT-SÄKERHET... 2 2. PERSONUPPGIFTSLAGEN (PUL)... 2 3. BEHÖRIGHET... 3 a. ID-hantering... 3 b. E-postadress... 4 c. Lösenord... 5 d. Mappar... 5 e. Intranätet

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldreomsorgen

RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldreomsorgen RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldreomsorgen Vård- och omsorgsförvaltningen i Ulricehamns kommun 1 av 5 Innehåll 1. Bakgrund...

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. 2008-08-15 1 (6) Reviderad 2010-04-21 Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. Nedanstående lagar, förordningar allmänna råd ligger

Läs mer

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths sida 1 Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths sida 2 1 Innehåll 2 Bakgrund - EK... 3 2.1 Vad är EK... 3 2.2 Tillämpningar för EK... 4 3 Bakgrund - etjänstekort... 5 3.1

Läs mer

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem SOCIALFÖRVALTNINGEN Annika Nilsson, 0554-191 56 annika.nilsson@kil.se 2014-05-07 Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem INLEDNING Patientdatalagen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument

1(12) Dokumentation inom SoL, LSS och HSL. Styrdokument 1(12) Styrdokument 2(12) Styrdokument Dokumenttyp Riktlinje Beslutad av Kommunstyrelsen 2015-03-10, 50 Dokumentansvarig Medicinskt ansvarig sjuksköterska Reviderad 3(12) Innehållsförteckning 1 Bakgrund...4

Läs mer

Kompletterande Riktlinje för informations säkerhet

Kompletterande Riktlinje för informations säkerhet Kompletterande Riktlinje för informations säkerhet Omsorgsförvaltningen Beslutad ON 131217 On 212. Gäller från och med 140101 sdfasdsfasf Innehåll Inledning... 4 Personuppgift... 4 Känsliga uppgifter...

Läs mer

Rutindokument för verksamhetssystem

Rutindokument för verksamhetssystem Rutindokument för verksamhetssystem Vård-och omsorgsförvaltningen Version 1.0 1 Innehållsförteckning 2 Revisionshistorik... 2 3 Syfte... 3 3.1 Målgrupp... 3 4 Beställningar i IT-portalen... 3 4.1 Beställningar

Läs mer

Rutiner för hantering avsiths-kort. Vård- och omsorgsförvaltningen

Rutiner för hantering avsiths-kort. Vård- och omsorgsförvaltningen Rutiner för hantering avsiths-kort Vård- och omsorgsförvaltningen Enköpings kommun 2012 Innehållsförteckning 1. Supportkontakt... 2 2. Nyanställning av personal och beställning... 2 3. Anmälan till utbildning...

Läs mer

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen

Informationssäkerhet en patientsäkerhetsfråga. Maria Jacobsson Socialstyrelsen Informationssäkerhet en patientsäkerhetsfråga Maria Jacobsson Socialstyrelsen Syftet med patientdatalagen tillgodose patientsäkerhet och god kvalitet samt främja kostnadseffektivitet patienters och övriga

Läs mer

Säkerhetsinstruktion. Procapita Vård och Omsorg

Säkerhetsinstruktion. Procapita Vård och Omsorg PM Handläggare Vårt diarienummer Datum Sidan 1(16) Säkerhetsinstruktion Procapita Vård och Omsorg Senast reviderad: 2010-12-29 Detta dokument är fastställt av systemägare för Procapita Vård och Omsorg

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldre- och handikappomsorgen

RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldre- och handikappomsorgen RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldre- och handikappomsorgen 1. Bakgrund 1.1 Syfte med dokumentation vid genomförande av

Läs mer

Riktlinje för riskanalys

Riktlinje för riskanalys Version Datum Utfärdat av Godkänt 1 2015-08-25 Therese Lindén, Ulrika Ström, Ingrid Olausson Förvaltningens ledningsgrupp Riktlinje för riskanalys KUB1001, v2.0, 2013-02-26 Kungsbacka kommun Vård & Omsorg

Läs mer

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete 2014 En bild av myndigheternas informationssäkerhet 2014 tillämpning av MSB:s föreskrifter Enkätundersökning februari 2014 Utskick

Läs mer

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA NATIONELLT NÄTVERK FÖR LÄKARSEKRETERARE 2011 11 10 STOCKHOLM Rose-Mharie Åhlfeldt Institutionen för Kommunikation och Information Bild 1 VEM ÄR JAG? Universitetslektor

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS 28 januari 2015 Henrika Littorin henrika.littorin@inera.se Tjänsterna i sitt sammanhang HSA SITHS 3 SITHS-kort Uppfyller kraven

Läs mer

IT-säkerhetsinstruktion Förvaltning

IT-säkerhetsinstruktion Förvaltning IT-säkerhetsinstruktion Förvaltning 2013-09-24 1.0 IT- S Ä K E R H E T S I N S T R U K T I O N IT-säkerhetsinstruktion Finspångs kommun 612 80 Finspång Telefon 0122-85 000 Fax 0122-850 33 E-post: kommun@finspang.se

Läs mer

Dokumenttyp: Projekt: Projektnummer: Utfärdat av: Utf datum: Godkänt av : Godk datum: PROJEKTBESKRIVNING... 1

Dokumenttyp: Projekt: Projektnummer: Utfärdat av: Utf datum: Godkänt av : Godk datum: PROJEKTBESKRIVNING... 1 Dokument nr: Version: Status: Sida: 1.00 Utkast/Utgåva (1)8 Dokumenttyp: Projekt: Projektnummer: Projektdokument Mobilt NPÖ Nummer för projekt Dokumentbeskrivning: Mobilt NPÖ - att använda Procapita mobilt

Läs mer

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm

Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Verket för förvaltningsutvecklings författningssamling ISSN 1654-0832 Utgivare: Lena Jönsson, Verva, Box 214, 101 24 Stockholm Vervas allmänna råd till föreskrift om statliga myndigheters arbete med säkert

Läs mer

Nationell patientöversikt en lösning som ökar patientsäkerheten

Nationell patientöversikt en lösning som ökar patientsäkerheten NPÖ-guiden NPÖ Nationell Patientöversikt Nationell patientöversikt en lösning som ökar patientsäkerheten Den här guiden riktar sig till vårdgivare landsting, kommuner och privata vårdgivare som ska eller

Läs mer

Kändisspotting i sjukvården

Kändisspotting i sjukvården Kändisspotting i sjukvården Sten Jacobson Grundprincip för hälso- och sjukvården Hälso- och sjukvården ska bygga på respekt för patientens integritet och självbestämmande. PDL ska ge en bättre samverkan

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Kvalitetsledningssystem inom vård- och omsorgsförvaltningen

Kvalitetsledningssystem inom vård- och omsorgsförvaltningen STYRDOKUMENT 1 (9) Vår handläggare Jan Nilsson Antaget av vård- och omsorgsnämnden 2012-10-25, 122 Kvalitetsledningssystem inom vård- och omsorgsförvaltningen STYRDOKUMENT 2 (9) Innehållsförteckning Bakgrund...

Läs mer

Ansvarsförbindelse etjänstekort

Ansvarsförbindelse etjänstekort Ansvarsförbindelse etjänstekort Ansvarsförbindelse avseende användning, utgivning och administration av etjänstekort för verksamhet: [Verksamhet som ansvarsförbindelsen gäller] Modell Anvisning Dokumentation

Läs mer

IT-säkerhetspolicy. Fastställd av KF 2005-02-16

IT-säkerhetspolicy. Fastställd av KF 2005-02-16 IT-säkerhetspolicy Fastställd av KF 2005-02-16 IT-säkerhetspolicy Sidan 2 (9) Revisionsinformation Datum Åtgärd Ansvarig Version 2004-11-19 3.4 Ändrat första meningen PGR 2.0 förvaltningen -> verksamheten

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Riktlinje gällande egenvård. Utfärdare/handläggare Anne Hallbäck, MAS Margareta Oswald, MAR

Riktlinje gällande egenvård. Utfärdare/handläggare Anne Hallbäck, MAS Margareta Oswald, MAR Dokumentets namn Riktlinje gällande egenvård, bedömning, planering och samverkan Riktlinje gällande egenvård Utfärdare/handläggare Anne Hallbäck, MAS Margareta Oswald, MAR Utgåva nr 2 Datum 090924 sida

Läs mer

Riktlinje för handläggning av dokument i ledningssystemet

Riktlinje för handläggning av dokument i ledningssystemet Ansvarig för rutin Avdelningschef Kvalitet och administration Upprättad (och datum) Utvecklingsledare och MAS Beslutad (datum och av vem) Socialförvaltningens ledningsgrupp, 2015-01-14 Reviderad (datum

Läs mer

Patientdatalagen (PdL) och Informationssäkerhet

Patientdatalagen (PdL) och Informationssäkerhet Patientdatalagen (PdL) och Informationssäkerhet Maria Bergdahl, jurist Mikael Ejner, IT-säkerhetsspecialist Datainspektionen Några utgångspunkter Lagstiftaren och EU vill ha integritet Integritet ej motsatt

Läs mer

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Bilaga 1 Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Datainspektionen granskade under år 2010 Länsstyrelsen i Västra Götalands hantering av personuppgifter i den elektroniska

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

INSTRUKTION. Koncernkontoret. Enheten för informationssäkerhet. Datum: 2015-09-02 Dnr: Dokumentets status: Beslutad

INSTRUKTION. Koncernkontoret. Enheten för informationssäkerhet. Datum: 2015-09-02 Dnr: Dokumentets status: Beslutad Koncernkontoret Enheten för informationssäkerhet Datum: 2015-09-02 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutad Dokumentid: Skyddade personuppgifter

Läs mer

Lösenordsregelverk för Karolinska Institutet

Lösenordsregelverk för Karolinska Institutet Lösenordsregelverk för Karolinska Institutet Dnr 1-213/2015 Version 2.0 Gäller från och med 2015-05-18 Sida 2 av 7 Lösenordsregelverk för Karolinska Institutet - Sammanfattning Syfte Det övergripande syftet

Läs mer

Riktlinjer för ansvar och behörigheter i Personec P

Riktlinjer för ansvar och behörigheter i Personec P Riktlinjer för ansvar och behörigheter i Personec P Antagen av: Dokumentansvarig: Yvonne Stolt Innehåll Inledning... 3 Syfte... 3 Allmän beskrivning av Personec P... 3 Ansvar... 4 Behörighetsroller i Personec

Läs mer

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group www.transcendentgroup.com Målsättning Öka förståelsen för nyttan med IT-revision Vad innebär intern IT-revision? Jmf

Läs mer

Ks 352 Dnr 2014.0294.759. Kommunstyrelsen beslutar

Ks 352 Dnr 2014.0294.759. Kommunstyrelsen beslutar Ks 352 Dnr 2014.0294.759 Uppföljning av granskning kring kvalitet inom socialtjänsten Kommunstyrelsen beslutar 1. Att till kommunrevisorerna överlämna ovanstående svar avseende granskning kring kvalitet

Läs mer

Manual - Storegate Team

Manual - Storegate Team Manual - Storegate Team Om tjänsten Med Storegate Team får du full kontroll över företagets viktiga digitala information. Du kan enkelt lagra, dela och arbeta i filer med högsta säkerhet inom ditt företag.

Läs mer

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2012-11-05 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutat Dokumentid:

Läs mer

Funktionshinderområdet och äldreomsorgen

Funktionshinderområdet och äldreomsorgen Riktlinjer för social dokumentation Funktionshinderområdet och äldreomsorgen Ansvarig/upprättad av Kvalitetsenheten Christina Almqvist Beslut fattat av Upprättad 2012-10-18 Reviderad Socialnämnden och

Läs mer

Uppföljning 2012-08-14 AB Adela Omsorg

Uppföljning 2012-08-14 AB Adela Omsorg SOLNA STAD Omvårdnadsförvaltningen Uppföljning 20120814 AB Granskare: Metod: Webbenkät, intervju, granskning av rutiner, genomförandeplaner och socialdokumentation genomförs vid ett besök hos utförararen.

Läs mer

Delprojektbeskrivning

Delprojektbeskrivning Dokument nr: Version: Status: Sida: 2.00 Utgåva (1)6 Dokumenttyp: Projekt: Projektnummer: Projektdokument etjänstekort Nummer för projekt Dokumentbeskrivning: Utfärdat av: Utf datum: Godkänt av : Godk

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datum Diarienr 2011-12-12 749-2011 Capio S:t Görans Sjukhus 112 81 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut Datainspektionen

Läs mer

Mobil dokumentation i Dals Eds kommun ehälsa 2014: 1

Mobil dokumentation i Dals Eds kommun ehälsa 2014: 1 Dokument nr: Version: Status: Sida: (1)7 Mobil dokumentation i Dals Eds kommun ehälsa 2014: 1 Införa Mobil journal via Tietos koncept Lifecare Procapita Kristina Lignell, Carina Johansson, Kennet Sundström

Läs mer

Informations- säkerhet

Informations- säkerhet ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar! ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på

Läs mer

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för IT-säkerhet i Halmstads kommun Riktlinjer för IT-säkerhet i Halmstads kommun VER 1.0 Innehåll Inledning...3 Definition av IT-säkerhet...3 Omfattning...3 Vikten av IT-säkerhet...3 Mål för IT-säkerhetsarbetet...4 Ledning och ansvar...4

Läs mer

Uppföljning av tidigare granskningar

Uppföljning av tidigare granskningar Revisionsrapport 7/2014 Uppföljning av tidigare granskningar Södertälje kommun Innehåll 1 Inledning...2 1.1 Syfte och revisionsfrågor...2 1.2 Revisionskriterier...2 1.3 Metod...2 1.4 Avgränsning...2 2

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen Datum Diarienr 2010-10-11 1725-2009 Styrelsen för Karolinska Universitetssjukhuset Stockholms läns landsting Box 22550 104 22 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella

Läs mer

Samtycke vid direktåtkomst till sammanhållen journalföring

Samtycke vid direktåtkomst till sammanhållen journalföring Riktlinjer Samtycke vid direktåtkomst till sammanhållen journalföring Version 3 2014-12-23 Riktlinjerna är upprättade av medicinskt ansvariga sjuksköterskor och medicinskt ansvariga för rehabilitering

Läs mer

Användarbeskrivning ARBETSGIVARINTYG. för Sveriges alla arbetsgivare. arbetsgivarintyg.nu. En ingång för alla användare. Innehåll. Version 1.

Användarbeskrivning ARBETSGIVARINTYG. för Sveriges alla arbetsgivare. arbetsgivarintyg.nu. En ingång för alla användare. Innehåll. Version 1. 2015 05 17 Arbetslöshetskassornas samorganisation SO Version 1.0 ARBETSGIVARINTYG för Sveriges alla arbetsgivare Användarbeskrivning arbetsgivarintyg.nu Med tjänsten arbetsgivarintyg.nu kan du som arbetsgivare

Läs mer

Administration generellt

Administration generellt Administration generellt Motsvarande vägledningar för vänstermeny hittar du längre ner i dokumentet Generellt Med Business Online Administration kan du bl.a. registrera, ändra och ta bort användare beställa

Läs mer

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt Innehållsförteckning 1. Inledning... 3 2. SITHS kort... 4 3. Förutsättningar för åtkomst till Säkerhetstjänsten... 4 4.

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-12-12 1896-2005 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad (er beteckning LK/052693) Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut

Läs mer

Informationssäkerhet, Linköpings kommun

Informationssäkerhet, Linköpings kommun 1 (6) E-Lin projektet 2013-10-28 Informationssäkerhet, Linköpings kommun Delrapport 2 Innehåll Dokumenthistorik... 3 1. Syfte... 3 2. Bakgrund... 3 2.1 Målgrupp... 3 3. Frågeställningar... 3 4. Undersökning...

Läs mer

Anställnings- och avgångsrutiner

Anställnings- och avgångsrutiner Revisionsrapport Anställnings- och avgångsrutiner Malin Andersson Hans Axelsson Inledning/uppdraget Av s revisorer har vi fått i uppdrag att granska om det finns en tillräcklig kontroll av rutiner i samband

Läs mer

Samverka effektivare via regiongemensam katalog

Samverka effektivare via regiongemensam katalog Samverka effektivare via regiongemensam katalog Seminarium 4:6 Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Johan Zenk, Landstinget i Östergötland Ännu inget genombrott för e-legitimation

Läs mer

Informationssäkerhet Riktlinje Förvaltning

Informationssäkerhet Riktlinje Förvaltning Informationssäkerhet Riktlinje Förvaltning Fastställd av kommundirektören 2011-06-20 Innehåll 1 Informationssäkerhet 3 2 Organisation och ansvar 4 2.1 Informationssäkerhetssamordnare... 4 2.2 IT-chef...

Läs mer

Resultat från kvalitetsuppföljning i Attendos verksamheter på Baldersvägen, Utmarksvägen och Vesslevägen.

Resultat från kvalitetsuppföljning i Attendos verksamheter på Baldersvägen, Utmarksvägen och Vesslevägen. sida 1 (11) Kvalitets- och utredningsavdelningen Socialförvaltningen Kristina Privér Kvalitetscontroller Resultat från kvalitetsuppföljning i Attendos verksamheter på Baldersvägen, Utmarksvägen och Vesslevägen.

Läs mer

Informations- och IT-säkerhet i kommunal verksamhet

Informations- och IT-säkerhet i kommunal verksamhet Informations- och IT-säkerhet i kommunal verksamhet En kommuns roll i trygghets och säkerhetsarbetet och var informations- och IT-säkerheten kommer in i detta Vad, vem och hur man kan arbeta med informations-

Läs mer

IT-säkerhetsinstruktion

IT-säkerhetsinstruktion IT-säkerhetsinstruktion Innehållsförteckning 1. ANVÄNDARENS ANSVAR...2 2. ÅTKOMST TILL INFORMATION...2 2.1 BEHÖRIGHET...2 2.2 INLOGGNING...2 2.3 VAL AV LÖSENORD...2 2.4 BYTE AV LÖSENORD...2 3. DIN ARBETSPLATS...3

Läs mer

SAMVERKANSRUTINER. (enligt SOSFS 2009:6) FÖR HANTERING AV EGENVÅRD I SÖRMLAND

SAMVERKANSRUTINER. (enligt SOSFS 2009:6) FÖR HANTERING AV EGENVÅRD I SÖRMLAND SAMVERKANSRUTINER (enligt SOSFS 2009:6) FÖR HANTERING AV EGENVÅRD I SÖRMLAND Egenvård ska erbjuda möjligheter till ökad livskvalitet och ökat välbefinnande genom självbestämmande, ökad frihetskänsla och

Läs mer

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort Mallar för kvittenser och e-post Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort 1. E-postutskick och kvittens... 2 1.1 E-postutskick... 2 1.1.1 Påminnelse av utgående

Läs mer

Rutiner för f r samverkan

Rutiner för f r samverkan Rutiner för f r samverkan Huvudmännen för hälso- och sjukvården och socialtjänsten ska tillsammans säkerställa att övergripande rutiner för samverkan i samband med egenvård utarbetas. Rutinerna ska tas

Läs mer