Systemsäkerhetsanalys säker roll och behörighet.

Storlek: px
Starta visningen från sidan:

Download "Systemsäkerhetsanalys säker roll och behörighet."

Transkript

1 BYT UT DENNA GULA UTA TILL DIN KOMMUNS LOGGA Dokumenttyp Informationssäkerhet, analys Sida Område oll och behörighet 1 (31) Läs detta och ta därefter bort denna kommentarruta. Denna mall syftar till att utgöra ett stöd vid kartläggning av processerna för säker roll och behörighet. Kartläggningen motsvarar en systemsäkerhetsanalys som omfattar informationskartläggning, processkartläggning, risk- och sårbarhetsanalyser samt upprättande av handlingsplan. Denna mall utformades hösten 2014 som ett resultat av arbetet med ehälsa i Kalmar län. Metoden utgår från ett systematiskt informationssäkerhetsarbete och baseras på principer som bygger på svensk standard för informationssäkerhet SS-ISO/IEC Uppföljning är nödvändigt för att säkerställa genomförandet i praktiken. Dokumentet ska uppdateras så att det motsvarar varje kommuns egna förutsättningar. En del ska bort, annat ska läggas till. Uppgiften är att genomföra en egen informationsklassning, riskanalys och åtgärdsplan utifrån den metod som beskrivs i detta dokument. Allt som är GULMAKEAT ska ser över, uppdateras och kompletteras. Därefter ska den gulmarkerade texten avmarkeras. Systemsäkerhetsanalys säker roll och behörighet. Innehåll 1. Grundinformation Deltagare Bakgrund Syfte Mål Mottagare Avgränsning Metod för genomförande Sammanfattning Informationskartläggning Informationstillgångar Informationssystem Informationsklassning Kravbild Skyddsåtgärd per informationsklass Processkartläggning Nyanställd Ny roll i befintlig anställning Avslut av anställning Styrkor i befintlig modell Svagheter i befintlig modell isk- och sårbarhetsanalys Skala för sannolikhet och konsekvens esultat riskanalys med åtgärdsförslag Handlingsplan Dokumentnamn: Systemkartläggning säker roll och behörighet Utfärdat datum: eviderat datum:

2 evision: Datum: Beskrivning: Utförd av: Första utkast Stephen Dorch Andra utkastet Stephen Dorch Skriv in er version 2

3 3 1. Grundinformation 1.1. Deltagare <äkna upp alla deltagare i arbetsgruppen, namn, verksamhet och roll som varit delaktiga med arbetet från din kommun, ta därefter bort denna text> Namn Verksamhet oll 1.2. Bakgrund Det är av största vikt att kommunen hanterar åtkomst till känslig information med största respekt för individen och dess integritet. Åtkomst till information ska ske på ett sådant sätt att endast behörig personal kommer åt känslig information. Det är viktigt att de personer som har behov av åtkomst till information känner sig trygga och litar på den information de får. Uppbyggnad av en behörighetsmodell baseras på principen om att det ska vara lätt att göra rätt och svårt att göra fel. Idag administreras användare i varje system för sig vilket skapar onödigt stor administration. Användare riskerar att få olika identiteter och olika lösenord i alla olika system. Det är också svårt att få en överblick av en användares totala behörigheter. Särskilda säkerhetsåtgärder behöver vidtas för att införa en modell för säker roll och behörighet. Utöver rena IT-tekniska åtgärder behövs andra åtgärder som t.e.x utbildning och översyn av processer. I denna analys har vår kommun karlagt vilka informationsmängder som förutsätter säker roll och behörighet, hur hanteringen ser ut idag, identifierat styrkor, svagheter och risker. Utifrån dessa parameterar har sammantaget 14 förslag till åtgärder identifieras som kommunen har att ta ställning till. Läs detta och ta därefter bort denna kommentarruta. I mallen finns det en hel del värden upptagna, som t.ex. 14 förslag till åtgärder ovan. Det är viktigt att dessa värden överensstämmer med det som faktisk framkommer i analysen. Mening med att numrera och ange volym är att det underlättar framtida uppföljningen dä vi då kan påvisa en utveckling. Genom att mäta informationssäkerhet på detta sätt kan utveckling och insatser värderas mot kostnader, investeringar och självklart tillgänglighet 1.3. Syfte Syftet med analysen är att kartlägga hur behörighetsanteringen fungerar idag samt att identifiera förslag på förbättringsåtgärder.

4 Mål Ta fram hållbara rutiner kring säker roll och behörighet för system/applikationer som innefattar känsliga personuppgifter samt beskriva hur man implementerar rutinerna på bästa sätt. De kortsiktiga målen är att vidta åtgärder enligt de förslag som framkommit i analysen och som finns listade i kapitel 6, handlingsplan. Det långsiktiga målet bör vara att införa en systemoberoende metakatalog som omfattar både en kontodatabas och behörighetskatalog med höga krav på riktighet, tillgänglighet, konfidentialitet och spårbarhet. I katalogen är information om en användares behörigheter samlad på ett ställe med fokus på åtkomst oavsett i vilket system informationen lagras Mottagare Mottagare av denna rapport är den verksamhetschef inom inom vård och omsorg samt socialchef. Vissa åtgärder åligger IT-chefen som får informationen i dialog med verksamheten. Läs detta och ta därefter bort denna kommentarruta. Var noga med att ange vem som är mottagaren av rapporten. Metoden bygger på att det finns en fastställd beställare och ett uppdrag i botten Avgränsning Analysen avgränsas till hemtjänst och hemsjukvård Metod för genomförande Analysen har genomförts med stöd av det metodstöd 1 som myndigheten för samhällsskydd och beredskap, MSB har utformat. Metodstöden baseras på den svenska standarden för informationssäkerhet, ISO/IEC Vår tillämpning av metodstödet använder sig av nedanstående fem delmoment, i syfte att identifiera nödvändiga åtgärder för att uppnå en säker roll och behörighet. Beskriv informationstillgången Klassificera informationen Processkartläggning isk- och sårbarhetsanalys Identifiera åtgärder 1 https://www.informationssakerhet.se/sv/metodstod/

5 5 2. Sammanfattning I denna analys har vi kommit fram till 14 konkreta aktiviteter som finns sammanställda i en handlingsplan. Aktiviteterna beaktar de risker och svagheter som framkommit i nuvarande process för tilldelning av roll och behörighet samt i genomförd riskanalys. De 14 övergripande aktiviteterna är; Utbildning Checklistor Aktivering av behörighet Inaktivering av behörighet Behörighetskatalog Dela dokumentation utin för beställning av roll och behörighet Lösenordsadministration Storlek på admin grupp Tekniskt skydd Kontinuitetsplan Lösenord Nya arbetsuppgifter, nya rättigheter Skyddad identitet Detaljer kring aktiviteternas omfattning framgår i handlingsplanen kapitel 6, med stöd av processkartläggningen i kapitel 4 och riskanalysen i kap 5. Läs detta och ta därefter bort denna kommentarruta. Var noga med att identifiera aktiviteterna, ovanstående aktiviteter är endast exempel och kan användas som vägledning. Det kan vara både fler och färre aktiviteter Idag administreras användare i varje system för sig. Konsekvensen är att: det blir onödig stor administration användare har olika identiteter och lösenord i alla olika system det är svårt att få en totalbild av en användares behörigheter. Behörigheten bör istället styras av användarens och informationens egenskaper Detta gör att behörigheter inte måste administreras i alla system utan kan hanteras i en egenskapskälla, en katalog Den organisatoriska tillhörigheten (på personal) definieras via uppdraget Vilken applikation som hanterar informationen påverkar inte behörigheten Det långsiktiga målet bör därför vara en systemoberoende behörighetshantering med höga krav på riktighet och spårbarhet där informationen om vilka behörigheter en användare har finns samlad på ett och samma ställe. Förhållandet illustreras översiktligt i bilden nedan. Informations mängd egelverk för behörighetsstyrning oll Metakatalog (en för alla system) Åtkomst Ja/Nej

6 3. Informationskartläggning För att förstå vilka säkerhetsåtgärder som är nödvändiga, behöver vi förstå vilket typ av information man behöver ha åtkomst till. Det som avgör hur en säker roll och behörighet ska se ut är en bedömning av hur allvarligt det är om det uppstår brister i sekretessen och obehöriga därmed får del av känslig information. Beslut om åtgärder baseras på verksamhetens behov och bör utgå utifrån; vilka informationstillgångar och informationssystem som omfattas, resultatet av informationsklassning, verksamhetskrav och legala krav, samt resultatet av risk- och sårbarhetsanalys Informationstillgångar Några av de informationstillgångar som verksamheten identifierat är; patientjournal, personakt, hälsotillstånd, olika former av beslut, anteckningar och personuppgifter. Åtkomst till ovanstående informationsmängder kräver säker roll- och behörighet Informationssystem De informationssystem som hanterar informationstillgångarna är de programvaror som används för åtkomst till information, t.ex. journalsystem. Men informationssystem är också IT-infrastruktur som t.ex. katalog och nätverk. Verksamheten har identifierat följande informationssystem: 6 ProfDoc Treserva LapsCare Adad net Swevac Personec Cosmic Link SBBTEK TimeCare Mobilys BPSD NPÖ Senior Allert Palitativa registret ASI-net Lefi online Phoniro Intrafon SQL-DB AD HSA SITHS Ovanstående 22 system utgör exempel på system som påverkas av säker roll- och behörighet. Analysen visar att en anställd ofta har fyra till fem olika användarnamn och lösenord att hålla reda på, men att det finns både bättre och värre exempel. Med ett system för säker roll- och behörighet blir inloggning enkelt och säkert, med få lösenord att hålla i minnet.

7 Informationsklassning Syftet med klassificering är att rätt säkerhetsåtgärd ska vidtas utifrån hur viktig informationen är. Varje nivå ska vara kopplad till konkreta säkerhetsåtgärder. I analysen avseende säker roll och behörighet genomfördes en begränsad informationsklassning då utgångspunkten är att all information som kräver säker roll och behörighet i princip är att betrakta som känslig. I informationsklassningen har vi använt oss av nedanstående modell som baseras på Myndigheten för samhällsskydd och beredskap, MSB 2 rekommendationer. Det är denna modell som de flesta av Sveriges kommuner använder. Säkerhetsaspekt Konsekvens 4 Allvarlig 3 Betydande 2 Måttlig 1 Försumbar Information där förlust av riktighet innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av konfidentialitet/ sekretess innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverka på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av spårbarhet innebär allvarlig/katastrofal negativ påverkan betydande negativ påverkan måttlig negativ påverkan försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Vi har genomfört informationsklassning för några av de mest vanligt förekommande informationsmängderna. Dessa återfinns i tabellen nedan. Observera att det är informationsmängderna som ska klassificeras och inte informationssystemet. Klassificeringen utifrån aspekterna Sekretess (konfidentialitet), iktighet, Tillgänglighet och Spårbarhet. Ange värde 1-4 från mallen ovan i tabellen nedan. Säkerhetsaspekt Informationsmängd Sekretess iktighet Tillgänglighet Spårbarhet Patientjournal???? Personact???? Hälsotillstånd???? Beslut???? Anteckningar???? Personuppgifter???? 2 Version 1, , Publ-nr MSB: https://www.msb.se/ibdata/filer/pdf/25602.pdf

8 3.4. Kravbild Åtkomst till information baseras på vilka krav som gäller för en viss typ av information. Vanligen delas kraven in i interna och interna krav. De interna kraven består av krav från verksamheten samt ledningen. De externa kraven är i form av lagar, föreskrifter och vissa typer av avtal. Säkerhetskrav kan vara både interna och externa. Dessa krav kan vara givna, men kan också med fördel identifieras i en riskanalys. Exempel på interna krav som arbetsgruppen identifierat: Stark autentisering till HSA, Cosmic, NPÖ, Pascal, SSBTEK egelbundna kontrollerade tvingande lösenordsbyte Att obehöriga inte ges tillgång till känslig information som de inte har rätt till Att anställda inte har tillgång till mer än vad rollen kräver Att IT hjälper till med kravställning på externa leverantörer, som t.ex. stark autentisering Exempel på externa krav som arbetsgruppen identifierat: PDL om stark autentisering PUL DNV (Den norske veritas) ( för siths, legitimationer) SOSFS Socialstyrelsens föreskrifter Socialtjänstlagen Hälso- och sjukvårdslagen 3.5. Skyddsåtgärd per informationsklass Nedanstående tabell visar översiktliga generella åtgärder. De säkerhetsåtgärder som återfinns i sista kapitlet utgår från de risker som är identifierade i riskanalysen. Dessa åtgärder baseras på de generella åtgärderna som återfinns i tabellen nedan. 8 Säkerhetsaspekt Sekretess iktighet Tillgänglighet Spårbarhet Informationsklass Stark autentisering, hårda certifikat, SITHS Mjuka certifikat, ev SITHS konto + avancerat lösen Förenklad behörighetskontroll Konto + lösenord Elektronisk Signering, verifiering, underskrift. Kryptering. Automatiserad kontroll av riktighet Kontroll av riktighet, kan ske mha manuella rutiner Kontroll av riktighet vid behov Dubbla anslutningar, Jour, Hög bemanning Övervakning, Avtal, federation SSO, säkerställda processer Dubbla anslutningar, Federation SSO, avtal, Enkel avtalad anslutning Systematisk loggkontroll med täta intervaller, Tät och regelbunden granskning, Känsliga personuppgifter Systematisk loggkontroll, Granskning Loggkontroll utin med sällan förekommande granskning 1 Ingen behörighets kontroll Ingen kontroll av riktighet Inget avtal Ingen loggkontroll

9 Systemlev. Systemförv./ funktionsstöd IT-kundjtänst PA Chef Nyanställd 9 4. Processkartläggning En processkartläggning för händelserna nyanställning, avslut av anställning samt ny roll i befintlig anställning är genomförd i syfte att identifiera nuvarande modells styrkor, svagheter och förbättringsförslag. I tabellen nedan finns de resurser och funktioner som är inblandade vid tilldelning av roller och behörigheter. Ta bort/lägg till det som inte är relevant för er. Avdelning Nyanställd Chef Personalavdelningen Personalassistent IT-assistent Vaktmästare IT-samordnare IT-avdelningen Systemförvaltare Funktionsstöd Systemleverantör Funktion Person som anställs Närmaste chef, den chef som anställer Personaladministration, t.ex. registrera anställningsbesked, arkivera personalakt, informera facket Hantera nycklar, tjänste-id, anknytningar, telefon etc. T.ex. beställa konton och behörigheter, samt dator Aktivera konton, meddela beställaren De personer som är satta att ansvara för ett system Utgör stöd till systemförvaltaren i verksamheten, t.ex. utbildning och support Den externa leverantören av ett system 4.1. Nyanställd Bilderna nedan visar två exempel på processer för tilldelning av roll och behörighet vid nyanställning. Byt ut nedanstående processkartläggning mot din kommuns process. Säker roll och behörighet - Processkarta Påskrift Mottagning av kontouppgifter / Påskrift av ansvarsförbindelse / Utbildning Nyanställning sjuksköterska Aktiv användare Chef Skriva anställningsbesked. Skicka till nyanställd för påskrift Meddela IT-assistent Meddela vaktmästare Meddela IT-samordnare Nyanställd Checka av beställningar och leverera till nyanställd Introducera nyanställd Överenskommelse om anställning Nyanställd Skriva på anställningsbesked och skicka till personalass Beställning ny roll och behörighet Anställningsbevis Nya kontouppgifter AD Muntligt/skriftligt Mottagning ansvarsförbindelse E-post / webbanmälan Hämtas från LAS E-post Internpost Personalarkiv / personalakt Vaktmästare Beställa nycklar, tjänste-id och tagg Uppläggning i personalsystem / lön Muntligt/skriftligt Personalass egistrera anställningsbesked i personalsystem. Arkivera i personakt och skicka kopia till fackförening. Blankett Uppläggning i kontodatabas E-post/script E-post Fackförening Arkivera anställningsbesked E-post Beställa anknytning SITHS Beställning för externa system Uppläggning i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning/ material vid behov Nyhetsbrev / uppdaterings -dokument IT-assistent IT-samordnare Beställa konto och förbereda dator. Lägga ärende till IT-avdelning Beställa telefon Skapa/Beställa övriga behörigheter Uppläggning i externa verksamhetssystem Bild i större format återfinns i bilaga A. Systemförändringar / uppdateringar Aktivera konto IT-avdelningen Meddela IT-samordnare och chef Bild i större format återfinns i bilaga B. Processkartläggningen måste kompletteras med en beskrivande text för att bli tydlig. Det kan göras på flera olika sätt. I den vänstra bilden är det begränsat med text i rutorna, vilket förutsätter en beskrivning i efterföljande text. I den högra bilden finns mer Läs detta och ta därefter bort denna kommentarruta. Var noga med i bilagan skicka med större bilder i A4 format. Utan en översiktlig bild får läsaren ingen överblick av processen. Ett annat alternativ är att lägga in en betydligt större bild ovan, utan hänvisning till bilagan.

10 Systemförv./ Systemlev. IT-kundjtänst PA Chef Ny chef Anställd funktionstöd 10 beskrivande text i rutorna, vilket medför att behovet av ytterligare beskrivande text inte är lika nödvändigt. Exempel på vilka underrubriker som kan vara aktuella som beskrivande text till den vänstra bilden är: Överenskommelse av anställning Beställning ny roll och behörighet Uppläggning i kontodatabas Uppläggning i interna verksamhetssystem SITHS Uppläggning i externa verksamhetssystem Anställningsbevis Mottagning av kontouppgifter Mottagning av ansvarsförbindelse Utbildning Ovanstående underrubriker är endast exempel. Processen ska baseras på förutsättningarna i er egen kommun. Ni sätter egna underrubriker med egna beskrivningar Ny roll i befintlig anställning Bilderna nedan visar två exempel på processer för tilldelning av roll och behörighet vid byte av tjänst, dvs byte av roll, inom samma anställning. Byt ut nedanstående processkartläggning mot din kommuns process. Säker roll och behörighet - Processkarta Byte av tjänst Chef Meddela ändring av anställning Ändring av anställning Ta emot meddelande om ny behörighet Överenskommelse om anställning Påskrift Mottagning av kontouppgifter / utbildning Aktiv användare Personalassistent Skriva nytt anställningsbevis, skicka till anställd Anställningsbevis Nya kontouppgifter AD Beställning ändring roll och behörighet Information om ansvarsförbindelse Löneassistent egistrera ändring i lönesystemet Arkivera en kopia av anställningsbevis och skicka en kopiera till fackförening Hämtas från WinLas Personalarkiv / personalakt E-post / webbanmälan E-post Internpost Ändring i personalsystem / lön Muntligt/skriftligt Anställd Underteckna anställningsbevis och skicka till löneassistent Ta emot meddelande om ny behörighet Ändring i kontodatabas E-post E-post/script IT-samordnare Ev. ändra behörigheter i verksamhetsystem Lägga ärende till IT-avdelningen om ändrad behörighet i administrativa nätet Meddela anställd och chef ny behörighet SITHS Beställning för externa system Ändring i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning vid behov Nyhetsbrev / uppdaterings -dokument Fackförening Arkivera kopia av anställningsbevis Ändra behörigheter i IT-avdelning administrativa nätet när Ändring i externa Systemförändringar verksamhetssystem / uppdateringar registrering i lönesystemet är gjord Bild i större format återfinns i bilaga C. Bild i större format återfinns i bilaga D. Meddela ITsamordnare Processkartläggningen måste kompletteras med en beskrivande text för att bli tydlig. Det kan göras på flera olika sätt. I den vänstra bilden är det begränsat med text i rutorna, vilket förutsätter en beskrivning i efterföljande text. I den högra bilden finns mer beskrivande text i rutorna, vilket medför att behovet av ytterligare beskrivande text inte är lika nödvändigt Exempel på vilka underrubriker som kan vara aktuella som beskrivande text till den vänstra bilden är: Överenskommelse av anställning Beställning ändring roll och behörighet

11 Systemförv./ Systemlev. IT-kundjtänst PA Chef funktionsstöd Anställd 11 Ändring i kontodatabas Ändring i interna verksamhetssystem SITHS Ändring i externa verksamhetssystem Anställningsbevis Mottagning av kontouppgifter Information om ansvarsförbindelse Utbildning Ovanstående underrubriker är endast exempel. Processen ska baseras på förutsättningarna i er egen kommun. Ni sätter egna underrubriker med egna beskrivningar Avslut av anställning Bilderna nedan visar två exempel på processer för avslut av roll och behörighet vid upphörande av anställning. Byt ut nedanstående processkartläggning mot din kommuns process. Säker roll och behörighet - Processkarta Avslut av tjänst Chef Meddela avslut av anställning Arkivera dokument Avslut av anställning Inaktivera ID-kort Skriva intyg/betyg om så begärs och skicka till anställd Avgång Anställd ensa filer och mappar Återlämna IDkort, nycklar, tag och telefon Ev. begära betyg/intyg Avgångsbeslut Hämtas i WinLas Beställning avslut roll och behörighet E-post Kvittens Personalarkiv / personalakt Vaktmästare Inaktivera anställd i passersystem egistrera återlämning av nycklar Ändring i personalsystem / lön E-post / webbanmälan IT-assistent Säga upp mobilabonnemang egistrera återlämning av telefon Avslut/inaktivering i kontodatabas E-post E-post/script Personalass Inaktivera konton i personal- och lönesystem Arkivera personakt SITHS Beställning för externa system Avslut/inaktivering i verksamhetssystem AD/E-post/ Treserva/osv IT-samordnare Inaktivera konto i verksamhetsystemet. Lägga ärende till IT-avdelningen för avslut av konto i administrativa nätet Avslut/inaktivering i externa verksamhetssystem IT-avd Inaktivera konto i administrativa nätet Bild i större format återfinns i bilaga E. Bild i större format återfinns i bilaga F. Processkartläggningen måste kompletteras med en beskrivande text för att bli tydlig. Det kan göras på flera olika sätt. I den vänstra bilden är det begränsat med text i rutorna, vilket förutsätter en beskrivning i efterföljande text. I den högra bilden finns mer beskrivande text i rutorna, vilket medför att behovet av ytterligare beskrivande text inte är lika nödvändigt Exempel på vilka underrubriker som kan vara aktuella som beskrivande text till den vänstra bilden är: Avgång Ändring i personalsystem och lönesystem Beställning avslut roll och behörighet Avslut / inaktivering i kontodatabas Avslut / inaktivering i interna verksamhetssystem SITHS Avslut / inaktivering i externa verksamhetssystem

12 12 Ovanstående underrubriker är endast exempel. Processen ska baseras på förutsättningarna i er egen kommun. Ni sätter egna underrubriker med egna beskrivningar Styrkor i befintlig modell Följande styrkor är identifierade i vår kommuns nuvarande modell för roll- och behörighet. I tabellen ska ni ersätta styrkorna med de styrkor som ni identifierar i er egen kommun. Ta därefter bort denna text. Styrka Gemensam kontodatabas Namnstandarden Informationssäkerhets policy och riktlinjer Svarta listan En ingång, en kontakt för berörda chefer. En beställningskontakt Konto kan endast skapas när användaren finns registrerad i personalsystemet. utinen för att beställa konton Få har rätt att skapa konton Organisation verksamhet Hjälp över organisationsgränser Ett fåtal har behörighet Lätt att få besked, liten organisation och nära till chefen Hanteringen av blanketter Samma inloggning Motivering All administration sker från ett och samma ställe Bra med namnstandard som inte baseras på namn. På så sätt behöver man inte ändra inloggningen när användaren byter namn. T.ex. vid giftermål. Bra att det finns beslut i policys och riktlinjer. Där står även vem som ansvarar för utbildning etc. Lista med personer som har konton, men som inte längre får ut lön. utin för avslutade konton etc. som innebär att vi har regelbundna avstämningsmöten och att vi kommunicerar förändringar genom mailen där det framgår namnet på de som har slutat eller fått andra roller osv. Ett formulär och en kontakt som aktuell chef använder sig av vid rapportering till IT, samordnaren, receptionist. Ett konto kan endast skapas när den anställde är registrerad i personalsystemet. Kontot avslutas efter att man fått den sista lönen. Det är endast chefer som har rätt att beställa konton och det är endast IT-samordnaren som har registrera konton. Det är endast ett fåtal personer som har rätt att skapa konton. Det ger en tydlighet och personalen vet vem man ska kontakta. Systemförvaltaren sitter i verksamheten, vilket är bra då det förutsätter verksamhetskunskap. Systemförvaltare i olika förvaltningar och IT hjälper varandra oavsett organisation. Hjälpande och lärande organisation. Endast ett begränsat antal personer har medvetet tilldelats rättigheten att skapa nya konton. Det ger en bättre kontroll. Närheten till användarna underlättar kommunikationen, vilket medför ökad förståelsen när något går fel. Blanketterna för vård och omsorg fungerar bra. Det är samma inloggningsuppgifter i AD och i personec. Underlättar för personalen.

13 Svagheter i befintlig modell Följande svagheter är identifierade i vår kommuns nuvarande modell för rol- och behörighet. I tabellen ska ni ersätta svaghet med de svagheter som ni identifierar i er egen kommun. Ta därefter bort denna text. ID Svaghet Motivering Åtgärdsförslag P 1 Den rutin som finns i informationssäkerhetspolicyn och Mer information behövs där det tydliggörs vad det innebär. i dess riktlinjer följs inte. Översyn av checklistor. Möten och workshop i syfte att förbättra, tydliggöra och informera P2 Brister i utbildning och introduktion Konsekvens kan bli att information hanteras oaktsamt. Tid för utbildning och introduktion måste avsättas P3 Möjliga brister i personkontrollen Genomför ID kontroll vid tilldelning av behörighet Uppdatera checklista Hämta information från Befolkningsregistret Diskutera om det krävs utdrag från belastningsregistret. P4 Möjliga brister vid avslut av anställning Informera ut till cheferna att det är viktigt att de som hanterar konton får information vid upphörande av P5 Beställning av behörighet sker utanför den centrala kontodatabasen, ger ingen samlad bild, onödigt många konton och lösenord för användaren. anställning. Se över aktuella processer och anpassa om möjligt så att all hantering sker genom den gemensamma kontodatabasen. P6 Egenutvecklad kontodatabas Medför risker vid support. Personberoende, om någon slutar Åtgärd införskaffa kommersiell produkt P7 Ingen synkronisering mellan AD Försvårar SSO och HSA för behörighetsstyrning Bör lösas långsiktigt P8 Brister i strukturen kring filhantering. Administratörerna Administratörerna bör dela mappar i filsystemet. kommer inte åt varandras mappar Administratörerna bör ha med information om t.ex. aktuella gemensam information och rutiner. Medför svårigheter med liknande strukturer. att hjälpa och lära av varandra.

14 14 ID Svaghet Motivering Åtgärdsförslag P9 Brister i beställningsformuläret, osignerade beställningar Förbättra utformningen av blanketten Se över möjligheten att utveckla formuläret med fler beställningsmängder Långsiktigt inför elektronisk signering P10 Otydlighet gällande kontobeställarens rättighet Inför skriftlig delegation på vem som har behörighet att beställa konton. P11 Känslig information i eposten Inför säkrare rutiner för hur utlämning av lösenord ska ske. P12 Admin-gruppen är för liten Säkerställ funktionen i händelse av långvarig frånvaro, sjukdom etc avseende de arbetsuppgifter som åligger admin-gruppen. P13 P14 P15 Utbildning och introduktion sköts på olika sätt beroende på vem som handleder. Flera användarnamn förekommer. Svårighet med att hålla ordning på användarnamn i Procapita. Det finns användare som har flera användarnamn och som loggat in med båda. Muntliga överenskommelser förekommer Det pågår ett arbete där man jobbar på att ta fram ett gemensamt material för en mer strukturerad utbildning och introduktion. Scenariot är exempelvis en före detta anställd som gift sig och bytt efternamn för att därefter åter börja på kommunen. Då uppstår risk att man inte noterat att man tidigare haft anställning på kommunen. Nu åtgärdat med en automatiserad rutin. Säkerställ att samtliga överenskommelser sker enligt fastställda rutiner. P16 Individuella checklistor förekommer Säkerställ att dessa stämmer med aktuella riktlinjer P17 utiner vid anställning. Dokumenterade rutiner för nyanställda måste bli kända. Tankar för att det borde kunna funka via Intranätet P18 utiner vid avslut PA/chefer ska meddela när personer slutar. Systematisk kontroll från PA ska göras. Tydliggör varför det är viktigt att avsluta så att de vet varför det måste finnas som en rutin. Man kan köra kontroller HSA mot PA-system.

15 15 ID Svaghet Motivering Åtgärdsförslag P19 Blankett för kontohantering inom vård och omsorg är bristfällig Förbättra blanketten i samråd med verksamheten och IT P20 Information saknas vid beställning av epost och AD konto Se över rutinerna för hur konton och rättigheter sätts upp i sin helhet, sett till samtliga system

16 16 5. isk- och sårbarhetsanalys När informationen har klassificerats behöver en risk- och sårbarhetsanalys göras där man undersöker vilka risker som kan uppstå vid hantering av informationen. iskanalysen görs för att bedöma risken för att ett möjligt hot inträffar. isken värderas genom att ett riskvärde (V) räknas fram, som består av sannolikhetens (S) gånger konsekvensen (K) enligt följande formel: S x K = V. Konsekvens Sannolikhet 5.1. Skala för sannolikhet och konsekvens Inför varje enskild analys är det viktigt att man tillsammans kommer överens om vilka skalor som ska gälla. Orden katastrof och ofta är relativa begrepp, som beroende på sitt sammanhang har olika innebörd. Vi har kommit överens om följande skalor i vårt arbete med riskanalysen, se tabellerna nedan. Konsekvens Värde Innebörd Katastrofal 4 t.ex. id-kapning, röjning av skyddad identitet eller motsvarande Allvarlig 3 Måttlig 2 Försumbar 1 t.ex. obehörig åtkomst, ej tillgång till kontot av känsligt system eller motsvarande t.ex. ej tillgång till konto av mindre känsligt system eller motsvarande t.ex. att händelsen inte har någon påverkbar betydelse eller motsvarande Sannolikhet Värde Innebörd Ofta 4 t.ex. kan inträffa varje vecka egelbundet 3 t.ex. kan inträffa varje månad Sällan 2 t.ex. kan inträffa någon gång per år Mycket sällan 1 t.ex. kan inträffa någon gång var tredje år

17 esultat riskanalys med åtgärdsförslag I riskanalysen har nedanstående scenarier lyfts fram där vi har värderat sannolikhet och konsekvens. Åtgärder är föreslagna för respektive scenario. En sammanställning av åtgärderna återfinns i handlingsplanen i kapitel 5. I tabellen ska ni ersätta scenarierna med de scenarier som ni identifierar i er egen kommun. Bedöm därefter sannolikhet och konsekvens, samt notera åtgärdsförslag. Ta därefter bort denna text. ID Scenario S K V Åtgärd Ansvarig 1 Användarna får inte Den chef vars behörighet till de system verksamhet Säkerställ att det finns som de behöver pga att är beroende rätt antal det finns för få personer av ITsystemet. administratörer, dvs som har tilldelat ansvar admin, per system för kontohantering och Ofta admin. systemägaren 2 3 isk att någon felaktigt legitimerar sig fysiskt som anställd i kommunen som en konsekvens av att SITHS-kortet inte är återlämnat vid avslut av anställning. Information riskerar att spridas oaktsamt, t.ex känslig epost, pga brister i det tekniska skyddet Se till att kortet kommer tillbaka. Överväg straffavgift, depositionsavgift för borttappat kort etc. Tydliggör ansvaret och ge mer information kring rutinerna för enhetschefer. Upprätta checklista för hur man avslutar en anställning. Utkräv ansvar i händelse av om detta scenario inträffar. Inför bättre tekniskt skydd, t.ex. program som kan tolka sifferkombinationer, DLP. Beakta att åtgärder ska baseras på legala krav och verksamhetens krav, inte på vad som är tekniskt möjligt. Enhetschefen ITchef och verksamhetsc hef i samråd. Verksamhete n saknar kunskap om vilka tekniska skydd som finns, men kan värdera information.

18 Användaren kommer inte åt systemen eller den information som behövs i arbetet pga att chefen missat att beställa konton. Användare saknar SITHS-kort pga lång beställningstid (3v) i kombination med att endast en och samma person beställer och lämnar ut kort. Denna kan ha semester. IFO och LSS; Användaren får onödigt många olika användarnamn i diverse system medför svårighet att hålla reda på kontouppgifter VoO, HSL; Användaren får onödigt många olika användarnamn i diverse system medför svårighet att hålla reda på kontouppgifter Användaren kommer inte åt journalen, systemet ligger nere pga tekniskt fel. Hjälp uteblir. Ingen tillgång till SITHS pga chef missat att beställa etc. Konsekvensen beror på vem som berörs. Tydliggöra rutiner med mer utbildning Säkerställ utfärdande av reservkort om det tar för lång tid att få det riktiga kortet. Utbildning samt införande av SSO Hämta kort, ringa kollega?????? Skriv ut arbetslista förebyggande på kontorstid, jobba efter manuella rutiner Annan person får utförda reservkort och informera i efterhand?? ID Scenario S K V Åtgärd Ansvarig 4 Information riskerar att spridas oaktsamt, t.ex känslig epost, pga bristande kunskap. Avsätt tid för utbildning. Det är oftast bara utbildning för verksamhetssystem, Verksamhetschef men det saknas ofta generell kunskap om lagrum, hantering av listor, hur vi lagrar (skrivbordet), loggning Verksamhetschef Verksamhetschef Enhetschef Enhetschef Enhetschef SITHS ansvarig samt chef

19 19 ID Scenario S K V Åtgärd Ansvarig Användaren har många olika konton pga rutinerna inte följs isken att behörigheter finns kvar efter t.ex. att en person slutat Egenutvecklad kontodatabasen underhålls inte pga utvecklaren slutat, är sjuk, frånvarande etc Användare inte kan logga in pga AD, HSA, systemet inte är tillgängligt Användaren inte kan logga in pga glömt lösenord, kontot låst Felaktigheter uppstår Dålig kontohantering pga få administratörer. Känslig vid frånvaro och ingen backup av personal Utskick av lösenord via epost riskerar insyn En person har inte tillgång till SITHS pga man inte visste att det behövdes vid anställning, lång väntetid Missar att beställa konton, användaren kommer inte åt informationen, pga bristfälliga rutiner Se till att det finns en namnstandard och rutin för vem som sätter upp kontot, AD-koppling och SITHS. Se till att de finns rutiner och säkerställ så att dessa följs. Förbättra adminstrationen av behörigheter. Köp nytt system som fler kan hantera Inför teknisk redundans och diversitet Inför självservice i kontohanteringen? Se till att det finns fler som blir behöriga uppgiften Dölj delar av lösenordet, muntlig överlämning av lösenordet De får beställas innan anställning börjas Se till att rutinen blir tydlig IT-chef i dialog med verksamheten, bör framställas som ett verksamhetskrav Beror på hur det är organiserat, verksamhetschef IT IT (och systemleverantör) IT (och systemleverantör) Enhetschef Verksamhets chef

20 20 ID Scenario S K V Åtgärd Ansvarig isken att användaren Säkerställ rätt Verksamhets 2 6 inte får åtkomst till bemanning chef information pga det är 3 för få som arbetar med 3 9 kontoadminstration Användaren kommer inte ihåg sina användarnamn pga det är för många lösenord och konton att komma ihåg. isken att en användarens behörigheter inte följer med vid byte av roll pga att det är för många system som man måste byta Användare som slutar har fortfarande åtkomst pga att inaktivering av kontot inte genomförts. En person saknar tillgång till SITHS pga att man inte visste om att det behövdes vid anställning. Användaren får olika användarnamn till olika system pga att rutinen för tilldelning av behörighet inte efterföljs. IT vet inte vilka behörigheter användaren har pga rutinen för tilldelning av behörighet inte efterföljs. Felaktigheter uppstår pga att checklistor och riktlinjer inte överensstämmer Fel behörighet tilldelas i Procapita /Treserva pga det finns många personer som kan ge behörighet och gör på olika sätt SITHS-kortsinloggning ihop med SSO till flera system Se till att det finns rutin som meddelar byte av roll och arbetsplats. Verksamhets chef Enhetschef

21 21 ID Scenario S K V Åtgärd Ansvarig 30 Användaren har inte kortläsare på sin dator pga IT inte ser vilka som har SITHS och har därför inte vetat om att arbetsplatsen ska förses med kortläsare En användares identitet röjs pga att det inte finns rutiner som täcker personer med skyddad identitet En användare har låst sitt konto och kan ej låsa upp pga att det inte finns support på helger och kvällar En användare dokumenterar på patient med fel identitet pga att användaren har två konton. En användare dokumentera felaktigt pga att utbildning/ introduktion har ej getts En användare ser brukare/patienter som den ej ska ha åtkomst till (och har därmed inte åtkomst till de den ska ha) pga den har fått fel vårdenhet vid behörighetstilldelning. En användare har inte fått medarbetaruppdrag pga att det saknas möjlighet att kryssa i den rutan på behörighetsblanketten. En användare har inte fått behörighet till systemet pga det är många blanketter att fylla i och någon blankett har missats.

22 22 ID Scenario S K V Åtgärd Ansvarig 38 Någon annan loggar in med fel identitet i Procapita/ Treserva pga att behörighet och lösen har skickats i samma försändelse och hamnat fel Behörighet i SITHS kan inte ges för vikarie pga det finns bara ett fåtal personer som kan göra detta och de är frånvarande. Inlogg med SITHS fungerar inte i AD pga UPN saknas eller är felaktigt ifyllt i HSA En användare kommer inte ihåg sitt lösenord pga det är för många lösenord att ha i minnet.

23 23 6. Handlingsplan Processkartläggningen i kapitel 3 och riskanalysen i kapitel 4 identifierade ett antal förslag på åtgärder för att åstadkomma en säker hantering av roller och behörigheter. Det finns ett flertal scenarier och åtgärder som överlappar varandra vilket i praktiken innebär att en åtgärd löser flera identifierade problem och brister. En aktivitet i handlingsplanen löser flera identifierade svagheter och risker. I handlingsplanen nedan har vi grupperat ihop identifierade svagheter och brister till 14 stycken aktiviteter. I handlingsplanen framgår källan, dvs vilket id-nummer från processkartläggningen i kapitel 3 och riskanalysen i kapitel 4 som aktiviteten utgår från. Åtgärder identifierade i processkartläggningen är markerade som P1, P2, P3 osv och åtgärder identifierade i riskanalysen är markerade som 1, 2, 3 osv. De aktiviteter som föreslås i handlingsplanen markeras som aktivitet A1, A2 A3 osv. I tabellen ska ni ersätta aktiviteterna med det som ni identifierat i er egen kommun. Ta därefter bort denna text. Handlingsplan Säker roll och behörighet ID A1 A2 Källa P1, P2, P13, 4, 34 P1, P16, 28 Åtgärd, för detaljerad beskrivning hänvisas till källan. Utbildning Säkerställ att alla känner till informationssäkerhetspolicyn och att alla får samma möjlighet till utbildning/introduktion oavsett handledare. iskvärde 12 Checklistor Kontrollera alla checklistor och säkerställ att dessa inte är motstridiga gentemot informationssäkerhetspolicyn. Även checklistor som är upprättade utanför processen, men som påverkar processen. Ansvarig Aktuell Status Åtgärd ej nödvändig Ej påbörjad Påbörjat datum Avslutat datum

24 24 Handlingsplan Säker roll och behörighet ID A3 A4 A6 A6 A7 Källa P3, P5, P10, P14, P17, 35, 38, 40 P4, P14, P18, 2, 12, 24 P6, P7, 7, 8, 13, 21, 25, 26, 27, 33, 41 P8, 29 P9, P15, P19, P20, 5, 6, 10, 11, 19, 20, 36, 37 Åtgärd, för detaljerad beskrivning hänvisas till källan. Aktivering av behörighet Fastställ rutin för säker personidentifiering vid tilldelning av behörigheter och konton. Fastställ en enhetlig process för säker tilldelning av roller och behörigheter. Säkerställ att beställaren är behörig beställare. Säkerställ att rätt vårdenhet väljs. Beakta rutin för namnbyte enligt P14. Gör rutinerna kända. Inaktivering av behörighet Inför säker rutin för inaktivering av konto och behörighet vid upphörande av tjänst etc. Beakta rutin för namnbyte enligt P14. iskvärde 8 och 12 Behörighetskatalog Inför en för gemensam behörighetskatalog för hela kommunen baserad på strukturerad arkitektur och standardiserade produkter. Säkerställ kompetens kring katalogen. Synkronisera mellan AD och HSA. En användare ska ha en och samma identitet för alla system enligt 7 och 8 samt SITHS och SSO enligt 22 iskvärde 6 Dela dokumentation Administratörer ska ha möjlighet att dela dokumentation med andra administratörer i filsystemet utin för beställning av roll och behörighet Utveckla formulär / blankett för beställning med fler alternativ, digital signering, bättre utformning. Säkerställ att inga muntliga överenskommelser kan genomföras, alla omständigheter ska framgå i formuläret. iskvärde 6-9. Ansvarig Aktuell Status Åtgärd ej nödvändig Ej påbörjad Påbörjat datum Avslutat datum

25 25 Handlingsplan Säker roll och behörighet ID A8 P11, A9 P12, A10 A11 A12 A13 A14 Källa 15, 18, 32 1, 6, 17, 21, 39 3, 14, , Åtgärd, för detaljerad beskrivning hänvisas till källan. Lösenordsadministration Inför rutin för hur säker upplåsning/utlämning av lösenord kan ske. Är epost ett verktyg? Överväg självservice för utvalda delar. iskvärde 8-12 Storlek på Admin grupp Säkerställ att de personer som hanterar tilldelning av roller och behörigheter är rätt till antalet. iskvärde 6-9. Tekniskt skydd Minska risken för spridning av känslig information genom att säkerställa att det tekniska skyddet följer verksamhetens krav och bidrar till att skydda känslig information enligt gällande lagstiftning. iskvärde 12 Kontinuitetsplan Inför kontinuitetsplan (reservplan) för verksamheten som ska gälla om IT-systemen inte är tillgängliga. iskvärde 8. Lösenord Inför process för säker tilldelning av lösenord. Överväg självservice för utvalda delar. iskvärde 12 och 8 Nya arbetsuppgifter nya rättigheter Säkerställ rutinen för ny roll inom befintlig anställning Skyddad identitet Utforma en process så att anställd med skyddad identitet kan arbeta i verksamhetssystemet. Ansvarig Aktuell Status Åtgärd ej nödvändig Ej påbörjad Påbörjat datum Avslutat datum

26 Systemlev. Systemförv./ funktionsstöd IT-kundjtänst PA Chef Nyanställd 26 Bilaga A Säker roll och behörighet - Processkarta Nyanställning sjuksköterska Påskrift Mottagning av kontouppgifter / Påskrift av ansvarsförbindelse / Utbildning Aktiv användare Överenskommelse om anställning Beställning ny roll och behörighet Anställningsbevis Nya kontouppgifter AD Muntligt/skriftligt Mottagning ansvarsförbindelse Internpost E-post / webbanmälan Hämtas från LAS E-post Personalarkiv / personalakt Uppläggning i personalsystem / lön Muntligt/skriftligt Blankett Uppläggning i kontodatabas E-post E-post/script E-post SITHS Beställning för externa system Uppläggning i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning/ material vid behov Nyhetsbrev / uppdaterings -dokument Uppläggning i externa verksamhetssystem Systemförändringar / uppdateringar

27 27 Bilaga B Nyanställd Chef Skriva anställningsbesked. Skicka till nyanställd för påskrift Meddela IT-assistent Meddela vaktmästare Meddela IT-samordnare Checka av beställningar och leverera till nyanställd Introducera nyanställd Nyanställd Skriva på anställningsbesked och skicka till personalass Vaktmästare Beställa nycklar, tjänste-id och tagg Personalass egistrera anställningsbesked i personalsystem. Arkivera i personakt och skicka kopia till fackförening. Fackförening Arkivera anställningsbesked IT-assistent Beställa anknytning Beställa telefon IT-samordnare Beställa konto och förbereda dator. Lägga ärende till IT-avdelning Skapa/Beställa övriga behörigheter IT-avdelningen Aktivera konto Meddela IT-samordnare och chef

28 Systemförv./ funktionstöd Systemlev. IT-kundjtänst PA Chef Ny chef Anställd 28 Bilaga C Säker roll och behörighet - Processkarta Byte av tjänst Påskrift Mottagning av kontouppgifter / utbildning Aktiv användare Överenskommelse om anställning Anställningsbevis Nya kontouppgifter AD Beställning ändring roll och behörighet Information om ansvarsförbindelse Hämtas från WinLas Personalarkiv / personalakt E-post / webbanmälan E-post Internpost Ändring i personalsystem / lön Muntligt/skriftligt Ändring i kontodatabas E-post E-post/script SITHS Beställning för externa system Ändring i verksamhetssystem AD/E-post/ Treserva/osv Ansvarar för utbildning vid behov Nyhetsbrev / uppdaterings -dokument Ändring i externa verksamhetssystem Systemförändringar / uppdateringar

29 29 Bilaga D Chef Meddela ändring av anställning Ändring av anställning Ta emot meddelande om ny behörighet Personalassistent Skriva nytt anställningsbevis, skicka till anställd Löneassistent egistrera ändring i lönesystemet Arkivera en kopia av anställningsbevis och skicka en kopiera till fackförening Anställd Underteckna anställningsbevis och skicka till löneassistent Ta emot meddelande om ny behörighet IT-samordnare Ev. ändra behörigheter i verksamhetsystem Lägga ärende till IT-avdelningen om ändrad behörighet i administrativa nätet Meddela anställd och chef ny behörighet Fackförening Arkivera kopia av anställningsbevis IT-avdelning Ändra behörigheter i administrativa nätet när registrering i lönesystemet är gjord Meddela ITsamordnare

30 Systemförv./ funktionsstöd Systemlev. IT-kundjtänst PA Chef Anställd 30 Bilaga E Säker roll och behörighet - Processkarta Avslut av tjänst Avgång Avgångsbeslut Beställning avslut roll och behörighet E-post Kvittens Hämtas i WinLas Personalarkiv / personalakt Ändring i personalsystem / lön E-post / webbanmälan Avslut/inaktivering i kontodatabas E-post/script E-post SITHS Beställning för externa system Avslut/inaktivering i verksamhetssystem AD/E-post/ Treserva/osv Avslut/inaktivering i externa verksamhetssystem

31 31 Bilaga F Chef Meddela avslut av anställning Arkivera dokument Avslut av anställning Inaktivera ID-kort Skriva intyg/betyg om så begärs och skicka till anställd Anställd ensa filer och mappar Återlämna IDkort, nycklar, tag och telefon Ev. begära betyg/intyg Vaktmästare Inaktivera anställd i passersystem egistrera återlämning av nycklar IT-assistent Säga upp mobilabonnemang egistrera återlämning av telefon Personalass Inaktivera konton i personal- och lönesystem Arkivera personakt IT-samordnare Inaktivera konto i verksamhetsystemet. Lägga ärende till IT-avdelningen för avslut av konto i administrativa nätet IT-avd Inaktivera konto i administrativa nätet

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA BYT UT DENNA GULA RUTA TILL DIN KOMMUNS LOGGA Dokumenttyp Informationssäkerhet Sida Område Systemkartläggning 1 (9) Läs detta och ta därefter bort denna kommentarruta. Denna mall syftar till att användas

Läs mer

Systemsäkerhetsanalys förutsättningar för mobil åtkomst inom hemsjukvård.

Systemsäkerhetsanalys förutsättningar för mobil åtkomst inom hemsjukvård. BYT UT LOGGAN MOT DIN KOMMUNS LOGGA Dokumenttyp Mall, Informationssäkerhet, analys Sida Område Mobilitet 1 (11) Läs detta och ta därefter bort denna kommentarruta. Denna mall syftar till att användas vid

Läs mer

Syfte... 2. Behörig. in... 3. Logga 1(6)

Syfte... 2. Behörig. in... 3. Logga 1(6) RUTIN: BEHÖRIGHETER OCH ÅTKOMST TILL IT-SYSTEM... 2 Syfte... 2 Ansvar... 2 Behörig och inte behörig... 2 Varbergs kommuns nät... 2 Lösenord... 3 Patientjournalsystem... 3 1. Behovs- och riskanalyser...

Läs mer

1 Risk- och sårbarhetsanalys

1 Risk- och sårbarhetsanalys Bilaga 10 1 Risk- och sårbarhetsanalys I detta kapitel utgår vi från identifierade riskscenarier i följande bilagor: Bilaga X Informationsklassning, digitalt stöd i hemmet.xls Vi värderar hur stor sannolikheten

Läs mer

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem

Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Karin Norrman Elgh Översiktlig revisionsrapport Granskning av anställningar och avslut i lönesystemet och tilldelning av behörigheter till dokumentationssystem Vara kommun Anställningar och avslut i lönesystemet

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010. Revisionsrapport Verket för högskoleservice Box 24070 104 50 Stockholm Datum Dnr 2011-03-08 32-2010-0738 Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice

Läs mer

Juridik och informationssäkerhet

Juridik och informationssäkerhet 2 KAPITEL Juridik och informationssäkerhet Sammanfattning Information som hanteras i socialtjänstens hemtjänstverksamhet (hemtjänst) och i kommunal hälso- och sjukvård (hemsjukvård) innehåller känsliga

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 572-2013 Socialnämnden Emmaboda kommun Socialförvaltningen Box 54 361 21 Emmaboda Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Läs mer

Rutin för administrering av KOMKAT och SITHS kort

Rutin för administrering av KOMKAT och SITHS kort Riktlinjer för hälso- och sjukvården Ansvarar för att riktlinjen blir känd: Respektive enhetschef Utfärdad av: Margaret Fritz Medicinskt ansvarig sjuksköterska Damir Kvakic Systemansvarig Dokumentets namn:

Läs mer

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till 1(5) Socialförvaltningen Förvaltningens stab/kansli Iréne Eklöf, Medicinskt ansvarig sjuksköterska 0171-528 87 irene.eklof@habo.se Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 578-2013 Äldrenämnden Karlskrona kommun Äldreförvaltningen 371 83 Karlskrona Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ)

Riktlinjer för logghantering, kontroll och åtkomst enligt Patientdatalagen (PDL) och SOSFS 2008:14 (Vodok och NPÖ) Äldreförvaltningen Uppföljning och inspektion Riktlinjer Sida 1 (8) 2016-05-19 kontroll och åtkomst enligt Stadsgemensamma riktlinjer för logghantering och kontroll av åtkomst av hälso- och sjukvårdsjournaler

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1333-2009 City Dental i Stockholm AB Box 16156 111 51 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA 2014-03-14 1 (7) RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA Riktlinjen är ett komplement till den policy som finns kring it-säkerhet i Höganäs kommun. Riktlinjen beskriver hur ansvarsfördelningen

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 587-2013 Vård- och omsorgsnämnden Östersunds kommun Vård- och omsorgsförvaltningen 831 82 Östersund Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso-

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 584-2013 Socialnämnden Skellefteå kommun Socialkontoret 931 85 Skellefteå Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Rutiner för säker roll och behörighet SLUTRAPPORT Version 1,0. Kalmar, Sakkunnig, Stephen Dorch. Projektledare, Ulrika Adolfsson

Rutiner för säker roll och behörighet SLUTRAPPORT Version 1,0. Kalmar, Sakkunnig, Stephen Dorch. Projektledare, Ulrika Adolfsson SLUTRAPPORT Version 1,0 Kalmar, 2014-12-22 Sakkunnig, Stephen Dorch Projektledare, Ulrika Adolfsson Innehållsförteckning 1 Bakgrund till projektet 3 1.1 Projektets syfte... 3 1.2 Medverkande... 3 1.3 Privata

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 577-2013 Omsorgsnämnden Kalmar kommun Omsorgsförvaltningen Box 848 391 28 Kalmar Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 579-2013 Äldre- och handikappnämnden Lidingö stad Äldre- och handikappförvaltningen 181 82 Lidingö Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso-

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 580-2013 Vård- och omsorgsnämnden Lunds kommun Vård- och omsorgsförvaltningen Box 41 221 00 Lund Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso-

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 576-2013 Socialnämnden Hultsfreds kommun Box 508 577 26 Hultsfred Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Loggrutin för Socialtjänsten, Karlsborgs kommun

Loggrutin för Socialtjänsten, Karlsborgs kommun Karlsborgs kommun Dokumenttyp: Rutin Diarienummer: 20/2014 Beslutande: Socialchef Antagen: 2014-03-01 Giltighetstid: Tillsvidare Dokumentet gäller för: Socialnämnden Dokumentansvar: 2 av 5 Bakgrund och

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 586-2013 Omsorgsnämnden Trollhättans stad 461 83 Trollhättan Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Manual - Administration

Manual - Administration Manual - Administration Svevac Webbadress: https://svevac.inera.se Webbadress demoversion: https://test.svevac.inera.se (användarnamn: demo / lösenord: demo) Supportärenden Kontakta i första hand din lokala

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 573-2013 Vuxennämnden Eskilstuna kommun Vuxenförvaltningen 631 86 Eskilstuna Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 570-2013 Socialnämnden Bollnäs kommun 821 80 Bollnäs Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Socialnämnden,

Läs mer

Sammanfattning av riktlinjer

Sammanfattning av riktlinjer Sammanfattning av riktlinjer INFORMATIONSSÄKERHET FÖR ANVÄNDARE inom Luleå kommunkoncern 2015-03-04 Informationssäkerhet för användare beskriver hur Luleå kommun hanterar den information som används i

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010. Revisionsrapport Mälardalens högskola Box 883 721 23 Västerås Datum Dnr 2011-03-08 32-2010-0735 Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010 Riksrevisionen

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 574-2013 Socialnämnden Falkenbergs kommun 311 80 Falkenberg Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut

Läs mer

Rutin för loggning av HSL-journaler samt NPÖ

Rutin för loggning av HSL-journaler samt NPÖ Rutin för loggning av HSL-journaler samt NPÖ Enligt patientdatalagen 4 kap 3,skall vårdgivare göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter om patienter

Läs mer

Checklista. För åtkomst till Svevac

Checklista. För åtkomst till Svevac Checklista För åtkomst till Svevac Innehållsförteckning 1 Inledning 2 2 Inloggning/autentisering i Svevac 2 3 Målet sammanhållen vaccinationsinformation 3 4 Säkerhetstjänsten 3 5 Detta är HSA 3 6 Detta

Läs mer

Manual inloggning Svevac

Manual inloggning Svevac 1. Dokumentinformation 1.1 Versionshistorik Version Datum Beskrivning av ändringar Författare 0.1 2014-06-09 Skapad Ingela Linered 0.2 Uppdaterad Ingela Linered 0.3 2014-09-22 Uppdaterad med nya sätt för

Läs mer

Manual - Inloggning. Webbadress: https://svevac.inera.se Webbadress demoversion: https://test.svevac.inera.se (användarnamn: demo / lösenord: demo)

Manual - Inloggning. Webbadress: https://svevac.inera.se Webbadress demoversion: https://test.svevac.inera.se (användarnamn: demo / lösenord: demo) Manual - Inloggning Svevac Webbadress: https://svevac.inera.se Webbadress demoversion: https://test.svevac.inera.se (användarnamn: demo / lösenord: demo) Supportärenden Kontakta i första hand din lokala

Läs mer

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ) 1 Riktlinjer för hälso- och sjukvården Ansvarar för att riktlinjen blir känd: Respektive enhetschef Dokumentets namn: Granskning av loggar från verksamhetssystem och Nationell Patientöversikt Utfärdad

Läs mer

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza Området välfärdsteknologi Vilka typer av nya digitala lösningar

Läs mer

Informationssäkerhet för Sektor omsorg

Informationssäkerhet för Sektor omsorg Informationssäkerhet för Sektor omsorg Upprättad: 2015-08-12 Uppdaterad: 2015-11-13 Antagen av: Ledningsgrupp, Sektor omsorg Datum för antagande: 2015-09-15 Kontaktperson: Gun Johansson, IT-samordnare

Läs mer

Rutin för användande av Cambio Cosmic Link i Växjö kommun

Rutin för användande av Cambio Cosmic Link i Växjö kommun 2015-02-18 Rutin för användande av Cambio Cosmic Link i Växjö kommun Vad är Link? Link är ett verktyg/system för att förenkla den samordnade vårdplaneringen mellan slutenvården, kommunen och primärvården.

Läs mer

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ

Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ Diarienummer NHO-2014-0109.37 ALN-2014-0148. 37 Riktlinje för sammanhållen journalföring, nationell patientöversikt, NPÖ Dokumentnamn Riktlinje för sammanhållen journalföring, nationell patientöversikt,

Läs mer

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser NetID drivrutiner kortläsare operativ browser webinar Checklista dokument wiki avreglering Apotek e-dos PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef HSA SITHS attribut autentisering

Läs mer

Logghantering för hälso- och sjukvårdsjournaler

Logghantering för hälso- och sjukvårdsjournaler Sida 1 (7) 2013-09-19 Logghantering för hälso- och sjukvårdsjournaler Övergripande riktlinjer för kontroll av åtkomst av hälso- och sjukvårdsjournaler i Stockholms stads verksamhetssystem. Dessa riktlinjer

Läs mer

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1, 2015-06-09

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.1, 2015-06-09 Rekommendationer kring skyddade personuppgifter inom HSA och SITHS Version 2.1, SITHS version 2.1.doc Innehåll 1 Inledning... 3 1.1 Skyddade personuppgifter... 3 1.2 Vikten av säkerställd identitet...

Läs mer

MAS Kvalitets HANDBOK för god och säker vård

MAS Kvalitets HANDBOK för god och säker vård Örkelljunga kommun Socialförvaltningen MAS Kvalitets HANDBOK för god och säker vård Anvisning Loggkontroll Dokumentansvarig (MAS) Styrdokument Lag/föreskrift/råd: Lag (1993:387) om stöd och service till

Läs mer

RUTINER FÖR LOGGNING I PROCAPITA

RUTINER FÖR LOGGNING I PROCAPITA Socialförvaltningen RUTINER FÖR LOGGNING I PROCAPITA TILL SYSTEMSÄKERHETSPLANEN FÖR VÅRD OCH OMSORG SAMT INDIVID OCH FAMILJEOMSORGEN Handläggare: Befattning: Caroline Moberg, Henric Andersson, Ann-Britt

Läs mer

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ)

RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ) STYRDOKUMENT RIKTLINJE NATIONELLA PATIENT ÖVERSIKTEN (NPÖ) 2017-2018 Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Riktlinje Riktlinje Nationella Patient 2017-01-23 KS 17 KS

Läs mer

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting Informationssäkerhetspolicy för Stockholms läns landsting 1 Innehållsförteckning Inledning... 3 Mål... 4 Omfattning... 4 Innebörd... 4 Ansvar... 6 Uppföljning och revidering... 7 LS 1112-1733 Beslutad

Läs mer

Tillsyn - äldreomsorg

Tillsyn - äldreomsorg Datum Diarienr 2011-12-07 876-2010 TioHundranämnden Box 801 761 28 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundranämnden i strid med 6 lagen om behandling

Läs mer

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen

Informationshantering och journalföring. Maria Jacobsson, Hälso- och sjukvårdsavdelningen Informationshantering och journalföring Maria Jacobsson, Hälso- och sjukvårdsavdelningen 1. Målet för hälso- och sjukvården 2 HSL Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-02-23 1464-2009 Folktandvården i Stockholms län AB Huvudkontoret Olivecronas väg 7 113 82 Stockholm Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens

Läs mer

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK)

Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK) Ansvarsförbindelse för Stockholms Läns Landstings Elektroniska Katalog (EK) [Organisation som Ansvarsförbindelsen gäller] Modell Anvisning Dokumentation Blankett Rapport Namn Datum Version Ansvarig utgivare

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

Rutin för kontroll av loggar

Rutin för kontroll av loggar 1(6) SOCIALFÖRVALTNINGEN Beslutsdatum: 140630 Gäller från och med: 150301 Beslutad av (namn och titel): Framtagen av (namn och titel): Reviderad av (namn och titel): Reviderad den: Amelie Gustavsson, Maria

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten

Läs mer

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.0, 2014-10-21

Rekommendationer kring skyddade personuppgifter inom HSA och SITHS. Version 2.0, 2014-10-21 Rekommendationer kring skyddade personuppgifter inom HSA och SITHS Version 2.0, 2014-10-21 Innehåll 1 Inledning... 3 1.1 Skyddade personuppgifter... 3 1.2 Vikten av säkerställd identitet... 3 2 Rekommendationer...

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datum Diarienr 2010-04-28 1650-2009 AB Previa Box 4080 171 04 Solna Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att AB Previa (härefter

Läs mer

2012-12-12 Dnr 074-11-19

2012-12-12 Dnr 074-11-19 HÖGSKOLAN I BORÅS STYRDOKUMENT 2012-12-12 Dnr 074-11-19 Regler för informationssäkerhet Regler för informationssäkerhet är beslutade av enhetschefen för i enlighet med Högskolans säkerhetspolicy (dnr 288-11-101)

Läs mer

RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldreomsorgen

RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldreomsorgen RIKTLINJER FÖR DOKUMENTATION UNDER GENOMFÖRANDET av bistånd och insats enligt SoL/LSS och HSL för personal inom äldreomsorgen Vård- och omsorgsförvaltningen i Ulricehamns kommun 1 av 5 Innehåll 1. Bakgrund...

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010. Revisionsrapport Kungl. Konsthögskolan Box 163 65 103 26 Stockholm Datum Dnr 2011-03-09 32-2010-0732 Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010

Läs mer

HPTA version 0.9. Bilaga 1. Administrering i HSA-katalogen

HPTA version 0.9. Bilaga 1. Administrering i HSA-katalogen HPTA version 0.9 Bilaga 1 Administrering i HSA-katalogen Innehåll 1. Bakgrund... 2 2. Roller och ansvar... 2 3. Verifiera korrekthet i HSA-katalogens innehåll... 3 4. Rolladministrering... 4 5. Registrering/redigering/hantering

Läs mer

Anvisning Gemensamma konton GIT

Anvisning Gemensamma konton GIT 1.1 Fastställd 1(5) 20141023 Anvisning Gemensamma konton GIT Beslutad: Datum: Beslutad: Datum: Underskrift säkerhetsdirektör VGR Underskrift objektägare IT arbetsplats 1.1 Fastställd 2(5) 20141023 Innehållsförteckning

Läs mer

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården Yttrande Diarienr 1(7) 2015-09-15 1284-2015 Ert diarienr 4.1-39055/2013 Socialstyrelsen 106 30 Stockholm Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i

Läs mer

Informationssäkerhetspolicy

Informationssäkerhetspolicy 2009-07-15 1 (9) Informationssäkerhetspolicy Antagen av kommunfullmäktige den 2009-10-21, 110 Kommunstyrelseförvaltningen Postadress Besöksadress Telefon Telefax E-post Hemsida 462 85 Vänersborg Sundsgatan

Läs mer

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem SOCIALFÖRVALTNINGEN Annika Nilsson, 0554-191 56 annika.nilsson@kil.se 2014-05-07 Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem INLEDNING Patientdatalagen

Läs mer

Jämför med rutinen Övertagande av SITHS-kort som bör användas om personen redan har uppdrag hos utförare i Uppsala kommun

Jämför med rutinen Övertagande av SITHS-kort som bör användas om personen redan har uppdrag hos utförare i Uppsala kommun Dokumentnamn Beställning av SITHS-kort 1 Syfte Beskriver ansvarsförhållanden och rutin inom Uppsala kommun för att beställa SITHS-kort och initialt medarbetaruppdrag. Rutinen gäller både beställning av

Läs mer

Självbetjäning för arbetsgivare. Användarhandledning Kom igång med Arbetsgivartjänsten Behörighetsadministration

Självbetjäning för arbetsgivare. Användarhandledning Kom igång med Arbetsgivartjänsten Behörighetsadministration Självbetjäning för arbetsgivare Användarhandledning Kom igång med Arbetsgivartjänsten Behörighetsadministration Innehåll 1 DOKUMENTINFORMATION... 3 1.1 SYFTE... 3 1.2 AVGRÄNSNINGAR... 3 1.3 STÖD VID LÄSNING...

Läs mer

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Informationssäkerhet vid Karolinska Universitetssjukhuset Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad: 2013-10-23 Förlorar vi informationen, om den är felaktig eller manipulerad

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 585-2013 Omvårdnadsnämnden Solna stad Omvårdnadsförvaltningen 171 86 Solna Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens

Läs mer

Regler och instruktioner för verksamheten

Regler och instruktioner för verksamheten Informationssäkerhet Regler och instruktioner för verksamheten Dokumenttyp Regler och instruktioner Dokumentägare Kommungemensam ITsamordning Dokumentnamn Regler och instruktioner för verksamheten Dokumentansvarig

Läs mer

Granskning av behörigheter till journalsystemet

Granskning av behörigheter till journalsystemet Granskning av behörigheter till journalsystemet Rapport nr 18/2015 Februari 2016 Jonas Hansson, revisionskontoret Diarienummer: REV 61:2 2015 Innehåll 1. SAMMANFATTANDE ANALYS... 3 1.1. REKOMMENDATIONER...

Läs mer

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS

Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS Revisioner av nationella katalog- och identifieringstjänster - HSA och SITHS 28 januari 2015 Henrika Littorin henrika.littorin@inera.se Tjänsterna i sitt sammanhang HSA SITHS 3 SITHS-kort Uppfyller kraven

Läs mer

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ)

Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ) Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ) Rutiner för granskning av loggar från verksamhetssystem och Nationell Patientöversikt (NPÖ) Ansvar för informationssäkerhet

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 07-05-24 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 Publicerad Beslutsfattare

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Metod för klassning av IT-system och E-tjänster

Metod för klassning av IT-system och E-tjänster Metod för klassning av IT-system och E-tjänster IT-FORUM 2 (9) Innehållsförteckning 1 Inledning... 3 1.1 Revisionshistorik... 3 2 Klassning av system och E-tjänster... 3 2.1 Säkerhetsnivå 3... 3 2.1.1

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Hantering av lex Sarah-ärenden aaa

Hantering av lex Sarah-ärenden aaa aaa Vård- och omsorgsförvaltningen aaa aaaa aaaa Dokumentnamn: Hantering av lex Sarah-ärenden Dnr: VOO 2017/0016 1(6) Skapad: 2013-11-06 Reviderad: 2017-01-10 Dokumenttyp: Rutin Skapad av: Kvalitetsstrateg

Läs mer

Sekretess, lagar och datormiljö

Sekretess, lagar och datormiljö Sekretess, lagar och datormiljö VT 2015 Sekretess och tystnadsplikt Tystnadsplikt gäller oss som individer Tystnadsplikt är ett personligt ansvar vi alltid har, vare sig vi agerar i tjänsten eller som

Läs mer

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören Version: 1 Beslutsinstans: Regiondirektören 2(10) ÄNDRINGSFÖRTECKNING Version Datum Ändring Beslutat av 1. 2016-06-30 Nyutgåva Regiondirektören 3(10) INNEHÅLLSFÖRTECKNING 1 INLEDNING...4 2 ANSVAR FÖR INFORMATIONSSÄKERHET...4

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 575-2013 Omsorgsnämnden Gävle kommun 801 84 Gävle Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut Datainspektionen

Läs mer

Nulägesanalys för kring grundläggande förutsättningar verksamhet, brukare och personal.

Nulägesanalys för <kommun> kring grundläggande förutsättningar verksamhet, brukare och personal. Datum: 20XX-XX-XX Ärendetyp: Rapport Nulägesanalys för kring grundläggande förutsättningar verksamhet, brukare och personal. GRUNDLÄGGANDE TEKNIK Kommunikation Ansvarar kommunen för andra boende

Läs mer

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet Dnr 1-516/2013 (ersätter Dnr 6255-2012-060) Gäller från och med Informationsklass: K1R2T1 Bilaga 2. Ansvarsbeskrivningar

Läs mer

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket 15-12-07 1/6 Tillämpningsområde 1 Denna författning innehåller bestämmelser om myndigheternas arbete med informationssäkerhet och deras tillämpning av standarder i sådant arbete. 2 Författningen gäller

Läs mer

Sammanhållen journalföring

Sammanhållen journalföring SOCIALFÖRVALTNINGEN RIKTLINJE Annika Nilsson, annika.nilsson@kil.se 2016-06-28 Beslutad av SN 84 2016-08-31 Sammanhållen journalföring Via nationella e-tjänster, t.ex. NPÖ, Pascal eller Svevac Gäller för

Läs mer

Manual - Inloggning. Svevac

Manual - Inloggning. Svevac Manual - Inloggning Svevac Webbadress: https://svevac.inera.se Webbadress demoversion: https://test.svevac.inera.se (användarnamn: demo / lösenord: demo) Supportärenden Kontaktuppgifter till Ineras kundservice:

Läs mer

Informationsklassning , Jan-Olof Andersson

Informationsklassning , Jan-Olof Andersson Informationsklassning 2016-09-15, Jan-Olof Andersson 1 Upplägg Beskrivning hur man kan tänka kring informationsklassning utifrån MSB:s metodstöd och egen erfarenhet. 2 Agenda Inledning och presentation

Läs mer

Ks 352 Dnr 2014.0294.759. Kommunstyrelsen beslutar

Ks 352 Dnr 2014.0294.759. Kommunstyrelsen beslutar Ks 352 Dnr 2014.0294.759 Uppföljning av granskning kring kvalitet inom socialtjänsten Kommunstyrelsen beslutar 1. Att till kommunrevisorerna överlämna ovanstående svar avseende granskning kring kvalitet

Läs mer

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet Dnr UFV 2015/322 Riktlinjer för informationssäkerhet Riskanalyser av informationssystem Fastställda av Säkerhetschefen 2015-03-06 Innehållsförteckning 1 Inledning... 3 2 Definitioner... 3 3 Syfte... 3

Läs mer

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun

Riktlinjer för dokumentation och informationshantering inom hälsooch sjukvårdens område i Nyköpings kommun Riktlinjer utarbetade för: Vård och Omsorgsnämnden Kvalitetsområde: Hälso- och sjukvård Framtagen av ansvarig tjänsteman: Annika Jansson, Anna- Karin Tholerus Medicinskt ansvariga sjuksköterskor Giltig

Läs mer

Riktlinjer för ansvar och behörigheter i Personec P

Riktlinjer för ansvar och behörigheter i Personec P Riktlinjer för ansvar och behörigheter i Personec P Antagen av: Dokumentansvarig: Yvonne Stolt Innehåll Inledning... 3 Syfte... 3 Allmän beskrivning av Personec P... 3 Ansvar... 4 Behörighetsroller i Personec

Läs mer

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Informationssäkerhet och earkiv Rimforsa 14 april 2016 Informationssäkerhet och earkiv Rimforsa 14 april 2016 Stephen Dorch, ISMP Information - Organisationens viktigaste tillgång - Säkerhet - Informationen att lita på när jag behöver den - Samordna - Gemensamma

Läs mer

Riktlinje för hälso- och sjukvårdsdokumentation

Riktlinje för hälso- och sjukvårdsdokumentation Riktlinje för hälso- och sjukvårdsdokumentation Journalhandling En journalhandling är alla handlingar och anteckningar som innehåller uppgifter om patientens tillstånd och de åtgärder som genomförts eller

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 )

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum 2007-06-11 (rev. 2014-11- 24 ) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 14-11-24 dnr V 2014/853 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum November 2014 Publicerad Beslutsfattare

Läs mer

HSA Hantering av organisationsförändringar i vårdgivarstrukturen. Version 1.0

HSA Hantering av organisationsförändringar i vårdgivarstrukturen. Version 1.0 HSA Hantering av organisationsförändringar i vårdgivarstrukturen Version 1.0 Innehållsförteckning Innehållsförteckning... 2 1 Inledning... 3 2 Generellt kring organisationsförändringar... 3 2.1 Arkivering

Läs mer

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. 2008-08-15 1 (6) Reviderad 2010-04-21 Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. Nedanstående lagar, förordningar allmänna råd ligger

Läs mer

RIKTLINJER AVSEENDE SKYDDADE PERSONUPPGIFTER

RIKTLINJER AVSEENDE SKYDDADE PERSONUPPGIFTER RIKTLINJER AVSEENDE SKYDDADE PERSONUPPGIFTER KARLSTADS KOMMUN Ansvarig samt giltighetstid: Verksamhetsutvecklare 2017-09-20 Uppdaterad: 2016-10-18 POLICY Uttrycker ett övergripande förhållningssätt. Policyn

Läs mer

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Beslut Diarienr 2014-05-07 571-2013 Vård- och omsorgsnämnden Botkyrka kommun Vård- och omsorgsförvaltningen 147 85 Tumba Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och

Läs mer

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011) Fastighetsavdelningen STYRDOKUMENT Leif Bouvin 11-09-14 dnr A 13 349/ 07 031-789 58 98 Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet Publiceringsdatum Juni 2007 ( rev. September

Läs mer

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se Samverka effektivare via regiongemensam katalog Teknik spåret Föreläsare: Michael Lööw, Linköpings Kommun Michael.Loow@linkoping.se 1 Ännu inget genombrott för e-legitimation Moment 22 Inte intressant

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer