Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson

Transkript

1 Tillgänglighet, Kontinuitet och Incidenthantering Förutsättningar för nyttoeffekter Leif Carlson

2 Informationssäkerhet, och då speciellt Tillgänglighet, är en av de viktigaste möjliggörarna för att ITinvesteringar skall kunna generera avsedd nytta under IT-systemens hela livscykel. Patientsäkerhet Patientintegritet Tillgänglighet Riktighet Konfidentialitet Spårbarhet Informationssäkerhet Administrativ säkerhet Teknisk säkerhet Utbildning Regler Roller Uppföljning Fysisk säkerhet ITsäkerhet

3 E-Hälsa har nu tagit steget in i storskalig leverans med stor påverkan på verksamheterna inom offentlig och privat vård och omsorg

4 Bakgrund Ofta många nationella och lokala tjänster/it-system ingår i en leveranskedja. Olika bakgrund och kravspecifikationer/sla, olika driftleverantörer och avtalsperioder (LOU). Ingen aktuell sammanhållen kravbild från vården. Ingen överblick av, dokumentation över eller styrning av hela leveranskedjan.

5 Konsekvenser Försämrad tillgänglighet & incidenthantering Patientsäkerheten minskar Tilliten till e-hälsa är i fara! CeHis tar tag i problemetiken!

6 Åtgärder Ensa begreppen ITIL & LIS hand i hand. Öka medvetenheten om var i kedjan min tjänst finns, vilka som är beroende av mig och vilka jag är beroende av Hitta och åtgärda svaga länkar. Inventera och dokumentera på samma sätt Process för aktuell sammanhållen kravbild Handlingsplan för informationssäkerhet kopplat till handlingsplanen e-hälsa Ta fram och förankra ett nationellt ramverk för informationssäkerhet

7 Tillgänglighetsplaner Ett av stegen mot en kvalitetssäkrad leveranskedja Leif Carlson

8 Tillgänglighetsplan Styrdokument med före, under, efter perspektiv Dokumentmall och instruktion finns. Skall ingå i alla förvaltningsplaner 2013 oavsett programområde eller utförarorganisation. Kvalitetsgranskning/godkännande av CeHis Relativt enkel nivå att starta med; Det viktigaste är att få med alla länkar i leveranskedjan! Öppen för synpunkter och förbättringar. Plan Plan Plan Plan Plan

9 Målbild 2014 Nationellt ramverk för informationssäkerhet inom vård & omsorg kopplat till esamhället Lokal Krishantering Verksamhetskrav Gemensamma Verksamhetskrav Nationell Krishantering VÅRD- OCH OMSORGS- VERKSAMHET Lokala Kontinuitetsplaner Lokal Incidenthantering Leverans av lokala IT-tjänster Kund- service IT vård & omsorg Sammanhållen kravbild Nationell Incidenthantering Nationell förvaltning Avbrottsplaner & instruktioner Nationella tjänster Tillgänglighets planer PO CeHis pm 3 Leverans av nationella ITtjänster 9

10 Kort beskrivning av dokumenten 1. Nationellt ramverk för informationssäkerhet inom vård och omsorg. Drivs för närvarande inom ramen för MSB:s program för vård och omsorg i samarbete med Socialstyrelsen, CeHis och vården. 2. Verksamhetskrav. Verksamhetens förväntade och dokumenterade krav på infrastruktur och stödsystem, bl.a. IT-system med avseende på Funktionalitet, Interoperabilitet, Prestanda, Riktighet, Konfidentialitet, Tillgänglighet, Spårbarhet och Användbarhet. 3. Lokala Kontinuitetsplaner beskriver hur organisationen skall kunna bedriva sin verksamhet i avsaknad av t.ex. mat-, el, transporter eller IT-tjänster, beskriver krav på bl.a. Interna IT-tjänster m.a.p. Tillgänglighet och Prestanda, på lokal Incidenthantering och på Lokal Krishantering. Dessa planer kallas olika i olika organisationer men utgör grunden till den kravbild som skall ställas på lokala och nationella IT-tjänster. 4. Gemensamma Verksamhetskrav. En samlad kravbild från vård och omsorg. 5. Sammanhållen kravbild IT vård & omsorg. Beskriver verksamheternas gemensamma och övergripande krav på de nationella ITtjänsterna m.a.p. Tillgänglighet och Prestanda, på Nationell Incidenthantering och på Nationell Krishantering. Verksamheterna kravställer och kraven balanseras mot tekniska och ekonomiska förutsättningar. 6. Tillgänglighetsplanen beskriver hur tillgänglighet till informationen som hanteras av tjänsten skall realiseras och refererar till Avbrottsplanen när det gäller hantering, eskalering av incidenter och återgång till normalläge. Planen omfattar Före Under Efter. Beroenden av andra tjänsters och infrastrukturs tillgänglighet beskrivs här. 7. Avbrottsplanen definierar beslutspunkter om, när och hur en incident skall eskaleras till nationell Incidenthantering eller till lokal Incidenthantering, kontaktuppgifter.planen kan vid behov kompletteras med detaljerade Instruktioner för prioriterade scenarier 8. Lokal Incidenthanteringsplan beskriver hur incidenter som eskalerats från lokala tjänster, lokal verksamhet och/eller Nationell Incidenthantering hanteras av den lokala organisationen. Nationell Incidenthanteringsplan beskriver på motsvarande vis hur nationella IT-incidenter skall hanteras. En lokal incident kan vid behov eskaleras till nationell incidenthantering och vise versa. 9. Krishanteringsplanen beskriver hanteringen vid en Kris som t.ex. orsaktas av en Katastrof där normala resurser inte räcker till och ledningsbeslut krävs 10