Region Gävleborg. November Uppföljning av granskning kring hanteringen informationssäkerheten/it hanteringen 2014

Transkript

1 Uppföljning av granskning kring hanteringen informationssäkerheten/it hanteringen 2014 Januari 2017 Göran Persson Lingman Certifierad kommunal revisor Karin Magnusson

2 Innehåll Innehåll Sidan Inledning Bakgrund och syfte 4 Metod 5 Kort sammanfattning tidigare granskning 6 Iakttagelser kring förändringar 1 Styrande dokument och hur de kommunicerats 7 2 Ansvar och roller. Processer kring samverkan mellan olika funktioner/roller. 8 3 Det sker uppföljning kring avseende tillämpning av olika riktlinjer m.m. (innefattade om risker analyseras) 10 4 Användare inom vården får en regelbunden informationssäkerhetsrelaterad utbildning 12 5 Det finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser 13 6 Systemsäkerhetsplaner och kontinuitetsplaner finns framtagna för kritiska system 14 7 Kort information om projektet kring framtagande av IT-strategi. 15 Sammanfattande resultat från uppföljningen 16 Bilaga 1. Uppgifter för informationssäkerhetsfunktionen. exempel oktober

3 1 Bakgrund och syfte med uppföljningen Bakgrund och syfte Bakgrund På uppdrag av s revisorer har genomfört en uppföljning av den granskning kring IT hanteringen och informationssäkerhetsarbetet som genomfördes I denna rapport redovisas nuläget utifrån det sammanfattade resultatet från den tidigare granskningen. Den revisionsfråga som ställdes 2014 var om det inom landstinget finns en tillräcklig intern styrning och kontroll avseende IThantering/verksamhetskritisk information. Följande kontrollfrågor hanterades i granskningen: Finns aktuella styrande dokument som berör informationssäkerheten och är kommunicerad till olika roller? Finns tydlighet i ansvar och roller avseende hantering av IT? (stödja en effektiv och säker hantering av IT) Sker uppföljning och värderas IT-relaterade risker? Får användare inom vården informationssäkerhetsrelaterad utbildning? Finns en tillfredställande incidenthanteringsprocess (t ex prioriteringar, ge underlag som stöd för proaktivt arbete) Finns systemsäkerhetsplaner och kontinuitetsplaner framtagna för kritiska system? Granskningen berörde även samarbetet med den medicinsk tekniska hanteringen och hantering av IT. 3

4 1 Bakgrund och syfte med uppföljningen Metod för uppföljningen Granskning av styrande dokument. Intervjuer har genomförts med: - Informationssäkerhetsansvarig och samordnare vid informationssäkerhetsfunktionen - Ansvarig inom IT-avdelningen - Chef för LOV (Lednings och verksamhetsstöd) - Kanslichef inom ledningskansliet - Extern rådgivare som arbetar med framtagande av IT-strategi - Tjänstemän inom den medicinsk tekniska verksamheten 4

5 1 Bakgrund och syfte med uppföljningen Tidigare granskning Nedan ges en mycket kort sammanfattningen av resultatet från den tidigare granskningen Revisionsfrågan Vår övergripande revisionsfråga var om det inom landstinget finns en tillräcklig intern styrning och kontroll avseende IT-hantering/verksamhetskritisk information. Frågan avgränsades till ett antal kontrollfrågor/områden som granskats översiktligt. Inom de kontroller vi utförde så var vår sammanfattande bedömning att hanteringen inte var tillräckligt tillfredställande. Iakttagelser och kommentarer från granskningen Det fanns många bra övergripande styrande dokument som stöd för informationssäkerheten och hanteringen av IT men det förelåg ett behov att revidera dessa. Det fanns också ett behov att i ökad grad kommunicera de styrande dokumenten till olika funktioner i organisationen. Uppföljning genomfördes på olika sätt men styrelsens uppföljningen av avseende efterlevnaden av de styrande dokumenten (till exempel direktiv, policys, instruktioner till användare) var inte tillfredsställande. Det fanns behov att ytterligare förbättra kontaktytor mellan Medicinsk Teknik och IT-avdelningen. Det fanns behov att tydliggöra systemägarrollen. Vi såg ett behov att se över informationssäkerhetsfunktionen gränssnitt mot olika ansvariga inom organisationen (till exempel kontaktytor mot landstingsledningen, systemägare, IT-avdelningen, personuppgiftsombud och olika forum). Avseende de system som inte förvaltades inom IT-avdelningen var vår bedömning att den övergripande kontrollen inte var tillräcklig. 5

6 Systemsäkerhetsplaner hade inte upprättats på ett tillräckligt bra sätt i enlighet med de styrande dokumenten. Brister fanns även i genomförandet av riskanalyser relaterade till systemen. Hanteringen av de verksamhetsövergripande systemen som hanterades inom IT-avdelningen var till stor del ändamålsenlig. Det fanns en tillfredställande hantering av incidenter utifrån de krav som ställdes. Processen var dokumenterad, etablerad och det pågick ständiga förbättringar. Alla nyanställda måste genomföra en webbaserad utbildning inom informationssäkerhet. Vi rekommenderade att det skulle ske en översyn kring hur utbildningen skulle kunna genomföras med regelbundenhet till alla anställda. Inom flera områden där vi uppmärksammade behov av förbättringar pågick förbättringsarbete. oktober 2016

7 1 Inledning Nuläge i jämförelse med tidigare granskning 1. Styrande och stödjande dokument finns och är kommunicerade Sammanfattning från granskning 2014 I granskningen som genomfördes 2014 omnämndes att det fanns många bra övergripande styrande dokument som tydliggjorde hanteringen av IT inom landstinget (till exempel direktiv, policys, instruktioner till användare). Exempel på dokument vi tog del av var Direktiv IT-Policy för Landstinget Direktiv avseende landstinget Informationssäkerhet (direktivet är giltigt t.o.m ) Ledning och styrning av informationssäkerhet Säkerhetsinstruktion användare Direktiv E-post och riktlinjer Ny systemförvaltningsmodell för landstinget finns beskriven. Även om dokumenten i huvudsak var bra så fanns det revideringsbehov. Vid granskningen framkom det också att det pågick ett förbättringsarbete med en säkerhetsportal på intranätet (Plexus) och vid landstingets publika hemsida (lg.se). På säkerhetsportalen skulle det finnas info till allmänheten och privata vårdgivare bland annat avseende informationssäkerhet, beredskap, brand och allmänna säkerhetsfrågor. (Arbetet leddes av informationssäkerhetssamordnaren). Iakttagelser 2016 Vi kan konstatera att det sedan föregående granskning inte har skett något förbättringsarbete avseende de styrande dokument som omnämndes Anledningar som angetts är bl.a. att informationssäkerhetsfunktionen haft otillräcklig med resurser en lång period. Däremot så kan vi notera att andra styrande dokument har upprättats exempelvis en rutin som beskriver hur oktober

8 Vad har hänt sedan tidigare granskning material med sekretessuppgifter ska hanteras. Rutiner omfattar hanteringen i hela flödet inklusive hur sekretessuppgifter ska hanteras när dessa blir till avfall. Det handlar bland annat om hantering av dokument (papper), patientarmband, och blodpåsar. Rutinerna har fastställts av ansvarig vid förvaltningen för Ledning och verksamhetsstöd (LOV). Vi kan också konstatera att systemförvaltningsmodellen har reviderats och det anges att de det sker ständiga förbättringar av modellen. Dokumentationen avseende hur systemet ska förvaltas har också förbättrats. Vad det gäller utvecklingen av säkerhetsportalen så har arbetet inte fortgått som planerat sedan föregående granskning. Även här anges resursbristen ha varit orsaken och det har prioriterats att hantera informationssäkerheten i samband med olika projekt ex hantering av besöksskörmar, journaler via nätet, vård via mobila enheter etc. För övrigt så kan vi konstatera att det pågår i dagsläget ett projekt som syftar till att ta fram en IT-strategi för regionen. Se mer beskrivning av projektet i avsnitt Finns tydlighet i ansvar och roller avseende hantering av IT. Sammanfattning från granskning 2014 Inom enheten Säkerhet och Beredskap fanns vid granskningen år 2014 en informationssäkerhetsfunktion med en säkerhets- och beredskapschef och informationssäkerhetssamordnare. Enheten tillhörde LOV och medverkade till att stödja ledningen och verksamheternas att leva upp till ställda krav avseende informationssäkerhet. Det gjordes genom stöd och uppföljning m.m. I granskningen framkom ett behov att se över informationssäkerhetsfunktionens gränssnitt mot olika ansvariga inom organisationen, till exempel kontaktytor mot landstingsledningen, systemägare, IT-avdelningen, Medicinsk Teknik och personuppgiftsombud. Bland annat var det inte tillräckligt tydlig hur funktionen skulle stödja styrelsen i uppföljningen av tillämpning av de styrande dokumenten. Enligt vad som framkom vid granskningen så tydliggjordes IT-avdelningens interna arbete och gränssnittet med verksamheten genom fastställda processer. Dock angavs att det fanns ett förbättringsbehov och det hade påbörjats ett arbete med att ta fram bättre dokumenterade överenskommelser kring vad IT-avdelningen skulle göra och inte. Avseende de verksamhetsövergripande system som hanterades inom IT-avdelningen så fanns det inte några brister noterade vid granskningen 2014, men bedömning var att det övergripande kontrollen inte var tillfredställande avseende 8

9 de system som inte förvaltades inom IT- avdelningen. Ett krav var att det skulle finnas en samlad bild kring olika system där det framgår vad som är syftet med systemet, vilken information som hanteras, vem är ansvarig etc. Vi granskningen framkom också ett behov av att tydliggöra ansvar och uppgifter avseende systemägarrollen. Vår rekommendation vid granskningen 2014 var att det skulle fastställas hur kommunikation och information mellan Informationssäkerhetsfunktionen och avdelningen för Medicinsk Teknik skulle hanteras, till exempel när det krävs att de rådgör/kommunicerar innan ett beslut att gå vidare får fattas, när det krävs att man informerar varandra och vem som får ta beslut). Vi rekommenderade även att ansvariga från Medicinsk Teknik i ökad grad hjälpte landstingsledningen och systemägare som kravställare på IT-relaterade processer inklusive IT-infrastrukturen. Förslagsvis genom att ansvariga från medicinsk teknik deltog i det gemensamma systemägarrådet. Iakttagelser 2016 Vid tillfället då granskningen genomförs så är cheftjänsten för enheten säkerhet och beredskap vakant och rekryteringsprocess pågår. Det är klarlagt att informationssäkerhetsarbetet inte kommer att omfattas i enhetschefens ansvar. Informationssäkerhetsfunktionen har som omnämnts varit ansträngd. Vilket exempelvis har inneburit att planerade förbättringsarbeten inte genomförts. Det framkommer också att det fortfarande finns behov att tydliggöra ansvar och uppgifter. Det pågår ett arbete/översyn som ska leda fram till ett beslut som kan innebära att informationssäkerhetsfunktionen flyttas till regionens kansli. Ansvar och uppgifter för funktionen är just nu under utredning och om fattar klargörande av arbetet med uppföljning, arbetet med risker, utbildningar etc. Översynen berör även hur informationssäkerhetsarbetet ska kommuniceras mellan informationssäkerhetsfunktionen, ledningen och olika verksamhetsansvariga. Det omnämns att det redan idag finns bra arbetssätt kring hur informationssäkerhetsfunktionen ska samarbeta med organisationens jurister, men förändringen bör kunna medföra att den direkta kommunikationen med den högsta regionledningen förstärks. Vår uppfattning är att om förändringen hanteras på ett bra sätt så kommer informationssäkerhetsfunktionens och dess kontaktytor mot ledningen att förstärkas genom att informationssäkerhetsfunktionen t ex medverkar i styrelsens uppföljning av de styrande dokumenten.

10 Vad har hänt sedan tidigare granskning Kommunicera risker och förbättringsförslag direkt till styrelse/nämnder/regiondirektör och regionledning. Klargör konsekvenser av rådande brister för styrelse/nämnd/lednings ställningstagande kring vad som kan accepteras Bidra med förbättringsförslag och tydliggöranden av vad som behöver åtgärdas och hur det kan ske. På så sätt så sker ett naturligt prioriteringsarbete av ledningen. En informationssäkerhetsfunktion (ansvarig) bör arbeta oberoende från IT-chefen. Vi kan vid granskningen konstatera att det har skett förbättringar avseende olika överenskommelser med verksamheterna. Det är också fler system förvaltas av IT-avdelningen och de system som inte förvaltas inom IT-avdelningen finns förtecknade på ett bättre sätt än vid tidigare granskning. Enligt uppgifter har rollen som systemägare tydliggjorts för de större verksamhetsövergripande systemen och arbetet med den IT-strategi som beskrivs i avsnitt 7 kommer att påverka IT-avdelningens arbete och samspelet med regionledningen och verksamhetsansvariga m fl. Vi kan också konstatera att det har skett förbättringar avseende samverkan mellan Medicins Teknik och IT-avdelningen och det sker regelbundna möten utifrån ett formaliserat arbetssätt. Det finns också ett investeringsråd där representanter från Medicinsk Teknik, IT-avdelningen, inköpsavdelningen samt representanter från olika verksamheter deltar. Medicinsk Teknik deltar dock inte i det gemensamma systemägarerådet men det uppges att det ska ses över huruvida systemägarerådet ska anses vara är ett lämpligt forum för Medicinsk teknik att delta i. Det anges också att det finns behov att se över om representanter för Medicinsk Teknik i ökad grans ska medverka i olika forom bl.a. som stöd i ledningen och verksamhetens kravställande på IT-infrastrukturen och IT-avdelningens förmåga. 3. Sker det uppföljning kring avseende tillämpning av olika riktlinjer m.m. Iakttagelser vid granskning 2014 I granskningen som genomfördes 2014 så konstaterades att det utifrån ett patientperspektiv kontinuerligt ska ske en värdering av risker inom vården och att det också bör omfatta risker avseende IT-systemen. Det framkom att Intern kontrollenheten genomfört en uppföljning kring behörighetshantering och att Informations- 10

11 Vad har hänt sedan tidigare granskning säkerhetsfunktionen stöttade verksamheterna att analysera risker på olika sätt. Ett exempel var att informationssäkerhetsfunktionen med stöd av en Behovs- och riskanalys medverkade i kravställandet avseende tilldelning av behörigheter till vårdinformationssystemet. Den systemförvaltningsmodell som nyligen hade införts var ett stöd för uppföljning då både verksamhetsansvariga och olika IT-resurser medverkade kontinuerligt i förvaltningen av systemen. Genom den information som på olika sätt kom till Informationssäkerhetssamordnaren och ansvarig vid enheten Säkerhet och Beredskap avseende olika säkerhetsrelaterade problem och behov så hade de en kontinuerlig kommunikation med landstingsledningen avseende informationssäkerhetsfrågor. Det skulle enligt vad som framkom i granskningen tas fram systemsäkerhetsplaner som med stöd av ett verktyg (BITS plus) vilket utgår från krav och olika risker. Det konstaterades också att det avseende systemsäkerhetsplaner fanns ett förbättringsbehov. Vår samlade bedömning vid granskningen 2014 var att det skedde uppföljning och analyser av risker på olika sätt, men att det inte skedde en tillräcklig regelbunden uppföljning avseende efterlevnaden av de styrande dokumenten. Vi rekommenderade att det skulle ske översyn kring hur uppföljningen kunde förbättras. Vår bedömning var att uppföljningen borde omfatta en rapportering av de förbättringsaktiviteter som genomförts, vilka olika riskanalyser som har utförts med mera. Avseende risker som ansvariga själva inte kunde råda över underströks vikten av att dessa rapporteras uppåt i organisationen. Iakttagelser 2016 Det har framkommit att informationssäkerhetsfunktionen engageras mindre idag än tidigare i relevanta risk- och sårbarhetsanalyser vilket kan innebära att informationssäkerheten inte beaktas tillräckligt. De intervjuade uppger att det i finns behov att högre grad analysera risker relaterade till IT-systemen än vad som nu görs. Systemförvaltningsmodellen har utvecklats under senare år. Det omnämnda IT-strategi-projektet kommer sannolikt också att resultera i att kommunikationen mellan verksamhetsansvariga och olika IT-resurser förstärks ytterligare. Vad det gäller framtagandet av systemsäkerhetsplaner så har IT-systemet KLASSA identifierats som en lämplig ersättare till BITS plus (som omnämndes i granskningen 2014). Beslutsunderlag avseende övergång till KLASSA kommer att kommuniceras inom systemägarrådet. Efter ev. beslut att gå vidare med förslaget kommer en plan att tas fram avseende inköp, utbildning och de olika aktiviteter som ska ske därefter. 11

12 Vad har hänt sedan tidigare granskning I likhet med bedömningen år 2014 så kan vi vid nuvarande granskning konstatera att det inte sker någon systematiskt uppföljning och rapportering till ledningen avseende tillämpning av de styrande dokumenten. Vid nuvarande granskning har det också noterats att det finns behov av att fortsätta att förbättra uppföljningen av olika informationssäkerhetsrelaterade avvikelser/incidenter bland annat bör det ses över hur informationssäkerhetsrelaterade avvikelser hanteras i avvikelsehanteringssystemet (Platina). I dagsläget hanteras endast avvikelser i form av misstänkta dataintrång (misstänkt olovlig läsning av journaler) och dessa hanteras i huvudsak utan stöd i Platina. I genomsnitt hanteras 2-3 ärenden av denna typ per år inom informationssäkerhetsfunktionen. Det anges att antalet informationssäkerhetsrelaterade avvikelser som egentligen borde komma till deras kännedom är högre. IT-avdelningen har en upprättad beskrivning av de ärenden som ska rapporteras till informationssäkerhetfunktionen och hur detta ska gå till. Det anges att denna i samråd med Informationssäkerhetsfunktionen behöver utvecklas. Vår bedömning är att Informationssäkerhetsfunktionens roll i uppföljningsarbetet är otydlig idag. Funktionen har som omnämnts varit ansträngd och det pågår ett förändringsarbete som kan komma att innebära att uppföljningen kommer att förbättras 4. Får användare inom vården en regelbunden informationssäkerhets-relaterad utbildning Sammanfattning från granskning 2014 I rapporten år 2014 omnämndes bl.a. att utbildningar och information till användare av vårdens IT-system sker på olika sätt. Till exempel används intranätet som informationskanal. Det framgick också att alla nyanställda måste genomföra en webbaserad utbildning inom informationssäkerhet och att cheferna hade en möjlighet att se vilka som gått utbildningen med gott resultat. Det pågick också ett arbete med att se över innehållet i utbildningsmaterialet. Vi rekommenderade att det skulle ske en översyn kring hur denna utbildning kan genomföras med regelbundenhet till alla anställda. Sannolikt fanns många anställda som inte deltagit i denna utbildning. Vår bedömning var att vilka som deltagit och inte borde dokumenteras och att resultatet borde delges styrelsen. 12

13 Vad har hänt sedan tidigare granskning. Utbildning till användare Iakttagelser 2016 Det finns ett upprättat förslag från informationssäkerhetfunktionen kring att göra en rejäl revision av e-utbildningen då nuvarande inte anses vara tillräckligt aktuell. Det finns dock inte något beslut av regionledningen att detta ska genomföras varför det inte har sket. E-utbildningen som funnits sedan ett flertal år är fortfarande obligatorisk för nyanställda, men inte för andra. Det finns inte heller idag någon samlad bild eller uppföljning av hur många av nuvarande anställda som genomgått utbildningen. En notering vi gjort är att Datainspektionen gjort en inspektion av regionens styrning av behörigheter i journalsystemet Melior. Frågor kring om utbildningen är obligatoriskt och om det sker uppföljning ställdes av Inspektionen. 5. Det finns en tillfredställande incidenthanteringsprocess som bland annat gör att ansvariga nås av informationssäkerhetsrelaterade händelser. Sammanfattning från granskning 2014 Enligt vad som framkom vid genomförd granskning år 2014 så fanns till stor del en tillfredställande hantering av incidenter utifrån de krav som fanns. Processen var dokumenterad, etablerad och det pågick ständiga förbättringar. Det noterades dock att det krävdes en regelbunden uppföljning för att säkerställa att processen var etablerad ända ut till användarna. Det lyftes också fram att de relaterade processerna exempelvis den som ska utreda vad som är orsaker till problem utvecklas på samma sätt. Detta gällde även krav avseende upptäckande aktiviteter (till exempel vad bör övervakas ännu mer). Rekommendationen vid granskningen var att Medicinsk Teknik borde medverka i att ställa krav på IT-avdelningens processer. Enligt granskningen var det planerat att under första halvåret 2015 påbörja ett arbete med att förbättra eskalerings/ informationsprocesser generellt inom landstinget. Ett syfte var att rätt funktioner ska informeras i rätt tid. Arbetet skulle komma att omfatta IT. 13

14 Vad har hänt sedan tidigare granskning. Utbildning till användare Iakttagelser 2016 Det finns enligt uppgifter en förbättrad process för att analysera olika rapporter incidenter som inkommer till ITavdelningen. Det finns dock behov att se över vilka ärende som ska gå vidare till informationssäkerhetsfunktionen. Informationssäkerhetsfunktionen har tagit fram en modell incidenthantering och kontinuitetsplanering. Modellen är anpassad utifrån övriga organisationens krisledning för att säkerställa att hantering av IT-relaterade kriser sker på ett likvärdigt sätt vilket bland annat säkerställer att nödvändig information når berörda verksamheter och funktioner. Modell kommer att kommuniceras mellan informationssäkerhetsfunktionen och till IT-avdelningen. Därefter är det tänkt att den ska användas för i arbetet med kontinuitetsplaner för olika system. Det finns också en förbättrad teknik för att bevaka infrastrukturen, men behov finns av att förbättra de arbetssätt som är avhängigt nyttjandet av tekniken. Det ges också uttryck för att det finns behov av att arbeta med fler aktiviteter kopplat till detta, men att det inte har prioriterats utifrån tillgången till personella resurser. 6 Finns systemsäkerhetsplaner och kontinuitetsplaner framtagna för kritiska system? Sammanfattning från granskning 2014 Utifrån både svaren på vår enkät och de intervjuer vi gjorde år 2014 så visade resultatet ett förbättringsbehov. Enligt de styrande dokumenten ska det bland annat upprättas systemsäkerhetsplaner. Enligt vår bedömning hade det inte genomförts på ett tillräckligt sätt. Vi rekommenderade att detta skulle ses över. Ansvariga för detta var systemägare. Se uppgifter i bilaga. Iakttagelser och kommentarer 2016 Vi kan vid nuvarande granskning konstatera att ett ramverk för kontinuitetsplanering inom IT-avdelningen har tagits fram och överlämnats till IT-avdelningen 14

15 Information kring ett pågående projekt framtagande av IT-strategi 7. Information kring ett pågående projekt som ska leda fram till en strategi för hur IT ska hanteras utifrån nuvarande och framtida krav. I projektet berörs vilka visioner, krav och mål det finns för ledningen och regionens olika verksamheter. Det som ska ligga till grund för regionens IT-hanteringen. Detta innefattar också vilka lagar och olika regler som måste beaktas. I projektet analyseras var man befinner sig idag utifrån olika krav på hanteringen av IT. Projektet kommer att bl.a. att leda fram till vilka krav som kommer att ställas på den tekniska infrastrukturen i framtiden, Vad som kommer att krävas av olika IT-resurser och deras arbetssätt. Hur samspelet mellan olika funktioner och roller ska hanteras. Det kommer att påverka olika styrande dokument. Arbetet leds av en extern projektledare. Det finns en styrgrupp där bl.a. regiondirektören olika förvaltningschefer deltar. I projektgruppen finns olika IT-resurser och företrädare från olika verksamheter. 15

16 Sammanfattande resultat Sammanfattande resultat Förbättringar enligt vår bedömning Tydligheten avseende systemägarerollens ansvar och uppgifter har enligt uppgifter förbättras. Samarbetet mellan IT-avdelningen och Medicinsk Teknik har förbättras. Samarbetet med Informationssäkerhetsfunktionen har utvecklats, t ex när rådgör man med varandra. Systemförvaltningen har utvecklats på olika sätt. Det har tagits fram olika dokument för ökat styrning och kontroll, t ex det dokument kring hantering av informationsavfall. Kontrollen av de system som inte tidigare förvaltades av IT-avdelningen har förstärkts. Det har skett förbättringar kring att tydliggöras IT avdelnings uppgifter och hur de ska utföras. Det har utarbetats förslag avseende genomförande av förbättring av utbildningarna via intranätet. Dock saknas plan för genomförande. Det pågår diskussioner kring att införa ett nytt hjälpmedel för att bl.a. analysera risker. Det pågår ett arbetet som bl.a. kan innebär att informationssäkerhetsfunktionens kommunikation med ledningen förstärks. Det projekt som pågår kring att upprätta en IT-strategi kommer sannolikt att på ett positivt sätt påverka utvecklingen inom flera av de om råden som granskats. 16

17 Sammanfattande resultat Fort. Sammanfattande resultat Nedan sammanfattas det som enligt vår bedömning inte utvecklats eller inte förbättrats tillräckligt. Områden där det enligt vår bedömning fortfarande finns behov att förbättra sammanfattas. Områden att utveckla och förbättra Styrande dokument behöver revideras. Här är bör styrelse och nämnder vara delaktiga arbetet. (de dokument som de sedan ska fastställa). Det kan finnas dokument idag där kan vara så att styrelsen bör fastställa att dokumentet ska gälla (detta bör beaktas i revideringsarbetet). Dokumenten behöver kommuniceras i ökad grad till olika roller och funktioner. Detta är starkt kopplat till att till behov att med regelbundenhet utbilda anställa. Avseende utbildning till alla anställda kvarstår behov. Ledningens kontroll över status kring vilka som deltagit i utbildningar bör förstärkas. En rekommendation är att anställda på något sätt bör bekräfta att de tagit del av den information som berör dem. Utbildningar bör vara obligatoriska. Styrelse/nämnder och lednings uppföljning av de styrande dokumenten behöver förbättras. Informationssäkerhetsfunktionens ansvar och uppgifter bör tydliggöras. Detta innefattar hur de kommunicerar direkt mot styrelse/nämnder/ledning. Det är viktigt att det säkerställs att funktionen och informationssäkerhetsansvarig tjänsteman har tillräckliga resurser för att utföra de uppgifter som bestämts. Här har vi noterat att funktionen varit ansträngd vilket har påverkat genomförandet av viktiga förbättringar (t ex medverka i att reducera olika risker). Det finns ett behov av att fortsätta att förbättra uppföljningen av olika informations- säkerhetsrelaterade avvikelser/incidenter. Detta är starkt relaterat till ledningens uppföljning. Analyser av risker kring hanteringen av informationen i olika system bör förbättras. 17

18 Bilaga 1. Uppgifter för informationssäkerhetsfunktionen, exempel Medverka till att utforma övergripande riktlinjer, rutiner och informationsmaterial Stöd och resurs för verksamheterna Utbildning/information om informationssäkerhet och PDL (patientdatalagen) och andra regelverk som är aktuella (många) och förändringar i regelverket. Ansvarar för vår hemsida på Plexus Kontakter med jurist och Puo (personuppgiftsombud) Kontakter med patienter och allmänhet om regelverk som ttill exempel dataintrång loggar, journalkopior och spärr Kontakter med myndigheter och NIS (nationellt nätverk för informationssäkerhet) Utreder dataintrång, kontakter med polis och åklagare Utbildningar, utredningar av dataintrång, problemlösning i relation till gällande lagstiftning (patientdatalagen), stöd vid framtagande av nya (eller modifierade) IT-lösningar Råd vid upphandlingar 18